S4x23 資安大會回顧:工業物聯網 (IIoT) 網路資安

本篇是這系列的第 4 篇,我們將介紹一些與工業物聯網相關的議題,包括在現代化環境當中導入網路資安策略的挑戰。

本文聚焦工業物聯網 (IIoT)。大多數的製造業者都面臨了如何保護老舊系統以及如何在現代化環境內導入 ICS 資安原則的挑戰,以下介紹三場 S4x23 大會上的演講來探討這個議題。

老舊系統現代化的新冒險

主講人:Marianne Bellotti


Marianne Bellotti 擁有 15 年以上的軟體工程師資歷,每一家她所待過的機構,包括美國政府單位與民間機構,都面臨了老舊系統的問題,不論規模大小、也不論歷史有多悠久。最近她撰寫了一本新書叫做「Kill It with Fire」(用火來解決),主要是根據她豐富的經驗來探討老舊系統現代化的議題。她在這場 S4x23 的專題演講上將該書的精華介紹給聽眾。

Marianne Bellotti (Bellotti.tech)


繼續閱讀

「Payzero」詐騙與 Web3 資產竊盜手法演進

本文探討一種 Web3 詐騙情境:詐騙集團利用假的智慧合約 (smart contract) 攻擊潛在受害者,進而以零元的代價取得其數位資產 (如 NFT token)。我們將此詐騙手法稱為「Payzero」(支付零元) 詐騙。

Web3 是一項擁有龐大獲利潛力的新興技術,能讓人透過各種賺錢方式從數位資產快速致富。Web3 與傳統 Web2 不同之處在於使用者不再只是參與者,同時也是數位資產的擁有者。只不過,Web3 使用者不再透過傳統的使用者名稱和密碼來進行驗證,而是透過使用者持有的一對加密金鑰來簽署交易,透過簽署的方式來確認及認證使用者的動作。

相較於 Web2,這又多了一層複雜性,因為新的典範和認證機制有時並不易理解。在 Web2 中,使用者是透過使用者名稱和密碼來向大型線上服務進行認證。然後,這些服務再負責與第三方應用程式進行驗證程序,使用者必須記住自己在這些服務使用的帳號和密碼。

然而到了 Web3,最重要的登入憑證是使用者錢包的私密金鑰。使用者必須自己執行認證手續,而這手續有時相當複雜,尤其對新手而言。圖 1 顯示 Web2 與 Web3 在認證方式上的差異。


圖 1:Web 2 與 Web3 認證方式比較。

由於加密金鑰是一串使用者很難記住或幾乎不可能記住的字元,所以使用者可透過一串比較容易記住的「助記詞」(seed phrase) 來備份和重新產生加密金鑰。

繼續閱讀

駭客攻擊 OT 網路的五種手段

以下說明駭客攻擊營運技術 (OT) 網路的 5 種手段,協助您妥善規劃一套網路資安計畫來保護您的 OT 網路。

隨著工業 4.0 為企業帶來了更快、更靈活的製造能力,讓 5G 網路、自動化和雲端數據分析日益普及,製造業也正在經歷網路資安情勢有史以來最劇烈的轉變。

企業每增加一種新的連線方式,就會讓網路資安領導人面臨更大的受攻擊面,再加上全球經濟正面臨衰退,因此他們未來勢必得面對團隊縮編及資源縮減的困境。企業需要一套網路資安計畫來防範這些不確定性,而良好的防禦計畫必須要能防範駭客入侵工業系統的 5 種手段。

駭客的 5 種手段為何?


美國「網路資安與基礎架構安全局」(Cybersecurity and Infrastructure Security Agency,簡稱 CISA) 整理了駭客在攻擊工業控制系統 (ICS) 與營運技術 (OT) 時的 5 種手段,包括:中斷 (Disrupt)、癱瘓 (Disable)、阻絕 (Deny)、欺騙 (Deceive) 及摧毀 (Destroy),簡稱 5D。

繼續閱讀

日益擴大的受攻擊面:2022 年度網路資安報告

本文列舉 2022 年最重大的一些網路資安問題,如需詳細的研究內容請參閱我們的完整報告:「重新調整作法:2022 年度網路資安報告」(Rethinking Tactics:2022 Annual Cybersecurity Report)

2022 年是充滿經濟動盪供應鏈問題,甚至爆發戰爭的一年。而且對企業來說,不論線上或實體業務都是艱困的一年。儘管企業紛紛延長工時來對抗威脅、挑戰以及缺工的問題,但駭客集團同樣也日以繼夜地努力維持其犯罪事業的正常營運。這一點,從我們在 2022 年偵測並攔截了 1,460 億次威脅就能得知,而且較 2021åç年的數字大幅成長 55.3%。

本文列舉 2022 年最重大的一些網路資安問題,如需更詳細的資訊以及有關去年網路資安威脅情勢的分析,請參閱我們的完整報告:「重新調整作法:2022 年度網路資安報告」(Rethinking Tactics:2022 Annual Cybersecurity Report)。

繼續閱讀

採用 SASE 來防止資料外傳-SASE系列(5)

SaaS 與雲端應用程式所導致的資料外洩,是今日企業一項日益升高的風險因子。看看 SASE 功能如何協助您防範資料外傳並降低整體受攻擊面的資安風險。


另請參閱本系列前幾篇:

數位連網的蓬勃發展已使得資料隱私成了企業的一項頭號問題。隨著企業採用的軟體服務 (SaaS) 以及公有雲上的現代化雲端應用程式越來越多,企業也慢慢失去了可視性與掌控能力。

企業資料外傳不僅可能影響到營運及商譽,更可能導致營業損失、鉅額罰鍰、昂貴的訴訟成本,甚至是 勒索病毒的贖金 與復原成本。 

繼續閱讀