Mcafee:適合家庭的暑假線上安全提示

暑假是全家人放鬆身心、共度美好時光的大好時機,無論是去海邊遊玩、自駕遊或探索新景點,保障全家上網安全都是相當重要的一環。然而,根據一項調查報告顯示,近一半(48%)的旅客在度假期間會較少注意網路安全,例如選擇連線看似有些可疑的無線網路(22%)。

隨著網路威脅日益增加,我們對科技的依賴也與日俱增,因此採取積極作為,保護家人的網路安全就顯得更形重要。以下是一些可行的建議,確保您在暑假期間能享有安全愉快的線上體驗。

教育孩子

教導孩子上網時要保持安全的行為模式和良好習慣,解釋在網路上分享個人資訊、與陌生人交談,以及點擊可疑連結或附件檔案的風險。讓孩子了解「釣魚」這個概念,教導他們如何辨識可疑連結或訊息。鼓勵孩子多與您溝通,讓他們在網路上遇到任何令人不安或可疑的內容時,都能毫不猶豫地告訴您。

使用安全無線網路

在度假期間連線上網時,要小心使用的無線網路。酒店、機場和咖啡廳等公共場所的無線網路可能缺乏安全防護,可能會讓您的家人面臨駭客入侵和身分被盜等網路威脅。這是因為公共無線網路通常缺乏稱為「加密」的保護層。加密就像一種秘密編碼,能將數據在您的裝置和無線基地台之間傳輸時加以混淆,避免他人能夠理解內容。缺乏這層防護,駭客就能輕易interceptUFO存取你透過無線網路傳輸的資訊,危及你的隱私和安全。如果不得不連線公共無線網路,請使用虛擬私有網路(VPN)來加密網路連線,保護敏感數據免於被竊取。

小心某些付款方式

在旅遊期間,對於某些支付方式要特別謹慎,尤其是在處理度假租屋、旅遊套裝行程等事宜時。詐騙集團常會堅持使用匯款、禮品卡或加密貨幣作為唯一付款方式,因為這些支付管道無法追蹤,一旦付款就幾乎無法回收。面對這類付款要求時,請提高警覺並予以避免,因為它們往往是詐騙活動的紅色警訊。改用安全可追蹤的付款管道,例如信用卡或知名的線上支付平台。

確保裝置安全

採取預防措施,保護旅遊期間裝置免於遺失或遭竊。使用強密碼或生物辨識方式來鎖定裝置,防止他人未經授權存取。可考慮安裝追蹤應用程式或軟體,一旦裝置失蹤或遭竊,即可由遠端定位、鎖定或清除裝置內資料。此外,外出時也要隨時確保手邊裝置不離身,提高警覺意識。

監控您的帳戶

旅遊期間,密切關注銀行帳戶、信用卡對帳單和其他財務帳戶的動向。檢查是否有未經授權的交易或可疑活動紀錄,若發現任何異常,立即通報金融機構。可以在帳戶啟用警示或通知功能,以即時獲知帳戶活動動態,及時發現可能的詐騙或未經授權存取情事。

更新裝置和軟體

出遊前,請確保全家人的裝置都已安裝最新軟體更新。駭客常會利用過期軟體的漏洞,入侵裝置並竊取敏感資訊。軟體更新不僅能提升效能,也能修補安全漏洞,避免駭客趁機入侵並存取您裝置上的敏感資料。

設定家長控制

啟程前,請在所有裝置上設定好家長控制功能。假期期間,孩子可能會有更多的閒暇時間或需要長途移動,導致上網時間增加。家長控制功能能讓您限制孩子訪問某些網站、應用程式和內容,有效確保孩子只會接觸到適當的線上內容。請善用這類工具,為孩子營造安全的線上環境,避免他們瀏覽到不當或有害的內容。我們的「社群隱私管理員」也可以幫助保護孩子在社群媒體上的曝光度和個人資料。

使用McAfee+家庭方案,您最多可以用一個訂閱保護6位家庭成員,每位成員都能獲得個人化的身分和隱私防護、安全VPN以及個人化通知,提供提升網路安全的指引。只要遵循這些家庭友善的網路安全貼士,您就能在暑假期間享有安全無虞的線上體驗。主動採取防護措施,遠離網路威脅,無論您的暑假ultimately去向何處,都能盡情享受假期,無後顧之憂。

詳情請看:

Family-Friendly Online Safety Tips for Summer Vacations

Posted in  on 6月 30, 2026 by Kevin |  

Help net security:安全提供者將合規性視為高成長機會

此項研究報告揭露了安全服務提供者面臨的重大挑戰,即維護客戶合規性的困難,但也指出了商機。許多服務提供者雖然理解持續合規的重要性,並有意願提供此類服務,但目前仍有相當比例的營收來自合規服務不到10%。報告顯示,服務商普遍將合規視為高成長機會,有87%的機構願意透過合規自動化平臺提供相關服務。

然而,提供合規服務的障礙困難重重。缺乏資源、專業知識和技術被視為提供管理合規服務的主要障礙。儘管已進入二十一世紀,許多服務商仍舊使用陳舊的方式來追蹤和管理客戶的網路安全合規性,例如利用電子試算表。這種做法無疑有失時效,不符合數位化時代的需求。

不過,報告也指出一些令人振奮的現象。首先,較小規模的服務商(員工人數少於100人)比大型機構更有可能提供合規服務。其次,61%的安全服務商提供基於架構(framework)的服務,如諮詢分析、風險評分與補救措施等,以協助客戶評估安全狀況並符合法規標準。常見的架構包括CMMC、HIPAA和NIST 800-171等。

此外,隨著人工智慧(AI)技術的快速發展,ISO 42001(人工智慧管理系統新標準)已有19%的服務商採納。這項標準有助於組織建立管理AI系統的規範性架構,預期未來將成為熱門的合規框架之一。

總的來說,合規服務市場確實具有龐大商機,但要成功經營此領域,服務商必須做好資源、技術和專業知識的充分準備。唯有建立高效、自動化的服務模式,與時俱進採用新興合規架構,服務商方能在此一快速變遷的領域中,贏得客戶青睞、脫穎而出。經營者應審慎評估目前的能力缺口,並擬定具體的發展策略,把握合規服務的無限商機。

詳情請看:

Security providers view compliance as a high-growth opportunity

Posted in  on 6月 29, 2026 by Kevin |  

Help net security:雲端遷移再次擴大了 CISO 的角色

近年來,企業雲端環境的廣泛採用,不僅為網路安全帶來嶄新挑戰,也大幅擴展了資訊安全長(CISO)的職責範圍。不僅須防範網路威脅,確保資訊系統和資料的安全,CISO如今亦須參與制定公司治理、風險管理及合規政策,以因應瞬息萬變的網路環境和不斷收緊的法規要求。

2023年底,美國證券交易委員會(SEC)通過新規定,要求上市公司必須及時揭露網路安全事件,包括事件性質、範圍和潛在影響等,未依規定揭露者將面臨重罰。這項新規不僅使CISOs責無旁貸,須確保能在四個工作天內準確判定事件的重大程度,並適時報告給監管機構,更促使CISOs必須時時掌控公司的合規狀況,以確保符合法規要求。

有鑑於此,CISOs已不能再依賴過往被動方式,僅定期向董事會匯報公司的網路安全狀況,而須採取更為主動和結構化的風險管理模式。他們必須與公司治理、風險及合規部門密切合作,整合網路安全管控措施,蒐集監控資料,自動化監控流程,以隨時掌握風險狀況,判斷事件的重大性,確保能遵循法規要求,並提高公司的網路安全韌性。

此外,為縮小科技創新和法規要求的落差,睿智的CISOs必須將網路風險策略與公司治理、風險及合規架構一致,以因應科技快速變遷和不斷演進的法規框架。唯有如此,CISOs才能採取整體風險管理觀點,有效因應網路攻擊、防範擴大的攻擊面,減少潛在的財務損失、聲譽受損和營運中斷等嚴重後果。

總括而言,隨著網路安全法規日趨嚴格,與科技發展並進,CISOs的角色責任已然超越傳統資訊安全守護者,成為公司合規和風險管理的關鍵參與者。唯有透過與時俱進的網路安全策略、完善的風險監控及合規機制,以及跨部門的緊密協作,CISOs方能在充滿挑戰的數位時代下,有效保護公司的資訊資產和營運持續性,維護公司權益。

詳情請看:

Cloud migration expands the CISO role yet again

Posted in  on 6月 28, 2026 by Kevin |  

The hacker news:2024 年 10 大關鍵滲透測試結果:您需要了解的內容

「2024 年十大重要滲透測試發現」報告為我們揭露了當前組織在網路安全防護上普遍存在的一些薄弱環節和缺陷。透過模擬真實世界的網路攻擊情況,滲透測試能有效地找出系統和網路中潛在可被利用的漏洞,讓我們及時採取預防措施,堵塞安全防線上的缺口。

從報告列出的十大發現來看,大部分安全隱患都源自系統配置不當和安全漏洞修補不足這兩大根源問題。前者如啟用了不必要的網路服務、使用預設或弱密碼等,後者則是由於各種原因,如相容性問題或修補管理解決方案本身的缺陷,導致系統無法及時修補已知漏洞。不當的系統配置和滯後的漏洞修補,無疑為駭客可乘之機,一旦被利用則可能造成嚴重的數據外洩或系統權限被竊等安全事故。

因此,定期進行滲透測試至關重要。傳統上,許多組織一年做一次滲透測試,但報告指出,透過像 vPenTest 這樣的自動化滲透測試工具進行每月或每季的持續測試,能更有效地即時發現並緩解組織面臨的安全風險。舉例來說,普通的漏洞掃描器可能只將多播域名系統(MDNS)列為資訊性項目,但 vPenTest 這類工具不僅能發現此項,還會解釋其可能產生的影響,並建議補救措施。

總括來說,本報告的發現再次證明了組織必須高度重視網路安全防護。除了加強基本的系統配置管理和漏洞修補,定期進行自動化的全面性滲透測試也是不可或缺的環節。只有透過持續積極的風險評估,及早發現並修補潛在漏洞,組織才能在面對駭客入侵時,有效降低遭受攻擊和數據外洩的風險。

詳情請看:

Top 10 Critical Pentest Findings 2024: What You Need to Know

Posted in  on 6月 27, 2026 by Kevin |  

Tenable:雲端工作負載保護:降低雲端安全風險的關鍵

隨著越來越多的組織將工作負載遷移到雲端,威脅者也開始越來越多地鎖定這些複雜的雲端環境。雲端工作負載蘊藏大量數據,常常相互關聯,一旦遭到入侵就可能導致攻擊者獲利豐厚,而受害組織則可能陷入災難。根據 Tenable 的"2024年雲端安全展望"報告,在18個月的時間裡,幾乎所有受訪者(95%)都經歷過與雲端相關的入侵事件,其中有40%經歷過3到4次入侵。

這些入侵事件並不只是威脅者在探索能獲取什麼資訊,根據報告,90%以上的受訪者表示他們遭受過敏感數據外洩,近60%的人則表示這些外洩造成了實質傷害。IBM 2023年的"數據外洩成本"報告也呼應了類似的發現,指出2023年82%的入侵事件涉及存儲在公有雲、私有雲或混合雲環境中的數據。

網路釣魚和惡意軟體仍然是2023年全球雲端安全的頭號關注,其次是:

用戶帳號被入侵  

意外的數據洩露

針對雲端基礎設施的攻擊

數據盜竊

管理員帳號和供應鏈被入侵

Tenable 的受訪者指出,不安全的人員/服務身份、風險權限和雲端錯誤配置是他們面臨的頂級安全風險。幾乎所有(99%)經歷過多次雲端入侵的人都將身份和權限風險列為主因。

這種雲端入侵事件增加並不令人驚訝,特別是考慮到組織在吸引和留住網路安全人才方面的挑戰。世界經濟論壇預測,到2030年,全球網路安全人才短缺可能會超過8500萬人,這可能導致每年失去近8.5萬億美元的收入。這可能就是為什麼95%的Tenable 受訪者表示,他們在雲端基礎設施保護方面缺乏專業知識。

這些報告說明了許多組織正從嚴峻的教訓中學習的事實。現在的問題已不再是組織是否會遭受雲端攻擊,而是何時以及會遭受多少次攻擊。

想要在雲端工作負載攻擊中領先並非易事,對於使用傳統網路安全措施的安全團隊而言,這尤其困難,因為傳統做法並不是為不斷演進且複雜的雲端環境所設計。

好消息是,有一個解決方案,那就是雲端工作負載安全最佳實踐和雲端工作負載保護(CWP)技術,它們確實能幫助減少風險。

所謂CWP,是指保護雲端工作負載免受惡意軟體、數據外洩和合規性違規的方法,是一種雲端工作負載安全的全方位做法。CWP包括諸如漏洞掃描、雲端安全態勢管理、威脅搜尋、雲端數據安全等技術和解決方案。

CWP是成熟安全計畫不可或缺的組成部分。雖然CWP能增加對雲端環境內安全問題的可見度,但它並不意味著要試圖找出並修復雲端中的每個漏洞。CWP是關於以風險為中心的積極做法,來減輕作業系統、容器、應用程式、服務等各方面的雲端漏洞。它的目標是了解哪些雲端安全問題對組織構成風險,以便知道應該優先關注哪些問題。

為什麼CWP很重要?雲端工作負載對攻擊者很有吸引力,因為雲端環境通常包含敏感數據,對業務運作也至關重要。但它們也很複雜且不斷變化,這使得它們很難獲得保護,尤其是對於仍依賴傳統內部部署安全方法的組織而言。

從整體雲端安全的角度來看,CWP可以幫助您找出並修復雲端安全風險、遵循合規性規定,並節省安全成本。

以下是使用CWP的其他主要好處:

主動威脅偵測:CWP解決方案會持續掃描雲端工作負載,尋找漏洞、錯誤配置和可疑活動,以降低雲端風險。

成熟的安全態勢:CWP可強化雲端安全態勢,確保團隊以安全方式配置工作負載,並符合行業標準和合規要求。  

優先排列補救措施:CWP解決方案能根據嚴重程度和風險來優先排列漏洞。

減少攻擊面:CWP工具可透過識別漏洞、修正錯誤配置和限制存取控制,從而將攻擊面降至最低。

提高可見度:CWP可讓您集中檢視雲端安全態勢,安全團隊可識別趨勢、分析風險並做出更明智的雲端安全決策。 

優化成本和工作流程:具有自動化工作流程、警報、政策和範本的CWP解決方案,有助於降低因安全事故而導致的昂貴入侵和停機風險。

作為CWP及其他措施的一部分,您可以使用雲端安全技術和最佳實踐來克服雲端複雜性,讓雲端更加安全,例如:

使用雲端漏洞管理來找出雲端工作負載中的漏洞,如遺漏的補丁和錯誤配置或過時的軟體。這可以幫助您了解需要套用哪些補丁、升級或其他安全修復,以防攻擊者利用這些漏洞。

進行威脅搜尋,主動搜尋雲端工作負載威脅,以便在發生損害前作出回應。

詳情請看:

Cloud Workload Protection: The Key to Decreasing Cloud Security Risks

Posted in  on 6月 26, 2026 by Kevin |  

Help net security:人工智慧驅動的攻擊如何加速零信任策略的轉變

在當前的網路環境中,人工智能生成的深偽視頻和合成身份欺詐等新興威脅正日益嚴重。這些創新手段讓攻擊者能以更大規模、更低技術門檻實施個人化攻擊,為威脅環境火上加油。有鑑於此,越來越多企業採納整體零信任策略以應對不斷演進的網路威脅。 

然而,零信任架構的實施之路並非一蹴而就。美國等西方國家的企業在推行零信任策略時面臨諸多挑戰,部分原因在於長期累積的老舊技術基礎設施,以及不同團隊分散管理憑證等問題,增加了整合的困難度。此外,一些高層領導或許只是在口頭上支持零信任,卻未真正將其視為當務之急,導致預算和人才荒之困境難以解決。

要有效實施零信任策略,首席信息安全官(CISO)需先審視企業的身份和設備安全性,並盤點所有密碼資產,釐清所有權歸屬。同時參考政府機構如CISA、NIST等單位的指引,有步驟地推進零信任進程。 CISO應向高層闡明零信任與企業管治的關聯,助其意識到投資零信任實為職責所在,並強調聯邦機構已加大處罰力度,要求加快數據外洩披露,追究高管責任。

企業高層有責任創造包容、多元的企業文化,為技術團隊提供持續培訓,吸引並留住頂尖人才,特別是神經多樣性人才,以鼓勵多元思維,應對人工智能驅動的新興網絡攻擊策略。

展望未來,隨著通用人工智能的發展,我們正邁入一個新時代,需要人工智能驅動的網路防禦,以應對攻擊的規模和速度。預計各類組織無一例外都將成為高價值目標,勢必重視零信任安全。此外,數字身份將成為零信任的關鍵樞紐,全球對於數字身份認證的法律法規立場存在分歧,這一發展將影響後零信任時代的網路安全走向。

總的來說,零信任策略是當前及未來應對日新月異網路威脅的必由之路。儘管推行過程艱鉅,但企業領導層和技術團隊有責任跨部門攜手合作,投入必要資源,建立完善的零信任防禦體系,以確保企業和利益相關者的數據和系統安全。

詳情請看:

How AI-powered attacks are accelerating the shift to zero trust strategies

Posted in  on 6月 25, 2026 by Kevin |  

Juniper:WAN 人工智慧:簡單、無縫且安全的分公司連線 — 現在透過通用平台

近年來,廣域網路(WAN)管理的複雜度與挑戰與日俱增。網路運營商不僅需要應對複雜的操作流程、擴展性不足等問題,更需確保為每位終端用戶提供卓越的體驗,快速找出並解決根本問題。有鑑於此,賽普拉斯公司推出了AI本地化網路平臺,透過共同的雲端AI運營(AIOps),實現跨所有網路域的端到端保證,簡化網路操作,讓每個體驗都能可靠、可衡量且安全。

該平臺利用來自所有網路用戶和設備的正確資料,提供實時響應,讓運營商能夠快速補救問題。同時,通過適當的雲端原生和API連接的安全基礎設施,實現可靠的大規模性能。今年6月5日,賽普拉斯公司宣布了多項令人振奮的AI本地化網路平臺創新,利用AI的優勢進一步簡化分支機構的安全管理。

他們擴展了Juniper Mist WAN 保證、Premium Analytics和Marvis虛擬網路助理(VNA),提供簡單、無縫且安全的SD-WAN和SASE體驗。更令人興奮的是,他們推出了業界首個將AI本地化自動化和洞見應用於傳統邊緣路由拓樸的路由保證產品。

在SD-WAN管理方面,Marvis Minis現已覆蓋校園和分支機構的無線、有線和SD-WAN全棧,通過持續自動測速,確保網路按承諾提供服務,即使沒有用戶在線也能解決SD-WAN問題。新的WAN保證功能還包括監控阻塞的服務級別期望(SLE)、動態包捕獲(dPCAP)和應用程序路由洞見,為IT團隊提供卓越的終端用戶體驗。

在安全性方面,Premium Analytics產品中的新安全洞見儀表板通過集成洞見和審計儀表板,簡化了安全和網路團隊的工作流程,提高了效率和敏捷性,同時降低了運營成本。

最後,Juniper Mist路由保證將高性能MX系列路由器(起始為MX204和MX304)和ACX7024納入Mist體系,為客戶提供統一的雲端原生管理體驗和業界領先的AIOps解決方案。

總的來說,這些SD-WAN、WAN和安全性的創新,為組織帶來簡化的操作、流程化的工作流程、提高生產力,並保證了終端用戶的卓越體驗。複雜且分散的WAN和安全管理工具、被動和耗時的故障排除、長期的性能問題,都將成為過去式。賽普拉斯公司正引領著AI本地化網路的未來發展方向。

詳情請看:

AI for WAN: Simple, Seamless, and Secure Branch Connectivity—Now Via a Common Platform

Posted in  on 6月 24, 2026 by Kevin |  

Juniper:人工智慧和邊緣路由:完美結合

科技日新月異,企業為了與時俱進並保持競爭力,必須與時並進,持續革新。在數位化趨勢下,企業面臨著諸多挑戰,其中廣域網路(WAN)邊緣設備的現代化升級就是當務之急。

傳統的路由基礎設施升級換代往往困難重重,企業為了避免風險往往拖延重要的WAN變革和升級。一旦進行變更,也常因人為疏失而產生基本的設定錯誤。這些問題不僅增加了營運風險,若WAN發生故障、效能低落或安全性出現問題,更可能為企業帶來實質金錢損失。

另一個重大挑戰是,許多企業難以覓得足夠的IT人力資源,尤其是負責邊緣路由器的技術人員。有鑑於此,自動化和遠端操作對於分散企業來說至關重要。因此,Juniper推出了新的Juniper Mist™ Routing Assurance產品,讓Edge MX和ACX系列路由器也能受惠於人工智慧為本(AI-Native)的網絡架構。

作為雲端服務,Juniper的新路由保證產品可簡化操作,有效地監控、分析和迅速解決分散辦公室、WAN邊緣和對等位置的問題。此外,Marvis虛擬網絡助理(VNA)的擴展功能允許網路操作人員查詢網路配置並詢問有關產品的詳細問題,大幅提升效率。

具體而言,我們的邊緣路由器組合提供了以下功能:簡化MX304、MX204和ACX7024設備的上線流程;透過Mist控制台提供BGP、Class of Services和佇列管理等路由器洞見;關鍵事件與建議的主動措施;以AI為本的服務級別期望值(SLE),用於監控設備健康狀況。

這為Juniper客戶和合作夥伴帶來了以下關鍵好處:

在影響使用者之前就主動偵測和修復路由問題

簡化並自動化作業,提高生產力 

透過根本原因分析和可執行見解來減少平均故障修復時間(MTTR)

一個AI原生且以雲端為本的平臺,支援所有WAN邊緣使用案例(如SD-WAN、SASE和邊緣路由)等,最小化營運支出並簡化分散企業中所有WAN環境的操作

同樣的Mist AI和雲端平臺也可用於有線和無線接入,為校園和分支機構提供業界唯一的AI原生網絡平臺,確保端到端的無縫體驗

此外,Juniper的邊緣路由解決方案也是實現客戶可持續發展目標的關鍵推手。相較於競爭對手,Juniper的路由器功耗低達77%,節省空間高達64%,而且使用壽命可長達12年,有助於減少電子廢棄物。Mist AI還被證明在某些案例中可減少高達85%的現場支援次數,從而減少車輛上路,為環境保護盡一份心力。

總而言之,Mist AI與Juniper路由器組合猶如朱古力與花生醬,絕對是絕配。

期待有更多機會深入瞭解這項創新技術!敬請關注ESG的「AI原生需求」白皮書、下載Juniper AI原生企業路由解決方案簡介、觀賞推出視頻或短版示範影片。此外,也很值得留意我們與IDC合作舉辦的WAN現代化網路研討會。

詳情請看:

AI and Edge Routing: The Perfect Marriage

Posted in  on 6月 23, 2026 by Kevin |  

Juniper:什麼是「AI洗車」? ……以及為什麼你應該關心

人工智慧(AI)技術正逐漸融入各行各業,為社會與商業營運帶來前所未有的變革。然而,隨著AI概念的熱潮興起,部分企業為了吸引投資或提高產品吸引力,卻存在夸大或誤導AI應用的情況,這種行為被稱為"AI washing"。作為消費者和投資人,我們有必要正視AI washing的問題,並培養識別真正AI技術的能力。

AI washing現象之所以存在,主要是由於AI相關投資和高估值公司的誘人前景所致。企業為了快速打上"AI"的招牌,往往將簡單的算法或根本沒有AI技術的產品,渲染成具有AI功能。這不僅違背了透明與誠信的原則,更影響了整體科技產業的發展。幸運的是,證券交易委員會(SEC)和聯邦貿易委員會(FTC)等監管機構已警告公司勿作出虛假的AI宣傳,並將視情況進行調查。

那麼,我們作為一般大眾又該如何區分真正的AI技術呢?首先,我們應該記住AI並非全新技術,任何真正運用AI的公司都應該具有多年的研發歷程。在評估潛在供應商時,我們可以針對其AI運營解決方案提出一些關鍵技術問題,例如:

1. 他們的AI運營解決方案能否預測整個網路的使用者體驗?

2. 他們的客戶支援團隊是否使用自家的AI運營解決方案?  

3. 他們的數據科學團隊和客戶支援團隊是否密切合作?

4. 他們是否能提供使用AI運營解決方案減少支援票證、改善使用者體驗的客戶案例?

5. 他們的AI運營解決方案是否建基於微服務雲端架構,能夠頻繁且靈活地推送新版本而不中斷服務?

此外,評估AI運營解決方案時還應考慮三個關鍵因素:資料的品質與數量、實時反應的準確性,以及可擴展的基礎架構。優質的AI必須建立在足夠且高品質的資料基礎之上,並透過演算法提供即時且準確的反應,同時還需要雲端原生的架構,以隨著業務發展進行擴展。

不過,也有企業自2015年起就致力於開發真正的AI技術,朱馳科技(Juniper Networks)就是其中之一。他們的Mist AI引擎結合了AI、機器學習和數據科學技術,能夠與人類IT專家並駕齊驅地部署和操作網路,為客戶提供以體驗為本的網路服務。服務現場(ServiceNow)和Gap公司等客戶,透過使用Mist AI分別減少了90%和85%的網路問題單和現場維修。朱馳科技的AI原生網路平台更是將AI技術擴展至整個產品組合,確保終端使用者和操作人員獲得最佳體驗,並簡化端到端的所有網路領域操作。

在AI浪潮下,識別企業的真實AI能力將是一項重要的挑戰。我們應該保持理性和警惕,詳細了解技術細節,多提出具體問題,而不是被夸大的宣傳語所迷惑。只有建立在透明與誠信基礎上的AI技術,才能真正幫助企業提高效率和創新能力,推動科技發展,造福社會。

詳情請看:

What is “AI Washing”? …and Why You Should Care

Posted in  on 6月 22, 2026 by Kevin |  

Kaspersky:針對飯店業務的電子郵件攻擊

最近,酒店業遭受了一波有組織的網路攻擊,許多酒店員工接獲了虛假的客訴或查詢郵件,內含釣魚連結或惡意檔案。這些電子郵件經過精心設計,看似正常的客戶來信,探詢房價、設施等細節,或抱怨服務品質等。但無論是哪種主題,真正目的都是誘使員工開啟內含惡意軟體或釣魚網站連結的檔案。一旦中招,駭客就能盜取員工的登入憑證,進而操控酒店的訂房系統、發送詐騙郵件等。

這種攻擊之所以具有殺傷力,主要有三個原因。首先,酒店員工的工作天生需要積極回覆客戶的各種疑問,難免操之過急而疏忽了警惕。此外,攻擊者往往利用常見的免費電子郵件服務,讓偽造的郵件來源看似合理。最後,部分惡意信件甚至先以無害問題作為開場,待建立起信任感後才送出釣魚連結,更加難以防範。

雖然這波攻擊針對酒店業,但其實任何企業都有類似的風險,員工隨時可能成為網路犯罪份子的攻擊目標。因此,加強員工的資訊安全意識訓練是當務之急。讓員工熟悉釣魚郵件的常見手法,提高警覺小心開啟任何來歷不明的檔案連結。從組織層面而言,架設郵件閘道過濾垃圾郵件、安裝防毒防駭軟體等措施,也可為公司網路環境加添防護。

總的來說,提高全體員工的資訊安全素養,建構多層次的防護機制,將是企業因應新興網路威脅的不二法門。

詳情請看:

E-mail attacks on the hotel business

Posted in  on 6月 21, 2026 by Kevin |  

The hacker news:下一代 RBI(遠端瀏覽器隔離)

瀏覽器安全是現代網絡世界中不容忽視的重要課題。隨著網絡威脅的不斷演進,傳統的瀏覽器隔離技術已逐漸露出其不足之處。基於虛擬化機制的瀏覽器隔離方案雖然有效隔離了惡意程式碼對終端設備的威脅,但其所付出的效能代價卻也令許多企業組織卻步。在如今高度依賴瀏覽器和雲端服務的工作環境下,效能影響更是顯得無法承受。

除了效能方面的挑戰外,網絡威脅的類型也產生了變化。傳統的瀏覽器隔離技術主要針對的是惡意程式碼下載和瀏覽器漏洞利用,但現今的網絡威脅已不僅限於此,更多元化的手法如網絡釣魚、惡意擴展程式的植入等,都凸顯出瀏覽器隔離無法完全解決當代網絡安全挑戰的事實。

有鑑於此,業界開始尋求新一代的瀏覽器安全解決方案,其中最具革命性的便是安全瀏覽器擴展技術。相較於將瀏覽器完全隔離在虛擬化環境中執行,安全瀏覽器擴展以原生整合的方式嵌入瀏覽器,在不影響使用者體驗的前提下,實時監控和分析瀏覽器中的每個元件載入過程,有效識別和阻止各種網絡威脅,包括惡意檔案下載、憑證竊取以及未經授權的擴展程式安裝等。

安全瀏覽器擴展技術的優勢主要體現在以下幾個方面:

1. 無效能影響:與耗費大量CPU資源的瀏覽器隔離技術不同,安全瀏覽器擴展對瀏覽器效能的影響可以忽略不計,完全不會影響使用者的正常上網體驗。

2. 輕鬆部署:安全瀏覽器擴展可以集中在受管理設備上部署,也可在非受管理設備上輕鬆安裝,非常適合各種工作場所和第三方使用情況。

3. 全方位可視性:傳統瀏覽器隔離僅提供隔離環境的輸入輸出資訊,無法深入了解瀏覽器內部的活動。而安全瀏覽器擴展則可實時洞悉瀏覽器會話中的每個事件,提供無與倫比的可視性和威脅識別能力。

4. 精細風險分析:安全瀏覽器擴展採用機器學習算法持續監控和驗證網頁中各個組件的行為,精準識別惡意活動的風險程度,做出相應的自動化響應,如禁用危險網頁元件或阻止整個網頁訪問。

