Kaspersky：惡意軟體潛伏在「官方」GitHub 和 GitLab 連結中

近日發生一件令人震驚的事件,原來在知名開源社群平台GitHub和GitLab上,惡意駭客可以上傳任意檔案,並產生一個看似官方連結,誘使用戶下載惡意程式。這個漏洞源自於這些平台允許用戶在未發佈的評論草稿中上傳檔案,雖然草稿對其他人不可見,但上傳的檔案卻可以透過直接連結下載。

這無疑為釣魚詐騙大開方便之門。駭客可以在 Microsoft等知名開發者的代碼庫中留下「評論」,附加看似遊戲外掛程式的惡意檔案連結。一般用戶見到GitHub和Microsoft這類知名字樣,難免會掉以輕心下載,從而中招。更狡猾的駭客或許會偽裝成某款熱門開源程式的新版本,藏在該程式的代碼庫發佈「更新檔案」連結。

我們通常視GitHub和GitLab為值得信賴的開源平台,卻沒料到漏洞會被如此粗暴利用,實在令人錯愕。開發者們多年來的努力付出,可能就此被這類無良份子的行徑玷污。用戶也因此失去對這些平台的信任,實在令人無比痛惜。這起事件再次敲響警鐘,提醒我們絕不能輕易相信任何網路上的連結和檔案,更要加強網路安全防護意識。

要遠離這類威脅,首先要謹慎小心, 切勿隨意下載來路不明的檔案,尤其是那些藏身在GitHub和GitLab等知名平台頁面上的可疑連結。我們應該直接瀏覽平台代碼庫頁面,從官方發佈的位置下載檔案。也要留意專案的建立時間、星星數等資訊,新手上路且無人問津的專案可能隱藏著風險。此外,務必為電腦和行動裝置安裝防毒防駭軟體,像是Kaspersky Premium提供全方位的保護。

網路安全從來都不是一蹴可及的目標,而是需要不斷堅守的戰線。我們要與所有不負責任、肆意危害他人的惡意份子對抗,並以高度謹慎的態度,竭力維護自己和他人的上網安全。只有我們全體用戶懷抱正確態度,互相提醒、砥礪前行,網路才能真正成為一個安全、有益的資訊交流園地。

詳情請看：

Malware lurking in “official” GitHub and GitLab links

Read More

Help net security：LSA Whisperer：用於與身分驗證套件互動的開源工具

近年來,網路安全威脅與日俱增,各種惡意軟體和入侵手法層出不窮,為了保護系統的安全,安全研究人員必須不斷開發新的工具以及方法來檢測和應對威脅。LSA Whisperer就是其中一個值得關注的開源工具。

LSA Whisperer是一套專為與身份驗證套件互動而設計的開源工具組合。它能夠透過獨特的消息傳遞協定,與包括cloudap、kerberos、msv1_0、negotiate、pku2u、schannel和cloudap的AzureAD插件在內的多個身份驗證套件進行互動。此外,它也提供了部分或不穩定的支援給livessp、negoexts和安全套件管理器。

LSA Whisperer的主要功能在於直接從本機安全授權子系統服務(LSASS)中恢復多種類型的憑證,而無需訪問其記憶體。在適當的環境下,LSA Whisperer可以恢復Kerberos票證、單一登入Cookie、DPAPI憑證金鑰(用於解密DPAPI保護的用戶資料)和NTLMv1響應(可輕鬆破解為可用的NT雜湊值)。

使用這種方式來恢復Kerberos票證的API雖然已經有文件記載並被其他票證轉儲工具所使用,但LSA Whisperer用於恢復上述所有憑證的方法卻是全新的,因此為防禦產品檢測其活動提供了較少的機會。

LSA Whisperer的開發背景是希望能夠深入瞭解和記錄儘可能多的套件呼叫(package calls),這是一種內部API,供身份驗證套件使用,但卻很少有文件記錄或在微軟外部使用。通過實現一種與這些呼叫互動的工具,研究人員可以識別哪些呼叫對於紅隊評估具有價值。

該工具使用CMake來生成和運行適用於您的平台的構建系統文件,不依賴任何庫管理器,因此可以輕鬆地脫機構建(如果需要的話)。不過,您需要安裝最新的Windows 11 SDK。

