趨勢科技 TrendMicro | 資安趨勢部落格

ISACA預測2019: 缺少兩百萬名網路安全專家

2017 年 12 月 26 日2017 年 12 月 27 日趨勢科技 TrendMicro

每年在這時候，公司的最高管理階層都有許多該優先處理的事情：搞定明年的預算計畫以及確保企業朝向目標前進是最優先的兩項。而另一件在進入2018年時所必須考慮的重點是建造他們的IT資安團隊。

面對網路犯罪分子持續地日益創新，破壞性的攻擊策略以及更加頻繁的攻擊，企業是否能夠擁有足夠的安全資源和人手來處理是件重要的事。但是網路安全產業人才短缺已經持續了多年，而且還會持續到2018年。

IT資安人員的就業機會

在Forbes的報導，非盈利資訊安全推廣組織ISACA預測到了2019年會出現驚人的資安專家短缺 – 缺少兩百萬名網路安全專家。

“美國每年有4萬份資訊安全分析師的職缺需要填補，而雇主還必須填補20萬份的其他網路資安職位”，Forbes撰稿者Jeff Kauflin寫道。“而每十份出現在求職網站上的網路資安工作，甚至只有7個人會去點那些廣告，更不用說申請。”

總的來說，缺乏訓練有素而技術精湛的IT資安專家是各產業都正在面對的問題。隨著資安威脅的不斷成長，IT人員短缺成為更加緊迫的問題。

“到了2019年，專家預測會缺少兩百萬名的網路安全專家。”

值得慶幸的是對網路資安人員和其雇主來說，一旦招募並且到職就會相當穩定。Gartner公司指出網路資安產業目前是零失業率 – 這在其他任何產業幾乎都不會見到。“我們是少數會有零失業率的產業，”網路安全專家Robert Herjavec指出。“不幸的是，資安人才的增加速度並不足夠來遏制網路犯罪的橫行。在我們能夠改善新網路資安專家的教育訓練品質之前，我們將會繼續地趕不上黑帽肆虐。 “

招聘頂尖IT人才

專家們說網路安全人才是技術領域中最少的，這不難理解為什麼 – 對訓練有素專家的需求數量超過了現有技術精湛、經驗豐富的人員數量。而在下一批人員被訓練好且足以擔當此任前，可用人才庫仍然還是不夠，且越來越少。

這讓企業必須要更加努力才能吸引頂尖IT人才來補足人員的短缺。值得慶幸的是，企業還可以利用以下三個策略來支援內部 IT團隊：繼續閱讀

2017年值得關注的 10 件資料外洩事件

2017 年 12 月 26 日2017 年 12 月 27 日趨勢科技 TrendMicro

資料外洩已經成為全球最常見的網路安全事件之一，而且看起來這趨勢還會持續下去。事實上，在2017年上半就出現比2016全年還要更多的資料被竊或外洩事件。

資料

許多發生在2017年的事件都是因為類似原因造成，包括但不限於：

資料儲存的安全問題
錯誤的安全設定
缺乏實際保護資料的安全解決方案
使用有可被攻擊漏洞的未經修補或無支援軟體

很重要的一點是要知道資料外洩並不單純是技術問題，也不完全是由人為錯誤造成。在大多數時候的原因都結合了兩者。

企業可以經由最佳實作來減輕資料外洩的影響，包括了：

定期修補和更新系統
在企業安全需求內包含有助於識別脆弱環節的措施
制定處理資料外洩事件的應變計劃，包含如何與受影響者溝通
使用安全解決方案，如趨勢科技的Hybrid Cloud Security可以有效防護雲端環境的資料外洩攻擊，還有趨勢科技Deep Security，已經保護了全球數百萬台實體、虛擬和雲端伺服器。此外，TippingPoint可以幫助企業管理舊系統，保護舊而不被支援的軟體，協助管控修補程式部署，每週或每當重大漏洞出現時就會提供更新。

為了更好地了解資料外洩對使用者和企業所造成的影響，底下根據資料外洩類型，影響和所涉及組織的重要性來概述這一年內最知名的事件。

Dun & Bradstreet（D&B） – 2017年3月
發生了什麼事：資料服務公司Dun & Bradstreet（D&B）在三月出現了大麻煩，他們的一個資料庫被外洩到網路上。據推測外洩的資料包含資料庫內3,370萬筆個人資料。

