※ 引述《nmonkey (dfafd)》之铭言： : 我任职的公司最近被骇客入侵,据IT部门表示骇客的手法是使用合法的port(?)进入 : 公司内部, 再利用先前已被植入木马程式的个人电脑, 远端操控以获取需要的资料, : 所以据他们表示, 能采取的行动只有以下几点: : 1. 将所有员工的电脑都封锁USB port 禁止传输资料 : 2. 将员工的windows权限变成只有user 而不是原先的administrator(据IT表示, : 此举是为了让骇客入侵电脑後, 也无足够权限窃取公司资料) : 3. 严格执行下班後关电脑(因为骇客都利用大家下班後才使用VNC来操纵电脑....) : 4. 员工的自设电脑密码强度不够, 所以以後要统一由IT代设强度够的密码 : 我对资讯安全不是很熟悉, 可是我对上述的几个说法实在是不太能理解, : 对於一般公司的资安来说, 防骇客不是应该先利用类似防火墙之类的东西把骇客阻挡在 : 公司的网域之外吗? 先让骇客进来, 再想办法降低骇客的权限, 好像不太有道理.... 防火墙的能力有限，在现在的网路环境很多情况它是无法阻挡的， (技术细节在此不提)的确有其他的防护设备能补强防火墙不足的部 份，但是要另外花钱花时间购置，如果你能帮忙说服公司高层购买 相信 IT 部门会很开心(?) 现在很多攻击会直接攻击使用者，比如说入侵网站以後在上面加入 恶意连结等，当使用者浏览这些网站，若防毒软体没有挡住，那就 中奖了，单纯说只要把入侵者阻挡在外就没有问题，就太小看现在 的攻击技术了 也因为安全不是100%，因此我们通常会提一个观念叫做「纵深防御」 不会仅依赖单一设备/技术作防护，而会布置多道防线，以避免单一 设备/技术被突破以後就没有任何防护 但由 IT 统一设定密码倒是很奇怪的事情，若你们有 AD，应该可以 直接设定密码长度和强度的限制、多久需更换一次密码等安全政策， 若没有的话，可能就得一台一台设定，但会比统一代设密码好 --

※ 发信站: 批踢踢实业坊(ptt.cc) ◆ From: 220.135.85.142