全部文章分享

  • 螢幕擷取畫面 2023-06-26 132706.png

    台灣居冠全球! 2023 年首季平均每週遭攻擊逾 3,000 次

             本文擷取自資安人

    Check Point® Software Technologies Ltd. 的威脅情報部門 Check Point Research 指出今年第一季全球每週攻擊次數年增率為 7%,各組織平均每週遭受 1,248 次攻擊;台灣受攻擊次數為全球 2.6 倍,居各國之首,各組織每週遭受 3,250 次攻擊,年增率 24%。
     
    雖然全球網路攻擊次數增幅不大,但 Check Point 近期不僅發現了迄今最快的加密勒索軟體,顯示出網路犯罪猖獗;更觀察到駭客攻擊手法日趨複雜,開始利用合法工具進行非法牟利。例如技術不純熟的網路犯罪份子也能透過 ChatGPT 生成程式碼,將木馬植入 3CX 電腦版應用程式中發動供應鏈攻擊,並濫用微軟安裝訊息佇列(Microsoft Message Queuing,MSMQ)中的重大 RCE 漏洞。
     
    Check Point 建議資安長應時時保持警覺,專注於制定和推行可以消除所有盲點和漏洞的資安策略,建議採用整合式解決方案提供端到端的預防性控制,抵禦新一代資安攻擊。無論是影子 IT(Shadow IT)的開發環境、遠端存取或電子郵件都可能成為破口,資安長須留意組織內是否採取適當的網路分段(Segmentation),以防止攻擊擴散、縮小影響範圍;同時應考量組織是否具備資安事故應變能力,減少服務中斷的時間並加快復原速度。
    各產業受攻擊情況
    教育與研究機構為 2023 年第一季的攻擊重災區,各組織每週平均遭受 2,507 次攻擊,年增率 15%,因許多機構在轉為線上學習後仍無力確保其擴充網路架構及存取點的安全。政府和軍事機構則為第二大攻擊目標,每週平均遭受 1,725 次攻擊,年增率 3%。醫療保健機構受攻擊次數也顯著增加,每週平均遭受 1,684 次攻擊,年增率 22%;零售業的增幅最大,每週平均遭受 1,079 次攻擊,年增率高達 49%。
                                              

    五大網路安全建議


    即時安裝修補程式:為降低組織受勒索軟體攻擊的可能性,務必確保電腦及伺服器維持在最新狀態並及修補,尤其是被標記為重要的修補程式。 
     
    資安意識培訓:經常實行資安意識培訓對防護組織免遭勒索軟體攻擊十分重要,務必提醒員工注意以下項目:

    切勿點擊惡意連結
    切勿打開陌生或不受信任的附件
    避免將個人或敏感資料透露給網路釣魚者
    在下載前驗證軟體的合法性
    切勿將未知 USB 安裝於電腦上 
     


    加強威脅防護:因大多數的勒索軟體攻擊都可即時被偵測並解決,建議組織部署自動化威脅檢測和防禦措施,強化安全防護。 
     
    即時更新軟體:勒索軟體攻擊者有時會利用應用程式和軟體中的漏洞發動攻擊,組織必須制定修補程式管理策略,確保所有團隊成員即時更新至最新版本的軟體以採用相關修補程式。 
     
    預防優於檢測:許多人聲稱網路攻擊在所難免,唯一解決之道是進行技術投資,以便在網路遭駭後能及早檢測降低損失。然而,其實組織不僅可以攔截攻擊,也能夠預先防範零日攻擊和未知惡意軟體等;採用合適技術可以協助企業在不中斷業務的情況下,防範大多數、甚至是最複雜的攻擊。
    more
  • 螢幕擷取畫面 2023-05-08 164553.png

    Sophos X-Ops 發現東南亞地區線上博弈玩家遭受進階型攻擊

             本文擷取自資安人

    Sophos X-Ops 追蹤了東南亞地區線上博弈玩家遭受的多起攻擊。發動該攻擊的駭客組織被稱為「Dragon Breath」、「APT-Q-27」或「Golden Eye Dog」。他們欺騙玩家下載 Telegram、Let's VPN 和 WhatsApp 的惡意安裝程式。最終,他們會植入一個後門程式,可以竊取受害者加密貨幣錢包中的加密貨幣。

    為了成功從受害者竊取財物,這個駭客組織使用了一種新穎的技術,稱為「雙重」DLL 側載 (sideloading)。初始的安裝程式會先側載一個無害的應用程式,這個應用程式又會預載另一個無害的應用程式。然後,這第二個無害的應用程式會再次側載惡意載入器的 DLL,最終安裝有害的後門程式。這種多層式的 DLL 側載使惡意活動更難以被發現。

    到目前為止,Sophos已經在菲律賓、日本、台灣、新加坡、香港和中國都發現了受害者。Sophos X-Ops 將繼續追蹤這個惡意活動。

    Sophos 威脅研究總監 Gabor Szappanos 表示:「自 2022 年 8 月以來,我們一直在追蹤這些鎖定東南亞六個國家的中文線上博弈社群的攻擊。雖然針對這個社群的攻擊並非罕見,但是我們過去沒有見過這種將另一個無害應用程式新增到原有無害應用程式中,以進一步混淆惡意 DLL 側載的特殊技術。DLL 側載長期以來一直是這個地區一些最先進的攻擊者喜歡使用的方法,我們觀察到他們不僅繼續使用這種方法,而且在外部改進它。同時需要注意的是,這些攻擊組織 (無論是有意還是無意地) 會彼此分享攻擊手法。針對線上博弈這個社群的攻擊方法通常是低調進行的,但是由於同儕意識,其他組織可能會採用和修改這種方法,並以完全不同的目的和受害者目標為目標。 」
    more
  • 螢幕擷取畫面 2023-05-03 094221.png

    Check Point:沃爾瑪、DHL 及微軟為今年第一季網路犯罪者最常冒充品牌

           本文擷取自資安人

    Check Point® Software Technologies Ltd.的威脅情報部門 Check Point Research 發佈《2023 年第一季品牌網路釣魚報告》,列出今年第一季網路犯罪者企圖竊取個人資料或付款資訊時最常冒充的品牌。跨國零售巨頭沃爾瑪(Walmart)(16%)從去年底的第 13 名躍升至本季榜首,因先前曾遭假冒發動網路釣魚攻擊,誘騙受害者點擊與「供應系統崩潰」相關的惡意連結;緊接在後的分別是 DHL(13%)及微軟(Microsoft)(12%)。就整體產業來觀察,科技業最常被冒充,其次為運輸和零售業。
     
    此外,報告中特別提及攻擊者會利用金融組織竊取帳戶資料,排名第 8 的瑞福森銀行(Raiffeisen Bank)於本季首次上榜。在假冒為瑞福森銀行的釣魚攻擊中,攻擊者會企圖引誘收件人點擊惡意連結,以確保帳戶免於詐騙活動侵害,而受害者的個人資料在點擊後會旋即落入攻擊者手中。
     
    Check Point Software 數據研究經理 Omer Dembinsky 表示:「犯罪集團希望透過這些網絡釣魚攻擊誘騙更多人洩漏個人資料。在某些情況下攻擊者是想取得帳戶資訊,就如同瑞福森銀行所遭遇的事件;而另一種攻擊目的則是竊取付款資料,例如冒充熱門串流平台 Netflix 所發動的釣魚攻擊。然而,防範網路釣魚攻擊的最佳方式仍是增進相關知識;企業應為員工提供適當培訓,讓他們有能力辨別可疑跡象,例如拼錯的網域、錯別字、錯誤日期及其他透露出其為惡意電子郵件或連結的細節。」
     
    在品牌網路釣魚攻擊中,犯罪分子會試圖使用與真實網站相似的網域名稱或 URL 以及網頁設計,來模仿知名品牌的官方網站。導向詐騙網頁的連結可透過電子郵件或簡訊發送給目標對象,並在瀏覽網頁期間被重新導向,也可能經由詐騙應用程式觸發;其中,詐騙網站通常會設計一個用於竊取用戶憑證、付款明細或其他個人資料的表單。
     
    2023 年第一季最常被用於網路釣魚攻擊的品牌
    全球所有網路釣魚攻擊的品牌出現率排名如下:


    沃爾瑪(16%)
    DHL(13%)
    微軟(12%)
    LinkedIn(6%)
    FedEx(4.9%)
    Google(4.8%)
    Netflix(4%)
    瑞福森銀行(3.6%)
    PayPal(3.5%) 

    瑞福森銀行網路釣魚電子郵件—帳戶竊取範例


    以下範例為攻擊者試圖透過網路釣魚郵件竊取用戶的瑞福森銀行帳戶資料。信件的寄件人名稱雖為「Raiffeisen」,但 Webmail 位址為「support@raiffeisen-info[.]com」;主旨則是以羅馬尼亞文撰寫「尚未啟用新的 SmartToken 服務」,信件內容則提到受害者須啟用 SmartToken 服務確保帳戶免於詐騙活動侵害,並附上一個引誘受害者點擊的惡意連結「https://urlz[.]fr/kxnx」,企圖竊取其帳戶。




    主旨為 「尚未啟用新的 SmartToken 服務」惡意電子郵件


    Netflix 網路釣魚詐騙—企圖竊取付款資訊


    在 2023 年第一季 Check Point 曾發現一封冒充 Netflix 的惡意網路釣魚電子郵件。這封看似來自「Netflix」的電子郵件,實際上來自一個 Webmail 地址「support@bryanadamstribute[.]dk」;其主旨為「請更新—帳戶暫停服務」,信中聲稱收件人的 Netflix 帳戶因次期帳單未授權已暫停服務,並提供一個續訂連結要求受害者輸入付款資訊,但該連結卻將使用者導向惡意網站「https://oinstitutoisis[.]com/update/login/」,企圖竊取其付款資訊。
    more
  • 螢幕擷取畫面 2023-10-25 163651.png

