Help net security:利用無程式碼自動化實現高效率的網路運營

在當今快速發展的數字時代,網絡運營(NetOps)團隊面臨著前所未有的挑戰。隨著基礎設施規模的不斷擴大和任務關鍵型服務的增加,服務請求量呈指數級增長,而傳統的手動操作方法已無法滿足需求。NetBrain公司CEO Lingping Gao在接受Help Net Security採訪時深入探討了這一問題,並提出了無代碼自動化作為解決方案的潛力。

當前NetOps團隊面臨的主要挑戰在於,他們被大量的修復任務和重複性操作所困擾,難以維持正常的生產服務。隨著基礎設施的擴張,依賴於手動方法來處理服務請求已不再可行。修復時間延長,報告的事件數量攀升,這不僅影響了運營效率,還增加了發生災難性故障的風險,最終可能損害客戶信心。

更令人擔憂的是,許多NetOps團隊仍在使用25年前的過時流程,依賴於手動命令行序列和個別的臨時腳本。這種定制方法已成為工程師們的標準做法,他們難以意識到還有更好的方式——一種能夠自動化大部分重複性工作的方法,使專家們能夠專注於解決複雜問題。

在這種背景下,無代碼自動化技術應運而生,為NetOps團隊提供了一個強有力的工具。它允許工程師將重複性任務自動化,從而提高效率並降低故障風險。無代碼自動化的一個重要優勢在於,它使自動化變得民主化,讓每個網絡工程師都能輕鬆使用。只要工程師能想到他們經常重複做的事情,就可以通過無代碼方式將該任務捕捉到自動化中,此後讓機器自動完成這項工作。

無代碼自動化在NetOps中有廣泛的應用,包括自動化常見的診斷和故障排除測試、識別配置偏差、網絡發現和映射,以及測試安全產品是否按預期運行等。它賦予了非技術業務用戶構建企業級應用程序和流程的能力。通過無代碼,工程師可以首先考慮使用自動化來消除大部分繁瑣工作,然後將注意力集中在工作中更具挑戰性的部分——解決問題。

此外,隨著網絡安全重要性的增加,將網絡運營(NetOps)與安全運營(SecOps)合併也成為一個重要趨勢。基礎設施安全本質上是網絡的一個功能,攻擊面和基礎設施的加固主要由SecOps團隊定義,然後由NetOps團隊實施。例如,SecOps團隊可能定義協調防火牆策略的要求,但NetOps團隊最適合執行這項任務。

展望未來,網絡自動化和NetOps的發展趨勢將繼續朝著無代碼/低代碼方向發展。這不僅能夠消除瓶頸,還能讓非技術人員自動化任何原本只能由少數懂Python或Ansible的網絡工程師完成的NetOps程序。對於尋求實施網絡自動化的組織來說,最好的起點是尋找任何經常重複的任務。從小處著手,逐步擴大規模是一個明智的策略。

總的來說,無代碼自動化為NetOps團隊提供了一個強大的工具,能夠顯著提高效率,減少人為錯誤,並使工程師能夠專注於更具挑戰性和創造性的任務。隨著技術的不斷進步,我們可以預見,網絡運營將變得更加智能、高效和安全。

詳情請看:

Leveraging no-code automation for efficient network operations

Posted in  on 7月 12, 2026 by Kevin |  

Cybersecurity insiders:網路安全中的人工智慧:朋友還是敵人?

隨著生成式人工智能(GenAI)和大型語言模型(LLM)的快速發展,人工智能(AI)在網絡安全領域扮演著越來越重要的角色。本文探討了AI在網絡安全方面的應用、挑戰和對策,引發了我對這一話題的深入思考。

首先,AI為網絡安全帶來了巨大的機遇。機器學習(ML)能夠從海量數據中識別異常模式,有效檢測未經授權的系統訪問。生成式AI則可以通過自然語言處理,幫助新手分析師快速執行複雜的搜索查詢,並將復雜的安全數據轉化為易於理解的語言。這些技術不僅提高了安全運營的效率,還在一定程度上緩解了網絡安全人才短缺的問題。

然而,AI的應用也帶來了新的安全隱憂。約四分之三的首席信息安全官(CISO)因擔心數據洩露和敏感信息暴露,而禁止在組織內使用生成式AI工具。這反映出企業在享受AI帶來的生產力提升的同時,也必須謹慎應對其可能帶來的風險。

為了平衡AI的效益和風險,文章提出了"縱深防禦"策略。這種方法不僅包括傳統的終端安全和數據丟失預防(DLP)工具,還整合了更先進的AI驅動解決方案,如用戶和實體行為分析(UEBA)。UEBA能夠全面分析AI工具的使用情況,識別異常行為和潛在風險,從而幫助組織制定更加精準的風險評估和安全策略。

另一方面,我們也不能忽視AI被網絡犯罪分子濫用的風險。隨著AI技術的發展,網絡攻擊變得更加複雜和難以檢測。例如,利用生成式AI模仿寫作風格和語音模式,可以創造出極具欺騙性的釣魚攻擊。這意味著安全團隊不僅要應對人類對手,還要防範AI驅動的威脅。

面對這種複雜局面,我認為組織需要採取多管齊下的應對策略:

1. 加強AI安全意識教育,提高全體員工的警惕性。

2. 投資AI驅動的安全工具,增強防禦能力。

3. 建立嚴格的AI使用政策和數據保護機制。

4. 持續監控和評估AI工具的使用情況,及時識別潛在風險。

5. 與業界合作,共同研發對抗AI威脅的新技術。

6. 培養具備AI和網絡安全雙重技能的專業人才。

總的來說,AI在網絡安全領域既是朋友也是潛在的敵人。關鍵在於如何明智地運用AI技術,在提升安全防禦能力的同時,有效管控其潛在風險。這需要技術創新、政策制定和人才培養的共同努力。隨著AI技術的不斷演進,網絡安全領域將面臨更多挑戰和機遇。我們必須保持警惕,不斷適應這個快速變化的技術環境,才能在AI時代確保網絡安全。

詳情請看:

AI in Cybersecurity: Friend or Foe?

Posted in  on 7月 11, 2026 by Kevin |  

Cybersecurity insiders:INE Security:優化人工智慧和網路安全團隊

2024年迅速成為生成式人工智能的決定性一年。雖然2023年見證了它作為一種強大新技術的出現,但現在商業領袖正在努力思考如何最好地利用其變革性力量來提高效率、安全性和收入。隨著人工智能幾乎普遍整合到全球技術中,對人工智能就緒的網絡安全團隊的需求比以往任何時候都更加關鍵。INE安全,一家領先的全球網絡安全培訓和網絡安全認證提供商,預測像聊天機器人和人工智能驅動的虛擬助手等大型語言模型(LLM)應用將特別面臨風險。

"人工智能系統是無價的,使我們能夠以無與倫比的速度和準確性處理海量數據,檢測異常,預測威脅,並實時響應事件。但這些革命性技術也賦予了攻擊者力量,以前所未有的方式平衡了競爭環境,"INE安全的首席運營官兼人工智能整合負責人Lindsey Rinehard說。"隨著自動化攻擊的增加,我們的防禦策略也必須自動化和智能化。網絡攻擊者和防禦者之間不斷加速的軍備競賽突顯了網絡安全團隊持續培訓和發展的重要需求。"

根據IBM X-Force威脅情報指數2024,去年網絡罪犯在非法市場和暗網論壇上提到人工智能和GPT超過80萬次。信息安全領域的人工智能培訓和準備不再是可選項:組織必須部署員工人工智能和網絡安全培訓,以保持有效性並領先於攻擊者。

優化人工智能和網絡安全團隊的策略

1. 納入結構化團隊培訓計劃

建立人工智能就緒的網絡安全團隊的第一步是實施專注於網絡安全基本原則和高級人工智能應用的結構化培訓計劃。這些計劃應提供來自認可機構和行業領導者的認證和課程,以確保它們符合高標準。例如,INE安全提供的課程提供全面培訓,涵蓋傳統網絡安全技能和較新的基於人工智能的工具。理想的培訓計劃將包括:

技能差距分析:進行分析以確定團隊能力可能需要改進的領域,特別是關於人工智能整合。

定制課程開發:解決已識別的網絡安全技能差距的培訓課程,結合核心網絡安全原則和高級人工智能應用。

混合學習方法:混合在線課程、實踐實驗室和真實世界場景模擬,以適應不同的學習風格並增強實際應用技能。

2. 促進學習文化

建立鼓勵持續學習和好奇心的文化同樣重要。例如,Google培養了一種學習文化,鼓勵員工將20%的時間用於學習新技能或側項目,其中許多涉及人工智能和網絡安全創新。這不僅保持他們的技能新鮮,還有助於留住人才並培養主動應對安全挑戰的方法。

為了有效實施支持發展人工智能就緒的網絡安全團隊的學習文化,組織可以採用幾種策略:

提供資源訪問:提供訂閱領先行業出版物、訪問專業在線課程,並參加專注於人工智能和網絡安全的相關會議和研討會。

獎勵持續學習:建立獎勵系統,認可和激勵積極參與學習新技能或獲得新認證的團隊成員,特別是那些將人工智能技術與網絡安全實踐整合的認證。

創建創新實驗室:設立專門的空間或時間,讓員工可以獨立於常規任務實驗新技術或開發新解決方案。這可以幫助刺激創造性思維和學習技能的實際應用。

3. 利用基於模擬的學習

像網絡靶場這樣的基於模擬的學習工具提供了處理真實世界網絡安全場景的實踐經驗,並幫助用戶學習如何使用人工智能。網絡靶場提供了一個模擬環境,專業人士可以安全地使用人工智能工具參與和應對真實世界的網絡威脅,而不會影響實際操作(INE安全的這個實踐實驗室是一個很好的例子)。這種實踐接觸對於理解如何將人工智能整合到網絡安全實踐中以檢測、分析和緩解威脅至關重要。通過在網絡靶場中培訓,團隊成員可以在受控但真實的環境中發展和完善他們的技能,這提高了他們在實際環境中有效利用人工智能的能力。動手實踐還有助於縮小理論知識和實際應用之間的差距,提高團隊對新出現的網絡威脅的整體準備和響應能力。

為了有效利用網絡靶場來建立人工智能就緒的網絡安全團隊,請考慮實施以下策略:

定期桌面演習:將網絡靶場內的定期會話納入團隊的培訓計劃。這確保了處理人工智能驅動的安全場景的持續實踐和技能完善。

場景多樣性:開發反映最新人工智能驅動攻擊技術和組織行業最常見威脅的各種威脅場景。這種多樣性有助於團隊為各種潛在的真實世界情況做好準備。

跨職能演習:在網絡靶場會話中包括來自各個職能領域的團隊成員,以促進對人工智能如何影響組織中不同網絡安全方面的全面理解。

演習後回顧:每次網絡靶場演習後進行總結會議,討論所學內容以及如何應用。這強化了課程並將其整合到日常實踐中。

4. 鼓勵參與黑客馬拉松和競賽

參與黑客馬拉松和網絡安全競賽也可以在持續學習中發揮關鍵作用。這些活動挑戰參與者用創新解決方案解決複雜問題,通常在時間限制下。它們非常適合學習新技能、測試現有技能,並跟上最新的網絡安全和人工智能技術。

為了有效實施鼓勵參與黑客馬拉松和競賽的策略,組織可以採用以下方法:

提高意識:通過內部通訊、會議或專門的溝通渠道,定期通知團隊成員即將舉行的黑客馬拉松和競賽。強調參與的好處,如技能提升和潛在的認可。

激勵參與:為那些參與並特別是在這些活動中表現出色的人提供獎勵,如獎金、額外假期或組織內的公開認可。

活動後學習會議:每次活動後,舉行一次會議,讓參與者分享他們在競賽期間的經驗、學習和發現的新技術。這有助於將新知識傳播到整個團隊,豐富組織的技能基礎。

結論

將人工智能整合到網絡安全中不僅是對現有框架的增強;這是一種需要新型專業知識的根本性轉變。持續學習對於網絡安全專業人員在作為數字資產防禦者的角色中保持有效性至關重要。通過接受持續教育的文化並利用先進的培訓工具和技術,網絡安全團隊可以發展所需的韌性和適應性,在這個快節奏的數字世界中始終領先攻擊者一步。

隨著網絡威脅格局不斷發展,負責保護它們的人員的能力也必須如此。對持續學習的投資就是對我們數字生活未來安全的投資。

詳情請看:

INE Security: Optimizing Teams for AI and Cybersecurity

Posted in  on 7月 10, 2026 by Kevin |  

Mcafee:旅行時如何安全連接公共 Wi-Fi

在這個數位化時代,我們出遊時經常需要連接公共Wi-Fi來保持聯繫。然而,這種便利背後卻隱藏著嚴重的網絡安全風險。文章指出,有40%的受訪者曾在使用公共Wi-Fi時遭遇信息洩露,這個數字令人警醒。更令人擔憂的是,很多人在信息被盜後並不知情,直到為時已晚。

公共Wi-Fi網絡通常不加密,容易被黑客攻擊和竊取敏感信息。因此,我們在旅行時必須提高警惕,採取必要的安全措施。文章提出了幾點實用的建議,值得我們認真思考和落實。

首先,使用虛擬私人網絡(VPN)是保護數據安全的最有效方法之一。VPN能夠加密我們的網絡連接,創建一個安全通道,防止黑客截獲數據。在出發前安裝一個可靠的VPN服務,可以大大提高我們的網絡安全性。

其次,及時更新設備和軟件也至關重要。更新通常包含安全補丁,可以修復漏洞並防範新出現的威脅。在旅行前確保操作系統、瀏覽器和安全軟件都是最新版本,這樣可以顯著降低被黑客攻擊的風險。

第三,啟用多重身份驗證(MFA)可以為我們的網上帳戶增加一層額外的保護。即使密碼被盜,黑客也無法輕易進入我們的帳戶。我們應該在電子郵件、社交媒體和銀行帳戶等重要帳戶上啟用MFA。

此外,在使用公共Wi-Fi時,我們應該謹慎行事,避免登錄銀行或購物網站,也不要處理機密的工作文件。這些敏感操作最好留到連接可信網絡或使用移動數據時再進行。

良好的密碼習慣也是必不可少的。我們應該為每個帳戶使用強大而獨特的密碼,避免使用容易被猜到的密碼或在多個帳戶中重複使用同一密碼。使用可靠的密碼管理器來生成和安全存儲複雜密碼是個不錯的選擇。

最後,如果可能的話,使用個人熱點代替公共Wi-Fi網絡通常是更安全的選擇。許多移動設備允許我們使用蜂窩數據連接創建安全的Wi-Fi網絡。不過,在使用這個選項之前,我們應該檢查手機運營商的數據計劃,以免產生額外的費用。

總的來說,在旅行中安全地連接公共Wi-Fi需要我們保持警惕和做好準備。通過採取文章中提到的這些措施,如使用VPN、及時更新軟件、啟用MFA等,我們就可以在享受便利的同時,也保護好自己的個人信息不受網絡威脅。

這篇文章提醒我們,在享受科技帶來的便利的同時,也要時刻謹記網絡安全的重要性。隨著黑客技術的不斷進步,我們更應該與時俱進,不斷學習和採用新的安全措施。只有這樣,我們才能在這個數字化的世界中安全地探索和冒險,充分享受旅行的樂趣。

最後,文章建議我們探索McAfee等公司提供的安全軟件解決方案,為我們的數字設備提供更全面的保護。這提醒我們,在網絡安全方面投資是值得的,因為它能夠讓我們在旅行中更加安心地上網沖浪,專注於探索新的目的地和體驗新的文化。

詳情請看:

How to Safely Connecting to Public Wi-Fi While Traveling

Posted in  on 7月 09, 2026 by Kevin |  

Mcafee:卡巴斯基軟體禁令 - 您需要了解什麼才能保持線上安全

近日,美國商務部以國家安全為由,宣布禁止在美國境內銷售卡巴斯基(Kaspersky)的所有線上保護軟體,此禁令立即生效。這一決定不僅影響了新用戶的購買,更重要的是,它還延伸到現有用戶的安全更新服務。這意味著卡巴斯基的用戶很快就會面臨無法獲得最新威脅防護的困境。

美國政府給予卡巴斯基用戶的期限是2024年9月29日,在此之前,用戶必須轉換到新的線上保護軟體。商務部甚至強烈建議用戶立即停止使用卡巴斯基軟體,並轉向替代方案以保護自身和數據安全。這一舉措凸顯了網路安全在當今數字時代的重要性。

事實上,這並非美國政府第一次對卡巴斯基採取行動。早在2017年,政府就已經禁止在政府設備上使用卡巴斯基軟體,理由是俄羅斯黑客可能利用該軟體從安裝了卡巴斯基軟體的設備上竊取機密材料。儘管卡巴斯基一再否認這些指控,但美國政府的立場似乎並未改變。

面對這一禁令,當前的卡巴斯基用戶需要迅速行動。首先,他們需要卸載現有的卡巴斯基軟體,這個過程因設備的不同而略有差異。其次,他們需要選擇一個新的線上保護軟體。在選擇新軟體時,用戶應該考慮全面的保護方案,不僅包括傳統的防病毒功能,還應該涵蓋設備、身份和隱私的全方位保護。

現代的網路威脅日益複雜,僅僅依靠防病毒軟體已經不足以應對。理想的線上保護軟體應該具備以下特點:能夠防範最新的詐騙手段,包括通過短信、電子郵件、二維碼和社交媒體進行的欺詐;提供社交隱私管理功能,幫助用戶輕鬆調整社交媒體賬號的隱私設置;採用人工智能技術,在不影響系統性能的前提下提供高效的保護。

這次卡巴斯基軟體禁令事件再次提醒我們,在數字時代,網路安全不容忽視。隨著網路身份盜竊、數據洩露、詐騙短信和數據挖掘案例的增加,每個人都有責任採取積極措施保護自己的數字生活。無論選擇哪種線上保護軟體,重要的是要確保它能夠提供全面、及時和有效的保護。

對於個人用戶和企業來說,這次事件也是一個重新評估自身網路安全策略的機會。我們應該認識到,網路安全不僅關乎個人隱私和數據安全,還與國家安全息息相關。在選擇線上保護軟體時,除了考慮其功能和性能外,還應該關注提供商的信譽和背景。

總的來說,卡巴斯基軟體禁令事件凸顯了在當今複雜的網路環境中,保持警惕和採取主動防護措施的重要性。無論是個人用戶還是企業,都應該重視網路安全,選擇可靠的保護方案,並保持軟體的及時更新。只有這樣,我們才能在日益數字化的世界中保護自己的安全和隱私。

詳情請看:

The Kaspersky Software Ban—What You Need to Know to Stay Safe Online

Posted in  on 7月 08, 2026 by Kevin |  

Help net security:緩解撞庫攻擊指南

在當今數位時代,資訊安全已成為個人和組織面臨的重大挑戰之一。然而,儘管網路安全事件頻繁發生,許多人和企業仍未充分重視基本的網路安全措施。本報告將探討憑證填充攻擊這一日益嚴重的威脅,並提出相應的防禦策略。

首先,我們需要認識到憑證(即用戶名和密碼)在網路安全中的核心地位。過去幾年間,數十億用戶憑證已經在網路上公開曝光,這為網路犯罪分子提供了可乘之機。駭客利用這些洩露的憑證,通過自動化工具在各種網站和應用程序上嘗試登入,這就是所謂的「憑證填充攻擊」。

為什麼憑證如此受到攻擊者的青睞?主要原因有以下幾點:

1. 普遍性:幾乎所有在線服務都依賴用戶名和密碼進行身份驗證。

2. 重複使用:許多用戶習慣在多個平台使用相同的憑證,增加了攻擊成功的可能性。

3. 價值鏈:成功獲取一個帳戶後,攻擊者可能獲得更多敏感資訊,甚至進行身份盜用或金融詐騙。

4. 自動化:現代技術使得攻擊者能夠快速、大規模地進行憑證填充攻擊。

面對這種威脅,我們必須提高對憑證安全的重視程度。以下是一些可行的防禦策略:

1. 教育和宣導:加強對用戶和員工的安全意識培訓,強調使用強密碼和避免重複使用密碼的重要性。

2. 多因素認證(MFA):實施MFA可以大幅提高帳戶安全性,即使密碼被盜也能阻止未授權訪問。

3. 密碼管理器:鼓勵使用密碼管理工具,幫助用戶生成和存儲複雜、唯一的密碼。

4. 監控和檢測:利用先進的安全工具來監控異常登入活動,及時發現潛在的憑證填充攻擊。

5. 帳戶鎖定政策:實施合理的帳戶鎖定機制,限制連續失敗登入嘗試的次數。

6. 定期密碼更新:鼓勵或強制用戶定期更改密碼,但要平衡安全性和便利性。

7. 使用CAPTCHA:在登入頁面添加CAPTCHA機制,增加自動化攻擊的難度。

8. 安全問題和答案:使用個人化的安全問題作為額外的驗證層。

9. 風險評估:定期進行安全評估,識別和修補潛在的漏洞。

10. 隱私保護:嚴格保護用戶資料,避免不必要的資訊收集和存儲。

為了有效傳達保護憑證的重要性,我們可以採取以下方法:

1. 案例分析:分享真實的資料洩露事件及其嚴重後果,增強警覺性。

2. 視覺化展示:使用圖表和影片等直觀方式,展示憑證填充攻擊的運作原理和潛在危害。

3. 個人化建議:根據用戶的具體情況提供定制化的安全建議,提高相關性。

4. 獎勵機制:為採取安全措施的用戶提供獎勵或認可,鼓勵積極行為。

5. 持續溝通:通過多種渠道定期推送安全提醒和最佳實踐。

6. 高層重視:組織領導應公開強調網路安全的重要性,樹立榜樣。

7. 整合安全文化:將安全意識融入組織文化,使其成為日常工作的一部分。

總的來說,憑證填充攻擊是一個嚴峻的安全威脅,需要個人、組織和社會各界的共同努力來應對。通過提高安全意識、採用先進技術和最佳實踐,我們可以顯著降低此類攻擊的風險。重要的是,我們必須認識到網路安全是一個持續的過程,需要不斷學習和適應新的威脅。只有築牢每一個環節,我們才能構建一個更安全的數位世界。

詳情請看:

Guide to mitigating credential stuffing attacks

Posted in  on 7月 07, 2026 by Kevin |  

Help net security:CISO 的新盟友:Qualys Cyber​​Security Asset Management 3.0

在當今複雜多變的數位環境中,企業面臨著前所未有的網絡安全挑戰。隨著攻擊面的不斷擴大和演變,傳統的資產發現和風險評估方法已經難以應對。Qualys公司推出的CyberSecurity Asset Management 3.0(CSAM 3.0)為這一問題提供了創新的解決方案,為首席信息安全官(CISO)和網絡安全團隊提供了強大的盟友。

CSAM 3.0的核心優勢在於其全面性和整合性。該系統將資產發現和風險評估整合為一個統一的解決方案,涵蓋了內部和外部資產以及第三方應用程序。這種綜合方法極大地減少了未知資產帶來的網絡風險。例如,該系統甚至能夠發現連接到公司網絡的員工智能牙刷等意料之外的設備。

CSAM 3.0的另一個顯著特點是其專利申請中的外部攻擊面管理(EASM)技術。該技術使用歸因流程精確定位屬於組織的面向互聯網的資產,從而消除了對用戶可能不負責的資產的無用努力。此外,EASM功能集成了輕量級漏洞掃描器,能夠實時識別外部資產上的關鍵漏洞,並經常發現其他掃描器遺漏的漏洞。

CSAM 3.0還引入了針對物聯網(IoT)和流氓設備的被動感應功能。傳統方法可能會遺漏網絡上的這些非受管設備,而CSAM 3.0利用現有的Qualys代理被動檢測此類設備,為用戶提供了更大的可見性和控制力。此外,系統的TruRisk優先級評分不僅考慮了漏洞,還包括了所有風險因素,如支持終止(EoS)軟件、缺失的安全控制、有風險的開放端口以及配置錯誤或未經授權的軟件和服務。

對於網絡安全團隊來說,CSAM 3.0最顯著的優勢是資產發現和網絡風險評估的強大組合。特別是在EASM掃描器中,客戶不僅可以發現每個資產,還可以將它們歸因於業務的特定領域,包括子公司和收購公司。這種高度準確的發現和歸因能力,結合實時漏洞掃描,大大提高了風險評估的效率和準確性。

CSAM 3.0還解決了傳統資產發現方法面臨的常見挑戰。它採用靈活的發現方法,涵蓋了各種使用場景,包括IT資產掃描和傳感、專利申請中的EASM技術、多雲環境監控、內置網絡被動感應以及第三方連接器。這種全面的方法不僅降低了客戶的總體擁有成本(TCO),還消除了未知資產帶來的風險。

CSAM 3.0在識別和緩解漏洞方面也比傳統的外部掃描工具更為先進。它利用輕量級漏洞掃描器和Qualys威脅研究單位(TRU)的最佳實踐威脅情報,能夠識別更多的關鍵漏洞,並提供更快的風險評估。此外,它與其他Qualys解決方案(如漏洞管理、檢測和響應VMDR)的集成,使組織能夠有效地降低業務風險。

實際應用中,CSAM 3.0已經展現出顯著的成效。例如,Brown & Brown Insurance公司使用Cloud Agent被動感應功能,發現了34%更多連接到其內部網絡的非受管和不受信任的設備。這種能力極大地提高了該公司對整個攻擊面的可見性和網絡風險的全面了解。

總的來說,Qualys CyberSecurity Asset Management 3.0代表了網絡安全資產管理的一個重要進步。它為組織提供了全面、準確和實時的資產可見性和風險評估能力,有效地幫助企業應對當今複雜的網絡安全挑戰。隨著數字化轉型的深入,CSAM 3.0無疑將成為CISO和網絡安全團隊的重要工具,幫助他們更好地保護組織的數字資產和業務連續性。

詳情請看:

CISOs’ new ally: Qualys CyberSecurity Asset Management 3.0

Posted in  on 7月 06, 2026 by Kevin |  

Help net security:Zeek:開源網路流量分析、安全監控

Zeek作為一個開源的網絡流量分析框架,在當今網絡安全領域扮演著重要角色。隨著網絡威脅日益複雜多變,傳統的防火牆等主動式安全設備已不足以應對所有挑戰。Zeek的出現為網絡管理員和安全分析師提供了一個強大而靈活的工具,能夠深入解析網絡流量,提供全面的網絡活動視圖。

Zeek的設計理念體現了現代網絡安全的需求。首先,它採用了被動監控的方式,不干擾正常的網絡運作,卻能捕捉到網絡中的每一個細節。這種非侵入式的監控方法使得Zeek可以在不影響網絡性能的情況下,持續收集和分析大量數據。其次,Zeek的靈活性體現在其多樣化的部署選項上。無論是硬件設備、軟件平台、虛擬環境還是雲端平台,Zeek都能輕鬆適應,這大大提高了其在不同網絡環境中的適用性。

Zeek的核心功能在於其強大的協議分析能力。它內置了大量協議分析器,能夠對應用層進行高級語義分析。這意味著Zeek不僅能看到網絡流量的表面數據,還能理解這些數據在應用層面的含義。例如,它可以識別HTTP請求中的惡意payload,或者檢測出FTP傳輸中的敏感文件。這種深度分析能力使Zeek在識別複雜攻擊和高級持續威脅(APT)方面表現出色。

另一個突出特點是Zeek的域特定腳本語言。這種腳本語言允許管理員根據自己的需求制定特定的監控策略。不同於僅限於特定檢測方法的工具,Zeek的腳本語言提供了極大的靈活性。管理員可以編寫腳本來檢測特定類型的網絡行為,實現自定義的安全策略,或者生成特定格式的報告。這種可編程性使得Zeek能夠適應各種獨特的網絡環境和安全需求。

Zeek的設計考慮到了高性能網絡的需求。在當今大數據時代,網絡流量的規模和複雜度都在不斷增加。Zeek能夠處理大規模網絡中的高速數據流,這使得它成為許多大型組織的首選工具。無論是企業、研究機構還是政府部門,Zeek都能滿足其對網絡監控和安全分析的需求。

