微軟：在 Microsoft Learn 學習室一起學習 Azure

身為一名熱衷於技術學習的個人,對於Microsoft Learn推出的全新學習體驗"Learning Room"深感興趣。Learning Room提供了一個線上社群平台,讓世界各地的學習者得以互相交流、切磋砥礪,從專家那裡獲取關於Microsoft產品與服務的深入見解。這樣一個在線學習社區的出現,實屬難能可貴。

其中一個令人矚目的Learning Room就是由來自阿塞拜疆的Azure MVP Hamid Sadeghpour Saleh與其他專家所打理的"Microsoft Zero to Hero Community"。誠如其名,該社群旨在協助學員一路成長,從零開始逐步成為Microsoft雲端技術的專家。透過AMA問答、部落格分享、工作坊等多元活動,學員們得以涵蓋Azure、AI、資料分析等全方位的微軟雲端科技。

作為一個跨領域技術社群,Zero to Hero吸引了不同程度的學習者參與其中。無論是學生、新手還是經驗老道的專業人士與MVP,大家在這裡共同學習、互通有無,營造出極富啟發性的學習氛圍。我認為,這正是Learning Room最與眾不同的魅力所在——集思廣納、包容並蓄,讓每個人都能找到屬於自己的學習軌道。

除了一般討論之外,社群也十分重視對會員技能發展的支持與輔導。以Hamid為例,身為社群管理員,他不遺餘力地籌辦互動式討論會、工作坊,分享資源並提供個人指導,致力於為會員們營造一個積極向上、相互砥礪的學習環境。這種師徒式的傳承模式,聯想到了古時的書院或工坊,知識與技藝得以代代傳承,而非僅止於簡單的課堂教學。

總的來說,Microsoft Learn Learning Room為熱愛學習的人們開啟了嶄新的大門,得以邊學習邊實踐、互助合作,逐漸在微軟雲端科技的領域中成長茁壯。衷心期盼這個社群平台能在未來吸引更多志同道合的夥伴加入,在熱情的交流和切磋中創造出無限的可能。讓我們一起在Learning Room的天地中"邁向英雄"(Zero to Hero)吧!

詳情請看：

Learn Azure Together in Microsoft Learn Learning Room

Read More

Paloalto：網路安全平台化

網路安全一直以來都是企業和個人不可忽視的重要議題。隨著科技日新月異,網路攻擊手法也越來越多元化和複雜,單一防禦方式已經無法應付當前的安全威脅。因此,平台化(Platformization)漸漸成為網路安全的發展趨勢,透過整合各種安全功能,簡化系統架構,提升整體防護效能。

平台化最大的好處,就是將過去分散的網路安全工具整合為一站式解決方案,減少複雜性和管理成本。舉例來說,物聯網(IoT)安全有許多獨立工具可以選擇,但將它整合至安全平台內,不僅可以與現有系統無縫整合,也可重複利用既有硬體設備,達到最佳化資源使用的目的。

此外,即便採用平台化方案,它也應當支援與其他第三方工具整合,讓企業可以針對特殊需求,選擇最佳利器。畢竟,在遷移至平台化架構的過渡期,難免還有一些舊系統需要繼續運作一段時間。一個完善的平台需要與其他解決方案友善共存,讓客戶能夠漸進式地整合系統。

近來人工智慧(AI)的應用快速竄紅,已成為網路安全新的戰場。優秀的安全平台勢必要能掌握大量高品質資料,作為AI模型訓練的素材,提供更精確防護。未來平台化與AI的結合,甚至可望達到主動防禦的能力,偵測駭客意圖並阻絕攻擊。

整體而言,平台化是網路安全發展的必然趨勢。它能夠幫助企業整合資源、節省成本、提升防護效能,打造更簡單有效的網路安全防護體系。然而,在邁向平台化的過程中,企業仍應審慎評估自身需求,權衡採用單一平台或保留部分獨立工具的策略,做出最適切的網路安全布局。

詳情請看：

Cybersecurity Platformization

Read More

Help net security：Adaptive Shield 推出人工智慧 SaaS 安全

隨著人工智慧(AI)技術的蓬勃發展,無疑已經開始影響各個產業和日常生活。不過,任何新興技術的興起都難免會帶來一些風險和隱憂。Adaptive Shield近日推出了一款專為AI應用程式而設計的SaaS安全管理方案,旨在協助企業有效降低使用AI帶來的潛在風險。

在當前的商業環境中,企業為了提高效率,員工正大量採用含有AI功能的SaaS應用程式,例如ChatGPT、Google Gimni、GitHub Copilot、Salesforce Einstein和Microsoft 365 Copilot等。一份最新的PWC報告指出,超過一半(54%)的受訪企業已在其業務的某些領域實施了AI。可見AI技術的普及速度之快,企業也意識到制定應對措施的迫切性。

雖然AI有助於實現自動化並提升生產力,但同時也帶來了一些新的安全風險,如數據外洩、攻擊面擴大、新的漏洞以及隱私問題等,還可能導致企業違反相關法規的情況。有些企業由於無法掌控風險,乾脆禁止使用AI技術,但這無疑是本末倒置。

適當的做法應該是在廣泛採用AI的同時,制定完善的安全策略來降低風險。Adaptive Shield推出的這款產品正好能夠幫助企業的AI主管和安全團隊管理和控制AI工具的使用。

該產品套件包含以下主要功能:

1. AI應用程式安全狀況評估和分數,找出高風險應用。

2. AI相關安全設置控制,防止數據外洩。

3. 發現和管理非授權的AI應用程式接入。

4. 監控第三方AI應用,審查權限範圍。 

5. 確保內部開發的AI應用程式安全。

6. 數據管理,維護數據隔離,避免敏感數據外洩。

總的來說,這款安全產品能夠對企業中使用的各種AI應用程式進行全面評估和管控,從而最大限度地降低AI帶來的風險隱患。雖然AI給企業的日常運營帶來了巨大的利益,但安全無疑是一個不可忽視的關鍵環節。只有做好充分的安全防護措施,企業才能真正放心地擁抱AI革命,在提高效率的同時,守住核心機密和關鍵數據的安全。

因此,對於任何企業來說,大力發展和合理利用AI絕對是一個必然趨勢。但同時,也必須投入足夠的資源,建立起安全可靠的管理機制。只有如此,才能真正最大化AI的潛力,同時又將風險控制在可控範圍之內,實現真正的雙贏。

總的來說,這款產品為企業如何在使用AI的同時確保安全提供了一種行之有效的解決方案,值得業界關注和借鑒。對於AI的未來發展而言,安全無疑將是一個不可或缺的重要一環。

詳情請看：

Adaptive Shield unveils SaaS security for AI

Read More

Mcafee：如何刪除瀏覽器記錄

科技的發展讓生活變得更加便利,但同時也帶來隱私風險。每當我們上網瀏覽網頁時,瀏覽器都會記錄下我們的上網軌跡,包括瀏覽網站的名稱、位置以及訪問時間等資訊。這些資料若落入不當的第三方手中,恐有被竊取身分或資料被濫用的風險。因此,妥善管理並定期清除瀏覽器歷史記錄,對於維護線上隱私至關重要。

常見的清除瀏覽器資料方式包括使用各大瀏覽器內建的「清除瀏覽資料」功能,但值得注意的是,這樣做僅能暫時刪除瀏覽器記錄,實際上這些資料仍然存在於電腦硬碟中。為徹底移除相關資訊,我們需要使用專業的資料刪除工具,才能徹底清除殘餘的資料片段。

除了定期清理瀏覽器資料外,使用瀏覽器的「隱私瀏覽」或「無痕模式」也是一種保護線上隱私的做法。不過需特別注意,雖然「隱私瀏覽模式」能阻擋部分追蹤器並自動刪除當次瀏覽記錄,但網路服務供應商及第三方網站仍有機會取得使用者的上網活動資訊,因此單單使用「隱私瀏覽」並不足以完全保護個人隱私。

近年來,各國政府已開始重視數位隱私議題,部分地區甚至已將「數位隱私」列為基本人權。身為數位公民,我們理應提高警覺,採取必要的防護措施,避免個人資訊遭到任意竊取或濫用。例如可投資購買專業的防毒軟體或身分盜用防護服務,進一步強化線上隱私防護。

總括而言,瀏覽器歷史記錄雖看似無關緊要的小數據,但若處理不當將可能衍生嚴重的隱私及資安風險。我們應定期清理上網軌跡,並透過加強資安防護,確保網路生活的安全與隱私無虞,維護個人及家人的數位人權與自由。祝願科技發展能為人類生活帶來利多於弊。

詳情請看：

How to Delete Your Browser History

Read More

Cybersecurity insiders：組織需要由 Gen-AI 提供支援的完全自主的安全性

在現今瞬息萬變的環境中,傳統的安全自動化方法已經無法滿足企業的需求。一方面,網路安全人才短缺的問題越來越嚴重;另一方面,威脅向量也變得越來越複雜。有鑑於此,具備完全自主能力的安全平台對於全球網路安全市場(根據一份網路安全市場報告,到2028年將增長至2985億美元)而言,無疑是一個重大的機遇。

Simbian公司是這個領域的領導者,他們透過深入理解安全自動化的內涵和環境,並運用不斷學習的人工智慧,使系統變得越來越智能和深化。最近,該公司推出了業界首個由通用人工智能(Gen AI)驅動的安全共駕系統,可將安全及智能的AI解決方案整合到不同的IT環境中,以最大程度增加覆蓋範圍,並加速對安全團隊不斷變化需求的響應。

這個共駕系統會持續觀察使用者的操作和環境,並逐漸學習自主執行越來越複雜的任務。Simbian的目標是實現完全自主的安全,將所有戰術性任務委派給值得信賴的AI平台,讓使用者可以專注於策略性的安全目標。

儘管多年來企業在內部自動化和工具上進行了大量投資,以提高安全團隊的工作效率,但他們仍然無法應付每天必須完成的大量操作任務。Simbian讓安全操作員完全掌控安全決策,用戶可與跨供應商的產品進行互動,完成所需的工作。該公司在業內獨一無二地提供了使用大型語言模型(LLM)生成代碼命令的能力,並且基於自然語言用戶界面,讓用戶可以臨機應變地構建Simbian支援的各種操作變體。

Simbian的通用AI驅動平台是業界首個可適應不同IT環境,涵蓋全面安全功能的安全共駕系統。大多數企業同時使用來自多家供應商的軟體和內部自製軟體。每個企業和每個安全團隊成員都有獨特且不斷變化的安全需求。Simbian可以幫助安全團隊中的每個人員,從CISO到一線從業人員,實時解決他們各自的獨特安全需求。用戶只需用自然語言描述目標,Simbian專利擬定的LLM驅動平台就會提供個性化建議,並跨異質環境生成自動化操作 - 提供更好的安全效果、更高的靈活性以應對不斷演變的業務需求和威脅,並降低成本。

安全是一個複雜程度與日俱增的領域。每一次安全事件都會帶來新的變數。Simbian朝著實現完全自主安全平台的願景邁進了一大步。儘管安全廠商越來越多地採用通用AI,但現成的通用AI模型存在許多安全風險,包括產生幻覺、提示注入風險,以及暴露個人身份信息/機密數據等。Simbian透過利用一種專利擬定的加固大型語言模型系統TrustedLLM™,在用戶和通用AI模型之間採用多層安全控制,將這些風險降至最低。

AI驅動的安全解決方案可以大幅改善威脅偵測、加速補救,並降低複雜性。Simbian正在將這一願景化為現實,利用AI自動化安全分析師日常中許多更具挑戰性和頻率較高的安全任務。

詳情請看：

Organizations Need Fully Autonomous Security Powered by Gen-AI

Read More

Help net security：零信任策略實施的基本步驟

根據研究機構Gartner的最新調查,全球有63%的組織已完全或部分實施零信任策略。對於實施零信任策略的78%組織而言,這項投資僅佔整體網路安全預算的25%以下。

儘管如此,仍有56%的組織主要是因為零信任被視為業界最佳實踐而追求該策略。然而,Gartner分析師John Watts指出,儘管有此看法,但企業仍不確定零信任實施的最佳做法為何。對大多數組織而言,零信任策略通常只涵蓋環境的一半或更少,並且僅能減輕不到四分之一的整體企業風險。

Gartner概述了為實施零信任策略而提出的三項主要最佳實踐建議,以供安全主管參考:

1. 早期確立零信任策略的範圍

為成功實施零信任,組織需了解涵蓋範圍、哪些領域在範疇之內,以及可減輕的風險程度。

零信任策略的範圍通常不包括組織的所有環境。然而,調查回覆者中有16%表示將涵蓋75%或更多範圍,僅11%認為將涵蓋不到10%的組織環境。

Watts表示:「範圍是零信任策略中最關鍵的決策。企業風險遠比零信任控制的範圍更廣泛,而且只能減輕有限的企業風險。儘管如此,衡量風險減少和改善安全態勢,仍是評估零信任控制成功與否的關鍵指標。」 

2. 透過零信任策略和運作指標溝通成果

在已完全或部分實施零信任的組織中,有79%具有策略指標來衡量進度,且其中89%有風險衡量指標。不過,安全主管在溝通這些指標時,也必須考量受眾。調查顯示,59%的零信任倡議由CIO或CEO/總裁/董事會贊助。

Watts解釋:「零信任指標必須根據零信任的可交付成果進行量身打造,而非複製其他領域如終端偵測與應對的指標。零信任的努力可實現特定成果,例如減少惡意程式在網路上的橫向移動,但可能無法由現有的網路安全指標捕捉。」

3. 預期員工編制和成本增加,但不會延誤

有62%的組織預期成本將增加,41%的組織也預期員工需求將因零信任實施而增加。

Watts表示:「採用零信任策略的組織,其預算影響將因部署範圍和零信任策略在規劃過程中的強度而有所不同。零信任倡議本身會影響預算,因為組織採取系統性和逐步方式,使其政策朝向風險為本和自適應控制發展,為組織的持續營運負擔增加開支。」

儘管只有35%的組織表示遇到干擾零信任策略實施的失敗案例,但組織仍應制定零信任策略計劃、確立運作指標,並衡量零信任政策的有效性,以盡量避免延誤。

總的來說,零信任是網路安全發展的大趨勢,許多組織已意識到其重要性並著手實施。然而,無論是規劃、執行或衡量成效,都需要高度的策略性思維,配合企業獨特狀況進行因材施教。唯有如此,零信任策略才能真正發揮價值,提升組織的整體網路防護能力。

詳情請看：

Essential steps for zero-trust strategy implementation

Read More

Help net security：讓網路安全對女性更具吸引力，縮小技能差距

誠如本篇專訪所言,網路安全領域一直存在著嚴重的人才短缺問題。造成這種現象的原因很多,其中包括網路威脅與相關法規日益增加,導致對網路安全人員的需求大增;但同時,年輕人對這個領域的興趣不足,供給無法滿足需求。此外,行業內的員工流失率也相當高,有經驗的人員常因工作壓力而選擇轉行或移居他國。

要解決這個問題,我們必須從多方面著手。首先,我們要提高社會大眾對網路安全的認知,尤其是年輕學子,讓他們了解這是一個充滿挑戰且前景廣闊的領域。同時也要改革教育體制,採用更多元化的教學方式,激發學生的學習熱情。

此外,我們也要為業界人才提供更好的職涯發展環境。用人單位應廣開職缺大門,不應限制於特定資歷,而是更重視應徵者的潛力。工作場所也要提供良好支援與導師制度,給予員工足夠的成長空間與情緒管理協助,避免人才因過度壓力而流失。

當然,在提高網路安全領域的性別多元化方面,我們也有很大的努力空間。由於過去這是個男性主導的領域,女性在晉升管理階層的路上往往面臨更多障礙。我們需要提供更多職涯發展與導師資源,並在公司決策層納入女性的聲音,以打造一個兼顧多元且包容的職場環境。

透過多方位的努力,我深信網路安全的發展一定能夠步入更加包容且蓬勃的新紀元。惟有匯聚各方英才,這個領域才能持續進步,為我們的數位世界帶來最可靠有力的防護。讓我們共同為之努力,創造一個更美好的網路安全未來。

詳情請看：

Making cybersecurity more appealing to women, closing the skills gap

Read More

Help net security：為什麼雲端漏洞需要 CVE

隨著雲端服務的普及,安全漏洞管理的角色與重點已產生重大轉變。傳統上,漏洞管理團隊的主要任務是修補網路基礎架構中的漏洞。但在雲端環境中,組織無法直接控制底層基礎架構,因此漏洞修補的責任落在雲端服務提供商身上。相對的,漏洞管理團隊的工作重心則轉移到配置管理。

適當的配置管理直接影響組織的風險程度。舉例來說,MongoDB 曾因為預設密碼配置問題而導致大量伺服器受到入侵,這就凸顯了配置管理的重要性。與傳統軟體不同,雲端服務的高度可複製性,使得一個錯誤的配置可能會在整個雲端環境中大規模複製,因此潛在的安全影響更為嚴重。

然而,雲端服務提供商普遍不會為漏洞指派通用漏洞披露(CVE)編號,這使得漏洞管理團隊難以有效追蹤與分析特定的雲端漏洞。缺乏統一的識別機制,漏洞分析師常需耗費大量時間,依賴模糊的警示訊息(如「S3儲存貯體配置錯誤」)來追查並修正雲端配置問題,效率低落。

有鑑於此,業界或許應考慮針對雲端漏洞建立類似CVE的獨特識別碼,例如「Common Cloud Vulnerability Enumeration(CCVE)」。以統一格式定義雲端配置問題(如「CCVE 1-1.2:Amazon S3儲存貯體預設密碼」),可大幅簡化漏洞追蹤與修正的流程。

當前,組織僅能在有限時間內修復少部分的已知漏洞,未解決的漏洞債務年復一年地累積。追根究柢,需要思考如何協助企業有效管理雲端風險,解決漏洞債務的棘手問題。也許業界共同制定雲端漏洞識別機制,將是一個可行的出路。否則,我們勢必面臨漏洞風險失控的危機。

詳情請看：

Why cloud vulnerabilities need CVEs

Read More

Cybersecurity insiders：打造嚴密的安全態勢來應對勒索軟體威脅

當代網路威脅無處不在,勒索軟體攻擊已成為個人和組織備受關注的重大隱患。這種惡意攻擊會將寶貴的資料加密,並威脅除非支付贖金否則不予解密,對企業可能造成財務損失和聲譽受損。為了防範此類威脅,採取堅實全面的安全防禦姿態至關重要。以下是構建防禦勒索軟體的嚴密防線的方法:

1.實施多層次安全措施:堅強的防禦始於採用多層次安全方法,包括部署防火牆、入侵偵測系統和防毒軟件,以在多個入口點偵測和預防勒索軟體攻擊。此外,可考慮實施先進的威脅偵測技術,實時識別和緩解新興威脅。

2.定期更新軟硬件系統:過時的軟件和作業系統往往容易受到勒索軟體攻擊。為降低風險,請確保所有軟件應用程序和系統都使用了最新的安全補丁和更新。自動化補丁管理工具可簡化此過程,幫助保持基礎設施安全。

3.教育和培訓員工:人為失誤是勒索軟體攻擊的常見切入點。教育員工認識勒索軟體風險,並提供有關網路安全最佳實踐的培訓,例如識別釣魚企圖、避免可疑鏈接和附件。定期舉辦安全意識培訓課程,可增強員工的警惕性和主動性,共同防範勒索軟體威脅。

4.實施嚴格的密碼策略:弱密碼就等於為網路犯罪分子開了條捷徑。在整個組織實施嚴格的密碼策略,包括要求使用複雜密碼和定期更改密碼。考慮實施多重身份驗證(MFA),增加一層安全防護,有助於防止未經授權訪問敏感系統和資料。

5.定期安全地備份資料:防禦勒索軟體最有效的方法之一是實施堅實的備份策略。定期備份所有關鍵資料,並確保備份安全存儲,最好是離線或存放在獨立的隔離網路中。這樣一來,即使勒索軟體加密了您的主要資料,您仍可從備份中將其還原,無需支付贖金。  

6.監控並及時應對威脅:主動監控網路流量和系統活動,有助於及早發現勒索軟體攻擊,從而迅速採取應對和控制措施。制定安全事件應急響應程序,概述一旦發生勒索軟體攻擊應採取的步驟,包括隔離受感染系統、通知相關人員以及啟動恢復程序。

7.與安全專家和合作夥伴聯手:網路安全是一個日新月異的領域,組織要時刻跟上新興威脅的步伐是一大挑戰。可考慮與專注於勒索軟體防禦的網路安全專家或安全服務提供商合作,他們能提供寶貴的洞見、威脅情報,以及在制定和實施有效安全策略方面提供協助。

通過積極主動採取全面的勒索軟體防禦措施,組織可大幅降低風險暴露,最小化勒索軟體攻擊的潛在影響。有了穩健的安全防線,企業就可以專注於核心業務運營,確信自己已充分準備好抵禦勒索軟體的持續威脅。

詳情請看：

Crafting an Airtight Security Posture Against Ransomware Threats

Read More

The hacker news：人人都是專家：如何幫助您的員工取得網路安全成功

現今網路安全威脅層出不窮,任何組織都無法倖免於駭客的攻擊。因此,除了部署先進的網路防護系統外,提升員工的網路安全意識也極為重要。傳統的安全意識培訓課程往往乏味無趣、效果不彰,讓69%的員工故意忽視公司的網路安全指引。這不僅浪費了企業的資源,也無法真正提高員工對網路威脅的警覺。

有鑑於此,本文建議企業採用創新有趣的安全意識培訓(SAT)方案,透過專業駭客編寫的生動案例和情節,讓員工在輕鬆有趣的環境中學習網路安全知識。優質的SAT方案應具備以下特點:

1. 課題內容與真實威脅緊密相關,並定期更新反映最新網路犯罪手法。

2. 由資深網路安全專家規劃和管理,不需公司額外投入人力。

3. 採用有趣生動的情節和角色,提高學員的學習興趣和知識保留率。

4. 每月推出新課程,透過隨機模擬釣魚郵件等攻擊情境測試員工反應。

5. 課程時間精簡,不會過度佔用員工工作時間。 

6. 與常用軟件如Microsoft 365、Google、Okta等整合,自動同步員工名單。

7. 提供詳盡報表,追蹤員工學習情況及模擬攻擊測試結果,證明合規性。

8. 快速部署,輕鬆擴展服務至整個企業。

優質的SAT方案可以營造重視網路安全的企業文化,建立員工健全的防護習慣,將員工培養成組織的第一道防線。員工能及時識別並應對釣魚郵件、社交工程等常見網路攻擊手法,大大降低公司遭受資安事故的風險,確保企業營運安全。 

此外,SAT課程還能滿足公司各項安全合規要求,如HIPAA、PCI、SOC 2、GDPR等,通過內部和外部稽核,避免公司觸犯法規受罰。在網路犯罪日益猖獗的當今,SAT絕對是企業不可或缺的資安保障,比硬體和軟體防護更能發揮關鍵作用。

總括而言,現代化安全意識培訓解決方案不僅創新有趣,而且專業管理一體,是企業提升員工網路安全意識、建立企業資安文化、符合法規要求的利器。培養員工主動防範的習慣,確保公司數據、系統和資產的安全,才是企業永續發展的關鍵基石。

詳情請看：

Everyone's an Expert: How to Empower Your Employees for Cybersecurity Success

Read More

Cybersecurity insiders：了解網路安全中的 CAT 文化：協作、意識和培訓

隨著網路環境的不斷變化與威脅的不斷演化,組織機構越來越意識到建立堅實的安全文化對於降低風險、保護敏感數據的重要性。其中一種日益受到關注的方法是實施CAT文化,著重於協作(Collaboration)、意識(Awareness)和培訓(Training),作為增強抵禦網路威脅的根本支柱。

協作:CAT文化的核心在於協作 - 組織內部各利害相關方的共同努力,以集體的方式捍衛網路安全。這意味著打破IT、安全、法務和人資等部門之間的壁壘,促進開放溝通和信息共享。通過加強協作,組織可以更有效地識別漏洞、及時應對安全事故,並實施與業務目標一致的全面安全措施。

協作不僅局限於組織內部,還應擴展至外部夥伴關係,包括同業、政府機構和網路安全專家。參與信息共享計劃、加入威脅情報共享平台,以及開展聯合網安演練,都能增強形勢感知,提升集體防禦能力,應對共同的對手。

意識:在CAT文化中,意識是指培養所有員工(從高層管理到一線員工)的網路安全意識。這包括教育員工了解不斷變化的威脅形勢、常見的攻擊媒介,以及保護措施的最佳實踐。提高意識可以使員工更好地識別可疑活動、報告安全隱患,並遵守相關政策和程序。

網安意識計劃的關鍵要素包括定期的安全培訓、模擬釣魚測試,以及發佈安全建議和警報。此外,營造一個員工可以放心尋求指導、報告安全問題而不必擔心受罰的文化,對於維持警惕的員工隊伍也至關重要。

培訓:全面的培訓計劃對於裝備員工獲得抵禦網路威脅所需的知識、技能和資源至關重要。培訓應針對不同部門和崗位的具體需求量身定制,可包括IT管理人員的專業培訓、非技術人員的安全意識培訓,以及應急響應團隊的事故處理培訓。

