本文探討軟體供應鏈的網路攻擊情境,以及提升軟體供應鏈資安成熟度與降低資安風險的防範策略。
不論您企業的數位轉型正如火如荼進行、或者只是單純移轉至一些更具成本效益與靈活性的平台,您的數位受攻擊面都將因而擴大,並暴露於軟體供應鏈的資安威脅當中。根據 Venafi 近期一項調查指出,有 82% 的受訪者覺得其機構有可能遭到針對軟體供應鏈的網路攻擊。此外,由於網路駭客集團受到 Kaseya 和 SolarWinds 事件的鼓舞,針對軟體建構及派送環境的攻擊行動將越來越多。
企業當然也注意到這股威脅趨勢,有 85% 的受訪者表示他們「已收到執行長的明確指示要求改善軟體建構與派送環境的資安」。為了協助資安長 (CISO) 和資安領導人管理及防範供應鏈的資安風險,本文將探討軟體供應鏈為何會面臨風險,以及 CISA 提供了哪些策略性建議。
本文探討使用無伺服器服務來管理機密的潛在風險。
無伺服器環境正日益受到歡迎,這類環境經常主打一些方便企業營運與拓展業務的功能特色,例如:內建擴充性、跨地區服務、成本管理容易等等。幾乎每家主要雲端服務供應商 (CSP) 都提供了某種型態的無伺服器服務,而目前最受歡迎的兩大服務是 Amazon Web Services (AWS) Lambda 和 Azure Functions。
我們可以將無伺服器應用程式想像成在雲端基礎架構內執行的一段程式碼。這段程式碼可透過多種不同方式來觸發執行,例如經由一個 HTTP API 端點或事件。從資安的角度,我們可以將被執行的程式碼本身的安全性與其執行環境的安全性分開來看。雖然 CSP 沒辦法掌控被執行的程式碼,因為那是由使用者所負責,但 CSP 卻能掌控程式碼的執行環境。
我們先前就曾撰文探討過風險管理不當可能帶來什麼危險,而同樣的風險也適用於 CSP 和他們所提供的服務。以下我們將介紹一種許多開發人員在移轉到雲端環境之後常犯的資安錯誤。
繼續閱讀
網路犯罪集團其實並不在意他們所駭入的是企業內伺服器或雲端伺服器,對他們來說,只要是暴露在外或含有漏洞的伺服器都一樣好用。
網路犯罪集團並不在乎伺服器所在的位置,不論他們駭入的是雲端或企業內伺服器,他們都有儲存空間及運算資源可用,此外也可以竊取其中的資料。所以,伺服器越容易駭入、就越容易遭殃。
隨著數位轉型浪潮的持續發展,再加上遠距工作的推波助瀾,雲端伺服器似乎更容易發生暴露在外的情況。不幸的是,許多企業 IT 團隊都未針對雲端伺服器提供與企業內伺服器相同等級的防護。
特別說明一下,我們必須強調這樣的情況僅適用於一些用來取代企業內伺服器儲存及運算工作的雲端運算實體 (instance)。容器或無伺服器式功能並無這類問題。但要補充的是,如果駭客入侵的是雲端帳號而非單獨某個運算實體的話,那麼情況將完全改觀,因為駭客此時就能任意啟用更多資源。這樣的情況的確可能發生,但卻不是本文要討論的重點。
繼續閱讀【2022 年 8 月 17 日台北訊】全球雲端資安領導廠商趨勢科技 (東京證券交易所股票代碼:4704) 日前最新的全球研究報告指出,全球 54% 的企業認為內部網路資安風險評估不夠縝密,讓自身曝露於勒索軟體、網路釣魚、供應鏈、物聯網攻擊等多種威脅。受訪者也表示過於複雜的技術部署,以及管理高層缺乏風險意識,都讓問題更形嚴重。
欲深入了解趨勢科技的全球資安風險調查報告,請至:https://www.trendmicro.com/explore/trend_global_risk_research_2
根據該研究,許多企業 (28%) 認為以人工方式評估受攻擊面的效果有限,約三分之一 (32%) 表示難以兼顧部署的多種技術,而此情況也說明了為何全球僅約四成、台灣更只有約三成多的企業能透過風險評估,準確掌握下列任一資安項目:
在本系列的前兩篇文章中,我們探討了最容易被勒索病毒盯上的四種目標,以及該如何中了勒索病毒?緊急處理六步驟,該做與不該做的十件事! 而在這結尾的第三篇文章裡,讓我們來看看本世紀到現今為止前十大最知名的勒索病毒攻擊。
Locky在2016年首次被駭客組織用來進行攻擊。它能夠加密160多種類型的檔案,並且透過偽造的電子郵件附件散播。使用者會被誘騙而將勒索病毒裝進了自己的電腦。這樣的散播方法稱為網路釣魚 – 社交工程手法之一。Locky勒索病毒的目標是設計師、開發人員和工程師經常使用的檔案類型。
◼延伸閱讀:
Locky 勒索病毒等惡意程式,如何反制傳統的沙盒模擬分析?
“你有一個新的語音留言通知 ” Locky 勒索病毒留的!