原标题:企业资安防骇 勿把鸡蛋放同一篮
云端服务方兴未艾,企业大量使用第三方服务,但骇客透过攻击服务供应商,“间接入侵”企业核心风险也剧增。对此资诚建议,企业要做好资安“鸡蛋就不要放在同个篮子里。
资诚会计师事务所近期与资安业者BAE Systems合作,揭发一个名为“云端跳跃行动”的新型态骇客攻击手法,骇客借由入侵IT代管服务供应商,窃取MSP业者的客户智慧财产和商业机密。
资诚表示,这个恶名昭彰的骇客组识APT10,其别名包括MenuPass、Stone Panda、Red Apollo及CVNX等,曾针对日本、印度、澳洲、美国、加拿大等15个国家的MSP业者进行攻击,锁定的目标领域包括工程、科技、零售、能源与矿业,制药与生命科学及政府机构等。
资诚指出,APT10不仅攻击具有高经济价值的系统,同时也在非执行关键任务的系统上安装恶意程式,降低被发现的风险。为了确保可以持续存取受害者主机系统,除了持续安装及更新恶意程式外,骇客也利用系统排程或Windows的服务来维持恶意程式的运作,使其不受系统重新启动的影响。
此外,在感染其它系统的过程中,一旦发现该系统没有对外连网的能力时,骇客还会删除系统中的恶意程式,湮灭证据。
资诚企业管理顾问公司执行董事张晋瑞表示,相较于过往骇客锁定目标逐一进行直接攻击的方法,这种新型态的跳板攻击方式,让骇客只要攻陷一家MSP业者,就能利用客户端资讯基础设施共享的特性,在MSP与其及客户之间做横向跳跃,窃取大量目标客户的机敏资料。
张晋瑞表示,这种间接式的攻击手法大大增加骇客的入侵成效,让这些协助客户管理其资讯系统的委外代管业者,成为骇客的箭靶;MSP的服务就如同用一个篮子装著许多鸡蛋,一旦该篮子不安全,里面的蛋也会遭殃。
张晋瑞也提醒,企业不宜把所有的资安期待寄托在MSP业者身上,企业资源有限,应该要先评估什么是“皇冠上的宝石”,找出对企业最重要的资产并分类分级,排出优先顺序,采用不同层级的保护,例如透过安全的加密方式保护核心资产,避免将机敏资料未经保护的放在云端平台上,以免一旦MSP业者被攻陷,企业机敏资料也跟着外泄。
相关:
进军对话商务市场,微软企业级Chatbot引擎能快速界接多种对话通道,打造通用型Chatbot更容易
微软释出自然语言理解的服务LUIS是微软Cognitive Service中其中一项服务,提供开发人员透过Cognitive Service简单的介面开发Chatbot,企业可用Bot Framework将Chatbot接上第三方的通讯平台。 图片来源: 微软 早在2
由Cheers杂志举办的2017新世代最向往企业调查,今年迈入第12年,进榜11年都高居前5名的诚品,掀起书店文化,以多角化经营让文青看见无限可能,挤下去年榜首台积电,勇夺冠军。Cheers杂志今天举行2017新世代最向往企
台积电董事长张忠谋表示,虽然创新或转型固然是成长的好办法,不过,国家、企业成长不一定需要创新转型。张忠谋出席经济50大论坛,演讲“成长与创新-不变的恒值”;张忠谋表示,成长一定需要,创新也需要,成长指的
法国男子尝试孵蛋法国男子尝试孵蛋3周后成功孵化一颗鸡蛋真是神奇。据法新社4月19日报道,法国44岁的艺术家亚伯拉罕·伯安什瓦尔(AbrahamPoincheval)在10个鸡蛋上坐了3星期后,终于在18日成功孵化出第一颗鸡蛋。真
台湾微软今公布领先业界、延续原有福利再进化的4大有薪假种,包含产假20周、陪产假6周、领养假6周与家庭照顾假4周,共36周、180天的全薪给付休假,堪称幸福企业。台湾微软表示,此福利将提供员工在职场冲刺外也能兼