The hacker news：新指南說明如何消除影子 SaaS 的風險並保護企業數據

在現今的商業環境中,軟體即服務(SaaS)應用程式無疑佔據了舉足輕重的地位。這些應用程式不僅提高了企業的工作效率,也推動了科技和商業的創新發展。然而,正如硬幣的兩面,SaaS應用程式同時也帶來了新的安全風險,這是企業主管和IT安全人員所必須正視和解決的問題。

傳統的安全防護措施往往無法完全掌控和監控SaaS應用程式的使用情況,這就造成了所謂的「暗影SaaS」(Shadow SaaS)風險。所謂暗影SaaS,是指員工在工作中使用未經IT部門批准的SaaS應用程式。據統計,高達65%的SaaS應用程式都是未經核准的,而80%的員工承認曾使用過這類應用程式。這意味著大多數企業都面臨著敏感數據外泄的風險。

暗影SaaS可能導致的主要風險包括:

1. 數據外洩:敏感數據可能通過各種SaaS應用程式外洩,包括ChatGPT等人工智能應用程式、拼寫檢查工具、文件管理應用程式等。這種外洩可能是無心之失,也可能是員工被惡意設計的偽裝應用程式誘騙而共享敏感數據。

2. 身份盜竊和賬戶被盜:如果員工使用工作郵箱和循環使用的密碼登錄SaaS應用程式,攻擊者就有機會獲取這些憑證信息,進而進行身份盜竊和賬戶被盜。

3. 違反合規和隱私法規:私密和敏感數據一旦在公共渠道上泄露,就可能違反隱私法規。

為了應對暗影SaaS的風險,LayerX公司發佈了一份新指南,提出了一種三管齊下的方法:應用程式發現、用戶監控和主動執行。該指南詳細探討了每個方面的做法,為讀者提供了一條明確的路線圖,以有效保護系統和資源。

指南還比較了傳統的代理方法(如SASE、CASB)和基於瀏覽器的解決方案在應用程式發現、用戶監控和主動執行方面的優缺點。經過全面分析,基於瀏覽器的安全擴展程序被認為是combating Shadow SaaS最全面和用戶友好的解決方案。

瀏覽器安全擴展程序可以:

1. 發現所有SaaS應用程式:持續分析瀏覽器會話,向IT團隊展示員工正在訪問哪些SaaS應用程式。

2. 加強身份安全狀況:可以與雲身份提供商整合,作為額外的身份驗證因素,防止攻擊者利用被盜憑證訪問系統。

3. 發出關鍵變化警報:當檢測到新用戶賬戶被創建時,會觸發警報,讓身份團隊檢查這些應用程式是否符合組織安全政策。

4. 管控和控制:可以阻止訪問被標記為風險的應用程式,阻止數據從用戶設備上傳到風險應用程式。

總之,SaaS應用程式雖然便於使用且有利於企業營運,但安全和IT團隊仍需尋求方法在允許使用SaaS的同時確保企業環境的安全。瀏覽器安全擴展程序正是一種兼顧兩者的解決方案。希望通過這份指南,大家能夠更好地了解和應對暗影SaaS帶來的風險。讓我們共同努力,在技術創新和數據安全之間尋求平衡,推動企業的可持續發展。

詳情請看：

New Guide Explains How to Eliminate the Risk of Shadow SaaS and Protect Corporate Data

Read More

Help net security：微軟和谷歌擴大了對其用戶的金鑰支持

密碼一直是保護我們數位生活安全的關鍵,但設定複雜又難以記憶的密碼往往讓人頭痛不已。隨著科技不斷進步,一種新的身份驗證方式「通行碼」(passkey)開始逐漸取代傳統密碼的角色。透過這項新技術,我們將能夠更安全又便利地管理個人帳戶。

通行碼是一種全新的無密碼驗證解決方案,由FIDO聯盟所推動。與密碼不同的是,通行碼是以加密的數位簽章取代純文字密碼,無須記憶任何東西也不會被駭客竊取。使用者只需要在信任的設備上註冊並產生獨一無二的通行碼,之後在登入時使用該裝置驗證即可,簡單又安全。

根據最新的調查顯示,有22%的人已在每個可能的帳戶啟用通行碼,而61%熟悉通行碼的人認為它比密碼更方便(另外58%的人也認為更安全)。這正反映出使用者對通行碼的青睞程度與日俱增。

為了響應「世界密碼日」,各大科技公司近期也相繼推出支援通行碼的新功能。微軟已宣布支援個人帳戶使用通行碼,並將在Microsoft Authenticator應用程式中加入裝置綁定的通行碼支援。Google則表示,將很快支援使用通行碼註冊「進階防護計劃」(針對可能遭受鎖定攻擊的高風險使用者)。此外,Google也指出越來越多知名密碼管理器可以協助儲存使用者的通行碼。

