趨勢科技展示全方位的 Amazon Web Services 安全防護方案

簡化雲端安全防護的創新產品,符合 AWS 共同安全模型

【2013 年 11 月 19 日台北訊】在今年 AWS re:Invent 2013 大會上,趨勢科技 (東京證券交易所股票代碼:4704) 展出一套全方位、自動化且專為 Amazon Web Services (AWS)  部署環境設計的安全防護方案,包含多項重要防護功能:惡意程式防護、防火牆、入侵防護、加密以及應用程式掃瞄。這套最佳化的解決方案能讓企業履行 AWS 共同安全模型當中的義務,維護企業應用程式與資料的安全。此外,其獨特的授權模式也能配合企業採購 AWS 運算實體 (AWS Instance) 的方式,徹底改變雲端服務安全防護的購買方式。

這套榮獲第一名評價[1] 的雲端安全防護是以趨勢科技的 Deep Security 平台為基礎,能保護雲端運算實體、網站應用程式以及敏感的企業資料。有別於針對單一功能 (如惡意程式防護) 的傳統解決方案,Deep Security 平台擁有全方位的能力,可根據每一位客戶的需求而輕鬆部署。趨勢科技不僅是 AWS 高級技術合作夥伴 (Advanced Technology Partner),更是唯一參加全新 AWS 試用計劃 (Test Drive Program) 的資訊安全廠商,能讓客戶在幾分鐘之內為其部署環境評估各種安全防護功能,而且免費。

Vayon Insurance Solution Provider 的雲端專案經理 Renato Giuliana 表示:「由於我們某家大客戶的要求,我們必須在很短的時間之內完成 PCI-DSS 認證。我們選擇了趨勢科技 SecureCloud™ 服務和 Deep Security 方案,因為有了這些解決方案,我們就能以模組化且完全整合的方式達成各項 PCI-DSS 規範。除此之外,該還有專案建置迅速以及價格容易負擔的特點。」

AWS 的共同安全模型針對部署環境制定了清楚的安全責任歸屬。AWS 負責維護基礎架構的安全,而作業系統 (含) 以上部分的防護責任,則由使用者承擔。趨勢科技解決方案提供了各種功能來確保 AWS 部署環境的安全,包括:

 作業系統

不論採用服務方式或採用企業內部署,Deep Security 都能守護實體與虛擬伺服器以及公有和私有雲端部署環境。它可配合 AWS 的伸縮性和彈性,完整支援主流作業系統,並且針對動作導向描述資料 (Action-based Metadata) 自動化擴充而最佳化。

 網站應用程式

應用程式漏洞掃瞄與專家誤判消除,還有網站信譽評等管理,能為任何網站應用程式提供全面的應用程式安全檢視。

 資料

精密的加密與金鑰管理功能,專為 AWS 最佳化,可在私有雲和公有雲部署環境之間平順地維護資料安全。此外,趨勢科技還利用無限制的 SSL 憑證為傳輸中的資料保護提供了突破性的作法,讓客戶不必花費額外成本就能部署適當的防護。

 定價

趨勢科技是唯一能讓企業配合其 AWS 雲端服務採購方式來採購防護方案的資訊安全廠商。企業有兩種採購防護的方式:(1) 預先採購,如同採購預留的運算實體一樣;(2) 用多少算多少,如同隨選運算實體一樣,此方式只針對實際使用部分計費,對於企業IT營運規劃更具彈性。本服務預計於2014年第二季在亞太區正式推出 。

Nunnikhoven 表示:「我們很高興能成為 AWS 商業夥伴的一分子,並且堅信趨勢科技的雲端安全防護方案是最棒的。我們的團隊創造了一套完整的方法來協助您達成您在 AWS 雲端的安全責任。我們在產品當中融入環境感知能力,讓您輕輕鬆鬆就能部署符合您企業需求的安全防護,讓防護更穩定,協助您將安全防護自動化,這樣您就能專注在自己的事業上。」

 

進一步了解:https://www.trendmicro.com/us/business/cloud-data/index.html


[1] Experton Group – 「2013 年雲端廠商評比」(Cloud Vendor Benchmark) 報告

繼續閱讀

第三季安全綜合報告:看不見的網路和一百萬個手機惡意軟體

今年第三季的鎂光燈聚焦在網路的隱藏部分,雖然它們可能寧願保持隱藏。網路犯罪分子所喜愛的服務,像是數位貨幣 – Liberty Reserve和網路市場 – 絲路(Silk Road)都在本季被關閉。就在這一季結束後沒多久,惡名昭彰的黑洞漏洞攻擊包製作者 – Paunch也被逮捕,大量地減少相關的垃圾郵件攻擊活動。