此外,持續的培訓和專業發展機會對於跟上新興網安威脅、不斷演變的技術,以及監管要求的步伐至關重要。諸如CISSP、CEH和CompTIA Security+等認證,不僅能驗證專業技能,還彰顯了員工在網安領域持續學習的決心。

總而言之,擁抱CAT文化 - 協作、意識和培訓 - 對於在當今數字時代建立彈性網安態勢至關重要。通過促進協作、提高意識,並投資全面的培訓計劃,組織可以使員工成為抵禦網安威脅的積極參與者,有效適應不斷變化的網安格局。

詳情請看：

Understanding CAT Culture in Cybersecurity: Collaboration, Awareness, and Training

Read More

Tenable：透過 SLSA 加強 Nessus 軟體供應鏈

在軟體供應鏈安全性日益受到重視的當下,作為網路安全領域的翹楚,Tenable 公司採用了嚴格的 Supply-chain Levels for Software Artifacts (SLSA) 框架來保護其旗艦產品 Nessus 的軟體供應鏈。本篇文章分享了 Tenable 從 SLSA 新手到專家的歷程,以及實施 SLSA 框架的心得與收穫。

什麼是 SLSA?

SLSA 是由 Google 開發的一套軟體供應鏈安全標準,旨在確保軟體製程的完整性與可靠性。它提供了一系列漸進式的指南,幫助企業在軟體生產的每個環節建立可信任的機制。

SLSA 框架可以被視為食品安全處理的指引,確保每一個成分都是可信的,同樣地,SLSA 也為軟體製作過程的每個步驟提供了安全保證。

Tenable 在實施 SLSA 的初期,主要有以下幾個關鍵體會:

1. 建立明確的信任機制:SLSA 著重於直接控制範圍內的可信任性,如原始碼庫、建置系統、軟體成品和版本控制系統等。

2. 增強供應鏈信心:SLSA 旨在透過驗證每個建置步驟,並防範上游供應鏈攻擊,來強化建置流程的可信度。

3. 需要自主實作:SLSA 只是一個藍圖,並非現成的解決方案,需要手動進行工程和流程變更,以符合 SLSA 的要求。

Tenable 採用 SLSA 的歷程

經過數月的努力,Tenable 首先達成了 SLSA Level 1 的要求,其中包括:

1. 建立腳本化的建置流程:Tenable 的 Nessus 產品建置流程全部由版本控制的管線定義和建置腳本來執行,過程可被完全驗證。

2. 提供建置來源證明:Tenable 記錄並儲存了 Nessus 建置的來源清單(SBOM)和建置過程細節(provenance),以便日後重建。

3. 採用版本控制系統:Nessus 的原始碼受版本控制系統管理,能夠追蹤每個修訂的變更歷史,包括提交者、時間、變更內容等。

在 SLSA Level 1 的驗證過程中,Tenable 也遇到了一個需要特別處理的挑戰 - 防止秘密資訊在 provenance 文件中洩露。他們採用了自動掃描provenance,並以 <Redacted>替換掉任何檢測到的敏感資訊。

接下來是 SLSA Level 2 的實施,其主要包括:

1. 使用受管理的建置服務:Tenable 確保所有建置步驟都在受控的建置服務上執行,而非開發人員的個人電腦上。

2. 驗證 provenance 的真實性:Tenable 確保 provenance 資訊是由專用的建置管線直接產生,而非人工插入或修改。provenance 資訊也經過數位簽章以防止篡改。

3. 驗證建置環境和來源:Tenable 使用 Rego 政策來檢查 provenance,確保建置代理程式的可信度,以及原始碼來源的正確性。

最後,Tenable 達成了 SLSA Level 3 的要求,包括:

1. 永久保留原始碼變更歷史

2. 確保完全隔離的建置環境,每個步驟都在獨立的虛擬機上進行

3. 確保 provenance 資訊的真實性和不可篡改性,由專用的簽章服務簽署

Tenable 在 2023年12月通過第三方安全評估,獲得了 SLSA Level 3 的認證。

結語

Tenable 的 SLSA 實施經驗給其他組織帶來以下啟示:

1. 軟體供應鏈安全是重中之重,需要投入大量資源來建立可信任的機制。

2. SLSA 雖然是一個嚴格的框架,但能有效防範上游的供應鏈攻擊,值得企業認真考慮。

3. 實施 SLSA 需要大量的工程和流程變更,沒有現成的方案,需要自主實作。

4. 在實施過程中,會遇到需要特別處理的挑戰,需要審慎規劃並靈活應對。

Tenable的 SLSA 之路並非一蹴而就,但他們相信這樣的努力最終將為產品和客戶帶來長遠的好處。

詳情請看：

Strengthening the Nessus Software Supply Chain with SLSA

Read More

Bleeping computer：如何使您的網路應用程式能夠抵抗社會工程

隨著社交工程攻擊的日益猖獗,保護企業的數字資產(包括外部網絡應用程式)已成為當前的首要任務。社交工程利用用戶的情緒和脆弱性,而非依賴於技術性的黑客攻擊手段,這使得它們特別難以防範。事實上,根據Firewall Times的研究數據顯示,98%的網絡攻擊涉及某種形式的社交工程,而高達90%的惡意數據洩露事件都涉及社交工程攻擊。

面對這樣的嚴峻形勢,我們必須採取一系列具體的策略和最佳實踐來提高網絡應用程式對社交工程的抗性。以下是一些值得參考的做法:

1. 持續的員工培訓和意識宣導:知情的用戶是企業抵禦社交工程攻擊的第一道防線。定期為員工提供培訓,教育他們如何識別網路釣魚、安全處理敏感信息等。對於網絡應用程式,培訓用戶如何驗證網站的真偽、識別安全或不安全的連接,以及理解不重複使用密碼的重要性。但要記住,不能完全將責任推給最終用戶 - 他們需要得到技術上的支持。

2. 遵循最小權限原則:員工應該只擁有完成工作所需的數字資產權限,而不是更多。對於網絡應用程式而言,這可能意味著根據用戶角色限制對敏感數據、功能和管理介面的訪問。儘管要注意,即使是熟練的攻擊者也能提升權限,所以所有帳戶都需要強密碼保護。

3. 部署多因素認證(MFA):MFA並非銀弹,但它通過要求用戶提供兩個或更多驗證因素才能訪問系統,增加了一個額外的安全層。這種額外的保護往往足以阻止攻擊者,即使他們已經通過社交工程戰術獲得了用戶的憑據。

4. 定期進行安全審計和滲透測試:為了在黑客之前發現網絡應用程式中的漏洞,請確保定期進行全面的安全審計和滲透測試。要求滲透測試包括社交工程模擬,以評估團隊的準備程度,並識別(和補救)任何弱點。考慮採用滲透測試即服務(PTaaS)解決方案,它能夠持續監控並及時發現漏洞。

5. 制定事件響應計劃:制定一個強大的事件響應計劃,包括應對社交工程攻擊的程序。計劃應該概述立即採取的措施,以控制和緩解攻擊,以及通知受影響方的溝通計劃。

此外,開發人員和IT專業人員還應該遵循以下最佳實踐:

1. 使用HTTPS和SSL證書:通過使用HTTPS和SSL證書來保護您的網絡應用程式,有助於保護用戶的隱私和安全,確保數據加密,驗證網站身份,維護數據傳輸的完整性。

2. 定期更新和修補系統:為了防範針對已知漏洞的攻擊,請務必定期更新系統和軟件,安裝最新的安全修補程式。保持系統最新是一項基本的安全實踐,可以大大阻止潛在攻擊者通過這些已知漏洞進入網絡。

3. 實施嚴格的數據處理程序:通過嚴格驗證和清理輸入數據,可以防止注入攻擊。驗證輸入(例如,確保電子郵件地址格式正確)並清理輸入(刪除或轉義潛在的有害HTML或SQL元素)。

4. 定期監控和審核網絡應用程式:通過跟踪網絡應用程式的性能和活動,可以及早發現未經授權的訪問、數據洩露或拒絕服務攻擊,從而有機會減輕或阻止其影響。使用專門設計用於檢測和阻擋可疑活動的工具,如網絡分析軟件和網絡應用防火牆軟件。

要全面提高抗社交工程攻擊的能力,需要採取多層面的策略。單一的防護措施並不足以應對這種隱患重重的攻擊手段。通過實施上述各項最佳實踐,企業可以顯著提高外部網絡應用程式的抗性,更好地保護自身免受社交工程攻擊的危害。

詳情請看：

How to make your web apps resistant to social engineering

Read More