你覺得資安環境會在未來兩年或三年後演變成什麼樣子?
像趨勢科技前瞻性威脅研究團隊這樣的研究小組在腦力激盪的活動方面,最感到興奮的就是要去預測未來。我們無法知道將會發生什麼,但根據我們所擁有的數據可以讓我們做出推測。讓我們可以預測未來。這樣的腦力活動就是我們所說的「未來學」。
「未來學」一開始是嘗試去解決醫療產業未來的思考活動,它可能會如何發展而容易遭受攻擊。我們了解到這也可以應用在像交通、科技、農業等其他重要產業上。
這是「未來學」系列文章的第一篇,專注在預測熱門技術所可能面臨威脅。我們將在下一篇中深入醫療課題,但今天我們會關注在預測行為上。
聽起來不錯?讓我們進行下去。
預測和「黑天鵝」
為了預測未來的攻擊,我們需要知道現有的技術會如何發展。我們都知道惡意分子會追著使用者跑。比方說在趨勢科技對2015年及之後的安全預測中,我們基於現在網路犯罪分子對行動平台的興趣而預測他們會如何發現更多的漏洞。今年過了一半,果真看到了三星SwiftKey,Apache Cordova和其他漏洞的出現。 繼續閱讀
無論我到哪裡似乎都會聽到「重要」系統遭受攻擊。今年早些時候,人們在談論飛機是否可以被駭客攻破。我們也談過智慧化電網是否會被駭客攻擊。就在一周前LOT波蘭航空幾乎完全被分散式阻斷服務攻擊(DDoS)打趴。相關報導:LOT波蘭航空地面操作系統遭駭造成航班無法起飛
許多案例裡的重要系統都是用現成的開放原始碼軟體開發而成。我大約在十年前說過開放原始碼軟體比較安全。雖然這被證明在絕大部份時候是對的,但最近的問題(如Heartbleed和Shellshock)已經說明開放原始碼軟體也有其問題。
非技術人員可能會問:「為什麼之前沒有人注意到這些問題?難道我們軟體開發人員太懶了?難道開發人員忘記如何開發安全的應用程式?」基本上他們是想問軟體社群:我們為什麼會捅這麼大的婁子?
要開發安全的程式碼在大多數情況下都很困難,不幸的是許多開發人員都沒有將其視為優先。一個遊戲或瀏覽器並不安全是一回事,雖然已經夠糟糕的了。但如果電廠的部分SCADA設備出問題那就是另一回事了。而如果醫療設備被駭而危害到病人又是另外一回事。
隨著智慧型設備越來越普遍,而且被用在了重要用途上,軟體開發者必須明白他們對確保自己軟體安全負有更大的責任。或許相關產業的監管機構需要建立新法規來包含軟體安全!看看不良軟體會造成多嚴重的後果就知道了,這想法並不像聽起來那麼瘋狂。
同樣重要的是,我們需要決定什麼需要保護和什麼需要連網。比方說,人們不斷地說:智慧化電錶比較安全也對電力網有幫助。這可能沒錯,但會有什麼樣的後果?誰控制這些設備?誰有權存取這些數據?
如果真正重要的設備會被連上網路,就需要加以適當地防護。所用的軟體必須遵循最佳實作來開發,並且強化安全來防禦攻擊。也必須落實用「黑箱」方式加以測試,來確認這些重要系統可以對抗已知漏洞和攻擊。
越來越多重要系統會在不久的將來連上網路。軟體產業必須負責行事,確保我們不會重蹈過去的安全錯誤 – 帶給這世界大量的嚴重後果。
@原文出處:Defending Critical Systems: Does It Have To Be “Smart”?
想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚
《提醒》在粉絲頁橫幅,讚的右邊三角形選擇接收通知和新增到興趣主題清單,重要通知與好康不漏接
上星期對 Adobe Flash 來說日子真是難過。 Hacking Team公司外洩的 440GB 電子郵件資料已成為駭客挖掘資安漏洞的寶藏。過去七天,光是 Flash 就被發現了三個不同的漏洞:
目前,只有第一個漏洞已經修正。Adobe 承諾會在本週之內修正另外兩個漏洞,但這仍難保未來不會有其他該平台的漏洞出現。因此我們不禁要問:我們是否要趁現在乾脆放棄使用 Adobe Flash?
