《資安新聞周報》防疫遠距上班 家庭網路成企業資安破口/台灣為亞洲地區DevSecOps整合的領頭羊/駭客繞過多因素驗證駭入雲端系統帳號,可能和SolarWinds攻擊有關

本周資安新聞週報重點摘要,本文分享上週資安新聞及事件。你將會看到新聞的簡短摘要及原文連結來閱讀更詳細的見解。

資安趨勢部落格一周精選

這張圖片的 alt 屬性值為空,它的檔案名稱為 news-red-TV-1024x683.png

資安新聞精選

防疫遠距上班 家庭網路成企業資安破口 不給錢就公布 竊資型勒索橫行   網管人

不給錢就公布 竊資型勒索橫行   網管人

Trend Micro Cloud One 服務平台新增進階雲端原生容器防護   CompoTech Asia 電子與電腦

SolarWinds公布供應鏈攻擊事故流程,並揭露新發現的惡意程式Sunspot   iThome

駭客繞過多因素驗證駭入雲端系統帳號,可能和SolarWinds攻擊有關   iThome

SolarWinds供應鏈攻擊的肇事源頭為Sunspot惡意程式   iThome

趨勢科技公布2021資安預測 三大重點需注意   CIO IT經理人

2020資安重大事件回顧   iThome

卡普空:去年11月駭客可能取得了39萬用戶資料   iThome

Google揭露串連Chrome/Windows零時差漏洞、Android已知漏洞的攻擊行動   iThome

中國行銷業者「笨鳥」外洩2億名社交網路用戶資料   iThome

歐洲藥品管理局:駭客盜走的COVID-19藥物與疫苗文件已流落網路   iThome

Google內部也用SolarWinds遭駭產品但未受影響   iThome

數位身分證應給人民有自由的選擇   國家政策研究基金會

【2021資安大預測】趨勢10:製造業資安|駭客鎖定製造業發動目標式勒索和DDoS攻擊,成為新常態   iThome

【2021資安大預測】趨勢9:乾淨網路|美國新總統上臺,5G乾淨網路發展值得關注   iThome

共同發布《結盟新興科技,回應不確定性》報告 台灣五成企業積極備戰 四面向具體提升風險應變能力   中央通訊社

龔明鑫呼籲重視數位化投資 關注六大風險   工商時報電子報

俄羅斯加密貨幣交易所Livecoin,在遭到駭客攻擊後關閉   knowing

台灣為亞洲地區DevSecOps整合的領頭羊   工商時報電子報

越常上網人際關係越疏離 家長須留意孩子寒假上網情況   國立教育廣播電台

Windows螢幕鎖定遭揭露存在特權提升漏洞   iThome

研究:蘋果其實沒有充份利用iOS的安全機制,用戶資料曝險   iThome

陳怡樺 趨勢科技執行長 強化資安 打破穀倉效應 以孫子兵法為師   經濟日報(臺灣)

國外研究人員發現 Windows 10 出現一個短字串 Bug,執行之後就會造成你的硬碟損壞   電腦王阿達

帳戶突然收到錢別開心 恐是手機個資外洩遭盜用   自由時報電子報

臺電信品牌手機遭駭事件的4大資安教訓   iThome

網站流量暴增要小心?可能是駭客發動廣告勒索攻擊   匯流新聞網

Trend Micro Cloud One 服務平台新增進階雲端原生容器防護   Media OutReach

IDC公布全球重點區域十大雲端採用趨勢   經濟日報網

印度要求WhatsApp撤回資料分享臉書的新條款   iThome

川普最後一天上班仍簽行政令 加強規範防外國駭客   中央通訊社

Chrome、Edge、Firefox 各自修復可造成系統遭挾持的資安漏洞   資安人

站穩防詐腳步後,Whoscall母公司要進軍金融!靈感來自郭建甫與Grab司機閒聊?   數位時代

遠距辦公優點多 調查:台灣上班族對遠距辦公觀感正面   聯合新聞網

助台企布局5G智慧工廠 虎科大、中華電信、威力工業簽署合作備忘錄   自由時報電子報

(Daily Issue)疫後新常態 促2021年兩大雲端戰場成形   電子時報網

GitLab發布更新以修復API存取權杖漏洞   iThome

Parler 爆資安漏洞 外媒用駭客 GPS 數據繪製闖進國會的動亂份子   INSIDE

微軟讓用戶貢獻可用於人工轉錄的語音片段   iThome

微軟把Microsoft Defender for Endpoint威脅整治措施的預設值,從半自動改為全自動   iThome

「忍無可忍!」RevBits 免費提供電郵安全解決方案,保護醫療機構和疫苗生產商   資安人

微軟2月將進行Zerologon漏洞第二階段修補   iThome

CES 2021首席演講:微軟總裁Brad Smith呼籲採取行動,加強網路資訊安全   資安人

新興技術資安攻防 或成AI與AI之戰   電子時報

思科調查顯示:未來工作模式更具彈性 台灣員工冀能在新工作模式中享有更多自主權及選擇   iThome

微軟預告2月將釋出Zerologon漏洞第二階段修補程式   網路資訊雜誌

美國政府警告企業內網部署DoH不要使用第三方DNS解析器   iThome

海外最大雲端硬體研發部隊落腳台灣 掀搶才大戰 微軟資料中心大總管 首揭為何加碼台灣   今周刊

微軟與甲骨文加入推動數位接種認證聯盟   工商時報電子報

產品安全已成企業資安重大隱患   iThome

蘋果移除使自家App繞過MacOS第三方安全工具的方便門   iThome

自由共和國》闕志克/供應鏈資安問題的對策   自由時報電子報

刑事局資安實驗室 力揪犯罪鍵盤俠   中時電子報

CAPCOM確認駭客事件流出個資 從9人變成超過1萬人   聯合新聞網


Trend Micro Cloud One 服務平台新增進階雲端原生容器防護   CompoTech Asia 電子與電腦

2021年1月20日–全球雲端防護領導廠商趨勢科技 (東京證券交易所股票代碼:4704) 今天發表進階容器防護解決方案:Trend Micro Cloud One – Container Security。這套新的服務專為簡化容器建構、部署、執行三大時期的防護流程而設計,能協助開發人員利用單一工具來加速創新並盡可能減少 Kubernetes 環境應用程式的停機時間。
<回到新聞條列重點>

SolarWinds公布供應鏈攻擊事故流程,並揭露新發現的惡意程式Sunspot   iThome

針對在12月爆發的供應鏈攻擊,SolarWinds找上資安業者CrowdStrike,聯手調查事件發生的來龍去脈,並在1月11日公布駭客攻擊的路徑。SolarWinds指出該攻擊的源頭,駭客利用了名為Sunspot的惡意程式,而且,他們自2019年9月便開始布局。

<回到新聞條列重點>

駭客繞過多因素驗證駭入雲端系統帳號,可能和SolarWinds攻擊有關   iThome

美國網路安全暨基礎架構管理局(Cybersecurity and Infrastructure Security Agency,CISA)本周警告,駭客發展出成功繞過多因素驗證(multi-factor authentication,MFA)來駭入用戶雲端服務的攻擊手法。
<回到新聞條列重點>

SolarWinds供應鏈攻擊的肇事源頭為Sunspot惡意程式   iThome

SolarWinds與資安業者CrowdStrike在本周揭露了SolarWinds Orion Platform供應鏈遭到駭客攻擊的路徑,CrowdStrike發現,該攻擊的源頭為Sunspot惡意程式,而且駭客自2019年9月便開始布局。
<回到新聞條列重點>


2020資安重大事件回顧   iThome

在武漢肺炎疫情迅速席捲全球之際,許多企業與組織為了要維持業務營運,不只是改用遠距工作的模式,而是在家工作,而這也讓大家更加仰賴數位科技與網路,而在疫情大量蔓延的這一整年以來,打著COVID-19、Coronavirus旗號的垃圾郵件、詐騙郵件,開始出現在大家的電子郵件信箱,在此同時,相關的勒索軟體、惡意軟體、惡意網域名稱也隨之暴增,也有越來越多的駭客攻擊團體以此作為誘餌。
<回到新聞條列重點>

卡普空:去年11月駭客可能取得了39萬用戶資料   iThome

去年11月卡普空公布網路安全事件,指部份郵件伺服器、檔案伺服器等系統,遭到未授權第三方人士存取,同時也造成部分公司網路無法運作。隨後該公司於11月16日證實有9人個資遭到竊取。
<回到新聞條列重點>

Google揭露串連Chrome/Windows零時差漏洞、Android已知漏洞的攻擊行動   iThome

Google Project Zero團隊在本周揭露了一項串連Chrome及Windows零時差漏洞,以及Android已知漏洞的攻擊行動細節,這是Project Zero與Google威脅分析小組(Threat Analysis Group,TAG)合作的研究項目,目的在於偵測市場上的零時差攻擊程式,還說他們相信資安社群偵測零時差攻擊程式的能力存在著落差。
<回到新聞條列重點>

中國行銷業者「笨鳥」外洩2億名社交網路用戶資料   iThome

資安產品測試網站Safety Detectives於本周指出,他們在騰訊於香港代管的伺服器上,發現了一個完全沒加密也不需要認證的ElasticSearch資料庫,內含2.14億名的社交網站用戶個資,包括Facebook、Instagram與LinkedIn,而該資料庫屬於中國行銷業者「笨鳥」(Socialarks)所有。
<回到新聞條列重點>

歐洲藥品管理局:駭客盜走的COVID-19藥物與疫苗文件已流落網路   iThome

歐洲藥品管理局(European Medicines Agency,EMA)在去年12月9日宣布遭到駭客攻擊,同一天聯手打造COVID-19疫苗的輝瑞(Pfizer)與BioNTech則指出,它們交由EMA審核的BNT162b2疫苗文件已被非法存取,而本周EMA則說,與COVID-19藥品及疫苗有關的文件已流落在網路上。
<回到新聞條列重點>

Google內部也用SolarWinds遭駭產品但未受影響   iThome

SolarWinds Orion Platform遭駭客滲透一案,已影響多個美國政府及知名企業。現在Google也坦承環境內也有用SolarWinds產品,但強調Google產品及服務並未受相關攻擊的影響。
<回到新聞條列重點>

數位身分證應給人民有自由的選擇   國家政策研究基金會

新冠疫情重創全球經濟,航空、旅遊、住宿、餐飲,各項接觸服務業皆受到極大的衰退威脅。創新科技延伸運用而生的電商與外送的零距離產業卻大放異彩,顯見數位科技對人類社會創新的重要性。
<回到新聞條列重點>

【2021資安大預測】趨勢10:製造業資安|駭客鎖定製造業發動目標式勒索和DDoS攻擊,成為新常態   iThome

利用產業共通系統或平臺的漏洞入侵企業的手法層出不窮,2020年臺灣爆發多起鎖定製造業的攻擊,攻擊手法除了威脅以勒索軟體加密企業的系統和磁碟的目標式勒索攻擊(Target Ransom)外,也有鎖定製造業的目標式DDoS(Target DDoS)攻擊,甚至有傳出駭客發動DDoS攻擊的目的,在於癱瘓製造業的供應鏈平臺,對方可能認為,唯有威脅受害者將遭受到實際損失,受害企業才可能願意支付贖金,而駭客鎖定製造的攻擊手法,不論是目標式勒索或者是目標式DDoS,即便到2021年仍不會消退。
<回到新聞條列重點>

【2021資安大預測】趨勢9:乾淨網路|美國新總統上臺,5G乾淨網路發展值得關注   iThome

美國總統川普將中國視為頭號敵人,激烈的美中貿易大戰加上武漢肺炎疫情的影響,各界對於中國業者信任度大為降低,加上未來是5G網路的時代,如果網路電信業者採用不可信任的中國業者所製造的5G設備後,難保這些5G設備沒有隱藏任何惡意程式在內。因此,美國公布一份「全球5G乾淨網路名單」,就是希望確保關鍵的電信網路、雲端、數據分析、行動應用、物聯網和5G相關技術,都不會使用到「不受信任」的設備商的產品。
<回到新聞條列重點>

共同發布《結盟新興科技,回應不確定性》報告 台灣五成企業積極備戰 四面向具體提升風險應變能力   中央通訊社

勤業眾信聯合會計師事務所今(19)攜手財團法人宋作楠先生紀念教育基金會(以下簡稱「宋作楠基金會」)、中華公司治理協會,舉辦「結盟新興科技,回應不確定性-數位轉型之衝擊與策略管理」報告發布暨風險管理研討會。為協助現代企業因應多元且驟變的風險,宋作楠基金會與勤業眾信共同就「政治經濟、法令遵循、永續經營暨氣候變遷、經營策略暨市場競爭、商譽、資訊安全暨網路攻擊」等六大領域風險,向台灣400家上市櫃企業展開風險管理與科技應用調查,發布《結盟新興科技,回應不確定性》研究報告,研究結果建議企業應從建立風險管理文化出發,由領導階級統籌檢視組織的弱點與契機,並且適時引入資訊科技的協助,提高組織的應對能力,藉以防備危機、掌握先機。
<回到新聞條列重點>

龔明鑫呼籲重視數位化投資 關注六大風險   工商時報電子報

在COVID 19疫情肆虐一年下,加速企業數位化轉型,國發會主委龔明鑫今(19)日出席由勤業眾信聯合會計師事務所與宋作楠先生紀念教育基金會共同主辦「風險管理研討會」時指出,根據世界經濟論壇(WEF)之推估,到了2030年全球數位轉型將創造120兆美元的產值,他呼籲台灣企業應儘速數位化升級。龔明鑫說,政府正積極推動台灣數位基礎建設,包括六大核心產業數位推動與強化資訊安全。
<回到新聞條列重點>

俄羅斯加密貨幣交易所Livecoin,在遭到駭客攻擊後關閉   knowing

Livecoin的主頁顯示,該交易所無法繼續營運,原因是其伺服器在2020年末遭到攻擊,造成了財務和技術損失。1月16日,Livecoin在推特上宣布關閉,並提供了其新域名「Livecoin.news」的連結。在本文發表時,Livecoin之前的域名Livecoin.net已不可用。
<回到新聞條列重點>

台灣為亞洲地區DevSecOps整合的領頭羊   工商時報電子報

MicroFocus於1月12日發布「DevSecOps:數位創新的框架」報告。在這份整合IDC 2020年亞太區DevSecOps調查結果的IDC InfoBrief報告中,74%的亞太區 (APAC) 受訪者認為新冠病毒 (COVID-19) 疫情持續蔓延,帶動了安全軟體開發計畫的需求。IT主管面對日趨猛烈的資安威脅,加上消費者對數位服務有更高的期望,以及線上活動驟增導致應用程式使用率攀升,使得安全性成為應用程式開發和維運核心 (即DevSecOps) 的重要性與日俱增。不過,大多數的亞太區企業目前都沒有足夠能力解決這些問題;55%的受訪者僅具備低度至中度的DevSecOps成熟度。
<回到新聞條列重點>

越常上網人際關係越疏離 家長須留意孩子寒假上網情況   國立教育廣播電台

中華白絲帶關懷協會暨政大數位傳播文化行動實驗室發布「2021台灣青少兒價值觀與上網趨勢報告」,發現臺灣青少兒在「價值觀」與「網路使用」時間具有關聯性,將8到22歲的學生區分為逃避外控型、安全關懷型、以及焦慮內控型。執行長黃葳威教授表示,相較於樂於助人的安全關懷型,逃避外控型和焦慮內控型的青少兒使用手機平板以及上網時間較長,這類的學生喜歡有專屬個人的生活圈,不愛社交活動,遇到問題也較不會尋求家長的協助,值得關注。
<回到新聞條列重點>

Windows螢幕鎖定遭揭露存在特權提升漏洞   iThome

Windows螢幕鎖定功能存在漏洞,遭逆向工程團隊secret club成員Jonas Lykkegård揭露,惡意人士能夠利用螢幕鎖定旁路漏洞,繞過全磁碟加密功能BitLocker限制,創建一個具有管理員權限的帳戶。微軟已經對這個編號為CVE-2020-1398漏洞釋出修復程式,更新Windows螢幕鎖定功能。
<回到新聞條列重點>

研究:蘋果其實沒有充份利用iOS的安全機制,用戶資料曝險   iThome

3名來自約翰霍普金斯大學的研究人員近日發表一研究報告,指出蘋果的iOS中內建了非常強大的安全及隱私控制機制,然而,為了兼顧使用上的方便,蘋果並未充份利用這些機制,而替駭客或執法機構製造了機會,讓它們得以存取iOS用戶的機密資料,且與雲端同步資料加劇了iOS與Android資料遭到存取的風險。
<回到新聞條列重點>

國外研究人員發現 Windows 10 出現一個短字串 Bug,執行之後就會造成你的硬碟損壞   電腦王阿達

之前絕大多數的 Windows 10 Bug 基本上都只影響部分用戶,也就是很多人可能沒碰到這問題,但稍早被國外研究人員發現的這個短字串命令,看起來每一台 Windows 10 電腦都受影響,只要不小心執行,就有可能導致你的硬碟損壞,而且從測試影片來看,似乎沒辦法完全修復,因此相當危險,沒事的人千萬別嘗試阿!
<回到新聞條列重點>

帳戶突然收到錢別開心 恐是手機個資外洩遭盜用   自由時報電子報

小心手機門號莫名成為詐騙集團行騙工具!有民眾向警方報案,指稱家中長輩未曾購買網路遊戲點數,但詐騙集團竟盜用手機門號,向遊戲公司申請遊戲帳號,並讓詐騙來的遊戲點數儲值至帳號內,使得長輩門號莫名成為詐騙集團利用的人頭電話。
<回到新聞條列重點>

臺電信品牌手機遭駭事件的4大資安教訓   iThome

近期NCC披露台灣大哥大自有品牌手機Amazing A32遭植入惡意程式,而之前已引發了一連串詐騙、身分冒用的狀況,這當中其實有相當多的受害者,同時也暴露出不同面向的資安議題,包括白牌手機資安隱憂、 企業產品服務的安全管控,以及事件後的產品資安事件應變等。
<回到新聞條列重點>

網站流量暴增要小心?可能是駭客發動廣告勒索攻擊   匯流新聞網

現代科技發展不斷精進,詐騙、勒索手法也不斷翻新,據了解,光是去年駭客透過網路勒索攻擊的案就多達20多萬件,如今過去曾用比特幣勒索美國公部門的類似手法近期捲土重來,網路安全網站Krebs on Security近期發出一項警訊表示,近期有駭客威脅Google AdSense用戶,勒索網站支付比特幣作為贖金,否則就要用機器人灌爆該網站,讓網站因為被判定作假流量停權。
<回到新聞條列重點>

Trend Micro Cloud One 服務平台新增進階雲端原生容器防護   Media OutReach

香港 – Media OutReach – 2021年1月20日 – 全球雲端保安方案領導廠商趨勢科技(東京證券交易所股票代碼:4704)今天發表進階容器防護方案:Trend Micro Cloud One — Container Security。這套新服務專為簡化容器建構、部署及運作期的防護流程而設計,能協助開發人員利用單一工具來加速創新程序,並盡量減少 Kubernetes 環境內應用程式的停運時間。
<回到新聞條列重點>

IDC公布全球重點區域十大雲端採用趨勢   經濟日報網

根據國際數據資訊(IDC)Cloud Pulse 2020企業調查研究顯示,北美,西歐和亞太區有以下十大雲端採用發展趨勢及差異:1) 2021年雲端投資將顯著增加
北美和亞太地區有超過40%的企業客戶將在2021年大幅增加其在雲端運算上的支出,歐洲則僅有27%。IDC預期關注營運敏捷靈活的企業將逐步適應由疫情引起的危機,並將更多的工作負載轉移到雲中。
<回到新聞條列重點>

印度要求WhatsApp撤回資料分享臉書的新條款   iThome

印度電子與資訊科技聯合部本周致函WhatsApp執行長Will Cathcart,對WhatsApp的新服務條款對「印度公民的選擇及自主之影響」表達「強烈關切」,要求這家即時通訊軟體業者撤回決定。
<回到新聞條列重點>

川普最後一天上班仍簽行政令 加強規範防外國駭客   中央通訊社

白宮今天表示,美國總統川普(Donald Trump)於在職最後一日簽署行政命令,防止外人利用雲端運算產品來對美國發動惡意網路行動。
<回到新聞條列重點>

Chrome、Edge、Firefox 各自修復可造成系統遭挾持的資安漏洞   資安人

多個主流網頁瀏覽器 Google Chrome、Microsoft Edge 和 Mozilla Firefox,近期各自修復可導致系統遭挾持的嚴重資安漏洞;這三種瀏覽器的廣大用戶,應立即更新至最新版本,以避免受此漏洞影響。
<回到新聞條列重點>

站穩防詐腳步後,Whoscall母公司要進軍金融!靈感來自郭建甫與Grab司機閒聊?   數位時代

不想接到詐騙或騷擾電話,大部分人一定都用過陌生來電辨識軟體Whoscall,推出至今,資料庫累積了16億組號碼資料庫,即時查詢訊息中的陌生電話來源,避免使用者落入高額電話資費的詐騙風險。
<回到新聞條列重點>

