Cybersecurity insiders：組織需要由 Gen-AI 提供支援的完全自主的安全性

在現今瞬息萬變的環境中,傳統的安全自動化方法已經無法滿足企業的需求。一方面,網路安全人才短缺的問題越來越嚴重;另一方面,威脅向量也變得越來越複雜。有鑑於此,具備完全自主能力的安全平台對於全球網路安全市場(根據一份網路安全市場報告,到2028年將增長至2985億美元)而言,無疑是一個重大的機遇。

Simbian公司是這個領域的領導者,他們透過深入理解安全自動化的內涵和環境,並運用不斷學習的人工智慧,使系統變得越來越智能和深化。最近,該公司推出了業界首個由通用人工智能(Gen AI)驅動的安全共駕系統,可將安全及智能的AI解決方案整合到不同的IT環境中,以最大程度增加覆蓋範圍,並加速對安全團隊不斷變化需求的響應。

這個共駕系統會持續觀察使用者的操作和環境,並逐漸學習自主執行越來越複雜的任務。Simbian的目標是實現完全自主的安全,將所有戰術性任務委派給值得信賴的AI平台,讓使用者可以專注於策略性的安全目標。

儘管多年來企業在內部自動化和工具上進行了大量投資,以提高安全團隊的工作效率,但他們仍然無法應付每天必須完成的大量操作任務。Simbian讓安全操作員完全掌控安全決策,用戶可與跨供應商的產品進行互動,完成所需的工作。該公司在業內獨一無二地提供了使用大型語言模型(LLM)生成代碼命令的能力,並且基於自然語言用戶界面,讓用戶可以臨機應變地構建Simbian支援的各種操作變體。

Simbian的通用AI驅動平台是業界首個可適應不同IT環境,涵蓋全面安全功能的安全共駕系統。大多數企業同時使用來自多家供應商的軟體和內部自製軟體。每個企業和每個安全團隊成員都有獨特且不斷變化的安全需求。Simbian可以幫助安全團隊中的每個人員,從CISO到一線從業人員,實時解決他們各自的獨特安全需求。用戶只需用自然語言描述目標,Simbian專利擬定的LLM驅動平台就會提供個性化建議,並跨異質環境生成自動化操作 - 提供更好的安全效果、更高的靈活性以應對不斷演變的業務需求和威脅,並降低成本。

安全是一個複雜程度與日俱增的領域。每一次安全事件都會帶來新的變數。Simbian朝著實現完全自主安全平台的願景邁進了一大步。儘管安全廠商越來越多地採用通用AI,但現成的通用AI模型存在許多安全風險,包括產生幻覺、提示注入風險,以及暴露個人身份信息/機密數據等。Simbian透過利用一種專利擬定的加固大型語言模型系統TrustedLLM™,在用戶和通用AI模型之間採用多層安全控制,將這些風險降至最低。

AI驅動的安全解決方案可以大幅改善威脅偵測、加速補救,並降低複雜性。Simbian正在將這一願景化為現實,利用AI自動化安全分析師日常中許多更具挑戰性和頻率較高的安全任務。

詳情請看：

Organizations Need Fully Autonomous Security Powered by Gen-AI

Read More

Help net security：零信任策略實施的基本步驟

根據研究機構Gartner的最新調查,全球有63%的組織已完全或部分實施零信任策略。對於實施零信任策略的78%組織而言,這項投資僅佔整體網路安全預算的25%以下。

儘管如此,仍有56%的組織主要是因為零信任被視為業界最佳實踐而追求該策略。然而,Gartner分析師John Watts指出,儘管有此看法,但企業仍不確定零信任實施的最佳做法為何。對大多數組織而言,零信任策略通常只涵蓋環境的一半或更少,並且僅能減輕不到四分之一的整體企業風險。

Gartner概述了為實施零信任策略而提出的三項主要最佳實踐建議,以供安全主管參考:

1. 早期確立零信任策略的範圍

為成功實施零信任,組織需了解涵蓋範圍、哪些領域在範疇之內,以及可減輕的風險程度。

零信任策略的範圍通常不包括組織的所有環境。然而,調查回覆者中有16%表示將涵蓋75%或更多範圍,僅11%認為將涵蓋不到10%的組織環境。

Watts表示:「範圍是零信任策略中最關鍵的決策。企業風險遠比零信任控制的範圍更廣泛,而且只能減輕有限的企業風險。儘管如此,衡量風險減少和改善安全態勢,仍是評估零信任控制成功與否的關鍵指標。」 

2. 透過零信任策略和運作指標溝通成果

在已完全或部分實施零信任的組織中,有79%具有策略指標來衡量進度,且其中89%有風險衡量指標。不過,安全主管在溝通這些指標時,也必須考量受眾。調查顯示,59%的零信任倡議由CIO或CEO/總裁/董事會贊助。

Watts解釋:「零信任指標必須根據零信任的可交付成果進行量身打造,而非複製其他領域如終端偵測與應對的指標。零信任的努力可實現特定成果,例如減少惡意程式在網路上的橫向移動,但可能無法由現有的網路安全指標捕捉。」

3. 預期員工編制和成本增加,但不會延誤

有62%的組織預期成本將增加,41%的組織也預期員工需求將因零信任實施而增加。

Watts表示:「採用零信任策略的組織,其預算影響將因部署範圍和零信任策略在規劃過程中的強度而有所不同。零信任倡議本身會影響預算,因為組織採取系統性和逐步方式,使其政策朝向風險為本和自適應控制發展,為組織的持續營運負擔增加開支。」

儘管只有35%的組織表示遇到干擾零信任策略實施的失敗案例,但組織仍應制定零信任策略計劃、確立運作指標,並衡量零信任政策的有效性,以盡量避免延誤。

總的來說,零信任是網路安全發展的大趨勢,許多組織已意識到其重要性並著手實施。然而,無論是規劃、執行或衡量成效,都需要高度的策略性思維,配合企業獨特狀況進行因材施教。唯有如此,零信任策略才能真正發揮價值,提升組織的整體網路防護能力。

詳情請看：

Essential steps for zero-trust strategy implementation

Read More

Help net security：讓網路安全對女性更具吸引力，縮小技能差距

誠如本篇專訪所言,網路安全領域一直存在著嚴重的人才短缺問題。造成這種現象的原因很多,其中包括網路威脅與相關法規日益增加,導致對網路安全人員的需求大增;但同時,年輕人對這個領域的興趣不足,供給無法滿足需求。此外,行業內的員工流失率也相當高,有經驗的人員常因工作壓力而選擇轉行或移居他國。

要解決這個問題,我們必須從多方面著手。首先,我們要提高社會大眾對網路安全的認知,尤其是年輕學子,讓他們了解這是一個充滿挑戰且前景廣闊的領域。同時也要改革教育體制,採用更多元化的教學方式,激發學生的學習熱情。

此外,我們也要為業界人才提供更好的職涯發展環境。用人單位應廣開職缺大門,不應限制於特定資歷,而是更重視應徵者的潛力。工作場所也要提供良好支援與導師制度,給予員工足夠的成長空間與情緒管理協助,避免人才因過度壓力而流失。

當然,在提高網路安全領域的性別多元化方面,我們也有很大的努力空間。由於過去這是個男性主導的領域,女性在晉升管理階層的路上往往面臨更多障礙。我們需要提供更多職涯發展與導師資源,並在公司決策層納入女性的聲音,以打造一個兼顧多元且包容的職場環境。

透過多方位的努力,我深信網路安全的發展一定能夠步入更加包容且蓬勃的新紀元。惟有匯聚各方英才,這個領域才能持續進步,為我們的數位世界帶來最可靠有力的防護。讓我們共同為之努力,創造一個更美好的網路安全未來。

詳情請看：

Making cybersecurity more appealing to women, closing the skills gap

Read More

Help net security：為什麼雲端漏洞需要 CVE

隨著雲端服務的普及,安全漏洞管理的角色與重點已產生重大轉變。傳統上,漏洞管理團隊的主要任務是修補網路基礎架構中的漏洞。但在雲端環境中,組織無法直接控制底層基礎架構,因此漏洞修補的責任落在雲端服務提供商身上。相對的,漏洞管理團隊的工作重心則轉移到配置管理。

適當的配置管理直接影響組織的風險程度。舉例來說,MongoDB 曾因為預設密碼配置問題而導致大量伺服器受到入侵,這就凸顯了配置管理的重要性。與傳統軟體不同,雲端服務的高度可複製性,使得一個錯誤的配置可能會在整個雲端環境中大規模複製,因此潛在的安全影響更為嚴重。

然而,雲端服務提供商普遍不會為漏洞指派通用漏洞披露(CVE)編號,這使得漏洞管理團隊難以有效追蹤與分析特定的雲端漏洞。缺乏統一的識別機制,漏洞分析師常需耗費大量時間,依賴模糊的警示訊息(如「S3儲存貯體配置錯誤」)來追查並修正雲端配置問題,效率低落。

有鑑於此,業界或許應考慮針對雲端漏洞建立類似CVE的獨特識別碼,例如「Common Cloud Vulnerability Enumeration(CCVE)」。以統一格式定義雲端配置問題(如「CCVE 1-1.2:Amazon S3儲存貯體預設密碼」),可大幅簡化漏洞追蹤與修正的流程。

當前,組織僅能在有限時間內修復少部分的已知漏洞,未解決的漏洞債務年復一年地累積。追根究柢,需要思考如何協助企業有效管理雲端風險,解決漏洞債務的棘手問題。也許業界共同制定雲端漏洞識別機制,將是一個可行的出路。否則,我們勢必面臨漏洞風險失控的危機。

詳情請看：

Why cloud vulnerabilities need CVEs

Read More

Cybersecurity insiders：打造嚴密的安全態勢來應對勒索軟體威脅

當代網路威脅無處不在,勒索軟體攻擊已成為個人和組織備受關注的重大隱患。這種惡意攻擊會將寶貴的資料加密,並威脅除非支付贖金否則不予解密,對企業可能造成財務損失和聲譽受損。為了防範此類威脅,採取堅實全面的安全防禦姿態至關重要。以下是構建防禦勒索軟體的嚴密防線的方法:

1.實施多層次安全措施:堅強的防禦始於採用多層次安全方法,包括部署防火牆、入侵偵測系統和防毒軟件,以在多個入口點偵測和預防勒索軟體攻擊。此外,可考慮實施先進的威脅偵測技術,實時識別和緩解新興威脅。

2.定期更新軟硬件系統:過時的軟件和作業系統往往容易受到勒索軟體攻擊。為降低風險,請確保所有軟件應用程序和系統都使用了最新的安全補丁和更新。自動化補丁管理工具可簡化此過程,幫助保持基礎設施安全。

3.教育和培訓員工:人為失誤是勒索軟體攻擊的常見切入點。教育員工認識勒索軟體風險,並提供有關網路安全最佳實踐的培訓,例如識別釣魚企圖、避免可疑鏈接和附件。定期舉辦安全意識培訓課程,可增強員工的警惕性和主動性,共同防範勒索軟體威脅。

4.實施嚴格的密碼策略:弱密碼就等於為網路犯罪分子開了條捷徑。在整個組織實施嚴格的密碼策略,包括要求使用複雜密碼和定期更改密碼。考慮實施多重身份驗證(MFA),增加一層安全防護,有助於防止未經授權訪問敏感系統和資料。

5.定期安全地備份資料:防禦勒索軟體最有效的方法之一是實施堅實的備份策略。定期備份所有關鍵資料,並確保備份安全存儲,最好是離線或存放在獨立的隔離網路中。這樣一來,即使勒索軟體加密了您的主要資料,您仍可從備份中將其還原,無需支付贖金。  

6.監控並及時應對威脅:主動監控網路流量和系統活動,有助於及早發現勒索軟體攻擊,從而迅速採取應對和控制措施。制定安全事件應急響應程序,概述一旦發生勒索軟體攻擊應採取的步驟,包括隔離受感染系統、通知相關人員以及啟動恢復程序。

7.與安全專家和合作夥伴聯手:網路安全是一個日新月異的領域,組織要時刻跟上新興威脅的步伐是一大挑戰。可考慮與專注於勒索軟體防禦的網路安全專家或安全服務提供商合作,他們能提供寶貴的洞見、威脅情報,以及在制定和實施有效安全策略方面提供協助。

通過積極主動採取全面的勒索軟體防禦措施,組織可大幅降低風險暴露,最小化勒索軟體攻擊的潛在影響。有了穩健的安全防線,企業就可以專注於核心業務運營,確信自己已充分準備好抵禦勒索軟體的持續威脅。

詳情請看：

Crafting an Airtight Security Posture Against Ransomware Threats

Read More

The hacker news：人人都是專家：如何幫助您的員工取得網路安全成功

現今網路安全威脅層出不窮,任何組織都無法倖免於駭客的攻擊。因此,除了部署先進的網路防護系統外,提升員工的網路安全意識也極為重要。傳統的安全意識培訓課程往往乏味無趣、效果不彰,讓69%的員工故意忽視公司的網路安全指引。這不僅浪費了企業的資源,也無法真正提高員工對網路威脅的警覺。

有鑑於此,本文建議企業採用創新有趣的安全意識培訓(SAT)方案,透過專業駭客編寫的生動案例和情節,讓員工在輕鬆有趣的環境中學習網路安全知識。優質的SAT方案應具備以下特點:

1. 課題內容與真實威脅緊密相關,並定期更新反映最新網路犯罪手法。

2. 由資深網路安全專家規劃和管理,不需公司額外投入人力。

3. 採用有趣生動的情節和角色,提高學員的學習興趣和知識保留率。

4. 每月推出新課程,透過隨機模擬釣魚郵件等攻擊情境測試員工反應。

5. 課程時間精簡,不會過度佔用員工工作時間。 

6. 與常用軟件如Microsoft 365、Google、Okta等整合,自動同步員工名單。

7. 提供詳盡報表,追蹤員工學習情況及模擬攻擊測試結果,證明合規性。

8. 快速部署,輕鬆擴展服務至整個企業。

優質的SAT方案可以營造重視網路安全的企業文化,建立員工健全的防護習慣,將員工培養成組織的第一道防線。員工能及時識別並應對釣魚郵件、社交工程等常見網路攻擊手法,大大降低公司遭受資安事故的風險,確保企業營運安全。 

此外,SAT課程還能滿足公司各項安全合規要求,如HIPAA、PCI、SOC 2、GDPR等,通過內部和外部稽核,避免公司觸犯法規受罰。在網路犯罪日益猖獗的當今,SAT絕對是企業不可或缺的資安保障,比硬體和軟體防護更能發揮關鍵作用。

總括而言,現代化安全意識培訓解決方案不僅創新有趣,而且專業管理一體,是企業提升員工網路安全意識、建立企業資安文化、符合法規要求的利器。培養員工主動防範的習慣,確保公司數據、系統和資產的安全,才是企業永續發展的關鍵基石。

詳情請看：

Everyone's an Expert: How to Empower Your Employees for Cybersecurity Success

Read More

Cybersecurity insiders：了解網路安全中的 CAT 文化：協作、意識和培訓

隨著網路環境的不斷變化與威脅的不斷演化,組織機構越來越意識到建立堅實的安全文化對於降低風險、保護敏感數據的重要性。其中一種日益受到關注的方法是實施CAT文化,著重於協作(Collaboration)、意識(Awareness)和培訓(Training),作為增強抵禦網路威脅的根本支柱。

協作:CAT文化的核心在於協作 - 組織內部各利害相關方的共同努力,以集體的方式捍衛網路安全。這意味著打破IT、安全、法務和人資等部門之間的壁壘,促進開放溝通和信息共享。通過加強協作,組織可以更有效地識別漏洞、及時應對安全事故,並實施與業務目標一致的全面安全措施。

協作不僅局限於組織內部,還應擴展至外部夥伴關係,包括同業、政府機構和網路安全專家。參與信息共享計劃、加入威脅情報共享平台,以及開展聯合網安演練,都能增強形勢感知,提升集體防禦能力,應對共同的對手。

意識:在CAT文化中,意識是指培養所有員工(從高層管理到一線員工)的網路安全意識。這包括教育員工了解不斷變化的威脅形勢、常見的攻擊媒介,以及保護措施的最佳實踐。提高意識可以使員工更好地識別可疑活動、報告安全隱患,並遵守相關政策和程序。

網安意識計劃的關鍵要素包括定期的安全培訓、模擬釣魚測試,以及發佈安全建議和警報。此外,營造一個員工可以放心尋求指導、報告安全問題而不必擔心受罰的文化,對於維持警惕的員工隊伍也至關重要。

培訓:全面的培訓計劃對於裝備員工獲得抵禦網路威脅所需的知識、技能和資源至關重要。培訓應針對不同部門和崗位的具體需求量身定制,可包括IT管理人員的專業培訓、非技術人員的安全意識培訓,以及應急響應團隊的事故處理培訓。

此外,持續的培訓和專業發展機會對於跟上新興網安威脅、不斷演變的技術,以及監管要求的步伐至關重要。諸如CISSP、CEH和CompTIA Security+等認證,不僅能驗證專業技能,還彰顯了員工在網安領域持續學習的決心。

總而言之,擁抱CAT文化 - 協作、意識和培訓 - 對於在當今數字時代建立彈性網安態勢至關重要。通過促進協作、提高意識,並投資全面的培訓計劃,組織可以使員工成為抵禦網安威脅的積極參與者,有效適應不斷變化的網安格局。

詳情請看：

Understanding CAT Culture in Cybersecurity: Collaboration, Awareness, and Training

Read More

Tenable：透過 SLSA 加強 Nessus 軟體供應鏈

在軟體供應鏈安全性日益受到重視的當下,作為網路安全領域的翹楚,Tenable 公司採用了嚴格的 Supply-chain Levels for Software Artifacts (SLSA) 框架來保護其旗艦產品 Nessus 的軟體供應鏈。本篇文章分享了 Tenable 從 SLSA 新手到專家的歷程,以及實施 SLSA 框架的心得與收穫。

什麼是 SLSA?

SLSA 是由 Google 開發的一套軟體供應鏈安全標準,旨在確保軟體製程的完整性與可靠性。它提供了一系列漸進式的指南,幫助企業在軟體生產的每個環節建立可信任的機制。

SLSA 框架可以被視為食品安全處理的指引,確保每一個成分都是可信的,同樣地,SLSA 也為軟體製作過程的每個步驟提供了安全保證。

Tenable 在實施 SLSA 的初期,主要有以下幾個關鍵體會:

1. 建立明確的信任機制:SLSA 著重於直接控制範圍內的可信任性,如原始碼庫、建置系統、軟體成品和版本控制系統等。

2. 增強供應鏈信心:SLSA 旨在透過驗證每個建置步驟,並防範上游供應鏈攻擊,來強化建置流程的可信度。

3. 需要自主實作:SLSA 只是一個藍圖,並非現成的解決方案,需要手動進行工程和流程變更,以符合 SLSA 的要求。

Tenable 採用 SLSA 的歷程

經過數月的努力,Tenable 首先達成了 SLSA Level 1 的要求,其中包括:

1. 建立腳本化的建置流程:Tenable 的 Nessus 產品建置流程全部由版本控制的管線定義和建置腳本來執行,過程可被完全驗證。

2. 提供建置來源證明:Tenable 記錄並儲存了 Nessus 建置的來源清單(SBOM)和建置過程細節(provenance),以便日後重建。

3. 採用版本控制系統:Nessus 的原始碼受版本控制系統管理,能夠追蹤每個修訂的變更歷史,包括提交者、時間、變更內容等。

在 SLSA Level 1 的驗證過程中,Tenable 也遇到了一個需要特別處理的挑戰 - 防止秘密資訊在 provenance 文件中洩露。他們採用了自動掃描provenance,並以 <Redacted>替換掉任何檢測到的敏感資訊。

接下來是 SLSA Level 2 的實施,其主要包括:

1. 使用受管理的建置服務:Tenable 確保所有建置步驟都在受控的建置服務上執行,而非開發人員的個人電腦上。

2. 驗證 provenance 的真實性:Tenable 確保 provenance 資訊是由專用的建置管線直接產生,而非人工插入或修改。provenance 資訊也經過數位簽章以防止篡改。

3. 驗證建置環境和來源:Tenable 使用 Rego 政策來檢查 provenance,確保建置代理程式的可信度,以及原始碼來源的正確性。

最後,Tenable 達成了 SLSA Level 3 的要求,包括:

1. 永久保留原始碼變更歷史

2. 確保完全隔離的建置環境,每個步驟都在獨立的虛擬機上進行

3. 確保 provenance 資訊的真實性和不可篡改性,由專用的簽章服務簽署

Tenable 在 2023年12月通過第三方安全評估,獲得了 SLSA Level 3 的認證。

結語

Tenable 的 SLSA 實施經驗給其他組織帶來以下啟示:

1. 軟體供應鏈安全是重中之重,需要投入大量資源來建立可信任的機制。

2. SLSA 雖然是一個嚴格的框架,但能有效防範上游的供應鏈攻擊,值得企業認真考慮。

3. 實施 SLSA 需要大量的工程和流程變更,沒有現成的方案,需要自主實作。

4. 在實施過程中,會遇到需要特別處理的挑戰,需要審慎規劃並靈活應對。

Tenable的 SLSA 之路並非一蹴而就,但他們相信這樣的努力最終將為產品和客戶帶來長遠的好處。

詳情請看：

Strengthening the Nessus Software Supply Chain with SLSA

Read More

Bleeping computer：如何使您的網路應用程式能夠抵抗社會工程

隨著社交工程攻擊的日益猖獗,保護企業的數字資產(包括外部網絡應用程式)已成為當前的首要任務。社交工程利用用戶的情緒和脆弱性,而非依賴於技術性的黑客攻擊手段,這使得它們特別難以防範。事實上,根據Firewall Times的研究數據顯示,98%的網絡攻擊涉及某種形式的社交工程,而高達90%的惡意數據洩露事件都涉及社交工程攻擊。

面對這樣的嚴峻形勢,我們必須採取一系列具體的策略和最佳實踐來提高網絡應用程式對社交工程的抗性。以下是一些值得參考的做法:

1. 持續的員工培訓和意識宣導:知情的用戶是企業抵禦社交工程攻擊的第一道防線。定期為員工提供培訓,教育他們如何識別網路釣魚、安全處理敏感信息等。對於網絡應用程式,培訓用戶如何驗證網站的真偽、識別安全或不安全的連接,以及理解不重複使用密碼的重要性。但要記住,不能完全將責任推給最終用戶 - 他們需要得到技術上的支持。

2. 遵循最小權限原則:員工應該只擁有完成工作所需的數字資產權限,而不是更多。對於網絡應用程式而言,這可能意味著根據用戶角色限制對敏感數據、功能和管理介面的訪問。儘管要注意,即使是熟練的攻擊者也能提升權限,所以所有帳戶都需要強密碼保護。

3. 部署多因素認證(MFA):MFA並非銀弹,但它通過要求用戶提供兩個或更多驗證因素才能訪問系統,增加了一個額外的安全層。這種額外的保護往往足以阻止攻擊者,即使他們已經通過社交工程戰術獲得了用戶的憑據。

4. 定期進行安全審計和滲透測試:為了在黑客之前發現網絡應用程式中的漏洞,請確保定期進行全面的安全審計和滲透測試。要求滲透測試包括社交工程模擬,以評估團隊的準備程度,並識別(和補救)任何弱點。考慮採用滲透測試即服務(PTaaS)解決方案,它能夠持續監控並及時發現漏洞。

5. 制定事件響應計劃:制定一個強大的事件響應計劃,包括應對社交工程攻擊的程序。計劃應該概述立即採取的措施,以控制和緩解攻擊,以及通知受影響方的溝通計劃。

此外,開發人員和IT專業人員還應該遵循以下最佳實踐:

1. 使用HTTPS和SSL證書:通過使用HTTPS和SSL證書來保護您的網絡應用程式,有助於保護用戶的隱私和安全,確保數據加密,驗證網站身份,維護數據傳輸的完整性。

2. 定期更新和修補系統:為了防範針對已知漏洞的攻擊,請務必定期更新系統和軟件,安裝最新的安全修補程式。保持系統最新是一項基本的安全實踐,可以大大阻止潛在攻擊者通過這些已知漏洞進入網絡。

3. 實施嚴格的數據處理程序:通過嚴格驗證和清理輸入數據,可以防止注入攻擊。驗證輸入(例如,確保電子郵件地址格式正確)並清理輸入(刪除或轉義潛在的有害HTML或SQL元素)。

4. 定期監控和審核網絡應用程式:通過跟踪網絡應用程式的性能和活動,可以及早發現未經授權的訪問、數據洩露或拒絕服務攻擊,從而有機會減輕或阻止其影響。使用專門設計用於檢測和阻擋可疑活動的工具,如網絡分析軟件和網絡應用防火牆軟件。

要全面提高抗社交工程攻擊的能力,需要採取多層面的策略。單一的防護措施並不足以應對這種隱患重重的攻擊手段。通過實施上述各項最佳實踐,企業可以顯著提高外部網絡應用程式的抗性,更好地保護自身免受社交工程攻擊的危害。

詳情請看：

How to make your web apps resistant to social engineering

Read More

The hacker news：來自「記得我」複選框的網路威脅

隨著科技的發展,我們在各種線上帳戶登入時,常常會看到「記住我」的選項,讓我們可以在關閉頁面重開後仍保持登入狀態。這個功能確實提升了使用者的便利性,但卻也潛藏著一些安全隱憂。

根據Zen Shield的網路安全研究人員最新發現,如果多人共用同一個裝置,這個看似無害的「記住我」功能就可能會導致嚴重的安全漏洞,讓未經授權的人輕易取得個人資訊、財務數據或其他敏感資料。舉例來說,如果用戶A使用過裝置後,用戶B隨後也取得使用權,只要打開之前登入過的網頁,就能立刻存取所有儲存的資訊。

2024年IBM網路安全情報報告指出,高達95%的安全漏洞源自人為疏失,其中11%更是純粹的疏忽大意所致。為了降低這些風險,使用者可以採取額外的安全措施,例如啟用雙因素驗證(2FA)、使用主密碼的密碼管理工具,或是導入生物特徵驗證等,以增加安全防護層。另一個方法就是干脆不勾選「記住我」,完全避免潛在的安全問題。值得一提的是,儲存在瀏覽器中的Cookie資料也可能成為隱憂,不過那是另一個需要區別考慮的議題。

為了應對不斷變化的網路威脅,許多公司包括線上市集、遊戲平台和電子商務網站,都正在強化自身的安全機制,提供「記住我」功能搭配生物辨識或2FA等雙重驗證選項。

因此,不管是資深網路使用者還是新手,我們都必須時刻保持警覺和知情。透過自身的經驗或未來的網路互動,養成安全意識並付諸實行,才能在這個日益互聯的網路世界中,有效守護我們的數位身分和敏感資訊。

總的來說,「記住我」這個功能的確為使用者帶來便利,但同時也暴露出一些安全隱憂。我們必須謹慎看待,採取必要的安全防護措施,才能在享受網路便利的同時,也確保個人資料的安全。透過教育和提高警覺,相信我們終能在瞬息萬變的網路世界中,安全地保護自己的數位資產。

詳情請看：

Cyber Threat from Remember Me Checkbox

Read More

微軟：使用合適的設備改善員工體驗的 5 個步驟

靈活工作模式已成為新常態,要真正重視多樣性並賦予每個人最佳工作環境,關鍵在於能夠跨越實體和數位世界的技術設備。

最基本的就是設備本身 - 它是溝通、協作及創新的媒介。但很多時候,這些設備卻不能完全適應現代工作場所的需求。最近一項IDC的研究指出,隨著大批知識工作者持續遠程工作或採取混合上班模式,他們對個人電腦的要求也發生了變化。

作為IT領導者,在為公司選擇設備時,需要緊貼這些現代工作需求 - 不論是知識工作者還是前線員工,以下5點都值得考慮,確保每個人都可以發揮最佳表現:

1. 以員工體驗為首要 

員工體驗是衡量員工參與度的指標,反映員工在職場環境中的互動情況。研究表明,在經濟不確定時期,重視員工參與度的企業在財務表現上的優勢是其他企業的兩倍。一家公司的員工體驗指數可能會因可用技術的品質而上升或下降。要了解員工需求隨工作和位置的變化而變化,因此以員工需求為中心的設備策略可以助您取得成功。

2. 梳理"一天的生活"以了解設備的典型使用情況

識別關鍵的活動節點、環境和工具,深入了解不同崗位員工的需求,為他們建立定制的使用軌跡圖,有助於明確需求,優化設備選擇。

3. 了解設備如何創造自然的效率,並選擇最能支持用戶的設備

有了使用軌跡圖和對典型使用情況的深入瞭解,分析哪些設備功能最能滿足用戶需求。通常,IT領導者可以整合替換多項設備為單一、更多功能的設備。一項最近的IDC研究發現,44%的IT決策者發現採用微軟Surface設備可以取代桌面電腦、筆記本、平板、手機等多種其他設備,簡化了硬件使用,並降低了資本支出和管理成本。

比如,如果用戶需要在一天內在不同地點切換,確保設備能夠無縫恢復工作進度,為他們節省設置時間,讓他們能夠快速回到工作狀態。Surface設備提供對接體驗,可以記住用戶的工作位置。

又或者,如果用戶需要隨時待命,隨時進行行動辦公,設備必須適應這種情況,尤其是電池續航、內置連接和多功能性方面。Surface設備專門為此類靈活工作而設計,提供筆記本電腦、平板電腦或工作室模式等多種形式因素選擇,以及延長的電池續航時間和可選的LTE Advanced或5G連接。

再者,用戶如何進行交流協作也很重要。自2020年2月到2022年2月,平均微軟Teams用戶每週會議時間增加了252%,其中64%為非計劃或即時進行的電話會議。使用Surface設備,用戶可以享受Teams的最佳體驗,無需額外外圍設備。憑借Surface的攝像頭、優化麥克風、沉浸式音效和精心設計的顯示屏,用戶在通話時看起來和聽起來都更出色,隨時待命。

4. 啟發新的生產力水平 - 讓員工以不同方式與設備互動

除了了解員工當前如何與設備互動,我們還應該思考如何激發新的思維模式和效率。

語音交互:用戶可以在保持工作流暢的同時,擺脫鍵盤。無論是協作、移動辦公還是思維激發,Windows 11的語音輸入功能都可以讓用戶以更自然的方式捕捉靈感。

數字筆輸入:隨著近64%的員工表示他們難以有時間和精力完成工作,使用數字筆可能有助於緩解一些壓力。因為手寫已經深植於我們的大腦,Surface Slim Pen這樣的筆式界面可以讓用戶暫時休息一下,避免單純使用鍵盤。通過手寫或繪圖,他們可以利用大腦的不同部位,改變身體姿勢,在模擬和數位世界之間切換,從而獲得更自然、更高效的工作體驗。

5. 最小化對用戶影響的設備管理和安全

選擇合適的新設備可以提高用戶和IT團隊的效率。IDC的研究顯示,搭配微軟365的Surface設備,可以為IT人員帶來顯著的時間節省和效率提升。憑借卓越的設備性能,Surface用戶的技術問題大幅減少,IDC發現幫助台呼叫量減少49%,平均為員工節省5.5小時。Surface硬件與熟悉的軟件完美融合,加上簡化的設備管理和主動的安全防護,確保了出色而不受干擾的使用體驗,同時提高了安全防護。

無論是移動的Surface Pro,還是大屏幕的Microsoft Teams會議室設備Surface Hub3,Surface設備都旨在滿足個人和整個團隊的需求,幫助用戶在多設備間無縫連接,體驗專為未來工作而設計的核心應用。

詳情請看：

5 Steps to Improve Employee Experience with the Right Devices

Read More

Help net security：IT 和安全專業人員需要更高的工作場所彈性

隨著遍及工作(Everywhere Work)的概念日益廣泛,涵蓋了專業人員工作的地點、時間和方式,彈性工作模式已成為關鍵的工作場所優先事項,這是根據Ivanti的調查結果。

Ivanti調查了超過7,700位高管、IT和網絡安全專業人員以及辦公室工作者,探討了當僱主讓員工可以在任何地方工作時,所面臨的深層挑戰和機遇。

"尋求吸引頂尖人才的僱主應該把工作場所的靈活性列為重點,因為這有明確的業務優勢,"Ivanti首席執行官Jeff Abbott說。"為了有效實施靈活的工作安排,提供員工必要的資源、支持和安全基礎設施,確保他們的成功至關重要。忽視這些因素可能會導致更高的員工流失率和有價值員工的不滿。"

彈性工作選擇優於遠程工作

根據調查結果,80%的專業人士表示,彈性工作比在任何地方工作(70%)更有價值。但只有25%的專業人士表示,他們的工作提供了很高的靈活性,至少40%的人會為獲得更大的靈活性而改換工作。

36%的女性認為彈性工作是必須的,而只有22%的男性如此認為。此外,28%的女性認為能夠在任何地方工作是必須的,而只有18%的男性如此認為。採取更僵硬方法的組織可能會損害其重要員工群體。

Ivanti的研究清楚地表明,靈活和遠程工作直接影響了IT工作量。56%的IT工作者表示,幫助台票量有所上升 - 這與之前幾年的結果一致 - 78%的人將其歸咎於靈活/遠程工作。推動票量上升的一些具體因素包括軟件部署、網絡可靠性和安全事件。

領導層與IT和安全需求脫節

雖然超過90%的受訪領導者表示,員工擁有在遠程或混合工作環境中保持生產力所需的工具,但IT和安全團隊並非如此。只有46%的人表示,遠程工作時很容易獲取技術工具。這種脫節對僱主有重大影響 - 23%的IT專業人士表示,由於工作倦怠,同事已經辭職。

76%的受訪者表示,人工智能和自動化可以有助於減少票量,提供更好的服務。然而,研究顯示,採用人工智能和自動化解決方案的比率較低。原因是什麼?如果數據不準確,人工智能就無法提供有用的洞見,而長期存在的數據孤島也阻礙了組織大規模部署人工智能和自動化。

如果領導者想要讓員工能夠靈活工作,大規模部署人工智能和自動化,並解決IT和安全需求,那麼首席信息官和首席信息安全官需要調整優先事項。研究顯示,52%的IT和安全專業人士表示,他們的組織內部存在安全數據和IT數據的孤島。

其中84%的人表示,數據孤島對安全產生負面影響,82%的人表示,數據孤島降低了生產力。這會對員工無論何時何地都能安全高效地工作產生連鎖效應。

66%的IT工作者表示,他們使用公開可用的生成式人工智能工具,如ChatGPT,但對這些工具的監管往往缺失或不完善。近三分之一的組織沒有制定應對生成式人工智能風險的具體策略 - 這是一個嚴重的疏漏,因為IT專業人員會與敏感數據和系統打交道。

總而言之,靈活的工作模式是IT和資訊安全專業人員的關鍵需求。組織需要提供必要的資源、支持和安全基礎設施,幫助員工靈活高效地工作。同時,領導層還需要深入了解IT和安全的實際需求,協調優先事項,大規模部署人工智能和自動化,消除數據孤島,為員工創造一個真正靈活、安全的工作環境。

詳情請看：

IT and security professionals demand more workplace flexibility

Read More

The hacker news：AI副駕駛：發射創新火箭，但要警惕前方的黑暗

人工智慧(AI)技術在軟體開發領域的應用,正引發一場颶風般的變革。GitHub Copilot就是其中的代表,它能夠根據開發者的輸入建議相關的程式碼片段,大幅提升了軟體開發的效率。然而,這種AI輔助軟體開發的技術,同時也隱含著嚴重的安全隱憂。

Copilot等AI系統的局限性在於它們是基於現有的程式碼訓練而成的,難免會從中繼承一些軟體漏洞。研究顯示,Copilot生成的代碼中,約有40%存在安全隱患,如SQL注入和緩衝區溢出等常見攻擊。這突顯了"垃圾入,垃圾出"(GIGO)的原理:如果訓練資料有問題,輸出的結果也會繼承這些缺陷。

面對AI輔助軟體開發帶來的安全挑戰,我們必須採取多管齊下的方法:

1. 了解漏洞:認識到AI生成的代碼可能容易受到與傳統軟體相同的攻擊。

2. 提升安全編碼實踐:培養開發人員的安全編碼意識和技能,不僅要發現潛在的漏洞,還要理解AI建議代碼片段的機制,以更好地預防和緩解風險。

3. 調整軟體開發生命週期:不僅是技術,流程也需要適應AI帶來的變化。除了關注代碼開發,需求、設計、測試和運維等環節也可受益於大型語言模型(LLM)的輔助。

4. 保持持續警惕和改進:AI系統及其驅動的工具都在不斷進化,保持對最新安全研究的了解、掌握新興漏洞,並相應更新安全實踐至關重要。

具體實施方面,我們可採取以下措施:

1. 嚴格執行輸入驗證:特別是對於處理使用者輸入的功能,應定義明確的輸入規則,創建允許列表,並在處理前確保輸入合法。

2. 安全管理依賴項:Copilot可能會建議添加依賴項,攻擊者可利用此實施供應鏈攻擊。在接納任何建議的庫之前,先檢查其安全狀態,可利用工具自動跟蹤和管理依賴項的安全性。

3. 定期進行安全評估:無論代碼源自AI還是人工,都應進行定期的代碼審查和測試,結合靜態分析、動態分析和軟體成分分析等方法。

4. 循序漸進地使用:先從使用Copilot生成註釋或調試日誌開始,然後再逐步讓它生成更多實際功能的代碼。

5. 審慎評估Copilot的建議:切勿盲目接受Copilot的建議,要時刻保持警惕,並理解預期的代碼結果。

6. 持續實驗探索:嘗試不同的提示,觀察Copilot的表現,並理解其強弱項,以不斷改進合作。

7. 保持學習與教育:持續關注安全領域的最新動態,提高團隊的安全意識和編碼技能。

AI技術的出現既是機遇也是挑戰。我們必須以充分的安全意識來應對,在提升效率的同時,也要確保軟體的安全性。只有這樣,我們才能在光明與黑暗的雙面刃中找到平衡,引領軟體開發步入更加安全可靠的未來。

詳情請看：

AI Copilot: Launching Innovation Rockets, But Beware of the Darkness Ahead

Read More