Cybersecurity insiders：移動設備的威脅防禦或崩潰

 Cybersecurity insiders發佈了一篇移動設備的威脅防禦或崩潰

隨著手機的普及和功能的增強，手機安全也成為了一個不容忽視的議題。手機不僅是我們日常生活的工具，也是我們個人和商業數據的存儲器。如果手機遭到黑客的攻擊或竊取，我們可能會面臨嚴重的後果，例如隱私洩露、財產損失、身份盜用等。因此，我們需要採取有效的手機威脅防禦（Mobile Threat Defense, MTD）措施，以保護我們的手機免受各種威脅。

手機威脅防禦是一種利用人工智能和大數據分析來識別和阻止手機威脅的技術。它可以幫助企業和個人管理和保護他們的手機設備，並提供即時的安全報告和建議。手機威脅防禦可以對抗以下幾種常見的手機威脅：

• 惡意軟體（Malware）：這是一種通過下載不安全的應用程式或點擊惡意連結而感染手機的軟體，它可以竊取或破壞手機上的數據，或者將手機變成黑客的遠端控制器。
• 魚叉式網路釣魚（Spear Phishing）：這是一種針對特定目標的網路釣魚攻擊，它通過發送偽裝成可信來源的電子郵件或簡訊，試圖誘使目標點擊含有惡意程式碼或連結的附件或內容，從而竊取目標的敏感資訊或權限。
• 網路欺詐（Spoofing）：這是一種利用偽造或修改網路通訊協定來欺騙目標的攻擊，它可以讓黑客冒充合法的網路服務或設備，並截取或修改目標的網路流量。
• 無線網路攻擊（Wi-Fi Attacks）：這是一種利用無線網路的漏洞或弱點來攻擊目標的攻擊，它可以讓黑客監聽或竊取目標在無線網路上傳輸的數據，或者將目標重定向到惡意的網站或伺服器。

手機威脅防禦可以通過以下幾種方式來預防和對抗這些威脅：

• 應用程式安全（App Security）：這是一種對手機上的應用程式進行安全檢測和評估的技術，它可以幫助用戶識別和移除含有惡意程式碼或隱私漏洞的應用程式，並提供安全的下載來源和權限管理。
• 網路安全（Network Security）：這是一種對手機上的網路連線進行安全監測和保護的技術，它可以幫助用戶避免或阻止連接到不安全或偽造的無線網路，並提供加密和驗證的網路通訊協定。
• 裝置安全（Device Security）：這是一種對手機本身進行安全管理和防護的技術，它可以幫助用戶設置和更新手機的操作系統和安全補丁，並提供鎖屏、指紋辨識、遠端鎖定或抹除等功能。

總之，手機威脅防禦是一種有效的手機安全解決方案，它可以幫助我們在享受手機帶來的便利和效率的同時，也保障我們的數據和隱私不受黑客的侵害。我們應該選擇一個適合我們需求和預算的手機威脅防禦服務商，並定期檢查和更新我們的手機安全狀況，以防止任何可能的風險或攻擊。

詳情請看：

Mobile threat defense or bust

Read More

The Hacker news：IT 安全團隊滲透測試購買者指南

 The Hacker news發佈了一篇IT 安全團隊滲透測試購買者指南

滲透測試是一種主動的安全措施，它模擬真實的網絡攻擊，對組織的系統、網絡、應用程式等進行測試，以發現和解決任何潛在的弱點或漏洞。滲透測試可以幫助組織提高安全意識，符合合規要求，並減少資料外洩的風險。

在進行滲透測試之前，有幾個重要的因素需要考慮。首先，要明確測試的目的和範圍，即要測試哪些系統、網絡、應用程式等，以及要達到哪些目標和標準。其次，要確定測試的時間和方法，即要花多少時間和資源來完成測試，以及要採用哪種類型的測試，例如黑盒、白盒或灰盒。最後，要選擇合適的滲透測試團隊，即要決定是內部還是外部進行測試，以及要選擇哪家具有專業資質和經驗的服務提供商。

在進行滲透測試期間，要保持良好的溝通和協調，並及時處理任何問題或意外。在完成滲透測試之後，要仔細閱讀和分析測試報告，並根據報告中提出的建議和優先順序來制定和執行整改措施。此外，還要定期進行滲透測試，以確保系統的安全性能不斷提高。

詳情請看：

A Penetration Testing Buyer's Guide for IT Security Teams

Read More

Help net security：安全編碼訓練平台真的有效嗎？

 Help net security發佈了一篇安全編碼訓練平台真的有效嗎？

在軟體開發中，安全編碼的實踐非常重要。培養開發團隊的安全文化已經成為確保數位系統的完整性和保護的關鍵。正面安全文化的重要性，反覆出現的漏洞的原因，將安全編碼訓練納入開發流程而不影響效率的策略，遊戲化學習體驗的有效性，定期更新安全開發訓練的必要性，以及鼓勵開發者改善安全編碼技巧的創新方法。

開發團隊對於安全如何被認知和執行的文化基礎決定了一切，也可能反映了他們在達成良好安全結果方面的成功程度。傳統上，開發者與應用程式安全（AppSec）團隊之間有著負面的經驗。如果我們從開發者的角度來看，他們只有在出現問題時才會聽到來自安全團隊的聲音：要麼是他們的代碼從安全角度來看是錯誤的，要麼是他們被迫修復其他開發者的錯誤。這兩種情況都會干擾他們的工作流程，而且在自己的工作方面，這就像是說他們的寶寶很醜。他們已經不辭辛勞地發送了美觀、功能完善的代碼，以實現功能交付目標；安全是別人的角色，而且在組織KPI方面，安全通常不是衡量代碼質量的指標。兩個團隊之間可能存在強烈的怨恨，但是培養一種正面的安全文化，在這種文化中，開發者了解他們可以在減少代碼層面漏洞方面發揮作用，並且創造一種讓他們能夠以舒適的方式學習安全編碼的環境，是修復這種關係至關重要的。

AppSec方面也應該明白，他們只有在安全問題真正得到解決時才能增加業務價值，而不僅僅是識別和報告問題。他們需要比一般性陳述更深入地提供特定語言的編碼模式，以防止或減輕問題。當兩個團隊都與共同的安全目標保持一致時，並且理想情況下，理解安全應該與代碼質量同義時，就有可能顯著降低風險。

幾十年來相同的反覆出現的漏洞（比如跨站腳本和SQL注入），因為開發者一直在使用相同的糟糕的編碼模式。這是因為我們忽略了一個非常重要的點：開發者是問題解決者。如果你看看開發者的日常工作，你可以看到找到解決問題的方法是他們的主要工作。他們收到應用程式的規格，他們知道在哪裡以及如何尋找滿足每個規格的方法，並且他們提供一個完整的解決方案。開發者不需要別人告訴他們“如何”做某事，而是“要做什麼”。我們需要用他們能夠理解的語言更好地定義問題。這是我們做得不好的部分。安全從業者使用的語言——奇怪的術語和不規則的安全漏洞命名——並不適合向開發者傳達安全問題的本質。兩個團隊根本沒有用同一種語言交流。

舉一個例子。軟體漏洞要麼是一個錯誤，要麼是一個設計缺陷。在開發者的世界裡，錯誤通常與實現問題（代碼中的問題）有關，而設計缺陷則與軟體架構問題有關。但是漏洞——一個通常由安全行業使用的術語——並沒有立即告訴開發者“問題是什麼”。如果我們只是解釋一下漏洞是在實現還是設計中出現的問題，開發者會很感激。另一個表達不佳的例子是“攻擊者負載”——這是安全專家在談論惡意輸入時使用的一種表達方式。我們應該說它是“一種罕見的輸入，會導致運行時異常”。（運行時異常是軟體中沒有得到優雅處理並且保持未確定的狀態。很多安全漏洞都是運行時異常。）

詳情請看：

Does a secure coding training platform really work?

Read More

McAfee：世界網路日：如何保護你的家人在線上安全

 McAfee發佈了一篇世界網路日：如何保護你的家人在線上安全

網路已經成為我們生活中不可或缺的一部分，尤其在疫情期間，我們更依賴網路來工作、學習、娛樂和社交。但是，網路也帶來了一些風險和挑戰，例如個人資料洩露、詐騙、網路霸凌、色情和暴力內容等。因此，我們需要採取一些措施來保護自己和家人在線上的安全和隱私。

• 使用可靠的防毒軟體和防火牆，並定期更新它們。
• 使用強度高且不重複的密碼，並使用密碼管理器來儲存和管理它們。
• 不要在不安全的網路或裝置上進行敏感或重要的交易或操作，例如網路銀行或購物。
• 不要隨意點擊陌生或可疑的連結、附件或彈出視窗，以免遭到釣魚或惡意軟體的攻擊。
• 不要在線上透露過多的個人資訊，例如姓名、地址、電話、生日等，並設定好社交媒體的隱私權限。
• 教育和監督孩子在線上的行為和活動，並設定好適當的時間限制和內容過濾。
• 與家人保持良好的溝通和信任，並及時處理任何網路安全相關的問題或困擾。

詳情請看：

World Wide Web Day: How to Protect Your Family Online

Read More

McAfee：國際旅行的網路安全指南

McAfee發佈了一篇國際旅行的網路安全指南

當您旅行時，您最不想失去的東西是什麼？您可能會想到行李、錢包或護照。但對我來說，最重要的是我的行動裝置。在國外旅行時，我的行動裝置是我與世界聯繫的橋樑，也是我數位生活的遙控器。許多國際旅客沒有意識到的是，他們的裝置在遠距離旅行時更容易受到威脅。因為它們儲存和傳輸我們的個人資訊，從網站登入到銀行資料，這些裝置比您的錢包或行李更有價值。特別是當您不熟悉您的環境時，扒手和網路罪犯可能會利用您的弱點來竊取或感染您的裝置。幸運的是，您可以在國際旅行前、中、後採取一些網路安全預防措施，以確保您的資訊安全。

在旅行前，您必須先確保您的裝置安全。現在是主動防範，而不是被動應對的時候。最好的做法是將您的裝置留在家裡，這樣您就知道它們是安全的。但這對大多數人來說是不切實際的，因為我們都依賴於我們的行動裝置。所以，在您出發之前，至少要做到以下幾點：

• 清理您的裝置。清除您的瀏覽器歷史記錄和刪除 cookies。考慮刪除您不使用的應用程式，以避免不必要的漏洞。加密任何個人資料，以確保資訊保持受保護。如果加密失敗，將任何檔案備份到外部硬碟或桌面電腦。
• 啟用密碼輸入或臉部辨識。如果您的裝置落入錯誤的手中，使用密碼保護您的裝置是一種立即拒絕某人存取的好方法，從而保持您的個人資訊私密。
• 投資裝置安全配件。這可能不太時尚，但手機繫帶是一種將您的裝置固定在身體上的方法，使得某人很難偷走它。

在旅行中，無論您是在家還是在國外，都要始終保持警覺和注意周圍的情況，無論是在線上還是在現實中。當您在國際旅行時，公共免費 Wi-Fi 有時是服務唯一選項。不幸的是，它可能被網路罪犯利用作為進入您裝置的通道。通過偽造合法 Wi-Fi 網路，這些邪惡之徒可能會存取敏感資料和私人帳戶，甚至可能要求金錢來歸還您的資訊，使公共 Wi-Fi 成為您網路安全的最大威脅。為了避免被妥協，請務必：

• 降低風險，避免在使用公共 Wi-Fi 時進行線上購物或存取銀行帳戶。
• 如果您非常需要網路連線，可以使用您的智慧型手機來建立個人熱點。
• 使用虛擬私人網路 (VPN) 來加密您在旅行期間可能收到的任何資料。

在旅行後，回到家後已經是一種耗盡的體驗了，不要讓您的裝置帶回任何惡意軟體。請記住，如果您在國外連接到當地網路，您的行動裝置可能會受到惡意軟體的感染。因此，您應該：

• 掃描您的裝置以檢查任何可疑的活動或應用程式。
• 更改您在旅行期間使用過的任何密碼。
• 監控您的帳戶以確保沒有任何未授權的交易或登入。

詳情請看：

A Traveler’s Guide to International Cybersecurity

Read More

Fortinet：如何證明投資網路安全的價值

 Fortinet發佈了一篇如何證明投資網路安全的價值

網路安全是企業面臨的重要挑戰，但如何衡量和證明投資網路安全的效益卻不是一件容易的事。因為網路安全的目標是防止和減少攻擊，而不是創造和增加收入，所以很難用傳統的財務指標來評估網路安全的回報。此外，網路安全的成本和效果也會隨著時間和情況而變化，所以需要有一套靈活和客觀的方法來衡量網路安全的價值。

一種可能的方法是使用風險調整後的回報率（RAROC）來評估網路安全的投資。RAROC是一種考慮了風險因素的財務指標，可以用來比較不同類型和規模的投資項目。RAROC的計算公式是：RAROC = 預期收益 / 風險資本。預期收益是指投資項目帶來的正面效益，例如減少攻擊造成的損失或提高業務效率。風險資本是指投資項目所需的最低資金，以承擔可能發生的最壞情況下的損失。通常，RAROC越高，表示投資項目越有價值。

使用RAROC來評估網路安全的投資可以幫助企業更清楚地了解網路安全對業務的影響，並且可以讓企業更有效地分配和優化網路安全的資源。然而，要使用RAROC，企業需要有一套完善和準確的數據和模型，以估計網路安全的預期收益和風險資本。這需要企業與網路安全供應商和專家合作，並且持續地更新和改進數據和模型，以適應不斷變化的網路威脅和技術。

詳情請看：

How to Prove a Negative: The Challenge of Cybersecurity Investment

Read More

The Hacker news：駕馭舊基礎設施：CISO 的成功可行策略

 The Hacker news發佈了一篇駕馭舊基礎設施：CISO 的成功可行策略

遺留基礎設施是指那些已經過時或不符合當前標準的信息技術系統，例如運行在舊版操作系統或軟件上的服務器、網絡設備或應用程序。這些系統往往存在著各種安全漏洞，容易受到黑客的攻擊，並可能導致數據泄露、服務中斷或其他嚴重後果。因此，對於負責企業信息安全的高級信息安全主管（CISO），如何應對遺留基礎設施的安全挑戰是一個重要而棘手的問題。

