The hacker news：人人都是專家：如何幫助您的員工取得網路安全成功

現今網路安全威脅層出不窮,任何組織都無法倖免於駭客的攻擊。因此,除了部署先進的網路防護系統外,提升員工的網路安全意識也極為重要。傳統的安全意識培訓課程往往乏味無趣、效果不彰,讓69%的員工故意忽視公司的網路安全指引。這不僅浪費了企業的資源,也無法真正提高員工對網路威脅的警覺。

有鑑於此,本文建議企業採用創新有趣的安全意識培訓(SAT)方案,透過專業駭客編寫的生動案例和情節,讓員工在輕鬆有趣的環境中學習網路安全知識。優質的SAT方案應具備以下特點:

1. 課題內容與真實威脅緊密相關,並定期更新反映最新網路犯罪手法。

2. 由資深網路安全專家規劃和管理,不需公司額外投入人力。

3. 採用有趣生動的情節和角色,提高學員的學習興趣和知識保留率。

4. 每月推出新課程,透過隨機模擬釣魚郵件等攻擊情境測試員工反應。

5. 課程時間精簡,不會過度佔用員工工作時間。 

6. 與常用軟件如Microsoft 365、Google、Okta等整合,自動同步員工名單。

7. 提供詳盡報表,追蹤員工學習情況及模擬攻擊測試結果,證明合規性。

8. 快速部署,輕鬆擴展服務至整個企業。

優質的SAT方案可以營造重視網路安全的企業文化,建立員工健全的防護習慣,將員工培養成組織的第一道防線。員工能及時識別並應對釣魚郵件、社交工程等常見網路攻擊手法,大大降低公司遭受資安事故的風險,確保企業營運安全。 

此外,SAT課程還能滿足公司各項安全合規要求,如HIPAA、PCI、SOC 2、GDPR等,通過內部和外部稽核,避免公司觸犯法規受罰。在網路犯罪日益猖獗的當今,SAT絕對是企業不可或缺的資安保障,比硬體和軟體防護更能發揮關鍵作用。

總括而言,現代化安全意識培訓解決方案不僅創新有趣,而且專業管理一體,是企業提升員工網路安全意識、建立企業資安文化、符合法規要求的利器。培養員工主動防範的習慣,確保公司數據、系統和資產的安全,才是企業永續發展的關鍵基石。

詳情請看：

Everyone's an Expert: How to Empower Your Employees for Cybersecurity Success

Read More

Cybersecurity insiders：了解網路安全中的 CAT 文化：協作、意識和培訓

隨著網路環境的不斷變化與威脅的不斷演化,組織機構越來越意識到建立堅實的安全文化對於降低風險、保護敏感數據的重要性。其中一種日益受到關注的方法是實施CAT文化,著重於協作(Collaboration)、意識(Awareness)和培訓(Training),作為增強抵禦網路威脅的根本支柱。

協作:CAT文化的核心在於協作 - 組織內部各利害相關方的共同努力,以集體的方式捍衛網路安全。這意味著打破IT、安全、法務和人資等部門之間的壁壘,促進開放溝通和信息共享。通過加強協作,組織可以更有效地識別漏洞、及時應對安全事故,並實施與業務目標一致的全面安全措施。

協作不僅局限於組織內部,還應擴展至外部夥伴關係,包括同業、政府機構和網路安全專家。參與信息共享計劃、加入威脅情報共享平台,以及開展聯合網安演練,都能增強形勢感知,提升集體防禦能力,應對共同的對手。

意識:在CAT文化中,意識是指培養所有員工(從高層管理到一線員工)的網路安全意識。這包括教育員工了解不斷變化的威脅形勢、常見的攻擊媒介,以及保護措施的最佳實踐。提高意識可以使員工更好地識別可疑活動、報告安全隱患,並遵守相關政策和程序。

網安意識計劃的關鍵要素包括定期的安全培訓、模擬釣魚測試,以及發佈安全建議和警報。此外,營造一個員工可以放心尋求指導、報告安全問題而不必擔心受罰的文化,對於維持警惕的員工隊伍也至關重要。

培訓:全面的培訓計劃對於裝備員工獲得抵禦網路威脅所需的知識、技能和資源至關重要。培訓應針對不同部門和崗位的具體需求量身定制,可包括IT管理人員的專業培訓、非技術人員的安全意識培訓,以及應急響應團隊的事故處理培訓。

此外,持續的培訓和專業發展機會對於跟上新興網安威脅、不斷演變的技術,以及監管要求的步伐至關重要。諸如CISSP、CEH和CompTIA Security+等認證,不僅能驗證專業技能,還彰顯了員工在網安領域持續學習的決心。

總而言之,擁抱CAT文化 - 協作、意識和培訓 - 對於在當今數字時代建立彈性網安態勢至關重要。通過促進協作、提高意識,並投資全面的培訓計劃,組織可以使員工成為抵禦網安威脅的積極參與者,有效適應不斷變化的網安格局。

詳情請看：

Understanding CAT Culture in Cybersecurity: Collaboration, Awareness, and Training

Read More

Tenable：透過 SLSA 加強 Nessus 軟體供應鏈

在軟體供應鏈安全性日益受到重視的當下,作為網路安全領域的翹楚,Tenable 公司採用了嚴格的 Supply-chain Levels for Software Artifacts (SLSA) 框架來保護其旗艦產品 Nessus 的軟體供應鏈。本篇文章分享了 Tenable 從 SLSA 新手到專家的歷程,以及實施 SLSA 框架的心得與收穫。

什麼是 SLSA?