    資安專家示警:Windows 系統管理者應立即修補嚴重的 MSMQ QueueJumper 漏洞

    資安專家示警:Windows 系統管理者應立即修補嚴重的 MSMQ QueueJumper 漏洞
    more
  • 螢幕擷取畫面 2023-05-03 100606.png

    2022年釣魚郵件激增569%

             本文擷取自資安人

    根據最新公佈的分析報告,2022年釣魚郵件的發送量驚人地增長了569%。

    Cofense 研究人員使用人工和機器學習分析篩選了來自 3500 萬用戶的全球數據資料後,發布了最新的《電子郵件安全狀態報告》,顯示2022年釣魚郵件的驚人增長。

    該電子郵件安全報告揭示了五個具體的趨勢:

    憑證釣魚郵件數量激增了478%;
    Emotet和QakBot是觀察到的頭號惡意軟體家族;
    商業電子郵件犯罪(BEC)連續第八年排名第一;
    Web3的使用率增加341%;
    在資料外洩方面,Telegram機器人使用增加800%。

    Cofense資安長 Tonia Dudley在談到電子郵件安全報告時表示:「網路安全形勢在不斷變化,因此及時掌握最新的趨勢和策略至關重要。國家級攻擊和整體重大事件的增加,持續對董事會、企業高管和資安保險公司等施加壓力,以推動組織的安全計劃的可視度。」
    more
  • 螢幕擷取畫面 2023-05-03 095617.png

    Sophos: 多數亞太組織認為無法單獨應對現今網路威脅

                 本文擷取自資安人

    Sophos發布《2023 年網路安全現況:攻擊者對防禦者造成的業務影響》調查報告,揭露亞太地區和日本的 93% 組織執行一些重要的安全性作業 (如威脅捕獵) 時遇到難題。問題包含理解攻擊是如何發生的,其中 76% 的受訪者表示他們很難找出事件背後的根本原因。在這種情況下,組織可能會難以進行適當的修復,容易受到相同或不同攻擊者的重複和/或多重攻擊,特別是當有 71% 的受訪者回報表示他們無法及時進行修復時。

    此外,74% 的受訪者表示他們無法找出哪些訊號/警示需要調查,71% 的受訪者回報他們不知道如何安排調查的優先順序。

    Sophos 商業現場技術長 John Shier 表示:「全球只有五分之一的受訪者認為漏洞和遠端服務是 2023 年最重要的網路安全風險,但在現實上,這些風險經常被主動的攻擊者所利用。這一連串作業上的問題,代表這些組織無法看到全貌,並可能根據不正確的資訊採取行動。沒有比過度自信地犯錯更糟糕的了。進行外部稽核和監控有助於消除盲點。我們可以像攻擊者一樣檢視您的系統。」

    其他發現還包括:

    50% 的受訪組織表示,現在的網路威脅對他們來說太先進了,無法單獨應對
    63% 的受訪組織希望 IT 團隊可以花更多時間處理戰略性的問題而非回應威脅,55% 的受訪者表示,對付網路威脅的時間已經影響了 IT 團隊在其他專案上的工作
    雖然 94% 的受訪者表示他們正在與外部專家合作來擴大作業範圍,但大多數仍然會參與威脅管理,而非全面採取委外的方法

    Shier 表示:「當今的威脅需要及時和協調的回應。不幸的是,太多組織都只能採取被動的守勢。這不僅會影響組織的核心業務,還對人員造成了巨大的影響。全球超過一半的受訪者表示,網路攻擊讓他們輾轉難眠。免除猜測,並根據可操作的情報採取防禦性控制,可以讓 IT 團隊將重心放在推動業務上,而不是試圖撲滅永無止盡的主動式攻擊。」
    more
  • 螢幕擷取畫面 2023-12-06 102216.png

    Sophos 展示如何讓 ChatGPT 成為網路安全的副駕駛

          本文擷取自iThome

    Sophos 是創新和提供網路安全即服務的全球領導者,今天發布一份網路安全業界如何利用 GPT-3 (即眾所周知的 ChatGPT 架構背後的語言模型) 當作輔助來協助擊敗攻擊者的最新研究。最新報告「適用於你我的 GPT:在網路防禦中使用 AI 語言處理」詳細介紹了 Sophos X-Ops 開發的幾個專案,他們使用 GPT-3 的大型語言模型簡化在安全軟體的資料集中搜尋惡意活動,更準確地過濾垃圾郵件,並加快了對「就地取材」(LOLBin) 攻擊的分析。
    Sophos 首席威脅研究員 Sean Gallagher 表示:「自從 OpenAI 在去年 11 月推出 ChatGPT 以來,安全社群關注重點都是在這項新技術是否會帶來潛在的風險。人工智慧能否幫助潛在的攻擊者編寫惡意軟體,或是幫網路犯罪分子寫出更具說服力的網路釣魚電子郵件?或許是吧,但是 Sophos 長期以來一直將 AI 視為防禦人員的盟友,而不是敵人,我們將 AI 視為 Sophos 的基礎技術,就連 GPT-3 也不例外。安全社群不僅應該注意潛在風險,還應該關心 GPT-3 帶來的無窮機會。」

