老宅玄關的鞋櫃
Help net security:Collibra AI 治理可降低風險、保護資料並確保合規性
Help net security發佈了一篇Collibra AI 治理可降低風險、保護資料並確保合規性
人工智慧(AI)是當今企業競爭的關鍵優勢,也是未來社會變革的重要推動力。根據 IDC 的調查,有 71% 的受訪者表示他們的公司已經在使用 AI,而且有 22% 的受訪者計畫在未來 12 個月內開始使用 AI。成功地將 AI 應用到各種場景中,可以為企業帶來高達 3.5 倍的投資回報。
然而,使用 AI 也不是沒有風險和挑戰的。如果沒有對 AI 進行適當的管理和監督,就可能導致模型偏差、不準確、法律和倫理問題、信任危機等不良後果。企業不僅要面對聲譽損失,還可能遭受監管機構的罰款和制裁。因此,如何在保護數據和遵守規範的同時,充分發揮 AI 的潛力,是企業需要解決的重要課題。
為了幫助企業實現可信賴的 AI,Collibra 推出了 Collibra AI Governance,一個專為 AI 設計的治理產品,可以讓數據、AI 和法律團隊協作,確保 AI 的合規性、減少數據風險、提高模型效能和投資回報,以及加快 AI 的上線速度。Collibra AI Governance 建立在 Collibra Data Intelligence Platform 之上,提供了一個統一的平台,讓企業可以用適當的規則、流程和責任來安全地治理 AI,以及提供 AI 的數據。
Collibra AI Governance 的主要功能和優勢包括:
- 定義和記錄 AI 的使用案例,輕鬆管理和監測 AI 項目,並使用直觀、友好的介面來操作。
- 將 AI 直接與數據關聯,利用 Collibra Data Catalog 來發現、理解和分類數據,利用 Collibra Data Quality & Observability 來進行持續的數據質量檢查,以及利用 Collibra 的領先治理能力來確保數據的可信度。
- 保護敏感數據,利用 Collibra Data Privacy 和 Collibra Protect 來識別和保護個人身份資訊(PII)等數據,並利用數據發現和數據訪問策略來確保只有合適的人員可以查看和使用特定的數據。
- 將業務背景與提供 AI 的數據相連,為項目數據提供更多的細節,如目標、業務價值和團隊成員角色,以確保更緊密的對齊、協作和透明度。
Collibra AI Governance 是一個幫助企業開啟 AI 治理之路的可靠夥伴,可以幫助企業制定 AI 策略,最大化 AI 的效益,同時最小化 AI 的風險,實現更有價值、更倫理、更負責任、更合規的 AI。
詳情請看:
老宅的窗外,夕陽在雲層與天際間畫出柔和的分界
The hacker news:4 關於資料停機和遺失的指導性事後分析
The hacker news發佈了一篇4 關於資料停機和遺失的指導性事後分析
數據外洩是一個嚴重的網路安全問題,它可能導致個人資料、財務資訊、商業機密等被不法分子竊取、濫用或公開。數據外洩的原因可能有很多,例如系統漏洞、人為疏失、惡意攻擊等。在這篇部落格中,我將介紹四個近期發生的數據外洩案例,並從中提出一些保護自己的網路安全的建議。
案例一:中國黑客利用 VMware 零日漏洞進行網絡間諜活動
根據黑客新聞的報導,一個與中國有關聯的網絡間諜組織,自 2021 年底以來,一直利用 VMware vCenter Server 的一個未修補的漏洞(CVE-2023-34048)進行攻擊。這個漏洞是一個越界寫入的問題,可以讓具有網路存取權限的惡意攻擊者在 vCenter Server 上執行遠端程式碼。VMware 在 2023 年 10 月 24 日修補了這個漏洞,並在本週更新了其公告,承認這個漏洞已經被野外利用。