除了科技巨頭之外,一些知名服務也已開始支援通行碼。過去一年間,亞馬遜、1Password、Dashlane、DocuSign、Kayak、Mercari、Shopify和Yahoo!JAPAN等都已著手推行通行碼,加入了像eBay、Uber、PayPal和WhatsApp等早期採用者的行列。根據報導,在Dashlane推出通行碼後,使用者註冊轉換率高達70%;而Kayak用戶登入的速度也比過去快了50%。

根據FIDO聯盟的數據,目前全球前100大網站中已有20%支援通行碼,前250大網站則有12%支援。顯見通行碼正在全球網路服務中逐漸普及。蘋果、任天堂、Shopify、Adobe等知名業者也都是早期支援通行碼的先驅者。

總的來說,通行碼無疑是更安全、更便利的身份驗證技術,勢必將會逐步取代目前仍廣為使用的密碼系統。這項新科技不僅能夠消除使用者記憶密碼的困擾,也能有效防範遭駭客竊取密碼的風險,對提升網路安全將有莫大助益。我相信,隨著更多服務厲接軌通行碼,未來它終將成為身份驗證的主流標準。

詳情請看：

Microsoft, Google widen passkey support for its users

Read More

Bleeping computer：微軟推出個人微軟帳號的金鑰驗證

微軟近日宣布Windows用戶可以使用驗證碼密鑰(Passkey)登入個人的微軟帳戶,這代表著用戶不再需要依賴傳統的密碼,而是可以使用像是Windows Hello、FIDO2安全鑰、生物辨識(臉部或指紋)或是裝置PIN等無密碼的驗證方式。這項新功能適用於個人用於存取Windows、Office 365、Outlook、OneDrive、Copilot及Xbox Live等微軟服務的帳戶。

推出驗證碼密鑰的主要目的是為了提高安全性,防範釣魚攻擊,並朝向未來徹底取代密碼的目標邁進。與傳統密碼不同,驗證碼密鑰是建基於加密金鑰對,公開金鑰存放在服務提供者的伺服器上,而私密金鑰則安全地儲存在使用者的裝置中。在驗證時,系統會產生一個需要使用私密金鑰才能解開的挑戰,從而確認使用者身份。由於私密金鑰受到裝置層級的生物辨識或PIN保護,使用者只需提供這些資料即可登入,省去記住及輸入複雜密碼的困擾。

相較密碼,驗證碼密鑰更加安全,不會有密碼被截取或竊取的風險,且與特定裝置綁定,有效防止釣魚攻擊。此外,由於不涉及共享秘密,使用者也不會因為不安全的習慣(如重複使用相同密碼或使用簡單弱密碼)而帶來風險。最後,驗證碼密鑰兼容不同的裝置和作業系統,使驗證過程順暢無阻。

值得注意的是,微軟為了方便使用者在更換或遺失裝置時仍能存取帳戶,將會在用戶的多個裝置之間同步驗證碼密鑰,而非在每個裝置上儲存獨立的密鑰。這種做法或許在安全性上稍嫌不足,一旦攻擊者獲取了帳戶控制權,密鑰也將同步至他們的裝置上。

要啟用微軟帳戶的驗證碼密鑰功能,首先需要透過指定網址建立新的密鑰,選擇使用臉部、指紋、PIN或安全鑰等驗證方式。接著依照裝置上的指示完成密鑰設定。目前支援此功能的平台包括Windows 10及更新版本、最新的macOS Ventura、Safari 16或更新版本、Chrome作業系統、Chrome、Edge 109或更新版本、iOS 16及更新版本,以及Android 9及更新版本。

登入時,選擇"其他登入方式"、"臉部、指紋、PIN或安全鑰"後,即可從已儲存的驗證碼密鑰列表中選擇想要使用的密鑰進行驗證。裝置將開啟安全視窗,透過您選擇的生物辨識或PIN等方式完成身份認證。

總的來說,微軟推出驗證碼密鑰無疑是朝向更安全與便利的無密碼世界邁進的重要一步。隨著科技發展,期盼有更多服務開放這項友善又安全的新身份驗證方式,讓使用者遠離被密碼所帶來的風險及困擾。

詳情請看：

Microsoft rolls out passkey auth for personal Microsoft accounts

Read More

The hacker news：什麼時候一台漏洞掃描程式還不夠？

近期網路安全一直是熱門話題,我們每個人都應該提高警惕,採取必要的預防措施來確保個人及公司的網路安全。本篇文章探討了網路漏洞掃描器的重要性,並強調單一掃描器未必足夠,使用多種掃描引擎可以更全面地檢測潛在漏洞。

文中指出,隨著每年新發現的漏洞數量持續增加,要求掃描引擎必須與時俱進,然而單一引擎無法完全覆蓋所有已知漏洞。不同的掃描器可能侷限於特定軟體,或依風險程度排列優先順序,因此即便採用頂尖的掃描器,仍可能遺漏部分漏洞檢測。

有鑑於此,作者建議採用多重掃描引擎的方式,將各引擎的長處結合,以獲得更廣泛的檢測範圍。文中特別介紹Intruder公司的做法,將多種掃描引擎整合於其攻擊面管理平台中,不僅涵蓋更多漏洞檢查,還能將結果視覺化並按優先順序排列,方便企業快速發現並修補重大漏洞。

總的來說,本文強調網路安全的重要性,並提供實用的建議。我們無法完全杜絕網路攻擊,但透過採用多重掃描機制和專業工具,將可大幅降低遭受攻擊的風險。對於個人和企業而言,持續提升網路安全意識,並採取必要的防護措施,將是維護資訊安全的關鍵。

詳情請看：

When is One Vulnerability Scanner Not Enough?

