資安

駭客利用Workspace ONE Access已知漏洞CVE-2022-22954為攻擊跳板，企圖針對尚未修補漏洞的VMware用戶，植入Mirai變種、勒索軟體以及採礦軟體

Apache Commons Text 1.10.0版修補的重大漏洞CVE-2022-42889，研究人員認為可能會與Log4Shell帶來類似的效應；勒索軟體事件不斷，國際間物流、保險、生技、媒體、科技都有受害者出現

內容管理系統WordPress 6.0.3版修補16個漏洞，其中有4個較為嚴重；惡意軟體Ursnif為了要讓受害者降低警覺，要求受害者下載惡意文件需通過CAPTCHA

微軟在Ignite大會上宣布，原本針對大型企業推出的Azure DDoS IP保護，將另外發展出適合中小企業的SKU

關於資安防護的作法，了解與管理自身的弱點與攻擊面，這是做到「明（Visible）」的策略，但其實我們也能應用「暗（Invisible）」的策略，善用「內隱」的作法推動資安

Check Point在9月發表SOC即服務產品線Horizon，涵蓋MDR、XDR，以及事件資訊整合平臺

在10月17日，上櫃公司大拓-KY在臺灣證券交易所說明子公司發生資安事件，而在該公司官方網站日文版頁面中，同日公開了事件初步調查結果，說明是遭遇勒索軟體攻擊，並表示有新的事實會持續公開揭露

將安全實踐引入每個軟體開發生命週期，SSDLC已提倡多年，包括科技公司與軟體安全組織都在推動，如今美國NIST在2022年也釋出這方面的高層次框架，解析出4大構面與20項實踐，任何部門組織均能適用