未來學(FuTuRology):一窺熱門技術的威脅

你覺得資安環境會在未來兩年或三年後演變成什麼樣子?

趨勢科技前瞻性威脅研究團隊這樣的研究小組在腦力激盪的活動方面,最感到興奮的就是要去預測未來。我們無法知道將會發生什麼,但根據我們所擁有的數據可以讓我們做出推測。讓我們可以預測未來。這樣的腦力活動就是我們所說的「未來學」。

「未來學」一開始是嘗試去解決醫療產業未來的思考活動,它可能會如何發展而容易遭受攻擊。我們了解到這也可以應用在像交通、科技、農業等其他重要產業上。

這是「未來學」系列文章的第一篇,專注在預測熱門技術所可能面臨威脅。我們將在下一篇中深入醫療課題,但今天我們會關注在預測行為上。

聽起來不錯?讓我們進行下去。

 

預測和「黑天鵝」

為了預測未來的攻擊,我們需要知道現有的技術會如何發展。我們都知道惡意分子會追著使用者跑。比方說在趨勢科技對2015年及之後的安全預測中,我們基於現在網路犯罪分子對行動平台的興趣而預測他們會如何發現更多的漏洞。今年過了一半,果真看到了三星SwiftKeyApache Cordova和其他漏洞的出現。 繼續閱讀

< 資安新聞週報 > Android手機嚴重漏洞,就可造成手機全面癱瘓!/Windows 10的新瀏覽器安全嗎?

歡迎來到資安新聞週報,本文分享上週資安新聞及事件。你將會看到新聞的簡短摘要及原文連結來閱讀更詳細的見解。

Mobie phone 手機

影響 95% Android手機嚴重漏洞,只要一通特製多媒體簡訊(MMS),就可造成手機全面癱瘓!

趨勢科技發現最新Android系統漏洞,駭客可以利用藏有惡意程式的App 或是網頁,針對Android 行動裝置進行攻擊,一旦使用者安裝此App 或是瀏覽這些遭的網頁,將會開啟一個有害的 MKV 檔案,此檔案將會在裝置開機時自動執行啟動,造成手機無法接電話、收發簡訊或是螢幕全黑導致全面當機 !

Windows 10的新瀏覽器Microsoft Edge:有改進但也有新風險
Windows 10的新瀏覽器 Microsoft Edge 相對於Internet Explorer在安全性方面有顯著的加強。然而,它也存在著舊版本所沒有的新潛在威脅來源。

台灣和香港數家電視和政府網站遭Hacking Team Flash漏洞攻擊

最近出現一項駭客攻擊行動專門入侵台灣和香港的網站,並利用 Hacking Team 的 Flash 漏洞讓使用者系統最終感染了 PoisonIvy 和其他惡意程式。這項攻擊始於 7 月 9 日,就在 Hacking Team 公開宣布發生資料外洩幾天之後。

俄羅斯地下市場已擁有自動化基礎架構與精密的工具

我們的研究報告深入探討了一個基礎架構日益成熟的網路犯罪商品/服務販賣和交易地下生態體系。該報告也討論了該體系的激烈競爭、流程自動化、新攻擊管道以及社群地下活動。

網拍買露營用攜帶瓦斯,遇到詐騙改吃泡麵

一名住在台北市的張姓女子透過「露天拍賣」購買買2台可攜式瓦斯爐準備露營,匯了4600元給賣家,結果直到露營出發前還沒收到貨,才發現遇到詐騙集團,整個假期都只能吃泡麵。

一個會讓 Android 裝置沒有反應的漏洞

趨勢科技在 Android 上發現了一個可能導致手機似乎無法動彈的漏洞 ─ 沒有聲音、無法打電話、畫面沒有反應。從 Android 4.3 (Jelly Bean) 到最新的 Android 5.1.1 (Lollipop) 皆含有這項漏洞。

政府開始回頭重新檢討頗具爭議的網路安全出口規範

美國網路安全產業和政府單位一直在針對當前的出口規範進行角力,研究人員認為這些規範將使得網際網路變得更不安全。目前美國政府已經表示願意重新檢討這項規範並試圖採納民間意見。

Ponemon 2015 年醫療產業安全報告 (Healthcare Security Report) 四項重要結論

高達 91% 的受訪者在過去兩年內至少曾經發生一次資料外洩。大多數的受訪者已發生過至少 11 次以上的資安事件。醫療產業 IT 團隊亦了解這樣的嚴重情況,但至今仍苦無降低資料外洩威脅的有效對策。

FBI 的網路安全計畫正面臨挑戰

政府監管機關已經發現多項阻礙 FBI 落實網路安全計畫的障礙,這項計畫的目標是要降低美國所遭受的威脅。 

最新研究顯示高階主管的網路安全憂慮急速攀升

根據一項針對美國企業、執法機關、政府單位以及其他機構高階主管和資安專家的調查顯示,75% 的受訪者表示他們今年較 12 個月前更擔心網路安全威脅。

趨勢科技PC-cillin雲端版 全面支援 Windows 10

準備升級到 Windows 10 了嗎?我們準備好了。

根據 Microsoft 表示,最新版的 Windows 10 作業系統增加了許多全新的資訊閱讀、撰寫、儲存及分享方式。我們特別製作了一個網頁 (請看下文) 來提供您一些工具和技巧,協助您順利升級至 Windows 10,並透過我們相容於 Windows 10 的新版家用防護軟體趨勢科技PC-cillin 10 – 2016雲端版 來保護您的安全。

 

趨勢科技白帽菁英計畫專案之一: 海外資安賽事啟航 !
今年趨勢科技持續贊助台灣資安勁旅HITCON 前進LAS Vegas參加DEF COF CTF, 賽事於8/6~8/9 舉辦, 除了祝褔團隊有好佳績之外, 我們也派出隨行小編隨團貼身觀察, 每天為各位傳回現場大會活動的最新訊息及戰況, 大家一起為台灣團隊加油打氣 !

 

決戰時刻倒數1 天,一起為台灣隊集氣!!請每日密切注意《趨勢科技DEF CON 隨行小編拉斯維加斯連線報導》#資訊安全 #資安人才 #HITCON #DEFCON #白帽菁英養成計畫

Posted by 趨勢科技 Trend Micro on 2015年8月4日

 

原文參考出處:This Week in Security News

《 想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚 》

《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位,勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。

▼ 歡迎加入趨勢科技社群網站▼

好友人數

推薦】防毒軟體大評比: 惡意程式防禦力 PC- cillin雲端版榮獲第一名!

【推薦】PC-cillin 雲端版 榮獲世界著名防毒評鑑機構高度評比

540x90

 

 

 

趨勢科技PC-cillin雲端版 ,榮獲 AV-TEST 「最佳防護」獎,領先28 款家用資安產品防毒軟體 ,可跨平台同時支援安裝於Windows、Mac電腦及Android、iOS 智慧型手機與平板電腦,採用全球獨家趨勢科技「主動式雲端截毒技術」,以領先業界平均 50 倍的速度防禦惡意威脅!即刻免費下載

 

七個容易上當的網路陷阱

FAMILY網路犯罪可能對你或你的家人下手,因為沒出現任何警告訊息,你照例你的上網活動,而不知道網路犯罪已經悄悄進行。趨勢科技分享給您該避免的七種最常見的網路犯罪陷阱,讓您和家人避免成為它們的受害者:

包含:

  1. 勒索軟體 Ransomware不給錢就綁架檔案/系統
  2. 網路釣魚(Phishing)讓你的錢人間蒸發
  3. 被冒名散發Facebook 垃圾訊息
  4. 手機帳單暴增
  5. 手機耗電量異常
  6. 網路搜尋找答案,卻找到麻煩!
  7. 電腦突然超級龜速或當機

1.勒索軟體將你的檔案當作人質要錢。 繼續閱讀

企業資安訓練只是新進員工的一次性事件?(內有影片)

資訊安全:它是一場旅程

作者:Rik Ferguson(趨勢科技全球安全研究副總裁)

影片裡「只想把事情做好」的員工,竟成最脆弱的資安漏洞,問題出在哪裡?

人,是最大弱點,企業,不管大小,都必須想辦法去解決「只想把事情做好」之原意良好員工所帶來的風險。同樣地,雇主也有責任去隨時瞭解技術和網路犯罪的發展,以提供有效的教育訓練。

企業必須確保他們真正瞭解今日所面對的威脅,不只是他們自己所認為的。他們需要確保他們的使用者被訓練好可以有能力且謹慎地去使用網路和公司資源,而非只是盲目地相信技術解決方案。員工應該知道無形的危害會如何發生和他們要關心哪些地方。

同樣地,人們需要清楚他們自己以及別人個人資料的真正貨幣價值,給予應有的對待,而不是隨便地透過社群和專業網路、部落格、電話、假問卷調查等方式提供給好奇的不知名者。

目前大多數公司的資訊安全訓練僅提供給新進員工。作為新進員工,你必須消化所有相關的政策並簽名。問題是這通常是一次性事件,三個月或三年過去,不僅員工會忘記如何實際應用這些政策,而且也沒有重新審查這些政策,只是假定威脅或技術環境本身沒有變化。

教育訓練,尤其是在資訊安全領域,應該是一個持續的過程而不是一次性事件。理想情況下,它應該有樂趣和被參與,確保安全性會放在公司意識的前線,無論是在工作還是外面。良好的資訊安全實踐應超出工作場所範圍,如在家裡活動,尤其是在自帶設備和消費者化時代,可能會帶給工作嚴重的影響。

資訊安全訓練對於提供給不感興趣的對象來說會是個棘手的問題;許多重要經驗可以向行銷、創意和網站內容學習,成為你企業的一部份。安全訓練不只是安全小組的任務;它需要企業內部多個團隊共同合作才能達到真正的成功。

遊戲化的概念或利用遊戲設計技術來提高非遊戲領域是能夠被成功應用在安全訓練的地方。將你的員工以功能性或地域性分組;用分階段的方式來提供員工相同的訓練,隨著時間慢慢的升級。制定排行榜來激發你員工的競爭心理,用一系列意想不到的測試來讓他們接受挑戰;比方說神秘來電者嘗試進行社交工程技術,嘗試在社群網路上建立關係,網路釣魚電子郵件活動設計用來誘捕粗心的人。如果你的員工隊伍已經被事先警告過訓練中包含實作元素,而且他們的安全雷達將會被不斷的測試,這只會加強他們的一般安全意識。能夠持續性的賺取成就和獎項,建立激勵動機來將安全性保持在你做日常一切事務時的列表頂端。

重點不是要懲罰或用其他方式對待得分最低的個人或團體;而是要建立安全的文化,讓每個員工都更加瞭解到他們行為所造成的後果,即時這些行為在當時看起來完全無害。

資訊安全不是一個目的地,這是一場旅程。

 

在10月份,我們支援國家網路安全聯盟以慶祝網路安全月 旨在教育企業和個人如何保持網路安全。到這裡來看看我們為你所收集的有用影片、圖表、部落格文章和報告。

 

@原文出處:Information Security: It’s a Journey

IT 部門因網路活動劇增而擔憂無法偵測威脅

有些IT主管認為自己正在跟網路犯罪份子打一場艱難的戰爭。最近一份針對英國IT專家的調查顯示,許多受訪者對於自己在資料量不斷增加時對抗攻擊缺乏信心,需要擁有額外的監控能力。

這樣子的想法並不只出現在英國。世界各地的私人和公家單位都一直在努力應付網路活動劇增的狀況,其中一些和複雜性攻擊有關。最近的假期季節出現幾起值得注意的攻擊活動,像是Target零售商的資料外洩,行動應用程式Snapchat數百萬使用者名稱和電話號碼被駭,以及針對Skype的攻擊。

對於防備網路攻擊的疑慮甚至已經悄悄地進入國家安全討論。警惕著對關鍵基礎設施的威脅,英國和日本已經採取行動來解決IT系統弱點。部分美國國防部官員甚至將網路戰視為最危險的國家安全。

此一不斷高漲的IT風險意識不需要變成了恐慌,但是組織必須建立新的安全策略,不只是來自IT管理者,還要包括其他部門人員的加入,因為網路攻擊可能會中斷整間企業運作。從技術角度來看,整合網路監控解決方案和資料中心可能是直線化IT基礎設施來面對新威脅環境的關鍵一步。

smb 中小企業 黑帽三人組

RedSeal調查顯示英國對於防備能力的廣泛擔憂

RedSeal對350位英國IT專家的調查顯示他們對網路安全的疑慮。不到一半的受訪者認為自己可以如實地告訴公司高層,公司的運作可以在面對攻擊時保持安全,超過36%的人表示自己不能這樣說。

不過對這些主管來說,真正要面對的現實問題是採購流程和人員方面,而不是網路罪犯能力的突然增加。有近三分之一受訪者證實,他們忽略嚴重的漏洞是因為缺乏時間或合適的安全解決方案,有28 %的人希望可以有更好的工具來處理網路資料過多的問題。

「網路犯罪社群知道企業已經無法處理過多的資料,而且沒有足夠的資源或工具來保護他們寶貴的資產,所以他們可以利用這些弱點,」RedSeal執行長 – Parveen Jain說道。「我們建議利用自動化解決方案,讓你可以利用可執行的情報來全神貫注在重要而脆弱的資料上。這樣一來,IT部門就能夠對全盤網路安全架構有可見性,使他們能夠捍衛自己的系統,對抗複雜性網路攻擊。」

溝通是另一常見的絆腳石,有60%的人反應說,在討論組織安全時,高層和IT部門的瞭解不同。同樣地,多數受訪者對於利用關鍵績效指標來展示進度有困難。

 

在攻擊偵測和回應前線要做的事

RedSeal對於企業要使用自動化解決方案的建議是第一步,特別是鑑於IT部門有監測和回應網路活動的問題。有百分之四十五的受訪者斷言,他們甚至不知道自己是否被駭客攻擊過,因為他們的系統內充斥著過多的資料,以致於不可能精確定位攻擊。

面對威脅真正問題並不完全是技術方面,有許多是跟組織如何去架構回應網路攻擊。說到財富雜誌,作者Peter Singer認為,公司的高階主管應該要更多地了解IT風險,尤其是因為70%的企業高階主管必須為公司做出關於網路安全的決定繼續閱讀