企業資安 - 資安趨勢部落格

企業資安:如何防範中間人 (MitM) 攻擊?

2017 年 09 月 28 日2017 年 09 月 11 日趨勢科技 TrendMicro

網路基礎架構是企業使用者溝通及分享資訊的主要管道，因此，對於企圖滲透企業以竊取企業資料或者造成企業停擺的駭客來說，網路基礎架構是他們攻擊的首要目標。

中間人攻擊 (Man-in-the-Middle Attack) 簡稱 MitM攻擊，是一種從中「竊聽」兩端通訊內容的攻擊手法，可能對企業造成重大威脅。由於駭客不僅能從中接收資料，還能從中插入自己的資料，因此企業所傳輸的資料不僅可能外流，更可能遭到竄改。有鑑於企業網路很可能會傳輸一些關鍵的資料，因此 MiTM 攻擊是 IT 人員必須正視的重大真實威脅。

要防範 MiTM 攻擊，IT 人員首先要了解網路犯罪集團攻擊使用者和企業機構的各種技巧，如此當自己遭到攻擊時才能有所警覺。

位址解析協定 (ARP) 快取汙染

位址解析協定 (Address Resolution Protocol，簡稱 ARP) 是一種透過資料連結層 (data link layer) 將網路位址 (如 IPV4 和 IPV6) 對應到實體位址 (如 MAC 位址) 的通訊協定。基本上主機必須發送一個 ARP 請求到某個 TCP/IP 網路上來查詢對應的實體位址。但因為 ARP 協定安全性的問題，歹徒可能利用一種叫做假冒 ARP 資料 (ARP Spoofing) 的技巧來發動 MiTM 攻擊。

由於 ARP 協定缺乏認證機制，因此駭客可以發送一個假的 ARP 訊息到區域網路 (LAN) 上，讓駭客鎖定的目標主機 IP 位址改對應到駭客電腦的實體位址。如此一來，原本要傳送給目標主機的網路流量都會改傳送至駭客的電腦。駭客接收到網路流量之後就能從事監聽或篡改通訊內容。繼續閱讀

Piriform CCleaner 被駭客植入惡意後門程式

2017 年 09 月 22 日2017 年 09 月 22 日趨勢科技 TrendMicro

相關資訊 :

據報導指出著名的系統清理軟體CCleaner.exe遭駭客入侵並植入多階段後門，可能導致安裝該軟體的電腦被操控貨資料外洩。以下為CCleaner受影響的版本 :

CCleaner version 5.33.6162
CCleaner Cloud version 1.07.3191

趨勢科技產品已經可以偵測受影響的CCleaner，並將之偵測為BKDR_CCHACK.A

散布方式 :

受影響的CCleander是直接透過 Piriform 的網站來進行散布。駭客作者將惡意程式碼植入該程式後，再讓一般未警覺的使用者下載並進行安裝，進而控制受害者的電腦。由於該程式經過合法的數位簽署，一般使用者難以察覺該惡意程式在背後偷偷的運作。

本機雲端病毒碼 :

趨勢科技13.669.00與之後的病毒碼將之偵測為BKDR_CCHACK.A

網頁信譽評等服務 :

網頁信譽評等服務將評估所有發起URL的http請求可能的潛在風險，並依照從雲端資料庫所查詢到的評等與產品中的安全性等級設定來進行攔阻。

IT管理者建議採取方案 :

更新CCleaner至最新版。(受影響的版本為5.33.6162)
透過如 Deep Discovery Inspector等網路監控產品監控所有可疑的對外連結。若有發現對外有連結至C&C伺服器，代表已有電腦受到感染。
避免讓使用者自行下載安裝網路上的任何未經允許的軟體。IT管理人員可利用TrendMicro Safe Lock或是Trend Micro Endpoint Application Control控管軟體掌控電腦中運行的應用軟體、檔案或程序。
教育使用者正確的資安觀念與意識，讓使用者充分了解自行下載安裝程式所造成的風險與危害。

詳細資訊請參考External KB

當發現資料外洩時,美國三大信貸機構 Equifax 怎麼做?

