雲端資安 - 資安趨勢部落格

何謂 Iac? 對資安長 (CISO) 為何重要?

2022 年 04 月 25 日2022 年 04 月 14 日趨勢科技 TrendMicro

「速度」是企業移轉到雲端上開發應用程式的主要原因，而且為了達到日益嚴苛的期限要求，許多營運開發 (DevOps) 團隊都轉而採用基礎架構程式碼 (Infrastructure as Code，簡稱 IaC) 來建立大量新的專案。但他們有採用安全的作法嗎？本文探討 IaC 的資安挑戰，並看看資安長 (CISO) 如何挑選適當的雲端防護工具來支援快速開發流程以驅動創新。

繼續閱讀

企業資安基本觀念：認證與授權

2022 年 04 月 20 日2022 年 05 月 06 日趨勢科技 TrendMicro

大多數的資安事件都是因為 DevOps 流程及工具的機密遭到外洩而引起，因此適當的認證和授權機制非常重要。本文說明一些可改善身分管理以提升應用程式安全的基本觀念。

何謂身分識別與存取管理 (Identity and access management,IAM)？

身分識別與存取管理 ( Identity and access management,IAM) 是為了確保唯有具備某些職務的人員可以存其工作上絕對必要的某些工具、系統與服務。這是實踐零信任資安的一項重要基礎，能幫助您回答您在開發應用程式時所必須面對的兩個基本問題，那就是：確認使用者身分，以及該賦予多少權限？

繼續閱讀

員工 WFH(在家工作),CISO(資安長)遠距管理資安三秘訣

2022 年 04 月 18 日2022 年 04 月 29 日趨勢科技 TrendMicro

資安長 (CISO) 如何管理遠距上班的資安問題？以下提供 3 個保護網路、端點及使用者的祕訣。

在家工作/遠距上班與混合上班模式未來將成為常態，這表示資安長必須建立一套有效的資安策略來管理企業日益擴大的受攻擊面。說實在的，企業機構再也沒有本錢可以輕忽遠距上班的資安問題，因為勒索病毒不論是攻擊案例或勒索金額都不斷攀升。請看趨勢科技網路資安副總裁 Greg Young 與趨勢科技澳洲技術總監 Mick McCluney 對於如何建立一套良好的在家上班 (WFH) 資安策略有何看法。

遠距上班的資安現況

網路釣魚攻擊正隨著人們對於新冠肺炎(COVID-19) 的恐懼而不斷擴散。2021 年，趨勢科技為客戶攔截了超過 940 億次的電子郵件、檔案與網址相關威脅，較 2020 年大幅增加了 42%。澳洲競爭與消費委員會 (Australian Competition & Consumer Commission) 所經營的 Scamwatch 網站收到了將近 6,500 件 COVID-19 相關的詐騙檢舉，通報的損失金額高達 980 萬澳幣 (約 2.07 億台幣)。

繼續閱讀

趨勢科技在雲端工作負載防護評測取得「表現優異」評價

2022 年 04 月 13 日2022 年 04 月 12 日趨勢科技 TrendMicro

趨勢科技在 2022 年第 1 季 Forrester Wave™：雲端工作負載防護 (Cloud Workload Security) 評測當中獲得「表現優異」(Strong Performer) 的評價，並在「市場實力」方面取得最高分。不過，Trend Micro Cloud One 除了保護工作負載與容器之外，還遠遠提供了更多的防護。

即使在疫情爆發之前仍未擁抱雲端的企業機構，現在也紛紛移轉到了雲端。這兩年來，經濟的逆境、市場的不確定性，以及營運模式的多元化，已經讓企業的董事會高層真正體會到雲端的重要。截至 2021 年 4 月為止，全球已有三分之一的企業機構表示他們 50% 以上的工作負載都是在雲端上執行。據估計，到了今年秋季，全球將有超過半數 (56%) 的企業會在雲端上執行工作負載。這正是為何趨勢科技一直將雲端防護列為優先重點，並推出單一整合防護服務平台來提供全方位的解決方案。

Forrester 在最新的一份報告「2022 年第 1 季 Forrester Wave™：雲端工作負載防護」(Forrester Wave™: Cloud Workload Security, Q1 2022) 評比當中肯定趨勢科技的表現優異。然而對趨勢科技客戶來說，好消息是我們提供的功能甚至遠遠超越這項評比所測試的範圍。

繼續閱讀

最常導致資安事件的雲端組態設定錯誤

2022 年 03 月 17 日2022 年 03 月 14 日趨勢科技 TrendMicro

在疫情期間，雲端加速了企業機構的數位轉型。雲端的可靠性與彈性，讓企業得以在這段艱困時期能加速轉型至遠距上班模式。然而，急就章地導入雲端很容易因為疏失或對雲端服務組態設定了解不夠而導致錯誤，也就是一般常說的組態設定錯誤。企業理所當然必須小心防範雲端內部各種複雜的資安威脅 [AC(T1] ，但企業同時也應留意一些單純的組態設定錯誤，因為它們最終也可能讓營運關鍵系統和資產設備意外暴露在風險中。

組態設定錯誤看似單純且可避免，但卻是目前雲端環境最常見的一項風險。事實上，有 65% 至 70% 的雲端資安挑戰都是因為組態設定錯誤而引起。雲端包含了各式各樣的設定、政策、資產，以及環環相扣的服務和資源，這使得雲端變成一個非常複雜的環境，不但難以理解透徹，也不容易正確設定。一些因為遠距上班需求而被迫迅速移轉至雲端的企業更是如此。不幸的是，當企業太快導入新的技術卻沒有完全掌握其複雜性時，組態設定錯誤就在所難免。

由於組態設定錯誤有可能成為駭客攻擊利用的途徑，因此很可能導致嚴重後果，這也是近年許多大型資安事件背後的元凶。2018 和 2019 年間，因雲端組態設定錯誤而引起的資安事件造成了將近 5 兆美元的企業損失。2020 年，全球化妝品品牌 Estee Lauder (雅詩蘭黛) 外洩了 4.4 億筆資料，其中包含了使用者電子郵件地址，以及稽核、錯誤、CMS、中介軟體、生產線等記錄檔，全都只因為某個資料庫未正確設定密碼所致。2020 年，成人網站 CAM4 意外洩漏了108.8 億筆資料，其中包含了使用者的個人身分識別資訊 (PII)、付款記錄以及密碼雜湊碼，同樣也是因為某個 Elastic Search 資料庫未設定安全防護所引起。

組態設定錯誤一直是企業機構和政府機關發生重大財務及聲譽損失的主因之一。所以，任何採用雲端的企業機構都務必對這些常見的組態設定錯誤有所認識，才能加以防範，以免遭駭客利用造成更大損失。趨勢科技從 Trend Micro Cloud One™ – Conformity 在 2020 年 6 月 30 日至 2021 年 6 月 29 日一整年間所蒐集到的資料當中分別整理出 Amazon Web Services (AWS) 和 Microsoft Azure 最常違反 Cloud Conformity 組態設定規則的 10 項服務。

繼續閱讀