Cybersecurity insiders：保護您的家庭：實現資料安全的策略

在這個數位化時代,資訊科技無所不在,確保我們家庭資料的安全變得至關重要。從個人財務到敏感文件,再到珍貴的回憶,數位世界裡充斥著寶貴的資產,這些資產都需要受到適當的保護。

為了有效地保障我們家庭的資料安全,並減少網路威脅所帶來的風險,我提出以下可行的策略,希望能為大家樹立一個安全的數位生活環境。

首先,資訊安全教育是奠基的第一步。我們每個人都需要了解網路安全的重要性,熟悉釣魚詐騙的手法,並瞭解強密碼的重要性。只有將風險意識深植人心,我們才能真正地防患於未然。

其次,密碼管理是另一個不可或缺的關鍵。我們應該為每個線上帳號設置獨一無二的強式密碼,並考慮使用可靠的密碼管理器來生成和儲存複雜的密碼。此外,在任何可能的情況下,都應啟用雙重認證機制,為帳號增加額外的防護層。

除此之外,我們也要確保所有設備(包括電腦、手機和平板電腦)都已安裝最新的系統更新和防毒軟體,並啟用裝置加密功能,以防止資料在遺失或被盜的情況下外洩。同時,生物識別認證(如指紋或臉部辨識)也是一種值得考慮的安全措施。

上網時,我們必須格外小心謹慎。教育家人避免點擊可疑連結或從未知來源下載附件檔案。安裝廣告攔截器和針對隱私權的瀏覽器擴充元件,以降低接觸到惡意內容的風險。

家中無線網路的安全性也不容忽視。我們應該為Wi-Fi網路設置一個強大且獨特的密碼,並啟用WPA2或WPA3加密協定。考慮為訪客設置獨立的客人網路,以防範未經授權的訪問。此外,定期更新路由器的韌體也很重要,以修補安全漏洞。

資料備份策略對於防止資料遺失至關重要,無論是因為硬體故障、失竊還是網路攻擊。我們應該同時利用本地和雲端備份解決方案,以確保備份的冗餘性。定期測試備份的完整性和可靠性也是非常必要的。

在網路世界中,我們必須精心管理個人資訊的分享程度,特別是在社交媒體平台上。避免過度分享個人詳細資訊,如出生日期、地址和財務資訊,因為這些資訊極易被網路犯罪分子利用。

對於家中較年輕的成員,我們更應密切監控他們的網路活動。安裝家長控制軟體可以限制不當內容的訪問,並監控他們的上網模式。同時,教育孩子們網路安全意識,讓他們了解與陌生人在線互動的潛在風險。

此外,我們有必要時刻關注新興的網路威脅和趨勢。訂閱值得信賴的網路安全部落格、電子報和新聞媒體,以獲取及時的更新和安全建議。在家人之間保持坦誠的溝通,積極討論任何安全顧慮或事件。

最後,制定一個完善的應急響應計劃也是必要的。該計劃應明確在發生安全入侵或資料外洩時應採取的步驟,分配家人的角色和責任,並進行演練,確保每個人在緊急情況下都能夠及時有效地採取行動。

透過實施這些積極主動的措施,我們就能顯著提高家庭的資料安全防護水準,將網路威脅帶來的風險降至最低。但請記住,資料安全是一個持續不斷的過程,需要全家人的共同努力和警惕。保護今天的數位資產,就是守護明日家庭的未來。

詳情請看：

Safeguarding Your Family: Strategies for Achieving Data Security

Read More

Help net security：ExtraHop 發布 AI 工具以自動化 SOC 工作流程

信息科技的迅猛發展為我們的生活帶來了前所未有的便利,但同時也帶來了新的風險和挑戰。網絡安全無疑是當前最為棘手的問題之一。隨著網絡攻擊的規模和複雜性不斷增加,傳統的安全運營中心(SOC)模式已經無法滿足現代化企業的需求。

ExtraHop最近推出的一系列AI工具正是針對這一問題而設計的創新之作。這些工具植根於RevealX平台,旨在自動化SOC工作流程,緩解分析師的工作強度,提高效率。

其中最引人注目的莫過於生成式AI搜索助手。這一工具能夠讓SOC分析師通過自然語言界面進行威脅搜尋,快速發現攻擊指標。不僅如此,它還能根據企業環境的具體情況,智能地推薦相關查詢,幫助分析師全面檢視攻擊面。這一功能無疑大大簡化了威脅獵捕的流程,使分析師能夠高效地識別出潛在的安全隱患。

另一項值得關注的創新是"智能調查"功能。它利用ExtraHop領先的機器學習架構,通過相關聯高風險攻擊模式中的檢測結果,自動生成調查報告。基於實時網絡數據,這一功能能夠優先處理最為緊迫的威脅,加快調查和響應速度,確保企業運營的持續性。

