必須要說的是,在寫本篇部落格文章時,我還必須將「wearables(穿戴式技術)」加入我文書處理程式的詞典。我們現在仍然處在進入「物聯網(IoT ,Internet of Things)」旅程的開始階段。但事實是,任何一個新生事物都有著自己獨特的狀況。而物聯網的狀況是:
設備和服務不再設計成各自為政,有許多公司現在都在提供API,包括了運動服裝公司、建築公司、百貨商、各國政府、慈善機構等你所可以想到的任何單位。
資訊安全:它是一場旅程
作者:Rik Ferguson(趨勢科技全球安全研究副總裁)
影片裡「只想把事情做好」的員工,竟成最脆弱的資安漏洞,問題出在哪裡?
人,是最大弱點,企業,不管大小,都必須想辦法去解決「只想把事情做好」之原意良好員工所帶來的風險。同樣地,雇主也有責任去隨時瞭解技術和網路犯罪的發展,以提供有效的教育訓練。
企業必須確保他們真正瞭解今日所面對的威脅,不只是他們自己所認為的。他們需要確保他們的使用者被訓練好可以有能力且謹慎地去使用網路和公司資源,而非只是盲目地相信技術解決方案。員工應該知道無形的危害會如何發生和他們要關心哪些地方。
同樣地,人們需要清楚他們自己以及別人個人資料的真正貨幣價值,給予應有的對待,而不是隨便地透過社群和專業網路、部落格、電話、假問卷調查等方式提供給好奇的不知名者。
目前大多數公司的資訊安全訓練僅提供給新進員工。作為新進員工,你必須消化所有相關的政策並簽名。問題是這通常是一次性事件,三個月或三年過去,不僅員工會忘記如何實際應用這些政策,而且也沒有重新審查這些政策,只是假定威脅或技術環境本身沒有變化。
教育訓練,尤其是在資訊安全領域,應該是一個持續的過程而不是一次性事件。理想情況下,它應該有樂趣和被參與,確保安全性會放在公司意識的前線,無論是在工作還是外面。良好的資訊安全實踐應超出工作場所範圍,如在家裡活動,尤其是在自帶設備和消費者化時代,可能會帶給工作嚴重的影響。
資訊安全訓練對於提供給不感興趣的對象來說會是個棘手的問題;許多重要經驗可以向行銷、創意和網站內容學習,成為你企業的一部份。安全訓練不只是安全小組的任務;它需要企業內部多個團隊共同合作才能達到真正的成功。
遊戲化的概念或利用遊戲設計技術來提高非遊戲領域是能夠被成功應用在安全訓練的地方。將你的員工以功能性或地域性分組;用分階段的方式來提供員工相同的訓練,隨著時間慢慢的升級。制定排行榜來激發你員工的競爭心理,用一系列意想不到的測試來讓他們接受挑戰;比方說神秘來電者嘗試進行社交工程技術,嘗試在社群網路上建立關係,網路釣魚電子郵件活動設計用來誘捕粗心的人。如果你的員工隊伍已經被事先警告過訓練中包含實作元素,而且他們的安全雷達將會被不斷的測試,這只會加強他們的一般安全意識。能夠持續性的賺取成就和獎項,建立激勵動機來將安全性保持在你做日常一切事務時的列表頂端。
重點不是要懲罰或用其他方式對待得分最低的個人或團體;而是要建立安全的文化,讓每個員工都更加瞭解到他們行為所造成的後果,即時這些行為在當時看起來完全無害。
資訊安全不是一個目的地,這是一場旅程。
在10月份,我們支援國家網路安全聯盟以慶祝網路安全月 – 旨在教育企業和個人如何保持網路安全。到這裡來看看我們為你所收集的有用影片、圖表、部落格文章和報告。
威尼斯語的「quaranta」,意思是「40」。檢疫的目的是要將可能曾經暴露於某種疾病但卻仍然健康的人或動物分開並限制其行動,以便看看他們是否會發病。其 40 天的觀察期為了找出當年的鼠疫 (也就是黑死病) 帶原者而設定,以免帶原者上岸之後造成傳染病擴大。雖然非常時期需要非常手段,但這個概念已廣泛普及,且延續至今。
不過,今日資訊安全產業已完全誤用「檢疫」一詞,指的是將已知感染的檔案或系統移至受保護的區域等候進一步檢驗和清除。這種作法更精確說法應該是「隔離」,因為大多數的情況下我們已經知道它們遭到了感染或入侵。不過,這還是達到了防止入侵擴大與後續損害、防止系統遭人用於散布垃圾郵件(SPAM)、防止敏感資訊遭到竊取、防止感染繼續擴大等重要目的。
今日的執法機關、資訊安全廠商 (如趨勢科技) 以及網際網路服務業者之間前所未有的聯合打擊行動,讓我們有機會檢驗一下這樣的觀念有多普遍,以及如何運用這個概念來打擊網路犯罪。非常時期的確需要非常手段。
