中小企業資安 - 資安趨勢部落格

企業郵件伺服器處理電子郵件自動回覆的四個小提醒

2012 年 12 月 27 日2012 年 12 月 27 日趨勢科技 TrendMicro

趨勢科技部落格在最近的兩篇文章（休假時,你的 Outlook 自動回覆(郵件答錄機)透漏太多訊息?!和退信和讀取回條自動回覆的風險）中討論了關於電子郵件自動回覆所可能引來的威脅，從外出通知（Out-of-Office Notification）到未送達報告（Non-Delivery Notification）。這些都可能會洩漏資訊而遭到利用。所以管理者和使用者可以做什麼來應對這種威脅，幫助保護他們的環境？

雖然我們一直強調教育用戶的重要性，但在這裡，加強伺服器設定也是必須的。沒有道理只依賴於使用者設定，因為那有可能會失誤（而且經常發生）。

❶只送外出通知給企業內部人員。
企業郵件伺服器需要對是否發送外出通知做好精細的控制。一個很好的作法就是只送外出通知給企業內部人員。如果外部人士需要收到這些通知，可以視需要來加入白名單。不過預設應該是不送外出通知到企業外部。

❷郵件伺服器應該設定為不送退信通知到企業外部。
同樣的，郵件伺服器應該設定為不送退信通知到企業外部。

❸退信通知不該包含大量原始信件的內容
另一點很重要的是，退信通知不該包含大量原始信件的內容，因為這麼做就可能會被利用在垃圾郵件(SPAM)攻擊上。（RFC 3834明確地建議了這點。）繼續閱讀

五個給小型企業關於雲端運算的迷思與事實

2012 年 12 月 14 日2012 年 12 月 06 日趨勢科技 TrendMicro

雲端技術已經被證實對各種規模的企業都有好處 – 小型企業經營者可以利用雲端技術來節省時間和金錢，同時提高員工的工作效率。雲端技術可以加快部署，需要最少的技術能力去了解如何管理，成本也比用在公司內部的技術來得更少。這些優點讓小型企業老闆可以關注在真正重要的事情上：他們的業務成長。

但是資料外洩、信用卡號碼竊取和身份盜用：我們每天都會聽到這些事情。當使用雲端技術時，小型企業老闆需要知道什麼來保護自己、他們的生意和他們的員工？這裡有五個小型企業老闆需要了解的關於雲端運算的迷思。

迷思一：小型企業老闆已經知道什麼時候是在使用雲端技術。

事實：下面是小型企業每天都會使用的雲端技術的例子，但通常不被認為是基於雲端的服務：

Facebook
Twitter
Gmail
DropBox
Office 365
Google Apps
基於網頁的服務（網路銀行/付款，Amazon.com等）

如果你正在使用這些服務，你已經體驗了易於使用、低成本又能提高生產力的雲端技術。

迷思二：雲端服務很昂貴。

事實：使用雲端技術的小型企業老闆會比使用其他技術花費低上20％。

雲端服務供應商替小型企業老闆拿掉了佈署相同技術在公司內部所會面臨的所有麻煩、費用和管理問題。雲端供應商會建立自己的基礎設施以及許多的備援伺服器，如果小型企業老闆要自己購買、佈署和維護的話將會非常昂貴。這些都需要小型企業老闆花費時間和金錢，也讓他們無法把重心放在發展自己的業務上。

繼續閱讀

小型企業是網路犯罪者的大事業-每個小型企業都應知道的五件關於網路犯罪的事

2012 年 11 月 22 日2015 年 07 月 06 日趨勢科技 TrendMicro

每個小型企業都應知道的五件關於網頁威脅和網路犯罪的事

對於網路犯罪者來說，沒有任何企業會太小而不值得花費力氣。小型企業雖然不像一般大企業那麼受人矚目，但小型企業也無力承擔輕忽網路犯罪威脅的代價。儘管外界流傳著小型企業對這類安全威脅免疫的說法，但現在該是正視問題的時候了。

1. 任何企業組織，不論規模大小，都可能成為網路犯罪的受害者。

大多數的小型企業都不相信自己會成為網路犯罪的目標。根據 Visa Inc. 與 National Cyber Security Alliance 一項針對 1,000 位小型企業老闆的調查，有 85% 的老闆相信大型企業比他們更容易成為目標。超過一半 (54%) 的受訪者有自信他們的準備比大型企業更充份，更有能力保護公司與客戶資料。小型企業或許會認為：網路犯罪通常不是鎖定很大的企業，就是鎖定一般消費者，因此自己不可能成為歹徒的目標。然而，事實上，只要是有利可圖而且利潤豐厚，網路犯罪者才不管是超大型企業、小型企業或一般消費者。他們對任何目標都一視同仁。只要是系統存在著安全漏洞，任何目標對網路犯罪來說都是一樣的。

2. 小型企業同樣也擁有網路犯罪者所感興趣的資訊。

小型企業或許會認為他們的內容安全威脅並不像大型企業那麼嚴重。但事實上，根據 Council of Better Business Bureaus 在 2010 年 5 月所發表的研究，7.4% 的小型企業老闆都曾經遇到網路詐騙。