America’s JobLink（AJL）– 2017年3月
發生了什麼事：一起重大資料外洩事件影響到美國十個州的眾多求職者。一名駭客利用America’s JobLink應用程式的一個漏洞存取了480萬筆求職者的資料。暴露的資料包括多個州的求職者姓名、生日和社會安全號碼。

洲際酒店集團（IHG）– 2017年4月
發生了什麼事：全球最大連鎖飯店之一的洲際酒店集團（IHG）在4月份發布一篇現已刪除的聲明，詳細說明在其系統內發現了惡意軟體。該惡意軟體被用來存取多家飯店內的信用卡資料。報導指出在美國和波多黎各可能遭受影響的飯店數量超過1,000家。

繼續閱讀

「TRITON」惡意程式瞄準工業安全系統

2017 年 12 月 25 日2018 年 01 月 02 日趨勢科技 TrendMicro

TRITON 亦稱為「TRISIS」(趨勢科技命名為 TROJ_TRISIS.A) 是一個近期發現的惡意程式，專門入侵工業安全系統，最知名的就是中東某工廠生產停頓的案例。歹徒所攻擊的系統廣泛應用在各種產業，尤其是能源產業，所以很多其他機構仍有遭到攻擊的危險。而且，此次事件可能是駭客為了瞭解系統如何運作以方便日後攻擊而在刺探過程當中不小心導致系統停機。

TRISIS 是有史以來首次出現駭客直接攻擊安全系統的案例。不令人意外，媒體報導也拿 Triton 跟之前的 Stuxnet 相提並論。然而，它到底有何新穎之處？以下我們透過問答的方式來說明Triton 惡意程式,它為何值得關注，以及這對工業控制系統 (ICS) 的安全有何影響。

如何發現？

有兩家資安廠商發布了有關該惡意程式的報告。其中一家在網路上發現了針對 ICS 量身訂製的惡意程式，最早可追溯至 2017 年 11 月中東某受害機構的案例。隨後出現了一篇有關此惡意程式的報告，該報告將它命名為「TRISIS」，因為該程式攻擊的對象是 Schneider Electric 公司所開發的 Triconex 安全儀控系統 (SIS)。同一時間左右，另一家資安廠商也發表另一篇報告來探討他們受委託調查某工廠感染同一惡意程式家族的案例。該資安廠商將此惡意程式命名為「Triton」，同樣也是參考 Triconex 系統的名稱而來。

TRITON/TRISIS 所鎖定的安全儀控系統 (SIS) 到底是什麼？

過去幾年，許多知名的 ICS 相關攻擊都是針對流程控制系統，例如「監控與資料擷取」(Supervisory Control and Data Acquisition，簡稱 SCADA) 系統，因此 SCADA 相關的攻擊目前已相當普遍。不過 TRITON所攻擊的卻是安全控制裝置，也就是所謂的「安全儀控系統」(Safety Instrumented System，簡稱 SIS)，因此可算是開創新局。

安全儀控系統的作用是監控工廠流程的一些數值和參數是否維持在一定的作業範圍內。當出現可能造成風險的情況，就會觸動警報，並且讓工廠回復到安全的狀態。或者，若情況已達到危險的程度，就會安全地停止工廠作業。這些安全控制裝置，傳統上屬於獨立的系統，與工廠的其他設備獨立運作，其唯一的作用就是監控安全狀況。就我們所知， Triconex SIS 控制裝置在遭到攻擊時正處於「程式化模式」，而 SIS 也與營運網路相連，這有違一般最佳實務原則。

就一般的 SIS 設計及其可公開取得的資訊來看，歹徒要能設計出如此針對受害者特定系統 (此處為 Schneider Electric 公司 Triconex SIS) 的漏洞攻擊，勢必要事先取得該 SIS 系統的原型，並對其研究透徹。

TRITON 的運作原理與能力為何？ 繼續閱讀

Shodan 搜尋引擎暴露各大城市網路資產

2017 年 12 月 25 日2017 年 12 月 08 日趨勢科技 TrendMicro

西歐、英國、法國、德國、美國等各大城市都有許多裝置暴露在網際網路上。您的連網裝置是否也如此？看看這有什麼風險？

Shodan 讓暴露在外的網路資產無所遁形

趨勢科技前瞻威脅研究 (FTR) 團隊利用 Shodan 搜尋引擎針對全球各大都市最常暴露在網際網路上的資產進行了一番研究。網路資產 (如：網路攝影機和印表機) 一旦可透過搜尋引擎在網際網路上找到，駭客就能設法入侵這些裝置，或是看看裝置本身及其軟體是否有可利用的已知漏洞。這份研究可協助相關機構了解自己該投資哪些必要的安全措施來提升其資料和資產的安全，防範潛在的入侵。

Shodan 是什麼？

Shodan 是一個網路搜尋引擎，專門用來搜尋連上網際網路的各種裝置。Shodan 可搜尋的裝置和系統包括：網路攝影機、嬰兒監視器、醫療設備、工業控制系統 (ICS) 裝置、家用電器，以及資料庫等等。Shodan 會蒐集、彙整連網裝置所公開的一些基本資料和資訊，讓任何人都能輕易搜尋。

什麼是暴露在外的網路資產？

所謂「暴露在外的網路資產」，就是那些連上網際網路、並可從 Shodan 或類似引擎搜尋到的裝置和系統，表示這些裝置也可經由網際網路進行存取。當某個裝置或通訊協定暴露在外時，並不一定代表它就含有漏洞或者會遭到入侵。

不過，當某個裝置可以從公共網路搜尋得到時，駭客就能利用 Shodan 提供的資訊來策畫其攻擊。例如，駭客可看裝置上的軟體是否含有已知漏洞，或是該裝置的管理員密碼是否很容易猜測。

網路資產暴露在外的全球城市

我們針對全球多個已開發國家進行一番研究，看看其網路資產暴露在外的程度和方式是否有所差異。我們將這些城市劃分成：美國、西歐、英國、法國和德國等幾個地區來看。請點選圖片來開啟完整的 PDF 報告。

西歐城市暴露情況新增

此處我們整理了西歐人口最稠密的十大城市網路資產暴露在外的情況，包括：倫敦、柏林、雅典、馬德里、羅馬、巴黎、斯德哥爾摩、奧斯陸、阿姆斯特丹，以及里斯本。倫敦和柏林的數量在 250 萬以上，阿姆斯特丹和馬德里則在 100 萬左右。

檢視報告 >>

英國城市暴露情況新增

此處我們整理了英國人口最稠密的十大城市網路資產暴露在外的情況，包括：倫敦、曼徹斯特、伯明罕/伍爾弗漢普頓、里茲/布拉福德、格拉斯哥、利物浦、南安普敦/樸茨茅斯、泰恩河畔新堡/桑德蘭、諾丁漢，以及雪菲爾。倫敦是英國網路資源暴露在外數量最多的城市，約略超過 250 萬，其次是曼徹斯特 (約 32 萬) 和格拉斯哥 (約 16 萬)。繼續閱讀

盜領 ATM 得手千萬美元,MoneyTaker 犯罪集團如何讓 ATM 吐鈔?

2017 年 12 月 22 日2017 年 12 月 20 日趨勢科技 TrendMicro

資安研究人員最近批露了有關俄語系網路犯罪團體 MoneyTaker 的細節。根據報導指出，該集團曾經攻擊美國和俄羅斯的金融機構，並且至少從 20 個支付卡與跨行轉帳系統得手了一千萬美元的不法獲利。

MoneyTaker 是什麼？

MoneyTaker 是一個網路犯罪集團，其名稱來自該團體所用的客製化惡意程式，此程式專門用來入侵與金融交易系統連接的工作站電腦。MoneyTaker 的作案手法是先入侵這些系統，然後再雇用一群車手到自動提款機 (ATM) 前提款。

MoneyTaker運作至今至少有 18 個月之久，他們下手的對象包括：信用合作社、金融服務機構、律師事務所、軟體廠商等等的系統與網路。研究人員表示，該集團目前也開始拓展版圖至拉丁美洲企業，甚至嘗試入侵環球銀行金融電信協會 (SWIFT) 的系統。去年，歹徒利用 SWIFT 系統的弱點洗劫了孟加拉中央銀行，使得該銀行至少損失 8,100 萬美元。

[資安基礎觀念：商業流程入侵 (Business Process Compromise)]

MoneyTaker 是如何將錢從銀行偷走？

MoneyTaker 基本上使用的是無檔案式惡意程式，這類惡意程式不需下載檔案，亦不需將檔案寫入本地端磁碟。它們會直接注入系統記憶體內執行，或者躲藏在系統登錄內，以長期潛伏。典型的無檔案式攻擊技巧包括：將惡意程式碼直接注入現有執行程序當中，或者利用 PowerShell 這類工具來執行腳本。其中一個率先使用這類犯罪技巧的就是 Lurk 網路犯罪集團，該集團已從金融機構得手超過 4,500 萬美元。繼續閱讀