權責單位
資訊安全處
各生產營運據點
P48
2022年重點工作
設置資安長及資安專責單位,強化資訊安全管理,並積極推動數位化工程
P53
增強數位韌性
隨著數位化時代來臨,商業活動日趨複雜,資安威脅日益嚴峻,如何在此變局中維持企業永續競爭力,成為世界各大企業面臨之重要課題。遠東新世紀因應資安管理需求趨動,並依據《公開發行公司建立內部控制制度處理準則》及《上市上櫃公司資通安全管控指引》,專責推動各項資安管理工作。
設置資訊安全處專責推動資安管理工作
遠東新世紀於2022年11月9日經董事會通過,由本公司行政總部蔡敏雄副總經理擔任資訊安全長,並成立資訊安全處,專責推動資安管理工作,包括制訂與追蹤資安關鍵績效指標、資安維護以及教育訓練等,結合既有之資訊中心,共同負責本公司資安管理作業。
成立資通安全聯防推動小組及委員會
為強化與推動資安管理工作,本公司成立「資通安全聯防推動小組及委員會」,其中資訊安全處負責推動資安管理、資安監控與新興科技應用等工作,並由各單位組成資安聯防小組,目前涵蓋單位為行政總部人力資源處、會計處、財務處、法制室、秘書處、國際事務處、安全衛生處及董事長辦公室等,由各單位資安人員協助推動與落實各項資安工作,建構跨單位的資安整合防護架構。稽核處針對資安工作進行內部稽查,確保資安治理符合法規要求與內部控制制度,資訊中心負責資安設備維護工作。
建立與遵循資訊安全管理系統(ISMS)
本公司自2014年起導入「ISO 27001資訊安全管理系統」,針對資訊授權、資料備份、系統開發、委外廠商管理、智慧財產權等制訂具體管理方案,並自2016年起每三年進行外部驗證機構認證,於2022年9月取得最新一次ISO 27001:2013認證,證書效期至2025年9月。本公司持續落實PDCA(Plan-Do-Check-Act)目標式管理循環推動資安管理制度。
建置資安事件處理標準程序
本公司已加入「台灣CERT/CSIRT聯盟」(註),並建置資安事件處理標準程序,明訂相關流程與措施,包含通報處理程序及對應人員之職責,目標於最短時間內排除資安事故,並根據事故發生原因提出矯正預防計畫。2022年本公司無發生重大資安事故,亦無資安事件造成之財務損失。
建構遠東新世紀資訊安全韌性
2023年1月4日本公司召開資安聯防小組啟動會議,出席人員包括行政總部各單位資安負責人員,由行政總部總經理擔任主席,資訊安全長偕同資訊安全處同仁於會議中報告各項工作規畫,並以六大策略建構遠東新世紀資安韌性,包括打造多元專業的資訊安全處、成立資安聯防小組、符合國際資安管理法規與認證、強化供應鏈資訊安全、建置與ESG整合的資安治理體系、建立零信任的軟硬體架構等。
本公司2023年資安重點工作如下:
1.完善公司資安事件處理標準程序,並導入新科技應用
2.以供應鏈角度模擬資安攻防演練,瞭解系統安全狀況,並作為漏洞補強及安全改善指標
3.建立符合國際標準的資訊安全管理制度,目標取得ISO 27001:2022改版認證
4.持續宣導資安教育訓練,提升員工對於資安認知與警覺性
5.定期進行社交工程演練,追蹤員工對於社交工程與資安意識的改善情形
未來遠東新世紀將逐步擴大資安聯防小組功能與範圍,推行至生產單位與海外據點,建立全面性資安整合防護架構,進而提高企業資安風險管理效能,增強企業可持續發展能力。
P54
落實資訊安全事故通報暨處理
導入資安事件監控服務,整合來自多種資安設備所產生的日誌記錄,如防火牆、入侵偵測系統、防毒軟體系統及端點偵測與回應,進行偵測、蒐集、分析和管理網路安全事件,以有效回應潛在的網路攻擊。落實統一彙整各種資安訊息,提供事前威脅的預警資訊、事中威脅的即時警告以及事後威脅的分析,有效管理各種資安警訊,確保發生資訊安全事故時有所依循,降低對關鍵資訊系統與重要資訊資產及作業的危害與損失。
強化人員資訊安全管理及訓練
遠東新世紀除了針對員工舉辦資安課程教育訓練,宣導資安認知,同時也要求系統開發者及管理者遵循系統建置及安全管理之規範,並強化資安意識,降低資安風險。
確保資訊安全防護有效性
為防範各類資安威脅,除採多層式網路架構設計加強防禦縱深外,更建置各式資安防護系統與威脅偵測應變機制,逐步體現情資分享、縱向溝通、回報與監控,提升整體資安治理成熟度,以降低資安風險。
圖 11 1 遠東新世紀資通資安組織圖
P107
遠東新世紀人權政策與執行狀況
項目 2022年執行狀況
隱私權保護 本公司遵循當地相關法規確保個資安全。2022年本公司未發生因違反隱私權保護而導致之爭議或申訴案件
從資安新創看遠東新世紀資安
遠東新世紀(遠東百貨)是很少數明確宣示要達成iso27001:2022轉版的公司,新版重心移至技術面 ,如威脅情資、雲端服務使用的資安、資通訊技術營運持續整備、實體安全監控、組態管理、資訊刪除、資料遮罩、資料外洩防護、活動檢視、網站過濾與安全程式碼撰寫等。
最近的時事,台灣在改善行人地獄的交通問題,設了紅緣燈、行人專用時相、法令要求行人路權優先,但是仍然會有交通事故。同樣的,改版後的ISO27001,透過PDCA的改善循環,雖然FASB是以資安事故的件數做為永續報告書的衡量項目,但是以「我們做好了什麼」,來做為2023、2025的目標,能帶給企業同仁更高的價值感。
紅隊(攻擊方)
今天要介紹Mitre Att&CK的第四階段
Execution(執行)
這個步驟是為了探索企業內部的網路狀態或偷資訊,以便配合其他之後階段的目的,而讓受駭者的主機執行惡意指令。由於近代資訊系統的多樣性,能執行指令的像是win主機的命令列(CMD)、Powershell、Mac的Apple Script、容器、程序間溝通、API、雲端、Windows Management Instrumentation (WMI)
如果你開了一家銀行,來借錢的人有二種,一種會還錢一種不會還錢,則前者你會加入「白名單」、後者你會加入「黑名單」,而無論企業的防火牆、情資共享、特徵值萃取、端點防護系統,都不外乎是製作白名單和黑名單。
紅隊要做的就是不斷的建立新的攻擊方式,超乎白名單和黑名單之外,來執行惡意指令。
藍隊(防守方)
藍隊可以付費買白名單和黑名單,順帶一提的IOC的概念,失陷指標(Indicators of Compromise,IOC)的生成,是以結構化的方式記錄事件的特徵和證物的過程。IOC包含從主機和網路角度的所有內容,而不僅僅是惡意軟體。它可能是工作目錄名、輸出檔案名、登錄事件、持久性機制、IP位址、功能變數名稱甚至是惡意軟體網路通訊協定簽名。 隨著網路技術的進步,現在威脅獵補已經可以比過去更加的深入、即時。雖然紅隊每天在找軟硬體的漏洞、社交工程,但是真正進到系統以後,就像台北到桃園,一定要走國道、省道,同理駭客下的重要命令也一定能夠被追蹤。(但是駭客也一直在混淆、加密自己下的指令,而藍隊會透過反組譯工具來了解實際的影響)
請讀者注意
iThome鐵人賽
看影片追技術