雲端 - 資安趨勢部落格

小型企業是網路犯罪者的大事業-每個小型企業都應知道的五件關於網路犯罪的事

2012 年 11 月 22 日2015 年 07 月 06 日趨勢科技 TrendMicro

每個小型企業都應知道的五件關於網頁威脅和網路犯罪的事

對於網路犯罪者來說，沒有任何企業會太小而不值得花費力氣。小型企業雖然不像一般大企業那麼受人矚目，但小型企業也無力承擔輕忽網路犯罪威脅的代價。儘管外界流傳著小型企業對這類安全威脅免疫的說法，但現在該是正視問題的時候了。

1. 任何企業組織，不論規模大小，都可能成為網路犯罪的受害者。

大多數的小型企業都不相信自己會成為網路犯罪的目標。根據 Visa Inc. 與 National Cyber Security Alliance 一項針對 1,000 位小型企業老闆的調查，有 85% 的老闆相信大型企業比他們更容易成為目標。超過一半 (54%) 的受訪者有自信他們的準備比大型企業更充份，更有能力保護公司與客戶資料。小型企業或許會認為：網路犯罪通常不是鎖定很大的企業，就是鎖定一般消費者，因此自己不可能成為歹徒的目標。然而，事實上，只要是有利可圖而且利潤豐厚，網路犯罪者才不管是超大型企業、小型企業或一般消費者。他們對任何目標都一視同仁。只要是系統存在著安全漏洞，任何目標對網路犯罪來說都是一樣的。

2. 小型企業同樣也擁有網路犯罪者所感興趣的資訊。

小型企業或許會認為他們的內容安全威脅並不像大型企業那麼嚴重。但事實上，根據 Council of Better Business Bureaus 在 2010 年 5 月所發表的研究，7.4% 的小型企業老闆都曾經遇到網路詐騙。

小型企業同樣也擁有員工和客戶資訊，因此就各方面來說，同樣也是網路犯罪的重要目標。從身分證號碼到網路銀行帳號密碼都是歹徒所覬覦的資料 (完整的失竊資料排名請參考下圖)。

小型企業同樣也擁有網路犯罪者所感興趣的資訊

3.網路犯罪者平均每一秒釋出 3.5 個專門攻擊小型企業的新威脅。

根據報告指出，專門針對小型企業的網路攻擊數量在 2010 年初竄升了 600%。趨勢科技的專家表示，此現象的背後至少有兩項因素。首先，規模較大的企業皆已投入更多資金來加強網際網路安全，迫使網路犯罪者將目標轉向同樣有利可圖的小型企業。其次，小型企業數量龐大，光是美國境內就有超過 2 千 5 百萬家小型企業。除此之外，小型企業還有一項吸引網路犯罪者的原因，那就是小型企業沒有足夠的預算可以聘請專門的 IT 團隊，更不用說成立專責部門，來維持資訊安全。

曾經有小型企業因為遇到網路犯罪而損失數十萬美元，而歹徒所用的工具就是 t僵屍網路/傀儡網路 Botne 程式。Bot 程式是一種會暗中潛入個人電腦的惡意程式，一旦潛入，歹徒就能從遠端遙控電腦並竊取重要資料而不被員工或客戶發覺。

2011 年 1 月，美國聯邦調查局 (FBI) 在一份報告中指出，有一家美國企業因為觸發了電子郵件所挾帶的惡意程式而自動從銀行帳戶轉出了 15 萬美元給歹徒。該惡意程式就是 ZeuS/ZBOT 家族的木馬程式之一，此惡名昭彰的惡意程式家族專門詐騙小型企業。

趨勢科技TrendLabs 的專家也曾見過專門針對小型企業而設計的網路釣魚Phishing攻擊和漏洞攻擊。這類詐騙經常利用一些稅務相關的電子郵件，並且假冒政府機關的名義，其手法通常是利用客戶投訴或威脅採取法律行動來引起被害人恐慌。而漏洞攻擊則是專門攻擊常見合法應用程式的漏洞。

只要小型企業能確保每一位員工 (不論技術程度如何) 都能隨時掌握網路犯罪的最新動態，就更能防範上述攻擊。企業應該教育員工有關最新的詐騙手法，鼓勵員工養成良好習慣，例如：只要是來路不明的可疑郵件，千萬不要回覆，也不要開啟附件檔案，更不要點選其中的連結。此外，小型企業最好能貫徹一套內部安全政策來強化其網路安全與銀行交易作業原則。最後，小型企業也必須時時提高警覺，小心防範可疑的網路活動，並且做好應變的準備，以防萬一真的遭到歹徒入侵。

4. 儘管遵規需要高昂的成本，但未遵守法規的可能代價更高，而且讓網路犯罪有機可乘。

並非所有的小型企業都已意識到遵規的問題。有些甚至認為自己的企業已經符合法規要求，並且已做好安全措施。然而，根據 2011 年發表的一份中小企業 (SMB) 資料安全與詐騙預防策略調查顯示，美國有將近一百萬家小型企業皆曾經是資料安全詐騙的受害者。

不遵循法規的結果，最終可能導致生產力損失、業務中斷以及高昂的法律成本。對於跨國性的企業來說，遵規的成本大約在 350 萬美元之譜5，相對於不遵循法規的潛在損失，這只不過是小小的代價。小型企業如果以為自己不必遵守資料保護法規，那就大錯特錯。如同大型企業，小型企業也需處理人員、流程與技術的問題，而這些層面的網路犯罪威脅與大型企業沒什麼不同。

5. 小型企業正逐漸邁向雲端，也開始擁抱雲端安全，但網路犯罪者也不是省油的燈。

雲端運算已經不再是一種口號，而是既成的事實。今日中小企業整體雲端市場價值大約在 86 億美元左右6 ，而且在 2014 年將達到1,000美元之譜。此外，高達 74% 的中小企業打算在 2011 年提高他們的雲端式軟體支出，這一點比 2010 年底的情況明顯大幅增加，而當時中小企業採用雲端運算的比例大約只有 14%。

繼續閱讀

小型企業的雲端之路，到頭來還是回到原點

2012 年 11 月 22 日2012 年 11 月 22 日趨勢科技 TrendMicro

作者：Greg Boyle 趨勢科技全球產品行銷經理

許多小型企業到目前依然對雲端運算抱持著懷疑的態度。他們懷疑雲端運算是否能在不招來嚴重風險的情況下提升他們的獲利能力。首先，讓我們來定義一下小型企業所謂的雲端運算。一般大家所認知的雲端運算有兩種：其一是軟體服務 (software-as-a-service)，其二是基礎架構服務 (infrastructure-as-a-service)。
所謂的軟體服務 (簡稱 SaaS)，就是將您平常辦公室所安裝的軟體改從網際網路來供應。有時候也稱為「代管」。

最常見的就是客戶關係管理 (簡稱 CRM) 系統。去年，全球有 26% 的 CRM 支出已經移轉到 SaaS 上，而且此一比例預計在 2015 年將成長至 33%。
而基礎架構服務 (簡稱 IaaS) 則是您向廠商租用資料中心的伺服器來執行您的 IT 環境，而不需自己購買硬體設備。最常見的 IaaS 範例就是網站代管服務。
此外，您可能還會聽到「公共雲端」或「私人雲端」這兩個名詞，簡單來說，公共運端就是將共用的運算資源放在您的企業外部，透過網際網路來存取。而私人雲端則是在您自己的公司內部建立一個資源共用基礎架構，然後透過內部網路服務公司內的所有使用者，而不在每一台使用者電腦上安裝軟體。