CISO需要採取以下幾個步驟來解決這個問題：

• 識別和評估遺留基礎設施的風險：CISO需要對企業內部的所有信息系統進行盤點，找出那些已經過時或不符合標準的系統，並評估它們對企業業務和安全的影響。這需要考慮系統的功能、數據敏感性、連接性、依賴性、可替代性等因素。
• 制定和執行遺留基礎設施的治理策略：CISO需要根據風險評估的結果，制定一個合理而可行的治理策略，包括以下幾種可能的選項：
  • 升級或替換：如果可能，CISO應該優先考慮升級或替換遺留基礎設施，以提高其性能和安全性。這可能需要投入較大的資金和人力，但也能帶來較大的收益。
  • 隔離或限制：如果升級或替換不可行或不划算，CISO可以考慮將遺留基礎設施與其他系統隔離或限制其訪問權限，以減少其受到攻擊或影響其他系統的風險。這可能需要使用防火牆、VPN、身份驗證等技術。
  • 監控或測試：如果隔離或限制也不夠有效，CISO可以考慮對遺留基礎設施進行持續的監控或測試，以及時發現和修復任何安全問題。這可能需要使用漏洞掃描、入侵檢測、日誌分析等工具。
• 建立和維護遺留基礎設施的安全文化：CISO需要與企業內部的各個利益相關方（例如業務部門、IT部門、法律部門等）建立良好的溝通和合作關係，並提高他們對遺留基礎設施安全問題的認識和責任感。這需要進行培訓、宣傳、獎勵等活動。

總之，遺留基礎設施的安全挑戰是一個需要CISO嚴肅對待的問題，並需要採取多種措施來解決。CISO應該根據自己的實際情況，制定一個適合自己的策略，並不斷地監測和調整，以確保企業的信息安全。

詳情請看：

Navigating Legacy Infrastructure: A CISO's Actionable Strategy for Success

Read More

The Hacker news：什麼是數據安全態勢管理 (DSPM)？

 The Hacker news發佈了一篇什麼是數據安全態勢管理 (DSPM)？

資料安全姿態（Data Security Posture，DSP）是指一個組織在保護其資料免受未經授權的存取、使用、修改或破壞的能力。資料安全姿態不僅涉及技術措施，還包括人員、流程和政策等方面。資料安全姿態的高低會影響組織的信譽、合規性和競爭力。

要評估和改善資料安全姿態，首先需要了解自己的資料風險。這包括識別資料的類型、位置、敏感度和價值，以及可能威脅資料安全的內部和外部因素。其次，需要制定和執行一套適合自己的資料保護策略。這包括選擇合適的加密、備份、存取控制、監測和應變等技術解決方案，以及建立相關的人員培訓、流程規範和政策指引等非技術措施。最後，需要定期檢查和更新資料安全姿態，以適應變化的資料環境和威脅情勢。

資料安全姿態是一個持續的過程，而不是一個靜態的狀態。隨著資料量和複雜度的增加，以及攻擊者的技術和手段的進步，組織需要不斷地評估和改善自己的資料保護能力，以減少資料洩露或損失的風險。

詳情請看：

What is Data Security Posture Management (DSPM)?

Read More

Cybersecurity insiders：如何保護混合雲環境中的數據安全

 Cybersecurity insiders發佈了一篇如何保護混合雲環境中的數據安全

混合雲是指將私有雲和公有雲結合在一起，以實現更高的效率和彈性。然而，混合雲也帶來了一些安全挑戰，例如數據的可見性、控制權和一致性。為了保護混合雲環境中的數據安全，以下是一些最佳實踐：

• 制定清晰的安全策略和責任分配。混合雲涉及多個服務提供商和平台，因此需要明確地定義誰負責什麼，以及如何協調和溝通。安全策略應該包括數據分類、加密、存取控制、備份、監測、審計和事故應變等方面。
• 選擇可信賴的雲服務提供商。在選擇雲服務提供商時，應該考慮其安全能力和認證，例如是否符合國際或行業的安全標準，是否提供透明的安全報告，是否支持客戶自定義的安全要求等。
• 使用統一的安全管理工具。由於混合雲涉及多個不同的環境，使用不同的安全工具可能會導致重複、矛盾或遺漏的安全配置。因此，建議使用一個統一的安全管理工具，可以跨平台地實現數據的可見性、分析、防護和報告。
• 實施端到端的數據加密。數據在傳輸和存儲時都可能面臨被竊取或篡改的風險，因此需要對數據進行端到端的加密，以確保其完整性和保密性。加密方式可以包括對稱加密、非對稱加密或混合加密。
• 強化身份和存取管理。身份和存取管理是確保只有授權的用戶和設備可以存取數據的重要手段。身份和存取管理可以包括多因素認證、角色基礎存取控制、單一登入等技術。
• 採用零信任網路模型。零信任網路是一種安全架構，其核心原則是不信任任何來源或目的地，而是基於每次請求的上下文進行動態驗證和授權。這樣可以減少攻擊面，防止內部或外部的威脅。
• 定期進行風險評估和測試。為了及時發現和修復混合雲中的安全漏洞或弱點，需要定期進行風險評估和測試，例如漏洞掃描、滲透測試、紅隊/藍隊演習等。
• 建立有效的數據備份和恢復機制。數據可能因為人為或自然的原因而遭受損失或破壞，例如刪除、編輯、病毒、火災等。因此，需要建立有效的數據備份和恢復機制，以確保數據的可用性和持續性。
• 提高用戶和員工的安全意識和技能。用戶和員工是混合雲中的重要參與者，也是安全的第一道防線。因此，需要提高他們的安全意識和技能，例如教育他們如何識別和避免釣魚、勒索或社交工程等攻擊，如何使用安全的密碼和設備等。
• 持續監測和改進安全狀況。混合雲是一個動態變化的環境，隨著業務需求、技術發展和威脅情報的變化，安全狀況也會不斷變化。因此，需要持續監測和改進安全狀況，例如收集和分析安全日誌、事件和指標，定期審查和更新安全策略和措施，引入新的安全技術和解決方案等。

詳情請看：

Best Practices to safeguard Data Across Hybrid Cloud Environments

Read More

Fortinet：實現公共部門的資安韌性

 Fortinet發佈了一篇實現公共部門的資安韌性

網路安全是公共部門面臨的重要挑戰之一，因為它不僅影響政府的運作和服務，也關係到民眾的信任和安全。公共部門需要採取有效的策略和措施，以應對日益複雜和多變的網路威脅，並保護其關鍵的資訊和基礎設施。

公共部門要啟用網路安全，需要考慮以下四個方面：

• 統一的視野：公共部門需要建立一個統一的網路安全架構，將不同的系統、平台和裝置整合在一起，實現端到端的可見性和控制。
• 自動化的流程：公共部門需要利用自動化技術，提高網路安全的效率和效果，減少人為的錯誤和延遲，並快速應對威脅和事件。
• 智能的分析：公共部門需要運用人工智慧和機器學習，增強網路安全的智能和預測，分析大量的資料和訊號，並產生有價值的洞察和建議。
• 協作的生態系：公共部門需要與其他組織和夥伴建立協作的關係，分享網路安全的最佳實踐和資源，並形成一個強大的防禦聯盟。

透過以上四個方面，公共部門可以提升其網路安全的能力和水準，並創造一個更安全、更可靠、更創新的數位化未來。

詳情請看：

Enabling Cyber Resilience in the Public Sector

Read More

Network World：網路保障工具是什麼，為什麼它們很重要？

 Network World發佈了一篇網路保障工具是什麼，為什麼它們很重要？

網路保障工具（network assurance tools）是一種用來監測、分析和優化網路性能和安全性的軟體或服務。它們可以幫助網路管理員檢測和解決網路問題，提高網路可用性和效率，並支援網路的持續創新和變革。

