全部文章分享

         本文擷取自資安人

社交媒體平台 X（前身為 Twitter）於昨日遭受多波大規模 DDoS 攻擊，導致全球用戶無法正常使用該服務。親巴勒斯坦黑客組織「Dark Storm Team」宣稱對此次攻擊負責。

根據 Downdetector 的數據，從週一上午 9:30 至晚間 18:20 期間，數萬名用戶報告 X 服務中斷，其中大多數（58%）是使用行動應用程式的用戶。這些中斷發生在全球各地，造成用戶無法訪問 X 網站和應用程式。

Elon Musk 在平台上確認了這次攻擊事件：「X 遭受了（現在仍在遭受）大規模網路攻擊。我們每天都受到攻擊，但這次動用了大量資源。這可能是一個大型組織和/或某個國家所為。」
攻擊來源
「Dark Storm Team」是一個親巴勒斯坦的駭客團體，該組織於 2023 年成立，此前曾針對以色列、歐洲和美國的組織發動攻擊。該團體在其 Telegram 頻道上發布聲明，宣稱正在對 X 進行 DDoS 攻擊，並分享了 check-host.net 網站的截圖和連結作為攻擊證明。

Check-host.net 是一個允許訪問者從世界各地不同伺服器檢查網站可用性的工具，經常被用於 DDoS 攻擊期間證明攻擊正在進行。

雖然 Musk 後來在接受外沒採訪時表示，大量 IP 地址來自烏克蘭，但未提供證據。安全專家指出，即使這是真的，攻擊者也可能使用位於烏克蘭的受感染伺服器來隱藏其真實位置。

為了應對這次攻擊，X 現在正由 DDoS 防護服務提供商 Cloudflare 進行保護。當可疑 IP 地址連接到網站時，特別是當單一 IP 地址產生過多請求時，Cloudflare 會顯示驗證碼（captcha）。

目前，help.x.com 網站部分對所有請求都顯示 Cloudflare 驗證碼。

根據 Gcore 最近發布的數據，2024 年下半年 DDoS 攻擊在數量和規模上都有所增加。該安全供應商聲稱，2024 年下半年 DDoS 攻擊同比增加了 56%，從上半年到下半年增加了 17%。

對於使用者來說，這意味著潛在的服務中斷、停機和對基本網站和應用程式的訪問受限。Check Point 的 Web 3.0 首席技術專家 Oded Vanunu 解釋說：「雖然公司正在努力減輕這些攻擊的影響，但用戶可能會在受影響的平台上遇到延遲、錯誤或中斷。對於企業和組織來說，這強化了加強網路安全防禦的需求，特別是針對可能癱瘓線上服務的 DDoS 攻擊。」

       本文擷取自資安人

Check Point Software Technologies Ltd. 日前在曼谷舉辦年度網路安全盛會 CPX 2025，分享為高度互聯世界提供安全防護的願景。來自亞太地區的近 1,650 名員工、客戶和合作夥伴齊聚一堂，Check Point 展示 AI 安全防護創新技術，並介紹混合網狀安全防護策略如何革新網路防禦，助力企業有效防範不斷演變的威脅。
 
根據 Check Point 威脅情資數據，勒索軟體、駭客激進主義及 AI 網路犯罪加劇全球複雜網路攻擊數量，亞太地區組織在過去六個月平均每周遭受 2,915 次攻擊，遠超過全球平均每周 1,843 次。
 
亞太地區主要趨勢：

過去 30 天，52% 的惡意檔案透過網頁型（Web-based）攻擊傳播，顯示網路釣魚詐騙急劇增加。
縱觀全球，勒索軟體攻擊佔所有網路事件的 4%，而亞太地區的比例高達 6.3%。 

亞太地區最常遭受攻擊的產業：


教育與研究：各組織每周遭受 7,372 次攻擊（全球為 4,127 次）
醫療保健：各組織每周遭受 5,225 次攻擊（全球為 2,441 次）
政府與軍事：各組織每周遭受 4 834 次攻擊（全球為 2,593 次） 

Check Point Software 執行長 Nadav Zafrir 表示，隨著邁向新時代，AI 既是最大的威脅，亦是最有力的防禦利器。有鑒於網路犯罪分子正利用 AI 擴大攻擊規模，因此 Check Point 將 AI 融入整個安全防護架構，提供以預防為主的保護，目標不僅是守護企業當前的安全，還要為未來威脅做好準備。

引領 AI 安全防護：Check Point 最新創新成果
隨著 AI 驅動的網路威脅不斷升級，組織亟需可靠的安全解決方案，以防範持續擴大的攻擊面和不斷演變的攻擊技術。為應對此挑戰，Check Point 推出全新 AI 安全防護功能，重新定義網路防禦。


Infinity AI Copilot 助力自動安全維運：這款具情境感知能力的生成式 AI 助理能簡化安全管理、自動執行策略並加速威脅回應。
 
AI 驅動威脅防禦和自動化事件回應：透過 Infinity Playblocks，組織可使用自然語言 AI，實現跨 Check Point 和第三方環境的自動化安全操作編排。
 
基於 AI 的策略洞察和審計，重塑零信任策略：全新 Infinity Identity 功能可跨混合環境提供一致的存取控制，確保遵循不斷變化的安全策略和法規要求。 

Check Point Infinity 平台再度樹立網路安全防護標杆。在 Miercom 2025 年安全基準測試中，Infinity 平台的惡意軟體攔截率高達 99.9%，0+1 日惡意軟體防禦率最高。此外，Check Point 防火牆記錄的已知被利用漏洞（KEV）風險最低，僅有 1 個 KEV，遠低於競品的 11、16 和 21 個。
 
Check Point 在以下三大 GigaOm 雷達報告中均獲評為「領導者」：


應用與 API 安全防護
雲端網路安全防護
雲端工作負載安全防護 

Check Point Software 創辦人暨執行董事長 Gil Shwed 表示，安全建立在信任之上。憑藉著超過三十年的產業領導經驗，Check Point Infinity 作為一個真正的安全防護平台，已樹立 AI 安全防護的黃金標準，可幫助企業從容應對不斷變化的網路環境。

未來安全防護：AI、自動化和統一保護
隨著網路攻擊年增達 44%，加上安全工具分散和維運複雜性，企業正面臨日益嚴峻的挑戰。Check Point 採用 Infinity AI 的混合網狀安全防護模型，可提供統一的安全策略、主動式威脅防禦和 AI 驅動的自動化零信任策略執行。透過整合 Check Point 和第三方解決方案即時威脅情資，企業能有效抵禦不斷演變的威脅。
 
