全部文章分享

         本文擷取自資安人






邁達特選用Check Point Harmony Email & Collaborations不僅保護自我，也希望為客戶打造參考典範。



MetaAge邁達特（更名前：聚碩科技）為「IT 智能化最佳夥伴」，專注引進全球最先進的資訊服務軟硬體產品，全面滿足企業客戶在資訊系統領域的需求。基於在資訊服務領域累積的深厚底蘊，邁達特深知企業在推動IT轉型的過程中，面臨的最大阻礙便是資安威脅。

因此邁達特長期關注資安威脅發展態勢，也追蹤資安領導大廠發佈的專業研究報告。其中Check Point的分析報告指出，自2018年至2022年上半，經由郵件傳遞惡意程式的佔比從33%攀升至89%，讓邁達特有所警戒，認定郵件防護為當務之急。

邁達特採用 Microsoft 365，搭配微軟進階威脅防護（ATP）服務，已建立堅強的郵件保護力，為了更加滴水不漏地偵測釣魚信件、偽冒／惡意網址或惡意附檔，規劃建立第二道安全防線，與既有的ATP聯袂組成郵件的縱深防護機制；不僅保護自我，也希望為客戶打造參考典範。經過審慎的測試與評估，選用Gartner雲端郵件安全魔力象限的領導者Avanan解決方案，亦即現在的Check Point Harmony Email & Collaborations（HEC）。

直覺式UI介面，易於執行中／後調查

邁達特資訊長吳叩清表示，急欲建立雲端郵件的縱深防禦，一來是因應當前駭客慣用的攻擊模式，二來則是為了遵循臺灣證券交易所發佈的「上市櫃資通安全控管指引」，其中第18條的第3點要求設置電子郵件過濾機制，以及第6點要求設置進階持續性威脅攻擊防禦措施。邁達特身為上市櫃企業，自然必須恪遵主管機關的規範。

上述指引當中的第27條，要求針對人員使用電子郵件、即時通訊軟體訂定管控規則；這部份也牽動到邁達特後續的資安決策，只因HEC不僅保護郵件安全，也能有效防範經由Teams、OneDrive或SharePoint等管道衍生的內部威脅。

具體來說，邁達特選擇HEC，主要基於幾個關鍵理由。首先HEC，上線作業相對簡易，用戶無須執行繁瑣設定，只需輸入微軟管理員帳號，便能輕鬆啟動自動化上線程序，完全不會增加人力負擔。

其次HEC的UI介面直覺簡潔，管理者不必繁複點擊，即可透過單一頁面綜覽郵件解析結果，以及郵件來源位址、惡意附件和網址的偵測結果，有助提升事中／後調查效率。再者經過模擬測試，證實HEC可多偵測到約10~20%可疑郵件。

更重要的，HEC「躲藏」於原生郵件之後，攻擊者看不到它的存在，所以沒有任何嘗試Bypass的空間。

採取Prevention模式，大幅降低調查人員工時

不僅如此，HEC支援獨特的In-line Prevention Mode，迥異於其他方案慣用的Detection Mode，對資訊人員來說，是極為討喜的亮點。

我們做一個前提假設，某公司平均每週收到2,500封郵件，經ATP過濾後平均會認定900封可疑郵件，若採取Detection Mode，資訊人員須逐一複判，確認沒有問題才傳送給同仁。一方面，資訊部門需要投入可觀的調查人力工時，導致人員的負擔急遽升高；二方面，容易導致資訊人員不堪告警轟炸，索性放棄逐件調查，可能讓惡意信件乘隙潛入，對企業帶來重大危害。

反觀Check Point的Prevention Mode採取相反作法，會即時將900封可疑信件全數擋下，再將相關訊息發送給當事人；假設同仁認為遭到誤攔，可向資訊部門申請放行，這時資訊人員只需專注調查這些信件，以決定放行與否。調查數量通常僅剩原來的10分之1不到，大幅降低資訊部門投入事後調查與處理的負擔。

