《趨勢專家談雲端運算》VMworld的熱門話題:為什麼安全團隊喜歡虛擬化桌面架構

作者:趨勢科技雲端安全副總裁Dave Asprey

幾個月前,我寫了一篇關於虛擬化桌面架構(VDI)如何越過推動臨界點的文章,都要歸功於寬頻的普及和新雲端技術突破性的發展,所以讓性能可以有顯著的進步。工作場所裡大量的使用平板電腦和智慧型手機也助長了這火勢。尤其是我提到了虛擬化桌面架構可以解決自帶設備的問題。VMware在舊金山舉行的VMworld大會中就包含了這些解決方案,也是VMware行動安全桌面提議(Mobile Secure Desktop initiative)的一部分。

 

現在,趨勢科技將再次在巴塞隆納加入VMware,我們看到一樣的虛擬化桌面架構解決方案被應用到其他地方:遠端和地區辦公室。像是零售業、銀行和醫療保健等行業,他們的業務模式在很大程度上依賴於遠端辦公室,需要有可靠、安全和最佳化的方式來存取系統和應用程式。

 

在其中一個討論虛擬化桌面架構技術的會議中,VMware的資深架構工程師談到無代理安全的價值,和傳統防毒會浪費掉30%的資源比起來,無代理防毒技術可以讓使用者用到99%的資源 – 避免安全風暴、提供更高密度、最佳化資源和更強的安全性。

繼續閱讀

家長請不要讓你的小孩越獄(Jailbreaking)他們的iPhone

為了確保高品質、穩定和安全,以及統一的使用者體驗,Apple在iOS(iPhone作業系統)上置入了許多的控制,這限制了應用程式在iPhone和其他iOS上要如何運作以及可以做些什麼。

小孩玩手機

 

這篇文章,詳細介紹了這些iOS上的控制,但這裡提供一個iOS安全模型關鍵的快速總結。

 

  • 減少攻擊面 較少應用程式可以用來攻擊漏洞,傳統有漏洞的子系統,如Java和Flash,也不被允許安裝在iOS上。
  • 權限分離 大多數應用程式運作在受限的模式,限制了它們可以對iOS檔案系統所做的事和彼此間的互動。沒有超級使用者(root)權限(如同Linux),所以你不能刪除重要檔案或砍掉必需的iOS程序。
  • 程式碼簽章 AppStore上銷售的每一個iOS應用程式都必須得到Apple簽章,讓他們可以在iOS設備上執行。能夠獲得授權在AppStore上出售之前,Apple會測試所有的應用程式以確保它們是穩定和安全的。
  • 沙箱技術 應用程式在一個隔絕的環境或「沙箱」內執行,限制其對iOS系統資源的存取。

 

越獄(Jailbreaking)和為什麼不該這麼做

 

讓iPhone越獄是指去除iOS控制和執行限制的程序,讓未經Apple授權的應用程式可以在iPhone上執行。當你將iPhone越獄,基本上就等於是拆了iOS所提供的安全牆。

繼續閱讀

避開 Android 權限機制:您應該知道的事

Android 裝置的權限機制設計,是為了讓未事先宣告並取得權限的 App 程式無法做出任何可能傷害裝置的行為。但真的是如此嗎?

Android 權限機制的運作方式

在深入探討進一步細節之前,讓我們先來看看 Android 的權限機制如何運作。

Android 的 App 程式對系統資源的存取是受到管制的。要存取一些敏感的應用程式介面 (API),App 程式首先必須在 AndroidManiflest.XML 檔案當中宣告它所需要的權限。這些所謂敏感的 API 包括了相機功能、GPS 定位資訊、藍牙與電話功能、SMS/MMS 簡訊功能,以及網路/資料連線功能。

在安裝 Ap 程式時,程式安裝器 (App Installer) 會將這些程式宣告的權限顯示給使用者看,由使用者決定是否要接受並安裝該程式。

在安裝 Ap 程式時,程式安裝器 (App Installer) 會將這些程式宣告的權限顯示給使用者看,由使用者決定是否要接受並安裝該程式。
在安裝 Ap 程式時,程式安裝器 (App Installer) 會將這些程式宣告的權限顯示給使用者看,由使用者決定是否要接受並安裝該程式。

若使用者決定接受,那這些權限就永久授予給該程式,直到它解除安裝為止。執行時,系統不會再通知使用者這些程式正在使用一些敏感的 API。反之,若使用者決定不接受,那應用程式就無法安裝。

假使有某個 App 程式嘗試使用這些受保護的功能卻未事先宣告,系統在執行該應用程式時就會出現安全性錯誤,並終止應用程式。

假使有某個 App 程式嘗試使用這些受保護的功能卻未事先宣告,系統在執行該應用程式時就會出現安全性錯誤,並終止應用程式。
假使有某個 App 程式嘗試使用這些受保護的功能卻未事先宣告,系統在執行該應用程式時就會出現安全性錯誤,並終止應用程式。

