Mcafee：如何防範二維碼網路釣魚等新型詐騙

隨著行動支付服務如Venmo、PayPal和Apple Pay的普及,以及餐廳普遍採用QR碼點餐,掃描QR碼已經成為人們日常生活中的一件再普通不過的事情。然而,隨之而來的是一種新型的網路詐騙手法,那就是所謂的「QR碼釣魚」。

根據聯邦貿易委員會的警告,詐騙分子正利用QR碼隱藏惡意連結來竊取個人資訊。這種新型的網路釣魚攻擊,突顯了詐騙手法正不斷在更新換代。為了應對這種變化,人工智慧(AI)正變得越來越重要,成為對抗詐騙分子的關鍵力量。

強化防範新型攻擊方式的防線

要保護自己免於遭受網路釣魚攻擊,保持警惕和採取積極的預防措施至關重要。我們必須仔細檢查所有收到的電子郵件、簡訊或社交媒體通訊,留意是否有任何可疑或未經授權的請求,尤其是那些催促立即採取行動或要求提供敏感資訊的。

我們應該避免點擊來歷不明的連結、下載附件或掃描陌生的QR碼。最好通過查看官方資料或直接聯繫該組織來確認發送者的合法性。

在接受QR碼所指向的網址之前,仔細檢查該網址的合法性。留意是否有拼寫錯誤或字元變更,尤其是如果它看起來像是熟悉的網址。

我們還應該定期更新智慧型手機的作業系統,加強線上帳戶的安全性,使用強密碼並啟用多重驗證機制,阻止未經授權的存取。

運用人工智慧對抗新型詐騙手法

隨著詐騙分子不斷更新自己的手法,要區分真假變得越來越困難。不過,我們現在有強大的技術可以用來應對他們的詭計。人工智慧可以實時分析大量數據,發現表明詐騙行為的模式和異常情況。通過不斷從新數據中學習並調整演算法,人工智慧可以保持領先於不斷演化的詐騙手法。

McAfee+的身份與隱私保護套件就利用人工智慧進行身份保護、交易監控、信用監控和主動式詐騙防護,以防範即使是最精密的詐騙企圖。其中的詐騙防護功能使用人工智慧技術阻擋有風險的網站,為意外點擊垃圾郵件連結提供二次防線,即使被騙點擊了,也不會打開詐騙網站。

我們不應該讓數位防禦靠運氣。來看看現在先進的安全技術是什麼樣子吧。

掃描QR碼已經成為現代生活中不可或缺的一部分,無論是行動支付還是點餐,QR碼都發揮著越來越重要的作用。然而,隨之而來的是一種新型的網路詐騙手法 - QR碼釣魚。詐騙分子利用QR碼隱藏惡意連結,企圖竊取用戶的個人資訊,這種手法不斷在更新演化,對使用者的網路安全構成嚴重威脅。

為了應對這種新型詐騙,我們必須時刻保持警惕,仔細檢查所有可疑的電子通訊,避免輕易點擊連結或掃描QR碼。同時,我們也應該加強自己的數位防禦能力,定期更新設備系統,使用強密碼和多重驗證來保護帳戶安全。此外,人工智慧技術也成為對抗詐騙分子的關鍵力量,它可以實時分析海量數據,發現異常情況,阻擋有風險的網站,成為我們的第二道防線。

只有我們時刻保持警惕,並充分利用先進的安全技術,才能真正有效地防範新型的QR碼釣魚詐騙。我們必須主動採取全方位的防範措施,才能在瞬息萬變的網路犯罪中保護好自己的資訊安全。

詳情請看：

How To Protect Against New Types of Scams Like QR Phishing

Read More

Mcafee：您是 Deepfake 攻擊的受害者嗎？ 接下來要做什麼

近年來,隨著人工智能技術的快速發展,deepfake(AI合成媒體)攻擊也日益增多,對個人隱私和財產安全構成嚴重威脅。這種新型攻擊手段利用AI聲音克隆工具,模仿目標人物的聲音,結合一些個人信息,製造出極具說服力的虛假訊息,誘使受害者付款或洩露重要資料。

根據統計,四分之一的人表示自己或其熟人曾遭遇過AI聲音克隆詐騙,造成的經濟損失高達數千至上萬美元。可見,deepfake攻擊不容小覷,我們有必要採取積極有效的措施,保護個人隱私和財產安全。

首先,我們應當審視自己在社交媒體和網路上的個人信息暴露情況,適當提高隱私設置,減少個人敏感信息在公共場合的曝光。另外,及時清除個人信息在各種數據經紀商網站上的蹤跡,堵住deepfake攻擊者獲取信息的管道。此外,定期刪除無用的線上賬戶,減少數據外洩風險。與親友約定口令提示,有助於識別可疑的詐騙訊息。

一旦不幸遭遇deepfake詐騙,首要任務是立即報警處理,收集有關證據線索。接下來聯繫涉及的金融機構和企業,盡快採取措施阻止進一步損失。在美國,可以向聯邦貿易委員會(FTC)舉報,獲取應對指南。無論在哪個國家,都應當主動採取信用凍結等保護措施,避免身份被進一步盜用。最後,投保身份盜竊保險有助於及時尋求專業幫助,盡快恢復正常。

總之,deepfake攻擊是一種新興的網路犯罪手段,給普通民眾的生活帶來了新的風險和挑戰。我們必須提高警惕,積極採取多管齊下的保護措施,嚴防此類犯罪分子盜取個人信息,避免蒙受無辜的經濟損失。同時也呼籲有關部門加大執法力度,從技術和法律層面共同打擊這類新型網路犯罪活動。只有社會各界通力合作,我們才能真正遏制deepfake詐騙的蔓延,維護個人權益,確保網路空間的安全有序。

詳情請看：

Are You a Victim of a Deepfake Attack? Here’s What to Do Next

Read More

微軟：安全副駕駛 MDTI 客戶指南

微軟Defender威脅情報(MDTI)是一項強大的情報產品,能讓安全專業人員直接存取、攝取並根據微軟每天數萬億個安全訊號採取行動。作為 Copilot for Security的客戶,我們能無限制地使用這項價值高達5萬美元的情報服務,不需額外付費。

MDTI提供完整的情報報告、威脅文章和情報簡介,涵蓋網路威脅參與者及其工具、戰術和程序的最新動態。其獨特的安全資料集可進行深入調查,揭露惡意基礎設施在全球網路威脅環境中的連結,突顯組織的薄弱環節,並解決網路攻擊中使用的工具和系統。

作為補充,MDTI能與微軟SIEM、XDR和AI解決方案無縫整合,讓Copilot for Security客戶能充分運用生成式AI和MDTI的深度威脅情報,快速了解攻擊的全貌、預測當前行動的下一步,並為組織制定最佳安全方案。我們可直接在 Copilot for Security獨立體驗或 Defender XDR 內嵌體驗中使用MDTI,也可在Defender XDR的「威脅情報」面板中存取MDTI的「分析員工作臺」體驗。

在Copilot for Security中,客戶能透過自然語言存取、操作和整合微軟的原始和完整威脅情報。我們可發出簡單的提示來瞭解威脅參與者、工具、入侵指標(IoC),以及與組織安全事件和警報相關的威脅情報。提示可詢問MDTI資料和內容的重要問題,例如「告訴我更多有關威脅參與者絲綢風暴」。我們還可針對特定安全事件撰寫量身定制的提示集,以獲取相關的應對指南。回覆中會包含來自MDTI的最新威脅情報,包括IoC、大規模收集和分析資料、情報文章、情報簡介(漏洞、威脅參與者、威脅工具)和指導方針。這些及時且相關的關鍵資訊能加強不同安全角色以機器速度和規模進行防禦的能力。

MDTI透過各種威脅情報技能為Copilot for Security賦能,讓客戶能快速檢索指標如IP位址和域名的資訊,並將這些工件與威脅文章和情報簡介等內容相關聯。此外,開箱即用的提示集能將MDTI內容和資料與Defender XDR中的其他安全資訊(例如事件和追蹤活動)相互關聯,協助客戶快速理解攻擊的廣度。這些功能將在Copilot for Security的獨立和嵌入式體驗中提供。

在Defender XDR中,MDTI可簡化安全分析師的分類、事件應對、威脅獵捕和漏洞管理工作流程,並在一個易於使用的介面中匯總和豐富關鍵威脅資訊。Copilot客戶可隨時隨地在Defender XDR內利用MDTI的資料集和內容,以提供額外的上下文並輔助調查工作。

總之,MDTI為Copilot for Security和Defender XDR帶來強大的威脅情報能力,讓我們能夠更有效率地揭露和化解網路威脅。透過自然語言提示和整合式體驗,我們能輕鬆存取、理解和運用MDTI所提供的關鍵情報,為組織防護提供無與倫比的優勢。

詳情請看：

A Copilot for Security Customer’s Guide to MDTI

Read More

Cybersecurity insiders：考慮從事治理、風險和合規工作嗎？ 遵循此路徑

打從網路時代到來後,資訊安全一直是企業和組織必須高度重視的課題。隨著科技不斷進步,網路威脅的類型和手法層出不窮,企業為了確保營運的永續發展,有效管理風險和符合法規要求,實在是至關重要。這就是為什麽治理、風險和合規(GRC)在網路安全領域扮演著舉足輕重的角色。

GRC專業人員的核心任務,是協助企業將資訊科技目標與整體營運目的緊密結合,有效評估潛在的網路風險、制訂相應的風控措施,並確保企業營運符合法律法規以及業界標準。他們負責將不同架構和準則融會貫通,建立周延的風險管理和法規遵循機制,以確保組織營運的透明度、責任制及合規性,達到降低風險暴露的目的。

要成為一名GRC專業人員,除了獲得專業證照,如ISC2主辦的CGRC(註冊GRC專業人士)認證之外,持續的學習和成長也是不可或缺的。畢竟網路威脅的態勢瞬息萬變,單單倚賴既有知識很難與時俱進,因此證照考試合格只是艱辛旅程的開端。專業人員還需透過各種彈性的學習方式,持續充實對新興網路威脅的認識,掌握最新的資訊安全趨勢和應對手法,無時無刻不在精進專業之道。

舉凡以講師帶領的線上授課、自學式的線上課程、針對特定主題的課程證書或是風險管理證書等,都是優質的進修方式。當然最重要的是實戰經驗的累積。據ISC2規定,取得CGRC要有至少兩年在七大領域範圍中的工作經歷。相關實務經驗能使理論知識內化為真知灼見,讓專業技能無往而不利。

總的來說,GRC專業人員所扮演的角色可說是偌大企業裡的關鍵一環,負責降低風險、維護資產、確保營運合規。這不僅是一份重責大任,更代表著對維護網路健康環境的莫大貢獻。只要立足專業,恪盡職守,GRC人員必將在資訊安全領域發光發熱,為社會和企業營運貢獻一份心力。

詳情請看：

Thinking about a Career in Governance, Risk and Compliance? Follow this Path

Read More

Help net security：對關鍵基礎設施的網路攻擊展示了先進的策略和新的能力

近年來,隨著地緣政治局勢日趨緊張,針對關鍵基礎設施的網路攻擊數量與手法也呈現攀升趨勢。身為網路安全專家的Marty Edwards表示,這確實應引起我們高度重視。不過,他認為國家層級的攻擊雖然備受矚目,但真正令人憂心的是犯罪份子的勒索軟體入侵,會造成更直接的實質衝擊。

網路攻擊的複雜程度與日俱增,主要原因是關鍵基礎設施系統與外部系統的高度interconnected性。這不僅增加了攻擊面向,更讓攻擊路徑的追蹤變得困難重重。加上勒索軟體服務(RaaS)的興起,使得勒索攻擊門檻大幅降低,任何人只要掌握基本技術,都可對關鍵設施實施破壞。