這個網絡間諜組織被稱為 UNC3886,之前也被發現利用 VMware 和 Fortinet 的其他漏洞,來植入惡意程式,竊取目標系統的資料。這次的攻擊流程是這樣的:首先,攻擊者通過繞過 Windows Defender SmartScreen 的方式,讓受害者點擊一個惡意的網際網路捷徑檔(.URL),從而連接到攻擊者控制的伺服器,並執行一個控制面板檔(.CPL)。接著,這個惡意的 .CPL 檔會呼叫 rundll32.exe 來執行一個 DLL,這個 DLL 會呼叫 Windows PowerShell 來下載並執行下一階段的攻擊,這個攻擊是從 GitHub 上下載的。最後,這個下載的 PowerShell 載入器(DATA3.txt)會使用一個開源的殼碼載入器 Donut,來解密並執行 Phemedrone Stealer,這是一個開源的資訊竊取程式,可以從瀏覽器、加密貨幣錢包和通訊應用程式中竊取資料。
這個案例顯示了攻擊者如何利用零日漏洞來進行隱蔽的網絡間諜活動,並且針對防火牆和虛擬化技術,因為這些技術通常缺乏端點偵測和回應(EDR)的解決方案,從而讓攻擊者可以在目標環境中持續存在。因此,我們建議 VMware vCenter Server 的使用者盡快更新到最新版本,以減少潛在的威脅。此外,我們也建議使用者開啟 Windows Defender SmartScreen 的保護功能,並且不要隨意點擊來歷不明的連結或檔案。
案例二:黑客利用 Windows 漏洞來部署竊取加密貨幣的 Phemedrone Stealer
根據黑客新聞的報導,有些惡意攻擊者已經利用一個已修補的 Windows 漏洞(CVE-2023-36025)來部署一個開源的資訊竊取程式,叫做 Phemedrone Stealer。這個程式可以從瀏覽器、加密貨幣錢包和通訊應用程式中竊取資料,並且通過 Telegram 或其指揮和控制(C&C)伺服器將竊取的資料傳送給攻擊者。
這個 Windows 漏洞是一個安全繞過的問題,存在於 Windows SmartScreen 中,可以讓攻擊者通過誘使使用者點擊一個特製的網際網路捷徑檔(.URL)或一個指向網際網路捷徑檔的超連結,來繞過 Windows SmartScreen 的保護。這個漏洞已經在 2023 年 11 月的微軟安全更新中被修補。
這次的攻擊流程與案例一類似,也是通過惡意的 .URL 檔來連接到攻擊者控制的伺服器,並執行一個惡意的 .CPL 檔,然後呼叫 rundll32.exe 來執行一個 DLL,這個 DLL 會呼叫 Windows PowerShell 來下載並執行下一階段的攻擊,這個攻擊是從 GitHub 上下載的。最後,這個下載的 PowerShell 載入器(DATA3.txt)會使用 Donut 來解密並執行 Phemedrone Stealer。
這個案例顯示了攻擊者如何利用已修補的漏洞來部署各種類型的惡意程式,包括勒索軟體和竊取程式,如 Phemedrone Stealer。因此,我們建議使用者及時安裝 Windows 的安全更新,以防止被攻擊。此外,我們也建議使用者使用可靠的安全軟體,並且不要存放過多的加密貨幣在線上錢包中,以減少損失的風險。
案例三:惡意廣告在 Google 上針對中文使用者,推銷假冒的 NordVPN
根據[黑客新聞]的報導,有些惡意廣告在 Google 上出現,針對中文使用者,推銷一個假冒的 NordVPN,這是一個知名的虛擬私人網路(VPN)服務提供商。這些廣告會導引使用者到一個假冒的 NordVPN 官網,並試圖說服使用者下載並安裝一個惡意的應用程式,叫做 NordVPN 安全瀏覽器。這個應用程式實際上是一個木馬程式,可以竊取使用者的敏感資料,例如密碼、信用卡資訊、瀏覽歷史等。
這個案例顯示了攻擊者如何利用 Google 的廣告系統來傳播惡意程式,並且利用知名品牌的名聲來吸引使用者的信任。因此,我們建議使用者在下載任何應用程式之前,要先檢查其來源是否可靠,並且使用正版的 VPN 服務,以保護自己的網路隱私和安全。
案例四:黑客利用 SolarWinds 的 Orion 平台來入侵美國政府和企業
根據[黑客新聞]的報導,一個被認為與俄羅斯有關聯的高級持續性威脅(APT)組織,已經利用 SolarWinds 的 Orion 平台,一個廣泛使用的網路管理軟體,來入侵美國政府和企業的系統。這個攻擊被稱為 SolarWinds 事件,是一個供應鏈攻擊,也就是攻擊者通過竊取 SolarWinds 的程式碼簽章憑證,來將惡意程式碼植入 Orion 的更新檔中,然後通過正常的更新機制,將惡意程式碼傳送到 Orion 的使用者的系統中。這個惡意程式碼被稱為 Sunburst,它可以讓攻擊者遠端存取和控制受感染的系統,並且執行各種惡意活動,例如竊取資料、安裝其他惡意程式、破壞系統等。
這個案例顯示了攻擊者如何利用供應鏈攻擊來進行大規模的網絡間諜活動,並且針對高價值的目標,例如政府機構和大型企業。這個攻擊也展示了攻擊者的高度專業和隱蔽,因為他們能夠在 SolarWinds 的程式碼中植入惡意程式碼,並且在數個月內逃避偵測。因此,我們建議使用者在安裝任何軟體更新之前,要先驗證其完整性和來源,並且使用多層的安全防護,以防止被攻擊。
詳情請看:
夕陽斜照進老宅
The hacker news:為什麼我們必須讓網路安全民主化
The hacker news發佈了一篇為什麼我們必須讓網路安全民主化
網路安全是一個日益重要的議題,不僅影響到大型企業,也關係到中小企業和一般大眾的權益。隨著網路攻擊的頻繁和嚴重,我們需要更多的人參與和貢獻,打造一個更安全、更開放、更平等的網路環境。這就是網路安全的民主化。
什麼是網路安全的民主化
網路安全的民主化,是指讓網路安全的知識、技術、工具和服務,更容易地被各種規模和背景的使用者獲得和使用。這包括以下幾個方面:
- 網路安全的教育和培訓,讓更多的人學習和掌握網路安全的基礎知識和技能,提高網路安全意識和素養。
- 網路安全的研究和創新,讓更多的人參與和貢獻,發現和解決網路安全的問題和挑戰,創造和分享網路安全的新知和新解。
- 網路安全的產品和服務,讓更多的人使用和享受,提供和推廣網路安全的解決方案和保障,降低和減輕網路安全的風險和損失。
為什麼我們需要網路安全的民主化
網路安全的民主化,是一個必要而且有利的趨勢,它有以下幾個好處:
- 網路安全的民主化,可以提升網路安全的水平和效率,讓網路安全的資源和能力,更充分和合理地分配和利用,應對和抵抗網路攻擊的威脅和影響。
- 網路安全的民主化,可以促進網路安全的發展和進步,讓網路安全的領域和社群,更多元和活躍地交流和合作,創造和推動網路安全的創新和改善。
- 網路安全的民主化,可以增強網路安全的公平和正義,讓網路安全的權利和責任,更均衡和公開地分擔和承擔,保護和維護網路安全的利益和價值。
如何實現網路安全的民主化
網路安全的民主化,是一個需要多方參與和努力的過程,它涉及到以下幾個層面:
- 政府和法律,要制定和執行有利於網路安全的民主化的政策和法規,提供和保障網路安全的民主化的條件和環境。
- 企業和組織,要開發和提供有助於網路安全的民主化的產品和服務,支持和推動網路安全的民主化的需求和市場。
- 學術和社會,要進行和分享有關網路安全的民主化的研究和創新,培育和激發網路安全的民主化的人才和文化。
- 個人和群體,要學習和運用有關網路安全的民主化的知識和技術,參與和貢獻網路安全的民主化的活動和運動。
網路安全的民主化,是一個符合時代潮流和社會需求的理念和目標,它可以讓我們更好地享受和利用網路的便利和機會,也可以讓我們更有效地防範和減少網路的危險和損失。讓我們一起行動起來,實現網路安全的民主化吧!