遠距辦公優點多 調查:台灣上班族對遠距辦公觀感正面   聯合新聞網

企業實施遠距辦公後,對員工有何影響?網通巨擘思科今日發布「未來工作力研究報告」(Workforce of the Future),在新冠疫情發生前,僅有7%台灣員工在家辦公,但實施遠距辦公後,對台灣員工產生了正面影響。受訪台灣員工提出的三項重要優勢包括提高自主性(71%)、更多地使用視像通話(71%),以及快速使用創新技術功能以改善企業之間的聯繫(70%)。
<回到新聞條列重點>

助台企布局5G智慧工廠 虎科大、中華電信、威力工業簽署合作備忘錄   自由時報電子報

迎接5G時代,虎尾科技大學、中華電信、威力工業網絡公司今天簽署合作備忘錄,虎科大校長覺文郁表示,三方將密切合作,幫助台灣企業完成5G智慧工廠布署,提升競爭力,並與世界接軌。
<回到新聞條列重點>

GitLab發布更新以修復API存取權杖漏洞   iThome

GitLab發布最新適用於社群版以及企業版的13.7.2、13.6.4和13.5.6更新,這次更新版本包含高嚴重性的API存取令牌漏洞,以及多個中度嚴重等級的阻斷服務漏洞修復程式,官方強烈建議使用者立即將所有GitLab安裝,升級至這幾個最新版本。
<回到新聞條列重點>

Parler 爆資安漏洞 外媒用駭客 GPS 數據繪製闖進國會的動亂份子   INSIDE

根據上述駭客取得的資料,在國會大廈地圖中疊層上約 70,000 個 Parler 的使用者 GPS 位置。以鳥瞰圖搭配紅點的形式,可輕易看出這些 Parler 使用者都闖進了國會的哪些位置。
<回到新聞條列重點>


微軟讓用戶貢獻可用於人工轉錄的語音片段   iThome

微軟宣布更新語音資料收集政策,藉由徵求用戶同意,讓微軟收集用戶,跟有使用語音辨識技術服務的錄音,供開發人員在研發產品時進行人工審閱,用戶可以查看所有被收集的語音片段,以及語音片段對人工智慧系統所做的貢獻。
<回到新聞條列重點>

微軟把Microsoft Defender for Endpoint威脅整治措施的預設值,從半自動改為全自動   iThome

微軟周日(1/17)宣布,將把Microsoft Defender for Endpoint端點安全的威脅調查與整治能力的預設值,從原本的半(Semi)自動切換成全(Full)自動,以讓系統在確定裝置上的威脅實體之後,能夠直接採取整治行動,而不必再經過管理人員的允許,降低企業被危害的機率。只要是加入公開預覽版的Microsoft Defender for Endpoint用戶,在2月16日就會自動升級到此一新預設。
<回到新聞條列重點>

「忍無可忍!」RevBits 免費提供電郵安全解決方案,保護醫療機構和疫苗生產商   資安人

行政總裁 David Schiffer 表示:「前所未有的時代需要採取前所未有的行動。在疫情期間我們所看到的,是網絡攻擊的數量出現指數級增長,主要針對醫院、醫療機構和參與新冠疫苗研究、生產和分銷組織中易受攻擊的員工和網絡。這種影響的確可以極具毀滅性,更不用說嚴重的新冠疫情已造成重大人命傷亡。這是不可接受的,必須盡力預防。」
<回到新聞條列重點>

微軟2月將進行Zerologon漏洞第二階段修補   iThome

去年9月揭露的Zerologon漏洞,微軟8月釋出最重要的修補程式,本周再提醒用戶,將於2月9日將釋出第二階段修補,預設使AD網域內的電腦使用安全連線。
<回到新聞條列重點>

CES 2021首席演講:微軟總裁Brad Smith呼籲採取行動,加強網路資訊安全   資安人

微軟公司總裁Brad Smith呼籲科技產業共同努力,以抵禦網路攻擊,這與先前遭大規模入侵的軟體公司SolarWinds Corp系統有所相關。在CES 2021首席演講中 Smith提到,SolarWinds的攻擊事件並不只是單一個國家對國家發起的入侵,而是一次大規模的全球性資安攻擊,試圖破壞整個科技產業的供應鏈,他亦提到保護供應鏈是整個科技產業的共同責任。
<回到新聞條列重點>

思科調查顯示:未來工作模式更具彈性 台灣員工冀能在新工作模式中享有更多自主權及選擇   iThome

思科發布《未來工作力研究報告》(Workforce of the Future),顯示企業實施遠距辦公後,對員工產生多個正面影響,為未來工作場域規畫帶來啟示。該報告顯示,在新冠疫情發生前,僅有7%台灣員工在家辦公。然而,因爲疫情推動,企業實施遠距辦公之後,對台灣員工產生了正面影響。當中受訪台灣員工提出的三項重要優勢包括提高自主性(71%)、更多地使用視像通話(71%),以及快速使用創新技術功能以改善企業之間的聯繫(70%)。
<回到新聞條列重點>

微軟預告2月將釋出Zerologon漏洞第二階段修補程式   網路資訊雜誌

編號CVE-2020-1472的漏洞出現在Microsoft Windows Netlogon的遠端協定(MS-NRPC)。它可被用於駭入Active Directory 網域控制器,而取得管理員存取權限。微軟於2020年8月的Patch Tuesday更新中修補了第一階段。
<回到新聞條列重點>

美國政府警告企業內網部署DoH不要使用第三方DNS解析器   iThome

美國國安局(National Security Agency)上周發布安全指引,警告企業環境下部署DNS over HTTPS(DoH)可能因使用了不易掌控的DNS解析器,而增添安全風險。
<回到新聞條列重點>

微軟與甲骨文加入推動數位接種認證聯盟   工商時報電子報

美國微軟與甲骨文等多家科技公司,跟衛生團體與非營利組織周四宣布合組聯盟,推動新冠肺炎疫苗數位接種認證計劃,讓人透過健康護照app取得和分享自己接種記錄,進入室內場所時可顯示健康情況以協助阻止疫情蔓延。
<回到新聞條列重點>

產品安全已成企業資安重大隱患   iThome

不論企業是否推動數位轉型,IT技術應用早已無所不在,企業可能是相關產品或服務的直接或間接用戶、供應商、開發商、合作往來的業者,而在同時,惡意軟體與駭客攻擊也如影隨形,不斷針對各個環節進行滲透、窺伺、破壞,而這樣的議題不僅牽涉到供應鏈安全,當然也是產品安全。
<回到新聞條列重點>

蘋果移除使自家App繞過MacOS第三方安全工具的方便門   iThome

蘋果本周釋出macOS Big Sur 11.2 beta 2,移除了去年底被外界發現,可允許蘋果自家App繞過第三方防火牆、VPN等安全工具的爭議功能。
<回到新聞條列重點>

自由共和國》闕志克/供應鏈資安問題的對策   自由時報電子報

去年十二月十三日爆發的太陽風(SolarWinds)駭客攻擊事件對美國政府機構造成有史以來範圍最廣程度最深的傷害,受害單位包括財政部、能源部、國土安全部、司法部、國家安全局等。假如此次攻擊真是俄國國外情報局所為,則不幸中的大幸是從目前存在的證據來看,它似乎沒有對十一月三日的美國總統大選產生足以動搖結果的影響。太陽風攻擊事件充分曝顯了供應鏈攻擊(supply chain attack)的嚴重性:駭客先分析攻擊目標單位所使用的軟體,找出這些軟體產品的供應商中資安防護較差的,入侵他們的軟體更新遞送設施,將惡意程式植入其最新軟體版本,再藉由軟體更新機制送入攻擊目標單位。
<回到新聞條列重點>

刑事局資安實驗室 力揪犯罪鍵盤俠   中時電子報

資安事件、網路科技犯罪層出不窮,堪稱是數位時代的福爾摩斯、國內最重要的科技偵查單位刑事局科技研發科,為了要讓駭客無所遁形,今年3月將由「資訊安全鑑識實驗室」申請通過Windows程式行為分析、惡意程式檢測分析的國際認證,可望成為全球第一個獲得該項認證的單位,讓警方科偵能量再往前邁出一大步。
<回到新聞條列重點>


CAPCOM確認駭客事件流出個資 從9人變成超過1萬人   聯合新聞網

就在去年 11 月,CAPCOM官方證實受到網路駭客組織 Ragnar Locker 的攻擊,竊取了總計高達 1TB 的龐大機密資料,除了內部產品資訊外,還包含上萬筆消費者以及前員工的名字和住址等個人機敏資料。當時CAPCOM還表示有收到勒索信,要求他們支付價值 1100 萬美元的比特幣當作贖金。
<回到新聞條列重點>