資安

這一周公布的已發現鎖定利用漏洞有3個，包括IBM與Mitel的漏洞；在資安威脅與事件方面，有資安業者警告多款WAF可能存在CRLF漏洞，研究人員揭露NPM帳號接管的新攻擊手法，以及微風百貨傳90萬用戶個資與內部資料被駭客取得，該業者已證實接到匿名網路勒索信並即時啟動損害機制

新聞集團（News Corp）向主管機關通報2020年到2022年間，曾遭駭客存取業務文件和電子郵件，導致自家員工及合作廠商的醫療及金融資料外洩

2月初半導體設備商MKS Instruments揭露遭勒索軟體攻擊，業務與產線系統受影響，一周後他們又再說明最新調查，表示事件衝擊訂單處理與產品運送。相隔幾天美國半導體製程設備與服務大廠應用材料公開季報，提到一家主要供應商近期發生資安事故，將影響應材下一季出貨，國外多家媒體報導指出這家供應商就是MKS

備份資料這項工作仍須持續落實，不能因為許多系統與資料上雲是趨勢，以及公有雲環境具備極高的服務可用性，就天真地認為能獲得萬無一失的擔保

去年6月Fortinet發表數位風險防護系統FortiRecon，結合機器學習、自動化處理、專家智慧，產生更符合企業本身特性的威脅情資，可用於外部攻擊面管理、企業品牌冒用防護，以及聚焦在組織敵對者的資安威脅情資掌握。

有人上傳1.5萬個含有網釣連結的NPM套件，意圖藉由推薦特定網站牟利；公布超過一年的漏洞Log4Shell仍是駭客偏好的目標，去年下半有4成企業遭到相關攻擊

IBM Security最新X-Force Threat Intelligence Index資安報告顯示，企業已經能夠良好地偵測和預防勒索軟體，2022年勒索軟體攻擊事件只占17％

網頁應用程式防火牆的過濾機制可被繞過，有研究人員利用換行字元（CRLF）注入漏洞，進而對網站發動跨網站指令碼（XSS）攻擊；當紅的ChatGPT也成為駭客發動攻擊的幌子，對Windows、安卓用戶散布惡意程式