近十年內成立的小型企業一開始就是雲端的使用者

許多近十年內成立的小型企業，其實一開始就是雲端的使用者，只是企業並未意識到這點而已。這麼說並非故弄玄虛。我指的就是電子郵件和網站。
當新公司成立時，老闆採購了電腦之後的第一個想法，通常都是「設定一個電子郵件信箱」，再來就是「架設一個公司網站」，至於「購買一台伺服器」，則不是最優先的考量。事實上，90% 的小型企業都沒有自己的伺服器。
那麼，小型企業的電子郵件和網站由誰代管？一般來說是他們的網際網路服務供應商 (ISP)，這通常都隨附在寬頻網路連線套餐之內。基本上，這類由公共雲端所提供的應用程式與共用資源，就成了小型企業的 IT 基礎。繼續閱讀

保護您邁向雲端之路的 10 個步驟

2012 年 10 月 19 日2012 年 10 月 12 日趨勢科技 TrendMicro

發表者：Jonathan Gershater

消費者對於使用公共雲端的應用程式以及將資料儲存在公共雲端存有疑慮是可以理解的，例如：「我的資料安全嗎？」、「誰可以存取我的資料？」、「萬一雲端廠商發生資料外洩怎麼辦？」、「如果我的資料遭到外洩，誰該負責？」等等，都是消費者在邁向雲端時經常考慮的問題。

儘管採用雲端運算即意謂著失去主控權，但消費者在使用這些服務時仍需承擔一些責任。

有鑑於此，雲端標準消費者委員會 (Cloud Standards Customer Council) 發表了「雲端運算安全：確保成功的 10 個步驟」(Security for Cloud Computing: 10 Steps to Ensure Success) 白皮書，內容詳列了一份清單以及一些指導原則和策略，專門為協助公共雲端的消費者評估並比較不同雲端廠商關鍵領域安全措施而撰寫。

1.實施監督、風險與遵規流程。儘管雲端運算環境的安全控管與傳統 IT 環境類似，但您必須了解自己可承受多大的風險，專心防止您企業無法輕忽的風險。

2.營運和業務流程都需要稽核。稽核作業應交由具備適當技能的人員擔任，並且搭配您所建立的控管機制來達成安全要求。

3.掌握使用者的權限。企業需管理數十至數千名不等的員工及雲端應用程式與服務使用者，每一個人都有不同的角色和權限。您必須妥善控管這些角色和權限。

4.保護資料和資訊。由於雲端運算有基礎架構分散和責任共同分擔的特性，因此資料安全顯得格外重要。

5.真正落實隱私權政策。您不僅要定訂政策來解決隱私權的疑慮，更要提高企業內部的資料保護意識，同時，也應確保您的雲端服務廠商確實遵守隱私權政策。

6.評估應用程式安全性。定義清楚的安全政策及流程，是確保應用程式能為企業帶來動力而非額外風險的關鍵。

7.確保網路連線安全。您應要求雲端服務廠商做好一定的外部網路周邊安全措施。

8.評估實體安全。任何 IT 系統的重要考量因素之一就是實體基礎架構與場地設施的實體安全性，即便是雲端系統亦不例外。繼續閱讀

虛擬化的無代理防護也適用於雲端嗎？

2012 年 09 月 13 日2012 年 09 月 05 日趨勢科技 TrendMicro

作者：趨勢科技Christine Drake

嗯，這要看狀況。讓我先退一步來簡單說明一下無代理防護，作為這談話的背景資料。

在虛擬環境裡，許多公司都安裝了傳統基於代理（Agent-based）的實體端點防護到每台虛擬機器（VM）上。但是安裝完整的解決方案到每一台虛擬機器上會吃光系統資源並降低效能。另一種方法是將安全性整合到虛擬化平台。在每部主機上提供一個專用的安全虛擬設備，可以利用虛擬化平台的API和虛擬機器管理程式的內部互動來保護每台虛擬機器，而不需要在每個客戶端虛擬機器上安裝程式來作為保護。虛擬設備會確保每台虛擬機器都更新到最新防護而不會影響到任一虛擬機器的資源。這設備還會排序安全掃描和更新的時間來維護性能。