總的來說,LSA Whisperer是一款功能強大且具有創新性的開源安全工具。它提供了一種全新的方式來恢復系統中的各種憑證,擴展了研究人員的能力範疇,有助於提高系統安全性評估的深度和廣度。作為一款開源項目,它的發展離不開社區的參與和支持。我相信,隨著更多人的加入,LSA Whisperer將來必將成為網路安全研究領域中一個更加重要的力量。

詳情請看：

LSA Whisperer: Open-source tools for interacting with authentication packages

Read More

Help net security：大多數人仍然依靠記憶或筆和紙來管理密碼

密碼管理一直是網路安全中一個重要的課題。Bitwarden最新的調查報告揭示了個人網路使用者在密碼管理方面的一些普遍現象和風險。

首先,報告指出25%的受訪者在11到20個以上的帳號中重複使用相同密碼,36%的人則在密碼中包含了可從社交媒體獲取的個人資訊。這種做法嚴重提高了網路犯罪分子竊取身份的風險。

其次,報告發現使用者對自身網路安全意識的自我評價,與實際做法存在明顯差距。雖然大多數人自認能識別釣魚攻擊和AI加強的網路攻擊,但在管理密碼時仍然廣泛依賴記憶或紙筆記錄等不安全方式。同時,四成多人經常在公共網絡下存取個人和工作數據,加劇了風險。

因此,近四分之一的受訪者曾遭遇過由密碼管理不當導致的資安事件,密碼被盜用的情況也相當普遍。尤以美國更為嚴重。這凸顯了使用者安全認知與實際做法間的矛盾。

令人欣慰的是,越來越多使用者意識到了改善密碼管理的必要性。使用密碼管理軟件的人表示,自己在工作和生活中變得更加重視網路安全,減少了密碼重複使用的情況。兩步驗證的使用率也有所提高。

此外,對於無需記憶密碼的Passkey新技術,一半以上的受訪者表示能夠理解其安全優勢,認為其有望在未來廣泛應用。不過仍有相當一部分人對數據隱私和監控等存有疑慮。業界需要做好教育解釋工作,提升公眾對Passkey的信心。

總的來說,網路使用者在密碼管理上普遍存在一些潛在的安全隱患。不過隨著教育的加強和新技術的發展推廣,個人的網路安全意識和做法正在逐步改善。我們有必要持續關注和提醒這一問題,共同提高全社會的網路安全防護水準。

詳情請看：

Most people still rely on memory or pen and paper for password management

Read More

The hacker news：您應該了解的 10 個重要端點安全提示

現代企業面臨著前所未有的網路威脅,而終端設備正成為駭客們的主要攻擊目標。根據IDC的數據,高達70%的成功入侵都是從終端設備入手。未經適當防護的終端設備為網路犯罪分子提供了可乘之機,讓他們得以發動毀滅性的網路攻擊。隨著企業需要保護的終端數量與種類日益增加,防禦的邊界變得更加棘手。

為了提高終端安全性,本文提出了10項關鍵技巧,為IT和網路安全專業人員提供了全面的防護策略。首先是全面掌握企業內部的所有終端設備,建立一份詳細的清單,按照風險等級對它們進行分類,並為高風險終端設定優先防護級別。其次是制定主動的修補程式管理策略,確保系統和應用程式能及時更新至最新的安全版本,堵塞已知漏洞。

多重身份驗證(MFA)則為防護終端增添了一道重要防線。它要求用戶在登入時提供多重身份驗證資訊,如密碼、安全令牌或生物識別等,大幅降低了黑客利用竊取的登入憑證進行入侵的風險。最小權限原則則建議只對用戶、程式或流程開放執行任務所需的最小系統權限,從而減少黑客入侵後在系統內的活動範圍。

此外,採用多層防護措施的"深度防護"策略也是關鍵。綜合運用防火牆、防毒軟體、終端偵測與响應(EDR)以及入侵偵測等技術,就能為終端和整個網路架構形成堅實的多層安全防線。EDR尤其重要,它專為持續監控、偵測以及調查和應對終端威脅而設計,可實時監視並發現已知和未知威脅,協助IT團隊快速有效地應對。