令人憂心的是,雖然網路威脅與日俱增,但不少企業對於關鍵設施的網路安全卻投資過於薄弱。Edwards直言,許多組織缺乏專職網安人力,甚至連網安預算都沒有,這種狀況若持續下去定將酿成重大危機。他建議,政府與企業應該共同努力,制定出高標準的網安規範,並將資源合理配置到人力與技術兩大領域。

在人力方面,Edwards認為每個營運關鍵基礎設施的企業都應設置專職網安團隊,並優先補實專業人力。在技術層面,則應廣泛部署能提升防護能力與威脅偵測能力的解決方案,以提升整體資安狀況。要解決這個問題,當務之急是培養人才,政府應將資安視為關鍵產業,投入資源補足人力缺口。

最後,他認為政府應與企業共同合作,先區分出關鍵程度最高的基礎設施領域,然後共同制定出切合實況的防護策略,並在執行過程中保持密切協調。唯有攜手合作,方能真正遏止不斷演進的網路威脅,保護關鍵基礎設施的安全。

總括而言,網路威脅與日俱增,勒索軟體更是導火線,關鍵基礎設施遭受破壞可能造成嚴重傷害。當前的挑戰在於過於輕忽這個問題、資源投入不足,以及專業人力嚴重匱乏。若政府與企業持續袖手旁觀,勢必酿下無法挽回的悲劇。我們必須採取積極作為,包括投資關鍵技術、嚴格執行高標準規範、大幅補實專業人力等,唯有如此方能在瞬息萬變的網路威脅前站穩腳步。

詳情請看：

Cyber attacks on critical infrastructure show advanced tactics and new capabilities

Read More

Help net security：位置追蹤與數位隱私之戰

隨著科技日新月異,位置追蹤技術已悄然融入我們的日常生活,帶來了種種隱私疑慮。透過分析用戶的位置資料,可以洞悉其醫療服務使用情況、宗教信仰活動、庇護所等敏感資訊,這些令人不安的情況正值得我們正視和深思。

位置資料蒐集無處不在,從手機地圖應用程式到第三方追蹤服務,都在無形中追蹤著我們的一舉一動。儘管這項技術原本的用途是為了方便生活,但卻也讓個人資料外洩的風險倍增。一旦個資落入不肖分子之手,恐將遭受騷擾、跟蹤等威脅,嚴重影響個人隱私和安全。

更令人髮指的是,龐大的位置資料經紀市場正以每年120億美元的規模蓬勃發展,個人的敏感位置資料往往被非法買賣,作為追債或剝奪財產的管道。這不啻是對隱私權的重大侵犯,迫切需要政府立法保護公民。

有鑑於此,我們身為數位公民必須提高警覺,採取各種可行措施,保護自身隱私。首先要審慎使用手機的位置分享功能,只在必要時啟用,並限制第三方應用程式獲取位置資料的權限。其次,我們應選擇重視隱私保護的服務商,詳閱其隱私政策,了解公司如何處理我們的資料。最後,政府也應立法規範位置資料的蒐集和使用,為公民權益把關。

隨著數位生活日益普及,這場爭奪隱私權的戰役勢必將持續發酵。我們都應意識到個人位置資料的敏感度,以維護自身權益,但同時也需要全民共同努力,促使科技與隱私在發展中取得平衡,讓我們能在安全有保障的環境下享受數位生活所帶來的便利。

詳情請看：

Location tracking and the battle for digital privacy

Read More

Help net security：Google 規劃如何讓被盜的會話 cookie 對攻擊者毫無價值

Google正在開發的一項新安全功能Device Bound Session Credentials (DBSC),旨在防止攻擊者使用被盜的工作階段cookies來存取使用者帳戶。這項新功能對於提升網路安全有極大的潛力,值得我們重視和瞭解。

網路犯罪分子常常會透過惡意軟體竊取使用者的工作階段cookies,進而能夠繞過雙重驗證機制,進入受害者的帳戶從事illegal活動。由於cookies被視為網路上的「通行證」,一旦遭竊,就等於將重要資訊和資產暴露在危險之中。