總的來說,ExtraHop的這些AI工具都是將人工智能技術深度融入SOC運營的有力實踐。它們旨在自動化一些耗時且枯燥的任務,如威脅獵捕、警報相關性分析和優先級排序等,從而釋放分析師的精力,將更多資源集中於應對關鍵性威脅上,全面提升企業的網絡安全防護能力。

當前,採用AI和機器學習技術來管控網絡風險已經成為許多安全決策者的當務之急。根據2024年《全球網絡安全信心指數》的調查結果,38%的受訪者將之列為本年度首要任務。這反映出傳統安全運營模式正面臨著前所未有的挑戰,AI無疑是突破困境的關鍵所在。

ExtraHop推出的這一系列AI工具,是業界對這一趨勢的積極回應。它們汲取了ExtraHop長期以來在AI和機器學習領域的研究積累,展現出創新的產品理念和技術實力。相信在不久的將來,這種結合人工智能的SOC運營模式必將成為行業新的發展方向。

從更長遠來看,安全運營中心正在經歷著一場根本性變革。AI不僅在提高運營效率方面大有可為,更可能從根本上重塑威脅檢測、調查和響應的全流程。我們有理由期待,在AI的驅動下,網絡安全防護將邁向一個全新的里程碑。

詳情請看：

ExtraHop releases AI tools to automate SOC workflows

Read More

Help net security：紅帽推出 RHEL AI 以簡化 GenAI 模型測試和部署

紅帽公司推出RHEL AI平台,旨在簡化生成式AI模型的測試和部署流程,這是一項令人振奮的創舉。RHEL AI融合了多項創新技術,包括IBM研究院開發的開源Granite大型語言模型家族、基於LAB(Large-scale Alignment for chatBots)方法的InstructLab模型對齊工具,以及以社群驅動的方式推動模型發展的InstructLab專案。

這套完整解決方案被打包成一個經過優化的可開機RHEL映像檔,可在混合雲端環境中於個別伺服器上部署;它同時也是紅帽混合機器學習操作(MLOps)平台OpenShift AI的一部分,可在分散式叢集環境中大規模執行模型和InstructLab。

自ChatGPT造成轟動以來,生成式AI備受關注,創新速度只會與日俱增。企業已從評估生成式AI服務,邁向構建AI加值應用程式。開源模型選項的生態系統快速成長,進一步促進AI創新,並顯示不會有"One Model to Rule Them All"。客戶將從中獲益、因應特定需求做出選擇,而開放式創新無疑將加速這一進程。

實施AI策略不僅僅是選擇模型那麼簡單。科技組織需要調校給定模型以適應特定使用案例的專門知識,同時應對AI實施的龐大成本,包括:

採購AI基礎設施或消費AI服務

將AI模型微調以滿足商業需求的複雜流程 

將AI整合至企業應用程式

管理應用程式和模型的生命週期

為真正降低AI創新的門檻,企業需要擴大能參與AI計畫的人力陣容,同時控制成本支出。透過InstructLab對齊工具、Granite模型和RHEL AI,紅帽希望將真正開源專案(可自由存取、重複使用、透明且開放貢獻)的好處應用於生成式AI,努力消除這些障礙。

以InstructLab開放式打造AI

IBM研究院創建了Large-scale Alignment for chatBots(LAB)技術,這是一種模型對齊方法,運用分類學引導的合成資料生成和創新的多階段調校架構。此方法降低了對昂貴人工註記和專有模型的依賴,讓AI模型發展更開放、更易於所有使用者使用。運用LAB法,可透過規範技能和知識的分類學、大規模從這些資訊產生合成資料來影響模型,並使用生成的資料來訓練模型,進而改進模型。

看到LAB法確實能大幅提升模型表現後,IBM和紅帽決定發起InstructLab開源社群,圍繞LAB法和IBM開源的Granite模型展開。InstructLab專案旨在將大型語言模型的發展置於開發人員手中,打造和貢獻大型語言模型就如同為任何其他開源專案做出貢獻一樣簡單。

在InstructLab啟動的同時,IBM也開源釋出一系列英語和程式碼Granite模型。這些模型採用Apache授權釋出,並透明化訓練資料集的來源。Granite 7B英語模型已整合至InstructLab社群,使用者可像為其他開源專案貢獻一般,集體為此模型增加技能和知識。對Granite程式碼模型在InstructLab上的支援也將很快推出。

