中小企業資安 - 資安趨勢部落格

IT 部門因網路活動劇增而擔憂無法偵測威脅

2014 年 02 月 24 日2014 年 02 月 24 日趨勢科技 TrendMicro

有些IT主管認為自己正在跟網路犯罪份子打一場艱難的戰爭。最近一份針對英國IT專家的調查顯示，許多受訪者對於自己在資料量不斷增加時對抗攻擊缺乏信心，需要擁有額外的監控能力。

這樣子的想法並不只出現在英國。世界各地的私人和公家單位都一直在努力應付網路活動劇增的狀況，其中一些和複雜性攻擊有關。最近的假期季節出現幾起值得注意的攻擊活動，像是Target零售商的資料外洩，行動應用程式Snapchat數百萬使用者名稱和電話號碼被駭，以及針對Skype的攻擊。

對於防備網路攻擊的疑慮甚至已經悄悄地進入國家安全討論。警惕著對關鍵基礎設施的威脅，英國和日本已經採取行動來解決IT系統弱點。部分美國國防部官員甚至將網路戰視為最危險的國家安全。

此一不斷高漲的IT風險意識不需要變成了恐慌，但是組織必須建立新的安全策略，不只是來自IT管理者，還要包括其他部門人員的加入，因為網路攻擊可能會中斷整間企業運作。從技術角度來看，整合網路監控解決方案和資料中心可能是直線化IT基礎設施來面對新威脅環境的關鍵一步。

RedSeal調查顯示英國對於防備能力的廣泛擔憂

RedSeal對350位英國IT專家的調查顯示他們對網路安全的疑慮。不到一半的受訪者認為自己可以如實地告訴公司高層，公司的運作可以在面對攻擊時保持安全，超過36％的人表示自己不能這樣說。

不過對這些主管來說，真正要面對的現實問題是採購流程和人員方面，而不是網路罪犯能力的突然增加。有近三分之一受訪者證實，他們忽略嚴重的漏洞是因為缺乏時間或合適的安全解決方案，有28 ％的人希望可以有更好的工具來處理網路資料過多的問題。

「網路犯罪社群知道企業已經無法處理過多的資料，而且沒有足夠的資源或工具來保護他們寶貴的資產，所以他們可以利用這些弱點，」RedSeal執行長 – Parveen Jain說道。「我們建議利用自動化解決方案，讓你可以利用可執行的情報來全神貫注在重要而脆弱的資料上。這樣一來，IT部門就能夠對全盤網路安全架構有可見性，使他們能夠捍衛自己的系統，對抗複雜性網路攻擊。」

溝通是另一常見的絆腳石，有60％的人反應說，在討論組織安全時，高層和IT部門的瞭解不同。同樣地，多數受訪者對於利用關鍵績效指標來展示進度有困難。

在攻擊偵測和回應前線要做的事

RedSeal對於企業要使用自動化解決方案的建議是第一步，特別是鑑於IT部門有監測和回應網路活動的問題。有百分之四十五的受訪者斷言，他們甚至不知道自己是否被駭客攻擊過，因為他們的系統內充斥著過多的資料，以致於不可能精確定位攻擊。

面對威脅真正問題並不完全是技術方面，有許多是跟組織如何去架構回應網路攻擊。說到財富雜誌，作者Peter Singer認為，公司的高階主管應該要更多地了解IT風險，尤其是因為70％的企業高階主管必須為公司做出關於網路安全的決定。繼續閱讀

中小企業 ,你的防毒軟體有足夠的保護力嗎?