    Sophos X-Ops 研究人員,包括 SophosAI 首席資料科學家 Younghoo Lee 等,一直致力於三個原型專案,用於展示將 GPT-3 當作網路安全防禦人員助手的潛力。這三者都使用一種稱為「小樣本學習」的技術,只用少量資料樣本來訓練 AI 模型,減少必須收集大量預分類資料的需要。

    Sophos 使用少樣本學習方法測試的第一個應用是自然語言查詢介面,用於篩選安全軟體遙測中的惡意活動,特別是在 Sophos 旗下端點偵測和回應產品中測試了這個模型。透過這個介面,防禦人員可以使用基本的英文命令過濾遙測數據,而無需了解 SQL 或資料庫的底層結構。

    接下來,Sophos 使用 ChatGPT 測試了一個新的垃圾郵件篩選器,並發現與其他用於垃圾郵件篩選的機器學習模型相比,使用 GPT-3 的篩選器明顯更準確。最後,Sophos 研究人員開發了一個程式來簡化對 LOLBins 命令列進行逆向工程的程序。這種逆向工程是出了名的困難,但對於理解 LOLBins 的行為以及在未來如何阻止此類攻擊非常重要。

    Gallagher 補充說:「安全營運中心越來越關注的問題之一是傳入的『雜訊』太多。需要整理的通知和偵測結果太多,但許多公司卻都只有有限的資源。我們已經證明,透過 GPT-3 之類的技術,我們可以簡化某些勞力密集型的程序,將寶貴的時間歸還給防禦人員。我們已經將上述一些原型整合到我們的產品中,並且在 GitHub 上為那些有興趣在自己的分析環境中測試 GPT-3 的人提供了我們的研究成果。未來,我們相信 GPT-3 很可能成為安全專家的標準副駕駛。」

    到 Sophos.com 取得「適用於你我的 GPT:在網路防禦中使用 AI 語言處理」報告,了解更多 GPT-3 將如何協助防禦人員的詳細資訊。
     
    more
  • 螢幕擷取畫面 2023-03-09 170459.png

    Check Point Software: 高達48%的EMAIL夾帶惡意檔案以微軟office檔案佯裝

             本文擷取自資安人

    根據 Check Point Software《2023 年網路安全報告》,規模更小且靈活的駭客和勒索軟體團體正鎖定混合辦公環境下的合法協作工具;從新型變異勒索軟體的興起,到東歐與中東衝突地區蔓延的駭客激進主義。2023 年企業須審慎防範的三大網路威脅為:

    駭客激進主義:由國家支持的網路攻擊行動可匿名又免於罰則,導致此類行動和駭客主義間的界限逐漸模糊;非附屬於國家的駭客組織也更具組織規模,攻擊效率也更高。 
     
    勒索軟體:勒索軟體的攻擊行動變得更加難以追蹤和究責,依賴偵測加密行動的現有保護機制恐日漸失效;未來企業應該專注偵測資料清除和外洩。

    尤其Check Point Software提醒發生在台灣的勒索攻擊事件高於全球平均四倍。就行業而言,Check Point Software 台灣區總經理劉基章點名醫療行業須留意,「全球平均來看,駭客對醫療行業的攻擊價值比其他行業高三倍。」 
     
    雲端上的第三方風險:各組織於 2022 年受雲端網路攻擊的次數遽增,年增率達 48%。攻擊者轉向掃描雲端服務供應商的 IP 位址範圍,顯示出其對存取機密資訊和重要服務的濃厚興趣。 

    劉基章表示,近六個月來台灣企業或組織每周平均被攻擊3205次,高於全球平均次數1181次
    。大多數攻擊都是從EMAIL郵件夾帶惡意檔案開始。惡意檔案的三大類型是Banking Trojan (Danabot)、RAT(AgentTesla)木馬病毒、Botnet(Danabot)殭屍病毒。演變至今,有高達48%的惡意檔案是以微軟office檔案佯裝,如: .xls, .docx, . pptx.. 檔等。
     
    因此Check Point Software提醒企業資安長在未來一年應更重視防範措施,包括降低複雜性彌補網路技能落差、限制雲端配置錯誤衍伸的成本,善用自動化和人工智慧檢測人眼未能及時發現的網路風險。
     
