Help net security：國土安全部成立人工智慧安全委員會以保護關鍵基礎設施

近期人工智慧(AI)技術快速發展,無疑為促進人類文明進步帶來新的里程碑。然而,這項新興技術亦存在潛在風險,倘若使用不當,後果可能造成無法彌補的損害。因此,美國國土安全部於2024年5月正式成立「人工智慧安全委員會」,旨在制定相關準則,確保AI在關鍵基礎設施領域的安全及負責任運用。

這項重大舉措反映出,主管當局已意識到AI安全問題的迫切性。該委員會由來自不同領域的22位專家學者組成,涵蓋科技公司、基礎建設營運商、政府官員、公民權利團體及學術界等,可見其高度重視AI發展對國家安全和經濟發展的影響。委員會首要任務是為關鍵基礎設施持份者提供可行建議,助其更負責任地運用AI技術。這些基礎設施領域包括國防、能源、農業、運輸和互聯網科技等,牽涉數億民眾日常生活運作,影響重大。

事實上,AI技術在為人類社會帶來創新突破的同時,亦增加了惡意使用的風險。國土安全部早前預警,有敵對國家可能利用AI輔助工具對美國進行大規模、高效率且難以追蹤的網絡攻擊,針對管線、鐵路等關鍵基礎設施;中國更有可能利用AI技術破壞美國的網絡防禦能力。這些都是人工智慧潛在濫用的實例,足以令人對AI技術的負面影響生疲憊。

因此,要在保障國家安全與發展經濟之間取得平衡,制定審慎的政策和監管框架實在刻不容緩。新成立的AI安全委員會將為此提供專業意見,讓有關部門能因時制宜,並與業界保持緊密溝通,及早識別和應對AI所帶來的新風險。這是一個審慎而負責任的舉措,值得讚許。

除了監管措施外,大眾對AI技術認知的加深,以及積極培育AI人才,亦是確保AI健康發展的關鍵一環。早前拜登政府發布行政命令,要求國土安全部在多方面採取行動,如在全球推廣AI安全標準、保護美國網絡和關鍵基礎設施、減低AI技術被用於製造大規模毀滅性武器的風險、打擊AI知識產權盜竊,以及吸引並留住AI人才等。這都是正確可行的方向。

事實上,國土安全部已於2024年初啟動為期一年的招聘計劃,力求聘請50名AI專家,在反應芬太尼、打擊兒童性剝削、提供移民服務、確保旅遊安全、強化關鍵基礎設施及加強網絡安全等範疇上,發揮AI技術所長,提升工作效能。顯示該部已充分重視並大力推動AI人才引進和技術應用。

總括而言,人工智慧無疑是一把「雙刃劍」,關鍵在於如何妥善管理和應用。透過適當監管、持份者協作、大眾教育和人才培育等多管齊下,定能最大程度發揮AI技術的優勢,同時有效規避其潛在風險,實現科技、經濟和安全的三贏局面。期望新成立的AI安全委員會能為相關政策制定提供專業意見,成為領導業界走向安全、負責任發展AI技術的先鋒。

詳情請看：

DHS establishes AI Safety and Security Board to protect critical infrastructure

Read More

Help net security：英國頒布物聯網網路安全法

英國頒佈物聯網網路安全法案,代表著各國政府開始正視物聯網裝置的網路安全風險,積極採取立法管控措施。這項名為「產品安全和電信基礎設施法案」(PSTI Act)已於今日正式生效,要求製造商在出售給英國市場的消費級物聯網產品上,必須停止使用可輕易被猜到的預設密碼,並設立漏洞揭露政策。

這項法案涵蓋範圍相當廣泛,包括了智慧電視、串流裝置、音響、遊戲主機、手機、平板電腦、基地台、樞紐、家庭自動化和警報系統、可穿戴裝置、家電(如恆溫器、洗衣機、燈泡、冰箱、家庭助理)、安全設備(如門鈴、監視器、嬰兒監視器)、兒童玩具等網路連線產品。

根據這項法案規定,每一項產品在出廠時都必須內建獨特的密碼,而非基於遞增計數器或可公開取得的資訊,也不能輕易被猜到。使用者也必須能夠變更該密碼。此外,製造商必須提供可讓使用者回報產品安全漏洞的管道資訊,包含確認收件、問題解決狀態追蹤等服務時程,並以免費、易懂的英文說明方式提供。製造商也必須提供該產品將獲得安全性更新的期限資訊。

