本周資安新聞週報重點摘要,本文分享上週資安新聞及事件。你將會看到新聞的簡短摘要及原文連結來閱讀更詳細的見解。
資安趨勢部落格一周精選
- 5G 與飛航:探討資安與技術升級的配合
- 資安長 (CISO) 該擔心的不只資料外洩或勒索病毒, 別忽略「礦坑的金絲雀」-加密貨幣挖礦
- 趨勢科技整合產業技術推出強大且完整的Trend Micro One網路資安平台
- 何謂 Iac? 對資安長 (CISO) 為何重要?
- CVE-2022-22965:分析 Mirai 殭屍網路惡意程式的 Spring4Shell 漏洞攻擊手法
- 幣安(Binance)警告:加密貨幣投資者小心簡訊釣魚詐騙
- 《上週資安新聞周報》MetaMask錢包遭掏空,官方呼籲關閉iCloud備份功能/假 Windows 11 網站更新即被竊取個資/醫療機器人系統 Tug 有嚴重漏洞,駭客可遠端控制
資安新聞精選
Google Play Store新政策要求App公布蒐集資料類別,7月20日上路 iThome
Google 程式碼最曝新技術! Android 手機準備讓「密碼徹底消失」 自由時報電子報
Google搜尋2021 Webspam報告:過濾垃圾網站數量是2020年的六倍 Xfastest Media
【資安日報】2022年4月26日,勒索軟體Quantum僅耗時4小時攻陷受害目標、法國醫院遭網路攻擊被迫中斷連線 iThome
擴散速度超快的「量子」勒索軟體 不用4小時就感染全網域 網路資訊雜誌
可口可樂傳被勒索軟體攻擊,竊走161GB資料 iThome
Windows 11 要求太嚴格!微軟官方直播被抓包「偷渡升級」 自由時報電子報
上市櫃公司年報揭露資安作為,已有台積電、京城銀十多家企業公布 iThome
馬斯克開源推特演算法、驗證用戶遭質疑可能危及用戶安全與隱私 iThome
既有法遵面臨挑戰 雲世代資安長如何應對? 電子時報
NFT交易平台Open Sea被駭!百萬美元BAYC收藏品遭竊 新頭殼
駭客入侵無聊猿猴IG帳號,盜走粉絲價值數百萬美元的NFT iThome
趨勢科技榮獲Forrester端點偵測及回應(EDR)領導者 電子時報網
零時差漏洞遭濫用數量再創新高,Mandiant認為間諜駭客、中國最常這麼做! iThome
蘋果準備清除App Store上的老舊程式 iThome
蘋果無損音訊格式漏洞讓數億Android手機曝險 iThome
Pwn2Own Miami for 2022落幕,研究人員找到26個位於工業控制系統的零時差漏洞 iThome
iPhone 詐騙新手法!接到「蘋果電話」卻因 iCloud 慘賠 1900 萬元 自由時報電子報
台廠站穩車用供應鏈 需放下零組件思維 電子時報
Log4j漏洞熱修補有漏洞,AWS又再次修補 iThome
五眼聯盟警告俄羅斯駭客集團針對全球重大基礎設施展開報復性攻擊 iThome
2 款主流「來電辨識」App 差在哪?Whoscall 官方親自告訴你 自由時報電子報
14道安全鎖 強化雲端運算資訊安全 Ctimes
AIoT產值 今年挑戰2兆元 工商時報電子報
2022 物聯網產業大聯盟跨域創新打造經濟生態圈 經濟日報網
車聯網興起但消費者付費意願低 電子時報網
Facebook 內部文件:不是不想管數據,是不知道怎麼管 科技新報網
微軟揭露Linux的權限擴張漏洞 iThome
微軟與Red Button合作,在Azure提供DDoS攻擊模擬測試服務 iThome
【資安日報】2022年4月27日,德國風力發電業者遭網路攻擊疑與俄羅斯有關、VMware身分驗證平臺漏洞被用於惡意軟體攻擊 iThome
趨勢科技整合產業技術推出強大且完整的Trend Micro One網路資安平台 CompoTech Asia 電子與電腦網
一頁式廣告詐騙又來! 假冒業者賣低價快篩 民視新聞網
SailPoint:做好身分帳號管理才能做好企業資安 科技新報網
【錯誤】網傳簡訊「您好,我是疫情防疫志願者,請添加line配合疫情防疫工作」? 台灣事實查核中心
沒這麼好康! 台中2021「投資詐騙」財損上億元 民視新聞網
Atlassian修補Jira元件重大安全漏洞 iThome
北市線上課酷課雲狂當機 蔡炳坤:國外駭客4波攻擊 自由時報電子報
哪一類「科技人」最搶手?平均月薪4.4萬起只是標配 經濟日報網
不做可能會破產!台經院張建一:淨零轉型重塑企業競爭力 電子時報
日本JCIC分享資安長轉型經驗 微軟強調雲端平台有益中小企業降低資安風險 網路資訊雜誌
【Arm 專欄】Arm 展示透過開源軟體框架 SOAFEE 進行雲原生的汽車開發 INSIDE
資安防護概念全面升級 AWS強調資安長將扮演企業創新發展重要角色 聯合新聞網
【專家觀點:安永風險管理公司總經理萬幼筠】稱職資安長要做的事情就是企業經營 iThome
美國國土安全部Hack DHS抓漏專案找出逾122個安全漏洞 iThome
7企業共組ESG推動聯盟 科技創新補助無上限 自由時報電子報
【資安日報】2022年4月25日,電信業者T-Mobile遭駭客組織Lapsus$入侵、殭屍網路LemonDuck瞄準Docker進行挖礦攻擊 iThome
T-Mobile也遭Lapsus$外洩程式碼 iThome
駭侵者鎖定攻擊 Microsoft Exchange Server 以散布 Hive 勒贖軟體 資安人
疫後新常態催生教育數位化,α世代如何從「生生用平板」政策享受學習紅利?|天下雜誌 天下雜誌網
把關 Chrome 擴充套件安全,Google 推出讓使用者安心下載的新標章 科技新報網
歐盟數位服務法 加強管制科技巨擘 自由時報電子報
「訂閱制服務」引領製造業數位轉型新局,掌握製造轉型三部曲 數位時代
【資安日報】2022年4月22日,多國警告全球關鍵基礎設施成俄羅斯下一波攻擊目標、手機晶片漏洞恐波及安卓用戶 iThome
Okta公布Lapsus$駭客事件調查結果:只被駭了25分鐘 iThome
甲骨文第2季安全更新修補520項漏洞 iThome
專家警告10億Instagram用戶:駭客恐入侵帳戶 有這些跡象要注意 CTWANT
F5 SOAS 2022調查報告顯示:加速數位轉型帶來新的挑戰 iThome
鴻海電動車基地 啟用 經濟日報網
Zoom持續強化平台安全性,標榜獲德國、英國與美國等第三方資安機構認證強調把用戶安全放在重要發展目標 Mashdigi
【資安日報】2022年4月21日,AWS雲端服務的Log4Shell漏洞曾出現修補不全的狀況、勒索軟體REvil疑死灰復燃 iThome
Google Play Store新政策要求App公布蒐集資料類別,7月20日上路 iThome
Google要求在Play Store 上架的App需向用戶說明蒐集或分享哪些資料,包含蒐集的用意為何以及詳細說明如何透過加密等安全措施保護這些資料,將於7月底正式啟動。
Google 程式碼最曝新技術! Android 手機準備讓「密碼徹底消失」 自由時報電子報
近年科技業亟欲找到新方式取代傳統密碼,包含微軟、Google、蘋果都打出 2FA(雙重驗證,Two-factor authentication)的方式,希望避免用戶輸入密碼,降低可能的資安風險,為此 Google 準備要讓密碼從 Android 手機徹底消失。
Google搜尋2021 Webspam報告:過濾垃圾網站數量是2020年的六倍 Xfastest Media
由週四發佈的“網路垃圾偵測(Webspam)報告“可知,Google搜尋在 2021 年過濾的垃圾網站數量、竟是 2020 年的六倍。據悉,作為 Alphabet 旗下子公司,Google 有一套名為 SpamBrian 的人工智慧垃圾過濾系統,並且可在超過 99% 情況下實現“不受垃圾所困擾”(spam-free)的搜尋體驗。
【資安日報】2022年4月26日,勒索軟體Quantum僅耗時4小時攻陷受害目標、法國醫院遭網路攻擊被迫中斷連線 iThome
近期勒索軟體Quantum的攻擊行動引起資安人員關注,原因是駭客以短短數個小時加密整個網路的檔案;再者,法國醫療機構遭到網路攻擊,且駭客疑似已在兜售竊得的病人資料。
擴散速度超快的「量子」勒索軟體 不用4小時就感染全網域 網路資訊雜誌
安全研究人員發現一隻新勒索軟體,攻擊者利用電子郵件散佈金融木馬IcedID,之後再於受害組織網域部署名為「量子」(Quantum)的勒索軟體勒索用戶,整個過程僅3小時44分,是歷來速度最快的感染行動。
可口可樂傳被勒索軟體攻擊,竊走161GB資料 iThome
SecurityAffairs報導,操控Stormous的駭客組織近日透過Telegram頻道舉行公開投票,徵求其他用戶票選下一個駭入的目標,其中可口可樂名列第1。之後這個組織公告,已駭入這家飲料大廠並竊取到161GB資料,成為其第一家受害者,駭客並在暗網上兜售,同時公布了管理檔、電子郵件、帳號密碼、以及支付相關的文件及壓縮檔等13個檔案。
據《彭博社》報導,四名聯邦執法官員和兩名行業調查員表示,上個月底時有許多科技巨頭將用戶數據提供給冒充執法官員的駭客,蘋果、Meta、Google、Snap和推特等公司都在其中。
Windows 11 要求太嚴格!微軟官方直播被抓包「偷渡升級」 自由時報電子報
微軟 Windows 11 嚴苛的規格要求,讓許多用戶抱怨無法升級,現在似乎連微軟自家員工也有這項困擾,在一次官方的直播中,被網友發現系統是「偷渡升級」。
上市櫃公司年報揭露資安作為,已有台積電、京城銀十多家企業公布 iThome
隨著上市櫃公司揭露資安作為成法令要求,如今4月下旬已有10多家公司股東會年報出爐,多家公司開始揭露這方面的資訊,包括:資通安全風險管理架構、政策、具體管理方案、投入資源,還有資通安全風險與因應措施與重大資通安全事件,接下來兩個月,還有近兩千家公司釋出年報,他們也將陸續揭露各自的資安作為。
馬斯克開源推特演算法、驗證用戶遭質疑可能危及用戶安全與隱私 iThome
科技大亨馬斯克(Elon Musk)計畫開源推特內容演算法、以及驗證用戶等想法,令一些安全專家憂心,可能反而危及平臺用戶的安全與隱私。
既有法遵面臨挑戰 雲世代資安長如何應對? 電子時報
AWS針對雲端時代下的資安長發表觀點,AWS台灣暨香港總經理王定愷提到,資安不僅是雲端團隊的責任,更是企業共同責任。其中報導引用趨勢科技台灣區技術總監劉家麟建議,雲端資安的第一步,是先強化環境的可視性,藉由持續性的自動化檢查與修復能力,為資安人員提供資產、服務與設定的可視性,同時減少雲端服務成本與縮短解決問題的時間。
NFT交易平台Open Sea被駭!百萬美元BAYC收藏品遭竊 新頭殼
近期出現假冒快篩試劑業者,在「一頁式網站」販賣快篩,用比較低廉的價格,吸引民眾上鉤。對此,警方強調,一頁式網站購物沒保障,藥局也指出,快篩是醫療器材,不能隨意販售,提醒民眾別受騙。
駭客入侵無聊猿猴IG帳號,盜走粉絲價值數百萬美元的NFT iThome
無聊猿猴遊艇俱樂部(BAYC)已啟用雙因素認證的官方IG帳號,仍遭駭客入侵發布偽造的空投活動,有受害者因此被盜走價值280萬美元的NFT資產。
趨勢科技榮獲Forrester端點偵測及回應(EDR)領導者 電子時報網
4月14日發佈的「趨勢科技榮獲Forrester端點偵測及回應 (EDR) 領導者」新聞稿,今日共監測到4則新聞露出,含電腦硬派月刊、CompoTech Asia 電子與電腦網、工商時報電子報、中時電子報網、翻爆、台灣新聞通訊社、雅虎奇摩、電子時報網等,截至目前為止,共14則露出。
零時差漏洞遭濫用數量再創新高,Mandiant認為間諜駭客、中國最常這麼做! iThome
根據資安業者Mandiant調查,2021是史上發現最多零時差漏洞的一年,總計出現80個零時差漏洞,其中濫用零時差漏洞主要的族群為國家級間諜駭客,例如中國駭客便濫用了8個。此外,愈受歡迎的品牌就愈容易被濫用,例如被濫用零時差漏洞的前三名業者依序是微軟、蘋果及Google。
蘋果準備清除App Store上的老舊程式 iThome
許多iOS程式開發者最近都收到了蘋果的通知,指出相關程式太久沒有更新,因此會在30天後被下架,若要維持上架狀態,就必須於30天內提交更新程式。
蘋果無損音訊格式漏洞讓數億Android手機曝險 iThome
Check Point研究人員指出,在去年出貨並搭載聯發科(MediaTek)或高通(Qualcomm)晶片的Android手機,都部署了含有安全漏洞的開源版蘋果無損音訊壓縮格式(ALAC),將允許駭客自遠端執行攻擊。
Pwn2Own Miami for 2022落幕,研究人員找到26個位於工業控制系統的零時差漏洞 iThome
由趨勢科技旗下Zero Day Initiative(ZDI)團隊所主辦的Pwn2Own Miami for 2022駭客競賽在本周落幕了,參賽隊伍總共找到了26個零時差漏洞,抱走40萬美元的獎金。這次的主題為工業控制系統(Industrial Control Systems,ICS),獲得破解大師(Master of Pwn)桂冠的是駭客競賽的常客Daan Keuper與Thijs Alkemade,特別的是,Keuper向《MIT Technology Review》表示,這是他們所參加過最簡單的競賽,因為工業控制系統中有太多唾手可得的成果,這是個安全性落後許多的領域。
iPhone 詐騙新手法!接到「蘋果電話」卻因 iCloud 慘賠 1900 萬元 自由時報電子報
資安公司 Sentinel 創辦人 Serpent 近期在推特分享詐騙新案例,有用戶顯示為「蘋果公司」的電話、簡訊,手機都顯示為「Apple Inc.」,聲稱帳號異常為由,要求重新設定密碼,且要提供 2FA 簡訊驗證碼,以確認為 Apple ID 當事人。
台廠站穩車用供應鏈 需放下零組件思維 電子時報
本篇報導為趨勢科技核心技術執行副總裁暨資訊長鄭奕立分享內容,針對台灣面臨的車用資安風險進行探討,並於文末指出聯盟化發展趨勢將是台系供應鏈競合的重點。
金管會已宣布,上市櫃公司須在2023年底前,設立資安長與資安單位,顯見在數位化浪潮下,保護資料安全已成顯學,企業該如何應對這波趨勢?
Log4j漏洞熱修補有漏洞,AWS又再次修補 iThome
去年公布的Apache Log4j漏洞促使眾多雲端服務商及軟體廠商加緊修補,但安全研究人員發現AWS第一波的熱修補不全,導致新增4項漏洞。不過在通報後,AWS於本周再次修補完成。
五眼聯盟警告俄羅斯駭客集團針對全球重大基礎設施展開報復性攻擊 iThome
包括美國、澳洲、加拿大、紐西蘭與英國等五眼聯盟(Five Eyes)的網路安全主管機關在周三(4/20)警告,俄羅斯官方或支持俄羅斯的各個駭客集團正在針對全球重大基礎設施展開攻擊,目的可能是為了報復各國對俄羅斯所實施的經濟制裁,或是反擊各國針對俄羅斯展開的網路攻擊行動,呼籲基礎設施業者應嚴陣以待。
2 款主流「來電辨識」App 差在哪?Whoscall 官方親自告訴你 自由時報電子報
Google 電話及Whoscall 是台灣最多人使用的防詐騙電話App,針對兩者的差異,Whoscall 表示,Whoscall資料庫主要來自於四大方面,包含 AI 預測技術、各國警方合作、用戶回報、公開資料,同時會再加上人工審核小組,可以提供更生活化、不攏統的辨識名稱。而 Google 主要還是基於自己的搜尋引擎,辨識結果與 Whoscall 有一定落差。
14道安全鎖 強化雲端運算資訊安全 Ctimes
數位轉型浪潮席捲多年,越來越多企業採用或移轉各種複雜的雲端技術與服務。雲端安全包含所有雲端部署模型,如公有雲、私有雲、混合雲、多雲等,以及以雲端為基礎的各種服務及解決方案,如IaaS、PaaS、SaaS。當企業導入雲端運算後,資訊管理問題就從企業內部延伸到外部利害關係人,存取使用者越多,衍生的資訊安全問題也越多。
AIoT產值 今年挑戰2兆元 工商時報電子報
後疫情時代,台灣業者必須掌握AIoT(人工智慧物聯網)商機。國發會主委龔明鑫27日表示,2018年時我國AIoT產值已經破兆,2021年達到1.7兆快1.8兆元,每年有逾20%的成長,預估今年可望突破2兆元。此外,半導體商機也很可觀,產值很快會破5兆元。
2022 物聯網產業大聯盟跨域創新打造經濟生態圈 經濟日報網
後疫情時代,台灣業者如何掌握AIoT商機?亞洲.矽谷物聯網產業大聯盟於今(27)日舉辦2022年會暨智慧物聯國際論壇,超過400家大聯盟成員熱烈響應,包括國家發展委員會主任委員龔明鑫、桃園市副市長高安邦、亞矽執行中心執行長高仙桂、經濟部常務次長林全能、亞矽執行中心行政長李博榮蒞臨與會。
車聯網興起但消費者付費意願低 電子時報網
根據研究機構ABI Research調查指出,車聯網服務在2022年將可望運用在50%的新車,此普及率將在2028年達到70%。不過,目前終端消費者付費使用車聯網服務的意願普遍不高。
Facebook 內部文件:不是不想管數據,是不知道怎麼管 科技新報網
不過報告也指出,Facebook 其實無法好好控管用戶資料,廣告團隊甚至示警董事,其實 Facebook 很難做到對各國政府承諾的隱私措施。文件也顯示,Facebook 資料庫是將第一方、第三方甚至敏感資料全都混在一起,想控制特定資料相當困難。
2021 年 1 月,微軟 (MSFT-US) CEO 納德拉 (Satya Nadella) 首次透露了該公司的安全業務規模。他在財報電話會議上告訴分析師,該業務的年收入已達到 100 億美元,「年增超過 40%」。換句話說,它已超過所有其他微軟的主要產品。
微軟揭露Linux的權限擴張漏洞 iThome
微軟本周揭露影響許多Linux版本的權限擴張漏洞,相關漏洞存在於Systemd的networkd-dispatcher套件中,漏洞編號為CVE-2022-29799與CVE-2022-29800,微軟把它們統稱為Nimbuspwn漏洞,將允許駭客取得系統權限以部署酬載或執行其它惡意活動。
微軟與Red Button合作,在Azure提供DDoS攻擊模擬測試服務 iThome
微軟與DDoS攻擊測試公司Red Button合作,提供Azure用戶DDoS攻擊模擬測試服務。藉由使用Red Button的DDoS測試服務套裝,並與專家合作,在受控的環境中模擬真實世界的DDoS的攻擊場景,企業可以評估當前抵禦DDoS的準備狀態,以進一步制定適當的DDoS回應策略。
【資安日報】2022年4月27日,德國風力發電業者遭網路攻擊疑與俄羅斯有關、VMware身分驗證平臺漏洞被用於惡意軟體攻擊 iThome
俄羅斯駭客鎖定多家德國發電業者下手的情況,有相關組織認為這是針對該產業而來的攻擊行動;VMware身分驗證平臺的重大漏洞,再度傳出攻擊行動。
趨勢科技整合產業技術推出強大且完整的Trend Micro One網路資安平台 CompoTech Asia 電子與電腦網
企業隨時都在對抗來自四面八方的攻擊,面對複雜且日益擴大的受攻擊面以及持續攀升的網路資安風險,資安團隊早已因資安產品的各自為政而疲於奔命。因此,趨勢科技推出一套全方位的資安平台,能持續評估風險與威脅,幫助企業盤點受攻擊面、分析網路資安風險,進而防範並回應威脅。
一頁式廣告詐騙又來! 假冒業者賣低價快篩 民視新聞網
NFT交易平台Open Sea昨(25)日遭駭,價值近百萬美元的NFT收藏品都被駭客竊取,其中包括著名NFT收藏品Bored Ape Yacht Club和其他NFT收藏品。目前Open Sea已經將駭客NFT交易的帳號封鎖,駭客所偷竊BAYC收藏品不會再被轉移或進行任何交易,但BAYC是否會回到原本用戶的手中,目前BAYC及Open Sea都還沒給出一個回應。
SailPoint:做好身分帳號管理才能做好企業資安 科技新報網
對於企業主來說,資訊安全是現今最重要的議題,不過對於多數的企業來說,對於「資安」的印象可能大多會認為是做好防火牆、嚴防駭客入侵,但其實做好每位員工的身分帳號管理,也是需要重視的一環。
【錯誤】網傳簡訊「您好,我是疫情防疫志願者,請添加line配合疫情防疫工作」? 台灣事實查核中心
該傳言同時在社群平台流傳,以簡訊截圖方式顯示,該訊息內容與通訊軟體流傳訊息一致,都是「您好」開頭,結尾是一組LINE連結,該簡訊同時顯示一組手機號碼。
沒這麼好康! 台中2021「投資詐騙」財損上億元 民視新聞網
網路投資,當心沒賺反倒賠!疫情期間,民眾宅在家,使用網路時間變長,台中市刑警大隊統計,2021年前三大詐騙,第一名就是「投資詐欺」,財損高達1億多元,通常詐騙集團,會先讓被害人小額獲利,等到上當加碼投資,辛苦錢就會石沉大海。
Atlassian修補Jira元件重大安全漏洞 iThome
這項編號CVE-2022-0540的漏洞為Jira及Jira Service Management的Web驗證框架Seraph內的驗證繞過漏洞,可讓未獲授權的攻擊者傳送惡意HTTP呼叫繞過外掛模組WebWork action的驗證以執行指令。Atlassian將本漏洞嚴重等級列為重大(critical)。
北市線上課酷課雲狂當機 蔡炳坤:國外駭客4波攻擊 自由時報電子報
國內疫情升溫,台北市國、高中學生昨起進行在家線上教學演練一週,據台北市教育局統計,演練學生數約12萬餘人,卻頻傳酷課雲當機,台北市副市長蔡炳坤今表示,昨下午1時5分發生大流量登入,導致系統中斷1小時,經查是來自國外IP、每秒1萬次登入的大量攻擊,也就是所謂的DDOS阻斷服務攻擊,到剛剛記者會開始前已有4波攻擊。
哪一類「科技人」最搶手?平均月薪4.4萬起只是標配 經濟日報網
根據1111挖趨勢公布的最新調查發現,軟體工程師的整體平均月薪為44,974元,投身不同產業,待遇也是大不同,其中以半導體業的軟體工程師的平均薪資53,491元最高,其次則是金融保險業51,863元。
距離畢業正式進入倒數階段,不少準社會新鮮人對於如何規劃自己的未來感到徬徨或舉棋不定。對此,趨勢科技對於有意投身軟體產業的準新鮮人提出「停、看、聽」三大資源,希望有助於新鮮人發掘自己的熱情所在並養成專業即戰力,贏在職涯起跑點。
不做可能會破產!台經院張建一:淨零轉型重塑企業競爭力 電子時報
「要嘛轉型,要嘛破產!」台灣經濟研究院長張建一一語道破淨零轉型對於企業的重要性。企業身處不確定因素劇增的年代,面臨COVID-19(新冠肺炎)衝擊還有迫在眉睫的減碳時程,企業必須「雙軸轉型」,不只加速數位轉型,也要及早淨零轉型。
日本JCIC分享資安長轉型經驗 微軟強調雲端平台有益中小企業降低資安風險 網路資訊雜誌
日本於去年修訂網路安全策略,確定「涵蓋所有人」的策略目標之後,產業界也積極與政府配合,推動數位轉型之際確保日本安全保障的規劃。
【Arm 專欄】Arm 展示透過開源軟體框架 SOAFEE 進行雲原生的汽車開發 INSIDE
雲原生的汽車開發,意味著轉向基於雲的模式;在這個模式下我們在雲中開發軟體,並直接部署在位於邊緣的軟體定義汽車上。開發人員可以從任何地點打造並測試軟體工作負載:辦公室、在家工作,甚至是咖啡廳,然後安全地把它們部署到車輛上。
資安防護概念全面升級 AWS強調資安長將扮演企業創新發展重要角色 聯合新聞網
針對企業資安,以及台灣金管會在去年要求國內資本額超過100億、前50大市值的上市上櫃公司必須設置資安長職位,並且建立資安專責單位的規定,AWS強調現今的資安防護概念應該全面升級,而非再以陳舊、刻板印象應對資安問題。
【專家觀點:安永風險管理公司總經理萬幼筠】稱職資安長要做的事情就是企業經營 iThome
做好一名資安長,必須在安全和營運做到平衡,首先要釐清資安長的角色與職掌功能;其次,將企業集團面臨的風險同時連結到對應的績效指標;第三,配合業務發展策略,投入相對應的資源。
美國國土安全部Hack DHS抓漏專案找出逾122個安全漏洞 iThome
去年12月美國國土安全部(DHS)啟動Hack DHS抓漏專案,目前公布了第一階段的成果,指出逾450名受邀的安全研究人員總計找出了122個安全漏洞,包含27個重大等級漏洞。
7企業共組ESG推動聯盟 科技創新補助無上限 自由時報電子報
IMV包括Innovation(創新)、Marketable(市場)、Value(價值),在科技創新補助部分,徵求關注農漁牧業、節能儲能的議題,具電子、機械、AIoT、通訊、軟體、綠色科技能力與思維,並且已擇定場域並實際投入的創新團隊與公司,不設補助金額上限與補助金額名目,依個案客製資金與資源投入方案;創新提案競賽部分,獎金合計75萬元,徵求提案類別包括種植養殖、加工製造、生態永續、節能減碳。
【資安日報】2022年4月25日,電信業者T-Mobile遭駭客組織Lapsus$入侵、殭屍網路LemonDuck瞄準Docker進行挖礦攻擊 iThome
從上週末到今天上午的資安新聞中,有幾個資安事故引起我們的注意。首先,是頻繁在2月底至整個3月,屢次聲稱他們攻陷IT大廠、作風相當囂張的駭客組織Lapsus$,最近又傳出有新的組織成為受害者。
T-Mobile也遭Lapsus$外洩程式碼 iThome
資安部落格KrebsonSecurity報導 ,因駭入Nvidia、微軟、三星聞名的駭客組織Lapsus$,也曾駭入美國電信業者T-Mobile,並竊取多個專案的程式碼。
駭侵者鎖定攻擊 Microsoft Exchange Server 以散布 Hive 勒贖軟體 資安人
資安廠商 Varonis 旗下的研究人員,近來發現 Hive 勒贖軟體相關駭侵團體,鎖定未曾修補 Log4Shell 漏洞的 Microsoft Exchange Server 發動攻擊,用以自我散布,並植入各種惡意軟體,例如 Cobalt Srtike 等。
疫後新常態催生教育數位化,α世代如何從「生生用平板」政策享受學習紅利?|天下雜誌 天下雜誌網
當其他先進國家步上新常態軌道,狡猾的Omicron變異株,把台灣的教育現場搞得人仰馬翻。當各地方政府還在對停班標準莫衷一是,停課不停學的口號,台灣究竟要怎麼落實?
