全部文章分享

  • 螢幕擷取畫面 2024-01-02 171145.png

    Sophos 示警多個勒索軟體集團蓄意發動遠端加密攻擊

           
            以下擷取自資安人

    Sophos發布一份《CryptoGuard:一種非對稱的勒索軟體防禦方式》報告指出,一些最活躍且影響幅度大的勒索軟體集團,包括 Akira、ALPHV/BlackCat、LockBit、Royal 和 Black Basta 等,均會蓄意在攻擊時進行遠端加密。在遠端加密攻擊 (也稱為遠端勒索軟體) 中,攻擊者會利用已經遭入侵且通常保護不足的端點,對連線到同一網路的其他裝置進行資料加密。

    Sophos 表示,企業可能有成千上萬台連線到公司網路的電腦,而在遠端勒索軟體中,只要一台設備保護不足,就足以危及整個網路。攻擊者知道這一點,所以他們會尋找『弱點』下手,而大多數公司中都至少有一個。遠端加密將是防禦人員必須持續面對的問題,而且根據我們所看到的警示,這種攻擊方法正在穩定增加。

    這類攻擊涉及遠端檔案加密,傳統部署在遠端裝置上的反勒索軟體保護無法「看到」惡意檔案或其活動,因此無法阻止未經授權的加密和潛在的資料外洩。不過,Sophos CryptoGuard 技術採取創新的方式來阻止遠端勒索軟體,正如 Sophos X-Ops 文章所解釋的:分析檔案內容,檢查是否有任何資料被加密,以便在網路的任何裝置上偵測出勒索軟體活動,即使該裝置上沒有惡意軟體。

    在 2013 年,CryptoLocker 是第一個大量使用遠端加密和非對稱加密 (也被稱為公開金鑰加密) 的勒索軟體。從那時起,由於全球組織普遍存在安全漏洞以及加密貨幣出現,攻擊者更頻繁地使用勒索軟體了。自 2022 年以來,Sophos的CryptoGuard 偵測到的蓄意遠端加密攻擊年增率達 62%。

    Sophos 10年前第一次注意到 CryptoLocker 利用遠端加密進行攻擊,並預期這種手法將成為防禦人員的一大挑戰,而其他解決方案都只專注於偵測惡意二進位檔案或執行的動作。在從遠端加密的情況下,惡意軟體是存在於一台未受保護的電腦,而非檔案被加密的電腦。唯一阻止它的方式是監視並保護這些檔案。
     
    Sophos解釋,CryptoGuard 並不會尋找勒索軟體;相反地,它把重心放在主要目標,也就是檔案。它會對文件進行數學運算,偵測其是否被竄改和加密。值得注意的是,這種獨立作業的策略刻意不依賴入侵指標、威脅特徵、人工智慧、雲端查找結果或先前的情報,以達到預期效果。透過專心監控檔案,我們可以改變攻擊者和防禦者之間的平衡。我們讓攻擊者成功加密資料的成本和複雜性增加,讓他們放棄原本的目標。這是我們非對稱防禦策略的一部分。

    遠端勒索軟體對組織來說是一個重要的問題,也是勒索軟體長期存在的原因之一。由於透過連線讀取資料要比從本機磁碟讀取慢,我們看到像 LockBit 和 Akira 等攻擊者會策略性地僅加密每個檔案的一小部份。這種方法的目的是在最短時間內造成最大的破壞,進一步縮小防禦人員察覺攻擊並做出反應的空窗期。Sophos 的反勒索軟體技術可以阻止遠端攻擊,以及這類僅加密檔案的 3% 的攻擊。我們希望提醒防禦人員注意這種持續的攻擊方法,讓他們能夠適當地保護裝置。