Check Point Software 亞太及日本區總裁 Ruma Balasubramanian 表示，在當今這個高度互聯的世界，必須採用 AI 防禦技術對抗 AI 威脅。Check Point Infinity 安全防護平台專為 AI 設計，並由 AI 驅動，提供卓越的威脅防禦、統一安全管理和即時協作情資。在邁向自主零信任架構的過程，Check Point 始終走在前線，堅持以預防為主的安全防護，幫助企業保持靈活、安全，並為未來做好準備。

雲端工作負載安全防護：為企業雲端環境提供完整堆疊保護
Check Point 最近宣佈與雲端原生應用程式保護平台（CNAPP）供應商 Wiz建立戰略合作夥伴關係。在緊密合作下，Check Point 與 Wiz 將在以下領域充分發揮雙方優勢：


有效管理混合環境，跨物理、虛擬及雲端環境應用多層防護方法，實現無縫安全保護
快速檢測和回應工作負載，以儘早發現並緩解攻擊，避免影響業務營運
自動化執行配置，確保在雲端環境中，工作負載上線前已通過安全和合規性策略檢查

        本文擷取自資安人

Sophos 委託進行的一項獨立研究，評估了各種網路安全防禦措施對網路保險理賠金額的財務影響，以及資安產品與服務的投資報酬率 (ROI)。研究結果顯示，在美國，使用託管式偵測與回應 (MDR) 服務的企業，其網路保險理賠金額比僅依賴端點防護的企業低 97.5%。 

研究重點發現：   

MDR 服務顯著降低了理賠金額https://www.informationsecurity.com.tw/article/article_detail.aspx?aid=11712：使用 MDR 服務的企業，其理賠金額比僅依賴端點防護的企業少 97.5% ( 7.5 萬美元 vs. 300 萬美元)。   
 
EDR/XDR 解決方案亦可減少理賠金額：使用 EDR/XDR 的企業，其理賠金額僅為單純使用端點防護企業的六分之一 (50 萬美元 vs. 300 萬美元)。
 
使用 MDR 服務的企業理賠金額最具可預測性，而使用 EDR/XDR 工具的企業理賠金額則波動較大。 
 
MDR 服務可加速網路攻擊事件後的復原：近一半 (47%) 使用 MDR 服務的企業可在一週內完全復原，而僅依賴端點防護的企業僅有 18% 能在一週內復原，使用 EDR/XDR 解決方案的企業則為 27%。 
  
MDR 服務的勒索軟體事件復原時間最為可預測，而使用 EDR/XDR 工具的企業復原時間變異較大。

隨著網路威脅不斷增加、保險費用持續上升，這份研究量化了資安投資的實際財務影響，為企業與保險公司提供有數據支援的見解，以最佳化網路防禦策略。研究結果顯示，MDR 服務是降低理賠成本、減輕風險並加速復原的最有效方法。

        本文擷取自資安人

微軟的 Active Directory（簡稱 AD）推出至今已 25 年，仍然是許多企業環境中的核心身分管理系統。正因為它在企業網路中扮演如此關鍵的角色，持續成為駭客優先鎖定的目標。

AD 之所以始終是駭客的首要目標，在於它在身分識別和存取管理上的核心地位。一旦 AD 遭到入侵，攻擊者就等於掌握了整個IT環境的鑰匙，因為AD控制著組織內所有網路資源的存取權限。

多年來，駭客持續改進攻擊手法，利用系統配置錯誤、資安漏洞、權限提升路徑、驗證協定弱點以及其他問題來入侵 AD 環境。混合式身分架構的興起，加上 Microsoft 雲端版 Entra ID 的廣泛採用，更使這些挑戰雪上加霜，讓許多組織在同時維護傳統和現代身分系統時遭遇困境。

目前難以取得 Active Directory 的確切安裝使用量統計，但根據海外市調公司五年前的評估報告，全球前 1000 大企業中約 90% 使用 AD 作為主要的身分驗證與存取控制機制。多數產業觀察家認為，這個比例至今仍維持不變。
各種攻擊手法層出不窮
多年來，資安人員發展出一套專業術語來描述針對 AD 的各種攻擊手法。其中最常見的包括 Kerberoasting、Pass-the-hash、Golden/Silver Ticket 攻擊、DCShadow 以及 DCSync 等。


Kerberoasting 是一種後滲透攻擊手法，駭客會從記憶體中竊取雜湊密碼。
Pass-the-hash 攻擊是駭客竊取雜湊密碼後，利用這些雜湊值來冒充合法使用者進行身分驗證。
在 Golden Ticket 攻擊中，駭客會利用 Kerberos 協定的弱點來取得目標網域的完整控制權。
Silver Ticket 攻擊則是駭客利用竊取的憑證偽造服務票證，藉此存取特定服務。
在 DCShadow 攻擊中，駭客會透過惡意網域控制站向 AD 注入未經授權的資料；而在 DCSync 攻擊中，攻擊者會偽裝成合法的網域控制站來直接竊取密碼雜湊值。

這些攻擊手法至今仍對 AD 環境構成重大威脅。資安研究員指出，現代 AD 攻擊主要著重於憑證竊取、橫向移動和權限提升。此外，針對 Active Directory 憑證服務（AD CS）的攻擊會利用自動註冊和憑證簽發的錯誤設定，使攻擊者得以偽造憑證並提升權限。

攻擊手法不斷演進
專家指出，過去 25 年來，駭客攻擊 AD 的動機基本維持不變，但隨著自動化工具普及，其攻擊手法已顯著演進。

雖然傳統攻擊手法仍然有效，但現今駭客運用自動化工具、AI 驅動的偵查技術，以及寄生攻擊（Living-off-the-land）等策略來躲避偵測。攻擊者更傾向利用雲端攻擊媒介，例如濫用 OAuth 權杖持久性和入侵 Entra ID 帳號，藉此滲透內部部署的 AD 環境。

相關文章：就怕不知不覺！企業組織如何防禦「寄生攻擊」

特別令人擔憂的是這些行之有效的傳統攻擊手法。例如，俄羅斯駭客組織 Midnight Blizzard 就是透過密碼噴灑攻擊（Password Spraying）在去年成功入侵微軟環境。此外，憑證填充和暴力破解等基礎攻擊手法依然普遍。