    Check Point Software 大中華區董事總經理何偉國指出:「2023 將成為新 AI 元年,蓬勃發展的生成式 AI 雖降低了打造惡意程式的門檻,但如何發揮 AI 的潛力卻更為關鍵,企業可善用此技術打擊愈加複雜的網路攻擊。」



     Check Point Software 台灣區技術總監傅國書(左)、Check Point Software 大中華區董事總經理何偉國(中)、Check Point Software 台灣區總經理劉基章右)


    Check Point 3C絕佳防護理念
    Check Point Software Technologies Ltd. 今年適逢公司創立 30 週年,推3C絕佳防護理念(3Cs of Best Security),協助企業加強資安防禦。3C指的是更全面(Comprehensive)、更整合(Consolidated)且更協作式(Collaborative)的解決方案理念。新產品包含:


    Check Point Quantum SD-WAN
    10,000 個以上的應用程式和用戶優化路由,實現次秒級容錯移轉(failover),解決連網不穩定的問題、確保網路會議不中斷。全新擴增功能為用戶和企業各據點提供一致的安全性和連接性;結合 Quantum SD-WAN 和 Harmony Connect(SSE)打造一套由 Check Point Infinity 雲端平台管理的 SASE 解決方案。 

    Check Point Horizon XDR/XPR
    透過智慧資料關聯分析(correlation)阻止來自電子郵件、雲端、網路和端點等管道的攻擊手法;即時執行全面的資安資產威脅防禦,快速識別看似無害的事件並找出其關聯性以發現網路攻擊。Check Point Horizon XDR/XPR 不僅能夠立即採取阻止和結束程序、隔離資產和資料夾等防禦措施,還可整合 Check Point 和第三方資安產品;持續從危害指標(IOC)、全球威脅情勢、Check Point 研究及第三方情報等多個資料集中獲取資訊,透過威脅情資和事件關聯分析持續改善資安態勢。 
     
    Check Point Infinity Spark
    高達 99.7% 的防禦捕獲率可替中小企業提供AI 安全防護和整合式連接能力,跨網路、電子郵件、辦公室、端點及移動設備提供企業級安全防護,保護中小企業免受網路釣魚、勒索軟體、憑證盜竊及網域名稱系統(DNS)攻擊。
     



    AI資安木馬SD-WAN
    more
  • 螢幕擷取畫面_20230221_050641.png

    16 個 NPM 詐騙測速程式套件用來挖掘加密貨幣

            本文擷取自資安人

    資安廠商 CheckPoint 旗下的資安研究人員,近日發現一組共 16 個冒充為網路速度測試工具的 NPM 程式套件,表面上無害,但實際上會盜用受害電腦的資源,為駭侵者挖掘加密貨幣。

    NPM 是網路上著名的開源 JavaScript 程式庫,內含 220 萬種以上的開源 JavaScript 程式套件,提供開發人員自由使用,以加速程式開發的速度。

    CheckPoint 是在 2023 年 1 月 17 日時發現這些惡意程式套件,全都由一個用戶名稱為「trendava」的 NPM 帳號上傳到 NPM 程式庫中;該公司立即通報 NPM,NPM 則在隔日將這 16 個惡意程式套件下架。

    這 16 個惡意 NPM 程式套件,名稱大多和網路速度測試有關,列表如下:

    lagra
    speedtesta
    speedtestbom
    speedtestfast
    speedtestgo
    speedtestgod
    speedtestis
    speedtestkas
    speedtesto
    speedtestrun
    speedtestsolo
    speedtestspa
    speedtestwow
    speedtestzo
    trova
    trovam

    CheckPoint 指出,這 16 個惡意軟體,雖然目的都是挖掘加密貨幣,但每個套件中惡意程式碼使用的手法都略有不同。CheckPoint 認為,駭侵者可能是要藉以觀察哪種方式比較不容易遭到防毒防駭機制發覺阻擋。

    鑑於這類開放程式庫中經常混入駭侵者上傳的惡意套件,建議程式開發者在利用這些方便的套件前,必須先仔細檢視其 source code,以辨識其中是否夾帶惡意程式碼。
    more
  • 螢幕擷取畫面_20230216_054940.png

    從加密貨幣轉黃金,網路詐騙擴大中

           本文擷取自資安人

    Sophos公佈了兩個位於亞洲、規模龐大且仍在運作的殺豬盤 (sha zhu pan) 騙局的詳細資訊,這些精心設計且過程漫長的金融詐騙可能會使受害者損失數千美元。其中一個總部設在香港,牽涉到一個假黃金交易市場,而另一個總部設在柬埔寨,與中國的組織犯罪有聯繫,在短短一個月內就透過加密貨幣淨賺了 50 萬美元。

