美國國家安全局(National Security Agency, NSA)與網路安全暨基礎設施安全局(Cybersecurity and Infrastructure Security Agency, CISA)於今年 10 月時,聯名公布該單位旗下紅隊與藍隊共同歸納出的 10 大最常見網路資安設定錯誤,以供各公私單位參考並解決問題。
最常見資安錯誤設定第一名為使用軟體與應用程式的預設組態,包括使用預設登入資訊、使用預設的服務存取權限設定等;駭侵者只要用簡單的搜尋,就能找到各種軟硬體的預設登入帳密,並取得系統的存取權限,甚至進行進一步的駭侵攻擊。
第二名為未適當區隔使用者與管理者權限,這會造成一般低階使用者擁有太多不必要的管理權限,駭侵者只要利用釣魚攻擊等手法取得一般使用者存取權,即可進行各種進階操作,甚至提升己身權限以執行進階駭侵攻擊。
第三名為內部網路監控能力不足,許多單位未對主機和內部網路的流量進行充分的監控,可能導致偵測不到駭侵攻擊活動,或是缺少足夠的資料用以分析或應對資安威脅。
第四名為缺少網路分段作為,這可能導致未經授權的使用者或駭侵者,可以輕易存取關鍵內部網路資源;這種錯誤特別易使勒贖攻擊者輕易取得單位機敏資訊。
第五名為資安漏洞修補不充分,導致系統存有已知漏洞,容易遭致駭侵者用於攻擊;第六名為可略過的系統存取控制,這將使駭侵者或未經授權者可輕易存取系統,甚至提升執行權限。
第七名為不夠強或錯誤設定的多重登入驗證,包括設定錯誤的智慧卡或代碼產生器,或是缺少能抵抗釣魚攻擊的多重登入驗證程序,都將使取得登入資訊的駭侵者極易入侵系統。第八名是對網路分享資源與服務存取限制不足,駭侵者可輕易使用共享資料夾,或使用未關閉的服務來存取系統。
第九名是密碼管理強度不足,包括易於猜測破解的密碼,甚至是以明文儲存的密碼,都無法有效抵擋駭侵者攻擊;第十名則為未限制的程式碼執行,這使駭侵者只要掌握登入資訊,即可執行各種攻擊用程式碼酬載,嚴重危及系統安全。
建議各公私單位可以參考此指南,檢視並加強現存的資安防護設定錯誤,以提高資安攻擊的防護能力。twcert 發表在 痞客邦 留言(0) 人氣(1)
由於雲端服務具有高擴展性、高方便性以及高運算彈性,因此企業透過雲端部署服務的比例逐漸增長。然而駭客逐漸改變攻擊模式,鎖定雲端服務,而雲端服務的漏洞數量也不斷增長,企業在處理雲端安全的議題時,仍以傳統資安架構及防禦模式來處理,因此容易形成資安防禦層面的缺口。twcert 發表在 痞客邦 留言(0) 人氣(0)
1. 簡介
加密勒索軟體Ransomware為一種透過資料加密手法讓受害者失去資料存取或系統的控制的惡意程式,且如不支付贖金給犯罪組織,則將無法取回受加密的資料。因犯罪組織利用這種不法模式獲利,也是其被稱為「勒索軟體」的原因。
twcert 發表在 痞客邦 留言(0) 人氣(8)
1. 簡介
為了因應日益猖獗的勒索軟體攻擊,美國國土安全及基礎設施安全局 (Cybersecurity and Infrastructure Security Agency, CISA) 的資訊安全評估工具 (Cyber Security Evaluation Tool, CSET) 已納入新模組 – 勒索軟體防護機制自評工具(Ransomware Readiness Assessment, RRA),協助組織診斷自身資安防護機制是否健全與足夠應對勒索軟體攻擊。
twcert 發表在 痞客邦 留言(0) 人氣(8)
什麼是勒索軟體?勒索軟體是一種惡意軟體,以加密設備上的文件來威脅受害者,要求受害者支付贖金(通常是加密貨幣)才能解密文件,還會嘗試傳播感染網路上其他設備,無差別或是針對具有高價值的目標攻擊。twcert 發表在 痞客邦 留言(0) 人氣(23)
英國國家網路安全中心(National Cyber Security Centre,NCSC)制定小型企業網路安全指南(Small Business Guide: Cyber Security),提出幾個重要構面,協助小型企業以及個體戶提升資訊安全,降低受駭風險。twcert 發表在 痞客邦 留言(0) 人氣(2)
近期發現有偽冒銀行名義詐騙案例,詐騙集團假借各家銀行名義發送釣魚信件及簡訊,請客戶提供網路銀行相關登入或交易驗證資料,騙取用戶個資等相關資料。詐騙簡訊內容以網路銀行版本更新、綁定用戶帳號等理由,發送釣魚信件及簡訊,請客戶點選連結,有銀行客戶按照指令操作,結果收到匯款完成通知,高達數十萬的存款一夕之間被匯出,才知道收到的是詐騙簡訊,近期陸續有民眾受害,因此特地提醒,對於可疑或不清楚之網址,必須輸入網路銀行登入帳號密碼或交易驗證資訊時,請民眾務必特別留意,以免上當受騙。twcert 發表在 痞客邦 留言(0) 人氣(92)
資安宣導 (2)