總的來說,安全瀏覽器擴展技術代表了瀏覽器安全領域的一次重大突破,有望取代已經過時的瀏覽器隔離方案,為企業組織和個人用戶提供高效、安全且無侵入性的網絡保護。展望未來,安全瀏覽器擴展必將扮演重要角色,協助我們有效應對日益複雜的網絡威脅環境。

詳情請看:

The Next Generation of RBI (Remote Browser Isolation)

Posted in  on 6月 20, 2026 by Kevin |  

Cybersecurity insiders:如何確保SaaS平台的安全

透過專有SaaS平台分發雲端解決方案和服務,可以是一種高度獲利的商業模式。成功平台的供應商每年可賺取數億美元的收入,就像Datadog、Hubspot、Salesforce等SaaS市場參與者的例子。

然而,在開發SaaS平台時,供應商必須確保所處理和儲存的數據的安全性。單一次的資料外洩事件,就可能會破壞平台的聲譽,並阻礙成千上萬付費客戶使用該平台。此外,平台供應商也可能會被數據保護監管機構處以罰款。為了避免這些問題,供應商應該適當地保護其SaaS平台,防範網路威脅。

本文涵蓋了SaaS平台面臨的最危險的網路威脅,並提供四個建議,供應商可採取這些措施來減輕風險。

SaaS平台的主要安全威脅

• 惡意軟體攻擊

惡意軟體是任何用於滲透和入侵目標雲端系統或環境的惡意程式。根據Thales 2024年的數據威脅報告,去年有41%的公司遭受惡意軟體攻擊,雲端儲存、SaaS應用程式和雲端基礎設施管理工具都是主要目標。

SQL注入攻擊是對SaaS平台最危險的攻擊之一,它可以讓黑客滲透遍佈整個雲端基礎設施的易受攻擊SQL伺服器。黑客可利用此攻擊污染SaaS供應商的公司數據、竊取敏感客戶資訊或中斷SaaS平台的運作。

• 阻斷服務/分散式阻斷服務攻擊

阻斷服務攻擊是向供應商的伺服器發送大量請求,使SaaS平台無法為用戶提供服務。分散式阻斷服務攻擊是阻斷服務攻擊的大規模類型,它從多個被入侵的來源發出大量流量。根據Cloudflare 2024年第一季度的DDoS威脅報告,與2023年相比,DDoS攻擊的頻率增加了50%。

根據同一份報告,四分之一的DDoS攻擊持續超過10分鐘,而近三分之一的攻擊持續超過1小時。考慮到客戶期望SaaS和雲端服務供應商能提供99.999%的正常運行時間,及時緩解DDoS攻擊對供應商保持競爭力至關重要。

• 內部威脅

內部人員是指獲得授權存取SaaS平台供應商系統、基礎設施或數據的人員(員工、業務合作夥伴等)。濫用這種授權存取權進行蓄意破壞、間諜活動或其他惡意行為,就構成內部攻擊。

Code42在2024年的數據外洩報告中顯示,在2019年至2024年期間,遭受內部攻擊的公司比例從66%增加到76%。根據同一份報告,一起內部攻擊平均會給企業造成1500萬美元的損失。

使您的SaaS平台更加安全的方法

實施安全開發實務作法

SaaS供應商可以在平台開發的早期階段實施適當的安全措施,以減輕許多潛在的安全風險和漏洞。以下是一些有助於構建更安全SaaS平台的作法:

• 威脅建模

威脅建模包括識別未來SaaS平台面臨的最危險威脅、評估其潛在影響,並界定減輕這些威脅的最佳方式。透過使用OWASP Threat Dragon或Microsoft Threat Modeling Tool等工具,IT團隊可以構建和視覺化威脅模型、分析架構設計中的漏洞,並得出如何避免潛在攻擊的見解。

• 軟體構件清單

在製造業中,構件清單(BOM)是列出構建特定產品項目所需的所有組件的清單。供應商亦可在SaaS平台開發中使用BOM,以保持對所有組件的完全可見性。

軟體構件清單(SBOM) 列出了軟體解決方案中所有的程式庫、腳本、授權、服務和其他組件。透過在平台工程期間記錄SBOM,開發人員可以確保完全透明的組件,並簡化平台的漏洞和風險管理。

在實踐中,SBOMs允許開發人員輕鬆追蹤不同軟體組件的當前版本,有助於優先處理軟體修復和更新,防止關鍵漏洞。安全團隊還可以使用SBOM來了解安全事件的範圍,並識別受影響的組件,以更有效地應對潛在的網路攻擊。

• 持續測試

持續測試是在軟體開發生命週期(SDLC)的多個階段實施安全檢查。其中一種重要的持續測試方法是"左移"測試,它使IT團隊能夠在軟體開發的早期階段就檢測出漏洞,因此可以更快、更少資源地消除潛在的網路威脅。

確保ISO 27001和SOC 2合規

ISO 27001和SOC 2是兩種資訊安全標準,可幫助SaaS供應商在其組織內維護IT安全,從而有助於保護所提供解決方案的安全性。儘管遵守這些標準有助於加強數據安全性,但根據Vertice的2023年數據,只有8%的SaaS供應商同時達到ISO 27001和SOC2合規。

ISO 27001側重於建立可靠的資訊安全管理(ISM)系統,而ISM系統又定義了軟體開發過程的安全控制措施。例如,如果供應商內部開發SaaS平台,以ISO 27001為基礎的ISM可以指導公司測試團隊應該多久運行一次安全測試,以及應該運行哪種類型的測試。 

SOC 2也為軟體開發過程制定了必要的數據安全控制措施,有助於使SDLC更加透明、可追蹤和可控制。例如,它規定軟體開發人員必須遵守特定的安全編碼實踐,如輸入驗證或輸出編碼,以避免代碼中的

詳情請看:

How to ensure the security of your SaaS platform

Posted in  on 6月 19, 2026 by Kevin |  

Cybersecurity insiders:幫助台人員是網路犯罪者的側門

根據 Gartner 的預測,到 2024 年全球對於安全和風險管理的用戶支出將達到 2150 億美元,較 2023 年增加了近 15%。這項投資的增長有其原因,單單看看勒索軟體攻擊就足以佐證,根據 Corvus Insurance 最近的研究,2023 年勒索軟體攻擊較 2022 年增加了 68%,創下單年 4,496 起的新紀錄。

雖然企業投資各種新穎科技來強化網路邊界,對抗日益精密的攻擊手法,像是終端偵測與回應、安全存取服務邊緣、身分與存取管理等,但同時也忽視了一些網路犯罪分子可乘之機的關鍵漏洞,其中之一就是 IT 助理服務。

助理服務的確已成為網路犯罪分子的側門入口。要瞭解這個疏忽有多嚴重,不妨看看去年 9 月拉斯維加斯一家頂級度假村的遭遇。當時有駭客利用 Linkedln 取得一名員工的資訊,然後做了一些社交工程學手段,成功駭入 IT 助理服務端重設了該員工的帳號,接著就是一連串的不幸事件,最終演變成一起徹底的勒索軟體攻擊。影響簡直是災難性的:客房電子鑰匙失效、信用卡終端關閉、老虎機當機等等。

在這場攻防戰中,企業為了抵禦日益精密的攻擊所投注的龐大資金,和這次事件形成了強烈對比,因為攻擊者取得進入點的管道其實是一個使用者帳號,而其手法則是再簡單不過的社交工程學。儘管如此,這種方式還是讓駭客在短時間內就可跳過數個步驟。

最近我常聽到這種說法:「攻擊者並不侵入,他們是直接登入的。」上述的那家度假村並非個例,許多其他公司都曾透過助理服務受到駭客入侵,因此開始投資安全的多重驗證機制(MFA),要求員工提供多種類型的驗證資訊。MFA 固然是好的第一步,但單憑它是不夠的。

許多企業漏掉了重要一環,就是沒有投資驗證使用者身分的程序,導致當駭客掌握了某些關鍵個人資訊,能通過這類驗證程序時,他們就能說服助理人員重設帳戶密碼或 MFA 機制,然後就輕易取得一大堆特權資訊的存取權。

要徹底杜絕這類側門漏洞並防範入侵,助理人員應該採取多步驟驗證的程序,藉由要求使用者提供不只一種驗證資訊,降低駭客有機會接管帳號的風險。關鍵在於要向使用者詢問在 Linkedln 或其他社交媒體平台無法取得的訊息,而不是再使用過度使用的安全性問題,像是母姓名、成長街道或高中校名等相對可見的資訊。

另一項可行的程序是增加可視化的驗證環節,像是透過視訊電話,由員工的主管或同事上線進行身分確認;企業也可進一步投資運用人臉辨識科技,並結合其他背景資訊來驗證身分。

最後一組可考慮的驗證要素是位置、網路和時間等資訊,以確認使用者的身分。

培訓助理人員意識

有必要培訓助理人員瞭解駭客最新的手法。例如駭客常常製造出一種假的緊急狀況,期盼對方為了立即處理或獲得存取權,就會省略關鍵的驗證程序,而直接給予他們所要求的資訊。尤其當駭客冒充公司的高階主管時,這種手段更是屢試不爽。因此,所有助理人員都應接受相關訓練,學會識破這類伎倆並做出適當因應。

受過良好訓練的助理人員,在詢問一連串的個人問題時也應該能夠洞察其他蛛絲馬跡。比如有時候助理可能會發現對方在回答一些基本的問題時,反應異常緩慢,這就很可能表示對方不是自己宣稱的那個人。  

限制個資過度外洩

除了助理服務端外,公司的安全團隊也應該教育所有員工,自律不要在社交媒體平台上過度分享個人資訊。正如我們自身的經驗,很多網站在你忘記密碼時,都會問類似的驗證問題,比如你成長的街道、第一所就讀學校、高中校名、母親的娘家姓氏等等。同時我們也都知道,很多人都無意間在社交媒體上分享了這些資訊,導致任何人都可以取得答案。因此公司應該與員工密切合作,確保他們在網路上分享的訊息,與公司使用的驗證問題無關。    

在這個日益精密的網路攻防大戰中,利用助理服務端的手法儘管簡單,卻暴露了漏洞,很可能成為其他駭客的新興目標。因此企業必須立即採取行動,透過投資額外的解決方案以及加強人員訓練,堵住助理服務這扇側門,確保不會將企業的大門鑰匙交給不該得到的人。

