企業資安 - 資安趨勢部落格

將工作帶回家，將威脅帶回工作 ?! 連網工作者如何保護家庭與企業網路

2018 年 05 月 11 日2018 年 04 月 26 日趨勢科技 TrendMicro

近期一些嚴重的威脅都是因為員工家用網路及一些公共場所的網路所引起，如：咖啡廳、機場、飯店等等。在家工作者的網際網路連線所帶來的資安漏洞不容忽視。有位員工在下班後將公司筆電帶回家中繼續工作。但該員工的女兒也利用這部筆電來上網讀取自己的電子郵件。很不幸地，該女兒開啟了一封含有 Sircam 的電子郵件，這是一個在網路上散布的病毒。

由於該員工的女兒開啟了病毒郵件的附件檔案，因而使得這台公司筆電感染了 Sircam。更慘的是，該男子並不知情，所以又把筆電帶回公司並連上企業網路。Sircam 因而從該筆電擴散至企業網路。

在目前的企業環境與員工生態下，許多人都會透過各種裝置從各種不同地點存取企業的系統和資產。員工再也不被綁在辦公桌前，許多員工和工作者不是在家上班，就是以其他遠端形式在外工作。

這樣的模式確實帶來不少好處，例如：降低員工相關成本、提高員工的工作滿意度和生產力。也因如此 (以及其他原因)，無怪乎全美國有將近 4 百萬人口一星期當中至少有一半的時間都在家工作。

然而，當企業讓員工能夠從辦公室以外的地點和網路來執行一些營運關鍵的工作時，就必須考慮到某些重要層面，也就是資料安全。

將工作帶回家，將威脅帶回工作

近期一些嚴重的威脅都是因為員工家用網路及一些公共場所的網路所引起，如：咖啡廳、機場、飯店等等。正如 ComputerWeekly 特約記者 Peter Ray Allison 指出，在家工作者的網際網路連線所帶來的資安漏洞不容忽視，而這也是當前資安情勢當中最常被忽略的威脅。繼續閱讀

資料外洩事件必須在 72 小時之內通知! IT 安全對邁向 GDPR 遵規之路有多重要?

2018 年 05 月 10 日2018 年 05 月 11 日趨勢科技 TrendMicro

歐盟通用資料保護法 (GDPR-General Data Protection Regulation) 所強調的重點是企業內的透明、安全與責任歸屬，這其中每一項都對資安造成不同程度的影響，從行動、預防，到減低傷害、監督、資安意識等等。

在這段有關我們如何邁向 GDPR 遵規之路的最新系列影片當中，我們的 IT 安全總監 William Dalton 將說明 GDPR 如何影響趨勢科技在資安上的作法，包括：促使我們從全球觀點來看待資料隱私的管理，以及改變我們對資料外洩事件的對外通訊方式。

GDPR 最重大的挑戰之一就是資料外洩事件必須在 72 小時之內通知，這突顯出資料外洩事件必須明確告知的重要性。為了達成這項規定的要求，我們制定了一些新的程序和作法來讓我們不僅能夠確切掌握是否有資料外洩發生，更能夠在發生時迅速而準確地加以矯正和通報。

GDPR 另一個需要注意的重要領域是必須採用頂尖的防護技術。為了符合這項規定，我們採用了多重技術 (包括趨勢科技自家的多項產品) 來保護客戶資料，協助我們達成法規要求。有鑑於該法規對於網路邊境、資料中心內部以及端點裝置都有資安與隱私的要求，因此採用趨勢科技環環相扣的防護產品，讓我們在需要通報資料外洩事件時更加輕鬆，因為不論事件發生在何處，我們都能夠輕易掌握資安狀況並蒐集必要資訊。

請觀賞這段影片，讓我們的 IT 安全總監為您說明 GDPR 將在哪些層面對資安造成影響，以及採取全球觀點來管理資料的重要性，還有為何您需要頂尖的防護。

系列影片簡介:

銷售和行銷：看我們的營運長 Kevin Simzer 說明我們如何和客戶站在同一陣線，一起邁向 GDPR 遵規之路，以及這個過程能帶來什麼效益。

人事：看看 GDPR 如何影響我們的員工，以及我們如何確保員工真正了解這項法規。

行銷業務：看看我們的行銷業務團隊如何確保所有外部平台上的客戶資料都能受到妥善保護。

產品與服務：聽聽我們的雲端防護資深副總裁 Bill McGee 說明我們如何不斷創新來提供頂尖的產品功能，以及我們如何協助客戶履行其雲端環境共同分擔的資安責任。

銷售與通路訓練：看看讓現有的通路合作夥伴認識 GDPR 有多重要，以及我們如何協助他們找到達成 GDPR 規範所需的工具。

原文出處：Buckle up: The Importance of IT security on the GDPR Journey 作者：Steve Neville

《1987-2018 資安威脅演變史》回顧主動事件應變策略的發展與對企業的意義

2018 年 05 月 09 日2018 年 09 月 19 日趨勢科技 TrendMicro

本文回顧威脅情勢發展上一些促使企業開始採取主動事件應變策略以強化其網路資安防禦的重大事件。

今日的威脅既複雜又猖獗，光靠防範似乎已經不夠。事實上，根據專家指出，威脅已經無可避免。除此之外，再加上網路資安技術上的缺口也使得資安威脅對企業的營運、獲利和商譽帶來龐大的風險。為了因應這樣的情況，企業開始改懸易轍，建置一些主動偵測技術與事件應變策略來強化其防禦。換句話說，企業或許無法完全避免所有的資料外洩或網路攻擊，但卻能夠針對這類可能帶來重大損失的事件做好更周全的準備，進而降低、控制損害並從中復原。

然而，是什麼樣的原因造成這樣的改變？促使企業在網路資安防禦當中加入主動偵測、回應及矯正技術的因素為何？讓我們來回顧威脅情勢發展上一些促使企業開始採取主動事件應變策略以強化其網路資安防禦的重大事件。

1987 年 10 月

Cascade (瀑布) 病毒現身 (德國稱為「Herbstlaub」)，其名稱的由來是：當該病毒啟動時，螢幕畫面上的文字會像瀑布一樣往下墜落到畫面底部。Cascade 當初原本打算避開 IBM 電腦不加以感染，但卻因為一個程式錯誤而讓它幾乎擴散至比利時某個辦公室中的所有電腦。Cascade 病毒的出現，也促使了防毒軟體的問世。

1987 年 11 月

Lehigh (理海) 病毒 (或稱為「command.com」病毒) 感染了 DOS 作業系統開機所需的系統檔案。該病毒是以當初發現病毒的美國理海大學 (Lehigh University) 來命名，是第一個會將電腦資料清除的病毒。為了因應這個病毒，該大學的電腦中心還對全校學生和教職員發出了緊急通告。此外，病毒的作者也通知了其他大學有關該病毒可能帶來的影響。

1988 年

Morris 蠕蟲發動阻斷服務 (DoS) 攻擊並大量散布，根據報導，網際網路上約有 10% 的電腦因而當機。這是當時第一個對網際網路骨幹造成重大影響的病毒之一。這起事件也因而讓人意識到網路緊急事件聯合應變的必要性，促使專家們成立了後來的「電腦緊急應變小組」(CERT)。而 Morris 蠕蟲也為隨後數十年企業所遭遇的惡意程式打下重要基礎。繼續閱讀

GDPR 將是未來 WhatsApp 與 Facebook 共享用戶資料的一個考量因素

2018 年 05 月 04 日2018 年 05 月 03 日趨勢科技 TrendMicro

WhatsApp 已同意不再與其母公司 Facebook 分享用戶的個人資料，靜待歐盟通用資料保護法 (General Data Protection Regulation，簡稱 GDPR) 上路。此外，該公司也同意，如果未來再就其他用途與 Facebook 分享資料，將會遵守 GDPR 的規定。該公司的這項動作是為了回應英國資訊委員會 (Information Commissioner’s Office，簡稱 ICO) 對其資料分享行為的調查。

2016 年 WhatsApp 曾因眾多團體對其更新後的隱私權條款與條件有所疑慮而中止與 Facebook 分享用戶資料的計畫。其新政策當中包括了針對某些用途與 Facebook 分享用戶資料的條款。同年，ICO 針對此案展開全面調查，而法國和德國方面也隨之跟進。