Read More

Tenable：Tenable 透過惡意軟體偵測增強其雲端安全庫

在雲端安全一直是重點關注的議題,即使雲端採用已成為主流,許多威脅仍然依賴於惡意軟體攻擊。因此,雲端安全計劃必須包含偵測惡意軟體的能力。我對Tenable公司最新推出的雲端安全解決方案,增加了惡意軟體偵測功能,感到非常欣喜。

這項新功能大幅提升了Tenable的雲端安全解決方案,不僅可偵測惡意軟體,還能在駭客攻擊前,先發現並修補底層的錯誤配置。無論惡意文件的來源是從容器映像、受感染的機器映像或機器本身的活動,Tenable的解決方案都能發現它。

Tenable一直擅長於預防性的安全措施,協助客戶在風險升級前識別並減輕風險。新增的惡意軟體檢測功能進一步加強了這種方法。惡意程式通常不是意外產生的,Tenable服務與SIEM解決方案的整合,可協助安全團隊快速回應。除了現有的異常行為偵測功能,可識別偏離正常基線的潛在攻擊模式之外,惡意軟體偵測為其提供了額外的防護層。

了解雲端基礎架構的潛在風險範圍是一項複雜的工作。Tenable雲端安全解決方案的新惡意軟體偵測功能,與現有的漏洞管理、網路配置、身份和權限分析等服務無縫整合。這種協同作用有助於使用者輕鬆實現穩健的安全態勢,快速找出並優先處理最關鍵的問題,同時仍可輕鬆獲取所有離散資料點。

Tenable雲端安全解決方案的惡意軟體偵測功能非常靈活,能夠識別從簡單的web shell到先進持續威脅(APT)等各種問題文件,涵蓋多種格式,包括可攜式可執行檔(PE)、可執行和可鏈接格式(ELF)以及各種指令碼類型。此惡意軟體偵測功能支援多種作業系統,如Linux和Windows,並與Azure、GCP和AWS等領先的雲端服務提供商兼容。

Tenable採用了資料驅動的方法,利用數十個情報來源,並結合其獨特的分析方法,確保準確評估每個受感染文件所帶來的潛在風險,提升客戶的整體安全防護能力。

有時候,區分駭客使用的惡意工具和合法的管理軟體,僅在於部署者的意圖不同。因此,Tenable雲端安全解決方案進一步識別雖然不是惡意的,但可能被濫用的工具,例如跨平台管理工具WinEXE。透過檢視這些工具與其他問題(如漏洞暴露、允許外部訪問的網路配置、寬鬆的身份權限等)的關聯,可讓您了解如果被駭客訪問時,這些工具可能帶來的威脅。

總之,Tenable雲端安全解決方案新增的惡意軟體偵測功能非常強大,將偵測功能與現有的預防功能結合,提供了全方位的雲端安全防護。雲端安全不僅需要對環境安全態勢有全面的視圖,還需要持續偵測威脅,兩者必須同時並行。我對這項創新的解決方案充滿期待。

詳情請看：

Tenable Bolsters Its Cloud Security Arsenal with Malware Detection

Read More

Cybersecurity insiders：人工智慧時代身份驗證支付的挑戰

隨著對線上交易的需求不斷增加,數位化仍然是企業為滿足當代消費者需求的主要驅動力。事實上,最新數據顯示,美國2023年電子商務銷售額較2022年增長7.6%,達到1.119萬億美元,而2022年為1.04萬億美元。但隨著每個人生活中數位偏好的增加,網路安全和詐騙風險也與日俱增。

根據Experian的報告,92%的美國企業認識到線上客戶身分識別策略的需求,但同一項研究也顯示,仍有大比例的公司(70%)近年來遭受日益增加的詐騙損失。隨著網路犯罪分子變得愈加精密,企業和消費者期望在每一次付款體驗中都有積極的防禦措施。對於支付和B2B軟體平台,以及小型企業主而言,這種需求因人工智慧(AI)的快速發展而變得更加迫切。

我們知道AI和網路安全是相互關聯的,但隨著科技進步和詐騙分子變得更加老練,這種整合仍在持續發展中。我們不能忽視網路安全團隊和駭客都在利用AI對自身有利這一點。缺乏大型企業資源的小企業,往往對這些先進的威脅特別脆弱。