這些技術之所以持續奏效，主要是因為它們會產生大量雜訊，使偵測變得困難。數據顯示，31%的初始攻擊源自暴力破解，而近三分之一的帳號遭入侵案例來自密碼噴灑攻擊。

混合式攻擊則成為新興威脅，駭客利用 Azure AD Connect 等工具攻擊內部部署 AD 和雲端環境之間的連結。此外，攻擊者越來越傾向採用慢速無檔案攻擊技術，並經常利用遭入侵的 AD CS 設定來簽發惡意憑證。

低估資安風險
資安專家指出，組織在應對 AD 威脅時最大的錯誤，是誤認 AD 的預設設定已足夠安全。實際上，AD 及相關系統的主要資安漏洞來自密碼強度不足及易於破解的設定。此外，缺乏多層安全防護機制（如多因素驗證 MFA）更使問題雪上加霜。

雖然 AD 維持其基礎架構以支援現代環境運作，但其基礎安全協定卻未有顯著進步。過時且脆弱的安全設定仍然存在，使系統容易遭受現代攻擊手法的侵害。

專家進一步指出企業資安團隊的另一項重大疏失：缺乏完善的 AD 復原策略。由於許多組織未建立並測試資安韌性復原計畫，因此特別容易受到勒索軟體或資料抹除攻擊的威脅，最終導致業務癱瘓。根據 Sophos 2023 年的分析，駭客從初始入侵到取得組織 AD 環境存取權限，中位數時間僅需 16 小時。

駭客也逐漸將 AD 備份視為攻擊目標。他們深知一旦加密或破壞備份，組織將不得不支付贖金來恢復營運。若組織缺乏不可竄改的離線備份，且未實際測試過復原流程，便可能遭遇長期停機，並面臨更大的勒索威脅。

雲端與混合環境的挑戰
近年來雲端服務普及，促使許多組織同時維護內部部署 AD 和雲端 Microsoft Entra ID 環境。這些組織通常將內部部署 AD 的身分資料同步至 Entra ID，讓使用者能以相同的帳號密碼存取兩個環境。然而，這種混合式環境為駭客創造了新的攻擊面，而許多組織對此毫無防範。

主要問題在於資訊部門為求加快雲端移轉進度，在同步帳號密碼時往往忽視了密碼強度和複雜度等重要資安要求。AD 的預設密碼設定，包括長度、複雜度要求和到期規則，雖然在當初設計時可能合理，但到了 2025 年已遠低於基本資安標準。

企業必須與時俱進，更新密碼政策以符合現代資安實務，即採用更長且更複雜的密碼，並導入多重要素驗證等額外防護機制。若仍在使用內部部署 AD 的預設密碼控制，這些弱點將透過網路直接暴露給攻擊者。

AD CS成為新興攻擊目標
反向攻擊同樣危險。攻擊者一旦入侵內部部署的 AD 環境，就能透過同步機制或竊取 OAuth 權杖來滲透雲端服務。由於安全模型各異且日誌記錄分散，使統一監控和控管變得更加困難。設定錯誤的同步工具更可能導致漏洞在不同環境間擴散。在混合環境中管理憑證，特別是在 AD CS 方面，更為安全維護帶來諸多挑戰。

AD CS（Active Directory 憑證服務）讓組織能夠發行、管理和驗證 PKI 憑證，以進行安全認證、加密和身分管理。2021 年，SpecterOps 的研究人員發表了「Certified Pre-Owned」報告，詳細揭露了多種針對 AD CS 的潛在攻擊手法，並提出防護建議。然而，這些問題至今仍未解決。去年，帳號管理業者 BeyondTrust 分析了兩種最初由 SpecterOps 發現的攻擊手法，這些手法自 2021 年以來已更加普及。

其中一種是 ESC1 攻擊，被描述為濫用設定錯誤的憑證範本，允許未經授權的憑證請求，讓攻擊者得以取得更高權限。這類攻擊使駭客能在遭入侵的網路中進行橫向移動，並建立持久性後門。另一種是 ESC4 攻擊，此攻擊會利用金鑰託管設定的漏洞，使攻擊者能取得儲存在 CA 資料庫中的私鑰，進而解密受保護的資料。

最近針對 AD CS 的攻擊主要集中在濫用設定錯誤和過於寬鬆的憑證範本與自動註冊設定。這些攻擊已從粗糙的入侵手法，演變為針對性地濫用憑證政策和設定弱點。

NTLM 中繼攻擊如 PetitPotam，就是透過濫用 AD CS 中的加密檔案系統遠端協定（MS-EFSRPC）來進行攻擊，使情況更加複雜。這類攻擊會「透過 MS-EFSRPC 協定強迫易受攻擊的伺服器向攻擊者控制的端點進行驗證，進而暴露可用來入侵 AD CS 元件的 NTLM 憑證」。

專家建議，組織可以透過停用過時的通訊協定、為特權帳號強制實施 MFA，以及採用安全的委派機制來降低 AD 相關威脅的風險。此外，實施持續性的 AD 安全監控和異常偵測也有助於即時緩解威脅。

對於高度仰賴傳統 AD 的組織而言，身分管理現代化不一定要全面替換系統。相反地，他們應該著重於逐步整合現代身分解決方案，例如條件式存取、即時特權和雲端身分治理等方式來降低技術債。透過採取循序漸進、以安全為優先的方法，組織可以延長其 AD 基礎架構的使用壽命，同時提升對現代威脅的整體防禦能力。

本文轉載自 DarkReading。

         本文擷取自資安人

在數位化時代，物聯網(IoT)裝置數量激增，為企業和家庭帶來便利的同時，也產生了嚴峻的安全挑戰。資安人媒體近期獨家採訪了Check Point Software Technologies公司的IoT、威脅防禦和安全管理產品負責人Eyal Manor以及首席技術官兼產品漏洞研究主管Oded Vanunu，深入探討IoT安全領域的關鍵問題與應對策略。
IoT安全的主要挑戰
Eyal Manor指出，當前IoT安全管理最大的缺口是「缺乏緊迫感」。雖然企業清楚知道自己有多少用戶、多少筆記型電腦，但對於路由器、邊緣裝置的數量及其使用的密碼等基本資訊卻知之甚少。

