07 04 2023
2022年釣魚郵件激增569%
本文擷取自資安人
根據最新公佈的分析報告,2022年釣魚郵件的發送量驚人地增長了569%。
Cofense 研究人員使用人工和機器學習分析篩選了來自 3500 萬用戶的全球數據資料後,發布了最新的《電子郵件安全狀態報告》,顯示2022年釣魚郵件的驚人增長。
該電子郵件安全報告揭示了五個具體的趨勢:
憑證釣魚郵件數量激增了478%;
Emotet和QakBot是觀察到的頭號惡意軟體家族;
商業電子郵件犯罪(BEC)連續第八年排名第一;
Web3的使用率增加341%;
在資料外洩方面,Telegram機器人使用增加800%。
Cofense資安長 Tonia Dudley在談到電子郵件安全報告時表示:「網路安全形勢在不斷變化,因此及時掌握最新的趨勢和策略至關重要。國家級攻擊和整體重大事件的增加,持續對董事會、企業高管和資安保險公司等施加壓力,以推動組織的安全計劃的可視度。」
2022年釣魚郵件激增569%
07 04 2023
Sophos: 多數亞太組織認為無法單獨應對現今網路威脅
本文擷取自資安人
Sophos發布《2023 年網路安全現況:攻擊者對防禦者造成的業務影響》調查報告,揭露亞太地區和日本的 93% 組織執行一些重要的安全性作業 (如威脅捕獵) 時遇到難題。問題包含理解攻擊是如何發生的,其中 76% 的受訪者表示他們很難找出事件背後的根本原因。在這種情況下,組織可能會難以進行適當的修復,容易受到相同或不同攻擊者的重複和/或多重攻擊,特別是當有 71% 的受訪者回報表示他們無法及時進行修復時。
此外,74% 的受訪者表示他們無法找出哪些訊號/警示需要調查,71% 的受訪者回報他們不知道如何安排調查的優先順序。
Sophos 商業現場技術長 John Shier 表示:「全球只有五分之一的受訪者認為漏洞和遠端服務是 2023 年最重要的網路安全風險,但在現實上,這些風險經常被主動的攻擊者所利用。這一連串作業上的問題,代表這些組織無法看到全貌,並可能根據不正確的資訊採取行動。沒有比過度自信地犯錯更糟糕的了。進行外部稽核和監控有助於消除盲點。我們可以像攻擊者一樣檢視您的系統。」
其他發現還包括:
50% 的受訪組織表示,現在的網路威脅對他們來說太先進了,無法單獨應對
63% 的受訪組織希望 IT 團隊可以花更多時間處理戰略性的問題而非回應威脅,55% 的受訪者表示,對付網路威脅的時間已經影響了 IT 團隊在其他專案上的工作
雖然 94% 的受訪者表示他們正在與外部專家合作來擴大作業範圍,但大多數仍然會參與威脅管理,而非全面採取委外的方法
Shier 表示:「當今的威脅需要及時和協調的回應。不幸的是,太多組織都只能採取被動的守勢。這不僅會影響組織的核心業務,還對人員造成了巨大的影響。全球超過一半的受訪者表示,網路攻擊讓他們輾轉難眠。免除猜測,並根據可操作的情報採取防禦性控制,可以讓 IT 團隊將重心放在推動業務上,而不是試圖撲滅永無止盡的主動式攻擊。」
Sophos: 多數亞太組織認為無法單獨應對現今網路威脅
22 03 2023
Sophos 展示如何讓 ChatGPT 成為網路安全的副駕駛
本文擷取自iThome
Sophos 是創新和提供網路安全即服務的全球領導者,今天發布一份網路安全業界如何利用 GPT-3 (即眾所周知的 ChatGPT 架構背後的語言模型) 當作輔助來協助擊敗攻擊者的最新研究。最新報告「適用於你我的 GPT:在網路防禦中使用 AI 語言處理」詳細介紹了 Sophos X-Ops 開發的幾個專案,他們使用 GPT-3 的大型語言模型簡化在安全軟體的資料集中搜尋惡意活動,更準確地過濾垃圾郵件,並加快了對「就地取材」(LOLBin) 攻擊的分析。
Sophos 首席威脅研究員 Sean Gallagher 表示:「自從 OpenAI 在去年 11 月推出 ChatGPT 以來,安全社群關注重點都是在這項新技術是否會帶來潛在的風險。人工智慧能否幫助潛在的攻擊者編寫惡意軟體,或是幫網路犯罪分子寫出更具說服力的網路釣魚電子郵件?或許是吧,但是 Sophos 長期以來一直將 AI 視為防禦人員的盟友,而不是敵人,我們將 AI 視為 Sophos 的基礎技術,就連 GPT-3 也不例外。安全社群不僅應該注意潛在風險,還應該關心 GPT-3 帶來的無窮機會。」
Sophos X-Ops 研究人員,包括 SophosAI 首席資料科學家 Younghoo Lee 等,一直致力於三個原型專案,用於展示將 GPT-3 當作網路安全防禦人員助手的潛力。這三者都使用一種稱為「小樣本學習」的技術,只用少量資料樣本來訓練 AI 模型,減少必須收集大量預分類資料的需要。
Sophos 使用少樣本學習方法測試的第一個應用是自然語言查詢介面,用於篩選安全軟體遙測中的惡意活動,特別是在 Sophos 旗下端點偵測和回應產品中測試了這個模型。透過這個介面,防禦人員可以使用基本的英文命令過濾遙測數據,而無需了解 SQL 或資料庫的底層結構。