違反這項法令將被視為刑事罪行,最高可處以1000萬英鎊罰款,或全球營收4%的罰金(以較高者為準)。這顯示英國政府對於物聯網裝置的網路安全風險已經高度重視,並採取嚴厲的罰則措施來約束業者。

事實上,早在2016年的大型分散式阻斷服務攻擊(DDoS)事件後,各國政府和標準組織即開始制定物聯網網路安全指南和建議。但PSTI Act卻是頭一個以國家法律層級強制要求製造商改善產品安全性的具體作為。歐盟的《網路安全法》雖有提出自願性產品認證,但預計明年將推出《網路韌性法》,對業者實施更嚴格的強制要求。美國則已在2019年通過《物聯網網路安全改善法案》,對聯邦政府採購的物聯網裝置訂定最低安全標準。

隨著更多國家效法,未來物聯網產品的網路安全責任將逐步由製造商適當承擔,政府立法規範將更趨嚴格完善,以確保這些日益普及的智慧連網裝置不會淪為駭客入侵的溫床。這是朝向物聯網長期安全可持續發展的重要一步。

詳情請看：

UK enacts IoT cybersecurity law

Read More

Help net security：聯想推出以人工智慧為基礎的網路彈性服務

Lenovo推出了一項新的利用AI的創新服務──Cyber Resiliency as a Service(CRaaS),與微軟合作,整合了Lenovo裝置遙測和Microsoft安全軟體組合,包括Microsoft Copilot for Security和Defender for Endpoint。此項服務利用AI來提供多層次的保護,結合加強的可視性與網路防護、偵測、回應和復原能力,跨越數位設備和系統。

這項創新服務將為客戶帶來諸多好處,幫助企業在裝置、使用者、應用程式、數據、網路和雲端服務等範疇更安全地運作,並在遭受攻擊時維持業務連續性。隨著混合工作模式、AI日益普及以及數據與裝置大量增加,安全一直是企業領導人的重點關注事項。Lenovo對資訊長的全球年度調查顯示,51%資訊長將網路安全列為IT首要任務,而65%則表示解決數據隱私和安全是一大挑戰。  

Lenovo Cyber Resiliency as a Service透過整合式單一窗口,讓企業領導人能有整體系統的可視性和掌控。強大的整合工具組、AI和自動化提高了檢視所有日誌、處理所有警報、消除盲點的效能,協助使用者識別、隔離和控制威脅。Lenovo CRaaS也為安全採購簡化流程,提供一站式完整解決方案,發揮Microsoft安全堆疊的最大威力,全程由Lenovo專業團隊管理。

採用網路韌性管理服務有助提升企業生產力與效率,將耗時耗力的工作外包,釋放IT人力資源,減少開支。許多企業習慣將各式零散的解決方案組合成一套完整的安全架構,但Lenovo CRaaS提供一站整合的全方位保護及可視性。  

Lenovo CRaaS落實了Lenovo致力保護客戶及其敏感數據的承諾,此外其Security by Design實務在產品開發生命週期中強化裝置安全性,ThinkShield則在Lenovo硬體、軟體和服務中提供進階安全功能。CRaaS服務提供一站式端對端的網路安全防護、完整整合的Lenovo專業團隊管理技術堆疊,以及最佳實務的關鍵控制,顯見Lenovo全力投入,打造安全可靠的數位環境,讓企業能安心運作。

詳情請看：

Lenovo launches AI-based Cyber Resiliency as a Service

Read More

Trendmicro：深度造假和人工智慧驅動的虛假資訊威脅民調

人工智慧(AI)科技的蓬勃發展,無疑為我們的生活帶來了許多便利,但也不可諱言地衍生出了一些負面影響。隨著2024年的大選臨近,AI驅動的假訊息(disinformation)和假造影音(deepfakes)對選舉結果的威脅,正日益受到重視。

在現今這個網路資訊高度發達的時代,人們獲取新聞和資訊的管道越來越多元化,社群媒體和自媒體平台更是讓每個人都能輕而易舉地在網路上發布任何資訊。諷刺的是,這種開放和自由卻也為釋放虛假訊息、傳播不實言論提供了絕佳的溫床。有心人士只需運用機器人軟體,就能在社群媒體上迅速散播大量的訊息;更有甚者,他們可以利用deepfake技術,製作出任何模仿真人聲音和影像的虛假內容。

這些人為操弄的假訊息,往往針對敏感的政治和社會議題,意圖挑撥離間、製造矛盾對立,從而影響民眾的觀點和選民的投票意向。最可悲的是,這類行為不僅可能由國家級別的組織所為,就連普通民眾和中小企業也有能力參與其中。由於目前幾乎沒有任何有效的技術能夠徹底識別虛假內容,民眾唯有提高警覺,多加查證和求證,才能在汪洋大海的訊息中分辨真偽。

面對日新月異的AI科技,我們不能囿於恐懼和無知,而是應該積極學習和了解,並以開放包容的心胸,擁抱這股無可阻擋的浪潮。政府和科技業者更有責任共同研發可靠的偵測機制,打擊假訊息和假影音,捍衛言論自由的同時,也維護資訊的真實性。唯有廣大民眾與當權者攜手合作,我們才能在AI時代確保民主價值的延續,避免誤入虛假訊息的迷津。

詳情請看：

Deepfakes and AI-Driven Disinformation Threaten Polls

Read More

Cisco：我們可以從暴力攻擊中使用的密碼中了解什麼？

透過破解密碼攻擊時使用的密碼,我們可以學到一些重要的教訓。根據思科Talos公布的密碼清單,許多使用者仍然使用一些最常見和簡單的密碼,如"Password"、"Passw0rd"和"123456"等。這些密碼不僅極易被猜到,也反映出使用者對密碼安全意識的缺乏。

有些密碼組合看似複雜,卻也存在一些疏漏。例如"Mart1x21"可能是某人的名字,或涉及月份,而"Spring2024x21"和"April2024x21"則只是在普通年月日後加入幾個額外字元,這種做法幾乎無法增加密碼強度。可以想見,如果攻擊者已經猜到使用者的基本資訊,要破解這類密碼並不困難。

事實上,隨著科技進步,純文字密碼已經無法滿足當代安全需求。不少專家提出了更安全的替代方案,例如採用無密碼登錄,直接免除密碼風險;或是強制要求製造商實施更嚴格的密碼規則,禁止使用預設和易猜的密碼組合。英國政府更是立法要求相關企業必須遵守產品安全及電信基礎設施法規,強化密碼安全標準。

總的來說,密碼問題已經成為網路安全的一大痛點。縱使企業採取多重防護措施,仍無法完全防範使用者本身選擇簡陋密碼的風險。因此,除了加強使用者教育之外,實施更嚴格的密碼規範、推廣雙因素或無密碼驗證機制,才是解決這個困境的根本之道。

事實上,弱密碼影嚴重程度可從企業安全事件指數窺知一二。根據思科Talos最新統計,在2024年第一季企業駭客事件中,商業電子郵件入侵(BEC)攻擊高居榜首,占46%的案件。而BEC通常會利用釣魚郵件來竊取金錢或散佈惡意程式,侵入企業電子郵件系統恰恰突顯了密碼問題的嚴重性。

總而言之,密碼仍是網路世界中無可避免的脆弱點。攻擊者依然在嘗試暴力破解各種密碼組合,而企業及個人使用者也應提高警覺,制定更嚴格的密碼政策,並採取多重身份驗證等保護措施,才能真正遏止密碼問題,提高網路安全防線。

詳情請看：

What can we learn from the passwords used in brute-force attacks?

Read More

Help net security：什麼是網路安全網狀架構 (CSMA)？

網路安全是當代企業與組織面臨的一大挑戰。隨著網路攻擊日益升級,單靠傳統的防禦措施已不足以應對複雜多變的威脅。有鑑於此,網路安全網狀架構(CSMA)應運而生,為企業提供一個全方位、互連的安全框架。

CSMA是一套組織原則,旨在打造有效的安全架構。它強調可組合性、可擴展性、介面延展性,以及數據模式與API的標準化,使各種安全控制和解決方案能夠更好地互相協作。一個設計良好的CSMA,可提升組織在威脅情資、事件應變、資產管理等核心安全職能上的效率。

CSMA共有八大核心能力,涵蓋偵測、情資、預防、應變、統一管理、流程測量、系統整合及擴展性等面向。其中,偵測能力是建立於分佈式感測網路之上,透過智能化機制收集各領域的資訊,偵測攻擊的蹤跡;情資能力則整合內外部資料,分析歷史模式,優先處理高風險威脅;預防能力則運用多層次防護,動態因應持續演化的威脅。

CSMA的應變能力實現了各子系統的緊密整合,提供集中式控制與可視化。統一管理平面讓不同角色獲取所需資訊,消除資訊孤島。此外,CSMA還能對安全流程進行持續自動化監控與量化,評估績效表現,找出落差並持續優化。

為使CSMA能隨著企業成長而擴展,整合新興科技與工具,系統整合與模組化設計是不可或缺的。透過開放的API與介面,CSMA能靈活地納入新的安全元件,並與合規、審計等其他領域的系統無縫整合,打造靈活可擴展的架構。

總的來說,CSMA提供了一種全新的網路安全範式。它透過分散式偵測、情資融合、多重防禦、集中管控等能力,打造出一個整合性的安全網路,應對不斷升級的網路威脅。與傳統的點對點防護不同,CSMA以互連互通的概念,將各種安全能力網狀連接,提供全方位的保護。

當前的網路攻擊已不再是單一入侵點,而是利用多種手段滲透系統。CSMA的出現正好回應了這一挑戰。藉由八大核心能力相輔相成,CSMA能讓企業掌控全域性的風險視野,快速應對變化多端的網路威脅,大幅提升整體的網路安全水準。我相信,CSMA必將為網路安全防護帶來革命性的突破,助力企業在數位化時代中運作與成長。

詳情請看：

What is cybersecurity mesh architecture (CSMA)?

Read More

Help net security：大多數公司在過去一年改變了網路安全策略

當前的網路威脅環境日新月異,企業不得不調整其網路安全策略以因應不斷變化的風險。根據LogRhythm的最新研究,在過去一年裡,高達95%的公司都修改了他們的網路安全策略,反映出網路安全領域正在發生根本性的轉變。

其中一個重大變化是網路安全不再被視為單純的技術問題,而是成為企業營運策略和公司治理的核心支柱。有78%的受訪者表示,網路安全主管或執行長(或兩者)都須為防範和應對網路攻擊負起責任。這種從單一技術職能走向策略決策的演變,代表網路安全的角色地位在企業內部已然提升。

推動策略調整的主因有三:一是為了跟上不斷變化的法規要求(98%);二是滿足客戶對於數據保護和隱私權的期望(89%);三是因應人工智慧威脅與防禦系統的興起(65%)。

然而,在這股改革浪潮中,網路安全團隊與非網路安全的高階主管之間存在著溝通鴻溝,仍是一大隱憂。高達44%的非網路安全主管對公司須遵循的法規要求認知不足;另有59%的網路安全人員難以向非網路安全的利害關係人解釋特定網路安全解決方案的必要性,凸顯了強化報告機制以利溝通的迫切需求。

為了因應日趨嚴峻的網路威脅,76%的企業已經增加網路安全預算,近八成的企業表示目前已具備足夠資源防禦網路攻擊。令人欣慰的是,有79%的網路安全專業人員認為自身的防禦能力良好或卓越。

不過,這種自信是否過於樂觀,還有待觀察。因為網路安全團隊普遍沒有針對關鍵作業指標提出報告,像是響應時間(49%)、偵測時間(48%)和恢復時間(45%)等,都不到一半的團隊有在跟蹤。更令人憂心的是,高達61%的網路安全團隊仍在使用手動且耗時的方式來分享網路安全狀態資訊,他們顯然需要強化個案管理指標和進階分析,以確保能夠快速作出明智決策。

此項研究遍及全球五大洲,訪問了1,176位網路安全高階主管和專業人員,探討了網路安全的多個層面。總的來說,儘管企業網路安全的重要性與預算編列都有所提升,但防禦能力仍缺乏有力佐證,溝通鴻溝也未能完全銷除。未來仍有許多工作有待企業持續努力。

詳情請看：

Most companies changed their cybersecurity strategy in the past year

Read More

The hacker news：新指南說明如何消除影子 SaaS 的風險並保護企業數據

在現今的商業環境中,軟體即服務(SaaS)應用程式無疑佔據了舉足輕重的地位。這些應用程式不僅提高了企業的工作效率,也推動了科技和商業的創新發展。然而,正如硬幣的兩面,SaaS應用程式同時也帶來了新的安全風險,這是企業主管和IT安全人員所必須正視和解決的問題。

傳統的安全防護措施往往無法完全掌控和監控SaaS應用程式的使用情況,這就造成了所謂的「暗影SaaS」(Shadow SaaS)風險。所謂暗影SaaS,是指員工在工作中使用未經IT部門批准的SaaS應用程式。據統計,高達65%的SaaS應用程式都是未經核准的,而80%的員工承認曾使用過這類應用程式。這意味著大多數企業都面臨著敏感數據外泄的風險。

暗影SaaS可能導致的主要風險包括:

1. 數據外洩:敏感數據可能通過各種SaaS應用程式外洩,包括ChatGPT等人工智能應用程式、拼寫檢查工具、文件管理應用程式等。這種外洩可能是無心之失,也可能是員工被惡意設計的偽裝應用程式誘騙而共享敏感數據。

2. 身份盜竊和賬戶被盜:如果員工使用工作郵箱和循環使用的密碼登錄SaaS應用程式,攻擊者就有機會獲取這些憑證信息,進而進行身份盜竊和賬戶被盜。

3. 違反合規和隱私法規:私密和敏感數據一旦在公共渠道上泄露,就可能違反隱私法規。

為了應對暗影SaaS的風險,LayerX公司發佈了一份新指南,提出了一種三管齊下的方法:應用程式發現、用戶監控和主動執行。該指南詳細探討了每個方面的做法,為讀者提供了一條明確的路線圖,以有效保護系統和資源。

指南還比較了傳統的代理方法(如SASE、CASB)和基於瀏覽器的解決方案在應用程式發現、用戶監控和主動執行方面的優缺點。經過全面分析,基於瀏覽器的安全擴展程序被認為是combating Shadow SaaS最全面和用戶友好的解決方案。

瀏覽器安全擴展程序可以:

1. 發現所有SaaS應用程式:持續分析瀏覽器會話,向IT團隊展示員工正在訪問哪些SaaS應用程式。

2. 加強身份安全狀況:可以與雲身份提供商整合,作為額外的身份驗證因素,防止攻擊者利用被盜憑證訪問系統。

3. 發出關鍵變化警報:當檢測到新用戶賬戶被創建時,會觸發警報,讓身份團隊檢查這些應用程式是否符合組織安全政策。

4. 管控和控制:可以阻止訪問被標記為風險的應用程式,阻止數據從用戶設備上傳到風險應用程式。

總之,SaaS應用程式雖然便於使用且有利於企業營運,但安全和IT團隊仍需尋求方法在允許使用SaaS的同時確保企業環境的安全。瀏覽器安全擴展程序正是一種兼顧兩者的解決方案。希望通過這份指南,大家能夠更好地了解和應對暗影SaaS帶來的風險。讓我們共同努力,在技術創新和數據安全之間尋求平衡,推動企業的可持續發展。

詳情請看：

New Guide Explains How to Eliminate the Risk of Shadow SaaS and Protect Corporate Data

Read More

Help net security：微軟和谷歌擴大了對其用戶的金鑰支持

密碼一直是保護我們數位生活安全的關鍵,但設定複雜又難以記憶的密碼往往讓人頭痛不已。隨著科技不斷進步,一種新的身份驗證方式「通行碼」(passkey)開始逐漸取代傳統密碼的角色。透過這項新技術,我們將能夠更安全又便利地管理個人帳戶。

通行碼是一種全新的無密碼驗證解決方案,由FIDO聯盟所推動。與密碼不同的是,通行碼是以加密的數位簽章取代純文字密碼,無須記憶任何東西也不會被駭客竊取。使用者只需要在信任的設備上註冊並產生獨一無二的通行碼,之後在登入時使用該裝置驗證即可,簡單又安全。

根據最新的調查顯示,有22%的人已在每個可能的帳戶啟用通行碼,而61%熟悉通行碼的人認為它比密碼更方便(另外58%的人也認為更安全)。這正反映出使用者對通行碼的青睞程度與日俱增。

為了響應「世界密碼日」,各大科技公司近期也相繼推出支援通行碼的新功能。微軟已宣布支援個人帳戶使用通行碼,並將在Microsoft Authenticator應用程式中加入裝置綁定的通行碼支援。Google則表示,將很快支援使用通行碼註冊「進階防護計劃」(針對可能遭受鎖定攻擊的高風險使用者)。此外,Google也指出越來越多知名密碼管理器可以協助儲存使用者的通行碼。

除了科技巨頭之外,一些知名服務也已開始支援通行碼。過去一年間,亞馬遜、1Password、Dashlane、DocuSign、Kayak、Mercari、Shopify和Yahoo!JAPAN等都已著手推行通行碼,加入了像eBay、Uber、PayPal和WhatsApp等早期採用者的行列。根據報導,在Dashlane推出通行碼後,使用者註冊轉換率高達70%;而Kayak用戶登入的速度也比過去快了50%。

根據FIDO聯盟的數據,目前全球前100大網站中已有20%支援通行碼,前250大網站則有12%支援。顯見通行碼正在全球網路服務中逐漸普及。蘋果、任天堂、Shopify、Adobe等知名業者也都是早期支援通行碼的先驅者。

總的來說,通行碼無疑是更安全、更便利的身份驗證技術,勢必將會逐步取代目前仍廣為使用的密碼系統。這項新科技不僅能夠消除使用者記憶密碼的困擾,也能有效防範遭駭客竊取密碼的風險,對提升網路安全將有莫大助益。我相信,隨著更多服務厲接軌通行碼,未來它終將成為身份驗證的主流標準。

詳情請看：

Microsoft, Google widen passkey support for its users

Read More

Bleeping computer：微軟推出個人微軟帳號的金鑰驗證

微軟近日宣布Windows用戶可以使用驗證碼密鑰(Passkey)登入個人的微軟帳戶,這代表著用戶不再需要依賴傳統的密碼,而是可以使用像是Windows Hello、FIDO2安全鑰、生物辨識(臉部或指紋)或是裝置PIN等無密碼的驗證方式。這項新功能適用於個人用於存取Windows、Office 365、Outlook、OneDrive、Copilot及Xbox Live等微軟服務的帳戶。

推出驗證碼密鑰的主要目的是為了提高安全性,防範釣魚攻擊,並朝向未來徹底取代密碼的目標邁進。與傳統密碼不同,驗證碼密鑰是建基於加密金鑰對,公開金鑰存放在服務提供者的伺服器上,而私密金鑰則安全地儲存在使用者的裝置中。在驗證時,系統會產生一個需要使用私密金鑰才能解開的挑戰,從而確認使用者身份。由於私密金鑰受到裝置層級的生物辨識或PIN保護,使用者只需提供這些資料即可登入,省去記住及輸入複雜密碼的困擾。

相較密碼,驗證碼密鑰更加安全,不會有密碼被截取或竊取的風險,且與特定裝置綁定,有效防止釣魚攻擊。此外,由於不涉及共享秘密,使用者也不會因為不安全的習慣(如重複使用相同密碼或使用簡單弱密碼)而帶來風險。最後,驗證碼密鑰兼容不同的裝置和作業系統,使驗證過程順暢無阻。

值得注意的是,微軟為了方便使用者在更換或遺失裝置時仍能存取帳戶,將會在用戶的多個裝置之間同步驗證碼密鑰,而非在每個裝置上儲存獨立的密鑰。這種做法或許在安全性上稍嫌不足,一旦攻擊者獲取了帳戶控制權,密鑰也將同步至他們的裝置上。

要啟用微軟帳戶的驗證碼密鑰功能,首先需要透過指定網址建立新的密鑰,選擇使用臉部、指紋、PIN或安全鑰等驗證方式。接著依照裝置上的指示完成密鑰設定。目前支援此功能的平台包括Windows 10及更新版本、最新的macOS Ventura、Safari 16或更新版本、Chrome作業系統、Chrome、Edge 109或更新版本、iOS 16及更新版本,以及Android 9及更新版本。

登入時,選擇"其他登入方式"、"臉部、指紋、PIN或安全鑰"後,即可從已儲存的驗證碼密鑰列表中選擇想要使用的密鑰進行驗證。裝置將開啟安全視窗,透過您選擇的生物辨識或PIN等方式完成身份認證。

總的來說,微軟推出驗證碼密鑰無疑是朝向更安全與便利的無密碼世界邁進的重要一步。隨著科技發展,期盼有更多服務開放這項友善又安全的新身份驗證方式,讓使用者遠離被密碼所帶來的風險及困擾。

詳情請看：

Microsoft rolls out passkey auth for personal Microsoft accounts

Read More

The hacker news：什麼時候一台漏洞掃描程式還不夠？

近期網路安全一直是熱門話題,我們每個人都應該提高警惕,採取必要的預防措施來確保個人及公司的網路安全。本篇文章探討了網路漏洞掃描器的重要性,並強調單一掃描器未必足夠,使用多種掃描引擎可以更全面地檢測潛在漏洞。

文中指出,隨著每年新發現的漏洞數量持續增加,要求掃描引擎必須與時俱進,然而單一引擎無法完全覆蓋所有已知漏洞。不同的掃描器可能侷限於特定軟體,或依風險程度排列優先順序,因此即便採用頂尖的掃描器,仍可能遺漏部分漏洞檢測。

有鑑於此,作者建議採用多重掃描引擎的方式,將各引擎的長處結合,以獲得更廣泛的檢測範圍。文中特別介紹Intruder公司的做法,將多種掃描引擎整合於其攻擊面管理平台中,不僅涵蓋更多漏洞檢查,還能將結果視覺化並按優先順序排列,方便企業快速發現並修補重大漏洞。

總的來說,本文強調網路安全的重要性,並提供實用的建議。我們無法完全杜絕網路攻擊,但透過採用多重掃描機制和專業工具,將可大幅降低遭受攻擊的風險。對於個人和企業而言,持續提升網路安全意識,並採取必要的防護措施,將是維護資訊安全的關鍵。

詳情請看：

When is One Vulnerability Scanner Not Enough?

Read More

Tenable：Tenable 透過惡意軟體偵測增強其雲端安全庫

在雲端安全一直是重點關注的議題,即使雲端採用已成為主流,許多威脅仍然依賴於惡意軟體攻擊。因此,雲端安全計劃必須包含偵測惡意軟體的能力。我對Tenable公司最新推出的雲端安全解決方案,增加了惡意軟體偵測功能,感到非常欣喜。

這項新功能大幅提升了Tenable的雲端安全解決方案,不僅可偵測惡意軟體,還能在駭客攻擊前,先發現並修補底層的錯誤配置。無論惡意文件的來源是從容器映像、受感染的機器映像或機器本身的活動,Tenable的解決方案都能發現它。

Tenable一直擅長於預防性的安全措施,協助客戶在風險升級前識別並減輕風險。新增的惡意軟體檢測功能進一步加強了這種方法。惡意程式通常不是意外產生的,Tenable服務與SIEM解決方案的整合,可協助安全團隊快速回應。除了現有的異常行為偵測功能,可識別偏離正常基線的潛在攻擊模式之外,惡意軟體偵測為其提供了額外的防護層。

了解雲端基礎架構的潛在風險範圍是一項複雜的工作。Tenable雲端安全解決方案的新惡意軟體偵測功能,與現有的漏洞管理、網路配置、身份和權限分析等服務無縫整合。這種協同作用有助於使用者輕鬆實現穩健的安全態勢,快速找出並優先處理最關鍵的問題,同時仍可輕鬆獲取所有離散資料點。

Tenable雲端安全解決方案的惡意軟體偵測功能非常靈活,能夠識別從簡單的web shell到先進持續威脅(APT)等各種問題文件,涵蓋多種格式,包括可攜式可執行檔(PE)、可執行和可鏈接格式(ELF)以及各種指令碼類型。此惡意軟體偵測功能支援多種作業系統,如Linux和Windows,並與Azure、GCP和AWS等領先的雲端服務提供商兼容。

Tenable採用了資料驅動的方法,利用數十個情報來源,並結合其獨特的分析方法,確保準確評估每個受感染文件所帶來的潛在風險,提升客戶的整體安全防護能力。

有時候,區分駭客使用的惡意工具和合法的管理軟體,僅在於部署者的意圖不同。因此,Tenable雲端安全解決方案進一步識別雖然不是惡意的,但可能被濫用的工具,例如跨平台管理工具WinEXE。透過檢視這些工具與其他問題(如漏洞暴露、允許外部訪問的網路配置、寬鬆的身份權限等)的關聯,可讓您了解如果被駭客訪問時,這些工具可能帶來的威脅。

總之,Tenable雲端安全解決方案新增的惡意軟體偵測功能非常強大,將偵測功能與現有的預防功能結合,提供了全方位的雲端安全防護。雲端安全不僅需要對環境安全態勢有全面的視圖,還需要持續偵測威脅,兩者必須同時並行。我對這項創新的解決方案充滿期待。

詳情請看：

Tenable Bolsters Its Cloud Security Arsenal with Malware Detection

Read More

Cybersecurity insiders：人工智慧時代身份驗證支付的挑戰

隨著對線上交易的需求不斷增加,數位化仍然是企業為滿足當代消費者需求的主要驅動力。事實上,最新數據顯示,美國2023年電子商務銷售額較2022年增長7.6%,達到1.119萬億美元,而2022年為1.04萬億美元。但隨著每個人生活中數位偏好的增加,網路安全和詐騙風險也與日俱增。

根據Experian的報告,92%的美國企業認識到線上客戶身分識別策略的需求,但同一項研究也顯示,仍有大比例的公司(70%)近年來遭受日益增加的詐騙損失。隨著網路犯罪分子變得愈加精密,企業和消費者期望在每一次付款體驗中都有積極的防禦措施。對於支付和B2B軟體平台,以及小型企業主而言,這種需求因人工智慧(AI)的快速發展而變得更加迫切。

我們知道AI和網路安全是相互關聯的,但隨著科技進步和詐騙分子變得更加老練,這種整合仍在持續發展中。我們不能忽視網路安全團隊和駭客都在利用AI對自身有利這一點。缺乏大型企業資源的小企業,往往對這些先進的威脅特別脆弱。

AI驅動的詐騙策略與挑戰

在2024年對資訊安全長及安全領導人的調查中,89%的組織同意AI驅動的威脅將在可預見的未來持續成為一大挑戰。隨著我們繼續瞭解詐騙分子的手法,以下是一些需要警惕的AI驅動策略:

合成身分:根據路透社的報導,80%以上的新帳戶詐騙可歸因於合成身分詐騙,損失數以億元計。這是指詐騙分子使用真實的身分識別資訊的一部分,例如真實的信用卡和相關姓名,並將其與虛構的數據結合,例如駭客控制的錯誤送貨地址或電子郵件地址,以創建一個新的身分。這個新身份接著可用於開設銀行帳戶、貸款、信用卡等。挑戰在於,隨著詐騙分子建立了合成身分的良好信用記錄和可信度,越來越多商家和銀行願意隨著時間推移而延長信貸,詐騙行為將繼續暗自進行。為了看起來更加合法,真實的身分也可能與其他真實身分結合在一起。在這種情況下,詐騙分子可以組合亞特蘭大某個"鮑伯·約翰森"的姓名和信用卡資料,與紐約另一個 "鮑伯·約翰森"的電子郵件地址。

生成式AI:近幾個月備受矚目的生成式AI,可以產生文字、圖像和影片,並通過輸入的訓練數據學習模式。它擁有令人驚訝的能力,可以複製人類表達并產生類人的內容。對於那些嘗試過生成式AI工具的人來說,很容易且快速地創建所需的內容。想想詐騙分子製作一份目標城市的電話號碼清單或使用"鮑伯·約翰森"名字的真實電子郵件地址是多麼簡單和快速。這種程度的簡單和速度可能導致大量個人化的網路釣魚攻擊或數據投毒,即攻擊者篡改AI模型接受訓練的數據。

AI如何重塑支付詐騙策略

安全領域和詐騙分子之間存在著不斷升級的攻防賽,每一次防禦科技的進步都會遭到攻擊方式的進化來對應。由於傳統驗證方法往往高度手動、範圍有限且產生延遲結果,企業領導人面臨著失去那些能夠提供更流暢、更安全的支付體驗的競爭對手之顧客的風險。購買者必須確信其個人支付資訊將受到保護。

由於Juniper Research估計,2027年前全球線上支付詐騙的累計損失將超過3430億美元,因此大量銷售額正遭到白白浪費。企業必須適應更加現代化的技術,以打擊不斷升級的支付詐騙,並鞏固客戶信心。本質上,AI驅動的解決方案可以幫助對抗AI驅動的威脅,原因如下:

實時檢測:通過使用AI,企業可分析大量數據並實時應對威脅。這不僅可加強企業對身分盜用和詐騙的防禦,還可確保數位金融互動過程中用戶體驗流暢、安全且一致。快速標記詐騙企圖有助於確保商家和零售商不會向合成身分發貨。

自動化流程:信息系統審計與控制協會(ISACA)最近報告稱,59%的網路安全團隊人手不足,不到一半的組織(42%)對其網路安全團隊檢測和應對威脅的能力有很高的信心。在缺乏強大團隊的情況下,AI驅動的工具可以迅速整合到公司的技術棧中,以幫助自動化安全任務。例如Everyware(一家領先的客戶支付和參與公司)推出了全新的身分匹配工具,可針對美國人口普查和信用局數據進行即時驗證,並可作為數位發票付款處理流程的一部分實施。這將暫停無法通過身分驗證的交易。自動化可緩解人手不足團隊的壓力,使其專注於需要人工參與的其他安全預防措施。

永久學習:機器學習和深度學習過程有助於安全領導人從過去的經驗中汲取教訓,並加強對網路攻擊的防禦能力。這有助於識別安全事件之間的趨勢,以及組織數位足跡的薄弱環節。

AI技術是一把雙刃劍

雖然為安全和防止詐騙提供了開創性的解決方案,但AI也加劇了詐騙策略的複雜性。除了生成式AI和合成身分詐

詳情請看：

Identity Verification Payments Challenges in the Age of AI

Read More