圖表 - 資安趨勢部落格

一般資料保護規則 (GDPR) 經過四年審議之後於 2016 年 4 月通過，目前已經實施。這項規範成為全球各地的熱門話題，其中採用更嚴格的資料保護標準，並訂定高額罰款，而最令人注意的是涵蓋範圍相當廣大。GDPR 對持有歐盟公民個人資料的任何組織造成影響，不論其規模或地點為何。位於亞洲地區的公司，以及分公司遍佈歐洲的跨國企業，只要收集及處理歐盟公民資料，就要負責遵循法規。

這項規範也描述受影響組織的資料保護義務，其中包括採用最先進的安全措施，乃至於讓使用者對自己的資料享有更多的存取及控制權利。由於需要全面變革才能遵循法規，歐盟主管機關提供兩年的時間，讓各會員國及組織有時間做好準備。現在過渡期已經結束，GDPR 正式實施。

現在會發生什麼事情？

實施法規代表組織應已依據 GDPR 處理個人資料，包括當事人權利條款在內。歐盟會員國的資料保護主管機關 (DPA) 也已能夠針對未遵循法規的組織開罰。視會員國而定，主管機關可採取立即行動因應任何未遵循法規事件。不過部分規範組織計畫以更溫和的態度，處理已經開始但尚未完成法規遵循工作的企業及組織。

最糟情況是什麼？組織要為未遵循法規造成的損害負責，並遭受對應的行政罰款。罰款最重高達 2 千萬歐元或 4% 年度營業額，以較高者為準。

最理想情況是什麼？若組織完全遵循 GDPR，或使用規範作為起始點超越最低標準，將享有重大優勢。其中部分效益包括：安全無虞的寶貴資訊、以適當的封存及資料管理提升營運效率，以及加強客戶及使用者的信任度。

雖然 GDPR 適用於歐盟公民的個人資料，但也引發全球各地變革隱私權規範。2018 年實施 GDPR 之後，有多個國家也加強本身國內法規，例如英國及澳洲在內的多個地區，也更新了本身的資料保護法。這代表 GDPR 法規遵循提供一項大好機會，不論是跨國企業還是小型組織，都能趁此跟上全球在資料隱私及先進安全技術方面的進展。

組織應如何應對？

在理想情況下，組織現在應已完成法規遵循的所有基礎工作，也應已完成法規遵循核對清單的所有項目。組織應能提供各項產品或服務，因應 GDPR 概述的客戶權利。使用第三方應用程式或供應商的組織應留意「被遺忘權」及更嚴格的使用者同意標準等議題的最新內容，確保能夠適當運作。多項法律及軟體變更也預期自即日起或未來幾個月內生效，組織應做好準備面對任何必要變更。繼續閱讀

【資料圖表】如何防止保全系統遭到網路攻擊?

2017 年 06 月 01 日2017 年 06 月 02 日趨勢科技 TrendMicro

一般建築，不論商業大樓或私人住宅，通常都設有保全系統來保障重要資產的安全。從簡單的門禁管理到全面的監控攝影與警報系統，都算是保全系統。而且隨著這類系統日益複雜，大樓管理員也開始需要更方便的管理方式。

為了能夠更快、更容易掌控，保全系統開始慢慢連上網路。一些智慧型大樓，更是採用中央監控管理系統。值勤的人員直接從中控室就能過濾消防警報、查看是否有動作感應器被觸動，或者查看每一樓的監視畫面。通道入口的人員進出權限也可以從遠端直接更改。換句話說，實體保全正在逐漸數位化。

不僅如此，保全系統的裝置也逐漸變得複雜，門禁部分可能用到證件讀卡機、外出開關 (REX)、門管控制器、管理軟體等等整套系統。監視部分則包括了攝影機、數位錄影機、檢視軟體等等。而且大樓通常還會安裝各種警報裝置，例如：防闖感應器、消防警報器、滅火系統、動作感應器等等。繼續閱讀