接下來,Sophos 使用 ChatGPT 測試了一個新的垃圾郵件篩選器,並發現與其他用於垃圾郵件篩選的機器學習模型相比,使用 GPT-3 的篩選器明顯更準確。最後,Sophos 研究人員開發了一個程式來簡化對 LOLBins 命令列進行逆向工程的程序。這種逆向工程是出了名的困難,但對於理解 LOLBins 的行為以及在未來如何阻止此類攻擊非常重要。
Gallagher 補充說:「安全營運中心越來越關注的問題之一是傳入的『雜訊』太多。需要整理的通知和偵測結果太多,但許多公司卻都只有有限的資源。我們已經證明,透過 GPT-3 之類的技術,我們可以簡化某些勞力密集型的程序,將寶貴的時間歸還給防禦人員。我們已經將上述一些原型整合到我們的產品中,並且在 GitHub 上為那些有興趣在自己的分析環境中測試 GPT-3 的人提供了我們的研究成果。未來,我們相信 GPT-3 很可能成為安全專家的標準副駕駛。」
到 Sophos.com 取得「適用於你我的 GPT:在網路防禦中使用 AI 語言處理」報告,了解更多 GPT-3 將如何協助防禦人員的詳細資訊。
Sophos 展示如何讓 ChatGPT 成為網路安全的副駕駛
09 03 2023
Check Point Software: 高達48%的EMAIL夾帶惡意檔案以微軟office檔案佯裝
本文擷取自資安人
根據 Check Point Software《2023 年網路安全報告》,規模更小且靈活的駭客和勒索軟體團體正鎖定混合辦公環境下的合法協作工具;從新型變異勒索軟體的興起,到東歐與中東衝突地區蔓延的駭客激進主義。2023 年企業須審慎防範的三大網路威脅為:
駭客激進主義:由國家支持的網路攻擊行動可匿名又免於罰則,導致此類行動和駭客主義間的界限逐漸模糊;非附屬於國家的駭客組織也更具組織規模,攻擊效率也更高。
勒索軟體:勒索軟體的攻擊行動變得更加難以追蹤和究責,依賴偵測加密行動的現有保護機制恐日漸失效;未來企業應該專注偵測資料清除和外洩。
尤其Check Point Software提醒發生在台灣的勒索攻擊事件高於全球平均四倍。就行業而言,Check Point Software 台灣區總經理劉基章點名醫療行業須留意,「全球平均來看,駭客對醫療行業的攻擊價值比其他行業高三倍。」
雲端上的第三方風險:各組織於 2022 年受雲端網路攻擊的次數遽增,年增率達 48%。攻擊者轉向掃描雲端服務供應商的 IP 位址範圍,顯示出其對存取機密資訊和重要服務的濃厚興趣。
劉基章表示,近六個月來台灣企業或組織每周平均被攻擊3205次,高於全球平均次數1181次
。大多數攻擊都是從EMAIL郵件夾帶惡意檔案開始。惡意檔案的三大類型是Banking Trojan (Danabot)、RAT(AgentTesla)木馬病毒、Botnet(Danabot)殭屍病毒。演變至今,有高達48%的惡意檔案是以微軟office檔案佯裝,如: .xls, .docx, . pptx.. 檔等。
因此Check Point Software提醒企業資安長在未來一年應更重視防範措施,包括降低複雜性彌補網路技能落差、限制雲端配置錯誤衍伸的成本,善用自動化和人工智慧檢測人眼未能及時發現的網路風險。
Check Point Software 大中華區董事總經理何偉國指出:「2023 將成為新 AI 元年,蓬勃發展的生成式 AI 雖降低了打造惡意程式的門檻,但如何發揮 AI 的潛力卻更為關鍵,企業可善用此技術打擊愈加複雜的網路攻擊。」
Check Point Software 台灣區技術總監傅國書(左)、Check Point Software 大中華區董事總經理何偉國(中)、Check Point Software 台灣區總經理劉基章右)
Check Point 3C絕佳防護理念
Check Point Software Technologies Ltd. 今年適逢公司創立 30 週年,推3C絕佳防護理念(3Cs of Best Security),協助企業加強資安防禦。3C指的是更全面(Comprehensive)、更整合(Consolidated)且更協作式(Collaborative)的解決方案理念。新產品包含:
Check Point Quantum SD-WAN
10,000 個以上的應用程式和用戶優化路由,實現次秒級容錯移轉(failover),解決連網不穩定的問題、確保網路會議不中斷。全新擴增功能為用戶和企業各據點提供一致的安全性和連接性;結合 Quantum SD-WAN 和 Harmony Connect(SSE)打造一套由 Check Point Infinity 雲端平台管理的 SASE 解決方案。
Check Point Horizon XDR/XPR