紅帽SVP和CPO Ashesh Badani表示:「生成式AI為企業帶來革命性的飛躍,但前提是科技組織能夠以符合其特定商業需求的方式部署和使用AI模型。RHEL AI、InstructLab專案,以及大規模的紅帽 OpenShift AI,旨在降低企業在混合雲端上面臨的許多障礙,從有限的資料科學人才到龐大的資源需求,同時在企業部署和上游社群中推動創新。」

建基於可信賴Linux,開放創新AI

RHEL AI建基於這種開放式AI創新,整合了企業就緒版的InstructLab專案和Granite語言及程式碼模型,以及世界頂級的企業Linux平台,簡化了混合基礎架構環境的部署流程,打造了將開源授權生成式AI模型帶入企業的基礎模型平台。

RHEL AI包含:

獲紅帽支援和許可的開源授權Granite語言和程式碼模型

受支援且具生命週期的InstructLab發行版本,提供可擴展且經濟實惠的解決方案,增強大型語言模型能力,並使知識和技能貢獻變得更易於更廣大的使用者群參與

透過RHEL映像模式提供 Granite模型和InstructLab工具套件的優化可開機模型執行個體映像檔,包含適用於AMD Instinct MI300X、Intel和NVIDIA GPU的優化PyTorch運行時程式庫和加速器,以及NeMo框架

紅帽的完整企業支援和生命週期承諾,從受信任的企業產品發行版本開始,還包括24x7生產支援和延長的生命週期支援

企業在RHEL AI上實驗和調校新AI模型時,便有暢通無阻的途徑來擴增這些工作流程至紅帽OpenShift AI,OpenShift AI也將包含RHEL AI。透過利用OpenShift的Kubernetes引擎來訓練和伺服AI模型,並運用OpenShift AI整合的MLOps功能來管理模型生命週期,企業就能實現大規模運作。IBM的watsonx.ai企業工作室目前建基於紅帽OpenShift AI,在OpenShift AI納入RHEL AI後也將獲得額外能力,為企業AI發展、資料管理、模型管理和提升價格效能帶來助益。

IBM研究資深副總裁兼主管Darío Gil表示:「將真正的開源創新引入AI模型發展,並善用廣大社群的力量,將改變企業對AI採用和擴增的構想。IBM長期支持開源,支持Linux、Apache和Eclipse等有影響力的社群。我們與紅帽的合作,代表我們在打造安全、負責且高效的AI的開放方針上,邁進了一大步。RHEL AI和InstructLab結合IBM開源的Granite模型家族,將為尋求以自身資料打造契合使用案例的模型,同時在多元混合雲端環

詳情請看：

Red Hat launches RHEL AI for streamlined GenAI model testing and deployment

Read More

Help net security：Inpher SecurAI 保護大型語言模型上使用者輸入的隱私

近年來,隨著人工智能技術的快速發展,大型語言模型在各個領域都展現出了強大的應用潛力。然而,在利用這些模型時,隱私和安全性的問題也隨之浮現。用戶輸入可能包含敏感的商業數據、個人信息或其他機密資訊,一旦被外泄將會造成嚴重的後果。為了解決這個問題,Inpher公司推出了SecurAI解決方案,通過利用NVIDIA H100 Tensor Core GPU的強大運算能力,為大型語言模型提供了隱私和安全保護。

SecurAI的核心優勢在於將用戶提示和後續的數據處理過程全部隔離在一個可信執行環境中,有效地將敏感信息與底層基礎設施隔離開來。這種隔離機制大大降低了數據洩露、外泄或未經授權訪問的風險,為保護知識產權和隱私提供了有力的保障。與此同時,SecurAI還能夠無縫地與企業的核心業務服務、數據源和應用程序(如Slack、Zendesk、Salesforce、Snowflake等)進行整合,進一步提高模型輸出的質量和效用。

此外,SecurAI還整合了檢索增強生成(RAG)技術,允許企業用戶根據組織需求上傳自己的文件,從而更好地滿足特定場景下的需求。這些創新功能使SecurAI成為企業在部署生成式人工智能解決方案時的理想選擇,幫助他們高效利用大型語言模型的強大能力,同時最大限度地降低隱私和安全風險。

總的來說,Inpher公司通過SecurAI解決方案為大型語言模型帶來了全新的隱私和安全保護體驗。在不斷發展的人工智能時代,這種注重數據隱私和知識產權保護的創新產品將為企業提供可靠的選擇,助力他們在充分發揮人工智能潛能的同時,也能夠確保核心資產的安全性。我們有理由期待,隨著此類解決方案的不斷優化和推廣,人類和機器的協作將會變得更加和諧、高效,為社會的可持續發展注入新的動力。

