微軟：為開發人員介紹個人資料加密

微軟最近推出的個人資料加密(Personal Data Encryption, PDE)功能,為開發人員提供了一個重要的安全防護措施,可在裝置解鎖後保護敏感使用者資料,防範惡意攻擊者透過物理攻擊竊取個資。這項新功能結合BitLocker全磁碟加密,為Windows裝置帶來更全面的資料保護。

PDE的運作原理是利用Windows Hello生物特徵辨識系統,將資料加密金鑰與使用者憑證綁定。當使用者登入裝置時,解密金鑰就會被釋放,使加密的資料可以被存取。PDE提供兩種保護等級:第一級在首次解鎖後可持續存取資料;第二級只在裝置解鎖時才能存取受保護的資料,提供額外的安全層級。

PDE API提供了一系列低階API,讓應用程式開發人員能加密使用者內容。這對於處理大量敏感資料的行業如國防、金融、醫療和保險業來說,是一項非常實用的功能。開發人員可透過API保護資料夾、檔案和緩衝區,並指定保護等級。而當需要存取這些被保護的資料時,也能使用API來解密。

整體而言,PDE的設計考量周全,提供應用層級的保護,有助於確保使用者個資的安全,避免駭客藉由物理攻擊竊取資料。不過值得注意的是,PDE目前只能在Windows企業版和教育版作業系統上使用。

展望未來,我期待微軟能持續強化PDE的功能,例如增加動態設定保護等級的彈性、支援串流資料的加密、提供更多事件回呼等,以滿足更多元的開發需求。而對使用者來說,也希望PDE能在未來普及至其他Windows版本,讓所有使用者都能受惠。總的來說,PDE是一項重要的新功能,將有助於提升Windows平台的資訊安全防護力。

詳情請看：

Introducing Personal Data Encryption for developers

Read More

Help net security：加密記事本：開源文字編輯器

在這個大數據時代,隱私權成為人們普遍關注的問題。無論是個人通訊紀錄、金融資訊,還是簡單的文字文檔,都可能遭到駭客入侵或惡意監控。因此,保護個人數據的安全性和隱私性變得至關重要。

在這樣的背景下,Ivan Voras開發的開源加密文字編輯器Encrypted Notepad應運而生。這款軟體擁有創新的加密機制,能夠以AES-256算法加密保存和載入文件,確保文字內容的機密性。它不僅沒有廣告,而且不需要網路連接,也沒有多餘的功能,堪稱簡潔實用。

Encrypted Notepad的操作界面非常簡約,類似於Windows內建的記事本程式,只有基本的文字編輯功能。這一特點使其專注於核心任務,避免了不必要的功能拖累,為用戶提供了流暢高效的使用體驗。

除了使用AES-256強大的加密演算法外,Encrypted Notepad還採用了PGP/OpenPGP .asc格式儲存加密文件。這一開放標準可與其他工具互通,大大增強了檔案的移植性和可擴展性。值得一提的是,軟體使用了多個知名的密碼學函式庫,如ProtonMail、CloudFlare和Golang庫,從源頭上確保了加密過程的可靠性。

這款加密記事本最大的優勢在於其開源屬性。作為一款免費開源軟體,它接受全球開發者的審查和優化,能夠及時修復漏洞,持續提升安全性能。同時,開放的源代碼也增強了軟體的透明度,消除了普通用戶對隱藏後門的疑慮。

對於那些重視隱私保護、希望安全保存文字文檔的用戶而言,Encrypted Notepad絕對是一款值得信賴的工具。它不僅操作簡單,而且確保了數據的機密性,有助於避免敏感內容遭到泄露。可以預見,隨著隱私保護意識的不斷增強,這類加密文字編輯器將獲得更多認可和應用。

展望未來,Encrypted Notepad的開發者計劃優化用戶界面,進一步增強實用性。不過,保持軟體的簡約本質也是他們的目標。總的來說,作為一款隱私保護工具,Encrypted Notepad可圈可點之處不少。它為用戶文檔的加密保護提供了可靠方案,充分體現了開源開發模式的優勢和潛力,值得人們關注和支持。

詳情請看：

Encrypted Notepad: Open-source text editor

Read More

Mcafee：關於選舉安全您需要了解什麼

當今世代,確保選舉安全性是維護民主制度的重中之重。隨著各界對選舉干擾和舞弊的疑慮日增,國家無疑應加強各項防護措施,但作為選民,我們亦責無旁貸。保障投票權利,維護公平公正的選舉過程,是每一位公民應盡的基本公民義務。

