軟體供應鏈安全 | SBOM | Assured Open Source Software | Trusted Software

強化程式開發流程與環境安全,紅帽打造可信賴的軟體供應鏈

紅帽在今年上半發表提升軟體供應鏈安全的解決方案,預計將推出兩款新的雲端服務,針對開發流程當中的程式碼撰寫與組建進行強化

2023-08-08

資安日報

【資安日報】8月8日,殭屍網路病毒SkidMap出現變種,鎖定Redis伺服器而來

研究人員發現,名為SkidMap的殭屍網路病毒近期出現變種,主要下手的目標,是尚未設置密碼保護的Redis伺服器主機

2023-08-08

旁路攻擊 | 鍵盤 | 機器學習模型 | 鍵擊資料

研究人員以AI模型竊聽鍵盤聲可達到95%的準確率

Joshua Harrison等3名研究人員所開發的機器學習模型,在接受MacBook Pro鍵盤打字聲音等資料訓練後,判斷人類打字輸入內容的準確度可達9成

2023-08-08

資安日報

【資安日報】8月7日,韓國Linux主機遭到惡意程式Reptile鎖定

資安業者AhnLab針對惡意軟體Reptile的攻擊行動提出警告,並指出駭客的手法與某些Linux惡意程式有共通之處,但更加地狡猾

2023-08-07

安全漏洞 | Fortinet | 微軟 | Atlassian Confluence | Exchange Server | Zoho ManageEngine ADSelfService Plus | Apache Log4j2 | VMWare Workspace One

五眼聯盟公布去年最常被利用的12個安全漏洞

影響FortiOS與FortiProxy的SSL VPN憑證曝露漏洞(CVE-2018-13379)即便2018年就被揭露與修補,但它在過去3年都蟬聯最受駭客青睞的漏洞之一,也代表許多組織並未修補這項漏洞

2023-08-07

Power Platform | 微軟 | 修補 | 漏洞 | Azure | 資料外洩

微軟修補資安業者揭露數月的Power Platform跨租戶資料外洩漏洞

針對Tenable今年3月底通報影響Power Platform的資料外洩漏洞,微軟在8月3日對受影響的Azure主機部署修補程式,但Tenable批評微軟超過90天才修補這項重大漏洞實在不恰當

2023-08-07

醫療業 | 網路攻擊 | Prospect Medical Holdings | 醫院

美國醫療集團Prospect Medical Holdings遭網路攻擊,多州醫院受波及

Prospect Medical Holdings旗下多家醫院IT系統因網路攻擊而停擺,影響急診、住院與門診業務,患者也被迫轉院

2023-08-07

資安週報 | 資安一周 | 資安周報 | IT周報 | 漏洞修補 | 勒索軟體 | 竊資軟體 | 惡意軟體 | 後門程式 | 供應鏈攻擊 | 殭屍網路

【資安週報】2023年7月31日到8月4日

本週Ivanti再有新零時差漏洞修補消息,Citrix在6月修補的一項漏洞也傳遭駭客鎖定;在威脅焦點方面,我們認為IDOR漏洞風險的示警,美國清查各種軍事防禦系統,以及APT31鎖定東歐ICS及關鍵CI的揭露最受關注

2023-08-07

MOVEit | Clop | 零時差漏洞 | MFT | CVE-2023-34362

鎖定MFT系統MOVEit攻擊事件近六百家企業機構遭殃,且規模持續擴大(截至7月31日)

勒索軟體駭客組織Clop發起MFT檔案共享系統MOVEit Transfer零時差漏洞攻擊,近六百家企業機構遭殃,亦有部分組織因IT服務供應商遭受攻擊而受害,且規模持續擴大

2023-08-04

資安日報

【資安日報】8月4日,駭客利用Salesforce零時差漏洞發動網釣攻擊,目的是竊取企業的臉書帳號

駭客挾持企業的臉書帳號出現新的攻擊手法!他們鎖定目標企業的雲端CRM平臺Salesforce,利用名為PhishForce的漏洞來大規模發送釣魚郵件

2023-08-04

資安月報 | 資安週報 | 資安一周 | IT周報 | 資安大事記 | 資安事件 | 漏洞修補 | 勒索軟體 | 資料外洩 | 惡意程式 | 漏洞揭露 | 個資外洩 | 重大資安事件揭露 | 簡訊詐騙

【資安月報】2023年7月

在今年7月的資安新聞中,有兩大議題受到關注,包括資安事件揭露的法規態勢,尤其是美國證券交易委員會(SEC)規定上市公司要在4天內披露重大資安事件的提案,在本月正式通過;而最近幾年詐騙簡訊活動不斷的狀況,最近依然持續,包括台灣電力公司、台灣自來水公司都指出有新的假冒名義詐騙情形

2023-08-04

Microsoft Teams | 網釣 | 俄羅斯駭客 | Midnight Blizzard

俄羅斯駭客利用Microsoft Teams展開網釣攻擊

駭客滲透M365小型企業租戶,利用其權限建立合法子網域,再透過Teams傳訊給目標組織用戶以騙取權杖

2023-08-03

資安大會 | 供應鏈安全 | 風險

企業強化供應鏈安全怎麼做?專家剖析NIST 800-161r1 C-SCRM管理框架

專家建議企業,不論是甲方或乙方,可從國際性的網路安全供應鏈風險管理框架,協助企業檢視自身供應鏈安全風險管理,或幫助供應商強化安全風險管理,以符合企業對供應鏈安全管理的需求。

2023-08-02

資安日報

【資安日報】8月2日,美國針對軍事補給相關系統進行清查,中國駭客埋入可能干擾軍事行動的惡意軟體

美國政府傳出針對埋伏於軍事系統的中國惡意軟體進行調查,並認為有可能在臺海戰爭中阻礙美國的軍事能力

2023-08-02

委外開發管理 | 安全程式開發 | DevSecOps | DevOps | 資策會

資策會揭軟體委外開發管理關鍵,幫助委外承辦人即時掌控開發進度與資安問題

面對委外軟體開發上交付時才見真章的風險,資策會打造一站式DevSecOps整合平臺,不僅為內部團隊提供幫助,也夠以此實踐委外開發管理,讓所有交付可分散在不同迭代產生,讓承辦人及業務單位人員即時掌握進度、內容與資安檢測,讓委外開發管理變得更具透明度,而不只是單單透過履約管理約束委外供應商的品質

2023-08-02