小型企業 - 資安趨勢部落格

五個給小型企業關於雲端運算的迷思與事實

2012 年 12 月 14 日2012 年 12 月 06 日趨勢科技 TrendMicro

雲端技術已經被證實對各種規模的企業都有好處 – 小型企業經營者可以利用雲端技術來節省時間和金錢，同時提高員工的工作效率。雲端技術可以加快部署，需要最少的技術能力去了解如何管理，成本也比用在公司內部的技術來得更少。這些優點讓小型企業老闆可以關注在真正重要的事情上：他們的業務成長。

但是資料外洩、信用卡號碼竊取和身份盜用：我們每天都會聽到這些事情。當使用雲端技術時，小型企業老闆需要知道什麼來保護自己、他們的生意和他們的員工？這裡有五個小型企業老闆需要了解的關於雲端運算的迷思。

迷思一：小型企業老闆已經知道什麼時候是在使用雲端技術。

事實：下面是小型企業每天都會使用的雲端技術的例子，但通常不被認為是基於雲端的服務：

Facebook
Twitter
Gmail
DropBox
Office 365
Google Apps
基於網頁的服務（網路銀行/付款，Amazon.com等）

如果你正在使用這些服務，你已經體驗了易於使用、低成本又能提高生產力的雲端技術。

迷思二：雲端服務很昂貴。

事實：使用雲端技術的小型企業老闆會比使用其他技術花費低上20％。

雲端服務供應商替小型企業老闆拿掉了佈署相同技術在公司內部所會面臨的所有麻煩、費用和管理問題。雲端供應商會建立自己的基礎設施以及許多的備援伺服器，如果小型企業老闆要自己購買、佈署和維護的話將會非常昂貴。這些都需要小型企業老闆花費時間和金錢，也讓他們無法把重心放在發展自己的業務上。

繼續閱讀

小型企業是網路犯罪者的大事業-每個小型企業都應知道的五件關於網路犯罪的事

2012 年 11 月 22 日2015 年 07 月 06 日趨勢科技 TrendMicro

每個小型企業都應知道的五件關於網頁威脅和網路犯罪的事

對於網路犯罪者來說，沒有任何企業會太小而不值得花費力氣。小型企業雖然不像一般大企業那麼受人矚目，但小型企業也無力承擔輕忽網路犯罪威脅的代價。儘管外界流傳著小型企業對這類安全威脅免疫的說法，但現在該是正視問題的時候了。

1. 任何企業組織，不論規模大小，都可能成為網路犯罪的受害者。

大多數的小型企業都不相信自己會成為網路犯罪的目標。根據 Visa Inc. 與 National Cyber Security Alliance 一項針對 1,000 位小型企業老闆的調查，有 85% 的老闆相信大型企業比他們更容易成為目標。超過一半 (54%) 的受訪者有自信他們的準備比大型企業更充份，更有能力保護公司與客戶資料。小型企業或許會認為：網路犯罪通常不是鎖定很大的企業，就是鎖定一般消費者，因此自己不可能成為歹徒的目標。然而，事實上，只要是有利可圖而且利潤豐厚，網路犯罪者才不管是超大型企業、小型企業或一般消費者。他們對任何目標都一視同仁。只要是系統存在著安全漏洞，任何目標對網路犯罪來說都是一樣的。

2. 小型企業同樣也擁有網路犯罪者所感興趣的資訊。

小型企業或許會認為他們的內容安全威脅並不像大型企業那麼嚴重。但事實上，根據 Council of Better Business Bureaus 在 2010 年 5 月所發表的研究，7.4% 的小型企業老闆都曾經遇到網路詐騙。

小型企業同樣也擁有員工和客戶資訊，因此就各方面來說，同樣也是網路犯罪的重要目標。從身分證號碼到網路銀行帳號密碼都是歹徒所覬覦的資料 (完整的失竊資料排名請參考下圖)。

小型企業同樣也擁有網路犯罪者所感興趣的資訊

3.網路犯罪者平均每一秒釋出 3.5 個專門攻擊小型企業的新威脅。

根據報告指出，專門針對小型企業的網路攻擊數量在 2010 年初竄升了 600%。趨勢科技的專家表示，此現象的背後至少有兩項因素。首先，規模較大的企業皆已投入更多資金來加強網際網路安全，迫使網路犯罪者將目標轉向同樣有利可圖的小型企業。其次，小型企業數量龐大，光是美國境內就有超過 2 千 5 百萬家小型企業。除此之外，小型企業還有一項吸引網路犯罪者的原因，那就是小型企業沒有足夠的預算可以聘請專門的 IT 團隊，更不用說成立專責部門，來維持資訊安全。

曾經有小型企業因為遇到網路犯罪而損失數十萬美元，而歹徒所用的工具就是 t僵屍網路/傀儡網路 Botne 程式。Bot 程式是一種會暗中潛入個人電腦的惡意程式，一旦潛入，歹徒就能從遠端遙控電腦並竊取重要資料而不被員工或客戶發覺。