AI驅動的詐騙策略與挑戰

在2024年對資訊安全長及安全領導人的調查中,89%的組織同意AI驅動的威脅將在可預見的未來持續成為一大挑戰。隨著我們繼續瞭解詐騙分子的手法,以下是一些需要警惕的AI驅動策略:

合成身分:根據路透社的報導,80%以上的新帳戶詐騙可歸因於合成身分詐騙,損失數以億元計。這是指詐騙分子使用真實的身分識別資訊的一部分,例如真實的信用卡和相關姓名,並將其與虛構的數據結合,例如駭客控制的錯誤送貨地址或電子郵件地址,以創建一個新的身分。這個新身份接著可用於開設銀行帳戶、貸款、信用卡等。挑戰在於,隨著詐騙分子建立了合成身分的良好信用記錄和可信度,越來越多商家和銀行願意隨著時間推移而延長信貸,詐騙行為將繼續暗自進行。為了看起來更加合法,真實的身分也可能與其他真實身分結合在一起。在這種情況下,詐騙分子可以組合亞特蘭大某個"鮑伯·約翰森"的姓名和信用卡資料,與紐約另一個 "鮑伯·約翰森"的電子郵件地址。

生成式AI:近幾個月備受矚目的生成式AI,可以產生文字、圖像和影片,並通過輸入的訓練數據學習模式。它擁有令人驚訝的能力,可以複製人類表達并產生類人的內容。對於那些嘗試過生成式AI工具的人來說,很容易且快速地創建所需的內容。想想詐騙分子製作一份目標城市的電話號碼清單或使用"鮑伯·約翰森"名字的真實電子郵件地址是多麼簡單和快速。這種程度的簡單和速度可能導致大量個人化的網路釣魚攻擊或數據投毒,即攻擊者篡改AI模型接受訓練的數據。

AI如何重塑支付詐騙策略

安全領域和詐騙分子之間存在著不斷升級的攻防賽,每一次防禦科技的進步都會遭到攻擊方式的進化來對應。由於傳統驗證方法往往高度手動、範圍有限且產生延遲結果,企業領導人面臨著失去那些能夠提供更流暢、更安全的支付體驗的競爭對手之顧客的風險。購買者必須確信其個人支付資訊將受到保護。

由於Juniper Research估計,2027年前全球線上支付詐騙的累計損失將超過3430億美元,因此大量銷售額正遭到白白浪費。企業必須適應更加現代化的技術,以打擊不斷升級的支付詐騙,並鞏固客戶信心。本質上,AI驅動的解決方案可以幫助對抗AI驅動的威脅,原因如下:

實時檢測:通過使用AI,企業可分析大量數據並實時應對威脅。這不僅可加強企業對身分盜用和詐騙的防禦,還可確保數位金融互動過程中用戶體驗流暢、安全且一致。快速標記詐騙企圖有助於確保商家和零售商不會向合成身分發貨。

自動化流程:信息系統審計與控制協會(ISACA)最近報告稱,59%的網路安全團隊人手不足,不到一半的組織(42%)對其網路安全團隊檢測和應對威脅的能力有很高的信心。在缺乏強大團隊的情況下,AI驅動的工具可以迅速整合到公司的技術棧中,以幫助自動化安全任務。例如Everyware(一家領先的客戶支付和參與公司)推出了全新的身分匹配工具,可針對美國人口普查和信用局數據進行即時驗證,並可作為數位發票付款處理流程的一部分實施。這將暫停無法通過身分驗證的交易。自動化可緩解人手不足團隊的壓力,使其專注於需要人工參與的其他安全預防措施。

永久學習:機器學習和深度學習過程有助於安全領導人從過去的經驗中汲取教訓,並加強對網路攻擊的防禦能力。這有助於識別安全事件之間的趨勢,以及組織數位足跡的薄弱環節。

AI技術是一把雙刃劍

雖然為安全和防止詐騙提供了開創性的解決方案,但AI也加劇了詐騙策略的複雜性。除了生成式AI和合成身分詐

詳情請看：

Identity Verification Payments Challenges in the Age of AI

Read More

Tigera：提高雲端原生應用程式安全性的 3 個可觀察性最佳實踐

近年來隨著雲原生應用程序的普及,可觀察性(Observability)已成為確保應用程序安全性和高效運行的關鍵因素。本文闡述了為何可觀察性對於提高雲原生應用程序的安全性非常重要,並提出了三項最佳實踐建議。在此,我想分享一些心得和想法。

首先,文中指出雲原生應用程序由多個動態、分佈式和短暫的微服務組成,每個微服務獨立運作和擴展來提供應用功能。在這種架構下,可觀察性和監控指標能夠讓安全團隊透過檢測微服務的異常行為(如流量、進程調用等)來發現新出現的威脅。同時,可觀察性還能協助安全團隊在發生入侵時可視化受影響範圍,從而採取如安全政策更新等控制措施,將風險隔離。此外,可觀察性還有助於DevOps團隊維持服務品質,快速發現故障點並進行故障排查。

