從需求出發,企業資安不一定要花大錢!
專題故事

在網路與IT技術成熟發展的年代,資安攻擊手法也跟著日益精進,從以前只是在網路上隨機散播惡意軟體,到現在進化成目標式攻擊。除了攻擊手法的改變,攻擊目的也和過往大不相同,以前的駭客攻擊多半只是好玩或駭客想建立自身的知名度,現今則為了獲取非法利益。

1 從需求出發,企業資安不一定要花大錢

Sponsored by ESET在網路與IT技術成熟發展的年代,資安攻擊手法也跟著日益精進,從以前只是在網路上隨機散播惡意軟體,到現在...

Sponsored by ESET

在網路與IT技術成熟發展的年代,資安攻擊手法也跟著日益精進,從以前只是在網路上隨機散播惡意軟體,到現在進化成目標式攻擊。除了攻擊手法的改變,攻擊目的也和過往大不相同,以前的駭客攻擊多半只是好玩或駭客想建立自身的知名度,現今則為了獲取非法利益。

從近年來許多資安事件中可以看出,駭客在企業機密資料後,不是販售給企業在商場上的競爭對手,就是在黑市出售,造成企業在金錢與品牌商譽上的雙重打擊。根據Verizon所發布的2015資料外洩調查報告,2014年全球共有2,122筆資料外洩事件,總損失高達4億美元。如此驚人的數字,讓企業不得不正視資安防禦的重要性。

圖說明

小型企業也要做好資安

ESET亞太區總代理台灣二版高級產品經理盧惠光認為,無論企業規模大小,都應落實資安防禦,尤其微/小型企業雖然規模不大,但同樣具備高度風險,有可能被駭客當成攻擊跳板,或是用勒索軟體攻擊,企業主千萬不能掉以輕心。

然而很多微/小型企業主不做資安的原因,往往是預算與人力有限,無法投入多餘資源來導入資安解決方案。對此,盧惠光表示,這其實是傳統的刻板印象,現今市場上已經有針對25人以下小型企業的資安解決方案,有些甚至還提供技術支援,協助安裝架設與操作方法教學等服務,因此,微/小型企業主即便預算或人力有限也同樣能做好資安。

合格認證廠商,協助企業資安無縫接軌

至於中大型企業在做資安時所面對的問題,又和微/小型企業不一樣,盧惠光表示,中大型企業通常網路架構複雜、擁有多樣化的作業系統與大量設備,管理成為IT最頭痛的問題,因此資安解決方案能否降低管理人員的負擔,成為企業最主要的考量,例如:是否支援多樣化系統與設備、有無遠端管理功能、能否同時管理多個同網域但不同網段的電腦設備…等。

也因為微/小型企業與中大型企業在導入資安解決方案時,所面臨的問題不一樣,因此,微/小型企業在評估資安解決方案時,應該選擇正版軟體與經過原廠合格認證的經銷商,未來隨著企業規模成長,資安解決方案才能無縫接軌,不必擔心系統升級問題。

盧惠光進一步指出,微/小型企業逐步發展成中大型企業的過程中,通常會遇到台數增加、新購版本與之前購買的一致性、新舊電腦相容性、多裝置控管…等問題,一個經過原廠合格認證的經銷商可以提供完整軟體升級作業流程,從IT環境評估、推薦最適合解決方案、協助升級架設、到觀察運作狀況並提供審核報告,以確保資安解決方案升級後,能夠維持穩定且順暢地運作。

為了幫助企業找出最適合自己的資安解決方案,ESET亞太區總代理台灣二版特別推出免費試用服務,微型公司可申請ESET Multi-Device Security跨平台防護,小型/中大型/大型公司則可選擇檔案伺服器、中小型企業安全包、大型企業安全解決方案…等,讓企業能夠藉由親身體驗來確認自身需求,用最低的成本、最有效率的方式打造資安防禦網。

ESET企業安全解決方案,免費申請歡迎試用!請點此

每日精選科技圈重要消息

《數位時代》整合行銷部

2 Startup資安生存首要策略佈局

Sponsored by ESET新創公司初期的創業資安生存風險佈局在創業的過程中,不僅要累積人脈、打穩金流,資安的基礎更是不可或缺...

Sponsored by ESET

新創公司初期的創業資安生存風險佈局

在創業的過程中,不僅要累積人脈、打穩金流,資安的基礎更是不可或缺,駭客攻擊手法越來越精密,對於中小型甚至是微型企業來說,如果沒有做好資安,所面臨的問題將不只是電腦中毒不能使用,甚至還有可能引發營運中斷的風險。

圖說明

台灣新創文化風氣已成

台灣是亞洲最愛創業的國家,在日前美國研究機構所公布的2015 年「全球創業精神暨發展指數」(GEDI)中,台灣在130個評比國家中排名第8,位居亞洲之冠,而根據經濟部2014年中小企業白皮書的統計,截至2013年底,台灣新創企業已高達9萬9044家,另外人力銀行業者也預估,近年來景氣回春讓不少人有多餘資金,上班族創業意願還有可能持續攀升,這種種數據意味著台灣整體創業活力旺盛,創業動能潛力無窮。

資安危機就早期常見的駭客攻擊手法是,駭客在入侵電腦、竊取重要資料後,便發出勒索信要求支付贖金,否則便公開資料或是提供給競爭對手,此時被入侵的企業雖然要與駭客周旋,但仍能維持正常運作,但是近年來駭客攻擊手法逐漸演變成以勒索軟體為主,駭客利用客製化手法設計惡意電子郵件,當使用者點擊郵件中的惡意連結或執行附加檔案,就會自動下載勒索軟體至電腦中,勒索軟體不僅會加密電腦中的重要文件,還有可能切斷鍵盤、滑鼠與電腦間的連結,導致企業無法維持正常運作,直到交付贖金為止;對於正在成長中的新創企業來說,若不做好資案佈局,很容易在發展過程中因惡意程式而資料遭竊,阻礙了正成長中的商業規模。

新創公司思考資安策略的三個層級: 網路端點設備、檔案伺服器、郵件伺服器

由此看來,當資安風險轉變成經營危機時,如何強化防禦,抵擋外部駭客攻擊與做好內部資料控管,成為中小企業當今最重要的課題。

資安公司ESET產品經理盧惠光認為,企業需要進行資安防護的IT設備,通常不外乎網路端點設備、檔案伺服器、郵件伺服器三種,目前市場上有很多廠商針對這三項IT設備分別推出單一的資安防禦解決方案,然而這些單一解決方案多為中大型企業而設計,單價較高、規模較大,並不適合中小企業使用,

資訊安全人力往往都是新創公司不會配置的人力
再加上中小企業人力資源有限,通常沒有專業資安人員的配置,有些甚至連IT人員都沒有,如果針對上述三種設備各自採購一套解決方案,不僅成本昂貴也不易管理,反而無法發揮資安防禦效力,因此,ESET建議中小企業最好選擇一套涵蓋這三種設備的整體解決方案,因為不完整的資安管理策略,就很難起到資安風險避免的問題。

除了網路端點設備、檔案伺服器、郵件伺服器外,ESET就企圖規劃還同時提供行動設備或平板電腦的防禦,其具備遠端管理、設備安全管理、應用程式管理、防盜等功能,可以有效防止裝置遺失或被駭客入侵而造成的資料外洩風險。

甚至,隨著行動裝置與3G網路普及,許多中小企業主為了提昇業務效率,允許員工使用自身的行動裝置收發郵件或處理公務,然而行動裝置上的惡意程式數量逐年遞增,遺失或被竊的風險又比較高,企業如果沒有妥善管理行動裝置,很容易成為資安防禦網的漏洞,讓駭客有機可乘。

目前,ESET產品經理盧惠光建議:小型企業安全策略思維可以分成家庭辦公室與小型公司兩種,而小型公司又依員工數量多寡而分成三種不同的解決方案,方便中小企業依據自身需求做選擇。其實,企業在評估資安解決方案時,功能越多越豐富的不一定越好,有沒有使用需求、適不適合才是最終購買的決策關鍵,對中小企業來說,讓他們用比較符合成本效益的方式,建構出一個良好的資安環境,能為新創企業一開始打下良好的基礎,進而讓企業永續發展而無後顧之憂。

ESET企業安全解決方案,免費申請歡迎試用!請點此

每日精選科技圈重要消息

《數位時代》整合行銷部

3 萬物聯網時代,如何免除駭客攻擊

Sponsored by ESET安全攻擊再進化 物聯資安解決新策略 巨量資料與物聯網趨勢正對企業資安帶來新的挑戰,不管是客製化...

Sponsored by ESET

安全攻擊再進化 物聯資安解決新策略

巨量資料與物聯網趨勢正對企業資安帶來新的挑戰,不管是客製化APT攻擊或是跨平台融合衍生的新型態資安問題,都已非過往資安軟體所能抵禦。面對新的資安風險,企業除要對新資安趨勢有深入掌握,積極因應,也要找到最新資安解決方案,才能避開詭譎多變的攻擊手法。

繼行動雲端應用帶來行動上網安全疑慮之後,巨量資料與物聯網等新科技趨勢再引爆新資安議題。根據資安品牌廠ESET所做的2015年資安趨勢預測,包括進階持續性滲透攻擊(Advanced Persistent Threat,APT)手法再翻新、IoT引爆的新一波資安風險,以及作業平台趨於統一等,都使企業必須採取更新的資訊安全防禦之道,才能因應雲端物聯引爆的新型態資訊安全問題。

ESET亞太區總代理台灣二版高級產品經理盧惠光指出,目前在許多產業都有企業利用巨量資料分析技術,判斷顧客行為模式以創新服務與商業模式,因此駭客都非常清楚,規模愈大且生意愈好的企業,內部擁有客戶資訊更有價值,所以現在的駭客開始鎖定特有對象,對企業採取客製化APT攻擊,除了傳統透過公司網站、郵件伺服器進行入侵的方式,駭客並且會透過與欲攻擊對象的企業員工接洽,然後在與該員工互相寄送資料時,將惡意程式放在資料檔案中,進而侵入企業的系統之中。

另一方面,當物聯網 (Internet of Things)引爆的萬物聯網時代來臨,未來不僅PC、手機、平板電腦等裝置需要資安軟體的保護,包括智慧電視、電冰箱,咖啡機...等各種智慧裝置,只要連上網路都需要考慮到資安問題。盧惠光說,由於未來在各種智慧裝置上的作業平台,大概就是Android、Windows或IOS幾種,因此駭客的攻擊也變得更容易。

盧惠光進一步強調,不管是目前已經非常橫行的客製化APT攻擊手法,或是未來IoT即將引爆的跨裝置資安風險,都已經非一般資安軟體所能抵禦,因此ESET推出新一代企業安全解決方案,新版軟體除採用全新架構,讓小到只有幾人的小公司,到大至萬人以上的企業,都可以彈性採用之外,並且增加殭屍網路防護、瀏覽器入侵防禦、進階記憶體掃描器、派送移除第三方安全性產品、支援虛擬化…等各種新防護機制,全方位防禦新型態資訊安全問題。

舉例來說,「進階記憶體掃描器」主要針對多層加殼及隱藏偽裝的惡意軟體,進行深入掃描分析,如此一來,企業IT系統即可在所有端點進行行為判斷,一旦系統發現端點運作上的不正常,就會啟動深入深度掃描。盧惠光解釋,透過監測端點設備的所有運作,掌握端點裝置不同軟體之間的互動,可以即時攔截惡意程式,徹底防禦客製化APT攻擊手法。

另外,因應跨裝置融合趨勢,ESET新一代企業安全解決方案採取跨平台支援機制,可架設於Windows、Linux及虛擬設備 VMware ESXi之上。同時也透過資料加密與自動掃描可移除式媒體,如USB、SD卡、光碟機等,讓用戶可以阻止惡意程式透過可移除式媒體攻擊電腦。

資訊科技的演進不會中斷,資訊安全也勢必一再面臨新的挑戰,盧惠光說,不管是攻擊技術的提升或是手法的變新,都持續對企業造成威脅,因此企業必須跟隨趨勢尋找最新的安全防護機制,才能在迎向萬物互連的雲端物聯新時代中,避開各種新型態資安危機。

每日精選科技圈重要消息

《數位時代》整合行銷部

4 採購資安軟體不只是產品,通過原廠認證核可經銷商,更加能為企業客戶保障服務與專業度

Sponsored by ESET近年來企業資安防禦重點正逐漸改變,由網路安全走向內容安全,一來是因為網路安全設備如防火牆、IPS…等,...

Sponsored by ESET

近年來企業資安防禦重點正逐漸改變,由網路安全走向內容安全,一來是因為網路安全設備如防火牆、IPS…等,企業大多已完整佈署,二來則是受到駭客攻擊手法越來越精密的影響。

駭客手法與法規環境的改變,資訊安全已經成為關鍵

以前的駭客攻擊是大量寄發釣魚郵件、在網路上散播惡意軟體、或是透網路封包進行攻擊,企業透過資安設備通常能抵擋大部份的攻擊,現在則非如此,駭客鎖定攻擊目標後,針對目標企業內的高階或有權限員工設計專屬釣魚郵件,讓他們毫不懷疑地依照釣魚郵件指示下載附加檔案或惡意連結,惡意軟體自此開始在企業內部流竄、竊取資料並傳送到外部,令企業防不勝防。

此外,個資法於2012年正式上路,單一事件最高新台幣2億元的賠償金額,讓企業更加重視資料保護的重要性,也因此企業在資安防禦上有了全新思維,既然無法百分之百杜絕駭客攻擊或資料外洩的風險,不如針對資料本身進行加密或做好存取管控,倘若將來不幸發生資料外洩事件,才能將損失降到最低。

資安認證與服務也將改變採購行為

因應企業資安思維的轉變,市場上出現越來越多與內容安全相關的資安解決方案,日前,防毒軟體公司ESET產品經理盧惠光建議:未來思考資訊安全策略時需要考慮3種層面,分別是:資料存取雙重認證、資料加密以及救援隨身碟,其中,比較特別的是急救隨身碟,這是一個獨立的安全系統,讓IT人員與工程師在不需安裝及移除任何軟體的情況下,為中毒設備進行急救殺毒的工作。

ESET亞太區總代理台灣二版產品經理盧惠光表示,對企業來說,資安服務除了達到防毒、網路安全管理、資料保護三個目的,更需要思考,如何做到更全面的資安防禦,這意味著未來可以大幅降低因資訊安全而產生的大量管理成本,甚至是後續的公關與賠償成本,Sony被駭客攻擊事件就是最顯著的例子。

採購策略資訊安全不僅是產品,售後服務與客製化服務也該納入考量

由於資安是服務而不只是產品,企業在購買資安服務時,不是將軟體安裝在電腦裡就沒事了,之後還會面臨軟體設定、病毒碼更新派送、產品升級…等問題,這些問題若能由專業人士協助解決,既可為企業資安人員減輕管理負擔,還能確保資安防禦效力。

但是資安服務與人員專業兩者皆相當抽象,企業在採購資安服務時,要如何確認經銷商具備專業能力,能夠提供高品質的資安服務?經原廠檢定核可的經銷商認證,是企業可以參考的因素之一。由於原廠通常有一套嚴謹的認證制度,確保經銷商具備產品專業知識與技術服務能力,如此才能配合企業需求提供完整服務。

以ESET為例,其經銷商認證內容分為教育訓練課程與考試測驗二個階段,而教育訓練課程又分為業務及工程技術兩部份,在業務面,原廠會完整說明如何針對不同規模的公司行號,提供最合適的解決方案,以便經銷商能夠依據企業需求做完善的建議規劃,在工程技術面,則由原廠工程師深入解說ESET企業解決方案產品功能,並透過實機操作讓經銷商工程師了解產品的安裝、派送…等相關技術,企業若能選擇已通過原廠專業認證課程之經銷廠商購買解決方案,所提供服務也能更專業與全面。

ESET企業安全解決方案,免費申請歡迎試用!請點此

每日精選科技圈重要消息

《數位時代》整合行銷部

5 為什麼我的帳號一直被盜?四個大地雷絕對不能踩

每個人都有帳號被盜用的經驗,到底為什麼帳號會一直被盜用呢?請用以下四個指標檢視看看。
sponsored by Version 2 Limited

「ㄟ,你的帳號為什麼一直PO出奇怪的訊息給我?」「我的密碼怎麼不能登入?」現今生活中經常出現這樣的對話,不管是社群網站、拍賣網站或是個人裝置,每個人都有帳號被盜用的經驗,到底為什麼帳號會一直被盜用呢?請用以下四個指標檢視看看。

地雷一、你用的是傻瓜密碼嗎?