經由VMware vShield Endpoint和資安夥伴解決方案所整合的第一個無代理（Agentless）虛擬化安全防護是防毒功能。現在有越來越多安全廠商都提供無代理的防毒軟體。但無代理的作法還可以應用在更廣泛的檔案安全上，包括對檔案和虛擬機器管理程式的完整性監控，以及網路安全上，像是入侵防禦和防火牆等。

經由VMware的整合，無代理安全防護當然也適用於虛擬資料中心。但它可以被部署在雲端嗎？比方說，在vCloud環境？如果你有自己雲端環境VMware平台底層的虛擬機器管理程式的控制權，那麼答案是肯定的。比方說，佈署到你資料中心的私有雲，你可以控制底層的基礎架構，就可以部署無代理安全防護好帶來安全性和效能優勢。

但是公共雲就不同了。在多數情況下，服務供應商會控制底層的基礎架構，你不會有專用主機資源給你的雲端環境部署。在這情況下，你需要安裝基於代理的安全防護，來保護你在這種多租戶環境下的虛擬機器。不過，服務提供商也可以提供無代理安全防護作為服務的附加選項，讓你可以管理自己虛擬機器的無代理安全防護。

理想的虛擬化和雲端安全解決方案需要提供無代理和基於代理的部署選項。隨著公司向雲端邁進，大部分都會部署混合雲，包含了私有雲和公共雲的元件。安全解決方案必須要可以靈活地佈署無代理安全防護到私有雲，還有基於代理的安全防護到公共雲，而且可以統一管理，整合協調這兩種環境上的安全策略。不管你在哪裡佈署雲端環境，你會希望安全解決方案可以很容易地跟上雲端運算所需的發展和變化。

繼續閱讀

《雲端運算與網路安全》愛國者法案研究顯示，你的資料在任何國家都不安全

2012 年 06 月 25 日2012 年 06 月 12 日趨勢科技 TrendMicro

《雲端運算與網路安全》愛國者法案研究顯示，你的資料在任何國家都不安全

作者：趨勢科技雲端安全副總裁Dave Asprey

全球資料隱私法律事務所Hogan Lovells發表一份白皮書，概述關於政府存取雲端資料的研究結果。這份報告是由Hogan Lovells的隱私和資訊管理實務主任 – Christopher Wolf和巴黎辦事處的合夥人 – Wiston Maxwell所撰寫。Hogan Lovells的新聞稿在這裡，而完整的白皮書在這裡。

全世界的IT媒體都提到了這份研究報告，包括Computerworld、PC World、IT World和IDG新聞。不幸的是，一般都是說「美國的愛國者法案沒有賦予美國特殊權利在資料上」，淡化了美國和其他十個國家法律間的差異。

的確，在大多數國家，如果政府想要貴公司的資料，那他們都有方法可以取得。也的確，如果西方政府想要放在其他西方國家雲端伺服器內的資料，他們也都有方法來取得。

我在一個資安研討會上親自跟某位聯邦調查局副主任確認了後者。我問說：「如果妳需要一家德國公司放在德國雲端服務供應商的資料以供美國調查，那妳會怎麼做呢？妳有權取得嗎？」她笑著說出類似以下的回答：「我們只要聯絡我們在德國情報單位的同伴們並要求該資料。他們會提供給我們，因為我們也會在他們下次調查時做出一樣的幫助。」當然也有共同法律互助協定（MLAT）來提供法律上的框架以解決這類問題。

這項研究也指出，只有德國和美國有禁制令規定來防止雲端服務供應商提出所交出的資料是客戶付錢要求保護的事實。這是「愛國者法案」傷害到美國雲端服務供應商的部分。

繼續閱讀