其次,文章指出DevOps和SRE團隊當前面臨的主要挑戰是數據量巨大、來源分散,手動分析和故障排查的難度很高。由於監控系統分層,缺乏上下文關聯,給分析帶來極大困難。因此,文章建議採用分佈式、與Kubernetes原生集成的可觀察性工具,收集跨層次(L3-L7)的遙測數據,包括Kubernetes基礎設施和活動日誌在內,並支持可視化、基於機器學習的異常檢測和故障排查功能。

最後,文章列舉了一些開源和商業可觀察性工具的優缺點。開源工具如Kubernetes Dashboard、Prometheus等功能單一,商業工具則提供了更全面的大尺度可視化、仪表板、動態數據包捕獲、應用層可觀察性和統一控制平面等強大功能,有利於跨雲跨集群的統一監控和運維。

總的來說,我認為可觀察性對於確保雲原生應用程序的安全性至關重要。DevOps團隊應充分重視可觀察性工具的選擇和實施,既要具備識別異常行為和威脅的能力,又要能快速定位和解決問題,最大限度提高應用程序的可靠性和用戶體驗。與此同時,由於可觀察性涉及大量數據和復雜分析,很多中小企業可能缺乏足夠資源。未來,隨著雲端服務和AI技術的發展,相信會有越來越多優秀且經濟實惠的可觀察性解決方案湧現,讓更多企業能夠受益。

詳情請看：

3 observability best practices for improved security in cloud-native applications

Read More

Help net security：人工智慧驅動的網路釣魚攻擊甚至會欺騙最清醒的用戶

近年來人工智能技術快速進步,帶來許多創新應用,但同時也被不法分子利用來制造更複雜的網路釣魚攻擊手法。根據資訊安全公司Zscaler的研究報告顯示,利用生成式人工智能(GenAI)加強社交工程詐騙的網路釣魚攻擊持續攀升,甚至能夠誘騙最警覺的使用者。

GenAI網路釣魚攻擊的威脅在於利用人工智能自動化並個人化各種攻擊步驟,使詐騙電子郵件語句更加流暢生動,網站內容更逼真,從而大幅提高詐騙成功率。攻擊者可以迅速分析大量數據,針對目標精心製作出高度模仿合法通訊和網站的釣魚郵件與網頁。

GenAI工具能夠消除拼寫和文法錯誤,增加釣魚內容的可信度。更令人擔憂的是,這些工具還能快速製作精密的釣魚網頁,甚至產生惡意軟體和勒索軟體,針對受害者展開後續的攻擊行動。面對這種高度智能化、自動化的網路釣魚攻擊,即使是最警覺的使用者也可能難以辨識並上當受騙。

報告指出,2023年美國是遭受網路釣魚攻擊最嚴重的國家,佔總數55.9%;其次是英國5.6%和印度3.9%。金融保險業更是遭受攻擊次數激增393%,顯示網路金融交易往來是罪犯主要鎖定目標。而微軟(43%)則是最常被模仿的企業品牌。

除了傳統的網路釣魚詐騙手法,報告還警示到一些新興攻擊型態,像是利用中間人攻擊(AiTM)和瀏覽器中瀏覽器攻擊(BiTB)直接在使用者瀏覽網頁時進行詐騙活動;或是偽裝技術支援和QR碼認證等方式,誘使使用者掃描惡意QR碼或與駭客假冒的支援人員互動而洩露資訊等。

這份研究報告無疑揭示出GenAI帶給網路安全領域的重大挑戰。人工智能技術為網路釣魚攻擊提供全新武器,不斷升級的詐騙手段更容易誆騙用戶,企業和個人都可能遭受重大資安威脅和財產損失。面對此一挑戰,我們必須提高警覺,加強教育訓練,與時俱進調整資安防護策略,才能有效防範GenAI網路釣魚攻擊的危害。

人工智能的發展正在改變網路安全的遊戲規則,各方需要高度重視這一威脅,採取更積極和前瞻的防禦態勢,保護資訊與數位資產的安全。唯有高度警惕和未雨綢繆,我們才能在新世代的人工智能網路戰爭中立於不敗之地。

詳情請看：

AI-driven phishing attacks deceive even the most aware users

Read More

微軟：建立安全的生成式人工智慧應用程式的最佳實踐

人工智慧發展日新月異,尤其是最近幾年生成式AI(Generative AI)的突破,讓AI系統能夠生成近乎人類水準的文字、圖像和影音內容,前景令人振奮。不過,這種強大的能力也帶來了一些安全和隱私疑慮,如果缺乏適當的管控措施,生成式AI應用程式有可能被利用來洩漏敏感資料或執行未經授權的操作,風險不容忽視。

本篇文章探討如何以安全為首要考量,來架構生成式AI應用程式。作者指出兩大主要風險:一是資訊外洩,使用者可能透過精心設計的提示,從應用程式獲取原本無權存取的敏感資料;二是權限提升,使用者可能藉由模擬AI應用程式的身分,執行超出原有權限範圍的操作。

為防範這些風險,文中提出幾項最佳實務作法。首先是限制應用程式權限,只允許存取對所有使用者開放的一般性資料和功能,而不能自行讀取敏感訓練數據或呼叫特權API。其次,應以使用者身分來存取敏感資料和執行特權操作,切勿賦予應用程式自身太大權限。另外,應避免將敏感資料放置於用於調整模型的訓練檔案中,以防遭到竊取。

文中並舉例說明錯誤做法可能導致的資料外洩風險,例如讓應用程式能直接存取使用者郵件、人力資源資料庫等敏感來源,或執行修改應用程式設定等特權操作,這都有被濫用的潛在危險。相對的,正確作法是在每次存取敏感資料或執行特權動作前,都先驗證使用者是否有足夠的權限。

為實作這種最佳實務,文章建議善用OAuth驗證機制,並推薦使用LangChain或Semantic Kernel等函式庫,以工具或技能的形式定義取得額外資料或進行行動的方式,每次呼叫這些取得敏感資訊或執行特權動作的工具時,都會附帶使用者的OAuth權證,確保操作獲得適當授權。

另一種做法是運用Microsoft Azure AI Search服務,其內建的使用者授權機制,可在取用底層資料時對使用者權限進行檢核。無論採用哪種技術,核心概念都是在存取敏感資源或執行特權操作前,明確驗證使用者的權限,避免生成式AI應用程式成為資訊外洩或權限被提升的切入點。

總的來說,生成式AI的興起帶來前所未有的便利和創新,但也衍生出新的安全隱憂。開發者有責任在設計階段就將安全列為優先考量,採取完善的存取控制和授權管理機制,讓使用者能安心運用這項革命性技術,將風險降至最低。對AI公司和應用開發商而言,這是一項重大的系統性挑戰,需要通力合作下定重心,才能真正造福世人。

詳情請看：

Best practices to architect secure generative AI applications

Read More

Paloalto：人工智慧的進攻和防守影響

人工智慧(AI)的影響力持續擴大,網路安全領域也無法倖免於這股浪潮。近期著名網路安全公司Palo Alto Networks旗下Unit 42部門的資深主管Michael Sikorski接受採訪,就AI對於網路攻防的衝擊,提出了諸多精闢見解。

首先,就近期6-12個月而言,Sikorski認為AI最可能被利用來強化社交工程攻擊,例如魚叉式詐騙(phishing)和商務電子郵件詐騙(BEC)。透過AI語言模型學習目標對象過去的電子郵件歷史與溝通模式,能夠撰寫出高度地道且具說服力的釣魚郵件,迅速建立信任關係後誘使受害者中計。這種可大規模自動化的釣魚攻擊方式,預期會很快成為駭客的主要手段。

展望未來一至數年,Sikorski預期駭客會將AI運用在兩大領域:其一是透過訓練AI語言模型,依據現有惡意程式碼拼湊出新的變種,以躲避偵測。其二是針對AI/機器學習系統本身實施攻擊,像是提示注入(prompt injection)和污染訓練資料集,意圖操縱AI的輸出結果。

不過,Sikorski最為關切的是5年後的遠景。屆時,駭客可能會利用AI實現大規模、自動化的攻擊行動,同步鎖定數千或數百萬個目標。他將之比喻為SolarWinds供應鏈攻擊事件,即便當時有軍方資源參與,駭客仍受限於人力僅能利用部分後門,但未來透過AI自動化操作,便可輕鬆同時入侵大量網路並植入惡意程式碼。

然而,AI也為網路防禦帶來了正面效應。Sikorski認為,隨著AI/機器學習的進步,軟體開發過程將更能自動化地發現並修復潛在漏洞,從而降低可利用的零時差漏洞數量。此外,AI的優化能力還能讓安全運營團隊腰纆重新集中在主動防禦和威脅獵捕等更具創意的工作,而非被動地反覆處理已知攻擊事件和誤報。

Sikorski建議,評估AI對網路安全團隊效能的改善,可藉由關注降低成本及發現新威脅的關鍵績效指標。如果團隊耗費在已知事件的鑑識比重逐漸降低,而找出新興威脅的比例持續上升,即代表AI確實提高了效率與效能。

總括而言,隨著AI攻防能力並行發展,像Sikorski這樣來自實戰一線的資深人士經驗與見解,將是網路安全團隊在運用AI潛在好處的同時,警惕新興威脅時不可或缺的指引。我們有待拭目以待AI在網路安全領域的演進。

