資安

臺灣受駭單位以政府軍方和資服業者　阿米巴和畫皮為主要攻擊組織

推動零信任轉型多年的Google，最近該公司難得在臺說明他們的零信任實踐原則，Google Cloud台灣技術副總經理林書平表示，他們的零信任是以身分作為存取控制的邊界，並聚焦在5大身分面向，包括：使用者、裝置、機器、服務、程式碼。此外，可信任軟體亦是根本，他並提及Google Cloud在安全軟體供應鏈的推動

微軟12月例行安全更新修補的CVE-2022-44698已遭利用，這項漏洞允許駭客繞過Windows SmartScreen安全功能

鎖定公有雲IaaS身分存取安全防護需求，SailPoint提供SaaS型態的雲端治理解決方案

開源開發人員可在專案使用OSV-Scanner，透過比對相依項目和OSV漏洞資料庫，找出專案相依項目中所存在的漏洞

AWS將會在2023年4月，針對使用S3 API、S3 CLI和AWS SDK等創建的S3儲存桶，預設禁止公開存取以及停用存取控制列表（ACL）

本月有兩大漏洞方面議題值得關注，包括要掌握近期駭客組織在實際攻擊行動所針對的已知漏洞的清單，還有為了改善記憶體漏洞的問題，最近越來越多從層式語言層級來探討。另外，近期一則駭客投放Google廣告，散布假冒家樂福網站的事件，再次讓這種多年來持續發生的威脅狀況受到關注

針對今年8月以來陸續被外界發現的二批外洩資料，推特指出其實都源自同一起安全事件，受影響帳戶實際數量從540萬修正至1,700多萬筆