雲端運算 - 資安趨勢部落格

Apple Store提供「優惠禮物卡」作為「長期客戶獎勵」?網路釣客提供的!

2012 年 05 月 17 日2012 年 05 月 18 日趨勢科技 TrendMicro

Apple 用戶正遭受一起會利用到雲端服務的網路釣魚（Phishing）詐騙攻擊。

網路犯罪份子發送目標攻擊電子郵件，內容是提供「apple discount card(優惠禮物卡)」作為「長期客戶獎勵」。這個並不存在的禮物卡提供100英鎊或100美元的面額，可以在任何Apple Store使用，價格只需要九塊英鎊。正如你在下圖所看到的，這封電子郵件裡包含了位置和價格的具體訊息，讓它看來更為可信。

Apple Store提供「優惠禮物卡」作為「長期客戶獎勵」?網路釣客提供的!會竊取個資

當然，這個禮物卡並不存在，也永遠不會寄到。並不像以往一樣是用網路釣魚（Phishing）網站的連結，這封電子郵件內包含一個HTML附件檔，而且也很具說服力的外觀，是使用Apple格式的表格。犯罪份子要求許多的個人和財務資料，包括姓名、地址、駕照號碼、生日、信用卡號、到期日和安全號碼。很足夠用來做些嚴重的金融詐騙了。

犯罪份子要求許多的個人和財務資料，包括姓名、地址、駕照號碼、生日、信用卡號、到期日和安全號碼

而且並沒有直接將這些竊取的資料上傳到犯罪份子自有或入侵的伺服器，按下這藍色的「Submit」按鈕之後，會如下圖所示的將資料加上些空白資訊送到Amazon的EC2雲端伺服器料。一旦資料成功地送到犯罪份子的伺服器，瀏覽器被重新導向到Apple的官方網站。受害者可能渾然不知已經上當。

繼續閱讀

全球市場佔有率報告：趨勢科技獲得雲端安全第一名

2012 年 05 月 04 日2014 年 02 月 26 日趨勢科技 TrendMicro

第三方市場研究報告將趨勢科技列為雲端安全軟體領導廠商

【 台北訊】趨勢科技的努力屢獲專業研究機構肯定！根據市場研究機構 TechNavio 「全球雲端安全軟體[1]市場」(Global Cloud Security Software Market) 報告，全球雲端安全市場正快速成長，趨勢科技(東京證券交易所股票代碼：4704) 為雲端安全市場中的主要供應商。TechNavio跟IDC亦於日前提出的報告[2]中表示趨勢科技是「全球虛擬化安全管理市場領導者」以及「全球企業端點伺服器安全領導者」。

根據 TechNavio 估計，2010年全球雲端安全軟體市場總值為 2 億 4 千 1 百萬美元，預計2014 年將成長到 9 億 6 千 3 百 4 十萬美元，年複合成長率 (CAGR) 達到41.4%。在全球安全軟體市場中，趨勢科技擁有最大的市場占有率，領先其他主要廠商。TechNavio 的報告指出，趨勢科技之所以能夠主導該市場，是因為其涵蓋甚廣的全球經營策略；並且趨勢科技與雲端及虛擬化服務供應商 VMware 的合作關係，以及與 HP、Cisco、Dell、Microsoft Corp.、Oracle 及 Wipro 的合作，也是其能主導市場的主因之一，而廣大的客戶群與品牌聲譽更讓趨勢科技在全球雲端資安市場中如虎添翼。

TechNavio 的報告指出：「全球雲端安全軟體市場的主要成長動力來自於關鍵資料儲存雲端服務使用率成長，受到彈性及成本等多重因素[3]的影響，越來越多企業開始轉而將資料儲存到雲端。駭客看準雲端商機，針對雲端的相關攻擊爆增，也是雲端安全軟體市場成長的動力之一。」

趨勢科技產品長 Steve Quane 表示：「趨勢科技在雲端安全市場的領導地位，是我們不斷努力專注於雲端安全創新的成果。一方面能夠不斷延伸全球雲端基礎架構的涵蓋範圍，一方面又能提升安全性並降低產品的複雜度，進而提供使用者更好的使用經驗。」

趨勢科技提供企業虛擬化與雲端領域旗艦級產品Deep Security。Deep Security是專為系統與應用程式安全而設計，橫跨實體、虛擬及雲端環境，可滿足今日動態資料中心嚴格的作業安全需求與遵規要求。其整合入侵偵測及預防、網頁應用程式防護、防火牆、一致性監控、記錄檔檢查以及惡意程式防護等功能，為集中管理的軟體解決方案。此外，Deep Security 更為業界第一且唯一無代理程式的 VMware 環境安全解決方案，提升企業伺服器整合率、效能、管理性及安全性。相關產品介紹請參考https://tw.trendmicro.com/tw/products/enterprise/deep-security/