透過智慧資料關聯分析(correlation)阻止來自電子郵件、雲端、網路和端點等管道的攻擊手法;即時執行全面的資安資產威脅防禦,快速識別看似無害的事件並找出其關聯性以發現網路攻擊。Check Point Horizon XDR/XPR 不僅能夠立即採取阻止和結束程序、隔離資產和資料夾等防禦措施,還可整合 Check Point 和第三方資安產品;持續從危害指標(IOC)、全球威脅情勢、Check Point 研究及第三方情報等多個資料集中獲取資訊,透過威脅情資和事件關聯分析持續改善資安態勢。
Check Point Infinity Spark
高達 99.7% 的防禦捕獲率可替中小企業提供AI 安全防護和整合式連接能力,跨網路、電子郵件、辦公室、端點及移動設備提供企業級安全防護,保護中小企業免受網路釣魚、勒索軟體、憑證盜竊及網域名稱系統(DNS)攻擊。
AI資安木馬SD-WAN
Check Point Software: 高達48%的EMAIL夾帶惡意檔案以微軟office檔案佯裝
17 02 2023
16 個 NPM 詐騙測速程式套件用來挖掘加密貨幣
本文擷取自資安人
資安廠商 CheckPoint 旗下的資安研究人員,近日發現一組共 16 個冒充為網路速度測試工具的 NPM 程式套件,表面上無害,但實際上會盜用受害電腦的資源,為駭侵者挖掘加密貨幣。
NPM 是網路上著名的開源 JavaScript 程式庫,內含 220 萬種以上的開源 JavaScript 程式套件,提供開發人員自由使用,以加速程式開發的速度。
CheckPoint 是在 2023 年 1 月 17 日時發現這些惡意程式套件,全都由一個用戶名稱為「trendava」的 NPM 帳號上傳到 NPM 程式庫中;該公司立即通報 NPM,NPM 則在隔日將這 16 個惡意程式套件下架。
這 16 個惡意 NPM 程式套件,名稱大多和網路速度測試有關,列表如下:
lagra
speedtesta
speedtestbom
speedtestfast
speedtestgo
speedtestgod
speedtestis
speedtestkas
speedtesto
speedtestrun
speedtestsolo
speedtestspa
speedtestwow
speedtestzo
trova
trovam
CheckPoint 指出,這 16 個惡意軟體,雖然目的都是挖掘加密貨幣,但每個套件中惡意程式碼使用的手法都略有不同。CheckPoint 認為,駭侵者可能是要藉以觀察哪種方式比較不容易遭到防毒防駭機制發覺阻擋。
鑑於這類開放程式庫中經常混入駭侵者上傳的惡意套件,建議程式開發者在利用這些方便的套件前,必須先仔細檢視其 source code,以辨識其中是否夾帶惡意程式碼。
16 個 NPM 詐騙測速程式套件用來挖掘加密貨幣
14 02 2023
從加密貨幣轉黃金,網路詐騙擴大中
本文擷取自資安人
Sophos公佈了兩個位於亞洲、規模龐大且仍在運作的殺豬盤 (sha zhu pan) 騙局的詳細資訊,這些精心設計且過程漫長的金融詐騙可能會使受害者損失數千美元。其中一個總部設在香港,牽涉到一個假黃金交易市場,而另一個總部設在柬埔寨,與中國的組織犯罪有聯繫,在短短一個月內就透過加密貨幣淨賺了 50 萬美元。
在這兩個騙局中,詐騙者分別直接透過 Twitter 和私聊直接鎖定 Sophos 首席威脅研究員 Sean Gallagher,而不是透過傳統的交友 App 來尋找受害者。Sophos《愚人金:剖析一個假黃金市場的殺豬騙局》報告重點在詐騙分子設於香港總部的內部運作,展示這些騙子如何提高他們的技術複雜性以引誘和詐騙目標。
Sophos 首席威脅研究員 Sean Gallagher 說:「兩年來,我們一直在追蹤並回報這些殺豬騙局下的一個子項,稱為 CryptoRom。這是一種特殊的交友詐騙,詐騙者利用人們熱衷交友的誘惑,透過交友 App 接近潛在受害者,然後要求他們使用詐騙性的加密貨幣交易 App。但 CryptoRom 實際上只是冰山一角。自新冠疫情開始以來,這種類型的網路詐騙已大規模擴展。這些騙子現在以所有主要社群媒體平台,甚至是私聊來鎖定目標,此外他們不只會利用加密貨幣,還會利用黃金和其他形式的貨幣或交易來吸引受害人。他們實際上是無所不用其極。」
在 Gallagher 調查的第一個騙局中,他花了三個月的時間與一名在 Twitter 上直接聯繫他的騙子進行了互動。詐騙者假扮成一名來自香港的 40 歲女性,她很快就試圖將對話平台轉移到 WhatsApp。然後,騙子試圖說服 Gallagher 投資一個假黃金交易市場,吹捧她與她據稱是前高盛分析師的『馬丁叔叔』的關係。然後,她將他引導帶到一個網站,該網站複製了一家名為 Mebuki Financial 的合法日本銀行公司,該銀行有提供外匯和商品交易服務。
雖然與 Sophos 調查 的其他案例相比,此騙局的社交工程手段還不夠好,但它象徵這類集團的技術成熟度顯著提高了。詐騙者巧妙地結合了高效率的搜尋引擎最佳化、精美的詐騙頁面以誘使新客戶在假 Mebuki 網站上「註冊」,以及包含惡意程式碼的海盜版合法交易 App (MetaTrader 4),以便從受害者那裡竊取資金。他們還積極更新該騙局的詐騙基礎架構,以避免被關閉。