參與 GOZeuS 及 Cryptolocker 圍勦行動的網際網路服務業者可利用執法機關的情報來發掘他們有哪些客戶遭到感染,然後通知客戶並協助他們清除。難道這不應該當成一種未來應建立的標準嗎?已知遭到入侵的系統應該隔離到清除為止。
如今日所見,當我們發布全球警示以及推動一波教育行動時,成果或許看似斐然,尤其是對於參與的資訊安全相關人員:11個執法單位、一長串的資訊安全廠商、記者會以及全國和國際媒體報導。但事實上,對於絕大多數網際網路使用者來說卻有如耳邊風一樣。教育計劃的效果基本上還是信者恆信,不信者恆不信 (我們去年拍攝的《2020》 系列影片正是為了擴大對話)。
我們必須採取一些行動來讓一般網際網路使用者真正了解其行為及毫無作為的後果,因為即使是駭人的頭條新聞,明天過後就會被大家遺忘。更何況,在一樁又一樁的資料外洩事件之後,人們對這類警告早已痲木不仁。
網際網路服務業者應持續利用資訊安全產業所提供的情報來發掘有哪些受感染的系統連上他們的網路。這些系統應該移至隔離區域,並且通知帳號使用者,告訴他們如何清除系統並矯正這樣的情況。在感染清除之前,這些電腦可存取的網際網路資源應該受到限制。使用者將被迫必須在乎。
同樣的作法對車輛已行之有年。車輛每年都要接受定期檢驗,如不通過就無法上路,直到改善為止,因為不合格的車輛將對駕駛人和其他用路人造成危險。非常時期的確需要非常手段。
◎原文來源: https://countermeasures.trendmicro.eu/its-time-to-quarantine-infected-computers/
這幾天的大新聞 eBay用戶帳密資料庫遭駭1億4千萬用戶個資恐外洩,eBay於5月21日在官方部落格緊急發布公告坦言:「該資料庫在二月底和三月初受駭,範圍包括 eBay的客戶姓名、加密過的密碼、電子郵件地址、實際地址、電話號碼和出生日期」這些用戶資料都有可能外洩,報導推測恐超過了去年12月美國第二大連鎖商店 Target 遭駭所影響的1.1億客戶,eBay遭駭事件將成為美國史上最大宗資料外洩事件。
eBay目前是說並沒有看到有詐騙事件出現。而且eBay也說此起資料外洩事件並不會影響到PayPal帳號:據他們所說,這些都儲存在分開的系統上。
如果你是eBay客戶,這首先代表的是你要變更密碼了。隨著像這樣的資料外洩事件接二連三的出現,很重要的一點是要在每個網站上都使用獨特的密碼。這也是像趨勢科技PC-cillin 2014雲端版內建的<密碼管理 e 指通>這樣的密碼管理工具可以幫上忙的地方。
除了變更密碼,此一事件也再次顯示出你可能需要看看即時身份竊盜監控。跟其他我們見過的資料外洩事件不同,這次包括了實際地址、電話號碼和出生日期,能夠讓惡意份子更容易去竊取你的身份。只是變更密碼並無法保護你免於此種威脅。
在2014年初,趨勢科技的技術長Raimund Genes預測每個月都會出現一起大規模的資料外洩事件。這之後出現了Target和Nieman Marcus資料外洩事件,所以很不幸地,這預測看起來相當正確。
關於此事件的其他觀點,可以參考以下這篇文章提出了給eBay的五個問題,而且可以同樣地適用於任何廠商。
——————————————————————————————
趨勢科技全球安全研究副總裁 Rik Ferguson
如果你正在製作高知名度的資料外洩事件列表,你現在有個新名字可以加進列表裡了:eBay。在他們網站新聞中心的一篇文章裡,eBay在一定程度上確認了資料外洩的規模,雖然標題上看不出來。
「該資料庫在二月底和三月初受駭,範圍包括eBay的客戶姓名、加密過的密碼、電子郵件地址、實際地址、電話號碼和出生日期」
雖然調查還在進行中,目前的文章顯示eBay大致確認只有一個資料庫遭到未經授權的存取,至少文章內的用詞是這樣的意思。現在,如果你是個eBay使用者,你將會需要變更你的密碼。如果你在其他網站上也用了一樣的密碼,那你也要在那些網站上變更密碼(是的,再一次地)。不幸的是,變更名字或地址就沒那麼容易了,所以這些部分所受到的危害還是沒有改變。
eBay,我有一些問題要問你(是的,我很生氣,這些都是我託付給你的資料)
1 – 如果所有的敏感資料都存放在單一的資料庫上,為什麼沒有加密。事實上,為什麼沒有跨多個資料庫的加密?我有些惱怒的注意到,「所有的PayPal金融資料都是加密的」,還在執行兩層式的系統嗎?
2 – 如果你要告訴我,它是加密的,但攻擊者取得了資料庫的登入憑證,那為什麼這些重要的系統沒有使用雙因子身份認證?
3 – 為什麼只靠被駭的登入憑證就可以存取企業網路?再一次,多因子認證呢?
4 – 為什麼具備eBay這樣資源的組織需要花上三個月來發現資料被不當存取過,更不用說還被竊走?入侵外洩偵測系統在哪裡?
5 – 我的密碼是怎樣「加密」的?我想要細節。我想知道是用哪種演算法以及是如何加料(Salted)的。我想知道我的密碼會被暴力破解的實際機率,這樣我才能準確的評估我的受害程度,並提供實用的建議給別人。
額外的加分題
– 一開始的帳號被駭是怎麼發生的,你要如何確保這不會再發生?
有效的安全性已經不再是想要去設計出可以永久阻絕攻擊的架構了,這只是痴人說夢而已。如果他們想進入,他們就會做到。有效的安全性是接受可能被駭的現實,將系統和流程整合以讓你可以及時發現和反應,關鍵是,你要讓攻擊者極難帶走他們原本想要的目標。你又是怎麼做的呢?
你在新聞聲明結尾中提到:「相同的密碼絕對不要在不同網站或帳號上使用」。我同意。我要以此來結束我的「聲明」。
敏感資料,尤其是你被信任而持有的資料,都應該要加密,沒有例外。
噢!還有,如果你送出提供連結來讓我點入以變更密碼的電子郵件。那你就永遠地從我進行聖誕購物的選擇中除名了。
這個部落格的許多讀者也都是 Facebook 和 Twitter 的固定用戶,在這裡分享一下十個臉書,LINE 等社交網路安全使用守則。
1 熟悉社交網站的隱私權設定與安全政策
如果你不滿意他們的作法,請立即停止使用其服務。
2012年Instagram 一度宣布改變其隱私權政策和使用條款協議,讓他們自己有權利去分享使用者在任何目的下所公開發表的任何照片。Instagram可以有權力去從出售這些照片中獲利,而且很清楚的說明原本的擁有者將不會有任何補償。他們更進一步說明,他們對於你所提供的任何內容都沒有保密義務。
「Instagram對你所有的內容都沒有保密義務,Instagram也不會對任何你所提供的內容被使用或披露負任何責任」
請參考這篇文章 Instagram有權力出售你的照片?!