而HEC除支援In-line Prevention Mode外，也支援Mirror Mode。一般企業在上線之初，都會先採取Mirror Mode，利用AI/ML技術學習內部郵件行為樣態，以建立正常基線，完成學習後即可進入Prevention Mode。以邁達特為例，於2022年10月底上線啟用HEC後，先行採取Mirror Mode，之後歷經兩階段轉換（優先將技術同仁的郵件收發調整為Prevention Mode），迄至年底才全面開啟Prevention模式。

自啟用HEC以來，邁達特資訊部門投入郵件調查的時間，已較導入前驟降近99%，換言之經由HEC即時阻擋的可疑信件中，使用者回報誤攔的比例僅1%，代表資訊部門不需再耗時查驗大量信件。

另外在產品實證階段，邁達特悉心準備幾個特殊考題。譬如假設有人透過Teams、OneDrive或SharePoint，從A網域傳遞有害檔案或網址給B網域的同事，證實都能被HEC即時偵測，有效阻斷這些內部威脅。此外邁達特設計一封偽冒成CEO發出交辦信件，模擬BEC（Business Email Compromise）攻擊，結果HEC再次通過考驗，準確地攔下這個可能讓各個企業陷入財務危機的禍患。

藉由這次導入及測試，邁達特充分理解到，Check Point Harmony Email & Collaborations實在是因為憑藉高偵測率、低作業負擔、直覺式介面等優勢，果真讓企業從容應對層出不窮的雲端郵件攻擊。而邁達特也希望以本次導入經驗為基石，期許未來能為企業用戶提供更多相關雲端防護方案服務及資安研究報告；畢竟隨著攻擊型態趨於規模化與複雜化，已使資安防禦難度激增，邁達特期望協助企業持續引入新的技術能量，有效擴大資安診斷、評估、監控與分析範圍，藉此強化資安靭性、確保永續經營。

關於 MetaAge邁達特

MetaAge邁達特，舊名聚碩科技，蟬聯多年中華徵信社台灣地區電腦系統整合服務業第一名。擁有國際知名品牌之軟硬體產品線、原廠認證之技術人才、綿密廣佈之市場通路、堅實的諮詢與維護服務。MetaAge邁達特協助企業雲地整合、全方位進行數位轉型，以智動化提升企業人均產值，成為元宇宙世代IT智能化的最佳夥伴。歡迎至MetaAge邁達特官網瀏覽：www.metaage.com.tw

          本文擷取自資安人

Sophos最新報告《詐騙 App 潛入 Apple 和 Google 應用程式商店》中，發布了對 CryptoRom 詐騙的最新發現。這是一場精心策劃的金融詐騙，誘使交友 App 的用戶進行假的加密貨幣投資。該報告詳細介紹了首批成功繞過 Apple 嚴格安全控管的假 CryptoRom 應用程式 ─ Ace Pro 和 MBM_BitScan。而在之前，網路罪犯分子只能試圖說服受害者下載未在 Apple App Store 上架的非法 iPhone App。Sophos 立即通知 Apple 和 Google；緊接著兩家公司都從各自的商店中刪除了這些詐騙 App。

Sophos 資深威脅研究員 Jagadeesh Chandraiah 表示：「一般來說，惡意軟體很難通過 Apple App Store 的安全審查流程。這就是為什麼當我們最初開始調查針對 iOS 用戶的 CryptoRom 詐騙時，詐騙者必須先說服用戶先安裝設定檔，然後才能安裝假的交易 App。顯然，這需要一些額外的社交工程手法才行，而且很難達成。當許多潛在受害者無法直接下載一個據稱合法的 App 時，他們會『警覺』到某些事情不對勁。但若將 App 上架到 App Store 上，詐騙分子就能大大增加潛在的受害者對象，因為絕大多數用戶都會信任 Apple。這兩款 App 也不受 iOS 最新鎖定模式的影響，該模式可防止詐騙分子載入用於社交工程的行動設定檔。事實上，CryptoRom 詐騙分子很可能正在根據鎖定模式中的安全功能改變他們的策略，並專心設法繞過 App Store 審查流程。」

例如，為了引誘被 Ace Pro 騙過的受害者，詐騙者會建立並積極維護一個假的 Facebook 帳號，和一個據稱在倫敦過著奢華生活的女性角色。在與受害人搭上線後，騙子會建議受害人下載詐騙 App Ace Pro，然後展開加密貨幣詐騙。

