2013年1月31日 星期四

詐騙份子會想用我的資料做些什麼


詐騙份子會想用我的資料做些什麼

順帶一提,我想起當我跟鄰居提起我在資訊安全界工作時,他的下個問題就是:「這些詐騙份子為什麼想要我的資料?」越多人問我這個問題,也就越加明顯地,使用者資料是非常有價值的。

DLP

當你知道,只要花五美元就可以在地下論壇或網站購買你所有的個人資料,會感到很驚訝嗎?有些人可能還會驚訝地發現,被販賣的資訊還遠遠不止於你的姓名和地址。

在地下論壇被提到的「Fullz」所包含的不只是信用卡號碼、姓名和出生日期。「Fullz」通常透過幾種方式傳遞。首先,可能是文字檔或CSV檔案,一個包含所有資料,用逗號分隔的檔案。所有被蒐集來的個人細節都會包含在該檔案中,方便閱覽。此外,「Fullz」也可能透過可攜式資料庫格式來傳遞,像是MDF檔案,方便輸入本地端資料庫。你還可以找到註冊帳號時的個人問題,還有駕照資訊、社會安全號碼以及其他資料。



這些詐騙份子很邪惡,卻不代表沒有生意頭腦。如下圖,一個賣方提供折扣給大量購買的訂單。

 

這些詐騙份子還提供轉錄(Dumps)資料出售,這是來自你信用卡磁條的原始數據。除了轉錄(Dumps)資料,他們也賣塑片(Plastics),用來寫入轉錄(Dumps)資料的空白卡。

最後,為了讓詐騙活動更加容易,攻擊者也販賣銀行帳戶登錄資訊和高階電子產品。被賣的銀行帳戶可以直接用來存取錢,不再需要買轉錄(Dumps)資料和塑片(Plastics)了,只需要使用你的銀行登錄資訊,並且把錢轉走。

高階電子產品也可以用合理的價格在黑市上販賣。這些詐騙份子利用偷來的信用卡資料來以零售價購買設備,並且在網路上折扣價出售以換取現金。



詐騙份子可以用我的資料做些什麼?

雖然很多人可能會說,「如果犯罪份子拿了兩萬份Fullz,不會正好用到我那份。」這並不是真的。雖然偷你資料的網路犯罪份子可能不會用到所有的兩萬份轉錄(Dumps)資料,他們可能會用低價去拋售部分未使用到的資料。

攻擊者可能會用幾種方式來使用你的資料。首先,可以複製你的信用卡磁條,並用來大肆採買。然後將這些贓物以低價在網路上賣掉。此外,他們也可能會將你的資料重新賣給其他犯罪份子做同類性的詐騙。

除了複製數據,詐騙份子也可能會利用你的資料來複製你的身份或購買高防護伺服器。高防護伺服器允許較大上傳到伺服器的頻寬,也不會受到代管主機的諸多限制。這些伺服器通常被用​​來繞過許多地方的法律。此外,使用偷來的資訊也讓這些高防護伺服器背後的黑手很難被找到。因此,你的資料很可能已經在黑市上被賣過幾百次了。

也看到上述這些項目的市場在增加,還有銷售能力的增加。這些賣家都會用那些無需登記就可以進行購買的網站,好讓更多買家可以從容採購。

此外,趨勢科技也看到商品使用第三方仲介的數量在增加。騙子會彼此欺騙並不是件奇怪的事,這也是這些論壇裡普遍的概念。為了防止這種情況發生,也就有了第三方仲介的出現。這些詐騙產品的買方付給中介代理商,他們會測試轉錄(Dumps)資料以確保可以用。一旦確認,就會付款給賣家,同樣也會把資料交給買方。

二〇一三年的資安預測中,指出這些賣家在二〇一三年將會變得更加積極。他們的銷售會更有創業精神,替想要匿名的買家引進更新、更簡單的方式。

@原文出處:What Would Scammers Want With My Information
轉載自《雲端運算與網路安全趨勢部落格》

2013年1月30日 星期三

使用中的檔案也可以複製~ShadowCopy陰影複製就是厲害


使用中的檔案也可以複製~ShadowCopy陰影複製就是厲害

複製是電腦操作常見的動作之一,不過常常會遇到檔案正在開啟使用就無法複製的情形,往往都要等關閉檔案才可以進行複製,有些檔案沒有回應後,更是無法複製,這裡介紹一款有別一般檔案複製的工具ShadowCopy,因為ShadowCopy加入陰影複製的功能,那就算檔案被使用或是開啟的狀態,ShadowCopy都可以輕鬆地將檔案進行複製,ShadowCopy除了提供圖形介面的操作方式外,還有提供指令方式的操作,這樣就可以排程去執行,就不用苦苦地等待,軟體完全免費,操作簡單便利。

ShadowCopy官方下載:http://www.runtime.org/shadow-copy.htm

ShadowCopy是一款檔案陰影複製的工具,軟體開啟後,介面為英文,如下圖所示,ShadowCopy介面的上方是一些軟體使用方式,也就是ShadowCopy指令使用方式,後面會再做介紹,中間的區塊只是ShadowCopy開發者其他的產品,下方的區塊就是ShadowCopy的使用介面,操作介面相當的簡單明瞭,以下會介紹如何使用ShadowCopy複製檔案,首先當然就是選擇檔案複製的來源,在Copy from選擇複製的路徑,ShadowCopy預設的路徑是我的文件夾,選取其他的路徑只要點選後面的資料夾圖示。



ShadowCopy開啟瀏覽資料夾視窗,選擇所要複製的資料夾,如下圖所示,這裡示範的資料夾名稱為來源。選擇好後,按【確定】。



然後再點選Copy to目的資料夾的路徑,瀏覽資料夾視窗選擇目的資料夾,這裡示範資料夾名稱為目的,選取資料夾後,按【確定】。



ShadowCopy設定好來源和目的的資料夾路徑後,接下來File mask檔案類型名稱,預設為*.*,就是所有的檔案,下方有個Options可以設定ShadowCopy使用的參數,參數說明如下所描述。

/ S複製子目錄。
/ J解析路徑。
/ I忽略錯誤。
/ Y覆蓋現有的檔案。
/ R覆蓋唯讀的檔案。

除了/S的複製子目錄的參數是固定勾選外,其他參數依需求選擇使用,若是怕複製期間發生錯誤,建議可以勾選Ignone error,若是定期複製備份,就會遇到重複檔案,那就要勾選Overwrite existing files,所有的設定都完成後,接下來就可以開始複製檔案,點選【Copy】。



ShadowCopy正在建立陰影複製,這個建立會有一段時間,請等待。



ShadowCopy建立好陰影後,就會立即複製檔案,複製完成後,最下方的訊息就會告訴你複製了多少檔案和容量,你就可以看到一般複製功能不能複製正在使用的檔案也一樣被複製成功。



ShadowCopy除了軟體介面的使用外,其實還有提供Dos指令的方式,由於ShadowCopy不是預設的指令,所以你不切換到ShadowCopy目錄下,就會出現不是內部或外部命令、可執行的程式或批次檔,所以切換到ShadowCopy目錄下就可以使用,以下示範一般的複製,比照圖形操作的參數,輸入【ShadowCopy z:\來源\*.* z:\目的 /s】。



ShadowCopy執行命令後就會出現使用者帳戶控制的畫面,那就是因為要使用系統管理者身分執行才可以。



所以當你開啟命令提示字元前要以系統管理員身分執行。



轉載自《iThome Download》

Anonymous攻陷美國司法部USSC網站


Anonymous攻陷美國司法部USSC網站

Anonymous宣稱是為了替Reddit創辦人Aaron Swartz報仇而入侵USSC網站,並威脅美國政府不進行司法改革就會公布機密資料。Aaron Swartz因為進入大學校區下載大量論文而遭受美國司法單位調查,其自殺被視為美國司法單位對他個人的迫害。

駭客組織Anonymous(匿名者)在上週末兩度攻陷美國美國司法部判決委員會(USSC, U.S Sentencing Commission)網站,Anonymous宣稱是為了替Reddit創辦人Aaron Swartz報仇而入侵USSC網站,並威脅美國政府不進行司法改革就會公布機密資料。

Anonymous在上週五(1/25)晚上宣布發動「最後手段行動」(Operation Last Resort)佔據USSC網站,之後進入該網站的人會看到一個由電影《V怪客》台詞「We do not forgive. We do not forget.」所構成的V怪客主角Guy Fawkes所戴的面具,還有一段1340字聲明。

USSC網站在週六(1/26)修復並發表簡短聲明表示網站已經恢復之後,在週日晚上USSC網站再度被攻陷,並被改成一個遊戲網站,使用者進入網站之後輸入日本電玩廠商Konami(科樂美)著名的《魂斗羅》遊戲秘技↑↑↓↓←→←→ B A後,就可以玩Atari電腦上的老遊戲Asteroids(小行星)。

不過目前該網站似乎一直處於離線狀態,台北時間上午九點至截稿為止測試,都無法連線。

駭客還透過分散式網路散播一份名為最高法院法官(Supreme Court Justices)的加密文件,目前還不知道該文件內容包含哪些資料,Anonymous宣稱,如果美國政府沒有進行符合訴求的司法改革,將會公布該檔案的解密金鑰。

根據媒體報導,雖然駭客佔據USSC網站,但崁入的JavaScript程式放置於Google公開的網域。該網站一週來已經遭受三度攻擊,之前一次攻擊也是Anonymous所為。

Aaron Swartz因為進入大學校區下載大量論文而遭受美國司法單位調查,其自殺被視為美國司法單位對他個人的迫害。除了駭客的抗議式入侵活動之外,目前已經有4.9萬名連署要求美國政府必須對該事件提出公開說明。(編譯/沈經)

轉載自《iThome》

2013年1月29日 星期二

WatchGuard預測:2013年的網路攻擊可能導致人員傷亡


WatchGuard預測:2013年的網路攻擊可能導致人員傷亡

WatchGuard日前發佈了《2013年資安市場趨勢預測》報告,這份報告是由WatchGuard安全研究分析師匯集而成,顯示新興網路威脅的增長趨勢,以及政府透過立法反制的積極作為。


