近期網路安全一直是熱門話題,我們每個人都應該提高警惕,採取必要的預防措施來確保個人及公司的網路安全。本篇文章探討了網路漏洞掃描器的重要性,並強調單一掃描器未必足夠,使用多種掃描引擎可以更全面地檢測潛在漏洞。
文中指出,隨著每年新發現的漏洞數量持續增加,要求掃描引擎必須與時俱進,然而單一引擎無法完全覆蓋所有已知漏洞。不同的掃描器可能侷限於特定軟體,或依風險程度排列優先順序,因此即便採用頂尖的掃描器,仍可能遺漏部分漏洞檢測。
有鑑於此,作者建議採用多重掃描引擎的方式,將各引擎的長處結合,以獲得更廣泛的檢測範圍。文中特別介紹Intruder公司的做法,將多種掃描引擎整合於其攻擊面管理平台中,不僅涵蓋更多漏洞檢查,還能將結果視覺化並按優先順序排列,方便企業快速發現並修補重大漏洞。
總的來說,本文強調網路安全的重要性,並提供實用的建議。我們無法完全杜絕網路攻擊,但透過採用多重掃描機制和專業工具,將可大幅降低遭受攻擊的風險。對於個人和企業而言,持續提升網路安全意識,並採取必要的防護措施,將是維護資訊安全的關鍵。
詳情請看:
在雲端安全一直是重點關注的議題,即使雲端採用已成為主流,許多威脅仍然依賴於惡意軟體攻擊。因此,雲端安全計劃必須包含偵測惡意軟體的能力。我對Tenable公司最新推出的雲端安全解決方案,增加了惡意軟體偵測功能,感到非常欣喜。
這項新功能大幅提升了Tenable的雲端安全解決方案,不僅可偵測惡意軟體,還能在駭客攻擊前,先發現並修補底層的錯誤配置。無論惡意文件的來源是從容器映像、受感染的機器映像或機器本身的活動,Tenable的解決方案都能發現它。
Tenable一直擅長於預防性的安全措施,協助客戶在風險升級前識別並減輕風險。新增的惡意軟體檢測功能進一步加強了這種方法。惡意程式通常不是意外產生的,Tenable服務與SIEM解決方案的整合,可協助安全團隊快速回應。除了現有的異常行為偵測功能,可識別偏離正常基線的潛在攻擊模式之外,惡意軟體偵測為其提供了額外的防護層。
了解雲端基礎架構的潛在風險範圍是一項複雜的工作。Tenable雲端安全解決方案的新惡意軟體偵測功能,與現有的漏洞管理、網路配置、身份和權限分析等服務無縫整合。這種協同作用有助於使用者輕鬆實現穩健的安全態勢,快速找出並優先處理最關鍵的問題,同時仍可輕鬆獲取所有離散資料點。
Tenable雲端安全解決方案的惡意軟體偵測功能非常靈活,能夠識別從簡單的web shell到先進持續威脅(APT)等各種問題文件,涵蓋多種格式,包括可攜式可執行檔(PE)、可執行和可鏈接格式(ELF)以及各種指令碼類型。此惡意軟體偵測功能支援多種作業系統,如Linux和Windows,並與Azure、GCP和AWS等領先的雲端服務提供商兼容。
Tenable採用了資料驅動的方法,利用數十個情報來源,並結合其獨特的分析方法,確保準確評估每個受感染文件所帶來的潛在風險,提升客戶的整體安全防護能力。
有時候,區分駭客使用的惡意工具和合法的管理軟體,僅在於部署者的意圖不同。因此,Tenable雲端安全解決方案進一步識別雖然不是惡意的,但可能被濫用的工具,例如跨平台管理工具WinEXE。透過檢視這些工具與其他問題(如漏洞暴露、允許外部訪問的網路配置、寬鬆的身份權限等)的關聯,可讓您了解如果被駭客訪問時,這些工具可能帶來的威脅。
總之,Tenable雲端安全解決方案新增的惡意軟體偵測功能非常強大,將偵測功能與現有的預防功能結合,提供了全方位的雲端安全防護。雲端安全不僅需要對環境安全態勢有全面的視圖,還需要持續偵測威脅,兩者必須同時並行。我對這項創新的解決方案充滿期待。
詳情請看:
Tenable Bolsters Its Cloud Security Arsenal with Malware Detection
隨著對線上交易的需求不斷增加,數位化仍然是企業為滿足當代消費者需求的主要驅動力。事實上,最新數據顯示,美國2023年電子商務銷售額較2022年增長7.6%,達到1.119萬億美元,而2022年為1.04萬億美元。但隨著每個人生活中數位偏好的增加,網路安全和詐騙風險也與日俱增。
根據Experian的報告,92%的美國企業認識到線上客戶身分識別策略的需求,但同一項研究也顯示,仍有大比例的公司(70%)近年來遭受日益增加的詐騙損失。隨著網路犯罪分子變得愈加精密,企業和消費者期望在每一次付款體驗中都有積極的防禦措施。對於支付和B2B軟體平台,以及小型企業主而言,這種需求因人工智慧(AI)的快速發展而變得更加迫切。
我們知道AI和網路安全是相互關聯的,但隨著科技進步和詐騙分子變得更加老練,這種整合仍在持續發展中。我們不能忽視網路安全團隊和駭客都在利用AI對自身有利這一點。缺乏大型企業資源的小企業,往往對這些先進的威脅特別脆弱。
AI驅動的詐騙策略與挑戰
在2024年對資訊安全長及安全領導人的調查中,89%的組織同意AI驅動的威脅將在可預見的未來持續成為一大挑戰。隨著我們繼續瞭解詐騙分子的手法,以下是一些需要警惕的AI驅動策略:
合成身分:根據路透社的報導,80%以上的新帳戶詐騙可歸因於合成身分詐騙,損失數以億元計。這是指詐騙分子使用真實的身分識別資訊的一部分,例如真實的信用卡和相關姓名,並將其與虛構的數據結合,例如駭客控制的錯誤送貨地址或電子郵件地址,以創建一個新的身分。這個新身份接著可用於開設銀行帳戶、貸款、信用卡等。挑戰在於,隨著詐騙分子建立了合成身分的良好信用記錄和可信度,越來越多商家和銀行願意隨著時間推移而延長信貸,詐騙行為將繼續暗自進行。為了看起來更加合法,真實的身分也可能與其他真實身分結合在一起。在這種情況下,詐騙分子可以組合亞特蘭大某個"鮑伯·約翰森"的姓名和信用卡資料,與紐約另一個 "鮑伯·約翰森"的電子郵件地址。
生成式AI:近幾個月備受矚目的生成式AI,可以產生文字、圖像和影片,並通過輸入的訓練數據學習模式。它擁有令人驚訝的能力,可以複製人類表達并產生類人的內容。對於那些嘗試過生成式AI工具的人來說,很容易且快速地創建所需的內容。想想詐騙分子製作一份目標城市的電話號碼清單或使用"鮑伯·約翰森"名字的真實電子郵件地址是多麼簡單和快速。這種程度的簡單和速度可能導致大量個人化的網路釣魚攻擊或數據投毒,即攻擊者篡改AI模型接受訓練的數據。
AI如何重塑支付詐騙策略
安全領域和詐騙分子之間存在著不斷升級的攻防賽,每一次防禦科技的進步都會遭到攻擊方式的進化來對應。由於傳統驗證方法往往高度手動、範圍有限且產生延遲結果,企業領導人面臨著失去那些能夠提供更流暢、更安全的支付體驗的競爭對手之顧客的風險。購買者必須確信其個人支付資訊將受到保護。
由於Juniper Research估計,2027年前全球線上支付詐騙的累計損失將超過3430億美元,因此大量銷售額正遭到白白浪費。企業必須適應更加現代化的技術,以打擊不斷升級的支付詐騙,並鞏固客戶信心。本質上,AI驅動的解決方案可以幫助對抗AI驅動的威脅,原因如下:
實時檢測:通過使用AI,企業可分析大量數據並實時應對威脅。這不僅可加強企業對身分盜用和詐騙的防禦,還可確保數位金融互動過程中用戶體驗流暢、安全且一致。快速標記詐騙企圖有助於確保商家和零售商不會向合成身分發貨。
自動化流程:信息系統審計與控制協會(ISACA)最近報告稱,59%的網路安全團隊人手不足,不到一半的組織(42%)對其網路安全團隊檢測和應對威脅的能力有很高的信心。在缺乏強大團隊的情況下,AI驅動的工具可以迅速整合到公司的技術棧中,以幫助自動化安全任務。例如Everyware(一家領先的客戶支付和參與公司)推出了全新的身分匹配工具,可針對美國人口普查和信用局數據進行即時驗證,並可作為數位發票付款處理流程的一部分實施。這將暫停無法通過身分驗證的交易。自動化可緩解人手不足團隊的壓力,使其專注於需要人工參與的其他安全預防措施。
永久學習:機器學習和深度學習過程有助於安全領導人從過去的經驗中汲取教訓,並加強對網路攻擊的防禦能力。這有助於識別安全事件之間的趨勢,以及組織數位足跡的薄弱環節。
AI技術是一把雙刃劍
雖然為安全和防止詐騙提供了開創性的解決方案,但AI也加劇了詐騙策略的複雜性。除了生成式AI和合成身分詐
詳情請看:
近年來隨著雲原生應用程序的普及,可觀察性(Observability)已成為確保應用程序安全性和高效運行的關鍵因素。本文闡述了為何可觀察性對於提高雲原生應用程序的安全性非常重要,並提出了三項最佳實踐建議。在此,我想分享一些心得和想法。
首先,文中指出雲原生應用程序由多個動態、分佈式和短暫的微服務組成,每個微服務獨立運作和擴展來提供應用功能。在這種架構下,可觀察性和監控指標能夠讓安全團隊透過檢測微服務的異常行為(如流量、進程調用等)來發現新出現的威脅。同時,可觀察性還能協助安全團隊在發生入侵時可視化受影響範圍,從而採取如安全政策更新等控制措施,將風險隔離。此外,可觀察性還有助於DevOps團隊維持服務品質,快速發現故障點並進行故障排查。
其次,文章指出DevOps和SRE團隊當前面臨的主要挑戰是數據量巨大、來源分散,手動分析和故障排查的難度很高。由於監控系統分層,缺乏上下文關聯,給分析帶來極大困難。因此,文章建議採用分佈式、與Kubernetes原生集成的可觀察性工具,收集跨層次(L3-L7)的遙測數據,包括Kubernetes基礎設施和活動日誌在內,並支持可視化、基於機器學習的異常檢測和故障排查功能。
最後,文章列舉了一些開源和商業可觀察性工具的優缺點。開源工具如Kubernetes Dashboard、Prometheus等功能單一,商業工具則提供了更全面的大尺度可視化、仪表板、動態數據包捕獲、應用層可觀察性和統一控制平面等強大功能,有利於跨雲跨集群的統一監控和運維。
總的來說,我認為可觀察性對於確保雲原生應用程序的安全性至關重要。DevOps團隊應充分重視可觀察性工具的選擇和實施,既要具備識別異常行為和威脅的能力,又要能快速定位和解決問題,最大限度提高應用程序的可靠性和用戶體驗。與此同時,由於可觀察性涉及大量數據和復雜分析,很多中小企業可能缺乏足夠資源。未來,隨著雲端服務和AI技術的發展,相信會有越來越多優秀且經濟實惠的可觀察性解決方案湧現,讓更多企業能夠受益。
詳情請看:
3 observability best practices for improved security in cloud-native applications
近年來人工智能技術快速進步,帶來許多創新應用,但同時也被不法分子利用來制造更複雜的網路釣魚攻擊手法。根據資訊安全公司Zscaler的研究報告顯示,利用生成式人工智能(GenAI)加強社交工程詐騙的網路釣魚攻擊持續攀升,甚至能夠誘騙最警覺的使用者。
GenAI網路釣魚攻擊的威脅在於利用人工智能自動化並個人化各種攻擊步驟,使詐騙電子郵件語句更加流暢生動,網站內容更逼真,從而大幅提高詐騙成功率。攻擊者可以迅速分析大量數據,針對目標精心製作出高度模仿合法通訊和網站的釣魚郵件與網頁。
GenAI工具能夠消除拼寫和文法錯誤,增加釣魚內容的可信度。更令人擔憂的是,這些工具還能快速製作精密的釣魚網頁,甚至產生惡意軟體和勒索軟體,針對受害者展開後續的攻擊行動。面對這種高度智能化、自動化的網路釣魚攻擊,即使是最警覺的使用者也可能難以辨識並上當受騙。
報告指出,2023年美國是遭受網路釣魚攻擊最嚴重的國家,佔總數55.9%;其次是英國5.6%和印度3.9%。金融保險業更是遭受攻擊次數激增393%,顯示網路金融交易往來是罪犯主要鎖定目標。而微軟(43%)則是最常被模仿的企業品牌。
除了傳統的網路釣魚詐騙手法,報告還警示到一些新興攻擊型態,像是利用中間人攻擊(AiTM)和瀏覽器中瀏覽器攻擊(BiTB)直接在使用者瀏覽網頁時進行詐騙活動;或是偽裝技術支援和QR碼認證等方式,誘使使用者掃描惡意QR碼或與駭客假冒的支援人員互動而洩露資訊等。
這份研究報告無疑揭示出GenAI帶給網路安全領域的重大挑戰。人工智能技術為網路釣魚攻擊提供全新武器,不斷升級的詐騙手段更容易誆騙用戶,企業和個人都可能遭受重大資安威脅和財產損失。面對此一挑戰,我們必須提高警覺,加強教育訓練,與時俱進調整資安防護策略,才能有效防範GenAI網路釣魚攻擊的危害。
人工智能的發展正在改變網路安全的遊戲規則,各方需要高度重視這一威脅,採取更積極和前瞻的防禦態勢,保護資訊與數位資產的安全。唯有高度警惕和未雨綢繆,我們才能在新世代的人工智能網路戰爭中立於不敗之地。
詳情請看:
AI-driven phishing attacks deceive even the most aware users
人工智慧發展日新月異,尤其是最近幾年生成式AI(Generative AI)的突破,讓AI系統能夠生成近乎人類水準的文字、圖像和影音內容,前景令人振奮。不過,這種強大的能力也帶來了一些安全和隱私疑慮,如果缺乏適當的管控措施,生成式AI應用程式有可能被利用來洩漏敏感資料或執行未經授權的操作,風險不容忽視。
本篇文章探討如何以安全為首要考量,來架構生成式AI應用程式。作者指出兩大主要風險:一是資訊外洩,使用者可能透過精心設計的提示,從應用程式獲取原本無權存取的敏感資料;二是權限提升,使用者可能藉由模擬AI應用程式的身分,執行超出原有權限範圍的操作。
為防範這些風險,文中提出幾項最佳實務作法。首先是限制應用程式權限,只允許存取對所有使用者開放的一般性資料和功能,而不能自行讀取敏感訓練數據或呼叫特權API。其次,應以使用者身分來存取敏感資料和執行特權操作,切勿賦予應用程式自身太大權限。另外,應避免將敏感資料放置於用於調整模型的訓練檔案中,以防遭到竊取。
文中並舉例說明錯誤做法可能導致的資料外洩風險,例如讓應用程式能直接存取使用者郵件、人力資源資料庫等敏感來源,或執行修改應用程式設定等特權操作,這都有被濫用的潛在危險。相對的,正確作法是在每次存取敏感資料或執行特權動作前,都先驗證使用者是否有足夠的權限。
為實作這種最佳實務,文章建議善用OAuth驗證機制,並推薦使用LangChain或Semantic Kernel等函式庫,以工具或技能的形式定義取得額外資料或進行行動的方式,每次呼叫這些取得敏感資訊或執行特權動作的工具時,都會附帶使用者的OAuth權證,確保操作獲得適當授權。
另一種做法是運用Microsoft Azure AI Search服務,其內建的使用者授權機制,可在取用底層資料時對使用者權限進行檢核。無論採用哪種技術,核心概念都是在存取敏感資源或執行特權操作前,明確驗證使用者的權限,避免生成式AI應用程式成為資訊外洩或權限被提升的切入點。
總的來說,生成式AI的興起帶來前所未有的便利和創新,但也衍生出新的安全隱憂。開發者有責任在設計階段就將安全列為優先考量,採取完善的存取控制和授權管理機制,讓使用者能安心運用這項革命性技術,將風險降至最低。對AI公司和應用開發商而言,這是一項重大的系統性挑戰,需要通力合作下定重心,才能真正造福世人。
詳情請看:
Best practices to architect secure generative AI applications
人工智慧(AI)的影響力持續擴大,網路安全領域也無法倖免於這股浪潮。近期著名網路安全公司Palo Alto Networks旗下Unit 42部門的資深主管Michael Sikorski接受採訪,就AI對於網路攻防的衝擊,提出了諸多精闢見解。
首先,就近期6-12個月而言,Sikorski認為AI最可能被利用來強化社交工程攻擊,例如魚叉式詐騙(phishing)和商務電子郵件詐騙(BEC)。透過AI語言模型學習目標對象過去的電子郵件歷史與溝通模式,能夠撰寫出高度地道且具說服力的釣魚郵件,迅速建立信任關係後誘使受害者中計。這種可大規模自動化的釣魚攻擊方式,預期會很快成為駭客的主要手段。
展望未來一至數年,Sikorski預期駭客會將AI運用在兩大領域:其一是透過訓練AI語言模型,依據現有惡意程式碼拼湊出新的變種,以躲避偵測。其二是針對AI/機器學習系統本身實施攻擊,像是提示注入(prompt injection)和污染訓練資料集,意圖操縱AI的輸出結果。
不過,Sikorski最為關切的是5年後的遠景。屆時,駭客可能會利用AI實現大規模、自動化的攻擊行動,同步鎖定數千或數百萬個目標。他將之比喻為SolarWinds供應鏈攻擊事件,即便當時有軍方資源參與,駭客仍受限於人力僅能利用部分後門,但未來透過AI自動化操作,便可輕鬆同時入侵大量網路並植入惡意程式碼。
然而,AI也為網路防禦帶來了正面效應。Sikorski認為,隨著AI/機器學習的進步,軟體開發過程將更能自動化地發現並修復潛在漏洞,從而降低可利用的零時差漏洞數量。此外,AI的優化能力還能讓安全運營團隊腰纆重新集中在主動防禦和威脅獵捕等更具創意的工作,而非被動地反覆處理已知攻擊事件和誤報。
Sikorski建議,評估AI對網路安全團隊效能的改善,可藉由關注降低成本及發現新威脅的關鍵績效指標。如果團隊耗費在已知事件的鑑識比重逐漸降低,而找出新興威脅的比例持續上升,即代表AI確實提高了效率與效能。
總括而言,隨著AI攻防能力並行發展,像Sikorski這樣來自實戰一線的資深人士經驗與見解,將是網路安全團隊在運用AI潛在好處的同時,警惕新興威脅時不可或缺的指引。我們有待拭目以待AI在網路安全領域的演進。
詳情請看:
網路安全一直是現代科技發展中不可忽視的重要課題。隨著網路應用程式的快速增長,確保這些應用程式的安全性也變得至關重要。傳統的網路偵查工具往往存在著種種限制,例如缺乏數據關聯性、輸出格式多樣化等,這使得偵查過程變得複雜且耗時。因此,開發一款自動化且高度可配置的網路偵查框架,對於提高偵查效率、節省時間成本至關重要。
reNgine正是為解決這一問題而誕生的開源自動化網路偵查框架。它的設計理念是讓用戶能夠輕鬆自動化並完善網路應用程式的信息收集過程,從而為Bug賞金獵人、滲透測試人員和企業安全團隊提供有力支持。
reNgine的一大亮點在於它提供了直觀的數據可視化功能,如圖表、地圖、樹狀結構等,幫助用戶快速準確地獲取所需的偵查數據。此外,它還具有一個名為"項目"的獨特功能,允許用戶根據不同的目的(如個人Bug賞金獵取、客戶委託測試等)建立獨立的偵查數據空間,每個項目都有自己的儀表板,掃描結果也將被隔離在各自的項目中,同時掃描引擎和配置則可跨項目共享,大大提高了工作效率。