 

網路犯罪有增無減

 

儘管有這些成果,但是網路犯罪在本季繼續成長。網路銀行木馬被偵測到的數量達到創紀錄的新高,本季有超過20萬起感染報告。美國、巴西和日本等三個國家佔了這些感染的一半以上。

 

網路銀行木馬被偵測到的數量達到創紀錄的新高,本季有超過20萬起感染報告

 

圖一、網路銀行感染數量

 

行動惡意軟體越過一百萬大關

趨勢科技2013年預測裡指出,我們相信高風險和惡意Android應用程式數量將會在今年超過一百萬。這也在本季發生了。加值服務濫用應用程式仍然是最常見的威脅。它們會在未經使用者同意下就註冊需要付費的加值服務,強調出行動惡意軟體已經成為主流,更不停地發展壯大,影響世界各地更多的使用者。

作為行動平台日益成熟的一個標誌,Android被發現了一個重大漏洞,而且帶來嚴重的風險。這個「master key」漏洞可以讓攻擊者將正常的應用程式「升級」成惡意的版本。

繼續閱讀

CrytoLocker 勒索軟體的增長和黑洞漏洞攻擊包作者被逮有關

過去幾週裡,我們看到了勒索軟體CryptoLocker對許多使用者來說成為了一個重大的威脅。我們對於這威脅的監測已經揭露出它是如何散播,特別是它和垃圾郵件與ZeuS的關連。然而,這威脅出現的背後看來有比一開始所發現還要多的故事。

hacker 偷錢

我們發現一個它如此增長的可能因素:黑洞漏洞攻擊包作者Paunch被逮捕。Paunch被逮捕導致使用這漏洞攻擊包的垃圾郵件攻擊活動大量地減少。明顯地,這樣會造成垃圾郵件發送的中空期,但垃圾郵件發送者不會突然就停止發送垃圾郵件。因此,他們需要一些替代品,那會是什麼?

其中一個替代品就是UPATRE。我們發現主要發送黑洞漏洞垃圾郵件的Cutwail 殭屍網路開始在十月左右夾帶UPATRE(最終會導致CryptoLocker),也就是Paunch被逮捕的當月。事實上,我們已經監測到多個IP地址和這轉移有關連 – 在作者被逮前寄送黑洞漏洞垃圾郵件,被逮後發送 CryptoLocker垃圾郵件。 繼續閱讀

IT 部門如何以更少的資源來做更多的事?是時候重新檢視你的安全模型了

Forrester:組織部署單一廠商模式可以:

  • 減少60%需要被修復的安全問題
  • 修復時間減少50%
  • 每周減少120個最終使用者小時在安全相關的停機或緩慢問題

SMB office 辦公室

許多組織仍在沿用多年前所開發的安全模式,而無法反應解決今日挑戰所需的改變,包括威脅形勢的改變,經濟狀況的改變,以及需要以更少資源做更多事的改變。

威脅形勢已經從過去的病毒爆發、垃圾郵件(SPAM)和惡意軟體,到今日的網路犯罪分子會針對特定使用者、群組或組織來製造魚叉式網路釣魚(Phishing)攻擊,包含針對受害者所設計的客製化惡意軟體或客製化連結。如果組織沒有改變他們的安全模型以因應這些改變,成為下一個受害者的風險就會提高。

隨著世界市場繼續著全球性經濟衰退,預算也繼續受到限制,IT部門必須不斷地更少的資源來做更多的事。IT安全預算花費會基於舊的模式,正因為如此,很可能讓組織沒辦法利用規模經濟和商品化特定的解決方案。

在過去幾年間,我們看到需要有一種新的方法來面對這些改變,檢視你目前的安全模型,問問自己底下的問題以幫助你降低風險和成本。

  • 你是否將主要預算都花在解決兩三年前重大威脅的解決方案上,像是垃圾郵件。但現在你可能要更專注於反釣魚攻擊上?
  • 你是否將主要預算都花在現在已經被大量商品化的安全解決方案上?
  • 你是否支持多家防毒廠商解決方案,因為在過去,你認為一家沒有偵測到惡意軟體,另外一家就可以偵測到?