    在這兩個騙局中,詐騙者分別直接透過 Twitter 和私聊直接鎖定 Sophos 首席威脅研究員 Sean Gallagher,而不是透過傳統的交友 App 來尋找受害者。Sophos《愚人金:剖析一個假黃金市場的殺豬騙局》報告重點在詐騙分子設於香港總部的內部運作,展示這些騙子如何提高他們的技術複雜性以引誘和詐騙目標。
     
    Sophos 首席威脅研究員 Sean Gallagher 說:「兩年來,我們一直在追蹤並回報這些殺豬騙局下的一個子項,稱為 CryptoRom。這是一種特殊的交友詐騙,詐騙者利用人們熱衷交友的誘惑,透過交友 App 接近潛在受害者,然後要求他們使用詐騙性的加密貨幣交易 App。但 CryptoRom 實際上只是冰山一角。自新冠疫情開始以來,這種類型的網路詐騙已大規模擴展。這些騙子現在以所有主要社群媒體平台,甚至是私聊來鎖定目標,此外他們不只會利用加密貨幣,還會利用黃金和其他形式的貨幣或交易來吸引受害人。他們實際上是無所不用其極。」
     
    在 Gallagher 調查的第一個騙局中,他花了三個月的時間與一名在 Twitter 上直接聯繫他的騙子進行了互動。詐騙者假扮成一名來自香港的 40 歲女性,她很快就試圖將對話平台轉移到 WhatsApp。然後,騙子試圖說服 Gallagher 投資一個假黃金交易市場,吹捧她與她據稱是前高盛分析師的『馬丁叔叔』的關係。然後,她將他引導帶到一個網站,該網站複製了一家名為 Mebuki Financial 的合法日本銀行公司,該銀行有提供外匯和商品交易服務。
     
    雖然與 Sophos 調查 的其他案例相比,此騙局的社交工程手段還不夠好,但它象徵這類集團的技術成熟度顯著提高了。詐騙者巧妙地結合了高效率的搜尋引擎最佳化、精美的詐騙頁面以誘使新客戶在假 Mebuki 網站上「註冊」,以及包含惡意程式碼的海盜版合法交易 App (MetaTrader 4),以便從受害者那裡竊取資金。他們還積極更新該騙局的詐騙基礎架構,以避免被關閉。
     
    Gallagher 補充說:「這兩個騙局仍在運作,而且很難關閉。雖然我們將攻擊者在香港使用的網域名稱和 IP 地址標記為惡意,但他們的詐騙活動已經轉移到新的網域。他們已經為他們的海盜版 MetaTrader App 準備了新的下載位置,因此現在我們實際上是在玩『打地鼠』的遊戲。不幸的是,隨著騙局的範圍越來越廣,更多地區和不同平台會被鎖定,這就是現實。從加密貨幣轉成黃金,也表明這些集團可以多麼容易地找到一個新的利基市場來下手。這意味著最好的防禦措施就是讓大眾意識到這些詐騙類型。人們應該警惕來自陌生人的任何簡訊、交友 App 或社交媒體私聊。這些陌生人會發起對話,然後建議將聊天平台轉移到 WhatsApp 或 Telegram,尤其是當他們聲稱可以從加密貨幣或其他交易中獲利時。」
    more
  • 螢幕擷取畫面_20230213_053805.png

    Check Point CloudGuard 雲端原生安全平台打造智慧風險管理引擎

            本文擷取自資安人

    Check Point Software Technologies Ltd. 為其 Check Point CloudGuard 整合式雲端原生安全平台(CNAPP)新增全新風險管理引擎及多項強化功能,包括智慧風險優先排序、無代理掃描、權限管理和工作管線安全(pipeline security);這些新功能注重情境、速度和自動化,支援雲端安全操作,再也無須面對傳統型獨立雲端安全警報的複雜性和提示噪音,資安團隊將能專注打造從程式碼到雲端的全面威脅防禦,同時強化 DevOps 敏捷性。
     
    企業持續導入雲端和數位轉型,《Check Point 2022 年雲端安全報告》指出 35% 受訪者在雲端運行超過 50% 工作負載,但 72% 受訪者非常擔心雲端安全、76% 受訪者表示難以同時管理來自多家雲端廠商的產品,這常導致配置錯誤、缺乏可視性和遭受網路攻擊;研究更顯示「配置錯誤」因需要人員全天候資安操作和衍生的警報疲勞,被視為導致資安事件的首要因素。
     
    在推出有效風險管理(Effective Risk Management,ERM)後,除了雲端身份和權限管理(Cloud Identity & Entitlement Management,CIEM)、無代理工作負載狀態(Agentless Workload Posture,AWP)和工作管線安全工具外,Check Point CloudGuard 現在更提供智慧風險優先排序,支援團隊在整個軟體開發生命週期中根據風險嚴重程度快速消除重大漏洞,例如配置錯誤和逾越權限的造訪。透過上述工具協作企業將只會收到簡單明瞭的建議,專注於至關重要的威脅,減少過往令人困擾的複雜指令,而簡化的建議也有助於減緩威脅。
     