2013 年 12 月 01 日2013 年 11 月 26 日趨勢科技 TrendMicro

中小企業（SMB）手上的大量資料，加上缺乏足夠的安全實作，讓他們成為攻擊者的首要目標。^註¹ 因此，中小企業相信有必要為他們的關鍵資料投資儲存安全，如電子郵件、財務文件和專案檔案。

一項研究顯示，SMB在安全技術上的開支將會以每年10-12％的速度成長，並會在2015年超過56億美元。^註² 然而，對於大多數中小企業來說，安全性就只是使用傳統的防毒技術，通常包括防火牆、檔案掃描和移除工具。這對大多數中小企業來說都會帶來風險，因為許多現實世界裡的新威脅都會想辦法逃過防毒產品。^註³

是什麼讓傳統防毒軟體不足以保護中小企業？

事實一

APT 攻擊可以繞過黑名單,避開安全系統偵測。

傳統防毒軟體的基礎是加入黑名單，或識別壞檔案和已知惡意軟體的技術，再加以阻止它們。

在一項ISACA和趨勢科技共同發起的調查顯示，相當高比例的企業聲稱他們使用傳統的網路邊界防禦來對抗APT 進階持續性威脅（APT攻擊）。^註⁴ APT被設計來停留在網路或系統內很長一段時間而不會被發現，好來完成自己的目標，通常是竊取資料。

由於攻擊者現在將中小企業當作首要目標，依賴於相同技術的中小企業也會面臨風險。一個APT攻擊可以繞過黑名單，讓他們在網路內移動時不會被偵測，並且竊取企業密碼以取得其他系統的存取能力。

最近發生的事件顯示出攻擊者是如何避過傳統防毒技術來進行網路釣魚（Phishing）攻擊，破壞安全防禦以竊取資料。針對紐約時報的攻擊就是一個例子，讓人了解威脅可以如何避開安全系統偵測。^註⁵

事實二

幾乎有一半資料外洩攻擊事件,發生在員工不到1000人的公司

一份Verizon的報告仍然將惡意軟體排在資料外洩攻擊手法的前幾名。該報告紀錄了2012年內621起確認的資料外洩事件，其中有40％是由惡意軟體所引起。幾乎有一半的事件發生在員工不到1000人的公司。其中有193起事件發生在員工少於100人的公司。^註⁶

當中小企業認為他們的傳統防毒軟體足以保護他們的資產時，資料外洩的機會就會升高，特別是在對抗客製化攻擊時。網路犯罪地下世界的發展讓攻擊者可以流程化他們的攻擊來對應他們目標的具體情況。比方說，攻擊者可以使用多型惡意軟體來針對過期的軟體 ^註7，然後進行社交工程攻擊。增加複雜性可以讓他們繞過基本的防毒軟體偵測。

事實三

IT管理者大麻煩:量身訂做的客製化惡意軟體

隨著複雜攻擊和客製化惡意軟體的增加，網路犯罪地下經濟也在過去幾年內迅速的成長。這對IT管理者帶來了麻煩，因為這些攻擊者可能專注於從他們的系統收集分類過的資料。

網路犯罪地下世界裡興盛的詐騙者已經在設法將網路變成他們的遊樂場。根據趨勢科技的研究報告，俄羅斯的網路犯罪地下世界在不斷地增進技術和修改目標，以提高他們看起來利潤豐厚的業務。

網路犯罪的加強讓中小企業更加危險。比方說加強的勒索軟體 Ransomware，會阻止受害者存取自己的系統，將資料當作人質。^註⁸ 工具也被改造成為行動威脅。^註⁹

另一項研究顯示，地下市場主要用在非法活動，往往涉及銷售商業情報和交易軟體缺陷相關的資料。^註¹⁰

事實四

傳統的防毒軟體並不是萬靈丹。

防毒軟體一直都是保持電腦安全，免受惡意軟體侵害的重要一環。好的防毒軟體可以分析複雜的檔案行為和封鎖相應的威脅。但是，它可能無法防護更加複雜的威脅，像是ZACCESS惡意軟體，攻擊者可以將惡意軟體行為隱藏起來。^註¹¹

事實五

社交工程只需誘發員工好奇，就可以獲取機密的資料。

即使有了可靠的防毒解決方案，面對利用網路釣魚（Phishing）詐騙加上惡意網址的社交工程( Social Engineering)攻擊，中小企業可能會發現防禦是一個大挑戰。^註¹² 社交工程是一種戰術，很大程度上依賴於人的互動，好來操弄人心以洩露出敏感資訊或點入某些連結。攻擊可以偽裝成使用者所熟悉網站來的官方電子郵件，像是Facebook。