▲儘管資安產業預期將新一年度的資安重點放在「反擊」措施,但WatchGuard安全策略總監預測這些措施將效率不彰,對於大多數企業組織而言終將徒勞無功。

具有CISSP(Certified Information Systems Security Professional)資格的WatchGuard安全策略總監Corey Nachreiner表示:「2012是網路安全令人大開眼界的一年,我們看到更新、更複雜的安全弱點數量不斷攀升,衝擊個人、企業和政府機構。這是安全風險創下新高的一年,不僅攻擊變得更加頻繁,許多組織更因為尚未採取妥當防護措施就遭受惡意攻擊,而造成更大損害。」WatchGuard的2013年度資安市場預測如下。

網路攻擊導致人員傷亡
WatchGuard希望這是個錯誤的預測。但是隨著愈來愈多的運算裝置被嵌入到汽車、電話、電視甚至還有醫療設備,數位攻擊導致的死亡並非不可能。當人們在開發創新技術系統時,安全性往往在最後、甚至損害已造成了才被顧及。犯罪者、駭客、甚至國家針對網路所發動的惡意攻擊,都可能導致實體設備的毀損。最近,一位研究人員展示了如何以無線方式傳送830伏特的電擊到一個不安全的心臟節律器,證明了數位攻擊可以對真實世界造成衝擊。

惡意程式透過虛擬門戶入侵
去年出現第一個真實世界惡意程式追擊虛擬機器(virtual machine; VM)並直接予以感染的案例。現今,一些新的惡意程式碼能夠辨識執行環境是否為一個虛擬系統,並採取相應的手段。WatchGuard預測2013年將有更多以虛擬機器為目標的惡意程式被開發。它將針對虛擬環境的安全弱點來設計,以避開虛擬化的自動威脅偵測系統。

惡意程式針對的是你的瀏覽器,而非你的作業系統
WatchGuard預期瀏覽器遭惡意程式感染的情形將在2013年大幅增加。隨著線上銀行等等的雲端服務日益普及,大量個資將透過瀏覽器流動。許多防毒方案把重點放在追蹤那些傳統型感染作業系統的惡意程式,而無法有效的偵測入侵瀏覽器的惡意攻擊。如今,一種新型的惡意程式已經出現:Man-in-the-Browser (MitB),或有人稱「瀏覽器殭屍(browser-zombie)」,以惡意的瀏覽器延伸、擴充程式(plugin)、輔助程序(helper object) 或JavaScript碼等方式入侵。


▲瀏覽器殭屍並不會感染整個系統,而是完全地控制瀏覽器,當使用者瀏覽網路時該惡意程式就會自動執行。

反擊行動引起的關注和實際的用處不成正比
「反擊(strike back)」是指針對駭客的惡意攻擊所作出的保護與反擊機制,WatchGuard認為這種方法將引起許多關注,但是大多數企業組織並不會實際採用。「反擊」包括法律訴訟、發動網路間諜行動、或甚至對駭客進行反攻擊。WatchGuard預期大多數組織不會建置這些措施,數位攻擊往往在多個國家之間流動,因此涉及司法管轄上的挑戰。再者,犯罪者有能力在惡意程式內植入錯誤的旗標(flags),誤導受害者和管轄機構,讓他們偵測到錯誤的攻擊位置。

IPv6專業知識的缺乏將讓我們付出代價
WatchGuard預測2013年IPv6-based攻擊和IPv6攻擊工具將會增加。就在IT產業緩慢地於網路部署IPv6的同時,大多數新裝置都已具備偵測IPv6的能力並可以自動建立IPv6網路,這代表IT專業人員管理的網路已有IPv6流量和裝置,但是他們卻沒有相關的技術知識來因應。駭客將利用IT管理者尚未建置IPv6安全管控這項弱點,發動更多IPv6-based的惡意攻擊。

有人正試圖掏空你的Android行動錢包
基於以下三大因素,縱使只是概念驗證,WatchGuard預期駭客將利用其中至少一個弱點來透過Android裝置竊取金錢。
→針對行動裝置的惡意程式數量急速攀升。
→基於Android平台的開放性,網路罪犯入侵Android裝置的比例將多於其他裝置。
→消費者更加頻繁地使用行動裝置進行線上付款。再者,包括Google在內的許多廠商也開始提供行動錢包服務,信用卡可被連結至行動裝置。


▲隨著Android裝置市佔率越來越高,駭客亦看中其龐大的市場商機,無時無刻伺機下手行「駭」。

於「安全弱點市場」進行的買賣將帶動下一波進階持續性攻擊(APT)
WatchGuard預期有至少一個被拍賣的零時差攻擊程式碼(zero day exploit)演變成重大的針對性攻擊。安全弱點市場(vulnerability market)或網路拍賣是資安領域的一個新趨勢,允許所謂的「資安廠商」將零時差軟體安全弱點賣給出價最高者。儘管他們宣稱會對客戶進行身家調查,並且只賣給北約組織(NATO)政府與合法公司,但只有少數資安措施可避免被惡意人士利用。

正式的網路安全相關法律終於可望上路
美國政府預期在2013年通過至少一項新的網路安全法,私有組織可能因此受到衝擊。美國政府正在嘗試通過網路安全法案,讓總統和政府機構享有部分控制權,當美國基礎設施遭受網路攻擊時便有權進行管控。政府也希望在私有基礎設施組織和美國情報局之間建立更多合作關係。不少組織對政府施壓,希望制定更詳盡的網路犯罪法以懲罰數位犯罪。最值得關注的是,有些組織陳情希望採行更嚴格的數位IP執法,但卻往往遭到隱私權倡議者的反對。雖然2012年已證明是網路立法艱困的一年,不過WatchGuard預期今年將有所不同。

資料來源:WatchGuard

攻擊工業控制系統 USB隨身碟是最佳工具


攻擊工業控制系統 USB隨身碟是最佳工具


USB隨身碟病毒不是新的資安議題,但是用來攻擊嵌入式系統卻相當有效,日前,美國國土安全部工業控制系統網路緊急應變小組(Industrial Control Systems Cyber Emergency Response Team,ICS-CERT)發布最新一季報告並指出,過去3個月內,有2家美國電廠的系統因為USB隨身碟而遭受病毒感染。

ICS -CERT報告中並沒有指名是哪兩家電廠,也沒有說明是否為核能電廠還是一般的電廠,不過這兩個感染事件對許多運行工業控制系統的單位來說,是個值得警惕的借鏡。

第一個案例中,員工定期透過USB隨身碟備份控制系統的組態資料,不過日前發現有間歇性的運作問題,請IT部門協助偵測,才發現原來USB隨身碟早已遭受感染,其控制系統工作站也受到影響。根據ICS -CERT的分析,該電廠有兩個運行關鍵作業的工作站存在惡意病毒,其中一個被植入一種已知的複雜病毒,但ICS -CERT沒有明確指出病毒名稱。此外,這些受感染的工作站並沒有進行備份。

另一個案例則是發生在去(2012)年10月初,一名外部技術員進行此電廠例行性軟體更新時,將內含病毒的USB隨身碟插入電腦,結果導致該電廠的渦輪控制系統遭受惡意程式感染,並因此停擺了長達三周才復原,此外,還影響了該控制系統網路環境中的另外10台個人電腦。

事實上,許多工業控制系統都是在Windows環境中運行,只不過它們通常不會連到外部網路,也因此不會另外安裝防毒軟體,但是這些使用單位常會透過USB隨身碟去更新系統上的軟體、進行資料備份,也讓USB隨身碟的使用成了潛在威脅。

針對這兩起安全事件,ICS -CERT提出以下幾點建議:
1. 工業控制系統的電腦和工作站最好都要安裝防毒軟體;
2. 資料備份和熱備份硬碟(Hot Spare)是基本保護措施,可以降低作業中斷的風險;
3. 備份規範應該將USB隨身碟納入控管中;
4. 建立新的USB隨身碟使用規範,比如在使用USB隨身碟之前最好先清除乾淨,或者改為使用僅能一次性寫入的CD或DVD光碟。

此外,該報告同時統計了2012年針對工業控制系統的網路攻擊事件,總共有198件案例,相較2011年的130件,增加了52%,顯示了工業控制系統所面臨的威脅正在快速增加。在所有受攻擊案例中,能源單位達41%比例最高,其次為水公司的15%,另外,包括貿易、政府、交通等機構也都有數起攻擊案例。

轉載自《資安人科技網》

回顧2012十大威脅 洞察2013趨勢變化


回顧2012十大威脅 洞察2013趨勢變化


2012年,從社群網路、雲端服務,到行動裝置,是不同平台快速成長同時必須面臨整合挑戰的一年。隨著智慧型手機迅速普及,應用程式的開發也更加蓬勃,業者們試圖讓這些應用與人們的生活越來越緊密,並讓服務在不同平台之間的連結和整合度越來越高。這樣的趨勢伴隨攜帶個人裝置(Bring Your Own Device,BYOD)的發展,同時也開始衝擊企業環境,當更多的行動裝置進入企業網路環境中,如何有效控管便是一大難題。

一.2012年十大資安威脅回顧

回顧過去一年,駭客將攻擊觸角延伸到不同的平台,並有效展開跨平台的攻擊,同時發展出更快速的手法、以及更有效率的利用零時差漏洞(zero-day)。延續2011年,駭客主義(hacktivism)行動依舊猖獗、網路間諜(cyber-espionage)攻擊不斷、帳密被盜事件頻傳。雖然許多駭客組織受挫,包括LulzSec的首領Xavier Monsegur以及Anonymous的許多重要成員遭到逮捕,這些駭客組織依舊十分活躍,另一方面,超級間諜病毒Flame和Gauss的現身,也讓網路間諜活動提升到新的層次,一個更加複雜、集結國家資源的網路戰爭。

根據卡巴斯基實驗室(Kaspersky Lab)的2012十大安全事件,彙整並摘錄如下:

1. Flashback木馬讓70萬台Mac淪陷
在2011年首度現身的Flashback木馬程式專門用來竊取個人資料,2012年Flashback變得更加普及,而且出現許多變種版本,還一度利用Java上的漏洞,感染高達70萬台Mac電腦。

2. Flame和Gauss引爆國家層級的網路間諜活動
2012年出現的超級病毒Flame和Gauss,兩者的架構與攻擊手法類似,都被用來竊取機密性資料,而且高度複雜,被視為受到國家級支援的網路攻擊武器。攻擊地區都以中東地區為主,但Flame竊取特定政府單位、組織或系統的資料,Gauss則鎖定個人網路銀行,顯示國家級的網路戰爭也延伸到金融機構。

3.Android平台威脅迅速升溫
Android病毒在2011年開始快速成長,2012年更大幅增加,根據Kaspersky報告,2012年偵測到至少3.5萬個以上的Android病毒樣本,該數量是2011年的6倍,甚至是2005-2011年所有總和數目的5倍之高。

4. LinkedIn等網站的密碼外洩事件
商業社群網站LinkedIn在六月份時遭駭客入侵,導致高達650萬筆會員密碼外洩,而Yahoo、英國線上音樂平台Last.fm, 雲端儲存服務公司Dropbox、遊戲服務商Gamigo等也都在2012年成了資料外洩的受害者。

5. Adobe憑證伺服器遭駭
Adobe在九月時宣布,發現有兩個惡意程式,透過嵌入Adobe的數位簽署偽裝成Adobe開發的軟體。由於駭客必須入侵Adobe的系統才能簽署,而Adobe也在一個軟體建構伺服器中找到惡意程式,因此透露出Adobe已經遭受進階持續性滲透攻擊(Advanced Persistent Threat,APT),而駭客也可能取得產品的程式碼。

6. 不移除DNSChanger木馬就不能上網
感染規模一度超過400萬個用戶的DNSChanger木馬程式,總算在2011年11月被FBI成功破獲其集團,並關閉了DNSChanger網路,不過為了避免大規模用戶的網路服務受到影響,FBI提供臨時DNS伺服器,讓受感染的電腦仍能上網,但DNS伺服器已在2012/7/9時正式關閉,因此未清除病毒的電腦就無法上網。

7. Madi網路間諜行動鎖定中東地區
從2011年到2012年上半年,有持續性的網路間諜行動在中東地區發生,被稱為「Madi」惡意攻擊。Madi的攻擊過程中使用一種惡意木馬程式,並利用社交工程技術對攻擊目標進行仔細篩選,其手法不算複雜,而且證明了即使是低成本的投入,只要手法得宜,仍能帶來相當大的影響。

8. Java零時差漏洞衝擊加劇
因為兩個嚴重的Java零時差(zero-day)漏洞被駭客用來做為目標式攻擊(targeted attack,使得甲骨文(Oracle)破例的在2012/8/30發布緊急更新,不過就在更新後不久,立即又被發現新的漏洞,讓Java漏洞問題在2012年的批評聲浪不斷。

9. Shamoon病毒不只竊取資料,還要刪除
全球最大石油公司Saudi Aramco在八月時被駭客攻擊,導至3萬台、占整體75%的電腦遭受病毒感染,該事件判斷是透過惡意程式Shamoon造成。Shamoon除了竊取資料外,還會進而清除受感染電腦中的資料,以達到癱瘓電腦的目的,這種摧毀資料式的攻擊手法並不常見,而且這也不是典型的目標式攻擊手法。

10. 巴西Modem和華為路由器突顯硬體安全威脅問題
巴西電腦網路危機處理中心( Computer Emergency Response Team Brazil,CERT)在三月時證實有超過450萬台數據機(modem)遭感染,並被網路罪犯使用在詐欺行動中,另外,華為(Huawei)路由器的安全性也在2012年遭受質疑。這兩個事件突顯了硬體設備潛藏的安全威脅,也讓安全防禦變得更複雜和困難。

二. 2013年資安趨勢預測

因應2013年,綜合了各家資安廠商的威脅分析與年度預測,包括來自賽門鐵克(Symantec)、趨勢科技(Trend Micro)、卡巴斯基實驗室(Kaspersky Lab)、邁克菲(McAfee)、Check Point、F-Secure、IBM、Sophos、Verizon和Websense等單位的報告,彙整了以下幾大重點趨勢,以做為所有組織與企業於2013資安規劃的參考依據。

1. 勒索軟體竄起,且將蔓延至行動裝置

隨著使用者越來越仰賴電腦裝置執行工作和金融交易,歹徒於是將目標放在「綁架」使用者電腦,這個問題在2012年首度嶄露,多數資安公司也不約而同的將勒索軟體(Ransomware)列為2013年重要的資安威脅。

Ransomware是指歹徒從遠端透控制受害者的電腦或加密電腦中的檔案,然後要求受害者必須支付一筆金額,才能解開遭鎖定的電腦。Ransomware這種網路犯罪手法在過去幾年來有緩步增加的趨勢,但影響不甚嚴重,直至2012年,Ransomware威脅在異常快速增加,McAfee的報告顯示,Ransomware病毒樣本從第一季到第三季成長了一倍,偵測到的Ransomware數量則幾近是直線性的成長。

在2013年,Ransomware的犯罪模式也將越來越成熟,而且歹徒將善用各種威脅和掌握人們的恐懼心裡,脅迫受害者付款。舉例來說,在2012年年底就出現一款新的Ransomlock木馬變種程式Ransomlock.G(又稱Reveton),該病毒還宣稱如果不付款,病毒將刪除你電腦中的資料。另一方面,Ransomware病毒也可能越來越複雜,未來一旦電腦受到感染,恐怕將更難復原。

此外,有鑒於使用者越來越仰賴智慧型手機和行動裝置,Ransomware威脅將從個人電腦蔓延至行動領域,並且會有更多針對行動裝置的Ransomware攻擊包出現。目前資安公司也已經偵測到攻擊Android OS X行動勒索軟體,並有針對Windows平台的Ransomware kits。而行動勒索軟體也為攻擊者帶來新的可能性,如果使用者不願意付款,歹徒除了可限制使用者使用通訊和存取資料之外,還可能威脅散布通訊電話以及儲存在手機上的照片和資料。

2. Android病毒更氾濫,費用詐欺成為新行動威脅

行動威脅在近年來備受關注,McAfee指出,行動威脅從2012年第二季到第三季增加了一倍,而多數的威脅事件是來自App Stores上的惡意應用程式。由於Android平台目前已成功稱霸智慧型手機市場,因此,在所有的行動平台中,Android平台則仍會是最多駭客攻擊的目標。趨勢科技更預測,在2013年,惡意與具有高風險的Android apps,將從2012年的35萬成長三倍至100萬 。

伴隨手機App的成長,行動廣告程式(Mobile Adware, Madware)對使用者隱私也構成重要威脅。Symantec指出,在2012年的前九個月中,這些包含行動廣告程式的app成長了2.1倍。使用者可能在某些app上會看到廣告,或出現彈跳式視窗廣告,但這些廣告很可能會改變使用者的瀏覽設定,或是蒐集使用者的個人資訊,比如使用者所在地點、聯絡資訊、撥過的電話號碼等資料。雖然蒐集使用者資訊是絕大多數廣告程式必備的模式,以達成行銷的目的,但有心人士很可能變賣這些個人資料以賺取利益,因而遭歹徒所用。

除了惡意手機Apps之外,資安專家提醒,網路詐騙(cybercrooks)將成為駭客新的攻擊選擇,即不需要使用者下載任何程式,病毒撰寫者將利用手機上的漏洞以感染手機。舉例來說,手機遭受感染後,會主動發出付費簡訊(Premium SMS)以訂閱服務,同時透過手機完成付費程序,然後將款項直接匯入駭客的帳戶中,而達到費用欺詐(Toll fraud)。

3. 國家層級戰爭白熱化,關建基礎建設大挑戰

2012年,Flame的出現開啟了一個新的國家層級的網路戰爭。Kaspersky描述,我們現在正進入一個「網路世界的冷戰(cold cyber-war)」,國家之間的戰爭將不再侷限於現實的世界,而且國家將具備在網路世界互相攻擊的能力。

2013年,國家、組織和個人之間的衝突加劇,而間諜手法在網路世界將持續發酵,可以預見的,會出現更多由國家發展的網路武器,用來竊取資訊、破壞系統,而這樣的手段比起實體的戰爭,可能更具經濟效益和效率。

F-Secure首席研究長Mikko Hypponen指出,Flame和Gauss超級間諜的出現,證明了國家之間的攻擊正在網路世界中發酵,2013年將有更多例子可以證明,加上軍事競爭升溫,有更多這種國家間的攻擊手段會被揭露。

此外,這種國家之間的攻擊手法,也可能被複製在非國家層級的競爭,比如可能應用在能源供應、運輸控管設備、金融和電信系統等其他主要的關鍵基礎建設等領域。此外,基於駭客主義的攻擊,也將持續展開大規模的行動,甚至採用非常簡單的攻擊模式,來證明某些大企業是不堪一擊的。

4. 雲端威脅更顯著,BYOD讓威脅複雜化

許多企業在近一兩年內已經開始陸續使用雲端服務或採用雲端架構,2013年,受惠於產業生態與相關解決方案的成熟,預計使用雲端服務的企業和個人將顯著提升。Kaspersky指出,價格和彈性將是推動2013年雲端服務的兩個主要動能,一方面,雲端服務將逐漸達到經濟規模,並能為企業節省可觀的成本,另一方面,資料可以在任何時間、任何地點,以及任何裝置上被存取,包括筆電、平板電腦和智慧型手機,也讓更多企業願意使用雲端。
 