「過去18個月，我們發現許多邊緣裝置如交換機、路由器、遠端存取裝置等存在可被攻擊者利用的漏洞。這個問題橫跨所有供應商：思科、Fortinet、Palo Alto、Check Point等都曾被攻破。」Manor表示。

這種攻擊路徑特別危險，因為邊緣裝置本身就處於網路的入口位置。當這些裝置被攻破時，攻擊者可以繞過傳統的網路安全措施，直接進入內部網路。Manor解釋，這些遍布企業環境的裝置（如印表機、IP攝影機等）成為攻擊者眼中理想的入侵目標，主要原因在於它們往往長期運行而不中斷、安全更新頻率極低，且通常處於企業安全團隊的監控盲區，缺乏與傳統IT系統相同程度的安全管理與漏洞修補機制。

從技術角度分析，Manor指出這類威脅呈現出清晰的攻擊演化週期：起初具備高級技術能力的政府級APT組織發現並利用未公開的零日漏洞，針對特定高價值目標實施精準攻擊；當這些漏洞隨後被安全研究人員發現並公開披露後，相關攻擊工具逐漸商業化；最終，這些曾經的高級攻擊手段流入普通網路犯罪分子手中，被用於對大量未修補裝置的廣泛攻擊行動。

Manor特別強調，這種攻擊技術從國家級到犯罪級的「外溢」現象，已成為IoT安全領域面臨的最大挑戰之一，顯著提高防護工作的複雜度和緊迫性。



Check Point Software Technologies公司IoT、威脅防禦和安全管理產品負責人Eyal Manor


攻擊者的思維模式與技術分析
Oded Vanunu深入解析了攻擊者如何從技術層面利用IoT裝置的弱點。他指出，每個IoT裝置的安全性評估必須從硬體和軟體兩個核心維度進行分析。

Vanunu解釋，「從攻擊者角度看，硬體層面包括所有的晶片組和硬體處理器，每一個都有其相應的軟體和韌體。當攻擊者獲取目標裝置後，他們首先進行韌體提取，通常透過尋找UART或JTAG接口，或直接對閃存晶片進行讀取操作。隨後進行逆向工程，分析韌體架構，尋找軟體中的記憶體管理缺陷、驗證機制漏洞或加密實現錯誤，最終達到在裝置上執行任意程式碼的目的。」

他以實際案例說明這些安全風險：「在Check Point進行的研究中，我們對亞馬遜Alexa平台進行深入分析，發現其技能驗證機制中存在安全缺陷。透過利用這些漏洞，我們成功上傳惡意技能並執行了越權操作，最終實現了對裝置的控制，並能存取用戶敏感資訊。」他進一步補充：「我們的研究團隊也在LG智慧家庭生態系統中識別出API請求處理的邏輯缺陷，同時在DJI無人機系統中發現了身份驗證機制的漏洞，這些缺陷允許未經授權的存取，使攻擊者可以獲取用戶雲端帳戶中的個人照片和精確位置資訊。」

從攻擊面分析，Vanunu指出兩個關鍵問題：首先是數量龐大的IoT裝置構成了過於寬廣的攻擊面。家用IoT裝置（如攝影機或智慧家庭裝置）數量最多，因此最容易受到大規模攻擊。相比之下，工業控制系統(OT)裝置因其專用性質，通常需要攻擊者採取更有針對性的「量身定制」方法，主要出現在國家支持的攻擊中。

其次是供應鏈安全問題。「供應商優先考慮成本控制和上市速度，經常忽略安全設計。」Vanunu解釋，「這導致許多IoT裝置使用未修補的開源元件、過時的加密庫、硬編碼的憑證和不安全的通訊協議，為攻擊者提供了多個入侵點。」



Check Point Software Technologies公司首席技術官兼產品漏洞研究主管Oded Vanunu


關鍵安全原則與技術解決方案
Manor與 Vanunu認為IoT裝置的防禦需要多層次防禦架構的技術實現方案，有四個關鍵點：

1. 網路行為分析與異常檢測
Manor介紹Check Point的防護方法，「我們開發的解決方案利用現有網路安全設備的部署位置優勢，建立IoT裝置網路行為基線模型。系統透過機器學習演算法分析網路流量特徵，包括連接頻率、通訊協議使用模式、數據流量大小和時間分佈等維度，精確識別裝置類型及其預期功能。」

這種基於行為分析的方法特別適用於IoT環境，Manor解釋：「以智慧電視為例，系統會學習其正常行為模式，如定期連接特定的內容伺服器。如果突然嘗試連接未知IP地址，或者產生異常的DNS查詢模式，系統會立即識別並阻止這種可疑活動。」這有助於彌合用戶在映射裝置和了解網路活動方面的不足。

2. 硬體安全根基與韌體完整性
Vanunu強調了硬體安全的技術細節：「有效的IoT安全必須從晶片級安全開始，包括安全啟動(Secure Boot)機制、硬體安全模組(HSM)和可信執行環境(TEE)的實現。」他解釋，解決這個問題的關鍵是確保IoT裝置在製造階段就建立信任根(Root of Trust)，實現韌體的加密簽名和驗證機制，防止未經授權的韌體修改或替換。

Check Point的解決方案在IoT產品硬體層級整合了安全功能，並設計了專用的安全協處理器，可確保即使主處理器被攻破，關鍵安全功能仍能保持隔離和保護。

3. 網路層深度封包檢測
Manor並提及網路層保護技術對物聯網安全的關鍵性，「我們的方案實現了特定於IoT協議的深度封包檢測(DPI)能力，可解析和理解各種物聯網專用協議，如MQTT、CoAP、BACnet和Modbus等。」這些協議特定的分析引擎能夠識別協議異常和惡意負載，即使在加密流量中也能檢測出行為異常。

Manor解釋，「與傳統的IP-和端口-為基礎的過濾不同，我們的解決方案採用上下文感知的安全策略，考慮裝置類型、通訊模式和時間因素等多維度特徵。這使我們能夠精確區分正常操作和可能的攻擊行為，大大減少誤報率。」

4. 基於身分的存取管理
「在IoT環境中，精確識別裝置身分並實施適當的存取控制是核心安全挑戰之一，」Vanunu強調，「為解決這一問題，我們開發了裝置識別驅動的微權限控管架構，這套架構超越了傳統的網路參數識別方法，綜合分析裝置指紋特徵、行為模式以及運行環境等多維度上下文資訊，從而實現更精準的安全控制。」

