iT邦幫忙

2023 iThome 鐵人賽

DAY 2
0
Security

從永續報告書看資安系列 第 2

2. Day2:2022年版華碩永續報告書

  • 分享至 

  • xImage
  •  
  1. Day2:2022年版華碩永續報告書
    https://csr.asus.com/resource/reports
    P27
    資訊安全(中→高):
    資訊安全事件發生對企業衝擊顯著。華碩成立資訊安全委員會,提升集團資安防護能力
    P28
    營運導入國際資安標準、供應商合約增加資安條款
    P31
    研發環境安全提升,2025 年國際資安標準涵蓋率達100%
    P32
    強化供應鏈資安管理,關鍵供應鏈 100% 符合資安規範
    P113
    提升資安意識及演練,較2021 年度減少67 % 資安事件比率;建置風險監控儀表板,提升風險偵測與防禦速度;實施14 場演練及審查
    P114
    資訊安全管理組織願景
    四大行動主軸與方針
    烏俄戰爭爆發之後造成全球網路駭客攻擊事件激增,駭客攻擊手法層出不窮,其全球供應鏈亦受影響,華碩面臨許多外部挑戰,也為資安管理及產品安全管理帶來前所未有的衝擊。華碩於2020 年5 月成立資訊安全委員會並由副董事長及共同執行長監督管理,2021 年9 月指派集團資安長及成立資安專責單位,除了持續推動ISO/IEC 27001 ISMS (Information Security Management System) 管理系統符合國際標準程序之外,也因應歐盟GDPR (General Data Protection Regulation) 法規,確保在個人資料之蒐集、處理及利用符合法規框架要求,同時整合內部現有資源進行跨部門、跨功能之溝通、資源、持續以「建構數位韌性,提升品牌信任;追求卓越,安全同行」作為組織資安願景,成為我們集團子公司、供應商、供應鏈合作夥伴之強力奧援。
    從資安新創看華碩資安
    華碩很明顯的是使用ISO27001做為集團和供應鏈資安防護標準,利用PCDA循環不斷的改善集團資安防護能力。

紅隊(攻擊方)
台積、廣達都中過的勒索病毒 科技廠如何阻駭客入侵
https://www.cw.com.tw/article/5124931
文中提到駭客手法轉變
新手法1:上鎖關鍵資料
首先,為了避免國安部門的關注,他們不再大動作地中斷企業營運,而是鎖定竊取企業的關鍵資料,將資料加密上鎖之後,再依此勒索賺錢。
其次,大型駭客集團不再統包上、中、下游,而是轉為「軍火商」。
新手法2:看營收訂贖金
駭客不但懂得讀財報,按營收大小設定贖金,還會把攻擊用的平台或軟體租給小型駭客使用、打游擊戰,勒索病毒儼然成為黑色產業的新型網路服務(Ransom as a service,RaaS)。
【資安日報】2022年3月18日,近20款華碩家用路由器產品遭到Cyclops Blink殭屍網路鎖定、駭客組織UNC2891鎖定ATM系統下手
https://www.ithome.com.tw/news/149991
Cyclops Blink
Cyclops Blink是一種惡意軟件,其目標是WatchGuard和ASUS的路由器和防火牆設備,並將它們添加到殭屍網絡以進行命令和控制。通過使用代碼CVE-2022-23176的漏洞進行感染,該漏洞允許特權提升以獲得對設備的管理能力。
今天介紹網路攻擊鏈的第二階段
武裝 Weaponization: Cyclops Blink已被證實能有效的攻擊華碩路由器,攻擊方可以想辦法買到這個惡意程式和已感染彊屍網路並加以利用。
藍隊(防守方)
描述Cyclops Blink惡意程式行為的網站如下:
https://www.4hou.com/posts/YqGn
這些設備受到攻擊者的青睞有幾個原因:1.修補頻率低,2.缺乏安全軟體,3.防禦者的可見性有限。所以對於防守方而言,要更新華碩路由器韌體,相關資源如下:
https://www.informationsecurity.com.tw/article/article_detail.aspx?aid=10521

請讀者注意

本系列中所提到的永續報告書均為公開資訊,本系列引用的目的僅為學術教育,讓更多的利害關係人能夠讀懂企業欲揭露的永續報告書。本系列不對於永續報告書內容做修飾,僅忠實的呈現。本系列僅為了介紹資安觀念而在引明出處的方式為讀者介紹這些框架,其最新版本的修正還是要以該組織發布為準。
本系列中提到的紅隊攻擊手法和「從新創看資安」,裡面所提到的攻擊,無論是POC(概念驗證)或是工具介紹,紅隊都是指有和企業簽約,在取得許可下協助做安全測試的資安成員,其不會造成企業實質損失,僅止於讓企業了解自身環境、設定、程式碼等環節的資安精進。


上一篇
1. Day1:2022年版聯發科永續報告書
下一篇
3. Day3:2022年版長榮海運永續報告書
系列文
從永續報告書看資安30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言