趨勢專家談趨勢 - 資安趨勢部落格

敏感的醫療資料,受到駭客前所未有的注意

2015 年 02 月 13 日2015 年 02 月 24 日趨勢科技 TrendMicro

敏感的醫療資料現在受到駭客前所未有的注意。網路犯罪分子渴望去偷到寶貴的病人醫療資訊以在深層網路賣個好價錢，他們到目前為止都很成功 — 在2014年至少有750萬份記錄外洩。不過當其使用更加隱蔽也更為複雜的攻擊技術時，醫療體系的IT人員可以借助新的威脅情報系統來加以解決。

這裡會談論該如何做。

更具威脅的環境

跟其他產業一樣，醫療體系也受到越來越多的攻擊。在2014年回報的資料外洩紀錄中，醫療產業受到最嚴重的攻擊。通常是以魚叉式釣魚郵件的形式抵達，設計來誘騙使用者打開惡意附件檔或點擊惡意連結 — 比方說偽稱來自醫院高層的試算表。這會讓受害者在不知情下去下載惡意軟體。一旦進入系統，攻擊者可以躲藏好幾個星期到幾個月，悄悄地偷出病人醫療資訊（PHI）和其他敏感資料。

攻擊者會使用多個端口及多種協定，而且通常會特製惡意軟體以躲避傳統的過濾程式。大多數網路犯罪分子能夠在地下論壇找到他們發動攻擊所需的一切，可以買到工具和服務。所以醫院管理者和醫療體系IT人員需要的比防毒軟體、防火牆及入侵偵測防禦系統還要更多。

讓他們的工作變得更加艱難的是，對駭客來說，這是一項低風險而高報酬的工作。他們利用了高速全球網路架構，可以躲在司法單位無法管轄的地方。然而對醫療體系的IT人員來說，有日益複雜的環境要加以防護 – 各種系統加上安全產品，還有包括雲端應用程式、社群媒體和員工自有設備等等所帶來更廣泛的受攻擊面。

健康所要付出的清理帳單

面對日益嚴峻的資源挑戰和對抗複雜而持久的敵人，醫療體系的IT管理者需要假設自己已經被攻擊。接著，他們需要答案和方向。他們需要知道誰在攻擊，已經被獲取那些資料，已經發生多長時間以及如何阻止再次發生。簡而言之，他們需要情報。繼續閱讀

【CTO 觀點】行動虛擬化 – 解決自帶裝置(BYOD)問題

2015 年 02 月 12 日2015 年 01 月 26 日趨勢科技 TrendMicro

作者：趨勢科技技術長 Raimund Genes

對許多今日的使用者來說，他們使用科技的方式是由行動裝置來決定。他們的主要設備不是桌上型電腦，甚至不是筆記型電腦，而是一款平板電腦或智慧型手機。而資料也不儲存在硬碟或隨身碟上，企業資料現在是儲存在雲端，使用者在需要時才加以存取。如果我們檢視個人電腦與智慧型手機的銷售數量就能夠看出明顯的趨勢。在2014年第三季，分析師估計總共售出了7,940萬台電腦，而同一時期則售出了3億100萬支智慧型手機。

這改變了IT人員和最終使用者的關係。在過去，他們提供使用者能夠集中管控的電腦。然而對許多組織來說，這項政策已不再適用：被認為是「個人」裝置的是行動裝置，而非一般電腦。

結果就是自帶設備（BYOD）的興起。使用者購買自己的設備且自行負責，但公司負擔部分費用。理論上來說，大家都高興：使用者拿到自己想要的設備，公司可以看到成本降低及更有效率的新IT系統使用率增加。會有什麼問題呢？

不幸的是，自帶設備可能帶來的不是美夢而是噩夢。公司資料最終會和個人資料混在一起，造成較高的資料外洩風險。設備也可能被入侵，用來攻擊組織內的其他目標。自帶設備結果可能變成自帶災難。

已經有人嘗試去解決這個問題，但並非做得很好。他們設法分開設備上個人和工作的部分，但對使用者和公司來說都很難使用。

那麼有什麼好方法來解決這看似棘手的問題？我們可以到一般電腦的世界來尋求可行的解決辦法。在虛擬桌面基礎架構（VDI）中，使用者存取伺服器上的虛擬機器。為什麼我們不能在行動裝置上做一樣的事情？

讓我們稱之為行動虛擬基礎架構或VMI。手機上的用戶端不用做特別的事情，只要連上一個在公司伺服器上運行的虛擬行動作業系統。因為它本質上跟在設備上所習慣的作業系統相同，所以使用者的接受度應該是高的。

