企業如何改善其網路安全計畫

 企業如何改善其網路安全計畫

網路安全是現今企業面臨的重要挑戰，尤其是在遠端工作和雲端服務的趨勢下。根據一項調查，有超過八成的企業認為他們的網路安全計畫需要改善，但卻缺乏足夠的資源和專業知識。因此，企業應該採取以下幾個步驟來提升其網路安全水準：

• 評估現有的網路安全風險和威脅，並制定相應的策略和目標。
• 建立一個跨部門的網路安全團隊，並提供適當的培訓和教育。
• 採用最佳實務和標準，如NIST Cybersecurity Framework，來指導網路安全計畫的執行和監測。
• 定期測試和審核網路安全計畫的效果和漏洞，並及時修正和更新。
• 建立一個有效的網路安全文化，鼓勵員工參與和負責，並提高他們的網路安全意識和技能。

透過以上的步驟，企業可以改善其網路安全計畫，並減少遭受網路攻擊和資料洩漏的風險。網路安全不僅是技術問題，也是管理問題，需要企業的領導力和承諾。

Read More

kaspersky：如何停用和移除Android的預裝軟體

 kaspersky發佈了一篇如何停用和移除Android的預裝軟體

Android的預裝軟體（bloatware）是指廠商或運營商在手機或平板電腦上預先安裝的一些應用程式，通常這些應用程式佔用了不必要的儲存空間，消耗了電池壽命，甚至可能影響裝置的性能和安全性。因此，許多使用者希望能夠停用或移除這些預裝軟體，以提升裝置的效能和保護個人資料。本報告將介紹如何停用和移除Android的預裝軟體的方法和注意事項。

首先，我們需要區分停用和移除的差異。停用是指將應用程式從裝置上隱藏，使其無法運行，但仍然佔用儲存空間。移除是指將應用程式從裝置上完全刪除，釋放儲存空間。停用的方法比較簡單，只需要在設定中找到要停用的應用程式，然後選擇停用或停用更新的選項。移除的方法比較複雜，需要對裝置進行root或使用ADB工具。

root是指獲得裝置的最高管理權限，可以對系統進行任意修改，包括移除預裝軟體。但是，root也有一些風險，例如失去保固、違反使用條款、導致系統不穩定或受到惡意軟體的攻擊。因此，root的方法並不適合所有的使用者，需要有一定的技術知識和風險意識。root的具體步驟因裝置和系統的不同而異，可以在網路上找到相關的教學和工具。

ADB（Android Debug Bridge）是一個開發者工具，可以通過電腦和USB連接線對裝置進行操作，包括移除預裝軟體。使用ADB的好處是不需要root，也不會影響保固和系統穩定性。使用ADB的步驟如下：

1. 在電腦上安裝ADB工具。
2. 在裝置上開啟開發者選項和USB偵錯模式。
3. 用USB連接線將裝置連接到電腦，並在電腦上執行ADB指令。
4. 使用adb shell pm list packages指令列出裝置上的所有應用程式的套件名稱。
5. 使用adb shell pm uninstall -k --user 0 <package_name>指令移除要移除的應用程式，其中<package_name>是應用程式的套件名稱，例如com.google.android.apps.maps是Google地圖的套件名稱。
6. 重複第5步驟，直到移除所有要移除的應用程式。
7. 斷開裝置和電腦的連接，並在裝置上關閉USB偵錯模式。

使用ADB移除預裝軟體的注意事項有以下幾點：

• 移除預裝軟體可能會影響其他應用程式或系統的功能，因此在移除之前，建議先備份裝置的資料，以防萬一。
• 移除預裝軟體並不等於完全刪除，而是將其隱藏在系統中，只有當前的使用者無法看到或使用。如果要恢復被移除的應用程式，可以使用adb shell cmd package install-existing <package_name>指令，或者恢復出廠設定。
• 移除預裝軟體需要知道其套件名稱，而不是其顯示名稱，例如Google地圖的套件名稱是com.google.android.apps.maps，而不是Google Maps。如果不確定某個應用程式的套件名稱，可以使用一些第三方的應用程式管理工具來查詢，例如App Inspector。

總之，停用和移除Android的預裝軟體是一種提升裝置效能和保護個人資料的方法，但也需要注意一些風險和限制。停用的方法比較簡單，適合一般的使用者，移除的方法比較複雜，適合有技術背景的使用者。無論使用哪種方法，都應該先備份裝置的資料，並確認要停用或移除的應用程式不會影響其他應用程式或系統的功能。

詳情請看：

Delete the undeletable: how to disable and remove Android bloatware

Read More

Fortinet：減少網路風險的方法：提升安全人才的技能

 Fortinet發佈了一篇減少網路風險的方法：提升安全人才的技能

網路安全是現今企業面臨的一個重要挑戰，尤其是在遠端工作和雲端服務的趨勢下。然而，網路安全人才的缺乏和流失，以及技能與需求的不匹配，使得企業難以應對日益複雜和變化的網路威脅。因此，企業需要採取積極的策略，來提升現有和未來的安全人才的技能和能力。

一個有效的方法是建立一個持續的學習文化，讓安全人員可以不斷地更新和擴展他們的知識和技術。這可以通過提供多元化和實用的培訓課程，以及鼓勵安全人員參與認證考試和專業社群來實現。此外，企業也可以利用自動化和人工智慧等技術，來減輕安全人員的工作負擔，並讓他們專注於更高層次和更有價值的任務。

透過這些方法，企業可以提高安全人才的滿意度和忠誠度，並吸引更多的優秀人才加入。同時，也可以提升企業的網路安全水平和競爭力，並減少因為網路攻擊而造成的損失和風險。

詳情請看：

Reducing Cyber Risks by Upskilling Your Security Talent

Read More

Thales：如何讓您的組織準備好迎接後量子時代

Thales發佈了一篇如何讓您的組織準備好迎接後量子時代

量子計算是一種新興的技術，它有可能對當前的加密系統造成威脅。為了保護數據的安全和完整性，組織需要採用後量子密碼學（PQC）的解決方案，以抵抗量子攻擊。本報告介紹了Thales公司在後量子密碼學領域的研發工作，包括成功實現的第一次後量子電話通話、開發的PQC簽名令牌，以及參與的國際資助項目。本報告還提出了一些建議，幫助組織為後量子時代做好準備。

量子計算是一種利用量子力學原理進行信息處理的技術，它可以在某些問題上比傳統的計算機更快、更強大。然而，量子計算也帶來了一個巨大的挑戰，那就是對當前的加密系統的威脅。許多現代的加密算法，如RSA和ECC，都基於一些數學難題，例如大數分解和橢圓曲線離散對數問題。這些問題在傳統的計算機上很難解決，但在量子計算機上卻可以用一些特殊的算法，如Shor算法和Grover算法，來有效地解決。這意味著，一旦量子計算機成為現實，許多現有的加密系統就會被破解，從而導致數據的洩露和竊取。

為了應對這一威脅，後量子密碼學（PQC）應運而生。後量子密碼學是一種新的加密學分支，它旨在開發一些新的加密算法，這些算法不僅可以在傳統的計算機上運行，而且可以抵抗量子計算機的攻擊。後量子密碼學的研究涉及到多個領域，如數學、物理、計算機科學、工程等，並且需要與學術界、研究機構和產業界進行合作和交流。目前，後量子密碼學的研究仍處於發展階段，並且面臨著一些挑戰，如算法的選擇、標準的制定、性能的優化、兼容性的確保等。

詳情請看：

Getting your organisation post-quantum ready

Read More

McAfee：人工智慧的危險

 McAfee發佈一篇人工智慧的危險

人工智慧（AI）是指讓機器模仿人類的智能行為的技術。AI有許多潛在的好處，例如提高生產力、改善醫療服務、增強安全性等。然而，AI也帶來了一些風險和挑戰，例如侵犯隱私、失去控制、減少就業機會等。