詳情請看：

Inpher SecurAI protects the privacy of user inputs on large language models

Read More

Kaspersky：惡意軟體潛伏在「官方」GitHub 和 GitLab 連結中

近日發生一件令人震驚的事件,原來在知名開源社群平台GitHub和GitLab上,惡意駭客可以上傳任意檔案,並產生一個看似官方連結,誘使用戶下載惡意程式。這個漏洞源自於這些平台允許用戶在未發佈的評論草稿中上傳檔案,雖然草稿對其他人不可見,但上傳的檔案卻可以透過直接連結下載。

這無疑為釣魚詐騙大開方便之門。駭客可以在 Microsoft等知名開發者的代碼庫中留下「評論」,附加看似遊戲外掛程式的惡意檔案連結。一般用戶見到GitHub和Microsoft這類知名字樣,難免會掉以輕心下載,從而中招。更狡猾的駭客或許會偽裝成某款熱門開源程式的新版本,藏在該程式的代碼庫發佈「更新檔案」連結。

我們通常視GitHub和GitLab為值得信賴的開源平台,卻沒料到漏洞會被如此粗暴利用,實在令人錯愕。開發者們多年來的努力付出,可能就此被這類無良份子的行徑玷污。用戶也因此失去對這些平台的信任,實在令人無比痛惜。這起事件再次敲響警鐘,提醒我們絕不能輕易相信任何網路上的連結和檔案,更要加強網路安全防護意識。

要遠離這類威脅,首先要謹慎小心, 切勿隨意下載來路不明的檔案,尤其是那些藏身在GitHub和GitLab等知名平台頁面上的可疑連結。我們應該直接瀏覽平台代碼庫頁面,從官方發佈的位置下載檔案。也要留意專案的建立時間、星星數等資訊,新手上路且無人問津的專案可能隱藏著風險。此外,務必為電腦和行動裝置安裝防毒防駭軟體,像是Kaspersky Premium提供全方位的保護。

網路安全從來都不是一蹴可及的目標,而是需要不斷堅守的戰線。我們要與所有不負責任、肆意危害他人的惡意份子對抗,並以高度謹慎的態度,竭力維護自己和他人的上網安全。只有我們全體用戶懷抱正確態度,互相提醒、砥礪前行,網路才能真正成為一個安全、有益的資訊交流園地。

詳情請看：

Malware lurking in “official” GitHub and GitLab links

Read More

Help net security：LSA Whisperer：用於與身分驗證套件互動的開源工具

近年來,網路安全威脅與日俱增,各種惡意軟體和入侵手法層出不窮,為了保護系統的安全,安全研究人員必須不斷開發新的工具以及方法來檢測和應對威脅。LSA Whisperer就是其中一個值得關注的開源工具。

LSA Whisperer是一套專為與身份驗證套件互動而設計的開源工具組合。它能夠透過獨特的消息傳遞協定,與包括cloudap、kerberos、msv1_0、negotiate、pku2u、schannel和cloudap的AzureAD插件在內的多個身份驗證套件進行互動。此外,它也提供了部分或不穩定的支援給livessp、negoexts和安全套件管理器。

LSA Whisperer的主要功能在於直接從本機安全授權子系統服務(LSASS)中恢復多種類型的憑證,而無需訪問其記憶體。在適當的環境下,LSA Whisperer可以恢復Kerberos票證、單一登入Cookie、DPAPI憑證金鑰(用於解密DPAPI保護的用戶資料)和NTLMv1響應(可輕鬆破解為可用的NT雜湊值)。

使用這種方式來恢復Kerberos票證的API雖然已經有文件記載並被其他票證轉儲工具所使用,但LSA Whisperer用於恢復上述所有憑證的方法卻是全新的,因此為防禦產品檢測其活動提供了較少的機會。

LSA Whisperer的開發背景是希望能夠深入瞭解和記錄儘可能多的套件呼叫(package calls),這是一種內部API,供身份驗證套件使用,但卻很少有文件記錄或在微軟外部使用。通過實現一種與這些呼叫互動的工具,研究人員可以識別哪些呼叫對於紅隊評估具有價值。

該工具使用CMake來生成和運行適用於您的平台的構建系統文件,不依賴任何庫管理器,因此可以輕鬆地脫機構建(如果需要的話)。不過,您需要安裝最新的Windows 11 SDK。

總的來說,LSA Whisperer是一款功能強大且具有創新性的開源安全工具。它提供了一種全新的方式來恢復系統中的各種憑證,擴展了研究人員的能力範疇,有助於提高系統安全性評估的深度和廣度。作為一款開源項目,它的發展離不開社區的參與和支持。我相信,隨著更多人的加入,LSA Whisperer將來必將成為網路安全研究領域中一個更加重要的力量。