    Sophos CryptoGuard 是 Sophos 在 2015 年收購的反勒索軟體技術,已整合到所有 Sophos 端點授權中。CryptoGuard 會監控惡意加密檔案的行為,提供即時保護和回復原功能,即使勒索軟體本身未出現在受保護的主機上也能加以防禦。這種獨特的反勒索軟體技術是 Sophos 多層式端點保護的「最後一道」防線,只會在攻擊者在攻擊鏈中觸發時才會啟用。自 2022 年以來,CryptoGuard 偵測到的蓄意遠端加密攻擊年增率達 62%。
    more
  • 螢幕擷取畫面 2023-12-13 121114.png

    針對工業領域的攻擊占所有勒索軟體事件的三分之一

           本文擷取自資安人

    「營運不中斷」是工業領域企業及關鍵基礎設施組織的鐵則。當勒索軟體全球肆虐時,這個鐵則讓他們更可能支付贖金,更吸引許多惡意駭客組織聚焦OT系統。

    根據Claroty 報告,在過去 12 個月中,54%的工業企業遭受了勒索軟體攻擊,影響了其OT系統,無論是直接攻擊OT系統抑或受到IT系統攻擊影響。與Claroty 2021 年的報告相比,對 OT 系統的攻擊影響顯著增加,當時 47% 的公司受到勒索軟體影響其運營。

    事實上,針對工控企業和關鍵基礎設施供應商的攻擊已經變得非常普遍。與伊朗有關的威脅組織 Cyber Av3ngers 攻擊美國匹茲堡的阿利基帕市政水務局,迫使其關閉水壓監測系統並更改了網站的登陸頁面。該事件是11 月底開始針對美國各地供水設施廣泛網路攻擊的一部分。但關注的不僅僅是公用事業;2022 年 2 月,輪胎製造商普利司通在 LockBit 2.0 勒索軟體組織成功入侵後,不得不關閉其製造網路數天。

    Claroty 調查顯示,超過三分之一 (37%) 的公司在 2023 年遭受同時影響 IT 和 OT 系統的攻擊;2021 年,這個數字只有27%。

    Claroty表示,數字成長不僅表明OT與工控安全的嚴重性,且顯示OT攻擊是一種極其可行的商業模式。由於許多 OT 系統都是基於 Windows,如果網路分段不佳或沒有分段,勒索軟體經常從 IT 環境溢出到 OT 環境。

    無論勒索軟體攻擊事件如何增加,針對工控的網路攻擊始終佔三分之一。(圖: NCC 集團)


    網路安全服務公司 NCC Group 的資料顯示,過去一年中,工業部門仍然是每月最大的勒索軟體目標。與去年同月相比,10 月份的勒索軟體攻擊增加了 81%,而針對工業部門的攻擊通常占所有勒索軟體事件的三分之一。

    NCC 集團表示,地緣政治衝突導致國家支持的行為者和駭客活動分子發起針對工業領域的企業攻擊。禁用或削弱能源基礎設施的供給量可能導致一般民眾的使用受到限制甚至無法使用,從而加劇戰爭和衝突帶來的不穩定和混亂。
     
    對駭客而言,攻擊工業領域的公司有吸引力的原因之一是:運營中斷導致支付贖金的可能性更大。通常情況下,企業支付勒索軟體的傾向在很大程度上取決於他們的收入。根據 Sophos 的年度勒索軟體狀況報告,較小的公司支付勒索軟體費用的比例為 36%,而不是依賴備份,而較大的公司支付勒索軟體費用的比例為 55% 。

    與此同時,根據 Claroty 的《2023 年全球工業網路安全狀況》報告,工業領域的受害者支付費用的比例高達三分之二 (67%) 。

    Claroty表示,只要看看三分之二的組織正在支付贖金這一事實,就可以瞭解為什麼如此多的組織受到攻擊。運營中斷讓 CIO 左右為難,迫使他們做出這些情緒化決定。

    供應鏈是依賴 OT 系統的用戶組織需要解決的另一個弱點。

    根據安全指標公司 SecurityScorecard 的資料,美國所有排名前 10 的能源公司都有一家協力廠商供應商在過去 12 個月內遭受到入侵,導致其業務遭到破壞。SecurityScorecard 舉例,MOVEit 漏洞就影響了數百家能源公司。