    Check Point Software 雲端安全副總裁 TJ Gonen 表示:「隨著企業持續加速導入雲端,簡化雲端安全防護能力變得至關重要。通過新增有效風險管理和強化 Check Point CloudGuard 功能,我們可幫助企業將 CNAPP『左移(Shift Left)』,採取預防為主、易於管理的雲端安全方案。透過 Check Point 的情境式人工智慧和風險評分引擎,資安團隊不必再手動確定應優先處理哪些警報,而是交由機器完成;減輕此負擔後,客戶可以放心專注於將關鍵工作負載遷移至雲端。」

    Check Point CloudGuard 將最新工具統合至新一代 CNAPP 中,不僅可協助資安專業人員,更可通過左移工具消除 DevSecOps 的障礙。Check Point CloudGuard 發揮了整合式平台的能力和潛力、提供終端使用者營運價值,包括:

    有效風險管理:Check Point CloudGuard 的有效風險管理引擎能夠根據工作負載狀態、身份許可權、攻擊路徑分析及應用程式業務價值等完整情境排序風險,提供可執行的修補指令。資安團隊可專注於處理重大威脅,並以最小程度的安全防護管理達到最大效果。
     
    雲端身份和權限管理(CIEM):CIEM 功能可瞭解使用者和雲端服務的有效權限和識別風險,自動生成明確的最低權限角色建議,減少造訪並撤銷未使用的權限;將 CIEM 安裝至 ERM 後使用者可以瞭解自身權限,並在其雲端環境中執行最低權限原則。
     
    無代理工作負載狀態(AWP):AWP 將 Check Point CloudGuard 無代理基礎架構的可視性擴展到工作負載,可掃描並辨識虛擬機器、容器和無伺服器服務等雲端工作負載中的風險,包括配置錯誤、惡意軟體檢測、漏洞和金鑰。借助這種無代理部署模型,資安團隊能夠在維持效能的同時獲得大規模的深度工作負載安全可視性。
     
    工作管線安全:工作管線安全功能全面整合了 Spectral 的自動化程式碼安全服務,可檢測並解決 Check Point CloudGuard 中的配置錯誤、金鑰和漏洞問題;將「開發者優先」的工作負載擴展到 CI/CD 及工作管線,可在問題危害製造環境前快速解決。資安團隊能夠將 CNAPP 左移,從最初開始保護雲端應用程式安全。
    more
  • 螢幕擷取畫面_20230302_121941.png

    XDR跨界合力防制威脅 強調及時獵捕主動回應

              本文擷取自網管人
     
    驅動資安技術快速演進到擴展式偵測及回應(eXtended Detection and Response,XDR),藉由雲端平台建構資料湖(Data Lake),可存放大量非結構化資料,以便7×24小時地蒐集聯網裝置、網路傳輸、雲端平台等運行資料,讓後端系統可基於威脅情資運行關聯比對,主動發現攻擊活動以有效降低損害。

    SaaS模式訂閱資安服務

    根據Check Point威脅情報部門Check Point Research日前公開的2022年度網路攻擊趨勢統計,全球網路攻擊數量較2021年增加38%,特別是第四季度達到歷史新高,平均每個組織每週遭遇1,168次攻擊,最嚴重的前三個行業是教育/研究、政府、醫療。由於教育機構在COVID-19疫情大流行後快速地發展數位教學應用,開放全體師生採線上授課與學習,卻往往缺乏安全防護機制,因而成為攻擊者鎖定標的。從研究報告統計數據來看,教育/研究單位於2022年每個組織平均每週遭受2,314次攻擊,較2021年大幅增長了43%。

    Palo Alto Networks日前亦發布《網路安全的下一步》(What’s Next in Cyber)報告,針對全球1,300名垂直行業的高階管理層進行調查,96%的受訪者承認自家公司過去一年曾經歷過網路安全事件和數據洩漏事件,84%同意混合工作模式為主要因素。

    缺乏人力、工具與應變程序的企業或組織,大多會採用資安監控中心(SOC)的監控服務,透過基於資安事件管理系統(SIEM)與橫向調配與自動化執行回應(SOAR)建構的平台,掌握最新威脅情資(Threat Intelligence),進而搭配端點部署的EDR機制蒐集資料運行關聯分析,由專業研究團隊執行威脅獵捕,達成主動偵測與即時回應異常活動,讓資安風險受到嚴加管控。

    但對於多數IT規模不大、預算不足的企業而言,SOC監控服務過於昂貴,且端點須搭配EPP/EDR,偏重於偵測與回應能力,未必有能力抵禦先進的APT攻擊滲透。對此,XDR方案即可有所發揮,基於SaaS模式訂閱採用即可運行,降低導入部署與維運異質資安防護技術的複雜度。

