資安 - 資安趨勢部落格

基礎架構程式碼：資安風險與如何防範?

2021 年 02 月 01 日2021 年 12 月 23 日趨勢科技 TrendMicro

基礎架構程式碼 (IaC) 是 DevOps 實務中實現軟體開發靈活性很重要的一環，在這份報告當中，我們點出了 IaC 實務上的一些資安風險以及對應的最佳資安實務原則。

由於 IT 基礎架構所承受的要求以及持續整合/持續交付 (CI/CD) 流程的風險不斷升高，因此，一致而可擴充的自動化顯得日形重要。這就是「基礎架構程式碼」(Infrastructure as Code，簡稱 IaC) 所扮演的角色。IaC 是一種利用機器可解讀的檔案格式來配置、設定與管理基礎架構的實務方法。有別於手動設定企業內及雲端環境的作法，系統管理員和系統架構師可透過 IaC 來將上述工作自動化。IaC 與基礎架構服務 (Infrastructure as as Service，簡稱 IaaS) 兩者絕配，而且也廣獲眾多企業採用，不僅可加速開發及擴充雲端環境，又能降低成本。

IaC 在概念上類似撰寫腳本來將 IT 流程自動化，不過 IaC 採用描述性語言來實現更彈性的資源配置與部署 (也就是由軟體本身來負責啟動基礎架構變更)，而且 IaC 對雲端運算與 DevOps 尤其重要。

IaC 工具大致可分成兩類：一種是協調工具，用來配置、組織與管理基礎架構元件 (如 CloudFormation 與 Terraform)；另一種是組態管理工具，用來安裝、更新、管理基礎架構元件內所執行的軟體 (如 Ansible、Chef、Puppet 與 SaltStack)。這類工具可讓開發人員和雲端架構師消除一些容易出錯的手動流程，讓大規模的組態設定與管理作業得以簡化。

繼續閱讀

中小企業網路資安防護有何最佳選擇？

2021 年 01 月 27 日2020 年 12 月 31 日趨勢科技 TrendMicro

對 Brad Bell 和 Mike Lenz 來說，最重要的就是要為公司數百家中小企業客戶提供最佳的網路資安防護。

對於 Brad Bell 和 Mike Lenz 來說，最重要的就是要為公司數百家中小企業客戶提供最佳的網路資安防護。託管服務供應商 (MSP) Workplace IT 首席網路服務供應工程師 Bell 表示：「中小企業通常不像大型企業有那麼多的資源可以解決網路資安的問題，但仍面臨了同樣的挑戰：每一家企業，不論規模大小，都需要保護自己的資料」。

位於美國南達科塔州 Sioux Falls 的 Workplace IT 公司仰賴趨勢科技來確保其客戶擁有市面上最佳的網路資安防護。

能和趨勢科技這樣的單一資安廠商合作，該公司就能輕鬆專注於其他事務，並且放心所有資安問題都能獲得妥善而一致的解決。Workplace IT 網路服務工程師 Mike Lenz 表示：「我來自一家小型公司，在這家公司，我得面對每一台電腦上的各種不同防毒軟體，我們從未獲得過一致的成果。採用單一廠商讓我們團隊在資安方面獲得一致的成果，不必擔心不同廠商偵測率不同的問題，而且只需學會一套產品。」

繼續閱讀

不小心點了疑似網路釣魚連結,甚至輸入信用卡等個資該怎麼辦?

2021 年 01 月 14 日2024 年 03 月 11 日趨勢科技 TrendMicro

「是你？」短短兩個字,這個會盜帳號的假影片連結,瘋傳大半年,這種引發受害人好奇、緊張或焦慮的伎倆,總讓駭客一再得逞。
垃圾郵件和惡意簡訊/訊息所引發的攻擊不斷地增加。網路犯罪者正試圖以各種以假亂真手法誘使受害者打開郵件附件檔案或連結，使其感染病毒/惡意軟體。

不小心按到了可疑附件和連結,怎麼辦? — 網路犯罪者正試圖以各種以假亂真手法誘使受害者打開郵件附件檔案或連結，使其感染病毒。

【警急警告出現詐騙網銀釣魚簡訊】

年關將至詐騙集團也開始動工要領年終
詐騙集團冒用國泰世華銀行名義散播釣魚簡訊
請特別注意此種網銀釣魚簡訊。
他們直接要拿你「網銀帳號＋身份證」非常惡劣！
一旦登入，所有個資都外洩甚至還會被盜刷

近日好多人收到冒稱國泰世華發送的釣魚警訊,而且內容不只一種,請大家提高警覺,不要一時心慌,就點下了連結。本文為大家整理,近來這種引發受害人好奇、緊張或焦慮的伎倆,統稱為社交工程手法。

本文重點:
🔻以假亂真的垃圾郵件
-「病毒警報」、「服務延長手續」、「寄送付款通知單」、「商品配送確認」看似合理訊息,誘人上鉤
-夾帶「獎金支付」的Word附件,一旦「啟用編輯」,就會執行惡意巨集
🔻簡訊詐騙
-假中獎通知,真騙個資
🔻藏身於網路廣告、簡訊、社群貼文的詐騙
-「你中毒了」技術支援詐騙
-不僅會偽裝成一般企業,還會偽裝熟人或警察大人詐騙
🔻一頁式購物詐騙
-一頁式詐騙廣告混雜於合法嵌入式廣告與一般訊息甚至新聞連結當中，民眾不易分辨察覺
🔻不小心打開可疑附件該怎麼辦?
🔻不小心打開可疑連結該怎麼辦?
🔻不小心輸入密碼、信用卡號等個資該怎麼辦?

