資安

本周有Barracuda零時差漏洞遭攻擊需優先注意，在漏洞修補消息方面則包括GitLab、D-Link與Zyxel以及應用程式框架Expo；在攻擊活動方面，以中國駭客組織Volt Typhoon從2021年中開始攻擊美國關島重大基礎設施的報告揭露最受關注，當中解析了攻擊上的TTPs，並指出該組織相當擅用寄生攻擊手法

在地下市集進行的比特幣交易即使無聲無息，但絕非秘密，仍有跡可循

基於AuthSession重導向代理伺服器（auth.expo.io）服務出現可劫持帳號的重大漏洞，Expo除了在最新SDK 48版及auth.expo.io服務的AuthSession模組移除useProxy選項，也建議使用AuthSession模組中useProxy選項的App/網站，應移轉以免除風險

摩根大通年度預算是810億美元，153億美元的科技預算占了將近18.9%。工程團隊生產力去年提高1成，相當於創造了3億美元價值，AI應用更驚人，去年影響了10億美元的業務

面對駭客多變攻擊手法，企業資源未必有能力一次將資安防禦做到位。如何確定資安措施優先執行順序，重點是掌握威脅情資，根據駭客攻擊模式來規畫防禦。

要讓資安的意識與行動能夠更為普及、落實，如何使普羅大眾、各種領域的專業人士都能夠接收與理解相關訊息，是非常重要的

各界奉為圭臬的資安框架CSF，要將治理（Governance）納入新版本，預計明年公布CSF 2.0。面對這個趨勢改變，鴻海集團資安長李維斌點出，資安長也得轉變思維，將自己視為業務夥伴，來提高組織面對不確定性的冒險本錢。

被微軟命名Volt Typhoon的中國駭客組織，自2021年開始攻擊美國重大基礎設施，並利用受害組織既有資源來執行攻擊行動，以躲避安全偵測