Vanunu特別指出了零信任架構在IoT環境中的適應性挑戰：「雖然零信任模型理論上適用於IoT環境，但在實踐中，大多數製造商缺乏實施它所需的技術能力和資源。Check Point通過網路層面的安全控制彌補了這一差距，提供了不依賴於終端裝置能力的保護層。」

法規框架與技術合規
Manor與 Vanunu皆提及法規在推動IoT安全標準化方面的重要性，並提供了技術合規的具體建議。

「法規是推動整個產業採納安全實踐的關鍵驅動力，」Manor強調，「GDPR的實施就是一個顯著例子，它迫使企業重新評估數據保護策略，包括IoT裝置收集的敏感資訊。」這種監管框架建立了明確的責任歸屬和違規懲罰機制，為企業提供了強大的合規動力。

Manor特別提到美國拜登政府推出的U.S. Cyber Trust Mark計劃：「這一計劃針對消費類IoT產品建立了基本的網路安全標準，包括唯一識別碼要求、漏洞披露政策、數據保護和軟體更新能力等關鍵技術要求。」這種標準化認證機制使消費者能夠識別符合基本安全標準的產品，同時為製造商提供了明確的技術規範。

Vanunu從技術角度補充了法規實施的具體方向：「有效的IoT安全法規應該包含密碼編譯要求，如強制實施加密通訊協議(如TLS 1.3)、禁止使用已知脆弱的加密算法、要求韌體更新使用安全的數位簽名機制等。」他表示，法規還應要求製造商實施安全開發生命週期(SDLC)流程，包括威脅建模、程式碼審查和滲透測試等環節。

「從技術實現角度看，理想的監管框架應要求IoT裝置支持安全的遠端更新機制，包括韌體完整性驗證、回滾能力和部分更新功能，」Vanunu解釋，「同時，還應該建立標準化的漏洞披露流程和產品生命週期支持政策，確保裝置在整個使用期間能夠獲得安全更新。」

用戶防禦策略與技術實施
針對企業環境中難以更新或替換的舊式IoT裝置，Vanunu提供了一系列技術性防禦策略。「網路隔離是保護舊式IoT裝置的首要措施。組織應實施網路分段，將IoT裝置置於獨立的VLAN中，並使用ACL(存取控制列表)和狀態檢測防火牆嚴格控制進出流量。」這種隔離措施能有效限制橫向移動的可能性，即使某個裝置被攻破，也能將影響範圍控制在有限區域內。

Vanunu進一步強調了多層次存取控制的技術實現：「應用層代理(Application Proxy)和NAT(網路地址轉換)可以有效隱藏內部IoT裝置的直接存取路徑。同時，實施基於憑證的存取控制和多因素認證(MFA)機制，能夠顯著提高身分驗證的強度。」他特別提到，對於具有Web管理介面的IoT裝置，應考慮部署Web應用防火牆(WAF)以防禦常見的Web攻擊向量。

在監控與異常檢測方面，Vanunu建議實施網路流量分析(NTA)和SIEM解決方案：「透過網路流量基線分析，可以迅速識別異常連接模式和可疑的數據傳輸行為。結合DNS查詢監控和防止IoT裝置發起外部連接的出站過濾(Egress Filtering)，能夠有效阻止受感染裝置的指揮與控制(C&C)通訊。」

「IoT裝置的關鍵問題是缺乏更新機制和安全意識，」Vanunu補充道，「但即使面對這些限制，組織仍可以透過網路層面的防禦措施和全面的可視性工具，建立有效的防護體系。定期進行網路掃描以識別所有連接的裝置，實施強力密碼政策，並維護詳細的IoT資產清單，這些基本措施能顯著提升整體安全狀態。」

Vanunu強調，這些防禦措施不應被視為一次性工作，而應納入組織的持續安全運營中：「定期的漏洞評估、滲透測試和安全配置審查是維持IoT環境長期安全的基礎。」

未來趨勢與技術展望
Vanunu補充了幾個關鍵的技術發展方向：「我們看到AI驅動的防禦系統正在崛起，這些系統能夠通過深度學習模型預測和識別以前未見過的攻擊模式。同時，區塊鏈技術也在IoT認證和身分管理方面顯示出潛力，提供去中心化的信任機制。」他特別提到了他正在開發的針對區塊鏈的新型防火牆產品，這是應對新興數字資產威脅的創新解決方案。

Manor與 Vanunu​一致認為，未來的IoT安全將更加注重 Security by Design 和自動化安全響應能力。Manor強調：「隨著5G和即將到來的6G網絡的普及，物聯網裝置的連接性和數量將呈指數級增長，這使得手動監控和管理變得不可行。自動化威脅檢測和響應系統將成為必要。」

正如Manor所強調的：「我們需要對IoT和移動裝置給予與其他IT資產同等水平的關注和技術投入。在當今的威脅環境中，這已經成為最顯著的攻擊向量之一，其重要性只會隨著時間的推移而增加。」

           本文擷取自資安人

加密貨幣交易所Bybit於2月21日證實，一名駭客透過「複雜的攻擊手法」成功竊取該交易所知冷錢包（離線錢包）價值超過15億美元的加密貨幣，創下史上最大單筆加密貨幣竊案紀錄。

根據Bybit的說明，此事件發生在UTC時間2025年2月21日中午12:30左右，當時正在進行例行性的資金轉移作業。Bybit在社群媒體上發文表示，當Bybit的ETH多重簽名冷錢包在執行向熱錢包轉帳時，這筆交易遭到操縱。攻擊者透過精心設計的介面欺騙，顯示正確的地址但暗中修改了智慧合約邏輯。
技術分析
Check Point Research表示，這次攻擊揭示了一個新的攻擊模式，其中攻擊者透過Gnosis Safe Protocol的execTransaction功能操縱合法交易。這說明即使是多重簽名冷錢包，如果簽署者受到欺騙或遭到入侵，也無法確保安全，凸顯了供應鏈和用戶介面操縱攻擊的日益複雜化。

根據區塊鏈分析顯示，攻擊者已將竊取的約401,346顆ETH中的10,000顆分散轉移至48個不同地址，顯示資金正在進行洗錢過程。竊取的資產包括ETH和stETH，總價值超過15億美元。

調查與歸屬
資安研究機構TRM Labs與Elliptic的調查顯示，此次攻擊極可能是由北韓駭客組織Lazarus Group所為。TRM Labs表示，他們是基於「Bybit駭客控制的地址與先前北韓竊案關聯地址之間存在大量重疊」而做出此判斷。獨立研究員ZachXBT也指出，他們已經在區塊鏈上發現此次Bybit攻擊與上個月Phemex交易所遭駭事件有關聯。

