AT&T：如何保護您的雲端網路：打造一個有彈性的基礎架構

 AT&T發佈了一篇如何保護您的雲端網路：打造一個有彈性的基礎架構

雲端網路是現代企業的重要資源，但也面臨著各種網路攻擊的威脅。為了確保在遭受攻擊時，仍能繼續執行業務目標，企業需要採取一些策略來提高雲端網路的安全性和彈性。

首先，企業需要評估哪些數據和操作是必不可少的，並對其進行優先保護。這些數據可能包括法規要求保護的個人資訊、智慧財產權、財務數據等。這些數據在靜止、傳輸和使用時都需要加密和防篡改的措施。

其次，企業需要確保雲端服務提供商能夠提供所需的可用性水準，即使在遭受攻擊時也能保持線上。可用性水準通常在服務等級協議（SLA）中規定，並以正常運行時間的百分比來衡量。不同的業務可能需要不同的可用性水準，例如99.9%或99.99%。

第三，企業需要定期備份關鍵數據，以防止因勒索軟體或其他原因而無法訪問或丟失數據。備份計劃應該根據數據的重要性和變化頻率來制定，並且最好能夠自動化執行。備份數據也需要存放在安全的位置，並定期測試恢復功能。

最後，企業需要建立一個完整的安全和合規策略，涵蓋雲端網路的所有方面，包括身份和訪問管理、資產和配置管理、漏洞和風險管理、事件和事故管理等。此外，企業還需要與雲端服務提供商密切合作，確保無縫整合和解決安全問題。

詳情請看：

Securing your cloud networks: Strategies for a resilient infrastructure

Read More

Trendmicro：根據 OWASP，十大人工智能安全風險

 Trendmicro發佈了一篇根據 OWASP，十大人工智能安全風險

人工智慧（AI）是一種強大的技術，可以為組織帶來許多好處，但也可能被惡意利用，造成嚴重的安全威脅。

面對這些AI風險與趨勢，建議組織採取以下措施來提高安全防護：

• 增強安全意識：教育員工識別和防範各種AI相關的詐騙和攻擊，不要輕信陌生人或不明來源的聲音、圖像或文字。
• 使用可靠的安全解決方案：選擇能夠提供多層防護、自動化偵測和回應、以及AI驅動的分析和預測能力的安全解決方案。
• 採用最佳實務：遵循安全更新、備份、加密、身份驗證等基本的安全原則，減少被攻擊或被駭的風險。

詳情請看：

Top 10 AI Security Risks According to OWASP

Read More

Help net security：重新創造動態環境下的OT安全

 Help net security發佈了一篇重新創造動態環境下的OT安全

OT（操作技術）是指控制和監測實體系統的技術，例如工廠、電力站、水壩等。OT安全是指保護這些系統免受惡意攻擊或意外干擾的措施。隨著IT（資訊技術）和OT的越來越多的整合，OT安全面臨著新的挑戰和機遇。

OT系統涉及到多種不同的協議，例如Modbus、DNP3、OPC等，這些協議並沒有統一的標準和安全要求，因此需要針對每種協議設計不同的安全系統。這增加了OT安全的複雜性和成本。他建議使用基於雲端的解決方案，可以實現跨協議和跨環境的安全管理。

人為錯誤在OT安全中的重要性。根據IBM的報告，人為錯誤是導致資訊安全漏洞的主要原因，佔了95%。在OT系統中，人為錯誤可能會造成嚴重的後果，例如停電、事故、數據丟失等。建議組織採取多種措施來減少人為錯誤的風險，例如提高員工的資訊安全意識和培訓、制定有效的密碼政策、實施多因素身份驗證和基於角色的訪問控制、定期進行安全審計等。

零信任架構是一種不信任任何實體或連接的安全模式，而是基於數據、身份、行為和風險來驗證和授權每個請求。使用雲端平台來收集、分析和處理來自各種IT和OT源頭的數據，並使用機器學習和人工智能來偵測異常和威脅。遵循行業標準和最佳實踐，例如NIST CSF、IEC 62443等，以確保其解決方案符合客戶的需求和法規。

詳情請看：

Reinventing OT security for dynamic landscapes

Read More

Help net security：平衡電信安全、執法和客戶信任

 Help net security發佈了一篇平衡電信安全、執法和客戶信任

電信行業是一個不斷變化和創新的領域，但也面臨著許多安全威脅和挑戰。

電信安全的重要性在於保護用戶的隱私和數據，以及防止惡意攻擊和干擾。他認為，電信安全需要從多個層面來實現，包括網絡層、設備層和應用層。隨著5G、物聯網和邊緣運算的發展，電信安全將面臨更多的挑戰和風險，例如分散式拒絕服務攻擊（DDoS）、高級持續性威脅（APT）和供應鏈攻擊。

為了應對這些挑戰，包括一個基於人工智能的電信安全平台，以及一個針對家庭用戶和小型企業的智能路由器。產品和服務可以幫助電信運營商和客戶提高安全性能和可見性，並減少成本和複雜性。

電信安全是一個充滿機會和挑戰的領域，需要不斷地學習和創新。

詳情請看：

Balancing telecom security, law enforcement, and customer trust

Read More

Help net security：模擬培訓緩解團隊倦怠的 4 種方法

 Help net security發佈了一篇模擬培訓緩解團隊倦怠的 4 種方法

在資訊安全領域，倦怠感是一個普遍的問題，它會影響資安專業人員的身心健康，並讓組織面臨人才不足和風險增加的困境。為了培養一個多元化和優秀的資安團隊，組織需要提供高品質的訓練計畫，並鼓勵員工取得資安認證。而在訓練計畫中，有一種常被忽視但卻能有效減輕倦怠感的學習方法，那就是模擬訓練。

模擬訓練是指在一個受控且安全的環境中，讓學習者體驗和真實世界盡可能相似的情境，並與模擬的敵對者進行虛擬的資安戰爭。這種訓練方式可以讓學習者在不會造成真實後果的情況下，從錯誤中學習，並提升他們應對資安事件的能力和信心。模擬訓練已被廣泛應用在各種需要降低風險的行業中，例如醫療、軍事、交通、建築、太空探索等。

那麼，模擬訓練如何減輕倦怠感呢？以下是四種可能的原因：

• 增強信心：不斷面對不可控或可預防的資安事件，會讓人對自己的能力產生懷疑和不確定感。而信心低落的人更容易感到倦怠。模擬訓練可以增強信心，因為學習者可以通過真實的模擬情境，與具有人性化行為的敵對者對抗，並在與自己工作相同的IT基礎設施中使用各種資安工具，從而提高自己的技能、判斷力和反應速度。
• 減少警報疲勞：有64%的數位鑑識專家和事故回應者表示，警報和調查的疲勞是造成他們倦怠的可能因素之一。SOC團隊每天要接收數千個警報，並從中篩選出真正的威脅和優先級別，這是一項令人不堪重負和精疲力竭的工作。而模擬訓練可以幫助SOC團隊更有效地辨識偽陽性和高優先級別的警報，因為他們可以透過訓練熟悉自己組織基礎設施所面臨的各種警報類型。此外，訓練也可以模擬他們每天收到的大量警報，並幫助他們制定有效的分類策略，以簡化回應流程。
• 增加參與度：模擬訓練可以提高學習者的參與度，因為它可以提供有趣和具有挑戰性的學習體驗，並讓學習者感受到成就感和自豪感。相比傳統的訓練方式，模擬訓練更能吸引學習者的注意力和興趣，並增加他們的動機和投入度。參與度高的學習者更能保持積極和主動的態度，並減少倦怠感的產生。
• 提升效益：模擬訓練不僅可以提高學習者的技能和信心，也可以提高組織的安全效能和風險管理能力。根據報告，使用模擬訓練的組織比沒有使用的組織，在安全效能分數上有顯著的提升。而安全效能分數是一個衡量組織安全姿態強度的指標，它包括了資安團隊的技能、工具、流程、預算等因素。因此，模擬訓練可以讓組織在資安方面得到更好的投資回報，並減少因人才流失或資安事件而造成的成本。

詳情請看：

4 ways simulation training alleviates team burnout

Read More

Kaspersky：如何安全地存儲密碼

 Kaspersky發佈了一篇如何安全地存儲密碼

密碼是我們在網路上保護自己的身份和資料的重要工具，但是如果密碼太弱或太容易被猜測，就會讓我們面臨被駭客入侵或盜用的風險。因此，我們需要使用強而且不重複的密碼，並且將它們儲存在一個安全的地方，以免遺失或外洩。

一款綜合性的網路安全產品，它可以提供我們防毒、防火牆、VPN、家長控制等功能，以保護我們的裝置和隱私。它可以幫助我們生成強大的密碼，並且將它們加密後儲存在一個安全的保險庫中。我們可以在所有的裝置上同步這些密碼，並且只需要記住一個主密碼來解鎖保險庫。這樣，我們就不用擔心忘記密碼或使用相同的密碼了。

除了儲存密碼之外，可以在我們創建或輸入密碼時檢查其強度和安全性，並且提醒我們改善它。例如，當我們在一些重要的網站上（如社交網絡、銀行或郵件服務）輸入密碼時，檢查我們是否已經在其他類似的網站上使用過相同的密碼，如果是的話，它會建議我們創建一個新的密碼。

詳情請看：

How to store passwords securely

Read More

CISA：AI軟體必須從設計上就保障安全

 CISA發佈了一篇AI軟體必須從設計上就保障安全

人工智慧（AI）是一種軟體系統，因此必須遵循「安全設計」（Secure by Design）的原則，也就是要把客戶的安全視為核心的商業需求，而不只是技術特性，並且在產品的整個生命週期中，從構思到淘汰，都要優先考慮安全性。AI系統必須在出廠時就具備安全性，而不需要客戶進行額外的設定或付出成本。

AI是一種利用統計推理來產生預測、建議或決策的軟體系統。這種基於證據的統計政策制定或統計推理是一種改善人類生活的強大工具。但是，惡意的網路攻擊者也意識到了這種依賴性，並不斷試圖利用它來獲取財務或戰略上的利益。因此，AI軟體必須從設計上就保障安全，避免讓攻擊者有可乘之機。

AI系統與其他類型的軟體系統有一些不同之處，而且一些最佳的安全實務還在完善中。此外，攻擊者可能會選擇使用（或濫用）AI軟體系統的方式也會不斷演變。但是，他們強調，基本的安全實務仍然適用於AI軟體。他們呼籲AI工程師不要忽視這些實務，並且在採用AI軟體系統時避免產生過多的技術債務。

詳情請看：

Software Must Be Secure by Design, and Artificial Intelligence Is No Exception

Read More

AT&T：建立供應鏈的網路安全是應對威脅的必要之舉

 AT&T發佈了一篇建立供應鏈的網路安全是應對威脅的必要之舉

隨著網路技術的發展，供應鏈也越來越依賴數位化和連線化的解決方案。然而，這也帶來了許多網路安全的挑戰和風險。供應鏈的網路安全不僅影響到個別的企業，也關係到整個產業和社會的穩定和發展。

供應鏈的網路安全需要從三個層面來建立和強化：策略、流程和技術。策略層面包括制定清晰和一致的網路安全目標、規範和指引，並且與供應鏈的所有夥伴進行溝通和協調。流程層面涉及到實施有效和可持續的網路安全管理和監測，並且定期進行評估和改進。技術層面則涵蓋了選擇和使用適合供應鏈需求和特性的網路安全工具和方案，例如統一安全管理平台、雲端安全服務、端點安全裝置等。

建立供應鏈的網路安全是一項持續和循環的過程，需要供應鏈的所有成員共同參與和負責。只有這樣，才能有效地預防和減少網路攻擊對供應鏈造成的損害，並且提高供應鏈的競爭力和創新力。

詳情請看：

Building Cybersecurity into the supply chain is essential as threats mount

Read More

Tenable：如何以合理的成本建立基礎的網路衛生：CIS指南

 Tenable發佈了一篇如何以合理的成本建立基礎的網路衛生：CIS指南

網路衛生（cyber hygiene）是指一組預防性的措施，旨在保護組織和個人免受網路攻擊和數據洩露。然而，許多組織在建立網路衛生的基礎時，常常面臨一些基本的問題，例如應該從哪裡開始、需要哪些產品、應該花多少錢等。為了幫助這種情況，網路安全中心（Center for Internet Security, CIS）發布了一份指南，名為《網路防禦的成本：CIS控制實施組1（IG1）》。

該指南介紹了如何採用CIS的第一層安全措施，即IG1，它包含在18個CIS控制中。具體來說，IG1有56個安全措施，該指南將這些行動分為10個類別：資產管理、數據管理、安全配置、帳戶和訪問控制管理、漏洞管理、日誌管理、惡意軟件防禦、數據恢復、安全培訓和事故響應。該指南分為五個部分：方法論、首先要考慮的保護措施、IG1企業配置文件、工具和成本。

該指南指出，IG1中的安全措施可以以相對低廉的成本實施，並且是即使是最小的企業也能實現的基礎和可行的安全行動集合。此外，企業可以通過相對少量的工具實施IG1，並防禦各種威脅。

CIS還有另外兩個實施組——IG2和IG3——具有更高級的安全措施，但這些不在這份特定的指南中討論。

詳情請看：

Cybersecurity Snapshot: CIS Guide Outlines How To Attain an Affordable Cyber Hygiene Foundation

Read More

Trendmicro：OT安全性較IT安全性不成熟，但進展迅速

 Trendmicro發佈了一篇OT安全性較IT安全性不成熟，但進展迅速

OT（操作技術）是指控制工業系統的技術，如電力、水利、製造等。OT安全性是指保護這些系統免受網路攻擊的能力。根據SANS Institute在2023年6月發布的一份報告，OT安全性在多個方面較IT（資訊技術）安全性不成熟，但大多數組織都在改善它。

報告調查了近350名負責IT和OT安全性的受診者，他們來自世界各地的各種工業領域。報告探討了他們如何應對ICS/OT（工業控制系統/操作技術）可見性的挑戰，IT-OT邊界的差距，擴大可見性的障礙，以及兩個領域的成熟度比較。

報告發現，在NIST CSF（國家標準與技術研究院資訊安全框架）的五個核心能力中，OT安全性最低的是偵測能力，有42%的受診者表示OT在偵測能力上比IT低。而在具體的偵測能力中，最低的是「網路事件偵測」，有45.7%的受診者表示OT在此方面比IT低。

報告指出，OT環境中有更多多樣化的遺留資產和專用於ICS/OT的協定堆疊，這使得在資產上實施感測器來偵測惡意行為或套用補丁變得困難。無法像IT安全性一樣實施統一的措施，是提高成熟度水平的障礙。

報告還調查了受診者在其OT環境中實施端點偵測與回應（EDR）和網路安全監測（NSM）的情況，以衡量他們的可見性。結果顯示，在運行商業作業系統（Windows、Linux、Unix）的伺服器資產上實施EDR的比例為41%，在工程資產上實施EDR的比例為34%，在操作員資產上實施EDR的比例為33%。此外，已部署EDR的組織中有76%表示計劃在24個月內擴大部署範圍。

在NSM方面，根據Purdue模型，受診者表示在以下層級實施了NSM：Purdue第四層（企業）：30%，Purdue第三層（控制系統）：28%，Purdue第二層（區域控制器）：26%，Purdue第一層（現場控制器）：24%，Purdue第零層（感測器和執行器）：20%。

報告建議組織應該加強IT和OT之間的溝通和協調，以提高ICS/OT可見性和安全性。此外，組織應該選擇適合其環境的工具和技術，以實現有效的偵測和回應能力。

詳情請看：

OT Security is Less Mature but Progressing Rapidly

Read More