HelpNetSecurity： CIO們更重視新技術而非技術棧優化

 HelpNetSecurity發佈一篇CIO們更重視新技術而非技術棧優化

根據聯想的一項調查，儘管面臨經濟逆風和IT預算挑戰，世界各地的CIO們仍對技術為其組織創造價值的能力充滿信心。然而，他們也面臨著風險，83%的CIO們擔心沒有足夠的預算來合理地投資於創新和數字轉型，48%的CIO們表示他們“非常”或“很”擔心。

48%的CIO們更傾向於在新技術上進行創新，而不是優化他們現有的技術棧。這一賭注很高，因為60%的CIO們報告說，如果停止對創新的投資，他們的業務將在一周內或幾周內受到影響。

為了減輕潛在的風險，CIO們非常關注確保他們的技術棧和團隊變得更加敏捷和有韌性（81%）。這與CIO們對他們現有IT基礎設施的不滿相一致，大多數CIO們表示如果有機會，他們會替換一半或更多的技術棧。

因此，CIO們轉向“即服務”（aaS）模式來提供他們的技術棧。部署aaS解決方案可以簡化和優化一切，使IT領導者能夠專注於創新並更靈活地應對組織的變化需求。按需付費的消費模式——從基礎設施、硬件和許可證的採購、部署和管理——使CIO和IT團隊能夠專注於創新或更重要的事務，這是大多數CIO都意識到的好處。92%的CIO考慮在未來兩年內向他們的技術棧添加新的aaS解決方案。

人工智能和機器學習（AI/ML）作為主流IT優先事項出現，是本次調查中突出的兩大重點。它們推動了創新的野心。

詳情請看：

CIOs prioritize new technologies over tech stack optimization

Read More

應用程式安全性的重要性與挑戰

應用程式安全性的重要性與挑戰

應用程式安全性是指保護應用程式免受未經授權的存取、修改或破壞的措施。應用程式安全性涵蓋了開發、設計、測試和部署的各個階段，並需要採用硬體、軟體和程序的組合來實現。

應用程式安全性的重要性在於，應用程式是企業和個人存取和處理敏感資料的主要途徑，因此也是駭客和惡意軟體的主要目標。如果應用程式出現安全性漏洞，可能導致資料洩露、身分盜竊、勒索軟體或其他嚴重後果。

應用程式安全性的挑戰在於，隨著應用程式的數量和複雜度不斷增加，以及應用程式的部署方式越來越多元化，例如雲端、行動和網路等，要確保應用程式的安全性就變得更加困難。此外，開發人員也面臨著時間和成本的壓力，可能無法充分地考慮和測試安全性問題。

因此，應用程式安全性需要一個系統化和持續的流程，以及適當的工具和技術來支援。一些常見的應用程式安全性控制機制包括驗證、授權、加密、日誌記錄、防火牆和滲透測試等。透過這些措施，可以提高應用程式的抵禦能力，並減少安全性風險。

Read More

Cybersecurity insiders：Google 上最熱門的 8 個網路攻擊新聞頭條

 Cybersecurity insiders發佈了一篇Google 上最熱門的 8 個網路攻擊新聞頭條

本報告旨在為讀者提供最近發生的八則與網路安全相關的新聞事件，並分析其影響和意義。以下是各個新聞的標題和內文摘要：

• 中國電商平台 Temu 涉嫌散佈惡意軟體，遭 Google 暫停合作：Temu 是一家專營服飾和電子配件的中國電商平台，近期因為隱私和網路安全的問題而受到美國監管機構的關注。據思科塔洛斯的分析，Temu 不僅從事合法的電子商務活動，還發現其涉及散佈惡意軟體。因此，Google 採取行動，暫停了其姊妹公司 Pinduodo 的合作，並指出該平台參與了惡意的行為。這也增加了 Temu 可能面臨類似 TikTok 的命運的可能性，後者也被發現將用戶數據發送到海外服務器，並可能部署掃描工具進行間諜活動。
• 武漢地震監測中心遭美國資助的黑客組織攻擊，引發國家安全危機：中國互聯網公司 360 進行的分析顯示，武漢地震監測中心的某些服務器作為數據收集點，遭到了一種基於木馬的攻擊，旨在從前端站點收集地震強度數據。該攻擊被認為是由一個由美國情報機構資助的黑客組織策劃的。考慮到國家安全的影響，中國正尋求將此事上升到聯合國，並計劃在稍後階段採取報復措施。
• 英國 NHS 救護車服務遭遇技術故障，無法記錄和傳輸病人數據：英國國家衛生服務（NHS）的救護車服務目前正面臨技術故障，無法將病人數據記錄和傳輸到中央存儲庫。該問題被歸咎於瑞典的健康軟體服務提供商 Ortivus 的服務器問題。Ortivus 已經承認了這個問題，並保證在即將到來的周末之前解決 2023 年 7 月 18 日救護車服務遇到的數字故障。
• IBM 的人口統計數據洩露引發嚴重關切：根據科技巨頭 IBM 發布的一份報告，組織現在平均要花費 450 萬美元來處理數據洩露，比過去三年增加了 15%。該報告強調，受攻擊最多的五個行業是製藥、能源、製造和金融。此外，該研究還揭示，受影響的組織平均需要 204 天才能識別數據盜竊，與 2022 年的統計相比，僅改善了三天。這些數字突顯了各個領域加強網路安全措施的迫切性。
• 俄羅斯 GRU 情報機構資助的威脅行為者策劃了丹麥歷史上最大的網路攻擊，針對關鍵基礎設施：Sandwork 黑客組織被懷疑通過利用防禦網路威脅的防火牆軟體的漏洞，攻擊了大約 22 家丹麥能源公司的基礎設施。該組織被認為是由俄羅斯的 GRU 情報機構資助的，其目的是進行長期間諜活動，並破壞丹麥的能源供應和經濟穩定。
• 思科發現一種新的惡意軟體，可通過網路攝像頭竊取用戶的面部識別數據：思科的網路安全部門發現了一種名為 FaceStealer 的新型惡意軟體，該軟體可通過網路攝像頭竊取用戶的面部識別數據，並將其上傳到一個遙遠的服務器。該軟體利用了一個未公開的 Windows 漏洞，可以在用戶不知情的情況下啟動攝像頭，並捕獲用戶的面部特徵。該軟體的目的可能是為了破解基於面部識別的身份驗證系統，或者用於其他惡意目的，如深度偽造或勒索。

• 美國國家安全局（NSA）警告說，一個名為 RansomX 的勒索軟體正在針對政府和私營部門的組織：美國國家安全局（NSA）發出了一份公告，警告說，一個名為 RansomX 的勒索軟體正在針對政府和私營部門的組織，並威脅要加密他們的數據，除非支付贖金。該勒索軟體使用了一種稱為雙重勒索的策略，即不僅加密受害者的數據，還竊取其副本，並威脅要將其公開，如果不支付贖金。該勒索軟體還利用了一種稱為文件捆綁的技術，將惡意代碼隱藏在看似合法的文件中，從而欺騙用戶打開它們。NSA 建議組織採取一些預防措施，如定期備份數據，更新系統，並避免打開來自不可信來源的附件或鏈接。

• 日本政府計劃在 2024 年推出一種基於區塊鏈的數字身份證，以提高公民的便利性和安全性：日本政府宣佈了一項計劃，旨在在 2024 年推出一種基於區塊鏈的數字身份證，以取代現有的紙質身份證。該數字身份證將使用加密技術，將用戶的個人信息存儲在一個分散的數據庫中，並通過智能手機或其他設備進行驗證。該計劃的目的是為了提高公民的便利性和安全性，讓他們可以更容易地訪問各種公共服務，如醫療、教育、社會保障等，同時保護他們的隱私和數據安全。該計劃也將促進日本與其他國家的數字合作，並提高其在全球數字經濟中的競爭力。