分享資料務必遵守法規

ICO 發現這項資料分享的作法毫無法源根據，而且 WhatsApp 並未充分告知用戶有關其個人資料的被分享狀況。此外，這項資料分享計畫也與現有用戶當初提供個人資料時的用途不符。若當時兩家公司的資料分享計畫成案，將違反英國現行資料保護法 (Data Protection Act，簡稱DPA) 的規定。值得注意的是，目前已經有一個資料保護法修正案 (Data Protection Bill，簡稱 DPB) 正在國會審查，該案將確保未來英國法律不會與 GDPR 牴觸。

ICO 表示 WhatsApp 一案並不會引起罰鍰，因為資料外洩尚未成立。WhatsApp 已保證英國用戶的資料除了就資料處理的用途之外從未與 Facebook 分享。其實 DPA (及 GDPR) 並未「真正」禁止資料分享，只要企業機構遵照法律要求即可。

[觀賞趨勢科技邁向 GDPR 遵規之路的影片：GDPR 個案研究影片]

邁向 GDPR 遵歸之路的步驟

目前，Facebook 和 WhatsApp 已經開始針對 GDPR 進行一些調整。Facebook 已修改了隱私權政策，包括提供一些工具讓用戶控管及保護自己在社群網路上的隱私。同樣地，WhatsApp 也正在開發用戶資料隱私選項。等到這些更新內容推出，使用者就能將自己的帳戶資料下載成一份報告，以符合 GDPR 對資料可攜性權利的規定。ICO 表示未來將持續監控 WhatsApp 將如何修改其隱私權政策以及條款與條件，並持續觀察該公司在使用者同意權更加嚴格的 GDPR 規範底下將如何因應。繼續閱讀

如何利用 AI 人工智慧揪出電郵詐騙犯?

2018 年 04 月 27 日2018 年 04 月 27 日趨勢科技 TrendMicro

駭客逐漸將企業員工視為資訊安全鏈中的薄弱環節。這就是為什麼現今大多數的威脅都是藉由電子郵件傳播，目的是誘使收件人下載惡意軟體、洩露登入資料，或線上轉帳給攻擊者。趨勢科技預測，光是變臉詐騙攻擊或稱為商務電子郵件入侵 (Business Email Compromise，簡稱 BEC)攻擊造成的累計損失，將在今年達到 90 億美元。

攻擊模式變得更加聰明，趨勢科技推出兩款創新產品，幫助打擊電子郵件詐騙犯。一種是使用人工智慧的全新功能，目標是提高 BEC 變臉詐騙偵測能力；另一種功能則可幫助 IT 團隊培訓其員工，察覺網路釣魚攻擊。這是更進一步與罪犯對抗。

電子郵件威脅: 趨勢科技Smart Protection Suites在 2017 年阻止了超過 660 億個威脅

電子郵件無疑是目前針對組織的攻擊者使用的主要威脅載體。Trend Micro™ 趨勢科技 Smart Protection Suites在 2017 年阻止了超過 660 億個威脅，其中超過 85% 是包含惡意內容的電子郵件。

BEC 變臉詐騙是一種越來越受歡迎的攻擊手段，因為報酬可能十分豐厚。很多組織難以察覺此種攻擊，因為通常沒有任何惡意軟體；他們主要依賴對精心挑選的收件人進行社交工程。收件人通常在財務部門工作，會收到一封冒充執行長、財務長或其他高階主管的電子郵件，要求他們緊急進行線上轉帳或回覆敏感資料。平均每次事故損失高達 130,000 美元；從 2017 年上半年到下半年，趨勢科技的客戶受到的 BEC 攻擊增加了 106%，這一點也不奇怪。

這並不是要低估網路釣魚對全球各地組織的影響。藉由針對員工下手，攻擊者可以傳播惡意軟體，並秘密滲透網路來竊取敏感資料及智慧財產。去年 Black Hat 與會者調查的結果說明了這個趨勢對組織的影響。

	IT 主管將釣魚攻擊視為他們的頭號資安問題與會者認為，網路釣魚是最耗時的威脅受訪者認為 IT 安全最薄弱的環節，是終端使用者遭到釣魚攻擊欺騙 19% 的公司將網路釣魚評定為過去一年中出現的最嚴重資安威脅，僅次於勒索軟體