Gallagher 補充說:「這兩個騙局仍在運作,而且很難關閉。雖然我們將攻擊者在香港使用的網域名稱和 IP 地址標記為惡意,但他們的詐騙活動已經轉移到新的網域。他們已經為他們的海盜版 MetaTrader App 準備了新的下載位置,因此現在我們實際上是在玩『打地鼠』的遊戲。不幸的是,隨著騙局的範圍越來越廣,更多地區和不同平台會被鎖定,這就是現實。從加密貨幣轉成黃金,也表明這些集團可以多麼容易地找到一個新的利基市場來下手。這意味著最好的防禦措施就是讓大眾意識到這些詐騙類型。人們應該警惕來自陌生人的任何簡訊、交友 App 或社交媒體私聊。這些陌生人會發起對話,然後建議將聊天平台轉移到 WhatsApp 或 Telegram,尤其是當他們聲稱可以從加密貨幣或其他交易中獲利時。」
從加密貨幣轉黃金,網路詐騙擴大中
10 02 2023
安克諾斯Acronis Cyber Protect資料備份加上端點安全,創新多合一資安聯防
本文擷取自資安人
近年來層出不窮的惡意軟體攻擊事件不難看出,無論是政府機構、金融業還是高科技行業,儘管已俱備較高的網路安全防護也難以避免,只要稍有不慎就會被網路犯罪份子盯上,做為全球網路防護的領導者,安克諾斯Acronis深知只有整合資料備份加上網路安全的多合一解決方案,才能為跨多個平台及作業系統的使用者,提供全面有效的安全性,主動出擊強化資安聯防,幫助企業資料安全無虞又免受加密勒索的惡意軟體攻擊。
安克諾斯Acronis Cyber Protect的防惡意軟體以獨家的Active Protect(主動防禦技術)為基礎,層層演進加入Acronis static AI analyzer(靜態AI分析器)、Acronis anti-malware engine(防惡意軟體引擎)、Acronis behavioral engine(行為引擎),而成就了最新世代的安克諾斯Acronis Cyber Protect全方位防護解決方案,為使用者防範任何網路威脅,無論這些威脅利用的途徑是網站連線、零時差攻擊、惡意植入、經混淆處理的惡意軟體,還是無檔案型攻擊這類避開傳統防毒軟體的其他先進惡意技術,一律無所遁形。
任何形式的業務中斷或有損信譽的事件將使企業付出高昂的代價,隨著資料量的增加及存取方式的變更,仍依賴傳統防毒軟體的企業,正一步步讓寶貴資訊曝光於風險之下,安克諾斯Acronis Cyber Protect透過分層防護方法(積極式、主動式和回應式資料防護技術)的創新組合,提供高效益、靈活的解決方案,協助您在當前和未來的威脅環境中保持安全。
安克諾斯Acronis Cyber Protect資料備份加上端點安全,創新多合一資安聯防
10 02 2023
Check Point CloudGuard 雲端原生安全平台打造智慧風險管理引擎
本文擷取自資安人
Check Point Software Technologies Ltd. 為其 Check Point CloudGuard 整合式雲端原生安全平台(CNAPP)新增全新風險管理引擎及多項強化功能,包括智慧風險優先排序、無代理掃描、權限管理和工作管線安全(pipeline security);這些新功能注重情境、速度和自動化,支援雲端安全操作,再也無須面對傳統型獨立雲端安全警報的複雜性和提示噪音,資安團隊將能專注打造從程式碼到雲端的全面威脅防禦,同時強化 DevOps 敏捷性。
企業持續導入雲端和數位轉型,《Check Point 2022 年雲端安全報告》指出 35% 受訪者在雲端運行超過 50% 工作負載,但 72% 受訪者非常擔心雲端安全、76% 受訪者表示難以同時管理來自多家雲端廠商的產品,這常導致配置錯誤、缺乏可視性和遭受網路攻擊;研究更顯示「配置錯誤」因需要人員全天候資安操作和衍生的警報疲勞,被視為導致資安事件的首要因素。
在推出有效風險管理(Effective Risk Management,ERM)後,除了雲端身份和權限管理(Cloud Identity & Entitlement Management,CIEM)、無代理工作負載狀態(Agentless Workload Posture,AWP)和工作管線安全工具外,Check Point CloudGuard 現在更提供智慧風險優先排序,支援團隊在整個軟體開發生命週期中根據風險嚴重程度快速消除重大漏洞,例如配置錯誤和逾越權限的造訪。透過上述工具協作企業將只會收到簡單明瞭的建議,專注於至關重要的威脅,減少過往令人困擾的複雜指令,而簡化的建議也有助於減緩威脅。
Check Point Software 雲端安全副總裁 TJ Gonen 表示:「隨著企業持續加速導入雲端,簡化雲端安全防護能力變得至關重要。通過新增有效風險管理和強化 Check Point CloudGuard 功能,我們可幫助企業將 CNAPP『左移(Shift Left)』,採取預防為主、易於管理的雲端安全方案。透過 Check Point 的情境式人工智慧和風險評分引擎,資安團隊不必再手動確定應優先處理哪些警報,而是交由機器完成;減輕此負擔後,客戶可以放心專注於將關鍵工作負載遷移至雲端。」
