中國無人機大廠大疆創新 (DJI) 竟將 SSL 金鑰公開存放在 Github 儲存庫

全球最大無人機製造商之一大疆創新 (DJI) 被資安研究人員發現其 HTTPS 憑證竟大剌剌地存放在 GitHub 開放原始碼儲存庫 (Repository) 上長達四年。

研究人員 Kevin Finisterre 在一個公開的 GitHub 儲存庫上發現 DJI 的金鑰。該儲存庫中包含了 AWS 帳號登入憑證、AES 加密金鑰,以及公開的 AWS S3 儲存貯體 (Bucket)。Finisterre 指出,儲存庫內甚至還有個人身分識別資訊 (PII)。

中國無人機大廠大疆創新 (DJI) 竟將 SSL 金鑰公開存放在 Github 儲存庫

DJI 已公開承認此事,並表示將評估及解決此問題,而受影響的 HTTPS 憑證也已在 9 月撤銷。該公司幾個月前公布了一項臭蟲懸賞計畫,不論個人或團隊,只要能夠找到 DJI 軟體的問題,就能獲得獎賞。Finisterre 也參加了這項懸賞計畫,並且原本有機會獲得 3 萬美元的獎金,但因不認同該計畫的某些條款而決定將發現的結果公開,並撰寫了一份長達 18 頁的報告 (PDF)

這已經不是第一次因為雲端服務組態設定不當而導致資料可能遭到外洩。許多使用雲端的企業皆未徹底做好安全措施,甚至犯了一些明顯錯誤,因而使得資料暴露在外。所以可見,像雲端服務組態設定這麼簡單的問題,都可能導致資料外洩。

企業須了解,雲端基礎架構的安全,不單只是服務供應商的責任,雙方都必須共同分擔,因此企業與供應商應共同配合,這包括所有存放在雲端的一切在內。企業若能落實這份共同安全責任,就能避免發生前述的尷尬情況及相關損失。

趨勢科技 Hybrid Cloud Security 雲端解決方案,融合了跨世代的威脅防禦技巧,專為保護實體、虛擬及雲端工作負載而設計,能協助企業履行其共同分攤的安全責任。此外,更內含趨勢科技Deep Security這套領先市場的伺服器防護,隨時隨地保護著全球數以百萬計的實體、虛擬及雲端伺服器。

 

原文出處:Drone Manufacturer DJI Leaves SSL Key Exposed on Public Repository

趨勢科技連續六年蟬聯全球伺服器防護市場龍頭寶座

IDC最新報告指出趨勢科技市占率已達30.3%,成長速度超越市場

 全球資安軟體及解決方案領導廠商趨勢科技 (東京證券交易所股票代碼:4704) 今天宣布再度榮獲產業分析機構 IDC 評選為全球伺服器防護市場領導廠商。趨勢科技已經第六年蟬聯全球伺服器防護市場龍頭;不僅伺服器防護市場規模在 2014 年已突破 8 億美元,在該市場的營收市占率達到 30.3%,雙雙超越市場與競爭對手的成長速度。

award 得獎

趨勢科技雲端及資料中心防護資深副總裁 Bill McGee 表示:「隨著虛擬化、雲端和混合式部署不斷帶動現代化安全防護的需求,IDC 預測伺服器防護市場的重要性將日益增加。我們在該市場的領導地位,充分展現了我們對該領域的專注,為滿足客戶在混合式雲端的需求,提供一套完整的安全控管,不僅透過集中管理與自動化減輕對營運環境的衝擊,並支援 VMware、Amazon Web Services 及 Microsoft Azure 等主流平台。」

趨勢科技領先市場的趨勢科技Deep Security平台能保護虛擬桌面、虛擬伺服器、雲端以及混合式架構,防範零時差惡意程式和其他威脅,同時能消除資源利用率不佳與緊急修補對營運所造成的衝擊。

IDC 防護產品與服務計劃副總裁 Chris Christiansen 指出:「今日企業在挑選防護解決方案時,在乎的是能解決其所有重要問題的完整防護功能。趨勢科技已連續六年蟬聯伺服器防護市場領導者,與如此值得信賴的伺服器防護領導廠商合作,絕對是明智的抉擇。」

趨勢科技Deep Security平台提供了軟體與服務兩種部署方式,客戶可選擇最適合其資料中心及雲端策略的採購方式。此外,在趨勢科技深耕雲端市場的努力下,趨勢科技Deep Security也在 AWS 和 Azure 市集上架,為客戶提供更多元的採購彈性。

