資料外洩:給系統管理者的警訊

趨勢科技的2014年預測裡提到,我們相信每個月都會有一起重大的資料外洩事件出現。美國零售商的資料外洩事件報導迎來了新的一年,數百萬消費者的信用卡資料在這起事件裡被竊。這樣的規模和嚴重程度讓人無法忽視。雖然大部分的報導(實體或網路)都專注在誰是惡意軟體作者之類的手法問題上。但從長遠的角度來看,更重要的是是否有很多方法可以防範這類的攻擊,或有什麼安全措施可以用來對抗這類攻擊。

每個月都會有一起重大的資料外洩事件出現

 比方說,門市銷售系統(POS)是實施白名單或系統鎖定的理想狀況:在POS系統上不需要執行一般的應用程式。鎖定系統會使得在POS設備上執行惡意軟體變得更加困難。

另一方面,這樣大規模地的攻擊,將惡意軟體分別地安裝到每個POS系統是極不可能的事。幾乎可以肯定有某種遠端管理軟體用來將惡意軟體安裝到POS系統。這並不是第一次用來自動化安裝軟體的系統被入侵;去年韓國有多個應用程式的自動更新系統被用來植入惡意軟體到受影響系統上。

這樣大量的資料在網路上移動也應該要被偵測。網路防禦解決方案可以偵測這起攻擊所產生的內部網路流量或資料外洩流量,或是兩者都可偵測。  繼續閱讀

是什麼讓貴公司成為 APT 目標攻擊覬覦的對象?

在2014年,嚴重的資料外洩事件成為新聞版面的常態。不幸的是,這跟趨勢科技在2013年第四季所做出的主要威脅預測是一致的。政府、零售業、金融業、醫療保健甚至是醫療器材廠商都一直在APT-進階持續性滲透攻擊 (Advanced Persistent Threat, APT)目標攻擊的標靶上。

企業被網路犯罪份子和其同夥所入侵的次數,跟這些駭客被繩之以法的機率比起來是完全不成比例的。這到底是為什麼呢?這世界對於網路犯罪分子和國家來說的確是平的。

如同我們頂尖的威脅研究員最愛說的一句話,「封包不用護照」。這讓防禦和最終將網路犯罪份子繩之於法都變得更加困難。在網路上找線索就像是終極版的CSI犯罪現場。

APT

身為IT和安全專家,趨勢科技竭盡所能地對抗些企圖打爆基礎設施的惡意軟體,和精心設計來竊取敏感資料的攻擊行為,盡力地想打場好仗。不過到最後,真正重要的還是資料,並且確保我們有依照業務需求將資料作適當的分類。

接著,我們必須在強制性法規,像支付卡產業(PCI)之外部署具成本效益的基礎設施和安全協定,以合乎我們對自己所要求的資料安全標準。如果沒有適當的資料分類,組織要麼必須將一切都當成最高機密來防護,而這並不切實際。不然就是得對一切都做一般性的防護,這當然也並不可取,因為會讓你的組織增加危險。

不幸的是,許多組織都選擇後者。在趨勢科技最新的威脅綜合報告裡,我們分析網路犯罪份子是如何利用數位資料賺錢,還有他們利用什麼方式來攻陷他們的目標。最終,關鍵是替你的組織設計出有意義的風險模型。當討論到風險管理時,我常常會用「風險平衡」這名詞。因為說到資料安全,我們就必須在如何平衡投資和資料資產受損風險間作出決定。 繼續閱讀

關於美國零售業業者 Target 資料外洩常見問題集

2014年1月10日星期五,Target宣布,在他們2013年12月19日所披露的外洩事件裡,有更多的資料被外洩。而在那一天,也有報導指出Neiman Marcus有部分店內客戶的信用卡和借記卡(Debit Card)資料被盜。

這些新訊息可能讓整個局面更加混亂。為了幫你更清楚地瞭解發生了什麼事,對你來說代表了什麼,以及你該做些什麼,我們整理出了一份常見問題(FAQ)列表來舉出這些狀況並加以解釋。

除了這份常見問題列表,你也該去看看Target的官方常見問題列表。Target也將所有關於這次事件的資料和資源整合在集中的資訊站

DLP1

有關Target資料外洩的最新狀況?

