【2020年3月19日,台北訊】全球網路資安解決方案領導廠商趨勢科技 (東京證券交易所股票代碼:4704),今天表示該公司在「2020 年第一季 Forrester Wave™ 企業偵測及回應」(The Forrester Wave™: Enterprise Detection and Response, Q1 2020) 評測當中取得領導地位。
Forrester 在這項涵蓋 14 項測試條件的企業偵測及回應 (EDR) 廠商評測當中,測試了 12 家資安廠商的產品,涵蓋三大領域:現有產品、策略、市場實力。在現有產品方面,趨勢科技在「端點監測」與「資安數據分析」兩項拿下滿分。在策略方面,趨勢科技在「產品願景」與「效能」兩項拿到滿分。最後在市場實力方面,趨勢科技在「企業客戶」與「產品線營收」兩項拿下滿分。
繼續閱讀
所謂的特權容器 (privileged container),簡而言之就是 Docker 環境中擁有主機完整系統權限 (root) 的容器,它可存取一般容器無法存取的資源。特權容器的用途之一,就是在 Docker 容器當中執行另一個 Docker daemon;另一個用途就是當容器需要對硬體進行直接存取時。原本,在 Docker 中執行 Docker (也就是所謂的 Docker-in-Docker) 的用意是為了開發 Docker 本身。但今天,特權容器已經出現各種不同的使用情境,例如在開放原始碼自動化伺服器 Jenkins 當中將持續整合/持續交付 (CI/CD) 工作自動化。然而,執行特權容器卻可能帶來安全上的疑慮。以下我們將詳細說明,執行一個擁有特權但卻不安全的容器,如何讓網路犯罪集團有機會在企業的系統當中植入後門。
一般來說,使用 Docker-in-Docker 是為了在現有容器當中再執行另一個容器。不過,使用一個缺乏安全的特權容器,可能會引發一些嚴重問題。
繼續閱讀作者:William “Bill” Malik(趨勢科技 CISA基礎架構策略副總)
我們最近在喬治亞州的亞特蘭大與十數位資深IT安全主管進行了一次寶貴的談話。我很榮幸地參與他們對最感困擾事情的討論。
繼續閱讀
Waterbear 是一個已肆虐多年、善於使用模組化惡意程式、並可從遠端新增功能的駭客攻擊行動。此攻擊行動幕後的操控者很可能是 BlackTech 網路間諜集團,該集團主要攻擊東亞的科技公司與政府機關 (特別是台灣,有時也攻擊日本和香港),同時也是某些惡名昭彰的攻擊 (如 PLEAD 和 Shrouded Crossbow) 幕後的黑手。在之前的攻擊當中,我們看到 Waterbear 主要用於橫向移動,並使用檔案載入器來解開及觸發加密的惡意檔案。在大多數情況下,這些惡意檔案都是用來接收並載入更多模組的後門程式。不過在最近一起攻擊中,趨勢科技發現某個 Waterbear 惡意檔案有了全新的用途:藉由 API 攔截 (API hooking) 技巧來隱藏自己的網路活動以免被某資安廠商的產品偵測。根據我們的分析,這是一家亞太地區的資安廠商,而這也正是 BlackTech 集團習慣攻擊的地區。
| [延伸閱讀:主要鎖定台灣,專偷機密技術的BlackTech 網路間諜集團] |
由於駭客知道該攔截哪個 API 來避開偵側,因此意味著駭客很可能熟悉該資安產品在客戶端點和網路上蒐集資訊的方式。而且,由於其程式碼採用通用的方式來攔截 API,因此未來很可能只需更換部分程式碼就能讓別的產品也無法偵測 Waterbear。
作者:William “Bill” Malik (CISA 趨勢科技基礎架構策略副總裁)
一家客戶將企業內部與機房共置的資料中心移轉到純雲端架構時,系統事件的數量突然倍增:從原本的每天 10 億筆變成每天 20 億筆。就算聘再多人也無法解決這麼龐大的問題。在缺乏自動化事件交叉關聯分析機制的情況下,人力缺乏的問題已經不再是一項危機,而是一種生活常態。