我們在今日經常看到這些狀況,並且會建議一個不同的模型,來同時面對威脅形勢的轉變以及經濟狀況的改變。

趨勢科技委託Forrester研究公司採訪四家全球性的公司,以確定採不採用單一廠商模式會不會提高他們的安全投資 – 從更好的保護和修復角度,以及從投資回報率的角度來看。他們發現,組織部署單一廠商模式可以達到以下幾點:

  • 減少60%需要被修復的安全問題
  • 修復時間減少50%
  • 每周減少120個最終使用者小時在安全相關的停機或緩慢問題上

更重要的是,Forrester計算出這些公司平均有146%對初始投資的回報率,平均投資回收期只需5.3個月。當今的威脅形勢需要能夠在最短時間內保護公司,對抗新的客製化攻擊。因此,可以整合攻擊期間內所需要面對的廠商數量,可以讓他們更快的去處理問題。將組織內所使用的安全解決方案整合成單一廠商解決方案,並使用單一的管理控制台,讓企業對於正在發生的事情更有能見度,花更少的時間去學習和處理多個廠商的解決方案。結果不言自明,這些企業現在可以用更少的資源做更多的事情,無論是用來管理整個解決方案的時間,或是用來識別並解決新威脅所所花費的時間。

趨勢科技一直都表現出自己是應對新威脅速度最快的安全廠商之一。

NSS實驗室是唯一在測試裡加入防護反應時間因子的測試單位。從三個獨立的測試中,趨勢科技顯示出最快的反應時間。

資料來源:NSS實驗室2009年消費者報告(防護反應時間結果)
資料來源:NSS實驗室2009年消費者報告(防護反應時間結果)

資料來源:NSS實驗室2009年消費者報告(防護反應時間結果)

繼續閱讀

利用主機入侵偵測提高Hadoop安全性-2

正如我們在前面文章所提到的,我們可以利用OSSEC來偵測現有Hadoop和HBase系統檔案的完整性。OSSEC會產生紀錄,讓系統管理員用以檢查各種系統事件。

big data5

值得注意的是,各種巨量資料系統(Big Data System),不只是Hadoop和HBase,都會產生驚人數量的記錄資料。至少可以說,要安裝一個巨量資料叢集並不簡單,這些日誌對於幫助IT人員建立叢集和診斷系統問題上發揮至關重要的作用。巨量資料系統管理員實際上已經習慣於透過檢查日誌檔來找到潛在問題。

OSSEC可以監控的重要Hadoop安全事件有:

  • HDFS作業失敗
  • HBase登錄
  • Kerberos票證授予
  • Root登入節點

設定OSSEC代理程式來監控一個或多個Hadoop日誌檔,需要將日誌檔案目錄路徑加入代理程式的ossec.conf檔案。對於HDFS NameNode,我們希望監控hadoop-hdfs-namenode-{host}.log檔,{host}是NameNode名稱或IP地址。這檔案通常位在/var/log/hadoop-hdfs/目錄。同樣地,對於HMASTER節點,我們會想要監控/var/log/hbase目錄下的hbase-hbase-master-{host}.log。這樣就可以從OSSEC代理程式取得我們Hadoop和HBase的日誌檔案到伺服器上。

下一步就是撰寫解碼規則來解析日誌,還有警報規則來根據日誌內容生成警報。解碼器用正規表示法組成,讓OSSEC伺服器用來找到感興趣的內容,以及將文字對應到伺服器所能辨認的標準欄位。規則讓伺服器可以檢驗解碼後的欄位來找到指示重要安全事件的內容。當一個給定規則找到來自某一解碼器的事件資料,伺服器會生成一個由規則定義的警報。

視覺化Hadoop的安全事件

 

視覺化OSSEC安全警報最簡單的方法是不斷地顯示警報日誌檔。雖然這也行,但它就像是在看表格內的原始資料。很難或幾近不可能去從資料中找出趨勢。

OSSEC可以透過syslog來發送警報資料給任何安全資訊和事件管理程式(SIEM),提供syslog相容性。我們喜歡用的一個SIEM是Splunk,和一個開放原始碼應用程式稱Splunk for OSSEC。這可以直接從Splunk的應用程式主控台來安裝到OSSEC伺服器上。

Splunk for OSSEC是設計用來取得OSSEC警報,然後歸納總結跟進行趨勢分析。下面顯示的是Splunk上OSSEC儀表板的例子。你可以在這裡看到事件隨著時間推移的摘要,包括之前所討論到的HBase和HDFS事件。

 

 圖二、Splunk for OPSSEC

(圖片來自https://vichargrave.com/securing-hadoop-with-ossec/

  繼續閱讀