詳情請看：

LSA Whisperer: Open-source tools for interacting with authentication packages

Read More

Help net security：大多數人仍然依靠記憶或筆和紙來管理密碼

密碼管理一直是網路安全中一個重要的課題。Bitwarden最新的調查報告揭示了個人網路使用者在密碼管理方面的一些普遍現象和風險。

首先,報告指出25%的受訪者在11到20個以上的帳號中重複使用相同密碼,36%的人則在密碼中包含了可從社交媒體獲取的個人資訊。這種做法嚴重提高了網路犯罪分子竊取身份的風險。

其次,報告發現使用者對自身網路安全意識的自我評價,與實際做法存在明顯差距。雖然大多數人自認能識別釣魚攻擊和AI加強的網路攻擊,但在管理密碼時仍然廣泛依賴記憶或紙筆記錄等不安全方式。同時,四成多人經常在公共網絡下存取個人和工作數據,加劇了風險。

因此,近四分之一的受訪者曾遭遇過由密碼管理不當導致的資安事件,密碼被盜用的情況也相當普遍。尤以美國更為嚴重。這凸顯了使用者安全認知與實際做法間的矛盾。

令人欣慰的是,越來越多使用者意識到了改善密碼管理的必要性。使用密碼管理軟件的人表示,自己在工作和生活中變得更加重視網路安全,減少了密碼重複使用的情況。兩步驗證的使用率也有所提高。

此外,對於無需記憶密碼的Passkey新技術,一半以上的受訪者表示能夠理解其安全優勢,認為其有望在未來廣泛應用。不過仍有相當一部分人對數據隱私和監控等存有疑慮。業界需要做好教育解釋工作,提升公眾對Passkey的信心。

總的來說,網路使用者在密碼管理上普遍存在一些潛在的安全隱患。不過隨著教育的加強和新技術的發展推廣,個人的網路安全意識和做法正在逐步改善。我們有必要持續關注和提醒這一問題,共同提高全社會的網路安全防護水準。

詳情請看：

Most people still rely on memory or pen and paper for password management

Read More

The hacker news：您應該了解的 10 個重要端點安全提示

現代企業面臨著前所未有的網路威脅,而終端設備正成為駭客們的主要攻擊目標。根據IDC的數據,高達70%的成功入侵都是從終端設備入手。未經適當防護的終端設備為網路犯罪分子提供了可乘之機,讓他們得以發動毀滅性的網路攻擊。隨著企業需要保護的終端數量與種類日益增加,防禦的邊界變得更加棘手。

為了提高終端安全性,本文提出了10項關鍵技巧,為IT和網路安全專業人員提供了全面的防護策略。首先是全面掌握企業內部的所有終端設備,建立一份詳細的清單,按照風險等級對它們進行分類,並為高風險終端設定優先防護級別。其次是制定主動的修補程式管理策略,確保系統和應用程式能及時更新至最新的安全版本,堵塞已知漏洞。

多重身份驗證(MFA)則為防護終端增添了一道重要防線。它要求用戶在登入時提供多重身份驗證資訊,如密碼、安全令牌或生物識別等,大幅降低了黑客利用竊取的登入憑證進行入侵的風險。最小權限原則則建議只對用戶、程式或流程開放執行任務所需的最小系統權限,從而減少黑客入侵後在系統內的活動範圍。

此外,採用多層防護措施的"深度防護"策略也是關鍵。綜合運用防火牆、防毒軟體、終端偵測與响應(EDR)以及入侵偵測等技術,就能為終端和整個網路架構形成堅實的多層安全防線。EDR尤其重要,它專為持續監控、偵測以及調查和應對終端威脅而設計,可實時監視並發現已知和未知威脅,協助IT團隊快速有效地應對。

文中還強調了實時監控和可視性的重要性。由於現今的中位數威脅存在時間高達16天,實時監控和即時警報能幫助企業儘快發現潛在入侵,及時採取行動,從而大幅縮短威脅的存活週期。對於允許員工自攜設備(BYOD)的企業,制定明確的BYOD政策也不可或缺,對個人設備的使用和安全標準做出明確規範,並將其納入定期監控範疇。

最後,培養員工的網路安全意識也是不可或缺的一環。員工作為企業安全防線的第一道關口,必須通過定期的網路安全培訓和模擬演練,學習識別和舉報潛在的安全威脅。與此同時,企業也需要定期進行風險評估和審計,評價現有安全措施的有效性,找出薄弱環節,並根據評估結果不斷改進防護策略。

總的來說,本文概括了提高終端安全性的十大關鍵技術,它們涵蓋了風險評估、預防性防護、主動檢測與快速響應等多個層面,為企業全方位地增強終端防護能力提供了寶貴的建議。在當今這個網路威脅無處不在的時代,只有建立起堅實的多層次、全方位的終端安全防護體系,企業才能在數字化轉型的征程上行穩致遠。

