本文討論開放原始碼如何遭到程式碼維護者暗中修改以表達政治上的抗議。此外,我們也分析了這類事件對 IT資安產業及開放原始碼社群的意義。
傳統上,人們對於開放原始程式碼的資安疑慮大多圍繞在開放原始碼可能暗藏漏洞、後門或惡意程式。然而近幾個月來,我們觀察到一種特別的現象,那就是開放原始程式碼遭人暗中修改來表達政治上的抗議。之所以出現這類所謂的「抗議軟體」(protestware),是有些負責維護開放原始碼軟體的開發者因政治上的動機或為了表達抗議而對程式碼做某些修改。這樣的情況雖然不是新聞,因為之前就曾發生過,但最近的一些地緣政治事件卻讓開放原始碼社群分裂成兩派:一派支援這樣的發展,另一派則傾向於維持開放原始碼生態系的非政治化,因為抗議軟體可能會破壞開放原始碼社群整體的信任基礎。
繼續閱讀本文探討軟體供應鏈的網路攻擊情境,以及提升軟體供應鏈資安成熟度與降低資安風險的防範策略。
不論您企業的數位轉型正如火如荼進行、或者只是單純移轉至一些更具成本效益與靈活性的平台,您的數位受攻擊面都將因而擴大,並暴露於軟體供應鏈的資安威脅當中。根據 Venafi 近期一項調查指出,有 82% 的受訪者覺得其機構有可能遭到針對軟體供應鏈的網路攻擊。此外,由於網路駭客集團受到 Kaseya 和 SolarWinds 事件的鼓舞,針對軟體建構及派送環境的攻擊行動將越來越多。
企業當然也注意到這股威脅趨勢,有 85% 的受訪者表示他們「已收到執行長的明確指示要求改善軟體建構與派送環境的資安」。為了協助資安長 (CISO) 和資安領導人管理及防範供應鏈的資安風險,本文將探討軟體供應鏈為何會面臨風險,以及 CISA 提供了哪些策略性建議。
本文探討使用無伺服器服務來管理機密的潛在風險。
無伺服器環境正日益受到歡迎,這類環境經常主打一些方便企業營運與拓展業務的功能特色,例如:內建擴充性、跨地區服務、成本管理容易等等。幾乎每家主要雲端服務供應商 (CSP) 都提供了某種型態的無伺服器服務,而目前最受歡迎的兩大服務是 Amazon Web Services (AWS) Lambda 和 Azure Functions。
我們可以將無伺服器應用程式想像成在雲端基礎架構內執行的一段程式碼。這段程式碼可透過多種不同方式來觸發執行,例如經由一個 HTTP API 端點或事件。從資安的角度,我們可以將被執行的程式碼本身的安全性與其執行環境的安全性分開來看。雖然 CSP 沒辦法掌控被執行的程式碼,因為那是由使用者所負責,但 CSP 卻能掌控程式碼的執行環境。
我們先前就曾撰文探討過風險管理不當可能帶來什麼危險,而同樣的風險也適用於 CSP 和他們所提供的服務。以下我們將介紹一種許多開發人員在移轉到雲端環境之後常犯的資安錯誤。
繼續閱讀
網路犯罪集團其實並不在意他們所駭入的是企業內伺服器或雲端伺服器,對他們來說,只要是暴露在外或含有漏洞的伺服器都一樣好用。
網路犯罪集團並不在乎伺服器所在的位置,不論他們駭入的是雲端或企業內伺服器,他們都有儲存空間及運算資源可用,此外也可以竊取其中的資料。所以,伺服器越容易駭入、就越容易遭殃。
隨著數位轉型浪潮的持續發展,再加上遠距工作的推波助瀾,雲端伺服器似乎更容易發生暴露在外的情況。不幸的是,許多企業 IT 團隊都未針對雲端伺服器提供與企業內伺服器相同等級的防護。
特別說明一下,我們必須強調這樣的情況僅適用於一些用來取代企業內伺服器儲存及運算工作的雲端運算實體 (instance)。容器或無伺服器式功能並無這類問題。但要補充的是,如果駭客入侵的是雲端帳號而非單獨某個運算實體的話,那麼情況將完全改觀,因為駭客此時就能任意啟用更多資源。這樣的情況的確可能發生,但卻不是本文要討論的重點。
繼續閱讀【2022 年 8 月 17 日台北訊】全球雲端資安領導廠商趨勢科技 (東京證券交易所股票代碼:4704) 日前最新的全球研究報告指出,全球 54% 的企業認為內部網路資安風險評估不夠縝密,讓自身曝露於勒索軟體、網路釣魚、供應鏈、物聯網攻擊等多種威脅。受訪者也表示過於複雜的技術部署,以及管理高層缺乏風險意識,都讓問題更形嚴重。
欲深入了解趨勢科技的全球資安風險調查報告,請至:https://www.trendmicro.com/explore/trend_global_risk_research_2
根據該研究,許多企業 (28%) 認為以人工方式評估受攻擊面的效果有限,約三分之一 (32%) 表示難以兼顧部署的多種技術,而此情況也說明了為何全球僅約四成、台灣更只有約三成多的企業能透過風險評估,準確掌握下列任一資安項目: