資安 | iThome

| 集保結算所 | 營運持續管理 | BCM | BCP | 國家關鍵基礎設施防護--演習參考手冊 | ISO 22301 | 異地備援

「營運持續管理」要落實與精進，集保結算所強調應變演練聚焦重大事故，與外部支援單位磨合更是關鍵

近年國內企業組織對資安強化的重要性已有普遍共識，而在營運持續管理（BCM）方面，儘管早年也在推動，但如何進一步落實與精進，更是現代企業組織必須關注的議題，最近臺灣集中保管結算所公開他們在此方面的相關經驗，希望讓國內各企業與機構對於營運韌性的提升，可以更加去重視

2022-12-21

【資安日報】2022年12月20日，FBI威脅情資交換平臺用戶個資驚傳流入暗網、4至5年前修補的思科產品漏洞出現攻擊行動

FBI與民間企業交換威脅情資的平臺InfraGard遭到入侵，駭客竊走8.7萬名會員個資；思科近日更新數十則資安通告，原因是數年前修補的漏洞出現了攻擊行動

2022-12-20

| CSE | 用戶端加密 | Google Workspace

Google開放大型企業及教育用戶測試Gmail用戶端加密

Workspace Enterprise Plus、Education Plus、Education Standard客戶將可申請測試Web版Gmail用戶端（CSE）加密功能

2022-12-20

| Let’s Encrypt | CA | 中間人攻擊

Let's Encrypt在ACME-CAA支援帳戶綁定和驗證方法綁定

Let's Encrypt更新用於防範憑證頒發網域驗證中間人攻擊的ACME-CAA功能，現在讓用戶能夠限制CAA的ACME帳戶以及驗證方法集

2022-12-19

【資安日報】2022年12月19日，連網裝置成MCCrash殭屍網路病毒入侵的目標、駭客鎖定食品業者發動BEC攻擊

駭客鎖定Windows、Linux連網裝置散布殭屍網路病毒MCCrash，目的是要用來發動DDoS攻擊；美國FBI、FDA提出警告，已有數家食品業者遭到BEC攻擊，駭客對其訂貨再進行銷贓

2022-12-19

| 2FA | GitHub | 憑證安全

GitHub釋出免費憑證掃描工具、新增5類用戶強制啟用2FA

GitHub準備將名為secret scanning的免費掃描工具，開放給所有公開儲存庫用戶，幫助開發人員避免經由程式碼洩露登入憑證

2022-12-19

臉書更新抓漏獎勵，RCE漏洞最高可拿30萬美金

臉書除了提高行動遠端程式碼執行漏洞的通報獎金，也將帳號接管（ATO）及雙因素驗證（2FA）繞過漏洞納入漏洞獎勵計畫

2022-12-19

| 樂高 | API | PII

樂高線上市集存在兩嚴重漏洞，可洩漏用戶個資與伺服器機密資訊

樂高（LEGO）線上市集bricklink.com存在兩個API安全漏洞，可能導致使用者帳戶遭接管，還允許攻擊者存取伺服器機密資訊

2022-12-19

| NIST | SHA-1 | 碰撞攻擊

NIST宣布美國聯邦政府2030年12月31日後停用SHA-1加密演算法

由於針對SHA-1的碰撞攻擊日益嚴重，NIST宣布美國聯邦政府在2030年12月31日後，停用SHA-1加密演算法

2022-12-19

【資安週報】2022年12月12日到12月16日

本周有微軟、Citrix、Fortinet、蘋果與Veeam的多個漏洞修補需要特別注意，已有駭客組織在攻擊行動利用這些漏洞；在其他漏洞修補新動向上，包括多家WAF產品業者修補一項漏洞，是關於WAF無法識別JSON格式，導致可能被用於發動SQL注入攻擊，以及數家防毒軟體與EDR業者修補零時差漏洞，可被用於破壞電腦資料

2022-12-19

| GitHub | 儲存庫 | 權杖

GitHub公開儲存庫現在也可以使用秘密掃描功能

GitHub宣布開始對社群公開儲存庫提供免費秘密掃描，用戶會在程式碼洩漏秘密時候收到警報

2022-12-16

2022年TeamT5臺灣APT攻擊研究出爐：觀察109起APT攻擊行動，26個受駭單位

臺灣受駭單位以政府軍方和資服業者　阿米巴和畫皮為主要攻擊組織

2022-12-16