當地緣政治的緊張局勢升高,石油天然氣公司將更容易遭遇網路攻擊。
石油天然氣產業對於那些試圖癱瘓其營運與服務的大型網路資安攻擊並不陌生。石油產業目前最令大家耳熟能詳的網路攻擊,基本上都是為了駭入石油公司的企業網路。
地緣政治的緊張局勢不僅可能對現實世界帶來重大衝擊,對網路世界其實也一樣。2022 年 3 月,我們的研究人員觀察到多起不同駭客集團所發動的攻擊。在今日,發掘可能衝擊石油天然氣產業的威脅比以往更加重要,尤其是在局勢緊張的時刻。
此外,我們的研究 也發現,石油天然氣公司都曾經因為網路攻擊而造成供應鏈中斷的情況,平均每一次中斷大約持續 6 天,財務損失金額大約 330 萬美元,而長時間的中斷也會對石油天然氣產業帶來進一步的損失。
所以,對於那些可能造成石油天然氣公司營運中斷的網路攻擊,我們有必要做一番更深入的研究,因為這類攻擊會嚴重影響企業營運和獲利。石油天然氣公司若能詳細檢視其基礎架構並發掘可能造成營運中斷的威脅,就有機會消除資安上的漏洞,同時改善其網路資安架構。
繼續閱讀本文討論開放原始碼如何遭到程式碼維護者暗中修改以表達政治上的抗議。此外,我們也分析了這類事件對 IT資安產業及開放原始碼社群的意義。
傳統上,人們對於開放原始程式碼的資安疑慮大多圍繞在開放原始碼可能暗藏漏洞、後門或惡意程式。然而近幾個月來,我們觀察到一種特別的現象,那就是開放原始程式碼遭人暗中修改來表達政治上的抗議。之所以出現這類所謂的「抗議軟體」(protestware),是有些負責維護開放原始碼軟體的開發者因政治上的動機或為了表達抗議而對程式碼做某些修改。這樣的情況雖然不是新聞,因為之前就曾發生過,但最近的一些地緣政治事件卻讓開放原始碼社群分裂成兩派:一派支援這樣的發展,另一派則傾向於維持開放原始碼生態系的非政治化,因為抗議軟體可能會破壞開放原始碼社群整體的信任基礎。
繼續閱讀本文探討軟體供應鏈的網路攻擊情境,以及提升軟體供應鏈資安成熟度與降低資安風險的防範策略。
不論您企業的數位轉型正如火如荼進行、或者只是單純移轉至一些更具成本效益與靈活性的平台,您的數位受攻擊面都將因而擴大,並暴露於軟體供應鏈的資安威脅當中。根據 Venafi 近期一項調查指出,有 82% 的受訪者覺得其機構有可能遭到針對軟體供應鏈的網路攻擊。此外,由於網路駭客集團受到 Kaseya 和 SolarWinds 事件的鼓舞,針對軟體建構及派送環境的攻擊行動將越來越多。
企業當然也注意到這股威脅趨勢,有 85% 的受訪者表示他們「已收到執行長的明確指示要求改善軟體建構與派送環境的資安」。為了協助資安長 (CISO) 和資安領導人管理及防範供應鏈的資安風險,本文將探討軟體供應鏈為何會面臨風險,以及 CISA 提供了哪些策略性建議。
看看如何運用零信任策略來保護 ICS 環境,進而提升資安並降低風險。
零信任策略透過一些原則與優良的實務來提升 IT 基礎架構的安全與韌性,然而零信任是否可以為營運技術 (OT) 做些什麼?其實還蠻多的,只不過有些限制。
本部落格發表過一篇名為「IoT 與零信任 (Zero Trust) 不相容嗎?正好相反」的文章,開啟了各種有關哪些零信任元素可能適用於 OT 環境的探討。
儘管零信任架構的原則無法「一對一」對應到 ICS 基礎架構,但零信任有許多可實質提升 OT 基礎架構韌性及安全性的地方。本文將列出零信任的主要原則,接著再看看它們如何對應至 Purdue 模型。
本文探討使用無伺服器服務來管理機密的潛在風險。
無伺服器環境正日益受到歡迎,這類環境經常主打一些方便企業營運與拓展業務的功能特色,例如:內建擴充性、跨地區服務、成本管理容易等等。幾乎每家主要雲端服務供應商 (CSP) 都提供了某種型態的無伺服器服務,而目前最受歡迎的兩大服務是 Amazon Web Services (AWS) Lambda 和 Azure Functions。
我們可以將無伺服器應用程式想像成在雲端基礎架構內執行的一段程式碼。這段程式碼可透過多種不同方式來觸發執行,例如經由一個 HTTP API 端點或事件。從資安的角度,我們可以將被執行的程式碼本身的安全性與其執行環境的安全性分開來看。雖然 CSP 沒辦法掌控被執行的程式碼,因為那是由使用者所負責,但 CSP 卻能掌控程式碼的執行環境。
我們先前就曾撰文探討過風險管理不當可能帶來什麼危險,而同樣的風險也適用於 CSP 和他們所提供的服務。以下我們將介紹一種許多開發人員在移轉到雲端環境之後常犯的資安錯誤。
繼續閱讀