由於社交工程不需要高水平的技術專長。攻擊者已經長時間的使用這種技術來作為收集公司資訊的方法。建立員工的信任和操弄其心理是成功社交工程攻擊的重要組成部分。這些組成也是光有防毒軟體也不夠的原因，一旦攻擊者誘發員工好奇心,掌握了員工的信任，他們就可以獲取機密的資料。

中小企業該怎麼做？

在當前的威脅環境裡，沒有任何一個組織是安全的。有防毒解決方案的中小企業也會是網路犯罪分子的首要目標。想要更佳的保護業務運作，你可以：繼續閱讀

給IT管理員的 6 個網路安全建議

2013 年 11 月 25 日2013 年 11 月 18 日趨勢科技 TrendMicro

趨勢科技在過去所紀錄的攻擊事件證實了駭客所共用的一個策略：找出弱點並加以攻擊。不管是紐約時報或是亞洲的小公司，起始點都是透過弱點而入侵。這個弱點可能是關於技術（有漏洞的軟體）或非技術（沒有警覺的員工）。

這個發現強調了要有全面性的防禦來對抗這類攻擊。如同趨勢科技的研究人員 – Jim Gogolinski在之前的報告裡提過，企業對於針對性攻擊並非束手無策。然而，建立堅強的防禦策略需要資源，以及組織本身的大力配合。

特別是駭客攻擊，確保公司網路安全需要主動和被動性的安全策略。下面是一些可以幫助IT管理員的建議，確保他們的公司網站安全。

主動式步驟來對抗駭客攻擊

實施可以定期測試和部署更新的計畫，尤其是安全更新。
檢查所有端點和伺服器上安裝的軟體，確保在最新狀態。
確認每個地方都有部署安全軟體（而且在使用中）。也要設定好來偵測和預防攻擊的各個階段，同時也要監控網路、硬碟和記憶體內所出現的各種狀況。
流程和標準作業程序（SOP）在建立時要考慮到安全性。這不只是適用於員工，還包括合作夥伴、承包商和客戶。
調查任何異常的網路和系統行為。攻擊通常都以偵察開始，這類可疑的活動可能是攻擊的第一個跡象。
持續和所有必要單位（不只是IT團隊）規劃和審查你的事件回應程序。Jim也在他之前的報告裡討論到如何實施這些程序 – 「如何讓社交工程訓練有效果？」

被攻擊時怎麼辦

過去有些攻擊會被「公布」。攻擊細節 – 像是何時會發生、目標是誰 – 都會事先向公眾宣布。在這種情況下，企業最重要的是要確保所有的主動防禦措施（如上面所列的）都有到位，並且對於網路和日誌檔都維持高等級的警覺程度。

布的行動，以及它們公開出來的戰術、工具和程序都是評估和改進現實防禦對策的難得機會。趁此機會來訓練員工、流程和技術去識別針對性攻擊的跡象，不管是已公開還是隱藏的行動。

然而，不管公布的攻擊是否會帶來更多的風險，重要的是企業要有自己的防禦計畫。最終會證明，確保網路安全的成本跟被入侵成功相較起來是微不足道的。

@原文出處：Security Strategies Against Hacking Attacks

還不是趨勢科技粉絲嗎?想了解更多關於網路安全的秘訣和建議，只要到趨勢科技粉絲網頁或下面的按鈕按讚加入粉絲,各種粉絲專屬驚奇好禮,不定期放送中

按<這裡>下載 2013台灣進階持續性威脅白皮書

勒索軟體CryptoLocker,攻擊個案翻兩倍

2013 年 11 月 12 日2013 年 11 月 12 日趨勢科技 TrendMicro

過去的幾個星期以來，我們看到 CryptoLocker惡意軟體散播的數量在增加。這種新的勒索軟體 Ransomware在過去幾個禮拜內攻擊了更多的使用者。和九月份相比，十月份可以確認的案例數量已經增加了幾乎兩倍。

CryptoLocker的受害者在不同地區都有出現，包括北美、歐洲、中東和亞太地區。在之前，我們討論了這些威脅是如何透過電子郵件到達。CryptoLocker可以被看作是先前已知威脅（勒索軟體）的進化。這樣的「改進」是趨勢科技在2013年安全預測裡所提過的，網路犯罪分子會將重點放在改進現有的工具，而非創造全新的威脅。