幸運的是,只要投資相關的解決方案並落實對助理人員和一般員工的教育訓練,就能有效防堵助理服務這個入侵路徑。

詳情請看:

Help Desk Personnel are the Side Door for Cybercriminals

Posted in  on 6月 18, 2026 by Kevin |  

Bleeping computer:FBI 警告假遠距工作廣告用於加密貨幣欺詐

在這個虛擬世界中,必須時刻保持警惕,小心各種新興的網路犯罪手法。FBI警告,最近出現了一種利用假冒遠端工作的廣告,誘使求職者付出加密貨幣的詐騙手段。這種手法往往先以合法公司的身分,在網路上張貼一些看似簡單的遠端工作機會,如線上評論或"優化"某項服務等。

一旦求職者上鉤,詐騙集團就會要求他們支付少量加密貨幣作為"入會費"或"啟用費"。為了增加這個陷阱的說服力,他們甚至會製作一個虛假的入賬網站,讓受害者以為自己真的在賺錢。不過,當受害者想提款時,卻發現根本無法領取任何收益。

這種手法極具欺騙性,它既利用了人們對遠端工作的渴求,也利用了加密貨幣的神秘面紗。很多人對加密貨幣的運作並不太了解,因此更容易被蒙蔽雙眼。更可悲的是,一旦付出加密貨幣,想要追回損失就相當困難。

FBI建議公眾,如遇到任何要求先行付費的工作機會,都應當提高警惕。切記永遠不要向未經證實的雇主支付任何金錢,也不要輕易在網路上透露自己的財務和個人資訊。一旦發現有詐騙嫌疑,應立即向執法單位報案。

事實上,任何看似簡單、賺錢快速的工作機會,都應當存疑。正當管道的遠端工作和實體工作一樣,會有正規的申請流程,不可能一開始就要求付費。我們切記求職時要多加查證,不要被蜜糖般的誘餌所迷惑,小心上當受騙。

此外,這起案例也再次凸顯了加密貨幣在犯罪領域的風險。由於加密貨幣交易相對匿名、難以追查,因此常被不法分子利用作為洗錢或詐騙工具。作為消費者,我們在使用加密貨幣時,必須格外小心,只透過合法經營的交易所或轉帳平台進行交易,切勿輕易將私鑰交付第三方。

總的來說,這起詐騙案例警示我們,在虛擬世界中,要保持理性和警覺。不論是求職、交易還是其他活動,只要涉及金錢往來,就一定要格外謹慎。我們要學會分辨真偽,提高對犯罪手法的認知,遠離一切有異味的"賺錢快速"陷阱,才能避免上當受騙,維護自身的權益。

詳情請看:

FBI warns of fake remote work ads used for cryptocurrency fraud

Posted in  on 6月 17, 2026 by Kevin |  

微軟:創建具有身分和網路安全的信任結構的四個階段

建構一個完整信任體系(trust fabric)以確保身份和網路安全是一個分階段的過程。文中分為四個階段,每個階段都針對不同的優先目標,逐步建立和強化組織的整體安全防護。

第一階段是建立零信任存取控制(Zero Trust access controls)。這是最基礎的一步,目的是保護身份識別、防範外部攻擊,並透過強化驗證和授權控制來明確驗證。文中指出,身份識別是防禦的第一線,也是最容易受到攻擊的區域。因此,透過單一簽入、防釣魚的多重身份驗證或無密碼驗證,以及細緻的條件式存取政策等機制,來制定出有效的零信任策略至關重要。

第二階段是為遠端混合勞動力(hybrid workforce)提供安全存取。隨著遠端工作模式日漸普及,傳統的公司網路邊界已不復存在,組織必須擴大零信任策略的涵蓋範圍。關鍵是要統一身份、終端和網路的條件式存取控制,並將其延伸到內部部署應用程式和網際網路流量,確保每個存取點都受到同等保護。同時實施最小權限存取原則,使用戶只能在必要時存取所需資源,並盡量減少對舊有內部部署安全工具的依賴。

第三階段則是為客戶和合作夥伴提供安全存取。現代客戶身份與存取管理解決方案(CIAM)可協助建立以使用者為中心的無縫體驗,安全地與客戶互動並與組織外部人員合作。組織需要保護外部身份,透過細緻的條件式存取政策、詐欺防護和身份驗證等措施,確保安全團隊了解這些外部使用者的身份。同時也要管理這些外部身份及其存取權限,只允許他們存取所需資源。此外,簡化開發人員體驗也很重要,讓每個新應用程式在一開始就內建強大的身份控制機制。

最後一個階段是保護對多雲端環境中任何資源的存取。隨著雲端服務的快速成長,工作負載身份數量已超過人類身份十倍以上,且大多數超級身份實際上是工作負載身份。因此,有效管理跨雲端的存取權限是非常複雜的挑戰。未來,雲端存取管理需要統一平台,可提供對所有身份(人類和工作負載)的權限和風險的全面可見性,並確保對任何雲端中的任何資源的安全存取。

總的來說,構建一個完整的信任體系需要循序漸進,從基礎的零信任存取開始,擴展到混合勞動力、外部身份和跨雲端資源。這需要結合身份識別、終端、網路、資料、雲端等不同領域的安全措施,並透過先進的人工智慧能力,在實現自動化和提高效率的同時,全面提升組織的身份和網路存取安全水平。

詳情請看:

The four stages of creating a trust fabric with identity and network security

Posted in  on 6月 16, 2026 by Kevin |  

Mcafee:如何保護自己免受魚叉式網路釣魚詐騙

網絡犯罪分子日益精密的手段,使我們在網路世界裡必須格外提高警惕。騙徒利用社交工程學,詐騙受害者轉帳金錢或取得敏感數據,造成鉅額損失。「魚叉式網路釣魚」就是最典型的一種手法,犯罪份子針對特定目標(如高階員工)精心策劃,冒充可信的組織或個人,誆騙受害者點擊惡意附件或連結,感染電腦病毒並遭資料外洩。

2016年在沙烏地阿拉伯發生的Shamoon2攻擊就是一個顯著案例。駭客針對當地企業發送看似無害的附件郵件,當受害者打開後就讓電腦中毒,企業機密外洩,系統更被全面清除。可見網路釣魚手法殘酷有力,損害慘重。

現在更有罪犯利用AI深度偽造視訊影像,冒充員工身分進行視訊會議欺騙。去年2月香港就發生一起駭客用深度偽造視訊,哄騙企業財務主管匯出2500萬美元的案件。科技日新月異,網路犯罪手段也與時俱進,我們絕不能掉以輕心。

要抵禦網路釣魚攻擊,關鍵是提高警覺,不要輕易相信來歷不明的郵件、連結或附件。遇到可疑內容,應直接透過官方網站或其他管道,向發件機構查證信息真偽。此外,我們也要小心個人隱私外洩,盡量減少在網路上留下足跡,讓罪犯無從獲取相關資訊,針對性地下手。諸如設定社交媒體帳號為私密、清除在線索引個資等,都是很好的防護之道。

世界日新又新,網路犯罪卻也無孔不入,我們只有持續提高警覺,採取有效防護措施,才能遠離網路釣魚的威脅,確保個人、企業的網路安全。切記,高度戒備才是上策,絕不可掉以輕心啊!

詳情請看:

How to Protect Yourself From a Spear Phishing Scam

Posted in  on 6月 15, 2026 by Kevin |  

Juniper:瞻博網路在 MFD11:AI 原生創新提供卓越的無線體驗

近年來,人工智慧(AI)已成為各個產業領域的焦點和發展重心。網路設備製造商Juniper Networks積極運用AI技術,推出創新的「AI原生網路平台」,為無線網路體驗帶來革命性的轉變。在最近的Mobility Field Day 11活動上,Juniper分享了平台的最新突破,展現他們引領無線網路未來發展的決心。

Juniper的「AI原生網路平台」建基於三大核心理念:「正確的資料」、「實時適當的回應」,以及「合適的基礎設施」。平台透過尖端的遙測技術和各種資料來源,獲得前所未有的網路績效見解;憑藉九年以上的Mist AI引擎經驗,平台能做出主動、因應環境的反應,帶來實際成效;整個生態系統跨越有線、無線、SD-WAN、存取控制等領域,全面整合AI能力。

Juniper在此次活動上公布的新功能令人振奮。「Marvis Minis」是業界唯一的AI原生網路數位體驗雙生模擬器,能模擬使用者連線前後的體驗,確保最佳效能。AI驅動模型不斷進化,能高精準度預測並遏止網路問題,協助IT團隊快速解決問題,省卻高額的現場支援成本。

人工智慧助理Marvis的自然語言互動能力使網路管理更加直覺,並新增了主動尋找和修復網路、應用程式及安全性問題等功能,讓客戶和合作夥伴能在降低營運成本之餘,超前滿足用戶需求。Shapley資料科學模型與持續的使用者體驗學習機制相互整合,開啟許多改善Zoom會議和Teams通話體驗的全新使用案例,並可驗證問題根源是在用戶端、應用程式、區域網路、線上網路等哪個環節。

「AI原生動態頻譜捕捉」技術則提供無線電頻譜的高可見度,簡化了疑難排解操作,找出無線干擾根源,減少現場派遣的需求。這些創新說明了Juniper對推進無線網路技術,締造卓越連線體驗的決心和努力。

AI的加入顯然使無線網路連線體驗邁入嶄新的里程碑。Juniper不僅是發明新技術,更致力於將AI的潛力完全發揮,改革網路設備營運模式。隨著Juniper持續突破創新,我們期待公司能引領整個產業向前邁進,共同塑造連線的美好未來。

詳情請看:

Juniper at MFD11: AI-Native Innovations Deliver Exceptional Wireless Experiences

Posted in  on 6月 14, 2026 by Kevin |  

微軟:為開發人員介紹個人資料加密

微軟最近推出的個人資料加密(Personal Data Encryption, PDE)功能,為開發人員提供了一個重要的安全防護措施,可在裝置解鎖後保護敏感使用者資料,防範惡意攻擊者透過物理攻擊竊取個資。這項新功能結合BitLocker全磁碟加密,為Windows裝置帶來更全面的資料保護。

PDE的運作原理是利用Windows Hello生物特徵辨識系統,將資料加密金鑰與使用者憑證綁定。當使用者登入裝置時,解密金鑰就會被釋放,使加密的資料可以被存取。PDE提供兩種保護等級:第一級在首次解鎖後可持續存取資料;第二級只在裝置解鎖時才能存取受保護的資料,提供額外的安全層級。

PDE API提供了一系列低階API,讓應用程式開發人員能加密使用者內容。這對於處理大量敏感資料的行業如國防、金融、醫療和保險業來說,是一項非常實用的功能。開發人員可透過API保護資料夾、檔案和緩衝區,並指定保護等級。而當需要存取這些被保護的資料時,也能使用API來解密。

整體而言,PDE的設計考量周全,提供應用層級的保護,有助於確保使用者個資的安全,避免駭客藉由物理攻擊竊取資料。不過值得注意的是,PDE目前只能在Windows企業版和教育版作業系統上使用。

展望未來,我期待微軟能持續強化PDE的功能,例如增加動態設定保護等級的彈性、支援串流資料的加密、提供更多事件回呼等,以滿足更多元的開發需求。而對使用者來說,也希望PDE能在未來普及至其他Windows版本,讓所有使用者都能受惠。總的來說,PDE是一項重要的新功能,將有助於提升Windows平台的資訊安全防護力。

詳情請看:

Introducing Personal Data Encryption for developers

Posted in  on 6月 13, 2026 by Kevin |  

Help net security:加密記事本:開源文字編輯器

在這個大數據時代,隱私權成為人們普遍關注的問題。無論是個人通訊紀錄、金融資訊,還是簡單的文字文檔,都可能遭到駭客入侵或惡意監控。因此,保護個人數據的安全性和隱私性變得至關重要。

在這樣的背景下,Ivan Voras開發的開源加密文字編輯器Encrypted Notepad應運而生。這款軟體擁有創新的加密機制,能夠以AES-256算法加密保存和載入文件,確保文字內容的機密性。它不僅沒有廣告,而且不需要網路連接,也沒有多餘的功能,堪稱簡潔實用。

Encrypted Notepad的操作界面非常簡約,類似於Windows內建的記事本程式,只有基本的文字編輯功能。這一特點使其專注於核心任務,避免了不必要的功能拖累,為用戶提供了流暢高效的使用體驗。

除了使用AES-256強大的加密演算法外,Encrypted Notepad還採用了PGP/OpenPGP .asc格式儲存加密文件。這一開放標準可與其他工具互通,大大增強了檔案的移植性和可擴展性。值得一提的是,軟體使用了多個知名的密碼學函式庫,如ProtonMail、CloudFlare和Golang庫,從源頭上確保了加密過程的可靠性。

這款加密記事本最大的優勢在於其開源屬性。作為一款免費開源軟體,它接受全球開發者的審查和優化,能夠及時修復漏洞,持續提升安全性能。同時,開放的源代碼也增強了軟體的透明度,消除了普通用戶對隱藏後門的疑慮。

對於那些重視隱私保護、希望安全保存文字文檔的用戶而言,Encrypted Notepad絕對是一款值得信賴的工具。它不僅操作簡單,而且確保了數據的機密性,有助於避免敏感內容遭到泄露。可以預見,隨著隱私保護意識的不斷增強,這類加密文字編輯器將獲得更多認可和應用。

展望未來,Encrypted Notepad的開發者計劃優化用戶界面,進一步增強實用性。不過,保持軟體的簡約本質也是他們的目標。總的來說,作為一款隱私保護工具,Encrypted Notepad可圈可點之處不少。它為用戶文檔的加密保護提供了可靠方案,充分體現了開源開發模式的優勢和潛力,值得人們關注和支持。

詳情請看:

Encrypted Notepad: Open-source text editor

Posted in  on 6月 12, 2026 by Kevin |  

Mcafee:關於選舉安全您需要了解什麼

當今世代,確保選舉安全性是維護民主制度的重中之重。隨著各界對選舉干擾和舞弊的疑慮日增,國家無疑應加強各項防護措施,但作為選民,我們亦責無旁貸。保障投票權利,維護公平公正的選舉過程,是每一位公民應盡的基本公民義務。

在眾多確保選舉安全性的要素中,資訊正確性首當其衝。謠言滋事在所難免,我們必須提高警惕,只相信官方渠道的資訊。同時,切忌在網路上隨意傳播未經核實的消息,避免助長混亂。此外,保護個人資料也是重中之重,切勿輕易向任何未經身份查證的人士透露敏感資料。

投票當日更應嚴加防範。無論親身前往投票站或以郵寄方式投票,都要確保遵循正確的程序,並警惕任何可疑的異常狀況,如投票機遭竄改、工作人員行為可疑、或試圖恐嚇投票民眾等,一旦發現立即向有關當局舉報。另一方面,身為新手投票民眾,更應提早了解投票過程和規範,蒐集候選人資訊,妥善計劃前往投票的時間和交通方式,並在需要時尋求協助。

除了我們每位選民須小心謹慎之外,國家也理應促進公眾對選舉安全性的瞭解。透過新聞媒體解說各種保護措施,如使用實體選票、選後審計、網路安全防禦等,讓民眾對程序有充分認知,加強對制度的信心。與此同時,鼓勵民眾提早投票,分散高峰期人潮,為順利投票創造良好環境。

總括而言,確保選舉安全不應只是政府的責任,每一位選民也扮演著舉足輕重的角色。我們必須保持高度警惕,認清可信資訊來源,瞭解並依循正確投票程序,對任何違規情事即時舉報,持續關注選舉新聞動態。只有全民共同珍惜手中神聖的一票,方能捍衛民主核心價值,維繫自由公正的社會。讓我們成為盡責的公民,攜手維護選舉純淨,共同譜寫璀璨的民主願景。

詳情請看:

What You Need to Know About Election Security

Posted in  on 6月 11, 2026 by Kevin |  

Help net security:缺乏技能和預算導致零信任實施緩慢

在當前的網路時代,網路安全已成為企業和個人無法忽視的重大議題。隨著網路攻擊手法日益精密,加上人工智能的快速發展,網路威脅正以驚人的速度持續擴大。因此,採取"零信任"安全策略以確保系統和數據的安全性,已成為當務之急。

根據Entrust的"2024年零信任與加密狀態調查"顯示,近三分之二的組織將預防網路入侵列為實施零信任策略的主要驅動力。這一趨勢在美國更為明顯,有79%的組織將網路入侵風險和攻擊面擴大列為主要原因。此外,有41%的受訪者表示,他們投資於安全的主要目的是減少數據外洩或其他安全事件的風險,而不再僅僅是為了遵守法規要求,這反映了組織對安全投資動機的重大轉變。

然而,儘管60%的組織獲得了高層領導的大力支持,但缺乏人才和預算仍然是阻礙零信任框架實施的最大障礙。這凸顯了支持和資源分配之間的矛盾。值得關注的是,只有48%的美國組織已開始自己的零信任之旅,這令人擔憂西方實體雖然意識到問題的嚴重性,但卻無法採用零信任,使他們面臨網路威脅的風險。

此外,46%的受訪者將黑客暴露敏感或機密數據列為他們最大的安全顧慮,其次是系統或流程故障以及未經管理的證書。值得注意的是,在過去八年中,組織首次沒有將員工失誤列為頭號安全威脅。

最後,50%的受訪者表示,人員短缺、47%認為缺乏明確的所有權歸屬、46%指出人員配置不足,是導致憑證管理面臨挑戰的主要原因。

總的來說,零信任安全策略已成為當前網路安全的必由之路。企業需要高度重視網路威脅,合理分配資源,提升人員素質,並建立明確的責任歸屬,方能有效實施零信任框架,保障企業和客戶的數據、網路和身份安全。我們有必要提高警惕,積極採取行動,以應對日益嚴峻的網路威脅形勢。

詳情請看:

Lack of skills and budget slow zero-trust implementation

Posted in  on 6月 10, 2026 by Kevin |  

Help net security:apexanalytix Cyber​​ Risk 為供應商資料外洩提供即時警報

在現今數位時代,網路安全風險對企業營運構成了前所未有的威脅。根據報導,合作夥伴數據外洩事件約佔所有網路攻擊事件的15%,每年造成企業平均高達476萬美元的損失。這無疑是一個令人震驚的數字,足以凸顯網路安全防護在供應鏈管理上的重要性。

有鑑於此,apexanalytix推出了Cyber Risk解決方案,透過自動評估各供應商的網路安全狀況、持續監控暗網風險,並即時應對影響供應商的威脅,為企業供應生態系統提供全方位的防護。這個創新方案消除了網路安全和供應商管理團隊之間的隔閡,賦予企業對整個供應鏈環節更大的掌控力,有效防範營運中斷。

不可諱言,網路攻擊無疑是當前企業面臨的最大威脅。Cyber Risk解決方案能自動化風險管理的繁瑣程序,讓企業少花精力在行政工作上,專注於制定風險應對策略,提高營運韌性。它提供近乎即時的數據外洩報告,而平均需207天才能識別出數據洩漏事件,大幅縮減風險應對時間。

此外,Cyber Risk解決方案的自動化見解不需專業技術,非網路安全專家也能輕鬆監控供應商健康狀態,真正實現跨部門風險管理。apexanalytix執行長Steve Yurko表示,供應鏈攻擊代價高昂、影響廣泛,因此企業需要對關鍵供應商威脅有全面掌控,而Cyber Risk正是這樣一個"一體化"解決方案。

總的來說,apexanalytix的Cyber Risk代表了該公司在全面風險管理解決方案領域邁出的重要一步,有助於企業因應日益嚴峻的網路威脅。在數位化浪潮下,企業若能打造堅實的網路安全防線,將有利於提升供應鏈抗風險能力和整體營運彈性,終能在激烈競爭中傲視群雄。

詳情請看:

apexanalytix Cyber Risk provides instant alerts for supplier data breaches

Posted in  on 6月 09, 2026 by Kevin |  

Cisco:開放供應鏈資訊模型 (OSIM) 技術委員會簡介

 供應鏈安全性日益成為各行各業企業的重大關注事項。制定標準化、可信賴且可互操作的資訊模型,對於解決這一問題至關重要。為此,OASIS開放供應鏈資訊模型技術委員會(OSIM TC)正在成立,旨在提升全球供應鏈管理水平。該委員會的初始成員包括AT&T、思科、谷歌、微軟、美國網路與基礎設施安全局(CISA)、國家安全局(NSA)等知名企業和機構。

OSIM TC的使命和目標是多方位的,旨在透過精確且靈活的資訊模型提升供應鏈的效率和安全性。該委員會將研究現有供應鏈活動,並與成員分享研究結果,以期識別、參考並盡可能重複使用現有工作,避免重複發明輪子。OSIM TC將專注於闡明清晰的價值主張和制定全面的供應鏈資訊模型使用案例,確保模型與實際應用的相關性。

委員會將制定並維護供應鏈資訊模型標準,涵蓋供應鏈的各個層面。這些標準旨在與當前和未來的行業需求保持高度相關和可應用。透過制定促進一致性和互操作性的標準,OSIM TC旨在打造跨不同平台和行業的無縫整合,構建更加互聯和高效的供應鏈生態系統。

OSIM TC工作的一個重點是促進這些標準的廣泛採用,確保在硬件和軟件供應商以及開放源碼社區中獲得廣泛應用。OSIM TC將為利益相關方提供持續的技術專業知識和指導,指導這些資訊模型標準的應用和演進,確保它們始終處於技術和行業需求的前沿。

委員會的主要交付成果包括:

1.價值主張和使用案例:用於解釋資訊模型、說明它們為何至關重要,以及如何在不同的供應鏈情況下加以利用。

2.供應鏈資訊模型標準:OSIM TC將發佈一個或多個全面的規範,詳細說明資訊模型。

3.實施指南:OSIM TC將提供實用指南,協助將這些標準整合到操作中。

4.開源工具和知識庫:該委員會將創建工具、參考實現、常見問題解答等資源,以支持技術委員會工作產品的知名度和採用。

OSIM標誌著邁向更加安全、彈性供應鏈生態系統的重大進展。這項努力凸顯標準化的關鍵作用,展示了如何通過協調一致的指導方針來大幅提升基礎設施的完整性和安全性。

總的來說,OSIM TC致力於加強供應鏈安全性與透明度,透過制定通用標準與最佳實踐,推動供應鏈生態系統的高效協作與創新發展。隨著供應鏈的日益複雜與全球化,OSIM TC的工作將為企業和組織提供有力支持,從而提升風險管理能力,維護供應鏈的可靠與穩健運作。

詳情請看:

Introducing the Open Supply-Chain Information Modeling (OSIM) Technical Committee

Posted in  on 6月 08, 2026 by Kevin |  

Tenable:網路安全快照:安全、合乎道德地實施人工智慧的 6 種最佳實踐

近年來,人工智慧(AI)技術快速發展,企業和組織紛紛開始採用或規劃導入AI,期望能帶來效率和生產力的提升。然而,AI的應用若未能審慎管控,也可能帶來諸多風險,包括資訊安全、隱私和道德等層面。因此,如何能夠安全、負責任且合乎道德地實施AI,成為各機構當前所面臨的重大挑戰。

  在AI系統的開發和部署過程中,必須從最初階段就將安全性納入考量,透過威脅模型、強化配置和邊界防護等作法,來降低AI系統被入侵和遭到攻擊的風險。此外,AI所需大量的數據來源常涉及敏感資訊,因此必須嚴格管控數據使用,進行去識別化處理、制定隱私權政策等措施,以保障組織和使用者的隱私權,避免數據外洩的風險。

  在AI日新月異的發展下,相關法規正在快速演進。機構應密切留意AI相關法規的發展動向,進行符合法令的風險評估、事故通報,並強化網路安全防護,以確保合規運作。同時,AI應用所可能涉及的合法性、偏見和透明度等道德議題,亦需要有明確的因應準則。

  另一個關鍵面向則是員工培訓。員工必須瞭解AI工具的潛在風險,掌握正確操作方式,避免誤用而衍生資安問題。制定相關政策規範和準則,闡明可使用的資料類型及AI使用範疇,將是重要的防患未然之舉。

  在AI快速發展的同時,各界也正在積極合作、制定相關的安全與倫理標準。加入業內組織和工作小組,參與最新指南的研擬和經驗交流,有助機構擁抱創新並克服AI帶來的風險與挑戰。此外,AI工具的導入絕不應操之過急,必須有全面性、審慎的規劃和評估,考量各項潛在風險,有計畫地逐步推行,才能真正發揮AI之利而迴避其患。

  總括而言,AI雖然富含無窮的應用潛能,但若缺乏周全規劃和管控,同樣可能酿成不可承受的資安和隱私風險。企業和機構導入AI之初,必須審慎評估並平衡利弊得失,從整體性的角度建構符合安全、道德和法規要求的AI治理架構,方能在享有AI之利的同時,遠離可能產生的各種風險和衝擊。

詳情請看:

Cybersecurity Snapshot: 6 Best Practices for Implementing AI Securely and Ethically

Posted in  on 6月 07, 2026 by Kevin |  

Cybersecurity insiders:如何永久阻止勒索軟體,並為勒索軟體復原能力添加缺少的層

近年來,勒索病毒對企業和機構構成了極大威脅,已然成為一種"國家安全、公共安全和經濟發展"的危險。勒索軟件的攻擊手法日益精進,能夠躲避傳統防護措施,成功率也因此大幅提高。要徹底遏制勒索病毒,單單依賴現有的防禦層次已經不夠,我們必須加強防護深度,建立多層次的防線。

報告指出,要對抗現代勒索病毒,我們需要在環境中再加入一層採用全新防禦機制的控制層。新興的"自動化動態防禦"(AMTD)技術,就能有效堵塞漏洞,遏制勒索病毒在各個階段的攻擊行為,從早期入侵到最終執行。

勒索病毒的威脅與日俱增,其背後是開發者和操作者追求暴利的強烈慾望。在獲利動機的驅使下,黑客們不斷研發出更精密的規避手段,使惡意軟件能躲過防火牆、殺毒軟件、終端檢測響應系統等傳統防護措施。舉例來說,2021年"Conti"病毒成功入侵愛爾蘭國家醫療服務體系,主要是採用了"無檔攻擊"的手法,將惡意代碼直接加載至設備內存中執行,避開了掃描不到的防護死角。

這類"無檔執行"、"內存注入"等模糊攻擊方式越來越普遍,甚至出現了基於AI生成的自適應、變形惡意軟件。要堵住這些複雜攻擊的漏洞,單純依賴基於簽名、行為分析的傳統防護是遠遠不夠的,我們需要建立多層次的防護深度。

AMTD技術就是這樣一種創新的補充防線。它通過改變應用程序的運行環境攻擊面,動態調整內存資源的位置,設下陷阱糾纏惡意執行。這不僅能阻擋惡意加密、資料破壞,還能保護系統恢復影子副本免受破壞,阻止憑證被盜取,在內存層面創造不可預測的攻擊面。通過多層保護,AMTD技術能有效遏制MITRE列出的勒索攻擊戰術,包括初步入侵、持久化、權限提升、規避防護、橫向移動和最終衝擊。

總的來說,這份報告向我們揭示了勒索病毒的嚴重威脅,傳統防禦層次的不足,以及採納創新防護技術對構建全面防線的重要性。我認為,AMTD所代表的新興威脅對抗技術,正是我們應當重視並廣泛部署的關鍵一環。只有在防護體係中堆疊更多創新技術,建立多層次、多維度的防線,我們才能真正應對不斷演進的網絡攻擊,遏制勒索病毒這一"國家級"威脅。

詳情請看:

How to stop ransomware for good — and add the missing layer to ransomware resiliency

Posted in  on 6月 06, 2026 by Kevin |  

Cybersecurity insiders:數據責任:利用信任的力量推動成長

親愛的讀者,閱讀這篇文章後,我深有感觸。在當前的數據時代,數據無疑是企業最寶貴的資產,它驅動著業務增長,滿足消費者需求。然而,隨著數據外洩事件和隱私疑慮不斷增加,消費者對企業處理個人數據的信任度也在下降。

文章指出,76%的消費者表示不會向不值得信任的企業購買產品或服務。81%的人認為,一家公司如何對待數據,反映了它對消費者的尊重程度。這說明,建立穩固的消費者信任是企業利用數據實現增長的關鍵。當消費者看到自己的個人數據在企業手中遭到盜竊和濫用時,他們對企業的信任就會逐漸流失。

為了重建消費者信任,文章建議企業要採取透明化的做法,清晰地向消費者解釋隱私政策,提供易於查閱的平台和説明。這種對數據責任的承諾,可以加深企業與消費者之間的聯繫,重塑彼此的信任關係。

此外,文章也強調了採用"零信任"的數據安全策略的重要性。這種策略不假設任何數據的安全性,而是通過驗證和加密等手段,在數據整個生命週期中保護其隱私和完整性。通過投資數據安全、遵守隱私法規、實施零信任模式,企業可以在利用數據促進業務增長的同時,履行保護消費者數據的社會責任。

總的來說,這篇文章令我深切意識到,在數字時代,企業承擔著重要的數據責任。只有建立起牢固的消費者信任,企業才能真正釋放數據的價值潛力,實現可持續發展。我期待看到更多企業採納透明、負責任的數據實踐,維護消費者權益,締造雙贏的數據生態。

詳情請看:

A Data Responsibility: Leveraging the Power of Trust to Drive Growth

Posted in  on 6月 05, 2026 by Kevin |  

Cybersecurity insiders:將零信任原則應用於 Microsoft 本機和混合式環境保護的 Active Directory 的實用指南

積極實施零信任原則保護本機及混合環境的 Active Directory

微軟 Active Directory(AD)是大多數大型組織的核心身份識別系統,控制著整個組織的資源和運作存取權限。由於其龐大的存取權能,AD常成為駭客主要攻擊目標。根據微軟2022年數位防禦報告,88%遭到勒索病毒攻擊的客戶,未能遵循AD最佳安全實踐。

