《雲端運算安全》雲端的消費化

作者:Aaron Lewis

在過去這兩年間,我們可以發現大部分的變化都集中在兩個地方 – IT的消費化(Consumerization)還有雲端。這包括了大量討論它們所帶來的影響、獨特的價值跟如何計算使用率等的文章或報告。今天在這所想要討論的,就是這兩者之間有沒有關連?它們是獨立不同的領域嗎?還是它們在今日的電腦世界裡互相牽連著?如果它們是相互牽連的?那我們該如何面對隨著產生的問題?不管是好的或壞的方面。

我的看法是,它們都是這廣大電腦世界裡重要的一部分,無法真的去單獨討論或是畫出清楚的界線來。更重要的是,如果將它們獨立看待,那麼想去處理它們對電腦世界所帶來的影響也可能會無法成功。

以狹義的角度來看,一般人所說的雲端往往是指有個雲端運算 系統架構,可以在那遠端執行應用程式,也可以用公司的設備、個人電腦或筆記型電腦來遠端儲存及使用資料。實際上,雲端是種運算環境,並不單指私有或公有(租用運算)的資料中心或系統,還包含了私有或公有的線路、路由器和其他會讓資料經過或存放的系統。現實是,並沒有一個特定的邊境或界線,可以明確指出這邊是雲端,而另外一邊就不是雲端。這是一個聚集了全球私有和公有系統的集合體,讓個人或公司可以用來進行日常的工作。

這跟IT消費化又有什麼關係呢?如果我們將雲端想成是許多系統的集合體,讓使用者可以充分地利用。那麼,現在這條無形的界線又開始移動了。因為有越來越多傳統上被視為消費電子的設備被大量的使用。這個朝向使用消費型設備的轉變 – 自帶設備上班(Bring Your Own Device,BYOD),進一步地將私有或公有雲的邊界帶入可攜的設備上,也更加變動。在這變動的環境底下,這些個人設備的所有權和管理權都已經在傳統的IT範圍之外,它們能夠利用各種方法去連接外部網路,並且使用和存取外部系統上的資料,這包括了許多應用程式和社群媒體。

所以不管你的組織有沒有使用這些外部系統,或是否允許使用者利用自己的設備去存取內部系統,這些對外部公開網路的連結實際上也代表著IT對這些設備無法掌控的程度,即使它們正在存取著內部網路環境。當這些設備在任何時間、任何地點都可以連上雲端,也代表了這些連結是潛在的一條通道進到你的網路環境。也就是說,在你的系統上有許多的大門正被開啟著。

繼續閱讀

抓到駭客主義者是很棒 但不代表你的網路就安全了

作者:Paul Ferguson (資深分析師)

最近網路上的每個人看來都想對Lulzsec的被捕事件來談論幾句,我也想藉此機會來說說我的想法。

抓到駭客主義者是很棒  但不代表你的網路就安全了

雖然很高興能夠看到這些違法之徒被繩之以法,但我認為在這日漸成長的駭客主義者(Hacktivist)現象背後有更大的問題存在。

 

首先,我在這裡所看到的更重要訊息是,這些逮捕行動並不會改變駭客主義者攻擊的趨勢,入侵和攻擊事件還是會繼續。事實上,甚至可能會更加升級

 

為什麼?因為他們可以。

而問題就是,入侵網路不應該是如此容易的事,不管是對駭客主義者或是任何人來說都一樣。

這些駭客主義者(絕大多數)都不是真正的「職業罪犯」。真正的專業網路犯罪分子仍然生存著,在東歐和中國(還有其他地方),他們不會將偷來的資料貼到Pastebin,也不會在Twitter公開他們的行動。在大多數情況下,我很懷疑執法單位是否能夠正確地找到這些「職業罪犯」,更別說去加以逮捕、引渡和起訴他們了。 繼續閱讀

《駭客列傳》Anonymous不等於Sabu Sabu也絕對不等於Anonymous

作者:趨勢科技資深分析師Rik Ferguson

 

Anonymous不等於Sabu Sabu也絕對不等於Anonymous

是不是很諷刺?不覺得嗎?