根據Check Point Research的分析，這次攻擊凸顯駭客手法已進入新階段，尤其是在用戶介面操縱方面的技術提升。Check Point解釋，「攻擊者不只是利用協議機制的漏洞，還透過操縱介面進行高階社交工程，成功突破了重要的機構級多重簽名設置。」

影響與回應
Bybit執行長Ben Zhou強調，交易所的其他冷錢包均安全無虞，客戶資金也未受影響。「即使這筆損失無法追回，Bybit仍具備償付能力，所有客戶資產都有1:1的準備金支持，我們有能力承擔這筆損失。」

根據區塊鏈分析公司Chainalysis的資料，北韓駭客組織在2024年透過47次加密貨幣攻擊，總共竊取了約13.4億美元，佔該年度所有非法獲取加密貨幣的61%。此次Bybit事件的損失金額已超過先前Ronin Network（6.24億美元）、Poly Network（6.11億美元）和BNB Bridge（5.86億美元）等重大事件。

目前Bybit已向相關執法單位報案，並與外部區塊鏈鑑識專家合作調查此事件。公司也歡迎具有相關專業的團隊協助追蹤被盜資金。

          本文擷取自資安人

在當今資安威脅日益複雜的環境下，資安產業正面臨重要轉捩點，人工智慧與雲端安全快速發展正在重塑企業防護數位資產的方式。Check Point Software Technologies迎來重要的領導層變動，創辦人Gil Schwed在掌舵超過30年後選擇退位，由曾領導以色列精銳8200單位、後來共同創立資安智庫Team8的Nadav Zafrir接任執行長一職。資安人特別專訪這位具有豐富經驗的新任領導者，探討他對公司的願景、當前面臨的重大挑戰，以及Check Point如何在快速變遷的資安版圖中持續領先。
Q：您在Team8和8200單位的經歷如何塑造您的領導風格？
Zafrir：我投身資安領域已近30年，那時甚至還沒有「網路安全」這個詞。我從多個角度看待這個產業：作為攻擊者、防禦者，也從戰略層面理解國家級基礎設施的需求。在Team8期間，我有機會與超過20家公司密切合作，深入了解威脅如何演變，以及企業如何預測和應對這些威脅。
這些經驗讓我深信，創新必須具備規模化能力，這正是Check Point致力追求的目標：開發大規模、負責任的資安解決方案。在當今高度互連的世界中，複雜性已經達到前所未有的程度，企業、個人和政府都必須在安全性與功能性之間找到平衡點。

Q：作為新任執行長，您首要加強客戶互動並優化市場策略，目前有什麼發現？客戶最關注什麼？
無論規模大小，所有組織都依賴相同的軟體，這使得私部門與政府之間的合作變得至關重要。法規框架應該以結果為導向，設定共同目標，同時讓私部門決定實現這些目標的最佳方法。在Check Point，資安不僅是一種熱情，更是一項使命。我們的Infinity平台旨在成為保護混合網格架構的領先解決方案，它是一個可以無縫整合本地和雲端環境的安全框架。

我們的客戶和合作夥伴認識到AI正在帶來自網際網路誕生以來最重大的轉變之一。他們最關注的是攻擊者與防禦者之間的不對稱性。攻擊者靈活度高，能快速採用新技術，導致新型攻擊方式層出不窮。企業正在應對複雜的網路基礎設施，面臨關鍵抉擇：是採用單一、全方位的資安解決方案，還是整合來自不同供應商的最佳解決方案。

Check Point的Infinity平台通過提供統一、優化的解決方案來解決這個困境。許多客戶感受到分散式安全系統的限制，我們認為以平台為基礎的方法是最佳途徑。

此外，為因應資安威脅的多樣化，我們提出「開放生態系統」策略，積極與產業領導廠商建立合作關係，像是近期與Wiz在雲端安全的策略結盟。面對生成式AI帶來的新興挑戰，這種開放合作的方式更顯重要，讓我們能靈活應對其難以預測的發展趨勢。

然而，有一點始終不變：組織必須理解使用者意圖和角色才能做出明智的資安決策。我們運用AI技術和大型語言模型（LLMs）強化防禦能力，即使面對攻防不對稱的挑戰，也能協助企業更有效地偵測威脅、簡化資安管理流程。
 


Q：Check Point在亞太地區實現最高增長（19%），這與許多優先考慮北美市場的資安公司形成對比。您如何看待亞太市場與其他地區的比較？那裡有什麼最大機遇？
Zafrir：亞太地區是一個龐大且快速擴張的市場。在加速亞太地區業務的同時，我們也在歐非中東和美洲保持強勁發展。

我們的全球布局以三大核心技術為基礎：雲端安全、新世代防火牆以及電子郵件防護，藉此打造完整的混合網路安全架構。以Infinity平台為核心，我們提供全方位的資安防護，完整覆蓋企業的本地環境、邊緣運算到雲端服務。隨著亞太地區加速數位轉型，企業對於這種整合式資安解決方案的需求愈發殷切。

Q：Check Point未來一年的主要增長動力是什麼？您認為政治變化，如美國新政府上台，可能如何影響資安產業？
Zafrir：變化是永恆的，無論是技術、領導風格還是全球地緣政治。這種波動意味著網路威脅將持續演變，要求我們更具創新性和前瞻性。

為強化技術優勢，我們選擇在全球科技重鎮特拉維夫和紐約設立以AI為核心的資安研究中心。這些研究中心不僅致力於預警新型態網路威脅，更要前瞻性的研究資安技術的創新發展。在瞬息萬變的資安領域，具備超前部署的戰略思維，及早因應未知威脅，是維持產業領導地位的關鍵。

Q：隨著網路威脅升級，您如何看待未來五年的資安挑戰，Check Point又將如何應對？
Zafrir：AI為資安領域帶來全新局面。就威脅面而言，攻擊者能以更低成本、更靈活的方式擴大攻擊範圍，加速網路犯罪的演進。但我對防禦技術的發展深具信心。透過AI智慧防禦系統的精準分析和快速應變能力，再加上自動化威脅偵測與回應機制，企業和政府必能重新掌握資安主動權。