MEDHOST 公司 IT 與託管式服務副總裁 Todd Forgie 表示:「幾乎所有資安廠商每天都必須面對敵人的強大火力,因此我們需要像趨勢科技這樣的合作夥伴來提供必要的反擊能力。趨勢科技能偵測其他解決方案無法偵測的疫情,這正是為何我們當初決定選擇趨勢科技為唯一資安廠商,而且我們從未遲疑。」 Continue reading “趨勢科技連續六年蟬聯全球伺服器防護市場龍頭寶座”

保護您的網路:雲端如何改變您的資訊安全

 

保護您的網路:雲端如何改變您的資訊安全

趨勢科技這次榮幸贊助 2015 年加拿大 FIFA 女子世界盃足球賽。您或許會說:「很好啊!但足球和網路安全有什麼關係?」嗯,那您要怎樣才能在足球場上獲勝?沒錯,要踢進最多球,但除此之外,您還需要堅強的防守。這就是為何接下來的幾個禮拜我們將在部落格上探討您如何「保護您的網路」(包括您的資料、應用程式以及雲端部署),並且防範所有試圖入侵您企業的威脅和漏洞攻擊。

在「保護您的網路」這一系列文章當中,我們將討論軟體定義資料中心和雲端所帶來的機會和挑戰,以及我們如何協助您企業建構一套有效的防禦。這問題您不妨從這個角度切入:不論您的企業規模多大,網路安全就像足球賽一樣,良好的防禦才是您獲勝的基礎。這句話套在雲端和虛擬化環境,真是再貼切不過了。 Continue reading “保護您的網路:雲端如何改變您的資訊安全”

運作效率:資料中心成功的關鍵

 

運作效率:資料中心成功的關鍵

虛擬化是為了讓IT運作更有效率。期望可以讓IT功能和企業都變得更有彈性,好用更少的資源做更多的事情。今天,這市場已經成長到了數十億美元的規模。Gartner公司預測再過一兩年,到了2016年,伺服器工作負載的71%都將被虛擬化。這是個很驚人的數字。但在虛擬化的世界中,安全性往往成為了種阻力。它影響了運作效率和增加不必要的成本,而非是種助力。

虛擬化的問題

大部分的問題在於許多安全解決方案根本不是用來設計給虛擬化的環境。它們將虛擬化資料中心當作傳統的IT環境一般。然而,一個正常的配置可能有幾十台,甚至數百台的虛擬機器,將代理程式安裝到每一台上可能會導致不樂見的後果。安全更新和其他正常任務都可能製造出安全「風暴」,吃掉記憶體、CPU處理能力和儲存空間,導致IT系統的停頓。

將傳統安全方案硬是塞進虛擬資料中心也可能導致人力資源的緊張。想像一下修補、設定和更新每個代理程式所需要花費的時間。這不僅是極端地沒有效率,也可能會留下安全問題。虛擬機器被配置和取消配置的速度代表手動進行修補可能會導致「即時啟動間隙(Instant-On Gaps)」,當虛擬機器從休眠狀態回到線上後並沒有最新的防護。 Continue reading “運作效率:資料中心成功的關鍵”

五個步驟保護你珍貴檔案,數十年不崩壞

分享五個步驟來保護你心愛的資料,以防出現讓設備所有者崩潰的各種災難。

以下是保護你數位資產的方式,好讓它們可以陪你走過人生的黃金歲月,長長久久…

五個步驟保護你珍貴檔案,數十年不崩壞

經得起時間考驗的五步驟策略

 

步驟一:重要檔案都有兩份以上的副本。

關心於保護自己資料的人可以採用「大量副本以確保安全(LOCKSS)」的作法。

經驗法則是,每個重要檔案都應該以三種形式存在:一份是使用中的檔案,兩份副本。(有些硬派的資料專家會有十份以上的副本。)

 

步驟二:多樣化你的檔案格式和備份方法。

延續LOCKSS,用原始格式來保存每個檔案,再建立至少兩個使用開放標準格式的副本。這些轉換過的副本是以防原始副檔名被淘汰時的保險措施。

而且要避免將你所有的數位雞蛋放在同一個籃子裡,利用各種不同的媒體和可移除式資料儲存設備,像是DVD,外接硬碟,雲端儲存和固態硬碟。

 

步驟三:將媒體儲存分成本地和異地位置。

根據一般常識,你不會希望將所有的資料都放在同一個地方。火災、水災或類似災難都可能在幾分鐘內毀掉你一輩子的工作,所以分散你的資料儲存以做到好的資料災難回復計劃。

另一個比較少被提到的極端想法是:不要忘了跟可信賴的朋友和家人分享檔案。保持自己親密的人在狀況內是個聰明的作法,以防任何不幸發生在自己身上,花個5分鐘來分享檔案是你所可使用快速而簡便的備份作法。

 

步驟四:將資料儲存在黑暗、乾燥和恆溫(22度C)的地方。

數位衰減是不可避免的,無論是多麼理想的儲存條件。不過你可以為你的儲存媒體增加幾年的壽命,如果你將它保護在一個精心維護的環境中。

如果在家中,使用防火及防水的保管箱來防護你的儲存設備。在家庭之外,可以跟銀行租用保管箱或跟私人公司租用安全儲物櫃。

 

步驟五:定期檢查你的檔案和儲存方式以確認保存狀態。

每三到六個月,檢查你的資料備份和所儲存的硬碟。

一旦你發現任何不正常狀況(例如,咖咖聲或回應遲緩),就是時候更換你的設備了。在抹除你的舊設備或破壞儲存硬體前先備份所有資料。

但這帶來了一個亟待解決的問題…

資料儲存設備可以維持多久?

答案取決於它擁有多少的讀/寫週期(即,你可以儲存新資料上去多少次)、使用頻率、儲存媒體存放的方式和產品的品質。

下面所列的壽命是根據製造商的說明,對於每種儲存模式在每週(註)使用和照顧下的假設。

 

1.    固態硬碟(SSD) – 1到2年

在內部和外部的備份方式上,SSD都變得日漸重要,因為它會大幅提升作業系統的性能。

它比一般的硬碟(HDD)要快得多;但是,你也得為這樣的速度付出高昂的代價。根據Lifehacker,60英鎊「可以購買一個120GB的固態硬碟或2TB的一般硬碟」。

需要更多資訊?請參考Lifehacker關於固態硬碟超級有用的介紹

快速提示:固態硬碟不需要硬碟重組。進行這不必要的步驟會耗掉寶貴的讀/寫週期,進而縮短其使用壽命。

2.    外接式硬碟 – 3到5年

大多數外接式硬碟都很快速且簡單易用。它們幾乎都即插即用,只需要針對你的系統進行格式化。

最佳實作建議使用者保有幾個外接式硬碟,以防備份失敗。它們所不喜歡的是高溫、潮濕或掉落。所以要小心輕放。

快速提示:丟掉或捐出你的外接式硬碟前,請務必刪除你的資料。PCWorld給予Eraser很高的評價,這是個可以安全消除設備上所有敏感資料的工具。

3.    USB隨身碟 – 5到15年

很難去擊敗這小傢伙所帶來的效率。它的大小適中,讀/寫迅速,讓隨身碟非常適合其原本的用途:在設備之間傳送資料。

是的,隨身碟的目的是為了臨時性檔案,不是永久性的備份。所以在完成你經得起時間考驗的策略時要記住這一點。

快速提示:找個提供完整安全套件的隨身碟:防毒與密碼保護,全碟加密以及遠端抹除和鎖定功能。

4.    光學儲存媒體(CD/DVD) – 1到300年

當提到CD和DVD的持久性時,它們的確物有所值。便宜的光碟可能只能用到一年,但是高階品牌Delkin Devices聲稱他們的備份解決方案可以長達300年。

即使你決定走中階路線,請不要將光碟存放在光碟包之中,而是將光碟存放在光碟盒中。

在90年代曾經擁有過黑色尼龍專輯的人就會知道熱度、濕度和時間可以對Roxette光碟做出什麼。光碟幾乎融進了它們的塑料封套,而資料永遠消失了。

快速提示:為了延長你光碟的壽命,避免不必要的處理,貼標籤或寫字在上面(簽字筆也不行)。

5.    雲端儲存 待定

雲端儲存的壽命可以跟最原始的資料備份方案一樣長嗎:石碑記事?畢竟這些石板可是堅持了幾千年。

雖然我們還無法確認,但線上雲端儲存是可以加入經得起時間考驗策略的實用作法。它會異地儲存你的資料,而且也非常的方便。一旦你將檔案備份到外面的伺服器,你可以從任何設備存取你的照片、影片、音樂和文件。

雖然有免費的線上備份服務,還是值得去投資一個值得信賴,將安全放在第一位的品牌

快速提示:選擇一個提供銀行級加密的雲端備份服務來保護你珍貴的檔案。

註:除了固態硬碟以外;它是基於每日使用來估算壽命。

 

@原文出處:A 5-step future-proofing strategy to protect your files for decades

你的雲端和資料中心環境 – 它們彼此合作無間嗎?

