所謂的特權容器 (privileged container),簡而言之就是 Docker 環境中擁有主機完整系統權限 (root) 的容器,它可存取一般容器無法存取的資源。特權容器的用途之一,就是在 Docker 容器當中執行另一個 Docker daemon;另一個用途就是當容器需要對硬體進行直接存取時。原本,在 Docker 中執行 Docker (也就是所謂的 Docker-in-Docker) 的用意是為了開發 Docker 本身。但今天,特權容器已經出現各種不同的使用情境,例如在開放原始碼自動化伺服器 Jenkins 當中將持續整合/持續交付 (CI/CD) 工作自動化。然而,執行特權容器卻可能帶來安全上的疑慮。以下我們將詳細說明,執行一個擁有特權但卻不安全的容器,如何讓網路犯罪集團有機會在企業的系統當中植入後門。
一般來說,使用 Docker-in-Docker 是為了在現有容器當中再執行另一個容器。不過,使用一個缺乏安全的特權容器,可能會引發一些嚴重問題。
繼續閱讀作者:William “Bill” Malik(趨勢科技 CISA基礎架構策略副總)
我們最近在喬治亞州的亞特蘭大與十數位資深IT安全主管進行了一次寶貴的談話。我很榮幸地參與他們對最感困擾事情的討論。
繼續閱讀
Waterbear 是一個已肆虐多年、善於使用模組化惡意程式、並可從遠端新增功能的駭客攻擊行動。此攻擊行動幕後的操控者很可能是 BlackTech 網路間諜集團,該集團主要攻擊東亞的科技公司與政府機關 (特別是台灣,有時也攻擊日本和香港),同時也是某些惡名昭彰的攻擊 (如 PLEAD 和 Shrouded Crossbow) 幕後的黑手。在之前的攻擊當中,我們看到 Waterbear 主要用於橫向移動,並使用檔案載入器來解開及觸發加密的惡意檔案。在大多數情況下,這些惡意檔案都是用來接收並載入更多模組的後門程式。不過在最近一起攻擊中,趨勢科技發現某個 Waterbear 惡意檔案有了全新的用途:藉由 API 攔截 (API hooking) 技巧來隱藏自己的網路活動以免被某資安廠商的產品偵測。根據我們的分析,這是一家亞太地區的資安廠商,而這也正是 BlackTech 集團習慣攻擊的地區。
| [延伸閱讀:主要鎖定台灣,專偷機密技術的BlackTech 網路間諜集團] |
由於駭客知道該攔截哪個 API 來避開偵側,因此意味著駭客很可能熟悉該資安產品在客戶端點和網路上蒐集資訊的方式。而且,由於其程式碼採用通用的方式來攔截 API,因此未來很可能只需更換部分程式碼就能讓別的產品也無法偵測 Waterbear。
作者:William “Bill” Malik (CISA 趨勢科技基礎架構策略副總裁)
一家客戶將企業內部與機房共置的資料中心移轉到純雲端架構時,系統事件的數量突然倍增:從原本的每天 10 億筆變成每天 20 億筆。就算聘再多人也無法解決這麼龐大的問題。在缺乏自動化事件交叉關聯分析機制的情況下,人力缺乏的問題已經不再是一項危機,而是一種生活常態。
根據最新的研究顯示,2019 年第一季每 0.3 秒就有一個新的惡意程式現身,每 3 秒會就有一個非重複漏洞被發現。2019 年第一季,所有可修補的軟體產品所釋出的修補更新總數超過 5,100 個。沒有任何一家企業機構能夠跟得上這麼大量的變化,即使企業有充分的財力來建置驗證與容錯備援所需的多重環境,或是能夠應付頻繁更新所造成的營運中斷。當前我們確實面臨了人才不足無法安裝這麼多修補更新的問題,但真正的問題卻不在人。若無一個機制可以自動部署修補更新又不中斷營運,只會讓真正的問題更加嚴重。
當我還在大學的時代,我記得聽說當時的貝爾系統 (Bell System) 對於自動接線設備的建置意興闌珊。雖然當時已經有一些規模較小的地方性電話公司已經能讓客戶直接在電話上撥打對方的號碼就能接通,但貝爾系統一直到 1930 年代之前都還使用人工接線的方式運作。事實上,早期的電話上根本沒有號碼可撥,您只要拿起話筒,撥個開關連上接線員,等接線員回應之後,您就可以請她幫你接通您要撥打的對象 (女性接線員一般被認為比男性接線員更有耐心,因此接線員多為女性)。