Ace Pro 在應用商店中被歸類於 QR 碼掃描器，但實際上是一個詐騙加密貨幣交易平台。打開這個 App 後，用戶會看到一個可以存取款項的交易介面。但是，任何存入的錢都會直接流向詐騙者。為了繞過 App Store 的安全措施，Sophos 認為詐騙者在 App 最初提交審查時，先將其連線到用途正當的遠端網站。該網域包含用於 QR 掃描的程式碼，因此 App 審核者會認為它是合法的。然而，一旦該 App 獲得核准，詐騙者就會將該 App 重新導向到另一個在亞洲註冊的網域。該網域會發送一個請求，讓來自另一台主機的內容進行回應，最終回傳的是假的交易介面。 

MBM_BitScan 也是適用於 Android 的 App，但它在 Google Play 上被稱為 BitScan。這兩個 App 都使用相同的命令和控制 (C2) 基礎架構進行通訊；然後，此 C2 基礎架構會與類似於日本合法加密公司的伺服器進行通訊。所有其他惡意內容都是經由網頁介面處理，這就是為什麼 Google Play 的程式碼審查人員很難偵測出它是詐騙 App 的原因。

CryptoRom 是被稱為「殺豬盤」詐騙家族的一個子集，其是一個組織嚴密的聯合詐騙活動，結合使用交友社交工程、詐騙性加密貨幣交易 App 和網站，用來引誘受害者並在獲得信任後竊取他們的金錢。兩年來，Sophos 一直在追蹤和回報這些騙取數百萬美元的騙局。

              本文擷取自資安人

資安廠商 VulnCheck 旗下的資安研究人員，近日撰寫報告指出網通設備大廠 Sophos 生產的防火牆產品，在去年遭發現內含遠端執行任意程式碼漏洞 CVE-2022-3236，且原廠已於 2022 年 12 月發布更新，但現今仍有 99% 以上已售出且連網的 Sophos 防火牆並未套用更新，仍含有該漏洞。

CVE-2022-3236 的 CVSS 危險程度評分高達 9.8 分（滿分為 10 分），危險程度評級為最高的「嚴重」等級。

CVE-2022-3236 漏洞存於 Sophos 的用戶入口與 Web 管理介面中，Sophos 於去年 9 月時通報此漏洞，且警告已觀察到有駭侵者利用該漏洞大規模發動攻擊；該廠並於去年 12 月推出該漏洞的修補更新。

不過距更新推出約一個月後，VulnCheck 的資安專家仍然發現，有超過 4000 台以上連接網路的 Sophos 防火牆裝置仍未安裝該更新，因此仍然受到該 CVE-2022-3236 漏洞的影響。

Sophos 受影響的防火牆產品分為兩類，較新款者其自動更新選項預設為啟用，因此可以自動接收並安裝該漏洞的修補程式，而舊款者需要手動進行更新。

此外，由於 Sophos 防火牆的 Web 管理介面，其登入程序預設須要輸入 CAPTCHA，因此也減低了駭侵者通過登入驗證的機率。

目前駭侵者針對 Sophos 防火牆 CVE-2022-3236 漏洞發動攻擊的區域，主要集中在南亞地區。

建議 Sophos 防火牆用戶應檢視其硬體版本是否可以自動接收並套用 hotfix 更新，若為無法自動更新的舊機型，應隨時注意資安更新訊息並即時套用更新。

       本文擷取自資安人

Check Point® Software Technologies Ltd.的威脅情報部門 Check Point Research近期研究指出，自 2020 年中起網路攻擊數量便持續上升，於 2021 年末創下歷史新高，全球每間機構每週平均遭受 925 次網路攻擊；與 2020 年相比，2021 年企業網路每週遭受的攻擊數量增長了 50 %。台灣的機構在去年則是每週平均遭受 2,644 次網路攻擊，較 2020 年增加 38 %。
 

每周台灣受惡意軟體攻擊比例


2021 年 12 月，全球遭受高危險漏洞 Log4j 每小時發動數百萬次攻擊，因此在不到一個月的時間，2021 年竟成為網路安全史上破紀錄的一年。根據去年 10 月 Check Point Research 報告指出，2021 年全球網路攻擊規模增長了 40 %，全球每週平均每 61 間機構就有 1 間遭受勒索軟體影響。

