文/羅正漢 | 2025-04-21發表

回顧2025年4月第三星期的資安新聞,臺灣資安大會CYBERSEC 2025舉行是主要焦點,本屆規模再創新高,有超過300場的資安專題演講,以及400家資安業者、超過1,500個攤位的參與,吸引2萬位全球產官學界資安專家參與,持續成為企業增進攻防新知,資安產業技術交流與商機拓展的重要平臺。

去年520就任總統的賴清德已是連續4年參與這場盛會,不僅展現政府對資安的支持,也延續其擔任行政院長到副總統期間對資安領域的關注。面對瞬息萬變的國際局勢,總統賴清德指出,新版《國家資通安全戰略2025》在本月稍早發布,揭露我國2025年至2028年間的國家資安發展方案將朝三大目標前進,包括:強化全社會資安防禦韌性、豐富資安產業生態系、構築新興科技防禦技術,從制度面、管理面、策略面同步推進,盼整合多方力量,加速我國政府與產業的整體防護水準的提升。

臺美資安合作也持續擴大,美國在臺協會處長谷立言(Raymond F. Greene)致詞時表示,上個月AIT在臺已經主導了五場聚焦「半導體供應鏈的網路威脅防護」的資安活動,他同時預告,美國NIST已與臺灣經濟部標準檢驗局(BSMI)合作,將推出NIST資安框架2.0(CSF 2.0)的正體中文翻譯,對臺美合作而言,別具指標意義。

面對生成式AI爆紅與AI代理竄起之際,LLM風險這項新興議題,在本星期資安新聞中,佔據大量新聞版面,例如:我們最近發布的封面故事,就是針對最新的OWASP十大LLM應用程式風險2025年版加以介紹,讓大家真正認識背後的各種風險,才能理解為何一再宣導事實查核與防範敏感資訊洩漏;今年臺灣資安大會也有專家介紹最新趨勢,包括網路犯罪領域應用AI代理的示警,以及關於LLM應用程式開發安全架構的實務經驗。

●OWASP已公布「十大LLM應用程式安全風險」2025年版,可幫助大眾增進對於LLM風險的理解,過去多起事件更是反映真實世界存在的LLM風險實例。
●趨勢科技網路犯罪研究前瞻威脅研究總監示警,呼籲大家在期待AI Agent應用的同時,也要注意網路犯罪也透過AI自動化提升攻擊效率。
●前資安院副院長吳啟文強調資安是持續的風險管理,如何平衡AI帶來的利益及風險是關鍵,他建議組織可從WEF報告提出的6個問題來自評本身是否做好準備。
●面對LLM風險,趨勢科技提出LLM應用程式開發安全架構的LEARN方法論,剖析LLM應用程式的開發生命週期,並介紹如何分層與識別安全邊界的方法。

此外,還有兩則新聞與其他重要議題有關,在後量子密碼學PQC方面,數位發展部數位產業署宣布,專為臺灣設計的PQC遷移指引正式發布;在個資保護方面,今年臺灣個資保護委員會將成立,來自籌備處的隱私科技組專家指出,企業可透過PDCA方法檢視自身資料保護措施的落實,並強調傳統的SMS簡訊或OTP易受中間人攻擊,應評估安全強度更高的MFA。

在資安防護上,國際間有4則重大消息,其中美國非營利組織MITRE傳出停止維護CVE等多項專案,引發相當大關注,這是因為CVE的漏洞命名與指派是弱點管理生態系的基礎,一旦漏洞無法集中發布與追蹤,影響甚廣,而這起風波之下,也突顯該專案長年只有美國政府投入給予支持的狀況。

●美國政府委託MITRE維護「常見漏洞披露CVE」資料庫與「通用缺陷列表CWE」傳出合約到期,事隔一天有了反轉,將延長合約避免這些專案服務中斷。
●憑證產業論壇CA/Browser Forum宣布,現行所有SSL/TLS憑證最長效期為398天,明年縮短至200天,4年後2029年將縮短為47天,且每月需更新一次。
●GitHub推出Security Campaigns,可幫助開發者與資安團隊能有系統性方法來處理,讓企業處理資安債成開發日常,能排定優先處理順序、設定處理期限。
●PHP核心原始碼(php-src)近期完成安全稽核,主要針對最關鍵元件部分,共發現27項問題,其中17項具安全風險,多數問題是實作細節與錯誤處理不足。

至於威脅揭露與漏洞消息方面,CrazyHunter勒索軟體攻擊調查有後續消息,趨勢科技指出該攻擊者使用的作案工具有8成是從GitHub平臺上取得,同時也證實該組織的攻擊目標只鎖定臺灣。

還有兩則漏洞攻擊消息,一是有駭客鎖定蘋果零時差漏洞CVE-2025-31200、CVE-2025-31201攻擊,使得蘋果緊急修補,另一是有駭客鎖定上個月微軟修補的漏洞CVE-2025-24054來攻擊,該漏洞涉及NTLM,雖然CVSS分數僅6.5分,但有資安業者發現,修補釋出的8天後,就觀察到鎖定該漏洞的攻擊行動。

 

【4月14日】啟用SSL VPN的Fortinet防火牆遭到已知漏洞攻擊

今天我們報導兩起資安事故,其共通點就是針對SSL VPN系統而來,其中,尤以針對Fortinet防火牆設備而來的攻擊行動特別值得留意,因為這起事故雖然針對已知漏洞而來,但該公司還是發布新版防火牆作業系統FortiOS因應。

這起事故攻擊者不僅運用了已知漏洞,並透過符號連結(Symbolic Link)手法來回避偵測,但究竟駭客如何取得相關權限而得逞?Fortinet並未說明。

【4月15日】總統親臨臺灣資安大會致詞,從國家戰略、產業政策彰顯資安

亞洲規模最大的資安盛會「臺灣資安大會CYBERSEC 2025」在今天舉行,總統賴清德親臨現場致詞,強調臺灣所處的第一島鏈戰略要衝位置,肩負著民主防線最前線的角色,在網路世界遭受來自各方的駭客攻擊。臺灣威脅態勢加劇的情況,政府也從國家戰略到產業政策來因應。

除此之外,美國在臺協會處長谷立言(Raymond F. Greene)致詞當中,也特別宣布相當有指標意義的消息,那就是在臺美合作之下完成了NIST資安框架2.0(Cybersecurity Framework 2.0)的正體中文翻譯。

【4月16日】MITRE停止維護CVE等多項專案,恐波及全球資安漏洞分析

對於漏洞的分析及研究,「常見漏洞披露(CVE)」資料庫,以及「通用缺陷列表(CWE)」廣泛受到全球資安領域採用,一旦不再維護,影響層面有可能相當廣泛。

本週傳出MITRE不再維護CVE、CWE等多項專案的消息,有資安專家指出此事將帶來嚴重衝擊,首先會影響美國國家弱點資料庫(NVD),接著會波及所有使用CVE及NVD分析漏洞的企業組織。

【4月17日】CVE專案長年靠美國政府資金運作議題浮上檯面

這兩天引起全球資安圈高度關注的議題,莫過於美國政府委託MITRE維護「常見漏洞披露(CVE)」資料庫與「通用缺陷列表(CWE)」的合約到期,由於波及所有採用CVE分析漏洞的企業組織,影響層面將可能相當廣泛。

事隔一天,美國政府決定依照合約延長維護CVE的時間,該服務暫時免於中斷的災難。但這起風波也凸顯CVE長期倚賴單一國家政府資助的問題,CVE董事會決議轉型非營利基金會。

【4月18日】趨勢科技公布勒索軟體駭客CrazyHunter攻擊手法

這兩個月不斷在臺灣攻擊醫院、上市櫃公司的勒索軟體駭客組織CrazyHunter,在4月初刑事警察局公布駭客身分後,最近有資安業者透露其作案手法,並認為該組織的主要攻擊目標,就是臺灣。

本週趨勢科技公布相關調查結果,他們提及駭客利用的工具多半由GitHub就能取得,這代表駭客犯案的門檻並不高。

 

iThome Security

熱門新聞

Advertisement