Check Point CloudGuard 將最新工具統合至新一代 CNAPP 中,不僅可協助資安專業人員,更可通過左移工具消除 DevSecOps 的障礙。Check Point CloudGuard 發揮了整合式平台的能力和潛力、提供終端使用者營運價值,包括:
有效風險管理:Check Point CloudGuard 的有效風險管理引擎能夠根據工作負載狀態、身份許可權、攻擊路徑分析及應用程式業務價值等完整情境排序風險,提供可執行的修補指令。資安團隊可專注於處理重大威脅,並以最小程度的安全防護管理達到最大效果。
雲端身份和權限管理(CIEM):CIEM 功能可瞭解使用者和雲端服務的有效權限和識別風險,自動生成明確的最低權限角色建議,減少造訪並撤銷未使用的權限;將 CIEM 安裝至 ERM 後使用者可以瞭解自身權限,並在其雲端環境中執行最低權限原則。
無代理工作負載狀態(AWP):AWP 將 Check Point CloudGuard 無代理基礎架構的可視性擴展到工作負載,可掃描並辨識虛擬機器、容器和無伺服器服務等雲端工作負載中的風險,包括配置錯誤、惡意軟體檢測、漏洞和金鑰。借助這種無代理部署模型,資安團隊能夠在維持效能的同時獲得大規模的深度工作負載安全可視性。
工作管線安全:工作管線安全功能全面整合了 Spectral 的自動化程式碼安全服務,可檢測並解決 Check Point CloudGuard 中的配置錯誤、金鑰和漏洞問題;將「開發者優先」的工作負載擴展到 CI/CD 及工作管線,可在問題危害製造環境前快速解決。資安團隊能夠將 CNAPP 左移,從最初開始保護雲端應用程式安全。
Check Point CloudGuard 雲端原生安全平台打造智慧風險管理引擎
03 02 2023
XDR跨界合力防制威脅 強調及時獵捕主動回應
本文擷取自網管人
驅動資安技術快速演進到擴展式偵測及回應(eXtended Detection and Response,XDR),藉由雲端平台建構資料湖(Data Lake),可存放大量非結構化資料,以便7×24小時地蒐集聯網裝置、網路傳輸、雲端平台等運行資料,讓後端系統可基於威脅情資運行關聯比對,主動發現攻擊活動以有效降低損害。
SaaS模式訂閱資安服務
根據Check Point威脅情報部門Check Point Research日前公開的2022年度網路攻擊趨勢統計,全球網路攻擊數量較2021年增加38%,特別是第四季度達到歷史新高,平均每個組織每週遭遇1,168次攻擊,最嚴重的前三個行業是教育/研究、政府、醫療。由於教育機構在COVID-19疫情大流行後快速地發展數位教學應用,開放全體師生採線上授課與學習,卻往往缺乏安全防護機制,因而成為攻擊者鎖定標的。從研究報告統計數據來看,教育/研究單位於2022年每個組織平均每週遭受2,314次攻擊,較2021年大幅增長了43%。
Palo Alto Networks日前亦發布《網路安全的下一步》(What’s Next in Cyber)報告,針對全球1,300名垂直行業的高階管理層進行調查,96%的受訪者承認自家公司過去一年曾經歷過網路安全事件和數據洩漏事件,84%同意混合工作模式為主要因素。
缺乏人力、工具與應變程序的企業或組織,大多會採用資安監控中心(SOC)的監控服務,透過基於資安事件管理系統(SIEM)與橫向調配與自動化執行回應(SOAR)建構的平台,掌握最新威脅情資(Threat Intelligence),進而搭配端點部署的EDR機制蒐集資料運行關聯分析,由專業研究團隊執行威脅獵捕,達成主動偵測與即時回應異常活動,讓資安風險受到嚴加管控。
但對於多數IT規模不大、預算不足的企業而言,SOC監控服務過於昂貴,且端點須搭配EPP/EDR,偏重於偵測與回應能力,未必有能力抵禦先進的APT攻擊滲透。對此,XDR方案即可有所發揮,基於SaaS模式訂閱採用即可運行,降低導入部署與維運異質資安防護技術的複雜度。
法規明定部署EDR可望驅動普及
Palo Alto Networks台灣區技術總監蕭松瀛說明,威脅偵測與回應改成「X」,更強調擴展性,不僅著重於掌握端點,亦涵蓋雲端服務運行環境產生的資料,以及擷取網路連線封包內容,將這些全數存放於資料湖後,運用機器學習演算分析,輔助資安維運人員快速釐清與緩解風險。
Check Point資安傳教士楊敦凱引述Gartner發布的XDR市場指南指出,XDR為新興解決方案,用於輔助資安維運團隊改善威脅預防、偵測與回應執行效率,目前的XDR市場尚在早期發展階段,訴求重點在於專精在處理資安事件,從感知、偵測到回應處理,整個流程得以藉由自動化方式運行,並運用市場現有的技術來落實。
XDR組成元件包含前端感知器與後端控管平台。前端感知器即為企業熟知的EPP/EDR、網路偵測與回應(NDR)、防火牆、郵件安全、網頁安全閘道等技術,至少須具備超過三種以上。後端控管平台則多為SIEM與SOAR既有特性,例如資料湖、威脅情資、進階分析、事件調查、資源調度、自動化與回應執行引擎等元件,唯一特殊的是採以雲端交付模式,機敏性較高的產業未必可直接訂閱採用,未來或可改由當地MSP(託管服務供應商)來提供服務。
Gartner發布的XDR市場指南說明,XDR組成元件包含前端感知器與後端控管平台。(資料來源:www.gartner.com)
楊敦凱觀察,台灣企業或組織對於國際市場出現的新興技術看法較為保守,通常發展腳步通常較慢,XDR解決方案同樣如此。他進一步說明,當前台灣企業或組織熱門的議題為EDR、偵測與回應代管(MDR),主要驅動力來自2021年行政院頒布《資通安全管理辦法》子法修正條文,明文規定A、B級公務機關須部署端點偵測與應變(EDR)機制,同時完整介接資安弱點通報(VANS),因此近兩年正積極導入部署。
資安技術專家實作拆解APT攻擊手法過程發現,須完整掌握端點產生的日誌才得以還原惡意程式滲透行徑,利用EDR工具蒐集便可追蹤到根本原因進而加以改善資安體質。但是實務上,多數端點設備較為老舊,例如桌機的記憶體只配置8G規格,若任意安裝資安軟體工具恐影響運行效能。再加上預算不足、人力有限,企業或組織只能階段性地汰換,或改採用MDR服務委外代管。
XDR Alliance共推整合框架
傳統SOC服務蒐集取得的資料,主要為偵測發現事故所產生,也就是防毒引擎掃描比對發現為已知惡意程式,逕行隔離檔案的動作,或者是防火牆設定的黑名單,當網路傳輸封包中比對發現時執行阻斷的記錄,皆為SOC蒐集用以關聯分析的資料來源。意味著SOC將受限於防禦機制的偵測能力,若防毒引擎、防火牆等資安技術皆無法辨識,SOC也無從得知相關行為資料。
為了釐清攻擊活動行為軌跡並推論背後的意圖,SOC開始納入EDR完整記錄端點環境檔案執行所產生的資料,甚至是整合網路封包流量、雲端工作負載等異質技術環境產生的資料,依據MITRE ATT&CK框架定義進行關聯分析,釐清攻擊活動屬於狙殺鏈(Kill Chain)的執行階段,及其採用的策略、技術與執行程序(TTP),此時即可搭配SOAR方案預定義的劇本(Playbook)實作事件回應執行步驟,提高控管的有效性。
如今XDR解決方案組成元件是由當前主流資安技術所建構而成,因此對於Check Point、Palo Alto Networks等次世代防火牆業者,抑或是Trellix等進階威脅防護技術供應商而言,先天即具備XDR方案的前端感知元件技術,只須擴展研發再將後端管理系統陸續運用雲端平台設計建構,以便獲取最新威脅情資,同時確保大數據系統的實體資源可彈性擴充,避免遭遇效能瓶頸。
楊敦凱指出,XDR目前最大的挑戰在於整合與實現橫向溝通,為此國際市場自2021年開始出現XDR Alliance組織,期望制定出開放框架,讓資安領域的API得以遵循標準格式,以便彼此互通與交換資料。目前加入的成員除了資安技術供應商,亦包含MSSP、MDR、系統整合商、專業顧問服務等領域,共同協助企業調整配置、導入部署與維運XDR框架,實踐以拓撲圖方式呈現關聯性與歸納分析結果,針對高風險環節採以Playbook執行回應,或提出建議操作步驟,可大幅降低資安維運門檻、提高工作效率,不僅減少人為疏失的機會,亦可讓資安人才缺口問題得到緩解,確保數位應用場域營運韌性。
XDR跨界合力防制威脅 強調及時獵捕主動回應
03 02 2023
邁達特啟用Check Point HEC解決方案,打造強大的雲端郵件安全防線
本文擷取自資安人
邁達特選用Check Point Harmony Email & Collaborations不僅保護自我,也希望為客戶打造參考典範。
MetaAge邁達特(更名前:聚碩科技)為「IT 智能化最佳夥伴」,專注引進全球最先進的資訊服務軟硬體產品,全面滿足企業客戶在資訊系統領域的需求。基於在資訊服務領域累積的深厚底蘊,邁達特深知企業在推動IT轉型的過程中,面臨的最大阻礙便是資安威脅。
因此邁達特長期關注資安威脅發展態勢,也追蹤資安領導大廠發佈的專業研究報告。其中Check Point的分析報告指出,自2018年至2022年上半,經由郵件傳遞惡意程式的佔比從33%攀升至89%,讓邁達特有所警戒,認定郵件防護為當務之急。
邁達特採用 Microsoft 365,搭配微軟進階威脅防護(ATP)服務,已建立堅強的郵件保護力,為了更加滴水不漏地偵測釣魚信件、偽冒/惡意網址或惡意附檔,規劃建立第二道安全防線,與既有的ATP聯袂組成郵件的縱深防護機制;不僅保護自我,也希望為客戶打造參考典範。經過審慎的測試與評估,選用Gartner雲端郵件安全魔力象限的領導者Avanan解決方案,亦即現在的Check Point Harmony Email & Collaborations(HEC)。
直覺式UI介面,易於執行中/後調查
