Mcafee：手機網頁與原生應用程式的比較

 Mcafee發佈了一篇手機網頁與原生應用程式的比較

手機網頁與原生應用程式是兩種不同的方式，讓使用者在手機上瀏覽或使用網路服務。手機網頁是透過瀏覽器訪問的網站，而原生應用程式是需要下載安裝的軟體。這兩種方式各有優缺點，以下是一些主要的比較項目：

• 速度與效能：原生應用程式通常比手機網頁更快更流暢，因為它們是為特定的作業系統和硬體設計的，並且可以利用手機的內建功能，如相機、GPS、指紋辨識等。手機網頁則需要透過瀏覽器與伺服器溝通，並且受限於網路速度和瀏覽器的能力。
• 開發與維護成本：手機網頁通常比原生應用程式更容易開發和維護，因為它們只需要一套程式碼，就可以在不同的平台和裝置上運行。原生應用程式則需要為每個平台和裝置開發不同的版本，並且需要定期更新和修復。
• 使用者體驗與忠誠度：原生應用程式通常比手機網頁提供更好的使用者體驗，因為它們可以符合手機的操作介面和設計風格，並且可以在離線的情況下使用。原生應用程式也可以通過推播通知或快捷圖示來增加使用者的互動和忠誠度。手機網頁則需要使用者主動輸入網址或使用書籤，並且可能因為網路不穩或瀏覽器不支援而無法正常顯示或使用。
• 安全性與隱私：手機網頁和原生應用程式都有可能遭受到惡意的攻擊或竊取使用者的資料，因此使用者需要注意網站或應用程式的來源和信譽，並且使用安全的連線和防毒軟體。手機網頁通常比原生應用程式更容易被偽裝或竊聽，因為它們需要透過網路傳輸資料，並且可能受到瀏覽器的漏洞或惡意的廣告影響。原生應用程式則需要使用者授權它們存取手機的功能或資料，並且可能會在背景執行或自動更新，因此使用者需要注意應用程式的權限和設定。

總結來說，手機網頁與原生應用程式都有各自的優缺點，使用者需要根據自己的需求和偏好，選擇最適合的方式來使用網路服務。

詳情請看：

The Mobile Web vs. Native Apps

Read More

Fortinet：有效的安全培訓計劃對於創建具有網絡意識的員工隊伍至關重要

 Fortinet發佈一篇有效的安全培訓計劃對於創建具有網絡意識的員工隊伍至關重要

網絡安全是當今企業面臨的一個重大挑戰，尤其是在遠程工作和混合工作模式的背景下。為了應對日益複雜和多變的網絡威脅，企業需要提高員工的網絡安全意識，並建立一種安全文化。

根據Fortinet的一項調查，有超過八成的受訪者認為，安全培訓計劃對於提高員工的網絡安全意識至關重要。然而，只有不到一半的受訪者表示，他們的公司有定期進行安全培訓的計劃。此外，有近四分之一的受訪者表示，他們從未接受過任何形式的安全培訓。

這些數據顯示，企業在安全培訓方面還有很大的改進空間。安全培訓不應該是一次性或偶爾的活動，而應該是一個持續和定期的過程，涵蓋不同的主題和場景，並根據員工的角色和需求進行定製。安全培訓也應該是有趣和互動的，以提高員工的參與度和記憶力。

通過實施有效的安全培訓計劃，企業可以減少員工因為無意或故意的行為而造成的網絡風險，並提高員工對於保護自己和公司資產的責任感和信心。安全培訓計劃不僅可以提升企業的網絡防禦能力，也可以增強企業的競爭優勢和品牌聲譽。

詳情請看：

Effective Security Training Programs Are Vital to Creating a Cyber-Aware Workforce

Read More

Help net security：購買資安工具的困境與建議

 Help net security發佈了一篇購買資安工具的困境與建議

資安工具是企業防禦網路攻擊的重要武器，但是購買資安工具的過程並不簡單。根據一項調查，企業在購買資安工具時面臨以下的困境：

• 資安工具的種類太多，難以選擇適合的產品。
• 資安工具的價格太高，超出預算或無法證明投資報酬率。
• 資安工具的效能難以測試或驗證，無法確保實際的防護效果。
• 資安工具的部署和維護太複雜，需要專業的人員和資源。

為了解決這些困境，調查提出以下的建議：

• 在購買資安工具之前，要先分析自己的資安需求和風險，並制定一個清楚的資安策略。
• 在選擇資安工具時，要考慮產品的功能、品質、相容性、可擴展性和客戶支援。
• 在評估資安工具時，要使用實際的資料和場景，並與其他的產品進行比較。
• 在部署和維護資安工具時，要有足夠的人員和資源，並定期進行更新和檢查。

購買資安工具是一項重要的決策，需要有充分的準備和規劃。只有選擇適合自己的資安工具，才能有效地提升資安防護能力，並減少網路攻擊的損失。

詳情請看：

Stop panic buying your security products and start prioritizing

Read More

McAfee：家長指南：幫助青少年應對分心駕駛的 8 種方法

 McAfee發佈了一篇家長指南：幫助青少年應對分心駕駛的 8 種方法

分心駕駛是一種危險的行為，它會影響駕駛者的注意力、判斷力和反應能力。根據統計，每年有超過三千人死於分心駕駛造成的交通事故，其中青少年是最高風險的群體。因此，父母有責任教育和監督他們的孩子，讓他們明白分心駕駛的後果，並採取措施預防和減少這種行為。

文章提出了八種方法，幫助父母和孩子共同應對分心駕駛的問題：

• 1. 設定規則和後果。父母應該和孩子討論分心駕駛的危險性，並制定一些明確的規則，例如禁止使用手機、限制乘客數量、避免吃喝或化妝等。如果孩子違反規則，父母應該執行一些合理的後果，例如暫停駕照、減少零用錢或限制娛樂時間等。
• 2. 給予正面的反饋和獎勵。父母應該關注和表揚孩子的安全駕駛表現，並給予一些適當的獎勵，例如增加出門時間、提供汽油費或贊助旅行等。
• 3. 做好榜樣。父母應該以身作則，遵守交通規則，不要在開車時使用手機或做其他分散注意力的事情。父母也可以邀請孩子一起參加一些安全駕駛的課程或活動，增強他們的意識和技能。
• 4. 使用科技工具。父母可以利用一些科技工具，幫助監測和控制孩子的分心駕駛行為。例如，一些手機應用程式可以自動屏蔽來電或簡訊，或者發送自動回覆給發送者。一些汽車裝置可以記錄和報告孩子的行車數據，例如速度、路線、碰撞等。
• 5. 建立信任和溝通。父母應該和孩子建立一個基於信任和尊重的關係，讓他們感到被聽取和理解。父母也應該定期和孩子溝通，了解他們的想法和感受，並給予支持和建議。
• 6. 鼓勵責任感和同理心。父母應該讓孩子意識到他們的行為會影響自己和他人的生命安全，並教導他們如何對自己和他人負責。父母也可以讓孩子看一些關於分心駕駛的真實故事或影片，讓他們感受到受害者和家屬的痛苦和悔恨。
• 7. 創造安全的環境。父母應該為孩子提供一個安全和舒適的駕駛環境，例如選擇一輛性能良好、配備安全系統的汽車，並定期進行檢查和保養。父母也可以幫助孩子規劃合理的行程，避免讓他們在夜間、惡劣天氣或高速公路等危險情況下開車。
• 8. 尋求專業幫助。如果父母發現孩子有嚴重或持續的分心駕駛問題，或者孩子有其他影響駕駛的心理或生理問題，例如焦慮、抑鬱、藥物或酒精等，父母應該及時尋求專業的幫助，例如醫生、心理師或律師等。

分心駕駛是一個可以預防和改善的問題，只要父母和孩子共同努力，就可以保護自己和他人的生命安全。

詳情請看：

Parent’s Guide: 8 Ways to Help Your Teen Combat Distracted Driving

Read More

Help net security：金鑰如何重塑用戶安全性和便利性

 Help net security發佈了一篇金鑰如何重塑用戶安全性和便利性

Passkey是一種無密碼認證的方式，它使用了一個隨機生成的、只能使用一次的、不需要記憶的密鑰來登入網站或應用程式。Passkey的好處是，它可以提高安全性，減少被釣魚或盜用的風險，同時也提升了使用者的體驗，省去了輸入或記憶密碼的麻煩。

1Password是一家知名的密碼管理和安全憑證平台，它最近推出了一個獨立的認證解決方案，叫做Passage by 1Password。這個產品讓企業可以在自己的網站或應用程式上實現Passkey的功能，而不需要建立自己的認證基礎設施。這樣，企業就可以消除密碼的麻煩，減少購物車流失，提高用戶的忠誠度和滿意度。