🔻以假亂真的垃圾郵件

「病毒警報」、「服務延長手續」、「寄送付款通知單」、「商品配送確認」看似合理訊息,誘人上鉤

受害者經由垃圾郵件及惡意訊息感染惡意軟體（病毒等惡意程式的總稱）或被引導至惡意網站的案例層出不窮。媒體積極地報導這些案件及其危險性，警察機關和安全防護相關團體也不斷呼籲、試圖引起關注。那麼為何依然不斷有人受害呢？

最近的垃圾郵件都設計得以假亂真，收信人不會感到任何懷疑。由於內容及用字遣詞幾乎沒有不自然的地方，因此容易讓收件人誤以為是正常的電子郵件。例如，假裝是實際存在的郵購公司或快遞公司，以「發現病毒」、「服務延長手續」、「寄送付款通知單」、「商品配送確認」等名義發送看似合理的訊息，讓收件人不疑有他地打開附件檔案或連結。

夾帶「獎金支付」的Word附件,一旦「啟用編輯」,就會執行惡意巨集

繼續閱讀

雲端安全的秘訣是…

2021 年 01 月 13 日2020 年 12 月 21 日趨勢科技 TrendMicro

雲端安全的秘訣是什麼？趨勢科技專家有答案

企業正以前所未有的速度來投資雲端基礎設施和應用程式，好在疫情爆發期間不僅能夠生存下去，還可以更加發展。但是數位化的擴張也擴大了公司的受攻擊面。那麼雲端安全的秘訣是什麼？我們邀請了眾多趨勢科技專家來幫助你制定致勝的策略。

Mark Nunnikhoven（雲端研究副總）

擁抱變化。

資安團隊一直在救火，尤其是在當下，所以不願照業務需要的速度擁抱新的技術。同時，資安團隊也急需減少工作量，所以重複使用相同作法對他們來說更有效率。然而這種態度最終會阻礙企業發揮雲端技術真正的潛力。最終還會因為舊技術與雲端環境動態需求的脫節而導致更糟糕的安全結果。

Jon Clay（全球資安威脅溝通總監）：

教育

我們在技術上所面臨的最大挑戰之一是進步的速度。儘管這能夠推動業務創新並改善我們的日常生活，但也可能需要付出一定的代價，也就是資安團隊需要花費額外時間來理解技術以及它可能會如何被攻擊。今日的雲端運算就是如此。IT團隊通常缺乏如何有效部署和保護雲端環境的培訓和知識。

設定不當是駭客能夠入侵雲端基礎設施的最大原因之一。為了改善這狀況，企業需要在部署任何新環境前，先對員工進行雲端技術的教育訓練。並且隨著技術的不停發展，要確保員工持續地接受訓練。

Bill Malik（基礎設施策略副總）：

基於安全的設計。

繼續閱讀

雲端運算時代的供應鏈攻擊：風險、如何防範，以及確保後端基礎架構安全的重要

2021 年 01 月 12 日2021 年 12 月 23 日趨勢科技 TrendMicro

後端基礎架構是企業應細心守護的一項企業關鍵資產，因為一旦遭到入侵，很可能將引發供應鏈攻擊。

Supply Chain Attacks in the Age of Cloud Computing: Risks, Mitigations, and the Importance of Securing Back Ends — 檢視「雲端運算時代的供應鏈攻擊：風險、如何防範，以及確保後端基礎架構安全的重要」。

資安是每家企業在採用與移轉至雲端技術時都必須考量的重要一環。企業必須優先保護的資源包括：網路、端點及應用程式。此外，還有一項企業應該細心守護的關鍵資產就是後端基礎架構，因為一旦遭到入侵，很可能將引發供應鏈攻擊。

企業通常都會採用端點防護與網路防護產品來保護後端環境的伺服器以及負責儲存與處理大量寶貴資料的內部系統。為了盡可能節省成本，有些企業會將後端基礎架構移轉至雲端，或者採用雲端式解決方案在企業內架設私有雲。

不過這樣的作法要非常小心謹慎，才不會讓企業暴露在駭客攻擊的風險中，例如之前發生的多起導致營運中斷、財務損失及商譽損失的供應鏈攻擊。在「雲端運算時代的供應鏈攻擊：風險、如何防範，以及確保後端基礎架構安全的重要」(Supply Chain Attacks in the Age of Cloud Computing: Risks, Mitigations, and the Importance of Securing Back Ends) 一文當中，我們列舉了各種我們分析過的資安風險，並提出幾項防範技巧給 DevOps 參考，尤其是關於 Jenkins、Docker、Kubernetes 以及 AWS Cloud9 與 Visual Studio Codespaces 等雲端整合開發環境 (IDE)的問題。