Help net security:CISO 的新盟友:Qualys Cyber​​Security Asset Management 3.0

在當今複雜多變的數位環境中,企業面臨著前所未有的網絡安全挑戰。隨著攻擊面的不斷擴大和演變,傳統的資產發現和風險評估方法已經難以應對。Qualys公司推出的CyberSecurity Asset Management 3.0(CSAM 3.0)為這一問題提供了創新的解決方案,為首席信息安全官(CISO)和網絡安全團隊提供了強大的盟友。

CSAM 3.0的核心優勢在於其全面性和整合性。該系統將資產發現和風險評估整合為一個統一的解決方案,涵蓋了內部和外部資產以及第三方應用程序。這種綜合方法極大地減少了未知資產帶來的網絡風險。例如,該系統甚至能夠發現連接到公司網絡的員工智能牙刷等意料之外的設備。

CSAM 3.0的另一個顯著特點是其專利申請中的外部攻擊面管理(EASM)技術。該技術使用歸因流程精確定位屬於組織的面向互聯網的資產,從而消除了對用戶可能不負責的資產的無用努力。此外,EASM功能集成了輕量級漏洞掃描器,能夠實時識別外部資產上的關鍵漏洞,並經常發現其他掃描器遺漏的漏洞。

CSAM 3.0還引入了針對物聯網(IoT)和流氓設備的被動感應功能。傳統方法可能會遺漏網絡上的這些非受管設備,而CSAM 3.0利用現有的Qualys代理被動檢測此類設備,為用戶提供了更大的可見性和控制力。此外,系統的TruRisk優先級評分不僅考慮了漏洞,還包括了所有風險因素,如支持終止(EoS)軟件、缺失的安全控制、有風險的開放端口以及配置錯誤或未經授權的軟件和服務。

對於網絡安全團隊來說,CSAM 3.0最顯著的優勢是資產發現和網絡風險評估的強大組合。特別是在EASM掃描器中,客戶不僅可以發現每個資產,還可以將它們歸因於業務的特定領域,包括子公司和收購公司。這種高度準確的發現和歸因能力,結合實時漏洞掃描,大大提高了風險評估的效率和準確性。

CSAM 3.0還解決了傳統資產發現方法面臨的常見挑戰。它採用靈活的發現方法,涵蓋了各種使用場景,包括IT資產掃描和傳感、專利申請中的EASM技術、多雲環境監控、內置網絡被動感應以及第三方連接器。這種全面的方法不僅降低了客戶的總體擁有成本(TCO),還消除了未知資產帶來的風險。

CSAM 3.0在識別和緩解漏洞方面也比傳統的外部掃描工具更為先進。它利用輕量級漏洞掃描器和Qualys威脅研究單位(TRU)的最佳實踐威脅情報,能夠識別更多的關鍵漏洞,並提供更快的風險評估。此外,它與其他Qualys解決方案(如漏洞管理、檢測和響應VMDR)的集成,使組織能夠有效地降低業務風險。

實際應用中,CSAM 3.0已經展現出顯著的成效。例如,Brown & Brown Insurance公司使用Cloud Agent被動感應功能,發現了34%更多連接到其內部網絡的非受管和不受信任的設備。這種能力極大地提高了該公司對整個攻擊面的可見性和網絡風險的全面了解。

總的來說,Qualys CyberSecurity Asset Management 3.0代表了網絡安全資產管理的一個重要進步。它為組織提供了全面、準確和實時的資產可見性和風險評估能力,有效地幫助企業應對當今複雜的網絡安全挑戰。隨著數字化轉型的深入,CSAM 3.0無疑將成為CISO和網絡安全團隊的重要工具,幫助他們更好地保護組織的數字資產和業務連續性。

詳情請看:

CISOs’ new ally: Qualys CyberSecurity Asset Management 3.0

Posted in  on 7月 06, 2026 by Kevin |  

Help net security:Zeek:開源網路流量分析、安全監控

Zeek作為一個開源的網絡流量分析框架,在當今網絡安全領域扮演著重要角色。隨著網絡威脅日益複雜多變,傳統的防火牆等主動式安全設備已不足以應對所有挑戰。Zeek的出現為網絡管理員和安全分析師提供了一個強大而靈活的工具,能夠深入解析網絡流量,提供全面的網絡活動視圖。

Zeek的設計理念體現了現代網絡安全的需求。首先,它採用了被動監控的方式,不干擾正常的網絡運作,卻能捕捉到網絡中的每一個細節。這種非侵入式的監控方法使得Zeek可以在不影響網絡性能的情況下,持續收集和分析大量數據。其次,Zeek的靈活性體現在其多樣化的部署選項上。無論是硬件設備、軟件平台、虛擬環境還是雲端平台,Zeek都能輕鬆適應,這大大提高了其在不同網絡環境中的適用性。

Zeek的核心功能在於其強大的協議分析能力。它內置了大量協議分析器,能夠對應用層進行高級語義分析。這意味著Zeek不僅能看到網絡流量的表面數據,還能理解這些數據在應用層面的含義。例如,它可以識別HTTP請求中的惡意payload,或者檢測出FTP傳輸中的敏感文件。這種深度分析能力使Zeek在識別複雜攻擊和高級持續威脅(APT)方面表現出色。

另一個突出特點是Zeek的域特定腳本語言。這種腳本語言允許管理員根據自己的需求制定特定的監控策略。不同於僅限於特定檢測方法的工具,Zeek的腳本語言提供了極大的靈活性。管理員可以編寫腳本來檢測特定類型的網絡行為,實現自定義的安全策略,或者生成特定格式的報告。這種可編程性使得Zeek能夠適應各種獨特的網絡環境和安全需求。

Zeek的設計考慮到了高性能網絡的需求。在當今大數據時代,網絡流量的規模和複雜度都在不斷增加。Zeek能夠處理大規模網絡中的高速數據流,這使得它成為許多大型組織的首選工具。無論是企業、研究機構還是政府部門,Zeek都能滿足其對網絡監控和安全分析的需求。

Zeek的另一個重要特性是其維護網絡活動的全面檔案。它不僅能生成即時警報,還能保存詳細的網絡活動記錄。這些記錄包括交易日誌、文件內容和自定義輸出,為後續的取證分析和安全審計提供了寶貴的資源。安全分析師可以利用這些數據進行深入的威脅狩獵,或者在事件響應過程中快速追溯攻擊路徑。

Zeek的開源性質是其另一個優勢。作為一個開源項目,Zeek擁有活躍的開發者社區,不斷推動其功能的改進和擴展。用戶可以自由下載和使用Zeek,也可以根據需要進行定制和擴展。這種開放性不僅降低了使用成本,也促進了安全技術的創新和共享。

總的來說,Zeek代表了網絡安全監控和分析的新趨勢。它將深度協議分析、靈活的腳本編程、高性能處理和全面的活動記錄結合在一起,為網絡安全專業人員提供了一個強大的工具集。隨著網絡威脅的不斷演變,Zeek這樣的開源框架將在維護網絡安全、應對新興威脅方面發揮越來越重要的作用。

詳情請看:

Zeek: Open-source network traffic analysis, security monitoring

Posted in  on 7月 05, 2026 by Kevin |  

Kaspersky:不要忘記Recall,因為Recall不會忘記你

微軟在2024年5月為Windows 11推出了名為Recall的新功能,這項基於人工智慧的搜尋工具能夠「記住」用戶近幾個月在電腦上的所有操作。然而,這個看似便利的功能卻引發了網路安全專家的廣泛擔憂,被稱為「安全噩夢」。

Recall的運作原理是每隔幾秒鐘就截取一次螢幕畫面,並將其儲存在電腦的特定資料夾中。然後,它會在背景中使用AI分析這些圖像,提取所有資訊,並將其放入資料庫中以供智能搜尋使用。雖然所有操作都在用戶的本機上進行,但這種做法仍然存在諸多潛在風險。

首先,Recall將所有敏感資料集中儲存在一個地方,這意味著如果駭客或惡意軟體入侵電腦,他們只需複製單個資料夾的內容,就能獲取用戶所有的機密資訊。更糟糕的是,攻擊者可能能夠重建用戶近幾個月來在電腦上的所有活動,幾乎精確到每一秒。

其次,Recall資料庫的加密問題也引發了爭議。雖然微軟承諾會對資料庫進行額外加密,但目前尚未看到具體實施方案。即便實施了加密,對於本機上的解密可能也不會構成太大障礙。

第三,Recall對機密資料的處理方式令人擔憂。除非用戶主動「暫停」Recall,否則密碼、財務資料等敏感資訊都可能被記錄下來。這意味著,即使是已刪除的電子郵件或消失的聊天記錄,都可能留存在Recall資料庫中。

此外,Recall還可能被濫用於工作場所或家庭中的過度監控,給個人隱私帶來威脅。雖然微軟表示Recall默認是關閉的,但用戶仍需謹慎檢查其狀態,特別是那些購買預裝Windows 11的電腦的用戶。

面對Recall帶來的潛在風險,安全專家建議某些類型的用戶完全禁用這項功能,包括經常在電腦上存儲敏感資訊的用戶、法律上有義務嚴格保護工作資料的用戶、與他人共用電腦的用戶,以及在工作或家庭中面臨過度監控的用戶。

對於決定保留Recall功能的用戶,專家建議進行適當的配置,如將重要的個人資訊網站、密碼管理器、含有機密工作資訊的應用程式等加入例外清單。同時,也要確保電腦有完善的網路安全防護,以防止專門針對Recall的資訊竊取軟體入侵。

Recall功能的出現,反映了科技發展與隱私保護之間的矛盾。一方面,AI驅動的智能搜尋確實能為用戶帶來便利;另一方面,它也可能成為潛在的安全隱患。這提醒我們,在享受新技術帶來便利的同時,也要時刻警惕其可能帶來的風險,並採取必要的防護措施。

總的來說,Recall功能的爭議凸顯了數位時代個人資料保護的重要性。無論是科技公司還是個人用戶,都需要在創新與安全之間尋求平衡。對於用戶而言,了解新功能的潛在風險,謹慎配置隱私設置,並保持警惕,將是應對這類挑戰的關鍵。

詳情請看:

Don’t forget about Recall, because Recall won’t forget about you

Posted in  on 7月 04, 2026 by Kevin |  

Kaspersky:中小企業領域的網路安全性—日益嚴重的威脅

隨著數位化轉型的浪潮席捲全球,中小企業(SMB)在採用遠程工作、生產和銷售等數位技術的同時,也面臨著日益嚴重的網絡安全威脅。卡巴斯基(Kaspersky)最新的研究報告揭示了這一令人擔憂的趨勢,並為我們提供了一些寶貴的見解和建議。

首先,報告指出中小企業因資源和專業知識有限,在網絡安全方面面臨重大挑戰。數據外洩的成本可能會嚴重影響企業運營,因此採取預防措施至關重要。英國國家網絡安全中心的數據顯示,每年約有50%的中小企業可能遭遇網絡安全breach,這一數字令人震驚。

卡巴斯基的2024年威脅分析顯示,針對中小企業的網絡攻擊呈現上升趨勢。從2024年1月1日到4月30日,遭遇惡意軟件和不需要軟件攻擊的用戶總數達2,402個,分發的獨特文件數量為4,110個,較2023年同期增長8%。這表明攻擊者的活動正在持續增加。

特別值得注意的是,Microsoft Excel已從2023年的第四位上升到2024年的第一位,成為最常被攻擊者模仿的合法軟件。這反映出網絡犯罪分子正在不斷改變他們的策略,利用廣泛使用的辦公軟件作為攻擊載體。

在威脅類型方面,特洛伊木馬仍然是最常見的網絡威脅,這表明攻擊者繼續將中小企業作為目標,並且更傾向於使用惡意軟件而非不需要軟件。特洛伊木馬之所以特別危險,是因為它們能夠模仿合法軟件,使其更難被檢測和預防。

此外,報告還強調了員工疏忽仍然是中小企業的一個重大漏洞。網絡釣魚攻擊通過各種渠道分發,包括偽造的電子郵件和社交媒體,以欺騙用戶洩露登錄詳細信息或其他敏感數據。這些攻擊可能針對中小企業,對growing loyalty和securing infrastructures構成威脅。

為了應對這些威脅,報告提出了一系列最佳實踐和行動計劃。首先,中小企業應該建立一個管理公司資源訪問的政策,嚴格控制可以訪問關鍵公司數據的用戶數量,並確保這個訪問列表是最新的。其次,定期備份重要數據,以確保公司信息在緊急情況下仍然安全並可以恢復。第三,提供使用外部服務和資源的透明指南,設計明確的IT和其他負責角色的批准程序。第四,實施全面的培訓計劃,為員工提供必要的知識和實際技能。最後,部署專門的網絡安全解決方案,提供對雲服務的可見性。

總的來說,這份報告為我們描繪了一幅中小企業網絡安全現狀的清晰圖景。它不僅揭示了當前的威脅景觀,還提供了實用的解決方案。對於中小企業來說,認識到網絡安全的重要性,並採取積極措施來保護自己的數字資產,已經成為在這個日益數字化的世界中生存和發展的關鍵。通過投資端到端的網絡安全解決方案,提高員工的警惕性,中小企業可以有效地降低風險,確保業務的連續性和競爭力。

詳情請看:

Cybersecurity in the SMB space — a growing threat

Posted in  on 7月 03, 2026 by Kevin |  

Help net security:新的安全漏洞允許監視網路使用者的線上活動

近日,奧地利格拉茨理工大學的研究人員發現了一個名為SnailLoad的網路安全漏洞,這個發現對於網路使用者的隱私保護提出了嚴峻的挑戰。SnailLoad允許攻擊者僅通過監控用戶網路連接速度的波動,就能窺探用戶的線上活動,這種攻擊方式不需要惡意程式碼,也不需要攔截數據流量,因此幾乎所有類型的終端設備和網路連接都面臨風險。

SnailLoad攻擊的運作原理相當巧妙。攻擊者只需要與受害者有一次直接接觸,例如當受害者訪問某個網站或觀看一段宣傳視頻時。在這個過程中,受害者會不知不覺地下載一個看似無害的文件。這個文件不含任何惡意代碼,因此能夠躲過安全軟體的檢測。文件的傳輸速度被刻意設置得極其緩慢,這使得攻擊者能夠持續獲取受害者網路連接延遲變化的信息。通過這種隱蔽的方式,攻擊者可以重建受害者的線上活動軌跡,從而威脅到用戶的隱私。

SnailLoad攻擊的核心在於結合了網路延遲數據和線上內容的指紋識別技術。研究人員解釋道,當用戶訪問網站、觀看在線視頻或進行視頻通話時,網路連接的延遲會呈現出特定的波動模式,這種模式取決於所使用的特定內容。這是因為所有的線上內容都有獨特的"指紋"。為了高效傳輸,線上內容被分割成小的數據包,這些數據包按順序從主機服務器發送到用戶端。每種線上內容的數據包數量和大小的模式都是獨一無二的,就像人類的指紋一樣。

研究人員的實驗結果令人擔憂。在監視測試對象觀看視頻時,他們的成功率高達98%。研究表明,視頻的數據量越大,受害者的網路連接越慢,攻擊的成功率就越高。雖然對於基本網站的監視成功率降至約63%,但研究人員指出,如果攻擊者為他們的機器學習模型提供更多數據,這些數值肯定會增加。

