《資安新聞周報 》機器學習如何偵測虛擬貨幣挖礦病毒?/駭客從溫度計侵入賭場資料庫


本周資安新聞週報重點摘要,本文分享上週資安新聞及事件。你將會看到新聞的簡短摘要及原文連結來閱讀更詳細的見解。

資安趨勢部落格一周精選

 

媒體資安精選

折扣季當心詐騙 資安專家5個網購叮嚀  台灣蘋果日報網

男追以太幣大盜 抓到親兒  怪業者有漏洞 法院:已雙重驗證免賠     台灣蘋果日報

微軟IIS 6.0舊漏洞再被用來挖礦        iThome

搶劫流行搶比特幣? 高投報難追查!刑案量恐持續攀升      ETtoday新聞雲

物聯網漏洞!駭客從溫度計侵入賭場資料庫,撈出豪賭大戶名單        INSIDE

透過電線偷取電腦資料,不連網也會中招        科技新報網

壯警苦心扮仙女 宣導「竄改電郵詐騙」  台灣蘋果日報網

俄羅斯法院下令封鎖 Telegram   INSIDE

數萬CMS網站被駭,小心假更新訊息騙你下載惡意程式       iThome Continue reading “《資安新聞周報 》機器學習如何偵測虛擬貨幣挖礦病毒?/駭客從溫度計侵入賭場資料庫”


什麼是機器學習 (Machine Learning)?


機器學習並非一時的噱頭,而是一種不需人為介入就能讓電腦自動學習資訊的技術。它利用演算法來吸收大量資訊 (也就是訓練資料),從中發掘一些獨特的模式,接著再分析這些模式,加以分類,進而對未曾見過的狀況做出預判。傳統的機器學習都是讓電腦學習如何解讀資訊,因為其資料都已經過人工標記,所以基本上,機器學習就是讓一個程式透過人工標記的資料模型來學習。

什麼是機器學習 (Machine Learning)?

這項技術的獨特之處在於機器會培養出自己的直覺:藉由反覆接觸資料並從中歸納出規則,如此就不必每次都要針對新的狀況撰寫程式。但機器學習也不是沒有缺點:機器學習有可能出錯,因此應用時必須特別小心。1

在大數據當道的今日,機器學習顯得特別有用。我們日常當中每天都會接觸到機器學習,其應用包括:偵測電話語音當中的指令、Spotify 上的歌曲推薦、Amazon 上的購物推薦,還有 Waze 的最快路徑推薦等等。 Continue reading “什麼是機器學習 (Machine Learning)?”


雙重驗證是什麼?對於網路安全的重要性為何?


雙重驗證是什麼?對於網路安全的重要性為何?

我們在網路上購物、管理銀行帳戶、從事社交、工作與娛樂活動。但隨著我們日漸倚賴網路,相關的風險也與日俱增。駭客四處潛伏,伺機竊取我們的身分、掏空銀行帳戶,或是綁架電腦。因此,我們必須格外審慎,妥善保障自己的數位安全。

您或許聽過雙重驗證 (2FA),並好奇它究竟是什麼;其實 2FA 在網路安全的領域,已成為一項日漸重要的工具,若能搭配個人電腦/行動裝置安全軟體以及密碼管理程式,即可構成捍衛數位安全的「鐵三角」。以下是您必須瞭解的重點:

首先,2FA 為何如此重要?

資料外洩已成為新的常態。2017 上半年遭竊資料就超過 2016 全年總和。這些攻擊曾經重創全球最大的零售供應鏈 (Target、Home Depot、TJX)、飯店 (Hyatt、Hilton)、網際網路公司 (Yahoo、eBay、LinkedIn) 及其他眾多企業,從而大量竊取這些公司的客戶用來存取帳戶的帳密資訊。一旦取得憑證,罪犯便能劫持這些帳號 (以及其他共用密碼的服務) 來掏空財產、竊取更機密的個資,並以您的名義購買商品與服務。

目前已有數十億筆登入憑證資料在暗網 (dark web) 流通。去年,單是 Yahoo 一家業者,就承認有 30 億筆使用者記錄遭駭。2017 年 12 月,一處地下網站經發現設有 14 億筆遭竊帳密的資料庫供駭客使用,這是迄今已知規模最大的案件。

這些事件的教訓是什麼?採用良好的密碼安全機制,方為上策但是日益猖獗的入侵接踵而至,不但持續威脅登入憑證的機密性,也使得網路帳戶的安全管理更加棘手。而這就是雙重驗證派上用場的時刻。

這項機制如何運作? Continue reading “雙重驗證是什麼?對於網路安全的重要性為何?”