根據最新的研究顯示,2019 年第一季每 0.3 秒就有一個新的惡意程式現身,每 3 秒會就有一個非重複漏洞被發現。2019 年第一季,所有可修補的軟體產品所釋出的修補更新總數超過 5,100 個。沒有任何一家企業機構能夠跟得上這麼大量的變化,即使企業有充分的財力來建置驗證與容錯備援所需的多重環境,或是能夠應付頻繁更新所造成的營運中斷。當前我們確實面臨了人才不足無法安裝這麼多修補更新的問題,但真正的問題卻不在人。若無一個機制可以自動部署修補更新又不中斷營運,只會讓真正的問題更加嚴重。
當我還在大學的時代,我記得聽說當時的貝爾系統 (Bell System) 對於自動接線設備的建置意興闌珊。雖然當時已經有一些規模較小的地方性電話公司已經能讓客戶直接在電話上撥打對方的號碼就能接通,但貝爾系統一直到 1930 年代之前都還使用人工接線的方式運作。事實上,早期的電話上根本沒有號碼可撥,您只要拿起話筒,撥個開關連上接線員,等接線員回應之後,您就可以請她幫你接通您要撥打的對象 (女性接線員一般被認為比男性接線員更有耐心,因此接線員多為女性)。
有些小型電話公司為了提高競爭力和獲利,因而採用了自動化接線系統,如此可省下接線設備和接線員的費用,讓打電話的人自己撥打對方的號碼。他們捨棄了硬體接線設備,改採軟體式交換系統。不過貝爾公司卻遲遲不肯跟上這波轉型,原因就在於他們希望能回收他們先前投資的交換設備與接線人員的訓練成本。直到後來他們針對電話的通話量進行了一項成長率調查,該公司才開始轉型。貝爾公司發現,隨著人們安裝與撥打的電話越來越多,到了 1950 年代,北美的每個男人、女人及小孩都得充當接線員才能應付這些通話量。為此,貝爾公司便開始逐步建置直撥電話號碼,只不過還保留了交換名稱,例如,我們家的電話號碼是「Normandy 1-2345」,後來變成「661-2345」。過了一段時間之後,長途直撥電話 (也就是超出當地交換範圍) 以及包含國碼和區域號碼的國際直撥電話也逐漸成為常態。(多年來,我們大學圖書館內最常被閱覽的一期 Bell Systems Journal 期刊就是有關自動接線與國際電話網路路由指令配對音調的那期。至少就我所知是如此。)
資料中心移轉到純雲端架構,系統事件從原本的每天 10 億筆變成每天 20 億筆
今日的資安產業有數百萬個職缺,這到底是哪些工作沒有人做?我們有一家客戶上個月在會議上演講時表示,當他們將企業內部與機房共置的資料中心移轉到純雲端架構時,系統事件的數量突然倍增:從原本的每天 10 億筆變成每天 20 億筆。就算聘再多人也無法解決這麼龐大的問題。在缺乏自動化事件交叉關聯分析機制的情況下,人力缺乏的問題已經不再是一項危機,而是一種生活常態。
每 0.3 秒就有一個新的惡意程式現身
根據最新的研究顯示,2019 年第一季每 0.3 秒就有一個新的惡意程式現身,每 3 秒會就有一個非重複漏洞被發現。2019 年第一季,所有可修補的軟體產品所釋出的修補更新總數超過 5,100 個。沒有任何一家企業機構能夠跟得上這麼大量的變化,即使企業有充分的財力來建置驗證與容錯備援所需的多重環境,或是能夠應付頻繁更新所造成的營運中斷。當前我們確實面臨了人才不足無法安裝這麼多修補更新的問題,但真正的問題卻不在人。若無一個機制可以自動部署修補更新又不中斷營運,只會讓真正的問題更加嚴重。
如果讓資安軟體接管了原本應該由人工處理的工作,風險太大?
有些人會說,雖然他們很想收到有關資安漏洞和駭客攻擊的通知,但他們卻寧願不用自動化工具來解決問題。他們的說法是,如果讓資安軟體接管了原本應該由人工處理的工作,這樣的風險太大。的確,當軟體的誤判情況太多時,這樣的說法確實有道理。但如果有了穩定可靠的機器學習技術做輔助,再配合一套多層式方法,自動化將可大幅改善數量的問題。
企業可透過自動化和託管式偵測及回應 (MDR) 來解決資安事件數量龐大的問題!
沒錯,人才確實短缺。但企業可透過自動化和託管式偵測及回應 (MDR) 來解決資安事件數量龐大的問題。企業可藉由一套跨平台偵測及回應 (XDR) 工具來彙整大量的事件,大幅減輕人員的負擔,同時可提高威脅防護的準確率與即時性。這套工具必須穩定可靠並通過市場考驗,同時要能避免誤判。如此就能從根本上解決資安人才短缺的問題。
想要進一步了解更多訊息嗎?請參閱 Trend Micro XDR