除了現有功能外,reNgine的開發者還計劃將大型語言模型(LLM)整合到框架中。利用LLM強大的自然語言處理能力,reNgine可以生成更加人性化的偵查報告和攻擊面生成器,幫助用戶更好地理解和利用偵查數據。同時,開發者還將推出"模型工具包"功能,允許用戶安裝並使用自定義的LLM模型,包括付費和免費的各種選擇,極大地提高了框架的靈活性和可定制性。
總的來說,reNgine作為一款創新的開源自動化網路偵查框架,通過自動化流程、數據可視化、項目管理和LLM集成等多重優勢,為網路安全從業者提供了高效實用的解決方案。它的出現必將推動網路應用程式安全性的提升,促進整個網路安全領域的持續發展。作為開源項目,reNgine也為廣大安全愛好者提供了良好的學習和實踐平台,我們有理由期待它在未來能夠發揮更大的作用。
詳情請看:
reNgine: Open-source automated reconnaissance framework for web applications
隨著科技快速發展,人工智慧已逐漸滲透到我們生活的各個層面。儘管AI帶來了諸多好處,但也衍生出一些風險和隱憂,因此有必要制定明確的法規來管理和約束AI的使用。歐盟正在積極推動一系列相關法規,包括人工智慧法(AI Act)、數據法(Data Act)和健康數據空間條例(Health Data Space Regulation)。這些法規旨在促進可信賴和人性化的AI發展,同時保護公民的基本人權和隱私權。
人工智慧法是歐盟首個全面的AI監管法規,適用於公共和私人機構。該法案將AI系統根據風險程度進行分類,禁止使用對公眾構成不可接受風險的AI系統,並對高風險AI系統施加一系列要求,如風險管理、數據管治、透明度、人工監督等。此外,法案還要求某些AI系統必須具備透明度,以便公眾能夠檢測和識別人工生成或操縱的內容。值得一提的是,通用AI模型和系統也包含在法案範圍內。
數據法則旨在提高數據共享水平,規定了物聯網設備用戶(企業或消費者)訪問和使用數據的規則,同時維護高度的個人數據保護水平。根據該法案,數據持有者有義務與用戶和第三方共享可獲取的使用數據。
健康數據空間條例則分為兩大支柱。一是專門針對電子健康數據的主要用途,提高個人無論身在何處都能獲取自身電子健康數據的能力。另一個是專門針對電子健康數據的二次利用,旨在為研究、創新和公共政策等目的促進數據共享,同時確保符合歐盟數據保護法規。
這三項法規旨在相輔相成,共同推動AI和數據隱私的平衡發展。除了歐盟,美國也在積極制定相關政策。去年,拜登政府發布行政命令,要求聯邦機構在使用AI時必須遵循8項原則,如部署安全可信賴的AI、促進AI領域的創新與合作、防止AI帶來的歧視和偏見等。美國還計劃推出"美國隱私權利法案"(APRA),作為對抗歐盟通用數據保護條例(GDPR)的回應。APRA的主要特點包括對符合條件的小企業給予豁免、將公開信息排除在"覆蓋數據"之外、規定數據最小化要求、要求涉密大型企業聘用隱私官等。
展望未來,隨著科技與時俱進,AI和數據隱私法規也將不斷更新和完善。歐盟現有法規對企業而言確實複雜嚴格,未來可能需要進一步調整和簡化。同時,各國在制定相關法規時也需要平衡創新與監管之間的關係,避免過度限制AI的發展空間。不過,整體而言,這些嶄新的法規標誌著全球AI和數據隱私治理進入了一個新紀元,對於規範AI使用、保護公眾權益和個人隱私將產生深遠影響。企業也需要提前做好準備,配合監管要求並採取積極主動的數據管理措施,以期在AI快速發展的同時也能維護數據安全和個人隱私。
詳情請看:
史蒂芬・霍金曾說:「我們如今都被互聯網連接,就像巨大大腦中的神經元」,當時很少人了解他這句話的深遠含義。
然而,從那次著名的美國今日報紙專訪過了十年,我們可以肯定霍金是對的。如今,互聯網建立了全球村落,將各個組織聯繫在一起,無分地理位置,使大大小小的企業都能建立緊密關係。
但這種互聯性也帶來了一個缺點:網路犯罪。數位相連的組織為罪犯提供了機會,只要一次攻擊就可能損害多家企業。
供應鏈攻擊的崛起
最近就發生過這樣的事件:聯合健康集團的子公司Change Healthcare遭到勒索軟體攻擊,導致全美許多醫療服務提供者無法從保險公司獲得報銷,蒙受財務損失。
這突顯了數位相連組織彼此的依賴性。一旦供應鏈中的某一環節斷裂,就會對其他環節產生連鎖反應。
互聯性另一個關鍵問題在於數據分享和網路交叉。
當組織將部分服務外包給供應商,或依賴其他組織的服務時,幾乎總是會產生數據傳輸。有時,合作夥伴甚至可能需要存取組織的網路。但是,一旦組織的數據流向第三方,風險就會增加。
儘管數據的安全責任仍在所有者手中,但當數據離開其基礎設施時,組織就必須依賴合作夥伴的安全性來保護數據。這可能會使數據面臨風險,暴露在網路盜竊的威脅之下。
去年發生的MOVEit網路攻擊就是一個典型案例。
Cl0p勒索軟體攻擊利用了這款無所不在的檔案傳輸服務的一個漏洞,竊取了許多使用該軟體的組織的檔案。據估計,共有超過2,000家組織受到影響,影響了6,000萬人,造成約100億美元的損失。這說明了互聯網互聯性雖然給組織帶來好處,但也增加了管理挑戰,尤其是當數據安全受到威脅時。
不幸的是,這類供應鏈攻擊變得越來越普遍,組織即使沒有數位連接也可能遭殃。隨著組織規模的擴大,合作夥伴生態系統通常也會增長。這並不意味著所有供應商都需要存取組織網路,他們可能只是提供服務。然而,供應鏈中的服務中斷仍可能對組織產生重大影響。
因此,所有組織在與供應商建立合作關係時,都應該對其採取盡職調查,了解他們為保護資產所採取的管控措施。組織應有信心,一旦供應商遭到網路攻擊,不會影響到自身的服務。
這究竟可以如何實現?
審查供應鏈
盡管供應鏈網路安全存在風險,組織仍可採取許多步驟來審查合作夥伴,提高抵禦第三方攻擊的能力。其中最重要的步驟包括:
1. 盤點供應鏈:
對組織而言,最重要的一步是了解誰是他們的合作夥伴。組織必須盤點所有部門的所有合作夥伴,評估是否與合作夥伴共享數據、他們對內部系統的存取權限如何,以及組織是否依賴其他供應商的服務來保持正常運作或提供服務。
2. 識別關鍵供應商:
完成初步盤點後,組織必須確定關鍵供應商。這些是支持日常業務運營的合作夥伴,為組織提供所需服務,或者代表組織提供服務。
確定了關鍵供應商後,組織就必須努力了解他們對網路的存取權限,以及與供應商共享數據的方式。還要了解合作夥伴遭到入侵會對業務產生何種影響非常重要。
會危及關鍵服務嗎?財務損失會有多大?客戶會受到何種影響?這些問題都必須得到解答。
3. 問卷調查和管控評估:
盤點完所有供應商後,就應該要求他們填寫有關網路安全實務和法規遵循的問卷。
問卷應側重於員工網路安全意識培訓、修補管理,以及他們是否遵守常見的安全控制措施,如NIST或ISO27001標準。
問卷中不應存在任何紅旗。如果合作夥伴未採取全面的安全措施,就該斷絕關係。對於關鍵供應商,建議進行更加深入的控制審查。
最重要的是,企業必須確保合作夥伴具有網路韌性。合作夥伴必須證明他們制定了既可防止入侵者攻入系統,又能快速有效遏制攻擊的策略,以免影響服務或其他合作夥伴。
4. 技術措施:
對於需要直接存取網路的合作夥伴,必須確保他們擁有安全的網路連線。
此外,在可能的情況下,還應隔離網路,不讓供應商觸及任何關鍵任務數據。重點是限制對合作夥伴的不必要暴露,這樣罪犯就無法利用網路橫向移動進入他們的數據。
隨著越來越多供應鏈攻擊曝光,第三方安全對所有企業來說都變得至關重要。組織必須審查供應商,確保他們實行良好的網路安全衛生,同時也要努力在合作夥伴遭到攻擊時,將暴露程度控制在最低限度。
在當今數位化世界,採取這些步驟至關重要。正如霍金所預言,互聯網將我們聯繫在一起,關於「六度分離理論」的奢想已不復存在。
詳情請看:
Securing your organization’s supply chain: Reducing the risks of third parties
在當代瞬息萬變的網路安全領域,人工智慧(AI)與自動化技術無疑成為安全運營團隊提升效能的關鍵助力。根據Anomali公司的調查報告顯示,安全分析師認為他們每天高達57%的工作任務可以透過自動化來處理,而76%的受訪者也預期AI技術能夠加速威脅偵測及個人生產力的提升。
然而,有47%的受訪者表示,目前的安全運營中心(SOC)無法提供足夠的基礎架構可見度,而這項能力對於偵測和回應惡意活動而言至關重要。因此,高達87%的受訪者希望能將多種技術整合到單一平台中,以增強安全分析工作流程的效率。
報告指出,對於單點解決方案的擔憂(61%受訪者表示憂慮),使得技術堆疊整合成為這些領導者的當務之急。許多人均指出,他們希望對所獲得的產品和可實施的措施有更具體的理解,藉此專業化管理其安全投資。
前瑞士銀行(UBS)資訊安全長Christian Karam表示:「生成式AI對於安全專業人員來說,潛力無窮,它正在開啟可大幅提升安全運營效能的創新能力。然而,這項技術也帶來了挑戰 – 同時增強了防禦和攻擊兩方面的能力。因此,在2024年,安全領導者必須重新評估其防禦策略,過渡到更具動態調適能力的技術,同時也要增強安全團隊的能力。」