Passage by 1Password提供了兩種產品，讓企業可以根據自己的需求選擇：

• Passkey Complete：這是一個全面的無密碼認證和身份管理解決方案，它讓企業可以預設使用Passkey登入，並支援所有主要的平台、瀏覽器和裝置（包括iOS、Android、MacOS和Windows）。如果用戶失去了存取權，它還提供了其他無密碼的方法作為備用。
• Passkey Flex：這是一個靈活的解決方案，讓企業可以在現有的認證基礎設施上增加Passkey的選項，讓企業可以跟上Passkey的採用趨勢，並隨著用戶的需求進行調整。

1Password的無密碼負責人Anna Pobletts表示，Passkey是一種以人為本的安全方式，它可以為每個人創造一個更安全、更簡單的數位未來。她認為，Passage by 1Password可以讓企業輕鬆地實施無密碼認證，並為企業和用戶帶來雙贏的效果。

詳情請看：

How passkeys are reshaping user security and convenience

Read More

生成式AI助理的潛在風險與機會

生成式AI助理的潛在風險與機會

生成式AI助理是一種利用深度學習技術來產生自然語言、圖像、音樂等內容的智能系統。它們可以幫助人們完成各種任務，例如寫作、編程、設計、娛樂等。然而，生成式AI助理也帶來了一些挑戰和風險，需要引起我們的關注和應對。

一方面，生成式AI助理可能被惡意利用，造成信息安全和社會秩序的威脅。例如，它們可能被用來製造假新聞、欺騙性廣告、假身份、假證據等，影響公眾的判斷和信任。它們也可能被用來攻擊其他系統，例如利用自動化代碼生成來發動網絡攻擊，或者利用圖像生成來繞過人臉識別等。

另一方面，生成式AI助理也可能對人類的創造力和道德觀念產生影響。例如，它們可能降低人們的創作動機和能力，使人們過度依賴AI的產出，或者失去對原創性和版權的尊重。它們也可能引發人們對AI的信任和情感問題，例如如何區分AI和人類的溝通，或者如何處理AI的錯誤和責任等。

因此，我們需要在享受生成式AI助理帶來的便利和樂趣的同時，也要保持警覺和批判思維，並建立相應的規範和監管機制，以確保生成式AI助理的合理和負責任的使用。

Read More

The hacker news：駭客如何透過網路釣魚獲取用戶的憑證並出售它們

 The hacker news發佈了一篇駭客如何透過網路釣魚獲取用戶的憑證並出售它們

釣魚是一種常見的網路攻擊手法，目的是騙取使用者的帳號密碼或其他敏感資訊。近年來，隨著企業採用多因素認證（MFA）來提高安全性，駭客也不斷改進他們的技巧，以繞過新的防護層。其中一種新興的釣魚手法是使用惡意代理伺服器（EvilProxy）釣魚工具，這是一種釣魚即服務（PhaaS）的平台，可以讓駭客輕鬆地製作和部署具有高度仿真性的釣魚網站，並且可以在中間截取使用者的密碼、驗證碼和瀏覽器Cookie。

根據Proofpoint的報告，自2022年9月以來，有一個持續的混合式攻擊活動，利用EvilProxy服務針對全球數百家組織的數萬個Microsoft 365使用者帳號進行釣魚攻擊，其中約39%的受害者是C級主管，包括CEO（9%）和CFO（17%）。這些攻擊也專門選擇了那些能夠存取財務資產或敏感資訊的人員。至少35%的所有受害者已經啟用了額外的帳號保護功能。

這些攻擊的開始是發送一些偽裝成可信服務（如Adobe或DocuSign）的釣魚郵件，要求收件人點擊附件中的惡意網址，這會觸發一個多階段的重定向鏈，將使用者帶到一個看起來像Microsoft 365登入頁面的網站，該網站其實是一個反向代理伺服器，可以偷偷地捕獲使用者在表單中輸入的資訊。但是有趣的是，這些攻擊故意跳過來自土耳其IP位址的使用者流量，將他們重定向到合法的網站，這表明攻擊者可能是來自土耳其的。

EvilProxy是一種收費的服務，每月訂閱費用為400美元，如果要釣魚Google帳號，則需要600美元。這種服務可以支援多種常見的網路服務，如Apple iCloud, Facebook, GoDaddy, GitHub, Google, Dropbox, Instagram, Microsoft, NPM, PyPI, RubyGems, Twitter, Yahoo, Yandex等。駭客只需要使用一個具有可自訂選項的點擊式介面，就可以設定一個釣魚活動，例如機器人偵測、代理伺服器偵測和地理圍欄。這種相對簡單和低成本的介面，已經打開了大量成功的MFA釣魚活動的閘門。

釣魚即服務是網路犯罪經濟的一種演進，降低了技術能力較低的犯罪分子進行大規模和精密的釣魚攻擊的門檻。專家們建議，企業和個人應該提高對釣魚攻擊的警覺，並採取適當的預防措施，如檢查郵件的發件人、網址和附件，使用安全的瀏覽器和防火牆，並定期更新系統和應用程式。

詳情請看：

How Hackers Phish for Your Users' Credentials and Sell Them

Read More

Helpnetsecurity：組織積極擁抱零信任，整合仍然是一個障礙

 Helpnetsecurity發佈了一篇組織積極擁抱零信任，整合仍然是一個障礙

零信任是一種安全模型，它要求組織對所有的資源、使用者和請求都進行驗證和授權，而不是依賴於傳統的網路邊界。零信任可以幫助組織提高安全性、減少風險和符合法規要求。然而，實施零信任並不是一件容易的事情，需要有明確的目標、計劃和方法。

根據 Help Net Security 的文章，實施零信任的

• 第一步是進行資產清點，了解組織的資源、使用者和請求的類型、位置和關聯性。這可以幫助組織確定哪些資源是最重要的，需要最高級別的保護，以及哪些資源可以分類為低風險或公開的。
• 第二步是定義政策和規則，根據資產清點的結果，制定適當的存取控制和數據保護措施。這些政策和規則應該基於最小權限原則，即只授予使用者或請求所需的最小權限，並定期審核和更新。此外，政策和規則應該考慮到不同的情境因素，如時間、地點、裝置、角色等。
• 第三步是選擇和部署工具和技術，以支持政策和規則的執行。這些工具和技術可能包括身份和存取管理（IAM）、多因素認證（MFA）、端點安全、加密、微服務架構等。選擇和部署工具和技術時，應該注意與現有的系統和流程相容，並測試其效能和可靠性。
• 第四步是監測和優化零信任架構，以確保其正常運作並達到預期的效果。這需要收集和分析各種數據指標，如存取請求、事件、異常、漏洞等。根據數據指標的反饋，應該及時調整政策、規則、工具和技術，以解決問題或改善效率。

實施零信任需要有長期的視野和持續的努力，並避免一些常見的錯誤，如缺乏領導支持、沒有清晰的目標、忽略使用者體驗等。只有這樣，組織才能真正享受到零信任帶來的安全優勢。

詳情請看： 

Organizations actively embrace zero trust, integration remains a hurdle

Read More

Cybersecurity insiders：人工智慧在網路安全的演進

 Cybersecurity insiders發佈了一篇人工智慧在網路安全的演進

人工智慧（AI）和機器學習（ML）正在改變網路安全的面貌，帶來了既具有變革性的能力，也帶來了前所未有的挑戰。本報告將介紹人工智慧在網路安全的演進過程，以及它如何在防禦和攻擊方面發揮作用。

人工智慧在網路安全防禦的應用

隨著網路威脅的增加和複雜化，傳統的網路安全方法，如基於簽名的防毒軟體或基於規則的防火牆，已經無法有效地應對未知的惡意程式或入侵行為。因此，網路安全界開始採用人工智慧和機器學習的技術，來提升偵測和回應的能力和效率。

人工智慧和機器學習可以幫助網路安全防禦的主要方式有：

• 透過動態的模型和演算法，分析大量的數據，找出惡意程式的特徵和行為，並及時更新和改善。
• 透過深度學習的技術，學習正常的作業系統行為，並識別出任何異常或危險的活動，如檔案刪除、資料外洩、加密、破壞等。
• 透過自動化的流程，減少人工的干預和錯誤，提高防禦的速度和準確性，並降低網路安全人員的負擔和成本。

人工智慧和機器學習在網路安全防禦的應用，已經形成了一些新的類別，如端點偵測和回應（EDR）、下一代防毒軟體（NGAV）和作業系統中心的正向安全（OS-Centric Positive Security）。這些類別的共同目標是在執行前預防惡意程式的攻擊，而不是在執行後才做出反應。

人工智慧在網路安全攻擊的應用

人工智慧和機器學習不僅可以幫助網路安全防禦，也可以被惡意的攻擊者利用，來增強他們的攻擊能力和效果。人工智慧和機器學習可以幫助網路安全攻擊的主要方式有：

• 透過生成式的人工智慧技術，如WormGPT，製造出高度逼真的假冒音訊和影像，用於發動釣魚攻擊，欺騙受害者的信任和身分。
• 透過機器學習的技術，學習和模仿正常的網路流量和使用者行為，避免被防禦系統偵測和阻擋，並尋找出系統的弱點和漏洞。
• 透過自動化的工具，快速地發動大規模的攻擊，如分散式阻斷服務（DDoS）攻擊，或是利用勒索軟體對受害者進行敲詐。

人工智慧和機器學習在網路安全攻擊的應用，已經形成了一些新的威脅，如檔案無形的惡意程式、深度假冒的釣魚攻擊、自我變異的惡意程式等。這些威脅的共同特點是難以被傳統的防禦方法發現和阻止。

人工智慧在網路安全的演進，反映了網路安全界和惡意攻擊者之間的永無止境的競爭和適應。人工智慧帶來了網路安全防禦的創新和進步，但也帶來了網路安全攻擊的變化和挑戰。網路安全專業人員和組織應該關注人工智慧的發展和趨勢，並採取適當的策略和措施，以保護自己和他們的客戶免受人工智慧的威脅。

詳情請看：

The Evolution of AI in Cybersecurity

Read More

Paloalto：我們無法獨自做到這一點：共享威脅情報讓每個人都更安全

 Paloalto發佈了一篇文章我們無法獨自做到這一點：共享威脅情報讓每個人都更安全

威脅情報是指關於惡意行為者的動機、能力、行動和目標的資訊，它可以幫助組織預防、偵測和回應網路攻擊。分享威脅情報可以讓組織之間互相學習、協作和提升防禦能力，但也存在一些挑戰和障礙。

一個挑戰是如何確保威脅情報的質量和可信度，因為不同的來源可能有不同的準確性、完整性和時效性。另一個挑戰是如何保護威脅情報的敏感性和安全性，因為分享過程可能會暴露組織的弱點、策略和資產。還有一個挑戰是如何有效地分析和利用威脅情報，因為數量龐大、格式多樣和內容複雜的情報可能會超出組織的處理能力。

為了克服這些挑戰，組織需要建立一套威脅情報分享的規範和流程，包括選擇合適的分享對象、方式和平台，以及制定清晰的分享目的、範圍和責任。此外，組織也需要採用一些技術和工具來幫助收集、驗證、加密、轉換、整合和自動化威脅情報的處理。最後，組織也需要培養一種分享威脅情報的文化和意識，並鼓勵各方的參與和貢獻。

分享威脅情報是一項有價值但也有難度的工作，它需要組織之間的信任、合作和創新。只有這樣，才能有效地提升整體的網路安全水平。

詳情請看：

We Can’t Do It Alone: Sharing Threat Intelligence Makes Everyone Safer

Read More

Help net security：美國證券交易委員會的網路安全事件揭露規則對企業的影響與重要性

 Help net security發佈了一篇美國證券交易委員會的網路安全事件揭露規則對企業的影響與重要性

網路安全事件對企業的營運、財務、聲譽等方面都可能造成重大的影響，因此企業有必要及時、準確、完整地向投資者和公眾揭露相關的資訊。為了提高企業的網路安全揭露水準，美國證券交易委員會（SEC）於2023年7月26日通過了一系列的新規則，要求註冊者（即受SEC監管的企業）在發生重大的網路安全事件後，必須在四個工作日內通過表格8-K向SEC報告事件的性質、範圍、時間和影響。此外，註冊者還必須在每年的年報中，披露其網路安全風險管理、策略和治理的重要資訊，包括其評估、識別和管理網路安全威脅的流程，以及董事會對網路安全風險的監督和管理層的角色和專業度。這些新規則也適用於外國私人發行人（即在美國上市的外國企業），他們需要通過表格6-K和表格20-F進行相應的揭露。

這些新規則的目的是讓投資者能夠更清楚地了解企業的網路安全狀況和應對能力，從而做出更明智的投資決策。SEC主席Gary Gensler表示：“無論是因為火災而失去一座工廠，還是因為網路安全事件而失去數百萬個檔案，對投資者來說都可能是重要的。目前，許多上市公司都向投資者提供了網路安全的揭露。但我認為，如果這些揭露能夠更一致、可比和有助於決策，那麼投資者和公司都會受益。通過幫助確保公司揭露重要的網路安全資訊，今天的規則將有利於投資者、公司和連接他們的市場。”

這些新規則對企業的影響和重要性有以下幾個方面：

• 提高企業的網路安全意識和投入。企業必須建立和完善其網路安全風險管理、策略和治理的機制，並定期檢視和更新其網路安全的措施和流程，以應對不斷變化的網路安全威脅和挑戰。企業也必須加強其網路安全的人員培訓和資源投入，以提高其網路安全的能力和水準。
• 增加企業的網路安全透明度和信任度。企業必須及時、準確、完整地向SEC和投資者揭露其網路安全事件和風險管理的資訊，並避免隱瞞、淡化或誤導的行為。這樣可以增加企業的網路安全透明度和信任度，並減少投資者的不確定性和懷疑。
• 降低企業的網路安全法律和監管風險。企業必須遵守SEC的網路安全揭露規則，否則可能面臨SEC的調查、處罰或訴訟。企業也必須注意其他法律和監管的要求，例如消費者隱私保護、數據安全和資訊披露等，以避免違法或違規的風險。
• 優化企業的網路安全事件應急和管理。企業必須建立和執行有效的網路安全事件應急和管理計畫，以應對可能發生的網路安全事件。企業必須及時發現、分析、處理和報告網路安全事件，並採取適當的措施，以減少事件的影響和損失，並恢復正常的營運。

總之，SEC的網路安全事件揭露規則對企業的網路安全有著重要的影響和意義，企業應該積極適應和遵守這些規則，並將網路安全作為其戰略和管理的重要部分，以保護自身和投資者的利益。

詳情請看：

5 resolutions to prepare for SEC’s new cyber disclosure rules

Read More

Cybersecurity insiders：下一代防火牆：網路安全現代化的全面指南

 Cybersecurity insiders發佈了一篇文章下一代防火牆：網路安全現代化的全面指南

網路安全是現今企業和組織面臨的重要挑戰之一。隨著網路攻擊的頻率和複雜度不斷增加，傳統的防火牆已經無法有效地保護網路資產和數據。因此，下一代防火牆（NGFW）應運而生，它們不僅具有基本的封包過濾和狀態檢查功能，還能提供更深入的檢測和防禦能力，例如應用程式控制、入侵防禦系統、防惡意軟體、沙箱分析等。

本文介紹了下一代防火牆的定義、特點、優勢、挑戰和發展趨勢，並提供了一些選擇和部署下一代防火牆的建議。文章指出，下一代防火牆是網路安全現代化的必要工具，它們能夠幫助企業和組織提高網路可見性、靈活性和效率，同時降低成本和風險。文章還強調了下一代防火牆需要不斷地更新和優化，以適應不斷變化的網路環境和威脅。

詳情請看：

Next-Generation Firewalls: A comprehensive guide for network security modernization

Read More

CISA：CISA 宣布推出安全設計警報系列：供應商決策如何在全球範圍內減少危害

 CISA發佈了一篇CISA 宣布推出安全設計警報系列：供應商決策如何在全球範圍內減少危害

美國網路安全暨基礎設施安全局（Cybersecurity and Infrastructure Security Agency，以下簡稱CISA）於2023年4月13日發布了安全設計警示系列（Secure Design Alert Series），旨在提醒供應商和開發者在設計和開發產品時，應考慮網路安全的重要性，並採取相應的措施，以減少其產品可能對全球網路安全造成的損害。

CISA表示，安全設計警示系列是其推動安全設計原則（Secure by Design Principles）的一部分，這些原則是在2023年國家網路安全戰略（National Cybersecurity Strategy）中提出的，目的是要求供應商和開發者在產品的設計、開發和部署階段，就將安全作為一個關鍵因素，而不是在產品上市後再進行補救。

CISA指出，安全設計警示系列將涵蓋多個主題，包括如何避免使用不安全的預設設定、如何確保產品的更新和維護、如何提供安全的身份驗證和授權機制、如何保護用戶的數據和隱私等。CISA希望通過這些警示，能夠提高供應商和開發者的安全意識，並促進他們與CISA和其他合作夥伴的溝通和協調，以共同應對網路威脅。