在眾多確保選舉安全性的要素中,資訊正確性首當其衝。謠言滋事在所難免,我們必須提高警惕,只相信官方渠道的資訊。同時,切忌在網路上隨意傳播未經核實的消息,避免助長混亂。此外,保護個人資料也是重中之重,切勿輕易向任何未經身份查證的人士透露敏感資料。

投票當日更應嚴加防範。無論親身前往投票站或以郵寄方式投票,都要確保遵循正確的程序,並警惕任何可疑的異常狀況,如投票機遭竄改、工作人員行為可疑、或試圖恐嚇投票民眾等,一旦發現立即向有關當局舉報。另一方面,身為新手投票民眾,更應提早了解投票過程和規範,蒐集候選人資訊,妥善計劃前往投票的時間和交通方式,並在需要時尋求協助。

除了我們每位選民須小心謹慎之外,國家也理應促進公眾對選舉安全性的瞭解。透過新聞媒體解說各種保護措施,如使用實體選票、選後審計、網路安全防禦等,讓民眾對程序有充分認知,加強對制度的信心。與此同時,鼓勵民眾提早投票,分散高峰期人潮,為順利投票創造良好環境。

總括而言,確保選舉安全不應只是政府的責任,每一位選民也扮演著舉足輕重的角色。我們必須保持高度警惕,認清可信資訊來源,瞭解並依循正確投票程序,對任何違規情事即時舉報,持續關注選舉新聞動態。只有全民共同珍惜手中神聖的一票,方能捍衛民主核心價值,維繫自由公正的社會。讓我們成為盡責的公民,攜手維護選舉純淨,共同譜寫璀璨的民主願景。

詳情請看：

What You Need to Know About Election Security

Read More

Help net security：缺乏技能和預算導致零信任實施緩慢

在當前的網路時代,網路安全已成為企業和個人無法忽視的重大議題。隨著網路攻擊手法日益精密,加上人工智能的快速發展,網路威脅正以驚人的速度持續擴大。因此,採取"零信任"安全策略以確保系統和數據的安全性,已成為當務之急。

根據Entrust的"2024年零信任與加密狀態調查"顯示,近三分之二的組織將預防網路入侵列為實施零信任策略的主要驅動力。這一趨勢在美國更為明顯,有79%的組織將網路入侵風險和攻擊面擴大列為主要原因。此外,有41%的受訪者表示,他們投資於安全的主要目的是減少數據外洩或其他安全事件的風險,而不再僅僅是為了遵守法規要求,這反映了組織對安全投資動機的重大轉變。

然而,儘管60%的組織獲得了高層領導的大力支持,但缺乏人才和預算仍然是阻礙零信任框架實施的最大障礙。這凸顯了支持和資源分配之間的矛盾。值得關注的是,只有48%的美國組織已開始自己的零信任之旅,這令人擔憂西方實體雖然意識到問題的嚴重性,但卻無法採用零信任,使他們面臨網路威脅的風險。

此外,46%的受訪者將黑客暴露敏感或機密數據列為他們最大的安全顧慮,其次是系統或流程故障以及未經管理的證書。值得注意的是,在過去八年中,組織首次沒有將員工失誤列為頭號安全威脅。

最後,50%的受訪者表示,人員短缺、47%認為缺乏明確的所有權歸屬、46%指出人員配置不足,是導致憑證管理面臨挑戰的主要原因。

總的來說,零信任安全策略已成為當前網路安全的必由之路。企業需要高度重視網路威脅,合理分配資源,提升人員素質,並建立明確的責任歸屬,方能有效實施零信任框架,保障企業和客戶的數據、網路和身份安全。我們有必要提高警惕,積極採取行動,以應對日益嚴峻的網路威脅形勢。

詳情請看：

Lack of skills and budget slow zero-trust implementation

Read More

Help net security：apexanalytix Cyber​​ Risk 為供應商資料外洩提供即時警報

在現今數位時代,網路安全風險對企業營運構成了前所未有的威脅。根據報導,合作夥伴數據外洩事件約佔所有網路攻擊事件的15%,每年造成企業平均高達476萬美元的損失。這無疑是一個令人震驚的數字,足以凸顯網路安全防護在供應鏈管理上的重要性。

