企業資安 - 資安趨勢部落格

< WS 2003 EOS >7月14日 Windows Server 2003終止支援!

2015 年 07 月 14 日2015 年 07 月 27 日趨勢科技 TrendMicro

Windows XP在去年停止支援，現在則是另一套作業系統停止支援的時候了 –2015年7月14日輪到了Windows Server 2003，這被廣泛部署的微軟作業系統即將終止支援，自其2003年4月推出至今已經過了相當長的時間。估計仍有260萬到1100萬的Windows Server 2003使用者仍在活躍使用中。

但這次停止支援會帶來另一全新的挑戰。跟Windows XP不同，Windows Server 2003是伺服器作業系統。不像Windows XP被用在家用電腦和企業工作站/筆記型電腦上，Windows 2003為企業伺服器帶來更深層次的攻擊面。Windows Server 2003（仍然）被廣泛地用在核心功能上，像是目錄伺服器、檔案伺服器、DNS伺服器和電子郵件伺服器。組織依靠它來執行關鍵應用程式和支援內部服務，像是Active Directory、檔案共享和建置內部網站。

當Windows Server 2003支援終止，不會有機制將它保持在最新狀態，這對防護安全問題來說很關鍵。一般來說，作業系統需要透過定期支援來解決安全問題，包括：

取得安全更新來防護漏洞
取得絕大部分產品問題的正規支援
取得非安全性更新，即「一般性」臭蟲修復

了解風險

作業系統終止支援（特別對Windows Server 2003來說），代表你IT部門開始有許多事情好做。組織需要準備應對缺少的安全更新、合規性問題、對抗惡意軟體及其他非安全性漏洞。你不再會收到安全問題的修補程式或弱點通知。當出現會影響你伺服器的漏洞時，你將不再知道。

在推出之際，Windows 2003要比Windows 2000更加安全。而隨著時間過去，很明顯地它也有著自己的一串漏洞。CVE清楚地指出使用Windows Server 2003的企業要面對接近403個漏洞，其中有27%是遠端程式碼執行漏洞。沒有通知來幫忙監控和衡量這些漏洞所帶來的風險，可能會讓你的伺服器安全開了一個大洞。繼續閱讀

企業資安訓練只是新進員工的一次性事件?(內有影片)

2014 年 10 月 21 日2014 年 10 月 14 日趨勢科技 TrendMicro

資訊安全：它是一場旅程

作者：Rik Ferguson（趨勢科技全球安全研究副總裁）

影片裡「只想把事情做好」的員工,竟成最脆弱的資安漏洞,問題出在哪裡?

人,是最大弱點,企業，不管大小，都必須想辦法去解決「只想把事情做好」之原意良好員工所帶來的風險。同樣地，雇主也有責任去隨時瞭解技術和網路犯罪的發展，以提供有效的教育訓練。

企業必須確保他們真正瞭解今日所面對的威脅，不只是他們自己所認為的。他們需要確保他們的使用者被訓練好可以有能力且謹慎地去使用網路和公司資源，而非只是盲目地相信技術解決方案。員工應該知道無形的危害會如何發生和他們要關心哪些地方。

同樣地，人們需要清楚他們自己以及別人個人資料的真正貨幣價值，給予應有的對待，而不是隨便地透過社群和專業網路、部落格、電話、假問卷調查等方式提供給好奇的不知名者。

目前大多數公司的資訊安全訓練僅提供給新進員工。作為新進員工，你必須消化所有相關的政策並簽名。問題是這通常是一次性事件，三個月或三年過去，不僅員工會忘記如何實際應用這些政策，而且也沒有重新審查這些政策，只是假定威脅或技術環境本身沒有變化。

教育訓練，尤其是在資訊安全領域，應該是一個持續的過程而不是一次性事件。理想情況下，它應該有樂趣和被參與，確保安全性會放在公司意識的前線，無論是在工作還是外面。良好的資訊安全實踐應超出工作場所範圍，如在家裡活動，尤其是在自帶設備和消費者化時代，可能會帶給工作嚴重的影響。

資訊安全訓練對於提供給不感興趣的對象來說會是個棘手的問題；許多重要經驗可以向行銷、創意和網站內容學習，成為你企業的一部份。安全訓練不只是安全小組的任務；它需要企業內部多個團隊共同合作才能達到真正的成功。