我能做些什麼？

有不同的方法可以讓個人或組織來面對CryptoLocker所帶來的威脅。由於這種威脅開始於垃圾郵件攜帶TROJ_UPATRE（下載器），它想成功就取決於郵件內所使用的社交工程陷阱( Social Engineering)誘餌，以及使用者如何去回應它。

讓我們從簡單的電腦安全實作開始（往往也最常被忽視）。想想看，當開啟帶有附件的郵件時，一般都要：

確認電子郵件的寄件者身分。
如果電子郵件號稱來自銀行，請與你的銀行確認這收到的郵件是否為真。如果來自一般聯絡人，確認他們是否有寄過這郵件。不要僅僅依賴於信任關係，因為你的朋友或家人也可能是垃圾郵件(SPAM)的受害者。
仔細檢查郵件內容是否有與事實不符的地方。
注意是否有明顯錯誤或和事實不符的地方：來自銀行或朋友的郵件聲稱他們有收到你的東西？試著找找你最近寄送的郵件來確認他們所說的事情。這樣的垃圾郵件也可能使用其他社交工程陷阱( Social Engineering)誘餌來說服使用者打開該郵件。
避免點入電子郵件中的連結。
在一般情況下，避免點入電子郵件中的連結。比較安全的做法是直接連到電子郵件內所提到的網站。如果你必須點入電子郵件裡的連結，確保你的瀏覽器透過網頁信譽評比技術檢查過該連結，或使用像趨勢科技Site Safety Center的免費服務。
確保你的軟體都在最新狀態。
目前沒有已知的CryptoLocker勒索軟體 Ransomware利用漏洞進行散播，但不能保證未來也不會。而且定期更新已安裝的軟體可以對許多攻擊提供另外一層的防護。
備份重要資料。
不幸的是，沒有任何已知工具可以解密被CryptoLocker加密的檔案。一種好的電腦安全實作是，確保你有正確的備份檔案。應該要做到3-2-1原則：三份備份、兩種不同的儲存媒體、一個分開獨立的儲存位置。Windows有個功能稱為磁區陰影複製（Volume Shadow Copy），可以讓你將檔案回復到之前的狀態，它是預設開啟的。雲端儲存服務（如SafeSync）也可以做為你備份策略內有效的一部分。

對於企業客戶，檢討有關電子郵件附件的相關政策。通過電子郵件發送可執行檔通常被認為是不好的行為。大多數組織也有嚴格的附件封鎖政策 – 如果你還沒有，現在是個很好的時機來考慮建立一個。

將設備設定為特定用途也是另一種減少感染Cryptolocker機會的作法。例如，如果使用者只需要使用Microsoft Word，那麼系統上具備有限權限的使用者帳號也就足夠。大多數企業可能已經有這樣的做法，但還可以用軟體白名單來加強，並且配合使用Windows的某些功能，像是AppLocker。

為了補強組織的整體安全策略。使用者所需要的安全解決方案不僅是保護用戶於執行惡意檔案，還可以在惡意軟體到達你的系統前提供保護。

趨勢科技的電子郵件信譽評比服務可以阻止這些包含惡意附件的垃圾郵件。具體地說，真實檔案類型過濾功能可以在電子郵件附件有可能是惡意時提醒使用者：

此外，趨勢科技的網頁信譽評比服務也會封鎖所有相關網址。安全解決方案的組合再加上確認允許執行的應用程式列表，讓電腦被攻擊的表面積大為減少。

結論

雖然沒有具備任何新的做法，CryptoLocker已經將之前勒索軟體 Ransomware和假防毒軟體所用的恐嚇戰術有效地運用到新的境界。今日大多數使用者都依賴於良好的防毒軟體，但重要的是要注意，使用者教育、定期軟體更新、嚴格的電腦使用政策都是在防禦CryptoLocker和類似威脅上至關重要的。

由於現在的網路犯罪分子都會加強惡意軟體，電腦系統也必須同樣地加以強化以防禦這些攻擊。解決惡意軟體感染的全面性作法不僅是要降低感染率，還要提供深入的防禦戰略來涵蓋多層面的攻擊，以幫助打破惡意軟體感染鏈的整個週期。