作者:Jennifer Hanniman

我們知道,要架構你的虛擬化資料中心或雲端環境並不是件容易的事…當你在打造自己的環境時,你會尋找可以互相搭配的各種重要元件。安全性只是這些元件之一 – 當然它是關鍵的一塊! – 但它只是其中的一塊,它需要跟你的整體基礎設施相結合。要如何知道你的安全性是適合的?要從三個地方檢查起:

檢查一、適合你的虛擬環境,無論是虛擬桌面或虛擬機器

你的安全解決方案有多了解你的虛擬環境,並且能夠一起運作?如果沒有辦法完美地結合,最好的狀況是你會遇到效能問題。最壞的狀況是你環境內的漏洞會造成資安外洩事件。 做為我們雲端和資料中心解決方案的一部分,Deep Security 提供無代理的虛擬安全設備,可以直接在VMware環境內的實體主機上運作。這種創新做法可以提供虛擬資料中心和虛擬機器完整的安全性,而無需在每台機器上安裝軟體。使用趨勢科技和VMware共同開發的API,Deep Security對於虛擬機器管理程式和實體機器上虛擬機器間的流量都有完整的能見度。虛擬機器可以自動地擁有最新安全政策和正確作業系統層級修補程式的防護。

Cloud2

檢查二、適合你轉移到雲端的動作

隨著某些應用程式和環境轉移到雲端,我們了解你不希望在雲端環境裡維護一套獨立的政策,同時確保你有一致的安全性涵蓋率。

Deep Security 合vCloud Director提供跨資料中心和基於雲端虛擬機器的統一管理和共同安全政策。政策可以自動地應用到任何新的虛擬或雲端部署上,可以顯著地降低管理問題,只要一個主控台就能夠管理所有環境。

檢查三、適合你的應用程式環境。

我們已經聽到對於管理越來越多網頁應用程式漏洞問題的擔憂,想要保持更新和解決問題並不是件容易的事情。隨著越來越多網頁應用程式已經成為了業務關鍵,停機或應用程式被入侵意味著可能數百萬美元的損失或對品牌聲譽的嚴重損害。你需要確保你安全解決方案和你部署到雲端和虛擬環境的應用程式類型相配合。

做為我們雲端和資料中心解決方案的一部分,趨勢科技提供網頁應用程式和平台層級上的偵測和防護能力給你所有的業務關鍵應用程式。

那什麼是「安全性相適清單」?可以和你的虛擬環境深度整合,橫跨雲端和資料中心環境,保護你的應用程式,適用於你的日常運作。

 

@原文出處:Security, your cloud and data center environment – does it fit like a glove?

 

你所實作的是最安全的 ESX 嗎?

作者:Jennifer Hanniman

你有足夠的自信,自己的安全實作可以防護涵蓋實體、虛擬和雲端環境嗎?你所實作的是最安全的ESX嗎?

實體、虛擬和雲端 – 這麼多的環境,這麼少的時間

我們看到企業在虛擬化以及私有、公共和混合雲環境上投入更多,整體基礎設施的管理變得更加複雜。客戶要求我們可以符合每個環境獨特的安全需求,同時易於部署和管理。這對我們來說的確是有意義的!

Cloud4

在與VMware整合上取得領先

在幾年前,趨勢科技和VMware一起替VMware生態系內開發一組API,以解決虛擬化世界整合上的獨特問題。這也是為什麼我們會推出創新的無代理安全作法(我們是第一個提出的!)和提供防護給VMware資料中心和vCloud環境的虛擬機器。此種作法提供了最佳的安全防護,包含了防毒軟體以及更多功能,而不會影響到虛擬化和雲端技術所帶來的好處。

我真的需要防毒軟體以外的功能嗎?

趨勢科技的主動式雲端截毒服務  Smart Protection Network可以看到每秒鐘都有新的威脅出現,竊取有價值的資料已經成為一門生意了。它有著自己的地下經濟,大多數網路犯罪份子會利用工具包,讓他們不費精力的就能夠攻擊已知漏洞。所以毫不奇怪的,透過主動式雲端截毒技術,我們發現有90%的組織內有惡意軟體活躍著,令人震驚的是一半以上不知道已經被侵襲了。

因為虛擬化和雲端技術所帶來的周邊彈性化,加上複雜化的威脅,你的資料需要智慧化的防護,周邊安全防護已經不再足夠了。 Continue reading “你所實作的是最安全的 ESX 嗎?”