報告顯示,88%的受訪者將把安全投資的重點放在雲端安全,而55%的焦點將落在AI技術。然而,要在SOC中推進這些技術,勢必需要大規模的再培訓計畫,因為有32%的受訪者認為他們沒有適當的人員具備所需技能。
很明顯的是,資訊安全長計畫整合工具,而非增加更多的複雜度。有68%的受訪資安長打算在可能的地方整合供應商/工具的數量;同時,只有26%的資安長計畫新增技術來解決安全缺口和新興威脅。
87%的受訪者希望將多種技術整合到單一SOC平台。SOC團隊通常需要使用許多不同的工具,同時處理多家供應商關係,這無疑耗費大量時間,也增加了架構複雜度。資安長和技術長均意識到這個問題,並普遍認為整合平台解決方案可以加速實現價值,同時降低風險。
Anomali執行長Ahmed Rubaie說:「就像機器人進入工廠生產線一樣,安全智能的副手是IT和安全運營開始實現自動化的關鍵起點。將重要任務自動化可以釋放分析師更多時間進行高級威脅獵捕和進階安全分析,同時也能讓管理層對威脅環境有更清晰的評估。與此同時,現在正是時候將傳統技術堆疊整合到一個平台(單一安全資料湖)中,以獲得更好的可見度,並能夠採取更有效的行動來保護組織,推動業務發展。」
這項報告調查了150位資安領域的高階專業人士,包括資訊安全長及其管理團隊成員。總的來說,透過AI與自動化技術的運用,將可大幅提升網路安全防護的效能。然而,這項技術也帶來新的防禦與攻擊挑戰,因此,規劃周全的導入策略及人員培訓計畫將是成功的關鍵。同時,合理化和整合技術架構也是降低複雜度、提高運營效率的重要工程。期盼在資安領導者的英明領導下,AI與自動化能真正發揮其綻放網路安全價值的潛力。
詳情請看:
Security analysts believe more than half of tasks could be automated
網路安全一直是現代社會不可忽視的重要議題。隨著科技快速發展,駭客入侵個人或企業資料庫的手法也日益精進,我們必須提高警覺,採取必要的防護措施。近期一項研究顯示,任何短於7個字元的密碼,都有可能在短短幾小時內被暴力破解。這項驚人的發現再次提醒我們,單憑簡短的密碼是遠遠不夠的。
有鑑於此,業界開始廣泛採用更強大的雜湊加密演算法來保護數據,例如bcrypt。這讓駭客需要更長時間才能破解密碼,暫時為我們爭取了一些喘息空間。不過,駭客手法層出不窮,只要計算能力持續提升,他們遲早會找到新的破解途徑。因此,單靠增強加密演算法的強度是遠遠不夠的,我們必須多管齊下,採取全方位的防護措施。
除了密碼強度外,多重認證(MFA)是另一種有效的安全防護。透過多步驟登入程序,並要求使用者採取實際行動(如輸入一次性動態密碼)來確認身分,可大幅降低帳號被盜用的風險。即使密碼遭到破解,駭客也無法輕易登入系統。
此外,密碼管理器的使用也相當重要。它能為每個網站或應用程序產生長度較長、複雜且隨機的密碼組合,大大提高密碼被破解的難度。不過,就算使用最頂級的密碼管理器,密碼的安全性終將隨著時間遞減。駭客總有一天能克服目前的障礙,因此我們絕對不能掉以輕心。
綜觀當前的網路威脅形勢,我們必須有高度的警覺心。政府、企業和個人都應投入更多資源,強化資訊安全防護。提升員工的網路安全意識、制定完善的資安政策、及時修補系統漏洞等,都是刻不容緩的當務之急。只有透過全民總體戰,我們才能真正捍衛數位資產的安全,遏阻駭客的攻擊行為。
詳情請看:
近年來,網路攻擊事件層出不窮,資安威脅日益嚴峻,企業和組織防禦資安漏洞的重要性不言可喻。然而,由於資安專業人員短缺,許多中小企業和團隊在維護系統安全性時面臨了巨大挑戰。在此背景下,Tracecat這款開源安全協作自動化響應 (SOAR) 平台應運而生,為缺乏資安資源的團隊提供了可行的解決方案。
Tracecat 是一個基於網路的平台,旨在提升安全團隊的工作效率。它結合了先進的人工智慧模型,能自動標示、摘要和豐富安全警報,並透過內部證據和外部威脅情報,為警報提供背景資訊,幫助使用者快速辨識和分類相關案件。此外,Tracecat 還提供了 MITRE ATT&CK 標籤、MITRE D3FEND 建議等功能,讓使用者更容易掌握攻擊手法和採取有效的防禦措施。
除了強大的警報處理功能,Tracecat 還內建案件管理系統。當安全警報被觸發並標示為案件時,使用者可以直接在平台上追蹤和管理安全事件的狀態。透過簡單的拖放介面,使用者能夠輕鬆建立自動化工作流程,執行 API 調用、Webhook、數據轉換、人工智慧任務等操作,實現安全運營 (SecOps) 自動化,減輕人力負擔。
另一個值得一提的優點是,Tracecat 支持雲端無關,只要部署環境支持 Docker,就可以輕鬆地在本地或雲端部署使用。更重要的是,Tracecat 作為開源軟件,源代碼可在 GitHub 上免費獲取,這不僅降低了中小團隊的採用成本,也增加了其可信賴性和透明度。
總的來說,Tracecat 為中小企業和團隊提供了一個高效、靈活且經濟實惠的資安自動化解決方案。其人工智慧增強功能和開放源代碼理念,讓這款平台極具發展潛力,必將為未來資安領域注入新的活力。對於那些資源有限、但仍希望提升安全性能的團隊而言,Tracecat 絕對是一個值得嘗試和關注的出色選擇。
詳情請看:
人工智能技術在近年來突飛猛進的發展,為社會帶來種種便利,同時也引發了不少安全疑慮。作為關鍵基礎設施的保護者,美國政府終於正視這個問題,並頒布新的人工智能安全指南,旨在提高關鍵基礎設施對AI相關威脅的防禦能力。
這份新指南著眼於三大風險領域:利用AI系統放大攻擊關鍵基礎設施的威脅、對手操縱AI系統的風險,以及AI工具本身可能產生的無心插曲。顯然地,政府已預見到人工智能不僅有被攻擊的危險,也可能成為攻擊載體,造成重大災難。
為了因應上述種種風險,新指南提出"統治、繪製、衡量、管理"四大原則,涵蓋AI生命週期中的各個環節。首先是從組織層面建立風險管理文化,讓每位員工都意識到AI安全的重要性;接著要清楚掌握本單位使用AI的場景,了解可能面臨哪些風險;然後建立評估、分析和追蹤AI風險的機制;最後就是根據風險等級,優先處理並採取緩解措施。
可以看出,指南重視全方位、系統化的管理,而非只著眼於技術層面。畢竟AI系統的安全除了要靠穩健的架構、密碼保護等做基礎建設,更需要有健全的管理體系,從組織文化、人員培訓到風險評估,環環相扣,方能真正達到防患未然的目的。
值得一提的是,指南特別提醒關鍵基礎設施營運商,要先掌握自身對AI供應商的依賴程度,釐清風險緩解的分工,反映出供應鏈安全也是重中之重。過去幾年AI模型供應鏈遭駭事件屢見不鮮,一旦被植入惡意程式碼,後果不堪設想。
總的來說,這份新指南標誌著政府正視AI安全問題的決心,雖只是個開端,但對維繫基礎建設的正常運作、避免人為錯誤、防範惡意利用AI發動攻擊等都具有深遠意義。人工智能技術的迅猛發展正帶來新的機遇與挑戰,我們有必要審時度勢,審慎因應,才能在這場科技浪潮中保持穩健與可控。
詳情請看:
U.S. Government Releases New AI Security Guidelines for Critical Infrastructure
身為一名熱衷於技術學習的個人,對於Microsoft Learn推出的全新學習體驗"Learning Room"深感興趣。Learning Room提供了一個線上社群平台,讓世界各地的學習者得以互相交流、切磋砥礪,從專家那裡獲取關於Microsoft產品與服務的深入見解。這樣一個在線學習社區的出現,實屬難能可貴。
其中一個令人矚目的Learning Room就是由來自阿塞拜疆的Azure MVP Hamid Sadeghpour Saleh與其他專家所打理的"Microsoft Zero to Hero Community"。誠如其名,該社群旨在協助學員一路成長,從零開始逐步成為Microsoft雲端技術的專家。透過AMA問答、部落格分享、工作坊等多元活動,學員們得以涵蓋Azure、AI、資料分析等全方位的微軟雲端科技。
作為一個跨領域技術社群,Zero to Hero吸引了不同程度的學習者參與其中。無論是學生、新手還是經驗老道的專業人士與MVP,大家在這裡共同學習、互通有無,營造出極富啟發性的學習氛圍。我認為,這正是Learning Room最與眾不同的魅力所在——集思廣納、包容並蓄,讓每個人都能找到屬於自己的學習軌道。
除了一般討論之外,社群也十分重視對會員技能發展的支持與輔導。以Hamid為例,身為社群管理員,他不遺餘力地籌辦互動式討論會、工作坊,分享資源並提供個人指導,致力於為會員們營造一個積極向上、相互砥礪的學習環境。這種師徒式的傳承模式,聯想到了古時的書院或工坊,知識與技藝得以代代傳承,而非僅止於簡單的課堂教學。
總的來說,Microsoft Learn Learning Room為熱愛學習的人們開啟了嶄新的大門,得以邊學習邊實踐、互助合作,逐漸在微軟雲端科技的領域中成長茁壯。衷心期盼這個社群平台能在未來吸引更多志同道合的夥伴加入,在熱情的交流和切磋中創造出無限的可能。讓我們一起在Learning Room的天地中"邁向英雄"(Zero to Hero)吧!