文中還強調了實時監控和可視性的重要性。由於現今的中位數威脅存在時間高達16天,實時監控和即時警報能幫助企業儘快發現潛在入侵,及時採取行動,從而大幅縮短威脅的存活週期。對於允許員工自攜設備(BYOD)的企業,制定明確的BYOD政策也不可或缺,對個人設備的使用和安全標準做出明確規範,並將其納入定期監控範疇。

最後,培養員工的網路安全意識也是不可或缺的一環。員工作為企業安全防線的第一道關口,必須通過定期的網路安全培訓和模擬演練,學習識別和舉報潛在的安全威脅。與此同時,企業也需要定期進行風險評估和審計,評價現有安全措施的有效性,找出薄弱環節,並根據評估結果不斷改進防護策略。

總的來說,本文概括了提高終端安全性的十大關鍵技術,它們涵蓋了風險評估、預防性防護、主動檢測與快速響應等多個層面,為企業全方位地增強終端防護能力提供了寶貴的建議。在當今這個網路威脅無處不在的時代,只有建立起堅實的多層次、全方位的終端安全防護體系,企業才能在數字化轉型的征程上行穩致遠。

詳情請看：

10 Critical Endpoint Security Tips You Should Know

Read More

Bleeping computer：假工作面試利用新的 Python 後門瞄準開發人員

這則新聞報導揭露了一種新型的網路攻擊手法,名為"Dev Popper"攻擊活動,針對軟體開發人員為目標。攻擊者假冒雇主,透過虛構的工作面試,誘使開發人員執行惡意程式碼,進而在受害者電腦植入遠端控制木馬程式。這種手法相當詭譎,利用了開發人員對工作機會的渴望,藉由面試環節營造信任關係,再引誘受害者自行下載及執行攻擊載體。

攻擊過程分為多個階段,開始時會要求開發人員從GitHub下載一個壓縮檔,執行後會連動觸發一系列指令,最終導入一個具備多種惡意功能的Python遠端控制木馬。該木馬程式能竊取系統資訊、擷取檔案、執行任意命令、監控剪貼簿按鍵記錄等,讓攻擊者能完全控制受害電腦。

報告指出,這類攻擊活動可能與北韓駭客團體有關,因為過去幾年確實有許多北韓黑客集團,利用虛構工作面試或工作機會作為誘餌,針對安全研究人員、媒體工作者、軟體開發人員等不同目標進行網路攻擊。他們伺機在面試過程中植入惡意程式,以獲取機密資訊或竊取重要資產。

此種社交工程手法運用心理誘因,讓普通人也可能輕易上當成為受害者。開發人員不僅要提高對開放原始碼的安全意識,檢視下載源頭是否可信,更要警惕任何來路不明的程式檔案,以免遭駭客利用,成為攻擊鏈的一環。企業單位也應加強員工網路安全教育訓練,提高對此類攻擊的防範意識。

總的來說,這起事件提醒我們,在互聯網時代,網路安全威脅可能來自任何角落,駭客手法層出不窮,單靠傳統防護措施已不足以因應。我們每個人都必須時刻保持高度警覺,審慎評估所有來源,勿輕易觸犯網路陷阱,才能避免成為犯罪分子的下一個目標。

詳情請看：

Fake job interviews target developers with new Python backdoor

Read More

Tenable：網路安全快照：最新的 MITRE ATT&CK 更新提供了有關 GenAI、身分、雲端和 CI/CD 的安全見解

美國政府資助的MITRE組織近日發布了ATT&CK(對手戰術、技術與程序)知識庫的第15版更新,為網路安全防護提供新的意見和建議。此次更新涵蓋了多個熱門議題,包括對抗惡意使用generative AI、保護雲端環境、強化CI/CD管線等,反映了當前網路威脅演進的最新趨勢。

隨著各式AI工具在民間普及,駭客開始利用這些工具強化網路攻擊手段,ATT&CK因應提出相關對策。同時也注意到駭客組織針對工業控制系統,先行入侵企業IT系統蒐集資訊,因此補充相關說明。除了新興威脅外,也持續追蹤傳統方式演進,例如行動裝置攻擊的最新技術等。