在2014年1月10日星期五,Target宣布有高達7000萬份個人資料在最初於2013年12月19日所宣布的資料外洩事件中丟失。

這是新的資料外洩事件?

不是。根據Target所表示,這並不是新一起的資料外洩事件。Target表示這些資料被竊是屬於他們最初在2013年12月所公布資料外洩事件的一部份。

 

但Target是說新的資料外洩,對不對?

不錯。雖然他們說並沒有出現新的事件,但他們表示現在知道有比以前所認為更多的資料在12月的事件裡丟失。用一般的例子做比喻,竊賊在十二月只闖進他們的房子一次。但是除了原本Target所知道被偷的電視外,他們又發現了竊賊還拿了一台筆記型電腦。

 

Target原本在2013年12月的公告裡聲稱外洩了哪些資料?

Target在12月宣稱,有高達4000萬名在2013年11月27日到2013年12月15日間在美國店面購物過的人們信用卡和借記卡資料被竊。

 

這新外洩的資料和Target在12月所宣布的有何不同?

在這最新的公告裡,Target聲稱有高達7000萬名客戶的個人資料被外洩。這次外洩並不相同,因為資料類型不同:這是個人資料,而非信用卡和借記卡資料。而且是不同的受害族群:它有7000萬人,而非4000萬人。

 

這兩個Target外洩的資料間關係為何?如果我是2013年12月所公佈資料外洩受害的4000萬人之一,我也會受到這一個的影響嗎?

可能會。但是我們無法肯定。

Target並沒有說這兩個外洩的資料間有任何關係,只是它們都屬於同一起資料外洩事件的一部份。有報導表示它們有部分重疊,意味著有些客戶可能會同時受到兩個外洩資料的影響。但報導也顯示有超過一億的客戶被這兩個事件影響。華盛頓郵報指出,這代表有三分之一的美國住戶可能被這情況所影響。

 

Target在2014年1月公告的資料外洩事件中丟失哪些資料?

根據Target所說,這外洩的資料包括客戶的姓名、郵寄地址、電話號碼或電子郵件地址。

 

兩個Target外洩的資料之間還有其他不同嗎?

是的。Target公司在回應2013年12月的資料外洩時表示,他們將提供免費的信用監控給在他們商店購物的所有顧客,而不僅僅是4000萬名信用卡和借記卡資料被竊的客戶。不過到目前為止,Target沒有表示會提供信用監控給任何受2014年1月資料外洩影響的客戶。

 

別人可以利用這些資料作什麼?各外洩的資料有多嚴重?我該關心什麼?我該怎麼做?

2013年12月外洩的資料有信用卡和借記卡資料。這些資料可能會被拿來做詐騙性購物。事實上,這已經發生了好幾個星期。如果你受到這資料外洩事件影響,這是非常嚴重的,你應該要非常關心。你必須定期查看你的帳單,出現任何詐騙性費用時要立即回報。既然Target提供信用監控給所有在他們店裡購物的客戶,如果你還沒有監控你的信用狀況,應該要馬上登記。

2014年1月外洩的是個人資料,但不包括像社會安全號碼這樣的重要資料。Target還說明在某些狀況下,資料是部分的,代表可能只有姓名和電子郵件地址而已。可能並沒有足夠的資料來做身份竊盜。但它可以結合其他資料來進行身份竊盜。該資料還可以用來建立高品質的垃圾郵件或釣魚郵件。要特別小心垃圾郵件和網路釣魚,特別是那些偽裝成來自Target的電子郵件。

繼續閱讀

為什麼 Apple 開發者網站關閉是件好事?

Apple的開發者中心在七月十八日因為安全漏洞或攻擊而關閉。在他們的通知裡,Apple公司表示,這起安全事件可能導致開發商的姓名、通訊地址和電子郵件地址被存取,雖然該公司清楚地表明,敏感的個人資料都是加密過的,無法被存取。

apple

 Apple是有名的不願談論它的安全問題,就以這次問題為例,前三天都只聲稱該網站關閉因為「維護問題」。但是到了週日,Apple發表了對這次網站關閉的解釋以及資料外洩的範圍。另一篇並沒有得到太多關注的公告是說明他們現在為此做些什麼:

為了防止這樣的安全威脅再次發生,我們全面性的檢視我們的開發系統,更新我們的伺服器軟體,並且重建了整個資料庫。

換句話說,Apple公司已經決定接受長時間服務關閉的風險,好透過完整的重建來徹底解決安全風險、威脅和安全漏洞。套句異形裡蕾普莉所說的名言,Apple決定要整個炸掉,因為「這是唯一可以徹底解決的辦法。」

這幾乎是前所未有,全面性的回應,特別是在還不確定是否真有外洩事件時。一名來自英國的安全研究人員Ibrahim Balic聲稱他發現了該網站的漏洞,通知Apple,之後他們關閉了網站。他還聲稱,他沒有入侵該系統或存取資料。不管是否有外洩事件出現,這次事件裡資料外洩的範圍(或可能外洩)是有限度的。而這也是為什麼Apple的回應非常可圈可點。唯一的其他例子,有公司可以接受長時間關站來做正確的事和重建,是Sony在二〇一一年針對PlayStation Network被入侵的回應。Sony在那次事件裡關站了廿五天。但在那起案例中,有明確的外洩事件發生,流失了一萬兩千張信用卡資料。

Sony公司表示,那起外洩事件造成他們至少一億七千一百萬美元的損失。這損失很大一部分是因為關站來重建系統。儘管如此,Sony做了正確的事情去接受關站的決定,此後也沒有入侵外洩事件發生。可惜的是Sony並不會因此獲得稱讚,他們應該要有的。

所以Apple的安全團隊也應該得到稱讚,因為他們做了和Sony一樣的事情,並不只是在整個混亂的架構下修補一個漏洞,而是花時間來重建系統,讓系統更加安全。如果我們有更多的企業用這方式來應對入侵外洩事件,我們(技術、隱私、安全和網路威脅)產業將會變得更好。

@原文出處:Why Taking the Apple Developer Sites Down was a Good Thing作者:Christopher Budd(威脅溝通經理)

 

TASTYBanner_540x90

 

 

還不是趨勢科技粉絲嗎?想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚加入粉絲,各種粉絲專屬驚奇好禮,不定期放送中

錯誤的資料外洩通知個案:Ubisoft 資料外洩通知信件

倘若您的企業不幸必須通知客戶有關資料外洩的情況,千萬不要在密碼重設通知信件當中提供連結,這等於鼓勵客戶養成不安全的習慣,使得他們很容易在這類事件發生之後遭到網路釣魚(Phishing)攻擊。請務必建議客戶自行前往您的網站,然後依照畫面上很容易找到的指示操作。

phishing pssword2

Rik Ferguson | 趨勢科技全球安全研究副總

我收到一封來自遊戲出版商 Ubisoft 的資料外洩通知信件,信件內容表示:

「最近我們發現駭客入侵了我們其中一個網站,並且擅自存取了我們的線上系統。我們立即採取了必要措施來阻止存取,同時亦著手調查此次事件,並且復原遭入侵的系統。

 

在這過程當中,我們發現我們的帳號資料庫已遭非法存取,包括:使用者名稱、電子郵件地址,還有已加密的密碼。請注意,Ubisoft 並未儲存任何個人付款資訊,因此您的扣款卡/信用卡資料並未受到此次入侵影響。

 

有鑑於此,我們建議您修改下列帳號的密碼:<帳號名稱>。」

此外,Ubisoft 部落格上的進一步說明指出,駭客使用了偷來的帳號密碼來非法存取該公司的系統。
接著,通知郵件表示:「為了謹慎起見,我們也建議您至任何您使用相同或類似密碼的網站上修改密碼。」這一點在這類情況之下確實是一項良好建議,但若仔細推敲 Ubisoft 的部落格內容就會發現,其情況可能比「為了謹慎起見」更加危急。

該公司的部落格文章表示:「密碼並非以純文字方式儲存,而是以編碼過的數值儲存。這些數值無法逆向解開,但卻可以強行破解,尤其是當密碼強度不足時。這就是為何我們建議使用者修改密碼。繼續閱讀