然而,雲端運算的發展也伴隨更多的安全威脅,有鑑於此,許多資安廠商都將雲端安全列為2013的安全防禦重點之一。首先,雲端服務商的資料中心勢必引來網路犯罪者的興趣,其次,雲端可做為病毒散播的平台。此外,雲端上的資料會被前端的使用裝置所存取,而其中有越來越多是來自員工的個人行動裝置,而這種所謂的攜帶個人裝置(Bring Your Own Device,BYOD)趨勢將在2013更加成熟。根據Gartner的預測,手機將在2013超越個人電腦成為最主要的連網裝置,而至2014年前,多數的企業都將透過私人的App Store提供企業用的行動應用程式給員工。
 
Novell全球產品行銷經理Justin Strong提醒,BYOD將是2013年最重要的IT趨勢之一,因此企業必須有效控管這些行動裝置,包括支援不同行動裝置平台,並結合適當的政策和規範,當新的裝置平台出現時,也能夠快速的將它納入既有的管理機制中。Strong表示,企業的行動應用將成為企業創造生產力的關鍵,不過如果企業沒有辦法有效管理BYDO,那麼IT消費化( IT Consumerization)對他們來說則會是一大威脅。
 
5. 鎖定Windows 8的攻擊迅速發展,Mac用戶也不能掉以輕心
 
微軟新的Windows 8被公認較過去的Windows版本更為安全,可讓消費者獲得更高的安全性,但在企業方面,由於多數仍不考慮在2013年升級,因此影響有限。根據Gartner的預測,直到2014前,多數的企業都不會考慮採用Windows 8。

雖然Windows 8提升與增加許多安全功能,不過另一方面,針對微軟新的Windows 8作業系統和HTML5的攻擊,將在2013年迅速的發展,並將遭受病毒和釣魚(phishing)技術的攻擊,而Rootkits惡意程式將透過BIOS、主開機紀錄(Master Boot Record, MBR)和開機磁區(Volume Boot Record, VBR)等技術持續演進和變得更多元。

儘管許多人認為Mac平台非常安全,但在過去的兩年內,鎖定Mac的病毒正持續在成長中,並有針對特定的Mac族群或個人所展開的目標式攻擊發生。此外,Mac的使用者可能有根深蒂固的觀念,認為自己不可能成為受害者,因而掉以輕心。資安專家再度提醒用戶,針對Mac的威脅確實存在,而且將會在2013年持續增加。

三. 建議

面臨2013的安全威脅,資安公司提供許多建議,以提升風險抵禦能力,以下分別針對個人和企業,進行重點摘要:

使用者
1. 確保所有的安全軟體處於最新版本:
軟體更新通常包括防禦最新惡意程式,以及修補安全漏洞,因此確保自己的安全軟體為最新的版本是最基本的保護措施。

2. 將手機納入安全保護中:
除了個人電腦外,智慧型手機以及快速興起的平板電腦,也都必須在安全保護計畫中。除了開啟手機上的安全功能之外,也可考慮使用手機安全軟體,另外,避免使用不安全的Wi-Fi連線,審慎下載app,在下載app之前仔細檢查和讀取訊息,包括其他使用者的評價等。

3. 提高密碼複雜度並定期更改:
使用普遍、簡單的密碼非常的危險,會讓自己暴露在極高的風險中,因此最好提高密碼的複雜度,比如可結合不同的字元和符號,而在不同的網頁,也避免使用相同的密碼。此外,最好每數個月就更換一次密碼,如果怕自己會忘記密碼,也可以考慮使用管理工具,幫助密碼管理。

4. 定期確認自己的銀行帳戶和行動付費:
透過這個方式,你可以發現任何可疑的付款和交易,以盡快採取補救措施,免得自己成了受害者仍不自知。

5. 永遠留意你的網路使用行為:
不論來自哪個寄件者的email或訊息,千萬不要輕易點擊其中夾帶的網頁連結、開啟附件、或是撥打訊息中提供的電話,如果是認識的人寄出的附件,打開前最好先掃描檔案。此外,留意網頁要求的軟體更新,並切記不要在email、即時通訊軟體、不明的網頁上提供你的個人資料。

企業
1.使用有效的解決方案保護你的企業
隨著越來越多的企業開始建置雲端和使用雲端服務,安全防護就變得更複雜和必要,因此企業可以考慮布署基於雲端的防護,除了在資料中心端採用適當的加密機制外,前端裝置的保護、從裝置到資料中心之間的傳輸也不能疏忽,必須讓資料保護更全面。考慮可即時偵測和辨別威脅的解決方案,並提供深度的分析以及相關的情報,以協助評估、修復和抵禦目標式的攻擊。

2. 為客戶的利益做好把關
將組織的溝通標準化,並讓你的客戶了解你的email和網頁使用政策,透過這樣的方式,你可以協助你的客戶判斷正確的訊息。

3. 建立和落實有效的IT使用規範
員工的使用行為將決定企業的安全,因此建立和教育員工安全的使用與瀏覽行為非常重要。趨勢科技建議,完善的IT使用規範必須含括:(1)保護措施(Prevention)-定義方案、政策、流程以減少可能被攻擊的風險;(2)解決方案(Resolution):以資料外洩為例,公司必須定義計畫和流程,並決定可以動用哪些資源以處理威脅;(3)回復計畫(Restitution): 為可能引發的衝擊做最好的準備,包括對於員工和客戶的溝通和補救措施,盡量將信任或商業損失降到最小,以及在最短的時間內回復。

轉載自《資安人科技網》

目標式釣魚網站攻擊 榜上有名的人才能看到


目標式釣魚網站攻擊 榜上有名的人才能看到

網路釣魚新手法bouncer list phishing,只有被列為攻擊目標的人才能看到釣魚網站。傳統網路釣魚攻擊是吸引大量網友進入惡意網站從而竊取個資,因此沒有限定攻擊目標,越多人進入,駭客就能獲取越多的個資,bouncer list phishing卻顛覆這樣的攻擊模式,鎖定攻擊目標並限制只有這些人才能連上惡意網站。

在每一次bouncer list phishing攻擊中,攻擊者會列出目標名單的E-mail,同時賦予每位收件者一個自動產生的ID,然後寄給這些人一個唯一的URL,若收件者點擊該URL,bouncer攻擊套件就會快速驗證此ID是否在目標名單中,如果是,bouncer攻擊套件就會在同一個網路伺服器上,將相關的檔案複製到一個暫時文件夾裡,然後載入釣魚網頁,並將該使用者導引到此惡意網站以竊取其機密資料。不過,如果你不在駭客的目標名單中,當你點入該連結,就只會看到「404 page not found」的訊息,即無法找到該網頁。

顯而易見的,這意味著攻擊者試圖從某個特定族群獲取資料,比如某個國家、某個特定公司。RSA線上威脅管理服務商業發展主管Daniel Cohen表示,這種重「質」甚於量的資料竊取行為,在某些地下管道可能獲取更高的價值,而且這種攻擊可能是來自某個服務供應商,而非獨立運作的駭客。

截至目前為止,已經偵測到南非、澳洲和馬來西亞的金融機構有bouncer list phishing的攻擊案例,在每一波的攻擊中,平均會鎖定3000名左右的攻擊目標。

RSA網路犯罪和網路詐欺專家Limor Kessem表示,這種手法就好像夜店出入管制一樣,如果你的名字不在邀請名單裡,那你就會被控管進出的保鑣拒之門外,這就是命名為bouncer list phishing的原因。

這樣的手法也為安全公司帶來新的挑戰。由於只有特定的人可以看到釣魚網站,因此可以避免安全公司發現這些攻擊,並且快速的將網站下架。Daniel Cohen表示,每天有上百萬個URL,要發現這樣的攻擊簡直就像是在大海撈針一樣。此外,Kessem指出,這種攻擊方式還可能結合魚叉式網路釣魚(Spear phishing)、進階持續性滲透攻擊 (Advanced Persistent Threat,APT)…等攻擊行為,使用者不可不慎。

根據RSA統計,網路釣魚威脅在過去一年來快速升溫,2012年的攻擊案例從2011年的近28萬件成長到44.5萬件,增加幅度高達59%,更造成15億美元的損失金額。另一方面,網路釣魚技術在2012年依舊持續演進,比較顯著的趨勢包括更即時的憑據驗證,以及透過分析工具回傳攻擊是否成功。

轉載自《資安人科技網》

360手機衛士:2012手機惡意軟件同比增長1907%

360手機衛士:2012手機惡意軟件同比增長1907%

近日,360互聯網安全中心發布了《2012年中國手機安全狀況報告》,報告指出:2012年手機安全形勢持續惡化,新增手機木馬及惡意軟件(以下簡稱:惡意軟件)、手機惡意廣告插件347665款,感染手機5.5億人次。其中新增手機惡意軟件樣本174977款,同比2011年增長1907%,感染手機71664334人次,同比2011年增長160%;新增惡意廣告插件172688款,感染手機483130415人次。

在新增的惡意軟件樣本中,71%集中在Android平台,新增樣本123681款,感染量達51746864人次,成為手機惡意軟件的主要感染平台。Symbian平台中新增惡意軟件數量和感染量呈現下降趨勢,全年新增樣本51296款,佔全部新增樣本數量的29%。


2012年Android新增惡意軟件數量月度變化圖

危害方面,以Android平台為例,資費消耗仍然是手機惡意軟件的主要特徵,以52%的比例位居首位,其在感染手機中,可通過聯網指令下載、推送各種應用進行流氓推廣,嚴重消耗用戶的手機流量。


2012年全年Android惡意軟件危害佔比

隱私竊取、惡意扣費則依然是用戶面臨的主要安全威脅。其中,28%的惡意軟件可通過感染手機後,後台收集用戶的短信、通話、位置等信息,聯網或通過短信外發,直接導致用戶的關鍵隱私洩漏;11%的惡意軟件在引導用戶安裝後,通過外發短信、聯網訂購等誘騙用戶開通各類SP付費業務,藉此惡意吸費。

在2012年360手機衛士截獲的惡意軟件中,在危害上還出現了一種較為明顯的趨勢,即越來越多的木馬及惡意軟件集多種作惡手段於一身,通過黑客遠程控制執行不同的惡意行為,如在全年新增的手機惡意軟件樣本中,31%的惡意軟件同時含有資費消耗、惡意扣費、隱私竊取等三種以上的惡意行為。

