Mcafee：手機網頁與原生應用程式的比較

 Mcafee發佈了一篇手機網頁與原生應用程式的比較

手機網頁與原生應用程式是兩種不同的方式，讓使用者在手機上瀏覽或使用網路服務。手機網頁是透過瀏覽器訪問的網站，而原生應用程式是需要下載安裝的軟體。這兩種方式各有優缺點，以下是一些主要的比較項目：

• 速度與效能：原生應用程式通常比手機網頁更快更流暢，因為它們是為特定的作業系統和硬體設計的，並且可以利用手機的內建功能，如相機、GPS、指紋辨識等。手機網頁則需要透過瀏覽器與伺服器溝通，並且受限於網路速度和瀏覽器的能力。
• 開發與維護成本：手機網頁通常比原生應用程式更容易開發和維護，因為它們只需要一套程式碼，就可以在不同的平台和裝置上運行。原生應用程式則需要為每個平台和裝置開發不同的版本，並且需要定期更新和修復。
• 使用者體驗與忠誠度：原生應用程式通常比手機網頁提供更好的使用者體驗，因為它們可以符合手機的操作介面和設計風格，並且可以在離線的情況下使用。原生應用程式也可以通過推播通知或快捷圖示來增加使用者的互動和忠誠度。手機網頁則需要使用者主動輸入網址或使用書籤，並且可能因為網路不穩或瀏覽器不支援而無法正常顯示或使用。
• 安全性與隱私：手機網頁和原生應用程式都有可能遭受到惡意的攻擊或竊取使用者的資料，因此使用者需要注意網站或應用程式的來源和信譽，並且使用安全的連線和防毒軟體。手機網頁通常比原生應用程式更容易被偽裝或竊聽，因為它們需要透過網路傳輸資料，並且可能受到瀏覽器的漏洞或惡意的廣告影響。原生應用程式則需要使用者授權它們存取手機的功能或資料，並且可能會在背景執行或自動更新，因此使用者需要注意應用程式的權限和設定。

總結來說，手機網頁與原生應用程式都有各自的優缺點，使用者需要根據自己的需求和偏好，選擇最適合的方式來使用網路服務。

詳情請看：

The Mobile Web vs. Native Apps

Read More

Fortinet：有效的安全培訓計劃對於創建具有網絡意識的員工隊伍至關重要

 Fortinet發佈一篇有效的安全培訓計劃對於創建具有網絡意識的員工隊伍至關重要

網絡安全是當今企業面臨的一個重大挑戰，尤其是在遠程工作和混合工作模式的背景下。為了應對日益複雜和多變的網絡威脅，企業需要提高員工的網絡安全意識，並建立一種安全文化。

根據Fortinet的一項調查，有超過八成的受訪者認為，安全培訓計劃對於提高員工的網絡安全意識至關重要。然而，只有不到一半的受訪者表示，他們的公司有定期進行安全培訓的計劃。此外，有近四分之一的受訪者表示，他們從未接受過任何形式的安全培訓。

這些數據顯示，企業在安全培訓方面還有很大的改進空間。安全培訓不應該是一次性或偶爾的活動，而應該是一個持續和定期的過程，涵蓋不同的主題和場景，並根據員工的角色和需求進行定製。安全培訓也應該是有趣和互動的，以提高員工的參與度和記憶力。

通過實施有效的安全培訓計劃，企業可以減少員工因為無意或故意的行為而造成的網絡風險，並提高員工對於保護自己和公司資產的責任感和信心。安全培訓計劃不僅可以提升企業的網絡防禦能力，也可以增強企業的競爭優勢和品牌聲譽。

詳情請看：

Effective Security Training Programs Are Vital to Creating a Cyber-Aware Workforce