遊戲化的概念或利用遊戲設計技術來提高非遊戲領域是能夠被成功應用在安全訓練的地方。將你的員工以功能性或地域性分組；用分階段的方式來提供員工相同的訓練，隨著時間慢慢的升級。制定排行榜來激發你員工的競爭心理，用一系列意想不到的測試來讓他們接受挑戰；比方說神秘來電者嘗試進行社交工程技術，嘗試在社群網路上建立關係，網路釣魚電子郵件活動設計用來誘捕粗心的人。如果你的員工隊伍已經被事先警告過訓練中包含實作元素，而且他們的安全雷達將會被不斷的測試，這只會加強他們的一般安全意識。能夠持續性的賺取成就和獎項，建立激勵動機來將安全性保持在你做日常一切事務時的列表頂端。

重點不是要懲罰或用其他方式對待得分最低的個人或團體；而是要建立安全的文化，讓每個員工都更加瞭解到他們行為所造成的後果，即時這些行為在當時看起來完全無害。

資訊安全不是一個目的地，這是一場旅程。

在10月份，我們支援國家網路安全聯盟以慶祝網路安全月 – 旨在教育企業和個人如何保持網路安全。到這裡來看看我們為你所收集的有用影片、圖表、部落格文章和報告。

＠原文出處：Information Security: It’s a Journey

IT 管理員容易忽略的網路防禦基本概念

2014 年 10 月 01 日2014 年 10 月 01 日趨勢科技 TrendMicro

本文分享一些 IT 管理員可以積極實行的規則，好為網路建立「基本的防禦」。這裡說的”基本”是因為這些規則並非是為了涵蓋網路內所有類型的可疑活動 – 只是一些作者認為很可能被漏掉的活動。

偵測到使用非標準端口的服務

一般的協定都有預設的端口來讓應用程式或服務使用。一個執行某協定的服務卻沒有使用預設端口可以視為可疑 – 這是常被攻擊者利用的技術，因為預設端口通常都會被安全產品監控。同樣地，偵測未知協定使用標準服務端口也很重要，像是 80（HTTP）、25（SMTP）、21（FTP）、443（HTTPS）。因為有服務使用這些端口，所以IT管理員不能加以封鎖，所以就有可能被攻擊者利用來進行攻擊。由於每個企業的環境都有所不同，所以確認可以允許哪些端口就是IT管理員的工作，而且要密切地監視流過這些端口的流量，確保是預期中的正常流量。

除此之外，封鎖環境中所有未使用的端口也是個重要的做法。如同我們從以往關於針對性攻擊中後門程式所使用技術的研究裡學到，會使用的端口往往依賴於網路內允許哪些通過。限制網路中所打開的端口可以防止攻擊者加以濫用。像是攻擊者還可以利用網路中用來同步時間的網路時間協定（NTP）來發動分散式阻斷服務（DDoS）攻擊。

偵測名稱有可疑特徵的檔案

誘騙使用者打開惡意檔案的基本技巧之一是要變造檔案名稱讓目標認為自己所開啓的檔案並無害處。儘管很難單單靠著檔案名稱就確認一個檔案的性質，還是有幾個可疑的檔名特徵可以讓管理員加以注意：

檔案名稱中帶有太多空格
檔案名稱帶有兩個或以上的副檔名（尤其是當實際副檔名為可執行檔時）
檔案類型和副檔名並不匹配（例如：PE類型檔案的副檔名卻是「pif」，「bat」或是「cmd」等）

繼續閱讀

員工造成的資安事件,並未像駭客威脅那樣受到嚴格重視

2014 年 08 月 05 日2014 年 08 月 06 日趨勢科技 TrendMicro

四家企業當中就有三家過去 12 個月內曾經發生資訊安全事件。一家典型的企業在過去一年平均遭遇 135 次資安事件，造成大約 415,000 美元的金錢損失。

今日網路安全環境最大的威脅和第一要務為何？

美國企業已逐漸感受到資料外洩的影響。不論他們是否曾為駭客入侵的受害者，或是在電視上看到其他同業受害，網路犯罪在今日的影響力似乎不容小覷。

然而，PwC 與 CSO Magazine 所做的 2014 年美國網路犯罪現況調查 (2014 U.S. State of Cybercrime Survey) 發現，隨著各領域的資料外洩事件數量持續攀升，企業所採取的資訊防護策略卻各不相同。

Continuity Central 引述該報告指出：「儘管網路犯罪事件的數量與相關的財務損失持續升高，大多數的美國企業在網路安全防護上依舊比不上網路駭客的毅力與技巧」。