更令人憂心的是,這個安全漏洞幾乎不可能完全修復。研究人員表示,唯一的選擇是讓網路服務提供商以隨機模式人為地降低客戶的網路連接速度。然而,這種做法會導致視頻會議、直播或線上遊戲等對時間要求較高的應用出現明顯延遲,影響用戶體驗。

這項研究揭示了現代網路環境中隱私保護的脆弱性。隨著我們越來越依賴網路進行日常活動,像SnailLoad這樣的攻擊方式對個人隱私構成了重大威脅。它不僅能夠洞察用戶的瀏覽習慣,還可能推斷出用戶的興趣愛好、政治傾向甚至個人生活細節。

面對這種新型威脅,我們需要重新思考網路安全和隱私保護的策略。首先,用戶應該提高警惕,注意保護自己的線上活動。其次,網路服務提供商和安全軟體開發商需要開發新的防禦機制,以應對這類不依賴傳統惡意程式碼的攻擊。最後,政策制定者應該考慮制定更嚴格的數據保護法規,為用戶隱私提供更強有力的法律保障。

總的來說,SnailLoad漏洞的發現為我們敲響了警鐘。在享受網路便利的同時,我們必須時刻警惕潛在的安全風險,並積極採取措施保護自己的數字隱私。只有通過技術創新、用戶意識提升和法律法規的完善,我們才能在日益複雜的網路環境中維護個人隱私權。

詳情請看:

New security loophole allows spying on internet users’ online activity

Posted in  on 7月 02, 2026 by Kevin |  

The hacker news:如何利用瀏覽器安全平台降低成本

隨著網路威脅日益複雜,企業組織逐漸意識到在風險源頭——瀏覽器——進行防護的重要性。傳統的網路和終端解決方案在應對網頁釣魚、惡意瀏覽器擴展等網路威脅時,往往顯得力不從心。此外,它們也無法有效防止內部資料外洩,例如員工將敏感資訊貼到ChatGPT等平台。在這樣的背景下,瀏覽器安全平台應運而生,不僅能夠彌補傳統安全方案的不足,還能以更具成本效益的方式提供全面保護。

近期發布的報告《CISO證言:使用瀏覽器安全平台削減成本的6個真實案例》中,六位首席信息安全官(CISO)分享了他們如何通過採用瀏覽器安全解決方案,有效降低安全團隊工作負擔,同時提升效率和安全性。這份報告涵蓋了六個主要使用場景:SaaS數據保護、瀏覽器安全狀態管理、瀏覽器威脅防護、用戶意識培訓、非託管設備的零信任訪問,以及事件響應與調查。

其中一個案例特別引人注目。一家企業原本在保護跨SaaS應用的數據免受外洩和洩露方面面臨諸多挑戰,需要投入大量資源維護CASB(雲訪問安全代理)和基於代理的DLP(數據丟失防護)解決方案。通過轉向採用LayerX瀏覽器安全平台,他們不僅顯著降低了總體擁有成本(TCO),還實現了更細粒度的保護,甚至能夠監控瀏覽器內的文本輸入和表單填寫。

另一位CISO則強調了管理瀏覽器安全的複雜性,包括在託管和非託管設備上保持瀏覽器版本最新、防止惡意擴展等問題。採用LayerX後,他們能夠全面掌握瀏覽器版本、用戶和配置文件信息,並自動檢測和預防安全漏洞。該CISO表示:"LayerX使我們能夠一鍵獲取原本需要耗費大量精力或根本無法實現的功能。通過LayerX的界面,我們可以全面了解瀏覽器的安全狀態,包括版本、用戶和配置文件。我們制定了政策來檢測任何安全弱點並提醒我們立即解決,同時還有防止此類弱點發生的政策,例如阻止惡意擴展。我們可以監控用戶在瀏覽器中執行的任何操作,包括使用非託管設備的內部和外部員工。最重要的是,這一切都是開箱即用的。"

認識到人為因素在安全中的重要性,有組織從傳統的培訓方法轉向通過LayerX提供實時通知。這種主動的方法在防止瀏覽器中的風險行為方面已證明更為有效。

總的來說,瀏覽器安全平台代表了一種新的安全範式。它不僅填補了傳統安全解決方案的空白,還通過集中化和自動化大幅降低了管理成本和複雜性。對於面臨預算壓力但又需要提升安全態勢的組織來說,瀏覽器安全平台無疑是一個值得考慮的選擇。

然而,值得注意的是,儘管瀏覽器安全平台提供了諸多優勢,但它並不能完全取代現有的安全措施。相反,它應該被視為整體安全策略的重要組成部分,與其他安全解決方案協同工作,共同構建一個多層次、全方位的防禦體系。

隨著遠程工作的普及和雲服務的廣泛採用,瀏覽器已成為許多組織的主要工作平台。在這種背景下,瀏覽器安全平台的重要性只會與日俱增。企業領導者和安全專業人士應該密切關注這一領域的發展,並考慮將瀏覽器安全納入其長期安全戰略規劃中。