各產業受攻擊情況
2021 年，教育與研究機構成為攻擊重災區，各機構每週平均遭受 1,605 次攻擊，較 2020 年增長了 75 %。其次為政府和軍事機構，每週平均遭受 1,136 次攻擊（增長 47 %）、通訊業每週平均遭受 1,079 次攻擊（增長 51 %）。


強化資安2大策略思維


預防勝於治療：攻擊規模大、波及範圍廣，且有巨大攻擊表面的第五代網路攻擊，是資安業者面臨的最大挑戰之一。比起拼湊式、無法有效整合的基礎設施，一個整合式的安全架構能夠提供更快速、更全面的防護；而一個能夠先發制人的安全架構正是 Check Point Infinity 的核心。 
 
任何地方皆為破口：為達成有效防護，各機構應採用能夠保護所有攻擊表面及攻擊手法的整合式解決方案；在當今企業的混合環境中，威脅無處不在，更應隨處佈署安全防護。電子郵件、網頁流覽、伺服器和儲存安全只是基礎，手機 App、雲端和外部儲存安全防護已成為企業必備；連網的行動裝置和端點設備的合規性、日益增長的物聯網設備資產保護也不能掉以輕心；多雲和混合雲環境中的工作負載、容器和無伺服器應用程式更必須隨時受到安全防護。 


維持網路環境的「衛生」


安裝修補程式：攻擊者經常利用尚未安裝修補程式的已知漏洞入侵網路，各機構務必確認所有系統和軟體皆已安裝最新修補程式。  
 
採取分段防護：各機構內部應進行網路分段防護，並在網段之間佈署強大的防火牆和 IPS（入侵防禦系統），防止威脅散播至整個網路。  
 
教育員工識別潛在威脅：提升資安意識一直是避免惡意軟體感染的關鍵因素，因為具高度資安意識的使用者通常能夠有效阻止攻擊發生。建議機構對使用者進行資安培訓，確保他們能夠第一時間向資安團隊回報異常狀況。 
 
佈署最先進的安全技術：沒有任何單一技術能夠防止機構免於所有威脅及攻擊手法，不過目前已存在許多先進解決方案，包含機器學習、沙箱、異常檢測、內容威脅解除等；每項技術都能夠在特定情境、檔案類型或攻擊手法中發揮作用，其中最關鍵的是用於檔案檢測的威脅萃取（Threat Extraction）和進階沙箱技術威脅模擬（Threat Emulation）。綜合使用提供不同防護作用的技術即可構成一套全面的解決方案，於網路和端點設備防範未知惡意軟體。

          本文擷取自資安人

Check Point® Software Technologies Ltd.的威脅情報部門 Check Point Research 發佈最新 2022 年網路攻擊趨勢，指出 2022 年全球網路攻擊年增率達 38%；台灣各組織平均每週遭受 3,118 次攻擊，年增率為 10%，其中遭攻擊次數最多的產業分別為金融與銀行業（4,664 次）、製造業（3,705 次）及政府與軍事機構（2,884 次）。
 
全球攻擊次數增長可歸因於更小型、更敏捷的駭客和勒索軟體團體，利用居家辦公環境中採用的協作工具發動攻擊，同時鎖定疫後轉為線上教學的教育機構；另一部分的攻擊則來自駭客對醫療機構產生的濃厚興趣，與其他產業相比醫療機構於 2022 年遭受的網路攻擊增幅最大。Check Point Research 表示隨著人工智慧技術日漸成熟，如 ChatGPT 的落地應用，網路攻擊在今年將愈演愈烈。
 
2022 年第四季全球網路攻擊量達歷史新高，各組織平均每週遭受 1,168 次攻擊；而 2022 全年全球遭受最多次網路攻擊的產業分別為教育與研究機構、政府與軍事機構和醫療機構。非洲地區為遭受攻擊次數最多的地區，各組織平均每週遭受 1,875 次攻擊，其次為亞太地區的 1,691 次攻擊。與 2021 年相比，2022 年網路攻擊增幅最大的三個地區分別為北美洲（+52%）、拉丁美洲（+29%）和歐洲（+26%）。

其中，台灣受攻擊次數最多的產業依序為金融與銀行業、製造業、政府與軍事機構。

各組織平均每週遭受攻擊次數及年增率（按地區劃分）


勒索軟體生態系統在 2022 年不斷演變，網路犯罪團體為規避法律制裁改以更小、更敏捷的規模行動。駭客也逐漸擴大攻擊目標範圍，利用網路釣魚程式瞄準 Slack、Microsoft Teams、Microsoft OneDrive 和 Google Drive 等協作工具發動攻擊，主要原因在於全球多數組織的員工皆繼續實行遠距辦公，而這些協作工具中通常包含大量敏感資料。
 
教育機構因疫情轉為提供線上課程後，也淪為網路犯罪分子的重點攻擊對象，更成為 2022 年的全球首要目標，所遭受的網路攻擊數量年增 43%，平均每週遭受 2,314 次攻擊。許多教育機構未能充分準備便突然轉為線上教學，駭客因而可輕易透過各種手段入侵其網路；中小學和大學更面臨著如何落實兒童及青少年資安教育的挑戰，因許多人會使用自己的設備在公共區域學習，或經常連接公共 WiFi 而絲毫不考慮資安問題。
 
Check Point Software 數據研究經理 Omer Dembinsky 指出：「全球網路攻擊日益增加，在 2022 年企業網路平均每週遭受的網路攻擊數量便相較去年增加 38%，我們看到多種網路威脅趨勢同時出現；而不幸的是，Check Point Software 預期網路攻擊活動將有增無減。隨著 ChatGPT 等人工智慧技術逐漸普及，駭客將能夠以更快的速度自動化生成惡意程式碼和惡意電子郵件。做好自我防護的關鍵為將『預防』作為首要任務，而非著重於『檢測』；建議各組織實行資安培訓課程、即時安裝修補程式和導入反勒索軟體技術等措施，盡可能降低受到攻擊或資料外洩的可能性。」



2022 年各組織平均每週遭受攻擊次數及年增率（按產業劃分）


四大網路安全建議


資安意識培訓：經常實行資安意識培訓對於防護組織免遭勒索軟體攻擊十分重要，務必提醒員工注意以下項目： 


切勿點擊惡意連結
切勿打開陌生或不受信任的附件
避免將個人或敏感資料透露給網路釣魚者
在下載前驗證軟體的合法性
切勿將未知 USB 安裝於電腦上
在連接不受信任或公共 WiFi 時使用 VPN 
 


即時安裝修補程式：即時更新電腦及安裝修補程式，尤其是被標記為重要的修補程式，將可降低組織受勒索軟體攻擊的可能性。 
 
即時更新軟體：勒索軟體攻擊者有時會在應用程式和軟體中發現漏洞，並利用這些漏洞發動攻擊；不過開發人員也會主動搜尋新漏洞並開發相應的修補程式，若組織想採用這些修補程式，就必須制定修補程式管理策略，確保所有團隊成員即時更新至最新版本的軟體。 
 
預防先於檢測：許多人聲稱攻擊在所難免，唯一解決之道為進行技術投資，以便在網路遭駭後能及早檢測降低損失。但事實上組織不僅可以攔截攻擊，也能夠預防零日攻擊和未知惡意軟體等攻擊；採用合適技術可以使企業在不中斷業務的情況下，防範大多數、甚至是最複雜的攻擊。

          本文擷取自資安人

Acronis發布最新2022年終網路威脅與趨勢報告，指出網路釣魚和多因素驗證（Multi-Factor Authentication）疲勞攻擊愈演愈烈，而MFA是備受矚目的攻擊事件中，被廣泛使用的一種極高效攻擊手法。此份報告由Acronis旗下網路防護營運中心所製作，內容針對網路威脅趨勢提供深度剖析，包括勒索軟體威脅、網路釣魚、惡意網站、軟體漏洞和2023年的安全預測等。
 