有些小型電話公司為了提高競爭力和獲利,因而採用了自動化接線系統,如此可省下接線設備和接線員的費用,讓打電話的人自己撥打對方的號碼。他們捨棄了硬體接線設備,改採軟體式交換系統。不過貝爾公司卻遲遲不肯跟上這波轉型,原因就在於他們希望能回收他們先前投資的交換設備與接線人員的訓練成本。直到後來他們針對電話的通話量進行了一項成長率調查,該公司才開始轉型。貝爾公司發現,隨著人們安裝與撥打的電話越來越多,到了 1950 年代,北美的每個男人、女人及小孩都得充當接線員才能應付這些通話量。為此,貝爾公司便開始逐步建置直撥電話號碼,只不過還保留了交換名稱,例如,我們家的電話號碼是「Normandy 1-2345」,後來變成「661-2345」。過了一段時間之後,長途直撥電話 (也就是超出當地交換範圍) 以及包含國碼和區域號碼的國際直撥電話也逐漸成為常態。(多年來,我們大學圖書館內最常被閱覽的一期 Bell Systems Journal 期刊就是有關自動接線與國際電話網路路由指令配對音調的那期。至少就我所知是如此。)
資料中心移轉到純雲端架構,系統事件從原本的每天 10 億筆變成每天 20 億筆
今日的資安產業有數百萬個職缺,這到底是哪些工作沒有人做?我們有一家客戶上個月在會議上演講時表示,當他們將企業內部與機房共置的資料中心移轉到純雲端架構時,系統事件的數量突然倍增:從原本的每天 10 億筆變成每天 20 億筆。就算聘再多人也無法解決這麼龐大的問題。在缺乏自動化事件交叉關聯分析機制的情況下,人力缺乏的問題已經不再是一項危機,而是一種生活常態。
每 0.3 秒就有一個新的惡意程式現身
根據最新的研究顯示,2019 年第一季每 0.3 秒就有一個新的惡意程式現身,每 3 秒會就有一個非重複漏洞被發現。2019 年第一季,所有可修補的軟體產品所釋出的修補更新總數超過 5,100 個。沒有任何一家企業機構能夠跟得上這麼大量的變化,即使企業有充分的財力來建置驗證與容錯備援所需的多重環境,或是能夠應付頻繁更新所造成的營運中斷。當前我們確實面臨了人才不足無法安裝這麼多修補更新的問題,但真正的問題卻不在人。若無一個機制可以自動部署修補更新又不中斷營運,只會讓真正的問題更加嚴重。
如果讓資安軟體接管了原本應該由人工處理的工作,風險太大?
有些人會說,雖然他們很想收到有關資安漏洞和駭客攻擊的通知,但他們卻寧願不用自動化工具來解決問題。他們的說法是,如果讓資安軟體接管了原本應該由人工處理的工作,這樣的風險太大。的確,當軟體的誤判情況太多時,這樣的說法確實有道理。但如果有了穩定可靠的機器學習技術做輔助,再配合一套多層式方法,自動化將可大幅改善數量的問題。
企業可透過自動化和託管式偵測及回應 (MDR) 來解決資安事件數量龐大的問題!
沒錯,人才確實短缺。但企業可透過自動化和託管式偵測及回應 (MDR) 來解決資安事件數量龐大的問題。企業可藉由一套跨平台偵測及回應 (XDR) 工具來彙整大量的事件,大幅減輕人員的負擔,同時可提高威脅防護的準確率與即時性。這套工具必須穩定可靠並通過市場考驗,同時要能避免誤判。如此就能從根本上解決資安人才短缺的問題。
想要進一步了解更多訊息嗎?請參閱 Trend Micro XDR
託管服務供應商 (MSP) 經常犯了三項常見的錯誤,廠商若能避免這些錯誤,並且主動教育客戶有關電子郵件相關的威脅該如何防範,就能創造持續不斷的重複營收。
今日企業已習慣仰賴雲端電子郵件和檔案分享服務來通訊並發揮生產力。然而,企業卻經常假設這些平台的內建資安防護足以攔截所有的電子郵件威脅。
事實上正好相反。
雖然 Microsoft Office 365 和 Google Drive 這類平台內建的防護確實能攔截某些威脅,但根據趨勢科技研究顯示,它們無法偵測網路真實世界當中 95% 的未知威脅。
因此,企業必須為電子郵件和檔案分享平台添加一道額外的防護。但大多數的企業卻都等到為時已晚才意識到這點,但此時系統已遭駭客入侵。
這正是為何 託管服務供應商 (MSP) 和 IT 服務供應商應主動教育客戶有關電子郵件威脅的觀念,以及如何加以防範。這麼做其實也有助於廠商掌握商機,開拓新的重複性營收。但廠商必須避免以下三項服務供應商經常會犯的電子郵件資安錯誤:
-誤以為平台內建的安全機制已經足夠
令人訝異的是,並非所有 MSP 及 IT 服務供應商都意識到自己有必要為其雲端電子郵件平台添加一道額外的防護。許多廠商就如同其客戶一樣,認為平台內建的防護便足以勝任這項工作。
在這樣的情況下,若廠商又未能主動教育客戶有關電子郵件威脅的風險,客戶將很容易因為網路釣魚和垃圾郵件而感染惡意程式,成為網路詐騙、網路間諜、資訊竊盜的受害者。廠商應該向客戶說明清楚,只要一位使用者不小心點選了被感染的網站連結或附件檔案,就可能讓整個企業遭殃,帶來深遠的影響:Atlanta (亞特蘭大 ) 至今仍未從其 2018 年勒索病毒攻擊事件所造成的 270 萬美元損失中站起來。
繼續閱讀