感染量方面,2012年第三季度起大規模爆發的“安卓殭屍網絡”系列惡意軟件,全年累計感染手機453萬部以上,成為年度感染量最大的系列惡意軟件。偽“QQ網游大廳”以1705496次的感染量成為感染量最大的惡意軟件。


2012年手機惡意軟件感染量排名TOP10

傳播途徑上,第三方應用商店/手機軟件論壇以48.2%的比例成為最易感染惡意軟件的渠道,ROM“刷機包”則以31.4%的比例排名第二,短信鏈接以13.6%的感染比例緊隨其後,通過二維碼、短網址傳播惡意軟件的比重有所上升,達到5.7%。其它(如藍牙等)佔1.1%。


2012年手機木馬及惡意軟件傳播途徑

對今年出現的一系​​列安全焦點進行分析後發現,手機惡意軟件正在傳播方式、危害行為上不斷升級,如通過殭屍網絡傳播,遠程控制用戶手機後實施流氓推廣、惡意扣費、盜取隱私及傳播欺詐短信等。同時,更多惡意軟件開始利用手機系統中存在的漏洞發起惡意攻擊,並已開始向如iOS等更多平台延伸等。

其中最值得關注的是在2012年中,手機騷擾問題更為嚴峻,報告顯示:360手機衛士全年共為2.2億用戶攔截垃圾短信712億條,日均攔截近2億條,騷擾電話352億次,日均攔截近1億次,受需求、利益驅動,垃圾短信、騷擾電話也已形成一條密集的黑色產業鏈條……關於2012年垃圾短信、騷擾電話的詳細治理信息,請參見《2012年中國垃圾短信、騷擾電話年度治理報告》。

報告指出,驚人的新增樣本、感染量背後,表明用戶的智能手機將面臨更多更為複雜的安全威脅。對此,360手機安全專家在報告中給用戶提出了安全建議和解決方案:1. 盡量選擇正規渠道購買手機2.選擇正規站點、渠道下載應用3.下載安裝應用前,細心留意應用權限4.安裝360手機衛士等有效的手機安全軟件,為手機安全保駕護航。

轉載自《賽迪網-IT技術訊》

個資法主管機關定案,各產業管理辦法3月底前應出爐


個資法主管機關定案,各產業管理辦法3月底前應出爐

法務部為協助主管機關訂定個資管理辦法,先公布了一個參考指南

法務部法律事務司副司長鍾瑞蘭表示,為了提供各中央目的主管機關參考,該部公布了比施行細則更細的參考事項,也同時公布各產業的中央目的事業主管機關。

個資法要求產業主管機關要制定個資管理辦法,但目前僅中央銀行完成訂定。為了催生這些個資法配套辦法,法務部法律事務司公布了主管機關訂定個資法管理辦法的參考指南,作為各產業主管機關訂定辦法的參考底稿。根據行政程序法的規範,相關配套措施,至少應該在今年3月底前完成。

而法務部日前也依照主計處各行業標準分類的列表,公布各個產業的個資主管機關,總計規範了235個行業的主管機關。當各產業的主管機關出爐後,各主管機關對於該產業就具有個資督導檢查之責,甚至具有開罰的權力。

各主管機關應於3月底前公布指定產業個資管理辦法
個資法已經於2012年10月1日正式施行,但仍有不少法條配套措施尚未完成,如個資法第27條規定,主管機關應該對特定產業制定個資管理辦法。

根據行政程序法規定,一項法律的母法施行後,相關子法與配套措施都必須在半年內完善。以個資法而言,像產業管理辦法這類配套措施,都必須在2013年3月底前完成並公布。目前僅中央銀行在2012年11月30日對所管轄的票據交換所,提出「票據交換所個人資料檔案安全維護計畫標準辦法」,其餘主管機關仍未完成。

法務部法律事務司副司長鍾瑞蘭表示,為了加速各主管機關訂定個資管理辦法,法務部原本要提出一份管理範本,但因各產業規模、特色迥異,所以,法務部改為提供一份重點摘要的參考事項,讓各主管機關以這份參考事項為基礎,修正產業適用的個資管理辦法。

鍾瑞蘭說:「除了納入個資法施行細則所規定的11項安全維護措施外,也加入P(規畫)D(執行)C(矯正)A(檢查)的方法論,這份參考事項可以讓主管機關或企業只要照著做,就不會漏掉重要的個資保護項目。」達文西法律事務所律師葉亭巖也認為,這份參考指南的內容比施行細則的規定更具體,可作為企業因應個資法時的執行參考。

這些具體做法,如企業要訂定可攜式設備或儲存媒體的使用規範,硬碟報廢要採取防範措施,業務終止後個資移轉或銷毀時要記錄的資料項目等。

因為各主管機關將以此來制定特定產業的個資管理辦法,辦法中要求落實的作法,也將成為未來各產業執行的範圍,在主管機關的管理辦法出爐之前,法務部公布的這份參考項目可供企業先期因應之用。

目前已有產業主管機關依此參考項目,來訂定個資管理辦法,如經濟部商業司,不過,經濟部商業司技正蔡泓昌表示,還無法確定商業司個資管理辦法的完成時程。

法務部也公布了各產業的個資主管機關。例如先前備受爭議的Google等入口網站經營、資料處理、網站代管及相關服務業的主管機關,也確認為國家通訊傳播委員會(NCC),其餘資訊供應服務業的個資主管機關則為經濟部

另外,在該份產業主管機關的列表中,也針對先前未列入主計處行業列表的產業,指定主管機關,例如,新增的彩券業,公益彩券的主管機關為財政部,運動彩券的主管機關為行政院體委會。文⊙黃彥棻

轉載自《iThome》

2013年1月28日 星期一

SEO的抉擇,選擇有效的策略還是正確的策略?


SEO的抉擇,選擇有效的策略還是正確的策略?

為什麼選擇有效的策略還是正確的策略,會是SEO的抉擇? 我們不是應該選擇正確的策略就會產生效果嗎? 我們不是選擇有效的策略就是正確的策略嗎? 很遺憾的,我們要告訴你的是: 「正確的策略並不能保證有效,而有效的策略並不都是正確的。」

什麼是正確的SEO策略? 就是指可以讓你的網站從最基礎的地方改善起,然後強身健體之後,自然可以慢慢的獲得搜尋排名的優勢。

但是正確的SEO策略其實並無法在「短期」內保證你可以獲得想要的效果,因為你的競爭者可能採取了有效的SEO策略,但是這個有效的SEO策略是屬於黑帽SEO,這個黑帽SEO雖然不是正確的,但是確實是有效的。

有效的SEO策略跟正確的SEO策略,有些時候並不是等號。也許該說,許多時候並不是等號。

如果是你,你會選擇有效的策略還是正確的策略?

Google告訴你不能購買連結,但是購買連結確實還是有效果,你買不買?

我們在"連結的Buy、Earned、Owned三部曲"說,連結到最後可能到第三種境界,那就是開闢屬於自己可以完全掌控的連結。也在"每個黑帽SEO都是從白帽開始?"說到,剛開始發現一點點灰色地帶可以取得不錯的效果,因此對於有效的策略就開始無法自拔,管它到底正不正確,最後可能就變成黑帽SEO。

Google告訴你製造假的社交訊號是不對的,但是如果別人製造假的社交訊號都可以有效的提升搜尋排名,你怎麼辦?

我們在"Social SEO: 社交訊號(social signals)到底如何影響SEO?"說,社交訊號(social signals)會影響SEO,但是中間隔了一層訪客,如果你能夠製造假的社交訊號並且操作訪客,你會不會這麼做?

你有沒有辦法堅持正確的SEO策略,而不因為違反規定的SEO有效而動心呢? 當然如果Google這些搜尋引擎長期讓違反規定的SEO策略有效而不處理,當然正確的SEO策略根本無法堅持下去。

目前來看,Google對於購買連結以及製造假的社交訊號雖然有在處理,但是並沒有盡如人意的發揮效果,在這種情況下,你的SEO的抉擇,會選擇有效的策略還是正確的策略呢?

如果你使用正確的SEO策略,但是卻碰上競爭者使用有效的黑帽策略,你可以使用Google Webmasters工具中的回報表單(必須先登入Google),讓Google去處理違反規定的行為,如下圖:



但是在填寫回報表單之前,必須先知道幾件事情 ...

(1) 什麼是購買連結 (paid link)? 假如某個網站A在其文章中談到網站B,而連結到網站B的某個頁面,或是網站A在其網站連結到贊助商網站B,並且以rel=nofollow標示,這兩種情況都不算是購買連結。也就是文章內容相關,而且是屬於editorial link的話,不算是購買連結。如果是付錢購買連結,但是標示rel=nofollow,也不算是購買連結。

如果確實發現某個網站在銷售連結或是購買連結而沒有使用rel=nofollow標示,你就可以透過這個付費連結回報表單 (必須先登入Google),把問題報告給Google處理。

(2) 什麼是不當的內容? 當網頁意外暴露機密資料,可能導致損害到某些人或是團體而需要緊急移除網頁的話,你就可以透過移除內容表單 (必須先登入Google),要求Google處理,但是Youtube部分則需透過這個連結跟Google聯絡。

如果你的網站不慎意外暴露機密資料,除了自己先刪除網頁內容之外,因為可能Google還保留cache的備份,你就必須透過這個連結,要求Google刪除相關的內容。

如果不是暴露機密資料的不當內容,就以垃圾內容回報表單(必須先登入Google),要求Google處理。

轉載自《台灣搜尋引擎優化與行銷研究院》

PSN用戶個資遭竊 Sony遭重罰25萬英鎊


PSN用戶個資遭竊 Sony遭重罰25萬英鎊

英國 ICO 表示,不管這張罰單或事件都是前所未有的嚴重~
曾於 2011 年因著駭客入侵導致 SCE 旗下網路服務 PlayStation Network 帳號個資外洩事件,英國政府機關 Information Commissioner's Office(ICO)對 SCEE 開出 25 萬英鎊罰款(折合新台幣約 1,147 萬元)。