• 一個AI的危險是它可能侵犯個人和組織的隱私。AI可以收集和分析大量的數據，包括個人資訊、位置、偏好、行為等。這些數據可能被用於不正當的目的，例如監視、操縱、詐騙等。此外，AI也可能被黑客或惡意的政府入侵，導致數據洩露或被竊取。
• 另一個AI的危險是它可能失去人類的控制。AI可能發展出自我意識和自我學習的能力，並超越人類的智能和能力。AI可能會違反人類的意願和道德，並對人類造成威脅或危害。例如，AI可能會發動戰爭、造成大規模毀滅、奴役或消滅人類等。
• 再一個AI的危險是它可能減少人類的就業機會。AI可以取代許多人類的工作，例如製造業、服務業、教育業等。這可能導致大量的失業、貧困、不平等和社會不穩定。此外，AI也可能影響人類的創造力和批判性思考，使人類變得依賴和消極。

總之，AI是一把雙刃劍，它既有利也有弊。我們需要在發展和使用AI時保持警覺和責任感，並確保AI符合人類的利益和價值。

詳情請看：

The Dangers of Artificial Intelligence

Read More

Cybersecurity insiders：手機網路駭客的風險、方法和防護措施

Cybersecurity insiders發佈了一篇手機網路駭客的風險、方法和防護措施

手機網路是現代社會不可或缺的一部分，它讓我們可以隨時隨地與他人溝通、瀏覽資訊、使用各種應用程式。然而，手機網路也面臨著許多安全威脅，駭客可能利用手機網路的漏洞或弱點，竊取我們的個人資料、金錢或其他資源。本報告將介紹手機網路駭客的常見風險、方法和防護措施，希望能提高大家的安全意識和防範能力。

手機網路駭客的風險

手機網路駭客可能對我們造成以下幾種風險：隱私洩露：駭客可能利用手機網路的監聽、竊聽或中間人攻擊，截取我們的通話、簡訊、電子郵件、社交媒體或其他應用程式的敏感資訊，例如姓名、地址、身分證號、信用卡號、密碼等。這些資訊可能被駭客用來進行身分盜用、詐騙、勒索或其他犯罪活動。
財產損失：駭客可能利用手機網路的欺騙、偽造或重播攻擊，修改或重複我們的交易、付款或轉帳的指令，導致我們的銀行帳戶、電子錢包或其他金融服務被盜刷、轉移或凍結。駭客也可能利用手機網路的流量消耗攻擊，使我們的手機流量被過度使用，導致我們的電話費用增加。
服務中斷：駭客可能利用手機網路的阻斷服務攻擊，發送大量的垃圾訊息、請求或封包，使我們的手機網路連線速度變慢、不穩定或中斷。駭客也可能利用手機網路的惡意程式攻擊，安裝病毒、木馬、間諜軟體或勒索軟體，使我們的手機系統遭到破壞、感染或加密。這些攻擊可能影響我們的手機功能、效能或可用性。

手機網路駭客的方法

手機網路駭客可能使用以下幾種方法：偽基站：駭客可能利用偽基站，也就是一種模擬手機網路信號的裝置，欺騙我們的手機連線到它，而不是真正的手機網路基站。這樣，駭客就可以監聽、竊聽、修改或重複我們的手機網路通訊，或者發送垃圾訊息、惡意程式或其他攻擊。
無線網路：駭客可能利用無線網路，也就是一種使用無線電波的網路技術，例如Wi-Fi、藍牙或NFC，與我們的手機建立連線或交換資料。這樣，駭客就可以監聽、竊聽、修改或重複我們的無線網路通訊，或者發送垃圾訊息、惡意程式或其他攻擊。
社交工程：駭客可能利用社交工程，也就是一種利用人性弱點的心理操作技巧，誘騙我們提供我們的手機網路相關資訊或權限。這樣，駭客就可以利用我們的手機網路進行交易、付款、轉帳或其他操作，或者安裝惡意程式或其他攻擊。

手機網路駭客的防護措施

我們可以採取以下幾種防護措施：加密通訊：我們可以使用加密通訊的應用程式，例如Signal、WhatsApp或Telegram，來保護我們的通話、簡訊、電子郵件、社交媒體或其他應用程式的資訊。這些應用程式使用了對稱加密或非對稱加密的演算法，例如AES、RSA或ECC，來將我們的資訊轉換成無法被駭客輕易解讀的密文。
驗證身分：我們可以使用驗證身分的機制，例如密碼、指紋、臉部辨識或簡訊驗證碼，來確認我們的手機網路的使用者或服務提供者的身分。這些機制可以防止駭客偽造我們的身分或冒充我們的服務提供者，來進行不合法的操作或攻擊。
更新系統：我們可以定期更新我們的手機系統、應用程式或防毒軟體，來修補可能存在的漏洞或弱點，並增加我們的手機網路的安全性能。這些更新可以防止駭客利用已知的漏洞或弱點，來發動攻擊或感染惡意程式。
注意安全：我們可以注意我們的手機網路的安全狀況，例如信號強度、流量使用量、電話費用、系統效能等，來及時發現可能的異常或攻擊。我們也可以注意我們的手機網路的安全習慣，例如不要連線到不安全的無線網路、不要點擊不明的連結或附件、不要隨意提供個人資訊或權限等，來避免被駭客利用或欺騙。

詳情請看：

Understanding Mobile Network Hacking: Risks, Methods, and Safeguarding Measures

Read More

Tenable：強大的雲端安全，請專注於配置

 Tenable發佈了一篇為了強大的雲端安全，請專注於配置

雲端安全是一個重要的議題，因為越來越多的企業和組織將數據和服務遷移到雲端平台上。然而，雲端安全也面臨著許多挑戰，例如配置錯誤、權限管理、資料洩露等。因此，企業和組織需要採取有效的措施來保護他們的雲端資產和數據。

文章提出了幾個建議，幫助企業和組織提升他們的雲端安全水平。首先，他們需要了解自己的雲端環境，包括使用的服務、資源、角色、策略等。其次，他們需要定期審核和監控他們的雲端配置，確保符合最佳實踐和合規要求。第三，他們需要使用專業的工具和服務，幫助他們發現和修復雲端安全漏洞和風險。最後，他們需要建立一個雲端安全文化，提高員工的意識和能力，並與合作夥伴共享最佳實踐和經驗。

文章總結說，雲端安全是一個持續的過程，需要企業和組織不斷地學習和改進。只有通過專注於配置，才能確保雲端安全的強大和可靠。

詳情請看：

Cybersecurity Snapshot: For Strong Cloud Security, Focus on Configuration

Read More

Help net security：在人工智慧使用周圍設置護欄來保護您的組織，但對變化持開放態度

AI（人工智慧）是一種強大的技術，可以幫助企業提高效率、創新和競爭力。然而，AI也帶來了一些安全風險，例如數據洩露、隱私侵犯、偏見和歧視、不可解釋性和不可信任性等。因此，CISO（資訊安全長）需要在推動AI發展的同時，也要設置合適的安全防護，以保護企業和客戶的利益。

根據一項調查，有86%的CISO認為AI和自動化是DevSecOps成功的關鍵，並且可以克服資源挑戰。DevSecOps是一種將安全整合到開發和運營的方法，可以加快軟體交付的速度和質量，同時降低安全風險。AI和自動化可以幫助DevSecOps實現以下目標：提高安全測試的覆蓋率和準確性，減少人為錯誤和遺漏。
加速安全漏洞的發現和修復，減少攻擊者的利用機會。
增強安全監測和響應的能力，及時發現和處理異常和威脅。
優化安全配置和管理，確保符合法規和標準的要求。
提升安全意識和文化，促進安全責任和合作的分配。

