武漢肺炎(COVID-19)疫情是全球關注焦點,本月不少資安議題與事件也與之有關,包括相關的網釣攻擊、假新聞,以及迫使國內外資安會議有異動,並為企業持續營運帶來挑戰。

例如,自從2月初就有多家資安業者指出,有駭客利用社會大眾對於疫情的恐懼心理,寄送以官方感染數據或衛教資訊為題的惡意電子郵件,發動網釣攻擊。

此外,疫情相關的假新聞也趁機作亂,臺灣法務部調查局與刑事警察局陸續查獲多起在社群媒體散布不實訊息的事件,後續並發現有許多來自中國與境外人頭帳號散布的造謠內容,影響國內防疫資訊的正確性。對此,國內執法機關呼籲,對於非官方的訊息應小心求證,切勿任意散播、轉傳,以免觸犯傳染病防治法、刑法或社會秩序維護法。

不僅如此,在疫情衝擊下,今年上半多場大型科技與資安會議延期舉辦。另一方面,許多企業也取消海外出差,實施分區、分批或在家辦公等,都是為了因應疫情所採取的措施,而在企業風險評鑑與營運衝擊分析之下,持續營運管理(BCM)與遠端工作資安風險,就成為企業現階段關切的一大重點。

在2月的其他重大資安新聞中,資安廠商Malwarebytes發布的Mac資安威脅首度超過Windows平臺,揭露了不同於以往的資安態勢,受到重視。同時,本月也有一些揭露惡意程式新能力的研究公布,其中,可竊取Google Authenticator一次性密碼的金融木馬,引發側目。

網站密碼安全相關議題,也是本月關注焦點之一,包括了密碼原則與實體安全金鑰的面向。首先,FBI新公布關於密碼設定的原則,建議大眾改用由幾個字詞組成15個字元以上的密碼,例如:VoicesProtected2020WeAre,以取代複雜密碼可能難記而造成的反效果,並有多項密碼政策的建議,事實上,前幾年就已經有專家這樣呼籲,而FBI的發表則讓這樣的觀念更能廣為大眾所知。

在網站服務登入安全的實體安全金鑰方面,也有新的進展,其中Google將可製作Securtiy Key的韌體專案OpenSK開源,有助於FIDO2實體安全金鑰普及,因此最受關注。此外,蘋果也在2月加入FIDO聯盟,成為另一推力。

還有一個不容忽視的資安新聞議題,在於委外供應鏈安全管理。像是美國國防部宣布推出網路安全成熟度模型認證(CMMC),共分為5級,將開始要求IT承包商,需取得相應的安全等級認證。附帶一提的是,國內政府的資安服務廠商評鑑,往年評鑑等級是特優、優、甲的方式呈現,現改為A、B、C、D、E級。

在國際新聞焦點上,有兩起事件較為重大,包括俄國研究人員揭露海思半導體晶片的後門漏洞,以及美國消費者信用報告公司Equifax個資外外洩案的後續消息,這起在2017年爆發的事件,現在美國司法部調查出爐,並指控是中國解放軍第54研究所的4人所為。

最後,在安全漏洞修補方面,其中Linux的sudo指令再次修補一項高風險漏洞,最受關注。但其實2月還有不少漏洞修補事件,雖然不在本月十大新聞之列,但也是相關領域會重視的焦點。包括:微軟Exchange伺服器CVE-2020-0688的漏洞修補、合勤防火牆與NAS產品的CVE-2020-9054漏洞修補等,較特別的是,還有像是藍牙軟體開發套件多項漏洞的揭露,影響7家半導體業者的系統單晶片,以及Broadcom與Cypress的藍牙晶片也被發現漏洞,影響10億裝置等。

 

01. 小心!利用武漢肺炎的病毒與網釣郵件已開始流竄

 

02. 企業落實BCM是因應武漢肺炎最佳策略

 

03. Mac資安威脅首度超過Windows平臺

 

04. sudo爆可取得根帳號權限的漏洞

 

05. 美國國防部將開始要求承包商必須具備網路安全認證

 

06. FBI:以長密詞取代密碼、不應設定密碼變更期間或次數上限

 

07. Google開源可製作硬體金鑰的韌體專案OpenSK

 

08. 新版金融木馬Cerberus可竊取Google Authenticator所產生的一次性密碼

 

09. 俄研究人員揭露海思半導體晶片的後門漏洞

 

10. 美國司法部:Equifax案是中國解放軍盜走1.5億名美國民眾個資

 


Advertisement

更多 iThome相關內容