資安趨勢部落格 - 手機病毒/電腦病毒防禦密技,不只守護網路安全,還提供各種實用3C實用小秘訣,由資安/防毒軟體領導品牌趨勢科技 Trend Micro 每日更新

《APT 攻擊》91％的目標攻擊利用電子郵件作為進入點

2014 年 07 月 14 日2015 年 07 月 08 日趨勢科技 TrendMicro

一封冒稱健保局的「二代健保補充保險費扣繳辦法說明」,導致萬筆中小企業個資遭竊;
一封偽裝銀行交易紀錄信件,導致南韓爆發史上最大駭客攻擊;
996 名公僕因為一封標題為「李宗瑞影片，趕快下載呦！」信件, 好奇點閱中了資安陷阱;

Ponemon的研究計算出一次目標攻擊的平均成本是嚇人的 580萬美元也就不令人驚訝了，光是從EMC和Target事件所看到的成本就是10倍以上了。

APT目標標攻擊通常會先充分研究過並以相關的電子郵件形式出現，其中包含惡意電子郵件附加檔案或網址來合成引誘收件者打開的內容。他們會被誤導去相信電子郵件的來源和內容真實無誤，進而受騙和在無意中將進階惡意軟體安裝到他們的電腦上，從而成為攻擊者在網路內的灘頭堡。從這一刻開始，攻擊者可能會取得敏感的客戶資料、商業秘密或無價的知識產權。

阻止電子郵件目標攻擊：移除攻擊者最容易進入的路徑

「進階持續性滲透攻擊」（Advanced Persistent Threat，以下簡稱APT攻擊）是今日企業所面臨的最大威脅之一。一場完美風暴已然形成。結合了世界各地具備創造力和靈活力的網路犯罪分子；進階的攻擊工具包、基礎設施以及隨時在線上待命的專業能力；加上傳統的安全防禦並無法偵測未曾見過的威脅，都將攻擊的風險推到前所未有的高度。高知名度的攻擊事件，像是零售商Target和百貨公司Neiman Marcus的大量資料外洩事件都提醒了IT和業務主管相關危險。

從此一問題延伸開來，根據趨勢科技TrendLabs的研究，有91％的 APT攻擊利用電子郵件作為開始的進入點。此外，最近Ponemon的研究表示有78％的針對性電子郵件攻擊利用嵌入在附件的惡意軟體。根據這幾點，攻擊者顯然認為電子郵件是阻力最小的攻擊路徑，可以用來避開現有的安全防禦，進而從你的網路外洩資料。

公司如果不能真正解決針對性電子郵件攻擊的問題，付出的代價並不只是重裝幾次電腦或從經驗中變聰明一點。更嚴重的是一些潛在的影響，包括來自客戶、供應商和股東的訴訟、罰款、收入損失和削弱品牌價值。所以最近Ponemon的研究計算出一次APT攻擊的平均成本是嚇人的580萬美元也就不令人驚訝了，光是我們從 EMC和 Target事件所看到的成本就是10倍以上了。

建立對未知的能見度

IT安全專家所面臨的問題是，目前的電子郵件安全閘道對於嵌入在郵件附檔的進階惡意軟體和郵件內嵌網址沒有識別能力。事實是，它們沒有能力解決這個問題。

原因是，APT攻擊通常會先充分研究過並以相關的電子郵件形式出現(請參考:服貿議題成社交工程信件誘餌!! 及針對台灣政府單位的 RTLO技術目標攻擊)，其中包含惡意電子郵件附加檔案或網址來合成引誘收件者打開的內容。他們會被誤導去相信電子郵件的來源和內容真實無誤，進而受騙和在無意中將進階惡意軟體安裝到他們的電腦上，從而成為攻擊者在網路內的灘頭堡。從這一刻開始，攻擊者可能會取得敏感的客戶資料、商業秘密或無價的知識產權。

對組織來說，關鍵是讓攻擊者無法輕易地去侵入公司網路，不要讓電子郵件被當作切入點。

Deep Discovery Email Inspector解決針對性電子郵件攻擊

今日資源和預算都有限的現實環境下，解決問題必須透過加強現有投資來創造槓桿效應。資安也是一樣。考慮到這一點，趨勢科技發展出一套內部部署專用的解決方案，通過增強現有電子郵件安全閘道來解決針對性電子郵件攻擊問題。透過單一專用的設備，Deep Discovery Email Inspector無縫地跟你現有的電子郵件基礎設施整合。無需變動你現有電子郵件閘道或第三方安全工具的政策、管理或設定。根據趨勢科技TrendLabs的研究以及他們對APT攻擊和攻擊者行為的瞭解，利用各種特製演算法和專門偵測方式來偵測和封鎖含有可疑網址或嵌有進階惡意軟體之電子郵件附件的針對性電子郵件攻擊。