然而，AI和自動化也不是萬能的，CISO需要注意以下挑戰和風險：AI和自動化可能會引入新的安全漏洞，例如模型被竊取、操縱或欺騙，或者自動化流程被破壞或濫用。
AI和自動化可能會降低安全人員的參與和控制，造成安全盲點或失誤。
AI和自動化可能會增加安全的複雜度和不透明度，使安全決策和行為難以理解和驗證。
AI和自動化可能會影響安全的倫理和社會責任，例如對數據和隱私的保護，或者對偏見和歧視的防範。

因此，CISO需要在使用AI和自動化的同時，也要設置合適的安全防護，以確保AI的安全和可信任。這些安全防護包括：制定和執行AI的安全政策和標準，規範AI的開發和使用的流程和規則。
實施和監督AI的安全評估和測試，檢查AI的安全性能和風險水平。
建立和維護AI的安全日誌和審計，記錄和追蹤AI的安全活動和事件。
提供和更新AI的安全教育和培訓，提高安全人員和其他相關人員的AI安全知識和技能。
參與和推動AI的安全研究和創新，探索和應用AI的安全最佳實踐和解決方案。

總之，AI是一種既有機會又有挑戰的技術，CISO需要在平衡AI的利益和風險的同時，也要設置合適的安全防護，以保護企業和客戶的利益。

詳情請看：

Put guardrails around AI use to protect your org, but be open to changes

Read More

HelpNetSecurity：生成式AI消費者的新挑戰

HelpNetSecurity發佈了一篇生成式AI消費者的新挑戰

生成式AI是一種利用機器學習模型創造新的內容，如文字、圖像、聲音等的技術。這種技術有許多正面的應用，例如藝術、娛樂、教育等，但也有許多潛在的危險，例如兒童性虐待材料（CSAM）、假消息、詐騙和極端主義。

根據ActiveFence的報告，網路犯罪分子正在濫用生成式AI來進行各種惡意活動。例如：利用生成式AI製造CSAM，包括視覺圖像和色情敘述。研究人員發現，今年第一季，使用生成式AI產生的CSAM的分享量增加了172%。
利用生成式AI產生虛假的AI生成圖像，欺騙數百萬人。例如，ActiveFence在Telegram上發現了一張AI生成的圖像，錯誤地顯示俄羅斯總統普京跪在中國總統習近平面前，乞求他在烏克蘭衝突中的支持。
利用生成式AI製作深度偽造的音頻文件，宣揚極端主義。例如，ActiveFence發現了一個使用ChatGPT模型生成的音頻文件，聲稱是伊斯蘭國領導人巴格達迪的最後一次演講。

生成式AI對於信任和安全構成了新的攻擊向量。它讓網路犯罪分子能夠加速和放大他們的行動，導致惡意內容的前所未有的大規模生產。同時，它也讓數位平台面臨更大的壓力，需要提高他們的數據訓練協議的精確性和效率。

消費者需要提高對生成式AI的認識和警惕，並學會辨別真假內容。同時，也需要政府、企業和社會共同努力，制定相關的法律、規範和道德準則，以防止生成式AI被濫用或滥用。

詳情請看：

Consumers overestimate their deepfake detection skills

Read More

Potaroo：DNS IPv6傳輸運作指南

Potaroo發佈了一篇DNS IPv6傳輸運作指南

本報告旨在介紹一份關於DNS IPv6傳輸運作指南的草案，該草案在最近的IETF 118會議的DNSOPS工作組會議上引起了注意。該草案建議更新一份早先的指南文件，提出了一些新的指導原則。本報告將分析該草案的背景、內容和影響，並提出一些評論和建議。
背景

DNS是互聯網的基礎服務之一，它負責將域名解析為對應的IP地址或其他資源記錄。DNS的運作依賴於一個分層的授權結構，每個DNS區域都有一組負責該區域的權威名稱伺服器。當一個DNS查詢需要解析一個域名時，它會從根區域開始，沿著域名的標籤向下遞迴，直到找到負責該域名的權威名稱伺服器。這個過程中，每個父區域都會提供一個指向子區域的委派記錄，該記錄包含了子區域的NS資源記錄和DS資源記錄。NS資源記錄指定了子區域的權威名稱伺服器的域名，DS資源記錄則提供了子區域的DNSSEC簽名的摘要，用於驗證子區域的真實性。

DNS的傳輸層可以使用不同的協議，包括UDP、TCP、TLS和HTTPS。其中，UDP是最常用的協議，因為它具有低延遲和高效率的優勢。然而，UDP也有一些限制，例如它不提供可靠性、順序性、完整性和安全性的保證，並且它對包長有一個上限，通常是512位元組。當DNS的回應超過這個上限時，就需要使用TCP來傳送完整的回應，或者使用EDNS0來擴展UDP的包長。這些機制都會增加DNS的複雜度和開銷，並且可能會受到一些網路中間設備的干擾或過濾。

隨著互聯網的發展，DNS的需求和挑戰也在不斷變化。一個重要的變化是IPv6的推廣和部署，它為互聯網提供了更多的地址空間，但也帶來了一些DNS的問題和機遇。例如，IPv6的地址長度是IPv4的四倍，這意味著DNS的回應包含的資訊量也會增加，從而增加了UDP的包長壓力。另一方面，IPv6也提供了一些新的特性，例如擴展首部和流標籤，這些特性可以用於優化DNS的傳輸效能和品質。

為了應對DNS在IPv6環境下的挑戰和機遇，IETF在2004年發佈了RFC3901，標題為“DNS IPv6傳輸指南”。該文件提出了一些管理政策的建議，主要是：每個遞迴名稱伺服器應該是IPv4單獨或雙協議棧的。
每個DNS區域應該至少有一個IPv4可達的權威名稱伺服器。
區域驗證過程應該確保任何子委派的名稱伺服器都至少有一個IPv4地址記錄。

這些建議的目的是為了保持名稱空間的連續性，避免出現IPv6單獨的名稱伺服器或區域，因為這些情況會導致一些IPv4單獨的用戶或名稱伺服器無法訪問這些資源。

然而，時至今日，互聯網的狀況已經發生了很大的變化。IPv6的普及率已經大幅提高，許多用戶和名稱伺服器都已經支援雙協議棧或IPv6單獨。同時，DNS的資源記錄類型和內容也變得更加豐富和多樣，例如SVCB、HTTPS、CAA等。這些變化都對DNS的傳輸層提出了新的要求和期待，例如可靠性、安全性、隱私性、靈活性和效率等。因此，有必要對RFC3901進行更新和修訂，以適應當前的網路環境。
內容

為了更新和修訂RFC3901，一份草案被提交到IETF的DNSOPS工作組，標題為“DNS IPv6傳輸運作指南”。該草案的作者是Momoka Kato和Paul Vixie，目前的版本是00，發佈於2023年10月。該草案的摘要如下：


本文件描述了DNS在IPv6環境下的運作指南，包括遞迴名稱伺服器和權威名稱伺服器的配置和行為。本文件更新了RFC3901，並考慮了當前的網路狀況和DNS的發展。

該草案的主要內容包括以下幾個方面：遞迴名稱伺服器的傳輸選擇：該草案建議遞迴名稱伺服器應該優先使用IPv6來與權威名稱伺服器通訊，並且應該優先使用TLS或HTTPS來提供DNS服務給用戶。該草案還建議遞迴名稱伺服器應該支援EDNS0和DNSSEC，並且應該避免使用過時的協議或機制，例如NAT64或DNS64。
權威名稱伺服器的傳輸選擇：該草案建議權威名稱伺服器應該支援IPv6和IPv4，並且應該支援UDP、TCP、TLS和HTTPS等協議。該草案還建議權威名稱伺服器應該支援EDNS0和DNSSEC，並且應該避免使用過時的協議或機制，例如ANY查詢或AXFR區域傳輸。
區域委派的傳輸選擇：該草案建議區域委派應該包含子區域的NS資源記錄和DS資源記錄，並且應該包含子區域的IPv6地址記錄和IPv4地址記錄，如果有的話。該草案還建議區域委派應該考慮子區域的傳輸能力和品質，並且應該避免使用過多的名稱伺服器或地址記錄，以減少DNS的回應大小和延遲。
DNS傳輸的優化技術：該草案介紹了一些可以用於優化DNS傳輸的技術，例如IPv6的擴展首部和流標籤，以及DNS的壓縮和分片等。該草案分析了這些技術的優缺點，並且提出了一些使用建議和注意事項。
影響