    Claroty表示,在Coronal Pipeline 油管遭受勒索軟體攻擊兩年後,多數關鍵基礎設施所有者仍然沒有做好防範勒索軟體的準備,這通常是因為經濟效益不高。

    相關文章: Colonial Pipeline事件兩年後: 關鍵基礎設施的資安仍任重道遠

    Claroty認為,OT安全需要政府介入,不僅要推動監管,還要推動資金投入,以確保許多在網路方面投資不足的確扮演關鍵角色的單位得到適當的保護。

    NCC 集團表示,公司內部不需要擁有深厚的專業知識,但應該專注於可見性、規劃和事件回應練習。為 IT 和 OT 制定強大的事件回應計畫,然後排練和演練該計畫,讓所有利益相關者都有明確角色和職責。
    more
  • 螢幕擷取畫面 2023-11-30 163523.png

    Sophos:目前網路犯罪分子對AI也無共識

            本文擷取自資安人

    Sophos 發布兩份關於人工智慧應用於網路犯罪的報告。第一份報告名為《AI 的黑暗面:由生成式 AI 支援的大型詐騙活動》,揭露了未來詐騙者如何利用像 ChatGPT 這樣的技術,只需最少技術門檻便能進行大規模的詐騙。然而,另一份名為《網路犯罪者對 GPT 仍無共識》報告發現,儘管人工智慧具有潛力,但有些網路犯罪者並不會積極採用像 ChatGPT 這樣的大型語言模型 (LLM),甚至對使用人工智慧進行攻擊持保留和懷疑的態度。
    人工智慧的黑暗面
    只要利用簡單的電子商務範本和如 GPT-4 的大型語言模型工具,Sophos X-Ops 就能建立一個功能完整的網站,包括由人工智慧產生的圖片、聲音和產品描述,以及假的 Facebook 登入和結帳頁面,可用來竊取使用者的登入憑證和信用卡資訊。建立這種網站所需的技術門檻非常低,而且使用同一工具,Sophos X-Ops 能夠在幾分鐘內一鍵建立數百個類似的網站。

    Sophos表示,犯罪分子改用新技術來進行自動化是自然且可預料之事。最初導入垃圾郵件,就是詐騙技術的一個重要里程碑,因為它改變了攻擊的規模和方式。新的人工智慧正處於相同的位置;如果存在能夠產生完整自動化威脅的 AI 技術,人們最終就會使用它。現已看到生成式AI被整合到經典的詐騙中,例如使用 AI 生成的文字或照片來誘騙受害者。

    Sophos進行這項研究的部分原因是為了超前犯罪分子一步。透過建立一個比犯罪分子現有工具更先進的大規模詐騙網站生成系統,讓我們有機會在威脅蔓延之前先進行分析和準備。

    網路犯罪者對於 GPT 仍無共識
    為了研究攻擊者對人工智慧的態度,Sophos X-Ops 調查了四個知名的暗網論壇,檢視與大型語言模型相關的討論。儘管網路犯罪者對於人工智慧的使用似乎還處於早期階段,但暗網上的威脅行為者開始討論它在社交工程方面的潛力。Sophos X-Ops 已經看到在以交友為基礎的加密貨幣詐騙中使用人工智慧的案例。

    此外,Sophos X-Ops 發現大多數貼文及出售被竊的 ChatGPT 帳戶與「越獄」有關,這是繞過大型語言模型內建保護措施的方法,網路犯罪分子可以藉此濫用它們進行惡意用途。

    Sophos X-Ops 還發現了十個 ChatGPT 的衍生版本,創作者聲稱可以用於發動網路攻擊和開發惡意軟體。然而,威脅行為者對這些衍生版本和其他對大型語言模型的惡意應用反應不一,許多犯罪分子表示對這些模仿 ChatGPT的創作者試圖欺騙自己人感到卻步。