網路犯罪概觀
該調查發現了多項驚人數據，描繪出今日網路犯罪駭人的一面：四家企業當中就有三家過去 12 個月內曾經發生資訊安全事件。一家典型的企業在過去一年平均遭遇 135 次資安事件，造成大約 415,000 美元的金錢損失。

該調查發現，14% 的受訪者表示過去一年曾因攻擊和入侵而發生財務損失。但是，經過研究人員估計，這些事件的成本可能遠高於此，因為曾經遭遇資安事件的企業有 67% 並無法估算相關的費用。

當前的網路犯罪環境已提高了企業的安全意識，知道自己需要一種防護措施來保障敏感資訊及企業資源。在過去一年曾經成為網路犯罪受害者的 77% 企業當中，有 34% 表示這類事件在過去幾個月來更加普遍。整體而言，現在已有超過半數的企業 (59%) 比以往更擔心網路威脅。繼續閱讀

IT 部門因網路活動劇增而擔憂無法偵測威脅

2014 年 02 月 24 日2014 年 02 月 24 日趨勢科技 TrendMicro

有些IT主管認為自己正在跟網路犯罪份子打一場艱難的戰爭。最近一份針對英國IT專家的調查顯示，許多受訪者對於自己在資料量不斷增加時對抗攻擊缺乏信心，需要擁有額外的監控能力。

這樣子的想法並不只出現在英國。世界各地的私人和公家單位都一直在努力應付網路活動劇增的狀況，其中一些和複雜性攻擊有關。最近的假期季節出現幾起值得注意的攻擊活動，像是Target零售商的資料外洩，行動應用程式Snapchat數百萬使用者名稱和電話號碼被駭，以及針對Skype的攻擊。

對於防備網路攻擊的疑慮甚至已經悄悄地進入國家安全討論。警惕著對關鍵基礎設施的威脅，英國和日本已經採取行動來解決IT系統弱點。部分美國國防部官員甚至將網路戰視為最危險的國家安全。

此一不斷高漲的IT風險意識不需要變成了恐慌，但是組織必須建立新的安全策略，不只是來自IT管理者，還要包括其他部門人員的加入，因為網路攻擊可能會中斷整間企業運作。從技術角度來看，整合網路監控解決方案和資料中心可能是直線化IT基礎設施來面對新威脅環境的關鍵一步。

RedSeal調查顯示英國對於防備能力的廣泛擔憂

RedSeal對350位英國IT專家的調查顯示他們對網路安全的疑慮。不到一半的受訪者認為自己可以如實地告訴公司高層，公司的運作可以在面對攻擊時保持安全，超過36％的人表示自己不能這樣說。

不過對這些主管來說，真正要面對的現實問題是採購流程和人員方面，而不是網路罪犯能力的突然增加。有近三分之一受訪者證實，他們忽略嚴重的漏洞是因為缺乏時間或合適的安全解決方案，有28 ％的人希望可以有更好的工具來處理網路資料過多的問題。

「網路犯罪社群知道企業已經無法處理過多的資料，而且沒有足夠的資源或工具來保護他們寶貴的資產，所以他們可以利用這些弱點，」RedSeal執行長 – Parveen Jain說道。「我們建議利用自動化解決方案，讓你可以利用可執行的情報來全神貫注在重要而脆弱的資料上。這樣一來，IT部門就能夠對全盤網路安全架構有可見性，使他們能夠捍衛自己的系統，對抗複雜性網路攻擊。」

溝通是另一常見的絆腳石，有60％的人反應說，在討論組織安全時，高層和IT部門的瞭解不同。同樣地，多數受訪者對於利用關鍵績效指標來展示進度有困難。

在攻擊偵測和回應前線要做的事

RedSeal對於企業要使用自動化解決方案的建議是第一步，特別是鑑於IT部門有監測和回應網路活動的問題。有百分之四十五的受訪者斷言，他們甚至不知道自己是否被駭客攻擊過，因為他們的系統內充斥著過多的資料，以致於不可能精確定位攻擊。

面對威脅真正問題並不完全是技術方面，有許多是跟組織如何去架構回應網路攻擊。說到財富雜誌，作者Peter Singer認為，公司的高階主管應該要更多地了解IT風險，尤其是因為70％的企業高階主管必須為公司做出關於網路安全的決定。繼續閱讀