企業資安 - 資安趨勢部落格

Windows XP將終止支援,趨勢科技提供工具,協助用戶管理風險

2014 年 04 月 03 日2014 年 04 月 08 日趨勢科技 TrendMicro

趨勢科技呼籲用戶儘快升級

【台北訊】微軟宣布終止 Windows XP作業系統的支援，意味著新發現的 Windows XP 漏洞將不再修補，微軟亦不再追蹤並回應這些漏洞。有鑑於Windows XP是目前仍普遍被企業與消費者使用的作業系統，終止支援勢必帶來資安疑慮。全球雲端資安領導廠商趨勢科技表示，終止支援後使用 Windows XP 的風險將會增加，呼籲用戶最好儘快升級，同時趨勢科技亦提供必要的工具，來協助用戶管理 Windows XP 系統所面臨的風險，包括虛擬修補/漏洞防護技術、強化端點裝置的安全性等。

根據 StatCounter的資料顯示，截至二月為止，幾乎每5台 PC 就有1台仍在使用 Windows XP。因此，微軟終止Windows XP作業系統的支援，已經引發了諸多安全疑慮。Windows XP 終止支援的意義為：新發現的 Windows XP 漏洞將不再修補，Microsoft 亦不再追蹤並回應這些漏洞。，隨著時間一久，如有越多漏洞被人發現和利用，安全風險將不斷升高

不過，安全性最重要的就是管理及降低風險。除了呼籲用戶儘快升級作業系統之外，趨勢科技亦將持續為客戶提供必要的工具，來協助IT管理者針對 Windows XP 系統所面臨的風險進行管理。其中，最有效的工具就是虛擬修補/漏洞防護技術，而配備這項技術的 Deep Security 與 OfficeScan 搭配 Intrusion Defense Firewall (IDF) 入侵防護模組等產品，能在網路流量到達使用者的應用程式「之前」就預先掃瞄及檢查，進而防堵伺服器和端點裝置的漏洞。

最重要的一點是，Windows XP 的終止支援一事，用戶是可以預做計劃和準備的，仍有一些工具及專業知識能協助使用者保護系統及網路。趨勢科技也準備了一份入門指南「管理您的老舊系統 (Managing Your Legacy Systems)」針對此議題提供更詳盡的資訊。

資料外洩：給系統管理者的警訊

2014 年 03 月 13 日2014 年 02 月 25 日趨勢科技 TrendMicro

在趨勢科技的2014年預測裡提到，我們相信每個月都會有一起重大的資料外洩事件出現。美國零售商的資料外洩事件報導迎來了新的一年，數百萬消費者的信用卡資料在這起事件裡被竊。這樣的規模和嚴重程度讓人無法忽視。雖然大部分的報導（實體或網路）都專注在誰是惡意軟體作者之類的手法問題上。但從長遠的角度來看，更重要的是是否有很多方法可以防範這類的攻擊，或有什麼安全措施可以用來對抗這類攻擊。

比方說，門市銷售系統（POS）是實施白名單或系統鎖定的理想狀況：在POS系統上不需要執行一般的應用程式。鎖定系統會使得在POS設備上執行惡意軟體變得更加困難。

另一方面，這樣大規模地的攻擊，將惡意軟體分別地安裝到每個POS系統是極不可能的事。幾乎可以肯定有某種遠端管理軟體用來將惡意軟體安裝到POS系統。這並不是第一次用來自動化安裝軟體的系統被入侵；去年韓國有多個應用程式的自動更新系統被用來植入惡意軟體到受影響系統上。

這樣大量的資料在網路上移動也應該要被偵測。網路防禦解決方案可以偵測這起攻擊所產生的內部網路流量或資料外洩流量，或是兩者都可偵測。繼續閱讀

防禦使用Tor（The Onion Router）匿名服務的惡意軟體(一)

2014 年 03 月 07 日2014 年 03 月 03 日趨勢科技 TrendMicro

在過去的幾個月裡，Tor（The Onion Router）匿名服務因為各種原因出現在新聞上。最為人所知的可能是它被用在現已關閉的Silk Road地下市場。在趨勢科技標題為「深層網路和網路犯罪」的白皮書裡深入探討了深層網路的話題。在2014年預測裡，提到網路犯罪份子會進入更深層的地下世界，其中一部份會更多的使用Tor。

網路犯罪分子顯然沒有對Tor的潛力視而不見，網路管理者也必須考慮到使用Tor的惡意軟體可能會出現在自己的網路內。他們該如何應對這方面的發展？

到底什麼是Tor？

Tor被設計來解決一個相當具體的問題：阻止中間人（如網路管理者、網路服務供應商、甚至是國家）來確認或封鎖使用者所連上的網站。它如何做到這一點？

之前被稱為「洋蔥路由器」，Tor是洋蔥路由概念的實作，會有許多網路上的節點提供網路流量的中繼服務。想要使用Tor網路的使用者會安裝一個客戶端程式在自己的電腦上。

這個客戶端程式會連上一個Tor目錄伺服器來得到節點列表。使用者的Tor客戶端會選出一條網路流量路徑，透過各個Tor節點來到達目的地伺服器。這路徑就是為了不容易被追蹤。此外，節點間的所有通訊都被加密過。（關於Tor的更多詳情可以在Tor專案官方網站上找到。）