詳情請看:
老宅的一角
利用 AI 協助進行增強力量的健身訓練:打造專屬的高效訓練計畫
為什麼要提升力量?AI 幫你精準規劃
無論你是健身初學者、運動愛好者,還是中高齡族群,「增強力量」都是最根本也最重要的訓練目標之一。強壯的肌力不僅提升運動表現,更有助於日常活動表現、防止跌倒、避免運動傷害,甚至延緩老化。
但要真正有效增強力量,訓練計畫必須符合:
-
個人 訓練經驗與基礎
-
可用時間與設備
-
年齡與恢復能力
這時候,AI 健身工具(如 ChatGPT) 就成為你量身打造專屬訓練菜單的絕佳助手。
利用 AI 建立力量訓練計畫的三大優勢
✅ 1. 根據個人條件客製化
AI 可以根據你的:
-
年齡、性別、體重、運動習慣
-
每週可訓練時間
-
可用器材(或無器材)
快速產出 個人化的週期化訓練計畫,避免一套通用訓練誤傷新手或錯過進階者的潛力。
✅ 2. 自動追蹤與調整進度
AI 能協助你追蹤:
-
訓練表現(例如伏地挺身組數增加、負重強度提升)
-
疲勞狀態與恢復情況
並根據反饋微調計畫內容,做到真正的 智慧訓練管理。
✅ 3. 動作說明與影片輔助學習
搭配 YouTube 或 AI 製作的示範影片(如 Sora、Runway、Kaiber),可快速學習正確動作,減少錯誤與受傷風險。
AI 力量訓練計畫範例(徒手訓練者)
一週 4 天訓練排程(可依體能微調)
| 星期 | 訓練部位 | 主要動作 | 組數 × 次數 | 強度建議 |
|---|---|---|---|---|
| 一 | 下半身 | 單腳深蹲、臀橋 | 4 × 5–8 | 慢速控制 |
| 二 | 上半身推 | 鑽石伏地挺身、墊腳推牆 | 4 × 6–10 | 全程控制 |
| 四 | 上半身拉 | 引體向上(輔助)、毛巾划船 | 3 × 最大次 | 保持穩定節奏 |
| 六 | 核心與爆發 | 平板撐體、登山者、波比跳 | 組合式循環 | 中高強度 |
💡 AI 小提示:每週請 AI 檢查表現進展,根據疲勞與恢復狀況調整組數與間歇。
訓練中記錄什麼數據,AI 才能幫你更精準分析?
-
每個動作完成的組數與次數
-
是否達到力竭?(RPE指數)
-
當日身體感受(疲勞、痠痛、精神)
-
是否有不適動作或姿勢錯誤發生
你可以把這些記錄成文字或簡單筆記,定期請 AI 協助分析進步趨勢,或提醒過度訓練。
力量訓練中容易忽略的重點,AI 也能提醒你:
🕒 休息時間很重要
-
大重量低次數訓練:休息 2~5 分鐘
-
增肌中等強度訓練:休息 60~90 秒
-
核心與心肺型動作:休息 30~60 秒
🤸 正確動作品質優於重量
-
錯誤發力容易導致長期傷害
-
AI 可搭配影片回饋功能(未來整合 Sora 或鏡子類設備)改善動作細節
🧘 別忽略伸展與恢復
-
每次訓練後 AI 建議安排 5–10 分鐘靜態拉伸
-
每週至少一次完整恢復日(如泡沫軸放鬆、伸展、輕瑜伽)
適合用 AI 建立力量訓練菜單的人有哪些?
-
🧍♂️ 忙碌上班族:無法固定去健身房、時間零碎
-
🧘♀️ 居家訓練族:只有自重或簡易器材
-
🎯 目標導向者:需要量化追蹤進度與科學規劃
-
🧠 喜歡數據分析者:希望優化訓練效率、避免撞牆期
結語:AI 是你最聰明的力量訓練夥伴
力量的提升,不僅是體能上的進化,也是意志與紀律的鍛鍊。善用 AI,不只是讓你「照表操課」,而是讓訓練更有科學依據、更貼近你的生活方式。
現在就開啟你的 AI 力量訓練之路吧!