    Sophos X-Ops表示,到目前為止,威脅行為者對它的懷疑勝過熱情。在Sophos調查的四個暗網論壇中的兩個,只發現了 100 篇關於人工智慧的貼文。相比之下,在同一時間,則有 1,000 篇和加密貨幣有關的貼文。

    目前確實看到一些網路犯罪分子試圖使用大型語言模型建立惡意軟體或攻擊工具,但成果都很不理想,常常遭到其他用戶的懷疑。

    Sophos分享在某個案例中,一名威脅行為者急於展示 ChatGPT 的潛力,還無意中透露了自己的真實身分。調查甚至發現了許多人工智慧對社會可能會產生負面影響和道德問題的『反省文』。換句話說,至少目前看來,網路犯罪分子對大型語言模型的看法與我們其他人一樣,仍無共識。
    more
  • 螢幕擷取畫面 2023-11-30 114358.png

    美國CISA漏洞目錄最新加入Sophos Web Appliance 漏洞

     
             本文擷取自資安人

    美國CISA 已在其已知利用的漏洞目錄(KEV) 中添加了三個漏洞,其中 Sophos Web Appliance 中的一個嚴重漏洞:CVE-2023-1671。Sophos已於 2023 年 4 月修復。

    Sophos Web Appliance 是一款 Web 閘道設備,作為 Web 代理程式並掃描潛在有害內容以尋找多種形式的惡意軟體。CVE-2023-1671 是 Sophos Web Appliance 的 warn-proceed 處理程序中的預先驗證指令注入漏洞,允許攻擊者執行任意程式碼。

    外媒報導,CVE-2023-1671漏洞於 4 月初由外部安全研究人員透過 Sophos 漏洞賞金計畫披露。它影響 4.3.10.4 版本之前的所有設備版本。當時,該公司向所有尚未關閉「自動更新」設定(預設為開啟)的 Sophos Web Appliance 客戶推出了包含修復程式的更新。Sophos 也建議客戶將裝置置於防火牆後面,即確保無法透過公共網路存取該裝置。

    Sophos強調,Sophos Web Appliance於 2023 年 7 月 20 日結束生命週期,將停止安全或軟體更新,因此敦促用戶改用 Sophos Firewall。

    CVE-2023-1671 的公開PoC自 4 月下旬以來就已經出現,防禦者可以使用該腳本掃描網路上易受攻擊的設備。

    儘管如此,攻擊者顯然花了幾個月的時間才嘗試利用該缺陷,很可能是因為預設的自動更新設定大大減少了潛在的目標。

    但目前美國CISA 表示有積極利用的證據,但沒有提供更多資訊。
    攻擊者經常利用較舊的漏洞
    由於組織的漏洞修補並不完善,攻擊者仍經常在攻擊中利用舊漏洞。

    CISA 週四在其KEV 目錄中添加的三個漏洞之一是CVE-2020-2551,這是Oracle Fusion Middleware 的Oracle WebLogic Server 產品中的一個未指定錯誤,已由研究人員報告並於2020年修補。


     
    more
  • 螢幕擷取畫面 2023-11-20 170042.png

    Sophos: 82% 的攻擊中駭客停用或清除了日誌,導致缺乏遙測數據

    Sophos: 82% 的攻擊中駭客停用或清除了日誌,導致缺乏遙測數據
    more
  • 螢幕擷取畫面 2023-11-07 154439.png

    Check Point: 台灣為受攻擊次數最多的地區,明年八大網路安全趨勢預測

    Check Point: 台灣為受攻擊次數最多的地區,明年八大網路安全趨勢預測
    more
  • 螢幕擷取畫面 2023-10-25 161541.png

    LockBit 模仿犯使用外洩的程式碼發展新勒索軟體進行攻擊

    LockBit 模仿犯使用外洩的程式碼發展新勒索軟體進行攻擊
    more
  • 螢幕擷取畫面 2023-12-13 164735.png

    Acronis 推出專為合作夥務/服務供應商打造的進階自動化功能

             本文擷取自資安人

    Acronis宣布推出進階自動化功能( Acronis Advanced Automation) —讓合作夥伴以有效率方式來管理故障報修服務,並以雲作為控制平台,訂閱制服務讓合作夥伴更彈性來管理顧客合約及計費。
     