Read More

Help net security：購買資安工具的困境與建議

 Help net security發佈了一篇購買資安工具的困境與建議

資安工具是企業防禦網路攻擊的重要武器，但是購買資安工具的過程並不簡單。根據一項調查，企業在購買資安工具時面臨以下的困境：

• 資安工具的種類太多，難以選擇適合的產品。
• 資安工具的價格太高，超出預算或無法證明投資報酬率。
• 資安工具的效能難以測試或驗證，無法確保實際的防護效果。
• 資安工具的部署和維護太複雜，需要專業的人員和資源。

為了解決這些困境，調查提出以下的建議：

• 在購買資安工具之前，要先分析自己的資安需求和風險，並制定一個清楚的資安策略。
• 在選擇資安工具時，要考慮產品的功能、品質、相容性、可擴展性和客戶支援。
• 在評估資安工具時，要使用實際的資料和場景，並與其他的產品進行比較。
• 在部署和維護資安工具時，要有足夠的人員和資源，並定期進行更新和檢查。

購買資安工具是一項重要的決策，需要有充分的準備和規劃。只有選擇適合自己的資安工具，才能有效地提升資安防護能力，並減少網路攻擊的損失。

詳情請看：

Stop panic buying your security products and start prioritizing

Read More

McAfee：家長指南：幫助青少年應對分心駕駛的 8 種方法

 McAfee發佈了一篇家長指南：幫助青少年應對分心駕駛的 8 種方法

分心駕駛是一種危險的行為，它會影響駕駛者的注意力、判斷力和反應能力。根據統計，每年有超過三千人死於分心駕駛造成的交通事故，其中青少年是最高風險的群體。因此，父母有責任教育和監督他們的孩子，讓他們明白分心駕駛的後果，並採取措施預防和減少這種行為。

文章提出了八種方法，幫助父母和孩子共同應對分心駕駛的問題：

• 1. 設定規則和後果。父母應該和孩子討論分心駕駛的危險性，並制定一些明確的規則，例如禁止使用手機、限制乘客數量、避免吃喝或化妝等。如果孩子違反規則，父母應該執行一些合理的後果，例如暫停駕照、減少零用錢或限制娛樂時間等。
• 2. 給予正面的反饋和獎勵。父母應該關注和表揚孩子的安全駕駛表現，並給予一些適當的獎勵，例如增加出門時間、提供汽油費或贊助旅行等。
• 3. 做好榜樣。父母應該以身作則，遵守交通規則，不要在開車時使用手機或做其他分散注意力的事情。父母也可以邀請孩子一起參加一些安全駕駛的課程或活動，增強他們的意識和技能。
• 4. 使用科技工具。父母可以利用一些科技工具，幫助監測和控制孩子的分心駕駛行為。例如，一些手機應用程式可以自動屏蔽來電或簡訊，或者發送自動回覆給發送者。一些汽車裝置可以記錄和報告孩子的行車數據，例如速度、路線、碰撞等。
• 5. 建立信任和溝通。父母應該和孩子建立一個基於信任和尊重的關係，讓他們感到被聽取和理解。父母也應該定期和孩子溝通，了解他們的想法和感受，並給予支持和建議。
• 6. 鼓勵責任感和同理心。父母應該讓孩子意識到他們的行為會影響自己和他人的生命安全，並教導他們如何對自己和他人負責。父母也可以讓孩子看一些關於分心駕駛的真實故事或影片，讓他們感受到受害者和家屬的痛苦和悔恨。
• 7. 創造安全的環境。父母應該為孩子提供一個安全和舒適的駕駛環境，例如選擇一輛性能良好、配備安全系統的汽車，並定期進行檢查和保養。父母也可以幫助孩子規劃合理的行程，避免讓他們在夜間、惡劣天氣或高速公路等危險情況下開車。
• 8. 尋求專業幫助。如果父母發現孩子有嚴重或持續的分心駕駛問題，或者孩子有其他影響駕駛的心理或生理問題，例如焦慮、抑鬱、藥物或酒精等，父母應該及時尋求專業的幫助，例如醫生、心理師或律師等。

