資安

這一星期有兩個已知漏洞新發現遭利用的消息，包括Apache Flink、NextGen Healthcare的漏洞；在資安威脅態勢方面，以美國AI專家遭鎖定、南海各國政府有8個軍事單位與政府機關受害，以及義大利企業被部署後門程式最受關注，並且都與中國駭客組織攻擊有關

上週末Chrome釋出125.0.6422.112/.113版本，修補已遭廣泛濫用的漏洞CVE-2024-5274

上個月資安組織MITRE證實今年1月遭遇Ivanti零時差漏洞攻擊，當中提及駭客操弄受害網路環境的VMware虛擬化平臺來埋藏行蹤，現在他們將攻擊手法的細節公諸於世，讓IT人員能夠察覺、防範這類新興威脅

我國推動零信任架構策略，分為身分鑑別、設備鑑別、信任推斷3個核心機制，從使用者的身分、使用的設備，以及行為，作為控制存取資料及應用的依據。去年數位部已先輔導22個資安A級機關導入身分識別，同時有2個機關先導入設備鑑別機制，今年計畫完成全部A級機關導入身分鑑別，並有2個機關先導入信任推斷機制。

防詐及資安公司Gogolook（走著瞧-創）在今日下午於臺灣證券交易所舉行重大訊息記者會，宣布董事會通過以450萬歐元現金（約1.56億元）的海外股權收購案，將取得總部位於荷蘭的數位防詐服務商ScamAdviser 100%股權。該公司指出，這次併購將有助於企業防詐服務經營，以及跨入歐美市場

與其暗地測試員工是否會上當，Google安全事件經理建議，企業應教育員工辨識釣魚信件及社交工程手法、並養成對可疑郵件有疑慮應主動通報的習慣

本週臺灣藝術大學發出資安公告，指出他們的校友聯絡中心網站存在資安問題，任何人透過Google搜尋就有機會看到申請校友證的個資，他們緊急將網站關閉，並對於含有機敏個資的中級系統，全面進行弱點掃描

Ivanti本週發布5月份資安公告，修補旗下產品16個漏洞，其中，危險程度最高的漏洞，皆與Ivanti Endpoint Manager（EPM）有關而值得留意