網路保障工具的主要功能包括：

• 網路可視化（network visibility）：提供網路的拓撲圖、流量統計、設備狀態等資訊，讓管理員能夠清楚地了解網路的運作情況和資源分配。
• 網路分析（network analytics）：利用人工智慧（AI）、機器學習（ML）或其他技術，對網路的數據進行深入的分析，找出網路的優點和缺點，並提供改善建議或自動化解決方案。
• 網路驗證（network verification）：通過模擬、測試或其他方法，驗證網路的配置、策略或功能是否符合預期的目標和需求，並及時發現和修復任何錯誤或不一致。
• 網路預測（network prediction）：根據歷史數據、趨勢分析或其他因素，預測網路的未來表現、需求或風險，並提前做好規劃和調整。

網路保障工具的重要性在於：

• 它們可以幫助企業應對日益複雜和動態的網路環境，如雲端遷移、邊緣運算、物聯網（IoT）、軟體定義廣域網（SD-WAN）等。
• 它們可以幫助企業提升網路的效能和品質，如降低延遲、增加頻寬、減少中斷等。
• 它們可以幫助企業提高網路的安全性和合規性，如防止入侵、偵測異常、加密數據等。
• 它們可以幫助企業節省成本和時間，如減少人工干預、自動化流程、優化資源等。

因此，網路保障工具是企業在數位化轉型中不可或缺的一項投資，它們可以幫助企業創造更高的競爭優勢和業務價值。

詳情請看：

What are network assurance tools and why are they important?

Read More

SANS：什麼是雲端基礎設施？

 SANS發佈了一篇什麼是雲端基礎設施？

雲端基礎設施是指提供雲端服務的硬體和軟體資源，包括伺服器、網路、儲存空間、作業系統、中介軟體和應用程式等。雲端基礎設施可以分為三種類型：公有雲、私有雲和混合雲。

公有雲是指由第三方服務提供商經營和管理的雲端基礎設施，通常透過網際網路提供給使用者。公有雲的優點是可以快速部署、彈性擴展、降低成本和提高效率。公有雲的缺點是可能存在安全和隱私風險，以及對服務品質和可用性的依賴。

私有雲是指由組織自行建置和管理的雲端基礎設施，通常只供組織內部使用。私有雲的優點是可以提高安全和隱私保護，以及對服務品質和可用性的控制。私有雲的缺點是需要較高的初始投資、維護成本和技術人員。

混合雲是指將公有雲和私有雲結合在一起的雲端基礎設施，通常根據不同的需求和目標，將敏感或關鍵的資料和應用程式放在私有雲，而將一般或臨時的資料和應用程式放在公有雲。混合雲的優點是可以兼顧安全和效率，以及靈活地調整資源分配。混合雲的缺點是需要複雜的整合和管理，以及考量不同平台之間的相容性和一致性。

詳情請看：

What is Cloud Infrastructure?

Read More

Kaspersky：首先要修補什麼：優先更新

 Kaspersky發佈了一篇首先要修補什麼：優先更新

在現今的數位時代，更新軟體是一項不可或缺的工作，因為每天都會發現許多新的漏洞，而這些漏洞可能會被惡意攻擊者利用來竊取資料、植入惡意程式或造成服務中斷等危害。然而，更新軟體也是一項耗時耗力的工作，因為每個月都會發布數百甚至數千個補丁，而且不同的軟體有不同的重要性和風險。因此，如何優先更新軟體是一個值得探討的問題。

優先更新軟體的策略可以根據漏洞被利用的可能性來決定。最需要優先更新的軟體有以下幾類：

• 作業系統：作業系統是電腦上最重要的軟體，因為它控制了其他所有的軟體。如果作業系統被攻破，那麼整個電腦就會暴露在危險之中。因此，作業系統的更新必須盡快安裝，尤其是微軟每個月第二個星期二發布的安全更新。
• 瀏覽器：瀏覽器是每天使用最多的軟體之一，因為它可以存取各種網路資源和服務。然而，瀏覽器也是最容易受到攻擊的軟體之一，因為它會接觸到各種不可信任的內容和程式碼。如果瀏覽器被感染或劫持，那麼隱私和資料就會遭到威脅。因此，瀏覽器的更新也必須及時安裝，以防止已知的漏洞被利用。
• 常用應用程式：常用應用程式是指每天都會使用或依賴的軟體，例如辦公套件、通訊工具、媒體播放器、壓縮工具等。這些應用程式也可能存在漏洞，而且可能會處理敏感或重要的資料。如果常用應用程式被攻擊，那麼我們的工作效率和資訊安全就會受到影響。因此，常用應用程式的更新也需要優先考慮，尤其是那些已經被發現有漏洞被利用的情況。

除了以上三類軟體外，關注以下幾點：

• 不要以為沒有發現漏洞的軟體就是安全的，因為這可能只是因為沒有人去尋找漏洞。反而，應該選擇那些能夠快速和定期發布補丁的軟體，以及那些有開放的漏洞獎勵計畫的軟體，因為這些軟體表示開發者重視安全問題，並且願意與安全研究者合作。
• 不要忽略那些已經停止支援或更新的軟體，因為這些軟體可能仍然存在於系統中，或者被其他軟體所使用。例如，雖然微軟已經宣布停止支援 Internet Explorer，但是它的一些元件仍然被其他應用程式所使用，因此仍然需要安裝相關的安全更新。
• 不要依賴自動更新功能，因為有時候自動更新可能會失效或延遲。應該定期檢查我們的軟體是否有最新的版本，並且手動安裝必要的更新。此外，也應該使用一些專業的安全軟體來幫助我們掃描和修復系統中的漏洞。

總之，更新軟體是一項重要的網路安全措施，但是也需要有一定的策略和方法。應該優先更新那些最關鍵和最危險的軟體，並且關注那些能夠及時修復漏洞的軟體。同時，也應該使用一些可靠的安全工具來保護系統和資料。

詳情請看：

What to patch first: prioritizing updates

Read More

Help net security：最好的 CISO 如何利用人才和技術成為超級明星

 Help net security發佈了一篇最好的 CISO 如何利用人才和技術成為超級明星

隨著網絡攻擊的頻率和規模不斷增加，企業的資訊安全負責人（CISO）面臨著前所未有的挑戰。他們不僅要應對日益複雜和多變的安全威脅，還要在有限的預算和人力下，建立和維護一個有效的安全防禦體系。那麼，最佳CISO是如何做到這一點的呢？

• 他們具有清晰的安全戰略和目標，並能夠與高層管理層和其他部門溝通和協調，獲得他們的支持和資源。
• 他們關注企業的業務需求和風險，並能夠根據不同的情況調整安全措施和優先級，避免過度或不足的保護。
• 他們採用數據驅動的方法，利用各種工具和指標來監測和評估安全狀況和效果，並及時發現和解決問題。
• 他們重視人才培養和團隊建設，並能夠吸引和留住優秀的安全專家，提高他們的技能和動力。
• 他們持續學習和創新，並與同行和行業組織分享知識和經驗，以應對不斷變化的安全環境。

這些特點不僅可以幫助CISO提高企業的安全水平，也可以提升他們自己的職業發展。因此，對於任何想要成為最佳CISO的人來說，這些秘訣都是值得學習和效仿的。

詳情請看：

How the best CISOs leverage people and technology to become superstars

Read More

Help Net Security：企業存儲、備份設備的前 5 大安全風險

Help Net Security發佈了一篇企業存儲、備份設備的前 5 大安全風險

• 不安全的網路設置（使用易受攻擊的協議、加密密碼等）
• 未解決的 CVE
• 訪問權限問題（過度曝光）
• 不安全的用戶管理和身份驗證
• 日誌記錄和審計不足