分心駕駛是一個可以預防和改善的問題，只要父母和孩子共同努力，就可以保護自己和他人的生命安全。

詳情請看：

Parent’s Guide: 8 Ways to Help Your Teen Combat Distracted Driving

Read More

Help net security：金鑰如何重塑用戶安全性和便利性

 Help net security發佈了一篇金鑰如何重塑用戶安全性和便利性

Passkey是一種無密碼認證的方式，它使用了一個隨機生成的、只能使用一次的、不需要記憶的密鑰來登入網站或應用程式。Passkey的好處是，它可以提高安全性，減少被釣魚或盜用的風險，同時也提升了使用者的體驗，省去了輸入或記憶密碼的麻煩。

1Password是一家知名的密碼管理和安全憑證平台，它最近推出了一個獨立的認證解決方案，叫做Passage by 1Password。這個產品讓企業可以在自己的網站或應用程式上實現Passkey的功能，而不需要建立自己的認證基礎設施。這樣，企業就可以消除密碼的麻煩，減少購物車流失，提高用戶的忠誠度和滿意度。

Passage by 1Password提供了兩種產品，讓企業可以根據自己的需求選擇：

• Passkey Complete：這是一個全面的無密碼認證和身份管理解決方案，它讓企業可以預設使用Passkey登入，並支援所有主要的平台、瀏覽器和裝置（包括iOS、Android、MacOS和Windows）。如果用戶失去了存取權，它還提供了其他無密碼的方法作為備用。
• Passkey Flex：這是一個靈活的解決方案，讓企業可以在現有的認證基礎設施上增加Passkey的選項，讓企業可以跟上Passkey的採用趨勢，並隨著用戶的需求進行調整。

1Password的無密碼負責人Anna Pobletts表示，Passkey是一種以人為本的安全方式，它可以為每個人創造一個更安全、更簡單的數位未來。她認為，Passage by 1Password可以讓企業輕鬆地實施無密碼認證，並為企業和用戶帶來雙贏的效果。

詳情請看：

How passkeys are reshaping user security and convenience

Read More

生成式AI助理的潛在風險與機會

生成式AI助理的潛在風險與機會

生成式AI助理是一種利用深度學習技術來產生自然語言、圖像、音樂等內容的智能系統。它們可以幫助人們完成各種任務，例如寫作、編程、設計、娛樂等。然而，生成式AI助理也帶來了一些挑戰和風險，需要引起我們的關注和應對。

一方面，生成式AI助理可能被惡意利用，造成信息安全和社會秩序的威脅。例如，它們可能被用來製造假新聞、欺騙性廣告、假身份、假證據等，影響公眾的判斷和信任。它們也可能被用來攻擊其他系統，例如利用自動化代碼生成來發動網絡攻擊，或者利用圖像生成來繞過人臉識別等。

另一方面，生成式AI助理也可能對人類的創造力和道德觀念產生影響。例如，它們可能降低人們的創作動機和能力，使人們過度依賴AI的產出，或者失去對原創性和版權的尊重。它們也可能引發人們對AI的信任和情感問題，例如如何區分AI和人類的溝通，或者如何處理AI的錯誤和責任等。

因此，我們需要在享受生成式AI助理帶來的便利和樂趣的同時，也要保持警覺和批判思維，並建立相應的規範和監管機制，以確保生成式AI助理的合理和負責任的使用。

Read More

The hacker news：駭客如何透過網路釣魚獲取用戶的憑證並出售它們

 The hacker news發佈了一篇駭客如何透過網路釣魚獲取用戶的憑證並出售它們

釣魚是一種常見的網路攻擊手法，目的是騙取使用者的帳號密碼或其他敏感資訊。近年來，隨著企業採用多因素認證（MFA）來提高安全性，駭客也不斷改進他們的技巧，以繞過新的防護層。其中一種新興的釣魚手法是使用惡意代理伺服器（EvilProxy）釣魚工具，這是一種釣魚即服務（PhaaS）的平台，可以讓駭客輕鬆地製作和部署具有高度仿真性的釣魚網站，並且可以在中間截取使用者的密碼、驗證碼和瀏覽器Cookie。

