AT&T：如何保護您的雲端網路：打造一個有彈性的基礎架構

 AT&T發佈了一篇如何保護您的雲端網路：打造一個有彈性的基礎架構

雲端網路是現代企業的重要資源，但也面臨著各種網路攻擊的威脅。為了確保在遭受攻擊時，仍能繼續執行業務目標，企業需要採取一些策略來提高雲端網路的安全性和彈性。

首先，企業需要評估哪些數據和操作是必不可少的，並對其進行優先保護。這些數據可能包括法規要求保護的個人資訊、智慧財產權、財務數據等。這些數據在靜止、傳輸和使用時都需要加密和防篡改的措施。

其次，企業需要確保雲端服務提供商能夠提供所需的可用性水準，即使在遭受攻擊時也能保持線上。可用性水準通常在服務等級協議（SLA）中規定，並以正常運行時間的百分比來衡量。不同的業務可能需要不同的可用性水準，例如99.9%或99.99%。

第三，企業需要定期備份關鍵數據，以防止因勒索軟體或其他原因而無法訪問或丟失數據。備份計劃應該根據數據的重要性和變化頻率來制定，並且最好能夠自動化執行。備份數據也需要存放在安全的位置，並定期測試恢復功能。

最後，企業需要建立一個完整的安全和合規策略，涵蓋雲端網路的所有方面，包括身份和訪問管理、資產和配置管理、漏洞和風險管理、事件和事故管理等。此外，企業還需要與雲端服務提供商密切合作，確保無縫整合和解決安全問題。

詳情請看：

Securing your cloud networks: Strategies for a resilient infrastructure

Read More

Trendmicro：根據 OWASP，十大人工智能安全風險

 Trendmicro發佈了一篇根據 OWASP，十大人工智能安全風險

人工智慧（AI）是一種強大的技術，可以為組織帶來許多好處，但也可能被惡意利用，造成嚴重的安全威脅。

面對這些AI風險與趨勢，建議組織採取以下措施來提高安全防護：

• 增強安全意識：教育員工識別和防範各種AI相關的詐騙和攻擊，不要輕信陌生人或不明來源的聲音、圖像或文字。
• 使用可靠的安全解決方案：選擇能夠提供多層防護、自動化偵測和回應、以及AI驅動的分析和預測能力的安全解決方案。
• 採用最佳實務：遵循安全更新、備份、加密、身份驗證等基本的安全原則，減少被攻擊或被駭的風險。

詳情請看：

Top 10 AI Security Risks According to OWASP

Read More

Help net security：重新創造動態環境下的OT安全

 Help net security發佈了一篇重新創造動態環境下的OT安全

OT（操作技術）是指控制和監測實體系統的技術，例如工廠、電力站、水壩等。OT安全是指保護這些系統免受惡意攻擊或意外干擾的措施。隨著IT（資訊技術）和OT的越來越多的整合，OT安全面臨著新的挑戰和機遇。

OT系統涉及到多種不同的協議，例如Modbus、DNP3、OPC等，這些協議並沒有統一的標準和安全要求，因此需要針對每種協議設計不同的安全系統。這增加了OT安全的複雜性和成本。他建議使用基於雲端的解決方案，可以實現跨協議和跨環境的安全管理。

人為錯誤在OT安全中的重要性。根據IBM的報告，人為錯誤是導致資訊安全漏洞的主要原因，佔了95%。在OT系統中，人為錯誤可能會造成嚴重的後果，例如停電、事故、數據丟失等。建議組織採取多種措施來減少人為錯誤的風險，例如提高員工的資訊安全意識和培訓、制定有效的密碼政策、實施多因素身份驗證和基於角色的訪問控制、定期進行安全審計等。

零信任架構是一種不信任任何實體或連接的安全模式，而是基於數據、身份、行為和風險來驗證和授權每個請求。使用雲端平台來收集、分析和處理來自各種IT和OT源頭的數據，並使用機器學習和人工智能來偵測異常和威脅。遵循行業標準和最佳實踐，例如NIST CSF、IEC 62443等，以確保其解決方案符合客戶的需求和法規。

詳情請看：

Reinventing OT security for dynamic landscapes

Read More

Help net security：平衡電信安全、執法和客戶信任

 Help net security發佈了一篇平衡電信安全、執法和客戶信任

電信行業是一個不斷變化和創新的領域，但也面臨著許多安全威脅和挑戰。

電信安全的重要性在於保護用戶的隱私和數據，以及防止惡意攻擊和干擾。他認為，電信安全需要從多個層面來實現，包括網絡層、設備層和應用層。隨著5G、物聯網和邊緣運算的發展，電信安全將面臨更多的挑戰和風險，例如分散式拒絕服務攻擊（DDoS）、高級持續性威脅（APT）和供應鏈攻擊。

為了應對這些挑戰，包括一個基於人工智能的電信安全平台，以及一個針對家庭用戶和小型企業的智能路由器。產品和服務可以幫助電信運營商和客戶提高安全性能和可見性，並減少成本和複雜性。

電信安全是一個充滿機會和挑戰的領域，需要不斷地學習和創新。

詳情請看：

Balancing telecom security, law enforcement, and customer trust

Read More

Help net security：模擬培訓緩解團隊倦怠的 4 種方法

 Help net security發佈了一篇模擬培訓緩解團隊倦怠的 4 種方法

在資訊安全領域，倦怠感是一個普遍的問題，它會影響資安專業人員的身心健康，並讓組織面臨人才不足和風險增加的困境。為了培養一個多元化和優秀的資安團隊，組織需要提供高品質的訓練計畫，並鼓勵員工取得資安認證。而在訓練計畫中，有一種常被忽視但卻能有效減輕倦怠感的學習方法，那就是模擬訓練。

模擬訓練是指在一個受控且安全的環境中，讓學習者體驗和真實世界盡可能相似的情境，並與模擬的敵對者進行虛擬的資安戰爭。這種訓練方式可以讓學習者在不會造成真實後果的情況下，從錯誤中學習，並提升他們應對資安事件的能力和信心。模擬訓練已被廣泛應用在各種需要降低風險的行業中，例如醫療、軍事、交通、建築、太空探索等。

那麼，模擬訓練如何減輕倦怠感呢？以下是四種可能的原因：

• 增強信心：不斷面對不可控或可預防的資安事件，會讓人對自己的能力產生懷疑和不確定感。而信心低落的人更容易感到倦怠。模擬訓練可以增強信心，因為學習者可以通過真實的模擬情境，與具有人性化行為的敵對者對抗，並在與自己工作相同的IT基礎設施中使用各種資安工具，從而提高自己的技能、判斷力和反應速度。
• 減少警報疲勞：有64%的數位鑑識專家和事故回應者表示，警報和調查的疲勞是造成他們倦怠的可能因素之一。SOC團隊每天要接收數千個警報，並從中篩選出真正的威脅和優先級別，這是一項令人不堪重負和精疲力竭的工作。而模擬訓練可以幫助SOC團隊更有效地辨識偽陽性和高優先級別的警報，因為他們可以透過訓練熟悉自己組織基礎設施所面臨的各種警報類型。此外，訓練也可以模擬他們每天收到的大量警報，並幫助他們制定有效的分類策略，以簡化回應流程。
• 增加參與度：模擬訓練可以提高學習者的參與度，因為它可以提供有趣和具有挑戰性的學習體驗，並讓學習者感受到成就感和自豪感。相比傳統的訓練方式，模擬訓練更能吸引學習者的注意力和興趣，並增加他們的動機和投入度。參與度高的學習者更能保持積極和主動的態度，並減少倦怠感的產生。
• 提升效益：模擬訓練不僅可以提高學習者的技能和信心，也可以提高組織的安全效能和風險管理能力。根據報告，使用模擬訓練的組織比沒有使用的組織，在安全效能分數上有顯著的提升。而安全效能分數是一個衡量組織安全姿態強度的指標，它包括了資安團隊的技能、工具、流程、預算等因素。因此，模擬訓練可以讓組織在資安方面得到更好的投資回報，並減少因人才流失或資安事件而造成的成本。

詳情請看：

4 ways simulation training alleviates team burnout

Read More

Kaspersky：如何安全地存儲密碼

 Kaspersky發佈了一篇如何安全地存儲密碼

密碼是我們在網路上保護自己的身份和資料的重要工具，但是如果密碼太弱或太容易被猜測，就會讓我們面臨被駭客入侵或盜用的風險。因此，我們需要使用強而且不重複的密碼，並且將它們儲存在一個安全的地方，以免遺失或外洩。

一款綜合性的網路安全產品，它可以提供我們防毒、防火牆、VPN、家長控制等功能，以保護我們的裝置和隱私。它可以幫助我們生成強大的密碼，並且將它們加密後儲存在一個安全的保險庫中。我們可以在所有的裝置上同步這些密碼，並且只需要記住一個主密碼來解鎖保險庫。這樣，我們就不用擔心忘記密碼或使用相同的密碼了。

除了儲存密碼之外，可以在我們創建或輸入密碼時檢查其強度和安全性，並且提醒我們改善它。例如，當我們在一些重要的網站上（如社交網絡、銀行或郵件服務）輸入密碼時，檢查我們是否已經在其他類似的網站上使用過相同的密碼，如果是的話，它會建議我們創建一個新的密碼。

詳情請看：

How to store passwords securely

Read More

CISA：AI軟體必須從設計上就保障安全

 CISA發佈了一篇AI軟體必須從設計上就保障安全

人工智慧（AI）是一種軟體系統，因此必須遵循「安全設計」（Secure by Design）的原則，也就是要把客戶的安全視為核心的商業需求，而不只是技術特性，並且在產品的整個生命週期中，從構思到淘汰，都要優先考慮安全性。AI系統必須在出廠時就具備安全性，而不需要客戶進行額外的設定或付出成本。

AI是一種利用統計推理來產生預測、建議或決策的軟體系統。這種基於證據的統計政策制定或統計推理是一種改善人類生活的強大工具。但是，惡意的網路攻擊者也意識到了這種依賴性，並不斷試圖利用它來獲取財務或戰略上的利益。因此，AI軟體必須從設計上就保障安全，避免讓攻擊者有可乘之機。

AI系統與其他類型的軟體系統有一些不同之處，而且一些最佳的安全實務還在完善中。此外，攻擊者可能會選擇使用（或濫用）AI軟體系統的方式也會不斷演變。但是，他們強調，基本的安全實務仍然適用於AI軟體。他們呼籲AI工程師不要忽視這些實務，並且在採用AI軟體系統時避免產生過多的技術債務。

詳情請看：

Software Must Be Secure by Design, and Artificial Intelligence Is No Exception

Read More

AT&T：建立供應鏈的網路安全是應對威脅的必要之舉

 AT&T發佈了一篇建立供應鏈的網路安全是應對威脅的必要之舉

隨著網路技術的發展，供應鏈也越來越依賴數位化和連線化的解決方案。然而，這也帶來了許多網路安全的挑戰和風險。供應鏈的網路安全不僅影響到個別的企業，也關係到整個產業和社會的穩定和發展。

供應鏈的網路安全需要從三個層面來建立和強化：策略、流程和技術。策略層面包括制定清晰和一致的網路安全目標、規範和指引，並且與供應鏈的所有夥伴進行溝通和協調。流程層面涉及到實施有效和可持續的網路安全管理和監測，並且定期進行評估和改進。技術層面則涵蓋了選擇和使用適合供應鏈需求和特性的網路安全工具和方案，例如統一安全管理平台、雲端安全服務、端點安全裝置等。

建立供應鏈的網路安全是一項持續和循環的過程，需要供應鏈的所有成員共同參與和負責。只有這樣，才能有效地預防和減少網路攻擊對供應鏈造成的損害，並且提高供應鏈的競爭力和創新力。

詳情請看：

Building Cybersecurity into the supply chain is essential as threats mount

Read More

Tenable：如何以合理的成本建立基礎的網路衛生：CIS指南

 Tenable發佈了一篇如何以合理的成本建立基礎的網路衛生：CIS指南

網路衛生（cyber hygiene）是指一組預防性的措施，旨在保護組織和個人免受網路攻擊和數據洩露。然而，許多組織在建立網路衛生的基礎時，常常面臨一些基本的問題，例如應該從哪裡開始、需要哪些產品、應該花多少錢等。為了幫助這種情況，網路安全中心（Center for Internet Security, CIS）發布了一份指南，名為《網路防禦的成本：CIS控制實施組1（IG1）》。

該指南介紹了如何採用CIS的第一層安全措施，即IG1，它包含在18個CIS控制中。具體來說，IG1有56個安全措施，該指南將這些行動分為10個類別：資產管理、數據管理、安全配置、帳戶和訪問控制管理、漏洞管理、日誌管理、惡意軟件防禦、數據恢復、安全培訓和事故響應。該指南分為五個部分：方法論、首先要考慮的保護措施、IG1企業配置文件、工具和成本。

該指南指出，IG1中的安全措施可以以相對低廉的成本實施，並且是即使是最小的企業也能實現的基礎和可行的安全行動集合。此外，企業可以通過相對少量的工具實施IG1，並防禦各種威脅。

CIS還有另外兩個實施組——IG2和IG3——具有更高級的安全措施，但這些不在這份特定的指南中討論。

詳情請看：

Cybersecurity Snapshot: CIS Guide Outlines How To Attain an Affordable Cyber Hygiene Foundation

Read More

Trendmicro：OT安全性較IT安全性不成熟，但進展迅速

 Trendmicro發佈了一篇OT安全性較IT安全性不成熟，但進展迅速

OT（操作技術）是指控制工業系統的技術，如電力、水利、製造等。OT安全性是指保護這些系統免受網路攻擊的能力。根據SANS Institute在2023年6月發布的一份報告，OT安全性在多個方面較IT（資訊技術）安全性不成熟，但大多數組織都在改善它。

報告調查了近350名負責IT和OT安全性的受診者，他們來自世界各地的各種工業領域。報告探討了他們如何應對ICS/OT（工業控制系統/操作技術）可見性的挑戰，IT-OT邊界的差距，擴大可見性的障礙，以及兩個領域的成熟度比較。

報告發現，在NIST CSF（國家標準與技術研究院資訊安全框架）的五個核心能力中，OT安全性最低的是偵測能力，有42%的受診者表示OT在偵測能力上比IT低。而在具體的偵測能力中，最低的是「網路事件偵測」，有45.7%的受診者表示OT在此方面比IT低。

報告指出，OT環境中有更多多樣化的遺留資產和專用於ICS/OT的協定堆疊，這使得在資產上實施感測器來偵測惡意行為或套用補丁變得困難。無法像IT安全性一樣實施統一的措施，是提高成熟度水平的障礙。

報告還調查了受診者在其OT環境中實施端點偵測與回應（EDR）和網路安全監測（NSM）的情況，以衡量他們的可見性。結果顯示，在運行商業作業系統（Windows、Linux、Unix）的伺服器資產上實施EDR的比例為41%，在工程資產上實施EDR的比例為34%，在操作員資產上實施EDR的比例為33%。此外，已部署EDR的組織中有76%表示計劃在24個月內擴大部署範圍。

在NSM方面，根據Purdue模型，受診者表示在以下層級實施了NSM：Purdue第四層（企業）：30%，Purdue第三層（控制系統）：28%，Purdue第二層（區域控制器）：26%，Purdue第一層（現場控制器）：24%，Purdue第零層（感測器和執行器）：20%。

報告建議組織應該加強IT和OT之間的溝通和協調，以提高ICS/OT可見性和安全性。此外，組織應該選擇適合其環境的工具和技術，以實現有效的偵測和回應能力。

詳情請看：

OT Security is Less Mature but Progressing Rapidly

Read More

Trendmicro：5G專網安全現狀

 Trendmicro發佈了一篇5G專網安全現狀

私有5G網路是一種專用於特定組織或場域的無線通訊網路，它可以提供高速、低延遲、高可靠性和高安全性的服務。私有5G網路可以應用於各種領域，如工業、醫療、交通、教育等，並且可以支援物聯網、邊緣運算、人工智慧等技術。

然而，私有5G網路也面臨著許多安全挑戰，例如：

• 私有5G網路需要與公共5G網路互連互通，這可能會增加攻擊面和風險。
• 私有5G網路需要管理大量的設備、數據和應用程式，這可能會造成複雜性和不一致性。
• 私有5G網路需要遵守不同的法規和標準，這可能會影響其部署和運營。

因此，私有5G網路需要採取有效的安全策略和措施，例如：

• 私有5G網路需要使用端到端的加密和身份驗證，以保護通訊的機密性和完整性。
• 私有5G網路需要使用統一的安全管理平台，以實現設備、數據和應用程式的可見性和控制性。
• 私有5G網路需要使用智能的安全解決方案，以利用人工智慧和機器學習來偵測和回應威脅。

私有5G網路安全是一個重要而複雜的議題，它需要多方的合作和創新。私有5G網路不僅可以帶來業務效率和競爭力的提升，也可以帶來社會福祉和公共安全的改善。

詳情請看：

The Current Security State of Private 5G Networks

Read More

Trendmicro：行業零信任框架

 Trendmicro發佈了一篇行業零信任框架

零信任是一種安全模型，它基於一個假設：任何人或任何事物都不能被信任，除非經過驗證和授權。零信任的目標是減少攻擊面，防止數據洩露，並提高組織的安全水平。

然而，實施零信任並不是一件容易的事情，因為不同的行業和組織可能有不同的需求和挑戰。因此，需要根據不同的環境，選擇合適的零信任框架來指導實施過程。

四種常見的行業零信任框架，它們分別是：

• NIST SP 800-207：這是美國國家標準技術研究所（NIST）發布的一份零信任架構文件，它定義了零信任的核心概念、原則、邏輯和部署方案。這份文件適用於各種規模和類型的組織，尤其是那些需要符合聯邦政府要求的組織。
• Forrester Zero Trust eXtended (ZTX)：這是福斯特（Forrester）研究公司提出的一個零信任框架，它將零信任分為七個關鍵領域，分別是數據、設備、人員、工作負載、網絡、自動化和可見性。這個框架適用於那些希望從業務角度來理解和實施零信任的組織。
• Gartner CARTA：這是佳能（Gartner）咨詢公司提出的一個持續適應性風險和信任評估（CARTA）框架，它強調了在數字化時代需要採用動態和靈活的安全策略，而不是靜態和僵化的安全策略。這個框架適用於那些希望利用人工智能和大數據來實現自動化和智能化安全的組織。
• Trend Micro Zero Trust Framework：這是趨勢科技（Trend Micro）公司提出的一個零信任框架，它基於NIST SP 800-207和Forrester ZTX兩個框架，並加入了自己的風險洞察力（Risk Insights）功能，以幫助組織評估自己的安全風險水平，並提供相應的解決方案。這個框架適用於那些希望有一個完整和廣泛的零信任解決方案的組織。

詳情請看：

Zero Trust Frameworks for Industry

Read More

Fortinet：如何提升公共部門的網路安全韌性

Fortinet發佈了一篇如何提升公共部門的網路安全韌性

公共部門是網路攻擊的主要目標，因為它持有大量的敏感資訊，包括公民的個人資料和國家的關鍵基礎設施。公共部門的數位和安全管理成熟度各有不同，因此需要建立更強大的網路安全監督，以實現數位轉型。

網路安全韌性是指一個組織在面對網路威脅時，能夠準備、回應和恢復，並達成其任務或業務目標。網路安全韌性包括對系統、應用程式和資料的保護、偵測和演化。要提升網路安全韌性，公共部門組織需要採用以下五個階段：識別、保護、偵測、回應和恢復。

以下幾點建議，以幫助公共部門提升網路安全韌性：

• 採用整合式的安全架構，將不同層級和部門的安全解決方案連接起來，形成一個統一的防禦體系。
• 利用雲端技術和自動化工具，減少人力成本和複雜度，提高效率和靈活性。
• 建立一個跨部門和跨領域的網路安全團隊，培養多元化的技能和知識，並提供持續的培訓和認證。
• 與其他公共部門、政府機構和網路安全專家合作，交流資訊和分享最佳實踐。這種集體的方式可以提高整體的準備度和抵禦網路威脅的能力。

詳情請看：

Enhancing Government Cybersecurity Resilience

Read More

Help net security：創意招募策略助力解決網路安全人才缺口

 Help net security發佈了一篇創意招募策略助力解決網路安全人才缺口

網路安全威脅日益複雜，而網路安全專家卻嚴重不足，這讓許多組織開始尋找創意的方法來招募和留住頂尖人才。在這篇文章中，雷神公司的網路安全保護解決方案執行董事Jon Check，分享了實習和學徒制度在培養下一代網路防禦者方面的重要性。

Jon Check認為，傳統上，人們認為要從事網路安全工作，必須有專業的教育和履歷。然而，隨著威脅環境的擴大，行業必須重新考慮什麼是優秀的人才。這包括強調軟技能和多元背景，而不是只看具體的條件（例如特定的學位或名校）。創造力也是在面對獨特的網路挑戰時開發解決方案的寶貴技能。

實習和學徒制度可以提供開展網路安全職業所需的額外培訓。教育在網路安全領域也應該是持續的，因此組織必須確保他們正在積極努力培訓下一代的勞動力。這包括支持他們現有的員工，並鼓勵他們以最佳方式學習。對內和對外的實習和學徒制度是實現這一目標的關鍵。它們不僅可以增加對網路安全工作實際需要什麼的認識，還可以幫助組織內外的人員發展符合威脅景觀變化需求的必要技能。

文章還提到了一些支持課程和指導計劃的例子，例如國家大學生網路防禦競賽和美國賽博遊戲，這些計劃可以讓學生獲得實戰經驗，測試他們的技能，建立人脈，並與導師聯繫，為他們的網路安全職業奠定重要基礎。文章還強調了招募內部人才的價值，並建議給予非技術員工學習賽博空間的機會，讓他們有機會轉換職業道路，特別是如果他們有正確的技能集和學習新事物的熱情。

詳情請看：

Using creative recruitment strategies to tackle the cybersecurity skills shortage

Read More

AT&T：如何在 Windows Server 2019 上安全地實施 Active Directory

 AT&T發佈了一篇如何在 Windows Server 2019 上安全地實施 Active Directory

Active Directory (AD) 是一種用於管理網路資源和使用者身份的微軟技術。AD 可以提高網路的效率和安全性，但也需要適當的配置和保護，以防止被惡意攻擊或誤用。本文將介紹在 Windows Server 2019 上安全地實施 AD 的一些最佳實踐。

首先，建議使用最新版本的 Windows Server 2019，因為它包含了許多安全性和功能的改進，例如支援更強的加密演算法、更好的監控工具和更靈活的角色分配。此外，還應該定期更新系統和應用程式，以修補任何已知的漏洞。

其次，建議使用最小權限原則 (Principle of Least Privilege, PoLP) 來管理 AD 的存取權限。這意味著只賦予使用者或群組所需的最低權限，以完成其工作。這可以減少被駭客或內部人員濫用權限的風險，並降低資料洩露或破壞的可能性。例如，可以使用組織單位 (Organizational Unit, OU) 來將 AD 物件分類和隔離，並使用委派控制 (Delegation of Control) 來指派特定的管理任務。

第三，建議使用強健的驗證和加密機制來保護 AD 的通訊和資料。這包括使用多因素驗證 (Multi-Factor Authentication, MFA) 來增加登入的安全性，使用安全通訊協定 (Secure Communication Protocol) 如 Kerberos 或 LDAP over SSL/TLS 來加密 AD 的流量，以及使用 BitLocker 或 EFS 來加密 AD 的資料庫和備份。

最後，建議使用有效的監控和回復策略來偵測和應對 AD 的異常或攻擊。這包括使用事件記錄 (Event Log) 和稽核原則 (Audit Policy) 來記錄 AD 的活動和變更，並使用 SIEM 工具如 AT&T Cybersecurity USM Anywhere 來分析和報告任何可疑或惡意的事件。此外，還應該定期備份 AD 的資料庫和系統狀態，並測試還原程序，以確保在發生災難時能夠快速恢復服務。

AD 是一種強大而實用的技術，但也需要遵循一些最佳實踐，以確保其安全性和可靠性。包括使用最新版本的系統、採用最小權限原則、使用強健的驗證和加密機制、以及使用有效的監控和回復策略。

詳情請看：

Securely implementing Active Directory on Windows Server 2019

Read More

Help net security：資料外洩成為勒索軟體的主要策略

 Help net security發佈了一篇資料外洩成為勒索軟體的主要策略

近年來，勒索軟體攻擊越來越普遍和複雜，對各種組織造成嚴重的影響。勒索軟體團體也越來越偏好竊取敏感資料，並以此作為勒索的手段。這意味著單純的備份方案已經無法有效防禦勒索軟體。

攻擊者的方法和技術也在不斷變化，從釣魚轉向漏洞利用。在這種情況下，LockBit成為了勒索軟體領域的霸主，從2021年第四季到2023年第二季，佔據了39%的受害者數量，遠超其他團體。另一個值得注意的團體是CL0P，它積極開發零日漏洞，使其受害者數量在一年內增加了9倍。

在各個行業中，製造業受到的影響最大，2021年第四季到2022年第四季，受害者數量增加了42%。其中41%的攻擊來自LockBit。醫療行業也面臨39%的增長，主要受到ALPHV（又稱BlackCat）和LockBit的威脅。金融服務和零售行業也分別出現了50%和9%的上升。

勒索軟體攻擊者持續改進他們的技術和策略，直接攻擊組織的核心資產，破壞他們的品牌信譽和業務連續性。組織必須了解攻擊者使用的方法和工具，以便有效地保護自己。

詳情請看：

Data exfiltration is now the go-to cyber extortion strategy

Read More

Cybersecurity insider：資訊安全自動化的好處

 Cybersecurity insider發佈了一篇資訊安全自動化的好處

資訊安全自動化是指利用多種技術來自動執行安全任務，以減少應對威脅所需的時間和精力。這些技術包括可以偵測、預防、控制和恢復的硬體解決方案（例如感測器）和軟體解決方案（例如機器學習）。

資訊安全自動化有以下幾個好處：

• 提高效率：當您負責一個管理數百萬用戶帳戶的資訊安全部門時，您可能會感到壓力山大，每天需要完成的任務數不勝數。但是，當您將其中一些活動自動化時，您就可以節省時間，專注於其他領域，而不是每天手動執行重複的任務。這也可以降低聘用安全專業人員的成本，因為他們不需要監控系統或進行手動分析。
• 保護您的業務免受網路攻擊：資訊安全自動化可以幫助預防網路攻擊的發生，通過在它們升級之前偵測和抵禦它們。實時網路監控也使攻擊者更難滲透您的系統並竊取或損壞資料。這可以讓您在自動監控啟動的情況下保持安全。
• 減少人為錯誤：當人類管理您的資訊安全時，他們有很多方式可以犯錯。例如，他們可能忘記更新密碼，或者他們可能未能更新電腦上的軟體。自動化可以將這些事情從他們手中拿走，讓他們不必再擔心它們。
• 提供威脅情報和分析：自動化讓您能夠快速識別新興威脅並在它們影響您的業務之前防範它們。自動化資訊安全系統會儲存其活動日誌，讓您了解攻擊如何影響您的公司。您可以使用這些重要資訊來進一步增強您的資料安全。

資訊安全自動化的功能，可以簡化業務運作：

• 偵測和預防：資訊安全自動化最重要的功能是保護您的業務免受攻擊。它識別潛在威脅並迅速回應，實施自動解決方案以防止進一步損害。然而，期望自動化能完全保護您並不是一個好主意。例如，如果您想要隱藏您的IP地址以使網路攻擊者更難找到您，您仍然需要使用其他方法來保護您的身份和資料。
• 回應和恢復：當網路攻擊發生時，您需要能夠快速且有效地回應和恢復。資訊安全自動化可以幫助您做到這一點，通過隔離受影響的系統，恢復正常運作，並分析攻擊的原因和後果。這可以幫助您減少損失，提高信心，並防止未來的攻擊。
• 優化和改進：資訊安全自動化不僅可以幫助您應對當前的威脅，還可以幫助您優化和改進您的安全措施。通過收集和分析數據，您可以發現安全漏洞，評估風險，並制定更好的策略。您也可以利用人工智慧（AI）來增強您的自動化能力，讓它們能夠學習並適應新的威脅。

資訊安全自動化是一種有效的方法，可以幫助您保護您的業務免受網路攻擊的影響。它可以提高效率，減少人為錯誤，提供威脅情報和分析，並實現偵測、預防、回應和恢復的功能。然而，資訊安全自動化並不是萬能的，您仍然需要使用其他工具和技術來補充它。您也需要不斷地優化和改進您的自動化系統，以應對不斷變化的網路環境。

詳情請看：

Benefits on Information Security Automation

Read More

Security：如何在遠端工作時確保資料隱私

 Security發佈了一篇如何在遠端工作時確保資料隱私

遠端工作已經成為許多企業和員工的新常態，但這也帶來了資料隱私和安全的挑戰。遠端工作的員工可能會使用個人設備或公共網路來存取公司的敏感資料，這些都可能增加資料洩露的風險。因此，企業和員工都需要採取一些措施來保護資料隱私。

首先，企業應該制定和執行一套遠端工作的政策和規範，並定期對員工進行教育和培訓。這些政策和規範應該涵蓋以下幾個方面：

• 員工應該使用公司提供或批准的設備和軟體來進行遠端工作，並確保這些設備和軟體都有安裝最新的安全更新和防毒軟體。
• 員工應該使用安全的網路連線來存取公司的資料，例如使用虛擬私人網路（VPN）或加密的無線網路。
• 員工應該遵守公司的資料分類和保密規則，並只在必要時存取或分享最少量的敏感資料。
• 員工應該使用強密碼或多因素認證來保護自己的帳號和設備，並避免在公共場所或不受信任的設備上登入或存取公司的資料。
• 員工應該及時回報任何資安事件或可疑活動，並配合公司進行調查和修復。

其次，員工也應該注意自己在遠端工作時的個人隱私。員工可以採取以下幾個措施來保護自己的個人隱私：

• 員工應該在一個安靜和私密的地方進行遠端工作，並避免讓家人或其他人干擾或窺視自己的工作內容。
• 員工應該使用隱私螢幕保護貼或其他物品來遮蔽自己的螢幕，以防止旁人看到自己的資料或通訊內容。
• 員工應該關閉不必要的麥克風或攝影機，並在參加視訊會議時使用虛擬背景或模糊背景功能，以防止洩露自己的個人信息或生活細節。
• 員工應該清楚了解自己使用的平台或服務的隱私政策和設定，並選擇合適的隱私權限來控制自己的資料分享和存取。

總之，遠端工作時確保資料隱私是一個需要企業和員工共同努力的任務。只有通過有效的政策、規範、教育、培訓和個人措施，才能減少資料洩露的風險，並提升遠端工作的效率和安全性。

詳情請看：

Ensuring data privacy while working remotely

Read More

Help net security：網路偵測與回應：現代時代的網路安全技術

 Help net security發佈了一篇網路偵測與回應：現代時代的網路安全技術

網路偵測與回應 (NDR) 是一種網路安全技術，它利用非簽名式的方法，如人工智慧、機器學習和行為分析，來偵測網路上的可疑或惡意活動，並對網路威脅做出回應。NDR 可以提供即時的威脅偵測、事件調查、隔離和快速修復的功能，幫助企業提升網路安全性。

NDR 的主要挑戰包括以下幾點：

• 網路威脅日益進化，從勒索軟體、零日漏洞、高級持續性威脅 (APT) 到內部威脅等，都需要快速地偵測和回應。
• 網路安全專業人才的缺乏，使得自動化的 NDR 解決方案更加重要，因為它可以簡化威脅情報，並適用於各種知識水平的安全團隊。
• 物聯網 (IoT) 裝置和自帶裝置 (BYOD) 的增加，導致了保護網路端點的新漏洞。此外，企業正朝向零信任模型發展，這需要對網路活動有良好的可見性，才能制定嚴格的零信任政策。
• 合規規範 (例如 NIS2、GDPR 或 DORA) 要求採取強大的安全措施來保護敏感資料，並確保在國家和超國家層面上遵守法規。

NDR 的主要優勢包括以下幾點：

• NDR 可以利用機器學習演算法來改善威脅偵測的準確性，減少誤報，並實現快速回應。
• NDR 可以提供全面的網路活動可見性，幫助安全團隊掌握並察覺網路流量，並提供有關偵測威脅的上下文資訊。
• NDR 可以提供符合資料保護和合規規範的功能，例如加密、匿名化或最小化數據收集。

因此，NDR 是一種現代時代不可或缺的網路安全技術，它可以幫助企業防禦各種網路威脅，並提升其安全姿態。

詳情請看：

Network detection and response in the modern era

Read More

Tenable：密碼管理和驗證的最佳實踐

 Tenable發佈了一篇密碼管理和驗證的最佳實踐

密碼是一種用於保護個人或組織的數據和資源的常用方法。然而，如果密碼不安全或容易被破解，則可能導致數據洩露或未經授權的訪問。因此，密碼管理和驗證的最佳實踐是提高網絡安全的重要一環。

密碼管理是指創建、存儲、更新和刪除密碼的過程。密碼管理的最佳實踐包括：

• 使用強密碼，即至少包含八個字符，並且包含大小寫字母、數字和特殊符號。
• 不要使用個人信息、常見單詞或連續或重複的字符作為密碼。
• 不要在不同的帳戶或服務上重複使用相同的密碼。
• 定期更改密碼，並且在發現或懷疑密碼被盜用時立即更改。
• 使用可信的密碼管理器來生成、保存和填充密碼。
• 不要將密碼寫在紙上或在電子設備上明文存儲。
• 不要通過電子郵件、短信、社交媒體或其他不安全的渠道共享密碼。

驗證是指確認用戶身份的過程。驗證的最佳實踐包括：

• 使用多因素驗證（MFA），即除了密碼外，還需要其他一種或多種驗證方法，例如指紋掃描、臉部識別、短信驗證碼或安全令牌。
• 避免使用基於知識的問題（KBA），例如出生日期、母親的姓氏或寵物的名字，作為驗證方法，因為這些信息可能被黑客輕易猜測或從公開資料中獲取。
• 使用基於風險的驗證（RBA），即根據用戶登錄時的行為、位置、設備等因素來動態調整驗證要求。
• 使用單次登錄（SSO），即允許用戶使用一組憑據來訪問多個相關的服務，從而減少記憶和輸入多個密碼的負擔。

詳情請看：

Password Management and Authentication Best Practices

Read More

Help net security：歐盟法律如何影響軟體漏洞的揭露和修復

 Help net security發佈了一篇歐盟法律如何影響軟體漏洞的揭露和修復

軟體漏洞是指軟體中存在的錯誤或缺陷，可能導致安全風險或功能故障。當發現或被通知有漏洞時，軟體開發者或製造商應該盡快修復問題，並在修復完成後公開揭露漏洞的相關資訊，以便社群受益。這種做法被稱為負責任的漏洞揭露（Responsible Vulnerability Disclosure, RVD）。

然而，歐盟正在推動一項名為網路韌性法案（Cyber Resilience Act, CRA）的新法律，可能會改變這種做法，並對軟體安全造成負面影響。該法案的目的是提高歐盟的網路安全水準，但其中一項規定要求公司在尚未完全修復漏洞之前就必須向歐盟網路安全局（ENISA）報告。

這項規定有以下幾個問題：

• 這可能會引起惡意攻擊者的注意，並加速利用未修復的漏洞進行攻擊。
• 這可能會增加未修復漏洞資訊被竊取或濫用的風險，因為該資訊會被傳送給27個歐盟成員國的不同機構。
• 這可能會讓其他國家效仿，例如中國已經實施了一項要求公司向政府報告所有漏洞的法規。

因此，一些安全專家和組織呼籲歐盟修改該法案，並保留負責任的漏洞揭露的原則。他們建議：

• 應該讓公司有足夠的時間修復漏洞，並在修復後才公開揭露。
• 應該確保任何揭露的漏洞資訊都有適當的安全措施，並只在需要知道的基礎上分享。
• 應該禁止政府機構利用揭露的漏洞資訊進行攻擊或間諜活動。

軟體漏洞是不可避免的，但如何處理它們卻是可以選擇的。我們希望歐盟能夠聽取專業意見，並制定一個既能保護消費者又能鼓勵創新的法律框架。

詳情請看：

How EU lawmakers can make mandatory vulnerability disclosure responsible

Read More

The Hacker news：了解 Active Directory 攻擊路徑以提高安全性

 The Hacker news發佈了一篇了解 Active Directory 攻擊路徑以提高安全性

Active Directory（AD）是一種廣泛使用的身份驗證和目錄服務，它為組織提供了強大的功能。但是，這種功能也帶來了濫用的可能性。內部威脅是最具破壞力的威脅之一，因為它們可以利用已存在的AD用戶的權限和信任來攻擊網絡。

AD在外部看起來是一個安全的身份驗證和授權解決方案，但是如果遭到複雜的社交工程或釣魚郵件攻擊，一個已存在的AD用戶就可能被入侵。一旦入侵，攻擊者就有多種方式來攻擊AD。

例如，如果用戶連接了一個已經被入侵或者沒有足夠安全措施的設備，攻擊者就有一個簡單的方法來訪問內部網絡。此外，許多用戶可能會將他們的智能手機或平板電腦連接到網絡，這意味著除了一台工作發放的筆記本電腦之外，您可能還有兩三個用戶設備沒有受到相同的安全措施。

另一個增加內部安全複雜性的問題是過度授權的訪問。組織往往傾向於擴大訪問權限而不是限制它。一個出於方便而解決問題的行為可能會帶來意想不到的後果，創造一個潛在的攻擊向量，然後往往被忘記。對於那些也是管理員的用戶，並不總是有一個高度安全的“管理員”賬戶來分隔不同的訪問級別。這樣，通過標準用戶賬戶允許管理任務的方便性就打開了一扇大門，讓一個被入侵並具有高級別權限的賬戶可以肆無忌憚地濫用。

最後，許多組織（尤其是大型組織）可能會因為他們支持的各種應用程序而有較弱的密碼策略。並非所有的應用程序都是相同的，有些不支持最新的安全標準。例如，有些不支持LDAP簽名或者通過LDAPS使用TLS加密LDAP。弱密碼策略加上缺乏多因素身份驗證使得通過一種技術（如Keberoasting）來破解通過一個具有特權的內部賬戶檢索到的哈希變得容易。這與強密碼策略和多因素身份驗證形成了鮮明的對比，後者使得通過破解哈希來訪問系統或網絡變得更難。

因此，為了防止AD遭受內部威脅，組織需要採取一些措施，例如：

• 實施設備管理和安全策略，以防止不安全的設備連接到網絡。
• 定期審核和監控用戶的訪問權限，並確保它們符合最小權限原則。
• 為管理員創建單獨的賬戶，並只在需要時使用它們。
• 強化密碼策略，並使用多因素身份驗證來增加安全性。
• 使用專業的安全工具來檢測和阻止任何異常或惡意的活動。

這樣，組織就可以提高AD的安全性，並減少內部威脅帶來的風險。

詳情請看：

Understanding Active Directory Attack Paths to Improve Security

Read More

Help net security：IT在物理安全技術中的崛起

 Help net security發佈了一篇IT在物理安全技術中的崛起

隨著雲端和移動訪問安全系統的採用在新老企業中不斷增加，傳統的物理安全人員和IT人員之間的界限開始模糊。傳統上，組織安全的常見方法一直是將物理和網絡安全系統作為分開（但相關）的追求，將每個設備和政策集合隔離，以減少複雜的跨平台網絡攻擊的風險。然而，在現代世界中，使用虛擬系統和IT相關技術來管理和控制安裝的物理安全設備變得越來越普遍，這意味著一個有效和安全的安全系統必須在物理安全和IT團隊的參與下設計。

雲端安全管理的崛起

將物理和網絡安全政策融合的最常見原因之一是通過引入能夠管理和監測重要建築管理系統和安裝的安全網絡的物聯網設備來提高效率。集成的物聯網傳感器、警報器、監控攝像頭和訪問系統可以用於提供一個更全面的組織物理安全防禦視圖，但前提是網絡設計得智能且易於監測——而雲端既提供了這些好處，也帶來了一些挑戰。

儘管融合的物理和網絡安全系統具有很多優勢，例如可以隨時從遠程位置查看和調整，但也存在潛在的風險。事實上，86%的組織認為遷移系統和應用程序可能“複雜且昂貴”，這增加了雲端採用的挑戰。通常，這些問題可以歸因於物理安全人員和IT團隊之間的溝通不良。例如，在一個新融合的雲端安全系統中，IT人員可能會根據自己的內部政策試圖訪問和調整物理安全硬件，意外地暴露出之前只由物理安全協議覆蓋的漏洞或弱點。因此，成功的安全融合和雲端遷移需要一種細微的方法，需要多個利益相關者和關鍵觸點之間的協作和溝通。

IT對物理安全系統的影響

那麼，現代組織應該如何發展更有效的融合安全保護呢？簡而言之，企業應該讓他們的IT團隊參與到物理安全系統的決策和實施中。報告顯示，97%的IT領導者對他們組織中的數據泄露感到擔憂，導致許多公司將重點放在網絡安全上，但通過融合物理和網絡安全政策的設計和運營，兩方面都可以可靠地加強。

詳情請看：

IT’s rising role in physical security technology

Read More

Help net security：如何開始進行持續的配置評估

 Help net security發佈了一篇如何開始進行持續的配置評估

配置評估是一項重要的資訊安全工作，它可以幫助組織發現和修復系統的配置漏洞，減少遭受網路攻擊的風險。然而，配置評估並不是一次性的任務，而是需要持續地進行，以應對系統的變化和威脅的演變。

要進行配置評估，首先需要有一套安全配置的標準，可以參考 CIS Benchmarks，這是一系列由業界專家共同制定的最佳實踐指南，涵蓋了多種技術和產品。CIS Benchmarks 以簡單的語言描述了每項建議的安全效益和實施步驟，並且與 CIS Critical Security Controls相關聯，方便組織制定整體的安全計畫。

要使用 CIS Benchmarks 進行配置評估，可以利用 CIS 提供的工具 CIS-CAT Pro，這是一個自動化的配置評估工具，可以掃描系統並報告其符合度。CIS-CAT Pro 支援超過 80 個 CIS Benchmarks，並且可以遠端控制端點。CIS-CAT Pro 還提供了修復建議和報告功能，幫助組織改善其安全狀況。

配置評估是一項持續不斷的工作，需要定期地執行和檢查。通過使用 CIS Benchmarks 和 CIS-CAT Pro，組織可以有效地管理和監測其系統的安全配置，提高其抵禦網路攻擊的能力。

詳情請看：

How to get started with ongoing configuration assessments

Read More

Help net security：人類網路風險管理在當今比以往更重要

 Help net security發佈了一篇人類網路風險管理在當今比以往更重要

隨著人工智慧增強了釣魚、語音釣魚和簡訊釣魚等攻擊的精密度和覆蓋範圍，了解和管理人類網路風險已經變得非常重要，這是SANS Institute的報告指出的。該報告強調了人類網路風險的升級，尤其是在過去一年中，全球有20%的組織報告了涉及遠端工作者的安全事件。

「數位世界正在快速擴張，隨之而來的是，人類元素的網路安全變得更加重要，因為它作為全球網路威脅的主要目標不斷演變」，SANS Security Awareness Director Lance Spitzner說。

該研究指出，成熟的安全計畫，以強大的團隊和領導支持為特徵，其安全意識團隊至少有三名全職員工。主要的人類網路風險包括釣魚、語音釣魚和簡訊釣魚攻擊；密碼/身份驗證風險，可由先進的工具減輕；培養有效偵測/回報的安全文化的挑戰；以及IT管理員錯誤配置的風險，尤其是在複雜的雲端環境中。

與往年一樣，安全意識仍然主要被視為組織內部時間不足的承諾。值得注意的是，今年有70%的安全意識從業者透露，他們將一半或更少的工作時間用於此項工作。這一見解突顯了提升持續性網路安全意識在組織日常運作中重要性的持續挑戰。

該報告還發現，首次有數據顯示，專門從事人類風險管理的專業人士比他們在更廣泛的安全角色中的同行多賺5%。這突顯了這些技能在行業中日益增長的需求和價值。

該報告提出了一些關鍵行動來提高計畫成功率，包括用風險術語溝通、爭取領導支持、建立團隊、測量和報告成效、創造文化變革等。

詳情請看：

Managing human cyber risks matters now more than ever

Read More

Help net security：如何在多元化的雲端基礎架構中維持一致的安全性

 Help net security發佈了一篇如何在多元化的雲端基礎架構中維持一致的安全性

雲端基礎架構越來越多地採用API驅動的方式，並且動態地分散在廣闊的攻擊面上，這使得獲得清晰的安全狀況變得困難。此外，DevOps實踐、微服務和容器技術的整合，雖然促進了敏捷性和可擴展性，但也增加了額外的複雜性和潛在的安全盲點。

可見性是預防雲端攻擊者的關鍵因素，因為雲端基礎架構的特性。他建議使用多種機制來提高可見性，包括實施日誌和監控機制、啟用變更管理策略以追蹤所有雲端資源和配置的變化，以及實施威脅偵測和事故回應策略。

DevOps動態環境，特別是微服務和容器的引入，如何增加了維持雲端環境清晰可見性的複雜性。他說，微服務和容器帶來了多層抽象，增加了雲原生系統的複雜性。因此，在雲原生基礎架構中，需要多種安全機制來實現可見性。然而，這些安全機制通常在不同的抽象層中孤立運作，因此很難提供統一的可見性。克服這些挑戰需要在不同抽象層中建立安全機制之間的溝通渠道。

最後，人為錯誤和錯誤配置導致數據洩露的風險，以及CISO們應該採取什麼策略來減輕這些風險。一種名為Mitigant Cloud Security Mechanisms (MCSM) 的框架，該框架利用混沌工程原理來自動化發現和修復錯誤配置。MCSM可以幫助CISO們實現持續、自動化和無人值守的雲端安全管理。

詳情請看：

Maintaining consistent security in diverse cloud infrastructures

Read More

Cybersecurity insiders：網路安全中的蜜罐技術：一種欺騙性的防禦

 Cybersecurity insiders發佈了一篇網路安全中的蜜罐技術：一種欺騙性的防禦

網路安全中的蜜罐技術是一種利用假冒的攻擊目標來吸引並誘捕網路攻擊者的方法。蜜罐可以模仿任何數位資產，例如軟體應用程式、伺服器或網路本身。它們故意設計成與真實目標相似，以使攻擊者誤以為他們已經進入了實際的系統，並在受控制的環境中浪費時間。

蜜罐的作用有兩個方面：一是作為一種誘餌，將攻擊者從真正的目標轉移；二是作為一種偵察工具，利用攻擊者的入侵嘗試來評估他們的技術、能力和動機。從蜜罐收集到的情報可以幫助組織改進和強化他們的網路安全策略，以應對現實世界的威脅，並識別現有架構、資訊和網路安全中可能存在的盲點。

蜜罐可以分為不同的類別，根據其功能、互動性、部署位置和目的。例如，低互動性蜜罐只提供有限的服務和功能，而高互動性蜜罐則提供完整的作業系統和服務。又例如，生產型蜜罐用於保護真實系統，而研究型蜜罐用於收集關於攻擊者行為的資訊。