傳統的安全觀念是以邊界為基礎,將內外區隔。但在混合環境下,邊界的概念已不復存在,駭客可輕易找到薄弱環節並橫向蔓延。採用零信任(Zero Trust)方法,可大幅降低這些風險,不再對內部人員隱含信任。由於AD決定組織內的"誰是誰",是大規模攻擊的主要目標,因此必須將其列為零信任策略中的核心部分。

實施以AD為基礎的零信任方法,需分為六個階段:

第一階段是評估,了解組織內有哪些系統依賴AD,包括內外部、雲端與本機系統,以及相關帳號、群組、授權方式等,掌握身份和權限的分布。

第二階段是管理,制定、建立、監控和執行政策,包括自動化帳號和權限的配置和註銷,以建立可重複和持續監控的流程。在零信任下,身份治理使信任由隱含轉為顯式,依職務角色明確授予員工存取權限。

第三階段是落實細緻的委派管理,取代AD原有的永久管理員權限模式,改為針對特定人員、特定任務和特定範圍,配置最小化的臨時權限。

第四階段是自動化,消除人工錯誤並降低人員被賦予過度權限的風險。自動化流程也有助於明確治理政策,便於評估、監控及展示合規性。

第五階段是監控與威脅偵測,檢視零信任政策的實際運作並及時發現任何異常行為,包括常見的身份攻擊手法。偵測可應用機器學習模型逐步優化。

第六階段是復原機制,即便做足防護,仍須因應駭客入侵或系統故障的狀況。AD是整個IT環境的根基,一旦癱瘓將影響全面營運,必須能迅速將AD復原以維持業務連續性。

除了上述六個階段,其他重要注意事項包括:多重驗證機制、針對AD特定的事件回應計劃、端點裝置的保護與管理等。

AD作為大多數企業的核心身份識別管理系統,是駭客主要攻擊目標,必須優先在零信任架構下全面加強其安全性,方能充分保護核心IT基礎設施和確保營運持續運作。落實零信任原則於AD的防護,應為所有組織的網路防禦策略中不可或缺的基石。

詳情請看:

A Practical Guide to Applying Zero Trust Principles to Active Directory for Microsoft On-Premises and Hybrid Environment Protection

Posted in  on 6月 04, 2026 by Kevin |  

Cybersecurity insiders:基本資料保護從最低權限開始

數據隱私權保護的核心根基

每年一月,全球性的「數據隱私週」運動都會加強意識,教導組織有效的數據保護策略。雖然該活動從「數據隱私日」演變成為長達一週的宣導期間,但與網路安全團隊全年無休地優先考量數據保護相比,一週的時間實在短暫。儘管在提高數據隱私意識方面有長足進步,持續不斷爆發的數據外洩及網路攻擊事件,反映我們在尋求健全的數據保護之路上,仍任重而道遠。

最小權限原則的重要性

數據安全的基礎在於「最小權限」原則:每位個人、服務和應用程式,無論其技術專長、可信賴程度或組織職級如何,都只能被授予執行特定角色所需的權限。

我們不妨以銀行為例說明最小權限的精神:為保護現金和其他貴重資產,銀行設置了多層防護。雖然銀行重視所有員工,但仍必須嚴格限制每個人的權限:一般員工只能進入公共區域;出納員僅能操作自己的錢櫃;貸款專員能查看客戶信用記錄;某些經理則能進入保管箱室,但存放金條和其他高價值資產的金庫,只有為數不多的特殊人員才能進入。

銀行的金錢資產就如同組織內的敏感數據。貸款專員無權動用出納員的錢櫃,出納員也不能打開保管箱,同理,IT團隊不應該能查看客戶資料庫,而銷售人員也不該有權限存取軟體倉庫,極少數人才能接觸到組織最珍貴的資產,如關鍵的智慧財產權。  

嚴格執行最小權限的迫切需求

未能落實核心的最小權限原則,將使數據隱私權面臨各種風險。用戶可能會因疏忽或蓄意,濫用自身的存取權限,查看或修改本不應觸及的內容。更大的風險是,駭客一旦入侵用戶帳號,就能完全濫用該帳號被授予的所有權限。

潛在威脅不僅來自人為,惡意軟體也會繼承下載它的用戶權限。舉例來說,勒索軟體有能力加密用戶帳號能存取的所有數據,即使用戶實際上不需要這些權限。因此,應用程式的功能也必須局限於運作所需的最小權限,以降低遭到濫用的風險。

多層次的防護方案  

廣義上來說,落實最小權限原則並非「一勞永逸」,而需要多層次的完整體系,包括:

身份管理和管理 (IGA) - IGA涵蓋身份生命週期的全程監控,確保每位用戶只擁有角色所需的存取權限。

特權存取權管理 (PAM) - PAM著重管理對系統和資料具有提升存取權的帳號,因為這些帳號一旦遭到濫用或入侵,將對數據隱私權、安全性和業務連續性帶來更大風險。

IGA和PAM共同構成一個全面的框架,嚴格控管對系統和資料的存取,強化組織的安全狀態。

發揮營運潛能  

數據隱私權保護是一年四季永無止盡的工作重點,必須從上到下在整個組織內培養資訊安全意識。透過有效的IGA、DAG和PAM,組織得以落實最小權限原則,確保數據隱私權、贏得客戶信賴、避免遭受代價高昂的數據外洩,並符合法規要求。如此一來,組織就能將更多心力專注於發揮營運潛能,而非無止盡地防範網路威脅。

詳情請看:

Essential Data Protection Starts with Least Privilege

Posted in  on 6月 03, 2026 by Kevin |  

Mcafee:假冒巴林政府 Android 應用程式竊取用於金融詐欺的個人數據

網路世界中隱藏著許多陷阱,本次事件再次警示我們,即使是政府機關提供的應用程式,也可能被不肖分子盜用偽造成為木馬程式,企圖從用戶那裡竊取個人資訊。這種針對性的攻擊手法極為陰險,不僅利用社交媒體和短信進行宣傳釣魚,更冒用具有公信力的機構名義,輕易地誘使用戶在虛假應用程式中輸入敏感資料。

最讓人痛心的是,透過這種手段獲取的個資都將被用於金融詐騙的犯罪行為。可憐的受害者不僅個人隱私遭到侵犯,財產安全也將遭受威脅。事實上,已有人因此蒙受重大損失。這些無辜的民眾只是想方便地使用政府服務,卻因此淪為黑心人士的獵物,這種情況實在令人感到憤憤不平。

除了透過官方認證的應用程式商店下載軟體之外,用戶也應提高警惕,謹慎核對任何看似可疑的連結或應用程式。即使是來自政府機構,也有可能是惡意軟體在冒充偽裝。我們都應該提高資訊安全意識,學習識別這類詐騙的手法,並盡可能使用可靠的防毒防護軟體,才能在網路世界中遊刃有餘。

此次事件再次凸顯了網路罪犯的陰險狡詐。他們不僅擅長偽裝並進行社交工程式攻擊,更通過動態載入惡意網址、竊取用戶短信等技術手段來達到犯罪目的。面對如此高明的攻擊手法,我們唯有時時提高警惕,才能有效防範個人資訊被盜用,避免陷入金錢損失的困境。

總的來說,這起事件警示我們,即便是官方機構提供的服務,也可能存在安全漏洞被不法分子利用。我們都有責任提高資訊安全意識,謹慎核查任何來源可疑的應用程式或連結,並做好適當的防護措施,才能確保個人隱私和財產的絕對安全。讓我們共同維護網路世界的正義秩序,絕不給犯罪分子任何可乘之機。

詳情請看:

Fake Bahrain Government Android App Steals Personal Data Used for Financial Fraud

Posted in  on 6月 02, 2026 by Kevin |  

Help net security:您的檔案和磁碟機上的「密碼保護」有多安全?

在當今數位時代,資料安全性無疑是一個極為重要的課題。無論是個人或企業,我們都有保護敏感資料的需求和責任。本文探討了檔案和磁碟機的「密碼保護」功能是否足以確保資料安全。

一般而言,僅依賴密碼保護檔案並不足夠。密碼保護通常只是在檔案外層加了一道簡單的防禦,內容本身並未加密。專家指出,這類密碼保護容易被繞過,無法真正阻擋有心人士的入侵。

軟體加密則是一種相對安全的做法,例如Windows的BitLocker採用AES 256位元加密標準。相較之下,軟體加密成本低廉、易於實作,但仍存在一些缺點。首先,它仰賴電腦的運算能力,處理大型檔案時可能影響系統效能。更重要的是,軟體加密無法完全防止暴力破解攻擊,駭客可利用高效能電腦在短時間內猜測大量密碼組合。一旦密碼被取得,整個加密系統即失去作用。

對於需要更嚴格資料保護的環境,硬體加密磁碟就是更佳選擇。硬體加密是由獨立的微處理器專門負責驗證和加密,與主機完全分離。這不僅能快速執行加密,還能有效防禦暴力攻擊,駭客幾乎無法破解。此外,硬體加密磁碟還具有防篡改能力,例如可在檢測到異常電壓或溫度時自動抹除資料,確保安全無虞。

硬體加密磁碟的缺點在於成本較高,但對於處理敏感資料的企業而言,這項投資的價值是無可挑戰的。一旦發生資料外洩,企業不僅要承擔高額的法律責任,更可能遭受難以估算的聲譽損失。相較之下,採用硬體加密磁碟所支付的額外費用就微不足道了。

除了加密技術選擇,制定完善的備份策略也是保護資料的重要一環。3-2-1原則是業界公認的最佳作法:製作三份資料副本、使用兩種不同的儲存媒體,並將其中一份存放在另一個場所。藉此即使遭受惡意勒索軟體攻擊,還是能夠快速復原資料。

總括而言,單純依賴軟體內建的密碼保護功能,難以提供足夠的資安防護。相對地,硬體加密不僅在防禦力上更勝一籌,對企業而言也是符合法規要求的明智之舉。在數位化時代,資料安全絕對不能等閒視之,投資堅實的加密技術乃是明智的選擇,更是企業和個人不可或缺的必要之舉。

詳情請看:

How secure is the “Password Protection” on your files and drives?

Posted in  on 6月 01, 2026 by Kevin |