根據Proofpoint的報告，自2022年9月以來，有一個持續的混合式攻擊活動，利用EvilProxy服務針對全球數百家組織的數萬個Microsoft 365使用者帳號進行釣魚攻擊，其中約39%的受害者是C級主管，包括CEO（9%）和CFO（17%）。這些攻擊也專門選擇了那些能夠存取財務資產或敏感資訊的人員。至少35%的所有受害者已經啟用了額外的帳號保護功能。

這些攻擊的開始是發送一些偽裝成可信服務（如Adobe或DocuSign）的釣魚郵件，要求收件人點擊附件中的惡意網址，這會觸發一個多階段的重定向鏈，將使用者帶到一個看起來像Microsoft 365登入頁面的網站，該網站其實是一個反向代理伺服器，可以偷偷地捕獲使用者在表單中輸入的資訊。但是有趣的是，這些攻擊故意跳過來自土耳其IP位址的使用者流量，將他們重定向到合法的網站，這表明攻擊者可能是來自土耳其的。

EvilProxy是一種收費的服務，每月訂閱費用為400美元，如果要釣魚Google帳號，則需要600美元。這種服務可以支援多種常見的網路服務，如Apple iCloud, Facebook, GoDaddy, GitHub, Google, Dropbox, Instagram, Microsoft, NPM, PyPI, RubyGems, Twitter, Yahoo, Yandex等。駭客只需要使用一個具有可自訂選項的點擊式介面，就可以設定一個釣魚活動，例如機器人偵測、代理伺服器偵測和地理圍欄。這種相對簡單和低成本的介面，已經打開了大量成功的MFA釣魚活動的閘門。

釣魚即服務是網路犯罪經濟的一種演進，降低了技術能力較低的犯罪分子進行大規模和精密的釣魚攻擊的門檻。專家們建議，企業和個人應該提高對釣魚攻擊的警覺，並採取適當的預防措施，如檢查郵件的發件人、網址和附件，使用安全的瀏覽器和防火牆，並定期更新系統和應用程式。

詳情請看：

How Hackers Phish for Your Users' Credentials and Sell Them

Read More

Helpnetsecurity：組織積極擁抱零信任，整合仍然是一個障礙

 Helpnetsecurity發佈了一篇組織積極擁抱零信任，整合仍然是一個障礙

零信任是一種安全模型，它要求組織對所有的資源、使用者和請求都進行驗證和授權，而不是依賴於傳統的網路邊界。零信任可以幫助組織提高安全性、減少風險和符合法規要求。然而，實施零信任並不是一件容易的事情，需要有明確的目標、計劃和方法。

根據 Help Net Security 的文章，實施零信任的

• 第一步是進行資產清點，了解組織的資源、使用者和請求的類型、位置和關聯性。這可以幫助組織確定哪些資源是最重要的，需要最高級別的保護，以及哪些資源可以分類為低風險或公開的。
• 第二步是定義政策和規則，根據資產清點的結果，制定適當的存取控制和數據保護措施。這些政策和規則應該基於最小權限原則，即只授予使用者或請求所需的最小權限，並定期審核和更新。此外，政策和規則應該考慮到不同的情境因素，如時間、地點、裝置、角色等。
• 第三步是選擇和部署工具和技術，以支持政策和規則的執行。這些工具和技術可能包括身份和存取管理（IAM）、多因素認證（MFA）、端點安全、加密、微服務架構等。選擇和部署工具和技術時，應該注意與現有的系統和流程相容，並測試其效能和可靠性。
• 第四步是監測和優化零信任架構，以確保其正常運作並達到預期的效果。這需要收集和分析各種數據指標，如存取請求、事件、異常、漏洞等。根據數據指標的反饋，應該及時調整政策、規則、工具和技術，以解決問題或改善效率。

實施零信任需要有長期的視野和持續的努力，並避免一些常見的錯誤，如缺乏領導支持、沒有清晰的目標、忽略使用者體驗等。只有這樣，組織才能真正享受到零信任帶來的安全優勢。