詳情請看：

Top 5 security risks for enterprise storage, backup devices

Read More

Cybersecurity insiders：移動設備管理：保護現代工作場所的安全

 Cybersecurity insiders發佈了一篇移動設備管理：保護現代工作場所的安全

隨著移動設備的普及和遠程工作的增加，企業面臨著如何保護敏感數據和資產的挑戰。移動設備管理（MDM）是一種解決方案，可以讓企業統一管理和監控員工使用的各種移動設備，如智能手機、平板電腦和筆記本電腦。

MDM的主要功能包括：

• 設備登記：讓企業可以識別和驗證員工使用的移動設備，並將其分配到不同的策略組。
• 設備配置：讓企業可以遠程設置和更新移動設備的安全參數，如密碼、加密、防火牆和VPN。
• 設備監控：讓企業可以實時查看和分析移動設備的狀態和性能，如電池、信號、存儲和流量。
• 設備控制：讓企業可以遠程執行和撤銷移動設備的操作，如鎖定、清除、定位和恢復。
• 設備合規：讓企業可以檢查和強制執行移動設備的安全政策，如禁止安裝未經授權的應用程序或存取受限制的網站。

MDM可以幫助企業提高移動設備的安全性和效率，減少數據洩露和惡意攻擊的風險，並提升員工的生產力和滿意度。MDM也可以支持企業實施彈性工作模式，如BYOD（自帶設備）或CYOD（選擇自己的設備），讓員工可以根據自己的偏好和需求使用移動設備。

總之，MDM是一種有效的方法，可以讓企業在現代工作場所中保持競爭力和創新力，同時確保移動設備的安全和管理。

詳情請看：

Mobile Device Management: Securing the modern workplace

Read More

Network World：網路交換機幫助您事半功倍的 5 大方法

Network World發佈了一篇網路交換機幫助您事半功倍的 5 大方法

• 通過統一的雲管理消除管理孤島
• 通過自動動態分段簡化網路安全
• 提供有彈性且永遠在線的網路
• 使用內置分析自動進行故障排除
• 無處不在的單交換機操作系統消除網路孤島

詳情請看：

Top 5 ways network switches help you do more with less

Read More

The hacker news：GitHub 推出人工智慧自動修復工具，協助開發人員修補安全漏洞

 GitHub最近推出了一項 AI 強化的自動修復工具，以協助開發人員修補安全漏洞。這個功能名為「程式碼掃描自動修復」，已經在公開測試階段釋出給所有高級安全客戶使用，旨在提供有針對性的建議，以避免引入新的安全問題。

GitHub的Pierre Tempel和Eric Tooley表示，程式碼掃描自動修復功能由GitHub Copilot和CodeQL驅動，涵蓋了JavaScript、Typescript、Java和Python等超過90％的警報類型，並提供了程式碼建議，顯示了如何修復發現的三分之二以上的漏洞，而這些建議幾乎不需要進行編輯。

這項功能首次在2023年11月預覽，利用了CodeQL、Copilot API和OpenAI GPT-4的結合來生成程式碼建議。這家微軟旗下的子公司還表示，未來還計劃為更多的編程語言增加支持，包括C＃和Go。

程式碼掃描自動修復旨在幫助開發人員在編碼時解決漏洞，它通過生成潛在的修復方案以及在發現支持的語言中存在問題時提供自然語言解釋。

公司表示:「程式碼掃描自動修復通過將最佳實踐信息與代碼庫詳細信息和警報相結合，為開發人員提供潛在的修復建議，從而降低了開發者的門檻。」。

儘管如此，開發人員需要評估建議，確定它是否是正確的解決方案，並確保不偏離其預期行為。

GitHub還強調了自動修復程式碼建議目前的限制，使得開發人員在接受建議之前仔細審查變更和依賴項至關重要 -

- 提出的修復方法不是句法正確的程式碼更改

- 提出的修復方法在正確的位置建議句法正確的程式碼但是

- 提出的修復方法是句法有效的但改變了程序的語義

- 提出的修復方法未解決根本原因或引入新的漏洞

- 提出的修復方法僅部分解決了潛在的缺陷

- 提出的不受支持或不安全的依賴項

- 提出任意依賴項，可能導致供應鏈攻擊

公司指出:「該系統對更廣泛的生態系統中發布的依賴項具有不完整的知識。這可能導致建議增加對惡意軟件的新依賴，攻擊者已經以統計上可能的依賴名稱發布。」

這項功能的推出對於開發人員來說無疑是一個重要的利器，有助於加速解決潛在的安全漏洞，提高代碼的品質和可靠性。然而，開發者在使用這項功能時必須謹慎，確保接受的建議不會導致其他問題的產生。

詳情請看：

GitHub Launches AI-Powered Autofix Tool to Assist Devs in Patching Security Flaws

Read More

零信任驗證的挑戰和解決方案

零信任驗證的挑戰和解決方案

零信任驗證（Zero Trust Authentication, ZTA）是一種安全模式，它不再假設網絡內部的用戶和設備都是可信的，而是要求每次訪問都進行驗證和授權。ZTA可以提高網絡安全，防止未經授權的訪問和數據洩露，但它也帶來了一些挑戰，例如：

• 如何在不影響用戶體驗的情況下實施ZTA？
• 如何在不同的設備、平台和應用程序之間實現ZTA的一致性和互操作性？
• 如何在不增加管理成本和複雜性的情況下維護ZTA的可擴展性和靈活性？
• 如何在不降低性能和可用性的情況下確保ZTA的安全性和合規性？

為了解決這些挑戰，企業需要採用一些解決方案，例如：

• 使用多因素驗證（Multi-Factor Authentication, MFA）或無密碼驗證（Passwordless Authentication）來提高用戶體驗和安全性。
• 使用基於標準和開放協議的ZTA平台，如OAuth 2.0、OpenID Connect、SAML等，來實現跨域和跨平台的ZTA。
• 使用基於雲端或混合架構的ZTA服務，如Azure Active Directory、Okta、Ping Identity等，來實現ZTA的可擴展性和靈活性。
• 使用基於人工智能和機器學習的ZTA技術，如行為分析、風險評估、自適應驗證等，來實現ZTA的安全性和合規性。

總之，ZTA是一種新興的安全模式，它可以幫助企業應對日益複雜的網絡威脅，但它也需要企業投入資源和時間來部署和管理。因此，企業應該根據自己的業務需求和安全目標，選擇合適的ZTA解決方案，並持續監測和優化其效果。

Read More

The Hacker news：如何防止ChatGPT竊取你的內容和流量

 The hacker news發佈了一篇如何防止ChatGPT竊取你的內容和流量

ChatGPT是一種人工智慧（AI）模型，可以通過學習網絡上的大量數據，生成自然語言的文本。ChatGPT有許多潛在的應用，例如聊天機器人、內容創作、問答系統等。然而，ChatGPT也帶來了一些安全和隱私的風險，尤其是對於那些提供獨特和有價值內容的網站和應用。

ChatGPT通過從不同的數據源訓練自己，來獲得語言知識和能力。其中一個最大的數據源是Common Crawl，它是一個開放的網絡爬取數據庫，包含了數十億個網頁的內容。這意味著ChatGPT可能會使用你的網站或應用的內容，作為它的學習材料，而你可能不知情也無法控制。