    複雜是合作夥伴面臨的挑戰,主因來於合作夥伴需要處理不同的業務需求並同時提升服務品質及提供更彈性的服務模式。Acronis 進階自動化功能Advanced Automation 專為合作夥務/服務供應商打造,簡化合作夥伴業務營運方式的解決方案。透過中央控管服務、完整時間追蹤及有效提升員工作效率,利用自動計價報表,讓合作夥伴全面掌握服務合約、交付、工單和各項工作安排,更能增加收益並提升顧客信賴。
     
    Acronis 執行長 Patrick Pulvermueller指出,「原生自動化解決方案在資訊產業不斷湧現,Acronis 所提供的產品,可協助全球服務供應商實現自動化操作,完善利用資料數據做出更好的決策。無論是新創或成熟型企業,Acronis Advanced Automation 都能協助合作夥伴管理及開發委外業務。」
     
    進階自動化功能為助合作夥伴推動業務成長,包括零錯誤計價和收費、整合性服務台、自動化時間追蹤,採訂閱制提供服務支援。優點包括:

    提高效率:協助合作夥伴簡化工作流程、自動執行重複性工作和減少手動工作,以更加專注於高價值活動。
    減少營運障礙:以訂閱制來簡化服務支援工作。
    提高生產力:提供單一平台來管理顧客資料、工單、專案和計價,因此合作夥伴節省時間,提供高效的服務。
    提高顧客和員工滿意度:協助合作夥伴管理客戶關係,改善溝通和回應,進而提高客戶滿意度。
    提高盈利:自動化流程並減少手動工作,使合作夥伴能提高營運效率和盈利能力。
    more
  • 螢幕擷取畫面 2023-12-13 164443.png

    聯強國際成Acronis 台灣代理商,攜手推動資安防護

              本文擷取自資安人

    Acronis 2023年度威脅報告指出勒索軟體對企業帶來高度風險。儘管新型勒索軟體變體數量持續下降,但勒索軟體攻擊的嚴重程度影響甚高。同樣令人擔憂的是,資料竊取者不斷增加,他們利用盜取的憑證非法獲取敏感資訊。
     
    為協助各產業客戶,Acronis宣布聯強國際正式成為Acronis 台灣代理商,代理銷售Acronis Cyber Protect Cloud 系列商品。Acronis資安解決方案具超融合多層次可做到資安防護及資料保護,協助用戶對抗瞬息萬變的資安攻擊。
     
    Acronis 大中華區及新加坡總經理何鵬表示, Acronis提供一站式解決方案的原廠,滿足從中小型企業到大企業甚至個人用戶的需求,並根據不同工作負載來提供對應的方案。聯強國際作為Acronis 台灣代理商,共同目標是提供台灣企業完整到位的資安解決方案,並一起開拓市場創造雙贏。
     
    聯強國際近期全力發展MSP營運服務平台,致力於提供經銷商更多元的雲端解決方案或服務項目。資訊事業總經理李建宗表示,與Acronis建立合作夥伴關係從澳洲延伸到台灣。聯強國際將充分發揮自身在雲端服務通路領域的優勢,為通路夥伴提供專業的技術支援和售後服務,並與Acronis攜手推動資安防護市場的發展。 
     
    Acronis採取主動資安保護措施。完善資安資料防護,其服務包含反惡意軟件、端點偵測回應(EDR)、資料外洩防護(DLP)、電子郵件安全、漏洞評估、補丁管理、RMM 和備份功能等多層次的解決方案。
     
    利用結合人工智慧、機器學習和行為分析的先進解決方案可以幫助減少勒索軟件和數據竊取者帶來的風險。通過持續的研究、開發以及與行業合作夥伴的合作,Acronis 致力於提供新興防禦網路威脅的創新解決方案來為企業拉長資安戰線。
    more
  • 螢幕擷取畫面 2023-09-12 153300.png