下面是阻止針對性電子郵件攻擊的解決方案還能做到的部分：

電子郵件信譽分析：利用趨勢科技主動式雲端截毒服務 Smart Protection Network來阻止已知可疑的電子郵件來源、網址和檔案。繼續閱讀

Android 並非唯一受害者， iOS 也遭遇漏洞攻擊

2014 年 07 月 11 日2016 年 01 月 25 日趨勢科技 TrendMicro

惡意 App 程式和網站威脅在經過多年的急速成長之後，行動裝置威脅在2014年第一季終於開始出現成熟的跡象。除了原本的行動裝置威脅之外，Android™ 平台還出現了可能讓裝置「變成磚塊」(完全無法使用) 的軟體漏洞。

最近，一些軟體漏洞相關的事件證明，即使是自訂的 App 程式權限也可能被駭客躲過。一個最新發現的 Android 平台漏洞可能導致裝置陷入永無止境的重新開機循環，變成完全無法使用的「磚塊」。

不過，Android 並非唯一的受害者，第一季 iOS 使用者也同樣遭遇到所謂的「goto fail」漏洞。此漏洞一旦被攻擊成功，iOS 系統上用來將網際網路連線加密以防止網站連線遭到竊聽或挾持的 Secure Sockets Layer (SSL) 功能將因而失效。結果呢？任何使用者透過公共 Wi-Fi 網路發送、張貼的資料或任何線上活動，都可能被歹徒看光光，甚至遭到惡意篡改。

「越來越多的網路犯罪者開始轉移目標，紛紛搭上行動裝置的熱潮與普及列車，更何況行動裝置不像電腦那樣受到嚴密防護。未來我們勢必看到更多行動裝置平台的漏洞，尤其是 Android，因為該平台擁有廣大的使用族群。」

—Kenny Ye (行動裝置威脅研究員)

萬物聯網時代，企業必要掌握的資安四大面向

萬物聯網資訊安全中心　　多層次的資訊安全中心控管
萬物聯網駭客攻防手法　　深度分析APT攻擊，建立完整的防禦架構
萬物聯網雲端防護架構　　私有雲、公有雲、混合雲的資訊安全
萬物聯網行動安全機制　　企業行動裝置安全策略

當萬物聯網IoE(Internet of Everything)正待崛起，美國著名研究機構更看到比現今經濟大上30倍的發展契機；引領企業資安布局的您，該如何預見具前瞻價值的資安趨勢，為「萬物可聯網‧無處不資安」的時代及早準備？【即刻報名!!CLOUDSEC 2014企業資安高峰論壇】

物聯網 (IoT)安全趨勢:駭客經由銷售櫃台 (POS) 系統發動大規模資料外洩奇襲

2014 年 07 月 10 日2016 年 01 月 25 日趨勢科技 TrendMicro

在零售業一起可能是有史以來規模最大的資料外洩事件當中，駭客竊取了大約 4,000 萬名客戶的信用卡/現金卡資料。該零售業者總計大約有 7,000 萬名客戶的個人資料落入駭客手中，歹徒成功入侵了數十年如一日的老舊銷售櫃台 (POS) 系統網路。

然而，資料外洩事件並非僅侷限於美國，南韓一家金融監理機構也在一場類似的攻擊當中損失了大約 20 萬名客戶的信用卡資料。

POS 系統防護不易，但攻擊上卻相對簡單。這類系統有三種可能的攻擊管道：駭入 POS 裝置、駭入網路通訊、攻擊特定伺服器。事實上，光是本季我們就看到多個 POS 惡意程式家族，包括：會檢查是否有信用卡資訊可竊取的 ALINA、會運用 Tor 洋蔥路由器來隱藏行蹤的 FYSNA，以及會將竊取到的資料上傳至幕後操縱 (C&C) 伺服器的 HESETOX。更糟的是，我們在 2014 年第一季所發現的 POS 惡意程式數量是 2013 年一整年的七倍有餘。

此外，大型資料外洩事件還需花費龐大的資源來處理，因為銀行必須將每張信用卡的更換成本 ( 3 至 5 美元) 乘上受害者數量。

所幸，網路系統管理員可採取一些進階威脅防護方案來保護其 POS 系統網路以防範資料外洩，進而避免發生嚴重的後果。由於每一個網路皆有其獨特性，因此他們可以利用客製化的解決方案和防禦策略來防範攻擊。

「資訊及通訊技術 (ICT) 產業的大多數人在心態上都應假設自己已經遭到入侵。有了入侵應變與矯正措施，企業就能維持正常營運而不怕被疲勞轟炸，也不怕因事件而倒閉。」

—JD Sherry (技術暨解決方案副總裁)