    法規明定部署EDR可望驅動普及

    Palo Alto Networks台灣區技術總監蕭松瀛說明,威脅偵測與回應改成「X」,更強調擴展性,不僅著重於掌握端點,亦涵蓋雲端服務運行環境產生的資料,以及擷取網路連線封包內容,將這些全數存放於資料湖後,運用機器學習演算分析,輔助資安維運人員快速釐清與緩解風險。

    Check Point資安傳教士楊敦凱引述Gartner發布的XDR市場指南指出,XDR為新興解決方案,用於輔助資安維運團隊改善威脅預防、偵測與回應執行效率,目前的XDR市場尚在早期發展階段,訴求重點在於專精在處理資安事件,從感知、偵測到回應處理,整個流程得以藉由自動化方式運行,並運用市場現有的技術來落實。

    XDR組成元件包含前端感知器與後端控管平台。前端感知器即為企業熟知的EPP/EDR、網路偵測與回應(NDR)、防火牆、郵件安全、網頁安全閘道等技術,至少須具備超過三種以上。後端控管平台則多為SIEM與SOAR既有特性,例如資料湖、威脅情資、進階分析、事件調查、資源調度、自動化與回應執行引擎等元件,唯一特殊的是採以雲端交付模式,機敏性較高的產業未必可直接訂閱採用,未來或可改由當地MSP(託管服務供應商)來提供服務。



    Gartner發布的XDR市場指南說明,XDR組成元件包含前端感知器與後端控管平台。(資料來源:www.gartner.com)


    楊敦凱觀察,台灣企業或組織對於國際市場出現的新興技術看法較為保守,通常發展腳步通常較慢,XDR解決方案同樣如此。他進一步說明,當前台灣企業或組織熱門的議題為EDR、偵測與回應代管(MDR),主要驅動力來自2021年行政院頒布《資通安全管理辦法》子法修正條文,明文規定A、B級公務機關須部署端點偵測與應變(EDR)機制,同時完整介接資安弱點通報(VANS),因此近兩年正積極導入部署。

    資安技術專家實作拆解APT攻擊手法過程發現,須完整掌握端點產生的日誌才得以還原惡意程式滲透行徑,利用EDR工具蒐集便可追蹤到根本原因進而加以改善資安體質。但是實務上,多數端點設備較為老舊,例如桌機的記憶體只配置8G規格,若任意安裝資安軟體工具恐影響運行效能。再加上預算不足、人力有限,企業或組織只能階段性地汰換,或改採用MDR服務委外代管。

    XDR Alliance共推整合框架

    傳統SOC服務蒐集取得的資料,主要為偵測發現事故所產生,也就是防毒引擎掃描比對發現為已知惡意程式,逕行隔離檔案的動作,或者是防火牆設定的黑名單,當網路傳輸封包中比對發現時執行阻斷的記錄,皆為SOC蒐集用以關聯分析的資料來源。意味著SOC將受限於防禦機制的偵測能力,若防毒引擎、防火牆等資安技術皆無法辨識,SOC也無從得知相關行為資料。

    為了釐清攻擊活動行為軌跡並推論背後的意圖,SOC開始納入EDR完整記錄端點環境檔案執行所產生的資料,甚至是整合網路封包流量、雲端工作負載等異質技術環境產生的資料,依據MITRE ATT&CK框架定義進行關聯分析,釐清攻擊活動屬於狙殺鏈(Kill Chain)的執行階段,及其採用的策略、技術與執行程序(TTP),此時即可搭配SOAR方案預定義的劇本(Playbook)實作事件回應執行步驟,提高控管的有效性。

    如今XDR解決方案組成元件是由當前主流資安技術所建構而成,因此對於Check Point、Palo Alto Networks等次世代防火牆業者,抑或是Trellix等進階威脅防護技術供應商而言,先天即具備XDR方案的前端感知元件技術,只須擴展研發再將後端管理系統陸續運用雲端平台設計建構,以便獲取最新威脅情資,同時確保大數據系統的實體資源可彈性擴充,避免遭遇效能瓶頸。

    楊敦凱指出,XDR目前最大的挑戰在於整合與實現橫向溝通,為此國際市場自2021年開始出現XDR Alliance組織,期望制定出開放框架,讓資安領域的API得以遵循標準格式,以便彼此互通與交換資料。目前加入的成員除了資安技術供應商,亦包含MSSP、MDR、系統整合商、專業顧問服務等領域,共同協助企業調整配置、導入部署與維運XDR框架,實踐以拓撲圖方式呈現關聯性與歸納分析結果,針對高風險環節採以Playbook執行回應,或提出建議操作步驟,可大幅降低資安維運門檻、提高工作效率,不僅減少人為疏失的機會,亦可讓資安人才缺口問題得到緩解,確保數位應用場域營運韌性。
    more