而更重要的是，正確實作VMI解決方案不會讓使用者設備上的資料出現風險。這對許多產業來說將很有用：例如在醫學環境，不會出現讓敏感醫療資料真的離開醫院伺服器的風險。對於有法規去嚴格限制資料該如何或在何處存取的行業來說，這帶給員工更加靈活的工作方式。

VMI是考慮實行自帶設備政策的企業所該認真思考的選項。自帶設備對公司帶來許多好處，但也帶來風險。VMI可以幫助管理這些風險，讓公司在充分享受自帶設備好處的同時也減少任何潛在問題。

你可以觀看下面影片來獲得更加詳細的資訊。

＠原文出處：Mobile Virtualization – Solving the BYOD Problem

3D列印：從夢想變成現實

2015 年 02 月 11 日2015 年 02 月 24 日趨勢科技 TrendMicro

在國際消費電子展（CES）中所展示的各項技術中，最令人興奮的是3D列印。這項正迅速成熟的技術帶來了無限的可能性。

在去年，這可能性開始變成了現實。

在2014年，我們看到有好幾個團隊為各個社群列印義肢。義肢對於它們的使用者來說非常的個人化，通常都很昂貴。但某些國家醫療體制的不幸現實讓需要義肢的人不一定可以擁有它們。

3D列印可以快速地印製並能夠顯著地降低成本。不僅讓人們可以更容易取得義肢，還能夠幫助動物們。

這項技術也開始在影響全世界。

圖片截圖來源:https://www.wired.com/2015/01/3-d-printed-prosthetics-look-fit-sci-fi-warrior

國際太空站（ISS）也安裝了實驗性質的3D印表機。站內的太空人最近需要一個特殊的套筒扳手。地面小組在地球上進行設計和測試，然後將組裝設計檔發送到國際太空站，成功地列印出套筒板手出來。

這看來似乎是個特例，但也可以讓我們了解到如果這項技術變得更加普及將會多麼有用。

今年也出現了新活動來讓3D印表機更容易被使用。UPS現在在其美國的一些點提供3D列印服務，英國的皇家郵政也已經跟進。地方圖書館和自造者空間也都推出3D列印服務。這些都很重要，因為3D列印具備網路效應。越多人使用及分享他們的設計就越好。

現在也是我們該回到安全性的時候。

除了對聯網設備的標準安全關切外，關於3D列印的主要安全疑慮是智慧財產權。

關於列印危險物品（像武器）的疑慮已經被提出，但絕大多數使用者更可能會碰到的問題是關於數位版權管理（DRM）。繼續閱讀

從2014年學習：2015年的安全新希望

2015 年 01 月 21 日2015 年 01 月 21 日趨勢科技 TrendMicro

如果我說針對性攻擊對任何一家公司來說都只是時間遲早的問題，絕不誇張。在2014年，我們看到許多受害者在想辦法解決看不見的敵人。最近一個非常著名的例子就是Sony被攻擊造成該公司大量的問題加上大量資料被洩漏。身為威脅防禦專家，我們努力讓這無形的威脅變得可見：你應該從2014年的網路攻擊中學到最重要的事情是什麼？我們可以將什麼經驗帶到2015年？

保護你在雲端的資料

雲端運算安全的責任在2014年是再清楚不過的。雲端運算有著強大的擴展能力，讓越來越多的小型、中型以及大型企業都能同樣地加以採用。雖然使用者可以期望「共同責任」模型提供一定程度的安全性，像是雲端服務供應商運行雲端服務和基礎設施（包括實體的硬體和設施）的作法。但使用者不要忘了，雲端資料存取可能會因為自己那一端而遭受攻擊淪陷。

比方說，在三月時竟然發現了一個普遍的「開發者壞習慣」，有成千上萬的密鑰及私人帳號在GitHub這程式碼分享網站上發現。這就跟一般消費者將使用者名稱和密碼放到公共論壇上一樣。從某些方面來看，這甚至更加嚴重，因為金鑰外洩代表著數千份的秘密公司文件、應用程式軟體能夠被惡意份子所存取。而且因為入侵者基本上是以開發者身分登入，他可以刪除整個環境或將其作為人質勒贖。

在一個更加致命的例子裡，Code Spaces因為攻擊者取得權限進入其主控台並開始亂刪客戶資料庫後不得不在2014年關閉。對於一個本質強烈依賴於軟體服務的企業來說，「偏執於安全」應該是必要的一環。雲端服務有雙重或多重因子身份認證選項、完全私密模式或基於身份/角色管理，這些都可以大大地減少入侵攻擊，或讓入侵變得非常困難。

IT管理者必須現在就在其雲端環境檢視和實行各種雲端安全選項。

Code Spaces事件也對那些做雲端生意的公司上了同樣重要的一課：定期備份雲端資料，因為你永遠不知道什麼會發生。3-2-1法則成為最佳實作是有很好的理由的，只有當資料陷入危險或永遠消失的時候才可以看到它真正的價值。

保護你的關鍵系統

任何有連接自己之外的設備都有可能被遠端入侵。問問眾多PoS/零售系統攻擊下的商家吧。一件接著一件，我們在2014年看到了大批的入侵外洩事件。零售業和餐飲業，那些眾多分店都在使用端點銷售系統的店家被入侵，外洩出的信用卡資料最終會在網路犯罪地下論壇上兜售。

繼續閱讀

我的iPhone刀槍不入?

2015 年 01 月 19 日2015 年 01 月 19 日趨勢科技 TrendMicro

iPhone 使用者很容易就會陷入跟 Apple Mac OS 使用者一樣的迷思。他們相信自己所選的設備跟競爭對手比起來「更少漏洞」或「更加安全」。真的如此嗎？「較少被針對」真的等於「更加安全」嗎？

作者：趨勢科技全球安全研究副總裁Rik Ferguson

大部分對行動作業系統及服務的疑慮都集中在Android平台相關的風險。這個生態系統開放且散佈廣泛的本質無疑地也讓它成為最普遍也最廣泛的目標，也遭受到最成功的攻擊。

Google 的 Android系統跟 Apple iOS 相較起來，一向都有著較不嚴謹的應用程式權限系統、因為支援第三方應用程式而更加開放的應用程式散播方式，更加廣泛地嵌入在各種設備和服務內。因為這些以及諸多原因，網路犯罪分子將注意力都集中在此平台上，幾乎忘了Apple iOS。事實上，我們目睹了惡意軟體和惡意應用程式在Android平台上出現無人可比的快速爆炸性成長。Android惡意軟體在僅僅三年內就達到Windows惡意軟體用上15年所達到的數量。

正因為如此，所以也可以理解為什麼 iPhone 使用者很容易就會陷入跟 Apple Mac OS 使用者一樣的迷思。他們相信自己所選的設備跟競爭對手比起來「更少漏洞」或「更加安全」。真的如此嗎？「較少被針對」真的等於「更加安全」嗎？答案是否定的；沒有上鎖的房子仍然可能被侵入，即便它還沒有被竊過。

一個對此的客觀評估是檢視各平台上通報的漏洞數量。結果可能令人驚訝。根據美國國家漏洞資料庫，iOS自其最初版本開始已經有了超過 400個漏洞，而 Android 以接近 350 個拿到第二名。因為iOS上市的時間稍微久一點，所以這細微的差別幾乎不值一提。更值得注意的是 iOS 平台上稀少的惡意軟體。

有兩個因素可能會在不久的將來結合起來打破這種不平衡的情況；一個由廠商控制，而另一個則顯然的不是。

現在一個關鍵的產業趨勢是融合，Apple也不例外，Mac OS 和 iOS 在功能上已經有越來越大程度的融合，誰敢說未來不會從程式碼資料庫的角度進行。桌面設備、行動設備、智慧型設備、居家視聽和穿戴式設備的融合會產生更加均勻和相互關聯的受攻擊面，無疑地會讓攻擊者想加以利用，再加上了使用者自以為刀槍不入的錯誤心理，對攻擊者來說變得非常具有吸引力。

第二個因素可以回顧到我們在2014年底所做的預測。會在未來12個月內看到第一次真正的跨平台漏洞攻擊包出現。這會提供一種自動化的方式來攻擊各種被針對系統的漏洞。如果是在智慧型手機上，這代表攻擊者可以打破應用程式商店環境的牢籠。不再需要依靠第三方應用程式商店和部分受害者的不當行為去安裝假應用程式。

跨平台漏洞攻擊包將讓攻擊者可以同等的攻擊 iOS和 Android，只要有漏洞存在，就跟他們在傳統的運算環境上所作的一樣。行動作業系統上的嚴重漏洞就會和桌上電腦一樣，對攻擊者來說具備相同的重要性、吸引力和價值，也會對防禦者帶來相同的問題。有鑒於行動裝置相當程度的整合在工作和個人生活而且缺乏管理，後果甚至可能更令人憂心….

＠原文出處：My iPhone is like a Shield of Steel