詳情請看： 

Organizations actively embrace zero trust, integration remains a hurdle

Read More

Cybersecurity insiders：人工智慧在網路安全的演進

 Cybersecurity insiders發佈了一篇人工智慧在網路安全的演進

人工智慧（AI）和機器學習（ML）正在改變網路安全的面貌，帶來了既具有變革性的能力，也帶來了前所未有的挑戰。本報告將介紹人工智慧在網路安全的演進過程，以及它如何在防禦和攻擊方面發揮作用。

人工智慧在網路安全防禦的應用

隨著網路威脅的增加和複雜化，傳統的網路安全方法，如基於簽名的防毒軟體或基於規則的防火牆，已經無法有效地應對未知的惡意程式或入侵行為。因此，網路安全界開始採用人工智慧和機器學習的技術，來提升偵測和回應的能力和效率。

人工智慧和機器學習可以幫助網路安全防禦的主要方式有：

• 透過動態的模型和演算法，分析大量的數據，找出惡意程式的特徵和行為，並及時更新和改善。
• 透過深度學習的技術，學習正常的作業系統行為，並識別出任何異常或危險的活動，如檔案刪除、資料外洩、加密、破壞等。
• 透過自動化的流程，減少人工的干預和錯誤，提高防禦的速度和準確性，並降低網路安全人員的負擔和成本。

人工智慧和機器學習在網路安全防禦的應用，已經形成了一些新的類別，如端點偵測和回應（EDR）、下一代防毒軟體（NGAV）和作業系統中心的正向安全（OS-Centric Positive Security）。這些類別的共同目標是在執行前預防惡意程式的攻擊，而不是在執行後才做出反應。

人工智慧在網路安全攻擊的應用

人工智慧和機器學習不僅可以幫助網路安全防禦，也可以被惡意的攻擊者利用，來增強他們的攻擊能力和效果。人工智慧和機器學習可以幫助網路安全攻擊的主要方式有：

• 透過生成式的人工智慧技術，如WormGPT，製造出高度逼真的假冒音訊和影像，用於發動釣魚攻擊，欺騙受害者的信任和身分。
• 透過機器學習的技術，學習和模仿正常的網路流量和使用者行為，避免被防禦系統偵測和阻擋，並尋找出系統的弱點和漏洞。
• 透過自動化的工具，快速地發動大規模的攻擊，如分散式阻斷服務（DDoS）攻擊，或是利用勒索軟體對受害者進行敲詐。

人工智慧和機器學習在網路安全攻擊的應用，已經形成了一些新的威脅，如檔案無形的惡意程式、深度假冒的釣魚攻擊、自我變異的惡意程式等。這些威脅的共同特點是難以被傳統的防禦方法發現和阻止。

人工智慧在網路安全的演進，反映了網路安全界和惡意攻擊者之間的永無止境的競爭和適應。人工智慧帶來了網路安全防禦的創新和進步，但也帶來了網路安全攻擊的變化和挑戰。網路安全專業人員和組織應該關注人工智慧的發展和趨勢，並採取適當的策略和措施，以保護自己和他們的客戶免受人工智慧的威脅。

詳情請看：

The Evolution of AI in Cybersecurity

Read More

Paloalto：我們無法獨自做到這一點：共享威脅情報讓每個人都更安全

 Paloalto發佈了一篇文章我們無法獨自做到這一點：共享威脅情報讓每個人都更安全

威脅情報是指關於惡意行為者的動機、能力、行動和目標的資訊，它可以幫助組織預防、偵測和回應網路攻擊。分享威脅情報可以讓組織之間互相學習、協作和提升防禦能力，但也存在一些挑戰和障礙。

一個挑戰是如何確保威脅情報的質量和可信度，因為不同的來源可能有不同的準確性、完整性和時效性。另一個挑戰是如何保護威脅情報的敏感性和安全性，因為分享過程可能會暴露組織的弱點、策略和資產。還有一個挑戰是如何有效地分析和利用威脅情報，因為數量龐大、格式多樣和內容複雜的情報可能會超出組織的處理能力。