詳情請看：

AI's Offensive & Defensive Impacts

Read More

Help net security：reNgine：用於 Web 應用程式的開源自動化偵察框架

網路安全一直是現代科技發展中不可忽視的重要課題。隨著網路應用程式的快速增長,確保這些應用程式的安全性也變得至關重要。傳統的網路偵查工具往往存在著種種限制,例如缺乏數據關聯性、輸出格式多樣化等,這使得偵查過程變得複雜且耗時。因此,開發一款自動化且高度可配置的網路偵查框架,對於提高偵查效率、節省時間成本至關重要。

reNgine正是為解決這一問題而誕生的開源自動化網路偵查框架。它的設計理念是讓用戶能夠輕鬆自動化並完善網路應用程式的信息收集過程,從而為Bug賞金獵人、滲透測試人員和企業安全團隊提供有力支持。

reNgine的一大亮點在於它提供了直觀的數據可視化功能,如圖表、地圖、樹狀結構等,幫助用戶快速準確地獲取所需的偵查數據。此外,它還具有一個名為"項目"的獨特功能,允許用戶根據不同的目的(如個人Bug賞金獵取、客戶委託測試等)建立獨立的偵查數據空間,每個項目都有自己的儀表板,掃描結果也將被隔離在各自的項目中,同時掃描引擎和配置則可跨項目共享,大大提高了工作效率。

除了現有功能外,reNgine的開發者還計劃將大型語言模型(LLM)整合到框架中。利用LLM強大的自然語言處理能力,reNgine可以生成更加人性化的偵查報告和攻擊面生成器,幫助用戶更好地理解和利用偵查數據。同時,開發者還將推出"模型工具包"功能,允許用戶安裝並使用自定義的LLM模型,包括付費和免費的各種選擇,極大地提高了框架的靈活性和可定制性。

總的來說,reNgine作為一款創新的開源自動化網路偵查框架,通過自動化流程、數據可視化、項目管理和LLM集成等多重優勢,為網路安全從業者提供了高效實用的解決方案。它的出現必將推動網路應用程式安全性的提升,促進整個網路安全領域的持續發展。作為開源項目,reNgine也為廣大安全愛好者提供了良好的學習和實踐平台,我們有理由期待它在未來能夠發揮更大的作用。

詳情請看：

reNgine: Open-source automated reconnaissance framework for web applications

Read More

Help net security：了解新興人工智慧和資料隱私法規

隨著科技快速發展,人工智慧已逐漸滲透到我們生活的各個層面。儘管AI帶來了諸多好處,但也衍生出一些風險和隱憂,因此有必要制定明確的法規來管理和約束AI的使用。歐盟正在積極推動一系列相關法規,包括人工智慧法(AI Act)、數據法(Data Act)和健康數據空間條例(Health Data Space Regulation)。這些法規旨在促進可信賴和人性化的AI發展,同時保護公民的基本人權和隱私權。

人工智慧法是歐盟首個全面的AI監管法規,適用於公共和私人機構。該法案將AI系統根據風險程度進行分類,禁止使用對公眾構成不可接受風險的AI系統,並對高風險AI系統施加一系列要求,如風險管理、數據管治、透明度、人工監督等。此外,法案還要求某些AI系統必須具備透明度,以便公眾能夠檢測和識別人工生成或操縱的內容。值得一提的是,通用AI模型和系統也包含在法案範圍內。

數據法則旨在提高數據共享水平,規定了物聯網設備用戶(企業或消費者)訪問和使用數據的規則,同時維護高度的個人數據保護水平。根據該法案,數據持有者有義務與用戶和第三方共享可獲取的使用數據。

健康數據空間條例則分為兩大支柱。一是專門針對電子健康數據的主要用途,提高個人無論身在何處都能獲取自身電子健康數據的能力。另一個是專門針對電子健康數據的二次利用,旨在為研究、創新和公共政策等目的促進數據共享,同時確保符合歐盟數據保護法規。

這三項法規旨在相輔相成,共同推動AI和數據隱私的平衡發展。除了歐盟,美國也在積極制定相關政策。去年,拜登政府發布行政命令,要求聯邦機構在使用AI時必須遵循8項原則,如部署安全可信賴的AI、促進AI領域的創新與合作、防止AI帶來的歧視和偏見等。美國還計劃推出"美國隱私權利法案"(APRA),作為對抗歐盟通用數據保護條例(GDPR)的回應。APRA的主要特點包括對符合條件的小企業給予豁免、將公開信息排除在"覆蓋數據"之外、規定數據最小化要求、要求涉密大型企業聘用隱私官等。

展望未來,隨著科技與時俱進,AI和數據隱私法規也將不斷更新和完善。歐盟現有法規對企業而言確實複雜嚴格,未來可能需要進一步調整和簡化。同時,各國在制定相關法規時也需要平衡創新與監管之間的關係,避免過度限制AI的發展空間。不過,整體而言,這些嶄新的法規標誌著全球AI和數據隱私治理進入了一個新紀元,對於規範AI使用、保護公眾權益和個人隱私將產生深遠影響。企業也需要提前做好準備,配合監管要求並採取積極主動的數據管理措施,以期在AI快速發展的同時也能維護數據安全和個人隱私。