MITRE組織自身也遭遇勒索病毒攻擊,系統遭駭並被植入惡意程式碼。顯示即使是擁有網路安全專業知識的團隊,仍難以完全防範最新網路攻擊。整體而言,ATT&CK持續擴充內容以涵蓋最新威脅狀況,維持其作為全球駭客攻擊手法知識庫的領導地位。

除了ATT&CK更新,本月另一項重大網路安全事件是美國醫療資訊供應商Change Healthcare遭勒索病毒攻擊。母公司聯合健康集團承認,駭客成功竊取大量民眾健康和個人資料,目前正持續評估被竊數據範圍,將需數月時間才能完成。由於系統癱瘓超過一個月,造成全美醫療系統大範圍中斷,此次事件被視為有史以來對美國醫療體系最嚴重的網路攻擊事件。

為了阻止更多機密資料外洩,聯合健康集團不得不支付贖款給駭客,金額未透露。初步調查指出,駭客是利用遠端連線應用程式的低強度驗證漏洞進入系統。預估造成高達16億美元的損失。該案件凸顯了資料外洩所造成的龐大風險和危害,網路安全防護的重要性不容忽視。

另一方面,隨著美國2024年大選將至,網路安全狀況也備受各界關注。美國網路安全暨基礎建設安全局(CISA)等機構警示,中國、俄羅斯、伊朗等國家將透過網路攻擊手段干預選舉,散播假訊息、假造事證等。CISA發布提醒民眾提高警覺、加強多重驗證等防護措施。同時也擔心駭客濫用AI生成假影音訊息、語音仿冒等新型態手法,帶來更大的威脅。

雖然網路威脅日益嚴峻,但業界對新興威脅如AI惡意利用的因應之道仍存在準備不足。據ClubCISO的最新調查顯示,資安長們對於此類網攻大多評估為高風險,但卻未相對調整年度預算或優先順序,反映企業防護狀態仍落後於威脅發展速度。面對網路攻擊日新月異,我們必須時刻保持警覺,透過不斷學習和防護系統的更新,才能與時俱進,降低被攻擊的風險。

網路安全議題已經不再只是少數專業人士的專屬領域,而是關係到所有人的資訊安全和隱私權。無論是個人、企業或政府機構,都應該提高網安意識,採取必要的保護措施。唯有全民共同重視並付諸行動,才能在威脅與防護的對抗賽中取得主動權,維護數位空間的安全。

詳情請看：

Cybersecurity Snapshot: Latest MITRE ATT&CK Update Offers Security Insights on GenAI, Identity, Cloud and CI/CD

Read More

Cybersecurity insiders：醫療保健產業的網路安全：預防當今攻擊的最佳實踐

網路安全問題一直是許多行業的重大隱憂,醫療業也不例外。文章開宗明義指出,近期美國一家醫療數據分析公司遭遇大規模網路攻擊,造成龐大的財務和人力損失,影響並延燒至合作夥伴和病患。這只是醫療業網路攻擊事件中的一例,2023年已有超過540家醫療機構和1.12億名個人受到資料外洩的影響。

網路攻擊事件日益複雜,涉及金額也與日俱增。隨著企業人力外包全球化,網路攻擊的影響範圍也進一步擴大。對於有國際合作夥伴的企業來說,防禦工作將更加棘手。不僅大型企業,中小企業同樣面臨網路攻擊的高風險。無論企業規模大小,都應制定完善的應對方案和資源配置。

基本的網路安全措施仍不可或缺,例如定期更改登入密碼、啟用雙重驗證、離開時登出所有裝置等。此外,企業也應全面掌控員工使用的所有科技,確保軟硬體都有最新的安全更新。然而,近年來最大的變化在於網路攻擊的範圍、頻率和複雜程度都在攀升。隨著電子商務、外包人力和海外擴張的趨勢,企業若未及時調整網路安全規範,可能會留下致命缺口。

醫療業一直是網路攻擊的重災區,主因是病患資料在黑市上價值極高。早期主要面臨資料外洩的威脅,而近來更多針對性的攻擊目標是癱瘓整個醫療體系。文章將此比喻為類似於911事件後,政府對核電廠、發電廠等關鍵設施加強保全的作為。

最常見的攻擊手法是散布式阻斷服務攻擊(DDoS),大量非法流量癱瘓醫療機構的網路系統。自2019年以來,這類攻擊在醫療業內明顯增加。美國衛生及公共服務部轄下的醫療業網路安全協調中心不時發布相關的威脅警示。文章並以最近的一起大型勒索軟體攻擊事件為例,突顯這已不只是醫療業的問題,2023年幾乎所有產業的網路攻擊紀錄都出現兩到三倍的增長。

面對威脅不斷升級,單靠政府機構的協助是不夠的。企業應該與專業的第三方安全服務供應商合作,確保從源代碼層面就能偵測並修補系統的弱點漏洞。小企業無經驗者,可先參考政府公開的最佳實務守則著手,但長期來看,勢必要達到更高的第三方驗證標準,例如SOC-2或HITRUST認證,以獲得客戶和合作夥伴的信任。

各雲端服務供應商如AWS、Azure、Google和Oracle雖然細節規範有所不同,但都有類似的內部安全規範。重點是企業要因應不斷演進的威脅環境,持續檢視並更新網路安全策略,才能有效防範駭客攻擊,避免重大營運中斷。網路安全問題已經不是能否發生的問題,而是何時發生的問題,企業必須時刻保持高度警覺。

詳情請看：

Cybersecurity in the Healthcare Sector: Best Practices for Preventing Today’s Attacks

Read More

Help net security：透過技能提升計畫縮小網路安全技能差距

科技日新月異,數位時代的企業要保持競爭力和彈性,培養員工技能是不可或缺的關鍵。根據普樂思佳(Pluralsight)最新的年度報告,網路安全、雲端和軟體開發是最緊缺的三大技能領域,同時也被視為未來一年最重要的技能。這無疑昭示了企業必須優先強化這些基礎性技能,才能有效因應科技趨勢。

報告也指出,65%的受訪者認為網路安全技能在公司內最為缺乏,其次是雲端(52%)和軟體開發(40%)。將近三分之二的企業計畫在未來一年培養網路安全人才,緊接在後的則是雲端和軟體開發。不過,儘管人工智慧(AI)和機器學習(ML)技能備受矚目,補足這方面的技能缺口並非當務之急。

事實上,相較外部招聘,企業透過在職培訓(upskilling)來提升現有員工的專業技能,不僅時間相去不遠,成本卻遠較便宜。報告發現,66%的企業認為,招募新人所需時間與培訓內部員工相去無幾。而在美國,僱用新的科技人才平均要花費逾2.3萬美元,為員工培訓的費用卻只是5000美元。

儘管實施在職培訓計畫有諸多挑戰,最大阻力就是缺乏時間,但企業只要建立終身學習的文化,實施在職培訓絕對行之有效。首要之務是評估內部現有的技能,找出不足之處。同時,領導階層應積極參與其中,因為僅33%的高階主管能完全了解團隊所需的科技技能,68%的科技人員認為公司高層根本意識不到技能上的缺口。

令人欣喜的是,強化技能所帶來更穩固的就業安全感,提高員工信心,成為員工願意接受在職培訓的最大動力。由此可見,在職培訓不僅可彌補技能缺口,同時提升了員工的工作投入度,有助於推動績效和創新。

最後,報告透露78%的企業由於缺乏所需的科技技能,導致專案半途而廢。這說明了盡快填補技能缺口已刻不容緩的迫切性。總的來說,在競爭激烈的科技浪潮下,企業培養內部員工、提供在職培訓絕對是權衡成本效益及確保長期發展的不二法門。只有在人才方面做好充分的準備和投資,企業才能掌握未來的關鍵優勢。

詳情請看：

Closing the cybersecurity skills gap with upskilling programs

Read More

Help net security：人工智慧正在創造新一代網路攻擊

在網路安全領域,人工智慧(AI)無疑是一把雙刃劍。根據Netacea最新的研究報告「人工智慧時代的網路安全」,93%的安全領導者預期將每天面臨AI驅動的攻擊,而65%的人更認為惡意AI將成為網路犯罪分子常用的標準工具,被運用於大部分的網路攻擊中。

