雲端運算革命性改變了 IT 的世界,企業變得更容易部署基礎架構與應用程式,也更容易架設一些對外的服務。對許多企業來說,不必花費數百萬美元購置機房設備在企業內成立自己的資料中心,是個相當誘人的點子。此外,將資源移到雲端肯定是比較安全,對吧?雲端供應商必定會確保我們的資料和應用程式安全無虞,不讓駭客有任何機會。大錯特錯!我經常從許多客戶那邊聽到這種幻想,而且多到有點不太尋常。事實上,若是缺乏正確的組態設定與適當的雲端管理技能,並且正確落實良好的資安原則的話,雲端服務其實也會 (即使不一定更容易) 遭到攻擊。
繼續閱讀本周資安新聞週報重點摘要,本文分享上週資安新聞及事件。你將會看到新聞的簡短摘要及原文連結來閱讀更詳細的見解。
VLSI國際研討會盛大登場 「2021 ERSO Award」三位得獎人揭曉 yam蕃薯藤
美國第二大汽車保險業者Geico官網含漏洞,允許駭客竊取客戶駕照號碼 iThome
趨勢科技Vision One在MITRE ATT&CK評測中偵測到96%攻擊步驟 資安人
Fujitsu與趨勢科技共同展示企業5G網路防護解決方案 電子時報
科技大廠頻傳遭駭 資安風險成企業新挑戰 經濟日報網
專訪/趨勢科技陳怡樺:躋身電動車大國,台灣要搞懂這三件事! 遠見雜誌網
詐騙老梗又騙倒高官 NCC副主委損失358萬 LineToday
騙很大!他花2000元網購「鋼鐵人頭盔」 開箱怒爆粗口:被薩諾斯打凹的限定版 民視新聞網
多張 MacBook 設計圖被外流!蘋果遭勒索軟體 REvil 盯上 自由時報電子報
廣達遭駭客攻擊勒索 調查局追查那些客戶機密被竊 台灣蘋果日報網
涉竊兒童個資 TikTok恐賠天價 工商時報電子報
國際超大型積體電路技術研討會登場 聚焦AI運算 中央通訊社
Zoom Clubhouse等中國軟體 陷資料送中風險 台灣蘋果日報網
中國駭客攻擊頻傳,日本稱 200 家企業遭鎖定 科技新報網
多達10萬個網站被安裝木馬程式(RAT),駭客甚至利用PDF檔案滲透 iThome
網購設備想投資「挖礦」遭坑殺 77萬血本無歸 自由時報電子報
只刪App沒用!未解除訂閱APP照樣扣款 冤枉錢竟逼近4億美金 tvbs新聞網
BBC揭台灣「綠色乖乖」神奇用法 網友:國家機密被發現了! 台灣蘋果日報網
企業網站聯繫表單遭到濫用!攻擊者以圖片盜用名義誘騙管理者下載惡意程式IcedID iThome
「Wreck」漏洞來襲! 預估破億台 IoT 裝置有安全風險 科技新報網
遭駭 Exchange 伺服器成QuickCPU惡意挖礦程式跳板 資安人
臉書新功能允許用戶將貼文內容匯入Google、Wordpress iThome
Clubhouse退燒?臉書、微軟宣布新服務,搶當語音巨獸! 遠見雜誌網
臉書補了可讓駭客刪除直播影片的漏洞 iThome
PC-cillin 2021 雲端版|多裝置保護網頁瀏覽、隱私與資料安全 比價王
駭客利用Telegram頻道散布惡意軟體HackBoss,來洗劫受害人加密貨幣錢包 iThome
Codecov被駭,殃及數百家企業客戶及IBM等科技公司 iThome
中國駭客利用VPN裝置漏洞鎖定美國國防產業展開攻擊 iThome
微軟Edge、Firefox也暫不加入Google FLoC iThome
中華電攻企業專網 組行動PC聯盟 中央通訊社
VLSI研討會登場!聚焦AI晶片.記憶體發展 非凡新聞網
反制中共威脅 國安局將成立大數據資料庫 中央通訊社
智慧工廠資安問題複雜 IIoT、邊緣運算皆為關鍵因子 電子時報
Microsoft Edge 推出兒童模式,讓孩子擁有更安全的上網環境 電腦王阿達
台大醫院獲微軟贊助,助 COVID-19 患者基因分析研究 科技新報網
Google Project Zero更新漏洞揭露政策,提供30天的修補緩衝期 iThome
Chrome 90問世:以HTTPS作為預設,嵌入隱私沙箱控制 iThome
歐洲商會:台徵才市場反彈 科技業加薪上看15% 自由時報電子報
漏洞揭露 視訊會議軟體 Pwn2Own Pwn2Own 2021揭露Zoom重大RCE漏洞 iThome電腦報周刊
Kubernetes GO函式庫漏洞可引發DoS攻擊 iThome
北韓駭客Lazarus鎖定電子商城發動網站側錄攻擊,目標是竊取加密貨幣 iThome
個人資料自主運用 國發會MyData平台正式上線 中央通訊社
臉書監察委員會開放臉書與IG用戶上訴未被刪除的內容 iThome
Chromium第二項漏洞又有概念驗證攻擊程式公布 iThome
針對美國報稅季的網釣攻擊擴大,利用Typeform假冒退稅文件,欺騙受害者登入,藉此收集受害者資料。 iThome
卡普空:老舊備援VPN引發去年勒索軟體及資料外洩事件 iThome
愛爾蘭正式對臉書5.3億資料外洩啟動GDPR調查 iThome
2016年是誰幫FBI破解iPhone?是澳洲的Azimuth Security iThome
三名據稱是 Egregor 勒索病毒 Ransomware (勒索軟體/綁架病毒)犯罪集團成員的嫌犯,二月在法國與烏克蘭政府聯合執行的一項行動當中遭到逮捕。這項逮捕行動是公私部門合作的共同成果,趨勢科技有幸參與其中。
Egregor 勒索病毒從 2020 年 9 月首次現身以來已發動過多起針對零售業、人力資源服務及其他企業機構的重大攻擊。該集團採用所謂勒索病毒服務 (Ransomware-as-a-service,簡稱 RaaS) 的經營模式,將勒索病毒銷售或出租給其他犯罪集團使用,如此一來,即使是經驗較為不足的犯罪集團也能發動勒索病毒攻擊。Egregor 跟許多知名的勒索病毒一樣採取「雙重勒索」的手法,一方面將受害者的資料加密,另一方面威脅受害者若不支付贖金就將其資料外流。
此勒索病毒通常經由一些遠端存取木馬程式 (如 QAKBOT) 來散布。此外,也會經由含有惡意附件的網路釣魚郵件,或經由遠端桌面協定 (RDP) 或虛擬私人網路 (VPN) 的攻擊漏洞來散布。
繼續閱讀
【2021 年 4 月 21 日,台北訊】 全球網路資安解決方案領導廠商趨勢科技 (東京證券交易所股票代碼:4704) 在資安研究機構 MITRE Engenuity 最新的 ATT&CK Evaluations 測試當中取得優異成績。在這項模擬兩大持續性滲透攻擊 (APT) 駭客集團手法的測試當中,趨勢科技 Trend Micro Vision OneTM 平台快速偵測到 96% 的攻擊步驟。
有別於其他產業機構大多測試產品偵測及防範各類惡意程式樣本的作法,MITRE Engenuity 的 ATT&CK Evaluations 測試專門評估資安解決方案是否具備偵測各種已知惡意行為目標式攻擊的能力,這樣的測試方法更貼近真實世界常見的攻擊案例。MITRE Engenuity 今年的模擬測試主要是針對知名駭客團體 Carbanak 和 FIN7 的攻擊手法。
趨勢科技網路資安副總裁 Greg Young 表示:「長久以來,資安產品都在偵測駭客攻擊所使用的工具,但 MITRE Engenuity 的作法卻是要辨識駭客的攻擊模式,儘管他們使用的工具各不相同。趨勢科技能夠在這樣的第三方獨立測試當中取得優異成績 (96% 可視性) 著實讓人欣慰,而我們在這方面的表現也確實相當優異,尤其該項測試是專門模擬全球級兩大駭客集團的攻擊技巧,更是難能可貴。MITRE ATT&CK 測試正如同它所模擬的攻擊技巧一樣非常複雜。所以 ATT&CK 不單只是一項測試,其更大的作用是可以當成資安營運中心 (SOC) 日常的教戰準則。」
今年的測試還模擬了兩起資料外洩攻擊,一起是在飯店,另一起位於銀行,測試模擬一些典型的 APT 攻擊手法,例如:權限提升、登入憑證竊取、橫向移動,以及數據外洩。
Trend Micro Vision One 在測試當中表現優異:
繼續閱讀你的員工是否會陷入網路釣魚騙局?透過釣魚郵件,具有說服力的社交工程攻擊可能導致敏感訊息洩露,並可能導致巨大的財務損失。 網路釣魚電子郵件對企業構成嚴重威脅,他們導致 94% 的勒索軟體和 132,000 美元的商業電子郵件詐騙事件。
貴單位員工是安全策略中最薄弱的環節嗎?