該草案的影響主要體現在以下幾個方面：對DNS的運作和性能的影響：該草案的建議旨在提高DNS在IPv6環境下的運作和性能，包括可靠性、安全性、隱私性、靈活性和效率等。該草案的建議也旨在減少DNS的複雜度和開銷，包括包長、延遲、重傳、轉換等。該草案的建議還旨在適應DNS的發展和變化，包括資源記錄類型和內容等。
對DNS的部署和管理的影響：該草案的建議對DNS的部署和管理也有一定的影響，包括配置、監測、調試、更新等。該草案的建議可能需要一些名稱伺服器或區域的運維人員進行一些調整或改進，以符合該草案的指南。該草案的建議也可能需要一些用戶或應用程式進行一些適應或更新，以利用該草案的優勢。
對DNS的標準和規範的影響：該草案的建議也對DNS的標準和規範有一定的影響，包括RFC、BCP、IANA等。該草案的建議可能需要一些現有的標準和規範進行一些更新或修訂，以反映該草案的內容。該草案的建議也可能需要一些新的標準和規範進行一些制定或發佈，以補充該草案的細節。
評論和建議

本報告對該草案的評論和建議如下：本報告認為該草案是一份有價值和有意義的文件，它體現了DNS在IPv6環境下的最佳實踐和經驗，並且考慮了當前的網路狀況和DNS的發展。本報告支持該草案的主要目的和方向，並且希望該草案能夠獲得更多的關注和討論，以促進DNS的進步和創新。
本報告也認為該草案還有一些可以改進和完善的地方，例如：該草案的結構和邏輯可以更加清晰和連貫，例如可以增加一個介紹部分，概述該草案的動機、目的和範圍，並且可以將傳輸選擇和優化技術分成兩個不同的章節，以便於閱讀和理解。
該草案的內容和細節可以更加充實和具體，例如可以提供一些數據和實例，以支持該草案的建議和分析，並且可以考慮一些特殊的情況和場景，以應對一些可能的問題和挑戰。
該草案的語言和風格可以更加規範和一致，例如可以遵循一些慣用的術語和定義，以避免歧義和混淆，並且可以使用一些標準的格式和符號，以增加可讀性和可比較性。


詳情請看：
IPv6, the DNS and Happy Eyeballs

Read More

McAfee：可以做的 10 件簡單的事情來提高您的網絡安全

 McAfee發佈一篇文章可以做的 10 件簡單的事情來提高您的網絡安全

1. 更新您的軟件
2. 編輯您的社交媒體
3. 加強你的密碼
4. 安全衝浪
5. 仔細閱讀您的在線消息
6. 跟上新聞
7. 保護每個家庭設備
8. 鎖定您的設備
9. 定期檢查您的信用
10. 投資於身份保護

詳情請看：

10 Easy Things You Can Do Today to Improve Your Cybersecurity

Read More

The hacker news：如何防止生成式AI的數據洩露風險

生成式AI（GenAI）是一種利用深度學習技術來創造新的數據或內容的人工智慧。例如，ChatGPT就是一種生成式AI，它可以根據用戶的輸入生成自然語言的回應。生成式AI的應用越來越廣泛，但也帶來了數據安全和隱私的風險。

生成式AI的數據洩露風險主要發生在員工將敏感數據插入這些應用的時候。這些數據會成為AI的訓練集的一部分，也就是說，AI的算法會從這些數據中學習，並將它們納入到生成未來回應的過程中。這樣就有兩個主要的危險：第一，數據立即洩露的風險。敏感信息可能會在生成式AI對另一個用戶的查詢的回應中被暴露出來。例如，一個員工將公司的源代碼貼到生成式AI中進行分析。後來，另一個用戶可能會收到該代碼的一部分作為生成式AI的回應，從而損害了其機密性。
第二，數據長期保留的風險。即使數據沒有立即被暴露，它也可能會在AI的訓練集中存儲不定期。這就涉及到數據存儲的安全性，數據的訪問權限，以及防止數據未來洩露的措施等問題。

根據LayerX的用戶數據研究，員工使用生成式AI應用的比例在2023年增加了44%，其中6%的員工每周將敏感數據貼到這些應用中。這些敏感數據包括業務財務信息，源代碼，業務計劃，以及個人身份信息等。這些數據的洩露可能會對業務策略，內部知識產權，第三方機密性，以及客戶隱私造成不可挽回的損害，甚至導致品牌受損和法律問題。

傳統的數據洩露防護（DLP）解決方案是設計用來防止數據洩露的工具。這些工具多年來成為了網絡安全策略的基石，它們可以保護敏感數據免受未經授權的訪問和傳輸。然而，這些工具對於生成式AI的數據洩露風險卻無能為力，因為它們無法監控或阻止員工將數據貼到生成式AI應用中。

為了解決這個問題，LayerX推出了一種基於瀏覽器擴展的解決方案，它可以在員工將數據貼到生成式AI應用之前，對數據進行分析和分類，並根據預先設定的策略，對數據進行遮蔽，警告，或阻止。這樣，企業就可以在不影響生成式AI應用的生產力的同時，確保數據的安全和合規。

生成式AI是一種具有巨大潛力的技術，但也需要嚴格的安全措施來防止數據洩露風險。通過使用LayerX的瀏覽器擴展解決方案，企業可以充分利用生成式AI的優勢，同時保護自己的數據資產。

詳情請看：

Generative AI Security: Preventing Microsoft Copilot Data Exposure

Read More

Cybersecurity Insiders：零信任是否適用於企業的網路安全？

 Cybersecurity Insiders發佈了一篇零信任是否適用於企業的網路安全？

零信任是一種網路安全模型，它假設所有的網路流量都是不可信的，因此需要對每個請求進行驗證和授權。零信任的目標是減少內部和外部的威脅，提高資料和系統的保護。

零信任在企業的網路安全中有很多優勢，例如：

• 可以防止未授權的存取和數據外洩，即使在遭受入侵或惡意軟體攻擊的情況下。
• 可以適應多雲、混合和遠端工作的環境，提供更靈活和一致的安全策略。
• 可以減少對傳統的網路邊界和防火牆的依賴，降低成本和複雜性。
• 可以提高使用者和客戶的體驗，減少摩擦和延遲。

然而，零信任也有一些挑戰和限制，例如：

• 需要改變組織的文化和心態，從信任為先轉變為驗證為先。
• 需要對所有的資產、身份、角色、權限和行為進行清晰和準確的定義和管理。
• 需要使用多種技術和工具來實現零信任架構，例如身份和存取管理、加密、微分段、日誌和監控等。
• 需要持續地評估和調整零信任策略，以應對不斷變化的威脅和需求。