詳情請看:

How to Cut Costs with a Browser Security Platform

Posted in  on 7月 01, 2026 by Kevin |  

Mcafee:適合家庭的暑假線上安全提示

暑假是全家人放鬆身心、共度美好時光的大好時機,無論是去海邊遊玩、自駕遊或探索新景點,保障全家上網安全都是相當重要的一環。然而,根據一項調查報告顯示,近一半(48%)的旅客在度假期間會較少注意網路安全,例如選擇連線看似有些可疑的無線網路(22%)。

隨著網路威脅日益增加,我們對科技的依賴也與日俱增,因此採取積極作為,保護家人的網路安全就顯得更形重要。以下是一些可行的建議,確保您在暑假期間能享有安全愉快的線上體驗。

教育孩子

教導孩子上網時要保持安全的行為模式和良好習慣,解釋在網路上分享個人資訊、與陌生人交談,以及點擊可疑連結或附件檔案的風險。讓孩子了解「釣魚」這個概念,教導他們如何辨識可疑連結或訊息。鼓勵孩子多與您溝通,讓他們在網路上遇到任何令人不安或可疑的內容時,都能毫不猶豫地告訴您。

使用安全無線網路

在度假期間連線上網時,要小心使用的無線網路。酒店、機場和咖啡廳等公共場所的無線網路可能缺乏安全防護,可能會讓您的家人面臨駭客入侵和身分被盜等網路威脅。這是因為公共無線網路通常缺乏稱為「加密」的保護層。加密就像一種秘密編碼,能將數據在您的裝置和無線基地台之間傳輸時加以混淆,避免他人能夠理解內容。缺乏這層防護,駭客就能輕易interceptUFO存取你透過無線網路傳輸的資訊,危及你的隱私和安全。如果不得不連線公共無線網路,請使用虛擬私有網路(VPN)來加密網路連線,保護敏感數據免於被竊取。

小心某些付款方式

在旅遊期間,對於某些支付方式要特別謹慎,尤其是在處理度假租屋、旅遊套裝行程等事宜時。詐騙集團常會堅持使用匯款、禮品卡或加密貨幣作為唯一付款方式,因為這些支付管道無法追蹤,一旦付款就幾乎無法回收。面對這類付款要求時,請提高警覺並予以避免,因為它們往往是詐騙活動的紅色警訊。改用安全可追蹤的付款管道,例如信用卡或知名的線上支付平台。

確保裝置安全

採取預防措施,保護旅遊期間裝置免於遺失或遭竊。使用強密碼或生物辨識方式來鎖定裝置,防止他人未經授權存取。可考慮安裝追蹤應用程式或軟體,一旦裝置失蹤或遭竊,即可由遠端定位、鎖定或清除裝置內資料。此外,外出時也要隨時確保手邊裝置不離身,提高警覺意識。

監控您的帳戶

旅遊期間,密切關注銀行帳戶、信用卡對帳單和其他財務帳戶的動向。檢查是否有未經授權的交易或可疑活動紀錄,若發現任何異常,立即通報金融機構。可以在帳戶啟用警示或通知功能,以即時獲知帳戶活動動態,及時發現可能的詐騙或未經授權存取情事。

更新裝置和軟體

出遊前,請確保全家人的裝置都已安裝最新軟體更新。駭客常會利用過期軟體的漏洞,入侵裝置並竊取敏感資訊。軟體更新不僅能提升效能,也能修補安全漏洞,避免駭客趁機入侵並存取您裝置上的敏感資料。

設定家長控制

啟程前,請在所有裝置上設定好家長控制功能。假期期間,孩子可能會有更多的閒暇時間或需要長途移動,導致上網時間增加。家長控制功能能讓您限制孩子訪問某些網站、應用程式和內容,有效確保孩子只會接觸到適當的線上內容。請善用這類工具,為孩子營造安全的線上環境,避免他們瀏覽到不當或有害的內容。我們的「社群隱私管理員」也可以幫助保護孩子在社群媒體上的曝光度和個人資料。

使用McAfee+家庭方案,您最多可以用一個訂閱保護6位家庭成員,每位成員都能獲得個人化的身分和隱私防護、安全VPN以及個人化通知,提供提升網路安全的指引。只要遵循這些家庭友善的網路安全貼士,您就能在暑假期間享有安全無虞的線上體驗。主動採取防護措施,遠離網路威脅,無論您的暑假ultimately去向何處,都能盡情享受假期,無後顧之憂。

詳情請看:

Family-Friendly Online Safety Tips for Summer Vacations

Posted in  on 6月 30, 2026 by Kevin |  

Help net security:安全提供者將合規性視為高成長機會

此項研究報告揭露了安全服務提供者面臨的重大挑戰,即維護客戶合規性的困難,但也指出了商機。許多服務提供者雖然理解持續合規的重要性,並有意願提供此類服務,但目前仍有相當比例的營收來自合規服務不到10%。報告顯示,服務商普遍將合規視為高成長機會,有87%的機構願意透過合規自動化平臺提供相關服務。