有鑑於此,apexanalytix推出了Cyber Risk解決方案,透過自動評估各供應商的網路安全狀況、持續監控暗網風險,並即時應對影響供應商的威脅,為企業供應生態系統提供全方位的防護。這個創新方案消除了網路安全和供應商管理團隊之間的隔閡,賦予企業對整個供應鏈環節更大的掌控力,有效防範營運中斷。

不可諱言,網路攻擊無疑是當前企業面臨的最大威脅。Cyber Risk解決方案能自動化風險管理的繁瑣程序,讓企業少花精力在行政工作上,專注於制定風險應對策略,提高營運韌性。它提供近乎即時的數據外洩報告,而平均需207天才能識別出數據洩漏事件,大幅縮減風險應對時間。

此外,Cyber Risk解決方案的自動化見解不需專業技術,非網路安全專家也能輕鬆監控供應商健康狀態,真正實現跨部門風險管理。apexanalytix執行長Steve Yurko表示,供應鏈攻擊代價高昂、影響廣泛,因此企業需要對關鍵供應商威脅有全面掌控,而Cyber Risk正是這樣一個"一體化"解決方案。

總的來說,apexanalytix的Cyber Risk代表了該公司在全面風險管理解決方案領域邁出的重要一步,有助於企業因應日益嚴峻的網路威脅。在數位化浪潮下,企業若能打造堅實的網路安全防線,將有利於提升供應鏈抗風險能力和整體營運彈性,終能在激烈競爭中傲視群雄。

詳情請看：

apexanalytix Cyber Risk provides instant alerts for supplier data breaches

Read More

Cisco：開放供應鏈資訊模型 (OSIM) 技術委員會簡介

 供應鏈安全性日益成為各行各業企業的重大關注事項。制定標準化、可信賴且可互操作的資訊模型,對於解決這一問題至關重要。為此,OASIS開放供應鏈資訊模型技術委員會(OSIM TC)正在成立,旨在提升全球供應鏈管理水平。該委員會的初始成員包括AT&T、思科、谷歌、微軟、美國網路與基礎設施安全局(CISA)、國家安全局(NSA)等知名企業和機構。

OSIM TC的使命和目標是多方位的,旨在透過精確且靈活的資訊模型提升供應鏈的效率和安全性。該委員會將研究現有供應鏈活動,並與成員分享研究結果,以期識別、參考並盡可能重複使用現有工作,避免重複發明輪子。OSIM TC將專注於闡明清晰的價值主張和制定全面的供應鏈資訊模型使用案例,確保模型與實際應用的相關性。

委員會將制定並維護供應鏈資訊模型標準,涵蓋供應鏈的各個層面。這些標準旨在與當前和未來的行業需求保持高度相關和可應用。透過制定促進一致性和互操作性的標準,OSIM TC旨在打造跨不同平台和行業的無縫整合,構建更加互聯和高效的供應鏈生態系統。

OSIM TC工作的一個重點是促進這些標準的廣泛採用,確保在硬件和軟件供應商以及開放源碼社區中獲得廣泛應用。OSIM TC將為利益相關方提供持續的技術專業知識和指導,指導這些資訊模型標準的應用和演進,確保它們始終處於技術和行業需求的前沿。

委員會的主要交付成果包括:

1.價值主張和使用案例:用於解釋資訊模型、說明它們為何至關重要,以及如何在不同的供應鏈情況下加以利用。

2.供應鏈資訊模型標準:OSIM TC將發佈一個或多個全面的規範,詳細說明資訊模型。

3.實施指南:OSIM TC將提供實用指南,協助將這些標準整合到操作中。

4.開源工具和知識庫:該委員會將創建工具、參考實現、常見問題解答等資源,以支持技術委員會工作產品的知名度和採用。

OSIM標誌著邁向更加安全、彈性供應鏈生態系統的重大進展。這項努力凸顯標準化的關鍵作用,展示了如何通過協調一致的指導方針來大幅提升基礎設施的完整性和安全性。

總的來說,OSIM TC致力於加強供應鏈安全性與透明度,透過制定通用標準與最佳實踐,推動供應鏈生態系統的高效協作與創新發展。隨著供應鏈的日益複雜與全球化,OSIM TC的工作將為企業和組織提供有力支持,從而提升風險管理能力,維護供應鏈的可靠與穩健運作。

詳情請看：

Introducing the Open Supply-Chain Information Modeling (OSIM) Technical Committee

Read More

Tenable：網路安全快照：安全、合乎道德地實施人工智慧的 6 種最佳實踐

近年來,人工智慧(AI)技術快速發展,企業和組織紛紛開始採用或規劃導入AI,期望能帶來效率和生產力的提升。然而,AI的應用若未能審慎管控,也可能帶來諸多風險,包括資訊安全、隱私和道德等層面。因此,如何能夠安全、負責任且合乎道德地實施AI,成為各機構當前所面臨的重大挑戰。

  在AI系統的開發和部署過程中,必須從最初階段就將安全性納入考量,透過威脅模型、強化配置和邊界防護等作法,來降低AI系統被入侵和遭到攻擊的風險。此外,AI所需大量的數據來源常涉及敏感資訊,因此必須嚴格管控數據使用,進行去識別化處理、制定隱私權政策等措施,以保障組織和使用者的隱私權,避免數據外洩的風險。

  在AI日新月異的發展下,相關法規正在快速演進。機構應密切留意AI相關法規的發展動向,進行符合法令的風險評估、事故通報,並強化網路安全防護,以確保合規運作。同時,AI應用所可能涉及的合法性、偏見和透明度等道德議題,亦需要有明確的因應準則。

  另一個關鍵面向則是員工培訓。員工必須瞭解AI工具的潛在風險,掌握正確操作方式,避免誤用而衍生資安問題。制定相關政策規範和準則,闡明可使用的資料類型及AI使用範疇,將是重要的防患未然之舉。

  在AI快速發展的同時,各界也正在積極合作、制定相關的安全與倫理標準。加入業內組織和工作小組,參與最新指南的研擬和經驗交流,有助機構擁抱創新並克服AI帶來的風險與挑戰。此外,AI工具的導入絕不應操之過急,必須有全面性、審慎的規劃和評估,考量各項潛在風險,有計畫地逐步推行,才能真正發揮AI之利而迴避其患。

  總括而言,AI雖然富含無窮的應用潛能,但若缺乏周全規劃和管控,同樣可能酿成不可承受的資安和隱私風險。企業和機構導入AI之初,必須審慎評估並平衡利弊得失,從整體性的角度建構符合安全、道德和法規要求的AI治理架構,方能在享有AI之利的同時,遠離可能產生的各種風險和衝擊。

詳情請看：

Cybersecurity Snapshot: 6 Best Practices for Implementing AI Securely and Ethically

Read More

Cybersecurity insiders：如何永久阻止勒索軟體，並為勒索軟體復原能力添加缺少的層

近年來,勒索病毒對企業和機構構成了極大威脅,已然成為一種"國家安全、公共安全和經濟發展"的危險。勒索軟件的攻擊手法日益精進,能夠躲避傳統防護措施,成功率也因此大幅提高。要徹底遏制勒索病毒,單單依賴現有的防禦層次已經不夠,我們必須加強防護深度,建立多層次的防線。

報告指出,要對抗現代勒索病毒,我們需要在環境中再加入一層採用全新防禦機制的控制層。新興的"自動化動態防禦"(AMTD)技術,就能有效堵塞漏洞,遏制勒索病毒在各個階段的攻擊行為,從早期入侵到最終執行。

勒索病毒的威脅與日俱增,其背後是開發者和操作者追求暴利的強烈慾望。在獲利動機的驅使下,黑客們不斷研發出更精密的規避手段,使惡意軟件能躲過防火牆、殺毒軟件、終端檢測響應系統等傳統防護措施。舉例來說,2021年"Conti"病毒成功入侵愛爾蘭國家醫療服務體系,主要是採用了"無檔攻擊"的手法,將惡意代碼直接加載至設備內存中執行,避開了掃描不到的防護死角。

這類"無檔執行"、"內存注入"等模糊攻擊方式越來越普遍,甚至出現了基於AI生成的自適應、變形惡意軟件。要堵住這些複雜攻擊的漏洞,單純依賴基於簽名、行為分析的傳統防護是遠遠不夠的,我們需要建立多層次的防護深度。

AMTD技術就是這樣一種創新的補充防線。它通過改變應用程序的運行環境攻擊面,動態調整內存資源的位置,設下陷阱糾纏惡意執行。這不僅能阻擋惡意加密、資料破壞,還能保護系統恢復影子副本免受破壞,阻止憑證被盜取,在內存層面創造不可預測的攻擊面。通過多層保護,AMTD技術能有效遏制MITRE列出的勒索攻擊戰術,包括初步入侵、持久化、權限提升、規避防護、橫向移動和最終衝擊。

總的來說,這份報告向我們揭示了勒索病毒的嚴重威脅,傳統防禦層次的不足,以及採納創新防護技術對構建全面防線的重要性。我認為,AMTD所代表的新興威脅對抗技術,正是我們應當重視並廣泛部署的關鍵一環。只有在防護體係中堆疊更多創新技術,建立多層次、多維度的防線,我們才能真正應對不斷演進的網絡攻擊,遏制勒索病毒這一"國家級"威脅。

詳情請看：

How to stop ransomware for good — and add the missing layer to ransomware resiliency

Read More

Cybersecurity insiders：數據責任：利用信任的力量推動成長

親愛的讀者,閱讀這篇文章後,我深有感觸。在當前的數據時代,數據無疑是企業最寶貴的資產,它驅動著業務增長,滿足消費者需求。然而,隨著數據外洩事件和隱私疑慮不斷增加,消費者對企業處理個人數據的信任度也在下降。

文章指出,76%的消費者表示不會向不值得信任的企業購買產品或服務。81%的人認為,一家公司如何對待數據,反映了它對消費者的尊重程度。這說明,建立穩固的消費者信任是企業利用數據實現增長的關鍵。當消費者看到自己的個人數據在企業手中遭到盜竊和濫用時,他們對企業的信任就會逐漸流失。

為了重建消費者信任,文章建議企業要採取透明化的做法,清晰地向消費者解釋隱私政策,提供易於查閱的平台和説明。這種對數據責任的承諾,可以加深企業與消費者之間的聯繫,重塑彼此的信任關係。

此外,文章也強調了採用"零信任"的數據安全策略的重要性。這種策略不假設任何數據的安全性,而是通過驗證和加密等手段,在數據整個生命週期中保護其隱私和完整性。通過投資數據安全、遵守隱私法規、實施零信任模式,企業可以在利用數據促進業務增長的同時,履行保護消費者數據的社會責任。

總的來說,這篇文章令我深切意識到,在數字時代,企業承擔著重要的數據責任。只有建立起牢固的消費者信任,企業才能真正釋放數據的價值潛力,實現可持續發展。我期待看到更多企業採納透明、負責任的數據實踐,維護消費者權益,締造雙贏的數據生態。

詳情請看：

A Data Responsibility: Leveraging the Power of Trust to Drive Growth

Read More

Cybersecurity insiders：將零信任原則應用於 Microsoft 本機和混合式環境保護的 Active Directory 的實用指南

積極實施零信任原則保護本機及混合環境的 Active Directory

微軟 Active Directory(AD)是大多數大型組織的核心身份識別系統,控制著整個組織的資源和運作存取權限。由於其龐大的存取權能,AD常成為駭客主要攻擊目標。根據微軟2022年數位防禦報告,88%遭到勒索病毒攻擊的客戶,未能遵循AD最佳安全實踐。

傳統的安全觀念是以邊界為基礎,將內外區隔。但在混合環境下,邊界的概念已不復存在,駭客可輕易找到薄弱環節並橫向蔓延。採用零信任(Zero Trust)方法,可大幅降低這些風險,不再對內部人員隱含信任。由於AD決定組織內的"誰是誰",是大規模攻擊的主要目標,因此必須將其列為零信任策略中的核心部分。

實施以AD為基礎的零信任方法,需分為六個階段:

第一階段是評估,了解組織內有哪些系統依賴AD,包括內外部、雲端與本機系統,以及相關帳號、群組、授權方式等,掌握身份和權限的分布。

第二階段是管理,制定、建立、監控和執行政策,包括自動化帳號和權限的配置和註銷,以建立可重複和持續監控的流程。在零信任下,身份治理使信任由隱含轉為顯式,依職務角色明確授予員工存取權限。