Google的DBSC就是要解決這個問題。它的作法是將驗證工作階段綁定到特定裝置。當使用者登入時,瀏覽器會在本機產生一組公私鑰,私鑰將以安全的方式儲存在裝置內無法外洩,如信賴平台模組(TPM)。每次存取需要驗證的資源時,伺服器會檢查裝置是否擁有對應的私鑰,以確保工作階段確實在該裝置上執行。

這種做法的優點是,即使攻擊者竊取到cookies,由於缺乏對應的私鑰,也無法利用被盜cookies冒充使用者存取資源。除非攻擊者能在本機對裝置下手,那麼他們的存在就很容易被偵測到。

DBSC不僅如此,它還融合了保護隱私的考量。它無法被用來追蹤使用者線上活動,因為不同工作階段的金鑰無法被關聯。使用者也可以隨時刪除金鑰。如果使用者關閉cookies,那麼DBSC在該情況下也會停用。

總的來說,DBSC是一種創新的解決方案,有助於遏止惡意份子利用被盜cookies從事犯罪活動。它提供了一種全新的驗證機制,大幅提高了安全性,同時也充分尊重使用者的隱私權。誠如報導所說,這項新技術受到了許多大廠的青睞,有望成為開放的網路標準,廣為採用。

當然,DBSC目前仍在實驗和發展階段,是否能夠真正發揮預期的效用,還有待時間來驗證。但就目前來看,它無疑是網路安全領域的一項重大突破,對於防範駭客入侵至關重要,值得我們高度關注和期待。

詳情請看：

How Google plans to make stolen session cookies worthless for attackers

Read More

Help net security：NVD：NIST 正在研究長期解決方案

網絡安全漏洞資料庫(NVD)近期出現了明顯的運作障礙,顯示了其作為關鍵基礎設施的重要性。NVD由美國國家標準與技術研究院(NIST)管理,是一個公開的資料庫,收錄了獲得CVE編號的軟體漏洞,並提供相關的評分、類型、影響平台等詳細資訊。這些資料對自動化漏洞管理至關重要。

NVD目前面臨的問題包括軟體和漏洞數量增加、政府部門支援改變等因素。NIST表示,他們正在優先處理重大漏洞,並與合作夥伴共同增加分析人力,同時也重新分配NIST內部人員支援此項工作。

此一情況引起了網路安全界的關注,不少專業人士連署向國會和商務部長呼籲,要求調查NVD的問題並提供必要資源,以恢復正常運作並改善現有問題。他們指出,許多組織完全依賴NVD的漏洞評分(CVSS)來決定修補優先順序,如果關鍵漏洞的評分延遲,可能會導致關鍵基礎設施運營商對風險曝露缺乏認知。

令人欣慰的是,NIST向外界保證,他們致力於維護和管理NVD,並正在努力尋求長期解決方案,包括成立一個由業界、政府和其他利害關係團體組成的聯盟,以協作研究改善NVD。該聯盟預計將在兩週內投入運作。

在最近的VulnCon大會上,NVD項目經理透露,未來五年NVD計劃進行多項改革,包括改善軟體識別、增強資料可用性,以及尋求自動化部分CVE分析活動的方式等。

總的來說,NVD面臨的困境凸顯了其作為關鍵網路安全基礎設施的重要性,吸引了各界的高度關注。我們應該支持NIST採取的各項措施,並期待聯盟的成立能夠推動NVD的長期改革與優化,以更好地滿足網路安全社群對漏洞資訊的需求。

詳情請看：

NVD: NIST is working on longer-term solutions

Read More

The hacker news：攻擊面管理與漏洞管理

在當今數位時代,網路安全已成為企業和個人無法忽視的重要議題。隨著科技的快速發展,網路攻擊手法也越來越精密,企業必須採取積極的防禦措施,保護自身資訊系統及數據的安全。在這份心得報告中,我將探討攻擊面管理(Attack Surface Management,ASM)和漏洞管理(Vulnerability Management,VM)之間的關聯與區別。