詳情請看:
網路安全一直以來都是企業和個人不可忽視的重要議題。隨著科技日新月異,網路攻擊手法也越來越多元化和複雜,單一防禦方式已經無法應付當前的安全威脅。因此,平台化(Platformization)漸漸成為網路安全的發展趨勢,透過整合各種安全功能,簡化系統架構,提升整體防護效能。
平台化最大的好處,就是將過去分散的網路安全工具整合為一站式解決方案,減少複雜性和管理成本。舉例來說,物聯網(IoT)安全有許多獨立工具可以選擇,但將它整合至安全平台內,不僅可以與現有系統無縫整合,也可重複利用既有硬體設備,達到最佳化資源使用的目的。
此外,即便採用平台化方案,它也應當支援與其他第三方工具整合,讓企業可以針對特殊需求,選擇最佳利器。畢竟,在遷移至平台化架構的過渡期,難免還有一些舊系統需要繼續運作一段時間。一個完善的平台需要與其他解決方案友善共存,讓客戶能夠漸進式地整合系統。
近來人工智慧(AI)的應用快速竄紅,已成為網路安全新的戰場。優秀的安全平台勢必要能掌握大量高品質資料,作為AI模型訓練的素材,提供更精確防護。未來平台化與AI的結合,甚至可望達到主動防禦的能力,偵測駭客意圖並阻絕攻擊。
整體而言,平台化是網路安全發展的必然趨勢。它能夠幫助企業整合資源、節省成本、提升防護效能,打造更簡單有效的網路安全防護體系。然而,在邁向平台化的過程中,企業仍應審慎評估自身需求,權衡採用單一平台或保留部分獨立工具的策略,做出最適切的網路安全布局。
詳情請看:
隨著人工智慧(AI)技術的蓬勃發展,無疑已經開始影響各個產業和日常生活。不過,任何新興技術的興起都難免會帶來一些風險和隱憂。Adaptive Shield近日推出了一款專為AI應用程式而設計的SaaS安全管理方案,旨在協助企業有效降低使用AI帶來的潛在風險。
在當前的商業環境中,企業為了提高效率,員工正大量採用含有AI功能的SaaS應用程式,例如ChatGPT、Google Gimni、GitHub Copilot、Salesforce Einstein和Microsoft 365 Copilot等。一份最新的PWC報告指出,超過一半(54%)的受訪企業已在其業務的某些領域實施了AI。可見AI技術的普及速度之快,企業也意識到制定應對措施的迫切性。
雖然AI有助於實現自動化並提升生產力,但同時也帶來了一些新的安全風險,如數據外洩、攻擊面擴大、新的漏洞以及隱私問題等,還可能導致企業違反相關法規的情況。有些企業由於無法掌控風險,乾脆禁止使用AI技術,但這無疑是本末倒置。
適當的做法應該是在廣泛採用AI的同時,制定完善的安全策略來降低風險。Adaptive Shield推出的這款產品正好能夠幫助企業的AI主管和安全團隊管理和控制AI工具的使用。
該產品套件包含以下主要功能:
1. AI應用程式安全狀況評估和分數,找出高風險應用。
2. AI相關安全設置控制,防止數據外洩。
3. 發現和管理非授權的AI應用程式接入。
4. 監控第三方AI應用,審查權限範圍。
5. 確保內部開發的AI應用程式安全。
6. 數據管理,維護數據隔離,避免敏感數據外洩。
總的來說,這款安全產品能夠對企業中使用的各種AI應用程式進行全面評估和管控,從而最大限度地降低AI帶來的風險隱患。雖然AI給企業的日常運營帶來了巨大的利益,但安全無疑是一個不可忽視的關鍵環節。只有做好充分的安全防護措施,企業才能真正放心地擁抱AI革命,在提高效率的同時,守住核心機密和關鍵數據的安全。
因此,對於任何企業來說,大力發展和合理利用AI絕對是一個必然趨勢。但同時,也必須投入足夠的資源,建立起安全可靠的管理機制。只有如此,才能真正最大化AI的潛力,同時又將風險控制在可控範圍之內,實現真正的雙贏。
總的來說,這款產品為企業如何在使用AI的同時確保安全提供了一種行之有效的解決方案,值得業界關注和借鑒。對於AI的未來發展而言,安全無疑將是一個不可或缺的重要一環。
詳情請看:
科技的發展讓生活變得更加便利,但同時也帶來隱私風險。每當我們上網瀏覽網頁時,瀏覽器都會記錄下我們的上網軌跡,包括瀏覽網站的名稱、位置以及訪問時間等資訊。這些資料若落入不當的第三方手中,恐有被竊取身分或資料被濫用的風險。因此,妥善管理並定期清除瀏覽器歷史記錄,對於維護線上隱私至關重要。
常見的清除瀏覽器資料方式包括使用各大瀏覽器內建的「清除瀏覽資料」功能,但值得注意的是,這樣做僅能暫時刪除瀏覽器記錄,實際上這些資料仍然存在於電腦硬碟中。為徹底移除相關資訊,我們需要使用專業的資料刪除工具,才能徹底清除殘餘的資料片段。
除了定期清理瀏覽器資料外,使用瀏覽器的「隱私瀏覽」或「無痕模式」也是一種保護線上隱私的做法。不過需特別注意,雖然「隱私瀏覽模式」能阻擋部分追蹤器並自動刪除當次瀏覽記錄,但網路服務供應商及第三方網站仍有機會取得使用者的上網活動資訊,因此單單使用「隱私瀏覽」並不足以完全保護個人隱私。
近年來,各國政府已開始重視數位隱私議題,部分地區甚至已將「數位隱私」列為基本人權。身為數位公民,我們理應提高警覺,採取必要的防護措施,避免個人資訊遭到任意竊取或濫用。例如可投資購買專業的防毒軟體或身分盜用防護服務,進一步強化線上隱私防護。
總括而言,瀏覽器歷史記錄雖看似無關緊要的小數據,但若處理不當將可能衍生嚴重的隱私及資安風險。我們應定期清理上網軌跡,並透過加強資安防護,確保網路生活的安全與隱私無虞,維護個人及家人的數位人權與自由。祝願科技發展能為人類生活帶來利多於弊。
詳情請看:
在現今瞬息萬變的環境中,傳統的安全自動化方法已經無法滿足企業的需求。一方面,網路安全人才短缺的問題越來越嚴重;另一方面,威脅向量也變得越來越複雜。有鑑於此,具備完全自主能力的安全平台對於全球網路安全市場(根據一份網路安全市場報告,到2028年將增長至2985億美元)而言,無疑是一個重大的機遇。
Simbian公司是這個領域的領導者,他們透過深入理解安全自動化的內涵和環境,並運用不斷學習的人工智慧,使系統變得越來越智能和深化。最近,該公司推出了業界首個由通用人工智能(Gen AI)驅動的安全共駕系統,可將安全及智能的AI解決方案整合到不同的IT環境中,以最大程度增加覆蓋範圍,並加速對安全團隊不斷變化需求的響應。
這個共駕系統會持續觀察使用者的操作和環境,並逐漸學習自主執行越來越複雜的任務。Simbian的目標是實現完全自主的安全,將所有戰術性任務委派給值得信賴的AI平台,讓使用者可以專注於策略性的安全目標。
儘管多年來企業在內部自動化和工具上進行了大量投資,以提高安全團隊的工作效率,但他們仍然無法應付每天必須完成的大量操作任務。Simbian讓安全操作員完全掌控安全決策,用戶可與跨供應商的產品進行互動,完成所需的工作。該公司在業內獨一無二地提供了使用大型語言模型(LLM)生成代碼命令的能力,並且基於自然語言用戶界面,讓用戶可以臨機應變地構建Simbian支援的各種操作變體。
Simbian的通用AI驅動平台是業界首個可適應不同IT環境,涵蓋全面安全功能的安全共駕系統。大多數企業同時使用來自多家供應商的軟體和內部自製軟體。每個企業和每個安全團隊成員都有獨特且不斷變化的安全需求。Simbian可以幫助安全團隊中的每個人員,從CISO到一線從業人員,實時解決他們各自的獨特安全需求。用戶只需用自然語言描述目標,Simbian專利擬定的LLM驅動平台就會提供個性化建議,並跨異質環境生成自動化操作 - 提供更好的安全效果、更高的靈活性以應對不斷演變的業務需求和威脅,並降低成本。
安全是一個複雜程度與日俱增的領域。每一次安全事件都會帶來新的變數。Simbian朝著實現完全自主安全平台的願景邁進了一大步。儘管安全廠商越來越多地採用通用AI,但現成的通用AI模型存在許多安全風險,包括產生幻覺、提示注入風險,以及暴露個人身份信息/機密數據等。Simbian透過利用一種專利擬定的加固大型語言模型系統TrustedLLM™,在用戶和通用AI模型之間採用多層安全控制,將這些風險降至最低。
AI驅動的安全解決方案可以大幅改善威脅偵測、加速補救,並降低複雜性。Simbian正在將這一願景化為現實,利用AI自動化安全分析師日常中許多更具挑戰性和頻率較高的安全任務。
詳情請看:
Organizations Need Fully Autonomous Security Powered by Gen-AI
根據研究機構Gartner的最新調查,全球有63%的組織已完全或部分實施零信任策略。對於實施零信任策略的78%組織而言,這項投資僅佔整體網路安全預算的25%以下。
儘管如此,仍有56%的組織主要是因為零信任被視為業界最佳實踐而追求該策略。然而,Gartner分析師John Watts指出,儘管有此看法,但企業仍不確定零信任實施的最佳做法為何。對大多數組織而言,零信任策略通常只涵蓋環境的一半或更少,並且僅能減輕不到四分之一的整體企業風險。
Gartner概述了為實施零信任策略而提出的三項主要最佳實踐建議,以供安全主管參考:
1. 早期確立零信任策略的範圍
為成功實施零信任,組織需了解涵蓋範圍、哪些領域在範疇之內,以及可減輕的風險程度。
零信任策略的範圍通常不包括組織的所有環境。然而,調查回覆者中有16%表示將涵蓋75%或更多範圍,僅11%認為將涵蓋不到10%的組織環境。