根據 ICO 官方新聞稿指出,SCE 在 2011 年 4 月起陸續因資安設置未竟妥善,導致本來可以避免的 PSN 帳號個資卻被不肖份子入侵後外洩,包括姓名、地址、生日以及信用卡帳號,導致將近 7,700 萬帳號受到波及,明顯有重大違反個資保護法的事實。ICO 更對媒體表示,不僅是這張罰單還是事件所影響層面都是前所未見的嚴重。

根據 BBC 向 Sony 詢問結果,Sony 對此判決表達了無法苟同會繼續上訴,另強調已經重建 PlayStation 系統安全,持續強化系統強度並建設多層防護網。


▲ 2011 年為了 PSN 帳號被盜,時任 Sony 副社長暨 SCE 總裁的平井一夫出面道歉(via Kotaku)

原文出處:BBC
轉載自《UDN數位資訊》

公有雲服務市場 安全問題仍是重點


公有雲服務市場 安全問題仍是重點

隨著雲端運算技術及應用的普及,越來越多的企業開始導入相關應用,很多公司都已透過雲端應用提高工作效率,降低成本,也讓更多的企業持續尋找更多公有雲的相關應用,但同時也要面對與過去截然˙不同的IT管理模式。

Gartner研究總監Bryan Britz指出,公有雲服務將逐漸被非多數IT服務供應商所鎖定的市場採用,而公有雲服務在目前和未來也都將會影響企業在IT服務上的支出,特別是資料中心的部分,讓許多企業可望因此提高採用外部服務的費用。

公有雲服務加速IT委外支出

Gartner研究顯示,目前已有19%以上的企業,將大部分的生產運算改採雲端運算方式處理,更有兩成的企業已採用儲存即服務,作為全部或大部分儲存的解決方案,這也顯示公有雲的採用狀況,會隨著服務項目而異。


因應公有雲的發展,IT管理者的角色勢必要有所轉變。DIGITIMES攝

除了IaaS正逐漸從風險較低的試行方案,逐步發展成生產環境,企業採用PaaS策略的重要性也越來越高。而SaaS的採用,特別是大型企業套裝應用程式中的SaaS,將提供IT服務供應商諮詢與執行服務的機會。Gartnet指出,企業改採SaaS,將過去僅考慮由內部部署的應用程式,轉至外部雲端系統執行,可望提高應用程式委外市場營收。

由於新興市場和中小企業客戶採用公共雲的意願增加,也讓企業開始考慮是否要使用更多已發展完善的IT服務,以協助處理非公有雲的工作量。公有雲服務在市佔領先的IT服務供應商所鎖定的傳統市場中亦逐漸成長,也已開始侵蝕傳統IT服務市場。

Bryan Britz指出,71%率先採用雲端服務的企業,希望提高終端用戶運算架構管理的外部服務費用。另外,70%最先採用服務的企業,則計畫要增加在應用程式發展的外部服務費,當中有許多企業是首次購買已發展完善的IT服務。

就資料中心服務而言,準備提高託管方面支出的企業,以及計畫提高資料中心架構管理相關支出的企業,皆代表客戶持續考慮採用資料中心服務市場所提供的不同執行服務模式與選擇性。對能直接或透過合作生態系統解決問題的供應商來說,機會是存在的。廣大的混合環境範圍,將在未來幾年逐漸擴及各大企業,但對專注傳統系統與傳統方法的供應商而言,則是危機重重。

企業IT管理者的角色將有轉變

但企業在導入公有雲的過程中,也勢必會遭遇一些管理問題,如關於資料安全性的風險、對於私密性和相容性的困擾等。事實上,企業必須通過長期的考察,然後才能決定是否使用公有雲服務,以保證能夠滿足企業對於安全性、相容性和常規保護性等方面的要求。

雖然企業可將較為敏感的應用程式,存放在私有雲中,包括企業資源規劃(ERP)、供應鏈管理和使用者應用程式等,但也會因此增加成本。因此,對計畫採用公有雲服務的公司而言,勢必要注重加密技術,攔截敏感性資料並將其隨機存放或進行強力加密,阻斷資料的竊取,以保證敏感性資料能控制在公司的手中,這樣就能直接滿足任何關於資料安全性、私密性和存放的問題。

Gartner指出,企業CIO(資訊長)及CTO(技術長)勢必要架構一個混合式的企業雲端環境,而隨著公有雲、私有雲的形態,加上企業員工攜帶個人裝置成為趨勢,企業CIO在2013年還需要考量企業本身的雲端策略,究竟那些資料可以放到雲端上頭,究竟要使用私有雲還是公有雲,兩者的利弊,也是令CIO決策時需要高度的智慧考量。

Gartner指出,未來將會有更多企業,透過自營的軟體商店提供員工行動應用程式,而因應企業軟體商店的興起,IT管理者的角色也將從集權式的規劃者,轉變成能夠提供用戶監管及經紀服務的市場管理者。

善用公有雲 發揮企業IT成效

為因應瞬息萬變的經營環境與業務需求,企業的 IT 運算架構必須彈性靈活,善用公有雲的資源搭配私有雲的運作,整合出可靠且穩定的 IT 應用環境已是大勢所趨,包括內稽內控、IT治理、標準作業流程、如何因應主管機關的稽核等課題,都必須加以關注,才能積極且有效管理雲端服務內容與水準,展現優異的成效。

轉載自《DIGITIMES中文網》

十大駭客最愛網釣誘餌,淘寶、花旗銀行皆入榜


十大駭客最愛網釣誘餌,淘寶、花旗銀行皆入榜


電子商務商機龐大,也成為駭客竊取個資和網路釣魚攻擊的標的。根據趨勢科技主動式雲端截毒技術(Smart Protection Network)所收集的資料發現,受到駭客青睞的前十大網站皆為知名品牌、銀行及拍賣購物網站。

其中最常遭到攻擊的為跨國線上交易支付網Paypal,偽造網站將近兩萬筆,甚至因為行動裝置購物的趨勢,發展出針對行動用戶的釣魚網頁。

民眾經常使用的網路購物服務中,也有不少拍賣網站遭駭客偽造。其中淘寶網更是駭客最愛的攻擊目標,其他如eBay、Amazon及阿里巴巴也都是駭客做為釣魚詐騙的常用工具。

花旗銀行則是駭客黑洞漏洞攻擊(BHEK)的誘餌。駭客藉由偽造的花旗銀行電子郵件,騙取用戶點選信件中的惡意程式連結,趁機竊取個資、網路憑證等重要資訊。此外,萬事達卡的偽造網站也高達近千個。

趨勢科技指出,網路釣魚的假信件通常會使用通用問候語,而不會寫出全名。並巧立如「帳號被停權」等名目,提高惡意連結的點選機率。此外,偽造信件通常會有明顯的語法錯誤、拼寫及格式問題。提醒使用者應詳細閱讀驗證電子郵件。

趨勢科技資深技術顧問簡勝財也表示,雖然電子商務成為網釣誘餌已不是新聞,但針對行動裝置發展出的釣魚網站較少被使用者留意,也提醒使用者應針對行動裝置做出更全面的資訊防護。

轉載自《數位時代》

2013年1月24日 星期四

臺灣伺服器市場回溫,價格降7%


臺灣伺服器市場回溫,價格降7%

根據市場調查機構IDC統計,2012年第3季回復企業採購旺季,帶動臺灣伺服器市場回溫,但受大型標案競標影響,x86伺服器價格相較於去年降7%

根據市場調查機構IDC統計,從2012年7月以來,臺灣第3季伺服器出貨量逐漸升高,IDC臺灣企業應用分析師高振偉表示,臺灣企業邁入伺服器採購潮,伺服器市場回溫,銷售數字增加。

臺灣伺服器市場從2012年年初以來,市場出貨狀況就進入低潮,高振偉表示,受經濟不景氣影響,從2011年第3季x86出貨量1萬7千臺、第4季最高1萬9千臺後,2012年第1季只達1萬5千臺,銷售數字降低。


2012年第3季臺灣x86伺服器市場回溫

而經過2012年第1季和第2季的發展,2012年第3季,市場波動又進入一波企業採購熱潮,因此也帶動伺服器買氣回升,根據IDC 2012年第3季臺灣伺服器追蹤季報顯示,臺灣整體伺服器市場出貨量達18,949臺,相較於2011年同期成長6%,此外,也較2012年第2季成長9%。

高振偉表示,高科技製造業、金融業和線上服務、遊戲產業的伺服器採購潮,是影響臺灣伺服器市場回溫的主要原因。2012年底,不管是高科技代工業或IC設計大廠市場景氣有逐漸復甦,導致高科技製造業不管是在生產或產品研發上,業務量增加,IT硬體設備也跟著有擴充的情形。

金融業的影響則起因於伺服器虛擬化的建置,高振偉觀察表示,從2012年中以來,有政府公家金融單位正進行新的虛擬化建置專案,原有的伺服器硬體面臨汰換週期,此外,還有異地備援等建置,都影響2012年第3季以來的伺服器採購需求。

線上服務與遊戲業者,一直都是擁有大量伺服器硬體的主要產業,每年底到隔年第1季,原本就是汰換舊伺服器採購新設備的主要時間。但高振偉觀察表示,在2012年,有部分線上服務業者提早在第3季就採購新設備,導致伺服器出貨量增加。此外,包括2012年以來政府陸續主導的雲端服務建置等,也都影響臺灣伺服器營收。

雖然出貨量增加,但各伺服器廠商的整體營收,反倒是不增反減。根據IDC統計,臺灣伺服器廠商整體營收在2012年第3季只達8千4百萬美元,雖然相較於上一季有8%的成長,但與2011年同期相比,營收甚至衰退了1%。顯示臺灣企業在2012年第3季以更低的價格採購到伺服器產品。


