Trickbot一直都是2019年最活躍的銀行木馬之一。這隻惡意軟體持續地透過新模組或更新來不停改進自己,而且背後的開發者也一直在尋找新目標。來自Security Intelligence的研究人員報告了Trickbot在日本的活動程度突然大增,趨勢科技研究人員也發現它更新了密碼擷取(pwgrab)模組,同時可能改用 Emotet 病毒散播 Trickbot。
之前的 Trickbot報告提到會入侵服務或平台來從瀏覽器、Outlook、WinSCP 和Filezilla收集登入憑證。趨勢科技報告發現它的pwgrab模組增加了竊取遠端存取軟體登入憑證的功能,如遠端桌面協定(RDP)、VNC 和 PuTTY平台。最新變種(趨勢科技偵測為TrojanSpy.Win32.TRICKBOT.TIGOCER)將目標放到了TeamViewer、OpenSSH、OpenVPN、Git、KeePass密碼管理器、SSH私鑰檔案、SSL憑證檔案和比特幣錢包檔案等大量登入憑證。
繼續閱讀作者:William “Bill” Malik (CISA 趨勢科技基礎架構策略副總裁)
一家客戶將企業內部與機房共置的資料中心移轉到純雲端架構時,系統事件的數量突然倍增:從原本的每天 10 億筆變成每天 20 億筆。就算聘再多人也無法解決這麼龐大的問題。在缺乏自動化事件交叉關聯分析機制的情況下,人力缺乏的問題已經不再是一項危機,而是一種生活常態。
根據最新的研究顯示,2019 年第一季每 0.3 秒就有一個新的惡意程式現身,每 3 秒會就有一個非重複漏洞被發現。2019 年第一季,所有可修補的軟體產品所釋出的修補更新總數超過 5,100 個。沒有任何一家企業機構能夠跟得上這麼大量的變化,即使企業有充分的財力來建置驗證與容錯備援所需的多重環境,或是能夠應付頻繁更新所造成的營運中斷。當前我們確實面臨了人才不足無法安裝這麼多修補更新的問題,但真正的問題卻不在人。若無一個機制可以自動部署修補更新又不中斷營運,只會讓真正的問題更加嚴重。
當我還在大學的時代,我記得聽說當時的貝爾系統 (Bell System) 對於自動接線設備的建置意興闌珊。雖然當時已經有一些規模較小的地方性電話公司已經能讓客戶直接在電話上撥打對方的號碼就能接通,但貝爾系統一直到 1930 年代之前都還使用人工接線的方式運作。事實上,早期的電話上根本沒有號碼可撥,您只要拿起話筒,撥個開關連上接線員,等接線員回應之後,您就可以請她幫你接通您要撥打的對象 (女性接線員一般被認為比男性接線員更有耐心,因此接線員多為女性)。
有些小型電話公司為了提高競爭力和獲利,因而採用了自動化接線系統,如此可省下接線設備和接線員的費用,讓打電話的人自己撥打對方的號碼。他們捨棄了硬體接線設備,改採軟體式交換系統。不過貝爾公司卻遲遲不肯跟上這波轉型,原因就在於他們希望能回收他們先前投資的交換設備與接線人員的訓練成本。直到後來他們針對電話的通話量進行了一項成長率調查,該公司才開始轉型。貝爾公司發現,隨著人們安裝與撥打的電話越來越多,到了 1950 年代,北美的每個男人、女人及小孩都得充當接線員才能應付這些通話量。為此,貝爾公司便開始逐步建置直撥電話號碼,只不過還保留了交換名稱,例如,我們家的電話號碼是「Normandy 1-2345」,後來變成「661-2345」。過了一段時間之後,長途直撥電話 (也就是超出當地交換範圍) 以及包含國碼和區域號碼的國際直撥電話也逐漸成為常態。(多年來,我們大學圖書館內最常被閱覽的一期 Bell Systems Journal 期刊就是有關自動接線與國際電話網路路由指令配對音調的那期。至少就我所知是如此。)
資料中心移轉到純雲端架構,系統事件從原本的每天 10 億筆變成每天 20 億筆
今日的資安產業有數百萬個職缺,這到底是哪些工作沒有人做?我們有一家客戶上個月在會議上演講時表示,當他們將企業內部與機房共置的資料中心移轉到純雲端架構時,系統事件的數量突然倍增:從原本的每天 10 億筆變成每天 20 億筆。就算聘再多人也無法解決這麼龐大的問題。在缺乏自動化事件交叉關聯分析機制的情況下,人力缺乏的問題已經不再是一項危機,而是一種生活常態。
每 0.3 秒就有一個新的惡意程式現身
根據最新的研究顯示,2019 年第一季每 0.3 秒就有一個新的惡意程式現身,每 3 秒會就有一個非重複漏洞被發現。2019 年第一季,所有可修補的軟體產品所釋出的修補更新總數超過 5,100 個。沒有任何一家企業機構能夠跟得上這麼大量的變化,即使企業有充分的財力來建置驗證與容錯備援所需的多重環境,或是能夠應付頻繁更新所造成的營運中斷。當前我們確實面臨了人才不足無法安裝這麼多修補更新的問題,但真正的問題卻不在人。若無一個機制可以自動部署修補更新又不中斷營運,只會讓真正的問題更加嚴重。
如果讓資安軟體接管了原本應該由人工處理的工作,風險太大?