Cisco:企業安全:使辦公桌輪用在全球範圍內安全且可訪問
Cisco發佈了一篇企業安全:使辦公桌輪用在全球範圍內安全且可訪問
熱席工作(hot desking)是一種辦公模式,指的是員工不固定使用某個工作站,而是根據需要隨時選擇任何一個可用的工作站。這種模式可以節省辦公空間,提高資源利用率,增加員工的靈活性和協作效率。然而,熱席工作也帶來了一些安全挑戰,尤其是在涉及敏感數據和關鍵基礎設施的領域,例如建築和工程行業。
在這篇 blog 中,我將以澳大利亞的 Laing O’Rourke 公司為例,介紹他們是如何利用思科的安全解決方案,為他們的熱席工作環境提供全球範圍內的安全和便捷的網絡訪問。
Laing O’Rourke 的網絡環境和安全需求
Laing O’Rourke 是一家全球性的建築和工程公司,業務涵蓋了交通、國防、能源等多個領域。該公司的網絡環境非常複雜,因為他們經常參與一些大規模的合作項目,與其他公司組成聯合體(JV)。這些合作夥伴有時是他們的競爭對手,有時又是他們的合作夥伴。因此,Laing O’Rourke 必須在保護自己的數據和資產的同時,也要為合作夥伴提供安全的網絡訪問。
此外,Laing O’Rourke 的員工和客戶也需要在不同的地點和設備上進行熱席工作,無論是在辦公室、項目現場,還是在家裡。這就要求他們的網絡安全解決方案能夠適應不同的場景和需求,並且能夠阻止來自互聯網的各種攻擊,例如 DDoS、VPN 和其他網絡相關的攻擊。
Laing O’Rourke 如何使用思科的安全解決方案
為了滿足這些安全需求,Laing O’Rourke 選擇了思科的兩個安全解決方案:思科安全防火牆(Cisco Secure Firewall)和思科身份服務引擎(Cisco Identity Services Engine,簡稱 ISE)。
思科安全防火牆是一個綜合的網絡安全平台,能夠提供高效的流量和威脅管理,並且支持多種部署模式,包括雲端、本地和混合。思科安全防火牆能夠幫助 Laing O’Rourke 防止未經授權的訪問,檢測和阻止惡意流量,並且提供可視化的報告和分析。
思科 ISE 是一個統一的訪問控制解決方案,能夠根據用戶、設備、位置和時間等因素,動態地分配網絡訪問權限和策略。思科 ISE 能夠幫助 Laing O’Rourke 管理和驗證不同的身份,例如員工、客戶和合作夥伴,並且實現熱席工作的安全和便捷。思科 ISE 還能夠與思科安全防火牆集成,實現更高級別的安全防護。
Laing O’Rourke 的安全效果和收益
通過使用思科的安全解決方案,Laing O’Rourke 能夠在全球範圍內實現熱席工作的安全和便捷,並且獲得了以下的效果和收益:
- 提高了網絡安全性和可靠性,減少了網絡中斷和數據洩露的風險。
- 簡化了網絡管理和運維,減少了人工干預和錯誤的可能性。
- 增強了員工和客戶的滿意度和信任,提高了業務效率和競爭力。
- 符合了不同客戶和合作夥伴的安全要求和標準,增加了合作機會和市場份額。
熱席工作是一種適應當今動態和多變的商業環境的辦公模式,但也需要有強大和靈活的網絡安全解決方案來支持。思科的安全解決方案能夠為熱席工作提供全球範圍內的安全和便捷的網絡訪問,幫助企業實現更高的安全水平和業務價值。
詳情請看:
CISA:支援大學網路安全診所的指南
CISA發佈了一篇支援大學網路安全診所的指南
網路安全是當今社會的重要議題,尤其是對於那些資源有限、卻又面臨勒索軟體等威脅的小型和地方組織。為了幫助這些組織提升他們的數位防禦能力,美國網路安全及基礎建設安全局(CISA)發佈了一份指南,支持大學網路安全診所的發展和運作。
什麼是大學網路安全診所?它們是由大學、學院或社區學院設立的實驗室,培訓來自不同背景和學術領域的學生,為非營利組織、醫院、市政府、小型企業等缺乏網路安全資源的組織提供服務,同時也為網路民防培養人才。
目前,美國有超過十幾個大學網路安全診所,並由網路安全診所聯盟(Consortium of Cybersecurity Clinics)協調合作。該聯盟是一個平台,讓診所的工作人員、教練、學生和倡導者分享知識,擴大診所的影響力,並降低其他機構建立診所的障礙。
CISA 的指南為這個日益增長的社群提供了有用的資訊、資源和服務,清楚地解釋了這些資源如何適用於診所和他們的客戶。CISA 認為診所是他們使命的力量倍增器,可以加強那些目標豐富、資源貧乏的組織的網路安全。
CISA 也宣佈了幾項支持大學網路安全診所的行動,包括:
- 資源指南。CISA 將發佈一份專門為診所和他們的客戶使用的資源指南。它將清楚地解釋資源如何適用於診所和他們的客戶。
- 社區意識。提高診所的知名度是一個寶貴的工具,它有助於增加對診所的全國和地方的支持,突出那些參與診所的學生的寶貴經驗,幫助現有的診所與本地和聯邦的資源聯繫,並激勵大學創立新的診所。
- 與診所的直接互動。CISA 將與診所建立更緊密的聯繫,提供技術支援、培訓、資金和其他服務。CISA 也將從診所獲得有關網路安全的狀況和挑戰的寶貴資訊。
大學網路安全診所是為公共利益推動網路安全的一個重要途徑,也是培養下一代網路安全從業者和領導者的一個有效方式。CISA 的指南和支持將有助於診所的發展和成功,也將造福於診所的客戶和學生。
詳情請看:
Help net security:CISO 減少 SaaS 攻擊面的指南
Help net security發佈了一篇CISO 減少 SaaS 攻擊面的指南
SaaS(軟體即服務)是一種流行的雲端服務模式,讓企業可以透過網路訂閱和使用各種應用程式,而不需要自己安裝或維護軟體。SaaS 可以節省成本、提高效率、增加彈性,但也帶來了一些安全風險。SaaS 的攻擊面是指可能被惡意利用的 SaaS 的漏洞或弱點,包括使用者、資料、設備、網路、身分驗證、授權、加密、監控等方面。如果 SaaS 的攻擊面過大,就可能導致資料洩漏、服務中斷、法律違規、信譽損失等嚴重後果。
因此,企業的 CISO(資訊安全長)必須制定和執行有效的策略,來減少 SaaS 的攻擊面,保護企業的資產和利益。以下是一些實用的建議,可以幫助 CISO 達成這個目標:
- 評估 SaaS 的安全性:在選擇或使用任何 SaaS 服務之前,CISO 應該對其進行全面的安全評估,包括檢查 SaaS 供應商的安全政策、標準、認證、合約、責任、保障等,並要求 SaaS 供應商提供相關的安全報告、測試、審計等證據。CISO 也應該定期監測和更新 SaaS 的安全狀況,並與 SaaS 供應商保持良好的溝通和合作。
- 管理 SaaS 的使用者:使用者是 SaaS 的最重要的安全因素之一,也是最容易被忽視的。CISO 應該建立和執行一套完善的 SaaS 使用者管理制度,包括定義和分配使用者的角色、權限、責任,以及設定和強制使用者的安全規範、教育、培訓、意識等。CISO 也應該監控和記錄使用者的 SaaS 活動,並及時處理任何異常或違規的情況。
- 保護 SaaS 的資料:資料是企業的核心資產,也是 SaaS 的主要攻擊目標。CISO 應該確保 SaaS 的資料在傳輸、存儲、處理、共享、銷毀等過程中,都有足夠的保護措施,例如使用強大的加密、雜湊、數位簽章等技術,以及遵守相關的法規、標準、協議等規範。CISO 也應該制定和執行一套有效的 SaaS 資料備份和災難復原計畫,以防止資料的遺失或損毀。
- 控制 SaaS 的設備:設備是使用者與 SaaS 服務的連接點,也是 SaaS 的重要安全因素之一。CISO 應該規範和管理使用者使用 SaaS 服務的設備,包括桌上型電腦、筆記型電腦、平板電腦、智慧型手機等,並確保這些設備都有安裝和更新必要的安全軟體、防火牆、防毒、防駭等,以及適當的鎖定、清除、遠端控制等功能。CISO 也應該限制或禁止使用者使用未經授權或不安全的設備,以及使用公共的網路或設備,來存取 SaaS 服務。
- 優化 SaaS 的網路:網路是 SaaS 服務的運作基礎,也是 SaaS 的重要安全因素之一。CISO 應該優化和保護企業的網路環境,包括使用 VPN、SSL、TLS 等技術,來加密和驗證 SaaS 的網路流量,以及使用 IDS、IPS、WAF 等工具,來偵測和阻擋 SaaS 的網路攻擊。CISO 也應該監測和分析 SaaS 的網路性能、品質、可用性等指標,並及時解決任何網路問題或故障。
- 強化 SaaS 的身分驗證:身分驗證是確認使用者的身分和合法性的過程,也是 SaaS 的重要安全因素之一。CISO 應該強化和統一 SaaS 的身分驗證機制,包括使用多因素驗證、單一登入、聯合身分驗證等技術,來提高 SaaS 的身分驗證的安全性和便利性,以及使用 IAM、PAM、SIEM 等平台,來管理和監控 SaaS 的身分驗證的過程和結果。CISO 也應該定期檢查和更新 SaaS 的身分驗證的策略和設定,並及時撤銷或修改任何過期或不合適的身分驗證的憑證或權限。
- 細化 SaaS 的授權:授權是分配使用者的權限和範圍的過程,也是 SaaS 的重要安全因素之一。CISO 應該細化和客製化 SaaS 的授權機制,包括使用最小權限原則、基於角色的授權、基於屬性的授權、基於情境的授權等技術,來確保使用者只能存取和操作他們需要和允許的 SaaS 的資源和功能,以及使用 IAM、PAM、SIEM 等平台,來管理和監控 SaaS 的授權的過程和結果。CISO 也應該定期檢查和更新 SaaS 的授權的策略和設定,並及時撤銷或修改任何過期或不合適的授權的憑證或權限。
- 加強 SaaS 的監控:監控是觀察和記錄 SaaS 的運作狀況和活動的過程,也是 SaaS 的重要安全因素之一。CISO 應該加強和整合 SaaS 的監控機制,包括使用 SIEM、SOAR、UEBA 等平台,來收集和分析 SaaS 的日誌、事件、警報、指標等資訊,以及使用 AI、ML、NLP 等技術,來提升 SaaS 的監控的智慧和自動化。CISO 也應該建立和執行一套有效的 SaaS 的監控的流程和規則,並及時回應和處理任何 SaaS 的監控的結果或發現。
- 總結和建議:SaaS 是一種方便和高效的雲端服務模式,但也帶來了一些安全挑戰。CISO 應該採取主動和全面的態度,來減少 SaaS 的攻擊面,提高 SaaS 的安全性。這需要 CISO 與 SaaS 供應商、使用者、資料、設備、網路、身分驗證、授權、加密、監控等相關的因素和利害關係人,建立和維持良好的合作和信任關係,並使用適當的技術和工具,來實施和管理 SaaS 的安全策略和措施。只有這樣,才能確保 SaaS 的服務品質和價值,以及企業的資產和利益。
詳情請看:
老宅牆上掛著的時鐘
Help net security:加密劫持不再是雲端攻擊者的唯一關注點
Help net security發佈了一篇加密劫持不再是雲端攻擊者的唯一關注點
隨著雲端技術的普及,攻擊者對雲端環境的關注也在不斷增加。然而,現在的攻擊目標不再僅僅局限於加密挖礦。以下是一些重要的發現:
攻擊目標多樣化:最近的Linux和雲端惡意軟體攻擊顯示出了攻擊目標的多樣性。除了加密挖礦外,還出現了新的Linux勒索軟體變種,例如Abyss Locker。這表明雲端和Linux基礎架構正面臨更多不同類型的攻擊。
攻擊者的策略變化:攻擊者不再僅僅專注於加密挖礦。他們利用雲端環境中的面向網絡的服務,尋找配置不當的部署,以獲得進入權限。此外,使用Rust語言開發的惡意軟體也在不斷增加,因為Rust在一般軟體開發中越來越受歡迎。
Docker成為首要目標:攻擊者主要針對需要專業技術知識才能利用的服務,例如Docker、Redis、Kubernetes和Jupyter。其中,Docker是最常被攻擊的初始訪問目標,佔了90.65%的蜜罐流量(排除SSH)。
全球範圍的攻擊:已識別的惡意軟體活動(例如P2Pinfect)在中國、美國和德國等地擁有節點,顯示出無論基礎架構位於何處,都容易受到Linux和雲端專注攻擊的影響。
Cado Security 的報告提醒安全專業人員,需要重新評估內部工具和方法,以確保能夠正確識別、調查和應對新興的雲端威脅,並建立更強大的內部安全計劃
詳情請看:
訂閱:
文章 (Atom)