ESET亞太區總代理台灣二版高級產品經理盧惠光建議,消費者在設定帳號密碼時,應該符合以下6個原則,才是一組安全性高的密碼:

  1. 包含 8 個以上的字母
  2. 以一串詞彙來代替單一詞彙,如:「smiles_light_skip」
  3. 不要使用一般的字詞搭配,如「cakes years birthday」就比「birthday cake」好
  4. 不要設一個連自己都記不得的密碼,如「j%7K&yPx$」
  5. 不要所有帳號都設一樣的密碼
  6. 工作與娛樂的帳號,最好分別設定不同的密碼

除了設定安全性高的密碼,最好還要定期更換社群網站和手機的登入密碼,才能有效杜絕帳號被盜用的機會。

地雷二、亂點奇怪的網頁

在FB等社群網上,經常看到類似「誰在偷偷喜歡你?」「你的小孩會長甚麼樣子?」的心理測驗,或是「這個女孩從來不說說,有一天她一開口,全場的人都驚呆了!」這種標題的文章,這種標題聳動的心理測驗或文章,有很大一部份是埋了病毒的惡網站,當使用者被標題吸引而點選網址連結時,電腦就馬上中毒了,個人資料也就流到駭客手中,因此,要防範帳號被盜,記得不要點選太奇怪的網頁!

地雷三、免費的最貴!

現代人生活離不開智慧型手機與網路,每到一個地方就想看看有沒有提供免費WiFi可以使用,但免費不等於安全,當你透過免費WiFi登入FB、電子郵件或其他需要輸入帳號密碼的網站,就等於讓帳號暴露在最危險的地方。

如果一定要透過免費WiFi連網,你可以考慮二種自保方式,第一、使用無痕式視窗進行私密瀏覽,避免瀏覽器儲存瀏覽記錄;第二、使用具有安全防禦功能的瀏覽器,它可以自動過濾沒有必要的plug-in、並針對使用者輸入的資料進行加密,避免重要的帳號資料被駭客偷走。

地雷四、不更新防毒軟體

許多人的電腦雖然有裝防毒軟體,但在防毒軟體提醒要更新時,卻都自動略過,直到買新電腦或是重灌電腦時,才會更新防毒軟體,甚至有些人不願使用正版防毒軟體,只願去網路下載免費、不知名的防毒軟體,殊不知這樣會使裝置陷入極大的危險中,很多帳號被盜用的原因就是電腦中毒,進而影響到使用中毒電腦登入的帳號。

其實,選擇一個正版防毒軟體,透過定期更新的防毒碼與附加功能,才能有效保障電腦不受病毒或惡意程式威脅。以ESET NOD32防毒軟體為例,它在最新版本增加的「Secure Browser」功能,可以強化上網安全,避免惡意程式被偷偷植入電腦中。

當使用者透過Secure Browser瀏覽網站時,系統會自動過濾沒有必要的plug-in、並針對使用者輸入的資料進行加密。如果使用者透過Chrome、IE等一般瀏覽器上網,系統也會分析網站類型,針對安全風險較高的網站,如:網路銀行,主動提醒使用者改用Secure Browser瀏覽網站。

另外,針對現今一個人擁有多台裝置的現象,ESET NOD32也提供跨平台支援的版本,方便使用者做好所有裝置的資安防護。

還踩著以上四大地雷不放嗎?那就不要奇怪為什麼你的帳號又被盜了!

(本文為台灣二版與《數位時代》整合行銷部共同企劃)

每日精選科技圈重要消息