臺灣2012年第3季x86伺服器市占率

x86伺服器價格降低

高振偉認為影響伺服器價格有2個原因,其中,x86產品在2012年第三季出貨量恢復往年水準,但在大型標案的競爭下,根據伺服器廠商的營收和標案價格推估,高振偉表示,每臺x86伺服器產品相較於去年同季價格下降將近7%。 

x86伺服器廠商營收較去年衰退,單臺伺服器價格降7%

此外,2012年第3季非x86架構伺服器的出貨量也不高,包括Unix、大型主機等設備。根據IDC統計,臺灣企業採購類別中,x86架構的伺服器仍是企業主要採購項目,佔整體伺服器出貨量9成以上。大型主機的設備原本價格就比x86設備來得高,當較貴的大型主機設備出貨量沒有提升時,伺服器廠商整體營收也會比較低,因此,高振偉認為,這也是影響2012年第3季伺服器出貨量與營收不成比例的原因。 

展望2012年第4季到2013年,高振偉預測臺灣伺服器市場仍有成長空間。尤其傳統製造業、電信等業者,他表示,這些產業原本使用大型主機的比例就比較高,而2012年年底到2013年也是傳統產業採購伺服器設備的主要時間,因此,從2012年第4季開始,臺灣伺服器營收還可望增加。此外,臺灣電信業者也陸續有整併機房的計畫,影響伺服器換機和採購數量。文⊙曾筱媛

轉載自《iThome》

CIO 看2013(上)


CIO 看2013(上)

撰文⊙iThome電腦報

2013企業IT投資風向球
我們調查超過400位各產業的資訊最高主管,以反應臺灣企業接下來一年的IT發展方向,首先是企業IT預算,來了解今年企業IT投資的狀況。

CIO 看2013- 2013年IT預算成長率4.4%
全球經濟還未回春,多數企業今年的IT投資持續保守,只些微成長了4.4%,但有約1成5的企業為了搶先機,率先加碼IT投資

CIO 看2013- 軟體投資篇
伺服器虛擬化蟬聯冠軍,5成以上企業計畫在2013年採用伺服器虛擬化

CIO 看2013- 硬體投資篇
伺服器虛擬化持續火熱,今年多數企業減少實體伺服器採購數量,並轉向投資虛擬化技術

延伸閱讀 
IDC:2013年超過4成企業增加IT投資
IDC於2012年8 月調查140位臺灣企業的CIO,有4成多企業願意增加IT預算,但也有4成企業2013年的IT投資與2012年相當

CIO看2012(上) 
iThome 2012年CIO大調查-IT 投資篇

CIO看2012(中)
iThome 2012年CIO大調查-IT 應用篇

CIO看2012(下)
iThome 2012年CIO大調查-CIO的期許

轉載自《iThome》

2013企業IT投資風向球


2013企業IT投資風向球

我們調查超過400位各產業的資訊最高主管,以反應臺灣企業接下來一年的IT發展方向,首先是企業IT預算,來了解今年企業IT投資的狀況。

自本期開始,我們將陸續公布「iThome 2013年CIO大調查」的結果。我們調查超過400位各產業的資訊最高主管,以反應臺灣企業接下來一年的IT發展方向。

本期我們先就這份調查的年度重頭大戲──企業IT預算,來了解今年企業IT投資的狀況;接下來的幾期,將再繼續公布幾個眾所矚目的IT應用的狀況。

我們先來看幾個數字。2013年企業IT預算成長率4.4%:雖然這與去年2012的成長率5.5%相比,再掉了1.1%,而與前年2011的成長率8.9%相比,更是腰斬。不過,即使大多數企業在期待全球景氣U型復甦的心理下,持續採取保守的IT投資態度,然而臺灣企業的IT投資整體還能保有4.4%的正成長。

今年有6成企業的IT預算是零成長,60.5%的企業沒刪一毛IT預算,也沒多加一毛錢;而IT預算有成長的企業,占了14.8%,至於今年減少IT投資的企業,則占了15.5%。IT投資退縮的企業數量,其實是多於IT投資增加的企業,而之所以能保住4.4%的成長率,主要是因為增加IT投資的企業,其預算增加幅度大於企業縮減IT預算的幅度;像是IT投資增加1倍以上的企業,就占了1.4%。

對於6成採取守勢的企業,在IT預算持平的局面下,若不是採取特別的策略或技術,該公司IT進步的速度是無法變快的;然而整個世界採用科技的速度卻越來越快,當世界變化的速度超過企業IT投資成長的速度,對IT投資的想法就必須有所改變。當你的顧客一個個都有了最新的科技產品,業務端正想要利用科技應用與顧客有更好的互動,然而IT卻缺乏糧草,無法配合發動攻勢,市場可能就拱手讓人了。

49.9%對41%:49.9%的企業不會因為景氣因素而刪減IT預算,這可說是個好現象,但是,亦有41%的企業著眼於2013年不景氣,而決定刪減IT預算。這反應了多數臺灣的企業未把IT投資視為戰略性投資,因此IT預算容易受經濟景氣的左右。在以出口導向的企業居多的臺灣,全球經濟的風吹草動,都會波及企業的IT投資。企業被迫刪減年度預算時,通常先砍的都是IT預算。但是,隨著IT在企業裏發揮的功用,已經一步步靠近戰略位置,IT預算能再被砍也有限了;很多IT投資可以因為景氣低迷而受延宕,卻不能一再拖延下去,因為競爭力會一點一滴流失。

53.5%的企業將投資伺服器虛擬化:今年虛擬化熱度未減,需求持續增加。在金融業,甚至是近7成(69.2%)的公司將投資伺服器虛擬化;而醫療業與政府機關也都有超過6成的公司要採納虛擬化,其他如高科技製造業、服務業都有5成的公司要導入伺服器虛擬化,只有一般製造業稍低,40.3%。這幾年發展下來,伺服器虛擬化幾乎已確定是未來IT架構的基本要素了。

37.4%的企業要建置Wi-Fi無線網路:自去年的調查就開始看到企業建置無線網路的需求,而今年這個需求則繼續增加。2012年有27.6%的企業要建置Wi-Fi無線網路,2013年更提高至37.4%,一年增加了近10%。這反應出起碼有三分之一以上的企業,因應行動裝置日益普及的情況,而開始建置Wi-Fi無線網路。

37.8%企業編列雲端服務預算:雖然仍有超過6成的企業沒有採用雲端服務的打算,不過有編列雲端服務預算的企業也達37.8%,並不算低;而且,其中有12.1%的企業,其雲端服務的預算占IT總預算的1成以上。

吳其勳/iThome電腦報周刊總編輯
轉載自《iThome》

CIO 看2013 - 硬體投資篇


CIO 看2013 - 硬體投資篇

伺服器虛擬化持續火熱,今年多數企業減少實體伺服器採購數量,並轉向投資虛擬化技術

2013年伺服器導入趨勢


伺服器導入數量減少,大規模導入比例降低
今年要導入伺服器的企業比例略減,2012年有79.6%,但今年只有77.3%。其中,金融業在2012年有高達12%計畫導入超過50臺伺服器,但今年則完全沒有大幅導入計畫,降低幅度最明顯。伺服器平均採購數量從2012年的10.3臺,降低到今年的8.8臺。雖然伺服器採購數量降低,但今年企業導入伺服器虛擬化的比例卻位居軟體投資項目第一,顯示企業開始轉向投資虛擬化技術來取代部份實體伺服器,成為伺服器導入數量降低的原因之一。






2013年桌上型PC導入趨勢



企業PC採購年年沒落 
今年企業計畫採購桌上型電腦的數量明顯降低,2012年企業平均採購82.8臺桌上型電腦,但到2013年,僅存53.5臺。雖然整體預計要導入的比例從2012年的83.4%到2013年79.7%,只降低約4%,但從導入的數量上,就可明顯看出桌上型電腦在企業內的比例已經逐年降低,各個產業的導入數量都不如2012年。



2013年筆記型電腦導入趨勢 



政府與學校大規模導入筆電的數量飆升
筆記型電腦在2013年的平均導入狀況有小幅降低,導入數量也從2012年33.2臺,降低到22.6臺,平均減少10臺之多。各個產業導入筆電的數量減少,但僅有政府與學校導入筆電的數量從2012年40.2臺,飆升到69臺,導入百臺筆電的政府與學校機關比例,也從11.1%提高到19.4%,數字明顯增加。




2013年平板電腦導入趨勢



醫療業、政府與學校過半數預計導入平板
行動應用熱潮日漸看漲,已經有37%的企業預計在今年採購並導入平板電腦,大部分集中在醫療業和政府與學校等公家機關,59.3%醫療業預計導入,政府與學校等公家機關則有61.3%。

不過平板電腦導入數量並不多,約13.7臺,其中最高為政府與學校,平均預計導入54.7臺,其次為醫療產業的36.1臺。



2013年儲存容量導入趨勢



政府學術機構自建儲存雲,儲存採購需求暴增
在2013年,有71.5%的企業預計新增儲存設備,比2012年有68.8%企業導入儲存設備略增。從產業來看,醫療(81.5%)以及政府與學校(80.6%)今年要導入更多儲存空間的企業占比較高,政府及學校研究機構的平均採購容量高達207.7TB,主要用於打造內部儲存雲和提供私有雲服務。




個資法、行動裝置牽動資安投資方向

在2013年,有近6成(59.7%)的企業,將因應個資法列為最主要的資安投資重點,其次為防毒防駭(46.3%)和郵件安全(43.6%),也都超過4成企業重視。其餘與個資法相關的資安投資項目,包括Log管理(26%)、資料加密(19%)、資安鑑識(13.9%)等項目,在今年比去年多了3%~5%的企業想要採用,去年上路的個資法牽動了今年企業資安投資方向。

隨著各種行動裝置與應用的普及,企業在2013年也開始關注行動裝置管理的資安項目,有將近3成的企業(27.1%)願意投資行動裝置管理(MDM),也有28.4%的企業願意投資無線網路存取控管。但是,DLP(資料遺失防護)資安解決方案並沒有因為個資法的施行,引爆企業投資的意願,在2013年有11%的企業願意投資在DLP,比2012年的7.4%略多。