CISA的執行助理主任Eric Goldstein表示，安全設計警示系列是CISA為了保護美國和全球的網路安全而採取的一項重要行動，他說：“我們必須從源頭上解決網路安全問題，讓供應商和開發者在設計和開發產品時，就考慮到安全的影響，並採取負責任的決策。這樣才能減少網路攻擊的風險，並提高用戶的信任和滿意度。”

CISA還表示，安全設計警示系列是其在2023年推出的多項安全設計相關的倡議之一，其他倡議還包括與K-12教育技術供應商簽署安全設計承諾書，以及成立聯合網路防禦協作機制（Joint Cyber Defense Collaborative，以下簡稱JCDC），通過公私部門的合作，制定國家網路事故應對策略。

CISA呼籲所有的供應商和開發者關注安全設計警示系列，並遵循其提供的建議和最佳實踐，以提高產品的安全性和質量，並保護用戶的利益。CISA也歡迎各方的反饋和建議，以改進安全設計警示系列的內容和形式。

安全設計警示系列的第一期主題是“不要使用不安全的預設設定”，詳情可以在CISA的官方網站上查看。CISA表示，將會定期發布後續的主題，並通過社交媒體和電子郵件等渠道進行推廣。

詳情請看：

CISA Announces Secure by Design Alert Series: How Vendor Decisions Can Reduce Harm at a Global Scale

Read More

McAfee：啟用位置共享時需三思而後行的 3 個理由

 McAfee發佈了一篇啟用位置共享時需三思而後行的 3 個理由

位置共享是一種讓你的手機或其他設備向其他人或應用程式透露你所在地點的功能。它可以讓你和你的朋友互相知道彼此的位置，或者讓你獲得更個性化的服務和推薦。然而，開啟位置共享也有一些隱藏的危險，以下是三個你應該三思而後行的原因：

1. 你可能暴露你的個人資訊和隱私。如果你的位置資訊被不良的第三方獲取，他們可能會利用它來監視你的行蹤，騷擾你，或者竊取你的身份或財產。例如，如果你在社交媒體上分享了你正在旅行的照片，那麼你就可能讓竊賊知道你不在家，從而成為他們的目標。
2. 你可能影響你的家人和朋友的安全。如果你和你的家人或朋友使用同一個位置共享服務，那麼當你開啟位置共享時，他們的位置也會被公開。這可能會讓他們遭受不必要的風險，例如被跟蹤或騷擾。此外，如果你的設備被遺失或被盜，那麼位置共享功能也可能被惡意使用，從而危及你和你的聯絡人的安全。
3. 你可能減少了你的自由和自主性。如果你經常開啟位置共享，那麼你就可能失去了一些控制自己生活的權利。例如，如果你的雇主或配偶可以隨時知道你在哪裡，那麼他們就可能對你施加壓力或限制，讓你無法按照自己的意願行動。此外，如果你過度依賴位置共享服務來導航或尋找資訊，那麼你就可能忽略了自己的直覺和判斷力，從而降低了自己的決策能力。

位置共享是一種有利有弊的功能，它可以帶來方便和樂趣，但也可能帶來危險和困擾。因此，在開啟位置共享之前，我們應該仔細考慮它的利弊，並且選擇一些可靠和安全的位置共享服務。同時，我們也應該定期檢查我們的設定和權限，並且只在必要時才開啟位置共享。

詳情請看：

3 Reasons to Think Twice About Enabling Location Sharing

Read More

Help net security：在零信任採用中培養支持性文化的策略

 Help net security發佈了一篇在零信任採用中培養支持性文化的策略

零信任模型是一種安全架構，它不再假設組織內部的網路是安全的，而是要求對所有的資源、使用者和裝置進行驗證和授權。零信任模型的目標是減少攻擊面，防止資料洩漏和惡意存取，並提高組織的安全能力。

然而，要實施零信任模型並不是一件容易的事，它需要組織有清晰的規劃、執行和評估的流程，並且要考慮到不同的環境、需求和挑戰。為了幫助組織建立成熟的零信任模型。

零信任模型的核心是要確保資料的安全，而不是只關注網路的邊界。隨著雲端、行動和物聯網的發展，傳統的防火牆和VPN已經無法有效地保護資料，因此，組織需要採用更靈活和智能的安全解決方案，例如Cisco Secure的產品和服務。

要建立成熟的零信任模型，組織需要遵循以下四個步驟：

• 定義資料的分類和標籤，並根據資料的敏感性和重要性，設定不同的保護等級和策略。
• 識別和管理資料的存取者和存取點，並使用多因素認證、單一登入和最小權限原則，來驗證和授權使用者和裝置。
• 監測和分析資料的流動和行為，並使用機器學習和人工智慧，來偵測和回應異常和威脅。
• 持續地評估和改進零信任模型的效能和效益，並使用數據和指標，來衡量和報告安全狀況和成果。

零信任模型是一種持續的旅程，而不是一個終點。

詳情請看：

Strategies for cultivating a supportive culture in zero-trust adoption

Read More

Kaspersky：一個充滿安全問題的碗：檢查智能寵物餵食器的漏洞

 Kaspersky發佈了一篇文章一個充滿安全問題的碗：檢查智能寵物餵食器的漏洞

智能寵物餵食器是一種可以遠程控制和監測寵物飲食的設備，它通常通過無線網絡和手機應用程序連接。然而，一項由Kaspersky Lab的研究人員進行的測試發現，這種設備存在多種安全漏洞，可能讓黑客入侵並對寵物和主人造成傷害。

研究人員選擇了市場上最受歡迎的智能寵物餵食器之一，作為測試對象。他們發現，該設備的無線網絡連接沒有加密，且使用了默認的密碼，這意味著任何人都可以輕易地連接到它並修改其設置。此外，該設備的手機應用程序也存在漏洞，允許黑客竊取用戶的個人信息，如姓名、地址、電話號碼和信用卡資料。

這些安全漏洞可能導致以下幾種後果：

• - 黑客可以遠程控制餵食器，改變其餵食時間和份量，甚至停止其工作，從而影響寵物的健康和福祉。
• - 黑客可以利用餵食器上的攝像頭和麥克風，監視和收聽主人的家庭活動，甚至發送語音命令給寵物或主人。
• - 黑客可以利用餵食器作為跳板，攻擊其他連接到同一無線網絡的設備，如電腦、手機或智能家居系統。

為了防止這些風險，研究人員建議寵物主人在購買和使用智能寵物餵食器時，要注意以下幾點：

• - 選擇有良好聲譽和更新支持的品牌和型號。
• - 更改設備的默認密碼，並使用強壯且唯一的密碼。
• - 定期檢查設備的固件更新，並及時安裝。
• - 只在可信任的無線網絡上連接設備，並使用加密和防火牆保護。
• - 不要在手機應用程序上提供不必要的個人信息，並使用可靠的安全軟件保護手機。

詳情請看：

A bowl full of security problems: Examining the vulnerabilities of smart pet feeders

Read More

CISA：CISA警告水和廢水系統中使用的Unitronics PLC遭到利用

 CISA發佈了一篇CISA警告水和廢水系統中使用的Unitronics PLC遭到利用

美國國土安全部的網路安全與基礎設施安全局（CISA）於2023年11月28日發布了一份警告，指出水和廢水系統中使用的Unitronics PLC（可程式化邏輯控制器）存在多個漏洞，可能被惡意攻擊者利用，造成系統中斷、數據竊取或篡改等威脅。

Unitronics PLC是一種工業控制系統（ICS）的元件，用於監測和控制水和廢水系統的各種過程，如水壓、水位、流量、溫度等。Unitronics PLC通常與人機介面（HMI）相連，以提供操作者與系統的交互。

CISA警告中提到的漏洞包括以下幾種：

• 未經身份驗證的遠端代碼執行：攻擊者可以通過網路向Unitronics PLC發送特製的封包，觸發緩衝區溢位，並在目標設備上執行任意代碼。
• 未經身份驗證的資訊洩露：攻擊者可以通過網路向Unitronics PLC發送特製的封包，獲取設備的敏感資訊，如序列號、韌體版本、IP位址等。
• 未經身份驗證的設定修改：攻擊者可以通過網路向Unitronics PLC發送特製的封包，修改設備的設定，如網路參數、密碼、時區等。
• 未經身份驗證的設備重啟：攻擊者可以通過網路向Unitronics PLC發送特製的封包，強制設備重啟，導致系統中斷。

這些漏洞的影響範圍涵蓋了Unitronics PLC的多個型號，包括Vision、Samba、Jazz、M90/91、UniStream等。這些型號在全球範圍內廣泛使用，尤其是在美國、歐洲和亞洲。