研究顯示,安全領導者清楚意識到惡意AI的重要性,並預期在未來六個月內,將見證新一代網路攻擊的曙光。身負維護組織免受已知和未知威脅的重責大任,他們必須確保惡意AI議題能在董事會層級受到重視,與勒索軟體和分佈式阻斷服務攻擊等高影響攻擊並列。

然而,對於哪些威脅最為有害,他們的認知似乎有些偏差。只有11%的安全領導者認為機器人攻擊是企業面臨的最大網路威脅,遠低於勒索軟體、網路釣魚和惡意軟體的評估。但Netacea之前的研究發現,無情的機器人攻擊實際上讓企業失去了4.3%的線上收入,對於大型企業而言,損失相當於50次的勒索軟體贖金。

AI助攻網路攻防雙方

人工智慧不僅被用作強化網路攻擊的工具,在網路防禦方面同樣發揮了作用。即便英國國家統計局的報告顯示83%的企業沒有採用AI的計劃,但從網路安全的角度來看,情況並非如此。

Netacea的調查對象均在某種程度上將AI納入其安全防護體系,並且全部表示這提升了他們的安全狀態,其中27%更表示改善程度非常顯著。使用AI也證明了效率的提升,有61%的安全領導者認為AI大幅降低了他們的營運成本。

然而,運用AI強化防護的做法,多半被用於應對高影響低頻率的攻擊,如分佈式阻斷服務攻擊(62%),而非機器人攻擊(33%)。這顯示雖然AI是抵禦網路威脅的利器,但尚未被普遍應用於抵禦最具破壞力的攻擊。

現有差距仍待彌補。90%的受訪者對其Web應用程式防火牆、阻斷服務防護和API安全的AI防禦能力充滿信心,但只有60%的安全領導者對其機器人管理工具的AI能力同樣有信心。

Netacea技術長Andy Still表示:「安全領導者承受著以更少的資源做更多事的壓力,而惡意AI用於強化網路攻擊的興起,正值這種時機。AI強大且門檻低,意味著它將被用於各種用途,包括網路攻擊。雖然安全領導者意識到AI威脅的日常性令人欣慰,但他們對最具破壞力威脅的認知仍有落差。在AI攻防競賽中,重要的是要意識到AI將被應用在任何可能的領域,他們需要以同樣的態度因應。」

人工智慧既是網路安全的利器,也可能成為罪犯的新武器。隨著科技的快速演進,網路攻防雙方都在積極運用AI以獲得競爭優勢。儘管如此,我們不能忘記網路安全的核心,仍是人性。無論AI能力再強,我們都應謹記誠信和道德準則,避免過度依賴技術而忽視風險。唯有人與機器的雙重把關,網路世界方能維持安全和秩序。

詳情請看：

AI is creating a new generation of cyberattacks

Read More

Help net security：Prompt Fuzzer：用於增強 GenAI 應用程式的開源工具

Prompt Fuzzer是一款開源工具,旨在評估和提高生成式人工智能(GenAI)應用程式的系統提示的安全性。隨著人工智能技術的快速發展,相關應用程式的安全風險也與日俱增。因此,確保系統提示的穩健性,對於維護GenAI應用程式的可靠運作至關重要。

Prompt Fuzzer的核心功能包括模擬超過十種類型的GenAI攻擊,並根據系統提示自動調整攻擊情景。這種靈活性使得它能夠針對特定主題或行業,量身定制相關威脅。該工具還具有互動友好的使用界面,方便用戶反覆測試和強化系統提示,直至獲得滿意的安全分數。

值得一提的是,Prompt Fuzzer支援20多個LLM供應商,為不同用戶提供廣泛的選擇。這對於跨平台應用而言,無疑是一大優勢。除了現有功能,該工具的開發團隊還計劃持續添加新的攻擊模式,以與時俱進地應對不斷演進的GenAI風險。此外,他們還有意進一步擴展與更多供應商的整合,為用戶提供更豐富的選擇。