蜜罐技術雖然有許多優點，但也存在一些缺點和挑戰。例如，蜜罐可能被攻擊者發現或利用，造成反向攻擊或誤導情報。又例如，蜜罐可能涉及法律和道德問題，例如是否可以在未經同意的情況下監視或記錄攻擊者的活動。因此，在使用蜜罐技術時，需要考慮其風險和收益，並遵守相關的規範和原則。

詳情請看：

Honeypots in Cybersecurity: A Deceptive Defense

Read More

Cybersecurity insider：醫療智慧卡的四大創新

 Cybersecurity insider發佈了一篇醫療智慧卡的四大創新

醫療智慧卡是一種可以驗證病人和醫療專業人員身份的防篡改的實體裝置，它可以提高醫療數據的安全性和便利性。本文介紹了四項正在採用的突破性創新，以保護機密的病人數據和未來證明電子醫療服務。

• 量子安全加密：隨著量子計算的發展，加密可能面臨新的安全風險。量子計算可以在幾分鐘內破解原本需要幾年才能破解的加密。幸運的是，已經有一些重大的創新，將前量子和後量子防禦機制結合在醫療智慧卡中。這一層安全性將有助於保護病人數據，即使在量子計算變得更普遍並被網路罪犯利用的時候。
• FIDO2認證：FIDO2是由FIDO聯盟開發的一種全球認證標準，該聯盟是一個致力於減少對密碼過度依賴的開放行業協會。我們很自豪地說，醫療智慧卡現在已經通過了FIDO2認證，這意味著病人可以安全地註冊和登錄到符合FIDO2規範的在線服務。對於M4M（Moore4MedicaL）來說，這項創新意味著病人現在可以安全地訪問其監測數據服務，並及早發現任何健康問題。
• 發行後的互操作更新：一些個人數據會隨著時間而改變（例如緊急聯絡人）。通過使用LDS2，電子文件現在可以通過安全和互操作的方式訪問病人的數據並進行更新。這是一個很好的例子，展示了旅行業最近的標準如何以創新的方式改善醫療服務。
• 發行後的安全更新：現在可以通過安全的方式更新電子文件，以應對未來可能的威脅。M4M醫療智慧卡展示了OS Agility，這意味著可以在文件發行後更新嵌入式軟件並增強裝置安全。

詳情請看：

4 Major Innovations in Healthcare Smart Cards

Read More

Help net security：預算限制威脅政府機構的網絡安全

Help net security發佈了一篇預算限制威脅政府機構的網絡安全

政府機關是各種威脅者的吸引力目標，他們的動機可能是地緣政治、金錢或破壞。因為威脅者可能包括個人、小團體或國家支持的APT組織，政府機關必須防禦廣泛的威脅。

然而，政府機關面臨的一個主要挑戰是預算限制，這可能影響他們採用最新的資訊安全技術和方案。此外，政府機關也需要考慮法規遵循、數據保護和公民權利等因素，這可能增加了資訊安全管理的複雜度。

為了有效地應對網路攻擊的風險，政府機關需要採取一些措施，例如：

• 建立一個統一的資訊安全架構和策略，並定期更新和評估其效能。
• 提高員工和公民的資訊安全意識和教育，並提供相關的培訓和指導。
• 採用多層次的防禦措施，包括防火牆、入侵偵測系統、加密、身份驗證和授權等。
• 與其他政府機關和私人部門合作，分享資訊安全最佳實踐和威脅情報。
• 持續監測和分析網路活動和事件，並及時回應和處理任何異常或攻擊。

政府服務是社會運作的重要基礎，因此保護其免受網路攻擊是至關重要的。政府機關需要投入足夠的資源和注意力，以提高其資訊安全能力和水平。

詳情請看：

Budget constraints threaten cybersecurity in government bodies

Read More

Cybersecurity insider：如何使您的防止網絡釣魚教育訓練取得成功

 Cybersecurity insider發佈了一篇如何使您的防止網絡釣魚教育訓練取得成功

釣魚攻擊是一種網路詐騙的手法，目的是騙取使用者的個人資訊或敏感資料，例如密碼、信用卡號或銀行帳戶等。釣魚攻擊通常利用偽造的電子郵件、網站或社交媒體訊息，誘導使用者點擊惡意的連結或附件，或者輸入自己的資訊。

要讓你的防止網絡釣魚教育訓練成功，你需要注意以下幾個要點：

• 選擇合適的目標：你需要研究你想要攻擊的組織或個人，了解他們的興趣、需求、習慣和弱點，以便設計更具說服力和吸引力的釣魚內容。
• 製作真實的釣魚內容：你需要模仿真實的信任來源，例如知名的品牌、機構或個人，並使用正確的語言、格式和圖像，以增加你的可信度。你也需要創造一個合理的故事或情境，讓使用者感到好奇、緊急或恐慌，從而促使他們採取行動。
• 隱藏你的身份和意圖：你需要避免使用任何可以暴露你的真實身份或意圖的線索，例如錯別字、奇怪的域名、不正常的發送時間或明顯的謊言。你也需要使用加密或隱藏的連結或附件，以防止被安全軟體或使用者發現。
• 測試和改進你的釣魚攻擊：你需要在發送你的釣魚內容之前，先測試它們在不同的平台和設備上的效果，並根據反饋進行必要的修改。你也需要持續監測和分析你的釣魚攻擊的結果，並根據數據調整你的策略。

詳情請看：

How to make your phishing campaign a success

Read More

The Hacker news：MDR：提升組織的安全能力

 The Hacker news發佈了一篇MDR：提升組織的安全能力

管理式偵測與回應（MDR）是一種為組織提供安全解決方案的服務，可以幫助組織應對日益複雜和多變的網路威脅。MDR服務可以讓組織將端點偵測與回應（EDR）產品的管理外包給專業的安全團隊，並利用即時的威脅狩獵能力，在個別端點上偵測和減輕惡意活動，同時及時通知服務提供商的安全運營中心（SOC）進行進一步的調查。

MDR服務有多種形式，可以根據組織的技術環境和風險需求進行定制。例如，有些MDR服務可以與組織現有的安全產品集成，有些MDR服務可以作為獨立的平台運行，有些MDR服務可以通過雲端平台提供，還有些MDR服務可以延伸到端點以外的領域，如電子郵件、雲端服務、DNS、物聯網和醫療設備、工業控制系統等。

選擇一個有效的MDR服務，需要評估相關的EDR產品和資安服務的質量。主要考慮以下幾個因素：惡意軟體偵測和回應能力、已知和未知威脅偵測能力、服務承諾、聲譽、可擴展性、全球資安情報等。

MDR已成為一種不可或缺的安全解決方案，讓組織能夠主動偵測、回應和減輕網路上的威脅。通過仔細選擇合適的MDR提供商和方案，組織可以加強自己的安全姿態，並保護自己的關鍵資產免受不斷變化的資安威脅。

詳情請看：

MDR: Empowering Organizations with Enhanced Security

Read More

Help net security：人工智慧如何加強電子郵件的安全性和威脅

 Help net security發佈了一篇人工智慧如何加強電子郵件的安全性和威脅

電子郵件是現代溝通的重要工具，但也是黑客和詐騙者的主要攻擊目標。根據一項調查，2023年上半年，有超過六成的企業遭受了電子郵件相關的安全威脅。這些威脅包括釣魚、勒索軟體、商業電子郵件詐騙等，可能導致數據洩露、財務損失、信譽受損等後果。

為了對抗這些威脅，許多企業採用了人工智慧（AI）技術來加強電子郵件的安全性。AI可以幫助分析大量的電子郵件數據，識別出異常或惡意的行為，並及時阻止或隔離它們。AI也可以學習不斷變化的攻擊手法，並自動調整防禦策略，提高電子郵件的安全性和效率。

然而，AI也帶來了新的挑戰和風險。一方面，黑客和詐騙者也可以利用AI來製造更加精細和說服力的假電子郵件，例如模仿真實人物的語氣和風格，或者利用深度偽造技術來創造假影像或音頻。這些假電子郵件可能更難被傳統的安全工具或人類察覺，從而增加了受害者的可能性。另一方面，AI也可能出現錯誤或失控的情況，例如被黑客竊取或篡改，或者產生不可預測或不符合人類期望的行為。這些情況可能危及電子郵件的安全性和可靠性。

因此，企業在使用AI來加強電子郵件的安全性時，也需要注意其潛在的威脅和限制。企業需要建立一套完善的AI治理框架，以確保AI的合法性、道德性、透明度和可解釋性。企業也需要與其他相關方合作，共同制定和遵守一些AI相關的規範和標準。此外，企業還需要提高員工和客戶對AI的認識和教育，以增強他們對電子郵件安全威脅的警覺和防範能力。

總之，AI是一種強大而有用的技術，可以幫助企業提高電子郵件的安全性和效率。然而，AI也帶來了新的挑戰和風險，需要企業採取適當的措施來管理和監督。只有這樣，才能充分發揮AI在電子郵件安全領域的優勢，同時避免其可能的負面影響。

詳情請看：

Cybercriminals turn to AI to bypass modern email security measures

Read More

McAfee：如何保護您的社交媒體密碼免受黑客和攻擊

 McAfee發佈了一篇如何保護您的社交媒體密碼免受黑客和攻擊

社交媒體是我們社會生活的一部分。全球有超過56%的人口使用社交媒體，每天平均花費147分鐘在社交媒體上。我們通過社交媒體與家人和朋友分享、交流和傳遞信息，因此保護我們的社交媒體帳戶免受黑客和攻擊是非常重要的。

黑客會出於多種原因劫持社交媒體帳戶。他們會用詐騙手段欺騙受害者的朋友和粉絲，或者在信息流中散佈錯誤信息。他們還會竊取各種個人信息，包括照片和私信。總之，一個被盜用的社交媒體帳戶可能導致詐騙、勒索和其他犯罪行為。

然而，您有一個強大的防線可以防止這種情況發生：多因素認證（MFA）。MFA是一種增強帳戶安全性的方法，它在登錄過程中增加了額外的步驟或要求。除了通常的用戶名/密碼組合之外，還需要提供其他證據來證明您就是您。MFA的例子包括：

• 通過短信或電話發送一次性代碼，常見於登錄銀行和信用卡帳戶。
• 通過認證應用程序發送一次性代碼，例如登錄遊戲服務時。
• 要求回答安全問題，例如您的小學名稱或第一輛車的型號。
• 生物特徵信息，例如指紋或面部掃描。

使用MFA，黑客需要的不僅僅是您的用戶名和密碼，還需要登錄過程中要求的額外信息，這是只有您才應該擁有的。這也提醒了我們，永遠不要透露您在安全問題中使用的信息，也不要與任何人分享您的一次性安全代碼。事實上，詐騙者會設計各種釣魚詐騙來竊取這些信息。

主要的社交媒體平台都提供了MFA功能，雖然它們可能有不同的名稱。由於界面和菜單可能會隨著時間而變化和更新，因此設置MFA最好直接去社交媒體平台的幫助頁面查找最新的步驟說明。

此外，還有一些其他的方法可以幫助您保護您的社交媒體帳戶，例如：

• 將您的個人資料和帖子設置為僅對朋友可見，這樣可以防止更廣泛的互聯網用戶看到您的活動、言論和發布，從而保護您的隱私。
• 拒絕陌生人的好友請求，他們可能是假帳戶，用於收集用戶信息或散佈虛假信息。
• 在簽到或分享位置之前三思，這樣做相當於向廣大的粉絲（甚至全球的觀眾）宣布您的行蹤，可能會讓人知道您不在家。建議您在回來後再分享您的旅行照片和故事。
• 安裝全面的安全軟件，它可以保護您免受惡意鏈接、病毒、勒索軟件和釣魚攻擊的威脅。它還可以保護您的隱私和監測您的電子郵件、社會安全號、銀行帳戶、信用卡和其他個人信息。

詳情請看：

Protect Your Social Media Passwords from Hacks and Attacks

Read More

Cybersecurity insiders：ChatGPT與大型語言模型對未來網路安全的影響

 Cybersecurity insiders發佈了一篇ChatGPT與大型語言模型對未來網路安全的影響

人工智慧（AI）在過去幾年取得了驚人的進展，例如ChatGPT等範例引起了廣泛的關注。同樣地，大型語言模型（LLM）也是一種具有改變遊戲規則的創新。LLM如GPT 3.5和GPT 4展示了前所未有的理解和生成人類語言的能力，為各行各業開啟了新的可能性。

在科技新聞週期中，AI無處不在。但是AI在網路安全領域有些不同。重要的是要了解保護數位資產和基礎設施的創新解決方案的迫切需求—尤其是在網路威脅變得越來越普遍和複雜的情況下。事實上，大型語言模型可能代表了網路安全的未來。

大型語言模型在網路安全領域有許多潛在的應用。從威脅偵測到安全意識培訓到數據安全姿態管理（DSPM），AI驅動的語言模型可以簡化流程，提高準確性，並支持人類專家。以下是大型語言模型在網路安全領域的一些關鍵應用：

• 威脅偵測與回應：LLM可以分析和處理大量數據，包括日誌和威脅情報源，以識別可疑模式和潛在威脅。通過自動化這些數據的分析，這些模型可以幫助安全團隊更快更有效地回應事件。
• 安全意識培訓：LLM可以生成各種類型的仿真攻擊，例如釣魚郵件、惡意代碼或社交工程學，以測試和提高員工的安全意識和防禦能力。
• 數據安全姿態管理：LLM可以幫助企業識別和保護其最重要和最敏感的數據。通過理解數據的內容、上下文和用途，這些模型可以評估數據的風險等級，並提供相應的保護建議。

大型語言模型無疑是一種強大而多功能的技術，但也帶來了新的挑戰和風險。黑客可能會利用這些模型來加速和隱藏他們的惡意活動，或者產生更具說服力和難以辨別的偽造內容。因此，網路安全專家需要密切關注這些模型的發展，並採取適當的措施來防範和對抗它們。

詳情請看：

How ChatGPT and Large Language Models Can Impact the Future of Cybersecurity

Read More

Cybersecurity insiders：雲端安全的基本概念

 Cybersecurity insiders發佈了一篇雲端安全的基本概念

雲端運算是一種將資料和應用程式儲存和處理在遠端伺服器上，而不是在本地電腦或設備上的技術。雲端運算的好處包括成本節省、彈性、可擴展性和效率。然而，雲端運算也帶來了一些安全挑戰，例如資料洩露、未經授權的存取、惡意攻擊和法規遵循等。

為了保護雲端環境中的資料和應用程式，需要採取一些雲端安全的措施。雲端安全是指一系列的政策、技術和控制，用於保障雲端服務的可用性、完整性和機密性。雲端安全的目標是防止資料遭到竊取、竄改或遺失，以及確保服務不受到中斷或損害。

雲端安全的實施方式取決於雲端服務的類型和提供者。一般來說，有三種主要的雲端服務模式，分別是基礎設施即服務（IaaS）、平台即服務（PaaS）和軟體即服務（SaaS）。每種模式都有不同的安全責任分配，通常是由雲端提供者和客戶共同承擔。例如，在IaaS模式中，雲端提供者負責保護基礎設施層，如伺服器、網路和儲存空間，而客戶負責保護作業系統、應用程式和資料等。

除了選擇合適的雲端服務模式外，還需要考慮其他的雲端安全因素，例如加密、身份驗證、授權、監控、備份、災難復原等。這些因素都可以幫助提高雲端環境的安全性和可靠性，並減少風險和威脅。此外，還需要遵守相關的法律和規範，例如歐盟的一般資料保護規則（GDPR）或美國的衛生保險可攜性與責任法案（HIPAA），以確保合法合規地處理個人或敏感資料。