更多趨勢科技虛擬化雲端安全資訊，請參考www.trendmicro.com.tw/cloud。

[1] TechNavio 對「雲端安全軟體」的定義為專為雲端式服務或雲端運算架構提供安全的軟體。雲端安全軟體可以是一套獨立的解決方案，或是一整個套裝軟體。此軟體主要專注於遵規、監督、資料保護、架構、身分識別及存取控管等關鍵安全要素。一套典型的雲端安全解決方案通常會提供加密、身分與存取管理 (IAM)、端點監控、漏洞掃瞄、入侵偵測、應用程式安全及訊息安全等功能。

2 IDC 的「2011-2015 年全球端點安全預測與 2010 年廠商市佔率」(Worldwide Endpoint Security 2011-2015 Forecast and 2010 Vendor Shares) 以及 TechNavio 的「全球虛擬化安全管理解決方案 2010-2012」(Global Virtualization Security Management Solutions 2010-2012) 報告當中分別被列為「企業端點伺服器安全領導者」以及「全球虛擬化安全管理市場領導者」。

3如彈性、成本與可用性等。

[2] IDC 的「2011-2015 年全球端點安全預測與 2010 年廠商市佔率」(Worldwide Endpoint Security 2011-2015 Forecast and 2010 Vendor Shares) 以及 TechNavio 的「全球虛擬化安全管理解決方案 2010-2012」(Global Virtualization Security Management Solutions 2010-2012) 報告當中分別被列為「企業端點伺服器安全領導者」以及「全球虛擬化安全管理市場領導者」。

[3]如彈性、成本與可用性等。

@延伸閱讀:

趨勢科技再次蟬連全球虛擬化安全市場第一名

◎ 歡迎加入趨勢科技社群網站

雲端安全和APT防禦是同一件事嗎？

2012 年 04 月 11 日2012 年 04 月 06 日趨勢科技 TrendMicro

作者：趨勢科技Andy Dancer

我最近在RSA上還有許多無法趕上演說的人前講到這個主題，他們問到這兩個看似無關的領域之間有什麼關連，我答應會寫出來好讓更多人可以了解，所以就是這篇了：

進階持續性威脅 (Advanced Persistent Threat, APT)「進階」是指使用了讓人難以置信、複雜的新惡意軟體，但實際上並非如此。通常「進階」是指研究上的難度，還有社交工程陷阱( Social Engineering)的設計，讓受駭目標去做出不該做的行為，並讓他們點下攻擊者所選的連結。

一旦攻擊者掌控了一台位在企業內部的電腦，就可以當做跳板來針對那些沒有直接連上網路的電腦找出漏洞。這是一個常見的手法，當修補程式出了一段時間之後，攻擊者還是可以攻擊成功，因為許多公司都不認為位在內部「安全」網路上的機器具備風險。而這個攻擊者直接控制受感染的電腦，有著足夠的時間（持續性）來悄悄地探測，直到發現他們可以利用的漏洞。

所以，你該如何抵禦這種目標攻擊？底下是幾件我們認為最該做的事：

減少噪音

保持現有的外部防禦來盡可能地抵禦所有的壞東西。這給你更多的機會去發現在內部網路上發生的事情。

建立碎型外部防禦

碎型是種數學形狀，它跟原本的形狀一樣，只是比較小。所以，當你放大之後就會回到原本的形狀。可以利用一樣的概念來加強你的防禦，多加一或兩層的防禦在重要資料的外圍。我會強烈建議部署虛擬修補程式到所有的伺服器上，可以在真正上修補程式前就提供保護，這在有人試圖攻擊漏洞時很重要。

利用專門軟體來監控內部網路流量

不要只是看對外的連線或是看流量是否超出設定值。還需要利用專門的威脅偵測解決方案來監控內部網路，以確保在攻擊發生時會收到警訊。

追蹤和清理

當外面的電腦被攻擊之後，除了加以封鎖之外通常就不能做什麼了。但是如果是一個內部伺服器被攻擊，而且攻擊是來自另一個內部的機器。那封鎖攻擊就變得很重要，不只是因為你阻止這次攻擊，更重要的是你現在知道內部有機器正在做些不該做的事，而你可以在它試圖做出更複雜而不被偵測的攻擊（或是攻擊者連上來控制）之前就修復它。

保護你的資料

如果一切防護都失敗了，攻擊者已經突破了你的防禦，直達你的重要資料，其實還不算結束。你需要由內而外的第二道防禦，也就是資料加密，再利用資料防護來追蹤被帶走了什麼資料，並了解有哪些內容被盜走了。

假設已經被入侵成功了

應該預先設定的狀況是假設你旁邊的電腦已經被入侵了，並且據此來設定對應的防禦。

最後的重點就是前面六點的總結，同時也提供了跟雲端安全之間的連結。在一個多租戶的環境（IaaS）底下，你應該假設你附近的機器有可能會攻擊你，並據此來設定防禦措施。你的供應商會提供許多安全功能：外圍防火牆、IPS等，還有在客戶間所做的內部網路分割，這些設計都是為了你的安全，但是通常在租約裡面沒有提供SLA。利用這些功能來消除噪音是不錯的作法，但是要假設還是有人在覬覦著你的伺服器或資料。為你的伺服器建立自己的外圍防護以保護好你的供應商所遺漏的部份。加密你的雲端資料，所以就算你的供應商將之放錯地方，你也還是受到保護的。這在商業上還有另外一個好處，就是當你想要更換供應商時，不論是因為價格更低或是功能更好，也都不必擔心你會遺留下敏感資料。

對於內部（私有）雲來說也同樣適用。因為成本和運作效率，會將服務都放在一起，這樣做也減少了它們之間的分離性。所以還是要假設已經被入侵了，在環境裡實施虛擬分割，而跟實體環境相比，利用外圍防護和加密可以保持同樣甚至更提高安全性，同時利用無代理方案也會盡可能地保持相同的效能。

所以雲端安全和APT防禦可能不是同一件事情，但他們可以有一樣的作法！

＠原文出處：Cloud Security and APT defense – Identical Twins?

APT 攻擊的特色:

【鎖定特定目標】針對特定政府或企業，長期間進行有計劃性、組織性竊取情資行為,可能持續幾天，幾週，幾個月，甚至更長的時間。

【假冒信件】針對被鎖定對象寄送幾可亂真的社交工程惡意郵件，如冒充長官的來信,取得在電腦植入惡意程式的第一個機會。

【低調且緩慢】為了進行長期潛伏,惡意程式入侵後,具有自我隱藏能力避免被偵測,伺機竊取管理者帳號、密碼。

【客製化惡意元件】攻擊者除了使用現成的惡意程式外亦使用客制化的惡意元件。

【安裝遠端控制工具】攻擊者建立一個類似殭屍網路/傀儡網路 Botnet 的遠端控制架構攻擊者會定期傳送有潛在價值文件的副本給命令和控制伺服器（C&C Server）審查。

【傳送情資】將過濾後的敏感機密資料，利用加密方式外傳

@延伸閱讀
認識 APT-進階持續性滲透攻擊 (Advanced Persistent Threat, APT)

《目標攻擊》狡猾的銀行木馬 CARBERP始作庸者遭跨國逮捕

《 APT 進階持續性滲透攻擊》16 封不能點的目標攻擊信件

傳統安全策略已經不再足以保護企業

《 APT 進階持續性滲透攻擊》病毒也愛林來瘋!!目標攻擊以林書豪傳奇故事為餌,安裝後門程式

《 APT 進階持續性滲透攻擊》BKDR_POISON 未來將出現更多挑戰

APT 進階持續性滲透攻擊研究報告10個懶人包

◎ 歡迎加入趨勢科技社群網站

趨勢科技在RSA 2012 所見所聞

2012 年 03 月 27 日2012 年 03 月 29 日趨勢科技 TrendMicro

作者：Ivan Macalintal（趨勢科技威脅研究經理）

幾個星期前，我和許多趨勢科技的同事一起參加在舊金山舉行的年度RSA大會。下面是我們所看到和聽到的一些重點。

趨勢科技還有在Moscone中心會場環繞的趨勢汽車。下面這張圖是一輛趨勢汽車載著我們的技術長Raimund Genes和行銷副總裁Susan Orbuch。

雲端安全聯盟會議

一個對我們來說很重要的事件是「雲端安全聯盟（Cloud Security Alliance，CSA）會議2012」，它在最近的舊金山RSA大會裡舉行。本次活動的一項高潮就是趨勢科技執行長陳怡樺獲得第一屆的CSA產業領導獎（CSA Industry Leadership Award）。這證明了我們在幫助企業解決邁向雲端時的安全問題上扮演了重要的角色。同時，它也宣布了CSA會擴大到亞太地區，趨勢科技也將以贊助者的角色來協助成立亞洲總部。

本次會議還包括了幾個重要的談話，我在下面列出一部分：

來自前國家安全局局長 – Mike McConneil的「在雲端保護國家安全」。這是一場非常及時的談話，因為大約在RSA大會前的一個禮拜，美國國會才對2012年網路安全法案進行爭辯。這次談話的重點是，政府現在意識到目標攻擊和APT進階持續性威脅 (Advanced Persistent Threat, APT)對國家和全球經濟所帶來的影響。

