標籤: 漏洞

根據預測，到了 2027 年，超過  90% 的全球機構都將採用容器化應用程式，而 63% 的企業在 2023 年就已經採取雲端原生策略。一開始，人們覺得移轉至雲端應該只是基礎架構上的改變，傳統的資安原則應該依然適用。

在當時，惡意程式與漏洞攻擊是 IT 與系統管理員、開發人員以及營運團隊必須對抗的主要威脅。對於網路資安人員來說，分析針對性攻擊中的惡意程式，在滲透測試當中研究漏洞攻擊手法，都是標準的作業程序，無須大幅改變其資安方法。

然而這些假設與事實相去甚遠，企業移轉至雲端並採用容器技術，事實上帶來了非常多的變數，打亂了業務營運需求與資安優先要務之間的平衡。比方說，技術層面 (如網路組態設定) 及策略性元素 (如法規遵循與上市時程) 的管理變得更加困難。這樣的挑戰讓企業暴露於一種隱密但卻代價高昂的威脅，並且正快速成為雲端最新的重大漏洞，那就是：組態設定錯誤。

以一道可以解決各種權限問題、但卻會提供過多存取權限的萬能指令為例，許多系統管理員 (甚至是經驗最豐富的管理員) 都會使用它作為快速解決問題好讓網站運作的辦法。但它實質上會讓任何人都能讀取、寫入及執行某個的檔案或目錄，等於不考慮資安後果。

轉移中的雲端資安典範

雲端服務供應商 (CSP) 採取的是一種責任共同分擔的資安模型，供應商和客戶各有其必須承擔的責任。基本上，CSP 負責確保「雲端本身」的安全，包括雲端服務的基礎架構、硬體與軟體。客戶則負責「雲端內部」的安全，包括客戶的資料、應用程式與使用者存取。

CSP 必須確保實體基礎架構的安全性，包括：伺服器、儲存裝置以及網路元件，包括採用防火牆、實體存取控管、定期的資安稽核等措施。根據服務本身的性質以及責任共同分擔原則，CSP 有時也負責修補作業系統。

繼續閱讀

ZDI主動並即時管理漏洞是降低資安風險的重要關鍵

【2024年6月26日，台北訊】全球網路資安領導廠商趨勢科技(東京證券交易所股票代碼：4704)宣布，根據最新的Omdia報告，2023年該公司領先業界發現了全球60%的漏洞。

參閱Omdia「量化2023年公開漏洞市場」完整報告，請點擊：https://www.trendmicro.com/explore/omdia-research

趨勢科技營運長Kevin Simzer表示：「隨著商業運營、關鍵基礎設施和日常生活越來越仰賴於軟體，這些系統的安全防護變得前所未有的重要。趨勢科技Zero Day Initiative (ZDI)漏洞懸賞計畫透過積極且全面的漏洞揭露方式，同時結合我們深厚的專業知識，客戶能夠比以往更快速地受到保護。此領導地位幫助降低風險並明顯為企業降低成本花費，強化我們致力於提升全球資訊安全和支持業務連續性的承諾。」

Omdia針對9個公開研究和揭露漏洞的全球企業組織進行獨立比較分析。2023年共分析了1,211個漏洞揭露並提供CVE漏洞資訊，發現趨勢科技所揭露的漏洞比其對手多了2.5倍以上。

ZDI已連續16年蟬聯全球最大廠商中立的漏洞懸賞計劃，同時，趨勢科技自2007年首次市場分析即持續引領漏洞管理市場業界。ZDI所研究的漏洞資訊和揭露已整合至Trend Vision One™平台中，其功能包括XDR、攻擊面管理(ASM)與虛擬補丁，能較其他競爭對手為客戶提供更快速且安全的防護，如：一旦發現漏洞並對外公布時(通常是在官方補丁發布的前幾週甚至幾個月)即同時啟動網路IPS防護。

整體而言，Omdia觀察2023年所有被揭露的漏洞威脅中，有10%被分類為嚴重等級、69%高風險、21%中等風險、不到1%為低風險。這些研究凸顯出該計畫對發現並說明重大漏洞方面的成功。

2023年因初始存取未修補的漏洞而造成的資料外洩的平均損失達到了445萬美元的歷史新高。這一數字強調了資安事件對組織所帶來的重大財務影響，而這些損失的成本包括了偵測和升級、通知、事後風險回應以及業務損失。隨著網路威脅日趨複雜，對組織的財務影響也變得越來越嚴重。趨勢科技長期倡導的主動管理漏洞並即時揭露漏洞是減輕這些風險的關鍵要角。