總之，雲端安全是一個重要且複雜的主題，需要有清晰的策略和有效的工具來實現。只有這樣，才能充分利用雲端運算的優勢，同時保障資料和服務的安全。

詳情請看：

Key Concepts in Cloud Security for Beginners

Read More

Fortinet：網路安全意識是一項變革管理的倡議

 Fortinet發佈了一篇網路安全意識是一項變革管理的倡議

網路安全意識是一項重要的議題，但是要讓員工和組織真正培養網路安全的文化，並不是一件容易的事。網路安全意識不僅是一項技術問題，更是一項變革管理的倡議，需要從組織的領導層開始，並涉及到所有層級和部門。

為了有效地推動網路安全意識的變革，組織需要採取以下幾個步驟：

• 確立目標和策略：組織需要明確地定義網路安全意識的目標和策略，並將其與組織的整體目標和價值觀相一致。這樣可以幫助員工理解網路安全意識的重要性和意義，並增加他們的參與度和責任感。
• 評估現況和需求：組織需要透過問卷調查、測驗、模擬攻擊等方式，評估員工和組織的網路安全意識的現況和需求，並找出存在的風險和漏洞。這樣可以幫助組織制定適合的培訓計畫和內容，並量化培訓的效果。
• 設計和實施培訓：組織需要根據不同的目標群體和學習風格，設計和實施適合的培訓活動，例如講座、視頻、遊戲、故事等。培訓的內容應該涵蓋網路安全的基本知識、最佳實踐、常見威脅、案例分析等。培訓的方式應該是有趣、互動、持續、定期的，以提高員工的學習動機和記憶。
• 監測和評估成效：組織需要持續地監測和評估培訓活動的成效，例如通過測驗、模擬攻擊、問卷調查等方式，收集員工的反饋和數據，並分析培訓活動對員工行為和組織安全性的影響。這樣可以幫助組織不斷地改進培訓計畫和內容，並確保培訓活動能夠達到預期的目標。

總之，要建立一個具有網路安全意識的組織文化，需要從上而下地推動一項變革管理的倡議，並採取系統化、客製化、持續化的方法，以提高員工和組織的網路安全素養。

詳情請看：

Cyber-Awareness Education Is a Change-Management Initiative

Read More

McAfee：10個回校季的科技小貼士，適用於小孩、青少年和大學生

 McAfee發佈了一篇10個回校季的科技小貼士，適用於小孩、青少年和大學生

• 保管好手機和筆電，不要讓它們遺失或被竊，並且設定獨特而難以猜測的密碼，或者使用生物辨識的密碼，例如指紋或臉部辨識。
• 不要和別人分享密碼，即使是信任的好友，也可能會導致個人資料被盜用或濫用。每個帳號都應該使用不同的密碼，並且可以使用密碼管理器來儲存密碼。
• 在社交媒體上保持一些神秘感，不要公開自己的學校、住址、興趣等資訊，以免引起身分盜用或跟蹤的風險。也要注意自己的隱私設定，只讓信任的人看到自己的貼文。
• 不要隨意點擊陌生的連結、下載可疑的附件、或回覆詐騙的訊息。這些都可能是網路釣魚或惡意軟體的陷阱，會竊取你的個人資料或損害你的裝置。在瀏覽網站或購物時，要確認網址是安全和正確的。
• 使用安全和可靠的網路連線，避免使用公共或免費的Wi-Fi，因為這些連線可能被竊聽或攔截。如果必須使用這些連線，可以使用虛擬私人網路（VPN）來加密你的流量。
• 定期更新你的裝置和應用程式，以修補任何安全漏洞或錯誤。也要安裝可靠的防毒軟體和防火牆，以阻止任何惡意攻擊或入侵。
• 不要參與或容忍任何形式的網路霸凌，無論是作為加害者、受害者、還是旁觀者。如果你看到有人在網路上被欺負或嘲笑，要及時向有關人員舉報或幫助。如果你自己遭受了網路霸凌，要保留證據並尋求支援。
• 與家長或信任的成人保持溝通，如果你在網路上遇到任何困難或不舒服的事情，要及時告訴他們。也要尊重他們對你在網路上的活動和時間的限制和規範。
• 保持良好的數位公民素養，不要在網路上發表任何不恰當、不尊重、或不真實的言論。也要批判性地思考你在網路上看到或聽到的資訊，不要輕信或散佈任何假消息或謠言。
• 享受網路帶來的樂趣和便利，但也要注意自己的身心健康，不要過度沉迷於網路或忽略了現實生活中的人和事。要適時地休息和放鬆，並且保持良好的生活作息和飲食習慣。

詳情請看：

10 Back-to-School Tech Tips for Kids, Teens and College Students

Read More

Cybersecurity insiders：移動設備的威脅防禦或崩潰

 Cybersecurity insiders發佈了一篇移動設備的威脅防禦或崩潰

隨著手機的普及和功能的增強，手機安全也成為了一個不容忽視的議題。手機不僅是我們日常生活的工具，也是我們個人和商業數據的存儲器。如果手機遭到黑客的攻擊或竊取，我們可能會面臨嚴重的後果，例如隱私洩露、財產損失、身份盜用等。因此，我們需要採取有效的手機威脅防禦（Mobile Threat Defense, MTD）措施，以保護我們的手機免受各種威脅。

手機威脅防禦是一種利用人工智能和大數據分析來識別和阻止手機威脅的技術。它可以幫助企業和個人管理和保護他們的手機設備，並提供即時的安全報告和建議。手機威脅防禦可以對抗以下幾種常見的手機威脅：

• 惡意軟體（Malware）：這是一種通過下載不安全的應用程式或點擊惡意連結而感染手機的軟體，它可以竊取或破壞手機上的數據，或者將手機變成黑客的遠端控制器。
• 魚叉式網路釣魚（Spear Phishing）：這是一種針對特定目標的網路釣魚攻擊，它通過發送偽裝成可信來源的電子郵件或簡訊，試圖誘使目標點擊含有惡意程式碼或連結的附件或內容，從而竊取目標的敏感資訊或權限。
• 網路欺詐（Spoofing）：這是一種利用偽造或修改網路通訊協定來欺騙目標的攻擊，它可以讓黑客冒充合法的網路服務或設備，並截取或修改目標的網路流量。
• 無線網路攻擊（Wi-Fi Attacks）：這是一種利用無線網路的漏洞或弱點來攻擊目標的攻擊，它可以讓黑客監聽或竊取目標在無線網路上傳輸的數據，或者將目標重定向到惡意的網站或伺服器。

手機威脅防禦可以通過以下幾種方式來預防和對抗這些威脅：

• 應用程式安全（App Security）：這是一種對手機上的應用程式進行安全檢測和評估的技術，它可以幫助用戶識別和移除含有惡意程式碼或隱私漏洞的應用程式，並提供安全的下載來源和權限管理。
• 網路安全（Network Security）：這是一種對手機上的網路連線進行安全監測和保護的技術，它可以幫助用戶避免或阻止連接到不安全或偽造的無線網路，並提供加密和驗證的網路通訊協定。
• 裝置安全（Device Security）：這是一種對手機本身進行安全管理和防護的技術，它可以幫助用戶設置和更新手機的操作系統和安全補丁，並提供鎖屏、指紋辨識、遠端鎖定或抹除等功能。

總之，手機威脅防禦是一種有效的手機安全解決方案，它可以幫助我們在享受手機帶來的便利和效率的同時，也保障我們的數據和隱私不受黑客的侵害。我們應該選擇一個適合我們需求和預算的手機威脅防禦服務商，並定期檢查和更新我們的手機安全狀況，以防止任何可能的風險或攻擊。

詳情請看：

Mobile threat defense or bust

Read More

The Hacker news：IT 安全團隊滲透測試購買者指南

 The Hacker news發佈了一篇IT 安全團隊滲透測試購買者指南

滲透測試是一種主動的安全措施，它模擬真實的網絡攻擊，對組織的系統、網絡、應用程式等進行測試，以發現和解決任何潛在的弱點或漏洞。滲透測試可以幫助組織提高安全意識，符合合規要求，並減少資料外洩的風險。

在進行滲透測試之前，有幾個重要的因素需要考慮。首先，要明確測試的目的和範圍，即要測試哪些系統、網絡、應用程式等，以及要達到哪些目標和標準。其次，要確定測試的時間和方法，即要花多少時間和資源來完成測試，以及要採用哪種類型的測試，例如黑盒、白盒或灰盒。最後，要選擇合適的滲透測試團隊，即要決定是內部還是外部進行測試，以及要選擇哪家具有專業資質和經驗的服務提供商。

在進行滲透測試期間，要保持良好的溝通和協調，並及時處理任何問題或意外。在完成滲透測試之後，要仔細閱讀和分析測試報告，並根據報告中提出的建議和優先順序來制定和執行整改措施。此外，還要定期進行滲透測試，以確保系統的安全性能不斷提高。

詳情請看：

A Penetration Testing Buyer's Guide for IT Security Teams

Read More

Help net security：安全編碼訓練平台真的有效嗎？

 Help net security發佈了一篇安全編碼訓練平台真的有效嗎？

在軟體開發中，安全編碼的實踐非常重要。培養開發團隊的安全文化已經成為確保數位系統的完整性和保護的關鍵。正面安全文化的重要性，反覆出現的漏洞的原因，將安全編碼訓練納入開發流程而不影響效率的策略，遊戲化學習體驗的有效性，定期更新安全開發訓練的必要性，以及鼓勵開發者改善安全編碼技巧的創新方法。

開發團隊對於安全如何被認知和執行的文化基礎決定了一切，也可能反映了他們在達成良好安全結果方面的成功程度。傳統上，開發者與應用程式安全（AppSec）團隊之間有著負面的經驗。如果我們從開發者的角度來看，他們只有在出現問題時才會聽到來自安全團隊的聲音：要麼是他們的代碼從安全角度來看是錯誤的，要麼是他們被迫修復其他開發者的錯誤。這兩種情況都會干擾他們的工作流程，而且在自己的工作方面，這就像是說他們的寶寶很醜。他們已經不辭辛勞地發送了美觀、功能完善的代碼，以實現功能交付目標；安全是別人的角色，而且在組織KPI方面，安全通常不是衡量代碼質量的指標。兩個團隊之間可能存在強烈的怨恨，但是培養一種正面的安全文化，在這種文化中，開發者了解他們可以在減少代碼層面漏洞方面發揮作用，並且創造一種讓他們能夠以舒適的方式學習安全編碼的環境，是修復這種關係至關重要的。

AppSec方面也應該明白，他們只有在安全問題真正得到解決時才能增加業務價值，而不僅僅是識別和報告問題。他們需要比一般性陳述更深入地提供特定語言的編碼模式，以防止或減輕問題。當兩個團隊都與共同的安全目標保持一致時，並且理想情況下，理解安全應該與代碼質量同義時，就有可能顯著降低風險。

幾十年來相同的反覆出現的漏洞（比如跨站腳本和SQL注入），因為開發者一直在使用相同的糟糕的編碼模式。這是因為我們忽略了一個非常重要的點：開發者是問題解決者。如果你看看開發者的日常工作，你可以看到找到解決問題的方法是他們的主要工作。他們收到應用程式的規格，他們知道在哪裡以及如何尋找滿足每個規格的方法，並且他們提供一個完整的解決方案。開發者不需要別人告訴他們“如何”做某事，而是“要做什麼”。我們需要用他們能夠理解的語言更好地定義問題。這是我們做得不好的部分。安全從業者使用的語言——奇怪的術語和不規則的安全漏洞命名——並不適合向開發者傳達安全問題的本質。兩個團隊根本沒有用同一種語言交流。

舉一個例子。軟體漏洞要麼是一個錯誤，要麼是一個設計缺陷。在開發者的世界裡，錯誤通常與實現問題（代碼中的問題）有關，而設計缺陷則與軟體架構問題有關。但是漏洞——一個通常由安全行業使用的術語——並沒有立即告訴開發者“問題是什麼”。如果我們只是解釋一下漏洞是在實現還是設計中出現的問題，開發者會很感激。另一個表達不佳的例子是“攻擊者負載”——這是安全專家在談論惡意輸入時使用的一種表達方式。我們應該說它是“一種罕見的輸入，會導致運行時異常”。（運行時異常是軟體中沒有得到優雅處理並且保持未確定的狀態。很多安全漏洞都是運行時異常。）

詳情請看：

Does a secure coding training platform really work?

Read More

McAfee：世界網路日：如何保護你的家人在線上安全

 McAfee發佈了一篇世界網路日：如何保護你的家人在線上安全

網路已經成為我們生活中不可或缺的一部分，尤其在疫情期間，我們更依賴網路來工作、學習、娛樂和社交。但是，網路也帶來了一些風險和挑戰，例如個人資料洩露、詐騙、網路霸凌、色情和暴力內容等。因此，我們需要採取一些措施來保護自己和家人在線上的安全和隱私。

• 使用可靠的防毒軟體和防火牆，並定期更新它們。
• 使用強度高且不重複的密碼，並使用密碼管理器來儲存和管理它們。
• 不要在不安全的網路或裝置上進行敏感或重要的交易或操作，例如網路銀行或購物。
• 不要隨意點擊陌生或可疑的連結、附件或彈出視窗，以免遭到釣魚或惡意軟體的攻擊。
• 不要在線上透露過多的個人資訊，例如姓名、地址、電話、生日等，並設定好社交媒體的隱私權限。
• 教育和監督孩子在線上的行為和活動，並設定好適當的時間限制和內容過濾。
• 與家人保持良好的溝通和信任，並及時處理任何網路安全相關的問題或困擾。

詳情請看：

World Wide Web Day: How to Protect Your Family Online

Read More

McAfee：國際旅行的網路安全指南

McAfee發佈了一篇國際旅行的網路安全指南

當您旅行時，您最不想失去的東西是什麼？您可能會想到行李、錢包或護照。但對我來說，最重要的是我的行動裝置。在國外旅行時，我的行動裝置是我與世界聯繫的橋樑，也是我數位生活的遙控器。許多國際旅客沒有意識到的是，他們的裝置在遠距離旅行時更容易受到威脅。因為它們儲存和傳輸我們的個人資訊，從網站登入到銀行資料，這些裝置比您的錢包或行李更有價值。特別是當您不熟悉您的環境時，扒手和網路罪犯可能會利用您的弱點來竊取或感染您的裝置。幸運的是，您可以在國際旅行前、中、後採取一些網路安全預防措施，以確保您的資訊安全。

在旅行前，您必須先確保您的裝置安全。現在是主動防範，而不是被動應對的時候。最好的做法是將您的裝置留在家裡，這樣您就知道它們是安全的。但這對大多數人來說是不切實際的，因為我們都依賴於我們的行動裝置。所以，在您出發之前，至少要做到以下幾點：

• 清理您的裝置。清除您的瀏覽器歷史記錄和刪除 cookies。考慮刪除您不使用的應用程式，以避免不必要的漏洞。加密任何個人資料，以確保資訊保持受保護。如果加密失敗，將任何檔案備份到外部硬碟或桌面電腦。
• 啟用密碼輸入或臉部辨識。如果您的裝置落入錯誤的手中，使用密碼保護您的裝置是一種立即拒絕某人存取的好方法，從而保持您的個人資訊私密。
• 投資裝置安全配件。這可能不太時尚，但手機繫帶是一種將您的裝置固定在身體上的方法，使得某人很難偷走它。

在旅行中，無論您是在家還是在國外，都要始終保持警覺和注意周圍的情況，無論是在線上還是在現實中。當您在國際旅行時，公共免費 Wi-Fi 有時是服務唯一選項。不幸的是，它可能被網路罪犯利用作為進入您裝置的通道。通過偽造合法 Wi-Fi 網路，這些邪惡之徒可能會存取敏感資料和私人帳戶，甚至可能要求金錢來歸還您的資訊，使公共 Wi-Fi 成為您網路安全的最大威脅。為了避免被妥協，請務必：

• 降低風險，避免在使用公共 Wi-Fi 時進行線上購物或存取銀行帳戶。
• 如果您非常需要網路連線，可以使用您的智慧型手機來建立個人熱點。
• 使用虛擬私人網路 (VPN) 來加密您在旅行期間可能收到的任何資料。