ChatGPT可能會對你的業務造成以下三種威脅：

• 內容盜竊：ChatGPT可能會生成與你的原創內容相似或相同的文本，並通過其他渠道發布或分享。這會降低你的內容的權威性、SEO排名和價值。
• 流量減少：ChatGPT可能會通過插件或其他方式，直接向用戶提供你的內容相關的答案或信息，而不需要用戶訪問你的網站或應用。這會減少你的流量和收入。
• 數據泄露：ChatGPT可能會無意中將你的敏感數據廣泛地分發或分享。並非所有公開面向的數據都適合被重新使用或轉發，但爬取器並不知道區別。這可能會導致你失去競爭優勢或傷害你的品牌聲譽。

那麼，該如何防止ChatGPT竊取你的內容和流量呢？可以採取以下幾種方法：

• 使用robots.txt文件來禁止Common Crawl和其他爬取器訪問你的網站或特定目錄。
• 使用.htaccess文件或其他方式來阻止來自特定IP範圍或用戶代理（user agent）的請求。
• 使用加密或驗證技術來保護你的敏感數據或內容。
• 使用版權聲明或其他法律手段來保護你的智慧財產權。

詳情請看：

How to Prevent ChatGPT From Stealing Your Content & Traffic

Read More

Cybersecurity insiders：電子商務網站如何防範七大網路安全威脅

 Cybersecurity insiders發佈了一篇電子商務網站如何防範七大網路安全威脅

電子商務網站是網路購物的主要平台，但也面臨著各種網路安全威脅，可能導致客戶資料洩露、金錢損失或信譽受損。本文介紹了七大常見的網路安全威脅，以及相應的防範措施。

1. 分散式阻斷服務攻擊（DDoS）：這種攻擊會利用大量的惡意流量來使網站無法正常運作，影響客戶體驗和銷售。防範方法包括使用雲端服務提供商、安裝防火牆和入侵偵測系統等。
2. 惡意軟體（Malware）：這種攻擊會利用惡意程式來竊取或破壞網站的敏感資料，例如信用卡號碼、密碼或個人資訊。防範方法包括定期更新系統和軟體、使用可靠的安全軟體和掃描工具等。
3. 網路釣魚（Phishing）：這種攻擊會利用偽造的電子郵件或網站來誘騙客戶提供他們的個人資料或付款資訊。防範方法包括教育客戶如何辨別真假網站或郵件、使用加密和驗證技術等。
4. 跨站腳本攻擊（XSS）：這種攻擊會利用網站上的漏洞來注入惡意的程式碼，從而竊取或修改客戶的資料或行為。防範方法包括驗證和過濾所有的使用者輸入、使用安全的程式語言和框架等。
5. SQL注入攻擊（SQLi）：這種攻擊會利用網站上的漏洞來注入惡意的SQL指令，從而存取或操作網站的資料庫。防範方法包括驗證和過濾所有的使用者輸入、使用參數化查詢和預備陳述式等。
6. 緩衝區溢位攻擊（Buffer Overflow）：這種攻擊會利用網站上的漏洞來向記憶體中寫入超過其容量的資料，從而造成系統崩潰或執行惡意程式。防範方法包括使用安全的程式語言和框架、限制使用者輸入的長度和格式等。
7. 零日漏洞攻擊（Zero-Day Exploit）：這種攻擊會利用尚未被發現或修復的網站上的漏洞來發動攻擊，往往難以預防或偵測。防範方法包括定期更新系統和軟體、使用雲端服務提供商、安裝防火牆和入侵偵測系統等。

總之，電子商務網站應該採取適當的安全措施來保護自己和客戶免受網路安全威脅的影響，提高網站的可靠性和信任度。

詳情請看：

Top 7 ecommerce cybersecurity threats and tips to avoid them

Read More

Help net security：了解網絡保險單的細則

 Help net security發佈了一篇了解網絡保險單的細則

網路保險是一種為企業提供在遭受網路攻擊時的財務補償的保險產品。隨著網路攻擊的頻率和嚴重性不斷增加，越來越多的企業意識到需要購買網路保險來降低風險和損失。然而，並非所有的網路保險都是一樣的，企業在選擇和使用網路保險時需要注意以下幾點：

• 網路保險的價格和條件都在變化。根據一項由Delinea公司發布的報告，67%的受訪者表示他們的網路保險費率在申請或續約時增加了50-100%。同時，獲得或續約網路保險所需的時間和努力也在顯著增加，有超過20位受訪者表示他們花了6個月或更長的時間才完成這一過程。這些變化反映了網路保險提供商正在根據他們的數據和經驗來調整自己的策略和規則，以減少自己的風險和成本。
• 網路保險有很多排除條款和細則。報告發現，有很多因素可能導致網路保險失效或減少賠償，例如缺乏安全協議（43%）、人為錯誤（38%）、戰爭行為（33%）和不遵守合規程序（33%）。因此，企業在購買或使用網路保險時不能只看表面，而要仔細閱讀合約內容，並與保險提供商溝通清楚自己的需求和期望。
• 網路保險不能取代網路安全。報告指出，96%的企業在申請網路保險之前至少購買了一種安全解決方案。此外，51%的受訪者表示他們的網路保險政策要求他們實施身份和訪問管理控制，49%的受訪者表示要求他們實施特權訪問管理控制。這些控制可以幫助企業防止或減少因被盜用憑證而導致的網路攻擊。因此，企業在購買網路保險時不能放鬆對自身安全的投入和改善，而要持續提高自己的安全水平和能力。

總之，網路保險是一種有用的工具，可以幫助企業在面對網路攻擊時減輕財務壓力和影響。但是，企業也需要注意網路保險的變化、限制和要求，並與保險提供商保持良好的溝通和合作，以確保自己能夠得到合適和有效的保障。同時，企業也不能忽視自己的網路安全責任和措施，而要積極採取預防和應對的策略，以降低網路攻擊的可能性和嚴重性。

詳情請看：

Understand the fine print of your cyber insurance policies

Read More

Help net security：為什麼計算機安全指南如此混亂？

 Help net security發佈了一篇為什麼計算機安全指南如此混亂？

電腦安全是指保護電腦系統和數據免受未經授權的訪問、修改或破壞的過程。電腦安全涉及多個層面，包括硬件、軟件、網絡和用戶行為。為了提高電腦安全，有以下幾個建議：

• 使用強密碼和多因素認證，並定期更換密碼。
• 安裝和更新防毒軟件、防火牆和其他安全工具。
• 避免打開來自不明來源或可疑的電子郵件、附件或連結。
• 備份重要的數據，並將其存儲在安全的位置。
• 加密敏感的數據，並使用安全的通訊協議。
• 遵守組織或個人的安全政策和規範。
• 提高安全意識，並學習如何識別和防範常見的攻擊手法。

電腦安全是一個持續的過程，需要不斷地監測、評估和改進。只有通過採取適當的措施，才能有效地保護電腦系統和數據的完整性、可用性和機密性。

詳情請看：

Why are computer security guidelines so confusing?

