搭火車滑手機,會導致個資外洩? !

根據 Security Discovery研究員Jeremy Fowler 的報告,使用英國鐵路網車站內免費無線網路的火車通勤者資料會因為防護不當的亞馬遜網路服務(AWS)雲端儲存而在無意間被外洩。


英國火車通勤者的資料因為設定不當的AWS雲端儲存服務而外洩


這波外洩的資料被認為包括了通勤者的旅行習慣以及電子郵件地址和生日等聯絡資訊。約有一萬名使用者受到影響。受影響的車站包括了倫敦橋、切爾姆斯福德、科爾切斯特、哈洛米爾、威克福德和沃爾瑟姆十字車站。


[相關文章:設定不當的AWS S3儲存貯體外洩了36,000筆犯人資料 ]


研究人員在網路上找到該資料庫並發現它沒有設定密碼保護,並指出沒有防護的資料庫可能成為惡意軟體感染的另一個進入點。這起資料外洩已經引起無線網路服務商C3UK的注意,C3UK原本以為儲存服務只能由他們自己和資安團隊進行存取,並不知道資料已經對外暴露。


該公司已經加強了該暴露資料庫的防護,並聲稱該資料庫是實際資料庫的備份副本。他們還透露並不會通知英國維護資訊權的非政府公共機構資訊專員辦公室(ICO),因為暴露的資料沒有被任何團體竊取或存取。


企業要確保個人識別資訊安全,任何違規事件都可能導致罰款

繼續閱讀

設定不當的 AWS S3 儲存貯體,外洩 36,000 筆受刑人紀錄

日前發現,Amazon Simple Storage Service (S3) 有一個不安全且未加密的儲存貯體,將 36,077 筆屬於美國多個州內矯正機構的受刑人紀錄外洩出去。發現這次外洩的是 vpnMentor,暴露內容包括個人識別資訊 (PII)、用藥紀錄以及受刑人日常活動的細節。外洩的儲存庫屬於 JailCore,它是一種用於矯正機構管理的雲端應用程式。

研究人員最初會發現資料外洩是因為一項網路地圖計畫,人員透過掃描通訊埠找出有漏洞的系統,而他們將這項發現回報給 JailCore,該儲存貯體便在幾天內關閉。

[相關內容:不安全的 AWS S3 儲存貯體洩漏超過三萬名大麻店客戶的資料]

繼續閱讀

約會應用程式 Jack’d 因隱私問題遭罰 24 萬;《財星 100 大》企業資料外洩,皆因安全措施不當的 AWS S3 伺服器導致

便利性固然是雲端服務的一項主要優勢,但將工作負載移到雲端,絕非如「隨插即用」這般容易。 企業經常犯的一項錯誤就是以為雲端一旦設好之後,就能一勞永逸 …

Jack’d 外洩用戶私人照片長達一年

以「同性戀、雙性戀及好奇男士」為訴求對象的聊天約會應用程式 Jack’d 最近被迫必須支付 24 萬美元的罰金並改善公司資安措施,因為該公司的某台 Amazon Web Services (AWS) S3 伺服器因安全措施不當而持續外洩用戶私人照片長達一年的時間。紐約檢察長 (New York Attorney General) Leticia James 對外宣布這項和解時指出,Jack’d 所屬的 Online Buddies, Inc. 公司未能妥善保護該應用程式 1,900 名同性戀、雙性戀及跨性別用戶的敏感照片。

今年 2 月,Online Buddies 即因有報導指出該應用程式洩漏了敏感影像而遭到調查。一位名叫 Oliver Hough 的資安研究人員在循線追查一些裸露照片時發現來源竟然是 Jack’d 應用程式。他在 2018 年 2 月時便通知該公司,指出其 AWS S3 伺服器含有組態設定上的錯誤,但該公司卻未針對這項訊息採取行動。

繼續閱讀

趨勢科技讓容器式環境資安防護跟上開發營運 (DevOps) 的腳步

Deep Security™ Smart Check提供容器映像掃瞄,在部署之前預先發掘資安問題

趨勢科技 推出 Deep Security™ Smart Check 來進一步拓展其專為容器式環境設計的資安解決方案,提供持續性容器映像掃瞄來搭配 Deep Security 目前為容器式環境提供的執行時期防護。

為了更有效偵測惡意程式及漏洞,趨勢科技開發 Deep Security Smart Check 提供容器映像部署前預先掃瞄,能在開發階段預先解決資安問題,而非等到應用程式推出之後才發現。

TRC Companies, Inc. 資深技術總監 Jason Cradit 表示:「提升應用程式安全的關鍵之一就是從一開始就將資安融入持續整合/持續交付 (CI/CD) 的流程當中。趨勢科技滿足了應用程式開發的需求,提供符合其環境又不拖慢其速度的工具。」

除此之外,趨勢科技還推出一套完整的全新 API 並搭配自動化中心所提供的資源,藉由更優異的整合來實現防護自動化。趨勢科技Deep Security 的客戶可利用產品 API 做到持續交付、狀態監控、IT 服務管理,並與協調工具整合,如新推出的 Amazon Elastic Container Service for Kubernetes。

