資安

資安周報

資安一周, 資安周報, IT周報

資安一周第143期:廣達傳遭勒索軟體REvil攻擊。明尼蘇達大學將漏洞導入Linux核心惹議

4/22-4/28 一定要看的資安新聞

 

#勒索軟體攻擊  #高科技產業

2021-04-27

資安一周, 資安周報, IT周報

資安一周第142期:軟體測試服務商遭駭恐影響3萬用戶。駭客鎖定上網搜尋商業文件人士散布木馬

4/15-4/21 一定要看的資安新聞

 

#供應鏈攻擊  #軟體開發

2021-04-21

資安一周, 資安周報, IT周報

資安一周第141期:臉書、LinkedIn、Clubhouse用戶資料出現於駭客論壇,但都強調非系統遭駭

4/8-4/14 一定要看的資安新聞

 

#資料外洩  #社群網站

2021-04-14

網路釣魚 | 釣魚簡訊 | 釣魚信件

Celsius加密貨幣交易網站遭冒用,疑似資料外洩導致網釣攻擊

Celsius Network連續發布公告,說明假冒該公司簡訊和電子郵件的網路釣魚事件。  

2021-04-19

制裁 | 拜登 | 美國 | 俄羅斯 | Positive Technologies

遭美國制裁的資安業者Positive Technologies,是微軟、IBM及VMware的合作夥伴

Positive是微軟主動防護計畫(MAPP)的合作對象之一,也提供IBM QRadar用戶安全漏洞檢測服務

2021-04-19

物聯網 | IoT | Internet of Secure Things Alliance | ioXt Alliance | 資安 | VPN

Internet of Secure Things Alliance開始認證行動程式與VPN服務的安全性

提供物聯網安全認證的ioXt Alliance,服務範圍從硬體擴大到連網裝置的行動控制程式及VPN服務

2021-04-19

Codecov | 資安 | 網路攻擊 | 憑證外洩 | CI | 資料外洩 | 供應鏈攻擊

軟體測試服務業者Codecov被駭,可能影響P&G、GoDaddy等近3萬家客戶

美國提供軟體開發測試服務的廠商Codecov今年初遭到駭客入侵,該公司擁有民生用品大廠P & G、全球最大網域服務管理商GoDaddy及華盛頓郵報等知名用戶,美國警方已介入調查

2021-04-19

FTP協定 | Firefox | Mozilla

Firefox 88終止FTP支援

Mozilla已於本周釋出的Firefox 88正式關閉FTP,預計2個月後釋出的Firefox 90,則正式移除所有FTP實作

2021-04-19

容器週報 | K8s | Docker | OpenShift | 容器資安 | DevOps | Kubernetes | IT周報

Container周報第137期:K8s今年第一個新版有50項更新,紅帽揭露OpenShift零信任架構未來3大發展方向

OpenShift在三月公布的發展藍圖中,接露了資安上的未來發展方向,將內建零信任架構,包括三大方向,部建階段的偵測能力、部署階段的保護機制和執行階段的應變機制

2021-04-19

Google Project Zero | 漏洞揭露政策 | 資安

Google Project Zero更新漏洞揭露政策,提供30天的修補緩衝期

若業者在90天內修補了漏洞,Project Zero團隊將會再提供30天緩衝期供用戶端完成修補,之後才會公開漏洞細節

2021-04-17

AI資安 | Nvidia AI | GPU與DPU協作 | Accelerating Computing | Network Telemetry | SmartNIC

串聯GPU、DPU與軟體網路遙測技術,Nvidia跨入AI資安領域,推出專屬應用框架Morpheus

Nvidia在發展各種通用與特定產業專屬的GPU加速與AI應用框架之後,今年GTC大會正式宣布要針對AI資安分析需求,推出專用的應用框架軟體,當中運用他們既有的EGX軟硬體整合平臺,提供機器學習推論的處理,也能搭配DPU兼具CPU運算與網路封包擷取的架構,從中直接收取整個網路的封包資訊,讓AI資安分析的數據來源更完整,並能借重GPU來加快機器學習的處理速度,進而做到更徹底的網路威脅異常偵測、資料外洩偵測,進而達到縮短鑑識與矯正時間

2021-04-16

Google搜尋引擎 | 惡意軟體

多達10萬個網站遭濫用並安裝木馬程式(RAT),駭客甚至利用PDF檔案滲透

網頁被嵌入惡意軟體,利用關鍵字引誘使用者點擊,並重新導向至惡意網頁,進而誘使用戶下載檔案。

2021-04-16

Kubernetes | DOS | CVE-2021-20291 | 函式庫 | container/storage

Kubernetes GO函式庫漏洞可引發DoS攻擊

Palo Alto研究人員在K8s的container/storage函式庫,發現安全漏洞CVE-2021-20291,這個漏洞可以在儲存庫上傳惡意映像檔時,觸發DoS攻擊

2021-04-16

北韓駭客Lazarus將電子商城的加密貨幣錢包位置更換成自己的錢包,但付款網頁上使用者很難察覺有異

加密貨幣 | 網站側錄攻擊 | 電商網站盜錄

北韓駭客Lazarus鎖定電子商城發動網站側錄攻擊,目標是竊取加密貨幣

駭客針對線上購物發動側錄攻擊的情況相當常見,目標自然是購物所使用的信用卡或支付卡,但近期威脅情資業者Group-IB發現,北韓APT駭客組織Lazarus開始對於能使用加密貨幣付款的電商下手,並竊得比特幣與以太幣

2021-04-16

俄羅斯 | 網路戰 | 行政命令 | Joe Biden | 美國總統大選 | 網軍

干預總統大選且涉及SolarWinds攻擊,拜登下令制裁俄羅斯

美方將針對俄羅斯央行、當地金融機構、6家技術公司,以及32個實體與個人展開制裁

2021-04-16

Chrome 90 | HTTPS | FLoC | AV1編碼器

Chrome 90問世:以HTTPS作為預設,嵌入隱私沙箱控制

過去Chrome會優先將使用者導至基於http://的網站,但從Chrome 90開始,瀏覽器預設選擇https:// ,若該站尚未支援https://,才會連至http://

2021-04-16

將來銀行 | 純網銀 | 全虛擬化 | API化 | 零信任架構 | DevSecOps

【以將來銀行為鏡,談大型系統整合的挑戰】為何團隊磨合衝擊百億純網銀開業(下)(將來銀行IT系統建置時程表詳細公開)

一邊進行業務發想(需求變動),一邊建置後端軟硬體(基礎環境變動)、一邊開發前端系統(用戶端功能變動),又一邊要趕快開始進行後續前後端整合後的UAT測試,這些都要在短短幾個月中,先後進行,可想而知,很難做到周全,

2021-04-16

將來銀行 | 純網銀 | 團隊磨合 | 全虛擬化 | API化 | 零信任

【以將來銀行為鏡,談大型系統整合的挑戰】為何團隊磨合衝擊百億純網銀開業(上)

將來銀行所面對的挑戰,是大型專案整合的困難,絕不只是團隊協作的考驗而已,尤其這種全銀行所有資訊系統的大型專案,更涉及業務面、架構面、整合面和維運面等議題,也考驗IT與業務團隊的金融專業、建置經驗和協同合作的默契,更是高層與核心經營團隊的管理挑戰。

2021-04-16