詳情請看：

10 Critical Endpoint Security Tips You Should Know

Read More

Bleeping computer：假工作面試利用新的 Python 後門瞄準開發人員

這則新聞報導揭露了一種新型的網路攻擊手法,名為"Dev Popper"攻擊活動,針對軟體開發人員為目標。攻擊者假冒雇主,透過虛構的工作面試,誘使開發人員執行惡意程式碼,進而在受害者電腦植入遠端控制木馬程式。這種手法相當詭譎,利用了開發人員對工作機會的渴望,藉由面試環節營造信任關係,再引誘受害者自行下載及執行攻擊載體。

攻擊過程分為多個階段,開始時會要求開發人員從GitHub下載一個壓縮檔,執行後會連動觸發一系列指令,最終導入一個具備多種惡意功能的Python遠端控制木馬。該木馬程式能竊取系統資訊、擷取檔案、執行任意命令、監控剪貼簿按鍵記錄等,讓攻擊者能完全控制受害電腦。

報告指出,這類攻擊活動可能與北韓駭客團體有關,因為過去幾年確實有許多北韓黑客集團,利用虛構工作面試或工作機會作為誘餌,針對安全研究人員、媒體工作者、軟體開發人員等不同目標進行網路攻擊。他們伺機在面試過程中植入惡意程式,以獲取機密資訊或竊取重要資產。

此種社交工程手法運用心理誘因,讓普通人也可能輕易上當成為受害者。開發人員不僅要提高對開放原始碼的安全意識,檢視下載源頭是否可信,更要警惕任何來路不明的程式檔案,以免遭駭客利用,成為攻擊鏈的一環。企業單位也應加強員工網路安全教育訓練,提高對此類攻擊的防範意識。

總的來說,這起事件提醒我們,在互聯網時代,網路安全威脅可能來自任何角落,駭客手法層出不窮,單靠傳統防護措施已不足以因應。我們每個人都必須時刻保持高度警覺,審慎評估所有來源,勿輕易觸犯網路陷阱,才能避免成為犯罪分子的下一個目標。

詳情請看：

Fake job interviews target developers with new Python backdoor

Read More

Tenable：網路安全快照：最新的 MITRE ATT&CK 更新提供了有關 GenAI、身分、雲端和 CI/CD 的安全見解

美國政府資助的MITRE組織近日發布了ATT&CK(對手戰術、技術與程序)知識庫的第15版更新,為網路安全防護提供新的意見和建議。此次更新涵蓋了多個熱門議題,包括對抗惡意使用generative AI、保護雲端環境、強化CI/CD管線等,反映了當前網路威脅演進的最新趨勢。

隨著各式AI工具在民間普及,駭客開始利用這些工具強化網路攻擊手段,ATT&CK因應提出相關對策。同時也注意到駭客組織針對工業控制系統,先行入侵企業IT系統蒐集資訊,因此補充相關說明。除了新興威脅外,也持續追蹤傳統方式演進,例如行動裝置攻擊的最新技術等。

MITRE組織自身也遭遇勒索病毒攻擊,系統遭駭並被植入惡意程式碼。顯示即使是擁有網路安全專業知識的團隊,仍難以完全防範最新網路攻擊。整體而言,ATT&CK持續擴充內容以涵蓋最新威脅狀況,維持其作為全球駭客攻擊手法知識庫的領導地位。

除了ATT&CK更新,本月另一項重大網路安全事件是美國醫療資訊供應商Change Healthcare遭勒索病毒攻擊。母公司聯合健康集團承認,駭客成功竊取大量民眾健康和個人資料,目前正持續評估被竊數據範圍,將需數月時間才能完成。由於系統癱瘓超過一個月,造成全美醫療系統大範圍中斷,此次事件被視為有史以來對美國醫療體系最嚴重的網路攻擊事件。

為了阻止更多機密資料外洩,聯合健康集團不得不支付贖款給駭客,金額未透露。初步調查指出,駭客是利用遠端連線應用程式的低強度驗證漏洞進入系統。預估造成高達16億美元的損失。該案件凸顯了資料外洩所造成的龐大風險和危害,網路安全防護的重要性不容忽視。

另一方面,隨著美國2024年大選將至,網路安全狀況也備受各界關注。美國網路安全暨基礎建設安全局(CISA)等機構警示,中國、俄羅斯、伊朗等國家將透過網路攻擊手段干預選舉,散播假訊息、假造事證等。CISA發布提醒民眾提高警覺、加強多重驗證等防護措施。同時也擔心駭客濫用AI生成假影音訊息、語音仿冒等新型態手法,帶來更大的威脅。