然而,提供合規服務的障礙困難重重。缺乏資源、專業知識和技術被視為提供管理合規服務的主要障礙。儘管已進入二十一世紀,許多服務商仍舊使用陳舊的方式來追蹤和管理客戶的網路安全合規性,例如利用電子試算表。這種做法無疑有失時效,不符合數位化時代的需求。

不過,報告也指出一些令人振奮的現象。首先,較小規模的服務商(員工人數少於100人)比大型機構更有可能提供合規服務。其次,61%的安全服務商提供基於架構(framework)的服務,如諮詢分析、風險評分與補救措施等,以協助客戶評估安全狀況並符合法規標準。常見的架構包括CMMC、HIPAA和NIST 800-171等。

此外,隨著人工智慧(AI)技術的快速發展,ISO 42001(人工智慧管理系統新標準)已有19%的服務商採納。這項標準有助於組織建立管理AI系統的規範性架構,預期未來將成為熱門的合規框架之一。

總的來說,合規服務市場確實具有龐大商機,但要成功經營此領域,服務商必須做好資源、技術和專業知識的充分準備。唯有建立高效、自動化的服務模式,與時俱進採用新興合規架構,服務商方能在此一快速變遷的領域中,贏得客戶青睞、脫穎而出。經營者應審慎評估目前的能力缺口,並擬定具體的發展策略,把握合規服務的無限商機。

詳情請看:

Security providers view compliance as a high-growth opportunity

Posted in  on 6月 29, 2026 by Kevin |  

Help net security:雲端遷移再次擴大了 CISO 的角色

近年來,企業雲端環境的廣泛採用,不僅為網路安全帶來嶄新挑戰,也大幅擴展了資訊安全長(CISO)的職責範圍。不僅須防範網路威脅,確保資訊系統和資料的安全,CISO如今亦須參與制定公司治理、風險管理及合規政策,以因應瞬息萬變的網路環境和不斷收緊的法規要求。

2023年底,美國證券交易委員會(SEC)通過新規定,要求上市公司必須及時揭露網路安全事件,包括事件性質、範圍和潛在影響等,未依規定揭露者將面臨重罰。這項新規不僅使CISOs責無旁貸,須確保能在四個工作天內準確判定事件的重大程度,並適時報告給監管機構,更促使CISOs必須時時掌控公司的合規狀況,以確保符合法規要求。

有鑑於此,CISOs已不能再依賴過往被動方式,僅定期向董事會匯報公司的網路安全狀況,而須採取更為主動和結構化的風險管理模式。他們必須與公司治理、風險及合規部門密切合作,整合網路安全管控措施,蒐集監控資料,自動化監控流程,以隨時掌握風險狀況,判斷事件的重大性,確保能遵循法規要求,並提高公司的網路安全韌性。

此外,為縮小科技創新和法規要求的落差,睿智的CISOs必須將網路風險策略與公司治理、風險及合規架構一致,以因應科技快速變遷和不斷演進的法規框架。唯有如此,CISOs才能採取整體風險管理觀點,有效因應網路攻擊、防範擴大的攻擊面,減少潛在的財務損失、聲譽受損和營運中斷等嚴重後果。

總括而言,隨著網路安全法規日趨嚴格,與科技發展並進,CISOs的角色責任已然超越傳統資訊安全守護者,成為公司合規和風險管理的關鍵參與者。唯有透過與時俱進的網路安全策略、完善的風險監控及合規機制,以及跨部門的緊密協作,CISOs方能在充滿挑戰的數位時代下,有效保護公司的資訊資產和營運持續性,維護公司權益。

詳情請看:

Cloud migration expands the CISO role yet again

Posted in  on 6月 28, 2026 by Kevin |  

The hacker news:2024 年 10 大關鍵滲透測試結果:您需要了解的內容

「2024 年十大重要滲透測試發現」報告為我們揭露了當前組織在網路安全防護上普遍存在的一些薄弱環節和缺陷。透過模擬真實世界的網路攻擊情況,滲透測試能有效地找出系統和網路中潛在可被利用的漏洞,讓我們及時採取預防措施,堵塞安全防線上的缺口。

從報告列出的十大發現來看,大部分安全隱患都源自系統配置不當和安全漏洞修補不足這兩大根源問題。前者如啟用了不必要的網路服務、使用預設或弱密碼等,後者則是由於各種原因,如相容性問題或修補管理解決方案本身的缺陷,導致系統無法及時修補已知漏洞。不當的系統配置和滯後的漏洞修補,無疑為駭客可乘之機,一旦被利用則可能造成嚴重的數據外洩或系統權限被竊等安全事故。

因此,定期進行滲透測試至關重要。傳統上,許多組織一年做一次滲透測試,但報告指出,透過像 vPenTest 這樣的自動化滲透測試工具進行每月或每季的持續測試,能更有效地即時發現並緩解組織面臨的安全風險。舉例來說,普通的漏洞掃描器可能只將多播域名系統(MDNS)列為資訊性項目,但 vPenTest 這類工具不僅能發現此項,還會解釋其可能產生的影響,並建議補救措施。

總括來說,本報告的發現再次證明了組織必須高度重視網路安全防護。除了加強基本的系統配置管理和漏洞修補,定期進行自動化的全面性滲透測試也是不可或缺的環節。只有透過持續積極的風險評估,及早發現並修補潛在漏洞,組織才能在面對駭客入侵時,有效降低遭受攻擊和數據外洩的風險。