詳情請看：

Understanding emerging AI and data privacy regulations

Read More

Help net security：保護組織的供應鏈：降低第三方的風險

史蒂芬・霍金曾說:「我們如今都被互聯網連接,就像巨大大腦中的神經元」,當時很少人了解他這句話的深遠含義。

然而,從那次著名的美國今日報紙專訪過了十年,我們可以肯定霍金是對的。如今,互聯網建立了全球村落,將各個組織聯繫在一起,無分地理位置,使大大小小的企業都能建立緊密關係。

但這種互聯性也帶來了一個缺點:網路犯罪。數位相連的組織為罪犯提供了機會,只要一次攻擊就可能損害多家企業。

供應鏈攻擊的崛起

最近就發生過這樣的事件:聯合健康集團的子公司Change Healthcare遭到勒索軟體攻擊,導致全美許多醫療服務提供者無法從保險公司獲得報銷,蒙受財務損失。

這突顯了數位相連組織彼此的依賴性。一旦供應鏈中的某一環節斷裂,就會對其他環節產生連鎖反應。

互聯性另一個關鍵問題在於數據分享和網路交叉。

當組織將部分服務外包給供應商,或依賴其他組織的服務時,幾乎總是會產生數據傳輸。有時,合作夥伴甚至可能需要存取組織的網路。但是,一旦組織的數據流向第三方,風險就會增加。

儘管數據的安全責任仍在所有者手中,但當數據離開其基礎設施時,組織就必須依賴合作夥伴的安全性來保護數據。這可能會使數據面臨風險,暴露在網路盜竊的威脅之下。

去年發生的MOVEit網路攻擊就是一個典型案例。

Cl0p勒索軟體攻擊利用了這款無所不在的檔案傳輸服務的一個漏洞,竊取了許多使用該軟體的組織的檔案。據估計,共有超過2,000家組織受到影響,影響了6,000萬人,造成約100億美元的損失。這說明了互聯網互聯性雖然給組織帶來好處,但也增加了管理挑戰,尤其是當數據安全受到威脅時。

不幸的是,這類供應鏈攻擊變得越來越普遍,組織即使沒有數位連接也可能遭殃。隨著組織規模的擴大,合作夥伴生態系統通常也會增長。這並不意味著所有供應商都需要存取組織網路,他們可能只是提供服務。然而,供應鏈中的服務中斷仍可能對組織產生重大影響。

因此,所有組織在與供應商建立合作關係時,都應該對其採取盡職調查,了解他們為保護資產所採取的管控措施。組織應有信心,一旦供應商遭到網路攻擊,不會影響到自身的服務。

這究竟可以如何實現?

審查供應鏈

盡管供應鏈網路安全存在風險,組織仍可採取許多步驟來審查合作夥伴,提高抵禦第三方攻擊的能力。其中最重要的步驟包括:

1. 盤點供應鏈:

對組織而言,最重要的一步是了解誰是他們的合作夥伴。組織必須盤點所有部門的所有合作夥伴,評估是否與合作夥伴共享數據、他們對內部系統的存取權限如何,以及組織是否依賴其他供應商的服務來保持正常運作或提供服務。

2. 識別關鍵供應商:

完成初步盤點後,組織必須確定關鍵供應商。這些是支持日常業務運營的合作夥伴,為組織提供所需服務,或者代表組織提供服務。

確定了關鍵供應商後,組織就必須努力了解他們對網路的存取權限,以及與供應商共享數據的方式。還要了解合作夥伴遭到入侵會對業務產生何種影響非常重要。

會危及關鍵服務嗎?財務損失會有多大?客戶會受到何種影響?這些問題都必須得到解答。

3. 問卷調查和管控評估:

盤點完所有供應商後,就應該要求他們填寫有關網路安全實務和法規遵循的問卷。

問卷應側重於員工網路安全意識培訓、修補管理,以及他們是否遵守常見的安全控制措施,如NIST或ISO27001標準。

問卷中不應存在任何紅旗。如果合作夥伴未採取全面的安全措施,就該斷絕關係。對於關鍵供應商,建議進行更加深入的控制審查。

最重要的是,企業必須確保合作夥伴具有網路韌性。合作夥伴必須證明他們制定了既可防止入侵者攻入系統,又能快速有效遏制攻擊的策略,以免影響服務或其他合作夥伴。

4. 技術措施:

對於需要直接存取網路的合作夥伴,必須確保他們擁有安全的網路連線。

此外,在可能的情況下,還應隔離網路,不讓供應商觸及任何關鍵任務數據。重點是限制對合作夥伴的不必要暴露,這樣罪犯就無法利用網路橫向移動進入他們的數據。

隨著越來越多供應鏈攻擊曝光,第三方安全對所有企業來說都變得至關重要。組織必須審查供應商,確保他們實行良好的網路安全衛生,同時也要努力在合作夥伴遭到攻擊時,將暴露程度控制在最低限度。

在當今數位化世界,採取這些步驟至關重要。正如霍金所預言,互聯網將我們聯繫在一起,關於「六度分離理論」的奢想已不復存在。

詳情請看：

Securing your organization’s supply chain: Reducing the risks of third parties

Read More