Watts表示:「範圍是零信任策略中最關鍵的決策。企業風險遠比零信任控制的範圍更廣泛,而且只能減輕有限的企業風險。儘管如此,衡量風險減少和改善安全態勢,仍是評估零信任控制成功與否的關鍵指標。」
2. 透過零信任策略和運作指標溝通成果
在已完全或部分實施零信任的組織中,有79%具有策略指標來衡量進度,且其中89%有風險衡量指標。不過,安全主管在溝通這些指標時,也必須考量受眾。調查顯示,59%的零信任倡議由CIO或CEO/總裁/董事會贊助。
Watts解釋:「零信任指標必須根據零信任的可交付成果進行量身打造,而非複製其他領域如終端偵測與應對的指標。零信任的努力可實現特定成果,例如減少惡意程式在網路上的橫向移動,但可能無法由現有的網路安全指標捕捉。」
3. 預期員工編制和成本增加,但不會延誤
有62%的組織預期成本將增加,41%的組織也預期員工需求將因零信任實施而增加。
Watts表示:「採用零信任策略的組織,其預算影響將因部署範圍和零信任策略在規劃過程中的強度而有所不同。零信任倡議本身會影響預算,因為組織採取系統性和逐步方式,使其政策朝向風險為本和自適應控制發展,為組織的持續營運負擔增加開支。」
儘管只有35%的組織表示遇到干擾零信任策略實施的失敗案例,但組織仍應制定零信任策略計劃、確立運作指標,並衡量零信任政策的有效性,以盡量避免延誤。
總的來說,零信任是網路安全發展的大趨勢,許多組織已意識到其重要性並著手實施。然而,無論是規劃、執行或衡量成效,都需要高度的策略性思維,配合企業獨特狀況進行因材施教。唯有如此,零信任策略才能真正發揮價值,提升組織的整體網路防護能力。
詳情請看:
誠如本篇專訪所言,網路安全領域一直存在著嚴重的人才短缺問題。造成這種現象的原因很多,其中包括網路威脅與相關法規日益增加,導致對網路安全人員的需求大增;但同時,年輕人對這個領域的興趣不足,供給無法滿足需求。此外,行業內的員工流失率也相當高,有經驗的人員常因工作壓力而選擇轉行或移居他國。
要解決這個問題,我們必須從多方面著手。首先,我們要提高社會大眾對網路安全的認知,尤其是年輕學子,讓他們了解這是一個充滿挑戰且前景廣闊的領域。同時也要改革教育體制,採用更多元化的教學方式,激發學生的學習熱情。
此外,我們也要為業界人才提供更好的職涯發展環境。用人單位應廣開職缺大門,不應限制於特定資歷,而是更重視應徵者的潛力。工作場所也要提供良好支援與導師制度,給予員工足夠的成長空間與情緒管理協助,避免人才因過度壓力而流失。
當然,在提高網路安全領域的性別多元化方面,我們也有很大的努力空間。由於過去這是個男性主導的領域,女性在晉升管理階層的路上往往面臨更多障礙。我們需要提供更多職涯發展與導師資源,並在公司決策層納入女性的聲音,以打造一個兼顧多元且包容的職場環境。
透過多方位的努力,我深信網路安全的發展一定能夠步入更加包容且蓬勃的新紀元。惟有匯聚各方英才,這個領域才能持續進步,為我們的數位世界帶來最可靠有力的防護。讓我們共同為之努力,創造一個更美好的網路安全未來。
詳情請看:
Making cybersecurity more appealing to women, closing the skills gap
隨著雲端服務的普及,安全漏洞管理的角色與重點已產生重大轉變。傳統上,漏洞管理團隊的主要任務是修補網路基礎架構中的漏洞。但在雲端環境中,組織無法直接控制底層基礎架構,因此漏洞修補的責任落在雲端服務提供商身上。相對的,漏洞管理團隊的工作重心則轉移到配置管理。
適當的配置管理直接影響組織的風險程度。舉例來說,MongoDB 曾因為預設密碼配置問題而導致大量伺服器受到入侵,這就凸顯了配置管理的重要性。與傳統軟體不同,雲端服務的高度可複製性,使得一個錯誤的配置可能會在整個雲端環境中大規模複製,因此潛在的安全影響更為嚴重。
然而,雲端服務提供商普遍不會為漏洞指派通用漏洞披露(CVE)編號,這使得漏洞管理團隊難以有效追蹤與分析特定的雲端漏洞。缺乏統一的識別機制,漏洞分析師常需耗費大量時間,依賴模糊的警示訊息(如「S3儲存貯體配置錯誤」)來追查並修正雲端配置問題,效率低落。
有鑑於此,業界或許應考慮針對雲端漏洞建立類似CVE的獨特識別碼,例如「Common Cloud Vulnerability Enumeration(CCVE)」。以統一格式定義雲端配置問題(如「CCVE 1-1.2:Amazon S3儲存貯體預設密碼」),可大幅簡化漏洞追蹤與修正的流程。
當前,組織僅能在有限時間內修復少部分的已知漏洞,未解決的漏洞債務年復一年地累積。追根究柢,需要思考如何協助企業有效管理雲端風險,解決漏洞債務的棘手問題。也許業界共同制定雲端漏洞識別機制,將是一個可行的出路。否則,我們勢必面臨漏洞風險失控的危機。
詳情請看:
當代網路威脅無處不在,勒索軟體攻擊已成為個人和組織備受關注的重大隱患。這種惡意攻擊會將寶貴的資料加密,並威脅除非支付贖金否則不予解密,對企業可能造成財務損失和聲譽受損。為了防範此類威脅,採取堅實全面的安全防禦姿態至關重要。以下是構建防禦勒索軟體的嚴密防線的方法:
1.實施多層次安全措施:堅強的防禦始於採用多層次安全方法,包括部署防火牆、入侵偵測系統和防毒軟件,以在多個入口點偵測和預防勒索軟體攻擊。此外,可考慮實施先進的威脅偵測技術,實時識別和緩解新興威脅。
2.定期更新軟硬件系統:過時的軟件和作業系統往往容易受到勒索軟體攻擊。為降低風險,請確保所有軟件應用程序和系統都使用了最新的安全補丁和更新。自動化補丁管理工具可簡化此過程,幫助保持基礎設施安全。
3.教育和培訓員工:人為失誤是勒索軟體攻擊的常見切入點。教育員工認識勒索軟體風險,並提供有關網路安全最佳實踐的培訓,例如識別釣魚企圖、避免可疑鏈接和附件。定期舉辦安全意識培訓課程,可增強員工的警惕性和主動性,共同防範勒索軟體威脅。
4.實施嚴格的密碼策略:弱密碼就等於為網路犯罪分子開了條捷徑。在整個組織實施嚴格的密碼策略,包括要求使用複雜密碼和定期更改密碼。考慮實施多重身份驗證(MFA),增加一層安全防護,有助於防止未經授權訪問敏感系統和資料。
5.定期安全地備份資料:防禦勒索軟體最有效的方法之一是實施堅實的備份策略。定期備份所有關鍵資料,並確保備份安全存儲,最好是離線或存放在獨立的隔離網路中。這樣一來,即使勒索軟體加密了您的主要資料,您仍可從備份中將其還原,無需支付贖金。
6.監控並及時應對威脅:主動監控網路流量和系統活動,有助於及早發現勒索軟體攻擊,從而迅速採取應對和控制措施。制定安全事件應急響應程序,概述一旦發生勒索軟體攻擊應採取的步驟,包括隔離受感染系統、通知相關人員以及啟動恢復程序。
7.與安全專家和合作夥伴聯手:網路安全是一個日新月異的領域,組織要時刻跟上新興威脅的步伐是一大挑戰。可考慮與專注於勒索軟體防禦的網路安全專家或安全服務提供商合作,他們能提供寶貴的洞見、威脅情報,以及在制定和實施有效安全策略方面提供協助。
通過積極主動採取全面的勒索軟體防禦措施,組織可大幅降低風險暴露,最小化勒索軟體攻擊的潛在影響。有了穩健的安全防線,企業就可以專注於核心業務運營,確信自己已充分準備好抵禦勒索軟體的持續威脅。
詳情請看:
Crafting an Airtight Security Posture Against Ransomware Threats
現今網路安全威脅層出不窮,任何組織都無法倖免於駭客的攻擊。因此,除了部署先進的網路防護系統外,提升員工的網路安全意識也極為重要。傳統的安全意識培訓課程往往乏味無趣、效果不彰,讓69%的員工故意忽視公司的網路安全指引。這不僅浪費了企業的資源,也無法真正提高員工對網路威脅的警覺。
有鑑於此,本文建議企業採用創新有趣的安全意識培訓(SAT)方案,透過專業駭客編寫的生動案例和情節,讓員工在輕鬆有趣的環境中學習網路安全知識。優質的SAT方案應具備以下特點:
1. 課題內容與真實威脅緊密相關,並定期更新反映最新網路犯罪手法。
2. 由資深網路安全專家規劃和管理,不需公司額外投入人力。
3. 採用有趣生動的情節和角色,提高學員的學習興趣和知識保留率。
4. 每月推出新課程,透過隨機模擬釣魚郵件等攻擊情境測試員工反應。
5. 課程時間精簡,不會過度佔用員工工作時間。
6. 與常用軟件如Microsoft 365、Google、Okta等整合,自動同步員工名單。
7. 提供詳盡報表,追蹤員工學習情況及模擬攻擊測試結果,證明合規性。
8. 快速部署,輕鬆擴展服務至整個企業。
優質的SAT方案可以營造重視網路安全的企業文化,建立員工健全的防護習慣,將員工培養成組織的第一道防線。員工能及時識別並應對釣魚郵件、社交工程等常見網路攻擊手法,大大降低公司遭受資安事故的風險,確保企業營運安全。
此外,SAT課程還能滿足公司各項安全合規要求,如HIPAA、PCI、SOC 2、GDPR等,通過內部和外部稽核,避免公司觸犯法規受罰。在網路犯罪日益猖獗的當今,SAT絕對是企業不可或缺的資安保障,比硬體和軟體防護更能發揮關鍵作用。
總括而言,現代化安全意識培訓解決方案不僅創新有趣,而且專業管理一體,是企業提升員工網路安全意識、建立企業資安文化、符合法規要求的利器。培養員工主動防範的習慣,確保公司數據、系統和資產的安全,才是企業永續發展的關鍵基石。
詳情請看:
Everyone's an Expert: How to Empower Your Employees for Cybersecurity Success