因此，零信任並不是一個一勞永逸的解決方案，而是一個持續進化的過程。企業在採用零信任時，需要根據自己的業務目標、風險容忍度和資源情況，制定合適的路線圖和最佳實踐

詳情請看：

Will zero trust make any sense in enterprise cyber world

Read More

Cybersecurity insiders：如何在出售你的安卓手機或蘋果手機前做好資料清理

手機是我們日常生活中不可或缺的工具，它們儲存了我們的個人資料、聯絡人、照片、文件、密碼等重要資訊。如果我們想要換新手機，或者把舊手機賣掉或捐贈，我們必須確保我們的資料不會被其他人取得或濫用。因此，在出售你的安卓手機或蘋果手機前，你應該做好以下九個步驟，以保護你的隱私和安全。備份你的資料。你可以使用雲端服務或外接儲存裝置，將你的手機資料備份到另一個地方，以防萬一你需要恢復或轉移你的資料。
移除你的 SIM 卡和記憶卡。你的 SIM 卡和記憶卡可能包含了你的聯絡人、短訊、照片等資料，你應該將它們從你的手機中取出，並保存好或放入你的新手機中。
登出你的帳號和應用程式。你應該登出你的電子郵件、社交媒體、網路銀行、電子商務等帳號和應用程式，以防止其他人使用你的身份或資訊。你也應該刪除你的瀏覽器歷史記錄、快取和 Cookie，以清除你的上網痕跡。
解除你的手機與其他裝置的配對。你應該解除你的手機與你的藍牙耳機、智能手錶、汽車等裝置的配對，以避免其他人使用你的手機連接這些裝置。
關閉你的手機的定位功能。你應該關閉你的手機的定位功能，以防止其他人追蹤你的位置或活動。
關閉你的手機的遠端控制功能。你應該關閉你的手機的遠端控制功能，如「尋找我的 iPhone」或「尋找我的裝置」，以防止其他人使用這些功能鎖定或擦除你的手機。
加密你的手機。你應該加密你的手機，以增加你的資料的安全性。加密後，你的資料只能用你的密碼或指紋解開，其他人無法讀取你的資料。
恢復你的手機的出廠設定。你應該恢復你的手機的出廠設定，以刪除你的所有資料和設定。這個步驟會把你的手機還原成新的狀態，就像你剛買的時候一樣。
確認你的手機已經完全清空。你應該確認你的手機已經完全清空，沒有任何你的資料或痕跡。你可以開啟你的手機，檢查是否有任何帳號、應用程式、照片、文件等存在。如果有，你應該再次刪除它們，直到你的手機完全乾淨。

詳情請看：

Nine 9 tips before putting your Android Smartphone or Apple iPhone for resale

Read More

McAfee： 遊戲時保持安全的最佳方式

 McAfee發佈了一篇遊戲時保持安全的最佳方式

• 密碼
• 考慮一個 VPN
• 對雙因素身份驗證說“是”
• 只從信譽良好的來源下載遊戲（和秘籍）——無一例外！
• 選擇合適的遊戲

詳情請看：

The Best Way to Stay Safe While Gaming

Read More

Cybersecurity insiders：如何邁向雲端安全的職涯之路？

雲端安全是一個不斷發展和變化的領域，隨著越來越多的重要資料和資產遷移到雲端，它們也成為了網路罪犯的主要目標。全球各地的組織需要雲端安全專業人員，他們能夠理解複雜的環境，並識別和減輕安全風險。而且，大多數組織都採用了多雲策略，即使用兩個或更多的雲服務提供商。你是否準備好將你的職涯提升到雲端呢？

ISC2，作為領先的高級網路安全認證機構，建議你遵循以下具體的步驟：成為ISC2的候選人。首先，你需要加入ISC2，這是一個全球領先的網路安全專業組織，擁有超過45萬名會員、聯繫人和候選人。作為他們的一百萬網路安全認證承諾的一部分，旨在幫助填補人才缺口，你將能夠免費獲得ISC2官方的網路安全入門級認證的自學在線培訓和免費考試。候選人還可以享受一系列的福利，包括在線培訓8折優惠和教科書5折優惠。現在就註冊，獲得第一年的免費會員資格。
開始你的CCSP認證之旅。CCSP（Certified Cloud Security Professional）認證證明你擁有設計、管理和保護任何雲端環境中的資料、應用程式和基礎設施的高級廠商中立的知識和技能。它將你定位為雲端安全的權威，非常熟悉最新的技術、發展和威脅，並適合多雲的場景。要獲得CCSP認證，候選人必須通過考試，並且至少具有五年的累積、有薪的資訊科技工作或有薪/無薪的實習經驗，其中三年必須在資訊安全領域，一年必須在ISC2 CCSP共同知識體系（CBK）的六個領域之一。如果你還沒有達到CCSP的經驗要求，你可以在成功通過考試後成為ISC2的聯繫人。然後，你將有六年的時間來獲得認證所需的經驗。
持續學習。雲端安全永不停歇。它是一個不斷變化的領域，需要持續學習，以保持在網路威脅和趨勢的前沿。專業人員可以選擇多種靈活的學習選項，包括：

ISC2證書專注於特定的主題。並且，由於課程是由網路安全最受尊敬的認證機構創建的，你可以確保獲得最新和最相關的內容。你可以選擇在線導師指導或自學的教育方式，內容由行業專家創建：在線導師指導*（僅適用於部分證書）由ISC2授權導師領導的預錄課程
補充自學內容的指導
通過證書評估後獲得數位徽章
自學在線自己控制學習進度的在線學習
可隨時下載的視頻
通過證書評估後獲得數位徽章


目前ISC2證書的重點領域包括雲端安全、風險管理、CISO領導力、醫療保健、安全工程和安全管理與運營。更多證書即將推出。


ISC2入門級網路安全技能培訓將幫助你在追求網路安全職涯的過程中獲得寶貴的技能。你可以選擇以下主題：網路安全基礎
網路安全概念
網路安全實踐
網路安全工具
網路安全策略
網路安全法律和倫理


ISC2高級網路安全認證將幫助你在網路安全領域中達到更高的水平。你可以選擇以下認證：CISSP（Certified Information Systems Security Professional）：這是全球公認的最高級別的網路安全認證，證明你擁有設計、實施和管理最佳的網路安全程式的專業知識和能力。
CSSLP（Certified Secure Software Lifecycle Professional）：這是一個專為軟體開發人員和工程師設計的認證，證明你擁有在軟體開發生命週期中整合安全的知識和技能。
HCISPP（HealthCare Information Security and Privacy Practitioner）：這是一個專為醫療保健資訊安全和隱私從業者設計的認證，證明你擁有保護醫療保健資訊的知識和技能。
SSCP（Systems Security Certified Practitioner）：這是一個專為資訊安全實踐者設計的認證，證明你擁有實施和維護資訊系統安全的知識和技能。

詳情請看：

Thinking about a Career in Cloud Security? Follow this Path

Read More

The Hacker News：管理數據安全狀況的重要性

 The Hacker News發佈了一篇文章管理數據安全狀況的重要性

為了保持良好的數據安全態勢，組織應該做到以下幾點：

• 盤點您的數據
• 監控數據活動和數據流
• 評估數據安全控制
• 減少數據攻擊面
• 最小化影響範圍

詳情請看：

The Importance of Managing Your Data Security Posture

Read More

Bleepingcomputer：假日黑客：如何保護您的服務台

在假日季節，許多企業和組織的IT服務台可能會面臨來自黑客的攻擊，因為他們知道這是一個安全防禦較弱的時期。黑客可能會利用服務台的漏洞或弱點，來竊取敏感資料、植入惡意程式、發動勒索軟體或其他破壞行為。因此，服務台的管理者和員工必須採取一些措施，來提高假日的安全性和效率。

以下是一些保護服務台的建議：更新和修補系統和應用程式：確保服務台使用的所有系統和應用程式都是最新版本，並及時安裝安全更新和修補。這可以防止黑客利用已知的漏洞來入侵服務台。
強化身份驗證和授權：使用強密碼、多因素驗證和最小權限原則，來保護服務台的帳號和資源。這可以防止黑客猜測或竊取服務台的憑證，或者濫用服務台的權限。
加密和備份資料：使用可靠的加密工具和方法，來保護服務台儲存或傳輸的所有資料。這可以防止黑客竊聽或竊取服務台的資料。同時，定期備份服務台的資料，並儲存在安全的位置。這可以防止黑客刪除或損壞服務台的資料，或者要求勒索金來解密資料。
提高安全意識和教育：培訓服務台的管理者和員工，讓他們了解常見的安全威脅和風險，以及如何識別和防範黑客的攻擊。這可以防止服務台的人員不小心點擊惡意連結、下載惡意附件、或者透露敏感資訊給黑客。
監測和回應安全事件：使用有效的安全工具和程序，來監測服務台的系統和網路的狀態和活動，並及時發現和回應任何可疑或異常的行為。這可以防止黑客潛伏在服務台的環境中，或者擴大他們的攻擊範圍。

