本文件讨论了APT攻击者的特点和技术，强调了弱点管理在提升系统安全中的重要性。建议通过政策、培训和主动监测来减少社交工程攻击和恶意程序活动的成功率。最后，强调定期弱点扫描和主动安全管理对保护机构安全的必要性。

1. 重視弱點管理
強化系統安全
 主講人：陳惠群博士
 日 期：2015/4/21
CISM® CISSP® CSSLP®
CEH™ ECSA ™ LPT ™

2. 1
善攻者 敵不知其所守

3.  APT駭客的計劃和
技術駭客或滲透測
試專家不一樣!
–滲透測試專家通
常受到很多限制
–技術駭客通常很
快放棄現有目標，
移至下個目標
2
善攻者-APT駭客
攻擊
手法
社交
工程
利用
系統
漏洞
植入
惡意
程式
實體
入侵
攻擊
行動
裝置
攻擊
儲存
媒介

4. 3
社交工程
鎖定目標攻擊
防禦難度提高

5. 4
系統漏洞與惡意程式
系統漏洞來不及補
惡意程式防不勝防

6.  81%的機構不知被駭(趨勢科技 APT白皮書-2013)
–54%由外部單位告知，27%透過檢測
–平均入侵時間
• 高科技業：346天
• 金融業：275天
• 政府機關：264天
–最長入侵時間高達1,019天
–13%在(社交工程)開始攻擊時發現問題
–10%在(惡意程式)潛伏活動時發現問題
5
只有已被駭和不知被駭?

7.  減少社交工程攻擊成功的機會
–明確的政策和程序
–加強資安意識訓練
–加強社交工程演練
 主動發現惡意程式活動
–端點惡意程式檢測
–網路惡意活動檢視
6
至少要及時知道被駭

8. 7
知己知彼
百戰不殆

9. 弱點 補救攻擊Prediction/Prevention Reaction/Remediation
Risk Management, Compliance Management,
Vulnerability Management, Configuration Management
Log Management, SIEM, Incident Management
Network & Application Anomaly Detection.
有那些內部和外部
的威脅？
目前配置，是否可
以防止這些威脅？
目前發現了那些安
全事件？
該事件會造成什麼
影響？
積極的資安管理
8
積極的資安管理

10. 9
善守者-對症下藥
依照風險程度(資產x威脅x弱點)，評估及加強防禦強度

11. 找出
弱點
修補
弱點
確認
修復
弱點掃描
滲透測試
社交工程
合規檢視
10
弱點管理反映資安現況
金融機構辦理
電腦系統資訊
安全評估辦法
弱點
對策
威脅
資產

12. 11
定期弱點掃描的問題
掃描 修補 掃描
未知弱點空窗期
已知弱點空窗期
2014年前五名的Zero-Days，直到原廠提供修補平均59天
Symantec, 2015

13. 12
持續掃描與監控

14. 13
資訊安全防禦架構

15. 14
安全發展應用系統
Design
Agile
Methodology
Requirement
Management
Domain
Driven
Build
Test
Driven
Code
Inspection
Continuous
Integration
Test
Functional
Testing
Security Testing
Performance
Testing
Operate
Configuration
Management
Vulnerability
Management
Continuous
Monitoring
Application Lifecycle Management

16. 15
DevOps平台
高度自動化的持續整合、測試、布署、監控的發展平台
程式庫
源碼審查工具
測試工具
組態管理
測試環境
建置環境
持續整合平台
營運環境
持續監控
問題管理 知識庫

17. 16
最終防線-資料加密
終端系統
應用系統
應用系統
Token
金鑰管理及加密平台
硬體加密設備
金鑰管理及加密平台
硬體加密設備
金鑰自動同步
終端系統
Token
資料中心 異地備援
資料全程
加密傳遞
金鑰集中管理、高強度、全資料生命週期的加密機制

18. 17
Q&A
更多資安文章 please visit
www.gss.com.tw/index.php/focus/security

19. IT Governance by IT
1) 帳密管理
2) 側錄軟體
3) 權限管理
4) 服務管理
5) 資產／合約／
廠商
1) 專案管理平台
2) 軟體開發平台
3) 軟體品質管理
4) 端對端行為分析
1) 操作自動化
2) 批次自動化
3) 資料/檔案交換平台
4) 平台監控軟體
5) 資料庫管理工具
6) 網路軟體與管理
1) 防資料洩露
2) APT
3) 虛擬機安全
4) 資料庫監控防護
5) 資料 加密/變造
6) 加密/金鑰管理
People
Management
Infrastructure
Management
Information
Management
AP
Management
歷史紀錄/報表/稽核
SFG
SI
z Platform
BYOD/APP.
SaaS/Cloud
健檢/訓練
1) 資安檢測
2) 教育訓練
3) E-Learning課程
1) 顧問
2) 健檢
3) 訓練
4) 專案
文管/SOP/KM
服務