有些人會說,雖然他們很想收到有關資安漏洞和駭客攻擊的通知,但他們卻寧願不用自動化工具來解決問題。他們的說法是,如果讓資安軟體接管了原本應該由人工處理的工作,這樣的風險太大。的確,當軟體的誤判情況太多時,這樣的說法確實有道理。但如果有了穩定可靠的機器學習技術做輔助,再配合一套多層式方法,自動化將可大幅改善數量的問題。
企業可透過自動化和託管式偵測及回應 (MDR) 來解決資安事件數量龐大的問題!
沒錯,人才確實短缺。但企業可透過自動化和託管式偵測及回應 (MDR) 來解決資安事件數量龐大的問題。企業可藉由一套跨平台偵測及回應 (XDR) 工具來彙整大量的事件,大幅減輕人員的負擔,同時可提高威脅防護的準確率與即時性。這套工具必須穩定可靠並通過市場考驗,同時要能避免誤判。如此就能從根本上解決資安人才短缺的問題。
想要進一步了解更多訊息嗎?請參閱 Trend Micro XDR
託管服務供應商 (MSP) 經常犯了三項常見的錯誤,廠商若能避免這些錯誤,並且主動教育客戶有關電子郵件相關的威脅該如何防範,就能創造持續不斷的重複營收。
今日企業已習慣仰賴雲端電子郵件和檔案分享服務來通訊並發揮生產力。然而,企業卻經常假設這些平台的內建資安防護足以攔截所有的電子郵件威脅。
事實上正好相反。
雖然 Microsoft Office 365 和 Google Drive 這類平台內建的防護確實能攔截某些威脅,但根據趨勢科技研究顯示,它們無法偵測網路真實世界當中 95% 的未知威脅。
因此,企業必須為電子郵件和檔案分享平台添加一道額外的防護。但大多數的企業卻都等到為時已晚才意識到這點,但此時系統已遭駭客入侵。
這正是為何 託管服務供應商 (MSP) 和 IT 服務供應商應主動教育客戶有關電子郵件威脅的觀念,以及如何加以防範。這麼做其實也有助於廠商掌握商機,開拓新的重複性營收。但廠商必須避免以下三項服務供應商經常會犯的電子郵件資安錯誤:
-誤以為平台內建的安全機制已經足夠
令人訝異的是,並非所有 MSP 及 IT 服務供應商都意識到自己有必要為其雲端電子郵件平台添加一道額外的防護。許多廠商就如同其客戶一樣,認為平台內建的防護便足以勝任這項工作。
在這樣的情況下,若廠商又未能主動教育客戶有關電子郵件威脅的風險,客戶將很容易因為網路釣魚和垃圾郵件而感染惡意程式,成為網路詐騙、網路間諜、資訊竊盜的受害者。廠商應該向客戶說明清楚,只要一位使用者不小心點選了被感染的網站連結或附件檔案,就可能讓整個企業遭殃,帶來深遠的影響:Atlanta (亞特蘭大 ) 至今仍未從其 2018 年勒索病毒攻擊事件所造成的 270 萬美元損失中站起來。
繼續閱讀中國一家創投公司被騙損失了一百萬美元,歹徒居中詐騙了這家創投公司與該公司想要投資的一家以色列新創公司。在這樁變臉詐騙攻擊或稱為商務電子郵件入侵 (Business Email Compromise BEC)當中,歹徒總共使用了 32 封電子郵件以及外觀相似的網域名稱來讓受害者信以為真。
根據受以色列公司委託調查這起事件的 Check Point 發現,新創公司有某位員工的帳號遭駭客入侵。駭客應該是從其電子郵件往來記錄當中發現了有關這筆中國創投公司種子基金的訊息,並且在交易預定日期之前數個月就已預先掌握。由於這筆交易牽涉的金額龐大,因此歹徒為了這個大撈一票的機會,也精心策畫了一番。
端點防護是安全策略的關鍵組成。但這還不夠。
今日的威脅情勢如此廣泛及多樣化,需要有連續不中斷的監控、對IT環境完全的能見度加上多層次安全防護來阻止駭客的攻擊。對MSP來說,這是個可以超越端點偵測及回應來提供全面性安全策略保護客戶端的巨大機會。
但是大多數的MSP仍過於關注在端點偵測及回應,這會讓部分的網路沒有受到保護。現今有許多威脅行動都很隱蔽,會偽裝及隱藏自己來等待適當的攻擊時機出現,而傳統環境並沒有能夠阻止此類威脅的設置,因為傳統作法都會切成不同單位來運作特定任務的應用程式。彼此之間無法相互相連,因此無法彙總出威脅脈絡全貌,也會拖慢調查和回應的速度。
MSP可以利用一整套全面性的安全方案來改善客戶的安全狀況,整合了中央能見度和監視能力,在威脅初期仍無害時就進行調查的能力以及快速回應的能力。這裡有三個需要在端點之外進行偵測及回應的有力說法: