| 2021臺灣資安大會 | SELinux | Linux
【臺灣資安大會直擊】針對Linux的存取控制機制,工研院試圖打造通用SELinux政策
在Linux作業系統中,SELinux是功能強大且複雜的存取控制機制,工業技術研究院資通所在臺灣資安大會上,介紹他們從資安防護的角度出發,打造能適用於多數Linux版本的SELinux政策樣板
2021-05-31
| Nobelium | SolarWinds | 供應鏈攻擊 | 俄羅斯駭客集團
主導SolarWinds攻擊的俄羅斯駭客集團Nobelium透過郵件行銷平臺Constant Contact,發送惡意郵件予全球150個組織
Nobelium駭入人道救援組織美國國際開發署(USAID)持有的ashainfo@usaid.gov和mhillary@usaid.gov帳號,對政府組織、NGO、智庫組織、軍方攻擊標的發動網釣攻擊
2021-05-29
| FortiOS | Fortinet | FortiGates | APT | 資安 | 安全漏洞
FBI警告APT組織廣泛開採各類已知漏洞,廠商給修補但使用者無作為,等於坐等被入侵
近期再度發生地方政府沒修補IT產品已知安全漏洞,而被國家級駭客組織滲透竊資的攻擊事件,之前已對此示警的FBI,再度提醒各組織務必確認內部系統是否含有已知漏洞,有的話盡快更新至廠商提供的修補版本
2021-05-28
| Have I Been Pwned | HIBP | .NET基金會 | 開源專案
美國聯邦調查局也加入HIBP 平臺創始人Troy Hunt的行列,負責將該單位調查到的外洩資料匯入HIBP專案
2021-05-28
| 日本政府 | 富士通 | ProjectWEB | 資料外洩 | 資安
駭客攻擊富士通代管的ProjectWEB專案資訊共享平臺,導致日本國土交通省、外務省等使用單位資料外流
2021-05-28
| 樂屋網 | IaC | IaC Security | DevOps | GitOps | 自動化
【臺灣資安大會直擊】樂屋網揭自身IaC資安作法,轉移安全性監控至基礎架構程式碼層
隨著IaC(Infrastructure as Code)普及率的提高,企業在建立IaC工作流後,了解與之相關的安全性風險變得越來越重要。樂屋網在今年的資安大會上,分享自身如何實踐IaC資安,將安全性注入IaC,從配置設定強化基礎架構環境的安全性
2021-05-28
| 國泰金融集團 | 集團SOC | 林佩靜 | 資安聯防 | 資安人才 | 雲端安全 | 2021臺灣資安大會
【臺灣資安大會直擊】對抗後疫情資安5大威脅,國泰金融集團靠3策略
3年前,國泰金融集團便為旗下子公司與海外子公司,訂定了一致性的資安政策。這一兩年間,特別是疫情發生後,國泰觀察到5大資安威脅,並從系統、應用、人員3大策略來對抗後疫情資安。去年底,國泰更委外建置集團SOC,以監控集團資安狀態;供應商、資料、開源軟體、雲端安全,更是目前國泰重點關注的資安議題。
2021-05-28
| 資安 | 供應鏈 | 目標式攻擊 | 零信任 | 勒索軟體 | iThome 2021臺灣資安年鑑
【資安教戰守則:因應雙重勒索之道】目標式攻擊瞄準供應鏈脆弱環節,該如何因應?
發展已久的目標式攻擊,儼然讓駭客的勒索敲詐行徑取得更有成效且豐碩的成果,而由於SolarWinds事件所引發出供應鏈安全問題,使得鏈狀的脆弱處產生驚人破壞力
2021-05-28
| PDF規格 | 安全漏洞 | 資安 | Ruhr-Universität Bochum | 認證簽章 | Certification Signatures
研究人員揭露PDF規格的兩個安全漏洞,將允許駭客偷偷竄改已認證文件內容
PDF規格定義了兩種型態的數位簽章,研究人員發現其中的認證簽章(Certification Signatures)有安全漏洞,能夠讓第三方變更已認證文件中的內容呈現,同時保留認證簽章的有效性,對此Adobe、Foxit與LibreOffice已完成修補
2021-05-27