趨勢科技 TrendMicro | 資安趨勢部落格

如何管理和組織 Google Chrome 的分頁?

2021 年 10 月 12 日2021 年 10 月 14 日趨勢科技 TrendMicro

打開過多的Chrome分頁可能會拖慢電腦速度。有時甚至會導致電腦當機。如果你是那種喜歡開啟多個瀏覽器分頁的人，或只是想讓一切都井井有條，那請繼續看下去！我們可以提供給你解決方案。

繼續閱讀

聯合國車輛安全法規 UR R155 所列攻擊途徑的威脅模型,如何影響連網汽車演進?

2021 年 10 月 12 日2021 年 10 月 13 日趨勢科技 TrendMicro

聯合國車輛安全法規 United Nations Regulation No. 155 訂定了有關車輛的網路資安要求。為了協助企業遵從這項規範，我們嘗試根據其定義的攻擊途徑來建立威脅模型以進行風險評估，並找出必須優先處理的項目。

聯合國車輛安全法規 United Nations Regulation No. 155 針對車輛內部的網路資安與資安管理訂定了一些規範。該文件特別值得注意的是「附件 5」(Annex 5)，其中列出了 69 項可能影響車輛網路資安的攻擊途徑。為了協助企業遵從這項規範，我們嘗試根據其定義的攻擊途徑來建立威脅模型以進行風險評估。

這項法規所帶來的挑戰之一，就是製造商必須自行執行風險評估來建置最佳的網路資安措施，並以「附件 5」作為參考。

我們在一份名為「根據聯合國世界車輛法規協調論壇 WP.29 的 UN R155 規範所列攻擊管道與其他內容探討連網汽車網路資安重點領域」(Identifying Cybersecurity Focus Areas in Connected Cars Based on WP.29 UN R155 Attack Vectors and Beyond) 的研究報告當中運用 DREAD 威脅模型來評估「附件 5」當中所列攻擊途徑的風險等級。首先，我們根據目前的技術與威脅情勢來進行評估。接著，們根據我們對於這些技術與威脅未來將如何演變再重新評估一次。以下概要說明這份報告的內容。

繼續閱讀

什麼是零信任? IoT 與零信任 (Zero Trust) 不相容嗎？正好相反

2021 年 10 月 07 日2021 年 10 月 05 日趨勢科技 TrendMicro

基於許多原因，IoT 一直是資安上的頭痛問題。那麼如何讓 IoT 成為零信任資安架構的一環呢？

基於許多原因，IoT 一直是資安上的頭痛問題。本質上，這些裝置本來就不能信任，因為它們通常無法安裝資安軟體，而且在設計之初也大多未考量到資安。還有，它們在網路上的存在感不高，因為看起來不像 IT 設備。之前，個人自備裝置 (BYOD) 也曾面臨類似的問題。不過，許多 BYOD 在外觀和運作上都很像企業 IT 設備，但 IoT 卻是一種截然不同且更難防護的設備。傳統的資安模型在面對 IoT 和 BYOD 時顯然力不從心。傳統的舊式架構擴充能力有限，所以才會讓一些新式的攻擊有機可乘，並且輕易地隨著 IT 向外拓展而移動。隨著越來越多 IT 和資安開始轉變成軟體定義的型態，零信任 (Zero Trust，簡稱 ZT) 被視為一種根本的解決之道，解決了資安上令企業困擾已久的問題。

乍看之下，ZT 與 IoT 似乎不相容，但是，這些本質上不能信任、所以也不安全的 IoT 裝置，卻是為何零信任架構對企業非常重要的最完美範例。

那麼如何讓 IoT 成為零信任資安架構的一環呢？

繼續閱讀

你的電腦可以升級Windows 11嗎？

2021 年 10 月 06 日2021 年 10 月 14 日趨勢科技 TrendMicro

微軟最新版本的作業系統 Windows 11 重新設計了使用者介面，包括新的開始選單，更加簡潔的設定與快速設定選單，實用的新視窗群組（Snap Groups）功能、超級有趣的小工具等等！迫不及待要升級了？讚！但首先，你需要先確認你的電腦已經準備好升級。

微軟公布了Windows 11的最低系統要求。如下：

仍對你的電腦是否滿足最低需求感到困惑？別擔心！我們列出三種不同方法來檢查電腦的相容性。但如果你要的是最簡單、最全面的方法，可以直接跳到第三種！

繼續閱讀

還在找免費版或破解版? 小心被挖礦、竊取社群網路帳號,甚至盜刷信用卡

2021 年 10 月 06 日2021 年 10 月 06 日趨勢科技 TrendMicro

趨勢科技最近發現一些冒牌的知名軟體安裝程式，例如: 例如：TeamViewer (遠端遙控支援軟體)、VueScan Pro (掃描器驅動程式)、Movavi Video Editor (全功能視訊編輯軟體)、Autopano Pro for macOS (自動化照片拼接軟體),會在受害裝置上安裝各種木馬、間諜軟體、挖礦等惡意程式。
這些惡意程式會下載挖礦模組,蒐集瀏覽器所儲存資訊、蒐集 Instagram 與 Facebook 資訊。植入 Google Chrome 擴充功能來進一步竊取 Facebook/信用卡/支付登入憑證…等等。

企業也不能掉以輕心因為疫情期間許多使用者被迫在家上班,有更多連網裝置將成為資安的脆弱環節，惡意程式可能迅速從個人裝置擴散至同一網路上的公司電腦。

談到網路資安，眾所周知的一件事就是，使用者通常是最脆弱的環節。意思是，他們經常成為駭客入侵的破口，同時也是社交工程 social engineering ）攻擊的目標。企業同樣也會因這些脆弱環節而受害，員工有時對網路威脅毫無警覺，或是不熟悉網路資安的良好習慣，而駭客卻對這類資安弱點瞭若指掌。

駭客經常使用的一種方式，就是利用暗藏惡意程式的盜版軟體或冒牌安裝程式來誘騙使用者下載。最近，我們就發現一些這類冒牌安裝程式，它們會在受害裝置上植入惡意程式。這種冒牌安裝程式並非什麼新鮮的駭客伎倆，事實上，這是一種歷史悠久且相當普遍的誘餌，其目的是要誘騙使用者開啟惡意文件或安裝可能有害的應用程式。使用者經常是在網路上搜尋付費軟體的免費版或破解版時受騙上當。

拆解冒牌安裝程式

我們發現使用者會去尋找一些提供「有限免費版」與「完整付費版」兩種版本的正版軟體的破解版，例如：TeamViewer (遠端遙控支援軟體)、VueScan Pro (掃描器驅動程式)、Movavi Video Editor (全功能視訊編輯軟體)、Autopano Pro for macOS (自動化照片拼接軟體)。

繼續閱讀