在旅行後，回到家後已經是一種耗盡的體驗了，不要讓您的裝置帶回任何惡意軟體。請記住，如果您在國外連接到當地網路，您的行動裝置可能會受到惡意軟體的感染。因此，您應該：

• 掃描您的裝置以檢查任何可疑的活動或應用程式。
• 更改您在旅行期間使用過的任何密碼。
• 監控您的帳戶以確保沒有任何未授權的交易或登入。

詳情請看：

A Traveler’s Guide to International Cybersecurity

Read More

Fortinet：如何證明投資網路安全的價值

 Fortinet發佈了一篇如何證明投資網路安全的價值

網路安全是企業面臨的重要挑戰，但如何衡量和證明投資網路安全的效益卻不是一件容易的事。因為網路安全的目標是防止和減少攻擊，而不是創造和增加收入，所以很難用傳統的財務指標來評估網路安全的回報。此外，網路安全的成本和效果也會隨著時間和情況而變化，所以需要有一套靈活和客觀的方法來衡量網路安全的價值。

一種可能的方法是使用風險調整後的回報率（RAROC）來評估網路安全的投資。RAROC是一種考慮了風險因素的財務指標，可以用來比較不同類型和規模的投資項目。RAROC的計算公式是：RAROC = 預期收益 / 風險資本。預期收益是指投資項目帶來的正面效益，例如減少攻擊造成的損失或提高業務效率。風險資本是指投資項目所需的最低資金，以承擔可能發生的最壞情況下的損失。通常，RAROC越高，表示投資項目越有價值。

使用RAROC來評估網路安全的投資可以幫助企業更清楚地了解網路安全對業務的影響，並且可以讓企業更有效地分配和優化網路安全的資源。然而，要使用RAROC，企業需要有一套完善和準確的數據和模型，以估計網路安全的預期收益和風險資本。這需要企業與網路安全供應商和專家合作，並且持續地更新和改進數據和模型，以適應不斷變化的網路威脅和技術。

詳情請看：

How to Prove a Negative: The Challenge of Cybersecurity Investment

Read More

The Hacker news：駕馭舊基礎設施：CISO 的成功可行策略

 The Hacker news發佈了一篇駕馭舊基礎設施：CISO 的成功可行策略

遺留基礎設施是指那些已經過時或不符合當前標準的信息技術系統，例如運行在舊版操作系統或軟件上的服務器、網絡設備或應用程序。這些系統往往存在著各種安全漏洞，容易受到黑客的攻擊，並可能導致數據泄露、服務中斷或其他嚴重後果。因此，對於負責企業信息安全的高級信息安全主管（CISO），如何應對遺留基礎設施的安全挑戰是一個重要而棘手的問題。

CISO需要採取以下幾個步驟來解決這個問題：

• 識別和評估遺留基礎設施的風險：CISO需要對企業內部的所有信息系統進行盤點，找出那些已經過時或不符合標準的系統，並評估它們對企業業務和安全的影響。這需要考慮系統的功能、數據敏感性、連接性、依賴性、可替代性等因素。
• 制定和執行遺留基礎設施的治理策略：CISO需要根據風險評估的結果，制定一個合理而可行的治理策略，包括以下幾種可能的選項：
  • 升級或替換：如果可能，CISO應該優先考慮升級或替換遺留基礎設施，以提高其性能和安全性。這可能需要投入較大的資金和人力，但也能帶來較大的收益。
  • 隔離或限制：如果升級或替換不可行或不划算，CISO可以考慮將遺留基礎設施與其他系統隔離或限制其訪問權限，以減少其受到攻擊或影響其他系統的風險。這可能需要使用防火牆、VPN、身份驗證等技術。
  • 監控或測試：如果隔離或限制也不夠有效，CISO可以考慮對遺留基礎設施進行持續的監控或測試，以及時發現和修復任何安全問題。這可能需要使用漏洞掃描、入侵檢測、日誌分析等工具。
• 建立和維護遺留基礎設施的安全文化：CISO需要與企業內部的各個利益相關方（例如業務部門、IT部門、法律部門等）建立良好的溝通和合作關係，並提高他們對遺留基礎設施安全問題的認識和責任感。這需要進行培訓、宣傳、獎勵等活動。

總之，遺留基礎設施的安全挑戰是一個需要CISO嚴肅對待的問題，並需要採取多種措施來解決。CISO應該根據自己的實際情況，制定一個適合自己的策略，並不斷地監測和調整，以確保企業的信息安全。

詳情請看：

Navigating Legacy Infrastructure: A CISO's Actionable Strategy for Success

Read More

The Hacker news：什麼是數據安全態勢管理 (DSPM)？

 The Hacker news發佈了一篇什麼是數據安全態勢管理 (DSPM)？

資料安全姿態（Data Security Posture，DSP）是指一個組織在保護其資料免受未經授權的存取、使用、修改或破壞的能力。資料安全姿態不僅涉及技術措施，還包括人員、流程和政策等方面。資料安全姿態的高低會影響組織的信譽、合規性和競爭力。

要評估和改善資料安全姿態，首先需要了解自己的資料風險。這包括識別資料的類型、位置、敏感度和價值，以及可能威脅資料安全的內部和外部因素。其次，需要制定和執行一套適合自己的資料保護策略。這包括選擇合適的加密、備份、存取控制、監測和應變等技術解決方案，以及建立相關的人員培訓、流程規範和政策指引等非技術措施。最後，需要定期檢查和更新資料安全姿態，以適應變化的資料環境和威脅情勢。

資料安全姿態是一個持續的過程，而不是一個靜態的狀態。隨著資料量和複雜度的增加，以及攻擊者的技術和手段的進步，組織需要不斷地評估和改善自己的資料保護能力，以減少資料洩露或損失的風險。

詳情請看：

What is Data Security Posture Management (DSPM)?

Read More

Cybersecurity insiders：如何保護混合雲環境中的數據安全

 Cybersecurity insiders發佈了一篇如何保護混合雲環境中的數據安全

混合雲是指將私有雲和公有雲結合在一起，以實現更高的效率和彈性。然而，混合雲也帶來了一些安全挑戰，例如數據的可見性、控制權和一致性。為了保護混合雲環境中的數據安全，以下是一些最佳實踐：

• 制定清晰的安全策略和責任分配。混合雲涉及多個服務提供商和平台，因此需要明確地定義誰負責什麼，以及如何協調和溝通。安全策略應該包括數據分類、加密、存取控制、備份、監測、審計和事故應變等方面。
• 選擇可信賴的雲服務提供商。在選擇雲服務提供商時，應該考慮其安全能力和認證，例如是否符合國際或行業的安全標準，是否提供透明的安全報告，是否支持客戶自定義的安全要求等。
• 使用統一的安全管理工具。由於混合雲涉及多個不同的環境，使用不同的安全工具可能會導致重複、矛盾或遺漏的安全配置。因此，建議使用一個統一的安全管理工具，可以跨平台地實現數據的可見性、分析、防護和報告。
• 實施端到端的數據加密。數據在傳輸和存儲時都可能面臨被竊取或篡改的風險，因此需要對數據進行端到端的加密，以確保其完整性和保密性。加密方式可以包括對稱加密、非對稱加密或混合加密。
• 強化身份和存取管理。身份和存取管理是確保只有授權的用戶和設備可以存取數據的重要手段。身份和存取管理可以包括多因素認證、角色基礎存取控制、單一登入等技術。
• 採用零信任網路模型。零信任網路是一種安全架構，其核心原則是不信任任何來源或目的地，而是基於每次請求的上下文進行動態驗證和授權。這樣可以減少攻擊面，防止內部或外部的威脅。
• 定期進行風險評估和測試。為了及時發現和修復混合雲中的安全漏洞或弱點，需要定期進行風險評估和測試，例如漏洞掃描、滲透測試、紅隊/藍隊演習等。
• 建立有效的數據備份和恢復機制。數據可能因為人為或自然的原因而遭受損失或破壞，例如刪除、編輯、病毒、火災等。因此，需要建立有效的數據備份和恢復機制，以確保數據的可用性和持續性。
• 提高用戶和員工的安全意識和技能。用戶和員工是混合雲中的重要參與者，也是安全的第一道防線。因此，需要提高他們的安全意識和技能，例如教育他們如何識別和避免釣魚、勒索或社交工程等攻擊，如何使用安全的密碼和設備等。
• 持續監測和改進安全狀況。混合雲是一個動態變化的環境，隨著業務需求、技術發展和威脅情報的變化，安全狀況也會不斷變化。因此，需要持續監測和改進安全狀況，例如收集和分析安全日誌、事件和指標，定期審查和更新安全策略和措施，引入新的安全技術和解決方案等。

詳情請看：

Best Practices to safeguard Data Across Hybrid Cloud Environments

Read More

Fortinet：實現公共部門的資安韌性

 Fortinet發佈了一篇實現公共部門的資安韌性

網路安全是公共部門面臨的重要挑戰之一，因為它不僅影響政府的運作和服務，也關係到民眾的信任和安全。公共部門需要採取有效的策略和措施，以應對日益複雜和多變的網路威脅，並保護其關鍵的資訊和基礎設施。

公共部門要啟用網路安全，需要考慮以下四個方面：

• 統一的視野：公共部門需要建立一個統一的網路安全架構，將不同的系統、平台和裝置整合在一起，實現端到端的可見性和控制。
• 自動化的流程：公共部門需要利用自動化技術，提高網路安全的效率和效果，減少人為的錯誤和延遲，並快速應對威脅和事件。
• 智能的分析：公共部門需要運用人工智慧和機器學習，增強網路安全的智能和預測，分析大量的資料和訊號，並產生有價值的洞察和建議。
• 協作的生態系：公共部門需要與其他組織和夥伴建立協作的關係，分享網路安全的最佳實踐和資源，並形成一個強大的防禦聯盟。

透過以上四個方面，公共部門可以提升其網路安全的能力和水準，並創造一個更安全、更可靠、更創新的數位化未來。

詳情請看：

Enabling Cyber Resilience in the Public Sector

Read More

Network World：網路保障工具是什麼，為什麼它們很重要？

 Network World發佈了一篇網路保障工具是什麼，為什麼它們很重要？

網路保障工具（network assurance tools）是一種用來監測、分析和優化網路性能和安全性的軟體或服務。它們可以幫助網路管理員檢測和解決網路問題，提高網路可用性和效率，並支援網路的持續創新和變革。

網路保障工具的主要功能包括：

• 網路可視化（network visibility）：提供網路的拓撲圖、流量統計、設備狀態等資訊，讓管理員能夠清楚地了解網路的運作情況和資源分配。
• 網路分析（network analytics）：利用人工智慧（AI）、機器學習（ML）或其他技術，對網路的數據進行深入的分析，找出網路的優點和缺點，並提供改善建議或自動化解決方案。
• 網路驗證（network verification）：通過模擬、測試或其他方法，驗證網路的配置、策略或功能是否符合預期的目標和需求，並及時發現和修復任何錯誤或不一致。
• 網路預測（network prediction）：根據歷史數據、趨勢分析或其他因素，預測網路的未來表現、需求或風險，並提前做好規劃和調整。

網路保障工具的重要性在於：

• 它們可以幫助企業應對日益複雜和動態的網路環境，如雲端遷移、邊緣運算、物聯網（IoT）、軟體定義廣域網（SD-WAN）等。
• 它們可以幫助企業提升網路的效能和品質，如降低延遲、增加頻寬、減少中斷等。
• 它們可以幫助企業提高網路的安全性和合規性，如防止入侵、偵測異常、加密數據等。
• 它們可以幫助企業節省成本和時間，如減少人工干預、自動化流程、優化資源等。

因此，網路保障工具是企業在數位化轉型中不可或缺的一項投資，它們可以幫助企業創造更高的競爭優勢和業務價值。

詳情請看：

What are network assurance tools and why are they important?

Read More

SANS：什麼是雲端基礎設施？

 SANS發佈了一篇什麼是雲端基礎設施？

雲端基礎設施是指提供雲端服務的硬體和軟體資源，包括伺服器、網路、儲存空間、作業系統、中介軟體和應用程式等。雲端基礎設施可以分為三種類型：公有雲、私有雲和混合雲。

公有雲是指由第三方服務提供商經營和管理的雲端基礎設施，通常透過網際網路提供給使用者。公有雲的優點是可以快速部署、彈性擴展、降低成本和提高效率。公有雲的缺點是可能存在安全和隱私風險，以及對服務品質和可用性的依賴。

私有雲是指由組織自行建置和管理的雲端基礎設施，通常只供組織內部使用。私有雲的優點是可以提高安全和隱私保護，以及對服務品質和可用性的控制。私有雲的缺點是需要較高的初始投資、維護成本和技術人員。

混合雲是指將公有雲和私有雲結合在一起的雲端基礎設施，通常根據不同的需求和目標，將敏感或關鍵的資料和應用程式放在私有雲，而將一般或臨時的資料和應用程式放在公有雲。混合雲的優點是可以兼顧安全和效率，以及靈活地調整資源分配。混合雲的缺點是需要複雜的整合和管理，以及考量不同平台之間的相容性和一致性。

詳情請看：

What is Cloud Infrastructure?

Read More

Kaspersky：首先要修補什麼：優先更新

 Kaspersky發佈了一篇首先要修補什麼：優先更新

在現今的數位時代，更新軟體是一項不可或缺的工作，因為每天都會發現許多新的漏洞，而這些漏洞可能會被惡意攻擊者利用來竊取資料、植入惡意程式或造成服務中斷等危害。然而，更新軟體也是一項耗時耗力的工作，因為每個月都會發布數百甚至數千個補丁，而且不同的軟體有不同的重要性和風險。因此，如何優先更新軟體是一個值得探討的問題。

優先更新軟體的策略可以根據漏洞被利用的可能性來決定。最需要優先更新的軟體有以下幾類：

• 作業系統：作業系統是電腦上最重要的軟體，因為它控制了其他所有的軟體。如果作業系統被攻破，那麼整個電腦就會暴露在危險之中。因此，作業系統的更新必須盡快安裝，尤其是微軟每個月第二個星期二發布的安全更新。
• 瀏覽器：瀏覽器是每天使用最多的軟體之一，因為它可以存取各種網路資源和服務。然而，瀏覽器也是最容易受到攻擊的軟體之一，因為它會接觸到各種不可信任的內容和程式碼。如果瀏覽器被感染或劫持，那麼隱私和資料就會遭到威脅。因此，瀏覽器的更新也必須及時安裝，以防止已知的漏洞被利用。
• 常用應用程式：常用應用程式是指每天都會使用或依賴的軟體，例如辦公套件、通訊工具、媒體播放器、壓縮工具等。這些應用程式也可能存在漏洞，而且可能會處理敏感或重要的資料。如果常用應用程式被攻擊，那麼我們的工作效率和資訊安全就會受到影響。因此，常用應用程式的更新也需要優先考慮，尤其是那些已經被發現有漏洞被利用的情況。

除了以上三類軟體外，關注以下幾點：

• 不要以為沒有發現漏洞的軟體就是安全的，因為這可能只是因為沒有人去尋找漏洞。反而，應該選擇那些能夠快速和定期發布補丁的軟體，以及那些有開放的漏洞獎勵計畫的軟體，因為這些軟體表示開發者重視安全問題，並且願意與安全研究者合作。
• 不要忽略那些已經停止支援或更新的軟體，因為這些軟體可能仍然存在於系統中，或者被其他軟體所使用。例如，雖然微軟已經宣布停止支援 Internet Explorer，但是它的一些元件仍然被其他應用程式所使用，因此仍然需要安裝相關的安全更新。
• 不要依賴自動更新功能，因為有時候自動更新可能會失效或延遲。應該定期檢查我們的軟體是否有最新的版本，並且手動安裝必要的更新。此外，也應該使用一些專業的安全軟體來幫助我們掃描和修復系統中的漏洞。