詳情請看:

Top 10 Critical Pentest Findings 2024: What You Need to Know

Posted in  on 6月 27, 2026 by Kevin |  

Tenable:雲端工作負載保護:降低雲端安全風險的關鍵

隨著越來越多的組織將工作負載遷移到雲端,威脅者也開始越來越多地鎖定這些複雜的雲端環境。雲端工作負載蘊藏大量數據,常常相互關聯,一旦遭到入侵就可能導致攻擊者獲利豐厚,而受害組織則可能陷入災難。根據 Tenable 的"2024年雲端安全展望"報告,在18個月的時間裡,幾乎所有受訪者(95%)都經歷過與雲端相關的入侵事件,其中有40%經歷過3到4次入侵。

這些入侵事件並不只是威脅者在探索能獲取什麼資訊,根據報告,90%以上的受訪者表示他們遭受過敏感數據外洩,近60%的人則表示這些外洩造成了實質傷害。IBM 2023年的"數據外洩成本"報告也呼應了類似的發現,指出2023年82%的入侵事件涉及存儲在公有雲、私有雲或混合雲環境中的數據。

網路釣魚和惡意軟體仍然是2023年全球雲端安全的頭號關注,其次是:

用戶帳號被入侵  

意外的數據洩露

針對雲端基礎設施的攻擊

數據盜竊

管理員帳號和供應鏈被入侵

Tenable 的受訪者指出,不安全的人員/服務身份、風險權限和雲端錯誤配置是他們面臨的頂級安全風險。幾乎所有(99%)經歷過多次雲端入侵的人都將身份和權限風險列為主因。

這種雲端入侵事件增加並不令人驚訝,特別是考慮到組織在吸引和留住網路安全人才方面的挑戰。世界經濟論壇預測,到2030年,全球網路安全人才短缺可能會超過8500萬人,這可能導致每年失去近8.5萬億美元的收入。這可能就是為什麼95%的Tenable 受訪者表示,他們在雲端基礎設施保護方面缺乏專業知識。

這些報告說明了許多組織正從嚴峻的教訓中學習的事實。現在的問題已不再是組織是否會遭受雲端攻擊,而是何時以及會遭受多少次攻擊。

想要在雲端工作負載攻擊中領先並非易事,對於使用傳統網路安全措施的安全團隊而言,這尤其困難,因為傳統做法並不是為不斷演進且複雜的雲端環境所設計。

好消息是,有一個解決方案,那就是雲端工作負載安全最佳實踐和雲端工作負載保護(CWP)技術,它們確實能幫助減少風險。

所謂CWP,是指保護雲端工作負載免受惡意軟體、數據外洩和合規性違規的方法,是一種雲端工作負載安全的全方位做法。CWP包括諸如漏洞掃描、雲端安全態勢管理、威脅搜尋、雲端數據安全等技術和解決方案。

CWP是成熟安全計畫不可或缺的組成部分。雖然CWP能增加對雲端環境內安全問題的可見度,但它並不意味著要試圖找出並修復雲端中的每個漏洞。CWP是關於以風險為中心的積極做法,來減輕作業系統、容器、應用程式、服務等各方面的雲端漏洞。它的目標是了解哪些雲端安全問題對組織構成風險,以便知道應該優先關注哪些問題。

為什麼CWP很重要?雲端工作負載對攻擊者很有吸引力,因為雲端環境通常包含敏感數據,對業務運作也至關重要。但它們也很複雜且不斷變化,這使得它們很難獲得保護,尤其是對於仍依賴傳統內部部署安全方法的組織而言。

從整體雲端安全的角度來看,CWP可以幫助您找出並修復雲端安全風險、遵循合規性規定,並節省安全成本。

以下是使用CWP的其他主要好處:

主動威脅偵測:CWP解決方案會持續掃描雲端工作負載,尋找漏洞、錯誤配置和可疑活動,以降低雲端風險。

成熟的安全態勢:CWP可強化雲端安全態勢,確保團隊以安全方式配置工作負載,並符合行業標準和合規要求。  

優先排列補救措施:CWP解決方案能根據嚴重程度和風險來優先排列漏洞。

減少攻擊面:CWP工具可透過識別漏洞、修正錯誤配置和限制存取控制,從而將攻擊面降至最低。

提高可見度:CWP可讓您集中檢視雲端安全態勢,安全團隊可識別趨勢、分析風險並做出更明智的雲端安全決策。 

優化成本和工作流程:具有自動化工作流程、警報、政策和範本的CWP解決方案,有助於降低因安全事故而導致的昂貴入侵和停機風險。

作為CWP及其他措施的一部分,您可以使用雲端安全技術和最佳實踐來克服雲端複雜性,讓雲端更加安全,例如:

使用雲端漏洞管理來找出雲端工作負載中的漏洞,如遺漏的補丁和錯誤配置或過時的軟體。這可以幫助您了解需要套用哪些補丁、升級或其他安全修復,以防攻擊者利用這些漏洞。

進行威脅搜尋,主動搜尋雲端工作負載威脅,以便在發生損害前作出回應。

詳情請看:

Cloud Workload Protection: The Key to Decreasing Cloud Security Risks

Posted in  on 6月 26, 2026 by Kevin |  

Help net security:人工智慧驅動的攻擊如何加速零信任策略的轉變

在當前的網路環境中,人工智能生成的深偽視頻和合成身份欺詐等新興威脅正日益嚴重。這些創新手段讓攻擊者能以更大規模、更低技術門檻實施個人化攻擊,為威脅環境火上加油。有鑑於此,越來越多企業採納整體零信任策略以應對不斷演進的網路威脅。 

然而,零信任架構的實施之路並非一蹴而就。美國等西方國家的企業在推行零信任策略時面臨諸多挑戰,部分原因在於長期累積的老舊技術基礎設施,以及不同團隊分散管理憑證等問題,增加了整合的困難度。此外,一些高層領導或許只是在口頭上支持零信任,卻未真正將其視為當務之急,導致預算和人才荒之困境難以解決。

要有效實施零信任策略,首席信息安全官(CISO)需先審視企業的身份和設備安全性,並盤點所有密碼資產,釐清所有權歸屬。同時參考政府機構如CISA、NIST等單位的指引,有步驟地推進零信任進程。 CISO應向高層闡明零信任與企業管治的關聯,助其意識到投資零信任實為職責所在,並強調聯邦機構已加大處罰力度,要求加快數據外洩披露,追究高管責任。

企業高層有責任創造包容、多元的企業文化,為技術團隊提供持續培訓,吸引並留住頂尖人才,特別是神經多樣性人才,以鼓勵多元思維,應對人工智能驅動的新興網絡攻擊策略。

展望未來,隨著通用人工智能的發展,我們正邁入一個新時代,需要人工智能驅動的網路防禦,以應對攻擊的規模和速度。預計各類組織無一例外都將成為高價值目標,勢必重視零信任安全。此外,數字身份將成為零信任的關鍵樞紐,全球對於數字身份認證的法律法規立場存在分歧,這一發展將影響後零信任時代的網路安全走向。

總的來說,零信任策略是當前及未來應對日新月異網路威脅的必由之路。儘管推行過程艱鉅,但企業領導層和技術團隊有責任跨部門攜手合作,投入必要資源,建立完善的零信任防禦體系,以確保企業和利益相關者的數據和系統安全。

詳情請看:

How AI-powered attacks are accelerating the shift to zero trust strategies

Posted in  on 6月 25, 2026 by Kevin |  

Juniper:WAN 人工智慧:簡單、無縫且安全的分公司連線 — 現在透過通用平台

近年來,廣域網路(WAN)管理的複雜度與挑戰與日俱增。網路運營商不僅需要應對複雜的操作流程、擴展性不足等問題,更需確保為每位終端用戶提供卓越的體驗,快速找出並解決根本問題。有鑑於此,賽普拉斯公司推出了AI本地化網路平臺,透過共同的雲端AI運營(AIOps),實現跨所有網路域的端到端保證,簡化網路操作,讓每個體驗都能可靠、可衡量且安全。

該平臺利用來自所有網路用戶和設備的正確資料,提供實時響應,讓運營商能夠快速補救問題。同時,通過適當的雲端原生和API連接的安全基礎設施,實現可靠的大規模性能。今年6月5日,賽普拉斯公司宣布了多項令人振奮的AI本地化網路平臺創新,利用AI的優勢進一步簡化分支機構的安全管理。

他們擴展了Juniper Mist WAN 保證、Premium Analytics和Marvis虛擬網路助理(VNA),提供簡單、無縫且安全的SD-WAN和SASE體驗。更令人興奮的是,他們推出了業界首個將AI本地化自動化和洞見應用於傳統邊緣路由拓樸的路由保證產品。

在SD-WAN管理方面,Marvis Minis現已覆蓋校園和分支機構的無線、有線和SD-WAN全棧,通過持續自動測速,確保網路按承諾提供服務,即使沒有用戶在線也能解決SD-WAN問題。新的WAN保證功能還包括監控阻塞的服務級別期望(SLE)、動態包捕獲(dPCAP)和應用程序路由洞見,為IT團隊提供卓越的終端用戶體驗。

在安全性方面,Premium Analytics產品中的新安全洞見儀表板通過集成洞見和審計儀表板,簡化了安全和網路團隊的工作流程,提高了效率和敏捷性,同時降低了運營成本。

最後,Juniper Mist路由保證將高性能MX系列路由器(起始為MX204和MX304)和ACX7024納入Mist體系,為客戶提供統一的雲端原生管理體驗和業界領先的AIOps解決方案。

總的來說,這些SD-WAN、WAN和安全性的創新,為組織帶來簡化的操作、流程化的工作流程、提高生產力,並保證了終端用戶的卓越體驗。複雜且分散的WAN和安全管理工具、被動和耗時的故障排除、長期的性能問題,都將成為過去式。賽普拉斯公司正引領著AI本地化網路的未來發展方向。

詳情請看:

AI for WAN: Simple, Seamless, and Secure Branch Connectivity—Now Via a Common Platform

Posted in  on 6月 24, 2026 by Kevin |