雲端安全屬於共同責任,現在是個很好的時間點去進一步地探討這個想法,看看這個模型應用到真實環境內會如何。
這個模型
在我們深入探討之前,讓我們先確保彼此對於這個模型有著相同的理解。
這是個很簡單直接的模型。讓我們從安全需求無所不在這觀點開始,為了管理一次部署的安全性,我們將各種責任劃分成以下幾個領域:
下一步就是要確認誰該負責上述各領域的安全性:AWS(雲端服務供應商)或使用者 (使用雲端服務的人)。
根據服務的不同,「需要為該領域負責的人」也會有所不同。
這些領域的安全責任會隨著你所使用服務的類型而改變。
以使用EC2作為例子,AWS負責實體基礎架構、網路基礎結構和虛擬化層。這代表你需要負責作業系統、應用程式和資料方面的安全性。 繼續閱讀
FBI關於打擊網路犯罪的見解
趨勢科技的很幸運地跟美國聯邦調查局(FBI)網路調查科特別探員一起舉辦網路研討會在這次網路研討會中,他分享了以下幾點:
趨勢科技安全技術專家Jon Clay在本文中和大家分享觀眾們所問的許多問題和回答。
冒充微軟等合法組織的”假好心”來電
美國聯邦調查局分享了在許多案例裏,他們看到了混合模式的攻擊,惡意分子透過電話聯絡目標組織,試圖收集潛在目標受害者的資訊,或試著冒充合法組織(如微軟技術支援)來騙取存取能力。我們有許多問題都是關於這些情況:
問:當接到假冒來自微軟的攻擊者電話並要你連上惡意軟體網站時,對付他們最好的方法是什麼?
問:美國聯邦調查局對於那些不斷會打電話給我們來聲稱自己是誰且用著各種頭銜的人們感興趣嗎?昨天是「微軟技術人員」告訴我說我的電腦連上了微軟,因為它感染病毒云云。然後,他們試圖讓受害者執行幾個指令,最終達到讓他們可以遠端控制的目的。
問:你看到惡意份子們開始使用混合式攻擊,比方說,透過電話來為之後的電子郵件設置好舞台,好強化目標信任度以增加電子郵件攻擊成功的機率?
所以要提供需要接外部電話的員工關於這類騙局的教育訓練,確保他們至少都懂得懷疑這類來電。微軟已經發表過關於這點的文章,包含了一個連到美國聯邦貿易委員會來回報案例的連結。這些社交工程攻擊可能很難發覺,因為犯罪份子越來越善於模仿與濫用人們的信任關係。最好的防禦是利用技術和知識來加強你的員工和灌輸他們對這類來電該有的警覺心。
要如何起訴由他國政府所撐腰的攻擊?
正如你可以想像得到,有幾個問題關於責任歸屬以及如何應對來自很難採取行動之國家的惡意份子。 繼續閱讀
作者:Raimund Genes(趨勢科技 CTO 技術長)
許多行動應用程式開發者想要寫出下一個熱門的行動應用程式。因為,運氣好的話,就有可能被另一家大公司(如 Facebook、Google或微軟)用數十億美元收購。
要寫出一個行動應用程式,具備足夠的功能、容易上手,又要受到數百萬使用者歡迎已經很難了。還有其他應用程式必須注意的事情:包括隱私和消費者安全。
開發者可以怎麼做?首先,想想應用程式如何開發。有遵循最佳實作嗎?在個人電腦和Mac上的開發者已經了解到自己的應用程式如果有漏洞就會被攻擊。你已經盡力地去避免這些問題了嗎?
強化你的應用程式不被攻擊利用的原因之一是重新封包。這裡指的是惡意份子取得正常應用程式再加入自己的惡意程式碼。這裡可能加入任何一種程式碼 – 加值簡訊服務濫用、電子貨幣採礦甚至是資訊竊取。這不僅會危害使用者,還會損害你的名聲。(更深入的應用程式重新封包相關資訊,請閱讀我們的相關報告 – Google Play上前 50 的免費應用程式,近 80% 是山寨版!。)
如果你的商業模式圍繞著第三方廣告網路提供的廣告,必須慎選你所合作的廣告網路。有些網路廣告的名聲較差,可能是會要求過多使用者資訊來進行針對性廣告,或是會允許惡意廣告出現在他們的網路上。請記住:這不只是他們的名聲問題,也是你的。 繼續閱讀
資訊安全:它是一場旅程
作者:Rik Ferguson(趨勢科技全球安全研究副總裁)
影片裡「只想把事情做好」的員工,竟成最脆弱的資安漏洞,問題出在哪裡?