在這樣的設計下,要避開權限機制似乎不太可能。但不幸的是,一些聰明的程式設計人員就是有辦法開發出一些能避開這些權限機制的 App 程式,方法就是濫用某些功能。

濫用預設瀏覽器來上傳資訊

在 Android 系統中,一個 App 程式可以呼叫另一個 App 程式的元件,然後透過一個名為「Intent」的抽象資料結構來描述其所要執行的作業。每一個 Intent 資料結構當中都包含了要執行的動作,以及執行該動作需要的資料。當一個 App 發出一個 Intent 時,行動裝置作業系統會選擇一個適合的應用程式來處理該資料。

例如,一個內含「Intent.ACTION_VIEW 」這個檢視動作的 Intent,再配上「Uri.parse(“http://www.google.com”)」這串資料,就代表該 App 程式希望檢視 Google 首頁。當此資料結構傳出來時,作業系統會決定該啟動哪個瀏覽器。

在這樣的設計之下,意圖不良的程式開發人員,就能在自己的 App 程式當中透過一個 Intent 資料結構來開啟一個瀏覽器並將竊取到的資料上傳至遠端的某個伺服器。譬如,惡意 App 程式想要將裝置的識別碼 (Device ID) 傳送至位於 http://example.com 的伺服器,其 Intent 內容將如下所示:

惡意 App 程式想要將裝置的識別碼 (Device ID) 傳送至位於 http://example.com 的伺服器,其 Intent 內容如圖
惡意 App 程式想要將裝置的識別碼 (Device ID) 傳送至位於 http://example.com 的伺服器,其 Intent 內容如圖

由於是透過瀏覽器來開啟這個網址,因此,惡意 App 程式自己根本不需宣告 android.permission.INTERNET 網際網路使用權限,因為瀏覽器已具備這個權限。

由於是透過瀏覽器來開啟這個網址,因此,惡意 App 程式自己根本不需宣告 android.permission.INTERNET 網際網路使用權限

繼續閱讀

八個令人無法苟同的雲端迷思

作者:趨勢科技雲端安全副總裁Dave Asprey

這裡是精心整理過的雲端(或非雲端)公司最常見也最令人厭惡的行銷錯誤。

1)雲端洗腦將所有雲端的東西講在一塊。

你指的是PaaS、SaaS、IaaS還是私有雲…或者只是在說虛擬化?你家小孩買魚的水族館線上購物網頁也算是「雲端水族館管理」嗎,應該不是吧。

2)忘記企業也有雲端技術。
跟著我說一次:公共雲並不是唯一的雲端技術。私有雲是真實存在的。

3 )認為雲端並不安全。

呃,你是在說哪種雲端技術?自己管理的私有雲?Gmail?你知道自己真正需要的安全性等級?還是可用性對你來說比較重要,而你擔心安全問題會導致服務中斷?具體一點。而且如果你做得好,大多數雲端技術都可以很安全。

4)認為雲端技術就是高可用性。

現在的雲端技術行銷人員忘了數數字。就是去數9等級。雲端技術平均只有三個9(99.9%的可用性)。有良好架構的傳統企業基礎設施可以達到五個9(99.999%)。雖然我們使用雲端技術,但請記住:雲端技術並不是一個災難回復(DR)策略。 繼續閱讀

小型企業是網路犯罪者的大事業-每個小型企業都應知道的五件關於網路犯罪的事

每個小型企業都應知道的五件關於網頁威脅和網路犯罪的事

對於網路犯罪者來說,沒有任何企業會太小而不值得花費力氣。小型企業雖然不像一般大企業那麼受人矚目,但小型企業也無力承擔輕忽網路犯罪威脅的代價。儘管外界流傳著小型企業對這類安全威脅免疫的說法,但現在該是正視問題的時候了。

1. 任何企業組織,不論規模大小,都可能成為網路犯罪的受害者。

大多數的小型企業都不相信自己會成為網路犯罪的目標。根據 Visa Inc. 與 National Cyber Security Alliance 一項針對 1,000 位小型企業老闆的調查,有 85% 的老闆相信大型企業比他們更容易成為目標。超過一半 (54%) 的受訪者有自信他們的準備比大型企業更充份,更有能力保護公司與客戶資料。小型企業或許會認為:網路犯罪通常不是鎖定很大的企業,就是鎖定一般消費者,因此自己不可能成為歹徒的目標。然而,事實上,只要是有利可圖而且利潤豐厚,網路犯罪者才不管是超大型企業、小型企業或一般消費者。他們對任何目標都一視同仁。只要是系統存在著安全漏洞,任何目標對網路犯罪來說都是一樣的。

2. 小型企業同樣也擁有網路犯罪者所感興趣的資訊。

小型企業或許會認為他們的內容安全威脅並不像大型企業那麼嚴重。但事實上,根據 Council of Better Business Bureaus 在 2010 年 5 月所發表的研究,7.4% 的小型企業老闆都曾經遇到網路詐騙。

小型企業同樣也擁有員工和客戶資訊,因此就各方面來說,同樣也是網路犯罪的重要目標。從身分證號碼到網路銀行帳號密碼都是歹徒所覬覦的資料 (完整的失竊資料排名請參考下圖)。

小型企業同樣也擁有網路犯罪者所感興趣的資訊

小型企業同樣也擁有網路犯罪者所感興趣的資訊

3.網路犯罪者平均每一秒釋出 3.5 個專門攻擊小型企業的新威脅。

根據報告指出,專門針對小型企業的網路攻擊數量在 2010 年初竄升了 600%。趨勢科技的專家表示,此現象的背後至少有兩項因素。首先,規模較大的企業皆已投入更多資金來加強網際網路安全,迫使網路犯罪者將目標轉向同樣有利可圖的小型企業。其次,小型企業數量龐大,光是美國境內就有超過 2 千 5 百萬家小型企業。除此之外,小型企業還有一項吸引網路犯罪者的原因,那就是小型企業沒有足夠的預算可以聘請專門的 IT 團隊,更不用說成立專責部門,來維持資訊安全。

曾經有小型企業因為遇到網路犯罪而損失數十萬美元,而歹徒所用的工具就是 t僵屍網路/傀儡網路 Botne 程式。Bot 程式是一種會暗中潛入個人電腦的惡意程式,一旦潛入,歹徒就能從遠端遙控電腦並竊取重要資料而不被員工或客戶發覺。

2011 年 1 月,美國聯邦調查局 (FBI) 在一份報告中指出,有一家美國企業因為觸發了電子郵件所挾帶的惡意程式而自動從銀行帳戶轉出了 15 萬美元給歹徒。該惡意程式就是 ZeuS/ZBOT 家族的木馬程式之一,此惡名昭彰的惡意程式家族專門詐騙小型企業。

趨勢科技TrendLabs 的專家也曾見過專門針對小型企業而設計的網路釣魚Phishing攻擊和漏洞攻擊。這類詐騙經常利用一些稅務相關的電子郵件,並且假冒政府機關的名義,其手法通常是利用客戶投訴或威脅採取法律行動來引起被害人恐慌。而漏洞攻擊則是專門攻擊常見合法應用程式的漏洞。

只要小型企業能確保每一位員工 (不論技術程度如何) 都能隨時掌握網路犯罪的最新動態,就更能防範上述攻擊。企業應該教育員工有關最新的詐騙手法,鼓勵員工養成良好習慣,例如:只要是來路不明的可疑郵件,千萬不要回覆,也不要開啟附件檔案,更不要點選其中的連結。此外,小型企業最好能貫徹一套內部安全政策來強化其網路安全與銀行交易作業原則。最後,小型企業也必須時時提高警覺,小心防範可疑的網路活動,並且做好應變的準備,以防萬一真的遭到歹徒入侵。

 

4. 儘管遵規需要高昂的成本,但未遵守法規的可能代價更高,而且讓網路犯罪有機可乘。

並非所有的小型企業都已意識到遵規的問題。有些甚至認為自己的企業已經符合法規要求,並且已做好安全措施。然而,根據 2011 年發表的一份中小企業 (SMB) 資料安全與詐騙預防策略調查顯示,美國有將近一百萬家小型企業皆曾經是資料安全詐騙的受害者。

不遵循法規的結果,最終可能導致生產力損失、業務中斷以及高昂的法律成本。對於跨國性的企業來說,遵規的成本大約在 350 萬美元之譜5,相對於不遵循法規的潛在損失,這只不過是小小的代價。小型企業如果以為自己不必遵守資料保護法規,那就大錯特錯。如同大型企業,小型企業也需處理人員、流程與技術的問題,而這些層面的網路犯罪威脅與大型企業沒什麼不同。

5. 小型企業正逐漸邁向雲端,也開始擁抱雲端安全,但網路犯罪者也不是省油的燈。

雲端運算已經不再是一種口號,而是既成的事實。今日中小企業整體雲端市場價值大約在 86 億美元左右6 ,而且在 2014 年將達到1,000美元之譜。此外,高達 74% 的中小企業打算在 2011 年提高他們的雲端式軟體支出,這一點比 2010 年底的情況明顯大幅增加,而當時中小企業採用雲端運算的比例大約只有 14%。

小型企業正逐漸邁向雲端,也開始擁抱雲端安全
小型企業正逐漸邁向雲端,也開始擁抱雲端安全

繼續閱讀