《資料圖表》勒索病毒救援計畫

2016 年 07 月 22 日2016 年 07 月 20 日趨勢科技 TrendMicro

大型企業》
中小企業》
一般用戶》

PC-cillin 2016雲端版已有增加對勒索軟體 Ransomware加密行為的防護機制，可預防檔案被勒索軟體惡意加密

趨勢科技PC-cillin雲端版，榮獲 AV-TEST 「最佳防護」獎,領先28 款家用資安產品防毒軟體 ,可跨平台同時支援安裝於Windows、Mac電腦及Android、iOS 智慧型手機與平板電腦，採用全球獨家趨勢科技「主動式雲端截毒技術」，以領先業界平均 50 倍的速度防禦惡意威脅！即刻免費下載

繼續閱讀

什麼是魚叉式網路釣魚 (Spear Phishing )？

2016 年 01 月 04 日2022 年 06 月 06 日趨勢科技 TrendMicro

一起鎖定某跨國企業法務部門三名員工的「魚叉式網路釣魚(Spear Phishing)」郵件能逞嗎?

針對性攻擊要能成功，很重要的一點是歹徒必須根據受害者的防禦機制而調整及改進其攻擊方法,其中包含「魚叉式網路釣魚(Spear Phishing)」

魚叉式網路釣魚通常鎖定特定個人或某機構的特定員工及其社群媒體帳號 (如 Twitter、Facebook 和 LinkedIn)，它們會精心製作出很有說服力的電子郵件內容，並且在電子郵件當中挾帶可造成感染的附件檔案和連結。一旦開啟檔案或連結，就會執行惡意程式或將使用者導向某個網站。接下來，駭客就能建立其祕密通訊網路，然後朝攻擊的下一階段邁進。

》魚叉式網路釣魚 (Spear Phishing )是勒索軟體 Ransomware攻擊企業的主要手法

》醫療保險公司 Anthem Inc. 大規模資料外洩的主因:魚叉式網路釣魚 (Spear Phishing )

》南韓爆發最大駭客攻擊事件因魚叉式網路釣魚 (Spear Phishing )而起

》91％的APT 目標攻擊來自:魚叉式網路釣魚 (Spear Phishing )

檢視「防範魚叉式網路釣魚：保護電子郵件如何能夠防止針對性攻擊」

2015年稍早，醫療保險公司 Anthem Inc. 發出聲明表示自己發生了一起大規模的資料外洩，導致 8,000 萬名客戶受到影響。根據媒體報導，駭客經由一項精密的針對性攻擊/鎖定目標攻擊(Targeted attack ) 取得了進入 Anthem 公司 IT 系統的權限，進而竊取系統上儲存的個人資料。有些人對於企業資料外洩事件或許略知一二，但很少有人知道實際發生的經過以及網路犯罪集團所用的手法。

在所謂的「針對性攻擊/鎖定目標攻擊(Targeted attack ) 」當中，駭客必須擁有相當高的專業技能以及充裕的資源來進行這類長期的計謀。針對性攻擊要能成功，很重要的一點是歹徒必須根據受害者的防禦機制而調整及改進其攻擊方法。

駭客會利用各種最新時事、業務相關內容，以及攻擊目標可能有興趣的資訊來從事社交工程（social engineering ）攻擊。此外，後門程式、零時差或軟體漏洞攻擊、水坑式攻擊、魚叉式網路釣魚等等，也是歹徒經常用來竊取資訊的技巧。

雖然一般的網路釣魚（Phishing）和魚叉式網路釣魚所使用的技巧類似，但兩者之間還是有所差別。網路釣魚基本上是一種針對大量目標的亂槍打鳥式攻擊，但魚叉式網路釣魚則是專門針對特定目標。兩者的差異在於，一般的網路釣魚（Phishing）相對單純，歹徒一旦偷到受害人的資料 (如網路銀行登入資訊)，就算達到目的。但對於魚叉式網路釣魚來說，取得登入資訊或個人資訊通常只是攻擊的開端，這是歹徒進入目標網路的手段，只能算是的跳板而已針對性攻擊/鎖定目標攻擊(Targeted attack ) 。

何謂魚叉式網路釣魚攻擊？

前面提到，魚叉式網路釣魚是專門針對特定對象的網路釣魚（Phishing），其對象通常是某個機構，其最終目標是取得機密資訊，其技巧則包括：假冒他人名義、使用迷人的誘餌、避開安全機制 (如電子郵件過濾及防毒) 等等。預算和一般網路釣魚（Phishing）的都會誘騙目標對象開啟郵件中的附件檔案或點選郵件中的連結。繼續閱讀