    Sophos 推出可遠端管理的新一代 Wi-Fi 6 存取點

    Sophos 推出可遠端管理的新一代 Wi-Fi 6 存取點
    more
  • 螢幕擷取畫面 2023-12-06 095046.png

    Gartner在資料安全成熟度曲線新增五大新技術

           本文擷取自資安人

    Gartner最新發佈的2023資料安全(Data Security)技術成熟度曲線(HypeCycle)增加了五項新技術:加密敏捷性(crypto-agility)、後量子密碼學(post-quantum cryptography)、量子金鑰派發(quantum key distribution)、主權資料策略(sovereign data strategies)和數位通信治理 (digital communications governance)。

    Gartner指出,一些資安長已經考量量子計算是一種不斷演化的潛在威脅,並將量子計算的安全監控委託給戰略IT規劃團隊。Gartner並表示,企業級資料安全整合是一個艱巨的挑戰。這些挑戰將改變或整合資料安全技術,包括資料安全態勢管理(DSPM)、資料安全平臺(DSP)和多雲資料庫活動監控(DAM)。

    Gartner認為,應對量子計算威脅、安全工具的融合和整合以及管理未知的影子IT資料是當務之急。Gartner資料安全技術成熟度曲線新增的五項技術將幫助資安長做好應對下一代量子威脅的準備,同時應對治理和資料主權方面的重大挑戰。
     

    Gartner最新發佈的2023資料安全(Data Security)技術成熟度曲線(HypeCycle)


    五大新技術
    加密敏捷性


    加密敏捷性的目的是即時升級應用程式和系統中使用的加密演算法,從而減輕基於量子計算的漏洞風險。Gartner表示,這將使企業能夠用新的後量子加密技術取代易受攻擊的演算法,以抵禦使用量子計算破解加密的攻擊。隨著未來五到七年量子計算能力的進步,加密敏捷性為資安長提供了一條安全加密的方向。

    後量子加密


    Gartner將這項新技術定義為基於新的量子安全演算法,例如晶格密碼學(lattice cryptography),這些演算法可以抵抗量子電腦的解密。外媒VentureBeat對金融企業資安長的採訪顯示,資安長認為後量子加密技術堆疊已經能夠抵禦量子計算風險和威脅。領先的後量子加密技術供應商包括亞馬遜、IBM和微軟。

    量子金鑰分發(QKD)


    該技術利用量子物理原理(包括光子糾纏)來建立和交換防篡改金鑰。Gartner認為QKD是當今的一項利基技術,適用於對國家安全至關重要的應用場景,用於交換高價值資料。領先的供應商包括IDQuantique、MagiQTechnologies和東芝。

    主權數據策略


    主權資料策略是技術成熟度曲線的新增內容,支援資料安全治理、隱私影響評估、金融資料風險評估(FinDRA)和資料風險評估。主權資料戰略反映了政府為其公民和經濟提供強有力的治理和資料安全的努力。Gartner引用的範例包括隱私、安全、存取、使用、保留、共用法規、處理和持久性。Gartner表示,主權資料策略最終將成為任何需要跨主權司法管轄區完成交易企業的必備能力。

    數位通信治理


    數位通信治理(DCG)解決方案用於監控、分析和執行員工消息傳遞、語音和視頻合規政策。DCG平臺還通過資料保留、監控、行為分析和電子發現來管理監管和公司治理要求,通過監控通信資料説明合規團隊識別不當行為並遵守法規。DCG還透過整合跨通信管道的訪問和執行,幫助CIO和資安長管理員工消息傳遞、語音和視頻平臺風險。領先的DCG供應商包括GlobalRelay、Proofpoint和Veritas。
    more
  • 螢幕擷取畫面 2023-10-25 165349.png

    調查:網路犯罪者的競賽重點是新攻擊和逃避方法

    調查:網路犯罪者的競賽重點是新攻擊和逃避方法
    more