為了克服這些挑戰，組織需要建立一套威脅情報分享的規範和流程，包括選擇合適的分享對象、方式和平台，以及制定清晰的分享目的、範圍和責任。此外，組織也需要採用一些技術和工具來幫助收集、驗證、加密、轉換、整合和自動化威脅情報的處理。最後，組織也需要培養一種分享威脅情報的文化和意識，並鼓勵各方的參與和貢獻。

分享威脅情報是一項有價值但也有難度的工作，它需要組織之間的信任、合作和創新。只有這樣，才能有效地提升整體的網路安全水平。

詳情請看：

We Can’t Do It Alone: Sharing Threat Intelligence Makes Everyone Safer

Read More

Help net security：美國證券交易委員會的網路安全事件揭露規則對企業的影響與重要性

 Help net security發佈了一篇美國證券交易委員會的網路安全事件揭露規則對企業的影響與重要性

網路安全事件對企業的營運、財務、聲譽等方面都可能造成重大的影響，因此企業有必要及時、準確、完整地向投資者和公眾揭露相關的資訊。為了提高企業的網路安全揭露水準，美國證券交易委員會（SEC）於2023年7月26日通過了一系列的新規則，要求註冊者（即受SEC監管的企業）在發生重大的網路安全事件後，必須在四個工作日內通過表格8-K向SEC報告事件的性質、範圍、時間和影響。此外，註冊者還必須在每年的年報中，披露其網路安全風險管理、策略和治理的重要資訊，包括其評估、識別和管理網路安全威脅的流程，以及董事會對網路安全風險的監督和管理層的角色和專業度。這些新規則也適用於外國私人發行人（即在美國上市的外國企業），他們需要通過表格6-K和表格20-F進行相應的揭露。

這些新規則的目的是讓投資者能夠更清楚地了解企業的網路安全狀況和應對能力，從而做出更明智的投資決策。SEC主席Gary Gensler表示：“無論是因為火災而失去一座工廠，還是因為網路安全事件而失去數百萬個檔案，對投資者來說都可能是重要的。目前，許多上市公司都向投資者提供了網路安全的揭露。但我認為，如果這些揭露能夠更一致、可比和有助於決策，那麼投資者和公司都會受益。通過幫助確保公司揭露重要的網路安全資訊，今天的規則將有利於投資者、公司和連接他們的市場。”

這些新規則對企業的影響和重要性有以下幾個方面：

• 提高企業的網路安全意識和投入。企業必須建立和完善其網路安全風險管理、策略和治理的機制，並定期檢視和更新其網路安全的措施和流程，以應對不斷變化的網路安全威脅和挑戰。企業也必須加強其網路安全的人員培訓和資源投入，以提高其網路安全的能力和水準。
• 增加企業的網路安全透明度和信任度。企業必須及時、準確、完整地向SEC和投資者揭露其網路安全事件和風險管理的資訊，並避免隱瞞、淡化或誤導的行為。這樣可以增加企業的網路安全透明度和信任度，並減少投資者的不確定性和懷疑。
• 降低企業的網路安全法律和監管風險。企業必須遵守SEC的網路安全揭露規則，否則可能面臨SEC的調查、處罰或訴訟。企業也必須注意其他法律和監管的要求，例如消費者隱私保護、數據安全和資訊披露等，以避免違法或違規的風險。
• 優化企業的網路安全事件應急和管理。企業必須建立和執行有效的網路安全事件應急和管理計畫，以應對可能發生的網路安全事件。企業必須及時發現、分析、處理和報告網路安全事件，並採取適當的措施，以減少事件的影響和損失，並恢復正常的營運。

總之，SEC的網路安全事件揭露規則對企業的網路安全有著重要的影響和意義，企業應該積極適應和遵守這些規則，並將網路安全作為其戰略和管理的重要部分，以保護自身和投資者的利益。