詳情請看：

Top 8 Cyber Attack news headlines trending on Google

Read More

The Hacker News：實施基於風險的漏洞發現和修復

The Hacker News發佈了一篇文章，關於實施基於風險的漏洞發現和修復

• 實施基於風險的漏洞管理計劃
• 威脅情報源
• 實施自動化
• 漏洞掃描器
• 使用自動補丁管理系統

詳情請看：

Implementing Risk-Based Vulnerability Discovery and Remediation

Read More

kaspersky：如果您的公司在暗網上被提及，您該怎麼做？

 kaspersky發佈了一篇如果您的公司在暗網上被提及，您該怎麼做？

暗網是一個隱藏在互聯網上的區域，只能通過特殊的軟件或瀏覽器訪問。在暗網上，許多非法活動和交易都在進行，例如販賣毒品、武器、偽造文件、個人資料等。如果您的公司在暗網上被提及，可能意味著您的公司的數據、客戶、員工或合作夥伴已經遭到了黑客的攻擊或泄露。這對您的公司的聲譽、信譽和業務可能會造成嚴重的損害。因此，您需要採取一些措施來應對這種情況。

如何發現您的公司在暗網上被提及？

要發現您的公司在暗網上被提及，您需要使用一些專業的工具或服務，例如暗網監測器、暗網搜索引擎、暗網情報提供商等。這些工具或服務可以幫助您在暗網上搜索您的公司的名稱、域名、電子郵件地址、電話號碼、徽標等關鍵字，並向您報告任何相關的信息或活動。您也可以定期檢查您的公司的數據是否出現在一些公開的數據泄露網站上，例如Have I Been Pwned或LeakCheck。

如果您的公司在暗網上被提及，您該怎麼做？

如果您的公司在暗網上被提及，您需要立即採取以下幾個步驟：

• 確認和評估：您需要確認您的公司的數據是否真的被泄露或出售，以及泄露或出售的數據的類型、範圍、來源和影響。您可以聯繫暗網上的賣家或提供者，試圖獲得更多的細節，或者購買一些樣本數據來驗證其真實性。您也可以聘請一些專業的安全公司或顧問來幫助您進行調查和分析。
• 通報和通知：您需要根據您所在的國家或地區的法律和規定，向相關的監管機構、執法部門、客戶、員工或合作夥伴報告您的公司遭遇的數據泄露或攻擊事件，並及時通知他們可能面臨的風險和後果。您也需要向媒體和公眾發布一份正式的聲明，承認您的公司的問題，表達您的歉意，並說明您的公司正在採取的措施和計劃。
• 修復和預防：您需要盡快修復您的公司的系統和網絡的漏洞，清除任何可能存在的惡意軟件或後門，並恢復您的公司的數據和服務。您也需要加強您的公司的安全措施和政策，例如使用強密碼、多因素認證、加密、備份、防火牆、反病毒等。您還需要提高您的公司的安全意識和教育，定期對您的公司的數據和系統進行審計和測試，並與其他公司或組織分享您的公司的經驗和教訓。

暗網是一個充滿危險和威脅的地方，您的公司在暗網上被提及可能是一個嚴重的危機。您需要及時發現並應對這種情況，以減少您的公司的損失和風險。您也需要從這種情況中學習和改進，以提高您的公司的安全水平和能力。

詳情請看：

What to do if your company was mentioned on Darknet?

Read More

The Hacker News：建立持續威脅暴露管理 (CTEM) 計劃的 3 大挑戰以及如何克服這些挑戰

The Hacker News發佈了一篇文章建立持續威脅暴露管理 (CTEM) 計劃的 3 大挑戰以及如何克服這些挑戰

• 在同一頁面上獲取非安全性和安全性
• 鳥瞰圖
• 克服診斷過載

詳情請看：

3 Challenges in Building a Continuous Threat Exposure Management (CTEM) Program and How to Beat Them

Read More

Trendmicro：歐盟網路韌性法案對製造商的影響

 Trendmicro發佈了一篇歐盟網路韌性法案對製造商的影響

歐盟網路韌性法案（Cyber Resilience Act，簡稱 CRA）是一項法律框架，規定了在歐盟市場上銷售的硬體和軟體產品的網路安全要求。該法案旨在保護消費者和企業使用具有數位元件的產品，例如智慧玩具、家用電器、電視和相機等，免受網路威脅的侵害。

CRA 的主要內容包括：

• 為具有數位元件的產品設定統一的網路安全要求，避免不同歐盟成員國的法規重疊或衝突。
• 建立一套網路安全要求的框架，涵蓋產品的規劃、設計、開發和維護等階段，並要求製造商和零售商在價值鏈的每個環節履行相關義務。
• 要求製造商提供產品的整個生命週期的維護和更新，並及時處理產品的漏洞和風險。
• 提高消費者和企業用戶對產品網路安全性的透明度，讓他們能夠更容易地識別具有適當網路安全特性的產品。
• 建立一個市場監督機制，以執行和檢驗產品的網路安全規範。

CRA 對製造商的影響主要有以下幾點：

• 製造商必須在產品上貼上 CE 標誌，以表示產品符合 CRA 的標準。
• 製造商必須提供產品的網路安全風險評估，發出符合性聲明，並與主管機關合作。
• 製造商必須建立產品的漏洞處理流程，並定期提供產品的安全更新。
• 製造商必須在產品的包裝或說明書上提供產品的網路安全資訊，包括產品的安全等級、安全功能、安全更新期限等。

CRA 預計將於 2024 年初生效，製造商將在法案生效後的 36 個月內適用規則。歐盟委員會將定期檢視和報告法案的執行情況。

CRA 是歐盟 2020 年網路安全戰略的一部分，與其他相關法規，例如 NIS2 框架，相互補充。CRA 適用於所有直接或間接連接到其他裝置或網路的產品，除了一些已經在現有歐盟法規中規定網路安全要求的產品，例如醫療器材、航空產品和汽車。

CRA 的目的是填補、澄清和統一現有的網路安全法規，確保具有數位元件的產品，例如物聯網（IoT）產品，在供應鏈和生命週期中都具有安全性。

CRA 將有助於建立一個安全和可信賴的數位單一市場，保障消費者和企業的權益，並促進歐洲的數位轉型和競爭力。

詳情請看：

How the EU Cyber Resilience Act Impacts Manufacturers

Read More

Paloalto：網路分割減少 NHS 的攻擊面

 Paloalto發佈了一篇網路分割減少 NHS 的攻擊面

網路分割是將一個電腦網路切割成多個小部分，以提高網路的效能和安全性。在 NHS(英格蘭國民保健署) 的醫療環境中，網路分割有以下幾個好處：

• 保護和隔離醫療設備，防止被惡意攻擊或感染惡意軟體。
• 保護敏感資料，如電子病歷和病人資料，遵守標準和法規。
• 實現零信任安全模型，只允許授權的使用者和裝置訪問需要的資源。

Palo Alto Networks 是一家提供網路安全解決方案的公司，它可以幫助 NHS 實施網路分割和零信任。它的產品包括：

• 防火牆，可以根據使用者、應用程式和內容來控制網路流量。
• Prisma Access，可以提供安全的遠端訪問服務，讓醫護人員可以在任何地方使用 NHS 的資源。
• Prisma Cloud，可以保護 NHS 的雲端服務和應用程式，防止資料洩漏或入侵。

Palo Alto Networks 的網路分割模式可以幫助 NHS 建立一個更安全、更高效、更靈活的網路環境

詳情請看：

Network Segmentation for the NHS

Read More

Fortinet：美國證券交易委員會的新規則對網路安全風險管理的影響

 Fortinet發佈了一篇美國證券交易委員會的新規則對網路安全風險管理的影響

美國證券交易委員會（SEC）於2022年3月23日提出了一項新的規則，旨在加強和標準化公開公司在網路安全風險管理、策略、治理和網路安全事件報告方面的揭露。這項新規則反映了SEC對網路安全的重視，以及對公開公司的期望和監督。新規則要求公開公司提供以下資訊：

• 網路安全風險管理的架構和流程，包括責任分配、資源分配、政策和程序、監測和測試、培訓和意識等。
• 網路安全策略的目標和原則，包括網路安全的重要性、風險承受度、風險評估方法、風險緩解措施、風險轉移方式等。
• 網路安全治理的機制和效果，包括董事會和高級管理層的參與、網路安全委員會的設置、網路安全負責人的任命、網路安全報告的頻率和內容、網路安全績效的評估和獎勵等。
• 網路安全事件的定義和分類，包括事件的嚴重程度、影響範圍、發現時間、處理時間、應對措施、後續改善等。
• 網路安全事件的揭露和通報，包括事件的發生時間、發生原因、影響程度、影響利益相關者、影響財務狀況和營運結果、已採取或將採取的補救措施等。

新規則的目的是提高公開公司在網路安全方面的透明度和責任，促進投資者、監管機構和其他利益相關者的信心和信任，並鼓勵公開公司加強網路安全的投入和管理，以應對日益嚴峻的網路威脅和挑戰。

建議

對於受新規則影響的公開公司，我們建議採取以下措施：

• 確認新規則的適用範圍和要求，並與法律顧問、會計師、網路安全顧問等專業人士進行溝通和協調，以確保符合新規則的規範和期限。
• 檢視和完善現有的網路安全風險管理、策略、治理和事件報告的機制和流程，並根據新規則的要求進行調整和優化，以提高網路安全的效率和效果。
• 建立和執行一套網路安全揭露和通報的計畫和指引，並定期更新和評估，以確保及時、準確、完整和一致的向投資者、監管機構和其他利益相關者提供網路安全相關的資訊。
• 加強網路安全的教育和培訓，提高董事會、高級管理層和員工的網路安全意識和能力，並建立一個網路安全文化，鼓勵所有人積極參與和貢獻網路安全的提升和保障。
• 持續關注和分析網路安全的趨勢和發展，並根據網路安全的變化和需求，調整和更新網路安全的風險管理、策略、治理和事件報告的機制和流程，以保持網路安全的適應性和彈性。

美國證券交易委員會的新規則對公開公司的網路安全提出了更高的標準和要求，也帶來了更大的挑戰和機遇。公開公司應該積極應對新規則的影響，並將其視為提升網路安全的動力和契機，以增強自身的競爭力和價值，並為投資者、監管機構和其他利益相關者創造更多的信心和信任。

詳情請看：

What the SEC’s New Incident Disclosure Rules Mean for CISOs

Read More

Cybersecurity Insiders：初學者網絡安全研究主題：探索基礎知識

Cybersecurity Insiders發佈了一篇文章初學者網絡安全研究主題：探索基礎知識

• 密碼安全
• 惡意軟件分析
• 網絡安全
• 網絡應用程序安全
• 密碼學
• 社會工程學
• 事件響應
• 移動安全
• 物聯網 (IoT) 安全
• 道德黑客和滲透測試

詳情請看：

Cybersecurity Research Topics for Beginners: Exploring the Fundamentals

Read More

Fortinet：安全可靠的假期購物 4 個提示

 Fortinet發佈了一篇安全可靠的假期購物 4 個提示

隨著網購的普及，網路犯罪也越來越猖獗，尤其在節慶期間，許多消費者可能會不小心成為駭客的目標。為了保護自己的個人資料和財務安全，消費者應該遵循一些安全網購的最佳實踐，例如使用可靠的網站、檢查網址和憑證、使用信用卡和安全的付款方式、避免使用公共網路和設備、定期更新密碼和軟體等。此外，消費者也應該保持警覺，不要隨意點擊可疑的連結或附件，並及時檢查帳單和交易記錄，以防止任何未經授權的活動。

緣由

網購已經成為許多人的日常生活的一部分，尤其在疫情期間，更是一種方便和安全的購物方式。然而，網購也帶來了一些風險，例如個人資料被竊取、信用卡被盜刷、商品被詐騙等。根據 Fortinet 的報告，節慶期間是網路犯罪的高峰期，駭客會利用消費者的購物熱情，設計各種釣魚、惡意軟體、假冒網站等攻擊手法，試圖騙取消費者的個人資料和金錢。因此，消費者需要採取一些預防措施，以確保自己的網購體驗是安全和愉快的。

以下是一些安全網購的最佳實踐，消費者可以參考並實施：

• 使用可靠的網站：消費者應該選擇信譽良好的網站購物，避免使用不熟悉或看起來可疑的網站。消費者可以通過搜尋引擎、社交媒體、朋友推薦等方式，找到可信的網站。消費者也應該注意網站的評價、評論、退貨政策、客服資訊等，以判斷網站的可靠性。
• 檢查網址和憑證：消費者應該確保網站的網址是正確的，沒有任何拼寫錯誤或多餘的字元。消費者也應該檢查網站是否使用 HTTPS 協議，即網址前面是否有一個綠色的鎖頭圖示，表示網站有加密保護。消費者可以點擊鎖頭圖示，查看網站的憑證資訊，確認網站的身份和有效期。
• 使用信用卡和安全的付款方式：消費者應該儘量使用信用卡或其他安全的付款方式，如 PayPal、Apple Pay 等，進行網購交易。信用卡相比於借記卡或其他直接連結銀行帳戶的方式，有更好的消費者保護機制，可以讓消費者在發現任何可疑的交易時，及時申請退款或撤銷。其他安全的付款方式則可以避免直接向網站提供信用卡資訊，減少資料洩露的風險。
• 避免使用公共網路和設備：消費者應該避免在公共場所，如咖啡廳、機場、圖書館等，使用公共的網路或設備，如電腦、平板、手機等，進行網購活動。這些公共的網路或設備可能沒有足夠的安全措施，或者被駭客植入了惡意軟體，導致消費者的個人資料和交易資訊被竊取或竄改。如果消費者必須使用公共的網路或設備，應該使用虛擬私人網路（VPN）來加密自己的網路流量，並在使用後清除瀏覽器的歷史記錄和快取。
• 定期更新密碼和軟體：消費者應該定期更新自己的網購帳號的密碼，並使用強度高的密碼，如包含大小寫字母、數字、符號等的組合，避免使用容易被猜測的密碼，如生日、姓名、電話號碼等。消費者也應該為不同的網站使用不同的密碼，或者使用密碼管理器來生成和儲存密碼。此外，消費者也應該定期更新自己的瀏覽器、防毒軟體、作業系統等，以修補任何潛在的漏洞，並提高自己的設備的安全性。
• 保持警覺，不要隨意點擊可疑的連結或附件：消費者應該保持警覺，不要隨意點擊任何來自不明來源的連結或附件，例如電子郵件、簡訊、社交媒體等。這些連結或附件可能是駭客的釣魚攻擊，試圖引導消費者到假冒的網站，或者下載惡意軟體，以竊取消費者的個人資料或控制消費者的設備。消費者應該仔細檢查發件人的身份、郵件的內容、連結的網址等，以辨別真偽。

• 及時檢查帳單和交易記錄：消費者應該及時檢查自己的信用卡帳單和網購交易記錄，以確認所有的金額和項目都是正確的，沒有任何未經授權的活動。如果消費者發現任何可疑的交易，應該立即聯繫信用卡公司或網站客服，並報告該問題，以尋求解決方案。

網購是一種方便和快捷的購物方式，但也需要消費者注意自己的網路安全。消費者應該遵循一些安全網購的最佳實踐，如使用可靠的網站、檢查網址和憑證、使用信用卡和安全的付款方式、避免使用公共網路和設備、定期更新密碼和軟體、保持警覺，不要隨意點擊可疑的連結或附件、及時檢查帳單和交易記錄等，以保護自己的個人資料和財務安全。消費者也應該保持理性和節制，不要被網購的誘惑所影響，而忽略了自己的實際需求和預算。

詳情請看：

4 Tips for Safe and Secure Holiday Shopping

Read More

無線網路安全注意事項

1. 設定SSID，並將無線網路設定為WPA2/3加密。

2. Wi-Fi密碼組成不要太簡單。

3. 管理介面的預設帳號密碼要修改。

4. 定期韌體更新無線路由器。

5. 不要隨意連接公共Wi-Fi，以免被竊聽或攻擊。

6. 不要隨意下載不明來源的軟體或點擊不明連結。

Read More

Help net security：OT 環境的勒索軟體影響

 Help net security發佈了一篇OT 環境的勒索軟體影響

OT（操作技術）環境是指控制和監測關鍵基礎設施的系統，例如電力、水利、交通等。這些系統的安全性對於社會的正常運作至關重要，但也面臨著越來越多的網路攻擊，尤其是勒索軟體的威脅。

勒索軟體是一種惡意軟體，它可以加密受害者的資料或系統，並要求支付贖金以恢復正常。如果不支付，則資料或系統可能會被永久銷毀或洩露。勒索軟體的攻擊者通常是為了經濟利益而行動，但也有可能是受到國家支持或影響的。

OT 環境的勒索軟體攻擊在近年來呈現上升的趨勢，有幾個主要的原因：

• OT 環境與互聯網的連接越來越多，使得攻擊者可以更容易地找到和利用漏洞。
• OT 環境的系統通常使用多種不同的協議和標準，這增加了安全管理的複雜性和成本。
• OT 環境的系統往往是老舊的，沒有及時更新和維護，也缺乏有效的備份和恢復機制。
• OT 環境的人員可能缺乏足夠的安全意識和培訓，容易犯錯或被騙。

OT 環境的勒索軟體攻擊的影響可能非常嚴重，不僅會造成經濟損失，還可能危及人員的生命安全和社會的穩定。例如，2023 年 5 月，美國的殖民地管道公司遭到勒索軟體攻擊，導致其運送石油的管道暫停運作，引發了油價上漲和民眾搶購的恐慌。同年 10 月，台灣的中油公司也遭到勒索軟體攻擊，影響了其煉油廠和加油站的運作，造成民眾的不便和不安。

為了防範和應對 OT 環境的勒索軟體攻擊，各個組織需要採取一系列的措施，包括：

• 建立跨部門的安全團隊，將 OT 環境的安全責任歸屬於 CISO（首席資訊安全官）。
• 實施強大的網路隔離、身份驗證、存取控制、漏洞管理、加密和異常檢測等基礎安全措施。
• 定期更新和維護 OT 環境的系統，並建立有效的備份和恢復機制。
• 提高 OT 環境的人員的安全意識和培訓，並建立安全文化。
• 利用專業的安全服務和工具，例如 OT-CERT（操作技術緊急應變小組），來提供 OT 環境的威脅情報、事件處理和最佳實踐。

OT 環境的勒索軟體攻擊是一個嚴峻的挑戰，需要各個組織的高度重視和積極應對。只有通過全面的安全策略和措施，才能保護 OT 環境的正常運作，並維護關鍵基礎設施的安全和穩定。

詳情請看：

Industry regulations and standards are driving OT security priorities

Read More

Help net security：組織正在努力應對哪些網路安全控制措施？

Help net security發佈了一篇組織正在努力應對哪些網路安全控制措施？

本報告旨在介紹雲端資安架構的概念和好處，並分析組織在使用雲端服務時面臨的主要風險和挑戰。報告還提供了一些建議，幫助組織選擇和實施合適的雲端資安控制，以保護其資料和基礎設施。

雲端資安架構的定義和目的

雲端資安架構是一種系統化的方法，用於識別、評估和減輕雲端環境中的資安風險。它提供了一步一步的指導，關於雲端供應鏈中的哪些方應該實施哪些資安控制。

雲端資安架構的目的是幫助組織實現以下目標：

• 確保雲端服務的可用性、完整性和機密性
• 遵守相關的法規和標準
• 提高雲端服務的效率和效益
• 增強雲端服務的信任和信譽

雲端服務的風險和挑戰

雲端服務雖然帶來了許多優勢，如經濟性、可擴展性、靈活性和易用性，但也帶來了一些資安風險和挑戰，主要包括以下幾個方面：

• 雲端服務的擴散：組織可能無法控制和監測其員工使用的雲端服務的數量和類型，導致成本增加、效率降低和資安問題增加。例如，一個平均的員工每天使用約36種雲端服務，而企業約有60%的資料存儲在雲端。
• 雲端服務的控制和所有權：組織在使用雲端服務時，必須將其資料和基礎設施的一部分控制和所有權交給雲端服務提供商（CSP）。不同的雲端模式（如軟體即服務、基礎設施即服務、平台即服務等）會有不同的資安控制分配，因此CSP可能無法滿足組織的所有資安需求。此外，CSP可能對組織的資安用例缺乏深入的了解，進一步增加了合作的障礙。
• 雲端服務的資安責任：許多組織在使用雲端服務時，沒有充分了解和確定資安責任的分配，導致資安漏洞和事故的發生。組織不能忽視、推卸或假設所有的資安控制都由CSP負責，而應該進行自己的盡職調查，根據資安情境選擇合適的控制，否則可能無法正確地處理資安風險。

雲端資安架構的選擇和實施

為了有效地應對雲端服務的資安風險和挑戰，組織應該選擇和實施一個適合其業務需求和目標的雲端資安架構。以下是一些建議：

• 在部署任何新的業務服務或產品之前，要求實施資安控制。這樣可以確保雲端服務在設計和開發階段就考慮到資安因素，避免事後補救的成本和風險。
• 按照每個數位轉型的里程碑，逐步地應用資安控制。這樣可以適應雲端服務的變化和演進，並及時發現和解決資安問題。
• 選擇一個符合國際標準和最佳實踐的雲端資安架構。例如，國際標準化組織（ISO）的ISO/IEC 27017和ISO/IEC 27018，以及美國國家標準技術研究所（NIST）的NIST SP 800-144和NIST SP 800-145等，都提供了有關雲端資安的指導和建議。
• 與CSP建立清晰和透明的合約和協議，明確規定雙方的資安責任和義務。例如，要求CSP提供資安政策和程序的文件，並定期進行資安審計和測試。
• 監測和評估雲端服務的資安狀況和績效，並及時採取改進措施。例如，使用資安儀表板和報告，以及資安事件管理和回應機制，來跟蹤和分析雲端服務的資安風險和事件。

雲端資安架構是一種有效的方法，幫助組織在使用雲端服務時提升其資安防禦能力。組織應該根據自己的業務需求和目標，選擇和實施一個適合的雲端資安架構，並與CSP建立良好的合作關係，共同應對雲端服務的資安風險和挑戰。

詳情請看：

Which cybersecurity controls are organizations struggling with?

Read More

HelpNetSecurity：企業對新型網絡安全技術的需求因素

 HelpNetSecurity發佈了一篇企業對新型網絡安全技術的需求因素

根據CCgroup的研究，儘管經濟形勢不佳，但網絡安全產品和服務的市場仍然保持旺盛。該研究發現，美國78%和英國58%的企業在過去一年增加了網絡安全投資，而81%的企業在未來12個月內打算與新的供應商合作。投資的前三大解決方案是端點安全、應用安全和欺詐預防。然而，儘管尋找新的供應商，但37%的美國和24%的英國企業預計明年會看到預算削減。在這種背景下，網絡安全供應商必須調整他們獲取新業務的方式。

網絡安全供應商可以採取多種方法來提高他們在競爭激烈的市場中的曝光度，並增加被選入RFP流程的機會。這些方法包括：

• 利用多種渠道來提高供應商知名度。網絡安全技術買家確認，建立他們對供應商的認識最有影響力的渠道是行業分析師、更廣泛的商業活動、商業技術媒體和行業媒體。
• 重視長篇內容在供應商內容策略中的作用。長篇內容——無論是由供應商還是行業分析師撰寫——被證明是最受歡迎的，其中博客在兩個市場中都排名第一（美國92%，英國93%），其次是行業分析師報告（88%）和案例研究（87%）。網絡安全技術買家尋找能夠證明供應商能夠解決他們的問題、理解他們的業務、證明解決方案的價值、並成為行業知識可靠來源的內容。
• 注重性價比是影響投資決策的最大因素。根據美國（61%）和英國（48%）受訪者的說法，驅動選擇的供應商屬性中最重要的是性價比。然而，經濟限制並不是唯一的因素：價值觀和道德觀念緊隨其後（分別為60%和47%）。在當前的氣候下，買家在支出方面表現出謹慎，但他們要求更多的回報，而不是選擇更便宜的選項。同時，他們尋求與他們分享原則和道德的合作夥伴。

詳情請看：

Top factors driving enterprise demand for new cybersecurity technology

Read More

The Hacker News：關於 5G 網絡安全及其雲優勢的 5 個必須知道的事實

The Hacker News發佈了一篇關於 5G 網絡安全及其雲優勢的 5 個必須知道的事實

• 加密
• 隱私保護
• 認證授權
• 網絡切片
• 網絡設備安全保障方案

詳情請看：

5 Must-Know Facts about 5G Network Security and Its Cloud Benefits

Read More

The hacker news：分析惡意軟體的網路流量的方法

The hacker news發佈了一篇分析惡意軟體的網路流量的方法

惡意軟體的網路流量是指惡意軟體與其控制伺服器或其他目標之間的通訊數據。分析惡意軟體的網路流量可以幫助安全研究人員識別惡意軟體的功能、行為、目的和來源，並找出其可能造成的威脅和損害。

分析惡意軟體的網路流量的方法有以下幾個步驟：

• 捕獲惡意軟體的網路流量：這一步需要在一個隔離的環境中執行惡意軟體，並使用網路監測工具，如Wireshark，來捕獲惡意軟體產生的網路流量。捕獲的網路流量通常以pcap格式儲存，以便後續分析。
• 過濾和分類惡意軟體的網路流量：這一步需要將捕獲的網路流量中與惡意軟體相關的數據包過濾出來，並根據其協議、埠號、目的地等特徵進行分類。這可以幫助識別惡意軟體使用的網路通訊方式，如HTTP、HTTPS、DNS、FTP等，以及惡意軟體的控制伺服器或其他目標的IP地址或域名。
• 解碼和解密惡意軟體的網路流量：這一步需要將惡意軟體的網路流量中的數據包內容進行解碼和解密，以獲取惡意軟體的通訊內容。這可能需要使用一些工具，如NetworkMiner、Fiddler、Burp Suite等，來重建惡意軟體的網路流量，或者使用一些工具，如XORSearch、CyberChef、Cryptool等，來破解惡意軟體的編碼或加密算法。
• 分析惡意軟體的網路流量的意義：這一步需要將惡意軟體的網路流量的通訊內容進行分析，以瞭解惡意軟體的功能、行為、目的和來源。這可能需要使用一些工具，如YARA、Volatility、Cuckoo等，來檢測惡意軟體的特徵、記憶體快照、沙箱報告等，或者使用一些工具，如Maltego、Shodan、VirusTotal等，來追蹤惡意軟體的控制伺服器或其他目標的相關資訊。

分析惡意軟體的網路流量是一個重要的安全技能，它可以幫助安全研究人員深入瞭解惡意軟體的本質和威脅，並採取有效的防禦和應對措施。

詳情請看：

How to Analyze Malware's Network Traffic in A Sandbox

Read More

Tenable：企業資訊安全領導者如何馴服 ChatGPT 野獸

Tenable發佈了一篇文章企業資訊安全領導者如何馴服 ChatGPT 野獸

文章中提供的建議具體策略包括：

• 識別風險及其潛在影響
• 起草關於誰可以使用這些工具以及如何使用這些工具的政策，以減輕風險
• 選擇具有可定制安全性和策略的生成式 AI 提供商
• 考慮組織控制下的本地替代方案

詳情請看：

Cybersecurity Snapshot: How Enterprise Cyber Leaders Can Tame the ChatGPT Beast

Read More

Help net security：供應鏈攻擊對企業的影響

 Help net security發佈了一篇供應鏈攻擊對企業的影響

本報告旨在分析供應鏈攻擊的特徵、原因和後果，並提出一些防範和應對的建議。供應鏈攻擊是指黑客利用供應鏈中的弱點，入侵目標企業或組織的網絡系統，從而造成數據洩露、勒索或破壞的行為。供應鏈攻擊的威脅日益增加，主要有以下幾個原因：

• 供應鏈的複雜性和相互依賴性。供應鏈涉及多個參與方，包括供應商、合作夥伴、客戶等，每個參與方都可能成為攻擊的入口點。黑客可以利用供應鏈中的任何一個環節，來傳播惡意軟件或竊取數據，從而影響整個供應鏈的安全和效率。
• 供應鏈的數字化和雲化。隨著企業越來越多地使用雲服務、物聯網、人工智能等技術，來提升供應鏈的靈活性和創新性，也同時增加了供應鏈的攻擊面和風險。黑客可以利用這些技術的漏洞或配置錯誤，來竊取或破壞數據，或者對供應鏈的運作造成干擾或瘫痪。
• 供應鏈的全球化和跨境性。供應鏈的範圍和規模不斷擴大，涉及不同的地域和法律環境。這意味著供應鏈需要遵守不同的法規和標準，並面臨不同的政治和經濟壓力。黑客可以利用這些差異和不一致，來進行跨境的攻擊，或者利用某些國家或地區的法律空白或薄弱，來逃避追究或制裁。

供應鏈攻擊對企業的影響是巨大的，不僅會造成經濟損失，還會損害企業的聲譽、信任和競爭力。根據Allianz的報告，供應鏈攻擊是導致企業數據洩露的主要原因之一，而數據洩露的平均成本為$3.86百萬美元。此外，供應鏈攻擊還可能導致供應鏈的中斷或延遲，影響企業的生產和服務，甚至危及公共安全和國家安全。例如，2022年的SolarWinds攻擊，就影響了超過18000個客戶，包括美國政府機構和大型企業，被認為是歷史上最嚴重的供應鏈攻擊之一。

為了防範和應對供應鏈攻擊，企業需要採取以下一些措施：

• 建立和完善供應鏈的安全管理體系。企業需要對供應鏈的風險進行評估和監測，並制定相應的政策和流程，來確保供應鏈的安全和合規。企業還需要定期對供應鏈的安全狀況進行審核和測試，並及時修復發現的漏洞或問題。
• 加強供應鏈的安全意識和培訓。企業需要提高供應鏈中所有參與方的安全意識和能力，並給予他們適當的培訓和指導，讓他們能夠識別和防止供應鏈攻擊的嘗試，並及時報告和處理發生的事件。
• 建立和維護供應鏈的安全合作和溝通。企業需要與供應鏈中的其他參與方建立信任和透明的關係，並共享供應鏈的安全信息和最佳實踐，以提升供應鏈的整體安全水平和應變能力。企業還需要與相關的政府機構、行業組織和專業服務商進行合作和協調，以獲得更多的支持和資源。

供應鏈攻擊是當今企業面臨的一個重大的安全挑戰，需要引起高度的重視和警惕。企業需要採取有效的措施，來提升供應鏈的安全防護和應對能力，以減少供應鏈攻擊的可能性和影響。同時，企業也需要與供應鏈中的其他參與方和相關的利益相關者，建立和發展供應鏈的安全合作和溝通，以共同應對供應鏈攻擊的威脅和挑戰。

詳情請看：

Organizations prefer a combination of AI and human analysts to monitor their digital supply chain

Read More

HelpNetSecurity：OT 安全的本質：實現 CISA 網絡安全績效目標的主動指南

HelpNetSecurity發佈了一篇文章OT 安全的本質：實現 CISA 網絡安全績效目標的主動指南

• CPG 1.0 識別：找出 OT 環境中的漏洞
• CPG 2.0 Protect：保護對 OT 資產的特權訪問
• CPG 3.0 Detect：了解 OT 環境中的關鍵威脅和潛在攻擊媒介
• CPG 4.0 和 5.0：響應和恢復

詳情請看：

The essence of OT security: A proactive guide to achieving CISA’s Cybersecurity Performance Goals

Read More

Fortinet：展望未來：我們作為網路安全未來 2030 計畫策略合作夥伴的角色

 Fortinet發佈了一篇展望未來：我們作為網路安全未來 2030 計畫策略合作夥伴的角色

數字安全是當今社會面臨的重大挑戰之一，隨著網絡邊緣的擴展和威脅的演變，安全團隊需要不斷地應對新的風險和攻擊。為了幫助公共和私營部門的領導者們更好地理解和預測未來的數字安全趨勢和挑戰，Fortinet作為一家全球領先的網絡安全解決方案和服務提供商，參與了Cybersecurity Futures 2030倡議，這是一個由加州大學柏克萊分校的中心網絡安全研究所（CNS）發起的多方合作項目。

Cybersecurity Futures 2030倡議旨在通過創建和分析四種可能的未來情景，探索數字安全在未來十年內的發展方向和影響因素。這四種情景分別是：

• 數字繁榮：這是一種積極的情景，其中數字技術和安全創新帶來了社會和經濟的增長和福祉，並促進了全球合作和治理。
• 數字分裂：這是一種負面的情景，其中數字技術和安全的發展受到了政治和地緣的分歧和對抗，導致了數字世界的碎片化和不穩定。
• 數字平衡：這是一種中性的情景，其中數字技術和安全的發展取決於不同利益相互平衡和協調，並反映了多元化的價值觀和需求。
• 數字混沌：這是一種極端的情景，其中數字技術和安全的發展遭遇了重大的中斷和危機，並引發了社會和經濟的動盪和不確定性。

這些情景不是預測或假設，而是用於引發思考和討論的工具，幫助各方利益相關者識別和應對未來的數字安全挑戰和機遇。Fortinet作為Cybersecurity Futures 2030倡議的戰略合作夥伴，積極參與了情景的設計和評估，並提供了其在網絡安全領域的專業知識和視角。Fortinet的首席安全戰略官Derek Manky表示，Fortinet的願景是通過創新和協作，為全球創造一個更安全的數字未來，而Cybersecurity Futures 2030倡議正是這一願景的體現。

Fortinet通過其安全網絡平台，為客戶提供了全面的數字安全解決方案，包括威脅情報和安全服務，以及涵蓋混合環境、雲端、運營技術和所有邊緣的產品。Fortinet的安全網絡平台能夠實現安全的集成和自動化，降低反應時間和管理複雜性，並幫助客戶應對不斷變化的威脅景觀。此外，Fortinet還通過其NSE認證計劃，Engage合作夥伴計劃，以及與學術界、政府和行業組織的合作，致力於提升網絡安全的技能和意識，並推動網絡安全的發展和標準化。

Fortinet作為Cybersecurity Futures 2030倡議的戰略合作夥伴，展現了其在網絡安全領域的領導地位和責任感，並將繼續與各方利益相關者共同探索和構建一個更安全的數字未來。

詳情請看：

Looking Forward: Our Role as a Cybersecurity Futures 2030 Initiative Strategic Partner

Read More

GitHub上最受歡迎的十個網路安全項目

GitHub是全球最大的開源軟體平台，上面有許多優秀的網路安全項目，可以幫助開發者和安全專家提高自己的技能和知識。根據Help Net Security的報導，以下是GitHub上最受歡迎的十個網路安全項目，按照星星數量排序。The Web Application Hacker’s Handbook：這本書是網路安全界的經典之作，涵蓋了各種網路攻擊和防禦的技術和方法，包括SQL注入、跨站腳本、跨站請求偽造、身份驗證和授權等。這個項目提供了書中的所有範例代碼和解答，以及一些額外的資源和工具。
Awesome Hacking：這個項目收集了各種與黑客相關的主題、資源和工具，包括學習資料、線上課程、書籍、播客、社群、挑戰、工具、框架等。這個項目可以幫助初學者和高手找到自己感興趣的內容和學習路徑。
Metasploit Framework：這個項目是一個知名的滲透測試和漏洞利用的框架，提供了數千個模組，可以用來掃描、攻擊和防禦各種系統和應用。這個項目也支援自定義模組和插件，以及與其他工具的整合。
Nmap：這個項目是一個強大的網路探測和安全審計的工具，可以用來掃描主機、服務、端口、操作系統、防火牆等。這個項目也提供了一個腳本引擎，可以用來執行各種自定義或預設的腳本，以實現更多的功能和靈活性。
OWASP ZAP：這個項目是一個開源的網路應用安全測試工具，可以用來找出網站和應用中的漏洞和風險。這個項目支援手動和自動測試，以及多種攻擊模式，如主動掃描、被動掃描、惡意請求攔截等。
Wireshark：這個項目是一個廣泛使用的網路封包分析工具，可以用來捕捉、過濾和解析各種協議和數據。這個項目可以幫助分析網路問題、偵測異常行為、調試應用等。
Burp Suite：這個項目是一個集成的網路應用安全測試平台，提供了多種工具，如代理、掃描器、重播器、解碼器、比較器等。這個項目可以幫助測試和攻擊網站和應用，以及修改和操縱數據。
SQLMap：這個項目是一個自動化的SQL注入和數據庫接管的工具，可以用來探測、利用和提取數據庫中的數據。這個項目支援多種數據庫系統，如MySQL、Oracle、PostgreSQL等，以及多種注入技術，如布爾、時間、錯誤等。
John the Ripper：這個項目是一個快速的密碼破解工具，可以用來猜測和恢復各種加密或雜湊的密碼。這個項目支援多種密碼格式，如UNIX、Windows、ZIP等，以及多種破解模式，如字典、暴力、混合等。
Hydra：這個項目是一個平行化的登錄破解工具，可以用來對各種服務和協議進行暴力猜測。這個項目支援多種服務和協議，如FTP、SSH、HTTP等，以及多種選項和參數，如字典、代理、超時等。

以上就是GitHub上最受歡迎的十個網路安全項目的報告，希望您能從中學到一些有用的知識和技能。如果您對這些項目有興趣，您可以訪問它們的GitHub頁面 或官方網站 來了解更多的細節和使用方法。謝謝您的閱讀！

Read More

Mcafee：保護您的孩子免受不當線上內容侵害的五種方法

 Mcafee發佈了一篇保護您的孩子免受不當線上內容侵害的五種方法

網路是一個充滿資訊和娛樂的地方，但也有一些不適合兒童的內容，例如暴力、色情、欺凌、詐騙等。這些內容可能對兒童的心理和身體健康造成負面的影響，甚至危及他們的安全。因此，作為家長，你需要採取一些措施，來保護你的孩子免受這些不適當的網路內容的影響。以下是五個有效的方法：

1. 設定家庭規則。你可以和你的孩子一起討論和制定一些關於網路使用的家庭規則，例如每天上網的時間、地點、目的、內容等。你也可以要求你的孩子在上網前徵得你的同意，並在上網後告訴你他們看了什麼。這樣可以讓你了解你的孩子的網路習慣，並及時發現和處理任何問題。
2. 使用網路過濾軟體。網路過濾軟體可以幫助你篩選和屏蔽一些不適合兒童的網站、應用程式、影片、圖片等。你可以根據你的孩子的年齡和興趣，選擇合適的過濾程度和類別。你也可以自己添加或刪除一些網址，來自定義你的過濾清單。有些網路過濾軟體還可以提供你一些監控和報告功能，讓你可以追蹤和分析你的孩子的網路活動。
3. 教育你的孩子網路安全知識。你可以和你的孩子一起學習和討論一些網路安全的知識，例如如何辨別和避免一些網路詐騙、如何保護自己的個人資料和隱私、如何應對一些網路欺凌和騷擾等。你可以利用一些網路安全教育的資源，例如McAfee的網路安全教育中心，來幫助你的孩子建立一些網路安全的態度和技能。
4. 與你的孩子保持良好的溝通。你可以定期和你的孩子聊聊他們在網路上看到和遇到的事情，並表達你的關心和支持。你可以傾聽你的孩子的想法和感受，並給予他們一些正面和建設性的回饋。你也可以分享你自己的網路經驗和觀點，並和你的孩子一起探討一些網路道德和價值觀的問題。這樣可以增強你和你的孩子的信任和親密，並幫助他們培養一些網路素養和批判思考能力。
5. 給你的孩子提供一些其他的娛樂選擇。你可以鼓勵你的孩子參與一些其他的娛樂活動，例如運動、閱讀、繪畫、音樂、手工等。這些活動可以豐富你的孩子的生活，並提高他們的身心健康。你也可以和你的孩子一起參與一些家庭活動，例如玩遊戲、看電影、做飯、旅行等。這些活動可以增進你和你的孩子的感情，並創造一些美好的回憶。

網路是一個有利有弊的地方，作為家長，你需要盡你的責任，來保護你的孩子免受不適當的網路內容的影響。通過以上的五個方法，你可以幫助你的孩子建立一個安全、健康、有趣的網路環境，並讓他們享受網路帶來的好處。

詳情請看：

Five Ways To Protect Your Kids From Inappropriate Online Content

Read More

如何保護您的帳號安全

在資訊安全的領域中，帳號保護是一個重要的議題。帳號是我們在網路上存取各種服務和資源的憑證，如果被盜用或破解，可能會造成個人資料洩露、財產損失、身分冒用等嚴重後果。因此，我們需要採取一些措施來提高帳號的安全性，避免成為黑客或惡意程式的目標。

首先，我們要選擇一個強度高的密碼，避免使用姓名、生日、電話號碼等容易被猜測或暴力破解的組合。密碼最好包含大小寫字母、數字和符號，並且長度至少8個字元。此外，我們也要定期更換密碼，並且不要在不同的網站或服務上使用相同的密碼。

其次，我們要啟用雙重驗證（2FA）或多重因素驗證（MFA），這是一種在登入帳號時，除了輸入密碼外，還需要提供另一種驗證方式的機制。例如，使用手機收到的簡訊驗證碼、使用安全金鑰或指紋辨識等。這樣可以增加帳號的保護層，即使密碼被盜取，也無法輕易登入帳號。

最後，我們要注意自己的上網行為和習慣，避免在不安全的環境或裝置上登入帳號，例如公共電腦或未加密的無線網路。也要小心不要點擊可疑的連結或附件，或是透露自己的帳號密碼給任何人。如果發現帳號有異常的活動或登入紀錄，要立即更改密碼並聯絡服務提供者。

Read More

Cybersecurity insiders：十大CISSP壓力的學習技巧和技巧

 Cybersecurity insiders發佈了一篇十大CISSP壓力的學習技巧和技巧

CISSP（Certified Information Systems Security Professional）是一項國際認可的資訊安全認證，旨在證明個人在資訊安全領域的專業知識和能力。CISSP 考試涵蓋了八個安全領域，包括安全和風險管理、資產安全、安全架構和工程、通訊和網路安全、身份和存取管理、安全評估和測試、安全運營和軟體開發安全。CISSP 考試的難度和範圍都很廣泛，因此考生需要有充分的準備和有效的學習策略，才能在考試中取得好成績。

根據 Cybersecurity Insiders 的文章，以下是一些有助於減輕 CISSP 考試壓力的學習技巧和建議：

• 制定學習計劃：考生應該根據自己的學習風格、時間和目標，制定一個合理的學習計劃，並堅持執行。學習計劃應該包括學習資源、學習主題、學習時長、學習頻率和評估方法等要素。
• 選擇合適的學習資源：考生應該選擇符合自己需求和水平的學習資源，例如官方指南、參考書籍、線上課程、模擬試題、練習題庫等。考生應該多元化地使用不同類型的學習資源，以增加學習效果和興趣。
• 建立學習群組：考生可以與其他有相同目標的人建立學習群組，互相交流、討論和分享學習心得和經驗。學習群組可以提供互動、支持和鼓勵，幫助考生克服學習困難和壓力。
• 理解考試要求：考生應該清楚地了解 CISSP 考試的要求，包括報名流程、考試規則、考試內容、考試格式、考試時間、考試費用、考試地點等。考生應該提前做好考試的準備，避免出現意外的情況。
• 掌握考試技巧：考生應該掌握一些有助於提高考試成績的技巧，例如閱讀題目、排除錯誤選項、利用排除法、運用邏輯推理、注意時間管理等。考生應該多做模擬試題，熟悉考試的題型和難度，提高自己的信心和速度。
• 保持身心健康：考生應該注意保持身心健康，適當地休息、運動和放鬆。考生應該避免過度壓力、焦慮和疲勞，保持積極和樂觀的心態。考生應該適時地獎勵自己，激發自己的動力和興趣。

詳情請看：

Top 10 CISSP Stress-Busting Study Tips & Tricks

Read More

HelpNetSecurity：Appdome 的 Build-to-Test 簡化了移動應用程序網絡安全測試

HelpNetSecurity發佈了Appdome 的 Build-to-Test 簡化了移動應用程序網絡安全測試

• 對受 Appdome 保護的移動應用程序進行全自動測試
• 全自動移動應用程序測試服務，用於驗證受 Appdome 保護的移動應用程序中的網絡防禦
• 降低在自動化環境中測試受保護的移動應用程序時的複雜性
• 無需分別測試受保護和未受保護的構建
• 使用 Appdome 防禦保護測試構建，以確保改進 DevSecOps 合規性