推薦閱讀:
防臉書帳號密碼被盜,必學Facebook隱私設定大全
噓~下班後,不能在臉書說的話(多則先烈案例)~抱怨文”好友限定”設定只要一下指
2 千萬不要照實填寫全部填寫所有的欄位
當你在建立個人網頁時,請仔細考慮你所提供的每一項資訊是否都絕對必要,是否與該網站相關。例如,你是否真的需要提供電話號碼,或許你的手機就能接收電子郵件或即時通訊,所以就不需提供電話號碼。考慮是否有實際上的必要,千萬不要只因為表格上有這些欄位就盲目填寫。
再次提醒您,不管你在哪裡貼文,進行之前先問問自己:“如果有個陌生人打電話跟我索取這資料,我會很樂意地提供出去嗎?”如果你的答案是“不”,那就離你的滑鼠遠一點。
推薦閱讀:
450萬名Snapchat用戶的使用者名稱和電話號碼被曝光
六個常在 Facebook上犯下的錯誤與案例(詳盡案例說明)
3回應別人的文章時,你發表的內容是公開的
當你在發表文章、聊天、寫信、回應別人的文章,或者在別人的個人網頁發表意見時,要記住你所發表的內容將完全沒有私密性。即使你已經開啟所有可用的隱私權設定,你還是無法保證你的內容不會遭到複製、轉貼、下載或透過其他方式分享至其他你所不知道的地方。
4重設密碼要小心你的「安全提示問題」
曾為美國副總統參選人的Sarah Palin莎拉裴林的案例, 2008 年駭客使用教科書中最老舊的手法之一 – 利用密碼重設功能 – 入侵了美國副總統候選人莎拉裴琳(Sarah Palin)的 Yahoo! 個人帳號(請參考:Sarah Palin’s E-Mail Hacked),還把他入侵成功的證據公諸於世。據新聞報導指出,駭客在 Yahoo! 的身分確認問題清單中正確地選擇了「你在何處遇見未來的另一半?」這個問題,然後試過一些 “Wasilla High School” 的不同表示方式之後,最後成功猜出 “Wasilla high” 這個答案。
大多數的網站都會提供一種方式讓你在忘記密碼時重設密碼。但這也是最常見的帳號入侵方式之一。如果你要設定所謂的「安全提示問題」來保護你的帳號,請確定這些問題是否真的安全。所謂的安全是指只有你自己才知道問題的答案。如果可以的話,請自行建立你自己的安全提示問題。如果問題是「你寵物的名字?」,並不表示答案不能設定為「我是大美女」
如果你被迫使用一些標準問題,例如:「第一個學校」或「第一隻寵物」,請記得,你不需據實回答,只要填上你可以記住的答案就行。:你所選擇的問題,必須讓駭客無法藉由在線上搜尋你的背景資料而猜出答案,此外你還必須確定他人無法透過公開的來源取得太多關於你個人的資訊。人們現在不需花費太多功夫即可取得經常用於識別身分的資料,例如郵遞區號、就讀的高中、你的愛犬等等。
試想,你曾不曾在Facebook 張貼你寵物的名字?你就讀的學校是不是在你的個人檔案一目了然?
密碼提示問題1.:我寵物的名字? 設定的答案1:現在是下午5:00
密碼提示問題2.:我就讀的高中? 設定的答案2:今年冬天會很冷
粉絲建議:
「你母親的姓氏?」我覺得還不錯啊…但我設定的答案是…”卡好”。
「我寵物的名字?」我都寫 我老婆英文名字。
推薦閱讀:
1位副總統候選人,2位總統 , 3位大明星,猜猜哪位用 12345 當密碼?
5 切勿在不同的網站使用相同的密碼
萬一有某個帳號遭到入侵,你才不必擔心其他帳號的安全問題。建立複雜的密碼,混合使用大小寫、數字和特殊字元,如:$%&!。想辦法區分你每個網站所用的密碼,例如,將網站名稱的第一個和最後一個字母分別加在密碼的開頭和結尾。
(秘訣:許多自動化暴力破解工具都沒有將 £ 符號列入清單當中,因此這是一個不錯的選擇。要在非英國鍵盤上打出這個符號,可以按住 Alt 鍵然後再輸入 0163)。
推薦閱讀:
密碼別再12345,521314(我愛你一生一世)了~PE_MUSTAN.A 病毒鎖定 246 組弱密碼刪除檔案
密碼管理 e 指通,再多的密碼也不用記小抄(含七個密碼帳號管理小秘訣)
高雄一名清秀女大生,接受陌生女子邀請加入朋友,結果身份、照片遭到盜用,對方就把姓名、照片都改得和她一樣,發送不堪入目的色情照片以及援交訊息,讓他被親朋好友誤會,女大生不堪其擾只好報警處理。報導指稱因為陌生人是表哥共同好友,不疑有他接受確認邀請,卻展開了一場惡夢,對方拷貝盜用她照片和個資,在交友網站留言,還邀請女大生朋友加她為好友,之後亂標記朋友在不堪入目的照片裡。
警方推測可能是色情業者假冒李同學的身分在臉書上公然攬客。
提醒大家若收到交友邀請,勿貿然加入,問問他如何知道你的聯絡資料,看看是否有詐。這不僅是為了保護你自己的隱私,也是保護你朋友。 繼續閱讀