CISA建議水和廢水系統的運營商和維護人員採取以下措施，以降低這些漏洞的風險：

• 盡快更新Unitronics PLC的韌體到最新版本。
• 將Unitronics PLC與網際網路隔離，或使用防火牆、VPN等技術保護其網路連接。
• 實施最小權限原則，限制對Unitronics PLC的訪問和控制。
• 監測Unitronics PLC的網路流量，檢測異常或惡意的活動。
• 備份Unitronics PLC的設定和數據，以便在發生攻擊時恢復正常運作。

CISA還提供了一些參考資源，以幫助水和廢水系統的相關人員提高其網路安全意識和能力，如CISA的ICS漏洞通報服務、CISA的ICS安全指南、CISA的ICS安全培訓等。

CISA表示，將繼續與Unitronics PLC的製造商和水和廢水系統的相關人員合作，以評估和減輕這些漏洞的影響，並呼籲任何發現這些漏洞的利用或其他相關資訊的人員，通過CISA的網站或電話向其報告。

詳情請看：

Exploitation of Unitronics PLCs used in Water and Wastewater Systems

Read More

Helpnetsecurity：ChatGPT 和數據保護法：企業的合規挑戰

Helpnetsecurity發佈了一篇ChatGPT 和數據保護法：企業的合規挑戰

ChatGPT是一種基於自然語言生成技術，可以用於創建各種對話場景，如客服、銷售、教育等。然而，這種技術也帶來了一些隱私和安全的挑戰，例如如何保護用戶的敏感數據，如何防止生成不適當或有害的內容，以及如何確保生成的內容符合法律和道德規範。

為了解決這些問題，Private AI是一家專注於隱私保護自然語言處理的公司，其創始人Patricia Thaine在一次採訪中分享了她的見解和經驗。她表示，Private AI的目標是讓開發者和企業能夠安全地使用ChatGPT等技術，同時保護用戶的隱私和權利。她介紹了Private AI的三個主要產品：Pseudonymizer、Redactor和Anonymizer，分別用於生成假名、刪除敏感信息和去除身份標識。她還談到了Private AI如何與OpenAI合作，以及未來的發展計劃和願景。

詳情請看：

ChatGPT and data protection laws: Compliance challenges for businesses

Read More

Help net security：Mosint：開源自動化電子郵件 OSINT 工具

Help net security發佈了一篇Mosint：開源自動化電子郵件 OSINT 工具

MOSINT是一個用GO語言編寫的電子郵件OSINT工具，它可以幫助你收集目標電子郵件的相關信息，例如社交帳號、數據洩露、相關電話號碼、相關域名、Pastebin轉儲、Google搜索和DNS查詢等。MOSINT還可以通過驗證服務檢查電子郵件是否存在，並通過使用不同的API來提高準確性和速度。MOSINT是一個開源的工具，你可以在GitHub上找到它的源代碼和使用說明。

簡介

電子郵件是一種常見的網絡通信方式，也是一個重要的OSINT目標，因為它可以揭示許多有用的信息，例如用戶的身份、位置、興趣、聯繫方式等。然而，手動收集電子郵件的信息是一個耗時和繁瑣的過程，需要使用多種工具和資源。為了解決這個問題，MOSINT提供了一個自動化的解決方案，它可以通過一個簡單的命令行界面來執行多種電子郵件OSINT任務，並將結果保存在一個JSON文件中，方便進一步分析和報告。

功能

MOSINT的主要功能如下：

• 驗證服務：檢查電子郵件是否存在，並返回一個布爾值。這個功能需要使用verify-email.org的API，你需要在config.json文件中設置你的API密鑰。
• 社交掃描：檢查電子郵件是否在不同的社交平台上註冊，並返回一個列表，包含每個平台的名稱和狀態。這個功能使用了socialscan這個Python庫，它可以快速且準確地執行社交查詢。
• 數據洩露：檢查電子郵件是否在不同的數據洩露網站上出現，並返回一個列表，包含每個網站的名稱和URL。這個功能需要使用[leak-lookup.com]的API，你需要在config.json文件中設置你的API密鑰。此外，MOSINT還可以使用[scylla.sh]這個網站來查找數據庫洩露，並返回一個列表，包含每個洩露的詳細信息，例如源、日期、密碼等。
• 相關電子郵件：查找與目標電子郵件相關的其他電子郵件，並返回一個列表，包含每個電子郵件的地址和來源。這個功能需要使用[hunter.io]的API，你需要在config.json文件中設置你的API密鑰。
• 相關電話號碼：查找與目標電子郵件相關的電話號碼，並返回一個列表，包含每個電話號碼的號碼和來源。這個功能使用了[phonebook.cz]這個網站，它可以根據電子郵件來搜索電話號碼。
• 相關域名：查找與目標電子郵件相關的域名，並返回一個列表，包含每個域名的名稱和來源。這個功能使用了[viewdns.info]這個網站，它可以根據電子郵件來搜索域名。
• Pastebin轉儲：查找目標電子郵件在Pastebin上的轉儲，並返回一個列表，包含每個轉儲的標題和URL。這個功能使用了[Pastebin.com]這個網站，它是一個用於存儲和共享文本的平台。
• Google搜索：使用Google搜索目標電子郵件，並返回一個列表，包含每個搜索結果的標題和URL。這個功能使用了[Google.com]這個網站，它是一個廣泛使用的搜索引擎。
• DNS查詢：執行DNS查詢，並返回一個列表，包含目標電子郵件的域名的A、MX、NS、TXT和SOA記錄。這個功能使用了[dnsdumpster.com]這個網站，它是一個用於域名枚舉的工具。

使用方法

MOSINT的使用方法非常簡單，你只需要按照以下步驟操作：

• 下載並安裝MOSINT的最新版本，你可以在GitHub上找到它的源代碼和發行版本。
• 在config.json文件中設置你的API密鑰，並根據你的需要開啟或關閉不同的功能。
• 在命令行中運行MOSINT，並輸入你想要調查的電子郵件地址，例如mosint example@gmail.com。
• 等待MOSINT完成所有的任務，並查看終端中的輸出，或者在output文件夾中查看生成的JSON文件。

MOSINT是一個強大而方便的電子郵件OSINT工具，它可以幫助你快速地收集目標電子郵件的各種信息，並將結果保存在一個統一的格式中。MOSINT的優勢在於它可以整合多種資源和API，並提供一個簡潔的用戶界面，讓你可以輕鬆地執行和管理你的電子郵件OSINT任務。如果你對電子郵件OSINT感興趣，或者想要提高你的OSINT技能，那麼MOSINT是一個值得嘗試的工具。

詳情請看：

Mosint: Open-source automated email OSINT tool

Read More

Helpnetsecurity：值得你花時間的 10 個開源偵察工具

 Helpnetsecurity發佈了一篇值得你花時間的 10 個開源偵察工具

安全研究人員經常需要對目標系統或組織進行偵察，以收集有關其架構、服務、漏洞和弱點的信息。這些信息可以幫助他們評估風險，發現和利用漏洞，或者提出改進建議。偵察是滲透測試和紅隊行動的重要步驟，也是白帽黑客和賞金獵人的日常工作。

為了方便和高效地進行偵察，許多安全研究人員使用開源工具，這些工具可以自動化一些常見的任務，例如域名發現、子域名掃描、端口掃描、服務識別、目錄列舉、資產監測等。這些工具通常基於Python或Go語言開發，並且可以在不同的平台上運行，例如Linux、Windows或MacOS。一些工具還提供了Web界面或API，方便用戶操作和整合。

本文介紹了一些流行的開源偵察工具，這些工具都有各自的特點和優勢，可以根據不同的需求和場景選擇使用。

詳情請看：

10 open-source recon tools worth your time

Read More

The hacker news：利用生成式AI提升網路安全的七種用途

 The hacker news發佈了一篇利用生成式AI提升網路安全的七種用途

生成式AI是一種人工智慧技術，可以根據輸入的資料或條件，自動生成新的內容，例如文字、圖像、音樂等。生成式AI在許多領域都有廣泛的應用，例如內容創作、教育、娛樂等。但是，生成式AI也可以用於提升網路安全，幫助防禦者和攻擊者之間的對抗。以下是利用生成式AI提升網路安全的七種用途：

1. 預測和防止新型惡意程式：生成式AI可以幫助防禦者預測和防止新型的惡意程式，例如病毒、木馬、勒索軟體等。生成式AI可以分析惡意程式的行為特徵，並在執行前將其攔截和隔離。例如，黑莓公司的Cylance ENDPOINT®就是一種利用生成式AI預測和防止新型惡意程式的端點保護平台。
2. 生成和測試漏洞利用程式：生成式AI可以幫助攻擊者生成和測試漏洞利用程式，例如SQL注入、跨站腳本、緩衝區溢位等。生成式AI可以根據漏洞的類型和目標系統的特性，自動生成合適的輸入或程式碼，並測試其效果。例如，ChatGPT是一種生成式AI聊天機器人，可以回答攻擊者關於漏洞利用的問題。
3. 生成和傳送隱藏的惡意程式：生成式AI可以幫助攻擊者生成和傳送隱藏的惡意程式，例如後門、間諜軟體、密碼竊取器等。生成式AI可以將惡意程式隱藏在正常的檔案或網路流量中，使其難以被防火牆、防毒軟體或入侵偵測系統發現。例如，WormGPT是一種生成式AI工具，可以讓攻擊者生成和傳送隱藏在圖像中的惡意程式。
4. 生成和發送釣魚郵件：生成式AI可以幫助攻擊者生成和發送釣魚郵件，例如偽裝成銀行、政府、社交網站等的郵件，試圖騙取使用者的個人資訊或金錢。生成式AI可以根據攻擊者的目的和使用者的特徵，自動生成語法正確、內容合理、風格一致的郵件，並附上惡意的連結或附件。例如，ChatGPT也可以用於生成和發送釣魚郵件。
5. 生成和散佈虛假資訊：生成式AI可以幫助攻擊者生成和散佈虛假資訊，例如假新聞、假評論、假社交媒體帳號等，試圖影響使用者的觀點和行為。生成式AI可以根據攻擊者的意圖和使用者的偏好，自動生成具有說服力和吸引力的資訊，並利用機器人或水軍將其廣泛傳播。例如，GPT-3是一種生成式AI模型，可以生成各種類型的文字內容，包括新聞、評論、推文等。
6. 生成和分析網路安全資料：生成式AI可以幫助防禦者生成和分析網路安全資料，例如日誌、報告、警示等。生成式AI可以根據防禦者的需求和目標，自動生成有用的網路安全資料，並利用統計、視覺化、機器學習等方法，對其進行分析和解釋。例如，Splunk是一種生成式AI平台，可以幫助防禦者生成和分析網路安全資料，並提供洞察和建議。
7. 生成和學習網路安全知識：生成式AI可以幫助防禦者生成和學習網路安全知識，例如原理、技術、案例等。生成式AI可以根據防禦者的水平和興趣，自動生成適合的網路安全知識，並利用互動、測驗、遊戲等方式，幫助防禦者學習和記憶。例如，Cybrary是一種生成式AI平台，可以幫助防禦者生成和學習網路安全知識，並提供認證和職涯發展。

生成式AI是一種強大的人工智慧技術，可以用於提升網路安全的各種用途。生成式AI可以幫助防禦者預測和防止新型惡意程式，生成和分析網路安全資料，生成和學習網路安全知識等。生成式AI也可以幫助攻擊者生成和測試漏洞利用程式，生成和傳送隱藏的惡意程式，生成和發送釣魚郵件，生成和散佈虛假資訊等。因此，防禦者和攻擊者之間的對抗，將會更加激烈和複雜。防禦者需要不斷地更新和改進自己的生成式AI技術，以應對攻擊者的生成式AI威脅。同時，防禦者也需要提高自己的網路安全意識和能力，以防止被攻擊者的生成式AI欺騙和誤導。生成式AI是一種雙刃劍，使用者需要謹慎和負責地使用它，以確保網路安全和社會福祉。

詳情請看：

7 Uses for Generative AI to Enhance Security Operations

Read More

社交工程防護

社交工程防護

社交工程是一種心理操縱的技巧，目的是讓目標人物透露敏感資訊或執行某些動作。騙子通常利用人類的天性，如好奇心、貪婪、恐懼、同情或權威，來誘惑或威脅受害者。社交工程可以通過電話、電子郵件、網站、社交媒體或面對面的方式進行。

社交工程的常見形式有：

• - 假冒：騙子偽裝成可信任的人或組織，如銀行、政府機構、同事或親友，來取得受害者的信任。
• - 誘餌：騙子提供一些吸引人的東西，如免費禮品、折扣優惠、中獎通知或求助訊息，來引誘受害者點擊惡意連結、下載惡意軟體或提供個人資訊。
• - 恐嚇：騙子威脅受害者，如果不按照他們的要求，就會遭受一些後果，如刪除帳號、凍結資金、報警或公開隱私。
• - 欺騙：騙子利用受害者的無知或錯誤，來說服他們相信一些虛假的事實，如系統出錯、緊急情況或特殊情況。

要防止社交工程的攻擊，我們需要提高警覺，並採取一些預防措施，如：

• - 不要隨意點擊不明來源的連結或附件。
• - 不要隨意提供個人資訊或財務資訊，尤其是涉及密碼、驗證碼或銀行卡號等。
• - 不要輕信太好或太壞的消息，要核實消息的真實性和來源。
• - 不要在公共場所使用未加密的無線網路，以免被竊聽或竊取資料。
• - 使用安全軟體和更新系統，以防止惡意軟體的入侵。

社交工程是一種不斷變化和發展的威脅，我們需要時刻保持警惕和教育自己，才能有效地保護自己和他人不受騙。

Read More

Mcafee：什麼是社會工程？

 Mcafee發佈了一篇什麼是社會工程？

社會工程學是一種利用人類心理特性來騙取重要資訊的技巧，通常被網路犯罪分子用來進行詐騙或竊取身份。社會工程師會使用各種方式來接觸目標，例如電子郵件、電話、簡訊、社交媒體等，並嘗試說服他們提供個人或機密資訊，或者點擊惡意的連結或附件。

社會工程學的成功取決於人們的心理反應，例如信任、同情、好奇、恐懼、貪婪等。社會工程師會根據不同的情境，設計合適的誘惑或威脅，來影響目標的判斷和行為。以下是一些常見的社會工程學的例子：

• 信任：例如偽裝成你的朋友、親戚、同事、上司、客戶等，並要求你幫忙轉帳、付款、寄東西等。
• 同情：例如在發生災難或事件後，發送假冒的慈善機構或政府機關的電子郵件，要求你捐款或提供個人資訊。
• 好奇：例如在網路上張貼吸引人的標題或圖片，引誘你點擊連結或下載檔案，例如最新的電影、音樂、遊戲等。
• 恐懼：例如發送假冒的銀行、信用卡、保險、稅務等機構的電子郵件，聲稱你的帳戶有問題，或者你有欠款、罰款、訴訟等，要求你立即回覆或提供資訊。
• 貪婪：例如發送假冒的彩票、獎金、獎品、優惠券等訊息，要求你付費或提供資訊，才能領取你的獎勵。

社會工程學的攻擊可能會對你造成嚴重的損失，例如金錢、資料、聲譽、信用等。因此，你應該採取以下的措施，來保護自己不受社會工程學的影響：

• 不要輕易相信你不熟悉的人的訊息，也不要隨意點擊或下載任何未經驗證的連結或附件，包括電子郵件、簡訊、社交媒體等。如果你收到任何要求你提供個人或敏感資訊的訊息，你應該先確認其來源和真實性，或者直接忽略或刪除它。
• 不要被任何看起來太好或太壞的訊息所影響，並保持理性和冷靜。如果你收到任何聲稱你有獎項、優惠、問題、風險等的訊息，你應該先自己上網查詢相關的資訊，或者聯絡你信任的人，以驗證其真偽。
• 經常更新你的電腦和手機的安全防護，包括安裝和執行最新的防毒、防火牆、反間諜等軟體，以阻止惡意程式的侵入。
• 使用強度高且不重複的密碼來保護你的各種帳戶，並避免在公共的電腦或網路上登入你的個人或敏感資訊。你也應該定期更換你的密碼，並使用雙重驗證的功能，以增加你的安全性。
• 學習識別可疑的訊息的跡象，例如錯字、標點符號、格式、內容等的不一致或不合理。你也可以使用一些網路工具，例如反向搜尋圖片、檢查網址、查詢電話號碼等，來幫助你判斷訊息的真偽。
• 如果你發現你已經成為社會工程學的目標，你應該立即採取應對的措施，例如更改你的密碼、通知你的銀行或信用卡公司、檢查你的帳單和信用報告、報告詐騙事件等，以減少你的損失和風險。

社會工程學是一種利用人類心理特性來騙取重要資訊的技巧，通常被網路犯罪分子用來進行詐騙或竊取身份。我們應該提高我們的防範意識，並採取適當的預防措施，以保護我們的個人和財務安全。

詳情請看：

What is Social Engineering?