小型企業同樣也擁有員工和客戶資訊，因此就各方面來說，同樣也是網路犯罪的重要目標。從身分證號碼到網路銀行帳號密碼都是歹徒所覬覦的資料 (完整的失竊資料排名請參考下圖)。

小型企業同樣也擁有網路犯罪者所感興趣的資訊

3.網路犯罪者平均每一秒釋出 3.5 個專門攻擊小型企業的新威脅。

根據報告指出，專門針對小型企業的網路攻擊數量在 2010 年初竄升了 600%。趨勢科技的專家表示，此現象的背後至少有兩項因素。首先，規模較大的企業皆已投入更多資金來加強網際網路安全，迫使網路犯罪者將目標轉向同樣有利可圖的小型企業。其次，小型企業數量龐大，光是美國境內就有超過 2 千 5 百萬家小型企業。除此之外，小型企業還有一項吸引網路犯罪者的原因，那就是小型企業沒有足夠的預算可以聘請專門的 IT 團隊，更不用說成立專責部門，來維持資訊安全。

曾經有小型企業因為遇到網路犯罪而損失數十萬美元，而歹徒所用的工具就是 t僵屍網路/傀儡網路 Botne 程式。Bot 程式是一種會暗中潛入個人電腦的惡意程式，一旦潛入，歹徒就能從遠端遙控電腦並竊取重要資料而不被員工或客戶發覺。

2011 年 1 月，美國聯邦調查局 (FBI) 在一份報告中指出，有一家美國企業因為觸發了電子郵件所挾帶的惡意程式而自動從銀行帳戶轉出了 15 萬美元給歹徒。該惡意程式就是 ZeuS/ZBOT 家族的木馬程式之一，此惡名昭彰的惡意程式家族專門詐騙小型企業。

趨勢科技TrendLabs 的專家也曾見過專門針對小型企業而設計的網路釣魚Phishing攻擊和漏洞攻擊。這類詐騙經常利用一些稅務相關的電子郵件，並且假冒政府機關的名義，其手法通常是利用客戶投訴或威脅採取法律行動來引起被害人恐慌。而漏洞攻擊則是專門攻擊常見合法應用程式的漏洞。

只要小型企業能確保每一位員工 (不論技術程度如何) 都能隨時掌握網路犯罪的最新動態，就更能防範上述攻擊。企業應該教育員工有關最新的詐騙手法，鼓勵員工養成良好習慣，例如：只要是來路不明的可疑郵件，千萬不要回覆，也不要開啟附件檔案，更不要點選其中的連結。此外，小型企業最好能貫徹一套內部安全政策來強化其網路安全與銀行交易作業原則。最後，小型企業也必須時時提高警覺，小心防範可疑的網路活動，並且做好應變的準備，以防萬一真的遭到歹徒入侵。

4. 儘管遵規需要高昂的成本，但未遵守法規的可能代價更高，而且讓網路犯罪有機可乘。

並非所有的小型企業都已意識到遵規的問題。有些甚至認為自己的企業已經符合法規要求，並且已做好安全措施。然而，根據 2011 年發表的一份中小企業 (SMB) 資料安全與詐騙預防策略調查顯示，美國有將近一百萬家小型企業皆曾經是資料安全詐騙的受害者。

不遵循法規的結果，最終可能導致生產力損失、業務中斷以及高昂的法律成本。對於跨國性的企業來說，遵規的成本大約在 350 萬美元之譜5，相對於不遵循法規的潛在損失，這只不過是小小的代價。小型企業如果以為自己不必遵守資料保護法規，那就大錯特錯。如同大型企業，小型企業也需處理人員、流程與技術的問題，而這些層面的網路犯罪威脅與大型企業沒什麼不同。

5. 小型企業正逐漸邁向雲端，也開始擁抱雲端安全，但網路犯罪者也不是省油的燈。

雲端運算已經不再是一種口號，而是既成的事實。今日中小企業整體雲端市場價值大約在 86 億美元左右6 ，而且在 2014 年將達到1,000美元之譜。此外，高達 74% 的中小企業打算在 2011 年提高他們的雲端式軟體支出，這一點比 2010 年底的情況明顯大幅增加，而當時中小企業採用雲端運算的比例大約只有 14%。

繼續閱讀

小型企業的雲端之路，到頭來還是回到原點

2012 年 11 月 22 日2012 年 11 月 22 日趨勢科技 TrendMicro

作者：Greg Boyle 趨勢科技全球產品行銷經理

許多小型企業到目前依然對雲端運算抱持著懷疑的態度。他們懷疑雲端運算是否能在不招來嚴重風險的情況下提升他們的獲利能力。首先，讓我們來定義一下小型企業所謂的雲端運算。一般大家所認知的雲端運算有兩種：其一是軟體服務 (software-as-a-service)，其二是基礎架構服務 (infrastructure-as-a-service)。
所謂的軟體服務 (簡稱 SaaS)，就是將您平常辦公室所安裝的軟體改從網際網路來供應。有時候也稱為「代管」。

最常見的就是客戶關係管理 (簡稱 CRM) 系統。去年，全球有 26% 的 CRM 支出已經移轉到 SaaS 上，而且此一比例預計在 2015 年將成長至 33%。
而基礎架構服務 (簡稱 IaaS) 則是您向廠商租用資料中心的伺服器來執行您的 IT 環境，而不需自己購買硬體設備。最常見的 IaaS 範例就是網站代管服務。
此外，您可能還會聽到「公共雲端」或「私人雲端」這兩個名詞，簡單來說，公共運端就是將共用的運算資源放在您的企業外部，透過網際網路來存取。而私人雲端則是在您自己的公司內部建立一個資源共用基礎架構，然後透過內部網路服務公司內的所有使用者，而不在每一台使用者電腦上安裝軟體。

近十年內成立的小型企業一開始就是雲端的使用者

許多近十年內成立的小型企業，其實一開始就是雲端的使用者，只是企業並未意識到這點而已。這麼說並非故弄玄虛。我指的就是電子郵件和網站。
當新公司成立時，老闆採購了電腦之後的第一個想法，通常都是「設定一個電子郵件信箱」，再來就是「架設一個公司網站」，至於「購買一台伺服器」，則不是最優先的考量。事實上，90% 的小型企業都沒有自己的伺服器。
那麼，小型企業的電子郵件和網站由誰代管？一般來說是他們的網際網路服務供應商 (ISP)，這通常都隨附在寬頻網路連線套餐之內。基本上，這類由公共雲端所提供的應用程式與共用資源，就成了小型企業的 IT 基礎。繼續閱讀

自帶設備（BYOD）：企業用戶的安全缺口？

2012 年 08 月 23 日2012 年 08 月 13 日趨勢科技 TrendMicro

自帶設備（BYOD）：企業用戶的安全缺口？

作者：Cesare Garlati（趨勢科技消費化資訊傳播者）

這篇文章來自筆者2012年8月7日在東京Direction 2012大會上發言的一部分。

長久以來，我一直都在講消費化和自帶設備（BYOD）。而從我上次在新加坡CIO研討會上演講之後，過去這一年有什麼樣的變化呢？

發生的變化就是有越來越多企業都允許自帶設備。高階主管和IT經理第一時間地學到了自帶設備所帶來的好處和風險。

趨勢科技一直都和產業分析師（如Decisive Analytics和Forrester Research）共同合作去替IT決策者診斷問題，幫助我們了解他們的困難以及可以提供什麼樣的解決方案。他們也讓我們對於自帶設備有著深刻的了解。

因此，讓我們從最明顯的問題開始：自帶設備有多普遍？在去年，從我們的消費化報告裡可以看出，剛剛好超過一半的受訪者（56％）說他們的公司允許自帶設備。而從我們2012年最新的研究裡可以看到，這個數字已經顯著的增加了：Forrester的研究發現，這個數字目前超過了76％。最有趣的是，過去有些抗拒的國家，現在都變得比較接受自帶設備了。

自帶設備都是指哪些呢？大多數人都認為是：筆記型電腦、智慧型手機和平板電腦。而就是後兩者會導致企業最多的問題。企業的IT了解如何保護和管理安裝傳統作業系統的筆記型電腦。但很多企業還不知道要如何妥善管理來自非傳統IT廠商的行動平台，像Apple（iOS）和Google（Android）。

即使企業接納了自帶設備，他們也面臨了危險以及現實上可能產生的問題。到目前為止，最大的擔憂是資料安全、法規遵從和員工隱私。不僅如此，大約有一半受訪企業都承認，曾經因為自帶設備而遺失資料。

企業會做些什麼來確保自帶設備不會成為安全上的噩夢呢？一般來說，幾乎在所有案例裡，IT管理者會安裝安全和遠端管理軟體到使用者的設備上。讓IT更容易去抹除個人設備上的資料，一旦公司資料處於危險中時。

這些都是很好的開始，但想要妥善保護自帶設備，管理者必須了解兩件事情：要保護什麼以及威脅是什麼？

IT管理者普遍認為，當談到安全性和管理性時，受歡迎的這些行動作業系統在根本上是一樣的。然而，這並不完全正確。

在消費化報告裡，趨勢科技也檢視了這四種行動平台的安全特性：黑莓機、iOS、Windows手機和Android。這同時也是我們對這四個作業系統的評比順序：從最安全到最不安全。

如果你是IT管理者，這成了一個大問題：最安全的作業系統正在死去，而最普及的手機作業系統卻有著最多的漏洞！IT經理必須要了解，每種行動平台上的威脅狀況都有些許的不同，而要如何做好保護也就會跟著有所改變。

讓我們看看兩種最普及的行動作業系統以了解有哪些風險。第一是Apple iOS平台。

一般印象都認為Apple是個封閉、安全的平台。然而，這並不會因此讓它對危險免疫：如果你會去看那些被公開披露的漏洞，iOS在2012年的數字是大幅飆高的。還有越獄（JB），會打破Apple所築的圍牆，也降低了安全性。因此，iOS也有其危險性。

然而，Android才是真正需要擔心威脅的。來看看下圖：