2011 年 1 月，美國聯邦調查局 (FBI) 在一份報告中指出，有一家美國企業因為觸發了電子郵件所挾帶的惡意程式而自動從銀行帳戶轉出了 15 萬美元給歹徒。該惡意程式就是 ZeuS/ZBOT 家族的木馬程式之一，此惡名昭彰的惡意程式家族專門詐騙小型企業。

趨勢科技TrendLabs 的專家也曾見過專門針對小型企業而設計的網路釣魚Phishing攻擊和漏洞攻擊。這類詐騙經常利用一些稅務相關的電子郵件，並且假冒政府機關的名義，其手法通常是利用客戶投訴或威脅採取法律行動來引起被害人恐慌。而漏洞攻擊則是專門攻擊常見合法應用程式的漏洞。

只要小型企業能確保每一位員工 (不論技術程度如何) 都能隨時掌握網路犯罪的最新動態，就更能防範上述攻擊。企業應該教育員工有關最新的詐騙手法，鼓勵員工養成良好習慣，例如：只要是來路不明的可疑郵件，千萬不要回覆，也不要開啟附件檔案，更不要點選其中的連結。此外，小型企業最好能貫徹一套內部安全政策來強化其網路安全與銀行交易作業原則。最後，小型企業也必須時時提高警覺，小心防範可疑的網路活動，並且做好應變的準備，以防萬一真的遭到歹徒入侵。

4. 儘管遵規需要高昂的成本，但未遵守法規的可能代價更高，而且讓網路犯罪有機可乘。

並非所有的小型企業都已意識到遵規的問題。有些甚至認為自己的企業已經符合法規要求，並且已做好安全措施。然而，根據 2011 年發表的一份中小企業 (SMB) 資料安全與詐騙預防策略調查顯示，美國有將近一百萬家小型企業皆曾經是資料安全詐騙的受害者。

不遵循法規的結果，最終可能導致生產力損失、業務中斷以及高昂的法律成本。對於跨國性的企業來說，遵規的成本大約在 350 萬美元之譜5，相對於不遵循法規的潛在損失，這只不過是小小的代價。小型企業如果以為自己不必遵守資料保護法規，那就大錯特錯。如同大型企業，小型企業也需處理人員、流程與技術的問題，而這些層面的網路犯罪威脅與大型企業沒什麼不同。

5. 小型企業正逐漸邁向雲端，也開始擁抱雲端安全，但網路犯罪者也不是省油的燈。

雲端運算已經不再是一種口號，而是既成的事實。今日中小企業整體雲端市場價值大約在 86 億美元左右6 ，而且在 2014 年將達到1,000美元之譜。此外，高達 74% 的中小企業打算在 2011 年提高他們的雲端式軟體支出，這一點比 2010 年底的情況明顯大幅增加，而當時中小企業採用雲端運算的比例大約只有 14%。

繼續閱讀

小型企業的雲端之路，到頭來還是回到原點

2012 年 11 月 22 日2012 年 11 月 22 日趨勢科技 TrendMicro

作者：Greg Boyle 趨勢科技全球產品行銷經理

許多小型企業到目前依然對雲端運算抱持著懷疑的態度。他們懷疑雲端運算是否能在不招來嚴重風險的情況下提升他們的獲利能力。首先，讓我們來定義一下小型企業所謂的雲端運算。一般大家所認知的雲端運算有兩種：其一是軟體服務 (software-as-a-service)，其二是基礎架構服務 (infrastructure-as-a-service)。
所謂的軟體服務 (簡稱 SaaS)，就是將您平常辦公室所安裝的軟體改從網際網路來供應。有時候也稱為「代管」。

最常見的就是客戶關係管理 (簡稱 CRM) 系統。去年，全球有 26% 的 CRM 支出已經移轉到 SaaS 上，而且此一比例預計在 2015 年將成長至 33%。
而基礎架構服務 (簡稱 IaaS) 則是您向廠商租用資料中心的伺服器來執行您的 IT 環境，而不需自己購買硬體設備。最常見的 IaaS 範例就是網站代管服務。
此外，您可能還會聽到「公共雲端」或「私人雲端」這兩個名詞，簡單來說，公共運端就是將共用的運算資源放在您的企業外部，透過網際網路來存取。而私人雲端則是在您自己的公司內部建立一個資源共用基礎架構，然後透過內部網路服務公司內的所有使用者，而不在每一台使用者電腦上安裝軟體。

近十年內成立的小型企業一開始就是雲端的使用者

許多近十年內成立的小型企業，其實一開始就是雲端的使用者，只是企業並未意識到這點而已。這麼說並非故弄玄虛。我指的就是電子郵件和網站。
當新公司成立時，老闆採購了電腦之後的第一個想法，通常都是「設定一個電子郵件信箱」，再來就是「架設一個公司網站」，至於「購買一台伺服器」，則不是最優先的考量。事實上，90% 的小型企業都沒有自己的伺服器。
那麼，小型企業的電子郵件和網站由誰代管？一般來說是他們的網際網路服務供應商 (ISP)，這通常都隨附在寬頻網路連線套餐之內。基本上，這類由公共雲端所提供的應用程式與共用資源，就成了小型企業的 IT 基礎。繼續閱讀