| 供應鏈安全 | supply chain | MITRE ATT&CK | SBOM | 軟體物料清單 | 奧義智慧
【臺灣資安大會直擊】供應鏈安全層面大剖析,奧義揭露臺灣多起APT攻擊事件都是對方從供應鏈下手
供應鏈安全的涵蓋面向不小,在近日舉行的臺灣資安大會上,奧義智慧表示需針對突破口持續風險管理,強調供應鏈評鑑與軟體物料管理(SBOMs),同時也揭露了臺灣近年多起APT攻擊,其實都與供應鏈有關。
2020-08-17
| IEC 62443 | OT安全 | IACS安全 | NIST CSF | ISO 27001
【臺灣資安大會直擊】IT與OT各有不同的資安認證標準,企業仍可建立統一的管理制度來同時對應相關的要求,而非重複進行類似的工作
在IT領域,許多企業在推動資安防護的工作上,都會參考ISO 27001的要求,而在OT領域,則是依據IEC 62443的標準,雖然這兩種環境都有各自的資安風險與威脅,但我們應該分成兩邊來進行控管與稽核嗎?資誠智能風險管理諮詢公司風險及控制執行董事張晉瑞表示,我們可以將這些資安規範融合在一起,建立一套可適用於不同資安框架要求的管理制度,釐清每個防護作法所對應的資安規範項目,而非各自為政,避免投入過多資源卻無法得到應有成效的窘境
2020-08-17
攻擊者將名為XCSSET的惡意程式碼,以未知手法注入本機Xcode專案,已有開發人員將問題Xcode專案經由GitHub分享,恐導致類似供應鏈攻擊的風險
2020-08-17
| Check Point | Amazon | Alexa | IoT
Check Point研究發現Alexa存在洩漏使用者資料的漏洞
受害者只要點擊惡意連結,駭客就能夠操縱Alexa帳戶中的技能,進而存取使用者個人資料
2020-08-17
| 臺灣資安大會 | Cyber War | Cyber IQ
【臺灣資安大會直擊】場邊軟性資安遊樂園吸睛,要讓更多對資安有興趣的與會者也能一同參與
今年臺灣資安大會是繼今年2月底在美國舊金山舉行的RSA Conference後,成為全球唯二可以實體舉辦的資安會議,現場多項專業議程與資安能量展示之外,大會也特別規畫了資安遊樂園讓大家也能從遊戲中學習資安。
2020-08-15
| 臺灣資安大會 | Purple Team | 紅隊演練
【臺灣資安大會直擊】解決攻防團隊各司其職、目標衝突的現象,紅藍隊演練需要透過紫隊來居間協調
找尋企業的弱點來強化防護的工作上,繼紅隊演練(Red Team)之後近期又有了紫隊(Purple Team),目的就是讓負責演練的紅隊和藍隊能站在同一陣線。在2020 Cybersec臺灣資安大會裡,奧義智慧的資安研究員介紹成立紫隊的重要性
2020-08-14
| CVE-2020-1509 | Windows LSASS
向微軟通報Windows本地安全認證子系統服務(LSASS)漏洞的研究人員表示,微軟在8月Patch Tuesday提供的相關修補並不完整
2020-08-14
NSA、FBI警告俄羅斯發動Linux惡意程式Drovorub攻擊政府及國防單位
美國國安局及聯邦調查局發布安全公告,指出俄羅斯情報機關以名為Drovorub的Linux惡意程式,攻擊政府及國防單位使用的Linux系統
2020-08-14
| 臺灣資安大會
邁入第6年的臺灣資安大會,見證了臺灣資安產業最快速發展的階段,今年的規模更達到國際級會議水準,報名人數近萬人,超過180場演講,單日更有13軌議程並行,而且大多數場次都是臺灣資安界專家、高手分享世界級的成果,甚至有不少是全球獨步的研究
2020-08-14
| Darkhotel APT | CVE-2020-1380 | CVE-2020-0986 | Windows 漏洞
卡巴斯基:IE 11的零時差漏洞CVE-2020-1380曾被用來攻擊南韓企業
專門滲透各大飯店植入間諜程式的Darkhotel APT駭客集團,在今年5月的攻擊行動中,開採了藏匿在IE 11上的CVE-2020-1380漏洞,以及Windows kernel中的CVE-2020-0986漏洞,來攻擊一家南韓企業,而微軟則分別是在8月以及6月才針對前述二項漏洞發布安全更新
2020-08-13