第三階段是落實細緻的委派管理,取代AD原有的永久管理員權限模式,改為針對特定人員、特定任務和特定範圍,配置最小化的臨時權限。

第四階段是自動化,消除人工錯誤並降低人員被賦予過度權限的風險。自動化流程也有助於明確治理政策,便於評估、監控及展示合規性。

第五階段是監控與威脅偵測,檢視零信任政策的實際運作並及時發現任何異常行為,包括常見的身份攻擊手法。偵測可應用機器學習模型逐步優化。

第六階段是復原機制,即便做足防護,仍須因應駭客入侵或系統故障的狀況。AD是整個IT環境的根基,一旦癱瘓將影響全面營運,必須能迅速將AD復原以維持業務連續性。

除了上述六個階段,其他重要注意事項包括:多重驗證機制、針對AD特定的事件回應計劃、端點裝置的保護與管理等。

AD作為大多數企業的核心身份識別管理系統,是駭客主要攻擊目標,必須優先在零信任架構下全面加強其安全性,方能充分保護核心IT基礎設施和確保營運持續運作。落實零信任原則於AD的防護,應為所有組織的網路防禦策略中不可或缺的基石。

詳情請看：

A Practical Guide to Applying Zero Trust Principles to Active Directory for Microsoft On-Premises and Hybrid Environment Protection

Read More

Cybersecurity insiders：基本資料保護從最低權限開始

數據隱私權保護的核心根基

每年一月,全球性的「數據隱私週」運動都會加強意識,教導組織有效的數據保護策略。雖然該活動從「數據隱私日」演變成為長達一週的宣導期間,但與網路安全團隊全年無休地優先考量數據保護相比,一週的時間實在短暫。儘管在提高數據隱私意識方面有長足進步,持續不斷爆發的數據外洩及網路攻擊事件,反映我們在尋求健全的數據保護之路上,仍任重而道遠。

最小權限原則的重要性

數據安全的基礎在於「最小權限」原則:每位個人、服務和應用程式,無論其技術專長、可信賴程度或組織職級如何,都只能被授予執行特定角色所需的權限。

我們不妨以銀行為例說明最小權限的精神:為保護現金和其他貴重資產,銀行設置了多層防護。雖然銀行重視所有員工,但仍必須嚴格限制每個人的權限:一般員工只能進入公共區域;出納員僅能操作自己的錢櫃;貸款專員能查看客戶信用記錄;某些經理則能進入保管箱室,但存放金條和其他高價值資產的金庫,只有為數不多的特殊人員才能進入。

銀行的金錢資產就如同組織內的敏感數據。貸款專員無權動用出納員的錢櫃,出納員也不能打開保管箱,同理,IT團隊不應該能查看客戶資料庫,而銷售人員也不該有權限存取軟體倉庫,極少數人才能接觸到組織最珍貴的資產,如關鍵的智慧財產權。  

嚴格執行最小權限的迫切需求

未能落實核心的最小權限原則,將使數據隱私權面臨各種風險。用戶可能會因疏忽或蓄意,濫用自身的存取權限,查看或修改本不應觸及的內容。更大的風險是,駭客一旦入侵用戶帳號,就能完全濫用該帳號被授予的所有權限。

潛在威脅不僅來自人為,惡意軟體也會繼承下載它的用戶權限。舉例來說,勒索軟體有能力加密用戶帳號能存取的所有數據,即使用戶實際上不需要這些權限。因此,應用程式的功能也必須局限於運作所需的最小權限,以降低遭到濫用的風險。

多層次的防護方案  

廣義上來說,落實最小權限原則並非「一勞永逸」,而需要多層次的完整體系,包括:

身份管理和管理 (IGA) - IGA涵蓋身份生命週期的全程監控,確保每位用戶只擁有角色所需的存取權限。

特權存取權管理 (PAM) - PAM著重管理對系統和資料具有提升存取權的帳號,因為這些帳號一旦遭到濫用或入侵,將對數據隱私權、安全性和業務連續性帶來更大風險。

IGA和PAM共同構成一個全面的框架,嚴格控管對系統和資料的存取,強化組織的安全狀態。

發揮營運潛能  

數據隱私權保護是一年四季永無止盡的工作重點,必須從上到下在整個組織內培養資訊安全意識。透過有效的IGA、DAG和PAM,組織得以落實最小權限原則,確保數據隱私權、贏得客戶信賴、避免遭受代價高昂的數據外洩,並符合法規要求。如此一來,組織就能將更多心力專注於發揮營運潛能,而非無止盡地防範網路威脅。

詳情請看：

Essential Data Protection Starts with Least Privilege

Read More

Mcafee：假冒巴林政府 Android 應用程式竊取用於金融詐欺的個人數據

網路世界中隱藏著許多陷阱,本次事件再次警示我們,即使是政府機關提供的應用程式,也可能被不肖分子盜用偽造成為木馬程式,企圖從用戶那裡竊取個人資訊。這種針對性的攻擊手法極為陰險,不僅利用社交媒體和短信進行宣傳釣魚,更冒用具有公信力的機構名義,輕易地誘使用戶在虛假應用程式中輸入敏感資料。