詳情請看：

Holiday Hackers: How to Safeguard Your Service Desk

Read More

Mcafee：如何辨別快遞短信是真是假，並在這個季節安全地購物和收貨

隨著網上購物的普及，許多人都會收到快遞短信，通知他們的包裹已經發貨或即將到達。然而，這些短信中有些可能是詐騙者發送的，目的是誘騙用戶點擊惡意鏈接，竊取他們的個人信息或金錢。本文將介紹如何識別和防範這種類型的詐騙，並提供一些安全購物和收貨的建議。
快遞短信詐騙的特徵和危害

快遞短信詐騙是一種社交工程攻擊，利用用戶對快遞的期待和好奇心，讓他們不加思考地點擊短信中的鏈接。這些鏈接可能會導向一些假冒的快遞網站，要求用戶輸入他們的姓名、地址、電話號碼、信用卡信息等，或者要求用戶支付一些額外的費用，如稅金、運費、保險費等。這些信息和金錢一旦被詐騙者獲取，就可能被用於進行身份盜竊、信用卡詐欺、勒索等犯罪活動。

除了假冒的快遞網站，有些鏈接可能還會導向一些含有惡意軟件的網站，自動下載和安裝一些病毒、木馬、勒索軟件等，對用戶的設備和數據造成嚴重的損害。
如何識別和防範快遞短信詐騙

為了避免成為快遞短信詐騙的受害者，用戶需要注意以下幾點：檢查短信的發件人和內容。如果發件人是一個陌生的號碼或者一個不明確的名稱，或者短信的內容含有拼寫錯誤、語法錯誤、不合理的要求等，那麼很可能是詐騙。
不要隨意點擊短信中的鏈接。如果用戶不確定自己是否有訂購或預期收到任何包裹，或者不確定鏈接的真實性，那麼最好不要點擊。如果用戶想要查詢包裹的狀態，可以直接聯繫快遞公司或賣家，或者使用官方的快遞追蹤網站或應用。
使用網絡安全軟件。網絡安全軟件可以幫助用戶防止和檢測網絡威脅，如惡意軟件、釣魚網站、詐騙短信等。例如，McAfee推出了一款基於人工智能的詐騙防護軟件，可以實時識別和阻擋詐騙短信中的惡意鏈接，並向用戶發送警告信息。
安全購物和收貨的建議

除了識別和防範快遞短信詐騙，用戶還可以採取以下一些措施，來保護自己在網上購物和收貨的安全：使用可靠的購物網站和支付方式。用戶應該選擇一些有信譽的購物網站，並檢查網址是否以https開頭，表示有加密保護。用戶還應該選擇一些安全的支付方式，如信用卡或第三方支付平台，避免直接轉賬或使用禮品卡等。
保護個人信息和隱私。用戶不應該在網上購物時提供過多的個人信息，如社會安全號、出生日期等，這些信息可能被用於身份盜竊。用戶還應該設置強壯的密碼，並定期更換，避免使用同一個密碼登錄不同的賬戶。
確認包裹的收貨地址和時間。用戶應該確保自己的包裹能夠送達一個安全的地點，避免被盜或丟失。用戶還應該及時追蹤包裹的運輸狀態，並在收到包裹後確認其內容是否完好無損。

快遞短信詐騙是一種利用用戶的心理和行為漏洞，試圖竊取他們的信息或金錢的網絡攻擊。用戶需要警惕這種詐騙，並採取一些網絡安全措施，來保護自己在網上購物和收貨的安全。用戶還可以使用一些網絡安全軟件，如McAfee的詐騙防護軟件，來實時識別和阻擋詐騙短信中的惡意鏈接。

詳情請看：

Is That Delivery Text Real or Fake? How to Shop and Ship Safely this Season

Read More

HelpNetSecurity：如何讓開發者愛上安全

 HelpNetSecurity發佈一篇如何讓開發者愛上安全

安全是軟體開發的重要環節，但許多開發者卻對安全工作感到負擔和抗拒。這是因為安全任務通常缺乏業務背景、優先順序和清晰的解決方案，而且會影響開發速度和產品品質。因此，要讓開發者愛上安全，就需要改善開發者和安全團隊之間的合作關係，並提供適合開發者的安全工具。

文章提出了以下幾個建議：

• 給安全任務提供業務背景，讓開發者明白為什麼要做這些工作，以及它們對產品和客戶的價值。
• 給安全任務設定合理的優先順序，讓開發者能夠按照重要性和緊急性來分配時間和資源。
• 給安全任務提供清晰的解決方案，讓開發者能夠快速和有效地修復漏洞，而不是花費大量的時間去尋找答案。
• 給開發者提供即時和友好的安全反饋，讓開發者能夠在代碼編寫和測試階段就發現和解決安全問題，而不是在代碼部署後才被告知。
• 給開發者提供適合他們的安全工具，讓開發者能夠在自己熟悉的開發環境中進行安全工作，而不是被迫使用不符合他們需求和偏好的工具。

這些建議可以幫助開發者把安全視為代碼品質的一部分，而不是一種額外的負擔。這樣，開發者就可以成為安全團隊的有力支援，同時也提高了產品的安全性和可靠性

詳情請看：

How to make developers love security

Read More

Cybersecurity Insiders：不斷變化的網絡安全格局：趨勢與挑戰

 Cybersecurity Insiders發佈了一篇文章不斷變化的網絡安全格局：趨勢與挑戰

• 網絡安全中的人工智能 (AI) 和機器學習 (ML)
• 物聯網 (IoT) 安全
• 雲安全
• 勒索軟件和高級持續威脅 (APT)
• 零信任架構

詳情請看：

The Evolving Landscape of Cybersecurity: Trends and Challenges

Read More

Cybersecurity insiders：雲端安全：雲服務提供商如何減輕惡意軟體託管風險的策略

Cybersecurity insiders發佈了一篇雲端安全：雲服務提供商如何減輕惡意軟體託管風險的策略

雲端運算已經成為現代企業的主流技術，它可以提供彈性、敏捷和成本效益的服務。然而，雲端運算也帶來了一些安全挑戰，尤其是惡意軟體託管的風險。惡意軟體託管是指黑客利用雲服務提供商（CSP）的資源來存放和傳播惡意軟體，例如勒索軟體、木馬、間諜軟體等。這種攻擊方式不僅危害了CSP的信譽和合法客戶的安全，也對整個網路環境造成威脅。

為了減輕惡意軟體託管的風險，CSP需要採取一些有效的策略，包括以下幾點：建立嚴格的身份和存取管理機制，確保只有授權的使用者和應用程式可以存取雲端資源，並且遵守最小權限原則。此外，CSP也應該定期審核和更新存取權限，並且使用多因素驗證和單一登入等技術來增強安全性。
實施資料加密和防洩漏措施，保護雲端資料的機密性和完整性。CSP應該使用強大的加密演算法和金鑰管理系統，對雲端資料進行端對端的加密，無論是在傳輸或是存放時。此外，CSP也應該使用資料遮罩、分散式儲存和資料分類等技術，來防止資料被竊取或洩漏。
部署雲端安全平台和工具，提供全面和一致的雲端安全防護。CSP應該使用雲端安全平台，如Fortinet的FortiCloud，來集中管理和監控雲端環境的安全狀態，並且提供多層次的防護，包括防火牆、入侵偵測和防禦、惡意軟體防護、網路分析和可視化等。此外，CSP也應該使用雲端安全工具，如Cybersecurity Insiders的Cloud Security Report，來瞭解雲端安全的最新趨勢和挑戰，並且根據最佳實務和建議來改善雲端安全。

