資安

高成本和低靈活性的WAN，在企業WFH發展趨勢下已經不敷使用，以網際網路為基礎的企業網路才會續存，零信任將會取代過去採用VPN連線的安全模型

駭客組織利用Log4Shell漏洞發動攻擊的事故，有資安業者發現鎖定學術單位而來；而網路叫車系統Uber郵件系統驚傳漏洞，恐被用於詐騙信用卡資料的攻擊

VPN Overview研究人員發現Sega歐洲的S3儲存貯體因配置錯誤，導致該單位的多項服務憑證、RSA金鑰、用戶個資在網路上曝光

這個月最重大的資安議題，莫過於震驚全球、且存在許多應用系統的Apache Log4j重大漏洞「Log4Shell」（CVE-2021-44228）

企業如果想要因應Log4j漏洞的危機，首先要先清查自己到底有多少系統使用了有漏洞的Log4j版本，而根據國內一家廠商對用戶進行的調查，許多產業都無法倖免，但其中，金融業所要處理的Log4j漏洞管理作業可能最繁重，因為他們的金融業用戶中，使用有漏洞Log4j版本超過10個的公司，竟高達50％

代號Pancak3的研究人員揭露AvosLocker組織在發現攻擊到美國政府單位後，擔心被執法單位追緝，主動向受駭單位提供免費解密

Log4Shell漏洞再傳出被用於勒索軟體攻擊行動，這次受害組織是越南大型加密貨幣交易所ONUS；而T-Mobile用戶遭到SIM卡挾持（SIM Swapping）攻擊的現象，也值得留意

根據Onus資安合作夥伴CyStack調查，攻擊者在Onus完成修補前，便開採了Onus伺服器上的Log4Shell漏洞，並取得Onus在AWS S3上的用戶資料