資料外洩 - 資安趨勢部落格

《CTO 觀點》資料蒐集是一把雙面刃

2014 年 08 月 07 日2014 年 07 月 31 日趨勢科技 TrendMicro

作者：Raimund Genes（趨勢科技技術長）

今日的科技真是日新月異，才一、二十年前，我們還在使用像磚塊般大小的行動電話，而網際網路的速度也只不過今日的百分之幾。現在，我們口袋裡就帶著一台強大的電腦，連手錶都是電腦，而且只需一點時間，就能將整套圖書下載到電腦上。

然而這些好處是要付出代價的。其中之一就是這些方便服務背後的廠商將如何透過這些服務蒐集關於客戶的資料：客戶使用服務的方式、時機、地點、對象及動機。事實上，廠商從不透露他們這些行為，通常是靠著某個用心的使用者才得揭發，因此經常轟動一時，甚至演變成醜聞。

資料蒐集是否真的那麼讓人不安？每家公司都會這麼做。例如，Amazon 會記住您的購買、瀏覽和搜尋記錄，然後在您登入時提供一些建議，節省您的時間和力氣。甚至咖啡店也會記住客人的點餐習慣，並且親切地詢問客人是否要和「平常」一樣。如果他們所蒐集的資訊有助於改善服務，而非用於其他祕密或不法用途，那麼，資料蒐集真的對我們不利嗎？

坦白說，我並不覺得，只要在適當的條件下即可。請參考我探討這項敏感議題的影片。

若您喜歡這篇文章，請訂閱我的 RSS 頻道！

◎原文來源:資料蒐集是一把雙面刃 (Data Gathering Is a Two-Way Street)

《APT 攻擊》91％的目標攻擊利用電子郵件作為進入點

2014 年 07 月 14 日2015 年 07 月 08 日趨勢科技 TrendMicro

一封冒稱健保局的「二代健保補充保險費扣繳辦法說明」,導致萬筆中小企業個資遭竊;
一封偽裝銀行交易紀錄信件,導致南韓爆發史上最大駭客攻擊;
996 名公僕因為一封標題為「李宗瑞影片，趕快下載呦！」信件, 好奇點閱中了資安陷阱;

Ponemon的研究計算出一次目標攻擊的平均成本是嚇人的 580萬美元也就不令人驚訝了，光是從EMC和Target事件所看到的成本就是10倍以上了。

APT目標標攻擊通常會先充分研究過並以相關的電子郵件形式出現，其中包含惡意電子郵件附加檔案或網址來合成引誘收件者打開的內容。他們會被誤導去相信電子郵件的來源和內容真實無誤，進而受騙和在無意中將進階惡意軟體安裝到他們的電腦上，從而成為攻擊者在網路內的灘頭堡。從這一刻開始，攻擊者可能會取得敏感的客戶資料、商業秘密或無價的知識產權。

阻止電子郵件目標攻擊：移除攻擊者最容易進入的路徑

「進階持續性滲透攻擊」（Advanced Persistent Threat，以下簡稱APT攻擊）是今日企業所面臨的最大威脅之一。一場完美風暴已然形成。結合了世界各地具備創造力和靈活力的網路犯罪分子；進階的攻擊工具包、基礎設施以及隨時在線上待命的專業能力；加上傳統的安全防禦並無法偵測未曾見過的威脅，都將攻擊的風險推到前所未有的高度。高知名度的攻擊事件，像是零售商Target和百貨公司Neiman Marcus的大量資料外洩事件都提醒了IT和業務主管相關危險。

從此一問題延伸開來，根據趨勢科技TrendLabs的研究，有91％的 APT攻擊利用電子郵件作為開始的進入點。此外，最近Ponemon的研究表示有78％的針對性電子郵件攻擊利用嵌入在附件的惡意軟體。根據這幾點，攻擊者顯然認為電子郵件是阻力最小的攻擊路徑，可以用來避開現有的安全防禦，進而從你的網路外洩資料。

公司如果不能真正解決針對性電子郵件攻擊的問題，付出的代價並不只是重裝幾次電腦或從經驗中變聰明一點。更嚴重的是一些潛在的影響，包括來自客戶、供應商和股東的訴訟、罰款、收入損失和削弱品牌價值。所以最近Ponemon的研究計算出一次APT攻擊的平均成本是嚇人的580萬美元也就不令人驚訝了，光是我們從 EMC和 Target事件所看到的成本就是10倍以上了。

建立對未知的能見度

IT安全專家所面臨的問題是，目前的電子郵件安全閘道對於嵌入在郵件附檔的進階惡意軟體和郵件內嵌網址沒有識別能力。事實是，它們沒有能力解決這個問題。

原因是，APT攻擊通常會先充分研究過並以相關的電子郵件形式出現(請參考:服貿議題成社交工程信件誘餌!! 及針對台灣政府單位的 RTLO技術目標攻擊)，其中包含惡意電子郵件附加檔案或網址來合成引誘收件者打開的內容。他們會被誤導去相信電子郵件的來源和內容真實無誤，進而受騙和在無意中將進階惡意軟體安裝到他們的電腦上，從而成為攻擊者在網路內的灘頭堡。從這一刻開始，攻擊者可能會取得敏感的客戶資料、商業秘密或無價的知識產權。

