中小企業 - 資安趨勢部落格

企業資安訓練只是新進員工的一次性事件?(內有影片)

2014 年 10 月 21 日2014 年 10 月 14 日趨勢科技 TrendMicro

資訊安全：它是一場旅程

作者：Rik Ferguson（趨勢科技全球安全研究副總裁）

影片裡「只想把事情做好」的員工,竟成最脆弱的資安漏洞,問題出在哪裡?

人,是最大弱點,企業，不管大小，都必須想辦法去解決「只想把事情做好」之原意良好員工所帶來的風險。同樣地，雇主也有責任去隨時瞭解技術和網路犯罪的發展，以提供有效的教育訓練。

企業必須確保他們真正瞭解今日所面對的威脅，不只是他們自己所認為的。他們需要確保他們的使用者被訓練好可以有能力且謹慎地去使用網路和公司資源，而非只是盲目地相信技術解決方案。員工應該知道無形的危害會如何發生和他們要關心哪些地方。

同樣地，人們需要清楚他們自己以及別人個人資料的真正貨幣價值，給予應有的對待，而不是隨便地透過社群和專業網路、部落格、電話、假問卷調查等方式提供給好奇的不知名者。

目前大多數公司的資訊安全訓練僅提供給新進員工。作為新進員工，你必須消化所有相關的政策並簽名。問題是這通常是一次性事件，三個月或三年過去，不僅員工會忘記如何實際應用這些政策，而且也沒有重新審查這些政策，只是假定威脅或技術環境本身沒有變化。

教育訓練，尤其是在資訊安全領域，應該是一個持續的過程而不是一次性事件。理想情況下，它應該有樂趣和被參與，確保安全性會放在公司意識的前線，無論是在工作還是外面。良好的資訊安全實踐應超出工作場所範圍，如在家裡活動，尤其是在自帶設備和消費者化時代，可能會帶給工作嚴重的影響。

資訊安全訓練對於提供給不感興趣的對象來說會是個棘手的問題；許多重要經驗可以向行銷、創意和網站內容學習，成為你企業的一部份。安全訓練不只是安全小組的任務；它需要企業內部多個團隊共同合作才能達到真正的成功。

遊戲化的概念或利用遊戲設計技術來提高非遊戲領域是能夠被成功應用在安全訓練的地方。將你的員工以功能性或地域性分組；用分階段的方式來提供員工相同的訓練，隨著時間慢慢的升級。制定排行榜來激發你員工的競爭心理，用一系列意想不到的測試來讓他們接受挑戰；比方說神秘來電者嘗試進行社交工程技術，嘗試在社群網路上建立關係，網路釣魚電子郵件活動設計用來誘捕粗心的人。如果你的員工隊伍已經被事先警告過訓練中包含實作元素，而且他們的安全雷達將會被不斷的測試，這只會加強他們的一般安全意識。能夠持續性的賺取成就和獎項，建立激勵動機來將安全性保持在你做日常一切事務時的列表頂端。

重點不是要懲罰或用其他方式對待得分最低的個人或團體；而是要建立安全的文化，讓每個員工都更加瞭解到他們行為所造成的後果，即時這些行為在當時看起來完全無害。

資訊安全不是一個目的地，這是一場旅程。

在10月份，我們支援國家網路安全聯盟以慶祝網路安全月 – 旨在教育企業和個人如何保持網路安全。到這裡來看看我們為你所收集的有用影片、圖表、部落格文章和報告。

＠原文出處：Information Security: It’s a Journey

個人自備裝置 (BYOD)：是趨勢還是威脅？中小企業應知道的五項行動裝置威脅

2014 年 03 月 18 日2014 年 04 月 02 日趨勢科技 TrendMicro

個人自備裝置 ( BYOD) 的出現，讓企業因而敞開大門，各種威脅得以經由員工疏失所造成的網路漏洞進入企業。所謂的 BYOD 就是員工攜帶個人裝置進入公司網路。這是 IT 消費化的潮流之一，在此潮流之下，將有更多新的消費性資訊技術進入企業環境。

每家中小企業都應知道的五項行動裝置威脅

1.即使是最小的裝置也可能成為企業最大的安全漏洞。

BYOD 的潮流銳不可擋。在這樣的情況之下，有哪些 BYOD 及行動化的風險是中小企業所必須知道的？還有，中小企業應如何盡力降低這類風險？

43%的中小企業對行動化抱持開放態度，並且認為支援行動裝置和智慧型手機是一項優先要務。BYOD對中小企業來說已無法逃避。

所謂的 IT 消費化，就是企業員工在公司內部使用消費性科技。而 BYOD則是 IT 消費化的一環，也就是員工攜帶自己的裝置，如：手機、筆記型電腦、平板電腦到工作場所使用，而且通常會連上公司網路。

2.中小企業的 BYOD 時代已經來臨，中小企業必須跟上時代的腳步以維持競爭力。

研究顯示，中小企業對行動化抱持開放的態度，有 43% 的中小企業認為支援行動裝置和智慧型手機是一項優先要務。3全世界都在行動化，中小企業老闆也正利用行動 App 程式來節約時間、提高營收與生產力，並且降低成本。僅有 20%的 Android 裝置安裝了防護軟體。

3.中小企業應預先了解 BYOD 所帶來的安全挑戰。

不論規模大小，所有行動化的企業都應了解自己已經暴露在某些風險當中。全球使用中的 Android 裝置高達 4 億，這龐大的數字既是 Google 的商機，也是歹徒的機會。不僅如此，我們發現僅有 20% 的 Android裝置安裝了防護軟體。

從最大的跨國企業到最小的新創公司，所有擁抱 BYOD 的企業都將面臨風險。正因如此，中小企業必須知道今日 BYOD 的時代將面對最新的威脅。今年第一季顯示，網路犯罪者已將更多重心轉移至行動裝置。

網路犯罪者無時無刻不在尋找各種熱門平台，因為，越是熱門的平台，就會有越多受害者可利用。

4.行動裝置上的重要資料正面臨危險。

根據 Ponemon Institute 的一項研究顯示，企業自身的員工是企業資料的最大威脅。員工的個人裝置一旦遺失或做好防護措施以防範資料竊取程式，企業資料就可能遭到外洩。同一份調查也發現，員工疏失是許多資料外洩事件的根源。而且中小企業因員工疏失或內賊的惡意行為而造成資料外洩的比例也較高。

此外，行動裝置還有很高的失竊風險。事實上，智慧型手機與一般手機占了美國主要城市所有搶案的 30%至 40%，共 27,000 起。中小企業必須了解，行動裝置需要與桌上型電腦至少相同等級的防護。由於消費者傾向使用智慧型手機來快速存取個人資訊，商用智慧型手機一旦遺失，將使得網路犯罪者完全掌握企業的重要資料。

員工可能經由下列方式從其行動裝置洩漏公司重要資料：

‧ 連上不安全的無線網路

‧ 下載和安裝未經核准的 App程式

‧ 造訪可能惡意的網站

‧ 將手機隨意放置而未加留意

上述情況，再加上裝置的意外遺失，將對中小企業資料帶來嚴重風險。

資訊竊盜惡意程式是最常見的 Android 惡意程式類型之一。影響 BYOD 裝置的惡意程式確實存在。

網路犯罪者已擴大了活動範圍。除了桌上型電腦之外，他們同樣也會攻擊行動裝置，因為其普及率和使用者數量正不斷攀升。裝置一旦感染惡意程式，受害的將不只是員工自己，還將波及員工所屬的企業。

行動惡意程式可能對企業造成許多傷害。Android 最常見的惡意程式之一就是資訊竊盜程式，這類程式幾乎可記錄、竊取、公開員工在行動裝置上的所有活動資訊。其竊取的資料包括：來電和去電、簡訊、通訊錄、使用者的 GPS 定位資訊等等。這類惡意程式很可能導致後續的資料外洩事件。

Rooter (解機) 惡意程式一旦進入 Android行動裝置，即可控制裝置並操作其功能，讓網路犯罪者從遠端遙控被感染的裝置。此外，一旦該裝置連上中小企業網路，此惡意程式就能存取其網路。

駭客非常熱愛 Android 作業系統，光是 2012 年第一季就出現 5,000個新的惡意 App 程式。

5. Android 是最常遭到攻擊的行動裝置作業系統。

網路犯罪者一向鎖定最熱門的作業系統以盡可能擄獲最多受害者。Android 高達 50.9%的市場占有率 (一般使用者和企業) 使該作業系統成為網路犯罪者長期最愛的目標之一。11駭客非常熱愛 Android 作業系統，光是 2012 年第一季就出現了 5,000 個新的惡意 App 程式。而且 Android 是今日中小企業最常支援的第二大行動裝置作業系統，讓它更令人垂涎。事實上，趨勢科技已發現 129,000 種專門針對 Android 使用者的惡意 App 程式。繼續閱讀

中小企業 ,你的防毒軟體有足夠的保護力嗎?

2013 年 12 月 01 日2013 年 11 月 26 日趨勢科技 TrendMicro

中小企業（SMB）手上的大量資料，加上缺乏足夠的安全實作，讓他們成為攻擊者的首要目標。^註¹ 因此，中小企業相信有必要為他們的關鍵資料投資儲存安全，如電子郵件、財務文件和專案檔案。

一項研究顯示，SMB在安全技術上的開支將會以每年10-12％的速度成長，並會在2015年超過56億美元。^註² 然而，對於大多數中小企業來說，安全性就只是使用傳統的防毒技術，通常包括防火牆、檔案掃描和移除工具。這對大多數中小企業來說都會帶來風險，因為許多現實世界裡的新威脅都會想辦法逃過防毒產品。^註³

是什麼讓傳統防毒軟體不足以保護中小企業？

事實一

APT 攻擊可以繞過黑名單,避開安全系統偵測。

傳統防毒軟體的基礎是加入黑名單，或識別壞檔案和已知惡意軟體的技術，再加以阻止它們。

在一項ISACA和趨勢科技共同發起的調查顯示，相當高比例的企業聲稱他們使用傳統的網路邊界防禦來對抗APT 進階持續性威脅（APT攻擊）。^註⁴ APT被設計來停留在網路或系統內很長一段時間而不會被發現，好來完成自己的目標，通常是竊取資料。

由於攻擊者現在將中小企業當作首要目標，依賴於相同技術的中小企業也會面臨風險。一個APT攻擊可以繞過黑名單，讓他們在網路內移動時不會被偵測，並且竊取企業密碼以取得其他系統的存取能力。

最近發生的事件顯示出攻擊者是如何避過傳統防毒技術來進行網路釣魚（Phishing）攻擊，破壞安全防禦以竊取資料。針對紐約時報的攻擊就是一個例子，讓人了解威脅可以如何避開安全系統偵測。^註⁵

事實二

幾乎有一半資料外洩攻擊事件,發生在員工不到1000人的公司

一份Verizon的報告仍然將惡意軟體排在資料外洩攻擊手法的前幾名。該報告紀錄了2012年內621起確認的資料外洩事件，其中有40％是由惡意軟體所引起。幾乎有一半的事件發生在員工不到1000人的公司。其中有193起事件發生在員工少於100人的公司。^註⁶

當中小企業認為他們的傳統防毒軟體足以保護他們的資產時，資料外洩的機會就會升高，特別是在對抗客製化攻擊時。網路犯罪地下世界的發展讓攻擊者可以流程化他們的攻擊來對應他們目標的具體情況。比方說，攻擊者可以使用多型惡意軟體來針對過期的軟體 ^註7，然後進行社交工程攻擊。增加複雜性可以讓他們繞過基本的防毒軟體偵測。

事實三

IT管理者大麻煩:量身訂做的客製化惡意軟體

隨著複雜攻擊和客製化惡意軟體的增加，網路犯罪地下經濟也在過去幾年內迅速的成長。這對IT管理者帶來了麻煩，因為這些攻擊者可能專注於從他們的系統收集分類過的資料。

網路犯罪地下世界裡興盛的詐騙者已經在設法將網路變成他們的遊樂場。根據趨勢科技的研究報告，俄羅斯的網路犯罪地下世界在不斷地增進技術和修改目標，以提高他們看起來利潤豐厚的業務。

網路犯罪的加強讓中小企業更加危險。比方說加強的勒索軟體 Ransomware，會阻止受害者存取自己的系統，將資料當作人質。^註⁸ 工具也被改造成為行動威脅。^註⁹

另一項研究顯示，地下市場主要用在非法活動，往往涉及銷售商業情報和交易軟體缺陷相關的資料。^註¹⁰

事實四

傳統的防毒軟體並不是萬靈丹。

防毒軟體一直都是保持電腦安全，免受惡意軟體侵害的重要一環。好的防毒軟體可以分析複雜的檔案行為和封鎖相應的威脅。但是，它可能無法防護更加複雜的威脅，像是ZACCESS惡意軟體，攻擊者可以將惡意軟體行為隱藏起來。^註¹¹

事實五

社交工程只需誘發員工好奇，就可以獲取機密的資料。

即使有了可靠的防毒解決方案，面對利用網路釣魚（Phishing）詐騙加上惡意網址的社交工程( Social Engineering)攻擊，中小企業可能會發現防禦是一個大挑戰。^註¹² 社交工程是一種戰術，很大程度上依賴於人的互動，好來操弄人心以洩露出敏感資訊或點入某些連結。攻擊可以偽裝成使用者所熟悉網站來的官方電子郵件，像是Facebook。

由於社交工程不需要高水平的技術專長。攻擊者已經長時間的使用這種技術來作為收集公司資訊的方法。建立員工的信任和操弄其心理是成功社交工程攻擊的重要組成部分。這些組成也是光有防毒軟體也不夠的原因，一旦攻擊者誘發員工好奇心,掌握了員工的信任，他們就可以獲取機密的資料。

中小企業該怎麼做？

在當前的威脅環境裡，沒有任何一個組織是安全的。有防毒解決方案的中小企業也會是網路犯罪分子的首要目標。想要更佳的保護業務運作，你可以：繼續閱讀

駭客鎖定中小企業,先釣電郵密碼,後詐鉅款,非法損失金額已超過六千萬

2013 年 09 月 16 日2013 年 09 月 17 日趨勢科技 TrendMicro

中小企業大危機 趨勢科技發現駭客針對中小企業進行變臉詐騙攻擊
非法損失金額已超過六千萬 趨勢科技呼籲應提高資安意識

【2013年9月16日 台北訊】詐騙手法不斷翻新，駭客技術也日漸精進，從詐騙個人財物進階到詐騙公司行號。雲端資安大廠趨勢科技(TSE:4704)發現，近期駭客鎖定資安意識較薄弱的中小企業進行變臉詐騙攻擊，運用中小企業時常需要與國外有時差的客戶進行聯繫的特性，從中攔截郵件，一人分飾兩角的與買賣雙方進行溝通，目前累計不法損失金額高達台幣六千多萬元。趨勢科技呼籲全台中小企業應立即提高資安意識，以免公司遭受財物損失成為下一位受害者。

圖一：趨勢科技台灣暨香港區總經理洪偉淦(右一)與台灣區企業客戶部技術顧問黃源慶(左一) 於會中分享趨勢科技如何運用堅實技術協助中小企業防禦變臉詐騙攻擊。

趨勢科技近日發現，駭客鎖定IT人力較匱乏的中小企業進行變臉詐騙攻擊，主要鎖定的中小企業均是從是進出口貿易、電子商務、海外雙邊貿易…等，而攻擊主要分為三個階段：社交工程攻擊、潛伏監控與駭客詐騙。駭客先鎖定中小企業進行社交工程攻擊，主要利用台灣中小企業仍有多數使用免費的 web mail (如：HiNet mail，Gmail，Yahoo! mail…等)與海外買家進行國際貿易的特性，先透過寄發假冒為免費email系統管理員的郵件至特定的承辦人員信箱，待承辦人員點選開啟郵件後，即下載可竊取企業 email 的帳密的惡意程式並取得權限，駭客便可開始進行email 內容的潛伏監控。

圖二：駭客假扮為免費email系統管理員發出社交工程攻擊信件

運用買賣雙方有時差且聯繫不易的特點，駭客便開始見縫插針進行email潛伏監控，直到買賣雙方開始交涉付款細節時，駭客便開始浮出水面並從中攔截email，一人分飾兩角，與買賣兩方進行雙面溝通，讓買家付款到駭客詐騙帳號，當確認詐騙金額到手後就此消失，直到買家付款後遲遲未收到貨，進而直接與賣家電話聯繫，才發現買賣雙方均掉入駭客精心設計的陷阱，損失大筆的貨款與貨品，中小企業不得不慎。

圖三：駭客針對中小企業進行變臉攻擊詐騙的手法

針對以上的情形，趨勢科技技術總監戴燊表示：「由於大型企業的資安多半較為嚴密，駭客近期開始針對資訊安全意識相對較低的中小企業進行攻擊，且社交工程攻擊手法，更是讓收件者疏於查證而輕易點選，防不勝防。建議公司行號經手特定敏感資訊的人員如業務、財務、人資等，更需對此類來路不明的信件，以及其中的附件檔應抱持戒慎的心態，以免公司遭受不必要的財物損失。」

面對社交郵件工程攻擊，趨勢科技建議中小企業主應注意以下事項：