漏洞管理是指利用自動化工具來識別、優先排序及報告數位基礎設施中的安全問題和漏洞。它使用自動化掃描器定期對已知IP範圍內的資產進行掃描,以偵測已知和新出現的漏洞,從而讓您能夠修補、移除漏洞或減輕潛在風險。漏洞掃描器通常具有成千上萬種自動化檢查功能,透過探測和收集系統資訊,它們可以識別出可能被攻擊者利用來竊取敏感資訊、獲取未經授權的系統存取權或干擾業務運作的安全缺口。

另一方面,攻擊面管理的範圍更廣。它不僅包括資產探索,還能幫助您找出所有數位資產和服務,並降低或最小化它們遭受攻擊的風險。攻擊面管理從攻擊者的角度,從組織外部檢測所有已知或未知的資產(無論是內部部署、雲端、子公司、第三方或合作夥伴環境)。如果您不知道自己擁有哪些資產,就很難保護它們。

攻擊面管理的重點是減少不必要的服務和資產暴露在互聯網上,從而降低未來可能出現漏洞的風險。為了做到這一點,您首先需要知道有哪些資產存在。攻擊面管理的流程包括發現並繪製所有數位資產、確保可見性並建立存在記錄、進行漏洞掃描以識別任何弱點、自動化以確保每個建立基礎設施的人都可以安全地這樣做,並持續監控新的基礎設施和服務的啟用情況。

雖然攻擊面管理和漏洞管理的目標和範圍不同,但它們並非互不相干。相反,將兩者結合使用,可以創建一個更加全面、健全的網路安全態勢。透過識別資產和漏洞,您可以更有效地優先考慮安全工作,並更好地分配資源,從而降低成功攻擊的可能性和潛在影響。

總的來說,在數位時代,我們都應該時刻提高警惕,竭盡全力保護自身的網路安全。現代的攻擊面管理和漏洞管理解決方案(如Intruder)可以幫助企業檢測影響其組織的漏洞,提高對攻擊面的可見度和控制能力,監控網路變化和SSL/TLS證書到期日期,掌控雲端基礎設施,並且只需為活躍目標付費。讓我們一起努力,構築一個更加安全的數位世界!

詳情請看：

Attack Surface Management vs. Vulnerability Management

Read More

Help net security：先進的網路安全策略可提高股東回報

近期一項由Diligent和Bitsight合作發佈的報告,揭示了企業良好的網路安全管理績效,與股東的投資回報率之間存在著顯著的正相關。該報告指出,展現出高級網路安全表現的公司,其股東報酬率比網路安全表現一般的公司高出372%。這項研究結果再次凸顯了企業重視網路安全風險管理的重要性。

網路安全風險成為董事會的當務之急

隨著網路攻擊事件的頻率和嚴重程度不斷升高,網路安全風險已經成為董事會面臨的最主要挑戰之一。有預測指出,到2025年因資料外洩而造成的財務損失可能高達10.5兆美元。在如此龐大的風險下,董事會必須加強對網路安全風險的監督,以保障企業的利益。

不同產業的網路安全表現參差

報告也發現,高度受規管的行業,如醫療保健和金融服務業,擁有最高的網路安全評級。而那些設有專門的風險委員會或審計委員會的公司,其網路安全表現也較沒有這些委員會的公司來得優異。

董事會獨立董事人數與網路安全表現呈正相關

在網路安全表現傑出的公司中,董事會中的獨立董事人數比例約為76%,遠高於表現一般的公司(66%)。這凸顯了獨立董事在監督公司網路安全政策執行上的重要角色。

委員會成員的網路安全專業度是關鍵

僅在董事會擁有網路安全專家是不夠的,這些專家必須直接參與網路安全監督。報告指出,若網路安全專家同時也是風險或審計委員會的成員,公司的平均網路安全評級可達700分;但若該專家僅在董事會任職而未參與相關委員會,公司的評級則僅有580分。

網路安全已不僅是風險管理,更是企業營運的關鍵指標

AKnowledge Partners的CEO Homaira Akbari博士認為,網路安全已不僅是風險規避的問題,更成為企業財務績效的重要指標。企業必須將網路安全視為營運策略的基石,並由董事會給予全力支持。

Bitsight的風險長Derek Vadala也指出,市場領導企業傑出的網路安全表現,源自於將網路安全績效作為關鍵績效指標,並與高階主管和董事會共同分享這些數據。企業的資訊安全長的角色已發生轉變,網路安全風險管理已成為企業營運績效的重要面向。

總括而言,本次報告凸顯了企業重視網路安全管理,對於維護股東權益、財務體質和公司聲譽等方面都有著正面影響。展望未來,網路安全將與企業營運更加緊密結合,成為董事會治理和營運策略的核心課題。

詳情請看：

Advanced cybersecurity strategies boost shareholder returns

Read More

Help net security：人工智慧濫用和錯誤訊息活動威脅著金融機構

當代社會,人工智慧(AI)的發展已經無可避免地影響到各行各業,金融業自然也不例外。隨著生成式AI的興起,它為金融機構帶來了許多商業和網路安全上的效益,但同時也存在著一些安全威脅和風險。

首先,網路犯罪分子可能會濫用AI技術進行資料外洩行為。他們可以利用AI自動大量產生具有誘騙性的釣魚郵件,誘使受害者不知不覺洩漏敏感資訊。更有甚者,高手級駭客還可能竄改用於訓練生成式AI模型的大量語料庫數據,從而導致AI輸出受到污染,進而危及金融機構的合法性、聲譽和營運。

此外,即使沒有惡意的威脅,生成式AI模型訓練數據本身也可能存在問題,例如包含了銀行帳戶或信用卡號碼等隱私資訊,或者受到了某些偏見的影響。若金融機構在使用AI輸出時未經適當審核,輕率採信了這些有問題的資訊,也可能失去監管機構、消費者和投資者的信任。

不只網路安全方面,生成式AI也可能被惡意利用於其他方面。隨著新法規的出台實施,網路犯罪分子可能會利用AI技術,武裝勒索軟件攻擊的能力,迫使被攻擊企業在法定揭露期限前就範付贖,以避免敏感資訊被公開。

此外,量子運算和AI的最新進展,對現有的加密技術也帶來了挑戰。金融業應加強研發新型加密方法,以因應未來的變革。供應鏈中的零日漏洞,也可能讓金融業暴露在網路攻擊的威脅下,例如針對交易、支付及後勤作業系統的攻擊。

為了應對種種威脅,金融業必須採取行動,加強網路衛生,確保在遭受攻擊時仍能維持營運。與供應商建立緊急應變管道,要求他們加強網路安全防護,並與整個產業共同分享資訊,緊密合作,勢將是未來的必要之舉。

總的來說,生成式AI無疑為金融業帶來許多好處,但也引發了新的網路安全風險。我們必須審慎評估AI的使用,並制定完善的因應措施,方能在享受AI帶來的紅利的同時,也確保金融業的系統和數據安全,維護整體運作的可信賴性。

詳情請看：

AI abuse and misinformation campaigns threaten financial institutions

Read More

Help net security：基於雲端的身份在多大程度上擴大了您的攻擊面？

隨著雲端身分識別供應商(IdP)的使用日漸普及,我們都意識到這樣做會擴大系統遭攻擊的風險面向,但究竟會增加多少呢?答案似乎是難以確定的。

正如籃球巨星邁克爾·喬丹所說:"掌握基本功,你做任何事都會變得更好。"在探討如何安全地運用雲端身分管理之前,我們有必要回到基礎,承認它的風險。

雲端IdP與攻擊面風險擴增

IdP會在雲端伺服器上儲存使用者的網路存取憑證,轉而使用雲端身分管理就意味著有更多途徑讓攻擊者取得系統的"鑰匙"。

首先,您無法完全控制這些憑證。

此外,您的網路更容易遭受各種攻擊,例如勒索軟體。您不僅要擔心自己的使用者,還要擔心平台上數以萬計的其他使用者點選了釣魚連結。

攻擊面會擴大到何種程度?