雖然網路威脅日益嚴峻,但業界對新興威脅如AI惡意利用的因應之道仍存在準備不足。據ClubCISO的最新調查顯示,資安長們對於此類網攻大多評估為高風險,但卻未相對調整年度預算或優先順序,反映企業防護狀態仍落後於威脅發展速度。面對網路攻擊日新月異,我們必須時刻保持警覺,透過不斷學習和防護系統的更新,才能與時俱進,降低被攻擊的風險。

網路安全議題已經不再只是少數專業人士的專屬領域,而是關係到所有人的資訊安全和隱私權。無論是個人、企業或政府機構,都應該提高網安意識,採取必要的保護措施。唯有全民共同重視並付諸行動,才能在威脅與防護的對抗賽中取得主動權,維護數位空間的安全。

詳情請看：

Cybersecurity Snapshot: Latest MITRE ATT&CK Update Offers Security Insights on GenAI, Identity, Cloud and CI/CD

Read More

Cybersecurity insiders：醫療保健產業的網路安全：預防當今攻擊的最佳實踐

網路安全問題一直是許多行業的重大隱憂,醫療業也不例外。文章開宗明義指出,近期美國一家醫療數據分析公司遭遇大規模網路攻擊,造成龐大的財務和人力損失,影響並延燒至合作夥伴和病患。這只是醫療業網路攻擊事件中的一例,2023年已有超過540家醫療機構和1.12億名個人受到資料外洩的影響。

網路攻擊事件日益複雜,涉及金額也與日俱增。隨著企業人力外包全球化,網路攻擊的影響範圍也進一步擴大。對於有國際合作夥伴的企業來說,防禦工作將更加棘手。不僅大型企業,中小企業同樣面臨網路攻擊的高風險。無論企業規模大小,都應制定完善的應對方案和資源配置。

基本的網路安全措施仍不可或缺,例如定期更改登入密碼、啟用雙重驗證、離開時登出所有裝置等。此外,企業也應全面掌控員工使用的所有科技,確保軟硬體都有最新的安全更新。然而,近年來最大的變化在於網路攻擊的範圍、頻率和複雜程度都在攀升。隨著電子商務、外包人力和海外擴張的趨勢,企業若未及時調整網路安全規範,可能會留下致命缺口。

醫療業一直是網路攻擊的重災區,主因是病患資料在黑市上價值極高。早期主要面臨資料外洩的威脅,而近來更多針對性的攻擊目標是癱瘓整個醫療體系。文章將此比喻為類似於911事件後,政府對核電廠、發電廠等關鍵設施加強保全的作為。

最常見的攻擊手法是散布式阻斷服務攻擊(DDoS),大量非法流量癱瘓醫療機構的網路系統。自2019年以來,這類攻擊在醫療業內明顯增加。美國衛生及公共服務部轄下的醫療業網路安全協調中心不時發布相關的威脅警示。文章並以最近的一起大型勒索軟體攻擊事件為例,突顯這已不只是醫療業的問題,2023年幾乎所有產業的網路攻擊紀錄都出現兩到三倍的增長。

面對威脅不斷升級,單靠政府機構的協助是不夠的。企業應該與專業的第三方安全服務供應商合作,確保從源代碼層面就能偵測並修補系統的弱點漏洞。小企業無經驗者,可先參考政府公開的最佳實務守則著手,但長期來看,勢必要達到更高的第三方驗證標準,例如SOC-2或HITRUST認證,以獲得客戶和合作夥伴的信任。

各雲端服務供應商如AWS、Azure、Google和Oracle雖然細節規範有所不同,但都有類似的內部安全規範。重點是企業要因應不斷演進的威脅環境,持續檢視並更新網路安全策略,才能有效防範駭客攻擊,避免重大營運中斷。網路安全問題已經不是能否發生的問題,而是何時發生的問題,企業必須時刻保持高度警覺。

詳情請看：

Cybersecurity in the Healthcare Sector: Best Practices for Preventing Today’s Attacks

Read More

Help net security：透過技能提升計畫縮小網路安全技能差距

科技日新月異,數位時代的企業要保持競爭力和彈性,培養員工技能是不可或缺的關鍵。根據普樂思佳(Pluralsight)最新的年度報告,網路安全、雲端和軟體開發是最緊缺的三大技能領域,同時也被視為未來一年最重要的技能。這無疑昭示了企業必須優先強化這些基礎性技能,才能有效因應科技趨勢。

報告也指出,65%的受訪者認為網路安全技能在公司內最為缺乏,其次是雲端(52%)和軟體開發(40%)。將近三分之二的企業計畫在未來一年培養網路安全人才,緊接在後的則是雲端和軟體開發。不過,儘管人工智慧(AI)和機器學習(ML)技能備受矚目,補足這方面的技能缺口並非當務之急。