< 雲端運算 >十大AWS亞馬遜網路服務安全祕訣:第一條,用IAM保護你的資源

在接下來的幾個星期,我們將會探討如何防護AWS(亞馬遜網路服務)環境的最佳做法。在我們深入到防護你的虛擬機器、應用程式和資料之前,讓我們從最頂端開始。

作為AWS共享責任安全模型的一部分,AWS消費者防護好自己的服務可以發揮重要的作用。早在二〇一二年十一月的AWS re:invent大會上,Max Ramsay就將AWS與CSIS廿個關鍵安全控制對應,作為進一步了解AWS和客戶端(你)之間共同責任的框架。關鍵控制的第十二項是控制管理權限使用,負起保護責任是身為AWS用戶的你所必須加以正視的。在接下來的幾個星期,我們會聚焦在你所需要負起責任的關鍵控制。

在虛擬化或雲端世界,管理權限就好比是作業系統上的管理者帳號。不過,現在你有更多組強大的身份需要管理,好存取AWS控制台和API。

收起你的AWS管理者(root)帳號,利用IAM(身份存取管理)來啟動存取權限

當你開始使用AWS,你會獲得一組帳號和密碼。這個帳號擁有存取你所有AWS資源和帳務資訊的權限。不要跟任何人分享!我知道有某個經理跟他的團隊共享帳號,他們很快就發現可以用經理的信用卡在Amazon.com上買東西!

確認該帳號安全後,接著進到控制台上的IAM 選項,開始定義群組和使用者。

一般情況下,你會需要兩種類型的使用者:

  • 需要帳號密碼存取AWS控制台的人
  • 使用存取密鑰帳號(Access Key Id)和秘密存取金鑰(Secret Access Key)來存取API的程式

在這兩種情況中,你會想透過群組來分配所需的最低權限給使用者。AWS會幫你提供一些策略範本。例如,你可能會想提供操作人員「Power User Access」權限,而給開發人員「EC2 Full Access」權限。 Continue reading “< 雲端運算 >十大AWS亞馬遜網路服務安全祕訣:第一條,用IAM保護你的資源”

《趨勢專家談雲端運算》VMworld的熱門話題:為什麼安全團隊喜歡虛擬化桌面架構

作者:趨勢科技雲端安全副總裁Dave Asprey

幾個月前,我寫了一篇關於虛擬化桌面架構(VDI)如何越過推動臨界點的文章,都要歸功於寬頻的普及和新雲端技術突破性的發展,所以讓性能可以有顯著的進步。工作場所裡大量的使用平板電腦和智慧型手機也助長了這火勢。尤其是我提到了虛擬化桌面架構可以解決自帶設備的問題。VMware在舊金山舉行的VMworld大會中就包含了這些解決方案,也是VMware行動安全桌面提議(Mobile Secure Desktop initiative)的一部分。

 

現在,趨勢科技將再次在巴塞隆納加入VMware,我們看到一樣的虛擬化桌面架構解決方案被應用到其他地方:遠端和地區辦公室。像是零售業、銀行和醫療保健等行業,他們的業務模式在很大程度上依賴於遠端辦公室,需要有可靠、安全和最佳化的方式來存取系統和應用程式。

 

在其中一個討論虛擬化桌面架構技術的會議中,VMware的資深架構工程師談到無代理安全的價值,和傳統防毒會浪費掉30%的資源比起來,無代理防毒技術可以讓使用者用到99%的資源 – 避免安全風暴、提供更高密度、最佳化資源和更強的安全性。

Continue reading “《趨勢專家談雲端運算》VMworld的熱門話題:為什麼安全團隊喜歡虛擬化桌面架構”

八個令人無法苟同的雲端迷思

作者:趨勢科技雲端安全副總裁Dave Asprey

八個令人無法苟同的雲端迷思

這裡是精心整理過的雲端(或非雲端)公司最常見也最令人厭惡的行銷錯誤。

1)雲端洗腦將所有雲端的東西講在一塊。

你指的是PaaS、SaaS、IaaS還是私有雲…或者只是在說虛擬化?你家小孩買魚的水族館線上購物網頁也算是「雲端水族館管理」嗎,應該不是吧。

2)忘記企業也有雲端技術。
跟著我說一次:公共雲並不是唯一的雲端技術。私有雲是真實存在的。

3 )認為雲端並不安全。

呃,你是在說哪種雲端技術?自己管理的私有雲?Gmail?你知道自己真正需要的安全性等級?還是可用性對你來說比較重要,而你擔心安全問題會導致服務中斷?具體一點。而且如果你做得好,大多數雲端技術都可以很安全。

4)認為雲端技術就是高可用性。

現在的雲端技術行銷人員忘了數數字。就是去數9等級。雲端技術平均只有三個9(99.9%的可用性)。有良好架構的傳統企業基礎設施可以達到五個9(99.999%)。雖然我們使用雲端技術,但請記住:雲端技術並不是一個災難回復(DR)策略。 Continue reading “八個令人無法苟同的雲端迷思”