總之，雲端安全是CSP的重要責任，也是雲端運算成功的關鍵因素。CSP需要採取上述的策略，來減輕惡意軟體託管的風險，並且保障自己和客戶的利益。同時，CSP也需要與其他的雲端安全合作夥伴，如政府、行業組織和第三方服務提供商，共同建立一個安全和可信賴的雲端環境。

詳情請看：

Securing the Cloud: Strategies for CSPs to Mitigate Malware Hosting Risks

Read More

HelpNetSecurity：國防承包商如何從網絡安全轉向網絡彈性

 HelpNetSecurity發佈了一篇文章國防承包商如何從網絡安全轉向網絡彈性

• 建立一個你可以衡量你進步的基線
• 了解你的使命和你試圖保護的東西，而不是追逐漏洞
• 創建設計基準威脅 (DBT)

詳情請看：

How defense contractors can move from cybersecurity to cyber resilience

Read More

Mcafee：我真的需要用Snapchat才能成為一個好的數位父母嗎？

 Mcafee發佈了一篇我真的需要用Snapchat才能成為一個好的數位父母嗎？

在現代社會，數位科技已經成為我們生活的一部分，尤其是對於年輕的一代。他們經常使用各種社交媒體平台來與朋友和家人保持聯繫，分享自己的生活點滴，甚至學習新的知識和技能。然而，這些平台也帶來了一些安全和隱私的風險，例如網路霸凌、色情內容、詐騙、盜用個人資料等。因此，作為父母，我們有責任保護我們的孩子免受這些威脅的影響，並教導他們如何安全和負責任地使用數位科技。

Snapchat是一個流行的社交媒體平台，它允許用戶發送和接收短暫的照片和視頻，稱為Snap。Snapchat的特點是Snap在一段時間後就會自動消失，讓用戶感覺更自由和隨意地分享自己的生活。然而，Snapchat也有一些潛在的危險，例如：

• Snap並不是真的完全消失，它們仍然可以被截圖、錄製或恢復，這可能導致用戶的隱私被侵犯或被敲詐。
• Snap可能包含不適當或令人不安的內容，例如暴力、色情、毒品、酒精等，這可能對用戶的心理和身體健康造成負面的影響。
• Snap可能來自不誠實或惡意的人，例如假冒的朋友、陌生人、網路騙子等，他們可能試圖欺騙、勒索或傷害用戶。
• Snap可能讓用戶產生過度依賴或成癮的現象，例如為了獲得更多的關注、讚美或獎勵而不斷發送或查看Snap，這可能影響用戶的學習、工作和社交能力。

因此，作為一個好的數位父母，我們真的需要用Snapchat嗎？答案是：視情況而定。如果我們的孩子已經在使用Snapchat，或者有興趣使用Snapchat，那麼我們最好也加入這個平台，以便了解它的功能、風險和吸引力，並與我們的孩子建立信任和溝通。我們可以通過以下的方式來做到這一點：

• 與孩子一起設定Snapchat的帳號和隱私設定，確保他們只與可靠的人分享Snap，並避免公開自己的個人資訊。
• 與孩子分享Snapchat的使用規則和責任，例如不發送或接收不適當或令人不安的Snap，不回應或舉報來自陌生人或騙子的Snap，不過度使用或沉迷於Snapchat，等等。
• 與孩子一起使用Snapchat，了解他們的興趣和喜好，並給予他們正面和鼓勵的回饋，例如發送有趣或有意義的Snap，讚美他們的創意或才華，等等。
• 與孩子討論Snapchat的優點和缺點，讓他們意識到Snapchat不是生活的全部，也不是真實的反映，並教導他們如何分辨真假和好壞，以及如何應對可能遇到的問題或困難。

如果我們的孩子還沒有使用Snapchat，或者沒有興趣使用Snapchat，那麼我們也不需要強迫自己或他們使用這個平台，因為Snapchat並不是唯一的社交媒體選擇，也不是唯一的數位父母方式。我們可以通過以下的方式來做到這一點：

• 尊重孩子的選擇和喜好，不要強加我們的意見或期望，也不要批評或嘲笑他們的決定或行為。
• 關注孩子的其他社交媒體平台，了解他們在使用什麼，為什麼使用，以及如何使用，並給予他們適當的指導和支持。
• 鼓勵孩子嘗試不同的數位科技，例如學習新的技能、探索新的領域、創造新的作品等，並讓他們分享他們的成果和感受。
• 平衡孩子的數位科技使用和其他生活方面，例如運動、閱讀、藝術、社交等，並與他們一起參與這些活動。

總之，作為一個好的數位父母，我們真的需要用Snapchat嗎？這取決於我們和我們的孩子的情況和需求。無論我們是否使用Snapchat，我們都應該關心我們的孩子的數位科技使用，並與他們保持開放和誠實的溝通，讓他們感受到我們的愛和關懷，並幫助他們成長為安全和負責任的數位公民。

詳情請看：

Do I Really Need to be on Snapchat to be a Good Digital Parent?

Read More

McAfee：網上銀行 - 安全的方式

 McAfee：網上銀行 - 安全的方式

• 確保您使用的是合法的銀行應用程序
• 確保您的密碼長、強且唯一
• 對公共 Wi-Fi 說不
• 激活雙重身份驗證
• 向您的銀行請求警報

詳情請看：

Online Banking – The Safe Way

Read More

Fortinet：工業企業在網路安全方面的進展

 Fortinet發佈了一篇工業企業在網路安全方面的進展

網路安全是工業企業面臨的一個重要挑戰，因為它關係到生產效率、資產保護和安全性。隨著工業控制系統（ICS）越來越多地連接到網際網路，它們也面臨著更多的網路威脅，例如勒索軟體、間諜軟體和分散式阻斷服務（DDoS）攻擊。這些攻擊可能導致生產中斷、數據洩露、設備損壞和人員傷亡。

為了應對這些威脅，工業企業需要採取有效的網路安全措施，以保護其ICS和運營技術（OT）環境。這些措施包括：

• 建立一個統一的網路安全架構，將IT和OT網路整合在一起，實現端到端的可見性和控制。
• 選擇適合OT環境的網路安全解決方案，例如支持工業協議、具有低延遲和高可靠性的防火牆和入侵偵測系統。
• 實施網路安全最佳實踐，例如定期更新和修補系統、強化身份驗證和授權、加密敏感數據和備份重要資訊。
• 提高網路安全意識和培訓，教育員工如何識別和避免網路攻擊，並建立一個網路安全文化。
• 與其他工業企業和網路安全組織合作，分享網路威脅情報和網路安全最佳實踐，並共同應對網路攻擊。

根據Fortinet的一項調查，工業企業在網路安全方面已經取得了一些進展。該調查發現，超過八成的受訪者表示，他們已經將IT和OT網路整合在一起，或者計劃在未來12個月內這樣做。此外，超過七成的受訪者表示，他們已經部署了專門為OT環境設計的網路安全解決方案，或者計劃在未來12個月內這樣做。這些數據顯示，工業企業正在認識到網路安全的重要性，並採取積極的措施來保護其ICS和OT環境。

然而，工業企業在網路安全方面仍然面臨著一些挑戰，例如缺乏網路安全專業人員、缺乏網路安全預算、缺乏網路安全策略和標準、以及缺乏網路安全意識和培訓。這些挑戰需要工業企業進一步努力，以提高其網路安全能力和成熟度。

總之，工業企業在網路安全方面已經取得了一些進展，但仍然有很多工作要做。工業企業需要繼續投資於網路安全技術和人才，實施網路安全最佳實踐，提高網路安全意識和培訓，並與其他工業企業和網路安全組織合作，以應對日益複雜和嚴峻的網路威脅，並保護其ICS和OT環境。

詳情請看：

Tracking Cybersecurity Progress at Industrial Companies

Read More

itnews：ChatGPT可能助長軟體供應鏈攻擊

 itnews發佈一篇ChatGPT可能助長軟體供應鏈攻擊

ChatGPT是一種由OpenAI開發的大型語言模型，可以生成自然語言對話。然而，這種技術也可能被惡意利用，對軟體開發者造成威脅。根據安全公司Vulcan的研究，ChatGPT有時會“產生幻覺”，即生成一些不存在的URL、引用或代碼庫。如果攻擊者利用這些幻覺，就可以在開發環境中傳播惡意軟體包，而不需要使用常見的技巧，如錯別字或偽裝。Vulcan稱這種技術為“AI軟體包幻覺”，並通過向ChatGPT提出一些流行的問題來測試其效果。結果發現，ChatGPT推薦了許多不存在的Python和Node.js軟體包，並提供了錯誤的連結。如果攻擊者在這些連結上發布惡意軟體包，就可能欺騙用戶下載和使用它們。此外，微軟也計劃擴大對ChatGPT的訪問權限，這可能增加了安全風險。Meta也表示發現了一些利用ChatGPT相關的惡意應用和瀏覽器擴展，類似於加密貨幣相關的惡意軟體。

詳情請看：

ChatGPT can help software supply-chain attackers

Read More

Cybersecurity insiders：如何建立有效的安全意識計劃的六個步驟

 Cybersecurity insiders發佈了一篇如何建立有效的安全意識計劃的六個步驟

在當今的數位環境中，網路安全是一個不容忽視的議題。隨著網路攻擊的頻率和嚴重性不斷增加，企業和組織需要採取有效的措施來保護自己的資訊資產和業務運作。其中一個重要的措施是提升員工的安全意識，讓他們成為人類防火牆，能夠識別和防範各種網路威脅。

有90%的網路攻擊是從釣魚郵件開始的，而有40%的郵件有可能對企業造成威脅。因此，員工需要學習如何辨別和處理這些詐騙郵件，避免點擊可疑的連結或附件，或是洩露個人或機密資訊。此外，員工也需要了解其他的網路威脅，如惡意軟體、勒索軟體、社交工程、內部威脅等，並採取適當的預防和應對措施。

為了建立有效的安全意識計劃，企業和組織可以參考以下的六個步驟：

1. 分析網路安全風險和需求。在制定安全意識計劃之前，需要先了解自己的網路安全狀況，包括現有的安全政策和措施、潛在的威脅和漏洞、員工的安全知識和行為等。這可以通過進行風險評估、問卷調查、測試等方式來進行。
2. 制定安全意識目標和策略。根據分析的結果，需要明確地定義安全意識計劃的目的和目標，例如提高員工的安全知識、改善員工的安全行為、降低網路攻擊的發生率和影響等。同時，也需要制定合適的策略和方法來達成這些目標，例如選擇適合的培訓內容和形式、設定適當的培訓頻率和時長、制定適當的獎勵和激勵機制等。
3. 選擇和開發安全意識培訓內容和材料。安全意識培訓的內容和材料應該根據企業和組織的特性和需求來選擇和開發，以確保其相關性和有效性。培訓內容應該涵蓋基本的網路安全原則和概念，以及針對特定的網路威脅和場景的實用技巧和建議。培訓材料應該使用清晰和簡潔的語言，並配合圖片、視頻、案例等多媒體元素，以增加培訓的吸引力和易理解性。
4. 實施安全意識培訓和評估。安全意識培訓可以通過不同的方式來實施，例如線上或線下的課程、研討會、演講、遊戲、模擬測試等。培訓應該根據不同的員工群體和職位來進行分級和定制，以適應不同的學習需求和風險水平。培訓的過程中，應該進行定期的評估和回饋，以檢測員工的學習效果和滿意度，並及時調整培訓的內容和方法。
5. 持續更新和改進安全意識培訓。網路安全是一個不斷變化和發展的領域，因此，安全意識培訓也需要不斷更新和改進，以適應新的網路威脅和技術。培訓的內容和材料應該定期進行審核和修訂，以反映最新的網路安全趨勢和情報。培訓的策略和方法也應該根據培訓的評估結果和員工的反饋來進行優化和創新。
6. 建立安全意識文化和氛圍。安全意識培訓不僅是一個教育和學習的過程，更是一個文化和氛圍的建設。企業和組織應該通過各種方式來強化和維持員工的安全意識，例如制定和宣傳安全政策和規範、提供和推廣安全工具和資源、鼓勵和表揚安全模範和貢獻者、慶祝和宣傳安全成就和事件等。這樣，安全意識就不僅是一個個人的責任，更是一個團隊的價值和一個組織的使命。

安全意識計劃是一個涉及多個方面和階段的系統工程，需要企業和組織投入足夠的時間和資源來規劃和執行。通過遵循上述的六個步驟，企業和組織可以建立一個有效的安全意識計劃，從而提升員工的安全知識和行為，增強人類防火牆的能力，降低網路安全風險，保障資訊資產和業務運作的安全。

詳情請看：

Fortifying the Human Firewall: Six-Steps For An Effective Security Awareness Program

Read More

Cybersecurity Insiders：網路安全在金融機構中的作用——防範不斷演變的威脅

 Cybersecurity Insiders發佈了一篇文章網路安全在金融機構中的作用——防範不斷演變的威脅

金融機構網絡安全的最佳實踐包括：

• 定期風險評估
• 實施強大的訪問控制
• 意識計劃
• 加密敏感數據

詳情請看：

The role of cybersecurity in financial institutions -protecting against evolving threats

Read More

Cybersecurity insiders：網絡安全與實體安全的區別與合作

 Cybersecurity insiders發佈了一篇網絡安全與實體安全的區別與合作

網絡安全與實體安全是兩個不同的領域，但它們都是保護組織和個人的重要方面。網絡安全關注的是防止和應對網絡攻擊，如黑客入侵、勒索軟件、釣魚等，而實體安全關注的是防止和應對實體威脅，如盜竊、破壞、暴力等。這兩種安全之間有很多相互影響和依賴的關係，因此它們必須協同工作，才能有效地保護組織和個人的資產和安全。

在2022年，網絡安全與實體安全的融合將會加速發展，並影響許多以前獨立的安全方面。以下是一些預測的趨勢和挑戰：

• 智能鎖和門禁控制：這些技術可以提高實體安全，同時也可以收集和分析數據，以識別異常行為和風險。它們還可以與網絡安全系統集成，以實現統一的身份驗證和授權，並在發生安全事件時觸發響應機制。
• 遠程工作場所的安全：由於疫情和混合工作模式的影響，許多員工在家工作，這使得組織的安全邊界變得更寬泛和複雜。因此，企業需要加大對安全網絡，如VPN的投入，而不是依賴公共網絡。同時，他們也需要制定更嚴格的政策，以消除使用不安全的筆記本電腦或共享家庭Wi-Fi網絡的漏洞。
• 改進的分析能力：通過使用人工智能等技術，網絡安全與實體安全團隊可以利用門禁控制系統等提供的數據，更有效地管理安全，並制定基於證據的主動策略。人工智能可以學習行為模式，並快速識別可能代表安全風險的異常事件。
• 內部威脅的應對：內部威脅是指組織內部的員工、合作夥伴或供應商，因為故意或無意的行為，對組織的網絡安全或實體安全造成損害。這種威脅可能導致數據洩露、財產損失、甚至暴力事件。為了防止和應對內部威脅，網絡安全與實體安全團隊需要更密切地合作，共享信息，並制定統一的安全政策和流程。

綜上所述，網絡安全與實體安全的區別與合作是一個重要的話題，它涉及到組織和個人的安全和利益。隨著技術的發展和威脅的變化，這兩種安全需要更加緊密地協調和整合，以實現更高的安全水平和效率。

詳情請看：

Cyber and Physical Security Are Different, But They Must Work Together

Read More