2017 年 09 月 18 日2017 年 09 月 18 日趨勢科技 TrendMicro

美國三大信貸機構之一 Equifax 坦承發生大規模資料外洩事件，至少有 1.43 億美國消費者受到波及，相當於美國 44% 的人口，這起資料外洩事件勢必將對很多人造成重大影響。

金融界對於網路安全一向非常重視，其中一個原因就是對今日威脅情勢有相當深刻的體認。

他們的資安團隊不僅非常賣力防範網路攻擊，而且平常就訓練有素並有周詳的計劃，所以才能在不幸事件當中迅速復原。

網路資安事件發生的原因，基本上都相當複雜，像 Equifax 這麼大的企業，本來就有許許多多可能出錯的環節，而且不同的團隊之間還必須彼此協調配合。

最重要的是，這一切都還必須盡可能在不影響公司日常營運的情況下達成。所以該如何拿捏，實在不是件簡單的事。

事件因應

根據該機構的聲明，以下是我們目前所掌握到的狀況：

駭客竊取了 2017 年 5 月中至 7 月 29 日的資料。
該公司一發現駭客入侵，便立刻阻止了駭客的行動。
阻止之後，該公司立即聘請信譽優良的外部機構來協助他們進行鑑識分析。
在評估過對消費者的影響之後，該公司已採取某些措施來防止使用者受到進一步損害。

聘請外部團隊進行內部鑑識分析

從外界看來，Equifax 的事件應變程序不僅相當完善而且流暢。或許有些人會質疑該公司為何聘請外部團隊來協助他們進行內部鑑識分析，但這麼做確實有些重要的優點。

首先，這麼做可以增加人手，因為真正的鑑識分析需要花費相當多的時間，並且耗費精神。所以，聘請一批訓練有素的專業人員來協助這項工作，核心團隊就能專心繼續維護網路的安全，並協助公司恢復正常營運。繼續閱讀

趨勢科技2017年上半年資安總評報告出爐勒索病毒、變臉詐騙猖獗 IoT攻擊數量不斷攀升

2017 年 09 月 12 日2017 年 09 月 20 日趨勢科技 TrendMicro

企業務必投資適當的網路資安防禦資安防禦升級

【2017年9月12日台北訊】全球網路資安解決方案領導廠商趨勢科技 (東京證券交易所股票代碼：4704) 今天發表「2017 上半年資安總評：駭客入侵的代價」研究報告，詳細說明了 2017 上半年企業依然不斷遭遇營運中斷與資安上的挑戰，面臨日益增加的勒索病毒、變臉詐騙 (BEC) 以及物聯網 (IoT) 相關攻擊。除此之外，一種新的威脅「網路宣傳 (Cyber Propaganda)」對企業商譽的影響力也不容小覷。

今年上半年，趨勢科技共偵測到近8,300 萬個勒索病毒威脅，以及 3,000 次變臉詐騙嘗試攻擊，更加突顯資安的重要性。儘管資安占企業 IT 預算的比例越來越高，但根據最近一份由 Forrester 所做的分析報告 [1] 指出，這些預算並未妥善分配，無法解決企業日益面臨的威脅。

趨勢科技資訊長鄭奕立指出：「企業預算必須優先花在有效的資安防禦，因為一旦遭駭客入侵，其代價通常不是企業預算能夠負擔的。今年，重大網路攻擊事件依舊是全球企業的敏感話題，而這股趨勢很可能一直持續到年底。企業最重要的就是要改變思維，別再將資安視為單純的資訊安全措施，而是一種對企業未來的投資。」

繼續閱讀

35% 的 IT專家認為網路釣魚是企業最耗時的威脅

2017 年 09 月 12 日2017 年 08 月 30 日趨勢科技 TrendMicro

IT 主管在公司安全計劃中有許多必須考量的因素，其中最重要的因素包括最新的威脅。掌握最急迫 IT 防護痛點的相關知識，管理員即可預先確保其組織的關鍵任務技術資產受到妥善保護。

根據黑帽 (Black Hat) 在 2017 年的調查「即將出現的網路威脅樣貌」，網路釣魚是安全專業人士當今所面臨最大且最耗時的挑戰之一。

網路釣魚已成為一連串潛在網路攻擊策略的起始點,包含勒索病毒

黑帽參與者調查 (Black Hat Attendee Survey) 包括總計 580 位網路安全專家，徹底觀察產業的最大疑慮。研究人員發現有 50% 的 IT 主管最擔心的威脅，是針對其公司進行的攻擊中所使用的網路釣魚、社交網路入侵及其他形式的社交工程。此比率較 2016 年增加 4%，使網路釣魚成為企業安全中最普遍的威脅。

有關網路釣魚與社交工程的疑慮是整個調查結果中共通的主題，同時發現：