資安

資安周報

資安週報, 資安一周, 資安周報, IT周報, 勒索軟體, 關鍵基礎設施, 網路釣魚, DDoS, 俄烏戰爭, 烏克蘭戰爭, OAuth, conti, NFT, npm

【資安週報】2022年5月16日至20日

本週勒索軟體攻擊出現顛覆政權、應用系統漏洞的攻擊行動相當值得留意,北韓IT人士埋伏全球企業的情況,也可能使得組織求才時要提高警覺

2022-05-21

資安月報, 資安一周, 資安周報, IT周報, 資安大事記, 勒索軟體, 釣魚郵件攻擊, Log4Shell, 供應鏈攻擊, 俄烏戰爭, 烏克蘭戰爭, SpringShell

【資安月報】2022年4月

與烏克蘭戰爭相關的網路攻擊仍是4月資安新聞的焦點;再者,勒索軟體攻擊、竊密軟體攻擊加劇的情況也相當值得注意

2022-05-16

資安週報, 資安一周, 資安周報, IT周報, 勒索軟體, 關鍵基礎設施, 網路釣魚, DDoS, 俄烏戰爭, 烏克蘭戰爭, OAuth, conti, NFT, npm

【資安週報】2022年5月9日至13日

在本週資安新聞裡,F5在月初修補的BIG-IP系統漏洞CVE-2022-1388,已經開始有破壞性攻擊的情況而值得關注後續發展;再者,勒索軟體攻擊導致哥斯大黎加進入緊急狀態、林肯學院閉校,也突顯這類威脅的情勢越來越險峻

2022-05-15

CVE-2022-1388 | 安全漏洞 | BIG-IP | F5

F5 修補重大的BIG-IP遠端執行漏洞,概念性驗證攻擊程式即將現身

編號CVE-2022-1388漏洞存在於BIG-IP所有模組所使用的iControl REST元件中,可繞過iControl REST的身分認證程序,允許未經授權的駭客存取BIG-IP系統並執行任意命令

2022-05-09

Emotet駭客正另尋感染途徑,改用雲端空間及惡意Excel外掛元件XLL檔散播

近期微軟為強化安全,預設關閉Office應用程式的VBA等多種巨集,似乎對遏止Emotet奏效,Proofpoint揭露4月Emotet新活動,一反Emotet組織慣用的典型大規模攻擊方式,以小規模活動測試新的擴散策略與攻擊手法

2022-05-08

Log4Shell | Sonatype | Log4j Download Dashboard

臺灣下載到舊版Log4j的比例持續高達8成,遠高於全球多國

Log4Shell漏洞揭露後,全球下載到舊版Log4j的情形,臺灣的比例遠高於多國。根據在Sonatype提供的Log4j下載狀態儀表板,當中資訊顯示,自去年12月10日以來,Log4j已被下載了超過5,000萬次,其次有38%下載到了有漏洞的舊版本,臺灣在這段期間,則是有8成下載到有漏洞的舊版本

2022-05-08

Rezilion | Log4j | CVE-2021-44228

Log4j漏洞揭露數月後仍有隱憂,全球有9萬應用程式曝險

資安業者Rezilion研究人員透過Shodan.io掃描,分析網路上應用程式是否使用舊版Log4j,並指出曝險的原因可區分成三大類型,包括:容器有新版但用戶未更新,或容器未更新,以及老舊專屬軟體風險

2022-05-08

資安週報 | 資安一周 | 資安周報 | IT周報 | 勒索軟體 | 關鍵基礎設施 | 網路釣魚 | DDoS | 俄烏戰爭 | 烏克蘭戰爭 | Emotet | OAuth | conti | NFT | npm | Black Basta

【資安週報】2022年5月3日至6日

在5月第一個星期的資安新聞裡,從事竊密、暗中埋伏行動的資安事故占有相當高的比例,而且,駭客運用了過往可能較少出現的工具,或是較為罕見的手法,使得組織更加難以防範

2022-05-07

Heroku | OAuth | 權杖 | 憑證 | 資料外洩

Heroku機器帳號權杖遭盜用,波及GitHub OAuth權杖與客戶憑證

平臺即服務(PaaS)供應商Heroku發現駭客盜用了該公司機器帳號的權杖,取得進入資料庫的權限,不僅盜走整合GitHub的OAuth權杖,也存取了存放客戶憑證的資料庫

2022-05-06

供應鏈 | 風險管理 | 資安 | NIST | C-SCRM指南

美國國家標準局更新《網路安全供應鏈風險管理》指南

該指南旨在協助產品、軟體及服務的採購商與終端用戶,如何辨識、評估與應對供應鏈所帶來的網路風險

2022-05-06

資安日報 | 資料外洩 | 勒索軟體 | 漏洞揭露 | 關鍵基礎設施 | 防毒軟體 | Pay-per-install | Winnti | APT41

【資安日報】2022年5月6日,Avast與AVG防毒軟體元件存在嚴重漏洞、駭客藉由USB隨身碟散播蠕蟲程式

在今天的資安新聞中,Avast、AVG防毒軟體的元件漏洞,以及F5的BIG-IP系統重大漏洞,用戶都應該儘速採取緩解措施;再者,駭客利用USB儲存裝置傳送惡意程式的攻擊手法,相當值得留意

2022-05-06

金管會 | 臺灣證券交易所 | 證券櫃臺買賣中心 | 推動上市櫃公司資安管理機制 | 上市上櫃公司資通安全管理指引 | TWCERT/CC

強化上市櫃資安措施政策大公開,提供資通安全管控指引,推動加入情資分享平臺

為提升上市櫃公司對資訊安全的重視,近年政府要求證交所及櫃買中心成立強化上市櫃資安措施的任務小組,主要從資訊公開、公司治理、監理協助這三大角度,不只透過法令修正要求公司符合規範,還發布「上市上櫃資通安全管控指引」,提供予普遍公司能有可依循作法的參考,近期還將鼓勵公司加入領域ISAC或TWCERT

2022-05-06

Martech之父 | Martech版圖 | Facebook | Facebook Messenger | WhatsApp | Instagram | HubSpot | TikTok | TikTok Pulse | Google Play | Cookie條款

Martech雙周報第21期:2022全球Martech版圖出爐,廠商總數增至近萬家

Martech之父Scott Brinker,發布全球2022 Martech版圖。自2020以來,Martech廠商總數從8000家,增加到了9932家,漲幅約24%。

2022-05-06

國家安全備忘錄 | 拜登 | 美國 | 抗量子破解 | 量子資訊科學 | 量子電腦

拜登簽署安全備忘錄,維繫美國於量子運算上的領導地位

美國總統拜登除了要全力發展量子資訊科學,也要將重大基礎設施及政府系統遷移到抗量子的密碼學系統

2022-05-06

微軟 | google | 蘋果 | 無密碼登入 | FIDO

蘋果、Google與微軟擴大對FIDO的支援以加速無密碼時代的到來

Google打算在Android平臺及Chrome瀏覽器上,導入對FIDO登入標準的支援

2022-05-06

編者的話 | 身分與存取管理 | IAM | 資安 | 零信任 | Zero Trust

人人握有多重身分的資安防護需求

隨著數位化程度提高,一般消費型與商用IT技術的不斷演進,每個人在日常生活與工作的場合當中,可能都需要存取多個應用系統與網路服務,因而衍生了大量的身分(帳號、數位憑證),以及各式各樣的存取權限設定

2022-05-06

資安日報 | 資料外洩 | 勒索軟體 | 漏洞揭露 | 關鍵基礎設施 | 烏克蘭戰爭 | 俄烏戰爭 | Apple Silicon

【資安日報】2022年5月5日, 研究人員的Docker蜜罐發現鎖定俄羅斯網攻的映像檔、Apple Silicon處理器存在Augury漏洞

烏克蘭曾在對俄羅斯政府機關發動DDoS攻擊時,運用了Docker雲端基礎設施;再者,有研究人員發現多款Apple Silicon處理器的漏洞而值得關注

2022-05-05

IC3 | FBI | BEC詐騙 | 網路犯罪

商業電子郵件詐騙大行其道,相關損失居網路詐騙首位

FBI根據去年美國網路犯罪投訴案件資料發布調查報告,指出在各類詐騙手法中,以商業電郵詐騙(BEC)對受害者造成的損失金額最鉅,占所有網路犯罪不法所得的35%

2022-05-05