人,是最大弱點,企業,不管大小,都必須想辦法去解決「只想把事情做好」之原意良好員工所帶來的風險。同樣地,雇主也有責任去隨時瞭解技術和網路犯罪的發展,以提供有效的教育訓練。
企業必須確保他們真正瞭解今日所面對的威脅,不只是他們自己所認為的。他們需要確保他們的使用者被訓練好可以有能力且謹慎地去使用網路和公司資源,而非只是盲目地相信技術解決方案。員工應該知道無形的危害會如何發生和他們要關心哪些地方。
同樣地,人們需要清楚他們自己以及別人個人資料的真正貨幣價值,給予應有的對待,而不是隨便地透過社群和專業網路、部落格、電話、假問卷調查等方式提供給好奇的不知名者。
目前大多數公司的資訊安全訓練僅提供給新進員工。作為新進員工,你必須消化所有相關的政策並簽名。問題是這通常是一次性事件,三個月或三年過去,不僅員工會忘記如何實際應用這些政策,而且也沒有重新審查這些政策,只是假定威脅或技術環境本身沒有變化。
教育訓練,尤其是在資訊安全領域,應該是一個持續的過程而不是一次性事件。理想情況下,它應該有樂趣和被參與,確保安全性會放在公司意識的前線,無論是在工作還是外面。良好的資訊安全實踐應超出工作場所範圍,如在家裡活動,尤其是在自帶設備和消費者化時代,可能會帶給工作嚴重的影響。
資訊安全訓練對於提供給不感興趣的對象來說會是個棘手的問題;許多重要經驗可以向行銷、創意和網站內容學習,成為你企業的一部份。安全訓練不只是安全小組的任務;它需要企業內部多個團隊共同合作才能達到真正的成功。
遊戲化的概念或利用遊戲設計技術來提高非遊戲領域是能夠被成功應用在安全訓練的地方。將你的員工以功能性或地域性分組;用分階段的方式來提供員工相同的訓練,隨著時間慢慢的升級。制定排行榜來激發你員工的競爭心理,用一系列意想不到的測試來讓他們接受挑戰;比方說神秘來電者嘗試進行社交工程技術,嘗試在社群網路上建立關係,網路釣魚電子郵件活動設計用來誘捕粗心的人。如果你的員工隊伍已經被事先警告過訓練中包含實作元素,而且他們的安全雷達將會被不斷的測試,這只會加強他們的一般安全意識。能夠持續性的賺取成就和獎項,建立激勵動機來將安全性保持在你做日常一切事務時的列表頂端。
重點不是要懲罰或用其他方式對待得分最低的個人或團體;而是要建立安全的文化,讓每個員工都更加瞭解到他們行為所造成的後果,即時這些行為在當時看起來完全無害。
資訊安全不是一個目的地,這是一場旅程。
在10月份,我們支援國家網路安全聯盟以慶祝網路安全月 – 旨在教育企業和個人如何保持網路安全。到這裡來看看我們為你所收集的有用影片、圖表、部落格文章和報告。
在過去一年左右的時間裡,我注意到人們日益關注如何保護好自己的資料 –不只是防駭客,還包括政府和大型網路公司。一般使用者和企業現在都會說 –超過以往任何時候 –隱私和安全的確重要。
當然,對於隱私和安全的渴望有時會被對便利和功能的渴望所壓過。然而,有一件事將會改變資料如何被保護的是政府的監管。在某些方面,它被認為 –無論對錯 –私人公司不能被信任於它們所擁有的使用者資料,所以政府必須介入。
歐盟進一步地採取一連串的新規則來控管在歐洲做生意的企業該如何儲存、管理和控制使用者資料。這不僅僅是位於歐洲的公司會受到影響,這些規範的範圍比表面上看起來還大的多。
這是否足以讓消費者相信他們的資料是安全的?並不盡然。有些使用者並不會只是因為公司遵守法規就會相信他們會保護好自己的資料。持有使用者個人資料的公司必須超越法規的要求,讓使用者相信他們會竭盡所能地保護他們的使用者。
網際網路一直以來都是個相當有價值的工具,可以將世界各地的人們連結在一起。然而,最近所發生的事件不幸地動搖了我們曾經有信心的網上生活。個人和組織都需要採取措施來重建信任和信心,替大家保持網路的安全和開放。我們現在都是數位原住民。網路對我們的生活來說太重要了,無可取代。