防假冒企業高層主管的BEC變臉詐騙攻擊 趨勢科技首創採人工智慧分析技術防範電子郵件詐騙


 

【2018年4月17日,台北訊】全球網路資安解決方案領導廠商趨勢科技 (東京證券交易所股票代碼:4704) 今天發表一項專為提升變臉詐騙攻擊防範能力的最新技術。這項以人工智慧 (AI) 為基礎的創新技術將整合至趨勢科技多項產品當中,應用在發現專門假冒執行長或其他重要人士名義所發出的電子郵件時提供警告。

防假冒企業高層主管的BEC變臉詐騙攻擊 趨勢科技首創採人工智慧分析技術防範電子郵件詐騙

研究機構 Osterman Research 分析師 Michael Osterman 指出:「這是我第一次看到業界推出電子郵件寫作風格分析。這對於將 AI 應用在網路資安領域以防範今日最嚴重透過電子郵件所進行的網路詐騙攻擊是相當令人振奮的示範。」

趨勢科技 Writing Style DNA (寫作風格 DNA) 可針對變臉詐騙提供更進階新的防護,採用 AI 來建立使用者寫作風格的「微跡證」,其中包含了 7,000 多項寫作特徵。當遇到疑似假冒重要人士名義發出的電子郵件時,就可利用人工智慧來分析其寫作風格,並且發送通知給寄件人、收件人和 IT 部門。

趨勢科技執行長陳怡樺表示:「未來的威脅情勢需要具備人工智慧的防護來結合專家規則和機器學習。我們很榮幸能夠再次成為這個領域的先驅。」

她補充道:「這項新的技術對於我們現有的電子郵件防護以及我們免費提供給企業的網路釣魚模擬與意識提升服務,可說是完美的搭配。在這個電子郵件詐騙方式日益精密且損失慘重的大環境下,企業機構有必要設置多層防護來自我保護。」

趨勢科技2017 年攔截到的所有勒索病毒當中有 94% 都是經由電子郵件散布。此外,預計在2018 年全球變臉詐騙損失總金額將高達 90 億美元,平均每一件變臉詐騙損失約 132,000 美元。因此,企業有必要透過訓練和技術雙管齊下來防範網路釣魚。 Continue reading “防假冒企業高層主管的BEC變臉詐騙攻擊 趨勢科技首創採人工智慧分析技術防範電子郵件詐騙”


要加班,但工作用筆電不能帶回家,使用雲端服務有風險嗎?


要加班,但工作用筆電不能帶回家,使用雲端服務有風險嗎?

工作用筆電不能帶回家,要加班時怎麼辦? 如果辦公室電腦禁止攜出公司,也不准使用USB隨身碟把檔案拷貝回家處理,你會使用雲端服務嗎?

上班族常有一個很容易犯錯的動作,就是將私人的雲端服務用於工作上,雲端服務固然有資安對策,但並沒有百分百安全,一旦您在使用上有一點小差錯的話極有可能會有資料外洩的危險,今天趨勢科技3C好麻吉今天要來告知您這重要資訊,避免您公司的重要資訊無意中流漏出去。

Continue reading “要加班,但工作用筆電不能帶回家,使用雲端服務有風險嗎?”


機器學習如何偵測虛擬貨幣挖礦病毒?


