中小企業資安 - 資安趨勢部落格

<動畫影片>從「比特的寵物店」,看小型企業 IT 安全防護帶來的好處

2014 年 10 月 15 日2014 年 10 月 15 日趨勢科技 TrendMicro

為了用多彩動人的方式來教育小型企業所有人和管理者，趨勢科技製作了一系列的動畫短片，內容講述一個虛構的小型企業 – 皮特的寵物店 – 如何追求更好的IT安全防護。

如果你擁有一間小型企業，你應該會了解跟同理比特所面對的挑戰和圍繞著他工作人員和經營公司網路安全的討論。

無論你是做什麼樣的生意，你都需要將IT安全作為保護你生活的重要部分。你越早切換到趨勢科技的Worry-Free Business Security或升級到最新版本就會越安全、越有效率。

趨勢科技透過關注企業的IT安全需要（不管大或小）持續地成為業界領先者。有著如此細緻的關注和堅定的承諾來持續領先於那些「壞傢伙」，我們成功地保護企業超過25年。

第一段影片概述了 Worry-Free Business Security，如何為比特保護其寵物事業。

第二段影片秀出比特為什麼希望他的寵物店有更好的安全性，以及如何找到信賴的方案。

對於現有需要升級的趨勢科技Worry-Free Business Security客戶

你可以查看第三段影片，看看如何將之前版本的 Worry-Free Business Security升級到9.0版來改善你的IT防護：

更安全 – 加強的安全功能，包括瀏覽器漏洞防護
更快 – 掃描速度比之前版本的Worry-Free Business Security快63%，網頁瀏覽也加快達17%
更聰明 – 改進的技術和更多的功能
更有效率 – 性能增強功能如掃描快取，會記錄掃過的檔案以防止浪費在重新掃描上

還沒有Worry-Free Business Security 9.0？建議現在就升級。

從之前版本的Worry-Free Business Security升級到9.0版是完全免費。訪問趨勢科技的下載網頁可以獲得你所有產品的最新免費更新。

這裡是連到趨勢科技下載中心的直接產品連結：
Worry-Free SMB防護包-標準版 (原CS for SMB) 9.0
Worry-Free SMB防護包-進階版 (原CSM for SMB) 9.0

專為資源有限的企業設計且容易使用的趨勢科技 Worry-Free™ Business Security 能幫你打理 IT 防護的一切，讓您專心拓展業務。

續集即將推出！

「比特的寵物店」影片系列的幾個續集正在製作中。第四集會秀出比特擴充Worry-Free Business Security來保護其成長中的企業有多麼容易，當它從一家店擴充到好幾家時。第五集則會顯示趨勢科技經銷商如何和像比特的寵物店這樣的小型企業建立深厚的關係。

＠原文出處：“Pete’s Pet Shop” Animated Videos Show the Benefits of IT Security for Small Businesses in a Colorful, Engaging Way作者：Richard Medugno（趨勢科技消費者安全倡導者）

中小企業 ,你的防毒軟體有足夠的保護力嗎?

2013 年 12 月 01 日2013 年 11 月 26 日趨勢科技 TrendMicro

中小企業（SMB）手上的大量資料，加上缺乏足夠的安全實作，讓他們成為攻擊者的首要目標。^註¹ 因此，中小企業相信有必要為他們的關鍵資料投資儲存安全，如電子郵件、財務文件和專案檔案。

一項研究顯示，SMB在安全技術上的開支將會以每年10-12％的速度成長，並會在2015年超過56億美元。^註² 然而，對於大多數中小企業來說，安全性就只是使用傳統的防毒技術，通常包括防火牆、檔案掃描和移除工具。這對大多數中小企業來說都會帶來風險，因為許多現實世界裡的新威脅都會想辦法逃過防毒產品。^註³

是什麼讓傳統防毒軟體不足以保護中小企業？

事實一

APT 攻擊可以繞過黑名單,避開安全系統偵測。

傳統防毒軟體的基礎是加入黑名單，或識別壞檔案和已知惡意軟體的技術，再加以阻止它們。

在一項ISACA和趨勢科技共同發起的調查顯示，相當高比例的企業聲稱他們使用傳統的網路邊界防禦來對抗APT 進階持續性威脅（APT攻擊）。^註⁴ APT被設計來停留在網路或系統內很長一段時間而不會被發現，好來完成自己的目標，通常是竊取資料。

由於攻擊者現在將中小企業當作首要目標，依賴於相同技術的中小企業也會面臨風險。一個APT攻擊可以繞過黑名單，讓他們在網路內移動時不會被偵測，並且竊取企業密碼以取得其他系統的存取能力。

最近發生的事件顯示出攻擊者是如何避過傳統防毒技術來進行網路釣魚（Phishing）攻擊，破壞安全防禦以竊取資料。針對紐約時報的攻擊就是一個例子，讓人了解威脅可以如何避開安全系統偵測。^註⁵

事實二

幾乎有一半資料外洩攻擊事件,發生在員工不到1000人的公司

一份Verizon的報告仍然將惡意軟體排在資料外洩攻擊手法的前幾名。該報告紀錄了2012年內621起確認的資料外洩事件，其中有40％是由惡意軟體所引起。幾乎有一半的事件發生在員工不到1000人的公司。其中有193起事件發生在員工少於100人的公司。^註⁶

當中小企業認為他們的傳統防毒軟體足以保護他們的資產時，資料外洩的機會就會升高，特別是在對抗客製化攻擊時。網路犯罪地下世界的發展讓攻擊者可以流程化他們的攻擊來對應他們目標的具體情況。比方說，攻擊者可以使用多型惡意軟體來針對過期的軟體 ^註7，然後進行社交工程攻擊。增加複雜性可以讓他們繞過基本的防毒軟體偵測。

事實三

IT管理者大麻煩:量身訂做的客製化惡意軟體

隨著複雜攻擊和客製化惡意軟體的增加，網路犯罪地下經濟也在過去幾年內迅速的成長。這對IT管理者帶來了麻煩，因為這些攻擊者可能專注於從他們的系統收集分類過的資料。

網路犯罪地下世界裡興盛的詐騙者已經在設法將網路變成他們的遊樂場。根據趨勢科技的研究報告，俄羅斯的網路犯罪地下世界在不斷地增進技術和修改目標，以提高他們看起來利潤豐厚的業務。

網路犯罪的加強讓中小企業更加危險。比方說加強的勒索軟體 Ransomware，會阻止受害者存取自己的系統，將資料當作人質。^註⁸ 工具也被改造成為行動威脅。^註⁹

另一項研究顯示，地下市場主要用在非法活動，往往涉及銷售商業情報和交易軟體缺陷相關的資料。^註¹⁰

事實四

傳統的防毒軟體並不是萬靈丹。

防毒軟體一直都是保持電腦安全，免受惡意軟體侵害的重要一環。好的防毒軟體可以分析複雜的檔案行為和封鎖相應的威脅。但是，它可能無法防護更加複雜的威脅，像是ZACCESS惡意軟體，攻擊者可以將惡意軟體行為隱藏起來。^註¹¹

事實五

社交工程只需誘發員工好奇，就可以獲取機密的資料。

即使有了可靠的防毒解決方案，面對利用網路釣魚（Phishing）詐騙加上惡意網址的社交工程( Social Engineering)攻擊，中小企業可能會發現防禦是一個大挑戰。^註¹² 社交工程是一種戰術，很大程度上依賴於人的互動，好來操弄人心以洩露出敏感資訊或點入某些連結。攻擊可以偽裝成使用者所熟悉網站來的官方電子郵件，像是Facebook。

由於社交工程不需要高水平的技術專長。攻擊者已經長時間的使用這種技術來作為收集公司資訊的方法。建立員工的信任和操弄其心理是成功社交工程攻擊的重要組成部分。這些組成也是光有防毒軟體也不夠的原因，一旦攻擊者誘發員工好奇心,掌握了員工的信任，他們就可以獲取機密的資料。

中小企業該怎麼做？

在當前的威脅環境裡，沒有任何一個組織是安全的。有防毒解決方案的中小企業也會是網路犯罪分子的首要目標。想要更佳的保護業務運作，你可以：繼續閱讀

讚、連結和經驗教訓關於社群網路，中小企業應該知道的五件事

2013 年 03 月 07 日2013 年 02 月 20 日 Trend Labs 趨勢科技全球技術支援與研發中心

龐大到媒體帝國，平民至便利商店，每家公司都紛紛將自己推到網路上，用最快也最具成本效益的方式來接觸他們的客戶。這是社群網路所帶來的好處，也是企業們駐足的地方。但你知道社群網路對企業來說是有風險的嗎？不管它們的規模大小。

事實一

各種規模、類型的企業都正在採用社群媒體。

並不是只有大型企業才會使用社群媒體，小型企業也會。在美國，大多數（58%）中小企業主會在社群媒體管道上發展網路及進行互動。^註1

Facebook上的公司網頁對中小企業來說是排名最高的社群媒體管道（29%），其次是在Facebook社團上互動或張貼消息（23%），然後是在產業相關社群上互動（19%）。這不難知道原因，因為這些基本上都是免費的行銷，只需要有電腦跟網路就可以了。

中小企業肯定能夠透過社群媒體來接觸到大量的消費者。跟據ComScore統計，全球的網路人口中有84%會使用社群網站。^註2 大多數人會花費五分之一的網路時間在社群網站上。在美國，社群網路的使用量幾乎增加了一倍，而在中國也增加了一半（53%）。^註3

事實二

越來越多人在工作時瀏覽社群網站。

在Salary.com最近一項關於浪費工作時間的全球性調查中發現，幾乎有三分之二的人（64%）承認自己在工作時連上與工作無關的網站。在這些網站中，Facebook是最受歡迎的虛擬聚會場所（41%），其次是LinkedIn（37%）。^註4

這消息其實並不令人驚訝。事實上，一項趨勢科技在美國針對709名受訪者所做的IT資安人員問卷調查中發現，有54%的員工在工作時因為個人因素而使用社群媒體。而中小型企業的員工中有超過五分之三這樣做。^註5

46%的人:在工作時不會因為個人因素使用社群媒體

54%的人:在工作時會因為個人因素使用社群媒體

事實三

社群網路威脅即使對小型企業也是一視同仁。

中小企業應該要知道，不管是大是小，它們也不能倖免於社群媒體威脅。中小企業員工就跟其他多數使用者一樣，也會落入社群媒體上的惡意陷阱。

假WhatsApp Facebook網頁>詐騙訊息顯示其他應該是WhatsApp的使用者>網頁導向偽造的星巴克行銷網頁>假Facebook版WhatsApp網頁繼續閱讀

員工可能是最大的安全威脅?! 五個建議幫助員工避免網路風險

2012 年 04 月 20 日2012 年 04 月 24 日趨勢科技 TrendMicro

並不是說你的員工不好，他們可能只是不了解他們在工作時上網有多麼的危險。而這就是問題所在：他們的無知，很可能會變成你的頭號網路安全威脅。這裡是五個你可以參考來解決安全問題的建議：

1. 避免員工誤觸地雷網址

網頁過濾技術能夠限制會讓人分心的正常網站（像是Facebook），但也能夠阻止你接觸到令人討厭或惡意的網站，這在粗心的使用者點到他們不該去碰的連結時很有用。網頁過濾技術可以封鎖某些網站，可能是因為藏有病毒，也可能是會讓公司產生法律問題的網站。

2. 使用強密碼

一個無知的使用者無論在哪個網站都用一樣的密碼，而且這密碼可能是一個名字、一組數字排列像是「12345」，甚或就直接用「password」。所以需要建立使用強密碼的政策：要有8-15個字元，夾雜著數字和字母以避免被人簡單的猜中。記住，密碼最好不是使用單字，而是利用某些模式產生。而且密碼應該每隔幾個月就改變一次。
參考文章:
關於密碼千萬不要做的四件事與密碼設定小秘訣
 你可能沒想過的密碼保護秘訣
從Hotmail 密碼外洩事件，看六種密碼被竊的手法(上）
我複製、貼上密碼，他在幕後接收！-從Hotmail 密碼外洩事件，看六種密碼被竊的手法(下）

3. 教導員工分辨假防毒軟體

假防毒軟體彈出視窗仍然困擾著許多中小企業使用者。如果一個人不是特別了解技術，而且也不夠細心的話，當看到螢幕上突然出現一個可怕的警告訊息，很容易就會上當了。請確保員工知道公司內部使用什麼防毒軟體，而且當它進行更新時是什麼樣子。正常情況下它會自動更新，不需要使用者來手動進行。你的員工應該知道，當出現任何要更新他們安全軟體的提示都有可能來自偽造的來源。

: 假防毒軟掃瞄作業結束之後，還會顯示遭到哪些病毒感染

繼續閱讀

小型企業所該了解的關於網站威脅和網路犯罪的五件事

2012 年 01 月 04 日2012 年 12 月 24 日趨勢科技 TrendMicro

對於網路犯罪份子來說，沒有太小而無不去攻擊的目標。但小型企業仍然有著這樣的心態 – 只有跨國大公司才是網路犯罪分子的目標。他們堅信，因為他們很小所以很安全。正因為如此，這些企業老闆往往無視於網路犯罪威脅和安全問題，也讓小型企業成為被垂涎的對象。

不要成為他們的一份子。是時候面對現實了。

現實一

任何企業，無論大小、類型都可能是網路犯罪的受害者

大多數小型企業不相信網路犯罪份子會把目標放在他們身上。根據Visa公司和美國國家網路安全聯盟（NCSA）的調查，^註¹ 一千個小型企業中，有85％認為大型企業是比他們更有可能的目標。超過一半（54％）對於自己比大型企業做好更多準備來保護公司和客戶資料具有信心。

這些小型企業認為自己不會出現在攻擊者的雷達上。他們的想法是，和他們這些小型企業比起來，網路犯罪分子會先針對大型企業或消費者。但在現實中，網路犯罪分子並不會有任何歧視。只要有利可圖，只要有可以攻擊的點，他們就會動手。並沒有所謂的優先順序，只要有安全漏洞就可以了，所以就算是小型企業，網路犯罪份子都會一視同仁。

2010年NCSA VISA 小型企業研究概覽

現實二

網路犯罪份子對於小型企業所掌握的資訊是有興趣的

雖然並沒有大型企業那種規模，但是中小企業（SMB）還是一樣面臨內容安全風險。銀行詐騙攻擊仍是個真實存在的威脅。^註2 中小企業一直都是惡意軟體的目標，像是會竊取密碼的鍵盤側錄程式，讓網路犯罪分子可以去存取其財務帳戶。資料竊盜變得十分猖獗，在二〇一一年，中小企業的銀行帳戶被偷走了超過十億美元。^註3 這表示你的員工和客戶的資料，以及財務帳戶資訊都是網路犯罪分子的首要目標。