以Check Point為例，我們特別關注雲端安全這個AI應用的主戰場。我們採取整合式策略，將先進的防火牆、智慧分段等核心技術，與策略夥伴（如Wiz）的專業優勢相結合。我們不再將雲端與本地環境視為獨立區塊，而是打造一個能因應現代IT架構的統一資安框架，協助企業全面提升防禦能力。

Q：資安市場競爭激烈，既有新創公司也有老牌企業。什麼核心價值讓Check Point與眾不同？
Zafrir：透明、誠信，以及對創新的堅定承諾。我們對當前資安狀況保持坦誠，也清楚了解自己的優勢所在。

我們的創新理念是把它當作生命攸關的事情來做，因為在很多方面，確實如此。但創新必須具備責任感、可擴展性，並且開放協作。歸根結底，客戶至上，為了最好地服務客戶，我們必須與生態系統中的其他供應商合作。我們的目標是提供最全面、最有效的資安解決方案，同時保持對誠信和卓越的堅定承諾。

隨著Check Point加強研究力度並擴大合作夥伴關係，Zafrir明確表示：資安的未來將由適應性、創新力，並以使命為導向的方法來定義，而Check Point將持續致力於保護全球企業和政府的數位資產安全。

         本文擷取自資安人

Sophos 宣布與 Pax8 達成策略合作夥伴關係。透過此次合作，Pax8 網絡內超過 40,000 家託管服務供應商 (MSP) 可獲得全面的資安解決方案組合。Pax8 網絡內的 MSP 現在可透過單一供應商取得業界頂尖的資安解決方案，包括 Sophos Managed Detection and Response (MDR)、由 Intercept X 支援的 Sophos 端點防護以及 Sophos Firewall，打造一站式的資安服務。此舉將為通路合作夥伴帶來變革性優勢，協助簡化營運、整合計費流程，並大幅降低跨客戶的資安管理複雜度。 

根據《Sophos MSP Perspectives 2024》報告，將安全技術整合至單一供應商的 MSP，可將每日安全管理時間減少近一半，若 MSP 原本需管理六家或更多安全供應商，這個數字更可提升至 69%。透過與 Pax8 合作，Sophos 可協助 MSP 移除關鍵的營運障礙，使其能透過單一供應商平台無縫管理資安，簡化解決方案整合並提升營運效率，同時強化整體安全防護，以及簡化雲端採購流程。 

Sophos 執行長 Joe Levy 表示，Sophos 與 Pax8 在使命上高度契合，致力於為 MSP 提供端到端安全服務與產品，同時簡化解決方案的生命週期管理並降低營運負擔。MSP 希望與容易合作的供應商建立夥伴關係，而這項協議將進一步提升 MSP 與 Sophos 的合作便利性，這也是我們始終堅持的承諾。透過與 Pax8 的合作，MSP 能夠更快速取得關鍵的資安工具，幫助他們在日益複雜與動盪的威脅環境中為客戶提供更強大的防護。

Sophos 與 Pax8 攜手合作，為 MSP 帶來的關鍵優勢包括： 

拓展新營收機會：透過 Pax8 Marketplace，MSP 可從單一供應商獲得最全面的安全解決方案組合，提升市場競爭力。 
 
降低營運成本，提升可創造營收的時間：透過 Pax8 Marketplace 的無縫整合，可簡化採購與計費流程，減少管理負擔。 
 
強化 MSP 資源與支援：提供協作式 MSP 賦能計畫、技術支援與銷售培訓，確保合作夥伴能獲得最佳體驗。
 
提供 Microsoft Defender 用戶最完善的 24/7 全天候安全防護：透過 Sophos MDR 服務，確保 MSP 能為 Microsoft 環境的客戶提供相容且全面的安全防護。

Pax8 執行長 Scott Chasin 表示，現今的 MSP 需要與其營運模式相契合的解決方案——以雲端為優先，具備彈性，並且易於大規模管理。Pax8 正在革新 MSP 存取與部署雲端解決方案的方式，而資安則是其中不可或缺的重要環節。透過將 Sophos 的創新資安解決方案引入我們的 Marketplace，Pax8 能為合作夥伴提供企業級資安解決方案，讓他們的中小型企業客戶能夠更輕鬆地管理安全、降低風險，並提升盈利的能力。

Sophos 的解決方案由 Sophos X-Ops 提供即時威脅情報支援，該全球專家團隊由威脅獵人與安全分析師組成，可透過 AI 驅動的主動防護有效抵禦網路攻擊。作為全球領先的託管式偵測與回應 (MDR) 服務供應商，Sophos 為超過 28,000 家企業提供資安防護。Sophos MDR 提供的情報還可進一步強化 MSP 與其客戶的安全性，透過自動化威脅偵測、託管式回應，以及 Sophos 產品組合的深入安全洞察，可協助 MSP 提升防禦能力、降低風險暴露，提供企業級保護同時減少管理複雜度。 

強化 Microsoft 環境安全 
超過 60% 的 Sophos MDR 客戶是經由 MSP 管理，這讓 Sophos 對 MSP 託管環境下的攻擊模式具備獨特且深入的洞察。Sophos 利用這些情報即時更新客戶的防禦機制，以確保 MSP 客戶能夠應對不斷演變的攻擊，為企業與合作夥伴提供更安心的防護。此外，透過 Sophos 的 Microsoft 環境 MDR 服務，Pax8 的 MSP 能夠大幅提升使用 Microsoft Defender 之客戶的安全性，讓客戶在 Microsoft 投資上獲得更高的價值回報。 

透過 Pax8 提供的 Sophos MDR 服務，MSP 可獲得多方面支援。他們可以選擇完全採用 Sophos 的託管服務，或用來強化客戶內部團隊的防護能力，其中涵蓋 夜間與週末等關鍵時段，這些時間往往是攻擊者最常發動攻擊的時機，因此加強防禦至關重要。此外，對於提供內部 MDR 服務的 MSP，Sophos XDR 內建的 AI Asssistant 可利用 Sophos MDR 分析師的第一線情報，協助各種技能層級的安全營運人員更快速地識別與化解威脅。 