總之，更新軟體是一項重要的網路安全措施，但是也需要有一定的策略和方法。應該優先更新那些最關鍵和最危險的軟體，並且關注那些能夠及時修復漏洞的軟體。同時，也應該使用一些可靠的安全工具來保護系統和資料。

詳情請看：

What to patch first: prioritizing updates

Read More

Help net security：最好的 CISO 如何利用人才和技術成為超級明星

 Help net security發佈了一篇最好的 CISO 如何利用人才和技術成為超級明星

隨著網絡攻擊的頻率和規模不斷增加，企業的資訊安全負責人（CISO）面臨著前所未有的挑戰。他們不僅要應對日益複雜和多變的安全威脅，還要在有限的預算和人力下，建立和維護一個有效的安全防禦體系。那麼，最佳CISO是如何做到這一點的呢？

• 他們具有清晰的安全戰略和目標，並能夠與高層管理層和其他部門溝通和協調，獲得他們的支持和資源。
• 他們關注企業的業務需求和風險，並能夠根據不同的情況調整安全措施和優先級，避免過度或不足的保護。
• 他們採用數據驅動的方法，利用各種工具和指標來監測和評估安全狀況和效果，並及時發現和解決問題。
• 他們重視人才培養和團隊建設，並能夠吸引和留住優秀的安全專家，提高他們的技能和動力。
• 他們持續學習和創新，並與同行和行業組織分享知識和經驗，以應對不斷變化的安全環境。

這些特點不僅可以幫助CISO提高企業的安全水平，也可以提升他們自己的職業發展。因此，對於任何想要成為最佳CISO的人來說，這些秘訣都是值得學習和效仿的。

詳情請看：

How the best CISOs leverage people and technology to become superstars

Read More

Help Net Security：企業存儲、備份設備的前 5 大安全風險

Help Net Security發佈了一篇企業存儲、備份設備的前 5 大安全風險

• 不安全的網路設置（使用易受攻擊的協議、加密密碼等）
• 未解決的 CVE
• 訪問權限問題（過度曝光）
• 不安全的用戶管理和身份驗證
• 日誌記錄和審計不足

詳情請看：

Top 5 security risks for enterprise storage, backup devices

Read More

Cybersecurity insiders：移動設備管理：保護現代工作場所的安全

 Cybersecurity insiders發佈了一篇移動設備管理：保護現代工作場所的安全

隨著移動設備的普及和遠程工作的增加，企業面臨著如何保護敏感數據和資產的挑戰。移動設備管理（MDM）是一種解決方案，可以讓企業統一管理和監控員工使用的各種移動設備，如智能手機、平板電腦和筆記本電腦。

MDM的主要功能包括：

• 設備登記：讓企業可以識別和驗證員工使用的移動設備，並將其分配到不同的策略組。
• 設備配置：讓企業可以遠程設置和更新移動設備的安全參數，如密碼、加密、防火牆和VPN。
• 設備監控：讓企業可以實時查看和分析移動設備的狀態和性能，如電池、信號、存儲和流量。
• 設備控制：讓企業可以遠程執行和撤銷移動設備的操作，如鎖定、清除、定位和恢復。
• 設備合規：讓企業可以檢查和強制執行移動設備的安全政策，如禁止安裝未經授權的應用程序或存取受限制的網站。

MDM可以幫助企業提高移動設備的安全性和效率，減少數據洩露和惡意攻擊的風險，並提升員工的生產力和滿意度。MDM也可以支持企業實施彈性工作模式，如BYOD（自帶設備）或CYOD（選擇自己的設備），讓員工可以根據自己的偏好和需求使用移動設備。

總之，MDM是一種有效的方法，可以讓企業在現代工作場所中保持競爭力和創新力，同時確保移動設備的安全和管理。

詳情請看：

Mobile Device Management: Securing the modern workplace

Read More

Network World：網路交換機幫助您事半功倍的 5 大方法

Network World發佈了一篇網路交換機幫助您事半功倍的 5 大方法

• 通過統一的雲管理消除管理孤島
• 通過自動動態分段簡化網路安全
• 提供有彈性且永遠在線的網路
• 使用內置分析自動進行故障排除
• 無處不在的單交換機操作系統消除網路孤島

詳情請看：

Top 5 ways network switches help you do more with less

Read More

The hacker news：GitHub 推出人工智慧自動修復工具，協助開發人員修補安全漏洞

 GitHub最近推出了一項 AI 強化的自動修復工具，以協助開發人員修補安全漏洞。這個功能名為「程式碼掃描自動修復」，已經在公開測試階段釋出給所有高級安全客戶使用，旨在提供有針對性的建議，以避免引入新的安全問題。

GitHub的Pierre Tempel和Eric Tooley表示，程式碼掃描自動修復功能由GitHub Copilot和CodeQL驅動，涵蓋了JavaScript、Typescript、Java和Python等超過90％的警報類型，並提供了程式碼建議，顯示了如何修復發現的三分之二以上的漏洞，而這些建議幾乎不需要進行編輯。

這項功能首次在2023年11月預覽，利用了CodeQL、Copilot API和OpenAI GPT-4的結合來生成程式碼建議。這家微軟旗下的子公司還表示，未來還計劃為更多的編程語言增加支持，包括C＃和Go。

程式碼掃描自動修復旨在幫助開發人員在編碼時解決漏洞，它通過生成潛在的修復方案以及在發現支持的語言中存在問題時提供自然語言解釋。

公司表示:「程式碼掃描自動修復通過將最佳實踐信息與代碼庫詳細信息和警報相結合，為開發人員提供潛在的修復建議，從而降低了開發者的門檻。」。

儘管如此，開發人員需要評估建議，確定它是否是正確的解決方案，並確保不偏離其預期行為。

GitHub還強調了自動修復程式碼建議目前的限制，使得開發人員在接受建議之前仔細審查變更和依賴項至關重要 -

- 提出的修復方法不是句法正確的程式碼更改

- 提出的修復方法在正確的位置建議句法正確的程式碼但是

- 提出的修復方法是句法有效的但改變了程序的語義

- 提出的修復方法未解決根本原因或引入新的漏洞

- 提出的修復方法僅部分解決了潛在的缺陷

- 提出的不受支持或不安全的依賴項

- 提出任意依賴項，可能導致供應鏈攻擊

公司指出:「該系統對更廣泛的生態系統中發布的依賴項具有不完整的知識。這可能導致建議增加對惡意軟件的新依賴，攻擊者已經以統計上可能的依賴名稱發布。」

這項功能的推出對於開發人員來說無疑是一個重要的利器，有助於加速解決潛在的安全漏洞，提高代碼的品質和可靠性。然而，開發者在使用這項功能時必須謹慎，確保接受的建議不會導致其他問題的產生。

詳情請看：

GitHub Launches AI-Powered Autofix Tool to Assist Devs in Patching Security Flaws

Read More

零信任驗證的挑戰和解決方案

零信任驗證的挑戰和解決方案

零信任驗證（Zero Trust Authentication, ZTA）是一種安全模式，它不再假設網絡內部的用戶和設備都是可信的，而是要求每次訪問都進行驗證和授權。ZTA可以提高網絡安全，防止未經授權的訪問和數據洩露，但它也帶來了一些挑戰，例如：

• 如何在不影響用戶體驗的情況下實施ZTA？
• 如何在不同的設備、平台和應用程序之間實現ZTA的一致性和互操作性？
• 如何在不增加管理成本和複雜性的情況下維護ZTA的可擴展性和靈活性？
• 如何在不降低性能和可用性的情況下確保ZTA的安全性和合規性？

為了解決這些挑戰，企業需要採用一些解決方案，例如：

• 使用多因素驗證（Multi-Factor Authentication, MFA）或無密碼驗證（Passwordless Authentication）來提高用戶體驗和安全性。
• 使用基於標準和開放協議的ZTA平台，如OAuth 2.0、OpenID Connect、SAML等，來實現跨域和跨平台的ZTA。
• 使用基於雲端或混合架構的ZTA服務，如Azure Active Directory、Okta、Ping Identity等，來實現ZTA的可擴展性和靈活性。
• 使用基於人工智能和機器學習的ZTA技術，如行為分析、風險評估、自適應驗證等，來實現ZTA的安全性和合規性。

總之，ZTA是一種新興的安全模式，它可以幫助企業應對日益複雜的網絡威脅，但它也需要企業投入資源和時間來部署和管理。因此，企業應該根據自己的業務需求和安全目標，選擇合適的ZTA解決方案，並持續監測和優化其效果。

Read More

The Hacker news：如何防止ChatGPT竊取你的內容和流量

 The hacker news發佈了一篇如何防止ChatGPT竊取你的內容和流量

ChatGPT是一種人工智慧（AI）模型，可以通過學習網絡上的大量數據，生成自然語言的文本。ChatGPT有許多潛在的應用，例如聊天機器人、內容創作、問答系統等。然而，ChatGPT也帶來了一些安全和隱私的風險，尤其是對於那些提供獨特和有價值內容的網站和應用。

ChatGPT通過從不同的數據源訓練自己，來獲得語言知識和能力。其中一個最大的數據源是Common Crawl，它是一個開放的網絡爬取數據庫，包含了數十億個網頁的內容。這意味著ChatGPT可能會使用你的網站或應用的內容，作為它的學習材料，而你可能不知情也無法控制。

ChatGPT可能會對你的業務造成以下三種威脅：

• 內容盜竊：ChatGPT可能會生成與你的原創內容相似或相同的文本，並通過其他渠道發布或分享。這會降低你的內容的權威性、SEO排名和價值。
• 流量減少：ChatGPT可能會通過插件或其他方式，直接向用戶提供你的內容相關的答案或信息，而不需要用戶訪問你的網站或應用。這會減少你的流量和收入。
• 數據泄露：ChatGPT可能會無意中將你的敏感數據廣泛地分發或分享。並非所有公開面向的數據都適合被重新使用或轉發，但爬取器並不知道區別。這可能會導致你失去競爭優勢或傷害你的品牌聲譽。

那麼，該如何防止ChatGPT竊取你的內容和流量呢？可以採取以下幾種方法：

• 使用robots.txt文件來禁止Common Crawl和其他爬取器訪問你的網站或特定目錄。
• 使用.htaccess文件或其他方式來阻止來自特定IP範圍或用戶代理（user agent）的請求。
• 使用加密或驗證技術來保護你的敏感數據或內容。
• 使用版權聲明或其他法律手段來保護你的智慧財產權。

詳情請看：

How to Prevent ChatGPT From Stealing Your Content & Traffic

Read More

Cybersecurity insiders：電子商務網站如何防範七大網路安全威脅

 Cybersecurity insiders發佈了一篇電子商務網站如何防範七大網路安全威脅

電子商務網站是網路購物的主要平台，但也面臨著各種網路安全威脅，可能導致客戶資料洩露、金錢損失或信譽受損。本文介紹了七大常見的網路安全威脅，以及相應的防範措施。

1. 分散式阻斷服務攻擊（DDoS）：這種攻擊會利用大量的惡意流量來使網站無法正常運作，影響客戶體驗和銷售。防範方法包括使用雲端服務提供商、安裝防火牆和入侵偵測系統等。
2. 惡意軟體（Malware）：這種攻擊會利用惡意程式來竊取或破壞網站的敏感資料，例如信用卡號碼、密碼或個人資訊。防範方法包括定期更新系統和軟體、使用可靠的安全軟體和掃描工具等。
3. 網路釣魚（Phishing）：這種攻擊會利用偽造的電子郵件或網站來誘騙客戶提供他們的個人資料或付款資訊。防範方法包括教育客戶如何辨別真假網站或郵件、使用加密和驗證技術等。
4. 跨站腳本攻擊（XSS）：這種攻擊會利用網站上的漏洞來注入惡意的程式碼，從而竊取或修改客戶的資料或行為。防範方法包括驗證和過濾所有的使用者輸入、使用安全的程式語言和框架等。
5. SQL注入攻擊（SQLi）：這種攻擊會利用網站上的漏洞來注入惡意的SQL指令，從而存取或操作網站的資料庫。防範方法包括驗證和過濾所有的使用者輸入、使用參數化查詢和預備陳述式等。
6. 緩衝區溢位攻擊（Buffer Overflow）：這種攻擊會利用網站上的漏洞來向記憶體中寫入超過其容量的資料，從而造成系統崩潰或執行惡意程式。防範方法包括使用安全的程式語言和框架、限制使用者輸入的長度和格式等。
7. 零日漏洞攻擊（Zero-Day Exploit）：這種攻擊會利用尚未被發現或修復的網站上的漏洞來發動攻擊，往往難以預防或偵測。防範方法包括定期更新系統和軟體、使用雲端服務提供商、安裝防火牆和入侵偵測系統等。

總之，電子商務網站應該採取適當的安全措施來保護自己和客戶免受網路安全威脅的影響，提高網站的可靠性和信任度。

詳情請看：

Top 7 ecommerce cybersecurity threats and tips to avoid them

Read More

Help net security：了解網絡保險單的細則

 Help net security發佈了一篇了解網絡保險單的細則

網路保險是一種為企業提供在遭受網路攻擊時的財務補償的保險產品。隨著網路攻擊的頻率和嚴重性不斷增加，越來越多的企業意識到需要購買網路保險來降低風險和損失。然而，並非所有的網路保險都是一樣的，企業在選擇和使用網路保險時需要注意以下幾點：

• 網路保險的價格和條件都在變化。根據一項由Delinea公司發布的報告，67%的受訪者表示他們的網路保險費率在申請或續約時增加了50-100%。同時，獲得或續約網路保險所需的時間和努力也在顯著增加，有超過20位受訪者表示他們花了6個月或更長的時間才完成這一過程。這些變化反映了網路保險提供商正在根據他們的數據和經驗來調整自己的策略和規則，以減少自己的風險和成本。
• 網路保險有很多排除條款和細則。報告發現，有很多因素可能導致網路保險失效或減少賠償，例如缺乏安全協議（43%）、人為錯誤（38%）、戰爭行為（33%）和不遵守合規程序（33%）。因此，企業在購買或使用網路保險時不能只看表面，而要仔細閱讀合約內容，並與保險提供商溝通清楚自己的需求和期望。
• 網路保險不能取代網路安全。報告指出，96%的企業在申請網路保險之前至少購買了一種安全解決方案。此外，51%的受訪者表示他們的網路保險政策要求他們實施身份和訪問管理控制，49%的受訪者表示要求他們實施特權訪問管理控制。這些控制可以幫助企業防止或減少因被盜用憑證而導致的網路攻擊。因此，企業在購買網路保險時不能放鬆對自身安全的投入和改善，而要持續提高自己的安全水平和能力。

總之，網路保險是一種有用的工具，可以幫助企業在面對網路攻擊時減輕財務壓力和影響。但是，企業也需要注意網路保險的變化、限制和要求，並與保險提供商保持良好的溝通和合作，以確保自己能夠得到合適和有效的保障。同時，企業也不能忽視自己的網路安全責任和措施，而要積極採取預防和應對的策略，以降低網路攻擊的可能性和嚴重性。

詳情請看：

Understand the fine print of your cyber insurance policies

Read More

Help net security：為什麼計算機安全指南如此混亂？

 Help net security發佈了一篇為什麼計算機安全指南如此混亂？

電腦安全是指保護電腦系統和數據免受未經授權的訪問、修改或破壞的過程。電腦安全涉及多個層面，包括硬件、軟件、網絡和用戶行為。為了提高電腦安全，有以下幾個建議：

• 使用強密碼和多因素認證，並定期更換密碼。
• 安裝和更新防毒軟件、防火牆和其他安全工具。
• 避免打開來自不明來源或可疑的電子郵件、附件或連結。
• 備份重要的數據，並將其存儲在安全的位置。
• 加密敏感的數據，並使用安全的通訊協議。
• 遵守組織或個人的安全政策和規範。
• 提高安全意識，並學習如何識別和防範常見的攻擊手法。

電腦安全是一個持續的過程，需要不斷地監測、評估和改進。只有通過採取適當的措施，才能有效地保護電腦系統和數據的完整性、可用性和機密性。

詳情請看：

Why are computer security guidelines so confusing?

