CISO - 資安趨勢部落格

資安長(CISO)如何在 15 分鐘內,向董事會說明雲端風險?

2022 年 07 月 19 日2022 年 12 月 21 日趨勢科技 TrendMicro

趨勢科技資安研究員 Erin Sindelar 詳細解釋三種常見的雲端風險評估方式來協助資安長與資安領導人向董事會說明雲端資安風險。

資安風險的質化與量化一直是資安長 (CISO) 的一項挑戰。當您的基礎架構就在企業內部，而且您知道自己有什麼資產，並且知道資料都存放在哪裡時，這件事就已經是很難了。更何況隨著企業移轉至雲端，數位受攻擊面持續擴大，不僅基礎架構變得分散，而且企業內還有許多自主管理的雲端資源，這件事將變得難上加難。

為了協助資安長更簡單扼要地向董事會說明企業的雲端風險與資安情況，我們設想了一個問題：「如果資安長要用 15 分鐘的時間跟一張投影片來向董事會說明，那麼資安長該如何讓董事會了解企業的雲端風險？」

對資安長來說，這真是個大哉問，網路資安的影響層面太大，甚至超越了運算與內部應用程式，這基本上是雲端的一項挑戰。根據我們和客戶接觸的經驗，雲端風險的評估主要有三種方式。

繼續閱讀

管理網路資安風險：人

2022 年 07 月 11 日2022 年 11 月 28 日趨勢科技 TrendMicro

看看趨勢科技的 2021 下半年網路資安風險指標 (Cyber Risk Index) 研究發現了什麼，以及如何更有效管理人員來降低整體受攻擊面的網路資安風險。

企業遭勒索病毒集團挾持時有所聞,隨著勒索病毒及其他網路資安威脅不斷演進，再加上企業受攻擊面正持續擴大，資安長 (CISO) 與資安領導人已深刻了解他們有必要盡可能降低人員、流程及技術的風險。趨勢科技威脅情報副總裁 Jon Clay 與網路資安長 Ed Cabrera 探討了「人員因素」對於降低網路資安風險的重要性。

基礎架構的首要風險：人員

大家都知道，您的企業遲早必須面對遭遇網路攻擊的問題。而企業資安長和資安領導人似乎也認同這點，根據趨勢科技最新的 2021 下半年網路資安風險指標 (Cyber Risk Index) 研究發現，全球四大地區 3,400 名受訪者當中，有 76% 認為他們未來 12 個月內很有可能遭遇網路攻擊。

延伸閱讀:54% IT 資安決策者表示:「已經被警示通知所淹沒」,是時候採取全方位網路資安平台了!

很重要必須說明的一點是，能夠避免遭到網路攻擊當然最好，但這並非企業的主要目標，企業必須要能解決其持續擴大的受攻擊面所衍生的重大挑戰，以便能夠更快偵測及回應攻擊，進而降低網路資安風險。

繼續閱讀

一份專供資安長(CISO) 參考的網路資安風險指標

2022 年 05 月 10 日2022 年 05 月 10 日趨勢科技 TrendMicro

趨勢科技調查了北美、歐洲、亞太，以及拉丁/南美地區的最新網路資安風險指標 (CRI) 來協助資安領導人更有效了解、溝通及解決其企業的網路資安風險。

2021 年，趨勢科技共執行了兩次網路資安風險指標 (Cyber Risk Index，簡稱 CRI) 調查 (上半年與下半年各一次)，藉此觀察企業對其網路資安風險的看法是否有所改變。兩次的調查範圍都涵蓋了北美、歐洲、亞太、拉丁/南美等四大地區以真正反映出全球企業當前的網路資安風險狀況。

CRI 是趨勢科技與 Ponemon Institute 合作執行的一項調查。2021 下半年，我們調查了上述四個地區共 3,400 多家各種產業不同大小的企業。CRI 是依據以下兩項條件來評量企業的網路資安風險：

企業因應網路攻擊的準備程度 (網路資安準備度指標 – CPI)
企業所受威脅的當前狀況 (網路資安威脅指標 – CTI)

從這兩項指標再計算出一家企業的整體網路資安風險指標 (CRI) 值：-10 至 +10，數字越低，代表風險越高。CRI 值的計算公式如下：CRI = CPI – CTI。

繼續閱讀

新興地下商業模式:專賣企業網路存取權限的 AaaS ,五個資安長 (CISO) 該知道的防禦策略

2022 年 05 月 05 日2022 年 12 月 21 日趨勢科技 TrendMicro

趨勢科技威脅情報副總裁 Jon Clay 討論趨勢科技有關「存取服務」」(Access as a Service，簡稱 AaaS) 的最新研究內容，說明這種專門販賣企業網路存取權限給其他犯罪集團的新興地下商業模式。

何謂存取服務？

最近，趨勢科技研究機構 Trend Micro Research 分析了一種新的地下商業模式叫作「存取服務」(Access as a Service，簡稱 AaaS)，這是一種專門販售企業網路存取權限的網路犯罪服務，屬於「網路犯罪服務」(Cybercrime as a Service，簡稱 CaaS) 其中的一環，其他類似的服務還有「勒索病毒服務」(Ransomware as a Sservice，簡稱 RaaS)。

AaaS 主要是由一些個人駭客或駭客集團利用各種方法駭入企業網路並蒐集存取權限之後，將存取權限拿出來販售的一種服務。AaaS 的賣家主要有三類：

投機的駭客：看到市場出現這樣的需求，所以就決定來分一杯羹。
專業的賣家：他們的全職工作就是蒐集和販賣這類存取權限，他們甚至會宣傳自己的服務，並透過廣大的銷售網路來販售。
線上商店：這類商店通常只保證能夠進入某台電腦，而非整個企業或網路。

這當中最值得擔心的是專門盜取網路存取權限然後賣給其他駭客使用的集團，因為他們所提供的存取權限通常比較可靠，並且保證買家一定能夠進入系統。不論是 AaaS 的賣家或買家對企業都很麻煩，但後者肯定更為棘手，因為企業會很難發現他們是如何突破企業的防線。

繼續閱讀

54% IT 資安決策者表示:「已經被警示通知所淹沒」,是時候採取全方位網路資安平台了!

2022 年 05 月 02 日2022 年 04 月 29 日趨勢科技 TrendMicro

趨勢科技做了一份全球問卷調查，訪問了 2,300 多位 IT 資安決策者，希望藉此了解如何提供一套全方位的網路資安平台來為 SecOps 團隊提供最佳的協助和支援，讓您以更少的資源將資安做得更好。

54% IT 資安決策者表示:「已經被警示通知所淹沒」,是時候採取全方位網路資安平台了!

資安威脅的數量正不斷快速增加，企業的受攻擊面也因為加速邁向雲端而持續擴大，資安領導人必須敏銳地知道該如何有效管理網路資安風險。由於缺少適當的資安工具來全面掌握資安的可視性，SecOps 團隊感覺上似乎有點招架不住快速演變的威脅。如欲了解資安工具不足所帶來的不良影響，以及為何資安領導人應該採取全方位網路資安平台的方法，請參閱我們的全球調查「處於劣勢的資安營運」(Security Operations on the Backfoot)。

繼續閱讀