其中值得注意的是，報告指出來自網路釣魚和惡意電子郵件的威脅提升60%。預估到2023年，數據外洩事件的平均成本將達到500萬美元。製作報告的研究小組亦發現，社交工程（Social Engineering）攻擊在過去四個月大幅攀升，占所有攻擊事件的3%。資料外洩或憑證遭竊，使駭客輕易發動網路攻擊和勒索軟體活動，是2022上半年近半數通報案件的起因。
 
Acronis網路防護研究副總裁Candid Wüest指出：「事實證明，過去數月情況和以往一樣複雜 —新興威脅層出不窮，惡意行為者繼續利用被證明有效的相同劇本，來謀取龐大的利益。展望新的一年，為因應網路釣魚和其他駭客攻擊，組織須優先考慮全方位的解決方案。駭客不斷精進其攻擊手法，而今更利用常見的安全工具來對付我們，像是許多公司賴以保護員工和業務的MFA就是例子之一。」
2023年預測重點：威脅形勢愈見嚴峻
雖然資安策略與相關技術不斷進化，但道高一尺，魔高一丈，試圖突破組織及其生態系統防線的威脅行為者，攻擊手法亦日益精進。勒索軟體、網路釣魚和未修補的漏洞，再再顯示企業重新評估其資安策略的重要性。 
 
勒索軟體仍是頭號威脅


勒索軟體對業務營運的威脅日益嚴重，包括政府、醫療保健、教育和其他產業。
2022年下半年，每月有200至300個組織，淪為勒索軟體集團眼中的待宰羔羊。
勒索軟體市場由四至五個經營者主導。截至2022年第三季末，各大經營者的攻擊目標家數如下：

 LockBit - 1157
 Hive - 192
 BlackCat - 177
 Black Basta - 89


2022年第三季度曝光的勒索軟體攻擊事件共576起，較第二季略微上升。
勒索軟體攻擊事件總數，在7至8月創下夏季高峰後，第三季略有下降，Acronis觀察到全球攔截的勒索軟體攻擊次數增加49%，但隨後於9月和10月分別下降12.9%和4.1%。

勒索軟體攻擊事件總數，在7至8月創下夏季高峰後，第三季略有下降。


由於主要的威脅行為者，在營運上持續朝專業化分工邁進，Acronis指出隨著大多數的大型參與者，紛紛將目標擴展到MacOS、Linux系統與雲端環境，數據洩露將變本加厲。 

網路釣魚和惡意電子郵件，仍是高成功率的駭客入侵管道


2022年7月至10月期間，在惡意軟體攻擊方面，網路釣魚攻擊比例上升了1.3倍，佔所有電子郵件攻擊的76%（高於2022上半年的58%）。
垃圾郵件比例提升了15%以上，佔入站總流量的30.6%。
2022年10月，美國受害客戶數占22.1%，成為首當其衝的重災區，其次為德國（8.8%）和巴西（7.8%）。美國和德國微幅成長，金融木馬威脅尤為嚴重。  
在惡意軟體方面，韓國、約旦和中國，是第三季受害最深的國家。
分析受電子郵件攻擊最嚴重的50個組織，結果顯示以下產業是受攻擊的首要目標：

建設 
零售 
房地產
專業服務（電腦和IT）
金融


在2022年第三季，有平均7.7%的用戶端點嘗試進入惡意網址，較2022年第二季的8.3%略微下降。 

惡意行為者繼續尋找目標，並瞄準未修補的系統


雖然軟體供應商定期或經常釋出修補程式，但仍不足以抵擋攻勢。許多攻擊之所以成功得逞，起因為未修補的漏洞。
Acronis繼續觀察並向企業和家庭用戶發出警訊，指出新的零時差漏洞和舊的未修補漏洞，是破壞系統的首要攻擊媒介。
Microsoft：

2022年九月，駭客利用英國女王伊麗莎白二世辭世的新聞，假冒「知名科技公司的團隊」的名義，向其用戶寄送釣魚信，以打造悼念女王的線上留言板為由，引誘收件者前往留言。
另一個大規模的網路釣魚活動，是以身份驗證的Microsoft M365電子郵件服務作為途徑，並特別鎖定美國、英國、紐西蘭和澳洲的金融科技、金融、會計、保險和聯邦信用協會(Federal Credit Union)組織。