Read More

Cybersecurity insiders：如何在低安全預算下獲得網路韌性

 Cybersecurity insiders發佈了一篇如何在低安全預算下獲得網路韌性

網路韌性是指組織在面對網路攻擊或漏洞時，能夠預測、管理和適應威脅，並確保業務和操作的持續性。網路韌性不僅需要網路安全，也需要網路恢復能力。在低安全預算下，如何獲得網路韌性呢？

• 建立網路韌性文化。組織需要培養員工對網路韌性的意識和責任感，並提供相關的培訓和教育。組織也需要跨部門合作，將網路韌性納入業務流程、工程服務和關鍵供應商的管理中。
• 做好基本的網路安全措施。組織需要定期修補漏洞，偵測和減輕威脅，並教育員工如何防禦釣魚、惡意軟體、勒索軟體等詐騙。組織也需要採用最佳實踐，如使用強密碼、多因素認證、加密和防火牆等。
• 建立有效的網路恢復計畫。組織需要制定一個能夠快速恢復關鍵系統和數據的計畫，並定期測試和更新。組織也需要考慮到攻擊或漏洞可能影響備份和恢復系統的情況，並採取相應的預防措施。
• 利用外部資源和合作夥伴。組織可以利用外部資源和合作夥伴來提高自己的網路韌性，例如使用雲端服務、參與資訊共享平台、委託專業顧問或服務提供商等。

詳情請看：

How to obtain cyber resilience in low security budgets

Read More

Help net security：如何有效地進行補丁管理

 Help net security發佈了一篇如何有效地進行補丁管理

補丁管理是指為軟體或系統安裝更新或修正程式，以修復已知的漏洞或改善性能。補丁管理是資訊安全的重要一環，因為它可以防止駭客利用未修補的漏洞進行攻擊。然而，補丁管理也面臨許多挑戰，例如補丁的可用性、相容性、部署速度、測試效果等。因此，組織需要制定一套有效的補丁管理策略，以確保補丁的及時性、完整性和正確性。

一個有效的補丁管理策略應該包含以下幾個步驟：

1. 評估組織的資產和漏洞。這包括識別和分類組織使用的所有軟體和系統，以及定期掃描和監測它們的漏洞狀況。
2. 建立補丁優先順序和時間表。這包括根據漏洞的嚴重程度、影響範圍、利用風險等因素，對補丁進行分級和排序，以及制定合理的部署期限。
3. 測試和驗證補丁。這包括在非生產環境中測試補丁的功能和相容性，以及在生產環境中驗證補丁的安裝和效果。
4. 部署和監控補丁。這包括使用自動化工具或手動方式將補丁推送到目標資產上，以及持續監控補丁的運作狀況和問題。
5. 評估和改善補丁管理流程。這包括收集和分析補丁管理的數據和回饋，以及根據組織的變化和需求調整補丁管理策略。

詳情請看：

A step-by-step guide for patching software vulnerabilities

Read More

Kaspersky：OSINT：有什麼危險以及如何保持安全

 Kaspersky發佈了一篇OSINT：有什麼危險以及如何保持安全

OSINT 是開源情報的字母縮寫，指的是從已發布的資源或網路上收集可用的資訊，並對其進行分析和評估，以回答特定的情報問題。OSINT 是一種情報收集和分析的方法，主要用於國家安全、執法、商業情報等領域。

OSINT 的來源可以分為六大類別：

• 媒體：包括報紙、雜誌、廣播、電視等不同國家和地區的媒體資訊。
• 網路：包括線上出版物、部落格、討論組、公民媒體（如手機影片、使用者創造內容）、YouTube 和其他社交媒體網站（如 Facebook、Twitter、Instagram 等）。這類資訊具有時效性和易取得性的優勢。
• 公共政府資料：包括公共政府報告、預算、聽證會、電話簿、記者會、網站和演講等。這類資訊雖然來自官方來源，但是可以公開取得和使用。
• 專業和學術出版物：包括期刊、會議、研討會、學術論文、論文和學位論文等。
• 商業資料：包括商業影像、財務和工業評估和資料庫等。
• 灰色文獻：包括技術報告、預印本、專利、工作文件、商業文件、未發表作品和通訊等。

OSINT 與一般的研究有所不同，它運用了情報的過程，以創造出支持特定個人或團體做出特定決策的量身定制的知識。

OSINT 的應用範圍很廣泛，它可以幫助情報分析師在回答各種情報需求時，使用非敏感的情報來補充其他情報來源。例如，OSINT 可以用於：

• 評估目標國家或組織的政治、經濟、社會和軍事狀況。
• 識別和監測潛在的威脅或機遇，如恐怖主義活動、網路攻擊或社會動盪等。
• 驗證或反駁其他情報來源的可信度或準確性。
• 提供背景知識或語境資訊，以幫助理解其他情報來源的含義或重要性。
• 增強或豐富其他情報來源的內容或細節。

OSINT 雖然有許多優勢，但也有一些挑戰和限制。例如，OSINT 的收集和分析需要大量的時間和人力資源，以篩選和整理海量的資訊。此外，OSINT 的質量和可靠性也可能受到資訊來源的偏見、錯誤或故意誤導的影響。因此，OSINT 需要與其他情報來源相互協調和驗證，以提高情報的有效性和價值。

總之，OSINT 是一種利用公開可用的資訊來產生有用情報的方法，它在各種領域都有廣泛的應用。OSINT 的來源包括媒體、網路、公共政府資料、專業和學術出版物、商業資料和灰色文獻等。OSINT 的收集和分析需要注意資訊的質量、可靠性和時效性，並與其他情報來源進行比較和確認。

詳情請看：

OSINT: what’s the danger, and how to stay safe

Read More

Cybersecurity insiders：協作工具安全的關鍵因素：用戶意識培訓

 Cybersecurity insiders發佈了一篇協作工具安全的關鍵因素：用戶意識培訓

協作工具，如電子郵件、即時通訊、視頻會議等，已成為現代企業的必需品，尤其是在遠程工作的情況下。然而，這些工具也帶來了安全風險，例如釣魚、勒索軟件、數據洩露等。因此，企業需要提高用戶的安全意識，並採取相應的措施來保護協作工具。

用戶意識培訓應該涵蓋以下幾個方面：

• 協作工具的常見威脅和攻擊手法，如釣魚、社交工程、假冒身份等；
• 協作工具的最佳實踐和政策，如使用強密碼、開啟多因素認證、不點擊可疑鏈接或附件等；
• 協作工具的安全功能和工具，如加密、數據備份、防病毒軟件等；
• 協作工具的安全事件處理流程，如如何報告和處理可疑活動或事件。

用戶意識培訓應該是持續和定期的，並且要根據不同的用戶群體和角色進行定制。此外，用戶意識培訓也要與其他安全措施相結合，如技術防護、監測和審計、風險評估等，以形成一個全面和有效的協作工具安全策略。

詳情請看：

User Awareness Training: A Critical Component to Collaboration Tool Security

Read More

The Hacker news：這是零日漏洞嗎？ 這是惡意軟件嗎？ 不！ 這是用戶名和密碼

 The Hacker news發佈了一篇這是零日漏洞嗎？ 這是惡意軟件嗎？ 不！ 這是用戶名和密碼

被竊用戶名和密碼對網絡安全的嚴重威脅，以及黑客如何利用這些資訊侵入網絡和系統。還探討了當前安全和身份管理方案面臨的挑戰，以及實施強大的保護措施來保護Active Directory（AD）環境的重要性。

隨著網絡威脅不斷演變，攻擊者部署了一系列工具來突破安全防禦並危害敏感數據。令人驚訝的是，他們最有效的武器之一並不是惡意代碼，而是簡單地竊取或弱化用戶名和密碼。

被竊用戶名和密碼對網絡安全構成了重大威脅，因為它們為攻擊者提供了一個入口點，允許他們隨後訪問敏感的本地和雲端資源。被竊用戶名和密碼之所以具有威力，是因為檢測網絡威脅在很大程度上依賴於識別各種活動（如進程、網絡流量和用戶行為）中的異常。異常情況是紅旗，表明可能發生了安全漏洞或惡意活動。但是，使用被竊用戶名和密碼進行的惡意認證與實際用戶進行的合法認證完全相同。當前的安全和身份管理方案無法區分兩者，因此它們可能會阻止第一種情況，並允許第二種情況。

攻擊者使用多種技術來獲取被竊用戶名和密碼。他們可能從暗網市場購買它們，或者通過在已經受到感染的機器上使用鍵盤記錄器或內存轉儲來獲取它們。因此，重要的是要接受一個事實：一個組織的許多用戶名和密碼最終都會被竊取，這就突顯了採取主動安全措施的必要性。

現代的Web和SaaS平台具有內置的多因素認證（MFA）功能 - 通過增加一層額外的認證來增強安全性 - 但是這種保護水平通常在AD環境中缺失。AD使用的認證協議（即NTLM和Kerberos）缺乏原生MFA支持。因此，AD環境非常容易受到利用被竊用戶名和密碼的攻擊。

詳情請看：

It's a Zero-day? It's Malware? No! It's Username and Password

Read More

Cybersecurity insiders：如何提高員工對釣魚式攻擊的防範意識

 Cybersecurity insiders發佈了一篇如何提高員工對釣魚式攻擊的防範意識

釣魚式攻擊是一種常見的網路詐騙手法，目的是利用偽裝的電子郵件、網站或其他方式，誘騙使用者點擊惡意連結、下載惡意附件或提供個人資訊，從而竊取資料或造成其他損害。釣魚式攻擊對個人和企業都可能造成嚴重的風險，因此提高員工對釣魚式攻擊的防範意識是非常重要的。

以下是一些提高員工對釣魚式攻擊的防範意識的方法：

• 建立一套釣魚式攻擊的防範政策和流程，並定期更新和溝通。
• 提供釣魚式攻擊的防範教育和培訓，讓員工了解釣魚式攻擊的特徵、危害和應對方法。
• 定期進行模擬釣魚式攻擊的測試，評估員工的防範水平和行為，並給予回饋和改善建議。
• 採用有效的安全技術和工具，如防火牆、反病毒軟件、電子郵件過濾器等，來阻止或減少釣魚式攻擊的嘗試。
• 鼓勵員工彼此分享和報告釣魚式攻擊的案例和經驗，增強團隊的防範意識和能力。

總之，釣魚式攻擊是一種不容忽視的網路安全威脅，需要企業和員工共同努力來預防和抵抗。只有提高員工對釣魚式攻擊的防範意識，才能有效地保護企業的資產和聲譽。

詳情請看：

How to improve employee phishing awareness

Read More

Bleepingcomputer：合規自動化：你的審計體驗的前後

 Bleepingcomputer發佈了一篇合規自動化：你的審計體驗的前後

文章介紹了合規自動化的定義、好處和實施方法，並以一個案例來說明合規自動化如何改善審計流程和結果。文章的主要內容如下：

• - 合規自動化是指使用軟體工具來自動化合規管理和審計的過程，減少人工干預和錯誤。
• - 合規自動化的好處包括提高效率、減少成本、降低風險、增加透明度和信任。
• - 合規自動化的實施方法包括選擇合適的軟體平台、定義合規需求和指標、設定自動化規則和流程、監測和報告合規狀況。
• - 一個案例是一家金融服務公司，使用了一個名為ZenGRC的合規自動化平台，成功地簡化了其審計流程，從花費數月時間和數百萬美元的成本，縮減到只需幾天時間和數千美元的成本，並提高了其合規評分和客戶滿意度。

詳情請看：

Compliance Automation: Your Audit Experience Before and After

Read More

如何選擇一個安全的通訊軟體

 如何選擇一個安全的通訊軟體

通訊軟體是我們日常生活中不可或缺的工具，它們讓我們可以與親友、同事或陌生人進行即時的聊天、語音或視訊通話。然而，通訊軟體也可能暴露我們的隱私和敏感資訊給不良的第三方，例如黑客、間諜或政府機關。因此，我們在選擇通訊軟體時，應該考慮以下幾個方面：

• 加密方式：加密是保護通訊內容不被竊聽或竄改的重要手段，它可以將明文轉換為密文，只有持有正確的金鑰才能解密。加密方式分為端對端加密和傳輸加密。端對端加密是指只有發送者和接收者能夠解密通訊內容，而傳輸加密是指只有在傳輸過程中才會加密，而服務商或其他第三方仍然可以存取通訊內容。一般來說，端對端加密比傳輸加密更安全，因為它可以防止服務商或其他第三方濫用或洩露我們的通訊內容。
• 隱私政策：隱私政策是通訊軟體向用戶說明它們如何收集、處理和保護用戶的個人資料和通訊內容的文件。我們在使用通訊軟體前，應該仔細閱讀並了解其隱私政策，特別是它們是否會收集我們的元數據（例如聯絡人、位置、時間等）、是否會與其他公司或機構分享我們的資料、是否會遵守法律要求提供我們的資料等。我們應該選擇那些尊重並保護我們隱私權利的通訊軟體。
• 開源程式碼：開源程式碼是指任何人都可以查看和修改通訊軟體的原始程式碼的特性。開源程式碼可以讓我們更容易發現和修復通訊軟體的漏洞或錯誤，也可以讓我們更清楚地知道通訊軟體是如何運作和保護我們的資料的。開源程式碼也可以增加通訊軟體的透明度和信任度，因為它可以讓第三方專家或組織對其進行審查和驗證。我們應該選擇那些提供開源程式碼並接受審查和驗證的通訊軟體。

通訊軟體是一種方便而實用的工具，但也可能帶來隱私和安全的風險。我們在選擇通訊軟體時，應該注意其加密方式、隱私政策和開源程式碼等方面，並選擇那些能夠有效保護我們的資料和通訊內容的通訊軟體。

Read More

Tenable：網絡安全快照：英國 NCSC 表示，請抑制您對工作中 ChatGPT 類工具的熱情

 Tenable發佈了一篇網絡安全快照：英國 NCSC 表示，請抑制您對工作中 ChatGPT 類工具的熱情

人工智慧聊天機器人是一種利用大型語言模型（LLMs），如ChatGPT，來產生自然語言對話的工具。這種工具在近年來受到了很多關注和熱情，因為它們可以提供各種商業應用，如客服、教育、娛樂等。然而，英國國家網路安全中心（NCSC）在本週發布了兩篇博客，警告企業在採用這種工具時，應該放慢腳步，並確保了解它們的網路安全風險。

NCSC指出，人工智慧聊天機器人可能面臨以下幾種攻擊：

• 提示注入攻擊：攻擊者通過在聊天機器人的查詢欄中輸入特殊的提示，使其產生非預期的行為，如洩露機密信息或生成冒犯性的回答。
• 數據污染攻擊：攻擊者通過篡改聊天機器人的訓練數據集，使其為惡意目的服務。

此外，NCSC還提醒企業，這是一個新興且快速發展的領域，所以現在採用的產品可能在不久的將來發生根本性的變化，甚至突然消失。因此，企業在決定將這種工具與哪些業務操作集成時，應該考慮到這一點。此外，關於人工智慧聊天機器人的能力、弱點和漏洞，全球科技界還沒有完全理解。

NCSC給出了以下一些風險緩解建議：

• 在從互聯網下載預訓練的人工智慧模型時，應用標準的供應鏈安全實踐，因為它們可能包含漏洞和其他安全問題。
• 關注影響這些工具的漏洞披露，並及時升級和修補。
• 理解這種技術目前處於“測試”階段，所以在這個時候決定將它與哪些業務操作集成。

詳情請看：

Cybersecurity Snapshot: Curb Your Enthusiasm Over ChatGPT-type Tools at Work, Says U.K.’s NCSC

Read More