運作效率:資料中心成功的關鍵

 

虛擬化是為了讓IT運作更有效率。期望可以讓IT功能和企業都變得更有彈性,好用更少的資源做更多的事情。今天,這市場已經成長到了數十億美元的規模。Gartner公司預測再過一兩年,到了2016年,伺服器工作負載的71%都將被虛擬化。這是個很驚人的數字。但在虛擬化的世界中,安全性往往成為了種阻力。它影響了運作效率和增加不必要的成本,而非是種助力。

虛擬化的問題

大部分的問題在於許多安全解決方案根本不是用來設計給虛擬化的環境。它們將虛擬化資料中心當作傳統的IT環境一般。然而,一個正常的配置可能有幾十台,甚至數百台的虛擬機器,將代理程式安裝到每一台上可能會導致不樂見的後果。安全更新和其他正常任務都可能製造出安全「風暴」,吃掉記憶體、CPU處理能力和儲存空間,導致IT系統的停頓。

將傳統安全方案硬是塞進虛擬資料中心也可能導致人力資源的緊張。想像一下修補、設定和更新每個代理程式所需要花費的時間。這不僅是極端地沒有效率,也可能會留下安全問題。虛擬機器被配置和取消配置的速度代表手動進行修補可能會導致「即時啟動間隙(Instant-On Gaps)」,當虛擬機器從休眠狀態回到線上後並沒有最新的防護。 繼續閱讀

近500萬 Gmail 帳號密碼被公布!!檢查是否遭駭工具,竟是網路釣魚

繼 iCloud洩百女星裸照事件後,英國《每日郵報》報導,9 月 10 日在俄羅斯「比特幣安全」(Bitcoin Security)論壇上赫然出現近 500萬個 Gmail的帳密清單。

Gmail2

Google呼籲 Gmail用戶經常變更密碼,並啟用帳戶登入的兩階段認證功能

雖然公布者聲稱其中 60%的帳密仍在使用中,Google表示這些用戶資料中有效帳密比例不到2%,也沒有證據顯示有系統被攻擊,但仍建議用戶採取預防措施,例如重設密碼,並啟用兩階段驗證。

Google在部落格貼文表示這些帳號和密碼並非來自Gmail本身外洩,而可能是「其他來源」。在過去發生的案例中,趨勢科技發現網路釣魚(Phishing)是個資外洩案最常使用的伎倆。網路釣魚(Phishing)會成功,通常就是因為目標無法從正常的郵件中區分出詐騙的信件,它可能藏身在搜尋結果第一頁的長得很像 LINE 的頁面;或是冒充facebook 安全中心的小12小時內停權警告信,重大個資外洩案,如eBay外洩百萬個資也是肇因於難以分辨得網路釣魚詐騙信件

檢查是否遭駭工具,竟是網路釣魚網站

提醒大家目前有一些聲稱可以幫你檢查是否在本波外洩名單的工具,其實是另一種駭客竊取個資的詐騙手法。比如一個網站宣稱可讓用戶輸入電子郵件地址,查詢自己是否受害,並表明絕不會蒐集個資,但詭異的是該網站卻是在事件曝光的前一天即註冊,也就是說比駭客公布近 500 萬筆帳密的時間還早,經趨勢科技分析該網站為 網路釣魚(Phishing)網站,趨勢科技PC-cillin 2014雲端版 已經將該網站封鎖。

雖然某些釣魚網站不會要求輸入密碼 ,但卻可能利用蒐集到的 email 發送垃圾信件;如果”好心”的檢查工具頁面順便提供立即更新 Gmail 密碼的連結,千萬別點入,當心帳號密碼一起奉送給駭客了,記得:更新密碼請手動輸入官方網址。

PCC

在任何網站輸入帳號密碼前,請再三確認

老話一句,在任何網站輸入帳號密碼前,請再三確認是否為原始官方網站,不要輕易輸入密碼。現在測試一下你看得出以下這個 LINE 釣魚網頁哪一個是真的嗎?