隨著網路環境的不斷變化與威脅的不斷演化,組織機構越來越意識到建立堅實的安全文化對於降低風險、保護敏感數據的重要性。其中一種日益受到關注的方法是實施CAT文化,著重於協作(Collaboration)、意識(Awareness)和培訓(Training),作為增強抵禦網路威脅的根本支柱。
協作:CAT文化的核心在於協作 - 組織內部各利害相關方的共同努力,以集體的方式捍衛網路安全。這意味著打破IT、安全、法務和人資等部門之間的壁壘,促進開放溝通和信息共享。通過加強協作,組織可以更有效地識別漏洞、及時應對安全事故,並實施與業務目標一致的全面安全措施。
協作不僅局限於組織內部,還應擴展至外部夥伴關係,包括同業、政府機構和網路安全專家。參與信息共享計劃、加入威脅情報共享平台,以及開展聯合網安演練,都能增強形勢感知,提升集體防禦能力,應對共同的對手。
意識:在CAT文化中,意識是指培養所有員工(從高層管理到一線員工)的網路安全意識。這包括教育員工了解不斷變化的威脅形勢、常見的攻擊媒介,以及保護措施的最佳實踐。提高意識可以使員工更好地識別可疑活動、報告安全隱患,並遵守相關政策和程序。
網安意識計劃的關鍵要素包括定期的安全培訓、模擬釣魚測試,以及發佈安全建議和警報。此外,營造一個員工可以放心尋求指導、報告安全問題而不必擔心受罰的文化,對於維持警惕的員工隊伍也至關重要。
培訓:全面的培訓計劃對於裝備員工獲得抵禦網路威脅所需的知識、技能和資源至關重要。培訓應針對不同部門和崗位的具體需求量身定制,可包括IT管理人員的專業培訓、非技術人員的安全意識培訓,以及應急響應團隊的事故處理培訓。
此外,持續的培訓和專業發展機會對於跟上新興網安威脅、不斷演變的技術,以及監管要求的步伐至關重要。諸如CISSP、CEH和CompTIA Security+等認證,不僅能驗證專業技能,還彰顯了員工在網安領域持續學習的決心。
總而言之,擁抱CAT文化 - 協作、意識和培訓 - 對於在當今數字時代建立彈性網安態勢至關重要。通過促進協作、提高意識,並投資全面的培訓計劃,組織可以使員工成為抵禦網安威脅的積極參與者,有效適應不斷變化的網安格局。
詳情請看:
Understanding CAT Culture in Cybersecurity: Collaboration, Awareness, and Training
在軟體供應鏈安全性日益受到重視的當下,作為網路安全領域的翹楚,Tenable 公司採用了嚴格的 Supply-chain Levels for Software Artifacts (SLSA) 框架來保護其旗艦產品 Nessus 的軟體供應鏈。本篇文章分享了 Tenable 從 SLSA 新手到專家的歷程,以及實施 SLSA 框架的心得與收穫。
什麼是 SLSA?
SLSA 是由 Google 開發的一套軟體供應鏈安全標準,旨在確保軟體製程的完整性與可靠性。它提供了一系列漸進式的指南,幫助企業在軟體生產的每個環節建立可信任的機制。
SLSA 框架可以被視為食品安全處理的指引,確保每一個成分都是可信的,同樣地,SLSA 也為軟體製作過程的每個步驟提供了安全保證。
Tenable 在實施 SLSA 的初期,主要有以下幾個關鍵體會:
1. 建立明確的信任機制:SLSA 著重於直接控制範圍內的可信任性,如原始碼庫、建置系統、軟體成品和版本控制系統等。
2. 增強供應鏈信心:SLSA 旨在透過驗證每個建置步驟,並防範上游供應鏈攻擊,來強化建置流程的可信度。
3. 需要自主實作:SLSA 只是一個藍圖,並非現成的解決方案,需要手動進行工程和流程變更,以符合 SLSA 的要求。
Tenable 採用 SLSA 的歷程
經過數月的努力,Tenable 首先達成了 SLSA Level 1 的要求,其中包括:
1. 建立腳本化的建置流程:Tenable 的 Nessus 產品建置流程全部由版本控制的管線定義和建置腳本來執行,過程可被完全驗證。
2. 提供建置來源證明:Tenable 記錄並儲存了 Nessus 建置的來源清單(SBOM)和建置過程細節(provenance),以便日後重建。
3. 採用版本控制系統:Nessus 的原始碼受版本控制系統管理,能夠追蹤每個修訂的變更歷史,包括提交者、時間、變更內容等。
在 SLSA Level 1 的驗證過程中,Tenable 也遇到了一個需要特別處理的挑戰 - 防止秘密資訊在 provenance 文件中洩露。他們採用了自動掃描provenance,並以 <Redacted>替換掉任何檢測到的敏感資訊。
接下來是 SLSA Level 2 的實施,其主要包括:
1. 使用受管理的建置服務:Tenable 確保所有建置步驟都在受控的建置服務上執行,而非開發人員的個人電腦上。
2. 驗證 provenance 的真實性:Tenable 確保 provenance 資訊是由專用的建置管線直接產生,而非人工插入或修改。provenance 資訊也經過數位簽章以防止篡改。
3. 驗證建置環境和來源:Tenable 使用 Rego 政策來檢查 provenance,確保建置代理程式的可信度,以及原始碼來源的正確性。
最後,Tenable 達成了 SLSA Level 3 的要求,包括:
1. 永久保留原始碼變更歷史
2. 確保完全隔離的建置環境,每個步驟都在獨立的虛擬機上進行
3. 確保 provenance 資訊的真實性和不可篡改性,由專用的簽章服務簽署
Tenable 在 2023年12月通過第三方安全評估,獲得了 SLSA Level 3 的認證。
結語
Tenable 的 SLSA 實施經驗給其他組織帶來以下啟示:
1. 軟體供應鏈安全是重中之重,需要投入大量資源來建立可信任的機制。
2. SLSA 雖然是一個嚴格的框架,但能有效防範上游的供應鏈攻擊,值得企業認真考慮。
3. 實施 SLSA 需要大量的工程和流程變更,沒有現成的方案,需要自主實作。
4. 在實施過程中,會遇到需要特別處理的挑戰,需要審慎規劃並靈活應對。
Tenable的 SLSA 之路並非一蹴而就,但他們相信這樣的努力最終將為產品和客戶帶來長遠的好處。
詳情請看:
隨著社交工程攻擊的日益猖獗,保護企業的數字資產(包括外部網絡應用程式)已成為當前的首要任務。社交工程利用用戶的情緒和脆弱性,而非依賴於技術性的黑客攻擊手段,這使得它們特別難以防範。事實上,根據Firewall Times的研究數據顯示,98%的網絡攻擊涉及某種形式的社交工程,而高達90%的惡意數據洩露事件都涉及社交工程攻擊。
面對這樣的嚴峻形勢,我們必須採取一系列具體的策略和最佳實踐來提高網絡應用程式對社交工程的抗性。以下是一些值得參考的做法:
1. 持續的員工培訓和意識宣導:知情的用戶是企業抵禦社交工程攻擊的第一道防線。定期為員工提供培訓,教育他們如何識別網路釣魚、安全處理敏感信息等。對於網絡應用程式,培訓用戶如何驗證網站的真偽、識別安全或不安全的連接,以及理解不重複使用密碼的重要性。但要記住,不能完全將責任推給最終用戶 - 他們需要得到技術上的支持。
2. 遵循最小權限原則:員工應該只擁有完成工作所需的數字資產權限,而不是更多。對於網絡應用程式而言,這可能意味著根據用戶角色限制對敏感數據、功能和管理介面的訪問。儘管要注意,即使是熟練的攻擊者也能提升權限,所以所有帳戶都需要強密碼保護。
3. 部署多因素認證(MFA):MFA並非銀弹,但它通過要求用戶提供兩個或更多驗證因素才能訪問系統,增加了一個額外的安全層。這種額外的保護往往足以阻止攻擊者,即使他們已經通過社交工程戰術獲得了用戶的憑據。
4. 定期進行安全審計和滲透測試:為了在黑客之前發現網絡應用程式中的漏洞,請確保定期進行全面的安全審計和滲透測試。要求滲透測試包括社交工程模擬,以評估團隊的準備程度,並識別(和補救)任何弱點。考慮採用滲透測試即服務(PTaaS)解決方案,它能夠持續監控並及時發現漏洞。
5. 制定事件響應計劃:制定一個強大的事件響應計劃,包括應對社交工程攻擊的程序。計劃應該概述立即採取的措施,以控制和緩解攻擊,以及通知受影響方的溝通計劃。
此外,開發人員和IT專業人員還應該遵循以下最佳實踐:
1. 使用HTTPS和SSL證書:通過使用HTTPS和SSL證書來保護您的網絡應用程式,有助於保護用戶的隱私和安全,確保數據加密,驗證網站身份,維護數據傳輸的完整性。
2. 定期更新和修補系統:為了防範針對已知漏洞的攻擊,請務必定期更新系統和軟件,安裝最新的安全修補程式。保持系統最新是一項基本的安全實踐,可以大大阻止潛在攻擊者通過這些已知漏洞進入網絡。
3. 實施嚴格的數據處理程序:通過嚴格驗證和清理輸入數據,可以防止注入攻擊。驗證輸入(例如,確保電子郵件地址格式正確)並清理輸入(刪除或轉義潛在的有害HTML或SQL元素)。
4. 定期監控和審核網絡應用程式:通過跟踪網絡應用程式的性能和活動,可以及早發現未經授權的訪問、數據洩露或拒絕服務攻擊,從而有機會減輕或阻止其影響。使用專門設計用於檢測和阻擋可疑活動的工具,如網絡分析軟件和網絡應用防火牆軟件。
要全面提高抗社交工程攻擊的能力,需要採取多層面的策略。單一的防護措施並不足以應對這種隱患重重的攻擊手段。通過實施上述各項最佳實踐,企業可以顯著提高外部網絡應用程式的抗性,更好地保護自身免受社交工程攻擊的危害。
