緊急弱點公佈,請盡速修補!

red alret 紅色警戒 資安/病毒漏洞警告

弱點編號:CVE-2017-11780

弱點說明:Microsoft Windows作業系統平台的SMB服務具有弱點, 駭客可遠端攻擊執行任何執行碼

可能影響:駭客可能進入內部網路時,利用此弱點進行內網擴散。或勒索病毒搭配此弱點進行擴散攻擊,如WannaCry

建議採取行動:1. 立即安裝Windows安全性更新 2.非必要關閉 SMB 服務

 

弱點編號:CVE-2017-11826

弱點說明:Microsoft Office RTF具有弱點,駭客可執行利用此弱點植入惡意程式

可能影響:駭客可能利用電子郵件社交工程手法,寄送帶有此弱點攻擊程式碼 Office文件給使用者。使用者開啟後將植入惡意程式

建議採取行動:1. 立即安裝Windows安全性更新 2.提醒使用者勿開啟來路不明的電子郵件附件

 

漏洞詳細說明請參考CVE網站:

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-11780

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-11826

 

【BEC 商務電子郵件詐騙 】53億美元的損失! “變臉詐騙”就是這樣成為詐騙份子的金雞母!

新竹一間長期與中國代工廠合作的科技公司,原本都用對方「xxx@ximhan.net」信箱聯絡,沒想到歹徒另創立名稱相似的「xxx@xlmhan.net」假帳號,以定期更換受款帳戶,以免遭洗錢犯罪利用為由,要求更改受款帳戶。該公司不疑有他,一時眼花, i 跟 l 分不清,損失新台幣2千餘萬元!

記住 – 人是第一道防線。要小心注意,保持警覺。

企業在組織內部署了網路安全工具,提供了安全意識計畫,建立了標準和程序來選用產品以確保資訊安全。但是針對個人該做什麼?

這問題很真實,巨大且不斷膨脹。

mail2

2017年的上半年變臉詐騙攻擊或稱為商務電子郵件入侵(Business Email Compromise,簡稱 BEC)是企業所必須防範的最大威脅之一。根據美國聯邦調查局在5月所發布的研究報告,BEC詐騙自2013年以來在全球造成了多達53億美元的損失,而且還看不到會有減緩的趨勢。它是詐騙分子的金雞母。許多企業因為擔心對聲譽造成負面的影響,並不願公開這些問題。

BEC詐騙最常偽造的寄件者:CEO 執行長等高階主管

圖1:BEC詐騙最常偽造的來源

 

BEC詐騙最常寄釣魚信給:CFO 等財務會計人員

圖2:BEC詐騙最常見的目標

 

資訊安全計劃需要全面且共同合作的努力

資訊安全長(CISO)領導政策的制定和教育工作。資訊安全長(CISO)爭取支撐這些政策發展所需要的預算。資訊安全計劃需要建立標準。這些標準包括對安全控制的基準設定,以及根據額外風險來加強某些控制的決策程序。資訊安全長(CISO)領導技術團隊制定這些標準,並與IT、人力資源和現場資安人員整合在一起,將其納入組織的採購、開發和運作流程。資訊安全小組必須具備偵測問題、處理入侵外洩事件、解決入侵外洩所造成後果的程序,並向有關方面通報問題及提供解決方案。由資訊安全長(CISO)領導的資訊安全小組應與關鍵的第三方廠商以及合適的執法單位建立好關係。與調查人員建立關係的最糟時刻是在發生問題之後。

 

最重要的是,你的員工必須認同這計畫。

想像一下,當你公司的員工走在大廳裡,他看到有個人正在操作電腦,直覺上可能正在做不對的事情。問問自己以下這三個問題:

  • 他會判斷這行為是對或錯嗎?
  • 他會選擇回報給相關單位嗎?
  • 如果他拿起電話,會知道要打給誰嗎?

 

如果答案都是肯定的,那你的計劃有效。如果出了一個“否”,那你的計劃就失敗了。

如果這個人不知道什麼是不好的行為,他就無法辨識也不會採取行動。這是資訊安全意識的核心。

如果他即使知道這是錯的也不回報,那這計畫就失敗了。也許他聽說有人回報過問題後被排擠了;也許某人跟主管說卻得到這樣的對應,“這的確是個問題,但我們不該干涉”。這考驗到了組織文化。

如果他拿起電話,但是Helpdesk的人不知道該怎麼做,那這計畫也失敗了。這考驗到了組織的程序。

請注意,這些結果跟組織所用的技術無關。技術很重要,加以投資是必須的,但這並不保證就能得到保護。如果沒有正確的安全意識,正確的文化,以及正確的程序來加強這種文化,那麼不管多大的投資也不會成功。

 

@原文出處:Cybersecurity in the Workplace is Everybody’s Business 作者:William “Bill” Malik(CISA VP Infrastructure Strategies)

 

Gartner:未來三年內,99%的防火牆被突破事件是因為設定錯誤

最佳實作:有效部署防火牆

八月初,惡意軟體入侵北卡羅來納州一家變速箱工廠的電腦網路和系統。這起攻擊原本可能造成高昂的損失,因為工廠如果無法製造並將汽車零組件送至美國各地工廠,每小時損失高達27萬美元,不過這工廠有一道防火牆擋在工廠關鍵系統和駭客之間,當惡意軟體試圖結束他們網路時加以阻止。

就如同其名,防火牆是防禦網路犯罪的第一道防線。它們檢查、控制和封鎖進出的網路流量。經過你系統的資料必須先通過防火牆,如果沒有符合設定規則就會加以檢查或封鎖。

但維護公司防火牆是件艱鉅的工作,特別是當要保護的網路包含了客戶端、端點系統、伺服器和其他設備時,每個都有自己的連線需求。如果管理或部署不當,防火牆會讓你的組織出現攻擊者可用來侵入你網路的安全漏洞。Gartner公司甚至預測在未來三年內,有99%的防火牆被突破事件會是因為設定錯誤造成。

防火牆是你的第一道防線:它們按照規則審查進出的網路流量是否有惡意內容。

要建立防駭客的防火牆並沒有萬用通則,但有方法能夠幫助簡化管理。每個組織都有自己獨特而具體的要求,底下的建議可以幫助你開始管理防火牆,讓你和你的公司不會被燒到。

 

什樣的防火牆適合你?

防火牆有網路型和主機型。網路防火牆被放在閘道(檢視內部電腦與外部網路間的網路流量), 像是放在區域網路和廣域網路(LAN / WAN)或內部網路間。主機型防火牆最顯著的例子就是在2004年被整合到Windows XP,定位是放在有連線的端點上,成為作業系統(OS)或安全應用程式的一部分。

關鍵是連線從哪裡發起以及要在哪裡進行檢查和攔截。評估自己的選擇和定義自己的安全需求。你的網路和系統需要什麼?你的網路會進行什麼類型的連線?有足夠資源加以執行嗎?誰負責管理防火牆?這足夠遏制和防止入侵嗎? Continue reading “Gartner:未來三年內,99%的防火牆被突破事件是因為設定錯誤”

駭客將聊天平台當成幕後操縱管道:企業該如何自保?

聊天平台已經成為企業營運的重要工具,也是企業與客戶溝通的重要管道。有了這類平台,員工幾乎不論身在何處都能彼此溝通,此外,也讓公司多了一個可以和產品愛用者接觸的管道。

人們到底有多愛聊天平台?根據 Inc. 的統計,42% 的客戶偏愛透過即時聊天與企業通訊,勝過其他方式。此外,有 92% 的人在用過企業的即時聊天功能之後感到滿意。不僅如此,員工之間也越來越依賴聊天功能,根據 VentureBeat 的資料,Slack熱門聊天平台去年每天都有超過 3 百萬名活躍用戶,充分顯示聊天平台對今日企業員工的重要性。

然而,隨著聊天通訊技術越來越受企業和消費者的青睞,卻也吸引了歹徒的覬覦。

 

駭客將聊天平台當成幕後操縱管道:企業該如何自保?

趨勢科技研究指出駭客可能利用聊天平台

「趨勢科技研究人員開始研究駭客可能如何利用熱門聊天平台。」

最近,趨勢科技研究人員開始研究駭客如何利用熱門聊天平台。

研究人員解釋:「聊天平台讓使用者透過 API 將自己的應用程式與該平台整合,但有一件事情我們必須先搞清楚:這樣的功能是否可能遭網路犯罪集團所利用?畢竟我們已經看過太多合法服務和應用程式遭歹徒用於從事不法用途的案例。」

像 Slack 和 Discord 這兩個聊天平台就提供了整合功能來方便使用者不須離開聊天平台就能使用第三方應用程式。透過這種方式,使用者就能一邊保持通訊、一邊檢視行事曆通知或檢視追蹤報告。不過,研究人員也發現,這項實用的功能很可能引來駭客滲透與入侵的風險。 Continue reading “駭客將聊天平台當成幕後操縱管道:企業該如何自保?”

冒充業務和財務部門的電子郵件,夾帶後門程式攻擊企業

一起針對企業的惡意電子郵件攻擊活動利用漏洞攻擊結合Windows元件來植入新後門,讓攻擊者可以接管中毒系統。攻擊者利用各種合法Windows元件來執行惡意腳本; 這也讓偵測和封鎖變得更具困難,尤其是對使用白名單的解決方案來說。

趨勢科技在一個月內已經觀察到至少五波攻擊,每一波都會寄送數份惡意電子郵件給目標。受影響產業為金融機構(包括銀行)和礦業公司。值得注意的是,攻擊者在每波攻擊時都會利用多種手法來寄送電子郵件給每個目標。

這起攻擊的相關惡意動態連結函式庫(DLL)樣本最早在2017年6月6日被上傳到VirusTotal,這跟我們在6月的最後一周和7月27日間看到一連串的電子郵件攻擊的時間點相近。

推測這起攻擊應該仍在進行中,少量散播和社交工程誘餌的特定性顯示出這可能是起魚叉式釣魚攻擊(SPEAR PHISHING)攻擊活動。

 

圖1、惡意電子郵件活動的攻擊鏈

 

圖2、送給一個目標的不同惡意電子郵件(時間順序為自左向右,順時針方向)

Continue reading “冒充業務和財務部門的電子郵件,夾帶後門程式攻擊企業”

勒索病毒盛行年代,企業的四個防護對策 

Despite efforts on the part of enterprises to educate staff and enhance their ability to prevent infection, ransomware attacks still persist.勒索病毒 Ransomware (勒索軟體/綁架病毒)無疑是企業最懼怕的威脅之一,企業組織擁有眾多的數位化資料、重要應用程式和其他系統,這些關鍵資產一旦存取中斷,將迅速對造成災難。

儘管企業努力教育員工,提升人員預防感染的能力,但勒索病毒攻擊仍層出不窮。值此時刻,企業不只要迅速應對當下的威脅,也要對未來的防護有所對策。

勒索病毒:簡史

根據趨勢科技的調查白皮書「勒索病毒的過去、現在及未來」(Ransomware: Past, Present and Future) 指出,第一個勒索病毒樣本出現在 2000 年代中期,自此成為網路犯罪社群最主要的勒索工具。許多早期出現的勒索病毒運作方式跟現在剛發現的新樣本類似,在滲透受害者的系統後,對重要的檔案和資料進行加密,除了擁有解密金鑰的駭客以外,任何人均無法存取。接著攻擊者會要求贖金,通常是用無法追蹤的比特幣交付,以安全贖回檔案。

攻擊的後果大不相同:有些組織支付贖金後,檔案便解密且恢復存取。有些受害者則沒這麼好運,就算支付了贖金,也永遠拿不回遭竊的資料。

勒索病毒在 2005 與 2006 年時主要以俄羅斯的受害者為攻擊目標,直到 2012 年才擴散到其他歐洲國家。當時的攻擊者小心掩飾其蹤跡,要求透過 paysafecard 和 MoneyPak 等付款方式來交付贖金,以藏匿其惡意活動。

根據趨勢科技的調查,有些早期的勒索病毒攻擊多是為了惡作劇,利用仿真的假冒警告來說服使用者交付贖金。其他樣本則使用真正的螢幕鎖,讓使用者無法跳脫通知視窗。

 

勒索病毒家族成長達到驚人的 752%

752% 增加率: 2015 年發現 29 個不同的勒索病毒家族,到 2016 年暴增到 247 個,增幅達到驚人的 752%。

Ransomware has seen a meteoric rise.

2013 年「crypto-ransomware」現身,包括最新惡名昭彰的 CryptoLocker。這些感染變得極度危險,除了加密資料,阻擋存取,這些樣本甚至還能在未交付贖金但超過截止期後刪除加密的檔案。

網路罪犯針對未備份資料的大型企業進行攻擊,最高獲利贖金高達 10 億美元 Continue reading “勒索病毒盛行年代,企業的四個防護對策 “

這些員工沒看穿的騙局,造成的損失竟比病毒還大!

近兩成的企業資料外洩事件,來自內部人為疏失,而非病毒!

員工被認為是公司最大的資產,卻也是資安最脆弱的一環。雖然企業經常遭受駭客蓄意的破壞或惡意入侵,但也有許多資安事件是因為疏忽大意或缺乏安全意識所造成。在今年初,一家投資管理軟體廠商因為變臉詐騙攻擊或稱為商務電子郵件入侵(Business Email Compromise,簡稱 BEC)造成600萬美元損失而被告。

罪魁禍首?沒有遵循正確匯款流程的員工。在這種情況下,如果企業具備適當的安全措施,而且員工能夠確實遵守程序或具備看穿騙局的知識,就能夠成為防禦的關鍵。

這些員工沒看穿的騙局,造成的損失竟比病毒還大!

19.8%的資料外洩事件來自內部系統 – 因為簡單的人為錯誤造成

2014年的一份問卷調查顯示有19.8%的資料外洩事件來自內部系統 – 因為簡單的人為錯誤造成。各式各樣可以有效利用員工的詐騙手法讓網路犯罪分子偏好社交工程(social engineering ),而不去用更加複雜的方法。

實際的詐騙手法可能有所不同,但底下列出最常用的技術 – 出現在許多電視和電影場景裡,可以幫助使用者更加了解自己他們所面臨的社交工程威脅:

 

假托技術(Pretexting

冒充老闆

 How'd he get in?

他如何進入?

竊資達人(Identity Thief):Sandy冒充前老闆說服員工給禁區密碼。

你有沒有非預期地接到來自“技術支援”人員的電話,內容是關於需要立即處理的問題?也許來電者會要求提供個人資料或帳號資訊來立即處理問題。這種社交工程的手法被稱為假托技術(Pretexting)。 Continue reading “這些員工沒看穿的騙局,造成的損失竟比病毒還大!”

太過老舊,越獄過的手機可以加入公司的BYOD計劃嗎?

有大量的BYOD設備被用來儲存、連接和處理公司機密資料。如果設備落入壞人之手就會產生很大的風險。除了惡意竊取資料的駭客,員工若是將設備遺忘在大眾運輸系統上也可能會暴露敏感資料。

很多人只在自己的設備上設定最低程度的認證,以為自己永遠不會遺失或被竊。這意味著只要花點功夫就可以拿到儲存在這些設備上的重要資料。企業該怎麼做?

資訊安全指南:處理自帶設備(BYOD)環境所面臨的威脅

自帶設備(BYOD)在過去幾年大大地盛行,因為企業也想要提高工作效率並且降低營運成本。雖然BYOD為員工和企業都帶來了不少好處,但也在安全方面帶來些問題。本指南會將重點放在企業因為BYOD所會面臨的主要威脅、以及如何解決這些威脅的最佳實作和解決方案。

 

惡意行動應用程式

隨著行動設備形成企業BYOD生態系的很大一部分,企業必須認識到使用者從這些設備下載惡意行動應用程式所會造成的風險。透過第三方應用程式商店和分享網站下載的使用者往往不會檢查所下載應用程式的真實性,不瞭解這些應用程式中有很大量是惡意的。網路犯罪分子經常會偽裝成新或受歡迎應用程式的合法下載來誘騙使用者,如Super Mario Run。讓某些應用程式特別危險的是,它們運作起來看似很像真正的應用程式,但會包含其他的惡意程式碼,如垃圾廣告,甚至是惡意軟體。

《延伸閱讀》超過9,000個搭任天堂Mario(瑪莉歐)順風車的手機應用程式,約有三分之二都帶有惡意行為

 

防禦惡意應用程式:對於行動設備,企業應該考慮提供具備應用程式信譽評比技術的端點安全解決方案,可以偵測應用程式是否可以安全使用。此外,企業解決方案應該包含設備管理和應用程式管理功能,讓IT專業人員能夠從單一的中央控制台來管理應用程式安裝。

此外,企業還可以利用網路解決方案來在問題出現前先封鎖惡意行動應用程式,可以透過網路活動來先一步偵測惡意軟體。

 

網路釣魚

雖然網路釣魚(Phishing)並不僅是BYOD的問題,但它在BYOD生態系造成特別顯著的威脅,因為企業偏好將重點放在自己網路內設備的安全防護。網路犯罪分子往往先從安全鏈最脆弱的一環著手 – 最終使用者。網路釣魚攻擊是誘騙員工將惡意電子郵件或訊息誤以為正常的有效方法。

雖然有許多公司都會部署安全解決方案來有效過濾自己系統上可能的網路釣魚攻擊,但極少數會對員工設備做相同的事。這讓他們面臨針對個人帳號的攻擊,可能會影響到他們自己的設備。 Continue reading “太過老舊,越獄過的手機可以加入公司的BYOD計劃嗎?”

在駭客天堂,網路犯罪的避難所-暗網(Dark Web),企業可以發掘哪些資安情報?

在駭客天堂,網路犯罪的避難所-暗網(Dark Web),企業可以發掘哪些資安情報?自從執法單位在2013年將Slik Road地下市場關閉之後,深網(Deep Web)的深度與廣度就越來越引人興趣了。這一塊網路有很大程度從大眾眼前消失,這是駭客可以交流、分享惡意程式碼和攻擊手法的地方,並且可以在這裡將網路攻擊中竊來的資料拿來換錢。

根據所收集的資訊,深網(Deep Web)內含藏著驚人的資料量 – 7,500TB,與表層網路的19TB比起來是令人難以置信。因為這些年急劇增加的網路犯罪活動,網際網路的這塊陰暗部分包含了比表層網路還多達550倍以上的公開資料量。趨勢科技經過兩年對深網(Deep Web)的分析,發現了576,000筆不重復網址,收集超過3,800萬筆單獨事件的詳細資料。

雖然深網(Deep Web)稱為駭客活動的天堂,但這並非是它唯一的目的。透過研究深網(Deep Web)、它的使用者類型、所分享的流程和資料,讓企業可以對整體威脅環境有更好的認識 – 而且可以更加充分準備好對抗新出現的安全漏洞和攻擊。

從基礎開始:什麼是深網(Deep Web)

在我們要進一步探討網路的這一塊可以教給我們什麼前,先了解深網(Deep Web)到底是什麼非常重要。多數人是在Ross Ulbricht被捕後才知道了深網(Deep Web),它在Silk Road地下社群所用的名字是Dread Pirate Roberts。趨勢科技指出Ulbricht打造了價值數十億美元的數位市場,裡面充斥著洗錢和非法毒品。因為這些活動,Ulbricht被控販毒和電腦駭客等犯罪行為,被判了兩個無期徒刑。

這個吸引人的故事造成許多人對深網(Deep Web)的深切關注,許多個人和企業都盡可能地從網路這一塊無法用傳統方法存取的地方學習。如同趨勢科技在“水面之下:探索深網(Deep Web)”所指出,深網(Deep Web)或有時也被稱為暗網(Dark Web),一開始的建立目的是提供使用者免於審查,可以自由發言的安全空間,它最終成為網路犯罪的避難所。

DARK web, deep web

“深網(Deep Web)擁有超過20萬個網站,5,500億筆文件。”

 

槍支僱用契約駭客甚至殺手….深網 (Deep Web) 內還有什麼? Continue reading “在駭客天堂,網路犯罪的避難所-暗網(Dark Web),企業可以發掘哪些資安情報?”

資安人員該如何判斷哪些威脅有急迫性?

Macs have become more vulnerable as their collective market share has increased.在今日的世界,資安團隊隨時會面臨各種資安事件,隨時會收到各種來源的威脅訊息,因此,不可能每次的威脅都等同看待,必須要能分辨輕重緩急。那麼,該從何著手?當然,只要有威脅出現,資安人員就必須處理,但每次的威脅卻不盡相同,我們該如何判斷哪些有急迫性、哪些沒有呢?

從最初的偵測到強制規範與矯正等一連串的動作,都需要率先掌握明確的威脅資訊與其嚴重性,才能採取有效行動來保護您最珍貴的資產,否則就算並非完全不可能,但實行起來也將困難重重。

XGen 防護為基礎的趨勢科技 TippingPoint Security Management System (SMS) Threat Insights 有效整合了多方來源的威脅資訊,讓您在資安應變的當下能夠輕易判斷威脅的輕重緩急,並且深入掌握當前及未來您網路可能遭遇的威脅,以及目前已經採取的防範措施狀況。 Continue reading “資安人員該如何判斷哪些威脅有急迫性?”