SLSA 是由 Google 開發的一套軟體供應鏈安全標準,旨在確保軟體製程的完整性與可靠性。它提供了一系列漸進式的指南,幫助企業在軟體生產的每個環節建立可信任的機制。

SLSA 框架可以被視為食品安全處理的指引,確保每一個成分都是可信的,同樣地,SLSA 也為軟體製作過程的每個步驟提供了安全保證。

Tenable 在實施 SLSA 的初期,主要有以下幾個關鍵體會:

1. 建立明確的信任機制:SLSA 著重於直接控制範圍內的可信任性,如原始碼庫、建置系統、軟體成品和版本控制系統等。

2. 增強供應鏈信心:SLSA 旨在透過驗證每個建置步驟,並防範上游供應鏈攻擊,來強化建置流程的可信度。

3. 需要自主實作:SLSA 只是一個藍圖,並非現成的解決方案,需要手動進行工程和流程變更,以符合 SLSA 的要求。

Tenable 採用 SLSA 的歷程

經過數月的努力,Tenable 首先達成了 SLSA Level 1 的要求,其中包括:

1. 建立腳本化的建置流程:Tenable 的 Nessus 產品建置流程全部由版本控制的管線定義和建置腳本來執行,過程可被完全驗證。

2. 提供建置來源證明:Tenable 記錄並儲存了 Nessus 建置的來源清單(SBOM)和建置過程細節(provenance),以便日後重建。

3. 採用版本控制系統:Nessus 的原始碼受版本控制系統管理,能夠追蹤每個修訂的變更歷史,包括提交者、時間、變更內容等。

在 SLSA Level 1 的驗證過程中,Tenable 也遇到了一個需要特別處理的挑戰 - 防止秘密資訊在 provenance 文件中洩露。他們採用了自動掃描provenance,並以 <Redacted>替換掉任何檢測到的敏感資訊。

接下來是 SLSA Level 2 的實施,其主要包括:

1. 使用受管理的建置服務:Tenable 確保所有建置步驟都在受控的建置服務上執行,而非開發人員的個人電腦上。

2. 驗證 provenance 的真實性:Tenable 確保 provenance 資訊是由專用的建置管線直接產生,而非人工插入或修改。provenance 資訊也經過數位簽章以防止篡改。

3. 驗證建置環境和來源:Tenable 使用 Rego 政策來檢查 provenance,確保建置代理程式的可信度,以及原始碼來源的正確性。

最後,Tenable 達成了 SLSA Level 3 的要求,包括:

1. 永久保留原始碼變更歷史

2. 確保完全隔離的建置環境,每個步驟都在獨立的虛擬機上進行

3. 確保 provenance 資訊的真實性和不可篡改性,由專用的簽章服務簽署

Tenable 在 2023年12月通過第三方安全評估,獲得了 SLSA Level 3 的認證。

結語

Tenable 的 SLSA 實施經驗給其他組織帶來以下啟示:

1. 軟體供應鏈安全是重中之重,需要投入大量資源來建立可信任的機制。

2. SLSA 雖然是一個嚴格的框架,但能有效防範上游的供應鏈攻擊,值得企業認真考慮。

3. 實施 SLSA 需要大量的工程和流程變更,沒有現成的方案,需要自主實作。

4. 在實施過程中,會遇到需要特別處理的挑戰,需要審慎規劃並靈活應對。

Tenable的 SLSA 之路並非一蹴而就,但他們相信這樣的努力最終將為產品和客戶帶來長遠的好處。

詳情請看：

Strengthening the Nessus Software Supply Chain with SLSA

Read More

Bleeping computer：如何使您的網路應用程式能夠抵抗社會工程

隨著社交工程攻擊的日益猖獗,保護企業的數字資產(包括外部網絡應用程式)已成為當前的首要任務。社交工程利用用戶的情緒和脆弱性,而非依賴於技術性的黑客攻擊手段,這使得它們特別難以防範。事實上,根據Firewall Times的研究數據顯示,98%的網絡攻擊涉及某種形式的社交工程,而高達90%的惡意數據洩露事件都涉及社交工程攻擊。

面對這樣的嚴峻形勢,我們必須採取一系列具體的策略和最佳實踐來提高網絡應用程式對社交工程的抗性。以下是一些值得參考的做法:

1. 持續的員工培訓和意識宣導:知情的用戶是企業抵禦社交工程攻擊的第一道防線。定期為員工提供培訓,教育他們如何識別網路釣魚、安全處理敏感信息等。對於網絡應用程式,培訓用戶如何驗證網站的真偽、識別安全或不安全的連接,以及理解不重複使用密碼的重要性。但要記住,不能完全將責任推給最終用戶 - 他們需要得到技術上的支持。

2. 遵循最小權限原則:員工應該只擁有完成工作所需的數字資產權限,而不是更多。對於網絡應用程式而言,這可能意味著根據用戶角色限制對敏感數據、功能和管理介面的訪問。儘管要注意,即使是熟練的攻擊者也能提升權限,所以所有帳戶都需要強密碼保護。

3. 部署多因素認證(MFA):MFA並非銀弹,但它通過要求用戶提供兩個或更多驗證因素才能訪問系統,增加了一個額外的安全層。這種額外的保護往往足以阻止攻擊者,即使他們已經通過社交工程戰術獲得了用戶的憑據。

4. 定期進行安全審計和滲透測試:為了在黑客之前發現網絡應用程式中的漏洞,請確保定期進行全面的安全審計和滲透測試。要求滲透測試包括社交工程模擬,以評估團隊的準備程度,並識別(和補救)任何弱點。考慮採用滲透測試即服務(PTaaS)解決方案,它能夠持續監控並及時發現漏洞。

5. 制定事件響應計劃:制定一個強大的事件響應計劃,包括應對社交工程攻擊的程序。計劃應該概述立即採取的措施,以控制和緩解攻擊,以及通知受影響方的溝通計劃。

此外,開發人員和IT專業人員還應該遵循以下最佳實踐:

1. 使用HTTPS和SSL證書:通過使用HTTPS和SSL證書來保護您的網絡應用程式,有助於保護用戶的隱私和安全,確保數據加密,驗證網站身份,維護數據傳輸的完整性。

2. 定期更新和修補系統:為了防範針對已知漏洞的攻擊,請務必定期更新系統和軟件,安裝最新的安全修補程式。保持系統最新是一項基本的安全實踐,可以大大阻止潛在攻擊者通過這些已知漏洞進入網絡。

3. 實施嚴格的數據處理程序:通過嚴格驗證和清理輸入數據,可以防止注入攻擊。驗證輸入(例如,確保電子郵件地址格式正確)並清理輸入(刪除或轉義潛在的有害HTML或SQL元素)。

4. 定期監控和審核網絡應用程式:通過跟踪網絡應用程式的性能和活動,可以及早發現未經授權的訪問、數據洩露或拒絕服務攻擊,從而有機會減輕或阻止其影響。使用專門設計用於檢測和阻擋可疑活動的工具,如網絡分析軟件和網絡應用防火牆軟件。

要全面提高抗社交工程攻擊的能力,需要採取多層面的策略。單一的防護措施並不足以應對這種隱患重重的攻擊手段。通過實施上述各項最佳實踐,企業可以顯著提高外部網絡應用程式的抗性,更好地保護自身免受社交工程攻擊的危害。

詳情請看：

How to make your web apps resistant to social engineering

Read More

The hacker news：來自「記得我」複選框的網路威脅

隨著科技的發展,我們在各種線上帳戶登入時,常常會看到「記住我」的選項,讓我們可以在關閉頁面重開後仍保持登入狀態。這個功能確實提升了使用者的便利性,但卻也潛藏著一些安全隱憂。

根據Zen Shield的網路安全研究人員最新發現,如果多人共用同一個裝置,這個看似無害的「記住我」功能就可能會導致嚴重的安全漏洞,讓未經授權的人輕易取得個人資訊、財務數據或其他敏感資料。舉例來說,如果用戶A使用過裝置後,用戶B隨後也取得使用權,只要打開之前登入過的網頁,就能立刻存取所有儲存的資訊。

2024年IBM網路安全情報報告指出,高達95%的安全漏洞源自人為疏失,其中11%更是純粹的疏忽大意所致。為了降低這些風險,使用者可以採取額外的安全措施,例如啟用雙因素驗證(2FA)、使用主密碼的密碼管理工具,或是導入生物特徵驗證等,以增加安全防護層。另一個方法就是干脆不勾選「記住我」,完全避免潛在的安全問題。值得一提的是,儲存在瀏覽器中的Cookie資料也可能成為隱憂,不過那是另一個需要區別考慮的議題。

為了應對不斷變化的網路威脅,許多公司包括線上市集、遊戲平台和電子商務網站,都正在強化自身的安全機制,提供「記住我」功能搭配生物辨識或2FA等雙重驗證選項。

因此,不管是資深網路使用者還是新手,我們都必須時刻保持警覺和知情。透過自身的經驗或未來的網路互動,養成安全意識並付諸實行,才能在這個日益互聯的網路世界中,有效守護我們的數位身分和敏感資訊。

總的來說,「記住我」這個功能的確為使用者帶來便利,但同時也暴露出一些安全隱憂。我們必須謹慎看待,採取必要的安全防護措施,才能在享受網路便利的同時,也確保個人資料的安全。透過教育和提高警覺,相信我們終能在瞬息萬變的網路世界中,安全地保護自己的數位資產。

詳情請看：

Cyber Threat from Remember Me Checkbox

Read More

微軟：使用合適的設備改善員工體驗的 5 個步驟

靈活工作模式已成為新常態,要真正重視多樣性並賦予每個人最佳工作環境,關鍵在於能夠跨越實體和數位世界的技術設備。

最基本的就是設備本身 - 它是溝通、協作及創新的媒介。但很多時候,這些設備卻不能完全適應現代工作場所的需求。最近一項IDC的研究指出,隨著大批知識工作者持續遠程工作或採取混合上班模式,他們對個人電腦的要求也發生了變化。

作為IT領導者,在為公司選擇設備時,需要緊貼這些現代工作需求 - 不論是知識工作者還是前線員工,以下5點都值得考慮,確保每個人都可以發揮最佳表現:

1. 以員工體驗為首要 

員工體驗是衡量員工參與度的指標,反映員工在職場環境中的互動情況。研究表明,在經濟不確定時期,重視員工參與度的企業在財務表現上的優勢是其他企業的兩倍。一家公司的員工體驗指數可能會因可用技術的品質而上升或下降。要了解員工需求隨工作和位置的變化而變化,因此以員工需求為中心的設備策略可以助您取得成功。

2. 梳理"一天的生活"以了解設備的典型使用情況

識別關鍵的活動節點、環境和工具,深入了解不同崗位員工的需求,為他們建立定制的使用軌跡圖,有助於明確需求,優化設備選擇。

3. 了解設備如何創造自然的效率,並選擇最能支持用戶的設備

有了使用軌跡圖和對典型使用情況的深入瞭解,分析哪些設備功能最能滿足用戶需求。通常,IT領導者可以整合替換多項設備為單一、更多功能的設備。一項最近的IDC研究發現,44%的IT決策者發現採用微軟Surface設備可以取代桌面電腦、筆記本、平板、手機等多種其他設備,簡化了硬件使用,並降低了資本支出和管理成本。

比如,如果用戶需要在一天內在不同地點切換,確保設備能夠無縫恢復工作進度,為他們節省設置時間,讓他們能夠快速回到工作狀態。Surface設備提供對接體驗,可以記住用戶的工作位置。

又或者,如果用戶需要隨時待命,隨時進行行動辦公,設備必須適應這種情況,尤其是電池續航、內置連接和多功能性方面。Surface設備專門為此類靈活工作而設計,提供筆記本電腦、平板電腦或工作室模式等多種形式因素選擇,以及延長的電池續航時間和可選的LTE Advanced或5G連接。

再者,用戶如何進行交流協作也很重要。自2020年2月到2022年2月,平均微軟Teams用戶每週會議時間增加了252%,其中64%為非計劃或即時進行的電話會議。使用Surface設備,用戶可以享受Teams的最佳體驗,無需額外外圍設備。憑借Surface的攝像頭、優化麥克風、沉浸式音效和精心設計的顯示屏,用戶在通話時看起來和聽起來都更出色,隨時待命。

4. 啟發新的生產力水平 - 讓員工以不同方式與設備互動

除了了解員工當前如何與設備互動,我們還應該思考如何激發新的思維模式和效率。

語音交互:用戶可以在保持工作流暢的同時,擺脫鍵盤。無論是協作、移動辦公還是思維激發,Windows 11的語音輸入功能都可以讓用戶以更自然的方式捕捉靈感。

數字筆輸入:隨著近64%的員工表示他們難以有時間和精力完成工作,使用數字筆可能有助於緩解一些壓力。因為手寫已經深植於我們的大腦,Surface Slim Pen這樣的筆式界面可以讓用戶暫時休息一下,避免單純使用鍵盤。通過手寫或繪圖,他們可以利用大腦的不同部位,改變身體姿勢,在模擬和數位世界之間切換,從而獲得更自然、更高效的工作體驗。

5. 最小化對用戶影響的設備管理和安全

選擇合適的新設備可以提高用戶和IT團隊的效率。IDC的研究顯示,搭配微軟365的Surface設備,可以為IT人員帶來顯著的時間節省和效率提升。憑借卓越的設備性能,Surface用戶的技術問題大幅減少,IDC發現幫助台呼叫量減少49%,平均為員工節省5.5小時。Surface硬件與熟悉的軟件完美融合,加上簡化的設備管理和主動的安全防護,確保了出色而不受干擾的使用體驗,同時提高了安全防護。

無論是移動的Surface Pro,還是大屏幕的Microsoft Teams會議室設備Surface Hub3,Surface設備都旨在滿足個人和整個團隊的需求,幫助用戶在多設備間無縫連接,體驗專為未來工作而設計的核心應用。

詳情請看：

5 Steps to Improve Employee Experience with the Right Devices

Read More

Help net security：IT 和安全專業人員需要更高的工作場所彈性

隨著遍及工作(Everywhere Work)的概念日益廣泛,涵蓋了專業人員工作的地點、時間和方式,彈性工作模式已成為關鍵的工作場所優先事項,這是根據Ivanti的調查結果。

Ivanti調查了超過7,700位高管、IT和網絡安全專業人員以及辦公室工作者,探討了當僱主讓員工可以在任何地方工作時,所面臨的深層挑戰和機遇。

"尋求吸引頂尖人才的僱主應該把工作場所的靈活性列為重點,因為這有明確的業務優勢,"Ivanti首席執行官Jeff Abbott說。"為了有效實施靈活的工作安排,提供員工必要的資源、支持和安全基礎設施,確保他們的成功至關重要。忽視這些因素可能會導致更高的員工流失率和有價值員工的不滿。"

彈性工作選擇優於遠程工作

根據調查結果,80%的專業人士表示,彈性工作比在任何地方工作(70%)更有價值。但只有25%的專業人士表示,他們的工作提供了很高的靈活性,至少40%的人會為獲得更大的靈活性而改換工作。

36%的女性認為彈性工作是必須的,而只有22%的男性如此認為。此外,28%的女性認為能夠在任何地方工作是必須的,而只有18%的男性如此認為。採取更僵硬方法的組織可能會損害其重要員工群體。

Ivanti的研究清楚地表明,靈活和遠程工作直接影響了IT工作量。56%的IT工作者表示,幫助台票量有所上升 - 這與之前幾年的結果一致 - 78%的人將其歸咎於靈活/遠程工作。推動票量上升的一些具體因素包括軟件部署、網絡可靠性和安全事件。

領導層與IT和安全需求脫節

雖然超過90%的受訪領導者表示,員工擁有在遠程或混合工作環境中保持生產力所需的工具,但IT和安全團隊並非如此。只有46%的人表示,遠程工作時很容易獲取技術工具。這種脫節對僱主有重大影響 - 23%的IT專業人士表示,由於工作倦怠,同事已經辭職。

76%的受訪者表示,人工智能和自動化可以有助於減少票量,提供更好的服務。然而,研究顯示,採用人工智能和自動化解決方案的比率較低。原因是什麼?如果數據不準確,人工智能就無法提供有用的洞見,而長期存在的數據孤島也阻礙了組織大規模部署人工智能和自動化。

如果領導者想要讓員工能夠靈活工作,大規模部署人工智能和自動化,並解決IT和安全需求,那麼首席信息官和首席信息安全官需要調整優先事項。研究顯示,52%的IT和安全專業人士表示,他們的組織內部存在安全數據和IT數據的孤島。

其中84%的人表示,數據孤島對安全產生負面影響,82%的人表示,數據孤島降低了生產力。這會對員工無論何時何地都能安全高效地工作產生連鎖效應。

66%的IT工作者表示,他們使用公開可用的生成式人工智能工具,如ChatGPT,但對這些工具的監管往往缺失或不完善。近三分之一的組織沒有制定應對生成式人工智能風險的具體策略 - 這是一個嚴重的疏漏,因為IT專業人員會與敏感數據和系統打交道。

總而言之,靈活的工作模式是IT和資訊安全專業人員的關鍵需求。組織需要提供必要的資源、支持和安全基礎設施,幫助員工靈活高效地工作。同時,領導層還需要深入了解IT和安全的實際需求,協調優先事項,大規模部署人工智能和自動化,消除數據孤島,為員工創造一個真正靈活、安全的工作環境。

詳情請看：

IT and security professionals demand more workplace flexibility

Read More

The hacker news：AI副駕駛：發射創新火箭，但要警惕前方的黑暗

人工智慧(AI)技術在軟體開發領域的應用,正引發一場颶風般的變革。GitHub Copilot就是其中的代表,它能夠根據開發者的輸入建議相關的程式碼片段,大幅提升了軟體開發的效率。然而,這種AI輔助軟體開發的技術,同時也隱含著嚴重的安全隱憂。

Copilot等AI系統的局限性在於它們是基於現有的程式碼訓練而成的,難免會從中繼承一些軟體漏洞。研究顯示,Copilot生成的代碼中,約有40%存在安全隱患,如SQL注入和緩衝區溢出等常見攻擊。這突顯了"垃圾入,垃圾出"(GIGO)的原理:如果訓練資料有問題,輸出的結果也會繼承這些缺陷。

面對AI輔助軟體開發帶來的安全挑戰,我們必須採取多管齊下的方法:

1. 了解漏洞:認識到AI生成的代碼可能容易受到與傳統軟體相同的攻擊。

2. 提升安全編碼實踐:培養開發人員的安全編碼意識和技能,不僅要發現潛在的漏洞,還要理解AI建議代碼片段的機制,以更好地預防和緩解風險。

3. 調整軟體開發生命週期:不僅是技術,流程也需要適應AI帶來的變化。除了關注代碼開發,需求、設計、測試和運維等環節也可受益於大型語言模型(LLM)的輔助。

4. 保持持續警惕和改進:AI系統及其驅動的工具都在不斷進化,保持對最新安全研究的了解、掌握新興漏洞,並相應更新安全實踐至關重要。

具體實施方面,我們可採取以下措施:

1. 嚴格執行輸入驗證:特別是對於處理使用者輸入的功能,應定義明確的輸入規則,創建允許列表,並在處理前確保輸入合法。

2. 安全管理依賴項:Copilot可能會建議添加依賴項,攻擊者可利用此實施供應鏈攻擊。在接納任何建議的庫之前,先檢查其安全狀態,可利用工具自動跟蹤和管理依賴項的安全性。

3. 定期進行安全評估:無論代碼源自AI還是人工,都應進行定期的代碼審查和測試,結合靜態分析、動態分析和軟體成分分析等方法。

4. 循序漸進地使用:先從使用Copilot生成註釋或調試日誌開始,然後再逐步讓它生成更多實際功能的代碼。

5. 審慎評估Copilot的建議:切勿盲目接受Copilot的建議,要時刻保持警惕,並理解預期的代碼結果。

6. 持續實驗探索:嘗試不同的提示,觀察Copilot的表現,並理解其強弱項,以不斷改進合作。

7. 保持學習與教育:持續關注安全領域的最新動態,提高團隊的安全意識和編碼技能。

AI技術的出現既是機遇也是挑戰。我們必須以充分的安全意識來應對,在提升效率的同時,也要確保軟體的安全性。只有這樣,我們才能在光明與黑暗的雙面刃中找到平衡,引領軟體開發步入更加安全可靠的未來。

詳情請看：

AI Copilot: Launching Innovation Rockets, But Beware of the Darkness Ahead

Read More

Tenable：應對國防部生產線中 OT 的安全挑戰

隨著運轉技術(OT)的興起,美國國防部(DoD)的製造線正面臨著革新性的變革,提升了物流和供應鏈管理的效率與可靠性。當DoD著手動員軍事力量、捍衛國家安全時,在國防工業基地(DIB)中整合OT是一項關鍵的戰略舉措。然而,OT的廣泛應用也引入了新的安全挑戰。

確保OT系統的安全有助於DoD維持關鍵的作戰效能,這對於軍事行動的動員、部署和可持續性至關重要。然而,傳統系統與新興技術的共存,造就了錯綜複雜、易受攻擊的供應鏈,成為網路攻擊的首要目標。

製造過程中OT的複雜性

DoD的製造流程涉及無數供應商、承包商和複雜的技術網絡。DIB包括研發、以及軍事系統的子系統、零組件或部件。這是一個由10萬家國內外DIB公司提供相關材料和服務的錯綜複雜的體系,涵蓋製造設施、修理庫、物流中心和作戰裝備。

OT深植於DoD的製造線中,推動工業過程自動化(IPA)和製造執行系統(MES)。可編程邏輯控制器(PLC)是現代製造的核心元素。IPA、MES和PLC需要防禦來自內部和外部的威脅。這些系統一旦遭到入侵,可能造成嚴重的運營中斷,影響DoD的備戰和應急能力。

隨著製造系統越來越複雜,它們也變得更加脆弱。製造業近年來受到的攻擊不斷增加。根據IBM X-Force的數據,製造業在2021年成為最常遭受攻擊的行業,佔總攻擊的23.2%。索菲斯2022年的《製造業和生產業的勒索軟件現狀》報告也顯示,66%的受訪企業報告了網路攻擊的複雜度上升,61%報告了攻擊量增加。