Read More

Cybersecurity insiders：如何在低安全預算下獲得網路韌性

 Cybersecurity insiders發佈了一篇如何在低安全預算下獲得網路韌性

網路韌性是指組織在面對網路攻擊或漏洞時，能夠預測、管理和適應威脅，並確保業務和操作的持續性。網路韌性不僅需要網路安全，也需要網路恢復能力。在低安全預算下，如何獲得網路韌性呢？

• 建立網路韌性文化。組織需要培養員工對網路韌性的意識和責任感，並提供相關的培訓和教育。組織也需要跨部門合作，將網路韌性納入業務流程、工程服務和關鍵供應商的管理中。
• 做好基本的網路安全措施。組織需要定期修補漏洞，偵測和減輕威脅，並教育員工如何防禦釣魚、惡意軟體、勒索軟體等詐騙。組織也需要採用最佳實踐，如使用強密碼、多因素認證、加密和防火牆等。
• 建立有效的網路恢復計畫。組織需要制定一個能夠快速恢復關鍵系統和數據的計畫，並定期測試和更新。組織也需要考慮到攻擊或漏洞可能影響備份和恢復系統的情況，並採取相應的預防措施。
• 利用外部資源和合作夥伴。組織可以利用外部資源和合作夥伴來提高自己的網路韌性，例如使用雲端服務、參與資訊共享平台、委託專業顧問或服務提供商等。

詳情請看：

How to obtain cyber resilience in low security budgets

Read More

Help net security：如何有效地進行補丁管理

 Help net security發佈了一篇如何有效地進行補丁管理

補丁管理是指為軟體或系統安裝更新或修正程式，以修復已知的漏洞或改善性能。補丁管理是資訊安全的重要一環，因為它可以防止駭客利用未修補的漏洞進行攻擊。然而，補丁管理也面臨許多挑戰，例如補丁的可用性、相容性、部署速度、測試效果等。因此，組織需要制定一套有效的補丁管理策略，以確保補丁的及時性、完整性和正確性。

一個有效的補丁管理策略應該包含以下幾個步驟：

1. 評估組織的資產和漏洞。這包括識別和分類組織使用的所有軟體和系統，以及定期掃描和監測它們的漏洞狀況。
2. 建立補丁優先順序和時間表。這包括根據漏洞的嚴重程度、影響範圍、利用風險等因素，對補丁進行分級和排序，以及制定合理的部署期限。
3. 測試和驗證補丁。這包括在非生產環境中測試補丁的功能和相容性，以及在生產環境中驗證補丁的安裝和效果。
4. 部署和監控補丁。這包括使用自動化工具或手動方式將補丁推送到目標資產上，以及持續監控補丁的運作狀況和問題。
5. 評估和改善補丁管理流程。這包括收集和分析補丁管理的數據和回饋，以及根據組織的變化和需求調整補丁管理策略。

詳情請看：

A step-by-step guide for patching software vulnerabilities

Read More

Kaspersky：OSINT：有什麼危險以及如何保持安全

 Kaspersky發佈了一篇OSINT：有什麼危險以及如何保持安全

OSINT 是開源情報的字母縮寫，指的是從已發布的資源或網路上收集可用的資訊，並對其進行分析和評估，以回答特定的情報問題。OSINT 是一種情報收集和分析的方法，主要用於國家安全、執法、商業情報等領域。

OSINT 的來源可以分為六大類別：

• 媒體：包括報紙、雜誌、廣播、電視等不同國家和地區的媒體資訊。
• 網路：包括線上出版物、部落格、討論組、公民媒體（如手機影片、使用者創造內容）、YouTube 和其他社交媒體網站（如 Facebook、Twitter、Instagram 等）。這類資訊具有時效性和易取得性的優勢。
• 公共政府資料：包括公共政府報告、預算、聽證會、電話簿、記者會、網站和演講等。這類資訊雖然來自官方來源，但是可以公開取得和使用。
• 專業和學術出版物：包括期刊、會議、研討會、學術論文、論文和學位論文等。
• 商業資料：包括商業影像、財務和工業評估和資料庫等。
• 灰色文獻：包括技術報告、預印本、專利、工作文件、商業文件、未發表作品和通訊等。

OSINT 與一般的研究有所不同，它運用了情報的過程，以創造出支持特定個人或團體做出特定決策的量身定制的知識。

OSINT 的應用範圍很廣泛，它可以幫助情報分析師在回答各種情報需求時，使用非敏感的情報來補充其他情報來源。例如，OSINT 可以用於：

• 評估目標國家或組織的政治、經濟、社會和軍事狀況。
• 識別和監測潛在的威脅或機遇，如恐怖主義活動、網路攻擊或社會動盪等。
• 驗證或反駁其他情報來源的可信度或準確性。
• 提供背景知識或語境資訊，以幫助理解其他情報來源的含義或重要性。
• 增強或豐富其他情報來源的內容或細節。

OSINT 雖然有許多優勢，但也有一些挑戰和限制。例如，OSINT 的收集和分析需要大量的時間和人力資源，以篩選和整理海量的資訊。此外，OSINT 的質量和可靠性也可能受到資訊來源的偏見、錯誤或故意誤導的影響。因此，OSINT 需要與其他情報來源相互協調和驗證，以提高情報的有效性和價值。

總之，OSINT 是一種利用公開可用的資訊來產生有用情報的方法，它在各種領域都有廣泛的應用。OSINT 的來源包括媒體、網路、公共政府資料、專業和學術出版物、商業資料和灰色文獻等。OSINT 的收集和分析需要注意資訊的質量、可靠性和時效性，並與其他情報來源進行比較和確認。

詳情請看：

OSINT: what’s the danger, and how to stay safe

Read More

Cybersecurity insiders：協作工具安全的關鍵因素：用戶意識培訓

 Cybersecurity insiders發佈了一篇協作工具安全的關鍵因素：用戶意識培訓

協作工具，如電子郵件、即時通訊、視頻會議等，已成為現代企業的必需品，尤其是在遠程工作的情況下。然而，這些工具也帶來了安全風險，例如釣魚、勒索軟件、數據洩露等。因此，企業需要提高用戶的安全意識，並採取相應的措施來保護協作工具。

用戶意識培訓應該涵蓋以下幾個方面：

• 協作工具的常見威脅和攻擊手法，如釣魚、社交工程、假冒身份等；
• 協作工具的最佳實踐和政策，如使用強密碼、開啟多因素認證、不點擊可疑鏈接或附件等；
• 協作工具的安全功能和工具，如加密、數據備份、防病毒軟件等；
• 協作工具的安全事件處理流程，如如何報告和處理可疑活動或事件。

用戶意識培訓應該是持續和定期的，並且要根據不同的用戶群體和角色進行定制。此外，用戶意識培訓也要與其他安全措施相結合，如技術防護、監測和審計、風險評估等，以形成一個全面和有效的協作工具安全策略。

詳情請看：

User Awareness Training: A Critical Component to Collaboration Tool Security

Read More

The Hacker news：這是零日漏洞嗎？ 這是惡意軟件嗎？ 不！ 這是用戶名和密碼

 The Hacker news發佈了一篇這是零日漏洞嗎？ 這是惡意軟件嗎？ 不！ 這是用戶名和密碼

被竊用戶名和密碼對網絡安全的嚴重威脅，以及黑客如何利用這些資訊侵入網絡和系統。還探討了當前安全和身份管理方案面臨的挑戰，以及實施強大的保護措施來保護Active Directory（AD）環境的重要性。

隨著網絡威脅不斷演變，攻擊者部署了一系列工具來突破安全防禦並危害敏感數據。令人驚訝的是，他們最有效的武器之一並不是惡意代碼，而是簡單地竊取或弱化用戶名和密碼。

被竊用戶名和密碼對網絡安全構成了重大威脅，因為它們為攻擊者提供了一個入口點，允許他們隨後訪問敏感的本地和雲端資源。被竊用戶名和密碼之所以具有威力，是因為檢測網絡威脅在很大程度上依賴於識別各種活動（如進程、網絡流量和用戶行為）中的異常。異常情況是紅旗，表明可能發生了安全漏洞或惡意活動。但是，使用被竊用戶名和密碼進行的惡意認證與實際用戶進行的合法認證完全相同。當前的安全和身份管理方案無法區分兩者，因此它們可能會阻止第一種情況，並允許第二種情況。

攻擊者使用多種技術來獲取被竊用戶名和密碼。他們可能從暗網市場購買它們，或者通過在已經受到感染的機器上使用鍵盤記錄器或內存轉儲來獲取它們。因此，重要的是要接受一個事實：一個組織的許多用戶名和密碼最終都會被竊取，這就突顯了採取主動安全措施的必要性。

現代的Web和SaaS平台具有內置的多因素認證（MFA）功能 - 通過增加一層額外的認證來增強安全性 - 但是這種保護水平通常在AD環境中缺失。AD使用的認證協議（即NTLM和Kerberos）缺乏原生MFA支持。因此，AD環境非常容易受到利用被竊用戶名和密碼的攻擊。

詳情請看：

It's a Zero-day? It's Malware? No! It's Username and Password

Read More

Cybersecurity insiders：如何提高員工對釣魚式攻擊的防範意識

 Cybersecurity insiders發佈了一篇如何提高員工對釣魚式攻擊的防範意識

釣魚式攻擊是一種常見的網路詐騙手法，目的是利用偽裝的電子郵件、網站或其他方式，誘騙使用者點擊惡意連結、下載惡意附件或提供個人資訊，從而竊取資料或造成其他損害。釣魚式攻擊對個人和企業都可能造成嚴重的風險，因此提高員工對釣魚式攻擊的防範意識是非常重要的。

以下是一些提高員工對釣魚式攻擊的防範意識的方法：

• 建立一套釣魚式攻擊的防範政策和流程，並定期更新和溝通。
• 提供釣魚式攻擊的防範教育和培訓，讓員工了解釣魚式攻擊的特徵、危害和應對方法。
• 定期進行模擬釣魚式攻擊的測試，評估員工的防範水平和行為，並給予回饋和改善建議。
• 採用有效的安全技術和工具，如防火牆、反病毒軟件、電子郵件過濾器等，來阻止或減少釣魚式攻擊的嘗試。
• 鼓勵員工彼此分享和報告釣魚式攻擊的案例和經驗，增強團隊的防範意識和能力。

總之，釣魚式攻擊是一種不容忽視的網路安全威脅，需要企業和員工共同努力來預防和抵抗。只有提高員工對釣魚式攻擊的防範意識，才能有效地保護企業的資產和聲譽。

詳情請看：

How to improve employee phishing awareness

Read More

Bleepingcomputer：合規自動化：你的審計體驗的前後

 Bleepingcomputer發佈了一篇合規自動化：你的審計體驗的前後

文章介紹了合規自動化的定義、好處和實施方法，並以一個案例來說明合規自動化如何改善審計流程和結果。文章的主要內容如下：

• - 合規自動化是指使用軟體工具來自動化合規管理和審計的過程，減少人工干預和錯誤。
• - 合規自動化的好處包括提高效率、減少成本、降低風險、增加透明度和信任。
• - 合規自動化的實施方法包括選擇合適的軟體平台、定義合規需求和指標、設定自動化規則和流程、監測和報告合規狀況。
• - 一個案例是一家金融服務公司，使用了一個名為ZenGRC的合規自動化平台，成功地簡化了其審計流程，從花費數月時間和數百萬美元的成本，縮減到只需幾天時間和數千美元的成本，並提高了其合規評分和客戶滿意度。

詳情請看：

Compliance Automation: Your Audit Experience Before and After

Read More

如何選擇一個安全的通訊軟體

 如何選擇一個安全的通訊軟體

通訊軟體是我們日常生活中不可或缺的工具，它們讓我們可以與親友、同事或陌生人進行即時的聊天、語音或視訊通話。然而，通訊軟體也可能暴露我們的隱私和敏感資訊給不良的第三方，例如黑客、間諜或政府機關。因此，我們在選擇通訊軟體時，應該考慮以下幾個方面：

• 加密方式：加密是保護通訊內容不被竊聽或竄改的重要手段，它可以將明文轉換為密文，只有持有正確的金鑰才能解密。加密方式分為端對端加密和傳輸加密。端對端加密是指只有發送者和接收者能夠解密通訊內容，而傳輸加密是指只有在傳輸過程中才會加密，而服務商或其他第三方仍然可以存取通訊內容。一般來說，端對端加密比傳輸加密更安全，因為它可以防止服務商或其他第三方濫用或洩露我們的通訊內容。
• 隱私政策：隱私政策是通訊軟體向用戶說明它們如何收集、處理和保護用戶的個人資料和通訊內容的文件。我們在使用通訊軟體前，應該仔細閱讀並了解其隱私政策，特別是它們是否會收集我們的元數據（例如聯絡人、位置、時間等）、是否會與其他公司或機構分享我們的資料、是否會遵守法律要求提供我們的資料等。我們應該選擇那些尊重並保護我們隱私權利的通訊軟體。
• 開源程式碼：開源程式碼是指任何人都可以查看和修改通訊軟體的原始程式碼的特性。開源程式碼可以讓我們更容易發現和修復通訊軟體的漏洞或錯誤，也可以讓我們更清楚地知道通訊軟體是如何運作和保護我們的資料的。開源程式碼也可以增加通訊軟體的透明度和信任度，因為它可以讓第三方專家或組織對其進行審查和驗證。我們應該選擇那些提供開源程式碼並接受審查和驗證的通訊軟體。

通訊軟體是一種方便而實用的工具，但也可能帶來隱私和安全的風險。我們在選擇通訊軟體時，應該注意其加密方式、隱私政策和開源程式碼等方面，並選擇那些能夠有效保護我們的資料和通訊內容的通訊軟體。

Read More

Tenable：網絡安全快照：英國 NCSC 表示，請抑制您對工作中 ChatGPT 類工具的熱情

 Tenable發佈了一篇網絡安全快照：英國 NCSC 表示，請抑制您對工作中 ChatGPT 類工具的熱情

人工智慧聊天機器人是一種利用大型語言模型（LLMs），如ChatGPT，來產生自然語言對話的工具。這種工具在近年來受到了很多關注和熱情，因為它們可以提供各種商業應用，如客服、教育、娛樂等。然而，英國國家網路安全中心（NCSC）在本週發布了兩篇博客，警告企業在採用這種工具時，應該放慢腳步，並確保了解它們的網路安全風險。

NCSC指出，人工智慧聊天機器人可能面臨以下幾種攻擊：

• 提示注入攻擊：攻擊者通過在聊天機器人的查詢欄中輸入特殊的提示，使其產生非預期的行為，如洩露機密信息或生成冒犯性的回答。
• 數據污染攻擊：攻擊者通過篡改聊天機器人的訓練數據集，使其為惡意目的服務。

此外，NCSC還提醒企業，這是一個新興且快速發展的領域，所以現在採用的產品可能在不久的將來發生根本性的變化，甚至突然消失。因此，企業在決定將這種工具與哪些業務操作集成時，應該考慮到這一點。此外，關於人工智慧聊天機器人的能力、弱點和漏洞，全球科技界還沒有完全理解。

NCSC給出了以下一些風險緩解建議：

• 在從互聯網下載預訓練的人工智慧模型時，應用標準的供應鏈安全實踐，因為它們可能包含漏洞和其他安全問題。
• 關注影響這些工具的漏洞披露，並及時升級和修補。
• 理解這種技術目前處於“測試”階段，所以在這個時候決定將它與哪些業務操作集成。

詳情請看：

Cybersecurity Snapshot: Curb Your Enthusiasm Over ChatGPT-type Tools at Work, Says U.K.’s NCSC

Read More