Zeek的另一個重要特性是其維護網絡活動的全面檔案。它不僅能生成即時警報,還能保存詳細的網絡活動記錄。這些記錄包括交易日誌、文件內容和自定義輸出,為後續的取證分析和安全審計提供了寶貴的資源。安全分析師可以利用這些數據進行深入的威脅狩獵,或者在事件響應過程中快速追溯攻擊路徑。

Zeek的開源性質是其另一個優勢。作為一個開源項目,Zeek擁有活躍的開發者社區,不斷推動其功能的改進和擴展。用戶可以自由下載和使用Zeek,也可以根據需要進行定制和擴展。這種開放性不僅降低了使用成本,也促進了安全技術的創新和共享。

總的來說,Zeek代表了網絡安全監控和分析的新趨勢。它將深度協議分析、靈活的腳本編程、高性能處理和全面的活動記錄結合在一起,為網絡安全專業人員提供了一個強大的工具集。隨著網絡威脅的不斷演變,Zeek這樣的開源框架將在維護網絡安全、應對新興威脅方面發揮越來越重要的作用。

詳情請看:

Zeek: Open-source network traffic analysis, security monitoring

Posted in  on 7月 05, 2026 by Kevin |  

Kaspersky:不要忘記Recall,因為Recall不會忘記你

微軟在2024年5月為Windows 11推出了名為Recall的新功能,這項基於人工智慧的搜尋工具能夠「記住」用戶近幾個月在電腦上的所有操作。然而,這個看似便利的功能卻引發了網路安全專家的廣泛擔憂,被稱為「安全噩夢」。

Recall的運作原理是每隔幾秒鐘就截取一次螢幕畫面,並將其儲存在電腦的特定資料夾中。然後,它會在背景中使用AI分析這些圖像,提取所有資訊,並將其放入資料庫中以供智能搜尋使用。雖然所有操作都在用戶的本機上進行,但這種做法仍然存在諸多潛在風險。

首先,Recall將所有敏感資料集中儲存在一個地方,這意味著如果駭客或惡意軟體入侵電腦,他們只需複製單個資料夾的內容,就能獲取用戶所有的機密資訊。更糟糕的是,攻擊者可能能夠重建用戶近幾個月來在電腦上的所有活動,幾乎精確到每一秒。

其次,Recall資料庫的加密問題也引發了爭議。雖然微軟承諾會對資料庫進行額外加密,但目前尚未看到具體實施方案。即便實施了加密,對於本機上的解密可能也不會構成太大障礙。

第三,Recall對機密資料的處理方式令人擔憂。除非用戶主動「暫停」Recall,否則密碼、財務資料等敏感資訊都可能被記錄下來。這意味著,即使是已刪除的電子郵件或消失的聊天記錄,都可能留存在Recall資料庫中。

此外,Recall還可能被濫用於工作場所或家庭中的過度監控,給個人隱私帶來威脅。雖然微軟表示Recall默認是關閉的,但用戶仍需謹慎檢查其狀態,特別是那些購買預裝Windows 11的電腦的用戶。

面對Recall帶來的潛在風險,安全專家建議某些類型的用戶完全禁用這項功能,包括經常在電腦上存儲敏感資訊的用戶、法律上有義務嚴格保護工作資料的用戶、與他人共用電腦的用戶,以及在工作或家庭中面臨過度監控的用戶。

對於決定保留Recall功能的用戶,專家建議進行適當的配置,如將重要的個人資訊網站、密碼管理器、含有機密工作資訊的應用程式等加入例外清單。同時,也要確保電腦有完善的網路安全防護,以防止專門針對Recall的資訊竊取軟體入侵。

Recall功能的出現,反映了科技發展與隱私保護之間的矛盾。一方面,AI驅動的智能搜尋確實能為用戶帶來便利;另一方面,它也可能成為潛在的安全隱患。這提醒我們,在享受新技術帶來便利的同時,也要時刻警惕其可能帶來的風險,並採取必要的防護措施。

總的來說,Recall功能的爭議凸顯了數位時代個人資料保護的重要性。無論是科技公司還是個人用戶,都需要在創新與安全之間尋求平衡。對於用戶而言,了解新功能的潛在風險,謹慎配置隱私設置,並保持警惕,將是應對這類挑戰的關鍵。

詳情請看:

Don’t forget about Recall, because Recall won’t forget about you

Posted in  on 7月 04, 2026 by Kevin |  

Kaspersky:中小企業領域的網路安全性—日益嚴重的威脅

隨著數位化轉型的浪潮席捲全球,中小企業(SMB)在採用遠程工作、生產和銷售等數位技術的同時,也面臨著日益嚴重的網絡安全威脅。卡巴斯基(Kaspersky)最新的研究報告揭示了這一令人擔憂的趨勢,並為我們提供了一些寶貴的見解和建議。

首先,報告指出中小企業因資源和專業知識有限,在網絡安全方面面臨重大挑戰。數據外洩的成本可能會嚴重影響企業運營,因此採取預防措施至關重要。英國國家網絡安全中心的數據顯示,每年約有50%的中小企業可能遭遇網絡安全breach,這一數字令人震驚。

卡巴斯基的2024年威脅分析顯示,針對中小企業的網絡攻擊呈現上升趨勢。從2024年1月1日到4月30日,遭遇惡意軟件和不需要軟件攻擊的用戶總數達2,402個,分發的獨特文件數量為4,110個,較2023年同期增長8%。這表明攻擊者的活動正在持續增加。

特別值得注意的是,Microsoft Excel已從2023年的第四位上升到2024年的第一位,成為最常被攻擊者模仿的合法軟件。這反映出網絡犯罪分子正在不斷改變他們的策略,利用廣泛使用的辦公軟件作為攻擊載體。

在威脅類型方面,特洛伊木馬仍然是最常見的網絡威脅,這表明攻擊者繼續將中小企業作為目標,並且更傾向於使用惡意軟件而非不需要軟件。特洛伊木馬之所以特別危險,是因為它們能夠模仿合法軟件,使其更難被檢測和預防。

此外,報告還強調了員工疏忽仍然是中小企業的一個重大漏洞。網絡釣魚攻擊通過各種渠道分發,包括偽造的電子郵件和社交媒體,以欺騙用戶洩露登錄詳細信息或其他敏感數據。這些攻擊可能針對中小企業,對growing loyalty和securing infrastructures構成威脅。

為了應對這些威脅,報告提出了一系列最佳實踐和行動計劃。首先,中小企業應該建立一個管理公司資源訪問的政策,嚴格控制可以訪問關鍵公司數據的用戶數量,並確保這個訪問列表是最新的。其次,定期備份重要數據,以確保公司信息在緊急情況下仍然安全並可以恢復。第三,提供使用外部服務和資源的透明指南,設計明確的IT和其他負責角色的批准程序。第四,實施全面的培訓計劃,為員工提供必要的知識和實際技能。最後,部署專門的網絡安全解決方案,提供對雲服務的可見性。

總的來說,這份報告為我們描繪了一幅中小企業網絡安全現狀的清晰圖景。它不僅揭示了當前的威脅景觀,還提供了實用的解決方案。對於中小企業來說,認識到網絡安全的重要性,並採取積極措施來保護自己的數字資產,已經成為在這個日益數字化的世界中生存和發展的關鍵。通過投資端到端的網絡安全解決方案,提高員工的警惕性,中小企業可以有效地降低風險,確保業務的連續性和競爭力。

詳情請看:

Cybersecurity in the SMB space — a growing threat

Posted in  on 7月 03, 2026 by Kevin |  

Help net security:新的安全漏洞允許監視網路使用者的線上活動

近日,奧地利格拉茨理工大學的研究人員發現了一個名為SnailLoad的網路安全漏洞,這個發現對於網路使用者的隱私保護提出了嚴峻的挑戰。SnailLoad允許攻擊者僅通過監控用戶網路連接速度的波動,就能窺探用戶的線上活動,這種攻擊方式不需要惡意程式碼,也不需要攔截數據流量,因此幾乎所有類型的終端設備和網路連接都面臨風險。

SnailLoad攻擊的運作原理相當巧妙。攻擊者只需要與受害者有一次直接接觸,例如當受害者訪問某個網站或觀看一段宣傳視頻時。在這個過程中,受害者會不知不覺地下載一個看似無害的文件。這個文件不含任何惡意代碼,因此能夠躲過安全軟體的檢測。文件的傳輸速度被刻意設置得極其緩慢,這使得攻擊者能夠持續獲取受害者網路連接延遲變化的信息。通過這種隱蔽的方式,攻擊者可以重建受害者的線上活動軌跡,從而威脅到用戶的隱私。

SnailLoad攻擊的核心在於結合了網路延遲數據和線上內容的指紋識別技術。研究人員解釋道,當用戶訪問網站、觀看在線視頻或進行視頻通話時,網路連接的延遲會呈現出特定的波動模式,這種模式取決於所使用的特定內容。這是因為所有的線上內容都有獨特的"指紋"。為了高效傳輸,線上內容被分割成小的數據包,這些數據包按順序從主機服務器發送到用戶端。每種線上內容的數據包數量和大小的模式都是獨一無二的,就像人類的指紋一樣。

研究人員的實驗結果令人擔憂。在監視測試對象觀看視頻時,他們的成功率高達98%。研究表明,視頻的數據量越大,受害者的網路連接越慢,攻擊的成功率就越高。雖然對於基本網站的監視成功率降至約63%,但研究人員指出,如果攻擊者為他們的機器學習模型提供更多數據,這些數值肯定會增加。

更令人憂心的是,這個安全漏洞幾乎不可能完全修復。研究人員表示,唯一的選擇是讓網路服務提供商以隨機模式人為地降低客戶的網路連接速度。然而,這種做法會導致視頻會議、直播或線上遊戲等對時間要求較高的應用出現明顯延遲,影響用戶體驗。

這項研究揭示了現代網路環境中隱私保護的脆弱性。隨著我們越來越依賴網路進行日常活動,像SnailLoad這樣的攻擊方式對個人隱私構成了重大威脅。它不僅能夠洞察用戶的瀏覽習慣,還可能推斷出用戶的興趣愛好、政治傾向甚至個人生活細節。

面對這種新型威脅,我們需要重新思考網路安全和隱私保護的策略。首先,用戶應該提高警惕,注意保護自己的線上活動。其次,網路服務提供商和安全軟體開發商需要開發新的防禦機制,以應對這類不依賴傳統惡意程式碼的攻擊。最後,政策制定者應該考慮制定更嚴格的數據保護法規,為用戶隱私提供更強有力的法律保障。

總的來說,SnailLoad漏洞的發現為我們敲響了警鐘。在享受網路便利的同時,我們必須時刻警惕潛在的安全風險,並積極採取措施保護自己的數字隱私。只有通過技術創新、用戶意識提升和法律法規的完善,我們才能在日益複雜的網路環境中維護個人隱私權。

詳情請看:

New security loophole allows spying on internet users’ online activity

Posted in  on 7月 02, 2026 by Kevin |  

The hacker news:如何利用瀏覽器安全平台降低成本

隨著網路威脅日益複雜,企業組織逐漸意識到在風險源頭——瀏覽器——進行防護的重要性。傳統的網路和終端解決方案在應對網頁釣魚、惡意瀏覽器擴展等網路威脅時,往往顯得力不從心。此外,它們也無法有效防止內部資料外洩,例如員工將敏感資訊貼到ChatGPT等平台。在這樣的背景下,瀏覽器安全平台應運而生,不僅能夠彌補傳統安全方案的不足,還能以更具成本效益的方式提供全面保護。

近期發布的報告《CISO證言:使用瀏覽器安全平台削減成本的6個真實案例》中,六位首席信息安全官(CISO)分享了他們如何通過採用瀏覽器安全解決方案,有效降低安全團隊工作負擔,同時提升效率和安全性。這份報告涵蓋了六個主要使用場景:SaaS數據保護、瀏覽器安全狀態管理、瀏覽器威脅防護、用戶意識培訓、非託管設備的零信任訪問,以及事件響應與調查。

其中一個案例特別引人注目。一家企業原本在保護跨SaaS應用的數據免受外洩和洩露方面面臨諸多挑戰,需要投入大量資源維護CASB(雲訪問安全代理)和基於代理的DLP(數據丟失防護)解決方案。通過轉向採用LayerX瀏覽器安全平台,他們不僅顯著降低了總體擁有成本(TCO),還實現了更細粒度的保護,甚至能夠監控瀏覽器內的文本輸入和表單填寫。

另一位CISO則強調了管理瀏覽器安全的複雜性,包括在託管和非託管設備上保持瀏覽器版本最新、防止惡意擴展等問題。採用LayerX後,他們能夠全面掌握瀏覽器版本、用戶和配置文件信息,並自動檢測和預防安全漏洞。該CISO表示:"LayerX使我們能夠一鍵獲取原本需要耗費大量精力或根本無法實現的功能。通過LayerX的界面,我們可以全面了解瀏覽器的安全狀態,包括版本、用戶和配置文件。我們制定了政策來檢測任何安全弱點並提醒我們立即解決,同時還有防止此類弱點發生的政策,例如阻止惡意擴展。我們可以監控用戶在瀏覽器中執行的任何操作,包括使用非託管設備的內部和外部員工。最重要的是,這一切都是開箱即用的。"

認識到人為因素在安全中的重要性,有組織從傳統的培訓方法轉向通過LayerX提供實時通知。這種主動的方法在防止瀏覽器中的風險行為方面已證明更為有效。

總的來說,瀏覽器安全平台代表了一種新的安全範式。它不僅填補了傳統安全解決方案的空白,還通過集中化和自動化大幅降低了管理成本和複雜性。對於面臨預算壓力但又需要提升安全態勢的組織來說,瀏覽器安全平台無疑是一個值得考慮的選擇。

然而,值得注意的是,儘管瀏覽器安全平台提供了諸多優勢,但它並不能完全取代現有的安全措施。相反,它應該被視為整體安全策略的重要組成部分,與其他安全解決方案協同工作,共同構建一個多層次、全方位的防禦體系。

隨著遠程工作的普及和雲服務的廣泛採用,瀏覽器已成為許多組織的主要工作平台。在這種背景下,瀏覽器安全平台的重要性只會與日俱增。企業領導者和安全專業人士應該密切關注這一領域的發展,並考慮將瀏覽器安全納入其長期安全戰略規劃中。

詳情請看:

How to Cut Costs with a Browser Security Platform

Posted in  on 7月 01, 2026 by Kevin |  

Mcafee:適合家庭的暑假線上安全提示

暑假是全家人放鬆身心、共度美好時光的大好時機,無論是去海邊遊玩、自駕遊或探索新景點,保障全家上網安全都是相當重要的一環。然而,根據一項調查報告顯示,近一半(48%)的旅客在度假期間會較少注意網路安全,例如選擇連線看似有些可疑的無線網路(22%)。

隨著網路威脅日益增加,我們對科技的依賴也與日俱增,因此採取積極作為,保護家人的網路安全就顯得更形重要。以下是一些可行的建議,確保您在暑假期間能享有安全愉快的線上體驗。

教育孩子

教導孩子上網時要保持安全的行為模式和良好習慣,解釋在網路上分享個人資訊、與陌生人交談,以及點擊可疑連結或附件檔案的風險。讓孩子了解「釣魚」這個概念,教導他們如何辨識可疑連結或訊息。鼓勵孩子多與您溝通,讓他們在網路上遇到任何令人不安或可疑的內容時,都能毫不猶豫地告訴您。

使用安全無線網路

在度假期間連線上網時,要小心使用的無線網路。酒店、機場和咖啡廳等公共場所的無線網路可能缺乏安全防護,可能會讓您的家人面臨駭客入侵和身分被盜等網路威脅。這是因為公共無線網路通常缺乏稱為「加密」的保護層。加密就像一種秘密編碼,能將數據在您的裝置和無線基地台之間傳輸時加以混淆,避免他人能夠理解內容。缺乏這層防護,駭客就能輕易interceptUFO存取你透過無線網路傳輸的資訊,危及你的隱私和安全。如果不得不連線公共無線網路,請使用虛擬私有網路(VPN)來加密網路連線,保護敏感數據免於被竊取。

小心某些付款方式

在旅遊期間,對於某些支付方式要特別謹慎,尤其是在處理度假租屋、旅遊套裝行程等事宜時。詐騙集團常會堅持使用匯款、禮品卡或加密貨幣作為唯一付款方式,因為這些支付管道無法追蹤,一旦付款就幾乎無法回收。面對這類付款要求時,請提高警覺並予以避免,因為它們往往是詐騙活動的紅色警訊。改用安全可追蹤的付款管道,例如信用卡或知名的線上支付平台。

確保裝置安全

採取預防措施,保護旅遊期間裝置免於遺失或遭竊。使用強密碼或生物辨識方式來鎖定裝置,防止他人未經授權存取。可考慮安裝追蹤應用程式或軟體,一旦裝置失蹤或遭竊,即可由遠端定位、鎖定或清除裝置內資料。此外,外出時也要隨時確保手邊裝置不離身,提高警覺意識。

監控您的帳戶

旅遊期間,密切關注銀行帳戶、信用卡對帳單和其他財務帳戶的動向。檢查是否有未經授權的交易或可疑活動紀錄,若發現任何異常,立即通報金融機構。可以在帳戶啟用警示或通知功能,以即時獲知帳戶活動動態,及時發現可能的詐騙或未經授權存取情事。

更新裝置和軟體

出遊前,請確保全家人的裝置都已安裝最新軟體更新。駭客常會利用過期軟體的漏洞,入侵裝置並竊取敏感資訊。軟體更新不僅能提升效能,也能修補安全漏洞,避免駭客趁機入侵並存取您裝置上的敏感資料。

設定家長控制

啟程前,請在所有裝置上設定好家長控制功能。假期期間,孩子可能會有更多的閒暇時間或需要長途移動,導致上網時間增加。家長控制功能能讓您限制孩子訪問某些網站、應用程式和內容,有效確保孩子只會接觸到適當的線上內容。請善用這類工具,為孩子營造安全的線上環境,避免他們瀏覽到不當或有害的內容。我們的「社群隱私管理員」也可以幫助保護孩子在社群媒體上的曝光度和個人資料。

使用McAfee+家庭方案,您最多可以用一個訂閱保護6位家庭成員,每位成員都能獲得個人化的身分和隱私防護、安全VPN以及個人化通知,提供提升網路安全的指引。只要遵循這些家庭友善的網路安全貼士,您就能在暑假期間享有安全無虞的線上體驗。主動採取防護措施,遠離網路威脅,無論您的暑假ultimately去向何處,都能盡情享受假期,無後顧之憂。

詳情請看:

Family-Friendly Online Safety Tips for Summer Vacations

Posted in  on 6月 30, 2026 by Kevin |  

Help net security:安全提供者將合規性視為高成長機會

此項研究報告揭露了安全服務提供者面臨的重大挑戰,即維護客戶合規性的困難,但也指出了商機。許多服務提供者雖然理解持續合規的重要性,並有意願提供此類服務,但目前仍有相當比例的營收來自合規服務不到10%。報告顯示,服務商普遍將合規視為高成長機會,有87%的機構願意透過合規自動化平臺提供相關服務。

然而,提供合規服務的障礙困難重重。缺乏資源、專業知識和技術被視為提供管理合規服務的主要障礙。儘管已進入二十一世紀,許多服務商仍舊使用陳舊的方式來追蹤和管理客戶的網路安全合規性,例如利用電子試算表。這種做法無疑有失時效,不符合數位化時代的需求。

不過,報告也指出一些令人振奮的現象。首先,較小規模的服務商(員工人數少於100人)比大型機構更有可能提供合規服務。其次,61%的安全服務商提供基於架構(framework)的服務,如諮詢分析、風險評分與補救措施等,以協助客戶評估安全狀況並符合法規標準。常見的架構包括CMMC、HIPAA和NIST 800-171等。

此外,隨著人工智慧(AI)技術的快速發展,ISO 42001(人工智慧管理系統新標準)已有19%的服務商採納。這項標準有助於組織建立管理AI系統的規範性架構,預期未來將成為熱門的合規框架之一。

總的來說,合規服務市場確實具有龐大商機,但要成功經營此領域,服務商必須做好資源、技術和專業知識的充分準備。唯有建立高效、自動化的服務模式,與時俱進採用新興合規架構,服務商方能在此一快速變遷的領域中,贏得客戶青睞、脫穎而出。經營者應審慎評估目前的能力缺口,並擬定具體的發展策略,把握合規服務的無限商機。

詳情請看:

Security providers view compliance as a high-growth opportunity

Posted in  on 6月 29, 2026 by Kevin |  

Help net security:雲端遷移再次擴大了 CISO 的角色

近年來,企業雲端環境的廣泛採用,不僅為網路安全帶來嶄新挑戰,也大幅擴展了資訊安全長(CISO)的職責範圍。不僅須防範網路威脅,確保資訊系統和資料的安全,CISO如今亦須參與制定公司治理、風險管理及合規政策,以因應瞬息萬變的網路環境和不斷收緊的法規要求。

2023年底,美國證券交易委員會(SEC)通過新規定,要求上市公司必須及時揭露網路安全事件,包括事件性質、範圍和潛在影響等,未依規定揭露者將面臨重罰。這項新規不僅使CISOs責無旁貸,須確保能在四個工作天內準確判定事件的重大程度,並適時報告給監管機構,更促使CISOs必須時時掌控公司的合規狀況,以確保符合法規要求。

有鑑於此,CISOs已不能再依賴過往被動方式,僅定期向董事會匯報公司的網路安全狀況,而須採取更為主動和結構化的風險管理模式。他們必須與公司治理、風險及合規部門密切合作,整合網路安全管控措施,蒐集監控資料,自動化監控流程,以隨時掌握風險狀況,判斷事件的重大性,確保能遵循法規要求,並提高公司的網路安全韌性。

此外,為縮小科技創新和法規要求的落差,睿智的CISOs必須將網路風險策略與公司治理、風險及合規架構一致,以因應科技快速變遷和不斷演進的法規框架。唯有如此,CISOs才能採取整體風險管理觀點,有效因應網路攻擊、防範擴大的攻擊面,減少潛在的財務損失、聲譽受損和營運中斷等嚴重後果。

總括而言,隨著網路安全法規日趨嚴格,與科技發展並進,CISOs的角色責任已然超越傳統資訊安全守護者,成為公司合規和風險管理的關鍵參與者。唯有透過與時俱進的網路安全策略、完善的風險監控及合規機制,以及跨部門的緊密協作,CISOs方能在充滿挑戰的數位時代下,有效保護公司的資訊資產和營運持續性,維護公司權益。

詳情請看:

Cloud migration expands the CISO role yet again

Posted in  on 6月 28, 2026 by Kevin |  

The hacker news:2024 年 10 大關鍵滲透測試結果:您需要了解的內容

「2024 年十大重要滲透測試發現」報告為我們揭露了當前組織在網路安全防護上普遍存在的一些薄弱環節和缺陷。透過模擬真實世界的網路攻擊情況,滲透測試能有效地找出系統和網路中潛在可被利用的漏洞,讓我們及時採取預防措施,堵塞安全防線上的缺口。

從報告列出的十大發現來看,大部分安全隱患都源自系統配置不當和安全漏洞修補不足這兩大根源問題。前者如啟用了不必要的網路服務、使用預設或弱密碼等,後者則是由於各種原因,如相容性問題或修補管理解決方案本身的缺陷,導致系統無法及時修補已知漏洞。不當的系統配置和滯後的漏洞修補,無疑為駭客可乘之機,一旦被利用則可能造成嚴重的數據外洩或系統權限被竊等安全事故。

因此,定期進行滲透測試至關重要。傳統上,許多組織一年做一次滲透測試,但報告指出,透過像 vPenTest 這樣的自動化滲透測試工具進行每月或每季的持續測試,能更有效地即時發現並緩解組織面臨的安全風險。舉例來說,普通的漏洞掃描器可能只將多播域名系統(MDNS)列為資訊性項目,但 vPenTest 這類工具不僅能發現此項,還會解釋其可能產生的影響,並建議補救措施。

總括來說,本報告的發現再次證明了組織必須高度重視網路安全防護。除了加強基本的系統配置管理和漏洞修補,定期進行自動化的全面性滲透測試也是不可或缺的環節。只有透過持續積極的風險評估,及早發現並修補潛在漏洞,組織才能在面對駭客入侵時,有效降低遭受攻擊和數據外洩的風險。

詳情請看:

Top 10 Critical Pentest Findings 2024: What You Need to Know

Posted in  on 6月 27, 2026 by Kevin |  

Tenable:雲端工作負載保護:降低雲端安全風險的關鍵

隨著越來越多的組織將工作負載遷移到雲端,威脅者也開始越來越多地鎖定這些複雜的雲端環境。雲端工作負載蘊藏大量數據,常常相互關聯,一旦遭到入侵就可能導致攻擊者獲利豐厚,而受害組織則可能陷入災難。根據 Tenable 的"2024年雲端安全展望"報告,在18個月的時間裡,幾乎所有受訪者(95%)都經歷過與雲端相關的入侵事件,其中有40%經歷過3到4次入侵。

這些入侵事件並不只是威脅者在探索能獲取什麼資訊,根據報告,90%以上的受訪者表示他們遭受過敏感數據外洩,近60%的人則表示這些外洩造成了實質傷害。IBM 2023年的"數據外洩成本"報告也呼應了類似的發現,指出2023年82%的入侵事件涉及存儲在公有雲、私有雲或混合雲環境中的數據。

網路釣魚和惡意軟體仍然是2023年全球雲端安全的頭號關注,其次是:

用戶帳號被入侵  

意外的數據洩露

針對雲端基礎設施的攻擊

數據盜竊

管理員帳號和供應鏈被入侵

Tenable 的受訪者指出,不安全的人員/服務身份、風險權限和雲端錯誤配置是他們面臨的頂級安全風險。幾乎所有(99%)經歷過多次雲端入侵的人都將身份和權限風險列為主因。

這種雲端入侵事件增加並不令人驚訝,特別是考慮到組織在吸引和留住網路安全人才方面的挑戰。世界經濟論壇預測,到2030年,全球網路安全人才短缺可能會超過8500萬人,這可能導致每年失去近8.5萬億美元的收入。這可能就是為什麼95%的Tenable 受訪者表示,他們在雲端基礎設施保護方面缺乏專業知識。

這些報告說明了許多組織正從嚴峻的教訓中學習的事實。現在的問題已不再是組織是否會遭受雲端攻擊,而是何時以及會遭受多少次攻擊。

想要在雲端工作負載攻擊中領先並非易事,對於使用傳統網路安全措施的安全團隊而言,這尤其困難,因為傳統做法並不是為不斷演進且複雜的雲端環境所設計。

好消息是,有一個解決方案,那就是雲端工作負載安全最佳實踐和雲端工作負載保護(CWP)技術,它們確實能幫助減少風險。

所謂CWP,是指保護雲端工作負載免受惡意軟體、數據外洩和合規性違規的方法,是一種雲端工作負載安全的全方位做法。CWP包括諸如漏洞掃描、雲端安全態勢管理、威脅搜尋、雲端數據安全等技術和解決方案。

CWP是成熟安全計畫不可或缺的組成部分。雖然CWP能增加對雲端環境內安全問題的可見度,但它並不意味著要試圖找出並修復雲端中的每個漏洞。CWP是關於以風險為中心的積極做法,來減輕作業系統、容器、應用程式、服務等各方面的雲端漏洞。它的目標是了解哪些雲端安全問題對組織構成風險,以便知道應該優先關注哪些問題。

為什麼CWP很重要?雲端工作負載對攻擊者很有吸引力,因為雲端環境通常包含敏感數據,對業務運作也至關重要。但它們也很複雜且不斷變化,這使得它們很難獲得保護,尤其是對於仍依賴傳統內部部署安全方法的組織而言。

從整體雲端安全的角度來看,CWP可以幫助您找出並修復雲端安全風險、遵循合規性規定,並節省安全成本。

以下是使用CWP的其他主要好處:

主動威脅偵測:CWP解決方案會持續掃描雲端工作負載,尋找漏洞、錯誤配置和可疑活動,以降低雲端風險。

成熟的安全態勢:CWP可強化雲端安全態勢,確保團隊以安全方式配置工作負載,並符合行業標準和合規要求。  

優先排列補救措施:CWP解決方案能根據嚴重程度和風險來優先排列漏洞。

減少攻擊面:CWP工具可透過識別漏洞、修正錯誤配置和限制存取控制,從而將攻擊面降至最低。

提高可見度:CWP可讓您集中檢視雲端安全態勢,安全團隊可識別趨勢、分析風險並做出更明智的雲端安全決策。 

優化成本和工作流程:具有自動化工作流程、警報、政策和範本的CWP解決方案,有助於降低因安全事故而導致的昂貴入侵和停機風險。

作為CWP及其他措施的一部分,您可以使用雲端安全技術和最佳實踐來克服雲端複雜性,讓雲端更加安全,例如:

使用雲端漏洞管理來找出雲端工作負載中的漏洞,如遺漏的補丁和錯誤配置或過時的軟體。這可以幫助您了解需要套用哪些補丁、升級或其他安全修復,以防攻擊者利用這些漏洞。

進行威脅搜尋,主動搜尋雲端工作負載威脅,以便在發生損害前作出回應。

詳情請看:

Cloud Workload Protection: The Key to Decreasing Cloud Security Risks

Posted in  on 6月 26, 2026 by Kevin |  

Help net security:人工智慧驅動的攻擊如何加速零信任策略的轉變

在當前的網路環境中,人工智能生成的深偽視頻和合成身份欺詐等新興威脅正日益嚴重。這些創新手段讓攻擊者能以更大規模、更低技術門檻實施個人化攻擊,為威脅環境火上加油。有鑑於此,越來越多企業採納整體零信任策略以應對不斷演進的網路威脅。 

然而,零信任架構的實施之路並非一蹴而就。美國等西方國家的企業在推行零信任策略時面臨諸多挑戰,部分原因在於長期累積的老舊技術基礎設施,以及不同團隊分散管理憑證等問題,增加了整合的困難度。此外,一些高層領導或許只是在口頭上支持零信任,卻未真正將其視為當務之急,導致預算和人才荒之困境難以解決。

要有效實施零信任策略,首席信息安全官(CISO)需先審視企業的身份和設備安全性,並盤點所有密碼資產,釐清所有權歸屬。同時參考政府機構如CISA、NIST等單位的指引,有步驟地推進零信任進程。 CISO應向高層闡明零信任與企業管治的關聯,助其意識到投資零信任實為職責所在,並強調聯邦機構已加大處罰力度,要求加快數據外洩披露,追究高管責任。

企業高層有責任創造包容、多元的企業文化,為技術團隊提供持續培訓,吸引並留住頂尖人才,特別是神經多樣性人才,以鼓勵多元思維,應對人工智能驅動的新興網絡攻擊策略。

展望未來,隨著通用人工智能的發展,我們正邁入一個新時代,需要人工智能驅動的網路防禦,以應對攻擊的規模和速度。預計各類組織無一例外都將成為高價值目標,勢必重視零信任安全。此外,數字身份將成為零信任的關鍵樞紐,全球對於數字身份認證的法律法規立場存在分歧,這一發展將影響後零信任時代的網路安全走向。

總的來說,零信任策略是當前及未來應對日新月異網路威脅的必由之路。儘管推行過程艱鉅,但企業領導層和技術團隊有責任跨部門攜手合作,投入必要資源,建立完善的零信任防禦體系,以確保企業和利益相關者的數據和系統安全。

詳情請看:

How AI-powered attacks are accelerating the shift to zero trust strategies

Posted in  on 6月 25, 2026 by Kevin |  

Juniper:WAN 人工智慧:簡單、無縫且安全的分公司連線 — 現在透過通用平台

近年來,廣域網路(WAN)管理的複雜度與挑戰與日俱增。網路運營商不僅需要應對複雜的操作流程、擴展性不足等問題,更需確保為每位終端用戶提供卓越的體驗,快速找出並解決根本問題。有鑑於此,賽普拉斯公司推出了AI本地化網路平臺,透過共同的雲端AI運營(AIOps),實現跨所有網路域的端到端保證,簡化網路操作,讓每個體驗都能可靠、可衡量且安全。

該平臺利用來自所有網路用戶和設備的正確資料,提供實時響應,讓運營商能夠快速補救問題。同時,通過適當的雲端原生和API連接的安全基礎設施,實現可靠的大規模性能。今年6月5日,賽普拉斯公司宣布了多項令人振奮的AI本地化網路平臺創新,利用AI的優勢進一步簡化分支機構的安全管理。

他們擴展了Juniper Mist WAN 保證、Premium Analytics和Marvis虛擬網路助理(VNA),提供簡單、無縫且安全的SD-WAN和SASE體驗。更令人興奮的是,他們推出了業界首個將AI本地化自動化和洞見應用於傳統邊緣路由拓樸的路由保證產品。

在SD-WAN管理方面,Marvis Minis現已覆蓋校園和分支機構的無線、有線和SD-WAN全棧,通過持續自動測速,確保網路按承諾提供服務,即使沒有用戶在線也能解決SD-WAN問題。新的WAN保證功能還包括監控阻塞的服務級別期望(SLE)、動態包捕獲(dPCAP)和應用程序路由洞見,為IT團隊提供卓越的終端用戶體驗。

在安全性方面,Premium Analytics產品中的新安全洞見儀表板通過集成洞見和審計儀表板,簡化了安全和網路團隊的工作流程,提高了效率和敏捷性,同時降低了運營成本。

最後,Juniper Mist路由保證將高性能MX系列路由器(起始為MX204和MX304)和ACX7024納入Mist體系,為客戶提供統一的雲端原生管理體驗和業界領先的AIOps解決方案。

總的來說,這些SD-WAN、WAN和安全性的創新,為組織帶來簡化的操作、流程化的工作流程、提高生產力,並保證了終端用戶的卓越體驗。複雜且分散的WAN和安全管理工具、被動和耗時的故障排除、長期的性能問題,都將成為過去式。賽普拉斯公司正引領著AI本地化網路的未來發展方向。

詳情請看:

AI for WAN: Simple, Seamless, and Secure Branch Connectivity—Now Via a Common Platform

Posted in  on 6月 24, 2026 by Kevin |  

Juniper:人工智慧和邊緣路由:完美結合

科技日新月異,企業為了與時俱進並保持競爭力,必須與時並進,持續革新。在數位化趨勢下,企業面臨著諸多挑戰,其中廣域網路(WAN)邊緣設備的現代化升級就是當務之急。

傳統的路由基礎設施升級換代往往困難重重,企業為了避免風險往往拖延重要的WAN變革和升級。一旦進行變更,也常因人為疏失而產生基本的設定錯誤。這些問題不僅增加了營運風險,若WAN發生故障、效能低落或安全性出現問題,更可能為企業帶來實質金錢損失。

另一個重大挑戰是,許多企業難以覓得足夠的IT人力資源,尤其是負責邊緣路由器的技術人員。有鑑於此,自動化和遠端操作對於分散企業來說至關重要。因此,Juniper推出了新的Juniper Mist™ Routing Assurance產品,讓Edge MX和ACX系列路由器也能受惠於人工智慧為本(AI-Native)的網絡架構。

作為雲端服務,Juniper的新路由保證產品可簡化操作,有效地監控、分析和迅速解決分散辦公室、WAN邊緣和對等位置的問題。此外,Marvis虛擬網絡助理(VNA)的擴展功能允許網路操作人員查詢網路配置並詢問有關產品的詳細問題,大幅提升效率。

具體而言,我們的邊緣路由器組合提供了以下功能:簡化MX304、MX204和ACX7024設備的上線流程;透過Mist控制台提供BGP、Class of Services和佇列管理等路由器洞見;關鍵事件與建議的主動措施;以AI為本的服務級別期望值(SLE),用於監控設備健康狀況。

這為Juniper客戶和合作夥伴帶來了以下關鍵好處:

在影響使用者之前就主動偵測和修復路由問題

簡化並自動化作業,提高生產力 

透過根本原因分析和可執行見解來減少平均故障修復時間(MTTR)

一個AI原生且以雲端為本的平臺,支援所有WAN邊緣使用案例(如SD-WAN、SASE和邊緣路由)等,最小化營運支出並簡化分散企業中所有WAN環境的操作

同樣的Mist AI和雲端平臺也可用於有線和無線接入,為校園和分支機構提供業界唯一的AI原生網絡平臺,確保端到端的無縫體驗

此外,Juniper的邊緣路由解決方案也是實現客戶可持續發展目標的關鍵推手。相較於競爭對手,Juniper的路由器功耗低達77%,節省空間高達64%,而且使用壽命可長達12年,有助於減少電子廢棄物。Mist AI還被證明在某些案例中可減少高達85%的現場支援次數,從而減少車輛上路,為環境保護盡一份心力。

總而言之,Mist AI與Juniper路由器組合猶如朱古力與花生醬,絕對是絕配。

期待有更多機會深入瞭解這項創新技術!敬請關注ESG的「AI原生需求」白皮書、下載Juniper AI原生企業路由解決方案簡介、觀賞推出視頻或短版示範影片。此外,也很值得留意我們與IDC合作舉辦的WAN現代化網路研討會。

詳情請看:

AI and Edge Routing: The Perfect Marriage

Posted in  on 6月 23, 2026 by Kevin |  

Juniper:什麼是「AI洗車」? ……以及為什麼你應該關心

人工智慧(AI)技術正逐漸融入各行各業,為社會與商業營運帶來前所未有的變革。然而,隨著AI概念的熱潮興起,部分企業為了吸引投資或提高產品吸引力,卻存在夸大或誤導AI應用的情況,這種行為被稱為"AI washing"。作為消費者和投資人,我們有必要正視AI washing的問題,並培養識別真正AI技術的能力。

AI washing現象之所以存在,主要是由於AI相關投資和高估值公司的誘人前景所致。企業為了快速打上"AI"的招牌,往往將簡單的算法或根本沒有AI技術的產品,渲染成具有AI功能。這不僅違背了透明與誠信的原則,更影響了整體科技產業的發展。幸運的是,證券交易委員會(SEC)和聯邦貿易委員會(FTC)等監管機構已警告公司勿作出虛假的AI宣傳,並將視情況進行調查。

那麼,我們作為一般大眾又該如何區分真正的AI技術呢?首先,我們應該記住AI並非全新技術,任何真正運用AI的公司都應該具有多年的研發歷程。在評估潛在供應商時,我們可以針對其AI運營解決方案提出一些關鍵技術問題,例如:

1. 他們的AI運營解決方案能否預測整個網路的使用者體驗?

2. 他們的客戶支援團隊是否使用自家的AI運營解決方案?  

3. 他們的數據科學團隊和客戶支援團隊是否密切合作?

4. 他們是否能提供使用AI運營解決方案減少支援票證、改善使用者體驗的客戶案例?

5. 他們的AI運營解決方案是否建基於微服務雲端架構,能夠頻繁且靈活地推送新版本而不中斷服務?

此外,評估AI運營解決方案時還應考慮三個關鍵因素:資料的品質與數量、實時反應的準確性,以及可擴展的基礎架構。優質的AI必須建立在足夠且高品質的資料基礎之上,並透過演算法提供即時且準確的反應,同時還需要雲端原生的架構,以隨著業務發展進行擴展。

不過,也有企業自2015年起就致力於開發真正的AI技術,朱馳科技(Juniper Networks)就是其中之一。他們的Mist AI引擎結合了AI、機器學習和數據科學技術,能夠與人類IT專家並駕齊驅地部署和操作網路,為客戶提供以體驗為本的網路服務。服務現場(ServiceNow)和Gap公司等客戶,透過使用Mist AI分別減少了90%和85%的網路問題單和現場維修。朱馳科技的AI原生網路平台更是將AI技術擴展至整個產品組合,確保終端使用者和操作人員獲得最佳體驗,並簡化端到端的所有網路領域操作。

在AI浪潮下,識別企業的真實AI能力將是一項重要的挑戰。我們應該保持理性和警惕,詳細了解技術細節,多提出具體問題,而不是被夸大的宣傳語所迷惑。只有建立在透明與誠信基礎上的AI技術,才能真正幫助企業提高效率和創新能力,推動科技發展,造福社會。

詳情請看:

What is “AI Washing”? …and Why You Should Care

Posted in  on 6月 22, 2026 by Kevin |  

Kaspersky:針對飯店業務的電子郵件攻擊

最近,酒店業遭受了一波有組織的網路攻擊,許多酒店員工接獲了虛假的客訴或查詢郵件,內含釣魚連結或惡意檔案。這些電子郵件經過精心設計,看似正常的客戶來信,探詢房價、設施等細節,或抱怨服務品質等。但無論是哪種主題,真正目的都是誘使員工開啟內含惡意軟體或釣魚網站連結的檔案。一旦中招,駭客就能盜取員工的登入憑證,進而操控酒店的訂房系統、發送詐騙郵件等。

這種攻擊之所以具有殺傷力,主要有三個原因。首先,酒店員工的工作天生需要積極回覆客戶的各種疑問,難免操之過急而疏忽了警惕。此外,攻擊者往往利用常見的免費電子郵件服務,讓偽造的郵件來源看似合理。最後,部分惡意信件甚至先以無害問題作為開場,待建立起信任感後才送出釣魚連結,更加難以防範。

雖然這波攻擊針對酒店業,但其實任何企業都有類似的風險,員工隨時可能成為網路犯罪份子的攻擊目標。因此,加強員工的資訊安全意識訓練是當務之急。讓員工熟悉釣魚郵件的常見手法,提高警覺小心開啟任何來歷不明的檔案連結。從組織層面而言,架設郵件閘道過濾垃圾郵件、安裝防毒防駭軟體等措施,也可為公司網路環境加添防護。

總的來說,提高全體員工的資訊安全素養,建構多層次的防護機制,將是企業因應新興網路威脅的不二法門。

詳情請看:

E-mail attacks on the hotel business

Posted in  on 6月 21, 2026 by Kevin |  

The hacker news:下一代 RBI(遠端瀏覽器隔離)

瀏覽器安全是現代網絡世界中不容忽視的重要課題。隨著網絡威脅的不斷演進,傳統的瀏覽器隔離技術已逐漸露出其不足之處。基於虛擬化機制的瀏覽器隔離方案雖然有效隔離了惡意程式碼對終端設備的威脅,但其所付出的效能代價卻也令許多企業組織卻步。在如今高度依賴瀏覽器和雲端服務的工作環境下,效能影響更是顯得無法承受。

除了效能方面的挑戰外,網絡威脅的類型也產生了變化。傳統的瀏覽器隔離技術主要針對的是惡意程式碼下載和瀏覽器漏洞利用,但現今的網絡威脅已不僅限於此,更多元化的手法如網絡釣魚、惡意擴展程式的植入等,都凸顯出瀏覽器隔離無法完全解決當代網絡安全挑戰的事實。

有鑑於此,業界開始尋求新一代的瀏覽器安全解決方案,其中最具革命性的便是安全瀏覽器擴展技術。相較於將瀏覽器完全隔離在虛擬化環境中執行,安全瀏覽器擴展以原生整合的方式嵌入瀏覽器,在不影響使用者體驗的前提下,實時監控和分析瀏覽器中的每個元件載入過程,有效識別和阻止各種網絡威脅,包括惡意檔案下載、憑證竊取以及未經授權的擴展程式安裝等。

安全瀏覽器擴展技術的優勢主要體現在以下幾個方面:

1. 無效能影響:與耗費大量CPU資源的瀏覽器隔離技術不同,安全瀏覽器擴展對瀏覽器效能的影響可以忽略不計,完全不會影響使用者的正常上網體驗。

2. 輕鬆部署:安全瀏覽器擴展可以集中在受管理設備上部署,也可在非受管理設備上輕鬆安裝,非常適合各種工作場所和第三方使用情況。

3. 全方位可視性:傳統瀏覽器隔離僅提供隔離環境的輸入輸出資訊,無法深入了解瀏覽器內部的活動。而安全瀏覽器擴展則可實時洞悉瀏覽器會話中的每個事件,提供無與倫比的可視性和威脅識別能力。

4. 精細風險分析:安全瀏覽器擴展採用機器學習算法持續監控和驗證網頁中各個組件的行為,精準識別惡意活動的風險程度,做出相應的自動化響應,如禁用危險網頁元件或阻止整個網頁訪問。

總的來說,安全瀏覽器擴展技術代表了瀏覽器安全領域的一次重大突破,有望取代已經過時的瀏覽器隔離方案,為企業組織和個人用戶提供高效、安全且無侵入性的網絡保護。展望未來,安全瀏覽器擴展必將扮演重要角色,協助我們有效應對日益複雜的網絡威脅環境。

詳情請看:

The Next Generation of RBI (Remote Browser Isolation)

Posted in  on 6月 20, 2026 by Kevin |  

Cybersecurity insiders:如何確保SaaS平台的安全

透過專有SaaS平台分發雲端解決方案和服務,可以是一種高度獲利的商業模式。成功平台的供應商每年可賺取數億美元的收入,就像Datadog、Hubspot、Salesforce等SaaS市場參與者的例子。

然而,在開發SaaS平台時,供應商必須確保所處理和儲存的數據的安全性。單一次的資料外洩事件,就可能會破壞平台的聲譽,並阻礙成千上萬付費客戶使用該平台。此外,平台供應商也可能會被數據保護監管機構處以罰款。為了避免這些問題,供應商應該適當地保護其SaaS平台,防範網路威脅。

本文涵蓋了SaaS平台面臨的最危險的網路威脅,並提供四個建議,供應商可採取這些措施來減輕風險。

SaaS平台的主要安全威脅

• 惡意軟體攻擊

惡意軟體是任何用於滲透和入侵目標雲端系統或環境的惡意程式。根據Thales 2024年的數據威脅報告,去年有41%的公司遭受惡意軟體攻擊,雲端儲存、SaaS應用程式和雲端基礎設施管理工具都是主要目標。

SQL注入攻擊是對SaaS平台最危險的攻擊之一,它可以讓黑客滲透遍佈整個雲端基礎設施的易受攻擊SQL伺服器。黑客可利用此攻擊污染SaaS供應商的公司數據、竊取敏感客戶資訊或中斷SaaS平台的運作。

• 阻斷服務/分散式阻斷服務攻擊

阻斷服務攻擊是向供應商的伺服器發送大量請求,使SaaS平台無法為用戶提供服務。分散式阻斷服務攻擊是阻斷服務攻擊的大規模類型,它從多個被入侵的來源發出大量流量。根據Cloudflare 2024年第一季度的DDoS威脅報告,與2023年相比,DDoS攻擊的頻率增加了50%。

根據同一份報告,四分之一的DDoS攻擊持續超過10分鐘,而近三分之一的攻擊持續超過1小時。考慮到客戶期望SaaS和雲端服務供應商能提供99.999%的正常運行時間,及時緩解DDoS攻擊對供應商保持競爭力至關重要。

• 內部威脅

內部人員是指獲得授權存取SaaS平台供應商系統、基礎設施或數據的人員(員工、業務合作夥伴等)。濫用這種授權存取權進行蓄意破壞、間諜活動或其他惡意行為,就構成內部攻擊。

Code42在2024年的數據外洩報告中顯示,在2019年至2024年期間,遭受內部攻擊的公司比例從66%增加到76%。根據同一份報告,一起內部攻擊平均會給企業造成1500萬美元的損失。

使您的SaaS平台更加安全的方法

實施安全開發實務作法

SaaS供應商可以在平台開發的早期階段實施適當的安全措施,以減輕許多潛在的安全風險和漏洞。以下是一些有助於構建更安全SaaS平台的作法:

• 威脅建模

威脅建模包括識別未來SaaS平台面臨的最危險威脅、評估其潛在影響,並界定減輕這些威脅的最佳方式。透過使用OWASP Threat Dragon或Microsoft Threat Modeling Tool等工具,IT團隊可以構建和視覺化威脅模型、分析架構設計中的漏洞,並得出如何避免潛在攻擊的見解。

• 軟體構件清單

在製造業中,構件清單(BOM)是列出構建特定產品項目所需的所有組件的清單。供應商亦可在SaaS平台開發中使用BOM,以保持對所有組件的完全可見性。

軟體構件清單(SBOM) 列出了軟體解決方案中所有的程式庫、腳本、授權、服務和其他組件。透過在平台工程期間記錄SBOM,開發人員可以確保完全透明的組件,並簡化平台的漏洞和風險管理。

在實踐中,SBOMs允許開發人員輕鬆追蹤不同軟體組件的當前版本,有助於優先處理軟體修復和更新,防止關鍵漏洞。安全團隊還可以使用SBOM來了解安全事件的範圍,並識別受影響的組件,以更有效地應對潛在的網路攻擊。

• 持續測試

持續測試是在軟體開發生命週期(SDLC)的多個階段實施安全檢查。其中一種重要的持續測試方法是"左移"測試,它使IT團隊能夠在軟體開發的早期階段就檢測出漏洞,因此可以更快、更少資源地消除潛在的網路威脅。

確保ISO 27001和SOC 2合規

ISO 27001和SOC 2是兩種資訊安全標準,可幫助SaaS供應商在其組織內維護IT安全,從而有助於保護所提供解決方案的安全性。儘管遵守這些標準有助於加強數據安全性,但根據Vertice的2023年數據,只有8%的SaaS供應商同時達到ISO 27001和SOC2合規。

ISO 27001側重於建立可靠的資訊安全管理(ISM)系統,而ISM系統又定義了軟體開發過程的安全控制措施。例如,如果供應商內部開發SaaS平台,以ISO 27001為基礎的ISM可以指導公司測試團隊應該多久運行一次安全測試,以及應該運行哪種類型的測試。 

SOC 2也為軟體開發過程制定了必要的數據安全控制措施,有助於使SDLC更加透明、可追蹤和可控制。例如,它規定軟體開發人員必須遵守特定的安全編碼實踐,如輸入驗證或輸出編碼,以避免代碼中的

詳情請看:

How to ensure the security of your SaaS platform

Posted in  on 6月 19, 2026 by Kevin |  

Cybersecurity insiders:幫助台人員是網路犯罪者的側門

根據 Gartner 的預測,到 2024 年全球對於安全和風險管理的用戶支出將達到 2150 億美元,較 2023 年增加了近 15%。這項投資的增長有其原因,單單看看勒索軟體攻擊就足以佐證,根據 Corvus Insurance 最近的研究,2023 年勒索軟體攻擊較 2022 年增加了 68%,創下單年 4,496 起的新紀錄。

雖然企業投資各種新穎科技來強化網路邊界,對抗日益精密的攻擊手法,像是終端偵測與回應、安全存取服務邊緣、身分與存取管理等,但同時也忽視了一些網路犯罪分子可乘之機的關鍵漏洞,其中之一就是 IT 助理服務。

助理服務的確已成為網路犯罪分子的側門入口。要瞭解這個疏忽有多嚴重,不妨看看去年 9 月拉斯維加斯一家頂級度假村的遭遇。當時有駭客利用 Linkedln 取得一名員工的資訊,然後做了一些社交工程學手段,成功駭入 IT 助理服務端重設了該員工的帳號,接著就是一連串的不幸事件,最終演變成一起徹底的勒索軟體攻擊。影響簡直是災難性的:客房電子鑰匙失效、信用卡終端關閉、老虎機當機等等。

在這場攻防戰中,企業為了抵禦日益精密的攻擊所投注的龐大資金,和這次事件形成了強烈對比,因為攻擊者取得進入點的管道其實是一個使用者帳號,而其手法則是再簡單不過的社交工程學。儘管如此,這種方式還是讓駭客在短時間內就可跳過數個步驟。

最近我常聽到這種說法:「攻擊者並不侵入,他們是直接登入的。」上述的那家度假村並非個例,許多其他公司都曾透過助理服務受到駭客入侵,因此開始投資安全的多重驗證機制(MFA),要求員工提供多種類型的驗證資訊。MFA 固然是好的第一步,但單憑它是不夠的。

許多企業漏掉了重要一環,就是沒有投資驗證使用者身分的程序,導致當駭客掌握了某些關鍵個人資訊,能通過這類驗證程序時,他們就能說服助理人員重設帳戶密碼或 MFA 機制,然後就輕易取得一大堆特權資訊的存取權。

要徹底杜絕這類側門漏洞並防範入侵,助理人員應該採取多步驟驗證的程序,藉由要求使用者提供不只一種驗證資訊,降低駭客有機會接管帳號的風險。關鍵在於要向使用者詢問在 Linkedln 或其他社交媒體平台無法取得的訊息,而不是再使用過度使用的安全性問題,像是母姓名、成長街道或高中校名等相對可見的資訊。

另一項可行的程序是增加可視化的驗證環節,像是透過視訊電話,由員工的主管或同事上線進行身分確認;企業也可進一步投資運用人臉辨識科技,並結合其他背景資訊來驗證身分。

最後一組可考慮的驗證要素是位置、網路和時間等資訊,以確認使用者的身分。

培訓助理人員意識

有必要培訓助理人員瞭解駭客最新的手法。例如駭客常常製造出一種假的緊急狀況,期盼對方為了立即處理或獲得存取權,就會省略關鍵的驗證程序,而直接給予他們所要求的資訊。尤其當駭客冒充公司的高階主管時,這種手段更是屢試不爽。因此,所有助理人員都應接受相關訓練,學會識破這類伎倆並做出適當因應。

受過良好訓練的助理人員,在詢問一連串的個人問題時也應該能夠洞察其他蛛絲馬跡。比如有時候助理可能會發現對方在回答一些基本的問題時,反應異常緩慢,這就很可能表示對方不是自己宣稱的那個人。  

限制個資過度外洩

除了助理服務端外,公司的安全團隊也應該教育所有員工,自律不要在社交媒體平台上過度分享個人資訊。正如我們自身的經驗,很多網站在你忘記密碼時,都會問類似的驗證問題,比如你成長的街道、第一所就讀學校、高中校名、母親的娘家姓氏等等。同時我們也都知道,很多人都無意間在社交媒體上分享了這些資訊,導致任何人都可以取得答案。因此公司應該與員工密切合作,確保他們在網路上分享的訊息,與公司使用的驗證問題無關。    

在這個日益精密的網路攻防大戰中,利用助理服務端的手法儘管簡單,卻暴露了漏洞,很可能成為其他駭客的新興目標。因此企業必須立即採取行動,透過投資額外的解決方案以及加強人員訓練,堵住助理服務這扇側門,確保不會將企業的大門鑰匙交給不該得到的人。

幸運的是,只要投資相關的解決方案並落實對助理人員和一般員工的教育訓練,就能有效防堵助理服務這個入侵路徑。

詳情請看:

Help Desk Personnel are the Side Door for Cybercriminals

Posted in  on 6月 18, 2026 by Kevin |  

Bleeping computer:FBI 警告假遠距工作廣告用於加密貨幣欺詐

在這個虛擬世界中,必須時刻保持警惕,小心各種新興的網路犯罪手法。FBI警告,最近出現了一種利用假冒遠端工作的廣告,誘使求職者付出加密貨幣的詐騙手段。這種手法往往先以合法公司的身分,在網路上張貼一些看似簡單的遠端工作機會,如線上評論或"優化"某項服務等。

一旦求職者上鉤,詐騙集團就會要求他們支付少量加密貨幣作為"入會費"或"啟用費"。為了增加這個陷阱的說服力,他們甚至會製作一個虛假的入賬網站,讓受害者以為自己真的在賺錢。不過,當受害者想提款時,卻發現根本無法領取任何收益。

這種手法極具欺騙性,它既利用了人們對遠端工作的渴求,也利用了加密貨幣的神秘面紗。很多人對加密貨幣的運作並不太了解,因此更容易被蒙蔽雙眼。更可悲的是,一旦付出加密貨幣,想要追回損失就相當困難。

FBI建議公眾,如遇到任何要求先行付費的工作機會,都應當提高警惕。切記永遠不要向未經證實的雇主支付任何金錢,也不要輕易在網路上透露自己的財務和個人資訊。一旦發現有詐騙嫌疑,應立即向執法單位報案。

事實上,任何看似簡單、賺錢快速的工作機會,都應當存疑。正當管道的遠端工作和實體工作一樣,會有正規的申請流程,不可能一開始就要求付費。我們切記求職時要多加查證,不要被蜜糖般的誘餌所迷惑,小心上當受騙。

此外,這起案例也再次凸顯了加密貨幣在犯罪領域的風險。由於加密貨幣交易相對匿名、難以追查,因此常被不法分子利用作為洗錢或詐騙工具。作為消費者,我們在使用加密貨幣時,必須格外小心,只透過合法經營的交易所或轉帳平台進行交易,切勿輕易將私鑰交付第三方。

總的來說,這起詐騙案例警示我們,在虛擬世界中,要保持理性和警覺。不論是求職、交易還是其他活動,只要涉及金錢往來,就一定要格外謹慎。我們要學會分辨真偽,提高對犯罪手法的認知,遠離一切有異味的"賺錢快速"陷阱,才能避免上當受騙,維護自身的權益。

詳情請看:

FBI warns of fake remote work ads used for cryptocurrency fraud

Posted in  on 6月 17, 2026 by Kevin |  

微軟:創建具有身分和網路安全的信任結構的四個階段

建構一個完整信任體系(trust fabric)以確保身份和網路安全是一個分階段的過程。文中分為四個階段,每個階段都針對不同的優先目標,逐步建立和強化組織的整體安全防護。

第一階段是建立零信任存取控制(Zero Trust access controls)。這是最基礎的一步,目的是保護身份識別、防範外部攻擊,並透過強化驗證和授權控制來明確驗證。文中指出,身份識別是防禦的第一線,也是最容易受到攻擊的區域。因此,透過單一簽入、防釣魚的多重身份驗證或無密碼驗證,以及細緻的條件式存取政策等機制,來制定出有效的零信任策略至關重要。

第二階段是為遠端混合勞動力(hybrid workforce)提供安全存取。隨著遠端工作模式日漸普及,傳統的公司網路邊界已不復存在,組織必須擴大零信任策略的涵蓋範圍。關鍵是要統一身份、終端和網路的條件式存取控制,並將其延伸到內部部署應用程式和網際網路流量,確保每個存取點都受到同等保護。同時實施最小權限存取原則,使用戶只能在必要時存取所需資源,並盡量減少對舊有內部部署安全工具的依賴。

第三階段則是為客戶和合作夥伴提供安全存取。現代客戶身份與存取管理解決方案(CIAM)可協助建立以使用者為中心的無縫體驗,安全地與客戶互動並與組織外部人員合作。組織需要保護外部身份,透過細緻的條件式存取政策、詐欺防護和身份驗證等措施,確保安全團隊了解這些外部使用者的身份。同時也要管理這些外部身份及其存取權限,只允許他們存取所需資源。此外,簡化開發人員體驗也很重要,讓每個新應用程式在一開始就內建強大的身份控制機制。

最後一個階段是保護對多雲端環境中任何資源的存取。隨著雲端服務的快速成長,工作負載身份數量已超過人類身份十倍以上,且大多數超級身份實際上是工作負載身份。因此,有效管理跨雲端的存取權限是非常複雜的挑戰。未來,雲端存取管理需要統一平台,可提供對所有身份(人類和工作負載)的權限和風險的全面可見性,並確保對任何雲端中的任何資源的安全存取。

總的來說,構建一個完整的信任體系需要循序漸進,從基礎的零信任存取開始,擴展到混合勞動力、外部身份和跨雲端資源。這需要結合身份識別、終端、網路、資料、雲端等不同領域的安全措施,並透過先進的人工智慧能力,在實現自動化和提高效率的同時,全面提升組織的身份和網路存取安全水平。

詳情請看:

The four stages of creating a trust fabric with identity and network security

Posted in  on 6月 16, 2026 by Kevin |  

Mcafee:如何保護自己免受魚叉式網路釣魚詐騙

網絡犯罪分子日益精密的手段,使我們在網路世界裡必須格外提高警惕。騙徒利用社交工程學,詐騙受害者轉帳金錢或取得敏感數據,造成鉅額損失。「魚叉式網路釣魚」就是最典型的一種手法,犯罪份子針對特定目標(如高階員工)精心策劃,冒充可信的組織或個人,誆騙受害者點擊惡意附件或連結,感染電腦病毒並遭資料外洩。

2016年在沙烏地阿拉伯發生的Shamoon2攻擊就是一個顯著案例。駭客針對當地企業發送看似無害的附件郵件,當受害者打開後就讓電腦中毒,企業機密外洩,系統更被全面清除。可見網路釣魚手法殘酷有力,損害慘重。

現在更有罪犯利用AI深度偽造視訊影像,冒充員工身分進行視訊會議欺騙。去年2月香港就發生一起駭客用深度偽造視訊,哄騙企業財務主管匯出2500萬美元的案件。科技日新月異,網路犯罪手段也與時俱進,我們絕不能掉以輕心。

要抵禦網路釣魚攻擊,關鍵是提高警覺,不要輕易相信來歷不明的郵件、連結或附件。遇到可疑內容,應直接透過官方網站或其他管道,向發件機構查證信息真偽。此外,我們也要小心個人隱私外洩,盡量減少在網路上留下足跡,讓罪犯無從獲取相關資訊,針對性地下手。諸如設定社交媒體帳號為私密、清除在線索引個資等,都是很好的防護之道。

世界日新又新,網路犯罪卻也無孔不入,我們只有持續提高警覺,採取有效防護措施,才能遠離網路釣魚的威脅,確保個人、企業的網路安全。切記,高度戒備才是上策,絕不可掉以輕心啊!

詳情請看:

How to Protect Yourself From a Spear Phishing Scam

Posted in  on 6月 15, 2026 by Kevin |  

Juniper:瞻博網路在 MFD11:AI 原生創新提供卓越的無線體驗

近年來,人工智慧(AI)已成為各個產業領域的焦點和發展重心。網路設備製造商Juniper Networks積極運用AI技術,推出創新的「AI原生網路平台」,為無線網路體驗帶來革命性的轉變。在最近的Mobility Field Day 11活動上,Juniper分享了平台的最新突破,展現他們引領無線網路未來發展的決心。

Juniper的「AI原生網路平台」建基於三大核心理念:「正確的資料」、「實時適當的回應」,以及「合適的基礎設施」。平台透過尖端的遙測技術和各種資料來源,獲得前所未有的網路績效見解;憑藉九年以上的Mist AI引擎經驗,平台能做出主動、因應環境的反應,帶來實際成效;整個生態系統跨越有線、無線、SD-WAN、存取控制等領域,全面整合AI能力。

Juniper在此次活動上公布的新功能令人振奮。「Marvis Minis」是業界唯一的AI原生網路數位體驗雙生模擬器,能模擬使用者連線前後的體驗,確保最佳效能。AI驅動模型不斷進化,能高精準度預測並遏止網路問題,協助IT團隊快速解決問題,省卻高額的現場支援成本。

人工智慧助理Marvis的自然語言互動能力使網路管理更加直覺,並新增了主動尋找和修復網路、應用程式及安全性問題等功能,讓客戶和合作夥伴能在降低營運成本之餘,超前滿足用戶需求。Shapley資料科學模型與持續的使用者體驗學習機制相互整合,開啟許多改善Zoom會議和Teams通話體驗的全新使用案例,並可驗證問題根源是在用戶端、應用程式、區域網路、線上網路等哪個環節。

「AI原生動態頻譜捕捉」技術則提供無線電頻譜的高可見度,簡化了疑難排解操作,找出無線干擾根源,減少現場派遣的需求。這些創新說明了Juniper對推進無線網路技術,締造卓越連線體驗的決心和努力。

AI的加入顯然使無線網路連線體驗邁入嶄新的里程碑。Juniper不僅是發明新技術,更致力於將AI的潛力完全發揮,改革網路設備營運模式。隨著Juniper持續突破創新,我們期待公司能引領整個產業向前邁進,共同塑造連線的美好未來。

詳情請看:

Juniper at MFD11: AI-Native Innovations Deliver Exceptional Wireless Experiences

Posted in  on 6月 14, 2026 by Kevin |  

微軟:為開發人員介紹個人資料加密

微軟最近推出的個人資料加密(Personal Data Encryption, PDE)功能,為開發人員提供了一個重要的安全防護措施,可在裝置解鎖後保護敏感使用者資料,防範惡意攻擊者透過物理攻擊竊取個資。這項新功能結合BitLocker全磁碟加密,為Windows裝置帶來更全面的資料保護。

PDE的運作原理是利用Windows Hello生物特徵辨識系統,將資料加密金鑰與使用者憑證綁定。當使用者登入裝置時,解密金鑰就會被釋放,使加密的資料可以被存取。PDE提供兩種保護等級:第一級在首次解鎖後可持續存取資料;第二級只在裝置解鎖時才能存取受保護的資料,提供額外的安全層級。

PDE API提供了一系列低階API,讓應用程式開發人員能加密使用者內容。這對於處理大量敏感資料的行業如國防、金融、醫療和保險業來說,是一項非常實用的功能。開發人員可透過API保護資料夾、檔案和緩衝區,並指定保護等級。而當需要存取這些被保護的資料時,也能使用API來解密。

整體而言,PDE的設計考量周全,提供應用層級的保護,有助於確保使用者個資的安全,避免駭客藉由物理攻擊竊取資料。不過值得注意的是,PDE目前只能在Windows企業版和教育版作業系統上使用。

展望未來,我期待微軟能持續強化PDE的功能,例如增加動態設定保護等級的彈性、支援串流資料的加密、提供更多事件回呼等,以滿足更多元的開發需求。而對使用者來說,也希望PDE能在未來普及至其他Windows版本,讓所有使用者都能受惠。總的來說,PDE是一項重要的新功能,將有助於提升Windows平台的資訊安全防護力。

詳情請看:

Introducing Personal Data Encryption for developers

Posted in  on 6月 13, 2026 by Kevin |  

Help net security:加密記事本:開源文字編輯器

在這個大數據時代,隱私權成為人們普遍關注的問題。無論是個人通訊紀錄、金融資訊,還是簡單的文字文檔,都可能遭到駭客入侵或惡意監控。因此,保護個人數據的安全性和隱私性變得至關重要。

在這樣的背景下,Ivan Voras開發的開源加密文字編輯器Encrypted Notepad應運而生。這款軟體擁有創新的加密機制,能夠以AES-256算法加密保存和載入文件,確保文字內容的機密性。它不僅沒有廣告,而且不需要網路連接,也沒有多餘的功能,堪稱簡潔實用。

Encrypted Notepad的操作界面非常簡約,類似於Windows內建的記事本程式,只有基本的文字編輯功能。這一特點使其專注於核心任務,避免了不必要的功能拖累,為用戶提供了流暢高效的使用體驗。

除了使用AES-256強大的加密演算法外,Encrypted Notepad還採用了PGP/OpenPGP .asc格式儲存加密文件。這一開放標準可與其他工具互通,大大增強了檔案的移植性和可擴展性。值得一提的是,軟體使用了多個知名的密碼學函式庫,如ProtonMail、CloudFlare和Golang庫,從源頭上確保了加密過程的可靠性。

這款加密記事本最大的優勢在於其開源屬性。作為一款免費開源軟體,它接受全球開發者的審查和優化,能夠及時修復漏洞,持續提升安全性能。同時,開放的源代碼也增強了軟體的透明度,消除了普通用戶對隱藏後門的疑慮。

對於那些重視隱私保護、希望安全保存文字文檔的用戶而言,Encrypted Notepad絕對是一款值得信賴的工具。它不僅操作簡單,而且確保了數據的機密性,有助於避免敏感內容遭到泄露。可以預見,隨著隱私保護意識的不斷增強,這類加密文字編輯器將獲得更多認可和應用。

展望未來,Encrypted Notepad的開發者計劃優化用戶界面,進一步增強實用性。不過,保持軟體的簡約本質也是他們的目標。總的來說,作為一款隱私保護工具,Encrypted Notepad可圈可點之處不少。它為用戶文檔的加密保護提供了可靠方案,充分體現了開源開發模式的優勢和潛力,值得人們關注和支持。

詳情請看:

Encrypted Notepad: Open-source text editor

Posted in  on 6月 12, 2026 by Kevin |  

Mcafee:關於選舉安全您需要了解什麼

當今世代,確保選舉安全性是維護民主制度的重中之重。隨著各界對選舉干擾和舞弊的疑慮日增,國家無疑應加強各項防護措施,但作為選民,我們亦責無旁貸。保障投票權利,維護公平公正的選舉過程,是每一位公民應盡的基本公民義務。

在眾多確保選舉安全性的要素中,資訊正確性首當其衝。謠言滋事在所難免,我們必須提高警惕,只相信官方渠道的資訊。同時,切忌在網路上隨意傳播未經核實的消息,避免助長混亂。此外,保護個人資料也是重中之重,切勿輕易向任何未經身份查證的人士透露敏感資料。

投票當日更應嚴加防範。無論親身前往投票站或以郵寄方式投票,都要確保遵循正確的程序,並警惕任何可疑的異常狀況,如投票機遭竄改、工作人員行為可疑、或試圖恐嚇投票民眾等,一旦發現立即向有關當局舉報。另一方面,身為新手投票民眾,更應提早了解投票過程和規範,蒐集候選人資訊,妥善計劃前往投票的時間和交通方式,並在需要時尋求協助。

除了我們每位選民須小心謹慎之外,國家也理應促進公眾對選舉安全性的瞭解。透過新聞媒體解說各種保護措施,如使用實體選票、選後審計、網路安全防禦等,讓民眾對程序有充分認知,加強對制度的信心。與此同時,鼓勵民眾提早投票,分散高峰期人潮,為順利投票創造良好環境。

總括而言,確保選舉安全不應只是政府的責任,每一位選民也扮演著舉足輕重的角色。我們必須保持高度警惕,認清可信資訊來源,瞭解並依循正確投票程序,對任何違規情事即時舉報,持續關注選舉新聞動態。只有全民共同珍惜手中神聖的一票,方能捍衛民主核心價值,維繫自由公正的社會。讓我們成為盡責的公民,攜手維護選舉純淨,共同譜寫璀璨的民主願景。

詳情請看:

What You Need to Know About Election Security

Posted in  on 6月 11, 2026 by Kevin |  

Help net security:缺乏技能和預算導致零信任實施緩慢

在當前的網路時代,網路安全已成為企業和個人無法忽視的重大議題。隨著網路攻擊手法日益精密,加上人工智能的快速發展,網路威脅正以驚人的速度持續擴大。因此,採取"零信任"安全策略以確保系統和數據的安全性,已成為當務之急。

根據Entrust的"2024年零信任與加密狀態調查"顯示,近三分之二的組織將預防網路入侵列為實施零信任策略的主要驅動力。這一趨勢在美國更為明顯,有79%的組織將網路入侵風險和攻擊面擴大列為主要原因。此外,有41%的受訪者表示,他們投資於安全的主要目的是減少數據外洩或其他安全事件的風險,而不再僅僅是為了遵守法規要求,這反映了組織對安全投資動機的重大轉變。

然而,儘管60%的組織獲得了高層領導的大力支持,但缺乏人才和預算仍然是阻礙零信任框架實施的最大障礙。這凸顯了支持和資源分配之間的矛盾。值得關注的是,只有48%的美國組織已開始自己的零信任之旅,這令人擔憂西方實體雖然意識到問題的嚴重性,但卻無法採用零信任,使他們面臨網路威脅的風險。

此外,46%的受訪者將黑客暴露敏感或機密數據列為他們最大的安全顧慮,其次是系統或流程故障以及未經管理的證書。值得注意的是,在過去八年中,組織首次沒有將員工失誤列為頭號安全威脅。

最後,50%的受訪者表示,人員短缺、47%認為缺乏明確的所有權歸屬、46%指出人員配置不足,是導致憑證管理面臨挑戰的主要原因。

總的來說,零信任安全策略已成為當前網路安全的必由之路。企業需要高度重視網路威脅,合理分配資源,提升人員素質,並建立明確的責任歸屬,方能有效實施零信任框架,保障企業和客戶的數據、網路和身份安全。我們有必要提高警惕,積極採取行動,以應對日益嚴峻的網路威脅形勢。

詳情請看:

Lack of skills and budget slow zero-trust implementation

Posted in  on 6月 10, 2026 by Kevin |  

Help net security:apexanalytix Cyber​​ Risk 為供應商資料外洩提供即時警報

在現今數位時代,網路安全風險對企業營運構成了前所未有的威脅。根據報導,合作夥伴數據外洩事件約佔所有網路攻擊事件的15%,每年造成企業平均高達476萬美元的損失。這無疑是一個令人震驚的數字,足以凸顯網路安全防護在供應鏈管理上的重要性。

有鑑於此,apexanalytix推出了Cyber Risk解決方案,透過自動評估各供應商的網路安全狀況、持續監控暗網風險,並即時應對影響供應商的威脅,為企業供應生態系統提供全方位的防護。這個創新方案消除了網路安全和供應商管理團隊之間的隔閡,賦予企業對整個供應鏈環節更大的掌控力,有效防範營運中斷。

不可諱言,網路攻擊無疑是當前企業面臨的最大威脅。Cyber Risk解決方案能自動化風險管理的繁瑣程序,讓企業少花精力在行政工作上,專注於制定風險應對策略,提高營運韌性。它提供近乎即時的數據外洩報告,而平均需207天才能識別出數據洩漏事件,大幅縮減風險應對時間。

此外,Cyber Risk解決方案的自動化見解不需專業技術,非網路安全專家也能輕鬆監控供應商健康狀態,真正實現跨部門風險管理。apexanalytix執行長Steve Yurko表示,供應鏈攻擊代價高昂、影響廣泛,因此企業需要對關鍵供應商威脅有全面掌控,而Cyber Risk正是這樣一個"一體化"解決方案。

總的來說,apexanalytix的Cyber Risk代表了該公司在全面風險管理解決方案領域邁出的重要一步,有助於企業因應日益嚴峻的網路威脅。在數位化浪潮下,企業若能打造堅實的網路安全防線,將有利於提升供應鏈抗風險能力和整體營運彈性,終能在激烈競爭中傲視群雄。

詳情請看:

apexanalytix Cyber Risk provides instant alerts for supplier data breaches

Posted in  on 6月 09, 2026 by Kevin |  

Cisco:開放供應鏈資訊模型 (OSIM) 技術委員會簡介

 供應鏈安全性日益成為各行各業企業的重大關注事項。制定標準化、可信賴且可互操作的資訊模型,對於解決這一問題至關重要。為此,OASIS開放供應鏈資訊模型技術委員會(OSIM TC)正在成立,旨在提升全球供應鏈管理水平。該委員會的初始成員包括AT&T、思科、谷歌、微軟、美國網路與基礎設施安全局(CISA)、國家安全局(NSA)等知名企業和機構。

OSIM TC的使命和目標是多方位的,旨在透過精確且靈活的資訊模型提升供應鏈的效率和安全性。該委員會將研究現有供應鏈活動,並與成員分享研究結果,以期識別、參考並盡可能重複使用現有工作,避免重複發明輪子。OSIM TC將專注於闡明清晰的價值主張和制定全面的供應鏈資訊模型使用案例,確保模型與實際應用的相關性。

委員會將制定並維護供應鏈資訊模型標準,涵蓋供應鏈的各個層面。這些標準旨在與當前和未來的行業需求保持高度相關和可應用。透過制定促進一致性和互操作性的標準,OSIM TC旨在打造跨不同平台和行業的無縫整合,構建更加互聯和高效的供應鏈生態系統。

OSIM TC工作的一個重點是促進這些標準的廣泛採用,確保在硬件和軟件供應商以及開放源碼社區中獲得廣泛應用。OSIM TC將為利益相關方提供持續的技術專業知識和指導,指導這些資訊模型標準的應用和演進,確保它們始終處於技術和行業需求的前沿。

委員會的主要交付成果包括:

1.價值主張和使用案例:用於解釋資訊模型、說明它們為何至關重要,以及如何在不同的供應鏈情況下加以利用。

2.供應鏈資訊模型標準:OSIM TC將發佈一個或多個全面的規範,詳細說明資訊模型。

3.實施指南:OSIM TC將提供實用指南,協助將這些標準整合到操作中。

4.開源工具和知識庫:該委員會將創建工具、參考實現、常見問題解答等資源,以支持技術委員會工作產品的知名度和採用。

OSIM標誌著邁向更加安全、彈性供應鏈生態系統的重大進展。這項努力凸顯標準化的關鍵作用,展示了如何通過協調一致的指導方針來大幅提升基礎設施的完整性和安全性。

總的來說,OSIM TC致力於加強供應鏈安全性與透明度,透過制定通用標準與最佳實踐,推動供應鏈生態系統的高效協作與創新發展。隨著供應鏈的日益複雜與全球化,OSIM TC的工作將為企業和組織提供有力支持,從而提升風險管理能力,維護供應鏈的可靠與穩健運作。

詳情請看:

Introducing the Open Supply-Chain Information Modeling (OSIM) Technical Committee

Posted in  on 6月 08, 2026 by Kevin |  

Tenable:網路安全快照:安全、合乎道德地實施人工智慧的 6 種最佳實踐

近年來,人工智慧(AI)技術快速發展,企業和組織紛紛開始採用或規劃導入AI,期望能帶來效率和生產力的提升。然而,AI的應用若未能審慎管控,也可能帶來諸多風險,包括資訊安全、隱私和道德等層面。因此,如何能夠安全、負責任且合乎道德地實施AI,成為各機構當前所面臨的重大挑戰。

  在AI系統的開發和部署過程中,必須從最初階段就將安全性納入考量,透過威脅模型、強化配置和邊界防護等作法,來降低AI系統被入侵和遭到攻擊的風險。此外,AI所需大量的數據來源常涉及敏感資訊,因此必須嚴格管控數據使用,進行去識別化處理、制定隱私權政策等措施,以保障組織和使用者的隱私權,避免數據外洩的風險。

  在AI日新月異的發展下,相關法規正在快速演進。機構應密切留意AI相關法規的發展動向,進行符合法令的風險評估、事故通報,並強化網路安全防護,以確保合規運作。同時,AI應用所可能涉及的合法性、偏見和透明度等道德議題,亦需要有明確的因應準則。

  另一個關鍵面向則是員工培訓。員工必須瞭解AI工具的潛在風險,掌握正確操作方式,避免誤用而衍生資安問題。制定相關政策規範和準則,闡明可使用的資料類型及AI使用範疇,將是重要的防患未然之舉。

  在AI快速發展的同時,各界也正在積極合作、制定相關的安全與倫理標準。加入業內組織和工作小組,參與最新指南的研擬和經驗交流,有助機構擁抱創新並克服AI帶來的風險與挑戰。此外,AI工具的導入絕不應操之過急,必須有全面性、審慎的規劃和評估,考量各項潛在風險,有計畫地逐步推行,才能真正發揮AI之利而迴避其患。

  總括而言,AI雖然富含無窮的應用潛能,但若缺乏周全規劃和管控,同樣可能酿成不可承受的資安和隱私風險。企業和機構導入AI之初,必須審慎評估並平衡利弊得失,從整體性的角度建構符合安全、道德和法規要求的AI治理架構,方能在享有AI之利的同時,遠離可能產生的各種風險和衝擊。

詳情請看:

Cybersecurity Snapshot: 6 Best Practices for Implementing AI Securely and Ethically

Posted in  on 6月 07, 2026 by Kevin |  

Cybersecurity insiders:如何永久阻止勒索軟體,並為勒索軟體復原能力添加缺少的層

近年來,勒索病毒對企業和機構構成了極大威脅,已然成為一種"國家安全、公共安全和經濟發展"的危險。勒索軟件的攻擊手法日益精進,能夠躲避傳統防護措施,成功率也因此大幅提高。要徹底遏制勒索病毒,單單依賴現有的防禦層次已經不夠,我們必須加強防護深度,建立多層次的防線。

報告指出,要對抗現代勒索病毒,我們需要在環境中再加入一層採用全新防禦機制的控制層。新興的"自動化動態防禦"(AMTD)技術,就能有效堵塞漏洞,遏制勒索病毒在各個階段的攻擊行為,從早期入侵到最終執行。

勒索病毒的威脅與日俱增,其背後是開發者和操作者追求暴利的強烈慾望。在獲利動機的驅使下,黑客們不斷研發出更精密的規避手段,使惡意軟件能躲過防火牆、殺毒軟件、終端檢測響應系統等傳統防護措施。舉例來說,2021年"Conti"病毒成功入侵愛爾蘭國家醫療服務體系,主要是採用了"無檔攻擊"的手法,將惡意代碼直接加載至設備內存中執行,避開了掃描不到的防護死角。

這類"無檔執行"、"內存注入"等模糊攻擊方式越來越普遍,甚至出現了基於AI生成的自適應、變形惡意軟件。要堵住這些複雜攻擊的漏洞,單純依賴基於簽名、行為分析的傳統防護是遠遠不夠的,我們需要建立多層次的防護深度。

AMTD技術就是這樣一種創新的補充防線。它通過改變應用程序的運行環境攻擊面,動態調整內存資源的位置,設下陷阱糾纏惡意執行。這不僅能阻擋惡意加密、資料破壞,還能保護系統恢復影子副本免受破壞,阻止憑證被盜取,在內存層面創造不可預測的攻擊面。通過多層保護,AMTD技術能有效遏制MITRE列出的勒索攻擊戰術,包括初步入侵、持久化、權限提升、規避防護、橫向移動和最終衝擊。

總的來說,這份報告向我們揭示了勒索病毒的嚴重威脅,傳統防禦層次的不足,以及採納創新防護技術對構建全面防線的重要性。我認為,AMTD所代表的新興威脅對抗技術,正是我們應當重視並廣泛部署的關鍵一環。只有在防護體係中堆疊更多創新技術,建立多層次、多維度的防線,我們才能真正應對不斷演進的網絡攻擊,遏制勒索病毒這一"國家級"威脅。

詳情請看:

How to stop ransomware for good — and add the missing layer to ransomware resiliency

Posted in  on 6月 06, 2026 by Kevin |  

Cybersecurity insiders:數據責任:利用信任的力量推動成長

親愛的讀者,閱讀這篇文章後,我深有感觸。在當前的數據時代,數據無疑是企業最寶貴的資產,它驅動著業務增長,滿足消費者需求。然而,隨著數據外洩事件和隱私疑慮不斷增加,消費者對企業處理個人數據的信任度也在下降。

文章指出,76%的消費者表示不會向不值得信任的企業購買產品或服務。81%的人認為,一家公司如何對待數據,反映了它對消費者的尊重程度。這說明,建立穩固的消費者信任是企業利用數據實現增長的關鍵。當消費者看到自己的個人數據在企業手中遭到盜竊和濫用時,他們對企業的信任就會逐漸流失。

為了重建消費者信任,文章建議企業要採取透明化的做法,清晰地向消費者解釋隱私政策,提供易於查閱的平台和説明。這種對數據責任的承諾,可以加深企業與消費者之間的聯繫,重塑彼此的信任關係。

此外,文章也強調了採用"零信任"的數據安全策略的重要性。這種策略不假設任何數據的安全性,而是通過驗證和加密等手段,在數據整個生命週期中保護其隱私和完整性。通過投資數據安全、遵守隱私法規、實施零信任模式,企業可以在利用數據促進業務增長的同時,履行保護消費者數據的社會責任。

總的來說,這篇文章令我深切意識到,在數字時代,企業承擔著重要的數據責任。只有建立起牢固的消費者信任,企業才能真正釋放數據的價值潛力,實現可持續發展。我期待看到更多企業採納透明、負責任的數據實踐,維護消費者權益,締造雙贏的數據生態。

詳情請看:

A Data Responsibility: Leveraging the Power of Trust to Drive Growth

Posted in  on 6月 05, 2026 by Kevin |  

Cybersecurity insiders:將零信任原則應用於 Microsoft 本機和混合式環境保護的 Active Directory 的實用指南

積極實施零信任原則保護本機及混合環境的 Active Directory

微軟 Active Directory(AD)是大多數大型組織的核心身份識別系統,控制著整個組織的資源和運作存取權限。由於其龐大的存取權能,AD常成為駭客主要攻擊目標。根據微軟2022年數位防禦報告,88%遭到勒索病毒攻擊的客戶,未能遵循AD最佳安全實踐。