詳情請看：

Appdome’s Build-to-Test streamlines mobile app cybersecurity testing

Read More

Fortinet：揭開CASB及其在Sase中的作用

 Fortinet發佈了一篇揭開CASB及其在Sase中的作用

SASE（安全接入服務邊緣）是一種新興的網絡安全架構，它將網絡和安全服務集成到一個雲端平台中，以實現靈活、可擴展和安全的連接。SASE的核心服務之一是CASB（雲端訪問安全代理），它是一種解決方案，可以幫助組織保護其在雲端的數據和應用。本報告將介紹CASB在SASE中的作用和優勢，並提出一些選擇和部署CASB的建議。

• CASB在SASE中的作用：CASB是一種位於用戶和雲端服務提供商之間的代理，它可以實施一系列的安全策略，例如身份驗證、授權、加密、數據損失預防、威脅防護等。CASB可以幫助組織解決以下幾個雲端安全的挑戰：
  • 可見性：CASB可以提供對組織使用的雲端服務和數據的全面和即時的可見性，包括誰、什麼、何時、何地、如何訪問雲端資源。這可以幫助組織識別和管理雲端風險，並遵守相關的法規和標準。
  • 控制：CASB可以基於組織的安全需求和業務邏輯，對雲端服務和數據的訪問和使用進行細粒度的控制。例如，CASB可以根據用戶的身份、角色、設備、位置等因素，允許或拒絕對雲端服務的訪問，或者對數據進行加密、遮罩、水印等處理。
  • 保護：CASB可以利用先進的技術，例如機器學習、行為分析、沙箱等，來防止和檢測雲端服務和數據的威脅和漏洞。例如，CASB可以識別和阻止惡意軟件、勒索軟件、釣魚、零日攻擊等，並及時報告和修復安全事件。
• CASB在SASE中的優勢：CASB作為SASE的一部分，可以帶來以下幾個優勢：
  • 簡化：CASB可以與SASE的其他服務，例如SD-WAN、FWaaS、ZTNA等，通過一個統一的雲端平台進行集成和管理，減少了複雜性和成本，並提高了效率和一致性。
  • 擴展：CASB可以根據SASE的彈性和動態的特性，隨著組織的雲端服務和數據的增長和變化，進行快速和無縫的擴展，滿足不同的規模和性能的需求。
  • 安全：CASB可以通過SASE的全面和深入的安全保護，實現對雲端服務和數據的端到端的安全，從而降低了風險和損失，並提高了信任和合規。
• 選擇和部署CASB的建議：在選擇和部署CASB時，組織應該考慮以下幾個因素：
  • 需求：組織應該根據自己的雲端安全的目標和挑戰，確定需要哪些CASB的功能和服務，例如可見性、控制、保護等，並選擇能夠滿足這些需求的CASB解決方案。
  • 架構：組織應該根據自己的網絡和雲端環境，確定適合自己的CASB的架構和部署模式，例如API、代理、混合等，並選擇能夠支持這些架構和模式的CASB解決方案。
  • 集成：組織應該根據自己的現有的網絡和安全基礎設施，確定需要與哪些系統和平台進行集成，例如身份和訪問管理、安全資訊和事件管理、雲端服務提供商等，並選擇能夠實現這些集成的CASB解決方案。
  • 供應商：組織應該根據自己的預算和資源，確定需要哪些供應商的支持和服務，例如技術、咨詢、培訓、維護等，並選擇能夠提供這些支持和服務的CASB解決方案。

詳情請看：

Demystifying CASB and Its Role within SASE

Read More

人工智慧的規範：如何平衡創新與道德？

人工智慧的規範：如何平衡創新與道德？

人工智慧（AI）是一種具有巨大潛力的技術，可以改善人類的生活品質、提高效率、創造新的商業模式，甚至解決一些全球性的挑戰。然而，AI 也帶來了一些風險和挑戰，例如數據隱私、安全、偏見、責任、可解釋性、社會影響等。因此，AI 的發展需要遵循一些原則和規範，以確保其符合人類的價值觀和利益。

目前，世界各國和地區對於 AI 的規範有不同的立場和策略。有些國家強調 AI 的創新和競爭力，例如美國和中國；有些國家強調 AI 的道德和人權，例如歐盟和日本；有些國家則採取了中間的路線，例如英國和加拿大。這些不同的視角反映了不同的文化、政治、經濟和社會背景，也導致了不同的法律、政策和標準。

為了促進 AI 的全球合作和協調，一些國際組織和倡議已經提出了一些共同的原則和框架，例如聯合國教科文組織（UNESCO）、經濟合作與發展組織（OECD）、全球夥伴人工智慧（GPAI）等。這些原則和框架通常包括以下幾個方面：AI 應該是可信賴、公平、透明、可負責、可尊重人權和民主的。然而，這些原則和框架仍然需要具體化和實施，才能真正發揮作用。

因此，AI 的規範是一個複雜而多元的議題，需要多方面的參與和對話，包括政府、企業、學術界、民間社會、公眾等。AI 的規範也需要適應不斷變化的技術和社會環境，並在創新與道德之間找到一個平衡點。只有這樣，AI 才能成為一種造福人類的技術。

Read More

Mcafee：如何培養負責任的數字公民

 Mcafee發佈了一篇如何培養負責任的數字公民

隨著科技的發展，我們的孩子越來越多地接觸到網路世界，但這也帶來了許多風險和挑戰。作為家長，我們有責任教導我們的孩子如何安全、合理、道德地使用網路，成為負責任的數位公民。以下是一些實用的建議：

• 與孩子建立信任和溝通。我們應該尊重孩子的網路隱私，但也要監督他們的網路活動，並定期與他們討論網路的利弊，鼓勵他們分享他們在網路上的經歷和感受。
• 教導孩子網路安全的基本原則。我們應該教導孩子如何保護自己的個人資訊，不要隨意點擊可疑的連結或下載，不要與陌生人在網路上交流或見面，不要在網路上發布或轉發不恰當的內容，並使用可靠的防毒軟體和網路安全工具。
• 教導孩子網路禮儀和道德。我們應該教導孩子如何尊重他人的權利和感受，不要在網路上欺凌、辱罵、嘲笑或傷害他人，不要抄襲或盜用他人的作品，不要散佈或相信虛假或誤導性的資訊，並遵守網路規範和法律。
• 教導孩子網路素養和批判思考。我們應該教導孩子如何有效地搜尋、評估、使用和分享網路資源，不要盲目相信或追隨網路上的流行或潮流，不要被網路上的廣告或誘惑所影響，並培養他們對網路資訊的分析和判斷能力。
• 教導孩子網路平衡和健康。我們應該教導孩子如何控制自己的網路使用時間和頻率，不要讓網路影響他們的學習、生活和人際關係，不要讓網路成為他們的壓力或逃避的來源，並鼓勵他們參與更多的戶外活動和社交活動。

網路是一個充滿機會和挑戰的世界，我們的孩子需要我們的引導和支持，才能在這個世界中安全、快樂、有意義地成長。讓我們一起努力，培養我們的孩子成為負責任的數位公民吧！

詳情請看：

How to Raise Responsible Digital Citizens

Read More

Fortinet：通過採用混合架構提高生產力的 6 個技巧

Fortinet發佈了一篇通過採用混合架構提高生產力的 6 個技巧

1. 投資合適的下一代防火牆
2. 確保網絡與安全相結合
3. 納入零信任策略
4. 集中和自動化管理
5. 使用端到端數字體驗監控
6. 簡化操作

詳情請看：

6 Tips for Improving Productivity by Employing a Hybrid Architecture

Read More