隨著虛擬貨幣惡意挖礦活動的急速發展,能夠聰明且持續有效偵測這類威脅的方法也成為網路安全防護的必備功能。透過趨勢科技的TLSH(Trend Micro Locality Sensitive Hashing,用來識別相似檔案的機器學習雜湊演算法),可以將收集到的相似虛擬貨幣挖礦病毒樣本集群(cluster)起來。將樣本依照行為和檔案類型進行分組,就能夠偵測相似或修改過的惡意軟體。

機器學習如何偵測虛擬貨幣挖礦病毒?

TLSH可以幫助我們將虛擬貨幣挖礦病毒集群起來。做法是計算檔案與檔案間數學意義上的“距離分數”,用來分析和偵測虛擬貨幣挖礦病毒集群。我們的演算法會產生某一組惡意軟體都接近的挖礦病毒中心TLSH。

集群惡意軟體樣本可以讓安全研究人員建立一對多的特徵碼,用來主動識別更多相似檔案。這是因為自動化系統(或是逆向工程師)可以檢查惡意軟體群組成員並識別成員間的相似性。當我們的系統在檢查新檔案時,會去檢視是否具備惡意軟體群組呈現的元素,並確認新檔案是否屬於惡意軟體群組的範圍。

除此之外,TLSH還可以將大量可能惡意或未知檔案對已知威脅進行即時且可擴充的搜尋和交叉比對。 Continue reading “機器學習如何偵測虛擬貨幣挖礦病毒?”


企業資安簡易指南:取下欺詐性網域(下)


可疑網域被用來進行詐騙前先加以監控和偵測,那然後呢?受影響企業應該要讓其失效,讓惡意份子無法用它們進行攻擊。但要如何取下(takedown)這些欺詐性網域呢?

首先先考慮法律面:這部分相當重要,而且會因國家而有所不同。有些國家的法律會要求網路服務商(ISP)積極應對網路詐騙,但其他則沒有。

企業資安簡易指南:取下欺詐性網域(下)

當涉及欺詐性網域或是遭到惡意使用時,協同合作是相當重要的,從IT/資訊安全人員以及防護公司網路邊界的系統管理員,一直到決策者和ISP。事實上,大多數的網路服務商都非常積極回應並願意協助打擊詐騙,特別是其基礎設施或服務遭到濫用時。

當被通知網路犯罪或詐騙活動,甚至是網域名稱侵權商標時,網路服務商通常會積極地主動處理。能夠熟悉ISP、電腦資安事件應變小組(CSIRT)及電腦緊急應變小組(CERT)如何處理這些事件也會有所幫助。

(欺詐性)網域名稱包含什麼?

欺詐性網域指的是本身違反規定或被用來進行詐騙的網域名稱。例如網域名稱包含品牌或公司名稱;欺詐性網域本身已經構成商標侵權。這是最簡單取下網域的例子,原因很明顯。

但網域名稱也可能跟公司或品牌無關,卻被用在網路犯罪活動。比方說用來寄送夾帶惡意軟體的電子郵件或放有詐騙內容(如魚叉式釣魚攻擊)。 Continue reading “企業資安簡易指南:取下欺詐性網域(下)”


公家機關該如何因應 GDPR歐盟通用資料保護法 ?


 

GDPR 與公家機關:安全與公共利益的取捨企業機構正為了符合即將在五月上路的歐盟通用資料保護法 (General Data Protection Regulation,簡稱 GDPR) 而忙於重整其資料蒐集與管理政策。GDPR 的影響範圍非常廣泛,涵蓋任何會蒐集並處理歐盟人民個人資料的企業機構,甚至非設在歐盟地區的機構也在涵蓋範圍內。然而,絕大多數的討論都圍繞在民間機構即將面臨的安全與資料相關問題。公家機關的情況則鮮少論述。GDPR 知道,為了公共利益,公家機關在某些特殊情況下必須擁有某些法律上的轉圜空間,尤其是牽涉到安全與醫療。