邁達特資訊長吳叩清表示,急欲建立雲端郵件的縱深防禦,一來是因應當前駭客慣用的攻擊模式,二來則是為了遵循臺灣證券交易所發佈的「上市櫃資通安全控管指引」,其中第18條的第3點要求設置電子郵件過濾機制,以及第6點要求設置進階持續性威脅攻擊防禦措施。邁達特身為上市櫃企業,自然必須恪遵主管機關的規範。
上述指引當中的第27條,要求針對人員使用電子郵件、即時通訊軟體訂定管控規則;這部份也牽動到邁達特後續的資安決策,只因HEC不僅保護郵件安全,也能有效防範經由Teams、OneDrive或SharePoint等管道衍生的內部威脅。
具體來說,邁達特選擇HEC,主要基於幾個關鍵理由。首先HEC,上線作業相對簡易,用戶無須執行繁瑣設定,只需輸入微軟管理員帳號,便能輕鬆啟動自動化上線程序,完全不會增加人力負擔。
其次HEC的UI介面直覺簡潔,管理者不必繁複點擊,即可透過單一頁面綜覽郵件解析結果,以及郵件來源位址、惡意附件和網址的偵測結果,有助提升事中/後調查效率。再者經過模擬測試,證實HEC可多偵測到約10~20%可疑郵件。
更重要的,HEC「躲藏」於原生郵件之後,攻擊者看不到它的存在,所以沒有任何嘗試Bypass的空間。
採取Prevention模式,大幅降低調查人員工時
不僅如此,HEC支援獨特的In-line Prevention Mode,迥異於其他方案慣用的Detection Mode,對資訊人員來說,是極為討喜的亮點。
我們做一個前提假設,某公司平均每週收到2,500封郵件,經ATP過濾後平均會認定900封可疑郵件,若採取Detection Mode,資訊人員須逐一複判,確認沒有問題才傳送給同仁。一方面,資訊部門需要投入可觀的調查人力工時,導致人員的負擔急遽升高;二方面,容易導致資訊人員不堪告警轟炸,索性放棄逐件調查,可能讓惡意信件乘隙潛入,對企業帶來重大危害。
反觀Check Point的Prevention Mode採取相反作法,會即時將900封可疑信件全數擋下,再將相關訊息發送給當事人;假設同仁認為遭到誤攔,可向資訊部門申請放行,這時資訊人員只需專注調查這些信件,以決定放行與否。調查數量通常僅剩原來的10分之1不到,大幅降低資訊部門投入事後調查與處理的負擔。
而HEC除支援In-line Prevention Mode外,也支援Mirror Mode。一般企業在上線之初,都會先採取Mirror Mode,利用AI/ML技術學習內部郵件行為樣態,以建立正常基線,完成學習後即可進入Prevention Mode。以邁達特為例,於2022年10月底上線啟用HEC後,先行採取Mirror Mode,之後歷經兩階段轉換(優先將技術同仁的郵件收發調整為Prevention Mode),迄至年底才全面開啟Prevention模式。
自啟用HEC以來,邁達特資訊部門投入郵件調查的時間,已較導入前驟降近99%,換言之經由HEC即時阻擋的可疑信件中,使用者回報誤攔的比例僅1%,代表資訊部門不需再耗時查驗大量信件。
另外在產品實證階段,邁達特悉心準備幾個特殊考題。譬如假設有人透過Teams、OneDrive或SharePoint,從A網域傳遞有害檔案或網址給B網域的同事,證實都能被HEC即時偵測,有效阻斷這些內部威脅。此外邁達特設計一封偽冒成CEO發出交辦信件,模擬BEC(Business Email Compromise)攻擊,結果HEC再次通過考驗,準確地攔下這個可能讓各個企業陷入財務危機的禍患。
藉由這次導入及測試,邁達特充分理解到,Check Point Harmony Email & Collaborations實在是因為憑藉高偵測率、低作業負擔、直覺式介面等優勢,果真讓企業從容應對層出不窮的雲端郵件攻擊。而邁達特也希望以本次導入經驗為基石,期許未來能為企業用戶提供更多相關雲端防護方案服務及資安研究報告;畢竟隨著攻擊型態趨於規模化與複雜化,已使資安防禦難度激增,邁達特期望協助企業持續引入新的技術能量,有效擴大資安診斷、評估、監控與分析範圍,藉此強化資安靭性、確保永續經營。
關於 MetaAge邁達特
MetaAge邁達特,舊名聚碩科技,蟬聯多年中華徵信社台灣地區電腦系統整合服務業第一名。擁有國際知名品牌之軟硬體產品線、原廠認證之技術人才、綿密廣佈之市場通路、堅實的諮詢與維護服務。MetaAge邁達特協助企業雲地整合、全方位進行數位轉型,以智動化提升企業人均產值,成為元宇宙世代IT智能化的最佳夥伴。歡迎至MetaAge邁達特官網瀏覽:www.metaage.com.tw
邁達特啟用Check Point HEC解決方案,打造強大的雲端郵件安全防線
02 02 2023
Apple App Store的第一個 CryptoRom 詐騙的假 App
本文擷取自資安人
Sophos最新報告《詐騙 App 潛入 Apple 和 Google 應用程式商店》中,發布了對 CryptoRom 詐騙的最新發現。這是一場精心策劃的金融詐騙,誘使交友 App 的用戶進行假的加密貨幣投資。該報告詳細介紹了首批成功繞過 Apple 嚴格安全控管的假 CryptoRom 應用程式 ─ Ace Pro 和 MBM_BitScan。而在之前,網路罪犯分子只能試圖說服受害者下載未在 Apple App Store 上架的非法 iPhone App。Sophos 立即通知 Apple 和 Google;緊接著兩家公司都從各自的商店中刪除了這些詐騙 App。
Sophos 資深威脅研究員 Jagadeesh Chandraiah 表示:「一般來說,惡意軟體很難通過 Apple App Store 的安全審查流程。這就是為什麼當我們最初開始調查針對 iOS 用戶的 CryptoRom 詐騙時,詐騙者必須先說服用戶先安裝設定檔,然後才能安裝假的交易 App。顯然,這需要一些額外的社交工程手法才行,而且很難達成。當許多潛在受害者無法直接下載一個據稱合法的 App 時,他們會『警覺』到某些事情不對勁。但若將 App 上架到 App Store 上,詐騙分子就能大大增加潛在的受害者對象,因為絕大多數用戶都會信任 Apple。這兩款 App 也不受 iOS 最新鎖定模式的影響,該模式可防止詐騙分子載入用於社交工程的行動設定檔。事實上,CryptoRom 詐騙分子很可能正在根據鎖定模式中的安全功能改變他們的策略,並專心設法繞過 App Store 審查流程。」
例如,為了引誘被 Ace Pro 騙過的受害者,詐騙者會建立並積極維護一個假的 Facebook 帳號,和一個據稱在倫敦過著奢華生活的女性角色。在與受害人搭上線後,騙子會建議受害人下載詐騙 App Ace Pro,然後展開加密貨幣詐騙。
Ace Pro 在應用商店中被歸類於 QR 碼掃描器,但實際上是一個詐騙加密貨幣交易平台。打開這個 App 後,用戶會看到一個可以存取款項的交易介面。但是,任何存入的錢都會直接流向詐騙者。為了繞過 App Store 的安全措施,Sophos 認為詐騙者在 App 最初提交審查時,先將其連線到用途正當的遠端網站。該網域包含用於 QR 掃描的程式碼,因此 App 審核者會認為它是合法的。然而,一旦該 App 獲得核准,詐騙者就會將該 App 重新導向到另一個在亞洲註冊的網域。該網域會發送一個請求,讓來自另一台主機的內容進行回應,最終回傳的是假的交易介面。
MBM_BitScan 也是適用於 Android 的 App,但它在 Google Play 上被稱為 BitScan。這兩個 App 都使用相同的命令和控制 (C2) 基礎架構進行通訊;然後,此 C2 基礎架構會與類似於日本合法加密公司的伺服器進行通訊。所有其他惡意內容都是經由網頁介面處理,這就是為什麼 Google Play 的程式碼審查人員很難偵測出它是詐騙 App 的原因。
CryptoRom 是被稱為「殺豬盤」詐騙家族的一個子集,其是一個組織嚴密的聯合詐騙活動,結合使用交友社交工程、詐騙性加密貨幣交易 App 和網站,用來引誘受害者並在獲得信任後竊取他們的金錢。兩年來,Sophos 一直在追蹤和回報這些騙取數百萬美元的騙局。
Apple App Store的第一個 CryptoRom 詐騙的假 App
30 01 2023
超過 4000 台未更新的 Sophos 防火牆裝置,仍含有遠端執行任意程式碼漏洞 CVE-2022-3236
本文擷取自資安人
資安廠商 VulnCheck 旗下的資安研究人員,近日撰寫報告指出網通設備大廠 Sophos 生產的防火牆產品,在去年遭發現內含遠端執行任意程式碼漏洞 CVE-2022-3236,且原廠已於 2022 年 12 月發布更新,但現今仍有 99% 以上已售出且連網的 Sophos 防火牆並未套用更新,仍含有該漏洞。
CVE-2022-3236 的 CVSS 危險程度評分高達 9.8 分(滿分為 10 分),危險程度評級為最高的「嚴重」等級。
CVE-2022-3236 漏洞存於 Sophos 的用戶入口與 Web 管理介面中,Sophos 於去年 9 月時通報此漏洞,且警告已觀察到有駭侵者利用該漏洞大規模發動攻擊;該廠並於去年 12 月推出該漏洞的修補更新。
不過距更新推出約一個月後,VulnCheck 的資安專家仍然發現,有超過 4000 台以上連接網路的 Sophos 防火牆裝置仍未安裝該更新,因此仍然受到該 CVE-2022-3236 漏洞的影響。
Sophos 受影響的防火牆產品分為兩類,較新款者其自動更新選項預設為啟用,因此可以自動接收並安裝該漏洞的修補程式,而舊款者需要手動進行更新。
此外,由於 Sophos 防火牆的 Web 管理介面,其登入程序預設須要輸入 CAPTCHA,因此也減低了駭侵者通過登入驗證的機率。
目前駭侵者針對 Sophos 防火牆 CVE-2022-3236 漏洞發動攻擊的區域,主要集中在南亞地區。
建議 Sophos 防火牆用戶應檢視其硬體版本是否可以自動接收並套用 hotfix 更新,若為無法自動更新的舊機型,應隨時注意資安更新訊息並即時套用更新。
超過 4000 台未更新的 Sophos 防火牆裝置,仍含有遠端執行任意程式碼漏洞 CVE-2022-3236
第 1 頁
第 2 頁
第 3 頁
第 4 頁
第 5 頁
第 6 頁