DoD製造供應鏈與OT

OT可以幫助DoD革新其製造供應鏈的運作和管理方式。它為提高效率、韌性和備戰能力提供了重要機會,通過自動化流程、預測設備故障和優化能源利用。然而,將OT整合到複雜的DoD生態系統中也帶來了獨特的挑戰,需要周密的規劃和戰略執行。以下是一些應用案例:

自動化供應鏈管理:OT可以實現製造設施供應鏈流程的自動化。傳感器和PLC可用於監測庫存水平,並在需要時自動訂購零件。但是,將這些技術與傳統系統整合需要仔細協調,以避免供應鏈中斷。

預測性維護:先進的OT系統可以在設備故障發生之前對其進行預測,最大限度地減少停機時間。實施此類系統意味著從傳統的維護計劃轉向數據驅動的方法,這對設施來說可能是一個重大的文化和運營變革。

提升質量控制:OT可以利用傳感器和實時數據分析來改善製造現場的質量控制。這種變革需要嚴格的數據管理和分析能力,對缺乏這些能力的設施來說是一個挑戰。

優化能源效率:OT可以優化製造過程中的能源使用,實現節約和減少環境影響。但實現這一目標需要對製造工藝和OT系統都有深入的了解,這可能是一個陡峭的學習曲線。

維護DoD製造線完整性的最佳方法

為確保製造業務的高效、安全和可靠運行,DoD需要一個能夠保護整個OT工藝流程免受網路威脅的解決方案。它應該提供新舊系統之間的兼容性和安全集成,並無縫地實現材料流通以及及時的採購和配送。DoD理想的OT安全解決方案應具備以下功能:

可擴展性和靈活性:該方案必須具有可擴展性,以適應DoD內部不同規模和類型的製造設施。

強大的網路安全性:鑑於DoD業務的敏感性,必須採取堅實的網路安全措施,防範外部和內部威脅。這包括先進的加密、定期的安全更新和入侵檢測系統。

實時監控和控制:實時監控和控制功能可以立即應對運營異常或安全威脅。

全面的數據分析:全面的數據分析工具有助於決策制定、預測性維護和工藝優化。

法規遵從性:該解決方案應有利於遵守所有相關法規和標準。

Tenable OT Security如何增強製造線完整性

Tenable OT Security提供了一個滿足DoD獨特需求的解決方案。它提供了OT和IT資產的集中視圖,這對於整個製造基礎設施的全面監控和管理至關重要。這種可見性和理解有助於更好地發現漏洞和潛在威脅,確保供應鏈的安全和韌性。Tenable的OT安全方法不僅涵蓋技術層面,還防範人為錯誤,確保全方位的網路威脅防禦。

Tenable OT Security可以幫助DoD維護製造線的完整性,確保高效、安全和可靠的運營。

詳情請看：

Navigating Security Challenges Around OT in the DoD’s Manufacturing Lines

Read More

Mcafee：您如何管理您的社群媒體隱私？

隨著社交媒體的普及,如何保護個人隱私已成為當前的一大問題。本文作者Alex Merton-McCann提供了一些實用的建議,供讀者參考。

首先,作者強調確保社交媒體帳號的隱私設定處於最高級別的重要性。然而,研究顯示,多達46%的社交媒體用戶並未調整其隱私設定,導致他們實際上是在與整個互聯網分享內容。產生這一問題的主要原因是,多達55%的受訪者表示,他們難以找到社交媒體平台上的隱私設定,或者無法理解它們的運作方式。

為解決這一問題,McAfee公司開發了一款名為「Social Privacy Manager」的軟體。只需簡單地選擇隱私偏好設置,該軟體就能自動調整您選擇的社交媒體帳號的隱私設定。目前,該軟體支持100多個平台,包括LinkedIn、Google、Instagram、YouTube和TikTok,可在Android、iOS、Windows和Mac設備上使用。這款軟體是McAfee+套件的一部分。

除了利用Social Privacy Manager管理社交媒體隱私設置,作者還提出了其他幾點建議:

1.制定一個聰明的密碼策略。每個在線帳戶都應使用唯一的複雜密碼,最好使用密碼管理器來生成和記住這些密碼。

2.確保您的軟件保持最新狀態。過時的軟件會存在漏洞,容易被黑客利用。

3.保持批判性思維。不要輕易相信網上的所有信息,要三思而後行,核實可疑的新聞、交易和建議。

4.謹慎使用公共Wi-Fi。公共Wi-Fi存在安全隱患,最好避免在上面進行任何敏感交易,可考慮使用VPN來保護連接。

總的來說,保護個人online隱私需要投入大量時間和精力,對大多數人來說都是一項艱巨的任務。McAfee的Social Privacy Manager無疑為解決這一問題提供了一個便捷的解決方案,值得用戶試用和使用。

詳情請看：

How Do You Manage Your Social Media Privacy?

Read More

Help net security：人工智慧將增強網路安全角色，而不是取代它們

根據這篇Help Net Security的採訪,CSA AI Security Alliance主席Caleb Sima討論了AI如何賦能安全專業人士,強調其在增強技能和生產力方面的作用,而不是取代員工。

AI被視為賦予安全專業人士力量,而非取代他們。您如何預見AI未來將如何改變他們的角色?