總的來說,Prompt Fuzzer是一款實用且前景廣闊的開源工具。它為GenAI應用程式的安全性提供了有力保障,有助於構建更加可靠和強大的人工智能生態系統。隨著該工具的不斷完善,相信它將為提高GenAI應用的安全性做出更大貢獻。

詳情請看：

Prompt Fuzzer: Open-source tool for strengthening GenAI apps

Read More

Help net security：國土安全部成立人工智慧安全委員會以保護關鍵基礎設施

近期人工智慧(AI)技術快速發展,無疑為促進人類文明進步帶來新的里程碑。然而,這項新興技術亦存在潛在風險,倘若使用不當,後果可能造成無法彌補的損害。因此,美國國土安全部於2024年5月正式成立「人工智慧安全委員會」,旨在制定相關準則,確保AI在關鍵基礎設施領域的安全及負責任運用。

這項重大舉措反映出,主管當局已意識到AI安全問題的迫切性。該委員會由來自不同領域的22位專家學者組成,涵蓋科技公司、基礎建設營運商、政府官員、公民權利團體及學術界等,可見其高度重視AI發展對國家安全和經濟發展的影響。委員會首要任務是為關鍵基礎設施持份者提供可行建議,助其更負責任地運用AI技術。這些基礎設施領域包括國防、能源、農業、運輸和互聯網科技等,牽涉數億民眾日常生活運作,影響重大。

事實上,AI技術在為人類社會帶來創新突破的同時,亦增加了惡意使用的風險。國土安全部早前預警,有敵對國家可能利用AI輔助工具對美國進行大規模、高效率且難以追蹤的網絡攻擊,針對管線、鐵路等關鍵基礎設施;中國更有可能利用AI技術破壞美國的網絡防禦能力。這些都是人工智慧潛在濫用的實例,足以令人對AI技術的負面影響生疲憊。

因此,要在保障國家安全與發展經濟之間取得平衡,制定審慎的政策和監管框架實在刻不容緩。新成立的AI安全委員會將為此提供專業意見,讓有關部門能因時制宜,並與業界保持緊密溝通,及早識別和應對AI所帶來的新風險。這是一個審慎而負責任的舉措,值得讚許。

除了監管措施外,大眾對AI技術認知的加深,以及積極培育AI人才,亦是確保AI健康發展的關鍵一環。早前拜登政府發布行政命令,要求國土安全部在多方面採取行動,如在全球推廣AI安全標準、保護美國網絡和關鍵基礎設施、減低AI技術被用於製造大規模毀滅性武器的風險、打擊AI知識產權盜竊,以及吸引並留住AI人才等。這都是正確可行的方向。

事實上,國土安全部已於2024年初啟動為期一年的招聘計劃,力求聘請50名AI專家,在反應芬太尼、打擊兒童性剝削、提供移民服務、確保旅遊安全、強化關鍵基礎設施及加強網絡安全等範疇上,發揮AI技術所長,提升工作效能。顯示該部已充分重視並大力推動AI人才引進和技術應用。

總括而言,人工智慧無疑是一把「雙刃劍」,關鍵在於如何妥善管理和應用。透過適當監管、持份者協作、大眾教育和人才培育等多管齊下,定能最大程度發揮AI技術的優勢,同時有效規避其潛在風險,實現科技、經濟和安全的三贏局面。期望新成立的AI安全委員會能為相關政策制定提供專業意見,成為領導業界走向安全、負責任發展AI技術的先鋒。

詳情請看：

DHS establishes AI Safety and Security Board to protect critical infrastructure

Read More

Help net security：英國頒布物聯網網路安全法

英國頒佈物聯網網路安全法案,代表著各國政府開始正視物聯網裝置的網路安全風險,積極採取立法管控措施。這項名為「產品安全和電信基礎設施法案」(PSTI Act)已於今日正式生效,要求製造商在出售給英國市場的消費級物聯網產品上,必須停止使用可輕易被猜到的預設密碼,並設立漏洞揭露政策。