Read More

Fortinet：採用集中式方法來提高雲端安全性

Fortinet發佈了一篇採用集中式方法來提高雲端安全性

雲端運算已經成為企業和組織的主流選擇，因為它可以提供彈性、效率和創新。然而，雲端運算也帶來了安全挑戰，例如資料洩露、身份認證問題、配置錯誤等。因此，企業和組織需要採用一種集中式的方法來管理和保護他們的雲端資產。

集中式的雲端安全方法是指使用一個統一的平台來監控和控制所有的雲端服務和應用程式。這個平台可以提供以下的好處：

• - 簡化操作：集中式的平台可以減少管理多個雲端供應商和工具的複雜性，並提供一個單一的介面來設定和執行安全政策。
• - 提高能見度：集中式的平台可以收集和分析所有的雲端資料，並提供即時的警示和報告，以幫助企業和組織發現和解決安全威脅。
• - 增強合規性：集中式的平台可以幫助企業和組織遵守各種法規和標準，例如GDPR、HIPAA、PCI DSS等，並提供相關的證明和文件。

雲端運算是未來的趨勢，但也需要注意其安全風險。採用集中式的方法來管理和保護雲端資產是一種有效且智慧的策略。

詳情請看：

Taking a Centralized Approach to Cloud Security

Read More

Fortinet：實施安全設計的三個關鍵

 Fortinet發佈了一篇實施安全設計的三個關鍵

安全設計（Secure by Design）是一種在開發和部署系統時，將安全性作為一個重要的設計原則的方法。安全設計的目的是減少系統的漏洞和風險，提高系統的可靠性和可信度。安全設計的實施需要考慮以下幾個關鍵因素：

• 安全文化：安全文化是指組織中對於安全的態度、價值和行為。安全文化的建立需要從領導層開始，並且涉及到所有的員工和利益相關者。安全文化的特徵包括：對於安全的重視和承諾、對於安全的教育和培訓、對於安全的溝通和協作、對於安全的監測和評估、對於安全的獎勵和懲罰。

• 安全架構：安全架構是指系統的安全設計和實現的指導原則和框架。安全架構的制定需要基於系統的業務需求、安全目標和風險評估。安全架構的內容包括：系統的安全範圍和邊界、系統的安全功能和元件、系統的安全流程和控制、系統的安全標準和規範。

• 安全開發：安全開發是指在系統的開發過程中，遵循安全的方法和實踐，以確保系統的安全質量。安全開發的執行需要涵蓋系統的整個生命週期，從需求分析到測試和部署。安全開發的活動包括：安全的需求定義和分析、安全的設計和建模、安全的編碼和審查、安全的測試和驗證、安全的部署和維護。

• 安全運營：安全運營是指在系統的運營過程中，採取安全的措施和策略，以保護系統的安全狀態。安全運營的實施需要依據系統的實際情況和變化，不斷地調整和改進。安全運營的工作包括：安全的監測和報告、安全的事件和事故處理、安全的更新和補丁、安全的審計和合規、安全的持續改進。

安全設計的實施是一個持續的過程，需要組織的全面參與和支持。安全設計的實施不僅可以提高系統的安全性，還可以提升系統的效率和效益。安全設計的實施是一個值得投資和努力的目標。

詳情請看：

Three Keys to Secure-by-Design Implementation

Read More

The Hacker News：為 IaC 安全 / KICS 引入 AI 引導修復

 The Hacker News發佈了一篇為 IaC 安全 / KICS 引入 AI 引導修復

AI引導的修復是一種新的安全技術，它可以幫助企業應對網絡攻擊。它利用人工智能和機器學習，分析攻擊者的行為，並提供最佳的修復建議。這種技術可以減少人工干預，提高修復速度和效率，並降低風險和成本。

AI引導的修復的優勢有以下幾點：

• - 它可以自動識別攻擊者的目標，技術和動機，並根據威脅程度和影響範圍，優先處理修復任務。
• - 它可以根據不同的情境，提供定制化的修復方案，並考慮到企業的業務需求和合規要求。
• - 它可以通過可視化的界面，展示攻擊者的攻擊路徑，修復步驟和進度，並提供即時的反饋和建議。
• - 它可以通過持續學習和改進，適應新的威脅和漏洞，並提高修復的準確性和效果。

AI引導的修復是一種創新的安全解決方案，它可以幫助企業提升安全水平，保護資產和數據，並增強信心和競爭力。

詳情請看：

Introducing AI-guided Remediation for IaC Security / KICS

Read More

Cybersecurity insiders：行動網路自動化將如何推動營運商取得成功

 Cybersecurity insiders發佈了一篇行動網路自動化將如何推動營運商取得成功

手機網路運營商（MNOs）面臨著巨大的壓力，必須為企業和消費者提供快速和高效的服務，但在數據需求爆炸的情況下，滿足這些期望並不容易。幸運的是，自動化已經成為一個潛在的變革者，為MNOs提供了滿足用戶需求和保持競爭優勢的關鍵。在這篇文章中，我們探討了MNOs可以利用自動化的四種方式，不僅可以提供出色的體驗，還可以實現自己的增長和盈利目標：

• 擴展5G：網路升級需要MNOs進行巨額投資，因此他們需要在每個階段都找到效率，從網路/服務規劃，到部署，維護和運營。在每個階段應用自動化將是至關重要的，以確保5G能夠及時，可靠和經濟地擴展。
• 應對複雜性：網路，服務和生態系統變得越來越複雜。事實上，MNOs正在同時處理多個技術代數和頻段，同時實施採用雲，邊緣和虛擬化的新核心架構。網路越來越多地將軟件與硬件解耦，也增加了運營和維護的複雜性。因此，簡化流程應該是自動化的重點領域，以改善服務提供和交付。
• 支持可持續性和安全性：可持續性和安全性一直是MNOs的重中之重，而供應商已經通過使用自動化來回應這一點。產品更新包括網路睡眠，節能用戶管理，威脅緩解和檢測，功能推出支持以防止威脅。這個領域必須繼續創新，以加快實現這些目標的進程，幫助保護機密信息並減少我們對地球的影響。
• 增加頻譜：頻譜和網路的交集代表了一種複雜的網路動態，有很多自動化支持的空間，包括多頻段操作，天線和單元參數優化和頻譜感知無線規劃，以及傳統的自優化網路（SON）功能。因此，這應該是MNOs尋求提高效率的重點領域。

儘管網路自動化具有巨大的潛力，但內部問題已被證明是採用的一些最重要的障礙。一些最大的挑戰包括缺乏自動化專業知識，自動化項目所有權和管理，以及對自動化流程的固有偏見。

詳情請看：

How mobile network automation will drive success for operators

Read More

雙因素認證的種類和特點

雙因素認證的種類和特點

雙因素認證是一種安全措施，要求用戶提供兩種不同的證明，才能登入帳戶或使用服務。這樣可以增加帳戶的保護，防止被盜用或入侵。雙因素認證有以下幾種常見的方法：

• - 短信驗證碼：用戶在登入時會收到一個由系統發送的數字或字母組成的驗證碼，需要在一定時間內輸入。這種方法簡單方便，但也有風險，例如短信可能被攔截或延遲，或者用戶可能遺失或更換手機號碼。
• - 語音驗證：用戶在登入時會收到一個由系統撥打的電話，通過語音播報驗證碼。這種方法比短信更安全，但也有缺點，例如電話可能沒有接通或聽不清楚，或者用戶可能不方便接聽。
• - 電子郵件驗證：用戶在登入時會收到一個由系統發送的電子郵件，包含驗證碼或驗證連結。這種方法比短信和語音更容易存取，但也有問題，例如電子郵件可能被垃圾郵件過濾或延遲，或者用戶可能忘記或更改電子郵件地址。
• - 軟體令牌：用戶在登入時需要使用一個安裝在手機或其他設備上的應用程式，生成一個動態的驗證碼。這種方法比前三種更安全和可靠，但也有挑戰，例如用戶可能無法存取設備或應用程式，或者設備可能遺失或被竊。
• - 硬體令牌：用戶在登入時需要使用一個外部的裝置，如USB隨身碟或智慧卡，插入電腦或其他設備上，作為驗證。這種方法是最安全和最穩定的，但也有缺陷，例如用戶可能忘記攜帶裝置或裝置可能損壞或丟失。

以上是雙因素認證的幾種常見的方法，每種方法都有其優缺點，用戶應該根據自己的需求和情況選擇合適的方法。 

Read More

Cybersecurity insiders：探索傳統密碼的安全性替代方案

Cybersecurity 發佈了一篇探索傳統密碼的安全性替代方案

傳統密碼是一種用於驗證使用者身份的常見方法，但它們也存在許多安全問題，例如密碼洩露、密碼重複使用、密碼破解等。因此，許多研究者和開發者正在探索更安全的替代方案，以提高使用者的隱私和資料保護。本報告將介紹幾種常見的安全替代方案，並分析它們的優缺點。