趨勢科技混合雲防護資深副總裁暨總經理 Bill McGee 表示:「容器式平台讓企業能夠加快軟體開發及推出的週期,因此企業無法接受為了增加防護而拖慢其速度。所有工作負載的執行環境都需要資安防護,容器式環境也不例外。然而其數量龐大與生命週期短暫的特性,將帶來許多可讓駭客利用的資安漏洞。此外,目前攻擊執行時期伺服器應用程式環境的駭客,預料也會開始將注意力轉移到軟體開發流程,試圖直接在開發環境內植入惡意程式。」

隨著企業逐漸將工作負載移轉至混合雲服務,Deep Security Smart Check 能支援 DevOps 的需求,讓企業持續而安全地開發、快速交付、並在任何地方執行應用程式。這是趨勢科技從過去的虛擬化、公有雲、到現在的容器式環境,Deep Security 持續提供進階防護並隨客戶基礎架構變遷而調整的又一最佳範例。

 

Deep Security Smart Check 即日起在全球上市,更多資訊

 

保護大規模容器式環境:Amazon EKS、Amazon ECS 與 Deep Security Smart Check

 

對企業團隊來說,容器式環境是一項新的契機,不僅能讓部署作業更快、更一致,而且罕見地非常簡單容易。但要做到這點,首先必須先建立各項基礎架構:

一個叢集式容器執行環境、一個協調層,當然還有全程的防護。

為了簡化基礎架構,大多數團隊都會選擇像 AWS 這樣的雲端服務廠商。其新推出的 Amazon Elastic Container Service for Kubernetes (EKS) 是建構在強大的 Amazon Elastic Container Service (ECS) 基礎之上,能幫您的容器式環境減輕 Kubernetes 的作業負擔。 

趨勢科技 Deep Security 一直在為 Amazon ECS 主機提供重要的防護,讓您在執行時期套用必要的資安控管。2017 年,這套防護也延伸到了容器式環境,讓該平台將入侵防護與惡意程式防護套用至個別容器。本周,我們又進一步擴充我們的容器防護解決方案,推出 Deep Security Smart Check 來提供容器映像掃瞄功能。

 

讓 Deep Security Smart Check 協助您將資安測試提前 

保護生產環境中的容器是您的資安要務之一。但在這之前的開發流程呢?您如何降低資安問題所帶來的成本和衝擊?

答案就在於:提早在開發階段發現問題。您必須將資安控管提前到「持續整合/持續交付」 (CI/CD) 流程的前期。而這就是我們推出 Deep Security Smart Check 的用意。

Deep Security Smart Check 是一套新的容器映像掃瞄工具。藉由與熱門的私人及雲端登錄資料庫 (Regirstry) 整合 (包括 Amazon ECR),來持續掃瞄映像的漏洞和惡意程式。 繼續閱讀

雲端安全:分割(Segmentation),隔離(Isolation)和認證(Accreditation)…我的天呀!

 

還在不久之前,設定邊界防火牆已經是最好的做法。要為伺服器做好分割區段實在太過複雜與高成本了。

但這一切都隨著軟體定義網路的出現及虛擬化技術和主機軟體的進步而改變。托托,我想我們已經不在堪薩斯了(註:綠野仙蹤內桃樂絲的台詞)!我們現在能夠實際地去應用Gartner報告內所討論到的分割(segmentation)和隔離(isolation)安全最佳實作。

 

從哪裡開始?

亞馬遜網路服務(AWS)提供強大而友善的方式來實施基本的網路ACL(存取控制列表)。ACL指的是控制哪些網路端口可以互相對談及跟外部網路連接。

AWS預設是全部禁止,意思是沒有端口會開啟,除非你有特別要求。理想上,你會開啟最低所需的端口,並且只開放給需要它們的資源。例如,你可以將網頁伺服器的端口80/443開放給所有網路,但你不該將它的RDP端口開放給外部網路…或是完全不要開放,如果可以的話。

就跟巫師一樣,AWS有個聰明的做法可以讓它變得更加容易。比方說我想保護一個有著網頁伺服器、應用伺服器和後端資料服務的三層架構應用程式:

 

AWS可以讓你定義安全群組,就如同給多個同類型虛擬機器的範本。為了讓它更加容易,讓規則集保持不大,你可以將安全群組連結在一起。例如,只允許從網頁伺服器層虛擬機器的443端口網路流量到應用程式層。聽起來很簡單,也的確是,但卻令人難以置信的強大。

如果再加上VPC(虛擬私有雲),你可以對各種架構運用豐富的分割(segmentation)和隔離(isolation)政策。AWS的架構中心有許多樣本可以幫助你去到翡翠城(註:綠野仙蹤內桃樂絲的目的地)。

 

這就夠了,對不對?

並不盡然。正如我們在之前的文章討論過,只進行分割和只開放所需端口通常是不夠的。像Shellshock、Heartbleed和其他威脅都發生在這些合法端口上。為了讓這些飛天猴(註:綠野仙蹤內的怪物軍團)遠離你的虛擬機器,你必須深入這些網路封包資料。入侵防禦系統(IPS)軟體可以確保進出你虛擬機器的網路流量沒有惡意企圖。 繼續閱讀