NASA前技術長 – Chris Kemp的防護OpenStack雲。他針對OpenStack做了一場技術演講。OpenStack，顧名思義就是一個建立開放原始碼雲端作業系統的計畫。我不會對這演講的細節介紹太多，因為他講的相當深入，但我建議讀者可以去看看演講投影片。
雲端創新 – 對於下一代雲端安全設備和服務的小組看法。這個小組討論主要聚焦在防護行動裝置和網絡。但這次討論最有意思的部分是主持人和Qualys執行長 – Phillippe Courtot所宣布的可信賴網路行動（Trustworthy Internet Movement，TIM）。你可以在這找到更多關於TIM如何成立的資訊。

創新沙箱技術

RSA大會的另一個亮點是年度創新沙箱獎，有10名決賽選手來競爭這最具創意公司的獎項。Appthority靠著它的Appthority平台出線成為了確定的贏家，企業用戶可以利用它來防護行動裝置上的威脅，包括目標攻擊和資料外洩。

CloudPassage – 旨在確保虛擬伺服器在各種雲端環境或架構下的安全，還有Sumo Logic – 開發了一個雲端服務，可以透過他們的外掛產品來幫助企業自動且有效的在日誌檔中發掘出有安全問題的地方。這些也都引起了我的興趣。

以下是 RSA 2012裡重要的一些主題演講、講座還有小組討論：

由RSA董事長 – Art Coviello所做的開場演講，主題是「在超連接世界裡保持信賴關係」，強調了目標攻擊的氾濫和增加速度，包括去年針對RSA的那次。他還提到三個計算風險的關鍵 – 你面對攻擊有多脆弱，你有多可能被當成目標，你遭受攻擊的程度。他也強調了需要透過兩個面相去評估APT或目標攻擊的風險，由外而內（滲透）或是由內而外（外洩）。他甚至引用了「孫子兵法」，他提到「要了解你的敵人。當樹動了，代表敵人來了」。你可以在這裡找到他演講的影片。繼續閱讀

《雲端運算安全》雲端的消費化

2012 年 03 月 21 日2012 年 03 月 14 日趨勢科技 TrendMicro

作者：Aaron Lewis

在過去這兩年間，我們可以發現大部分的變化都集中在兩個地方 – IT的消費化（Consumerization）還有雲端。這包括了大量討論它們所帶來的影響、獨特的價值跟如何計算使用率等的文章或報告。今天在這所想要討論的，就是這兩者之間有沒有關連？它們是獨立不同的領域嗎？還是它們在今日的電腦世界裡互相牽連著？如果它們是相互牽連的？那我們該如何面對隨著產生的問題？不管是好的或壞的方面。

我的看法是，它們都是這廣大電腦世界裡重要的一部分，無法真的去單獨討論或是畫出清楚的界線來。更重要的是，如果將它們獨立看待，那麼想去處理它們對電腦世界所帶來的影響也可能會無法成功。

以狹義的角度來看，一般人所說的雲端往往是指有個雲端運算系統架構，可以在那遠端執行應用程式，也可以用公司的設備、個人電腦或筆記型電腦來遠端儲存及使用資料。實際上，雲端是種運算環境，並不單指私有或公有（租用運算）的資料中心或系統，還包含了私有或公有的線路、路由器和其他會讓資料經過或存放的系統。現實是，並沒有一個特定的邊境或界線，可以明確指出這邊是雲端，而另外一邊就不是雲端。這是一個聚集了全球私有和公有系統的集合體，讓個人或公司可以用來進行日常的工作。

這跟IT消費化又有什麼關係呢？如果我們將雲端想成是許多系統的集合體，讓使用者可以充分地利用。那麼，現在這條無形的界線又開始移動了。因為有越來越多傳統上被視為消費電子的設備被大量的使用。這個朝向使用消費型設備的轉變 – 自帶設備上班（Bring Your Own Device，BYOD），進一步地將私有或公有雲的邊界帶入可攜的設備上，也更加變動。在這變動的環境底下，這些個人設備的所有權和管理權都已經在傳統的IT範圍之外，它們能夠利用各種方法去連接外部網路，並且使用和存取外部系統上的資料，這包括了許多應用程式和社群媒體。

所以不管你的組織有沒有使用這些外部系統，或是否允許使用者利用自己的設備去存取內部系統，這些對外部公開網路的連結實際上也代表著IT對這些設備無法掌控的程度，即使它們正在存取著內部網路環境。當這些設備在任何時間、任何地點都可以連上雲端，也代表了這些連結是潛在的一條通道進到你的網路環境。也就是說，在你的系統上有許多的大門正被開啟著。

繼續閱讀