| 臺灣資安大會直擊 | 臺灣資安大會 | NIST SSDF | NIST安全軟體開發框架 | 安全軟體開發流程 | SSDLC | 安全軟體開發生命週期 | 軟體開發生命週期 | SBOM | VEX | 2022臺灣資安大會 | 產品資安 | 產品安全
安全軟體開發有新實踐指引,NIST SSDF正受資安業者關注
將安全實踐引入每個軟體開發生命週期,SSDLC已提倡多年,包括科技公司與軟體安全組織都在推動,如今美國NIST在2022年也釋出這方面的高層次框架,解析出4大構面與20項實踐,任何部門組織均能適用
2022-10-20
| 後門程式 | Windows | PowerShell
SafeBreach研究人員發現一個藏匿在LinkedIn工作申請文件的後門程式,透過偽裝成Windows合法排定任務躲過安全工具的檢查
2022-10-20
| Fortinet | CVE-2022-40684 | 漏洞修補
Fortinet新修補漏洞已有多起攻擊,逾1萬7千臺Fortinet設備恐曝險,臺灣635臺居全球第三
Fortinet新修補漏洞已有多起攻擊,同時,該公司先通知特定用戶更新緩解,卻消息外傳引關注。更值得關注的是,近日Shadowserver基金會發布報告,指出有逾1萬7千臺Fortinet設備暴露於網路且應該要修補
2022-10-20
資安業者SOCRadar在掃描公開網路環境中的安全漏洞或不當配置時,偵測到微軟Azure Blob Storage的一項配置錯誤,並宣稱導致全球逾6.5萬家企業用戶資料外洩,但微軟認為這起安全事件沒有SOCRadar所說的嚴重
2022-10-20
| 媒體 | 勒索軟體 | Stimme Mediengruppe
Stimme Mediengruppe集團旗下媒體Heilbronn Stimmet總編輯對外表示,相關攻擊是由知名的勒索集團所發動,加密了母集團的系統,並留下了勒索信
2022-10-19
| 各機關對危害國家資通安全產品限制使用原則 | 數位發展部 | 修法 | 中國製
數位發展部預告修訂2年多前公布的「各機關對危害國家資通安全產品限制使用原則」,適用範圍將擴及公務機關提供的公共場所的委外合作廠商,都不允許使用中國製的軟、硬體和服務
2022-10-19
根據美國網路安全及基礎設施安全局(CISA)的說明,RedEye可用來視覺化及匯報紅隊的命令及控制活動,讓操作者可快速存取複雜的資料,評估緩解策略
2022-10-18
| MoTW | 安全漏洞 | Windows | Windows Mark of the Web
0patch釋出非官方的Windows MOTW漏洞修補程式
針對一項在今年7月公開、涉及微軟Windows Mark of the Web(MOTW)的安全漏洞,在微軟已知情未修補、但漏洞已遭到利用的情況下,資安業者0patch宣布釋出非官方修補程式
2022-10-18
| 2022臺灣資安大會 | Cybersec 2022 | Cloud Security | 臺灣資安大會
【臺灣資安大會直擊】持續推動三項重要工作,雲端資安成熟度可望節節高升
雲端服務為IT帶來許多便利性,然而,在資安防護與治理的工作上,由於身分邊界、網路邊界的模糊,使得錯誤設定狀況相當普遍,以及應用程式與系統服務難免出現安全性瑕疵,而衍生出極大的挑戰。在今年9月舉行的臺灣資安大會期間,奧義智慧科技派出資深資安研究員蘇學翔與林殿智從資安觀念來解決這個難題,當中綜合眾多來自雲端業者、資安組織、資安專家的指引、最佳實務,以及他們協助客戶導入的經驗,濃縮成三階段防護對策
2022-10-18