本文探討軟體供應鏈的應用情境,以及提升軟體供應鏈資安並降低風險的防範策略。
軟體供應鏈攻擊之所以暴增 600% 的原因有幾點:首先,想要找到並攻擊軟體供應鏈的資安漏洞算是相當容易。其次,只要能入侵供應鏈中的某一個應用程式或開放原始碼軟體,就能影響整體供應鏈。
根據一份 Trend Micro Research 全球調查指出,有 52% 的企業機構其供應鏈夥伴都曾遭到勒索病毒襲擊。針對攻擊數量的暴增,美國總統拜登發布了一項行政命令來改善軟體供應鏈的資安。不僅如此,根據Venafi 的調查指出,85% 的受訪者表示他們「曾經被董事會或執行長 (CEO) 明確要求改善其軟體建構及派送環境的資安。」
為了協助資安長 (CISO) 及資安團隊管理並防範供應鏈風險,以下說明一些常見的攻擊管道,以及 CISA 有關如何改善供應鏈網路資安的策略性實務原則。
繼續閱讀本周資安新聞週報重點摘要,本文分享上週資安新聞及事件。你將會看到新聞的簡短摘要及原文連結來閱讀更詳細的見解。
資安趨勢部落格一周精選
微軟推出以ChatGPT強化的新版Bing搜尋、Edge,開放大眾試用 iThome
以假亂真的ChatGPT 潛藏危機 經濟日報(臺灣)
微軟Authenticator不再支援Apple Watch iThome
歐警告ChatGPT風險 義禁聊天機器人Replika用個資 中央通訊社
惡意軟體假冒正版,Google 搜尋下載軟體要三思 科技新報網
Google搜尋也不能信,想要下載Adobe、GIMP、Teams軟體卻被導入惡意軟體推薦 T客邦
美議員敦促蘋果Google 應用程式商店應下架TikTok ETtoday新聞雲
Google Ads 淪為駭客散播惡意軟體新管道,虛擬化也成規避安全偵測新利器 科技新報網
個資外洩風險高 學者籲:別在中國買手機 自由時報電子報
小米手機內置刪不掉的中共監控軟體 新頭殼
民間企業個資外洩或資安事件 可通報這單位協助 經濟日報網
軍官性愛片外洩 官兵憂「安裝手機管理程式」不設防、藏資安破口 聯合新聞網
台灣成駭客天堂!5個月4起資安事件、全民個資裸奔 問題在哪? 聯合新聞網
繼續閱讀Apple生態系的好處之一是iMessage和訊息應用程式可以在所有的Apple平台上使用,包括iPhone、MacBook和iMac。這代表著使用者可以在所有的裝置間同步訊息。但如果你想要刪除訊息或對話好在Mac上釋放一些儲存空間,請按照下列步驟進行。
本文探討一種 Web3 詐騙情境:詐騙集團利用假的智慧合約 (smart contract) 攻擊潛在受害者,進而以零元的代價取得其數位資產 (如 NFT token)。我們將此詐騙手法稱為「Payzero」(支付零元) 詐騙。
Web3 是一項擁有龐大獲利潛力的新興技術,能讓人透過各種賺錢方式從數位資產快速致富。Web3 與傳統 Web2 不同之處在於使用者不再只是參與者,同時也是數位資產的擁有者。只不過,Web3 使用者不再透過傳統的使用者名稱和密碼來進行驗證,而是透過使用者持有的一對加密金鑰來簽署交易,透過簽署的方式來確認及認證使用者的動作。
相較於 Web2,這又多了一層複雜性,因為新的典範和認證機制有時並不易理解。在 Web2 中,使用者是透過使用者名稱和密碼來向大型線上服務進行認證。然後,這些服務再負責與第三方應用程式進行驗證程序,使用者必須記住自己在這些服務使用的帳號和密碼。
然而到了 Web3,最重要的登入憑證是使用者錢包的私密金鑰。使用者必須自己執行認證手續,而這手續有時相當複雜,尤其對新手而言。圖 1 顯示 Web2 與 Web3 在認證方式上的差異。
趨勢科技獲選為 2023 年最酷雲端資安廠商之一
趨勢科技是雲端資安的先驅,30 多年來,我們一直和通路合作建立一個更安全的數位世界。為此,我們很高興能入選最新的 CRN Cloud 100 名單,肯定我們為通路和客戶所帶來的價值。
前不久,趨勢科技才在 AWS re:Invent 2022 大會上獲頒 AWS Marketplace 年度合作夥伴獎 (Partner of the Year),反映出我們長期以來的策略合作關係。
今日,我們很難找到一家企業不正在積極移轉至雲端。Gartner 預測今年全球花費在公有雲服務上的支出將接近 5,920 億美元,較去年增加 21%。然而,隨著無數的企業將營運關鍵系統外移到第三方資料中心,其受攻擊面也因而擴大。