最讓人痛心的是,透過這種手段獲取的個資都將被用於金融詐騙的犯罪行為。可憐的受害者不僅個人隱私遭到侵犯,財產安全也將遭受威脅。事實上,已有人因此蒙受重大損失。這些無辜的民眾只是想方便地使用政府服務,卻因此淪為黑心人士的獵物,這種情況實在令人感到憤憤不平。

除了透過官方認證的應用程式商店下載軟體之外,用戶也應提高警惕,謹慎核對任何看似可疑的連結或應用程式。即使是來自政府機構,也有可能是惡意軟體在冒充偽裝。我們都應該提高資訊安全意識,學習識別這類詐騙的手法,並盡可能使用可靠的防毒防護軟體,才能在網路世界中遊刃有餘。

此次事件再次凸顯了網路罪犯的陰險狡詐。他們不僅擅長偽裝並進行社交工程式攻擊,更通過動態載入惡意網址、竊取用戶短信等技術手段來達到犯罪目的。面對如此高明的攻擊手法,我們唯有時時提高警惕,才能有效防範個人資訊被盜用,避免陷入金錢損失的困境。

總的來說,這起事件警示我們,即便是官方機構提供的服務,也可能存在安全漏洞被不法分子利用。我們都有責任提高資訊安全意識,謹慎核查任何來源可疑的應用程式或連結,並做好適當的防護措施,才能確保個人隱私和財產的絕對安全。讓我們共同維護網路世界的正義秩序,絕不給犯罪分子任何可乘之機。

詳情請看：

Fake Bahrain Government Android App Steals Personal Data Used for Financial Fraud

Read More

Help net security：您的檔案和磁碟機上的「密碼保護」有多安全？

在當今數位時代,資料安全性無疑是一個極為重要的課題。無論是個人或企業,我們都有保護敏感資料的需求和責任。本文探討了檔案和磁碟機的「密碼保護」功能是否足以確保資料安全。

一般而言,僅依賴密碼保護檔案並不足夠。密碼保護通常只是在檔案外層加了一道簡單的防禦,內容本身並未加密。專家指出,這類密碼保護容易被繞過,無法真正阻擋有心人士的入侵。

軟體加密則是一種相對安全的做法,例如Windows的BitLocker採用AES 256位元加密標準。相較之下,軟體加密成本低廉、易於實作,但仍存在一些缺點。首先,它仰賴電腦的運算能力,處理大型檔案時可能影響系統效能。更重要的是,軟體加密無法完全防止暴力破解攻擊,駭客可利用高效能電腦在短時間內猜測大量密碼組合。一旦密碼被取得,整個加密系統即失去作用。

對於需要更嚴格資料保護的環境,硬體加密磁碟就是更佳選擇。硬體加密是由獨立的微處理器專門負責驗證和加密,與主機完全分離。這不僅能快速執行加密,還能有效防禦暴力攻擊,駭客幾乎無法破解。此外,硬體加密磁碟還具有防篡改能力,例如可在檢測到異常電壓或溫度時自動抹除資料,確保安全無虞。

硬體加密磁碟的缺點在於成本較高,但對於處理敏感資料的企業而言,這項投資的價值是無可挑戰的。一旦發生資料外洩,企業不僅要承擔高額的法律責任,更可能遭受難以估算的聲譽損失。相較之下,採用硬體加密磁碟所支付的額外費用就微不足道了。

除了加密技術選擇,制定完善的備份策略也是保護資料的重要一環。3-2-1原則是業界公認的最佳作法:製作三份資料副本、使用兩種不同的儲存媒體,並將其中一份存放在另一個場所。藉此即使遭受惡意勒索軟體攻擊,還是能夠快速復原資料。

總括而言,單純依賴軟體內建的密碼保護功能,難以提供足夠的資安防護。相對地,硬體加密不僅在防禦力上更勝一籌,對企業而言也是符合法規要求的明智之舉。在數位化時代,資料安全絕對不能等閒視之,投資堅實的加密技術乃是明智的選擇,更是企業和個人不可或缺的必要之舉。

詳情請看：

How secure is the “Password Protection” on your files and drives?

Read More