詳情請看：

5 resolutions to prepare for SEC’s new cyber disclosure rules

Read More

Cybersecurity insiders：下一代防火牆：網路安全現代化的全面指南

 Cybersecurity insiders發佈了一篇文章下一代防火牆：網路安全現代化的全面指南

網路安全是現今企業和組織面臨的重要挑戰之一。隨著網路攻擊的頻率和複雜度不斷增加，傳統的防火牆已經無法有效地保護網路資產和數據。因此，下一代防火牆（NGFW）應運而生，它們不僅具有基本的封包過濾和狀態檢查功能，還能提供更深入的檢測和防禦能力，例如應用程式控制、入侵防禦系統、防惡意軟體、沙箱分析等。

本文介紹了下一代防火牆的定義、特點、優勢、挑戰和發展趨勢，並提供了一些選擇和部署下一代防火牆的建議。文章指出，下一代防火牆是網路安全現代化的必要工具，它們能夠幫助企業和組織提高網路可見性、靈活性和效率，同時降低成本和風險。文章還強調了下一代防火牆需要不斷地更新和優化，以適應不斷變化的網路環境和威脅。

詳情請看：

Next-Generation Firewalls: A comprehensive guide for network security modernization

Read More

CISA：CISA 宣布推出安全設計警報系列：供應商決策如何在全球範圍內減少危害

 CISA發佈了一篇CISA 宣布推出安全設計警報系列：供應商決策如何在全球範圍內減少危害

美國網路安全暨基礎設施安全局（Cybersecurity and Infrastructure Security Agency，以下簡稱CISA）於2023年4月13日發布了安全設計警示系列（Secure Design Alert Series），旨在提醒供應商和開發者在設計和開發產品時，應考慮網路安全的重要性，並採取相應的措施，以減少其產品可能對全球網路安全造成的損害。

CISA表示，安全設計警示系列是其推動安全設計原則（Secure by Design Principles）的一部分，這些原則是在2023年國家網路安全戰略（National Cybersecurity Strategy）中提出的，目的是要求供應商和開發者在產品的設計、開發和部署階段，就將安全作為一個關鍵因素，而不是在產品上市後再進行補救。

CISA指出，安全設計警示系列將涵蓋多個主題，包括如何避免使用不安全的預設設定、如何確保產品的更新和維護、如何提供安全的身份驗證和授權機制、如何保護用戶的數據和隱私等。CISA希望通過這些警示，能夠提高供應商和開發者的安全意識，並促進他們與CISA和其他合作夥伴的溝通和協調，以共同應對網路威脅。

CISA的執行助理主任Eric Goldstein表示，安全設計警示系列是CISA為了保護美國和全球的網路安全而採取的一項重要行動，他說：“我們必須從源頭上解決網路安全問題，讓供應商和開發者在設計和開發產品時，就考慮到安全的影響，並採取負責任的決策。這樣才能減少網路攻擊的風險，並提高用戶的信任和滿意度。”

CISA還表示，安全設計警示系列是其在2023年推出的多項安全設計相關的倡議之一，其他倡議還包括與K-12教育技術供應商簽署安全設計承諾書，以及成立聯合網路防禦協作機制（Joint Cyber Defense Collaborative，以下簡稱JCDC），通過公私部門的合作，制定國家網路事故應對策略。

CISA呼籲所有的供應商和開發者關注安全設計警示系列，並遵循其提供的建議和最佳實踐，以提高產品的安全性和質量，並保護用戶的利益。CISA也歡迎各方的反饋和建議，以改進安全設計警示系列的內容和形式。

安全設計警示系列的第一期主題是“不要使用不安全的預設設定”，詳情可以在CISA的官方網站上查看。CISA表示，將會定期發布後續的主題，並通過社交媒體和電子郵件等渠道進行推廣。

詳情請看：

CISA Announces Secure by Design Alert Series: How Vendor Decisions Can Reduce Harm at a Global Scale

Read More