使用OfficeScan（OSCE）和Worry-Free Business Security/Service（WFBS/WFBS-SVC）的趨勢科技用戶可以遵循這些最佳實作以防止勒索軟體感染。

＠原文出處：Defending Against CryptoLocker作者：Jay Yaneza（技術支援）

◎延伸閱讀

史上最狠毒勒索軟體: Crypto Locker SHOTODOR 後門程式

勒索軟體 CryptoLocker 跟網銀木馬 ZeuS/ZBOT 聯手出擊

PC-cillin 2014雲端版跨平台同時支援Win、Mac及Android手機與平板,立即下載試用

駭客鎖定中小企業,先釣電郵密碼,後詐鉅款,非法損失金額已超過六千萬

2013 年 09 月 16 日2013 年 09 月 17 日趨勢科技 TrendMicro

中小企業大危機 趨勢科技發現駭客針對中小企業進行變臉詐騙攻擊
非法損失金額已超過六千萬 趨勢科技呼籲應提高資安意識

【2013年9月16日 台北訊】詐騙手法不斷翻新，駭客技術也日漸精進，從詐騙個人財物進階到詐騙公司行號。雲端資安大廠趨勢科技(TSE:4704)發現，近期駭客鎖定資安意識較薄弱的中小企業進行變臉詐騙攻擊，運用中小企業時常需要與國外有時差的客戶進行聯繫的特性，從中攔截郵件，一人分飾兩角的與買賣雙方進行溝通，目前累計不法損失金額高達台幣六千多萬元。趨勢科技呼籲全台中小企業應立即提高資安意識，以免公司遭受財物損失成為下一位受害者。

圖一：趨勢科技台灣暨香港區總經理洪偉淦(右一)與台灣區企業客戶部技術顧問黃源慶(左一) 於會中分享趨勢科技如何運用堅實技術協助中小企業防禦變臉詐騙攻擊。

趨勢科技近日發現，駭客鎖定IT人力較匱乏的中小企業進行變臉詐騙攻擊，主要鎖定的中小企業均是從是進出口貿易、電子商務、海外雙邊貿易…等，而攻擊主要分為三個階段：社交工程攻擊、潛伏監控與駭客詐騙。駭客先鎖定中小企業進行社交工程攻擊，主要利用台灣中小企業仍有多數使用免費的 web mail (如：HiNet mail，Gmail，Yahoo! mail…等)與海外買家進行國際貿易的特性，先透過寄發假冒為免費email系統管理員的郵件至特定的承辦人員信箱，待承辦人員點選開啟郵件後，即下載可竊取企業 email 的帳密的惡意程式並取得權限，駭客便可開始進行email 內容的潛伏監控。

圖二：駭客假扮為免費email系統管理員發出社交工程攻擊信件

運用買賣雙方有時差且聯繫不易的特點，駭客便開始見縫插針進行email潛伏監控，直到買賣雙方開始交涉付款細節時，駭客便開始浮出水面並從中攔截email，一人分飾兩角，與買賣兩方進行雙面溝通，讓買家付款到駭客詐騙帳號，當確認詐騙金額到手後就此消失，直到買家付款後遲遲未收到貨，進而直接與賣家電話聯繫，才發現買賣雙方均掉入駭客精心設計的陷阱，損失大筆的貨款與貨品，中小企業不得不慎。

圖三：駭客針對中小企業進行變臉攻擊詐騙的手法

針對以上的情形，趨勢科技技術總監戴燊表示：「由於大型企業的資安多半較為嚴密，駭客近期開始針對資訊安全意識相對較低的中小企業進行攻擊，且社交工程攻擊手法，更是讓收件者疏於查證而輕易點選，防不勝防。建議公司行號經手特定敏感資訊的人員如業務、財務、人資等，更需對此類來路不明的信件，以及其中的附件檔應抱持戒慎的心態，以免公司遭受不必要的財物損失。」

面對社交郵件工程攻擊，趨勢科技建議中小企業主應注意以下事項：