這項法案涵蓋範圍相當廣泛,包括了智慧電視、串流裝置、音響、遊戲主機、手機、平板電腦、基地台、樞紐、家庭自動化和警報系統、可穿戴裝置、家電(如恆溫器、洗衣機、燈泡、冰箱、家庭助理)、安全設備(如門鈴、監視器、嬰兒監視器)、兒童玩具等網路連線產品。

根據這項法案規定,每一項產品在出廠時都必須內建獨特的密碼,而非基於遞增計數器或可公開取得的資訊,也不能輕易被猜到。使用者也必須能夠變更該密碼。此外,製造商必須提供可讓使用者回報產品安全漏洞的管道資訊,包含確認收件、問題解決狀態追蹤等服務時程,並以免費、易懂的英文說明方式提供。製造商也必須提供該產品將獲得安全性更新的期限資訊。

違反這項法令將被視為刑事罪行,最高可處以1000萬英鎊罰款,或全球營收4%的罰金(以較高者為準)。這顯示英國政府對於物聯網裝置的網路安全風險已經高度重視,並採取嚴厲的罰則措施來約束業者。

事實上,早在2016年的大型分散式阻斷服務攻擊(DDoS)事件後,各國政府和標準組織即開始制定物聯網網路安全指南和建議。但PSTI Act卻是頭一個以國家法律層級強制要求製造商改善產品安全性的具體作為。歐盟的《網路安全法》雖有提出自願性產品認證,但預計明年將推出《網路韌性法》,對業者實施更嚴格的強制要求。美國則已在2019年通過《物聯網網路安全改善法案》,對聯邦政府採購的物聯網裝置訂定最低安全標準。

隨著更多國家效法,未來物聯網產品的網路安全責任將逐步由製造商適當承擔,政府立法規範將更趨嚴格完善,以確保這些日益普及的智慧連網裝置不會淪為駭客入侵的溫床。這是朝向物聯網長期安全可持續發展的重要一步。

詳情請看：

UK enacts IoT cybersecurity law

Read More

Help net security：聯想推出以人工智慧為基礎的網路彈性服務

Lenovo推出了一項新的利用AI的創新服務──Cyber Resiliency as a Service(CRaaS),與微軟合作,整合了Lenovo裝置遙測和Microsoft安全軟體組合,包括Microsoft Copilot for Security和Defender for Endpoint。此項服務利用AI來提供多層次的保護,結合加強的可視性與網路防護、偵測、回應和復原能力,跨越數位設備和系統。

這項創新服務將為客戶帶來諸多好處,幫助企業在裝置、使用者、應用程式、數據、網路和雲端服務等範疇更安全地運作,並在遭受攻擊時維持業務連續性。隨著混合工作模式、AI日益普及以及數據與裝置大量增加,安全一直是企業領導人的重點關注事項。Lenovo對資訊長的全球年度調查顯示,51%資訊長將網路安全列為IT首要任務,而65%則表示解決數據隱私和安全是一大挑戰。  

Lenovo Cyber Resiliency as a Service透過整合式單一窗口,讓企業領導人能有整體系統的可視性和掌控。強大的整合工具組、AI和自動化提高了檢視所有日誌、處理所有警報、消除盲點的效能,協助使用者識別、隔離和控制威脅。Lenovo CRaaS也為安全採購簡化流程,提供一站式完整解決方案,發揮Microsoft安全堆疊的最大威力,全程由Lenovo專業團隊管理。

採用網路韌性管理服務有助提升企業生產力與效率,將耗時耗力的工作外包,釋放IT人力資源,減少開支。許多企業習慣將各式零散的解決方案組合成一套完整的安全架構,但Lenovo CRaaS提供一站整合的全方位保護及可視性。  

Lenovo CRaaS落實了Lenovo致力保護客戶及其敏感數據的承諾,此外其Security by Design實務在產品開發生命週期中強化裝置安全性,ThinkShield則在Lenovo硬體、軟體和服務中提供進階安全功能。CRaaS服務提供一站式端對端的網路安全防護、完整整合的Lenovo專業團隊管理技術堆疊,以及最佳實務的關鍵控制,顯見Lenovo全力投入,打造安全可靠的數位環境,讓企業能安心運作。

詳情請看：

Lenovo launches AI-based Cyber Resiliency as a Service

Read More