 

FOX的新聞指出,LulzSec / Anonymous的指標人物Hector Xavier Monsegur (又名AnonymouSabu)已經被捕了,而且被指控了十二項策劃電腦入侵和其他的罪行。這件案子在去年夏天就開始了,而這些指控內容也都被當成是項犯罪資訊,看起來像是Monsegur一直和執法單位合作來進行對其他網路犯罪活動還有個人的調查。事實上,已經在其他無關的網路調查中確認Monsegur就是Sabu了,不過可以理解的被低調處理了。

 

根據聯邦調查局的聲明,詳細說明了對Ryan Ackroyd(又名kayla),Jake Davis(又名Toiary),Darren Martyn(又名pwnsauce)和Donncha O’Cearrbhail(又名palladium)等入侵FOX、PBS、Fine Gael、HBGary、索尼娛樂公司還有其他等公司的指控,跟Jeremy Hammond(又名anarchaos)入侵Stratfor的事件。O’Cearrrbhail還被指控盜錄和放出聯邦調查局的電話會議。

 

在同一份的聯邦調查局聲明也說得很清楚,這些指控都來自Monsegur認罪時所提供資訊的一部分。

 

這個新聞肯定對那些小團體像LulzSec,或許還有AntiSec等敲起喪鐘。可以想見的是,執法單位已經針對那些被起訴的人收集好所有的證據。Sabu肯定不是他們唯一的情報來源,但無疑是最重要的一個。

 

要記住的是,LulzSec和Anonymous從來就不是同一個組織。在某些案件中,像是最知名的的Stratfor入侵事件,Anonymouse曾經張貼聲明,嚴正的否認曾經參與入侵任何的媒體相關組織。

繼續閱讀

微軟遠端桌面協定伺服器漏洞(MS012-020):搶先一步保護,後上Patch修補

微軟Windows 重大安全漏洞  趨勢第一時間提出解決方案

搶先一步保護,後上Patch修補
微軟近日以重大的事件通知IT管理人員必須立即執行適用於所有版本Windows作業系統的重大安全更新( MS12-020 遠端桌面的漏洞可能會允許遠端程式碼執行)。但是,請問哪一家企業能承擔的起暫時關閉關鍵應用程式來做緊急的安全更新呢? 所以對企業來說,使用趨勢科技提供的Virtual Patching(虛擬補丁)解決方案將會是最佳投資,能夠立即的保護由安全漏洞所引起的危機。針對安全漏洞的最重要的是 – 你的動作必須比漏洞傳播的速度更快。而漏洞的修補需要時間。這正是為什麼還是有很多的惡意程式感染持續發生,即使已經頻繁的做安全更新。

透過趨勢科技的 Virtual Patching(虛擬補丁)技術,你將會自動接受保護而免於透過安全漏洞及Zero-day攻擊所引發的危機。也正因為有此保護,你將會有足夠的時間測試這些軟體的安全更新及修補程式,將對企業的衝擊降到最低。

趨勢科技的Virtual Patching(虛擬補丁)可以屏蔽Windows作業系統的最新漏洞以及零時差漏洞攻擊(Zero-Day Exploits) ,降低遭受攻擊的風險。利用趨勢科技Deep Security或是 OfficeScan IDF模組,Virtual Patching(虛擬補丁)功能會自動提供防護。免費試用 Deep Security 或 OfficeScan IDF模組,請立即聯絡趨勢科技業務代表,
或洽 (02)2378-2666 ; 技術問題請洽 (02)2377-2323

上網了解更多關於Virtual Patch(虛擬補丁)功能如何防禦此次以及將來的系統漏洞。

資料中心及伺服器安全
Trend Micro Deep Security
用戶端安全
Trend Micro OfficeScan
Intrusion Defense Firewall

繼續閱讀

星巴克、奢華名牌COACH免費送!新社群網站Pinterest真慷慨?

Pinterest是一個新的社群網站,今年以穩步的腳步在增加著使用者人數。使用者可以建立自己的「看板」,然後將圖片、影片或其他他們喜歡的東西給「釘」上去。使用者可以用「轉釘」功能將別人的圖片或影片轉到自己的看板上,他們也可以利用釘起來按鈕來將許多不同網站上的圖片或YouTube上的影片給轉過來。

不過看來網路犯罪分子也注意到了這個日漸流行網站。趨勢科技發現到有個特定的圖片不斷地在這網站上被轉釘。

星巴克、奢華名牌COACH免費送!新社群網站Pinterest真慷慨?

 

這個圖片利用星巴克的標誌來做行銷活動。加入一段送出免費禮品卡給所有Pinterest使用者的訊息。接著使用者必須連某個網站去取得這禮品卡。

星巴克、奢華名牌COACH免費送!新社群網站Pinterest真慷慨?

繼續閱讀