2023年10月,Okta資安團隊發現有駭客利用竊取的憑證存取公司的支援案例管理系統。駭客藉此進入內部系統,並使用最近支援案例的有效會話權杖存取Okta客戶上傳的檔案。

會話權杖一旦被攻擊者利用,風險就會大增,因為這個分散式存取點可能會發放大量的存取權限給未經授權的使用者。 

舉例如下:

會話權杖本身:在這次入侵事件中,攻客取得了管理員的會話權杖,不僅能輕易劫持網路帳號存取權,還可存取透過SAML單一簽入整合的更多商業應用程式。

延伸存取:攻擊者利用從一個客戶竊取的會話權杖,存取了數十個IdP客戶的網路和資料。

橫向移動:一個權杖就讓攻擊者可在平台內的應用程式間游移,並輕易將攻擊範圍擴及雲端的其他區域。

一個已被駭客入侵的使用者帳號,加上會話權杖安全性等各種遭破解的機制,就能打開許多網路滲透的可能性。

解決方案為何?

降低雲端IdP導致的攻擊面擴增風險的第一步,就是承認存在這些風險及潛在的漏洞。  

如果您使用雲端IdP,可啟用多重身份驗證(MFA),並針對管理員會話提供透明度的存取控管措施,以提高會話權杖的安全性。

健全的以角色為基礎的存取控管也能協助您阻擋未經授權的存取,即使攻擊者擁有有效憑證。

如果您尚未採用IdP,但組織正計劃朝這個方向邁進,則最好是在轉移之前先規劃風險因應措施。例如,您可以選用不會在雲端儲存使用者網路存取憑證的身分識別供應商。

對於某些組織而言,讓使用者安全地存取雲端資源,同時將身分管理保留在內部部署環境,或許是更好的選擇。

是時候重新思考如何管理雲端身分認證風險了嗎?

IT主管應該為這樣的事實做好準備:我們可能無法完全評估雲端身分認證會擴增多少攻擊面,而且未來也難以確定。這很重要,原因有一個:風險管理。如果不知道風險存在,就很難加以管理。  

當資訊安全長官承受了前所未有的壓力,必須證明所有存取點都受到保護時,也許是時候重新評估組織能承擔多少風險了。雖然雲端IdP能提供可擴展的存取管理,但會大幅擴大組織的攻擊面,尤其是涉及會話權杖等分散式存取點的情況下。

這些資安事件可能正是一記醒鐘,讓我們意識到在不完全了解風險的情況下,我們可能是太急於採用雲端身分識別了。

詳情請看：

How much does cloud-based identity expand your attack surface?

Read More

Tenable：網路安全快照：美國政府揭露人工智慧對銀行的威脅，NCSC 敦促 OT 團隊保護雲端 SCADA 系統

網絡安全快照觀察到近期有多項重點發展值得關注。首先,美國財政部發布報告,指出人工智能為金融詐騙帶來新風險,提醒銀行等金融機構採取應對措施,包括制定人工智能風險管理框架、審視供應商人工智能應用等。另一方面,英國網絡安全中心亦提醒企業在將監控控制及數據採集(SCADA)系統遷移至雲端時,必須優先考慮網絡安全,因為系統架構及存取控制會有重大改變。 

此外,美國網絡安全與基礎設施安全局(CISA)及聯邦調查局亦促請科技公司停止生產含SQL注入漏洞的網絡應用程式,這是一個自2007年已被視為「不可原諒」的軟件缺陷。兩個部門呼籲廠商檢視其產品,若發現SQL注入漏洞須即時修補。針對分佈式阻斷服務(DDoS)攻擊,CISA及聯邦調查局更新了指引文件,將攻擊分為三類並提出預防及應對建議。

從業者問卷調查顯示,大部分已推行持續威脅暴露管理(CTEM),惟成熟度參差。與此同時,谷歌數據指2023年被利用的零日漏洞有所增加,反映網絡攻擊手段日益進化。整體而言,人工智能、雲端科技、網絡安全漏洞等新興威脅與趨勢,凸顯企業必須持續完善網絡防禦,強化風險管理和應變能力。

詳情請看：

Cybersecurity Snapshot: U.S. Gov’t Unpacks AI Threat to Banks, as NCSC Urges OT Teams to Protect Cloud SCADA Systems

Read More