隨著5G帶來新的風險,許多人發現自己沒有足夠的能見度、工具或資源來安全地管理這類網路。
當人們興奮於公共5G網路的大規模佈建時,很容易會忘記企業專網將成為電信業者未來的主要收入來源。企業選擇專網主要是為了更大的掌控能力 – 讓他們能夠降低網路延遲,同時提高可用性、安全性、隱私性和合規性。而此時,安全性也成為電信業者越來越重要的差異化因素。但隨著5G帶來新的風險,許多人發現自己沒有足夠的能見度、工具或資源來安全地管理這些網路。
本文作者在世界行動通訊大會(MWC)的一場小組討論裡帶來了趨勢科技和GSMA Intelligence 的一份新報告,裡面強調了許多這類挑戰。不幸的是,電信業者仍然沒有優先考慮與資安廠商建立合作關係來達到所需的目標。如果他們真的想帶來差異化,應該要做出改變。
當前最駭人聽聞的 SolarWinds Orion 事件在資安界及一般大眾之間都掀起了不小的聲浪,全世界也因而更加關注所謂的供應鏈攻擊。事實上這類攻擊本身並不算新穎、也早就橫行多年。但所有攻擊都會不斷演化出更高階的手法,而軟體開發供應鏈包含了許多階段,而每個階段都可能遭到襲擊,因此更加危險。
首先,我們先來為「供應鏈」下一個明確的定義,一般所謂的供應鏈是指「一套將產品提供給客戶的流程」。而本文所談是數位世界中產品、也就是軟體,所以我們先來探討軟體開發流程本身。
所有軟體開發人員,不論採用何種開發方法,都必須將一個複雜的專案拆成多個較簡單的工作項目,這樣才能將每個項目定義清楚,並且在問題追蹤系統內將工作項目指派給特定的開發者。接下來,開發者開始撰寫及測試程式碼,完成之再將修改過的程式碼傳送至原始程式碼管理系統 (Source Code Management System, 簡稱SCM)。
根據新的證據顯示,TeamTNT 網路犯罪集團又再次強化其登入憑證搜刮工具,納入了多家雲端廠商與非雲端服務。
守護機密資料,是維護系統安全及防範供應鏈攻擊的重要關鍵。網路犯罪集團通常會在資料儲存機制上搜尋機密資料,在已遭駭入的系統上搜刮登入憑證。所以,一些以明碼方式儲存的登入憑證在不經使用者操作的情況下很容易遭到竊取,這樣的情況對 DevOps 軟體來說屢見不鮮,因此也是資安一大風險。
現在,犯罪集團已有能力搜刮雲端服務供應商 (CSP) 的登入憑證,只要他們能夠駭入受害者的系統。例如,TeamTNT 駭客集團就經常攻擊 雲端容器,現在又強化其工具來 竊取雲端登入憑證、搜尋其他環境、從事入侵活動。根據我們最新的研究證據顯示,TeamTNT 已進一步強化其登入憑證搜刮能力並瞄準了各家雲端廠商以及非雲端服務,例如在入侵企業之後搜尋受害者的內部網路與系統。
繼續閱讀開放原始碼是今日應用程式能夠快速部署的關鍵,請看趨勢科技與 Snyk 如何共同打造一套對開發人員友善的開放原始碼資安防護。
您之所以能夠迅速開發及部署應用程式來滿足業務的需求,一切都歸功於開放原始碼。這也是為何今日的應用程式當中往往有高達 80% 的程式碼是來自於開放原始碼。但不幸的是,漏洞是所有軟體普遍存在的問題,開放原始碼也不例外。您很可能在不知情狀況下將含有資安漏洞的開放原始碼 (甚至是有人蓄意釋出的惡意程式碼) 貼入您的應用程式與基礎架構當中,進而導致資料外洩,造成嚴重的損失。不僅如此,駭客還會隨時關注美國國家漏洞資料庫 (National Vulnerability Database,簡稱 NVD) 所發布的開放原始碼漏洞,從中挑選可攻擊的漏洞。
所幸,在趨勢科技和 Snyk 的共同努力下,您還是可以安心使用開放原始碼而不需擔心業務流程中斷。
不太了解什麼是 Snyk 嗎?沒關係,您只需知道他們是開放原始碼漏洞管理的業界領導者,並針對雲端開發人員提供了一套友善的資安防護。
藉由與 Trend Micro Cloud One™ – Open Source Security by Snyk 能輕鬆擔任開放原始碼程式庫與建構流程之間的橋樑,自動發掘應用程式與開放原始碼程式庫的相依性。此外,這套最新的解決方案還能利用 Snyk 頂尖的威脅情報資料庫來為資安團隊提供詳細的漏洞資訊。現在,開發人員與資安團隊就能開心成為一家人。
Trend Micro Cloud One 可讓您掌握企業資安的全貌,涵蓋範圍從開發人員的原始程式碼一路至線上營運環境,可說是業界首創。經由我們與 Snyk 的合作,開發人員就能隨持保持最快的應用程式開發速度,同時也讓資安團隊擁有所需工具來管理及降低風險。
如欲了解更多有關我們雲端防護平台的最新服務,請參閱此處。
原文出處:Open source protection that security teams will love 作者:Mike Milner
根據獨立研究機構 Omdia 最新一份研究調查指出,趨勢科技的 Zero Day Initiative (ZDI) 漏洞懸賞計畫揭露了全球 60.5% 的漏洞。ZDI 連續 13 年維持全球最大非限定廠商獨立漏洞懸賞計畫的地位,不論在任何嚴重等級的漏洞當中,ZDI 皆擁有最多通報數量,而重大或高嚴重性漏洞的通報數量則占 77%。
這份名為「2021 年量化公開漏洞市場」(Quantifying the Public Vulnerability Market: 2021 Edition) 的報告完整評估了 11 家全球最活躍的資安研究與漏洞揭露機構。閱讀 完整報告 。
趨勢科技漏洞研究資深總監 Brian Gorenc 表示:「近期 Microsoft Exchange Server 的事件再次突顯出漏洞仍是資安威脅防禦前線人員最大的核心挑戰。這正是為何我們堅持提供獎勵來持續鼓勵研究人員發掘並負責任地揭露漏洞,因為全球使用者都將因此而受惠,尤其是趨勢科技 TippingPoint 的客戶,更能在廠商正式釋出修補更新之前 81 天就預先獲得防護註一。」
繼續閱讀