傳統的安全觀念是以邊界為基礎,將內外區隔。但在混合環境下,邊界的概念已不復存在,駭客可輕易找到薄弱環節並橫向蔓延。採用零信任(Zero Trust)方法,可大幅降低這些風險,不再對內部人員隱含信任。由於AD決定組織內的"誰是誰",是大規模攻擊的主要目標,因此必須將其列為零信任策略中的核心部分。

實施以AD為基礎的零信任方法,需分為六個階段:

第一階段是評估,了解組織內有哪些系統依賴AD,包括內外部、雲端與本機系統,以及相關帳號、群組、授權方式等,掌握身份和權限的分布。

第二階段是管理,制定、建立、監控和執行政策,包括自動化帳號和權限的配置和註銷,以建立可重複和持續監控的流程。在零信任下,身份治理使信任由隱含轉為顯式,依職務角色明確授予員工存取權限。

第三階段是落實細緻的委派管理,取代AD原有的永久管理員權限模式,改為針對特定人員、特定任務和特定範圍,配置最小化的臨時權限。

第四階段是自動化,消除人工錯誤並降低人員被賦予過度權限的風險。自動化流程也有助於明確治理政策,便於評估、監控及展示合規性。

第五階段是監控與威脅偵測,檢視零信任政策的實際運作並及時發現任何異常行為,包括常見的身份攻擊手法。偵測可應用機器學習模型逐步優化。

第六階段是復原機制,即便做足防護,仍須因應駭客入侵或系統故障的狀況。AD是整個IT環境的根基,一旦癱瘓將影響全面營運,必須能迅速將AD復原以維持業務連續性。

除了上述六個階段,其他重要注意事項包括:多重驗證機制、針對AD特定的事件回應計劃、端點裝置的保護與管理等。

AD作為大多數企業的核心身份識別管理系統,是駭客主要攻擊目標,必須優先在零信任架構下全面加強其安全性,方能充分保護核心IT基礎設施和確保營運持續運作。落實零信任原則於AD的防護,應為所有組織的網路防禦策略中不可或缺的基石。

詳情請看:

A Practical Guide to Applying Zero Trust Principles to Active Directory for Microsoft On-Premises and Hybrid Environment Protection

Posted in  on 6月 04, 2026 by Kevin |  

Cybersecurity insiders:基本資料保護從最低權限開始

數據隱私權保護的核心根基

每年一月,全球性的「數據隱私週」運動都會加強意識,教導組織有效的數據保護策略。雖然該活動從「數據隱私日」演變成為長達一週的宣導期間,但與網路安全團隊全年無休地優先考量數據保護相比,一週的時間實在短暫。儘管在提高數據隱私意識方面有長足進步,持續不斷爆發的數據外洩及網路攻擊事件,反映我們在尋求健全的數據保護之路上,仍任重而道遠。

最小權限原則的重要性

數據安全的基礎在於「最小權限」原則:每位個人、服務和應用程式,無論其技術專長、可信賴程度或組織職級如何,都只能被授予執行特定角色所需的權限。

我們不妨以銀行為例說明最小權限的精神:為保護現金和其他貴重資產,銀行設置了多層防護。雖然銀行重視所有員工,但仍必須嚴格限制每個人的權限:一般員工只能進入公共區域;出納員僅能操作自己的錢櫃;貸款專員能查看客戶信用記錄;某些經理則能進入保管箱室,但存放金條和其他高價值資產的金庫,只有為數不多的特殊人員才能進入。

銀行的金錢資產就如同組織內的敏感數據。貸款專員無權動用出納員的錢櫃,出納員也不能打開保管箱,同理,IT團隊不應該能查看客戶資料庫,而銷售人員也不該有權限存取軟體倉庫,極少數人才能接觸到組織最珍貴的資產,如關鍵的智慧財產權。  

嚴格執行最小權限的迫切需求

未能落實核心的最小權限原則,將使數據隱私權面臨各種風險。用戶可能會因疏忽或蓄意,濫用自身的存取權限,查看或修改本不應觸及的內容。更大的風險是,駭客一旦入侵用戶帳號,就能完全濫用該帳號被授予的所有權限。

潛在威脅不僅來自人為,惡意軟體也會繼承下載它的用戶權限。舉例來說,勒索軟體有能力加密用戶帳號能存取的所有數據,即使用戶實際上不需要這些權限。因此,應用程式的功能也必須局限於運作所需的最小權限,以降低遭到濫用的風險。

多層次的防護方案  

廣義上來說,落實最小權限原則並非「一勞永逸」,而需要多層次的完整體系,包括:

身份管理和管理 (IGA) - IGA涵蓋身份生命週期的全程監控,確保每位用戶只擁有角色所需的存取權限。

特權存取權管理 (PAM) - PAM著重管理對系統和資料具有提升存取權的帳號,因為這些帳號一旦遭到濫用或入侵,將對數據隱私權、安全性和業務連續性帶來更大風險。

IGA和PAM共同構成一個全面的框架,嚴格控管對系統和資料的存取,強化組織的安全狀態。

發揮營運潛能  

數據隱私權保護是一年四季永無止盡的工作重點,必須從上到下在整個組織內培養資訊安全意識。透過有效的IGA、DAG和PAM,組織得以落實最小權限原則,確保數據隱私權、贏得客戶信賴、避免遭受代價高昂的數據外洩,並符合法規要求。如此一來,組織就能將更多心力專注於發揮營運潛能,而非無止盡地防範網路威脅。

詳情請看:

Essential Data Protection Starts with Least Privilege

Posted in  on 6月 03, 2026 by Kevin |  

Mcafee:假冒巴林政府 Android 應用程式竊取用於金融詐欺的個人數據

網路世界中隱藏著許多陷阱,本次事件再次警示我們,即使是政府機關提供的應用程式,也可能被不肖分子盜用偽造成為木馬程式,企圖從用戶那裡竊取個人資訊。這種針對性的攻擊手法極為陰險,不僅利用社交媒體和短信進行宣傳釣魚,更冒用具有公信力的機構名義,輕易地誘使用戶在虛假應用程式中輸入敏感資料。

最讓人痛心的是,透過這種手段獲取的個資都將被用於金融詐騙的犯罪行為。可憐的受害者不僅個人隱私遭到侵犯,財產安全也將遭受威脅。事實上,已有人因此蒙受重大損失。這些無辜的民眾只是想方便地使用政府服務,卻因此淪為黑心人士的獵物,這種情況實在令人感到憤憤不平。

除了透過官方認證的應用程式商店下載軟體之外,用戶也應提高警惕,謹慎核對任何看似可疑的連結或應用程式。即使是來自政府機構,也有可能是惡意軟體在冒充偽裝。我們都應該提高資訊安全意識,學習識別這類詐騙的手法,並盡可能使用可靠的防毒防護軟體,才能在網路世界中遊刃有餘。

此次事件再次凸顯了網路罪犯的陰險狡詐。他們不僅擅長偽裝並進行社交工程式攻擊,更通過動態載入惡意網址、竊取用戶短信等技術手段來達到犯罪目的。面對如此高明的攻擊手法,我們唯有時時提高警惕,才能有效防範個人資訊被盜用,避免陷入金錢損失的困境。

總的來說,這起事件警示我們,即便是官方機構提供的服務,也可能存在安全漏洞被不法分子利用。我們都有責任提高資訊安全意識,謹慎核查任何來源可疑的應用程式或連結,並做好適當的防護措施,才能確保個人隱私和財產的絕對安全。讓我們共同維護網路世界的正義秩序,絕不給犯罪分子任何可乘之機。

詳情請看:

Fake Bahrain Government Android App Steals Personal Data Used for Financial Fraud

Posted in  on 6月 02, 2026 by Kevin |  

Help net security:您的檔案和磁碟機上的「密碼保護」有多安全?

在當今數位時代,資料安全性無疑是一個極為重要的課題。無論是個人或企業,我們都有保護敏感資料的需求和責任。本文探討了檔案和磁碟機的「密碼保護」功能是否足以確保資料安全。

一般而言,僅依賴密碼保護檔案並不足夠。密碼保護通常只是在檔案外層加了一道簡單的防禦,內容本身並未加密。專家指出,這類密碼保護容易被繞過,無法真正阻擋有心人士的入侵。

軟體加密則是一種相對安全的做法,例如Windows的BitLocker採用AES 256位元加密標準。相較之下,軟體加密成本低廉、易於實作,但仍存在一些缺點。首先,它仰賴電腦的運算能力,處理大型檔案時可能影響系統效能。更重要的是,軟體加密無法完全防止暴力破解攻擊,駭客可利用高效能電腦在短時間內猜測大量密碼組合。一旦密碼被取得,整個加密系統即失去作用。

對於需要更嚴格資料保護的環境,硬體加密磁碟就是更佳選擇。硬體加密是由獨立的微處理器專門負責驗證和加密,與主機完全分離。這不僅能快速執行加密,還能有效防禦暴力攻擊,駭客幾乎無法破解。此外,硬體加密磁碟還具有防篡改能力,例如可在檢測到異常電壓或溫度時自動抹除資料,確保安全無虞。

硬體加密磁碟的缺點在於成本較高,但對於處理敏感資料的企業而言,這項投資的價值是無可挑戰的。一旦發生資料外洩,企業不僅要承擔高額的法律責任,更可能遭受難以估算的聲譽損失。相較之下,採用硬體加密磁碟所支付的額外費用就微不足道了。

除了加密技術選擇,制定完善的備份策略也是保護資料的重要一環。3-2-1原則是業界公認的最佳作法:製作三份資料副本、使用兩種不同的儲存媒體,並將其中一份存放在另一個場所。藉此即使遭受惡意勒索軟體攻擊,還是能夠快速復原資料。

總括而言,單純依賴軟體內建的密碼保護功能,難以提供足夠的資安防護。相對地,硬體加密不僅在防禦力上更勝一籌,對企業而言也是符合法規要求的明智之舉。在數位化時代,資料安全絕對不能等閒視之,投資堅實的加密技術乃是明智的選擇,更是企業和個人不可或缺的必要之舉。

詳情請看:

How secure is the “Password Protection” on your files and drives?

Posted in  on 6月 01, 2026 by Kevin |  

Tenable:網路安全快照:新指南說明如何評估軟體設計是否安全,同時 NIST 發布 GenAI 風險框架

科技資訊安全一直是企業和政府機構高度關注的議題,隨著新興科技不斷發展,如何維護系統安全性也面臨了新的挑戰。根據本文所述,有幾點值得深入探討:

1. 軟件安全設計至關重要

近年來,網路攻擊事件層出不窮,造成重大財務損失和數據外洩。本文強調,採用「安全設計原則」開發軟體系統,可大幅降低被入侵風險。美國等五眼國家出台了相關指南,協助企業評估所採購軟體是否遵循此原則。軟體供應商亦應重視安全設計,並進行充分測試,確保系統無漏洞。

2. 人工智慧風險管理刻不容緩   

人工智慧技術的快速發展為企業帶來新的作業優勢,但也存在潛在風險,如洩露個人隱私、散布不實訊息等。為此,美國國家標準與技術研究所發布風險管理框架,協助企業評估和管控人工智慧系統之風險。報告指出,大多數企業在採用人工智慧時,卻未制定相應的使用政策和培訓課程,這恐將加劇風險發生。

3. 網路入侵事件檢討及因應對策

報導分享了MITRE機構遭到國家級駭客入侵的案例分析。該機構雖已採取多項最佳實踐作法,但始終難以防堵零時差漏洞被利用。事件反映出網路攻擊日益精密,企業須持續加強系統加固及監控機制。MITRE也提出了一系列檢測與因應建議,值得借鏡。

4. 政府機構積極因應

為遏止漏洞被持續利用,美國政府網路安全機構呼籲軟體商徹底檢測並修補「路徑traversal」漏洞。此類漏洞雖早有因應措施,但仍屢見不鮮,凸顯落實安全設計的重要性。

總的來說,本篇文章凝聚了多方面的資訊安全議題,呈現出維護網路系統安全是一項持續的過程,需要政府、企業和技術團隊通力合作,透過政策法規、風險評估、最佳實踐等多管齊下,才能有效因應不斷演化的網路威脅。我們亦應提高警覺,密切關注最新資安發展動態,強化對應能力。

詳情請看:

Cybersecurity Snapshot: New Guide Explains How To Assess if Software Is Secure by Design, While NIST Publishes GenAI Risk Framework

Posted in  on 5月 31, 2026 by Kevin |  

Help net security:勒索軟體業務的利潤正在下降

網路勒索病毒的攻擊雖然在持續增加,但付贖情況卻出現了下降趨勢,這是一個令人鼓舞的現象。從去年開始,聯合執法行動對一些知名的勒索組織採取了行動,包括滲透內部、癱瘓基礎設施、查獲資金流向等,對這些犯罪集團造成了嚴重打擊。而私營部門也在持續提升自身的網路防護和備份能力,使得即便遭到勒索攻擊,也能迅速還原系統,減少了支付贖金的需求。

顯然,這股反勒索的力量正在奏效,讓網路犯罪份子的獲利越來越低。數據顯示,雖然去年網路攻擊總量上升,但實際付款個案卻減少了46%,平均贖金金額也大幅下滑。這意味著,雖然現今勒索病毒的製作和散布門檻降低了,但要真正獲利卻變得更加困難。

其中最引人矚目的,應當是執法部門針對LockBit勒索組織的滲透行動。透過長期埋伏,他們成功取得了該組織的內部營運資訊,導致組織內部出現動盪和不信任,使其運作受到嚴重影響。有份子甚至投靠其他組織,顯示這個行動確實撼動了LockBit的根基。

而去年針對ALPHV/BlackCat組織的行動,雖然初期影響有限,但卻可能成為該團體最終解散的導火索。當時執法單位查獲了該組織部分資金流向,並發布了解密工具。隨後該組織與一名重要份子產生內鬥,最終導致組織崩潰,損失慘重。這無疑將嚴重打擊其他勒索組織對類似運作模式的信心。

總的來說,當前的整體趨勢對於遏止網路勒索活動是利好的。聯合執法行動、私營組織的自我防護,以及公眾對支付贖金的較低容忍度,都在持續削弱這些犯罪組織的獲利能力。只要堅持不懈地遏制他們的每一個環節,包括基礎設施、資金流向、人員逮捕和資產沒收等,必將能夠徹底扭轉目前的被動局面,遏止網路勒索活動的蔓延。

雖然勒索組織的頑強程度不容小覷,但只要全球通力合作,堅持打擊,我們終將能扭轉乾坤,讓網路空間恢復應有的安全和秩序。這需要所有單位和個人的共同參與,但只要付出持續的努力,最終勝利終將屬於正義這一方。

詳情請看:

Ransomware operations are becoming less profitable

Posted in  on 5月 30, 2026 by Kevin |  

Help net security:勞動力減少如何影響網路安全態勢

網路安全自然是現今企業無可迴避的重要議題。根據Cobalt的《漏洞測試報告》,企業不僅要平衡人工智慧的運用與防禦,同時還得面對嚴重的人力和預算限制。報告分析了4,068次的滲透測試,發現每次測試的發現數量比前一年增加了21%,符合公開漏洞數量的上升趨勢。而修補這些漏洞所需的時間也比往年增加。 

人工智慧的發展讓網路安全領域備受矚目。該報告的調查顯示,86%的受訪者採用了人工智慧工具,但同時七成人也表示人工智慧帶來的威脅也與日俱增。Cobalt在2023年執行了更多針對人工智慧系統的滲透測試,發現最常見的漏洞包括提示注入、模型阻斷服務攻擊,以及敏感資訊外洩等,顯示企業在人工智慧防護仍有進步空間。

2023年充斥著大規模裁員和不確定性,這些都影響了網路威脅的程度。31%的受訪者表示,其公司在過去六個月內曾裁員,而這些人力流失令三分之一的人認為公司面臨更高的網路風險。更糟的是,29%受裁員影響者正考慮離職。近三分之一的公司目前實施僱用凍結,另有29%預計今年還會再裁員。面對人力短缺,Cobalt發現高風險和重大漏洞的數量比去年增加了39%,因此59%的企業計劃在2024年增加滲透測試。

高層主管越來越被視為網路安全的最終責任人。調查發現,主管層比一般員工更有31%機率表示,行業環境影響了他們的心理健康,51%更容易影響到身體健康。他們同時面臨人才短缺、預算限制與不斷增加的威脅。主管層對人工智慧的整合比員工更加擔憂(高出33%)。儘管如此,23%的受訪者認為,高階領導的重視程度比預算更能阻擋網路攻擊。

Cobalt策略長Caroline Wong表示:"隨著網路攻擊不斷增加,積極進行滲透測試成為關鍵措施,可彌補人力短缺並防範人工智慧帶來的新興威脅。我們的數據印證了業界應採取的行動:優先吸引人才、謹慎整合人工智慧來防範新興威脅,並保持滲透測試。"

Cobalt執行長Chris Manton-Jones也指出:"當代企業不僅面臨數位威脅,高層主管還得承受巨大的個人壓力。作為領導者,我們必須明白網路安全不僅是保護數位資產,更是確保整個組織包括我們自己的安全。"

總而言之,滲透測試仍是識別應用程式和系統中歷史及新興漏洞的可靠方式。隨著科技和駭客手法與日俱進,安全團隊應堅持定期進行滲透測試。

詳情請看:

How workforce reductions affect cybersecurity postures

Posted in  on 5月 29, 2026 by Kevin |  

Help net security:Pktstat:開源乙太網路介面流量監控器

首先,我對於開源軟體的概念非常欣賞。開源軟體不僅免費,而且讓各界人士都能夠查看和修改它的原始碼,促進知識的傳播與分享。Pktstat作為一款開源工具,讓使用者無需付費便能享有強大的網路流量監控功能,這對於小型企業或個人來說無疑是一大福音。

再者,Pktstat具有跨平台的優勢,能在Linux、Darwin等不同的Unix系統上運行,擴大了其使用範圍。它通過適當的技術選擇(Linux系統使用AF_PACKET,其他系統使用PCAP),確保了在不同環境下的高效執行。這種設計思維值得讚賞,讓Pktstat不會被特定平台所限制。

此外,Pktstat提供了詳細的網路流量統計資訊,包括每個IP地址、通訊協定(IPv4、IPv6、TCP、UDP等)的資料流量、分組數量,以及對應的源目的IP端口組合。這些數據之詳盡程度遠超一般的網路監控工具,對於故障排查和網路優化來說是莫大的助力。

最後,我想談談Pktstat的高性能設計。作者Dinko Korunic先生為了不失去性能而捨棄了最大相容性,專門為Linux系統設計了基於eBPF的高效模組,能做到線速分析。這種高效能和低資源佔用無疑將Pktstat推向更高層次。

總的來說,Pktstat無論是從設計理念還是實際功能來看,都展現了開發者的用心與努力。作為一個開源、跨平台、高性能的網路流量監控工具,它絕對值得網路管理人員和相關從業人員使用和關注。我期待Pktstat能持續發展,為網路監控領域帶來更多創新。

詳情請看:

Pktstat: Open-source ethernet interface traffic monitor

Posted in  on 5月 28, 2026 by Kevin |  

Help net security:安全工具無法為高階主管轉化風險

現今組織正面臨著內部溝通障礙的挑戰,這阻礙了他們有效應對網路安全威脅的能力。根據Dynatrace的調查報告顯示,資訊安全長(CISOs)在協調安全團隊與高層主管之間存在重大困難,導致組織對於網路風險的認知存有落差。因此,在人工智慧(AI)驅動的攻擊日益增加之際,企業反而更容易遭受先進的網路威脅。

      該報告是根據對1,300名資訊安全長以及10名來自員工人數超過1,000人的企業的CEO和CFO所做的訪談而得出。調查結果揭示了資訊安全長在組織內部所面臨的挑戰。

資訊安全長與高階主管之間存在組織層面挑戰

高達87%的資訊安全長表示,應用程式安全對於CEO和董事會而言是一個盲點。然而,訪談中有7成的高階主管則指出,安全團隊往往只用技術術語描述,缺乏商業背景說明。不過,75%的資訊安全長則強調,問題的根源在於目前的安全工具無法產生高階主管和董事會能夠理解的商業風險和威脅洞見。

      隨著AI驅動攻擊和網路威脅的日益增加,解決這種技術和溝通差距變得更加重要,因為它們大幅增加了企業的風險。在這種背景下,72%的資訊安全長表示,他們的組織在過去兩年內曾遭遇過應用程式安全事件。這些事件帶來重大風險,其中47%的資訊安全長指出已經影響收入,36%被處以監管罰款,28%導致市場份額流失。

      Dynatrace技術長Bernd Greifeneder表示:"網路安全事件對組織及其客戶可能造成毀滅性影響,因此這個問題理所當然地已成為董事會關注的重要議題。然而,由於無法將對話從位元組提升到特定的商業風險層面,許多資訊安全長都在努力推動安全團隊與高層主管之間的協調一致。資訊安全長迫切需要找到一種方式來克服這一障礙,並建立共同分擔網路安全責任的文化。這對於提高他們有效應對安全事件的能力並降低風險曝露至關重要。"

資訊安全長強調DevSecOps自動化在風險緩解措施中的重要性

      隨著AI的興起,推動安全團隊與高層主管之間更緊密的聯繫變得更加重要,因為AI為組織帶來了額外的風險。52%的資訊安全長擔心AI可能使網路犯罪分子更快創建新的漏洞並在更大範圍內執行;另有45%的資訊安全長則擔心AI可能使開發人員加快軟體交付速度而缺乏適當監督,從而帶來更多漏洞。

      為了尋求解決方案,83%的資訊安全長表示,DevSecOps自動化對於管理AI帶來的漏洞風險至關重要。此外,71%的資訊安全長認為DevSecOps自動化對於確保採取合理措施來盡量降低應用程式安全風險至關重要。

      再者,77%的資訊安全長表示,目前的XDR和SIEM等工具由於缺乏推動大規模自動化所需的智慧,因此無法管理雲端複雜性。另外70%的資訊安全長認為,需要多種應用程式安全工具會因為必須整合不同數據源而導致操作效率低落。

      Greifeneder總結道:"AI的日益使用是一把雙刃劍,為數位創新者和試圖入侵防禦者創造了效率提升。一方面,開發人員透過AI生成的代碼在未經充分測試的情況下更容易引入漏洞;另一方面,網路犯罪分子可以開發出更自動化和先進的攻擊來利用這些漏洞。另外,組織還必須遵守新出台的法規,例如證券交易委員會的規定,要求他們在四天內識別和報告攻擊的影響。組織迫切需要現代化其安全工具和實踐,以保護其應用程式和數據免受當代先進的網路威脅。最有效的方法將建基於統一平台,推動成熟的DevSecOps自動化,並利用AI來處理任何規模的分佈式數據。這些平台將提供整個企業都可以團結一致並用於證明符合嚴格法規的洞見。"

      Next DLP的資訊安全長Chris Denbigh-White向Help Net Security表示:"資訊安全長對技術細節的關注可能會掩蓋了更廣泛的業務策略和風險管理背景。相反,高層主管往往將網路安全只視為眾多營運事務中的一個。資訊安全長需要全面理解網路安全對於支持組織的業務目標(如收益創造)的重要性,而不是在一種假設下運作,認為業務需要支持一個網路安全議程。事實並非如此!高層主管和資訊安全長都必須超越自己的觀點,了解網路安全在更廣泛的業務環境中所扮演的角色。只有這樣,才能在任何有意義的層面上取得進展。"

總的來說,本文闡述了目前組織內部存在溝通鴻溝,使得資訊安全長和高層主管對於網路風險有著認知落差的困境。隨著AI威脅的日益增加,這種落差將進一步加劇組織的風險曝露程度。報告建議透過DevSecOps自動化、智能化安全平台等措施來加強協調合作,提升組織的應對能力。資訊安全長和高層主管雙方都需要展現更高的認知共識,方能真正達成網路安全防護的目標。

詳情請看:

Security tools fail to translate risks for executives

Posted in  on 5月 27, 2026 by Kevin |  

Cybersecurity insiders:勒索軟體駭客透過孩子的手機號碼打電話給父母

近期有一種令人髮指的新型網路犯罪手法受到關注,它暴露了勒索軟體駭客為獲取贖金,竟然沒有底線可言。谷歌旗下網路安全公司Mandiant執行長Charles Carmakal,在最近的RSA網路安全會議上指出了一個令人不安的狀況。

根據Carmakal的說法,網路犯罪分子開始鎖定兒童的手機號碼,透過SIM卡交換的手法,非法將受害者的手機號碼轉移到新的SIM卡上。接著,駭客就能利用這個被竊取的手機號碼,打電話給受害兒童的父母,並以各種威脅的手段勒索贖金。

這無疑是一種心理操作的犯罪手法,目的就是想盡辦法逼迫受害人就範。有些特別卑劣的個案中,駭客甚至會冒充受害者子女的身分,打電話給企業高階主管,若不立即支付贖金,就威脅要對子女不利。這種詐騙手法被稱為"來電顯示偽造(Caller ID Spoofing)"。

想像一下,你正在開重要會議時,孩子的手機號碼突然打了過來,你一定會感到非常焦慮。駭客往往會編造令人信服的故事情節來威嚇受害者,藉由切身利害關係來增加付贖的可能性,通常要求用加密貨幣支付贖金。

一般針對行動裝置的勒索軟體攻擊,駭客會竊取通訊錄內容並威脅公開個人照片、訊息和聯絡人資料,除非你支付贖金。但若針對企業環境,那麼公司高層主管就會成為駭客鎖定的主要目標。除了被加密的資料庫帶來的風險,遭駭客洩漏機密資訊的危險同樣存在。

面對如此嚴峻的網路威脅,尋求執法單位協助並聽從網路安全專家的建議,盡量減低風險,似乎是現階段最可行的因應之道。我們有必要提高警覺,認清勒索軟體犯罪分子無所不用其極的犯罪手段,同時也呼籲業界團結一致,共同遏止這類肆無忌憚的犯罪行為,遏阻它們在網路世界中蔓延。

詳情請看:

Ransomware hackers calling parents from their Children mobile phone numbers

Posted in  on 5月 26, 2026 by Kevin |  

Cybersecurity insiders:保護您的家庭:實現資料安全的策略

在這個數位化時代,資訊科技無所不在,確保我們家庭資料的安全變得至關重要。從個人財務到敏感文件,再到珍貴的回憶,數位世界裡充斥著寶貴的資產,這些資產都需要受到適當的保護。

為了有效地保障我們家庭的資料安全,並減少網路威脅所帶來的風險,我提出以下可行的策略,希望能為大家樹立一個安全的數位生活環境。

首先,資訊安全教育是奠基的第一步。我們每個人都需要了解網路安全的重要性,熟悉釣魚詐騙的手法,並瞭解強密碼的重要性。只有將風險意識深植人心,我們才能真正地防患於未然。

其次,密碼管理是另一個不可或缺的關鍵。我們應該為每個線上帳號設置獨一無二的強式密碼,並考慮使用可靠的密碼管理器來生成和儲存複雜的密碼。此外,在任何可能的情況下,都應啟用雙重認證機制,為帳號增加額外的防護層。

除此之外,我們也要確保所有設備(包括電腦、手機和平板電腦)都已安裝最新的系統更新和防毒軟體,並啟用裝置加密功能,以防止資料在遺失或被盜的情況下外洩。同時,生物識別認證(如指紋或臉部辨識)也是一種值得考慮的安全措施。

上網時,我們必須格外小心謹慎。教育家人避免點擊可疑連結或從未知來源下載附件檔案。安裝廣告攔截器和針對隱私權的瀏覽器擴充元件,以降低接觸到惡意內容的風險。

家中無線網路的安全性也不容忽視。我們應該為Wi-Fi網路設置一個強大且獨特的密碼,並啟用WPA2或WPA3加密協定。考慮為訪客設置獨立的客人網路,以防範未經授權的訪問。此外,定期更新路由器的韌體也很重要,以修補安全漏洞。

資料備份策略對於防止資料遺失至關重要,無論是因為硬體故障、失竊還是網路攻擊。我們應該同時利用本地和雲端備份解決方案,以確保備份的冗餘性。定期測試備份的完整性和可靠性也是非常必要的。

在網路世界中,我們必須精心管理個人資訊的分享程度,特別是在社交媒體平台上。避免過度分享個人詳細資訊,如出生日期、地址和財務資訊,因為這些資訊極易被網路犯罪分子利用。

對於家中較年輕的成員,我們更應密切監控他們的網路活動。安裝家長控制軟體可以限制不當內容的訪問,並監控他們的上網模式。同時,教育孩子們網路安全意識,讓他們了解與陌生人在線互動的潛在風險。

此外,我們有必要時刻關注新興的網路威脅和趨勢。訂閱值得信賴的網路安全部落格、電子報和新聞媒體,以獲取及時的更新和安全建議。在家人之間保持坦誠的溝通,積極討論任何安全顧慮或事件。

最後,制定一個完善的應急響應計劃也是必要的。該計劃應明確在發生安全入侵或資料外洩時應採取的步驟,分配家人的角色和責任,並進行演練,確保每個人在緊急情況下都能夠及時有效地採取行動。

透過實施這些積極主動的措施,我們就能顯著提高家庭的資料安全防護水準,將網路威脅帶來的風險降至最低。但請記住,資料安全是一個持續不斷的過程,需要全家人的共同努力和警惕。保護今天的數位資產,就是守護明日家庭的未來。

詳情請看:

Safeguarding Your Family: Strategies for Achieving Data Security

Posted in  on 5月 25, 2026 by Kevin |  

Help net security:ExtraHop 發布 AI 工具以自動化 SOC 工作流程

信息科技的迅猛發展為我們的生活帶來了前所未有的便利,但同時也帶來了新的風險和挑戰。網絡安全無疑是當前最為棘手的問題之一。隨著網絡攻擊的規模和複雜性不斷增加,傳統的安全運營中心(SOC)模式已經無法滿足現代化企業的需求。

ExtraHop最近推出的一系列AI工具正是針對這一問題而設計的創新之作。這些工具植根於RevealX平台,旨在自動化SOC工作流程,緩解分析師的工作強度,提高效率。

其中最引人注目的莫過於生成式AI搜索助手。這一工具能夠讓SOC分析師通過自然語言界面進行威脅搜尋,快速發現攻擊指標。不僅如此,它還能根據企業環境的具體情況,智能地推薦相關查詢,幫助分析師全面檢視攻擊面。這一功能無疑大大簡化了威脅獵捕的流程,使分析師能夠高效地識別出潛在的安全隱患。

另一項值得關注的創新是"智能調查"功能。它利用ExtraHop領先的機器學習架構,通過相關聯高風險攻擊模式中的檢測結果,自動生成調查報告。基於實時網絡數據,這一功能能夠優先處理最為緊迫的威脅,加快調查和響應速度,確保企業運營的持續性。

總的來說,ExtraHop的這些AI工具都是將人工智能技術深度融入SOC運營的有力實踐。它們旨在自動化一些耗時且枯燥的任務,如威脅獵捕、警報相關性分析和優先級排序等,從而釋放分析師的精力,將更多資源集中於應對關鍵性威脅上,全面提升企業的網絡安全防護能力。

當前,採用AI和機器學習技術來管控網絡風險已經成為許多安全決策者的當務之急。根據2024年《全球網絡安全信心指數》的調查結果,38%的受訪者將之列為本年度首要任務。這反映出傳統安全運營模式正面臨著前所未有的挑戰,AI無疑是突破困境的關鍵所在。

ExtraHop推出的這一系列AI工具,是業界對這一趨勢的積極回應。它們汲取了ExtraHop長期以來在AI和機器學習領域的研究積累,展現出創新的產品理念和技術實力。相信在不久的將來,這種結合人工智能的SOC運營模式必將成為行業新的發展方向。

從更長遠來看,安全運營中心正在經歷著一場根本性變革。AI不僅在提高運營效率方面大有可為,更可能從根本上重塑威脅檢測、調查和響應的全流程。我們有理由期待,在AI的驅動下,網絡安全防護將邁向一個全新的里程碑。

詳情請看:

ExtraHop releases AI tools to automate SOC workflows

Posted in  on 5月 23, 2026 by Kevin |  

Help net security:紅帽推出 RHEL AI 以簡化 GenAI 模型測試和部署

紅帽公司推出RHEL AI平台,旨在簡化生成式AI模型的測試和部署流程,這是一項令人振奮的創舉。RHEL AI融合了多項創新技術,包括IBM研究院開發的開源Granite大型語言模型家族、基於LAB(Large-scale Alignment for chatBots)方法的InstructLab模型對齊工具,以及以社群驅動的方式推動模型發展的InstructLab專案。

這套完整解決方案被打包成一個經過優化的可開機RHEL映像檔,可在混合雲端環境中於個別伺服器上部署;它同時也是紅帽混合機器學習操作(MLOps)平台OpenShift AI的一部分,可在分散式叢集環境中大規模執行模型和InstructLab。

自ChatGPT造成轟動以來,生成式AI備受關注,創新速度只會與日俱增。企業已從評估生成式AI服務,邁向構建AI加值應用程式。開源模型選項的生態系統快速成長,進一步促進AI創新,並顯示不會有"One Model to Rule Them All"。客戶將從中獲益、因應特定需求做出選擇,而開放式創新無疑將加速這一進程。

實施AI策略不僅僅是選擇模型那麼簡單。科技組織需要調校給定模型以適應特定使用案例的專門知識,同時應對AI實施的龐大成本,包括:

採購AI基礎設施或消費AI服務

將AI模型微調以滿足商業需求的複雜流程 

將AI整合至企業應用程式

管理應用程式和模型的生命週期

為真正降低AI創新的門檻,企業需要擴大能參與AI計畫的人力陣容,同時控制成本支出。透過InstructLab對齊工具、Granite模型和RHEL AI,紅帽希望將真正開源專案(可自由存取、重複使用、透明且開放貢獻)的好處應用於生成式AI,努力消除這些障礙。

以InstructLab開放式打造AI

IBM研究院創建了Large-scale Alignment for chatBots(LAB)技術,這是一種模型對齊方法,運用分類學引導的合成資料生成和創新的多階段調校架構。此方法降低了對昂貴人工註記和專有模型的依賴,讓AI模型發展更開放、更易於所有使用者使用。運用LAB法,可透過規範技能和知識的分類學、大規模從這些資訊產生合成資料來影響模型,並使用生成的資料來訓練模型,進而改進模型。

看到LAB法確實能大幅提升模型表現後,IBM和紅帽決定發起InstructLab開源社群,圍繞LAB法和IBM開源的Granite模型展開。InstructLab專案旨在將大型語言模型的發展置於開發人員手中,打造和貢獻大型語言模型就如同為任何其他開源專案做出貢獻一樣簡單。

在InstructLab啟動的同時,IBM也開源釋出一系列英語和程式碼Granite模型。這些模型採用Apache授權釋出,並透明化訓練資料集的來源。Granite 7B英語模型已整合至InstructLab社群,使用者可像為其他開源專案貢獻一般,集體為此模型增加技能和知識。對Granite程式碼模型在InstructLab上的支援也將很快推出。

紅帽SVP和CPO Ashesh Badani表示:「生成式AI為企業帶來革命性的飛躍,但前提是科技組織能夠以符合其特定商業需求的方式部署和使用AI模型。RHEL AI、InstructLab專案,以及大規模的紅帽 OpenShift AI,旨在降低企業在混合雲端上面臨的許多障礙,從有限的資料科學人才到龐大的資源需求,同時在企業部署和上游社群中推動創新。」

建基於可信賴Linux,開放創新AI

RHEL AI建基於這種開放式AI創新,整合了企業就緒版的InstructLab專案和Granite語言及程式碼模型,以及世界頂級的企業Linux平台,簡化了混合基礎架構環境的部署流程,打造了將開源授權生成式AI模型帶入企業的基礎模型平台。

RHEL AI包含:

獲紅帽支援和許可的開源授權Granite語言和程式碼模型

受支援且具生命週期的InstructLab發行版本,提供可擴展且經濟實惠的解決方案,增強大型語言模型能力,並使知識和技能貢獻變得更易於更廣大的使用者群參與

透過RHEL映像模式提供 Granite模型和InstructLab工具套件的優化可開機模型執行個體映像檔,包含適用於AMD Instinct MI300X、Intel和NVIDIA GPU的優化PyTorch運行時程式庫和加速器,以及NeMo框架

紅帽的完整企業支援和生命週期承諾,從受信任的企業產品發行版本開始,還包括24x7生產支援和延長的生命週期支援

企業在RHEL AI上實驗和調校新AI模型時,便有暢通無阻的途徑來擴增這些工作流程至紅帽OpenShift AI,OpenShift AI也將包含RHEL AI。透過利用OpenShift的Kubernetes引擎來訓練和伺服AI模型,並運用OpenShift AI整合的MLOps功能來管理模型生命週期,企業就能實現大規模運作。IBM的watsonx.ai企業工作室目前建基於紅帽OpenShift AI,在OpenShift AI納入RHEL AI後也將獲得額外能力,為企業AI發展、資料管理、模型管理和提升價格效能帶來助益。

IBM研究資深副總裁兼主管Darío Gil表示:「將真正的開源創新引入AI模型發展,並善用廣大社群的力量,將改變企業對AI採用和擴增的構想。IBM長期支持開源,支持Linux、Apache和Eclipse等有影響力的社群。我們與紅帽的合作,代表我們在打造安全、負責且高效的AI的開放方針上,邁進了一大步。RHEL AI和InstructLab結合IBM開源的Granite模型家族,將為尋求以自身資料打造契合使用案例的模型,同時在多元混合雲端環

詳情請看:

Red Hat launches RHEL AI for streamlined GenAI model testing and deployment

Posted in  on 5月 22, 2026 by Kevin |  

Help net security:Inpher SecurAI 保護大型語言模型上使用者輸入的隱私

近年來,隨著人工智能技術的快速發展,大型語言模型在各個領域都展現出了強大的應用潛力。然而,在利用這些模型時,隱私和安全性的問題也隨之浮現。用戶輸入可能包含敏感的商業數據、個人信息或其他機密資訊,一旦被外泄將會造成嚴重的後果。為了解決這個問題,Inpher公司推出了SecurAI解決方案,通過利用NVIDIA H100 Tensor Core GPU的強大運算能力,為大型語言模型提供了隱私和安全保護。

SecurAI的核心優勢在於將用戶提示和後續的數據處理過程全部隔離在一個可信執行環境中,有效地將敏感信息與底層基礎設施隔離開來。這種隔離機制大大降低了數據洩露、外泄或未經授權訪問的風險,為保護知識產權和隱私提供了有力的保障。與此同時,SecurAI還能夠無縫地與企業的核心業務服務、數據源和應用程序(如Slack、Zendesk、Salesforce、Snowflake等)進行整合,進一步提高模型輸出的質量和效用。

此外,SecurAI還整合了檢索增強生成(RAG)技術,允許企業用戶根據組織需求上傳自己的文件,從而更好地滿足特定場景下的需求。這些創新功能使SecurAI成為企業在部署生成式人工智能解決方案時的理想選擇,幫助他們高效利用大型語言模型的強大能力,同時最大限度地降低隱私和安全風險。

總的來說,Inpher公司通過SecurAI解決方案為大型語言模型帶來了全新的隱私和安全保護體驗。在不斷發展的人工智能時代,這種注重數據隱私和知識產權保護的創新產品將為企業提供可靠的選擇,助力他們在充分發揮人工智能潛能的同時,也能夠確保核心資產的安全性。我們有理由期待,隨著此類解決方案的不斷優化和推廣,人類和機器的協作將會變得更加和諧、高效,為社會的可持續發展注入新的動力。

詳情請看:

Inpher SecurAI protects the privacy of user inputs on large language models

Posted in  on 5月 21, 2026 by Kevin |  

Kaspersky:惡意軟體潛伏在「官方」GitHub 和 GitLab 連結中

近日發生一件令人震驚的事件,原來在知名開源社群平台GitHub和GitLab上,惡意駭客可以上傳任意檔案,並產生一個看似官方連結,誘使用戶下載惡意程式。這個漏洞源自於這些平台允許用戶在未發佈的評論草稿中上傳檔案,雖然草稿對其他人不可見,但上傳的檔案卻可以透過直接連結下載。

這無疑為釣魚詐騙大開方便之門。駭客可以在 Microsoft等知名開發者的代碼庫中留下「評論」,附加看似遊戲外掛程式的惡意檔案連結。一般用戶見到GitHub和Microsoft這類知名字樣,難免會掉以輕心下載,從而中招。更狡猾的駭客或許會偽裝成某款熱門開源程式的新版本,藏在該程式的代碼庫發佈「更新檔案」連結。

我們通常視GitHub和GitLab為值得信賴的開源平台,卻沒料到漏洞會被如此粗暴利用,實在令人錯愕。開發者們多年來的努力付出,可能就此被這類無良份子的行徑玷污。用戶也因此失去對這些平台的信任,實在令人無比痛惜。這起事件再次敲響警鐘,提醒我們絕不能輕易相信任何網路上的連結和檔案,更要加強網路安全防護意識。

要遠離這類威脅,首先要謹慎小心, 切勿隨意下載來路不明的檔案,尤其是那些藏身在GitHub和GitLab等知名平台頁面上的可疑連結。我們應該直接瀏覽平台代碼庫頁面,從官方發佈的位置下載檔案。也要留意專案的建立時間、星星數等資訊,新手上路且無人問津的專案可能隱藏著風險。此外,務必為電腦和行動裝置安裝防毒防駭軟體,像是Kaspersky Premium提供全方位的保護。

網路安全從來都不是一蹴可及的目標,而是需要不斷堅守的戰線。我們要與所有不負責任、肆意危害他人的惡意份子對抗,並以高度謹慎的態度,竭力維護自己和他人的上網安全。只有我們全體用戶懷抱正確態度,互相提醒、砥礪前行,網路才能真正成為一個安全、有益的資訊交流園地。

詳情請看:

Malware lurking in “official” GitHub and GitLab links

Posted in  on 5月 20, 2026 by Kevin |  

Help net security:LSA Whisperer:用於與身分驗證套件互動的開源工具

近年來,網路安全威脅與日俱增,各種惡意軟體和入侵手法層出不窮,為了保護系統的安全,安全研究人員必須不斷開發新的工具以及方法來檢測和應對威脅。LSA Whisperer就是其中一個值得關注的開源工具。

LSA Whisperer是一套專為與身份驗證套件互動而設計的開源工具組合。它能夠透過獨特的消息傳遞協定,與包括cloudap、kerberos、msv1_0、negotiate、pku2u、schannel和cloudap的AzureAD插件在內的多個身份驗證套件進行互動。此外,它也提供了部分或不穩定的支援給livessp、negoexts和安全套件管理器。

LSA Whisperer的主要功能在於直接從本機安全授權子系統服務(LSASS)中恢復多種類型的憑證,而無需訪問其記憶體。在適當的環境下,LSA Whisperer可以恢復Kerberos票證、單一登入Cookie、DPAPI憑證金鑰(用於解密DPAPI保護的用戶資料)和NTLMv1響應(可輕鬆破解為可用的NT雜湊值)。

使用這種方式來恢復Kerberos票證的API雖然已經有文件記載並被其他票證轉儲工具所使用,但LSA Whisperer用於恢復上述所有憑證的方法卻是全新的,因此為防禦產品檢測其活動提供了較少的機會。

LSA Whisperer的開發背景是希望能夠深入瞭解和記錄儘可能多的套件呼叫(package calls),這是一種內部API,供身份驗證套件使用,但卻很少有文件記錄或在微軟外部使用。通過實現一種與這些呼叫互動的工具,研究人員可以識別哪些呼叫對於紅隊評估具有價值。

該工具使用CMake來生成和運行適用於您的平台的構建系統文件,不依賴任何庫管理器,因此可以輕鬆地脫機構建(如果需要的話)。不過,您需要安裝最新的Windows 11 SDK。

總的來說,LSA Whisperer是一款功能強大且具有創新性的開源安全工具。它提供了一種全新的方式來恢復系統中的各種憑證,擴展了研究人員的能力範疇,有助於提高系統安全性評估的深度和廣度。作為一款開源項目,它的發展離不開社區的參與和支持。我相信,隨著更多人的加入,LSA Whisperer將來必將成為網路安全研究領域中一個更加重要的力量。

詳情請看:

LSA Whisperer: Open-source tools for interacting with authentication packages

Posted in  on 5月 19, 2026 by Kevin |  

Help net security:大多數人仍然依靠記憶或筆和紙來管理密碼

密碼管理一直是網路安全中一個重要的課題。Bitwarden最新的調查報告揭示了個人網路使用者在密碼管理方面的一些普遍現象和風險。

首先,報告指出25%的受訪者在11到20個以上的帳號中重複使用相同密碼,36%的人則在密碼中包含了可從社交媒體獲取的個人資訊。這種做法嚴重提高了網路犯罪分子竊取身份的風險。

其次,報告發現使用者對自身網路安全意識的自我評價,與實際做法存在明顯差距。雖然大多數人自認能識別釣魚攻擊和AI加強的網路攻擊,但在管理密碼時仍然廣泛依賴記憶或紙筆記錄等不安全方式。同時,四成多人經常在公共網絡下存取個人和工作數據,加劇了風險。

因此,近四分之一的受訪者曾遭遇過由密碼管理不當導致的資安事件,密碼被盜用的情況也相當普遍。尤以美國更為嚴重。這凸顯了使用者安全認知與實際做法間的矛盾。

令人欣慰的是,越來越多使用者意識到了改善密碼管理的必要性。使用密碼管理軟件的人表示,自己在工作和生活中變得更加重視網路安全,減少了密碼重複使用的情況。兩步驗證的使用率也有所提高。

此外,對於無需記憶密碼的Passkey新技術,一半以上的受訪者表示能夠理解其安全優勢,認為其有望在未來廣泛應用。不過仍有相當一部分人對數據隱私和監控等存有疑慮。業界需要做好教育解釋工作,提升公眾對Passkey的信心。

總的來說,網路使用者在密碼管理上普遍存在一些潛在的安全隱患。不過隨著教育的加強和新技術的發展推廣,個人的網路安全意識和做法正在逐步改善。我們有必要持續關注和提醒這一問題,共同提高全社會的網路安全防護水準。

詳情請看:

Most people still rely on memory or pen and paper for password management

Posted in  on 5月 18, 2026 by Kevin |  

The hacker news:您應該了解的 10 個重要端點安全提示

現代企業面臨著前所未有的網路威脅,而終端設備正成為駭客們的主要攻擊目標。根據IDC的數據,高達70%的成功入侵都是從終端設備入手。未經適當防護的終端設備為網路犯罪分子提供了可乘之機,讓他們得以發動毀滅性的網路攻擊。隨著企業需要保護的終端數量與種類日益增加,防禦的邊界變得更加棘手。

為了提高終端安全性,本文提出了10項關鍵技巧,為IT和網路安全專業人員提供了全面的防護策略。首先是全面掌握企業內部的所有終端設備,建立一份詳細的清單,按照風險等級對它們進行分類,並為高風險終端設定優先防護級別。其次是制定主動的修補程式管理策略,確保系統和應用程式能及時更新至最新的安全版本,堵塞已知漏洞。

多重身份驗證(MFA)則為防護終端增添了一道重要防線。它要求用戶在登入時提供多重身份驗證資訊,如密碼、安全令牌或生物識別等,大幅降低了黑客利用竊取的登入憑證進行入侵的風險。最小權限原則則建議只對用戶、程式或流程開放執行任務所需的最小系統權限,從而減少黑客入侵後在系統內的活動範圍。

此外,採用多層防護措施的"深度防護"策略也是關鍵。綜合運用防火牆、防毒軟體、終端偵測與响應(EDR)以及入侵偵測等技術,就能為終端和整個網路架構形成堅實的多層安全防線。EDR尤其重要,它專為持續監控、偵測以及調查和應對終端威脅而設計,可實時監視並發現已知和未知威脅,協助IT團隊快速有效地應對。

文中還強調了實時監控和可視性的重要性。由於現今的中位數威脅存在時間高達16天,實時監控和即時警報能幫助企業儘快發現潛在入侵,及時採取行動,從而大幅縮短威脅的存活週期。對於允許員工自攜設備(BYOD)的企業,制定明確的BYOD政策也不可或缺,對個人設備的使用和安全標準做出明確規範,並將其納入定期監控範疇。

最後,培養員工的網路安全意識也是不可或缺的一環。員工作為企業安全防線的第一道關口,必須通過定期的網路安全培訓和模擬演練,學習識別和舉報潛在的安全威脅。與此同時,企業也需要定期進行風險評估和審計,評價現有安全措施的有效性,找出薄弱環節,並根據評估結果不斷改進防護策略。

總的來說,本文概括了提高終端安全性的十大關鍵技術,它們涵蓋了風險評估、預防性防護、主動檢測與快速響應等多個層面,為企業全方位地增強終端防護能力提供了寶貴的建議。在當今這個網路威脅無處不在的時代,只有建立起堅實的多層次、全方位的終端安全防護體系,企業才能在數字化轉型的征程上行穩致遠。

詳情請看:

10 Critical Endpoint Security Tips You Should Know

Posted in  on 5月 17, 2026 by Kevin |  

Bleeping computer:假工作面試利用新的 Python 後門瞄準開發人員

這則新聞報導揭露了一種新型的網路攻擊手法,名為"Dev Popper"攻擊活動,針對軟體開發人員為目標。攻擊者假冒雇主,透過虛構的工作面試,誘使開發人員執行惡意程式碼,進而在受害者電腦植入遠端控制木馬程式。這種手法相當詭譎,利用了開發人員對工作機會的渴望,藉由面試環節營造信任關係,再引誘受害者自行下載及執行攻擊載體。

攻擊過程分為多個階段,開始時會要求開發人員從GitHub下載一個壓縮檔,執行後會連動觸發一系列指令,最終導入一個具備多種惡意功能的Python遠端控制木馬。該木馬程式能竊取系統資訊、擷取檔案、執行任意命令、監控剪貼簿按鍵記錄等,讓攻擊者能完全控制受害電腦。

報告指出,這類攻擊活動可能與北韓駭客團體有關,因為過去幾年確實有許多北韓黑客集團,利用虛構工作面試或工作機會作為誘餌,針對安全研究人員、媒體工作者、軟體開發人員等不同目標進行網路攻擊。他們伺機在面試過程中植入惡意程式,以獲取機密資訊或竊取重要資產。

此種社交工程手法運用心理誘因,讓普通人也可能輕易上當成為受害者。開發人員不僅要提高對開放原始碼的安全意識,檢視下載源頭是否可信,更要警惕任何來路不明的程式檔案,以免遭駭客利用,成為攻擊鏈的一環。企業單位也應加強員工網路安全教育訓練,提高對此類攻擊的防範意識。

總的來說,這起事件提醒我們,在互聯網時代,網路安全威脅可能來自任何角落,駭客手法層出不窮,單靠傳統防護措施已不足以因應。我們每個人都必須時刻保持高度警覺,審慎評估所有來源,勿輕易觸犯網路陷阱,才能避免成為犯罪分子的下一個目標。

詳情請看:

Fake job interviews target developers with new Python backdoor

Posted in  on 5月 16, 2026 by Kevin |  

Tenable:網路安全快照:最新的 MITRE ATT&CK 更新提供了有關 GenAI、身分、雲端和 CI/CD 的安全見解

美國政府資助的MITRE組織近日發布了ATT&CK(對手戰術、技術與程序)知識庫的第15版更新,為網路安全防護提供新的意見和建議。此次更新涵蓋了多個熱門議題,包括對抗惡意使用generative AI、保護雲端環境、強化CI/CD管線等,反映了當前網路威脅演進的最新趨勢。

隨著各式AI工具在民間普及,駭客開始利用這些工具強化網路攻擊手段,ATT&CK因應提出相關對策。同時也注意到駭客組織針對工業控制系統,先行入侵企業IT系統蒐集資訊,因此補充相關說明。除了新興威脅外,也持續追蹤傳統方式演進,例如行動裝置攻擊的最新技術等。

MITRE組織自身也遭遇勒索病毒攻擊,系統遭駭並被植入惡意程式碼。顯示即使是擁有網路安全專業知識的團隊,仍難以完全防範最新網路攻擊。整體而言,ATT&CK持續擴充內容以涵蓋最新威脅狀況,維持其作為全球駭客攻擊手法知識庫的領導地位。

除了ATT&CK更新,本月另一項重大網路安全事件是美國醫療資訊供應商Change Healthcare遭勒索病毒攻擊。母公司聯合健康集團承認,駭客成功竊取大量民眾健康和個人資料,目前正持續評估被竊數據範圍,將需數月時間才能完成。由於系統癱瘓超過一個月,造成全美醫療系統大範圍中斷,此次事件被視為有史以來對美國醫療體系最嚴重的網路攻擊事件。

為了阻止更多機密資料外洩,聯合健康集團不得不支付贖款給駭客,金額未透露。初步調查指出,駭客是利用遠端連線應用程式的低強度驗證漏洞進入系統。預估造成高達16億美元的損失。該案件凸顯了資料外洩所造成的龐大風險和危害,網路安全防護的重要性不容忽視。

另一方面,隨著美國2024年大選將至,網路安全狀況也備受各界關注。美國網路安全暨基礎建設安全局(CISA)等機構警示,中國、俄羅斯、伊朗等國家將透過網路攻擊手段干預選舉,散播假訊息、假造事證等。CISA發布提醒民眾提高警覺、加強多重驗證等防護措施。同時也擔心駭客濫用AI生成假影音訊息、語音仿冒等新型態手法,帶來更大的威脅。

雖然網路威脅日益嚴峻,但業界對新興威脅如AI惡意利用的因應之道仍存在準備不足。據ClubCISO的最新調查顯示,資安長們對於此類網攻大多評估為高風險,但卻未相對調整年度預算或優先順序,反映企業防護狀態仍落後於威脅發展速度。面對網路攻擊日新月異,我們必須時刻保持警覺,透過不斷學習和防護系統的更新,才能與時俱進,降低被攻擊的風險。

網路安全議題已經不再只是少數專業人士的專屬領域,而是關係到所有人的資訊安全和隱私權。無論是個人、企業或政府機構,都應該提高網安意識,採取必要的保護措施。唯有全民共同重視並付諸行動,才能在威脅與防護的對抗賽中取得主動權,維護數位空間的安全。

詳情請看:

Cybersecurity Snapshot: Latest MITRE ATT&CK Update Offers Security Insights on GenAI, Identity, Cloud and CI/CD

Posted in  on 5月 15, 2026 by Kevin |  

Cybersecurity insiders:醫療保健產業的網路安全:預防當今攻擊的最佳實踐

網路安全問題一直是許多行業的重大隱憂,醫療業也不例外。文章開宗明義指出,近期美國一家醫療數據分析公司遭遇大規模網路攻擊,造成龐大的財務和人力損失,影響並延燒至合作夥伴和病患。這只是醫療業網路攻擊事件中的一例,2023年已有超過540家醫療機構和1.12億名個人受到資料外洩的影響。

網路攻擊事件日益複雜,涉及金額也與日俱增。隨著企業人力外包全球化,網路攻擊的影響範圍也進一步擴大。對於有國際合作夥伴的企業來說,防禦工作將更加棘手。不僅大型企業,中小企業同樣面臨網路攻擊的高風險。無論企業規模大小,都應制定完善的應對方案和資源配置。

基本的網路安全措施仍不可或缺,例如定期更改登入密碼、啟用雙重驗證、離開時登出所有裝置等。此外,企業也應全面掌控員工使用的所有科技,確保軟硬體都有最新的安全更新。然而,近年來最大的變化在於網路攻擊的範圍、頻率和複雜程度都在攀升。隨著電子商務、外包人力和海外擴張的趨勢,企業若未及時調整網路安全規範,可能會留下致命缺口。

醫療業一直是網路攻擊的重災區,主因是病患資料在黑市上價值極高。早期主要面臨資料外洩的威脅,而近來更多針對性的攻擊目標是癱瘓整個醫療體系。文章將此比喻為類似於911事件後,政府對核電廠、發電廠等關鍵設施加強保全的作為。

最常見的攻擊手法是散布式阻斷服務攻擊(DDoS),大量非法流量癱瘓醫療機構的網路系統。自2019年以來,這類攻擊在醫療業內明顯增加。美國衛生及公共服務部轄下的醫療業網路安全協調中心不時發布相關的威脅警示。文章並以最近的一起大型勒索軟體攻擊事件為例,突顯這已不只是醫療業的問題,2023年幾乎所有產業的網路攻擊紀錄都出現兩到三倍的增長。

面對威脅不斷升級,單靠政府機構的協助是不夠的。企業應該與專業的第三方安全服務供應商合作,確保從源代碼層面就能偵測並修補系統的弱點漏洞。小企業無經驗者,可先參考政府公開的最佳實務守則著手,但長期來看,勢必要達到更高的第三方驗證標準,例如SOC-2或HITRUST認證,以獲得客戶和合作夥伴的信任。

各雲端服務供應商如AWS、Azure、Google和Oracle雖然細節規範有所不同,但都有類似的內部安全規範。重點是企業要因應不斷演進的威脅環境,持續檢視並更新網路安全策略,才能有效防範駭客攻擊,避免重大營運中斷。網路安全問題已經不是能否發生的問題,而是何時發生的問題,企業必須時刻保持高度警覺。

詳情請看:

Cybersecurity in the Healthcare Sector: Best Practices for Preventing Today’s Attacks

Posted in  on 5月 14, 2026 by Kevin |  

Help net security:透過技能提升計畫縮小網路安全技能差距

科技日新月異,數位時代的企業要保持競爭力和彈性,培養員工技能是不可或缺的關鍵。根據普樂思佳(Pluralsight)最新的年度報告,網路安全、雲端和軟體開發是最緊缺的三大技能領域,同時也被視為未來一年最重要的技能。這無疑昭示了企業必須優先強化這些基礎性技能,才能有效因應科技趨勢。

報告也指出,65%的受訪者認為網路安全技能在公司內最為缺乏,其次是雲端(52%)和軟體開發(40%)。將近三分之二的企業計畫在未來一年培養網路安全人才,緊接在後的則是雲端和軟體開發。不過,儘管人工智慧(AI)和機器學習(ML)技能備受矚目,補足這方面的技能缺口並非當務之急。

事實上,相較外部招聘,企業透過在職培訓(upskilling)來提升現有員工的專業技能,不僅時間相去不遠,成本卻遠較便宜。報告發現,66%的企業認為,招募新人所需時間與培訓內部員工相去無幾。而在美國,僱用新的科技人才平均要花費逾2.3萬美元,為員工培訓的費用卻只是5000美元。

儘管實施在職培訓計畫有諸多挑戰,最大阻力就是缺乏時間,但企業只要建立終身學習的文化,實施在職培訓絕對行之有效。首要之務是評估內部現有的技能,找出不足之處。同時,領導階層應積極參與其中,因為僅33%的高階主管能完全了解團隊所需的科技技能,68%的科技人員認為公司高層根本意識不到技能上的缺口。

令人欣喜的是,強化技能所帶來更穩固的就業安全感,提高員工信心,成為員工願意接受在職培訓的最大動力。由此可見,在職培訓不僅可彌補技能缺口,同時提升了員工的工作投入度,有助於推動績效和創新。

最後,報告透露78%的企業由於缺乏所需的科技技能,導致專案半途而廢。這說明了盡快填補技能缺口已刻不容緩的迫切性。總的來說,在競爭激烈的科技浪潮下,企業培養內部員工、提供在職培訓絕對是權衡成本效益及確保長期發展的不二法門。只有在人才方面做好充分的準備和投資,企業才能掌握未來的關鍵優勢。

詳情請看:

Closing the cybersecurity skills gap with upskilling programs

Posted in  on 5月 13, 2026 by Kevin |  

Help net security:人工智慧正在創造新一代網路攻擊

在網路安全領域,人工智慧(AI)無疑是一把雙刃劍。根據Netacea最新的研究報告「人工智慧時代的網路安全」,93%的安全領導者預期將每天面臨AI驅動的攻擊,而65%的人更認為惡意AI將成為網路犯罪分子常用的標準工具,被運用於大部分的網路攻擊中。

研究顯示,安全領導者清楚意識到惡意AI的重要性,並預期在未來六個月內,將見證新一代網路攻擊的曙光。身負維護組織免受已知和未知威脅的重責大任,他們必須確保惡意AI議題能在董事會層級受到重視,與勒索軟體和分佈式阻斷服務攻擊等高影響攻擊並列。

然而,對於哪些威脅最為有害,他們的認知似乎有些偏差。只有11%的安全領導者認為機器人攻擊是企業面臨的最大網路威脅,遠低於勒索軟體、網路釣魚和惡意軟體的評估。但Netacea之前的研究發現,無情的機器人攻擊實際上讓企業失去了4.3%的線上收入,對於大型企業而言,損失相當於50次的勒索軟體贖金。

AI助攻網路攻防雙方

人工智慧不僅被用作強化網路攻擊的工具,在網路防禦方面同樣發揮了作用。即便英國國家統計局的報告顯示83%的企業沒有採用AI的計劃,但從網路安全的角度來看,情況並非如此。

Netacea的調查對象均在某種程度上將AI納入其安全防護體系,並且全部表示這提升了他們的安全狀態,其中27%更表示改善程度非常顯著。使用AI也證明了效率的提升,有61%的安全領導者認為AI大幅降低了他們的營運成本。

然而,運用AI強化防護的做法,多半被用於應對高影響低頻率的攻擊,如分佈式阻斷服務攻擊(62%),而非機器人攻擊(33%)。這顯示雖然AI是抵禦網路威脅的利器,但尚未被普遍應用於抵禦最具破壞力的攻擊。

現有差距仍待彌補。90%的受訪者對其Web應用程式防火牆、阻斷服務防護和API安全的AI防禦能力充滿信心,但只有60%的安全領導者對其機器人管理工具的AI能力同樣有信心。

Netacea技術長Andy Still表示:「安全領導者承受著以更少的資源做更多事的壓力,而惡意AI用於強化網路攻擊的興起,正值這種時機。AI強大且門檻低,意味著它將被用於各種用途,包括網路攻擊。雖然安全領導者意識到AI威脅的日常性令人欣慰,但他們對最具破壞力威脅的認知仍有落差。在AI攻防競賽中,重要的是要意識到AI將被應用在任何可能的領域,他們需要以同樣的態度因應。」

人工智慧既是網路安全的利器,也可能成為罪犯的新武器。隨著科技的快速演進,網路攻防雙方都在積極運用AI以獲得競爭優勢。儘管如此,我們不能忘記網路安全的核心,仍是人性。無論AI能力再強,我們都應謹記誠信和道德準則,避免過度依賴技術而忽視風險。唯有人與機器的雙重把關,網路世界方能維持安全和秩序。

詳情請看:

AI is creating a new generation of cyberattacks

Posted in  on 5月 12, 2026 by Kevin |  

Help net security:Prompt Fuzzer:用於增強 GenAI 應用程式的開源工具

Prompt Fuzzer是一款開源工具,旨在評估和提高生成式人工智能(GenAI)應用程式的系統提示的安全性。隨著人工智能技術的快速發展,相關應用程式的安全風險也與日俱增。因此,確保系統提示的穩健性,對於維護GenAI應用程式的可靠運作至關重要。

Prompt Fuzzer的核心功能包括模擬超過十種類型的GenAI攻擊,並根據系統提示自動調整攻擊情景。這種靈活性使得它能夠針對特定主題或行業,量身定制相關威脅。該工具還具有互動友好的使用界面,方便用戶反覆測試和強化系統提示,直至獲得滿意的安全分數。

值得一提的是,Prompt Fuzzer支援20多個LLM供應商,為不同用戶提供廣泛的選擇。這對於跨平台應用而言,無疑是一大優勢。除了現有功能,該工具的開發團隊還計劃持續添加新的攻擊模式,以與時俱進地應對不斷演進的GenAI風險。此外,他們還有意進一步擴展與更多供應商的整合,為用戶提供更豐富的選擇。

總的來說,Prompt Fuzzer是一款實用且前景廣闊的開源工具。它為GenAI應用程式的安全性提供了有力保障,有助於構建更加可靠和強大的人工智能生態系統。隨著該工具的不斷完善,相信它將為提高GenAI應用的安全性做出更大貢獻。

詳情請看:

Prompt Fuzzer: Open-source tool for strengthening GenAI apps

Posted in  on 5月 11, 2026 by Kevin |  

Help net security:國土安全部成立人工智慧安全委員會以保護關鍵基礎設施

近期人工智慧(AI)技術快速發展,無疑為促進人類文明進步帶來新的里程碑。然而,這項新興技術亦存在潛在風險,倘若使用不當,後果可能造成無法彌補的損害。因此,美國國土安全部於2024年5月正式成立「人工智慧安全委員會」,旨在制定相關準則,確保AI在關鍵基礎設施領域的安全及負責任運用。

這項重大舉措反映出,主管當局已意識到AI安全問題的迫切性。該委員會由來自不同領域的22位專家學者組成,涵蓋科技公司、基礎建設營運商、政府官員、公民權利團體及學術界等,可見其高度重視AI發展對國家安全和經濟發展的影響。委員會首要任務是為關鍵基礎設施持份者提供可行建議,助其更負責任地運用AI技術。這些基礎設施領域包括國防、能源、農業、運輸和互聯網科技等,牽涉數億民眾日常生活運作,影響重大。

事實上,AI技術在為人類社會帶來創新突破的同時,亦增加了惡意使用的風險。國土安全部早前預警,有敵對國家可能利用AI輔助工具對美國進行大規模、高效率且難以追蹤的網絡攻擊,針對管線、鐵路等關鍵基礎設施;中國更有可能利用AI技術破壞美國的網絡防禦能力。這些都是人工智慧潛在濫用的實例,足以令人對AI技術的負面影響生疲憊。

因此,要在保障國家安全與發展經濟之間取得平衡,制定審慎的政策和監管框架實在刻不容緩。新成立的AI安全委員會將為此提供專業意見,讓有關部門能因時制宜,並與業界保持緊密溝通,及早識別和應對AI所帶來的新風險。這是一個審慎而負責任的舉措,值得讚許。

除了監管措施外,大眾對AI技術認知的加深,以及積極培育AI人才,亦是確保AI健康發展的關鍵一環。早前拜登政府發布行政命令,要求國土安全部在多方面採取行動,如在全球推廣AI安全標準、保護美國網絡和關鍵基礎設施、減低AI技術被用於製造大規模毀滅性武器的風險、打擊AI知識產權盜竊,以及吸引並留住AI人才等。這都是正確可行的方向。

事實上,國土安全部已於2024年初啟動為期一年的招聘計劃,力求聘請50名AI專家,在反應芬太尼、打擊兒童性剝削、提供移民服務、確保旅遊安全、強化關鍵基礎設施及加強網絡安全等範疇上,發揮AI技術所長,提升工作效能。顯示該部已充分重視並大力推動AI人才引進和技術應用。

總括而言,人工智慧無疑是一把「雙刃劍」,關鍵在於如何妥善管理和應用。透過適當監管、持份者協作、大眾教育和人才培育等多管齊下,定能最大程度發揮AI技術的優勢,同時有效規避其潛在風險,實現科技、經濟和安全的三贏局面。期望新成立的AI安全委員會能為相關政策制定提供專業意見,成為領導業界走向安全、負責任發展AI技術的先鋒。

詳情請看:

DHS establishes AI Safety and Security Board to protect critical infrastructure

Posted in  on 5月 10, 2026 by Kevin |  

Help net security:英國頒布物聯網網路安全法

英國頒佈物聯網網路安全法案,代表著各國政府開始正視物聯網裝置的網路安全風險,積極採取立法管控措施。這項名為「產品安全和電信基礎設施法案」(PSTI Act)已於今日正式生效,要求製造商在出售給英國市場的消費級物聯網產品上,必須停止使用可輕易被猜到的預設密碼,並設立漏洞揭露政策。

這項法案涵蓋範圍相當廣泛,包括了智慧電視、串流裝置、音響、遊戲主機、手機、平板電腦、基地台、樞紐、家庭自動化和警報系統、可穿戴裝置、家電(如恆溫器、洗衣機、燈泡、冰箱、家庭助理)、安全設備(如門鈴、監視器、嬰兒監視器)、兒童玩具等網路連線產品。

根據這項法案規定,每一項產品在出廠時都必須內建獨特的密碼,而非基於遞增計數器或可公開取得的資訊,也不能輕易被猜到。使用者也必須能夠變更該密碼。此外,製造商必須提供可讓使用者回報產品安全漏洞的管道資訊,包含確認收件、問題解決狀態追蹤等服務時程,並以免費、易懂的英文說明方式提供。製造商也必須提供該產品將獲得安全性更新的期限資訊。

違反這項法令將被視為刑事罪行,最高可處以1000萬英鎊罰款,或全球營收4%的罰金(以較高者為準)。這顯示英國政府對於物聯網裝置的網路安全風險已經高度重視,並採取嚴厲的罰則措施來約束業者。

事實上,早在2016年的大型分散式阻斷服務攻擊(DDoS)事件後,各國政府和標準組織即開始制定物聯網網路安全指南和建議。但PSTI Act卻是頭一個以國家法律層級強制要求製造商改善產品安全性的具體作為。歐盟的《網路安全法》雖有提出自願性產品認證,但預計明年將推出《網路韌性法》,對業者實施更嚴格的強制要求。美國則已在2019年通過《物聯網網路安全改善法案》,對聯邦政府採購的物聯網裝置訂定最低安全標準。

隨著更多國家效法,未來物聯網產品的網路安全責任將逐步由製造商適當承擔,政府立法規範將更趨嚴格完善,以確保這些日益普及的智慧連網裝置不會淪為駭客入侵的溫床。這是朝向物聯網長期安全可持續發展的重要一步。

詳情請看:

UK enacts IoT cybersecurity law

Posted in  on 5月 09, 2026 by Kevin |  

Help net security:聯想推出以人工智慧為基礎的網路彈性服務

Lenovo推出了一項新的利用AI的創新服務──Cyber Resiliency as a Service(CRaaS),與微軟合作,整合了Lenovo裝置遙測和Microsoft安全軟體組合,包括Microsoft Copilot for Security和Defender for Endpoint。此項服務利用AI來提供多層次的保護,結合加強的可視性與網路防護、偵測、回應和復原能力,跨越數位設備和系統。

這項創新服務將為客戶帶來諸多好處,幫助企業在裝置、使用者、應用程式、數據、網路和雲端服務等範疇更安全地運作,並在遭受攻擊時維持業務連續性。隨著混合工作模式、AI日益普及以及數據與裝置大量增加,安全一直是企業領導人的重點關注事項。Lenovo對資訊長的全球年度調查顯示,51%資訊長將網路安全列為IT首要任務,而65%則表示解決數據隱私和安全是一大挑戰。  

Lenovo Cyber Resiliency as a Service透過整合式單一窗口,讓企業領導人能有整體系統的可視性和掌控。強大的整合工具組、AI和自動化提高了檢視所有日誌、處理所有警報、消除盲點的效能,協助使用者識別、隔離和控制威脅。Lenovo CRaaS也為安全採購簡化流程,提供一站式完整解決方案,發揮Microsoft安全堆疊的最大威力,全程由Lenovo專業團隊管理。

採用網路韌性管理服務有助提升企業生產力與效率,將耗時耗力的工作外包,釋放IT人力資源,減少開支。許多企業習慣將各式零散的解決方案組合成一套完整的安全架構,但Lenovo CRaaS提供一站整合的全方位保護及可視性。  

Lenovo CRaaS落實了Lenovo致力保護客戶及其敏感數據的承諾,此外其Security by Design實務在產品開發生命週期中強化裝置安全性,ThinkShield則在Lenovo硬體、軟體和服務中提供進階安全功能。CRaaS服務提供一站式端對端的網路安全防護、完整整合的Lenovo專業團隊管理技術堆疊,以及最佳實務的關鍵控制,顯見Lenovo全力投入,打造安全可靠的數位環境,讓企業能安心運作。

詳情請看:

Lenovo launches AI-based Cyber Resiliency as a Service

Posted in  on 5月 08, 2026 by Kevin |  

Trendmicro:深度造假和人工智慧驅動的虛假資訊威脅民調

人工智慧(AI)科技的蓬勃發展,無疑為我們的生活帶來了許多便利,但也不可諱言地衍生出了一些負面影響。隨著2024年的大選臨近,AI驅動的假訊息(disinformation)和假造影音(deepfakes)對選舉結果的威脅,正日益受到重視。

在現今這個網路資訊高度發達的時代,人們獲取新聞和資訊的管道越來越多元化,社群媒體和自媒體平台更是讓每個人都能輕而易舉地在網路上發布任何資訊。諷刺的是,這種開放和自由卻也為釋放虛假訊息、傳播不實言論提供了絕佳的溫床。有心人士只需運用機器人軟體,就能在社群媒體上迅速散播大量的訊息;更有甚者,他們可以利用deepfake技術,製作出任何模仿真人聲音和影像的虛假內容。

這些人為操弄的假訊息,往往針對敏感的政治和社會議題,意圖挑撥離間、製造矛盾對立,從而影響民眾的觀點和選民的投票意向。最可悲的是,這類行為不僅可能由國家級別的組織所為,就連普通民眾和中小企業也有能力參與其中。由於目前幾乎沒有任何有效的技術能夠徹底識別虛假內容,民眾唯有提高警覺,多加查證和求證,才能在汪洋大海的訊息中分辨真偽。

面對日新月異的AI科技,我們不能囿於恐懼和無知,而是應該積極學習和了解,並以開放包容的心胸,擁抱這股無可阻擋的浪潮。政府和科技業者更有責任共同研發可靠的偵測機制,打擊假訊息和假影音,捍衛言論自由的同時,也維護資訊的真實性。唯有廣大民眾與當權者攜手合作,我們才能在AI時代確保民主價值的延續,避免誤入虛假訊息的迷津。

詳情請看:

Deepfakes and AI-Driven Disinformation Threaten Polls

Posted in  on 5月 07, 2026 by Kevin |  

Cisco:我們可以從暴力攻擊中使用的密碼中了解什麼?

透過破解密碼攻擊時使用的密碼,我們可以學到一些重要的教訓。根據思科Talos公布的密碼清單,許多使用者仍然使用一些最常見和簡單的密碼,如"Password"、"Passw0rd"和"123456"等。這些密碼不僅極易被猜到,也反映出使用者對密碼安全意識的缺乏。

有些密碼組合看似複雜,卻也存在一些疏漏。例如"Mart1x21"可能是某人的名字,或涉及月份,而"Spring2024x21"和"April2024x21"則只是在普通年月日後加入幾個額外字元,這種做法幾乎無法增加密碼強度。可以想見,如果攻擊者已經猜到使用者的基本資訊,要破解這類密碼並不困難。

事實上,隨著科技進步,純文字密碼已經無法滿足當代安全需求。不少專家提出了更安全的替代方案,例如採用無密碼登錄,直接免除密碼風險;或是強制要求製造商實施更嚴格的密碼規則,禁止使用預設和易猜的密碼組合。英國政府更是立法要求相關企業必須遵守產品安全及電信基礎設施法規,強化密碼安全標準。

總的來說,密碼問題已經成為網路安全的一大痛點。縱使企業採取多重防護措施,仍無法完全防範使用者本身選擇簡陋密碼的風險。因此,除了加強使用者教育之外,實施更嚴格的密碼規範、推廣雙因素或無密碼驗證機制,才是解決這個困境的根本之道。

事實上,弱密碼影嚴重程度可從企業安全事件指數窺知一二。根據思科Talos最新統計,在2024年第一季企業駭客事件中,商業電子郵件入侵(BEC)攻擊高居榜首,占46%的案件。而BEC通常會利用釣魚郵件來竊取金錢或散佈惡意程式,侵入企業電子郵件系統恰恰突顯了密碼問題的嚴重性。

總而言之,密碼仍是網路世界中無可避免的脆弱點。攻擊者依然在嘗試暴力破解各種密碼組合,而企業及個人使用者也應提高警覺,制定更嚴格的密碼政策,並採取多重身份驗證等保護措施,才能真正遏止密碼問題,提高網路安全防線。

詳情請看:

What can we learn from the passwords used in brute-force attacks?

Posted in  on 5月 06, 2026 by Kevin |  

Help net security:什麼是網路安全網狀架構 (CSMA)?

網路安全是當代企業與組織面臨的一大挑戰。隨著網路攻擊日益升級,單靠傳統的防禦措施已不足以應對複雜多變的威脅。有鑑於此,網路安全網狀架構(CSMA)應運而生,為企業提供一個全方位、互連的安全框架。

CSMA是一套組織原則,旨在打造有效的安全架構。它強調可組合性、可擴展性、介面延展性,以及數據模式與API的標準化,使各種安全控制和解決方案能夠更好地互相協作。一個設計良好的CSMA,可提升組織在威脅情資、事件應變、資產管理等核心安全職能上的效率。

CSMA共有八大核心能力,涵蓋偵測、情資、預防、應變、統一管理、流程測量、系統整合及擴展性等面向。其中,偵測能力是建立於分佈式感測網路之上,透過智能化機制收集各領域的資訊,偵測攻擊的蹤跡;情資能力則整合內外部資料,分析歷史模式,優先處理高風險威脅;預防能力則運用多層次防護,動態因應持續演化的威脅。

CSMA的應變能力實現了各子系統的緊密整合,提供集中式控制與可視化。統一管理平面讓不同角色獲取所需資訊,消除資訊孤島。此外,CSMA還能對安全流程進行持續自動化監控與量化,評估績效表現,找出落差並持續優化。

為使CSMA能隨著企業成長而擴展,整合新興科技與工具,系統整合與模組化設計是不可或缺的。透過開放的API與介面,CSMA能靈活地納入新的安全元件,並與合規、審計等其他領域的系統無縫整合,打造靈活可擴展的架構。

總的來說,CSMA提供了一種全新的網路安全範式。它透過分散式偵測、情資融合、多重防禦、集中管控等能力,打造出一個整合性的安全網路,應對不斷升級的網路威脅。與傳統的點對點防護不同,CSMA以互連互通的概念,將各種安全能力網狀連接,提供全方位的保護。

當前的網路攻擊已不再是單一入侵點,而是利用多種手段滲透系統。CSMA的出現正好回應了這一挑戰。藉由八大核心能力相輔相成,CSMA能讓企業掌控全域性的風險視野,快速應對變化多端的網路威脅,大幅提升整體的網路安全水準。我相信,CSMA必將為網路安全防護帶來革命性的突破,助力企業在數位化時代中運作與成長。

詳情請看:

What is cybersecurity mesh architecture (CSMA)?

Posted in  on 5月 05, 2026 by Kevin |  

Help net security:大多數公司在過去一年改變了網路安全策略

當前的網路威脅環境日新月異,企業不得不調整其網路安全策略以因應不斷變化的風險。根據LogRhythm的最新研究,在過去一年裡,高達95%的公司都修改了他們的網路安全策略,反映出網路安全領域正在發生根本性的轉變。

其中一個重大變化是網路安全不再被視為單純的技術問題,而是成為企業營運策略和公司治理的核心支柱。有78%的受訪者表示,網路安全主管或執行長(或兩者)都須為防範和應對網路攻擊負起責任。這種從單一技術職能走向策略決策的演變,代表網路安全的角色地位在企業內部已然提升。

推動策略調整的主因有三:一是為了跟上不斷變化的法規要求(98%);二是滿足客戶對於數據保護和隱私權的期望(89%);三是因應人工智慧威脅與防禦系統的興起(65%)。

然而,在這股改革浪潮中,網路安全團隊與非網路安全的高階主管之間存在著溝通鴻溝,仍是一大隱憂。高達44%的非網路安全主管對公司須遵循的法規要求認知不足;另有59%的網路安全人員難以向非網路安全的利害關係人解釋特定網路安全解決方案的必要性,凸顯了強化報告機制以利溝通的迫切需求。

為了因應日趨嚴峻的網路威脅,76%的企業已經增加網路安全預算,近八成的企業表示目前已具備足夠資源防禦網路攻擊。令人欣慰的是,有79%的網路安全專業人員認為自身的防禦能力良好或卓越。

不過,這種自信是否過於樂觀,還有待觀察。因為網路安全團隊普遍沒有針對關鍵作業指標提出報告,像是響應時間(49%)、偵測時間(48%)和恢復時間(45%)等,都不到一半的團隊有在跟蹤。更令人憂心的是,高達61%的網路安全團隊仍在使用手動且耗時的方式來分享網路安全狀態資訊,他們顯然需要強化個案管理指標和進階分析,以確保能夠快速作出明智決策。

此項研究遍及全球五大洲,訪問了1,176位網路安全高階主管和專業人員,探討了網路安全的多個層面。總的來說,儘管企業網路安全的重要性與預算編列都有所提升,但防禦能力仍缺乏有力佐證,溝通鴻溝也未能完全銷除。未來仍有許多工作有待企業持續努力。

詳情請看:

Most companies changed their cybersecurity strategy in the past year

Posted in  on 5月 04, 2026 by Kevin |  

The hacker news:新指南說明如何消除影子 SaaS 的風險並保護企業數據

在現今的商業環境中,軟體即服務(SaaS)應用程式無疑佔據了舉足輕重的地位。這些應用程式不僅提高了企業的工作效率,也推動了科技和商業的創新發展。然而,正如硬幣的兩面,SaaS應用程式同時也帶來了新的安全風險,這是企業主管和IT安全人員所必須正視和解決的問題。

傳統的安全防護措施往往無法完全掌控和監控SaaS應用程式的使用情況,這就造成了所謂的「暗影SaaS」(Shadow SaaS)風險。所謂暗影SaaS,是指員工在工作中使用未經IT部門批准的SaaS應用程式。據統計,高達65%的SaaS應用程式都是未經核准的,而80%的員工承認曾使用過這類應用程式。這意味著大多數企業都面臨著敏感數據外泄的風險。

暗影SaaS可能導致的主要風險包括:

1. 數據外洩:敏感數據可能通過各種SaaS應用程式外洩,包括ChatGPT等人工智能應用程式、拼寫檢查工具、文件管理應用程式等。這種外洩可能是無心之失,也可能是員工被惡意設計的偽裝應用程式誘騙而共享敏感數據。

2. 身份盜竊和賬戶被盜:如果員工使用工作郵箱和循環使用的密碼登錄SaaS應用程式,攻擊者就有機會獲取這些憑證信息,進而進行身份盜竊和賬戶被盜。

3. 違反合規和隱私法規:私密和敏感數據一旦在公共渠道上泄露,就可能違反隱私法規。

為了應對暗影SaaS的風險,LayerX公司發佈了一份新指南,提出了一種三管齊下的方法:應用程式發現、用戶監控和主動執行。該指南詳細探討了每個方面的做法,為讀者提供了一條明確的路線圖,以有效保護系統和資源。

指南還比較了傳統的代理方法(如SASE、CASB)和基於瀏覽器的解決方案在應用程式發現、用戶監控和主動執行方面的優缺點。經過全面分析,基於瀏覽器的安全擴展程序被認為是combating Shadow SaaS最全面和用戶友好的解決方案。

瀏覽器安全擴展程序可以:

1. 發現所有SaaS應用程式:持續分析瀏覽器會話,向IT團隊展示員工正在訪問哪些SaaS應用程式。

2. 加強身份安全狀況:可以與雲身份提供商整合,作為額外的身份驗證因素,防止攻擊者利用被盜憑證訪問系統。

3. 發出關鍵變化警報:當檢測到新用戶賬戶被創建時,會觸發警報,讓身份團隊檢查這些應用程式是否符合組織安全政策。

4. 管控和控制:可以阻止訪問被標記為風險的應用程式,阻止數據從用戶設備上傳到風險應用程式。

總之,SaaS應用程式雖然便於使用且有利於企業營運,但安全和IT團隊仍需尋求方法在允許使用SaaS的同時確保企業環境的安全。瀏覽器安全擴展程序正是一種兼顧兩者的解決方案。希望通過這份指南,大家能夠更好地了解和應對暗影SaaS帶來的風險。讓我們共同努力,在技術創新和數據安全之間尋求平衡,推動企業的可持續發展。

詳情請看:

New Guide Explains How to Eliminate the Risk of Shadow SaaS and Protect Corporate Data

Posted in  on 5月 03, 2026 by Kevin |  

Help net security:微軟和谷歌擴大了對其用戶的金鑰支持

密碼一直是保護我們數位生活安全的關鍵,但設定複雜又難以記憶的密碼往往讓人頭痛不已。隨著科技不斷進步,一種新的身份驗證方式「通行碼」(passkey)開始逐漸取代傳統密碼的角色。透過這項新技術,我們將能夠更安全又便利地管理個人帳戶。

通行碼是一種全新的無密碼驗證解決方案,由FIDO聯盟所推動。與密碼不同的是,通行碼是以加密的數位簽章取代純文字密碼,無須記憶任何東西也不會被駭客竊取。使用者只需要在信任的設備上註冊並產生獨一無二的通行碼,之後在登入時使用該裝置驗證即可,簡單又安全。

根據最新的調查顯示,有22%的人已在每個可能的帳戶啟用通行碼,而61%熟悉通行碼的人認為它比密碼更方便(另外58%的人也認為更安全)。這正反映出使用者對通行碼的青睞程度與日俱增。

為了響應「世界密碼日」,各大科技公司近期也相繼推出支援通行碼的新功能。微軟已宣布支援個人帳戶使用通行碼,並將在Microsoft Authenticator應用程式中加入裝置綁定的通行碼支援。Google則表示,將很快支援使用通行碼註冊「進階防護計劃」(針對可能遭受鎖定攻擊的高風險使用者)。此外,Google也指出越來越多知名密碼管理器可以協助儲存使用者的通行碼。

除了科技巨頭之外,一些知名服務也已開始支援通行碼。過去一年間,亞馬遜、1Password、Dashlane、DocuSign、Kayak、Mercari、Shopify和Yahoo!JAPAN等都已著手推行通行碼,加入了像eBay、Uber、PayPal和WhatsApp等早期採用者的行列。根據報導,在Dashlane推出通行碼後,使用者註冊轉換率高達70%;而Kayak用戶登入的速度也比過去快了50%。

根據FIDO聯盟的數據,目前全球前100大網站中已有20%支援通行碼,前250大網站則有12%支援。顯見通行碼正在全球網路服務中逐漸普及。蘋果、任天堂、Shopify、Adobe等知名業者也都是早期支援通行碼的先驅者。

總的來說,通行碼無疑是更安全、更便利的身份驗證技術,勢必將會逐步取代目前仍廣為使用的密碼系統。這項新科技不僅能夠消除使用者記憶密碼的困擾,也能有效防範遭駭客竊取密碼的風險,對提升網路安全將有莫大助益。我相信,隨著更多服務厲接軌通行碼,未來它終將成為身份驗證的主流標準。

詳情請看:

Microsoft, Google widen passkey support for its users

Posted in  on 5月 02, 2026 by Kevin |  

Bleeping computer:微軟推出個人微軟帳號的金鑰驗證

微軟近日宣布Windows用戶可以使用驗證碼密鑰(Passkey)登入個人的微軟帳戶,這代表著用戶不再需要依賴傳統的密碼,而是可以使用像是Windows Hello、FIDO2安全鑰、生物辨識(臉部或指紋)或是裝置PIN等無密碼的驗證方式。這項新功能適用於個人用於存取Windows、Office 365、Outlook、OneDrive、Copilot及Xbox Live等微軟服務的帳戶。

推出驗證碼密鑰的主要目的是為了提高安全性,防範釣魚攻擊,並朝向未來徹底取代密碼的目標邁進。與傳統密碼不同,驗證碼密鑰是建基於加密金鑰對,公開金鑰存放在服務提供者的伺服器上,而私密金鑰則安全地儲存在使用者的裝置中。在驗證時,系統會產生一個需要使用私密金鑰才能解開的挑戰,從而確認使用者身份。由於私密金鑰受到裝置層級的生物辨識或PIN保護,使用者只需提供這些資料即可登入,省去記住及輸入複雜密碼的困擾。

相較密碼,驗證碼密鑰更加安全,不會有密碼被截取或竊取的風險,且與特定裝置綁定,有效防止釣魚攻擊。此外,由於不涉及共享秘密,使用者也不會因為不安全的習慣(如重複使用相同密碼或使用簡單弱密碼)而帶來風險。最後,驗證碼密鑰兼容不同的裝置和作業系統,使驗證過程順暢無阻。

值得注意的是,微軟為了方便使用者在更換或遺失裝置時仍能存取帳戶,將會在用戶的多個裝置之間同步驗證碼密鑰,而非在每個裝置上儲存獨立的密鑰。這種做法或許在安全性上稍嫌不足,一旦攻擊者獲取了帳戶控制權,密鑰也將同步至他們的裝置上。

要啟用微軟帳戶的驗證碼密鑰功能,首先需要透過指定網址建立新的密鑰,選擇使用臉部、指紋、PIN或安全鑰等驗證方式。接著依照裝置上的指示完成密鑰設定。目前支援此功能的平台包括Windows 10及更新版本、最新的macOS Ventura、Safari 16或更新版本、Chrome作業系統、Chrome、Edge 109或更新版本、iOS 16及更新版本,以及Android 9及更新版本。

登入時,選擇"其他登入方式"、"臉部、指紋、PIN或安全鑰"後,即可從已儲存的驗證碼密鑰列表中選擇想要使用的密鑰進行驗證。裝置將開啟安全視窗,透過您選擇的生物辨識或PIN等方式完成身份認證。

總的來說,微軟推出驗證碼密鑰無疑是朝向更安全與便利的無密碼世界邁進的重要一步。隨著科技發展,期盼有更多服務開放這項友善又安全的新身份驗證方式,讓使用者遠離被密碼所帶來的風險及困擾。

詳情請看:

Microsoft rolls out passkey auth for personal Microsoft accounts

Posted in  on 5月 01, 2026 by Kevin |  

The hacker news:什麼時候一台漏洞掃描程式還不夠?

近期網路安全一直是熱門話題,我們每個人都應該提高警惕,採取必要的預防措施來確保個人及公司的網路安全。本篇文章探討了網路漏洞掃描器的重要性,並強調單一掃描器未必足夠,使用多種掃描引擎可以更全面地檢測潛在漏洞。

文中指出,隨著每年新發現的漏洞數量持續增加,要求掃描引擎必須與時俱進,然而單一引擎無法完全覆蓋所有已知漏洞。不同的掃描器可能侷限於特定軟體,或依風險程度排列優先順序,因此即便採用頂尖的掃描器,仍可能遺漏部分漏洞檢測。

有鑑於此,作者建議採用多重掃描引擎的方式,將各引擎的長處結合,以獲得更廣泛的檢測範圍。文中特別介紹Intruder公司的做法,將多種掃描引擎整合於其攻擊面管理平台中,不僅涵蓋更多漏洞檢查,還能將結果視覺化並按優先順序排列,方便企業快速發現並修補重大漏洞。

總的來說,本文強調網路安全的重要性,並提供實用的建議。我們無法完全杜絕網路攻擊,但透過採用多重掃描機制和專業工具,將可大幅降低遭受攻擊的風險。對於個人和企業而言,持續提升網路安全意識,並採取必要的防護措施,將是維護資訊安全的關鍵。

詳情請看:

When is One Vulnerability Scanner Not Enough?

Posted in  on 4月 30, 2026 by Kevin |  

Tenable:Tenable 透過惡意軟體偵測增強其雲端安全庫

在雲端安全一直是重點關注的議題,即使雲端採用已成為主流,許多威脅仍然依賴於惡意軟體攻擊。因此,雲端安全計劃必須包含偵測惡意軟體的能力。我對Tenable公司最新推出的雲端安全解決方案,增加了惡意軟體偵測功能,感到非常欣喜。

這項新功能大幅提升了Tenable的雲端安全解決方案,不僅可偵測惡意軟體,還能在駭客攻擊前,先發現並修補底層的錯誤配置。無論惡意文件的來源是從容器映像、受感染的機器映像或機器本身的活動,Tenable的解決方案都能發現它。

Tenable一直擅長於預防性的安全措施,協助客戶在風險升級前識別並減輕風險。新增的惡意軟體檢測功能進一步加強了這種方法。惡意程式通常不是意外產生的,Tenable服務與SIEM解決方案的整合,可協助安全團隊快速回應。除了現有的異常行為偵測功能,可識別偏離正常基線的潛在攻擊模式之外,惡意軟體偵測為其提供了額外的防護層。

了解雲端基礎架構的潛在風險範圍是一項複雜的工作。Tenable雲端安全解決方案的新惡意軟體偵測功能,與現有的漏洞管理、網路配置、身份和權限分析等服務無縫整合。這種協同作用有助於使用者輕鬆實現穩健的安全態勢,快速找出並優先處理最關鍵的問題,同時仍可輕鬆獲取所有離散資料點。

Tenable雲端安全解決方案的惡意軟體偵測功能非常靈活,能夠識別從簡單的web shell到先進持續威脅(APT)等各種問題文件,涵蓋多種格式,包括可攜式可執行檔(PE)、可執行和可鏈接格式(ELF)以及各種指令碼類型。此惡意軟體偵測功能支援多種作業系統,如Linux和Windows,並與Azure、GCP和AWS等領先的雲端服務提供商兼容。

Tenable採用了資料驅動的方法,利用數十個情報來源,並結合其獨特的分析方法,確保準確評估每個受感染文件所帶來的潛在風險,提升客戶的整體安全防護能力。

有時候,區分駭客使用的惡意工具和合法的管理軟體,僅在於部署者的意圖不同。因此,Tenable雲端安全解決方案進一步識別雖然不是惡意的,但可能被濫用的工具,例如跨平台管理工具WinEXE。透過檢視這些工具與其他問題(如漏洞暴露、允許外部訪問的網路配置、寬鬆的身份權限等)的關聯,可讓您了解如果被駭客訪問時,這些工具可能帶來的威脅。

總之,Tenable雲端安全解決方案新增的惡意軟體偵測功能非常強大,將偵測功能與現有的預防功能結合,提供了全方位的雲端安全防護。雲端安全不僅需要對環境安全態勢有全面的視圖,還需要持續偵測威脅,兩者必須同時並行。我對這項創新的解決方案充滿期待。

詳情請看:

Tenable Bolsters Its Cloud Security Arsenal with Malware Detection

Posted in  on 4月 29, 2026 by Kevin |  

Cybersecurity insiders:人工智慧時代身份驗證支付的挑戰

隨著對線上交易的需求不斷增加,數位化仍然是企業為滿足當代消費者需求的主要驅動力。事實上,最新數據顯示,美國2023年電子商務銷售額較2022年增長7.6%,達到1.119萬億美元,而2022年為1.04萬億美元。但隨著每個人生活中數位偏好的增加,網路安全和詐騙風險也與日俱增。

根據Experian的報告,92%的美國企業認識到線上客戶身分識別策略的需求,但同一項研究也顯示,仍有大比例的公司(70%)近年來遭受日益增加的詐騙損失。隨著網路犯罪分子變得愈加精密,企業和消費者期望在每一次付款體驗中都有積極的防禦措施。對於支付和B2B軟體平台,以及小型企業主而言,這種需求因人工智慧(AI)的快速發展而變得更加迫切。

我們知道AI和網路安全是相互關聯的,但隨著科技進步和詐騙分子變得更加老練,這種整合仍在持續發展中。我們不能忽視網路安全團隊和駭客都在利用AI對自身有利這一點。缺乏大型企業資源的小企業,往往對這些先進的威脅特別脆弱。

AI驅動的詐騙策略與挑戰

在2024年對資訊安全長及安全領導人的調查中,89%的組織同意AI驅動的威脅將在可預見的未來持續成為一大挑戰。隨著我們繼續瞭解詐騙分子的手法,以下是一些需要警惕的AI驅動策略:

合成身分:根據路透社的報導,80%以上的新帳戶詐騙可歸因於合成身分詐騙,損失數以億元計。這是指詐騙分子使用真實的身分識別資訊的一部分,例如真實的信用卡和相關姓名,並將其與虛構的數據結合,例如駭客控制的錯誤送貨地址或電子郵件地址,以創建一個新的身分。這個新身份接著可用於開設銀行帳戶、貸款、信用卡等。挑戰在於,隨著詐騙分子建立了合成身分的良好信用記錄和可信度,越來越多商家和銀行願意隨著時間推移而延長信貸,詐騙行為將繼續暗自進行。為了看起來更加合法,真實的身分也可能與其他真實身分結合在一起。在這種情況下,詐騙分子可以組合亞特蘭大某個"鮑伯·約翰森"的姓名和信用卡資料,與紐約另一個 "鮑伯·約翰森"的電子郵件地址。

生成式AI:近幾個月備受矚目的生成式AI,可以產生文字、圖像和影片,並通過輸入的訓練數據學習模式。它擁有令人驚訝的能力,可以複製人類表達并產生類人的內容。對於那些嘗試過生成式AI工具的人來說,很容易且快速地創建所需的內容。想想詐騙分子製作一份目標城市的電話號碼清單或使用"鮑伯·約翰森"名字的真實電子郵件地址是多麼簡單和快速。這種程度的簡單和速度可能導致大量個人化的網路釣魚攻擊或數據投毒,即攻擊者篡改AI模型接受訓練的數據。

AI如何重塑支付詐騙策略

安全領域和詐騙分子之間存在著不斷升級的攻防賽,每一次防禦科技的進步都會遭到攻擊方式的進化來對應。由於傳統驗證方法往往高度手動、範圍有限且產生延遲結果,企業領導人面臨著失去那些能夠提供更流暢、更安全的支付體驗的競爭對手之顧客的風險。購買者必須確信其個人支付資訊將受到保護。

由於Juniper Research估計,2027年前全球線上支付詐騙的累計損失將超過3430億美元,因此大量銷售額正遭到白白浪費。企業必須適應更加現代化的技術,以打擊不斷升級的支付詐騙,並鞏固客戶信心。本質上,AI驅動的解決方案可以幫助對抗AI驅動的威脅,原因如下:

實時檢測:通過使用AI,企業可分析大量數據並實時應對威脅。這不僅可加強企業對身分盜用和詐騙的防禦,還可確保數位金融互動過程中用戶體驗流暢、安全且一致。快速標記詐騙企圖有助於確保商家和零售商不會向合成身分發貨。

自動化流程:信息系統審計與控制協會(ISACA)最近報告稱,59%的網路安全團隊人手不足,不到一半的組織(42%)對其網路安全團隊檢測和應對威脅的能力有很高的信心。在缺乏強大團隊的情況下,AI驅動的工具可以迅速整合到公司的技術棧中,以幫助自動化安全任務。例如Everyware(一家領先的客戶支付和參與公司)推出了全新的身分匹配工具,可針對美國人口普查和信用局數據進行即時驗證,並可作為數位發票付款處理流程的一部分實施。這將暫停無法通過身分驗證的交易。自動化可緩解人手不足團隊的壓力,使其專注於需要人工參與的其他安全預防措施。

永久學習:機器學習和深度學習過程有助於安全領導人從過去的經驗中汲取教訓,並加強對網路攻擊的防禦能力。這有助於識別安全事件之間的趨勢,以及組織數位足跡的薄弱環節。

AI技術是一把雙刃劍

雖然為安全和防止詐騙提供了開創性的解決方案,但AI也加劇了詐騙策略的複雜性。除了生成式AI和合成身分詐

詳情請看:

Identity Verification Payments Challenges in the Age of AI

Posted in  on 4月 28, 2026 by Kevin |  

Tigera:提高雲端原生應用程式安全性的 3 個可觀察性最佳實踐

近年來隨著雲原生應用程序的普及,可觀察性(Observability)已成為確保應用程序安全性和高效運行的關鍵因素。本文闡述了為何可觀察性對於提高雲原生應用程序的安全性非常重要,並提出了三項最佳實踐建議。在此,我想分享一些心得和想法。

首先,文中指出雲原生應用程序由多個動態、分佈式和短暫的微服務組成,每個微服務獨立運作和擴展來提供應用功能。在這種架構下,可觀察性和監控指標能夠讓安全團隊透過檢測微服務的異常行為(如流量、進程調用等)來發現新出現的威脅。同時,可觀察性還能協助安全團隊在發生入侵時可視化受影響範圍,從而採取如安全政策更新等控制措施,將風險隔離。此外,可觀察性還有助於DevOps團隊維持服務品質,快速發現故障點並進行故障排查。

其次,文章指出DevOps和SRE團隊當前面臨的主要挑戰是數據量巨大、來源分散,手動分析和故障排查的難度很高。由於監控系統分層,缺乏上下文關聯,給分析帶來極大困難。因此,文章建議採用分佈式、與Kubernetes原生集成的可觀察性工具,收集跨層次(L3-L7)的遙測數據,包括Kubernetes基礎設施和活動日誌在內,並支持可視化、基於機器學習的異常檢測和故障排查功能。

最後,文章列舉了一些開源和商業可觀察性工具的優缺點。開源工具如Kubernetes Dashboard、Prometheus等功能單一,商業工具則提供了更全面的大尺度可視化、仪表板、動態數據包捕獲、應用層可觀察性和統一控制平面等強大功能,有利於跨雲跨集群的統一監控和運維。

總的來說,我認為可觀察性對於確保雲原生應用程序的安全性至關重要。DevOps團隊應充分重視可觀察性工具的選擇和實施,既要具備識別異常行為和威脅的能力,又要能快速定位和解決問題,最大限度提高應用程序的可靠性和用戶體驗。與此同時,由於可觀察性涉及大量數據和復雜分析,很多中小企業可能缺乏足夠資源。未來,隨著雲端服務和AI技術的發展,相信會有越來越多優秀且經濟實惠的可觀察性解決方案湧現,讓更多企業能夠受益。

詳情請看:

3 observability best practices for improved security in cloud-native applications

Posted in  on 4月 27, 2026 by Kevin |  

Help net security:人工智慧驅動的網路釣魚攻擊甚至會欺騙最清醒的用戶

近年來人工智能技術快速進步,帶來許多創新應用,但同時也被不法分子利用來制造更複雜的網路釣魚攻擊手法。根據資訊安全公司Zscaler的研究報告顯示,利用生成式人工智能(GenAI)加強社交工程詐騙的網路釣魚攻擊持續攀升,甚至能夠誘騙最警覺的使用者。

GenAI網路釣魚攻擊的威脅在於利用人工智能自動化並個人化各種攻擊步驟,使詐騙電子郵件語句更加流暢生動,網站內容更逼真,從而大幅提高詐騙成功率。攻擊者可以迅速分析大量數據,針對目標精心製作出高度模仿合法通訊和網站的釣魚郵件與網頁。

GenAI工具能夠消除拼寫和文法錯誤,增加釣魚內容的可信度。更令人擔憂的是,這些工具還能快速製作精密的釣魚網頁,甚至產生惡意軟體和勒索軟體,針對受害者展開後續的攻擊行動。面對這種高度智能化、自動化的網路釣魚攻擊,即使是最警覺的使用者也可能難以辨識並上當受騙。

報告指出,2023年美國是遭受網路釣魚攻擊最嚴重的國家,佔總數55.9%;其次是英國5.6%和印度3.9%。金融保險業更是遭受攻擊次數激增393%,顯示網路金融交易往來是罪犯主要鎖定目標。而微軟(43%)則是最常被模仿的企業品牌。

除了傳統的網路釣魚詐騙手法,報告還警示到一些新興攻擊型態,像是利用中間人攻擊(AiTM)和瀏覽器中瀏覽器攻擊(BiTB)直接在使用者瀏覽網頁時進行詐騙活動;或是偽裝技術支援和QR碼認證等方式,誘使使用者掃描惡意QR碼或與駭客假冒的支援人員互動而洩露資訊等。

這份研究報告無疑揭示出GenAI帶給網路安全領域的重大挑戰。人工智能技術為網路釣魚攻擊提供全新武器,不斷升級的詐騙手段更容易誆騙用戶,企業和個人都可能遭受重大資安威脅和財產損失。面對此一挑戰,我們必須提高警覺,加強教育訓練,與時俱進調整資安防護策略,才能有效防範GenAI網路釣魚攻擊的危害。

人工智能的發展正在改變網路安全的遊戲規則,各方需要高度重視這一威脅,採取更積極和前瞻的防禦態勢,保護資訊與數位資產的安全。唯有高度警惕和未雨綢繆,我們才能在新世代的人工智能網路戰爭中立於不敗之地。

詳情請看:

AI-driven phishing attacks deceive even the most aware users

Posted in  on 4月 26, 2026 by Kevin |  

微軟:建立安全的生成式人工智慧應用程式的最佳實踐

人工智慧發展日新月異,尤其是最近幾年生成式AI(Generative AI)的突破,讓AI系統能夠生成近乎人類水準的文字、圖像和影音內容,前景令人振奮。不過,這種強大的能力也帶來了一些安全和隱私疑慮,如果缺乏適當的管控措施,生成式AI應用程式有可能被利用來洩漏敏感資料或執行未經授權的操作,風險不容忽視。

本篇文章探討如何以安全為首要考量,來架構生成式AI應用程式。作者指出兩大主要風險:一是資訊外洩,使用者可能透過精心設計的提示,從應用程式獲取原本無權存取的敏感資料;二是權限提升,使用者可能藉由模擬AI應用程式的身分,執行超出原有權限範圍的操作。

為防範這些風險,文中提出幾項最佳實務作法。首先是限制應用程式權限,只允許存取對所有使用者開放的一般性資料和功能,而不能自行讀取敏感訓練數據或呼叫特權API。其次,應以使用者身分來存取敏感資料和執行特權操作,切勿賦予應用程式自身太大權限。另外,應避免將敏感資料放置於用於調整模型的訓練檔案中,以防遭到竊取。

文中並舉例說明錯誤做法可能導致的資料外洩風險,例如讓應用程式能直接存取使用者郵件、人力資源資料庫等敏感來源,或執行修改應用程式設定等特權操作,這都有被濫用的潛在危險。相對的,正確作法是在每次存取敏感資料或執行特權動作前,都先驗證使用者是否有足夠的權限。

為實作這種最佳實務,文章建議善用OAuth驗證機制,並推薦使用LangChain或Semantic Kernel等函式庫,以工具或技能的形式定義取得額外資料或進行行動的方式,每次呼叫這些取得敏感資訊或執行特權動作的工具時,都會附帶使用者的OAuth權證,確保操作獲得適當授權。

另一種做法是運用Microsoft Azure AI Search服務,其內建的使用者授權機制,可在取用底層資料時對使用者權限進行檢核。無論採用哪種技術,核心概念都是在存取敏感資源或執行特權操作前,明確驗證使用者的權限,避免生成式AI應用程式成為資訊外洩或權限被提升的切入點。

總的來說,生成式AI的興起帶來前所未有的便利和創新,但也衍生出新的安全隱憂。開發者有責任在設計階段就將安全列為優先考量,採取完善的存取控制和授權管理機制,讓使用者能安心運用這項革命性技術,將風險降至最低。對AI公司和應用開發商而言,這是一項重大的系統性挑戰,需要通力合作下定重心,才能真正造福世人。

詳情請看:

Best practices to architect secure generative AI applications

Posted in  on 4月 25, 2026 by Kevin |  

Paloalto:人工智慧的進攻和防守影響

人工智慧(AI)的影響力持續擴大,網路安全領域也無法倖免於這股浪潮。近期著名網路安全公司Palo Alto Networks旗下Unit 42部門的資深主管Michael Sikorski接受採訪,就AI對於網路攻防的衝擊,提出了諸多精闢見解。

首先,就近期6-12個月而言,Sikorski認為AI最可能被利用來強化社交工程攻擊,例如魚叉式詐騙(phishing)和商務電子郵件詐騙(BEC)。透過AI語言模型學習目標對象過去的電子郵件歷史與溝通模式,能夠撰寫出高度地道且具說服力的釣魚郵件,迅速建立信任關係後誘使受害者中計。這種可大規模自動化的釣魚攻擊方式,預期會很快成為駭客的主要手段。

展望未來一至數年,Sikorski預期駭客會將AI運用在兩大領域:其一是透過訓練AI語言模型,依據現有惡意程式碼拼湊出新的變種,以躲避偵測。其二是針對AI/機器學習系統本身實施攻擊,像是提示注入(prompt injection)和污染訓練資料集,意圖操縱AI的輸出結果。

不過,Sikorski最為關切的是5年後的遠景。屆時,駭客可能會利用AI實現大規模、自動化的攻擊行動,同步鎖定數千或數百萬個目標。他將之比喻為SolarWinds供應鏈攻擊事件,即便當時有軍方資源參與,駭客仍受限於人力僅能利用部分後門,但未來透過AI自動化操作,便可輕鬆同時入侵大量網路並植入惡意程式碼。

然而,AI也為網路防禦帶來了正面效應。Sikorski認為,隨著AI/機器學習的進步,軟體開發過程將更能自動化地發現並修復潛在漏洞,從而降低可利用的零時差漏洞數量。此外,AI的優化能力還能讓安全運營團隊腰纆重新集中在主動防禦和威脅獵捕等更具創意的工作,而非被動地反覆處理已知攻擊事件和誤報。

Sikorski建議,評估AI對網路安全團隊效能的改善,可藉由關注降低成本及發現新威脅的關鍵績效指標。如果團隊耗費在已知事件的鑑識比重逐漸降低,而找出新興威脅的比例持續上升,即代表AI確實提高了效率與效能。

總括而言,隨著AI攻防能力並行發展,像Sikorski這樣來自實戰一線的資深人士經驗與見解,將是網路安全團隊在運用AI潛在好處的同時,警惕新興威脅時不可或缺的指引。我們有待拭目以待AI在網路安全領域的演進。

詳情請看:

AI's Offensive & Defensive Impacts

Posted in  on 4月 24, 2026 by Kevin |  

Help net security:reNgine:用於 Web 應用程式的開源自動化偵察框架

網路安全一直是現代科技發展中不可忽視的重要課題。隨著網路應用程式的快速增長,確保這些應用程式的安全性也變得至關重要。傳統的網路偵查工具往往存在著種種限制,例如缺乏數據關聯性、輸出格式多樣化等,這使得偵查過程變得複雜且耗時。因此,開發一款自動化且高度可配置的網路偵查框架,對於提高偵查效率、節省時間成本至關重要。

reNgine正是為解決這一問題而誕生的開源自動化網路偵查框架。它的設計理念是讓用戶能夠輕鬆自動化並完善網路應用程式的信息收集過程,從而為Bug賞金獵人、滲透測試人員和企業安全團隊提供有力支持。

reNgine的一大亮點在於它提供了直觀的數據可視化功能,如圖表、地圖、樹狀結構等,幫助用戶快速準確地獲取所需的偵查數據。此外,它還具有一個名為"項目"的獨特功能,允許用戶根據不同的目的(如個人Bug賞金獵取、客戶委託測試等)建立獨立的偵查數據空間,每個項目都有自己的儀表板,掃描結果也將被隔離在各自的項目中,同時掃描引擎和配置則可跨項目共享,大大提高了工作效率。

除了現有功能外,reNgine的開發者還計劃將大型語言模型(LLM)整合到框架中。利用LLM強大的自然語言處理能力,reNgine可以生成更加人性化的偵查報告和攻擊面生成器,幫助用戶更好地理解和利用偵查數據。同時,開發者還將推出"模型工具包"功能,允許用戶安裝並使用自定義的LLM模型,包括付費和免費的各種選擇,極大地提高了框架的靈活性和可定制性。

總的來說,reNgine作為一款創新的開源自動化網路偵查框架,通過自動化流程、數據可視化、項目管理和LLM集成等多重優勢,為網路安全從業者提供了高效實用的解決方案。它的出現必將推動網路應用程式安全性的提升,促進整個網路安全領域的持續發展。作為開源項目,reNgine也為廣大安全愛好者提供了良好的學習和實踐平台,我們有理由期待它在未來能夠發揮更大的作用。

詳情請看:

reNgine: Open-source automated reconnaissance framework for web applications

Posted in  on 4月 23, 2026 by Kevin |