跳到主要內容區塊

新興資安產業生態系推動計畫網站 ACW

資安知安 報你知 | 2020-001


 作者: 安侯建業聯合會計師事務所_鄭穎徽 顧問師 / ACW小編整理

==========

資安借鏡
                                【因遠距辦公與線上教學需求而崛起的遠程通訊軟體有哪些資安風險】

2020年,受到新型冠狀病毒(COVID-19)的影響,全球多數企業及教學單位採取Work From Home策略避免群聚感染的問題,為滿足遠距工作及線上教學的需求,雲端視訊通訊軟體如Zoom、Microsoft Teams、Cisco WebEx等軟體使用需求大增,其中Zoom的功能操作介面簡單,大幅提升使用者使用意願,然而Zoom不斷爆出資安疑慮,行政院已要求公務機關停用有資安疑慮的Zoom。

近來Zoom所產生之資安疑慮除源於軟體上的漏洞問題外,亦與使用者使用習慣有直接關聯,進而導致未授權人員取得企業或機關之個資,並藉此竊聽企業或機關機密會議內容、干擾會議、誘騙帳戶持有人、盜用帳戶身分等情事。由於疫情影響,許多企業及機關為盡快因應遠距工作需求,較未注意遠距工作會帶來的資安風險,包含遠端工作軟體之選擇,資訊單位可能尚在架設及測試遠端軟體的工作環境及使用測試,但使用者為執行遠端作業而自行下載有安全疑慮之軟體,導致惡意軟體感染及遭駭客入侵的可能性,以及使用者為連回企業或機關內部存取資料,需使用如VPN遠端桌面連線等服務,若未落實執行外部連線之安全性檢視,恐遭駭客入侵並利用漏洞竊取機敏資訊,徒增機敏資訊外洩等風險。

面對遠距工作軟體的資安風險,應注意面向所帶來的威脅:
1、選用遠距工作軟體時,應注意軟體開發商之資訊安全管理系統及產品信譽狀態,避免軟體使用問題與弱點追蹤。
2、 軟體使用前應先掃描是否含有惡意程式,並依內部管理程序測試後再上線使用。
3、 落實碼管理原則,遠距工作使用之密碼應遵循企業或機關內部規定之密碼原則,建議密碼長度不宜過短,並設有密碼複雜度規範。
4、 應建立遠距會議管理機制,確實控管可與會之人員,並確認遠距工作軟體能夠支援確認參與者之功能,如僅限授權人員能夠核准與會人員是否可以進入會議,以及剔除非與會人員之功能。
5、 於遠端視訊會議時,應確認遠距工作軟體預設功能是否預設開啟視訊鏡頭並關閉該選項或慎選遠端會議場所,以避免未注意視訊背景導致無意間洩漏機敏資訊。
6、 於遠端視訊會議時,如為保有錄製會議與聽寫會議記錄之需求,建議僅限授權人員可以進行錄製功能,以避免會議內容遭紀錄不自知,防止相關爭議。

防範資安風險除了從軟體使用上思考防禦策略外,亦可從日常維運管理面著手,包含應留意所使用之遠距工作軟體、VPN發布之安全漏洞,並即時進行漏洞修補,避免已知漏洞產生之資安風險;同時注意遠端連線之來源可能造成之風險,應特別加強遠端存取授權及宣達密碼管理之重要性。此外,因應遠端存取資料作業需求,需考量資料轉移的安全、資料加密與定期清除規範,避免資料落地環境之防護不足,導致資料外洩之風險。

依據資通安全法第十七條,所定資通安全維護計畫,應包括對核心業務、資通安全政策及目標、資通安全推動組織、資訊及資通系統盤點、風險評估、資通安全防護及控制措施、資安事件通報應變及演練機制、資通安全情資評估及因應、教育訓練等資通安全維護項目,期望大家一起共同遵守。在資通安全領域中,沒有絕對安全的軟體,使用者應保有一定的資安意識與警覺,若有任何疑慮應尋求資訊人員協助,才能建立更安全的資訊環境。


資安詞彙集錦
1、在家工作(Work From Home,WFH ):係指透過網際網路或電話,在家中場所進行工作,是一種利用遠端資訊技術,讓工作也能在辦公室以外的地方完成的一種新型態的工作模式。
2、虛擬私人網路 (Virtual Private Network,VPN):係指是一種常用於連接中、大型企業或團體與團體間的私人網路的通訊方法,它利用隧道協定(Tunneling Protocol)來達到傳送端認證、訊息保密與準確性等功能。
3、遠端桌面連線(Remote Desktop Connection):指微軟從Windows 2000 Server開始提供的組件,在Windows XP和Windows Server 2003,微軟將此組件的啟動方法進行改革,當某台連網的電腦開啟遠端桌面連線功能後,就可以在網路的另一端控制這台電腦,通過遠端桌面功能就可以操作這台電腦,在上面安裝軟體、執行程式,所有的操作就像在自己的電腦上操作一樣。
4、資訊安全管理系統(Information Security Management System,ISMS):指一套具系統分析與管理資訊系統風險的方法,主要管理面項包含組織資訊安全政策訂定與落實、資安組織、人力資源安全、資產管理、存取控制、實體安全、運作安全、通訊安全、系統獲取、開發及維護、資安事故管理、法律遵循等。


==========
回到頁面頂端