新的物聯網 (IoT) 裝置出現瑕疵
市面上多款物聯網 (Internet of Things，簡稱 IoT) 裝置成了人們放大檢視的焦點，因為研究人員在上面發現了一些大剌剌的漏洞。繼續閱讀

雲端讓資料外洩的機率和成本越來越高

2014 年 07 月 09 日2014 年 07 月 09 日趨勢科技 TrendMicro

資料外洩一直是企業必須面對的一項風險。一位不滿的員工，或者單純的檔案櫃沒有上鎖，就能造成敏感資料外洩，導致高昂的財務、信譽與法律損失。

IT 不斷演化的結果為網路犯罪者帶來許許多多的攻擊管道
儘管如此，隨著 IT 逐漸成為企業各單位的營運核心，這類事件發生的頻率和嚴重程度只會不斷擴大。現在，光是利用網站平台的一個小小漏洞 (如 Adobe Flash)，駭客就能取得寶貴的資訊，掌握登入資訊，或者找出供應鏈上的弱點。近年來的一些大型資料外洩事件包括：

美國 Target 連鎖超市的銷售櫃台系統 (POS) 去年冬天遭網路犯罪者透過一位維護 Target 基礎架構的 HVAC 承包商的人員入侵。
2012 年 LinkedIn 社群網站因網路遭駭客入侵而洩漏超過 6 百萬筆未使用加料雜湊值的密碼 (Unsulted Password)。
可口可樂 (Coca-Cola) 因多部筆記型電腦失竊而遭到突襲，導致 74,000 多筆現職與離職員工資料外洩。

上述資料外洩事件的原因，從 PC 實體安全措施不足到企業網路弱點不等，顯示今日科技化企業在防範攻擊方面所面臨的挑戰涵蓋範圍廣泛。除此之外，雲端運算正逐漸融入 IT 系統當中，使得網路安全工作變得更加複雜，即使雲端現已增加了新的功能來減少 IT 流程與成本，情況依然相同。

根據 IDC 估計，未來六年雲端相關技術將占網際網路及通訊資產支出的 90%。儘管雲端正快速崛起，但它仍舊是多數企業最頭痛的安全問題。

雲端如何導致資料外洩
為何雲端和資料外洩的風險息息相關？基本上，使用某種雲端服務，不論是偏向消費導向 (如 Dropbox) 或是屬於專業人士工具 (如 Adobe Creative Cloud) 或者是企業自動化平台，IT 部門至少必須將一部分的掌控權交給第三方供應商。

JumpCloud 共同創辦人 Rajat Bhargava 告訴紐約時報記者：「毫無爭議地，當您不擁有該網路時，基本上就等於對外開放，而且您無法掌控其軟體。基本上，相較於將資料儲存在企業內部，雲端就是較不安全。」

企業的安全也越來越受制於員工，因為員工會使用一些普遍缺乏安全機制的雲端應用程式與工作流程，進而危及企業敏感資料。例如，2014 年 Ponemon Institute 研究機構發表的「雲端加密趨勢」(Trends in Cloud Encryption) 研究報告指出，雖然幾乎所有受訪者都計劃將公司資訊移轉到雲端，但他們的作法卻很隨便：

59% 的受訪者表示他們在基礎架構服務 (IaaS) 和平台服務 (PaaS) 上存放的資料皆未經過加密。同樣的數字對軟體服務 (SaaS) 而言則是 45%。
26% 的 IaaS/PaaS 資料與 39% 的 SaaS 資料已經過加密，其他資料安全機制則分別涵蓋 15% 與 16% 的應用程式資訊。
19% 的受訪者視 SaaS 安全為客戶和供應商的共同責任。此數字在 IaaS/PaaS 方面則有所不同，僅有 22% 認為供應商須負起完全的責任，這類雲端的安全 (如果稱得上安全的話) 基本上還是靠使用者自己來保障。

如同該機構的研究發現，當企業必須承擔雲端安全的責任時，許多企業做的並不夠。未加密的資料根本就是招人覬覦，一旦失竊，資料便立即可用。想到這點，就不難理解為何雲端能大幅提高動輒數百萬美元的大型資料外洩事件發生風險。

使用雲端可能提高大型資料外洩的發生機率
Ponemon Institute 另一份由 Netskope 贊助的報告提出了一項所謂的「雲端加乘效應」，隨著企業使用越來越多的雲端服務，企業暴露在資安事件的風險就越高。基本上，每增加 1% 的雲端服務，資料外洩的機率就上升 3%。

Netskope 創辦人暨執行長 Sanjay Beri 指出：「想像一下，若資料外洩的機率會因為您使用雲端而增加三倍的話，這就是企業 IT 人員將面臨的挑戰，而他們也開始意識到自己必須調整安全措施來因應。」繼續閱讀