“實現良好、無摩擦安全的關鍵在於理解企業的需求和營運,從而高效地圍繞這些需求構建控制措施。安全應該是內建的,而不是外包的。”
資深安全工程師 - Dan Perry
什麼是資訊安全 (infosec)?
資訊安全(通常簡稱為「Infosec」)通常是資訊風險管理的一部分,它是減少和消除 未經授權的存取、使用、洩露、中斷、刪除、損壞、修改、檢查或記錄風險 的過程。
為了保護資訊以及在當前環境下的海量個人資料,企業在處理其數據存儲時必須遵循以下原則:
機密性 (Confidentiality)
機密性原則是為了確保私密資訊保持私密,且只有因完成工作職責而需要該資訊的個人才能查看或存取。
完整性 (Integrity)
完整性原則旨在確保數據值得信賴且準確無誤,並且未被不當修改。
可用性 (Availability)
保護支援系統的功能,並確保數據在用戶需要時的時間點(或期間需求)完全可用。可用性的目標是確保數據在需要用於決策時可供使用。
請見本部落格末尾的 Purple 資訊安全資格認證!
“需要 20 年才能建立起名譽,而一次網路安全事件只需幾分鐘就能將其摧毀。”
安全漏洞的形式
中間人攻擊 (MitM)
當駭客秘密轉發並可能篡改兩個自認為在直接通訊的方之間的通訊時,就會發生 MitM 攻擊 。
MITM 攻擊的一個例子是主動「竊聽」,攻擊者與受害者建立獨立的連接,並在他們之間轉發消息,使他們相信自己正在透過私密連接直接進行對話。
網路釣魚 (Phishing)
網路釣魚 是指攻擊者企圖誘騙用戶做出「錯誤的行為」,例如點擊會下載惡意軟體的惡意連結,或將他們引導至可疑網站。
網路釣魚可以透過簡訊、社群媒體或電話進行,但「網路釣魚」一詞主要用於描述透過電子郵件發動的攻擊。
阻斷服務攻擊 (DoS)
阻斷服務 (DoS) 攻擊旨在癱瘓主機或網路,使其預期使用者無法存取。DoS 攻擊透過向目標發送大量流量或發送觸發當機的資訊來達到此目的。在這兩種情況下,DoS 攻擊都會剝奪合法使用者(即員工、會員或帳戶持有人)預期享有的服務或資源。
DoS 攻擊的受害者通常是知名組織的網頁伺服器,例如金融、商業、媒體公司,或是政府和貿易組織。雖然 DoS 攻擊通常不會導致重大資訊或其他資產被盜或遺失,但卻會耗費受害者大量的時間和金錢來處理。
「安全不是買來的,而是一種行動,並且需要優秀的人才才能做好。」
安全漏洞的後果
營收損失
此後果會受到駭客選擇的網路攻擊類型之極大影響,然而,資料外洩將導致額外的 安全成本、市場份額價值流失,以及補償受影響客戶的費用。
聲譽損害
雖然對企業營收的短期衝擊看起來可能不會太具毀滅性,但真正的代價會隨著時間顯現。一旦安全漏洞的消息傳開,合作夥伴與潛在/現有客戶可能會毫不猶豫地「跳槽」,進而奪走公司更大份額的收入。
法律訴訟
罰款、罰款,以及更多的罰款。
全球有許多企業必須遵守的法規,例如:
- 歐洲 - GDPR(GDPR 是歐盟法規,且 不再適用於英國 )
- 英國 - 資料保護法 (Data Protection Act)
- 中國 - 個人信息保護法
在英國 GDPR 和 DPA 規範下,最高可處以 1,750 萬英鎊 或全球年營業額 4% 的罰鍰,以較高者為準。然而,在歐盟 GDPR 下營運的企業,最高可能被處以 2,000 萬歐元(1,800 萬英鎊)的罰鍰。
營運中斷
面對任何企圖入侵或成功的安全漏洞,所有企業都會面臨營運上的衝擊,因為必須進行廣泛的調查以報告損害、原因並尋找源頭。
在某些情況下,企業會完全停止營運以進行損害控制並制定復原計劃,在此期間,上述所有問題都會進一步惡化。
21 世紀最大的數據洩露事件
在 20 13 年,Adobe 遭到駭客攻擊,超過 1.53 億個用戶記錄被竊取,包括加密的 ID、密碼以及借記卡和信用卡資訊。
Adobe 必須支付 110 萬美元的法律費用,而在 2016 年 11 月,報導指出支付給客戶的賠償金額達到了 100 萬美元。
https://www.youtube.com/watch?v=zYfx4cdFCVA
「如果您負擔不起安全防護,您更負擔不起安全漏洞。」
Purple 的資訊安全認證
ISO/IEC 27001
Purple 在用於處理和儲存個人數據的雲端 WiFi 軟體的設計和開發方面符合 ISO/IEC 27001 標準。我們的 ISO 認證已經維持了多年,這確保了我們擁有正確的流程、人員和技術,以確保安全地交付我們的產品,並履行我們對客戶及其數據主體的義務。ISO 27001 指定了一個涵蓋整個業務的控制框架,從我們如何管理人力資源到密碼學。
透過採用此基準並將其擴展以融入我們的業務目標(內部要求)和客戶的期望(外部要求),我們建立了一種適合該用途的安全且可重複的營運方式。
CyberEssentials+
Cyber Essentials 計劃是一項由英國政府和 NCSC 支持的相對較新計劃,旨在協助中小企業確保向其客戶提供安全基準,並使他們能夠申請政府採購程序。
Cyber Essentials 認證是一個自我評估工具,然而,由於我們對自身控制措施的信心,特別是已經實施了更強大的 ISO 27001 框架,我們更進一步,透過讓獨立認可的 CE+ 安全合作夥伴對我們的控制措施進行驗證,取得了 Cyber Essentials Plus 認證。
渴望了解更多?了解如何確保您的企業線上安全 - 點擊此處閱讀



