隨著資安威脅與日俱增,零信任架構成為最近幾年的熱門話題。但究竟什麼是零信任架構?在14年前提出此戰略理念的零信任之父John Kindervag,日前在國際半導體展(SEMICON 2024)召開的半導體資安趨勢高峰論壇發表演說,指出其核心理念就是「拒絕信任」。

他以美國特勤局保護總統的策略來比喻零信任架構,揭示零信任3個核心理念的關鍵要素,企業組織也應該依循這樣的策略,保護資料及網路環境的資產。

 

【攻擊與威脅】

半導體IC設計業者世芯電子網站遭遇DDoS攻擊

10月7日上市半導體IC設計公司世芯電子(世芯-KY)在股市公開觀測站發布重大訊息,表示他們的網站受到DDoS攻擊,事發當下立即啟動相關防禦機制,後續網站已恢復正常運作。

他們也對這起資安事故可能會造成的衝擊提出說明,根據初步評估,該公司目前無個資或內部檔案外洩情況,對公司營運無重大影響。而對於未來的防護機制改善,世芯表示現行的資安防護機制已足以因應相關攻擊,他們日後將持續密切監控來因應。

儲存設備業者喬鼎資訊發布重大訊息,證實遭遇網路攻擊

本週一(7日)晚間上市儲存設備業者喬鼎資訊於股市公開觀測站發布重大訊息,他們表明遭遇網路攻擊,察覺此起事故後,隨即啟動防護機制,並對受害主機進行隔離。

根據他們初步的評估,此事故對於公司營運無重大影響。在這份公告當中,喬鼎並未交代遭遇的資安事故類型、被攻擊的IT基礎設施與原因。

 

【漏洞與修補】

微軟發布10月例行更新,修補5個零時差漏洞

10月8日微軟發布本月例行更新(Patch Tuesday),總共修補117個漏洞,較上個月79個多出不少,也是今年第3次公告超過100個漏洞的情況,其中包含7個權限提升漏洞、7個安全功能繞過漏洞、43個遠端程式碼執行(RCE)漏洞、6個資訊洩漏洞、26個阻斷服務(DoS)漏洞,以及7個能用於欺騙的漏洞。縱觀上述資安弱點,有5個是已被公開的零時差漏洞,而有2個出現實際被利用的情況。

這些零時差漏洞分別是:Winlogon權限提升漏洞CVE-2024-43583、MSHTML平臺欺騙漏洞CVE-2024-43573、微軟管理主控臺(MMC)遠端程式碼執行漏洞CVE-2024-43572、Hyper-V安全功能繞過功能繞過漏洞CVE-2024-20659,以及Curl遠端程式碼執行漏洞CVE-2024-6197,CVSS風險評分介於8.8至6.5。

Ivanti雲端服務設備CSA修補3個零時差漏洞,已出現濫用活動

Ivanti針對旗下5款產品發布10月份安全性更新,修補資安漏洞。

其中最值得留意的是雲端服務應用平臺Cloud Services Appliance(CSA),因為該公司這次公布的3項漏洞CVE-2024-9379、CVE-2024-9380、CVE-2024-9381,已出現部分用戶的系統遭遇漏洞濫用活動。

對於這些漏洞遭到利用的情形,該公司指出是執行4.6版(並套用patch 518之前的修補程式)及舊版CSA的用戶遭到鎖定,而且,駭客不光利用上述的漏洞,還串連上個月19日公布的另一個路徑穿越漏洞CVE-2024-8963,CVSS風險評分達到9.4。

其他漏洞與修補

SAP發布10月例行更新,修補BusinessObjects重大漏洞

西門子電力監控設備存在重大漏洞,攻擊者有機會輕易得到管理權限

Okta修補能繞過登入政策的資安漏洞

網路監控工具Cacti發布緊急更新,緩解RCE、XSS漏洞

車輛電子控制元件ECU存在嚴重漏洞,駭客有可能藉此掌控

 

【資安防禦措施】

零信任之父親臨SEMICON Taiwan 2024,親自導讀零信任架構

隨著網路安全威脅日益嚴峻,全球政府機構和企業正積極尋求創新方法來保護其數位與實體資產。在這一背景下,零信任架構(Zero Trust)逐漸成為最具影響力的安全戰略之一。全球率先針對零信任架構的提出者、也是現任Illumio傳道士John Kindervag,日前於國際半導體展(SEMICON 2024)召開的半導體資安趨勢高峰論壇,這是他二度訪臺並公開發表演說,也揭露並分享對網路戰爭及零信任架構的深刻見解。

零信任在全球資安是顯學,從最初問世至今也已超過14年,但許多人雖然知道這個概念,但在實際宣導與推動仍有落差,John Kindervag這次來臺演講也特別提到4大常見謬誤,提醒大家應正確認識零信任架構。

舉例來說,John Kindervag發現:「很多人將零信任與多因素身分驗證(MFA)混為一談,或者認為它只是VPN的替代技術,這是錯誤的觀念。」他進一步解釋,零信任其實是一種戰略理念,能夠適用於任何組織,防止資料洩露並降低網路攻擊的成功率。

 

【資安產業動態】

Google開始釋出安卓裝置的防盜功能

科技記者Mishaal Rahman發現,Google於今年5月發表的安卓裝置防盜功能,已開始向美國用戶釋出,包括防盜鎖(Theft Detection Lock)、離線裝置鎖定(Offline Device Lock),以及遠端鎖定(Remote Lock)等,該公司預計今年內陸續推送給執行Android 10以上版本的裝置。

其中,防盜鎖是透過Google AI 來感應是否有人從使用者手中搶走手機並試圖快速離開,如果偵測到竊盜常見的動作,就會快速鎖定螢幕。倘若小偷試圖長時間切關手機的網路,就算是在手機沒電且關機的狀態下,螢幕也會自動鎖定。

 

近期資安日報

【10月7日】美國水力關鍵基礎設施再傳遭遇網路攻擊

【10月4日】假借提供AI脫衣程式為誘餌,駭客企圖散布惡意軟體

【10月1日】駭客組織Storm-0501將攻擊範圍延伸到雲端環境

熱門新聞

Advertisement