• 密碼雜湊演算法：密碼雜湊演算法是一種將密碼轉換為固定長度的亂數字串的方法，這樣即使密碼被竊取，也難以還原原始密碼。常見的密碼雜湊演算法有MD5、SHA-1、SHA-256等。密碼雜湊演算法的優點是簡單且高效，但缺點是可能存在雜湊碰撞（不同的密碼產生相同的雜湊值）和彩虹表攻擊（利用預先計算好的雜湊值和密碼的對應關係來破解密碼）。
• 雙因素驗證：雙因素驗證是一種在輸入密碼之後，還需要提供另一種驗證因素的方法，例如簡訊驗證碼、電子郵件驗證碼、指紋掃描等。雙因素驗證的優點是增加了驗證的難度和安全性，但缺點是增加了使用者的操作成本和時間，並且可能存在第二因素的失效或被竊取的風險。
• 生物辨識：生物辨識是一種利用使用者的生理或行為特徵來驗證身份的方法，例如指紋、虹膜、人臉、聲紋、手勢等。生物辨識的優點是方便且難以偽造，但缺點是可能存在辨識錯誤、辨識失敗、生物特徵被竊取或損傷的風險。

總之，傳統密碼的安全替代方案各有利弊，沒有一種方法是完美無缺的。因此，使用者和開發者應該根據不同的場景和需求，選擇合適的驗證方法，並且定期更新和檢查其安全性。此外，還應該加強使用者的安全意識和教育，以減少人為的錯誤和疏忽。

詳情請看：

Exploring Secure Alternatives to Traditional Passwords

Read More

提升網路安全的效能：有效的網路安全情報

 提升網路安全的效能：有效的網路安全情報

網路安全情報是指收集、分析和分享有關網路威脅的資訊，以幫助組織預防、偵測和回應攻擊。網路安全情報可以提升網路安全的效能，因為它可以：

• - 增加對敵方戰術、技術和程序（TTP）的了解，從而提高防禦能力和減少風險。
• - 提供即時和準確的警示，讓組織能夠快速採取適當的行動，減少損失和影響。
• - 促進與其他組織和機構的合作，共享情報和最佳實踵，建立信任和互助的關係。
• - 增強組織的決策能力，根據情報制定合理的策略和預算。

要建立有效的網路安全情報能力，組織需要考慮以下幾個方面：

• - 定義自己的情報需求，明確目標、範圍和優先順序。
• - 選擇合適的情報來源，包括內部和外部的數據、工具和服務。
• - 建立一個專業的情報團隊，具備相關的技能、知識和經驗。
• - 制定一個有效的情報流程，包括收集、處理、分析、傳播和回饋。
• - 評估情報的品質、效益和影響，並不斷改進。

總之，有效的網路安全情報是提升網路安全效能的重要手段，組織應該投入足夠的資源和注意力來發展和利用它。

Read More

Help net security：彌合雲端與本地安全之間的差距

 Help net security發佈了一篇彌合雲端與本地安全之間的差距

雲端運算由於其架構和分散、動態的特性，引入了獨特的網路安全需求。動態基礎設施使服務和組件能夠根據需求創建、擴展和銷毀，但這需要能夠適應並一致地應用於快速變化的實例的網路安全措施。雲端原生技術，包括容器、Kubernetes 和微服務，也需要新的工具和技術來檢測和回應已知和新穎的威脅。Darktrace 推出了一種基於自學 AI 的新的 Darktrace/Cloud 解決方案。這種新的解決方案提供了對雲端架構的全面可視化、實時的雲端原生威脅檢測和回應，以及優先的建議和行動，幫助網路安全團隊管理錯誤配置並加強合規性。當與來自 Darktrace 為網路、電子郵件、應用程式、零信任和端點提供的解決方案的洞察力相結合時，Darktrace/Cloud 提供了對當前面臨組織數位資產風險和威脅的更深入、更有上下文的理解。

介紹

雲端運算是一種使用網際網路提供各種 IT 服務的模式，包括伺服器、儲存、資料庫、網路、軟體、分析和智慧。雲端運算的優勢包括成本節約、靈活性、可擴展性和效率。然而，雲端運算也帶來了一些網路安全挑戰，因為它改變了傳統的網路邊界和資產控制。雲端運算的使用者必須與雲端服務提供商共同負責保護雲端環境，並遵守相關的法規和標準。

雲端網路安全是一種通過網際網路提供各種網路安全服務的過程，而不是從本地安裝的軟體和硬體。雲端網路安全的好處包括降低成本、提高效能、簡化管理和更新、提高可用性和可靠性、以及支持遠端工作。然而，雲端網路安全也有一些挑戰，例如資料隱私和主權、合規性、供應商依賴、服務水準協議和資料流量。雲端網路安全的使用者必須仔細評估雲端服務提供商的網路安全能力和政策，並確保與自己的網路安全目標和需求相符。

雲端原生是一種使用雲端服務和工具來開發和部署應用程式的方法，這些應用程式是為雲端環境而設計的，而不是為傳統的資料中心而設計的。雲端原生的特徵包括微服務架構、容器化、自動化、持續整合和持續交付、無伺服器運算和可觀察性。雲端原生的優勢包括提高敏捷性、創新性、可擴展性和可靠性。然而，雲端原生也帶來了一些網路安全挑戰，因為它增加了系統的複雜性、動態性和分散性，並需要新的工具和技術來保護和監控雲端原生應用程式和資料。雲端原生的使用者必須採用雲端原生的網路安全方法，即將網路安全作為開發和部署過程的一部分，並使用適合雲端原生環境的網路安全解決方案。

Darktrace/Cloud 解決方案

Darktrace 是一家提供基於自學 AI 的網路安全解決方案的公司，其旗艦產品是 Darktrace Immune System，它是一個自動化的網路安全平台，能夠在網路、電子郵件、應用程式、零信任和端點等各個領域檢測和回應已知和未知的威脅。Darktrace Immune System 的核心是 Darktrace AI，它是一種自學的 AI 引擎，能夠從數據中學習組織的正常行為模式，並在發現異常或威脅時提供智慧的回應。

Darktrace 最近推出了一種基於自學 AI 的新的 Darktrace/Cloud 解決方案，專為雲端環境而設計。這種新的解決方案提供了以下功能：

• 全面的可視化和架構建模，提供對不斷變化的雲端環境的洞察力。這種可視化是從配置、網路、使用者和身份和存取管理（IAM）數據動態構建的。Darktrace 為雲端資源、身份和服務建立了生命週期模式，以了解誰可以存取什麼和如何存取。這對於檢測異常和未知的威脅至關重要。
• 通用的攻擊路徑建模，提供了一個動態的視圖，顯示攻擊者可能會尋找的下一個移動目標。Darktrace 將實時的雲端數據和對雲端環境的深入理解與一個平台方法相結合，該方法提供了來自業務其他涵蓋領域（例如網路、電子郵件）的風險
• 實時的雲端原生威脅檢測和回應，提供了對容器、Kubernetes 和微服務等雲端原生技術的深入防護。Darktrace 能夠監控雲端原生應用程式的行為，並在發現異常或威脅時，自動採取適當的行動，例如隔離、終止或恢復受影響的資源。Darktrace 還能夠檢測和回應跨雲端和混合環境的威脅，例如雲端資料外洩、雲端服務劫持、雲端資源劫持和雲端原生攻擊向量。
• 優先的建議和行動，幫助網路安全團隊管理錯誤配置並加強合規性。Darktrace 能夠分析雲端環境的配置和政策，並提供智慧的建議，以修復潛在的風險和漏洞。Darktrace 還能夠提供自動化的行動，以應對緊急的威脅或事件，例如暫停、阻止或回滾不安全的變更。此外，Darktrace 還能夠生成詳細的報告和儀表板，以幫助網路安全團隊遵守相關的法規和標準，例如 GDPR、HIPAA 和 PCI DSS。

雲端運算和雲端原生技術為組織提供了許多好處，但也帶來了一些網路安全挑戰。為了保護雲端環境免受各種威脅的侵害，網路安全團隊需要使用適合雲端環境的網路安全解決方案，能夠提供可視化、檢測、回應和建議等功能。Darktrace/Cloud 是一種基於自學 AI 的新的雲端網路安全解決方案，能夠為雲端環境提供全面的防護，並與 Darktrace Immune System 的其他解決方案相結合，提供對組織數位資產的全方位的網路安全。Darktrace/Cloud 是一種適應性、智慧和自動化的雲端網路安全解決方案，能夠滿足當今和未來的雲端網路安全需求。

詳情請看：

Bridging the gap between cloud vs on-premise security

Read More