雖然AI取代工作的未來仍存在不確定性,但我相信這種情況並不會立即發生。AI是一種可用於賦能而非取代安全專業人士的工具。事實上,CSA最近與Google進行的一項調查-《人工智慧與安全現狀調查報告》發現,大多數組織計劃使用AI來加強他們的團隊,無論是增強他們的技能和知識庫(36%)還是提高檢測時間(26%)和生產力(26%),而不是完全取代員工。

在不久的將來,我們將看到AI被用來自動化各種重複性任務(如報告)。這將釋放目前用於編制管理報告等任務的大量時間,並使這些團隊能夠集中精力於更高優先級的工作。這與調查結果一致,58%的受訪者表示,他們認為AI將增強他們的技能集或總體上支持他們當前的角色。另外24%的人認為AI將取代他們工作的某些部分,讓他們可以專注於其他活動。

例如,安全團隊可以利用AI算法來比人工行動更快速有效地識別和補救威脅。相應地,通過輸入歷史數據,安全團�emi可以使用AI來幫助預測潛在威脅並制定緩解策略,以便在這些威脅升級之前採取行動。無論如何,安全專家都需要學習如何在他們的組織和個人角色中最佳利用AI。

安全專業人士如何看待他們組織在AI整合方面的網路安全成熟度?

集成AI主要涉及應用標準的安全措施。這個過程的一小部分解決了新的AI風險。安全專業人士通常會擔心這個未知領域,直到他們探索自己組織的具體情況。

無論如何,今年對於公司實施AI來說都將是變革性的一年。前述調查發現,超過一半的組織計劃在今年實施通用AI解決方案,這是由高層領導推動的。該調查還發現,超過80%的受訪者認為他們的組織的成熟度在中度到高度之間。但這並不能告訴我們,受訪者的認知是否切合實際。

不管是否已準備就緒,AI都正在來臨。那麼,我建議公司無論在AI之旅的哪個階段,都應該了解他們將會遇到挑戰,無論是將這項技術集成到當前流程中,還是確保員工能夠正確使用這項革命性技術,這都是可以預期的。作為一個雲安全社區,我們將共同學習如何最好地利用這項技術來提升網路安全。

人們對AI被濫用的擔憂很大。組織應如何準備來降低這些風險?

首先,公司需要像對待某個職位上的人一樣對待AI,強調最佳實踐。他們還需要確定AI的功能 - 如果它只是在客戶聊天中提供支持性數據,那麼風險是最小的。但如果它集成並執行操作並訪問內部和客戶數據,那麼嚴格的訪問控制和職責分離就是非常重要的。大多數風險都可以通過現有的控制措施得到緩解;挑戰來自對AI的不熟悉,導致對我們缺乏保護措施的假設。

您如何看待當前AI相關的網路安全培訓現狀,以及如何準備未來的勞動力?

我們已經多年討論安全行業存在技能缺口的問題了,AI將在短期內加深這種缺口。我們正處於學習的起步階段,可以理解培訓還沒有趕上步伐。AI的發展如此迅速,以至於培訓材料很快就會過時。隨著組織日益希望培訓他們的員工如何最好地利用AI,他們應集中精力于穩定的概念,並強調AI安全在很大程度上依賴於當前應用程序和基礎架構的最佳實踐。

隨著74%的組織計劃創建專門的AI治理團隊,您如何看待這些團隊如何塑造網路安全的未來?

鑒於AI不確定的影響,監督AI至關重要。隨著時間的推移,隨著AI識字率的提高以及其融入所有技術,其風險將變得更加清晰,AI治理將從專門的團隊轉變為更廣泛的技術管理。

短期內,創建治理團隊表明公司正在以嚴肅的態度對待AI的整合和管理。這些團隊可能會被授予解決從企業政策制定和道德考慮到風險管理和合規等各方面問題的任務。我們已經看到有關圖像和副本透明度方面的問題在新聞中浮現,這種情況將隨著我們的前進而持續出現。作為社會,我們要求與我們互動的公司和媒體具有一定程度的信任,因此確保這種信任不被破壞至關重要。

詳情請看：

AI set to enhance cybersecurity roles, not replace them

Read More

Help net security：5 個免費的紅隊資源可協助您入門

紅隊演習,是指在企業中採取對抗性的角度,評估現有的網路安全防禦措施的有效性。這種方法模擬真實世界中的惡意攻擊者的行為,包括使用社交工程、物理安全漏洞等手段,以找出組織在面對持續性威脅時的弱點。透過紅隊演習,企業可以更清楚地了解自身的防護能力,並優化相應的網路安全策略。

本文介紹了 5 個免費的紅隊演習資源,供企業安全團隊參考使用。以下是對這些資源的詳細分析:

1. Atomic Red Team

Atomic Red Team 是一個開源的工具集,其中包含了許多針對 MITRE ATT&CK 框架的測試案例。這些案例可以幫助安全團隊快速、持續、一致地對環境進行測試。使用時只需直接從命令行運行即可,無需安裝任何額外的軟體。Atomic Red Team 是由社區開發維護的,具有良好的可擴展性和持續更新的特點。

2. Red Team Notes

Red Team Notes 是一個全面的紅隊技術資源,內容涵蓋紅隊技術、Active Directory 安全、紅隊基礎設施等方方面面,並且會持續更新。這個網站為企業安全團隊提供了一個很好的學習和參考平台。

3. Red Teaming Handbook

這是一份由英國國防部設計的紅隊操作手冊,提供了紅隊實踐的簡單建議。雖然內容相對簡單,但對於初次接觸紅隊演習的安全從業者而言,這份手冊無疑是一個很好的入門指南。

4. Red Team Tools

這是一個 GitHub 庫,收集了超過 130 個適用於紅隊活動的工具和資源。其中有一些工具是專門為紅隊設計的,而另一些則是通用性工具,可以在紅隊情境下進行修改使用。

5. Red Teaming Toolkit

這也是一個 GitHub 庫,提供了一系列先進的開源安全工具,可以幫助進行對手模擬和威脅獵捕活動,增強防禦措施。其中包含了以下幾類資源:

- 情報收集

- 初始訪問

- 交付

- 情況感知

- 憑證轉儲

- 權限提升

- 防禦逃逸

- 持久化

- 橫向移動

- 數據外洩

總的來說,這 5 個免費的紅隊演習資源,為企業安全團隊提供了豐富的學習和實踐機會。Atomic Red Team 和 Red Team Tools 等工具集,為紅隊測試提供了便捷的操作方式,而 Red Team Notes 和 Red Teaming Handbook 則為紅隊實踐提供了全面的理論指導。Red Teaming Toolkit 則是一個先進的開源工具集,涵蓋了紅隊活動的各個階段。

通過使用這些資源,企業安全團隊可以全面地評估自身的防禦能力,找出網路安全漏洞,並及時採取有效的補救措施。同時,這些資源也為安全從業者提供了良好的學習和實踐機會,有助於提升整體的網路安全防護水平。

總之,這 5 個免費的紅隊演習資源為企業安全團隊打造了一個很好的起點,值得廣泛應用和推廣。

詳情請看：

5 free red teaming resources to get you started

Read More

Help net security：地緣政治緊張局勢加劇 OT 網路攻擊

根據最新的2024年威脅報告,工業控制系統(OT)的網路攻擊事件持續上升,攻擊頻率較去年增加19%。報告分析了這一趨勢背後的關鍵因素,並探討了如何透過防禦性策略應對日益嚴峻的威脅。

地緣政治環境日益緊張影響OT網路攻擊格局

近年來,以政治動機為驅動的駭客攻擊,對物理環境造成影響的事件有所增加。這些攻擊大多與俄羅斯入侵烏克蘭或持續的伊朗-以色列衝突有關。這些攻擊手法雖然通常並不十分複雜,但令人關注新興的大型語言模型AI技術是否會讓駭客的能力得到進一步提升。

同時,國家級攻擊事件也在增加。例如,中國駭客發動了"伏特泰風"行動,破壞了美國50多家電力廠和公用事業公司;俄羅斯則攻擊了丹麥22家大小關鍵基礎設施提供商。"伏特泰風"行動尤其值得關注,因為它採用了"活用已有工具"的技術,這種攻擊手段極難被入侵檢測系統發現和診斷。

勒索軟件 - 攻擊頻率上升的主要推手

2024年威脅報告指出,勒索軟件是導致OT網路攻擊事件持續上升的主要因素。然而,報告也指出,勒索軟件引發的OT後果的年複合增長率低於預期。

這是因為部分勒索軟件犯罪分子似乎已經放棄加密受感染系統的做法,轉而單純勒索贖金以換取不洩露被盜數據的承諾。由於受感染系統被加密、瘫痪的情況減少,因此對OT的影響也相對較少。預計這一趨勢將在今年內趨於穩定,OT攻擊的年複合增長率也將回升到60-100%的歷史水平。

勒索軟件攻擊手法不斷升級

報告提到,如今最為複雜的勒索軟件集團要麼得到了某個國家的支持(例如北韓),要麼有足夠的資金建立起堪比國家級的攻擊工具。這意味著,如今最嚴重的勒索軟件犯罪分子已經具備了相當於國家級的攻擊能力。過去,許多人可能會認為,"我的OT系統並不重要到會成為國家級攻擊的目標",因此只採取有限的網路防禦措施。但如今,無論目標是否重要,都有可能遭到國家級勒索軟件的襲擊。

另一個值得關注的問題是依賴性。勒索軟件攻擊IT網路,加密大量數據,從而癱瘓大量IT伺服器和服務。而OT系統也不得不停止運轉,原因在於其自動化系統依賴一些受到破壞的IT服務。即使勒索軟件從未觸及OT網路,生產也不得不停止,因為關鍵的IT服務已不復存在。這種依賴性問題正在逐步為人所知。OT安全從業者需要審視自己的系統如何依賴IT服務,以及在IT系統遭受攻擊的情況下,停止物理生產是否可以接受。

近 miss 事件分析對增強OT網路安全至關重要

報告提到了關鍵基礎設施行業中的一些"險些發生"的事件。分析這些"近 miss"事件對增強OT網路安全具有重要意義。例如,"伏特泰風"行動之所以重要,是因為它隱藏性強,攻擊者在關鍵基礎設施組織中潛伏了很長時間;而俄羅斯在丹麥的攻擊也很重要,因為它證明了國家級攻擊者正瞄準關鍵基礎設施。

這些"近 miss"事件的分析為我們提供了寶貴的經驗教訓,有助於我們更好地預防和應對未來可能發生的攻擊。

內部威脅不容忽視,需採取多重防範措施

內部人員的不當行為也是OT網路攻擊的重大風險因素。報告指出,為應對內部威脅,組織通常會部署身份和訪問管理、詳細的日誌記錄和取證、入侵檢測以及實施應急響應等措施。

此外,愛達荷國家實驗室提出的"網安融合工程"(CIE)倡議被認為是過去十多年來OT安全領域最有前景的發展。CIE強調OT安全具有"雙向"特徵:一方面要教育工程團隊了解網路威脅和緩解措施,另一方面要鼓勵工程團隊運用強大的工程工具來預防不可接受的後果。

比如,網路工程方法越來越多地應用於後果嚴重的網路邊界,例如單向資訊閘道技術 - 這是一種硬體強制執行的、以工程為導向的預防措施,能夠阻止來自互聯網和IT網路的網路攻擊,甚至是國家級攻擊,進入OT網路。

總的來說,報告強調需要平衡運用IT安全措施和工程級別的緩解手段,以全面、系統地應對OT網路安全面臨的各種威脅。"網安融合工程"倡議為這一方向提供了有益啟發,值得OT運營商深入關注和實踐。

詳情請看：

Geopolitical tensions escalate OT cyber attacks

Read More