實際上，這會對你所連上的網站，以及任何在你行經路徑上可能會監聽你網路流量的攻擊者隱藏住你的身份（或至少IP地址）。對一個想要隱藏自己行蹤，或因某種原因被試圖連上的伺服器拒絕IP地址的訪客來說很有用。

這可以用來做合法和非法的用途。不幸的是，這意味著它可以，並且已經用在惡意目的上。

它如何被用在惡意用途？

就跟其他人一樣，惡意軟體可以很容易地使用Tor。在2013年下半年，我們看到更多惡意軟體利用它來隱藏自己的網路流量。在九月，我們有篇部落格文章提到Mevade惡意軟體下載Tor元件以作為命令與控制（C＆C）通訊的備援。2013年10月，荷蘭警方逮捕了四名TorRAT惡意軟體的幕後黑手，這是一個利用Tor進行C&C通訊的惡意軟體家族。這惡意軟體家族針對荷蘭使用者的銀行帳戶。調查工作很困難，因為它使用了地下加密服務來逃避偵測，並且使用加密電子貨幣（如比特幣）。

在2013年的最後幾個禮拜，我們看到一些勒索軟體Ransomware變種稱自己為Cryptorbit，明確地要求受害者使用Tor瀏覽器（帶有預先Tor設定的瀏覽器）來支付贖金。（該名稱的靈感可能來自於惡名昭彰的CryptoLocker惡意軟體，它也有著類似的行為。）

圖一、使用 Tor之勒索軟體的警告

趨勢科技曾論了幾個ZBOT樣本，除了使用Tor來進行C＆C連線的樣本，還有樣本會將自己的64位元版本嵌入正常的32位元版本內。

圖二、執行中的64位元ZBOT惡意軟體

繼續閱讀

IT 部門因網路活動劇增而擔憂無法偵測威脅

2014 年 02 月 24 日2014 年 02 月 24 日趨勢科技 TrendMicro

有些IT主管認為自己正在跟網路犯罪份子打一場艱難的戰爭。最近一份針對英國IT專家的調查顯示，許多受訪者對於自己在資料量不斷增加時對抗攻擊缺乏信心，需要擁有額外的監控能力。

這樣子的想法並不只出現在英國。世界各地的私人和公家單位都一直在努力應付網路活動劇增的狀況，其中一些和複雜性攻擊有關。最近的假期季節出現幾起值得注意的攻擊活動，像是Target零售商的資料外洩，行動應用程式Snapchat數百萬使用者名稱和電話號碼被駭，以及針對Skype的攻擊。

對於防備網路攻擊的疑慮甚至已經悄悄地進入國家安全討論。警惕著對關鍵基礎設施的威脅，英國和日本已經採取行動來解決IT系統弱點。部分美國國防部官員甚至將網路戰視為最危險的國家安全。

此一不斷高漲的IT風險意識不需要變成了恐慌，但是組織必須建立新的安全策略，不只是來自IT管理者，還要包括其他部門人員的加入，因為網路攻擊可能會中斷整間企業運作。從技術角度來看，整合網路監控解決方案和資料中心可能是直線化IT基礎設施來面對新威脅環境的關鍵一步。

RedSeal調查顯示英國對於防備能力的廣泛擔憂

RedSeal對350位英國IT專家的調查顯示他們對網路安全的疑慮。不到一半的受訪者認為自己可以如實地告訴公司高層，公司的運作可以在面對攻擊時保持安全，超過36％的人表示自己不能這樣說。

不過對這些主管來說，真正要面對的現實問題是採購流程和人員方面，而不是網路罪犯能力的突然增加。有近三分之一受訪者證實，他們忽略嚴重的漏洞是因為缺乏時間或合適的安全解決方案，有28 ％的人希望可以有更好的工具來處理網路資料過多的問題。

「網路犯罪社群知道企業已經無法處理過多的資料，而且沒有足夠的資源或工具來保護他們寶貴的資產，所以他們可以利用這些弱點，」RedSeal執行長 – Parveen Jain說道。「我們建議利用自動化解決方案，讓你可以利用可執行的情報來全神貫注在重要而脆弱的資料上。這樣一來，IT部門就能夠對全盤網路安全架構有可見性，使他們能夠捍衛自己的系統，對抗複雜性網路攻擊。」

溝通是另一常見的絆腳石，有60％的人反應說，在討論組織安全時，高層和IT部門的瞭解不同。同樣地，多數受訪者對於利用關鍵績效指標來展示進度有困難。

在攻擊偵測和回應前線要做的事

RedSeal對於企業要使用自動化解決方案的建議是第一步，特別是鑑於IT部門有監測和回應網路活動的問題。有百分之四十五的受訪者斷言，他們甚至不知道自己是否被駭客攻擊過，因為他們的系統內充斥著過多的資料，以致於不可能精確定位攻擊。

面對威脅真正問題並不完全是技術方面，有許多是跟組織如何去架構回應網路攻擊。說到財富雜誌，作者Peter Singer認為，公司的高階主管應該要更多地了解IT風險，尤其是因為70％的企業高階主管必須為公司做出關於網路安全的決定。繼續閱讀