對組織來說，關鍵是讓攻擊者無法輕易地去侵入公司網路，不要讓電子郵件被當作切入點。

Deep Discovery Email Inspector解決針對性電子郵件攻擊

今日資源和預算都有限的現實環境下，解決問題必須透過加強現有投資來創造槓桿效應。資安也是一樣。考慮到這一點，趨勢科技發展出一套內部部署專用的解決方案，通過增強現有電子郵件安全閘道來解決針對性電子郵件攻擊問題。透過單一專用的設備，Deep Discovery Email Inspector無縫地跟你現有的電子郵件基礎設施整合。無需變動你現有電子郵件閘道或第三方安全工具的政策、管理或設定。根據趨勢科技TrendLabs的研究以及他們對APT攻擊和攻擊者行為的瞭解，利用各種特製演算法和專門偵測方式來偵測和封鎖含有可疑網址或嵌有進階惡意軟體之電子郵件附件的針對性電子郵件攻擊。

下面是阻止針對性電子郵件攻擊的解決方案還能做到的部分：

電子郵件信譽分析：利用趨勢科技主動式雲端截毒服務 Smart Protection Network來阻止已知可疑的電子郵件來源、網址和檔案。繼續閱讀

雲端讓資料外洩的機率和成本越來越高

2014 年 07 月 09 日2014 年 07 月 09 日趨勢科技 TrendMicro

資料外洩一直是企業必須面對的一項風險。一位不滿的員工，或者單純的檔案櫃沒有上鎖，就能造成敏感資料外洩，導致高昂的財務、信譽與法律損失。

IT 不斷演化的結果為網路犯罪者帶來許許多多的攻擊管道
儘管如此，隨著 IT 逐漸成為企業各單位的營運核心，這類事件發生的頻率和嚴重程度只會不斷擴大。現在，光是利用網站平台的一個小小漏洞 (如 Adobe Flash)，駭客就能取得寶貴的資訊，掌握登入資訊，或者找出供應鏈上的弱點。近年來的一些大型資料外洩事件包括：

美國 Target 連鎖超市的銷售櫃台系統 (POS) 去年冬天遭網路犯罪者透過一位維護 Target 基礎架構的 HVAC 承包商的人員入侵。
2012 年 LinkedIn 社群網站因網路遭駭客入侵而洩漏超過 6 百萬筆未使用加料雜湊值的密碼 (Unsulted Password)。
可口可樂 (Coca-Cola) 因多部筆記型電腦失竊而遭到突襲，導致 74,000 多筆現職與離職員工資料外洩。

上述資料外洩事件的原因，從 PC 實體安全措施不足到企業網路弱點不等，顯示今日科技化企業在防範攻擊方面所面臨的挑戰涵蓋範圍廣泛。除此之外，雲端運算正逐漸融入 IT 系統當中，使得網路安全工作變得更加複雜，即使雲端現已增加了新的功能來減少 IT 流程與成本，情況依然相同。

根據 IDC 估計，未來六年雲端相關技術將占網際網路及通訊資產支出的 90%。儘管雲端正快速崛起，但它仍舊是多數企業最頭痛的安全問題。

雲端如何導致資料外洩
為何雲端和資料外洩的風險息息相關？基本上，使用某種雲端服務，不論是偏向消費導向 (如 Dropbox) 或是屬於專業人士工具 (如 Adobe Creative Cloud) 或者是企業自動化平台，IT 部門至少必須將一部分的掌控權交給第三方供應商。

JumpCloud 共同創辦人 Rajat Bhargava 告訴紐約時報記者：「毫無爭議地，當您不擁有該網路時，基本上就等於對外開放，而且您無法掌控其軟體。基本上，相較於將資料儲存在企業內部，雲端就是較不安全。」

企業的安全也越來越受制於員工，因為員工會使用一些普遍缺乏安全機制的雲端應用程式與工作流程，進而危及企業敏感資料。例如，2014 年 Ponemon Institute 研究機構發表的「雲端加密趨勢」(Trends in Cloud Encryption) 研究報告指出，雖然幾乎所有受訪者都計劃將公司資訊移轉到雲端，但他們的作法卻很隨便：

59% 的受訪者表示他們在基礎架構服務 (IaaS) 和平台服務 (PaaS) 上存放的資料皆未經過加密。同樣的數字對軟體服務 (SaaS) 而言則是 45%。
26% 的 IaaS/PaaS 資料與 39% 的 SaaS 資料已經過加密，其他資料安全機制則分別涵蓋 15% 與 16% 的應用程式資訊。
19% 的受訪者視 SaaS 安全為客戶和供應商的共同責任。此數字在 IaaS/PaaS 方面則有所不同，僅有 22% 認為供應商須負起完全的責任，這類雲端的安全 (如果稱得上安全的話) 基本上還是靠使用者自己來保障。

如同該機構的研究發現，當企業必須承擔雲端安全的責任時，許多企業做的並不夠。未加密的資料根本就是招人覬覦，一旦失竊，資料便立即可用。想到這點，就不難理解為何雲端能大幅提高動輒數百萬美元的大型資料外洩事件發生風險。

使用雲端可能提高大型資料外洩的發生機率
Ponemon Institute 另一份由 Netskope 贊助的報告提出了一項所謂的「雲端加乘效應」，隨著企業使用越來越多的雲端服務，企業暴露在資安事件的風險就越高。基本上，每增加 1% 的雲端服務，資料外洩的機率就上升 3%。

Netskope 創辦人暨執行長 Sanjay Beri 指出：「想像一下，若資料外洩的機率會因為您使用雲端而增加三倍的話，這就是企業 IT 人員將面臨的挑戰，而他們也開始意識到自己必須調整安全措施來因應。」繼續閱讀

失竊信用卡,竊取帳號價格下滑,因 ”供應量增加 ”:再訪俄羅斯地下世界

2014 年 06 月 05 日2014 年 06 月 09 日趨勢科技 TrendMicro

俄羅斯地下世界從2014年就開始（以有組織的方式）存在，用來作為買賣和資訊交流的平台。一些著名的俄羅斯地下中心包括zloy.org、DaMaGeLab和XaKePoK.NeT。這些論壇最初主要是用來交換資料，但其作為市場的作用已經變得更加突出。

今日俄羅斯地下世界的許多部分都已經高度的專業化。找對人的網路犯罪份子不再需要去自己建立所有的攻擊工具，相反地，他可以和買家購買特定產品及服務。例如，你可以看到各種專注在檔案加密，DDoS攻擊，流量重導或是將網路流量金錢化的團體。各團體可以專注在自己最擅長的項目上，製造更好、更先進的產品。

今日在俄羅斯地下經濟中最暢銷的產品或許是網路流量和各種流量相關產品。包含了流量偵測系統（TDS），流量重導和按安裝付費（PPI）等服務。買來的網路流量不僅會增加網路犯罪受害者人數；也可以用來收集潛在目標攻擊受害者的資訊。

就跟其他經濟一樣，俄羅斯地下市場也遵循著供需法則。地下市場的商品價格已經全面的下跌。這就是因為這些產品的供應量增加 – 例如，竊來的美國信用卡被大量的提供；結果就是造成價格下降。證據就在下表內的失竊信用卡價格：(以下幣值為美金)

圖一、失竊信用卡價格繼續閱讀

黑暗網路（Dark Web,簡稱暗網）利用隱私功能來建立匿名性和執行惡意活動

2014 年 03 月 28 日2021 年 06 月 29 日趨勢科技 TrendMicro

黑暗網路：不受拘束，網路惡棍，或是兩者兼是？

作者：JD Sherry（趨勢科技）

自從虛擬化技術在2000年中期出現後，企業已經顯著地發生大規模的IT轉型。時代的巨輪滾向了雲端運算。我們站在雲端和行動運算的邊界上。我們的業務領域經歷了這一切大規模的創新與破壞之後，開始看到其對消費者的影響，以及他們如何意識到這些技術發揮作用。

我許多的朋友和家人也開始瞭解雲端的基本概念，還有「有個應用程式可以做到」的手機行銷也相當廣泛地出現在我們身邊。然而，雖然我對這很有愛也尊重一切，我還是要說，在這星球上只有少於10%的人意識到這生態環境的安全性問題。更少的人能夠理解黑暗網路（Dark Web,簡稱暗網）以及那裡發生了些什麼。

在我的工作和社交圈內最流行的想法是隱私問題。有的尋找從政府那邊保持隱私，有的只是想要保持他們的生意和個人資料遠離網路犯罪分子，雖然不幸的是壞人正在以驚人的速度勝利中。而這些危險的威脅黑手也在尋找相同的隱私保護，只是理由天差地別。黑暗網路（Dark Web,簡稱暗網）的巨大吸引力在於將隱私功能用在不軌的企圖上。黑暗網路（Dark Web,簡稱暗網）利用隱私功能來建立匿名性和執行惡意活動。

哥倫比亞廣播公司和60 minutes昨晚合作推出了令人驚歎的報導，分析了資料掮客販賣我們個人資料和網路活動背後的商業行為。這次將目標直接瞄準在採集和銷售我們敏感資料背後企業所創造的商業模式。這採集通常是在使用者不知情下完成。而我會告訴你的就是，網路犯罪份子也利用黑暗網路（Dark Web,簡稱暗網）來做相同的事情，而且是匿名進行。因此在本質上，我們在網絡上的隱私被扒了兩層皮。資料交換和網路武器交易在黑暗網路蓬勃的發展，它可以被透過隱蔽工具，像是TOR（洋蔥路由器）來協助使用。

繼續閱讀