把關 Chrome 擴充套件安全,Google 推出讓使用者安心下載的新標章 科技新報網
在 Google Play 上每隔一段時間總有惡意 App 的新聞傳出,Google Chrome 也不遑多讓,總是會有層出不窮內藏惡意軟體的擴充功能套件被不知情的使用者下載。雖然惡意擴充功能套件的數量雖然遠遠不及惡意 App,但比起只限 Android 平台的後者,前者卻同時橫跨 Windows、Android、iOS 及 Mac 多種平台,影響層面可能更廣。
歐盟數位服務法 加強管制科技巨擘 自由時報電子報
為了管制仇恨言論、不實訊息和其它網路有害內容,歐盟國家與歐洲議會廿三日就一項針對科技巨擘的新法規達成協議,Google母公司Alphabet與臉書母公司Meta等大型科技公司今後將為使用者在其平台上所張貼內容擔負更多責任。預料新法將對全球社群媒體與其他數位平台的運作造成影響。
「訂閱制服務」引領製造業數位轉型新局,掌握製造轉型三部曲 數位時代
全球Covid19疫情方興未艾,與病毒共存似已成為不得不的手段。疫情除了大幅改變人們的生活方式,在企業端亦有直接的衝擊與影響。無論是遠距辦公的應用、視訊會議、資料雲端備份、VDI虛擬桌面等皆開始走進員工的辦公生活。
【資安日報】2022年4月22日,多國警告全球關鍵基礎設施成俄羅斯下一波攻擊目標、手機晶片漏洞恐波及安卓用戶 iThome
俄羅斯國家級駭客不再只是集中火力針對烏克蘭下手,而是很可能打算對於全球關鍵基礎設施進行報復性攻擊;再者,研究人員在高通與聯發科晶片裡,發現了ALAC聲音解碼器漏洞,可能會波及全球三分之二的安卓手機。
Okta公布Lapsus$駭客事件調查結果:只被駭了25分鐘 iThome
Okta說明,駭客是在1月21日存取了Okta合作業者Sitel一名工程師的帳號,於SuperUser應用中存取了兩家客戶資料,並瀏覽這些客戶的Slack與Jira等內容,這些舉動並無法用來執行其它惡意行為。
甲骨文第2季安全更新修補520項漏洞 iThome
在重大漏洞中有2項被判定風險值為最高的10分,分別是CVE-2022-22947及 CVE-2022-21431。CVE-2022-22947影響Oracle Communications產品,當產品中開啟Spring Cloud Gateway端點,遠端攻擊者就可發送惡意HTTP呼叫開採,而在主機上執行任意程式碼。CVE-2022-21431則影響Oracle Communications Billing及Revenue Management。未經授權的攻擊者可送TCP呼叫開採來接管這兩項產品,不過甲骨文表示,本漏洞也可能影響其他產品。
專家警告10億Instagram用戶:駭客恐入侵帳戶 有這些跡象要注意 CTWANT
根據《太陽報》報導,芬蘭防毒軟體公司F-Secure的安全專家湯姆(Tom Gaffney)表示,即使駭客沒有與用戶聯繫,讓他們知道或要求付款,帳戶也可能遭到入侵。湯姆指出,最明顯的跡象是用戶註冊的電話號碼或電子郵件是否發生了變化。
F5 SOAS 2022調查報告顯示:加速數位轉型帶來新的挑戰 iThome
F5發表2022應用策略現狀調查報告。今年第八年度的調查報告顯示,企業在轉型IT基礎設施與提供並確保數位服務時所面臨的挑戰。數位服務已與人們的日常生活密不可分,例如工作的執行或醫療診斷等。隨著高度分散式的架構和不斷數位化的實體體驗所帶來的更廣泛威脅,企業正在轉向各種解決方案,以幫助管理複雜性和解決不斷擴大的IT技能差距。然而,調查結果也顯示,前方轉型的一些障礙如果被忽視,將無法達到更具回應性和敏捷性,阻礙業務的發展。
鴻海電動車基地 啟用 經濟日報網
鴻海(2317)位在新店寶高智慧產業園區的研發中心今(22)日啟用,並將展示鴻海電動車軟體開發測試平台(EV Kit),以及整合感測器解決方案,顯示鴻海發展軟體定義汽車的布局又邁進一步,因為未來電動車的決勝點將是消費者體驗與軟體定義,不再只是以硬體一決高下。
Zoom持續強化平台安全性,標榜獲德國、英國與美國等第三方資安機構認證強調把用戶安全放在重要發展目標 Mashdigi
其中,Zoom說明分別取得德國教育與研究機構SURF、英國Cyber Essentials Plus認證機構、美國國防訊息系統局,以及德國聯邦資訊安全辦公室提供認證,同時包含Zoom Meetings、Zoom Phone、Zoom Chat、Zoom Rooms與Zoom網絡研討會等服務也均獲得國際標準化組織 (ISO) / 國際電工委員會 (IEC) 27001:2013認證。
【資安日報】2022年4月21日,AWS雲端服務的Log4Shell漏洞曾出現修補不全的狀況、勒索軟體REvil疑死灰復燃 iThome
研究人員發現,先前發布的AWS雲端服務的Log4Shell漏洞修補程式,出現修補不全的情況,並衍生出其他資安弱點;再者,勒索軟體REvil疑似再度復出的跡象,也引起資安人員關注。
訂閱資安趨勢電子報,每日掌握資安趨勢
加入趨勢科技LINE@好友,每週五資安新聞周報送到你手上