如果你沒有辦法憑肉眼辨認真假,讓就交給可以主動預警惡意網頁,以顏色清楚標示惡意網址,讓您輕鬆一眼洞悉潛在威脅的網路安全軟體,如趨勢科技PC-cillin 2014雲端版 獨家【Facebook隱私權監測】,手機、平板、電腦全方衛!即刻免費下載

 

iCloud 明星裸照外洩事件,也成為網路釣魚詐騙誘餌

順帶一提針對尋找上述 iCloud洩百女星裸照外流照片使用者的網路釣魚騙局,已經出現,以下是其中一個案例:

惡意網址藉著iCloud被駭明星影片在FACEBOOK 塗鴉牆散播擴散
惡意網址藉著iCloud被駭明星影片在FACEBOOK 塗鴉牆散播擴散

8 個小撇步,讓你的個資不成公開的秘密

針對裸照外流事件,蘋果也發出新聞稿指稱他們不認為iCloud有漏洞,可能是這些女星帳號的密碼設定得太簡單。

0905 icloud

即使多數的我們不是 iCloud外洩女星裸照 事件中的 A 咖名人,但我們還是有些寧可不公開的資料。因為一旦個資外洩,就等於是開放給所有的網路詐騙集團,記住以下 8 個小撇步,不讓個資成公開秘密:

  1. 確定您的密碼複雜而不易猜測(長度超過10 個字元的密碼,越長越好)
  2. 混合使用大小寫字母、數字和標點符號(將某些字母換成數字和/或標點符號)
  3. 切勿在多個帳號重複使用相同密碼(花點時間為每一個帳號建立各自的密碼。)
  4. 使用一套密碼管理軟體, 如 PC-cillin 雲端版內建的密碼管理 e 指通 ,這裡立即免費下載DirectPasss
  5. 重設密碼的安全提示問題,確定只有您自己知道答案。記得,您的答案不必是真的,只要是您記得住的就行。
  6. 隨時留意那些專門用來騙您提供使用者名稱和密碼的網路釣魚(Phishing)郵件。可免費下載可主動預警惡意網頁,以顏色清楚標示惡意網址的趨勢科技PC-cillin 2014雲端版 
  7. 若是任何線上服務提供了額外的安全機制,例如透過手機進行雙重認證,請務必將它啟用。
  8. 不要再用這些每年都上榜的最易破解密碼,比如 123456, 5201314,避免使用紀念日,寵物名字。

Linkedin前卅大被破解的密碼 

Yahoo 被駭密碼

Angel是被盜密碼排行榜常客

【同場加映】
不是只有 A 咖女星,才該擔心個資成公開秘密

 

趨勢科技PC-cillin 2014雲端版 獨家【Facebook隱私權監測】,手機‬、平板、電腦全方衛!即刻免費下載

免費下載 防毒軟體 PC-cillin 試用版下載

 密碼管理 e 指通

◎ 歡迎加入趨勢科技社群網站

   

過去廿年他一直在販賣火車乘客資料; 1/5資料外洩事件來自內部

內部來的風險:美國國鐵資料外洩的教訓

最近由美國國鐵督察長辦公室所發表的一份報告顯示,這家鐵路大眾運輸公司的一名員工在過去廿年一直在販賣乘客資料。這份資料的買主不是別人,就是美國緝毒署,他們在過去支付了該員工854,460美元。愛荷華州的資深參議員Check Grassley致信緝毒署來表達對此事件的嚴重關切

內部來的風險:美國國鐵資料外洩的教訓

這起資安事件最誇張的地方是這名前員工可以從1995年就開始販賣美國國鐵乘客個人身份資料這件事。也就是說,這種不當行為在廿年來從沒有任何人發現。透過這樣未經授權的販賣客戶資料,這員工收到來自緝毒署總共854,460美元。

緝毒署應該是有權免費地要求有問題的客戶資料,只要透過美國國鐵和緝毒署的聯合工作小組。也就是說,美國納稅人付錢買了應該可以免費取得的資料。事件爆發後,為了不被懲罰,該名員工選擇了退休。

這起資料外洩事件一開始是如何被確認並沒有包含在國鐵的報告中。想到員工可以在這麼長的時間內一再地進行不當行為這件事,必須問一個嚴重的問題 –有進行內部控管和稽核嗎?有實施哪些安全措施來防止此類外洩事件嗎?