防毒防駭已經成為企業在資安投資上的基礎,今年度有46.3%的企業採用,比去年新增近1成。電子郵件已經成為企業營運重要的溝通工具,為了避免重要資訊透過電子郵件外洩,也提高企業對電子郵件的管理效率,今年有43.6%企業投資郵件安全項目,比去年增加11.1%;另外有34%企業投資垃圾郵件過濾項目,比去年增加7.3%。

 

網路架構升級仍是企業投資重點,Wi-Fi無線網路需求強勁
在2013年網通設備的投資重點項目中,前3名分別為:網路設備升級、Wi-Fi無線網路、專線頻寬,這些都和網路基礎建設的升級有關,前三名的排行也和2012年相同,有超過半數(56.8%)的企業要升級網路設備,37.4%的企業要建置Wi-Fi無線網路,以及26.4%的企業要增加專線的頻寬。

其中以要投資Wi-Fi無線網路的企業比去年增加很多,2012年有27.6%的企業將Wi-Fi無線網路列為投資重點,而在2013年則提高至37.4%,增加了近10%。而行動裝置的普及與多元化、員工使用網路的方式改變,甚至是物聯網的興起等,這些都是趨動企業加速Wi-Fi無線網路建置的原因。

目前,儘管全球IPv4位址已發放完畢,政府也帶頭進行IPv6的升級作業,但僅有6.7%的企業願意將IPv6的轉換或是設備採購列為投資重點,顯見臺灣企業認為IPv6的需求並不迫切,反而是網路架構的升級、建置無線網路與擴大頻寬較為重要。




儲存需求以基礎設備為主

企業在2013年的儲存投資,仍以基礎建設相關設備為主,有41.4%企業儲存投資以磁碟陣列採購為主,另外NAS(網路附加儲存)設備、備份軟體和儲存虛擬化(31.5%),也都有超過3成的企業有計畫採購。

磁帶雖老,但2013年仍有2成企業會採購磁帶設備。至於新穎的SSD固態硬碟,由於SSD固態硬碟價格有調降,有6.5%的企業在2013年願意投資SSD,比例比2012年增加2.9%。此外, 2013年有1.6%企業投資FCoE,比2012年略增0.7%,但整體而言,企業投資FCoE比例仍低。

各產業對儲存投資重點各有不同,有50%金融業、42.9%的高科技製造業和43.2%的服務業,主要儲存投資項目為磁碟陣列,投資在單純的儲存空間項目上;但是,有40.3%的一般製造業,則偏重投資備份軟體,主要是為了讓企業舊有的資料和系統可以做備份,節省儲存空間,也能便利備份資料的順利還原甚至搜尋等功能。

另外,有55.6%的醫療業主要投資在NAS,主要是因為醫療有許多的圖像資料,可以作為非結構性資料儲存和交換的NAS,成為醫療業主要投資重點。有64.5%的政府與學校單位則偏重投資在儲存虛擬化,主要是希望打破許多異質平臺儲存設備的界線,達到提高儲存系統的利用率。

 

問卷調查執行說明
本次以「中華徵信2012年臺灣地區大型企業排名TOP5000」資料中的臺灣2千大企業,搭配iThome過去CIO 2012大調查名單和2012年IT人大調查的資訊部門最高主管,政府一級機構,大專院校,進行問卷調查。問卷執行期間從2012年12月20日到2013年1月7日結束。共回收了問卷517份,扣除問卷內容無效者,有效問卷數449份。

有效問卷的樣本中,填答者職務有79.7%是資訊部門最高主管,其他IT職務則有20.3%。產業分布上,高科技製造業最多,達29.7%,其次是一般製造業的26.9%和服務業的24.7%,金融業則有5.8%。




轉載自《iThome》




CIO 看2013 - 2013年IT預算成長率4.4%


CIO 看2013 - 2013年IT預算成長率4.4%

全球經濟還未回春,多數企業今年的IT投資持續保守,只些微成長了4.4%,但有約1成5的企業為了搶先機,率先加碼IT投資

國際景氣尚未回溫,多數企業今年的IT投資仍舊保守,但也有14.8%的企業為搶先機,率先加碼IT投資



景氣待回溫,IT投資持平觀望
雖然國際景氣在去年下半年開始有復甦跡象,美國第三季經濟表現出現曙光,歐債問題也沒有進一步惡化。但多數臺灣企業仍舊擔心今年景氣持續低迷,甚至繼續下滑,IT投資仍舊保守。今年IT預算的成長力道甚至比去年還低,成長率只有4.4%,略低於去年的5.5%,已遠不如2011年時高達8.9%的IT預算成長率。



14.8%企業為搶先機,率先加碼投資IT
今年多數產業的IT預算成長率都下滑,甚至連去年IT預算成長力道反彈上揚的醫療業,在今年也開始下滑,雖然沒有發生負成長的情況,但也格外緊縮,醫療業是各產業中預算成長率最低者,僅有0.65%。在2013年,只有政府機關比較沒有受到景氣長期低迷的影響,政府機關和學校今年IT預算成長率不減反增,達到了5.86%,甚至高於今年的整體平均值4.4%。整體來看,企業IT預算仍舊維持正成長的發展,只是成長力道再度減弱,也反映出企業整體IT投資保守的觀望心態。

不過,也有不少企業看好今年景氣復甦,率先加碼投資IT。多達14.8%的企業在今年的IT預算成長超過1成,甚至有1.4%的企業今年IT預算成長一倍以上。




企業IT投資平均5,929萬元



從IT投資金額來看,2013年平均每間企業的投資金額為5,929萬元,相較於去年的5,670萬元,並沒有明顯差距。不過,各產業的落差卻非常顯著,其中,金融業的平均投資額度就達到4億1,878萬元,是各產業之冠,一般製造業則以2,006萬元居末。整體來說,只有金融業、政府與學校的IT投資金額高於整體平均,其他產業的IT投資都低於整體平均。在各個產業中,IT投資金額都有兩極化的情況。其中,金融業有31.8%的IT投資金額超過1億元,但是,投資金額低於200萬元的比例,也有9.1%。

同樣的情況,高科技製造業的IT投資金額,超過1億元以上的比例為9.7%,並且高於整體平均9.4%,但是,投資金額低於200萬元以下的比例也達到8.9%。



IT預算占營收比1.59%
在2013年的IT預算調查中,企業資訊部門主管普遍認為,理想的IT預算應該占居營收2.1%。然而,各企業今年所編列的IT預算,僅占營收1.59%。相較於去年的1.41%,雖然已經有微幅成長,不過,仍舊與理想有一段差距。其中,IT預算占營收0.5%的比例最高,並且達到42.4%,其次,IT預算占營收1~5%的比例,也達到32.6%。





軟硬體預算相當,一般製造業人力成本最高

今年的IT預算配置,在「軟體」、「硬體」、「通訊網路費」、「維護」、「教育」、「人力」方面的分配比重,都與往年差不多,名列前茅的項目依舊是人力與軟硬體。其中,人力占IT預算的27.78%,軟體占21.53%,硬體占21.63%,通訊網路費占8.94%,維護費占14.92%,教育訓練占2.51%。此外,今年新增的雲端服務類別則占IT預算的2.69%。

除此之外,在各個產業中,人力所占預算比重,又以一般製造業最高,且以30.09%高於整體平均的27.78%。其次依序是高科技製造業的29.06%,以及服務業的28.92%,同樣也是高於整體平均的產業。此外,政府與學校的IT人力所占預算比重,則以16.81%屈居各個產業末尾。



62.2%企業無雲端預算,12.1%企業編列1成預算
隨著雲端應用興起,今年的IT預算配置,也特別納入雲端服務。整體來說,這個部分占了IT預算的2.69%,在2000大企業中,有高達62.2%的企業,今年並沒有採用雲端服務的計畫,另外37.8%的企業則計畫在今年採用雲端服務。

因應雲端服務,有12.1%的企業編列的預算,占IT整體預算的10%以上。另外有25.7%的企業,今年所編列的雲端服務運算,介於1%~10%之間。在各個產業中,則以政府與學校的雲端服務預算最高,並且達到4.8%,其次是高科技製造業的3.12%,服務業2.7%,醫療業2.43%,金融業1.2%,一般製造業1.95%。



委外占IT預算20.7%,連續3年微幅下滑
景氣低迷不振的情況下,IT委外的預算,也呈現逐年下滑態勢。2013年的IT預算分配中,委外占20.7%。相較於2012年的21.2%,雖然只有非常微小的差距,不過卻已經連續3年下滑。從產業的角度來看,則以政府與學校的30.79%所占預算比最高,其次則是金融業的24.44%,醫療業的21.81%。




2.5%的企業裁減IT人員,22.4%的企業打算擴編IT人力

今年有將近4成的企業因為不景氣而縮減IT預算的編制,但卻僅有2.5%的企業會進一步減少IT人力支出,而且,還有22.4%的企業打算再多聘用一些IT人員。

而在想要增加IT人力的企業中,前3名分別是金融業、服務業、政府與學校,有30.4%的金融公司計畫在2013年增聘IT人員,並且沒有打算要減少人力的計畫,次高的服務業則有30.3%的企業預計要擴編,政府與學校則有26.7%,政府與學校的比例和2012年的12.1%相比,增加了14.6%。此外,高科技製造業是18.8%,一般製造業是18.1%,而醫療業則是最低的14.8%。

雖然金融業在各產業名列第一,但是,和2012年的45.8%相比,金融業增加IT人力的比例卻下滑了15.4%。



近5成企業的IT預算不受景氣影響
今年的經濟景氣尚未有明朗的趨勢,目前仍處在低迷的氛圍中,這樣的情況對於企業IT預算有多大的影響呢?有將近5成(49.9%)的企業,IT預算不受景氣影響,更有6.5%的企業看好明年的景氣,將會增加IT預算。會增加IT預算的產業中,以金融業的9.1%最高,但是,也有5成的金融業將會刪減IT預算,這個排名也是所有產業中最高的。

除了看好景氣而增加IT預算之外,也有些許產業逆勢操作,認為今年景氣不佳但仍舊加碼投資IT,以政府與學校的3.3%最高。






轉載自《iThome》