GDPR 針對公共事務的除外狀況

GDPR 的規範涵蓋所有類型的個人資料,包括可用來識別個人的所有資訊,如:姓名、社會安全碼,以及一些特殊資料,如政治主張和種族。這些都是公家機關經常會蒐集到的珍貴資料,包括:人口普查、選舉部門、醫療及就業團體等等。而這些資料在許多情況下,很可能被有心人士拿來對個人不利,因此才會有制定資料保護法的必要。

雖然 GDPR 針對個人資料的蒐集、管理與處理訂定了許多規範及嚴格的安全標準,但在某些情況下,GDPR 對於擔任資料掌控者與處理者的公家機關卻有些放鬆的規定。視歐盟或會員國的法律而定,這些豁免狀況包括:

  • 為了履行資料掌控者或資料擁有人在就業與社會安全及社會保護法中的某些權利。
  • 為了國防、犯罪調查、保障公共安全。
  • 為了歐盟會員國與歐盟整體的金融或經濟利益。
  • 為了公共利益而必須歸檔、為了科學或歷史研究之目的,或為了統計之目的,但僅限於必須獲得豁免才能完成該項工作時。

基本上,這些都是公共安全和學術工作相關的特定領域公家機關活動。在一般情況下,公家機關依然全面適用 GDPR,因此公家機關仍必須遵守其資料蒐集與處理規定。

特殊類型資料的處理

GDPR 有很大部分都是關於認定哪些類型的資料屬於個人資料,以及企業機構該如何處理這些類型的資料。該法對於個人資料的規定相當完整,並且禁止處理有關人種、種族、政治、宗教、信仰、基因與生物特徵,以及有關健康和性別傾向的資料。當公家機關在某些情況必須取得上述類型的資料時,GDPR 也明確訂定了禁則例外情況,包括:

  • 若資料之處理有重大公眾利益之必要,那麼 GDPR 仍有一些轉圜空間,唯必須設置適當的機制來保障該人民的基本權益。
  • 若資料之處理「有建立、執行或捍衛法律主張之必要,或當法院在執行其司法公務時」。
  • 若資料之處理牽涉公共衛生領域,或者為了維持醫療照護、醫藥或醫療服務之高標準時。
  • 若資料之處理為了公共利益而必須歸檔、為了科學或歷史研究之目的,或為了統計之目的而必要時。

當然,這些是在歐盟或會員國法律能確保其人民基本權益的情況下所訂的例外狀況。

公家機關人員會處理到一般民間企業無法取得的敏感資料,從社會安全碼到人種與生物特徵等資料,甚至牙醫就診記錄與完整的就醫記錄。因此公家機關和機構務必妥善保管所有人民委託給他們的資料。萬一這些資料落入網路犯罪集團手中,很可能將導致人民身分遭到冒用,進而引發嚴重後果。

公家機關該如何因應?

許多民間企業都在積極更新其資安防護並大肆翻新其作業流程來配合新的 GDPR 標準以保障資料安全。除此之外,也積極試圖達成該法對於資料擁有人的同意權及被遺忘權的規定。然而,公家機關基於公共利益的關係,在後者方面有較大彈性,但這項彈性也意味著資料的防護更加重要。

公家機關的挑戰在於根據 GDPR 的豁免情況來將資料分類,並且調整其政策和流程來配合歐盟和國家的法律,更新其資安防護,並且確保資料流程的安全。不論是否具有豁免權,採用最新、最頂尖的資安防護終究還是能夠讓公家機關獲得安全上的優勢。

為了做到更安全的資料蒐集與管理以符合 GDPR 規範,公家機關應採取以下步驟:

1.首先,掌握資料的流向並做好風險評估:您手上有哪些資料?蒐集該項資料的目的為何?其處理方式是否符合公共利益?誰可以存取這些資料?是否能將該資料刪除?