 

調查顯示:有五分之一受訪者的外洩事件來自內部

不管是來自網路攻擊或惡意員工,資料外洩事件持續地成為世界各地的頭條新聞。趨勢科技在2014年3月對1,175位日本IT安全專家和決策者所進行的調查顯示,有233(19.8%)在2013年經歷過內部系統的資料外洩事件。換句話說,有五分之一受訪者的外洩事件來自內部。

總共有778位受訪者(近三分之二)證實曾經歷過某種形式的安全入侵事件。有28名(3.6%)補充說,被竊的資料已經在某些地方被使用或運作。這些統計數據只代表在日本的資安入侵外洩問題,但在其他地方所得到的數據即便不一樣,可能也不會差太多。資料外洩已不再是「別人的問題」。 繼續閱讀

PGP:不完美,但仍值得依賴

在過去幾個禮拜,PGP 作為使用者電子郵件加密方法的效果成為備受爭議的話題。最新一波來自約翰霍普金斯大學的密碼學教授Matthew Green,他對  PGP 的批評主要在於金鑰管理的缺陷和缺乏遠期安全(Forward Secrecy)

對於這整個產業來說,做好加密是非常重要的。這是在21世紀確保網路生活安全的根本。PGP 在多年來都是防護電子郵件安全的重要組成部分,因此,如果是因為它被破解而需要修正的建議是必須被認真看待。

PGP

但 PGP 本身的加密功能被認為還是健全的,雖然它一直被視為不方便使用。不過它從未真正被認為是提供給一般使用者。一直都是有技術能力的使用者才會去依賴於PGP。這些使用者有能力去使用 PGP 客戶端,儘管它們不夠精良。

現在,事情改變了;可以想像人們可能有興趣去使用PGP,但不具備足夠的技術能力去使用現有的客戶端。這些使用者需要的是「點了就用」的軟體。在「安全」和「易用」之間有個不容易消彌的根本鴻溝。

PGP 有個的確值得批評的地方是它管理金鑰的方式。簡單來說,PGP 將管理金鑰的所有負擔都放在使用者身上。其他加密解決方案(如SSL/TLS)則恰恰相反,這些過程基本上對於最終使用者來說是不可見的。  繼續閱讀

《 IoT 物聯網安全趨勢》高科技家庭越來越有智慧

ioe 高科技家庭越來越有智慧
圖文解說:明日自動化家庭有多麼容易遭到網路犯罪攻擊? (點小圖看放大全圖)

明日的連網自動化家庭時代已經來臨,遲早,數以百萬計的家庭都將習慣這樣的生活方式。

未來不久,人們一回到家就會聽到門口監視攝影機作動的聲音,隨時監視著門口的狀況。很快地,智慧型門鎖與動作感應裝置就會成為家庭保全的標準配備。智慧型電視將讓您輕鬆錄製節目或拍攝照片,並直接上傳至網際網路。智慧型冰箱可幫助一些注重養生的人們控制飲食,甚至幫忙訂購需要補充的日用品。

雖然連網的家庭與家電將帶來輕鬆和便利,但卻也製造了各式各樣的網路犯罪機會,因為歹徒總是會往「錢」和「人」最多的地方聚集。

連網自動化裝置數量不斷增加,對於目前最夯的萬物聯網概念固然是件好事,但安全漏洞的數量也會隨之增加,這樣的情況已經發生在桌上型電腦與行動裝置。安全的問題可能來自家電本身、來自安全問題修補的程序,或是來自人為的錯誤和安全情況的誤判。

大家務必仔細評估家庭自動化的優、缺點。使用監視攝影機、動作感應器、智慧型門鎖以及其他保全裝置,或許能輕易地增加安全性,但也它們也可能成為駭客用來觀察您是否有人在家的工具。

內建視訊攝影機和麥克風的智慧型電視或許能為使用者提供便利的個人化設定,但也能讓網路犯罪者挾持這些設備而暗中監視使用者。安裝車用電腦或許能讓車主輕鬆地更新一些重要但繁瑣的設定,但也可能引來駭客入侵的風險。就連具備上網購物功能的智慧型冰箱,也可能成為歹徒竊取銀行帳號資訊的途徑。

了解智慧型家庭可能遭到駭客攻擊的各種情境,是您安全地探索及使用明日自動化家庭裝置的關鍵。
◎原文出處:https://about-threats.trendmicro.com/us/threat-intelligence/internet-of-everything/understanding-ioe/high-tech-homes-get-smarter