Flash 一直是資訊安全的夢魘,多年來,趨勢科技在這部落格上已經報導過各種Flash 的漏洞。每一次,除了小心避開一些不良網站、停用 Flash 外掛程式、然後等待 Adobe 釋出更新之外,消費者能做的其實很有限。
因 Hacking Team 外洩事件而曝光的三個零時差漏洞已經突顯出 Flash 多麼容易存在著漏洞。假使像 Hacking Team 這麼小的公司 (員工總共 40 人) 都能挖到這麼重大的漏洞,那想像一下其他一些由政府在背後資助的團體將有多大能耐。先前我們只能猜測情況大概多糟,但現在我們已經清楚看到它有多危險。
在理想的世界裡,就 Flash 現在的狀況來看,真的必須淘汰。不是改用新的網站技術 (如 HTML5),就是叫 Adobe 想辦法讓 Flash 變得安全。不過,這兩件事大概都不會發生。
Flash 就像煙癮一樣:即使我們知道它不好,但還是難以戒掉。儘管有風險,人們還是會繼續使用,因為光是安全的理由還不足以讓人放棄它。就網站的觀點,他們還是會繼續使用 Adobe Flash,因為成本較低,使用者體驗也較優。對使用者來說,因為他們經常上的網站仍在使用 Flash,所以還是少不了它。不論開發人員和使用者都得依賴 Flash,因此可以確定 Adobe Flash 還會繼續存活一段時間。
那麼,我們可以做些什麼? 繼續閱讀
六月中網路安全世界出現了一些有趣的消息。首先是美國政府宣布所有聯邦機構維護的網站到2016年底都必須使用HTTPS。接著是維基媒體基金會(最為人所知的是維基百科)宣布他們也會在網站上強制使用HTTPS,預計在「幾個禮拜內」會全面完成。
隨著大型組織轉向全HTTPS,而且瀏覽器廠商也跟著推波助瀾(有紀錄指出Mozilla最終只會將新功能使用在HTTPS網站上),較小網站的所有者也是時候跟進了嗎?一般使用者應該要強迫他們所喜愛的網站採用HTTPS嗎?它真的能夠有助於網路安全嗎?
簡短的回答是YES。網站所有者應該認真考慮為自己的網站啟用HTTPS。很清楚地是有許多人認為,從長遠來看,採用HTTPS可以增加網路安全性。網路巨頭如Google和Mozilla,再加上國際組織像是網際網路工程工作小組(IETF)和全球資訊網協會(W3C)都贊成此說法。現在在建立的網站應該一開始就使用HTTPS。這是今日資訊網的方向,而現在建立的網站應該要考慮到使用者的安全性和隱私。對於現行的網站,只要可能就盡快啟用HTTPS是網站所有者該認真思考的事情,特別是當需要處理敏感資料時。
另一件網站管理員要考慮的事情是,從長遠來看,搜索引擎可能會將使用HTTPS做為排名演算法的一部分。Google已經如此做了。雖然現在它還不是一個特別顯著的「信號」,但長久來說可能會大大的改變。對網站所有者來說,能夠領先於這潮流是件好事,而且也讓其使用者擁有更加安全和隱私的網路。
HTTPS:一個好的開始
但要注意的是,雖然強制採用HTTPS是提升網路安全非常重要的一步,但不應該只止於此。HTTPS絕對是種進步,但它並非完美,對網路安全來說也絕非萬靈丹。 繼續閱讀
今日的 CISO(資訊安全長)得在好幾個地方滅火才能確保組織安全。他們被要求用更少的資源做更多的事情,並且得抵禦一連串更加複雜且具進階持續性滲透攻擊」(Advanced Persistent Threat,簡稱APT攻擊),還得防備DDoS攻擊和其他傳統威脅。但他們也必須去做好這一切,因為組織的受攻擊面也隨著時間變大,這部分得謝謝行動裝置、雲端服務和新發現軟體漏洞的爆炸性成長。而就好像這還不夠艱難一般,
作者:Eric Skinner
許多IT安全主管必須綁起一隻手來,這得謝謝他們所使用的各種安全解決方案。通常都會購買這些產品的最佳品牌,但它們之間無法有效地相互溝通而會阻礙有效的防禦。
剖析攻擊
一個完整的威脅防禦平台應該涵蓋橫跨整個威脅生命周期的四個要素:
預防:評估漏洞與潛在威脅,主動保護端點、伺服器和應用程式。
偵測:找到在第一階段沒有被偵測和封鎖的惡意軟體。
分析:評估風險和確認威脅所造成的影響。
反應:提供特徵碼和更新以防止之後的攻擊。
不幸的是,大多數組織沒有一個完全整合的平台可以集中控制跨越這四個象限。意味著威脅可以鑽空隙來滲透入商業網路,造成硬碟的破壞性損害或客戶資料與智慧財產巨大的損失。
這裡是沒有連接威脅防禦可能會發生的事情:
