本文探討軟體供應鏈的網路攻擊情境,以及提升軟體供應鏈資安成熟度與降低資安風險的防範策略。
不論您企業的數位轉型正如火如荼進行、或者只是單純移轉至一些更具成本效益與靈活性的平台,您的數位受攻擊面都將因而擴大,並暴露於軟體供應鏈的資安威脅當中。根據 Venafi 近期一項調查指出,有 82% 的受訪者覺得其機構有可能遭到針對軟體供應鏈的網路攻擊。此外,由於網路駭客集團受到 Kaseya 和 SolarWinds 事件的鼓舞,針對軟體建構及派送環境的攻擊行動將越來越多。
企業當然也注意到這股威脅趨勢,有 85% 的受訪者表示他們「已收到執行長的明確指示要求改善軟體建構與派送環境的資安」。為了協助資安長 (CISO) 和資安領導人管理及防範供應鏈的資安風險,本文將探討軟體供應鏈為何會面臨風險,以及 CISA 提供了哪些策略性建議。
了解虛擬加密貨幣挖礦( coinmining )攻擊對 DevOps 的衝擊以及該如何防範才不會影響上市時程。
不肖的虛擬加密貨幣挖礦是指網路犯罪集團利用系統的漏洞、強度太弱的登入憑證或組態設定錯誤來駭入系統,進而使用系統的運算效能來生產虛擬加密貨幣。
儘管勒索病毒的話題正夯,但虛擬加密貨幣挖礦同樣也是一種後果嚴重的網路攻擊。還記得 Apache Log4j (Log4Shell) 漏洞嗎?說實在的,應該沒人會不記得,但這個重大漏洞最常被駭客利用的情況,就是虛擬加密貨幣挖礦攻擊。
虛擬加密貨幣挖礦熱潮如同 1980 年代末期的加拿大育空掏金熱一樣,隨著金價不斷攀升,前往掏金和探險的人也越來越多。今日的情況也相同,隨著比特幣的價格持續攀升,投入虛擬加密貨幣挖礦的網路犯罪集團也越來越多。
本文介紹 趨勢科技Trend Micro Research 最新的研究報告,該報告調查了目前最主要的虛擬加密貨幣挖礦集團,看看虛擬加密貨幣挖礦對 DevOps 的流程和工具帶來什麼衝擊,以及該如何制訂防範策略。
繼續閱讀看看零信任 (Zero Trust) 資安模型如何與您的 DevOps 流程整合而不影響您應用程式開發的靈活性與速度。
「零信任」(Zero Trust) 並非新的概念,它早已存在十年以上,最早是由 Forrester 在 2010 年率先提出。自此之後,零信任便被視為一種完美的網路資安方法。然而 DevOps 講究的是靈活性和速度,那麼要怎樣實施零信任方法才不會影響開發時程?
如果實施得當,零信任方法有助於讓資安在不影響開發時程與品質的情況下與 DevOps 流程整合,使應用程式能夠達到法規遵循的要求。這套網路資安方法的卓越性,從美國拜登政府簽署行政命令要求所有聯邦機構採用零信任資安方法即可見一斑。
資安界近來因 Log4Shell 漏洞攻擊事件而體會到採用零信任資安方法的重要,這類攻擊突顯出當企業資產不受控管、或不必要地暴露在外時所衍生的風險,因為駭客的攻擊絕大多數都是經由已通過認證的管道。本文探討零信任對於開發安全的應用程式有多重要,以及如何實施這套方法才不會影響開發者的作業流程。
繼續閱讀「速度」是企業移轉到雲端上開發應用程式的主要原因,而且為了達到日益嚴苛的期限要求,許多營運開發 (DevOps) 團隊都轉而採用基礎架構程式碼 (Infrastructure as Code,簡稱 IaC) 來建立大量新的專案。但他們有採用安全的作法嗎?本文探討 IaC 的資安挑戰,並看看資安長 (CISO) 如何挑選適當的雲端防護工具來支援快速開發流程以驅動創新。