企業機構應採取最少資料的原則,換句話說,將所有從客戶或人民蒐集來的非必要資料刪除。

2.接著,檢討並更新您的資料蒐集與使用者同意政策,記住哪些是法規上具有豁免權的資料。

3.聘任一位資料保護長 (DPO),並確保 DPO 和資料擁有人之間保持暢通的溝通管道以防有任何疑慮 (例如要求資料從任何資料庫刪除)。

4.更新網路資安解決方案與資安政策。關於資料,GDPR 規定企業機構必須採取「適當的技術與組織手段」來確保其儲存與處理的安全。

法規規定企業機構應考慮建置「頂尖」的資安防護,因此可考慮採用第一線的資安品牌。

5.若您負責處理資料,請保留完整的活動記錄。GDPR 規定,企業機構必須記錄一些資料處理的細節,如:個人資料的處理時間、處理人員、處理方式等等。

6.檢討現有的服務供應商或廠商,包括任何負責幫您處理資料的人,他們也必須符合 GDPR 的規範。您應更新您和供應商之間的所有契約,要求他們承諾遵守法規並保障個人資料的隱私。

7.不論是資料掌控者或處理者,GDPR 對於資料外洩事件的通報規定更加嚴格,罰鍰也更高。檢討並更新通報政策,模擬一下可能發生資料外洩狀況。

以上清單雖不盡完整,但仍有助於公家機關開始著手。

歐盟會員國還有以下額外責任:
1. 必須設置一個監理單位來負責監控並強制執行法規以及其他工作
2. 此外也必須填補許多法律上的空缺。GDPR 保留了許多空間給各國政府來加入具體的管制或除外情況。該法規只規定了一些最低要求,會員國可自行決定是否進一步限制或放寬規定。

更多的個人資料,意味著更大的責任。結論是,企業機構在制定資料管理政策及程序時必須隨時注意隱私權。公家機關或許希望能提供快速而高效率的服務,但考量當前的威脅情勢,安全依然是第一要務。更有效率且更安全的資料管理對任何機構來說都是無價之寶,尤其是牽涉到公共利益,以及身處於今日連網的資料導向世界。

看看趨勢科技如何協助您達成 GDPR 要求
原文出處:Balancing Security and Public Interest: The GDPR and the Public Sector


《資安新聞周報 》「T-Brain」AI 競賽,總獎金20萬元/手機又沒電8原因,挖礦程式吃電最難察覺/腦波儀軟體漏洞可讓駭客入侵醫院網路


本周資安新聞週報重點摘要,本文分享上週資安新聞及事件。你將會看到新聞的簡短摘要及原文連結來閱讀更詳細的見解。

資安趨勢部落格一周精選媒體資安新聞精選:

  • 【科技不一樣之駭客和你想得不一樣】趨勢科技全球核心技術部資深協理張裕敏在現場直播節目中,隨著新聞主播路怡珍一起探討科技來的創新生活。針對物聯網發展的版圖應用,與結合現下生活的發展,並聚焦探討日前造成恐慌的科技漏洞與數位問題!

媒體資安精選

手機常沒電8原因 挖礦程式成最難防吃電怪獸      自由時報電子報

引發Google、亞馬遜互懟!會自己笑出聲的智慧音箱技術探密   鏡周刊

【日本資安危機】想要日本公務員個資?地下網站上任君選購    臺灣英文新聞

【資安片】政府公部門每月遭網攻逾2000萬次 多數來自對岸    台灣蘋果日報網

快更新! 微軟一舉修補逾60個安全漏洞,超過1/3為重大漏洞   iThome

【人人有感的資安攻擊】知名 Youtube 音樂頻道 VEVO 遭駭,地表最多人觀看 MV 被刪光        科技報橘網

老牌警報器漏洞讓駭客可發送假警報        iThome

GDPR實施在即 駭客鎖定跨國企業    Run! PC

挖坑給駭客跳,這支小小機器人「犧牲小我」保護工廠安全!   科技報橘/智慧機器人網

「智慧車牌」成真 發生車禍、車輛遭竊能迅速響應      匯流新聞網

物聯網成資安漏洞?叢培侃:用AI勢態感知機器人防護       ETtoday新聞雲 Continue reading “《資安新聞周報 》「T-Brain」AI 競賽,總獎金20萬元/手機又沒電8原因,挖礦程式吃電最難察覺/腦波儀軟體漏洞可讓駭客入侵醫院網路”