企業必須自行承擔保護雲端應用程式使用者與關鍵資料的責任,本文說明如何結合雲端存取安全代理 (CASB) 及零信任 (Zero Trust) 技術來維護資料的控制權。
更多有關零信任的文章:
繼續閱讀標籤: Saas
趨勢科技發表業界首創且唯一的資安營運 (SecOps) 解決方案 消彌開放原始碼漏洞
Trend Micro Cloud One 採用Snyk建構 透過提升資安可視性及自動追蹤 節省漏洞偵測時間
【2021年5月17日,台北訊】全球網路資安領導廠商趨勢科技 (東京證券交易所股票代碼:4704) 今天發表一項與雲端原生應用程式資安領導廠商 Snyk 共同打造的資安防護服務 (SaaS)。這項業界首創的服務是專為持續掌握開放原始碼漏洞而設計,讓企業強化風險管理,支援數據驅動導向決策。
Trend Micro Cloud One – Open Source Security by Snyk 是 Cloud One 服務陣容的最新成員,也是第一個加入該平台的合作夥伴服務,同樣在 AWS Marketplace 上架。
繼續閱讀勒索病毒Princess Evolution 找合夥人,以抽六成贖金為號召
趨勢科技從7月25日起就持續地觀察到惡意廣告利用Rig漏洞攻擊套件來散播挖礦( coinmining )病毒及GandCrab勒索病毒Ransomware (勒索軟體/綁架病毒)
。而在8月1日,我們注意到Rig網路流量出現了當時未知的勒索病毒。深入研究這看似新的勒索病毒並檢查它在Tor網路內的勒贖通知網頁,看到它被稱為Princess Evolution(趨勢科技偵測為RANSOM_PRINCESSLOCKER.B),這是2016年出現的Princess Locker勒索病毒的新變種。根據最近在地下論壇的廣告,它的作者似乎要將Princess Evolution以「勒索病毒服務」(Ransomware as a Service,簡稱 RaaS)的方式經營,並且在找合作夥伴。
「勒索病毒服務」(Ransomware as a Service,簡稱 RaaS)
多年以來,「網路犯罪服務」(Cybercrime as a Service,簡稱 CaaS) 已在深層網路(Deep Web)地下論壇當中蔚為一股風潮。一些缺乏經驗的網路犯罪分子 (坦白說也是出於懶惰),只要向一些老手購買 CaaS 工具和服務,就能輕輕鬆鬆發動一些惡意程式、垃圾郵件(SPAM)、網路釣魚(Phishing)或其他惡意攻擊行動,一切只需點點滑鼠即可。這些現成的工具套件使用起來幾乎不費力氣、也不需花大錢、更不需經驗,就連只會寫寫腳本的初階駭客也能上手,但卻可以帶來高報酬。
而「勒索病毒服務」(Ransomware as a Service,簡稱 RaaS) 造成新的勒索病毒 Ra家族的數量大增,也讓原本大多針對個人使用者的攻擊,開始對企業造成嚴重威脅。 繼續閱讀
Google Apps Script 漏洞,恐讓駭客經由軟體服務 (SaaS) 平台散布惡意程式
根據資安研究人員指出,Google Apps Script 有某個資安漏洞可能讓駭客和網路犯罪集團經由 Google Drive 散布惡意程式。由於這項漏洞是發生在軟體服務 (Software-as-a-Service,簡稱 SaaS) 平台端,因此攻擊行動不易偵測,且攻擊時不需假使用者之手,因此使用者可能不會察覺。
Google Apps Script 是一個 JavaScript 開發平台,可讓程式設計人員開發網站應用程式以及 Google 軟體服務平台 (如 Google Docs、Sheets、Slides、Forms、Calendar 和 Gmail) 的延伸功能。
該漏洞跟 Google Apps 的分享與自動下載功能有關
根據研究人員指出,這項漏洞跟 Google Apps 的分享與自動下載功能有關。其攻擊手法與傳統利用 Google Drive 來存放和散布惡意程式的方式迥異。
在此手法當中,駭客先發送一份 Google Doc 文件給目標使用者來當成社交工程誘餌。當該文件被開啟時,會要求使用者執行一個 Google Apps Script 腳本,接著此腳本會從 Google Drive 下載惡意程式。此一方式跟一般 Office 文件內嵌的巨集惡意程式有異曲同工之妙。
[TrendLabs 資訊安全情報部落格:qkG 檔案加密病毒:可自我複製的文件加密勒索病毒]
這項研究發現,突顯出越來越多企業採用的 SasS平台所潛藏的資安風險。事實上,軟體服務 (SaaS) 與基礎架構服務 (Infrastructure-as-a-Service,簡稱IaaS) 是 2017 年公有雲服務成長的兩大動力,總營收達到 586 億美元。只要建置得當,SaaS 可提供企業彈性、客製化、可擴充的解決方案,實現企業流程及營運最佳化。
SaaS 開始普及,引來網路犯罪集團的覬覦 繼續閱讀
小型企業的雲端之路,到頭來還是回到原點
作者:Greg Boyle 趨勢科技全球產品行銷經理
許多小型企業到目前依然對雲端運算抱持著懷疑的態度。他們懷疑雲端運算是否能在不招來嚴重風險的情況下提升他們的獲利能力。首先,讓我們來定義一下小型企業所謂的雲端運算。一般大家所認知的雲端運算有兩種:其一是軟體服務 (software-as-a-service),其二是基礎架構服務 (infrastructure-as-a-service)。
所謂的軟體服務 (簡稱 SaaS),就是將您平常辦公室所安裝的軟體改從網際網路來供應。有時候也稱為「代管」。
最常見的就是客戶關係管理 (簡稱 CRM) 系統。去年,全球有 26% 的 CRM 支出已經移轉到 SaaS 上,而且此一比例預計在 2015 年將成長至 33%。
而基礎架構服務 (簡稱 IaaS) 則是您向廠商租用資料中心的伺服器來執行您的 IT 環境,而不需自己購買硬體設備。最常見的 IaaS 範例就是網站代管服務。
此外,您可能還會聽到「公共雲端」或「私人雲端」這兩個名詞,簡單來說,公共運端就是將共用的運算資源放在您的企業外部,透過網際網路來存取。而私人雲端則是在您自己的公司內部建立一個資源共用基礎架構,然後透過內部網路服務公司內的所有使用者,而不在每一台使用者電腦上安裝軟體。
近十年內成立的小型企業一開始就是雲端的使用者
許多近十年內成立的小型企業,其實一開始就是雲端的使用者,只是企業並未意識到這點而已。這麼說並非故弄玄虛。我指的就是電子郵件和網站。
當新公司成立時,老闆採購了電腦之後的第一個想法,通常都是「設定一個電子郵件信箱」,再來就是「架設一個公司網站」,至於「購買一台伺服器」,則不是最優先的考量。事實上,90% 的小型企業都沒有自己的伺服器。
那麼,小型企業的電子郵件和網站由誰代管? 一般來說是他們的網際網路服務供應商 (ISP),這通常都隨附在寬頻網路連線套餐之內。基本上,這類由公共雲端所提供的應用程式與共用資源,就成了小型企業的 IT 基礎。 繼續閱讀