事實上,相較外部招聘,企業透過在職培訓(upskilling)來提升現有員工的專業技能,不僅時間相去不遠,成本卻遠較便宜。報告發現,66%的企業認為,招募新人所需時間與培訓內部員工相去無幾。而在美國,僱用新的科技人才平均要花費逾2.3萬美元,為員工培訓的費用卻只是5000美元。

儘管實施在職培訓計畫有諸多挑戰,最大阻力就是缺乏時間,但企業只要建立終身學習的文化,實施在職培訓絕對行之有效。首要之務是評估內部現有的技能,找出不足之處。同時,領導階層應積極參與其中,因為僅33%的高階主管能完全了解團隊所需的科技技能,68%的科技人員認為公司高層根本意識不到技能上的缺口。

令人欣喜的是,強化技能所帶來更穩固的就業安全感,提高員工信心,成為員工願意接受在職培訓的最大動力。由此可見,在職培訓不僅可彌補技能缺口,同時提升了員工的工作投入度,有助於推動績效和創新。

最後,報告透露78%的企業由於缺乏所需的科技技能,導致專案半途而廢。這說明了盡快填補技能缺口已刻不容緩的迫切性。總的來說,在競爭激烈的科技浪潮下,企業培養內部員工、提供在職培訓絕對是權衡成本效益及確保長期發展的不二法門。只有在人才方面做好充分的準備和投資,企業才能掌握未來的關鍵優勢。

詳情請看：

Closing the cybersecurity skills gap with upskilling programs

Read More

Help net security：人工智慧正在創造新一代網路攻擊

在網路安全領域,人工智慧(AI)無疑是一把雙刃劍。根據Netacea最新的研究報告「人工智慧時代的網路安全」,93%的安全領導者預期將每天面臨AI驅動的攻擊,而65%的人更認為惡意AI將成為網路犯罪分子常用的標準工具,被運用於大部分的網路攻擊中。

研究顯示,安全領導者清楚意識到惡意AI的重要性,並預期在未來六個月內,將見證新一代網路攻擊的曙光。身負維護組織免受已知和未知威脅的重責大任,他們必須確保惡意AI議題能在董事會層級受到重視,與勒索軟體和分佈式阻斷服務攻擊等高影響攻擊並列。

然而,對於哪些威脅最為有害,他們的認知似乎有些偏差。只有11%的安全領導者認為機器人攻擊是企業面臨的最大網路威脅,遠低於勒索軟體、網路釣魚和惡意軟體的評估。但Netacea之前的研究發現,無情的機器人攻擊實際上讓企業失去了4.3%的線上收入,對於大型企業而言,損失相當於50次的勒索軟體贖金。

AI助攻網路攻防雙方

人工智慧不僅被用作強化網路攻擊的工具,在網路防禦方面同樣發揮了作用。即便英國國家統計局的報告顯示83%的企業沒有採用AI的計劃,但從網路安全的角度來看,情況並非如此。

Netacea的調查對象均在某種程度上將AI納入其安全防護體系,並且全部表示這提升了他們的安全狀態,其中27%更表示改善程度非常顯著。使用AI也證明了效率的提升,有61%的安全領導者認為AI大幅降低了他們的營運成本。

然而,運用AI強化防護的做法,多半被用於應對高影響低頻率的攻擊,如分佈式阻斷服務攻擊(62%),而非機器人攻擊(33%)。這顯示雖然AI是抵禦網路威脅的利器,但尚未被普遍應用於抵禦最具破壞力的攻擊。

現有差距仍待彌補。90%的受訪者對其Web應用程式防火牆、阻斷服務防護和API安全的AI防禦能力充滿信心,但只有60%的安全領導者對其機器人管理工具的AI能力同樣有信心。

Netacea技術長Andy Still表示:「安全領導者承受著以更少的資源做更多事的壓力,而惡意AI用於強化網路攻擊的興起,正值這種時機。AI強大且門檻低,意味著它將被用於各種用途,包括網路攻擊。雖然安全領導者意識到AI威脅的日常性令人欣慰,但他們對最具破壞力威脅的認知仍有落差。在AI攻防競賽中,重要的是要意識到AI將被應用在任何可能的領域,他們需要以同樣的態度因應。」

人工智慧既是網路安全的利器,也可能成為罪犯的新武器。隨著科技的快速演進,網路攻防雙方都在積極運用AI以獲得競爭優勢。儘管如此,我們不能忘記網路安全的核心,仍是人性。無論AI能力再強,我們都應謹記誠信和道德準則,避免過度依賴技術而忽視風險。唯有人與機器的雙重把關,網路世界方能維持安全和秩序。

詳情請看：

AI is creating a new generation of cyberattacks

Read More