詳情請看:
隨著科技的發展,我們在各種線上帳戶登入時,常常會看到「記住我」的選項,讓我們可以在關閉頁面重開後仍保持登入狀態。這個功能確實提升了使用者的便利性,但卻也潛藏著一些安全隱憂。
根據Zen Shield的網路安全研究人員最新發現,如果多人共用同一個裝置,這個看似無害的「記住我」功能就可能會導致嚴重的安全漏洞,讓未經授權的人輕易取得個人資訊、財務數據或其他敏感資料。舉例來說,如果用戶A使用過裝置後,用戶B隨後也取得使用權,只要打開之前登入過的網頁,就能立刻存取所有儲存的資訊。
2024年IBM網路安全情報報告指出,高達95%的安全漏洞源自人為疏失,其中11%更是純粹的疏忽大意所致。為了降低這些風險,使用者可以採取額外的安全措施,例如啟用雙因素驗證(2FA)、使用主密碼的密碼管理工具,或是導入生物特徵驗證等,以增加安全防護層。另一個方法就是干脆不勾選「記住我」,完全避免潛在的安全問題。值得一提的是,儲存在瀏覽器中的Cookie資料也可能成為隱憂,不過那是另一個需要區別考慮的議題。
為了應對不斷變化的網路威脅,許多公司包括線上市集、遊戲平台和電子商務網站,都正在強化自身的安全機制,提供「記住我」功能搭配生物辨識或2FA等雙重驗證選項。
因此,不管是資深網路使用者還是新手,我們都必須時刻保持警覺和知情。透過自身的經驗或未來的網路互動,養成安全意識並付諸實行,才能在這個日益互聯的網路世界中,有效守護我們的數位身分和敏感資訊。
總的來說,「記住我」這個功能的確為使用者帶來便利,但同時也暴露出一些安全隱憂。我們必須謹慎看待,採取必要的安全防護措施,才能在享受網路便利的同時,也確保個人資料的安全。透過教育和提高警覺,相信我們終能在瞬息萬變的網路世界中,安全地保護自己的數位資產。
詳情請看:
靈活工作模式已成為新常態,要真正重視多樣性並賦予每個人最佳工作環境,關鍵在於能夠跨越實體和數位世界的技術設備。
最基本的就是設備本身 - 它是溝通、協作及創新的媒介。但很多時候,這些設備卻不能完全適應現代工作場所的需求。最近一項IDC的研究指出,隨著大批知識工作者持續遠程工作或採取混合上班模式,他們對個人電腦的要求也發生了變化。
作為IT領導者,在為公司選擇設備時,需要緊貼這些現代工作需求 - 不論是知識工作者還是前線員工,以下5點都值得考慮,確保每個人都可以發揮最佳表現:
1. 以員工體驗為首要
員工體驗是衡量員工參與度的指標,反映員工在職場環境中的互動情況。研究表明,在經濟不確定時期,重視員工參與度的企業在財務表現上的優勢是其他企業的兩倍。一家公司的員工體驗指數可能會因可用技術的品質而上升或下降。要了解員工需求隨工作和位置的變化而變化,因此以員工需求為中心的設備策略可以助您取得成功。
2. 梳理"一天的生活"以了解設備的典型使用情況
識別關鍵的活動節點、環境和工具,深入了解不同崗位員工的需求,為他們建立定制的使用軌跡圖,有助於明確需求,優化設備選擇。
3. 了解設備如何創造自然的效率,並選擇最能支持用戶的設備
有了使用軌跡圖和對典型使用情況的深入瞭解,分析哪些設備功能最能滿足用戶需求。通常,IT領導者可以整合替換多項設備為單一、更多功能的設備。一項最近的IDC研究發現,44%的IT決策者發現採用微軟Surface設備可以取代桌面電腦、筆記本、平板、手機等多種其他設備,簡化了硬件使用,並降低了資本支出和管理成本。
比如,如果用戶需要在一天內在不同地點切換,確保設備能夠無縫恢復工作進度,為他們節省設置時間,讓他們能夠快速回到工作狀態。Surface設備提供對接體驗,可以記住用戶的工作位置。
又或者,如果用戶需要隨時待命,隨時進行行動辦公,設備必須適應這種情況,尤其是電池續航、內置連接和多功能性方面。Surface設備專門為此類靈活工作而設計,提供筆記本電腦、平板電腦或工作室模式等多種形式因素選擇,以及延長的電池續航時間和可選的LTE Advanced或5G連接。
再者,用戶如何進行交流協作也很重要。自2020年2月到2022年2月,平均微軟Teams用戶每週會議時間增加了252%,其中64%為非計劃或即時進行的電話會議。使用Surface設備,用戶可以享受Teams的最佳體驗,無需額外外圍設備。憑借Surface的攝像頭、優化麥克風、沉浸式音效和精心設計的顯示屏,用戶在通話時看起來和聽起來都更出色,隨時待命。
4. 啟發新的生產力水平 - 讓員工以不同方式與設備互動
除了了解員工當前如何與設備互動,我們還應該思考如何激發新的思維模式和效率。
語音交互:用戶可以在保持工作流暢的同時,擺脫鍵盤。無論是協作、移動辦公還是思維激發,Windows 11的語音輸入功能都可以讓用戶以更自然的方式捕捉靈感。
數字筆輸入:隨著近64%的員工表示他們難以有時間和精力完成工作,使用數字筆可能有助於緩解一些壓力。因為手寫已經深植於我們的大腦,Surface Slim Pen這樣的筆式界面可以讓用戶暫時休息一下,避免單純使用鍵盤。通過手寫或繪圖,他們可以利用大腦的不同部位,改變身體姿勢,在模擬和數位世界之間切換,從而獲得更自然、更高效的工作體驗。
5. 最小化對用戶影響的設備管理和安全
選擇合適的新設備可以提高用戶和IT團隊的效率。IDC的研究顯示,搭配微軟365的Surface設備,可以為IT人員帶來顯著的時間節省和效率提升。憑借卓越的設備性能,Surface用戶的技術問題大幅減少,IDC發現幫助台呼叫量減少49%,平均為員工節省5.5小時。Surface硬件與熟悉的軟件完美融合,加上簡化的設備管理和主動的安全防護,確保了出色而不受干擾的使用體驗,同時提高了安全防護。
無論是移動的Surface Pro,還是大屏幕的Microsoft Teams會議室設備Surface Hub3,Surface設備都旨在滿足個人和整個團隊的需求,幫助用戶在多設備間無縫連接,體驗專為未來工作而設計的核心應用。
詳情請看:
5 Steps to Improve Employee Experience with the Right Devices
隨著遍及工作(Everywhere Work)的概念日益廣泛,涵蓋了專業人員工作的地點、時間和方式,彈性工作模式已成為關鍵的工作場所優先事項,這是根據Ivanti的調查結果。
Ivanti調查了超過7,700位高管、IT和網絡安全專業人員以及辦公室工作者,探討了當僱主讓員工可以在任何地方工作時,所面臨的深層挑戰和機遇。
"尋求吸引頂尖人才的僱主應該把工作場所的靈活性列為重點,因為這有明確的業務優勢,"Ivanti首席執行官Jeff Abbott說。"為了有效實施靈活的工作安排,提供員工必要的資源、支持和安全基礎設施,確保他們的成功至關重要。忽視這些因素可能會導致更高的員工流失率和有價值員工的不滿。"
彈性工作選擇優於遠程工作
根據調查結果,80%的專業人士表示,彈性工作比在任何地方工作(70%)更有價值。但只有25%的專業人士表示,他們的工作提供了很高的靈活性,至少40%的人會為獲得更大的靈活性而改換工作。
36%的女性認為彈性工作是必須的,而只有22%的男性如此認為。此外,28%的女性認為能夠在任何地方工作是必須的,而只有18%的男性如此認為。採取更僵硬方法的組織可能會損害其重要員工群體。
Ivanti的研究清楚地表明,靈活和遠程工作直接影響了IT工作量。56%的IT工作者表示,幫助台票量有所上升 - 這與之前幾年的結果一致 - 78%的人將其歸咎於靈活/遠程工作。推動票量上升的一些具體因素包括軟件部署、網絡可靠性和安全事件。
領導層與IT和安全需求脫節
雖然超過90%的受訪領導者表示,員工擁有在遠程或混合工作環境中保持生產力所需的工具,但IT和安全團隊並非如此。只有46%的人表示,遠程工作時很容易獲取技術工具。這種脫節對僱主有重大影響 - 23%的IT專業人士表示,由於工作倦怠,同事已經辭職。
76%的受訪者表示,人工智能和自動化可以有助於減少票量,提供更好的服務。然而,研究顯示,採用人工智能和自動化解決方案的比率較低。原因是什麼?如果數據不準確,人工智能就無法提供有用的洞見,而長期存在的數據孤島也阻礙了組織大規模部署人工智能和自動化。
如果領導者想要讓員工能夠靈活工作,大規模部署人工智能和自動化,並解決IT和安全需求,那麼首席信息官和首席信息安全官需要調整優先事項。研究顯示,52%的IT和安全專業人士表示,他們的組織內部存在安全數據和IT數據的孤島。
其中84%的人表示,數據孤島對安全產生負面影響,82%的人表示,數據孤島降低了生產力。這會對員工無論何時何地都能安全高效地工作產生連鎖效應。
66%的IT工作者表示,他們使用公開可用的生成式人工智能工具,如ChatGPT,但對這些工具的監管往往缺失或不完善。近三分之一的組織沒有制定應對生成式人工智能風險的具體策略 - 這是一個嚴重的疏漏,因為IT專業人員會與敏感數據和系統打交道。
總而言之,靈活的工作模式是IT和資訊安全專業人員的關鍵需求。組織需要提供必要的資源、支持和安全基礎設施,幫助員工靈活高效地工作。同時,領導層還需要深入了解IT和安全的實際需求,協調優先事項,大規模部署人工智能和自動化,消除數據孤島,為員工創造一個真正靈活、安全的工作環境。
詳情請看:
IT and security professionals demand more workplace flexibility