Sophos 解決方案將於 2025 年 2 月 28 日 正式登陸 Pax8 Marketplace。

             本文擷取自資安人

賽門鐵克（Symantec）研究人員近期發現，一個與中國有關的進階持續性威脅（APT）組織「Emperor Dragonfly（帝王蜻蜓）」（又稱 Bronze Starlight）首次轉向勒索軟體攻擊，並向一家亞洲軟體服務公司索取 200 萬美元贖金，此舉標誌著中國國家級駭客組織與網路犯罪活動之間出現新的連結。
特殊的攻擊工具組合
根據賽門鐵克的報告，這起發生於 2024 年底的攻擊使用了一組特殊的工具，這些工具此前僅與中國間諜活動有關，特別是與 Mustang Panda 組織相關。攻擊者使用了東芝的合法執行檔 toshdpdb.exe 作為側載工具，連接惡意的動態連結函式庫（DLL）toshdpapi.dll，最終部署包含 PlugX 後門的惡意程式。

研究人員指出，這套工具組並非公開可得，且過去從未與一般網路犯罪活動有關。雖然中國駭客組織經常共享工具，但這些工具通常僅用於間諜活動。

攻擊者首先透過利用 Palo Alto PAN-OS 防火牆軟體的漏洞（CVE-2024-0012）入侵受害者網路。一旦成功入侵，攻擊者開始部署其特製的後門工具組。這個過程始於執行一個看似無害的東芝系統程式 toshdpdb.exe，該程式隨後會載入一個惡意的動態連結函式庫 toshdpapi.dll。這個 DLL 檔案作為載入器，會進一步解密並執行儲存在 TosHdp.dat 檔案中的主要惡意負載。

經過分析，這個惡意負載被確認為 PlugX 後門的變種，具有加密字串、動態 API 解析和控制流程平坦化等特徵。通過這個後門，攻擊者得以在受害者網路中建立持久性存在。

在取得立足點後，攻擊者開始橫向移動，從公司內部網路獲取管理憑證。接著利用這些憑證存取公司的 Veeam 備份伺服器，從中竊取了 Amazon S3 雲端存取憑證。攻擊者利用這些雲端憑證，得以竊取儲存在 S3 儲存桶中的敏感資料。

在完成資料竊取後，攻擊者部署了 RA World 勒索軟體，開始加密受害者的電腦系統。這個階段的攻擊還包括使用名為 NPS 的代理工具，這是一個與 Bronze Starlight 組織過往活動相關的工具。整個攻擊過程顯示出攻擊者具備高度的技術能力，能夠結合傳統的 APT 戰術與勒索軟體攻擊手法。

與過往間諜活動的關聯
賽門鐵克研究人員發現，使用相同工具組的入侵活動在 2024 年 7 月至 2025 年 1 月期間也曾針對多個政府與企業目標。這些目標包括一個東南歐國家的外交部、另一個國家的政府機構，以及多個東南亞地區的政府部門和電信營運商。然而，這些先前的攻擊都是以間諜活動為目的，並未涉及勒索軟體。

相關文章：Sophos揭露《紅宮行動》報告：中國國家支持的駭客組織鎖定東南亞政府機構

研究人員認為，這次勒索軟體攻擊最可能是 APT 組織成員利用其工作工具進行個人牟利。這個推論主要基於受害者的選擇與攻擊者的行為模式。首先，此次受害者並非具有戰略意義的組織，與過往間諜活動目標有明顯差異。其次，攻擊者確實投入時間與受害者溝通討論贖金事宜，這種行為模式與單純用於掩蓋間諜活動的障眼法不符。此外，攻擊者使用了名為 NPS 的代理工具，這與 Bronze Starlight 組織過去部署的不同勒索軟體有關，進一步證實了這一推測。

資安建議
本事件顯示國家級駭客組織與網路犯罪活動之間的界線日益模糊。資安專家建議組織應密切關注並及時修補關鍵系統漏洞，特別是防火牆等安全設備的更新。同時，應強化雲端服務的存取控制與監控機制，確保重要資料的備份，並定期測試復原程序的有效性。此外，組織需要建立完善的事件應變計畫，將具有國家級背景的勒索軟體攻擊納入考量範圍，相應調整防禦策略與應變措施。

         本文擷取自資安人

生成式人工智慧的快速發展，為產業與研究領域的創新帶來無數機會。正如最先進的技術常見的情況，這種演進同樣改變了網路安全威脅的格局，產生出全新的安全需求。關鍵基礎設施的網路安全正在不斷進步，以嚇阻 AI 時代的下一波新興威脅。
 
Armis、Check Point、CrowdStrike、德勤（Deloitte）與 World Wide Technology（WWT）正在整合NVIDIA 網路安全 AI 平台，以協助客戶強化能源、公用事業和製造設施等關鍵基礎設施對抗網路威脅。
 
關鍵基礎設施在高度複雜的環境中運作，常常因數位轉型而加速整合 IT 與 OT，產生出資安漏洞的完美風暴。傳統的網路安全措施已經不足以應對這些新興威脅。
 
利用 NVIDIA 的網路安全 AI 平台，這些合作夥伴能夠為關鍵基礎設施環境提供極佳的可視性，並在維持設施持續運作的同時，實現強大且適應性高的安全功能。

平台整合了 NVIDIA 的加速運算與 AI，採用 NVIDIA BlueField-3 DPU、NVIDIA DOCA 及作為 NVIDIA AI Enterprise 一部分的NVIDIA Morpheus AI 網路安全框架。這個組合能夠實現即時偵測威脅，讓網路安全專業人員能夠在邊緣和整個網路迅速回應。
 
與傳統依賴侵入性方法或軟體代理的解決方案不同，BlueField-3 DPU 有著虛擬安全覆蓋的功能，可以在不中斷運作的情況下檢查網路流量與保護主機完整性。作為嵌入每一台伺服器裡的感測器，它們將遙測資料傳輸至NVIDIA Morpheus，以流暢且不影響運作的方式，實現主機活動、網路流量和應用程式行為的詳細監控。
推動各產業的網路安全創新
整合 Armis Centrix 的 AI 驅動Armis 網路暴露管理平台搭配 NVIDIA 網路安全 AI，協助確保能源、製造、醫療保健與運輸等關鍵基礎設施的安全。
 
CrowdStrike 透過在 BlueField-3 DPU 上部署 CrowdStrike Falcon 安全代理程式，以提升即時 AI 驅動的威脅偵測與回應能力，幫助保護 ICS 與 OT 等關鍵基礎設施的安全。
 
德勤使用 NVIDIA 網路安全 AI 平台推動客戶的數位轉型，以協助滿足突破性技術的需求，這些技術需要為資料中心網路提供即時且精細的可視性，以抵禦日益複雜的威脅。

AI 助力開創更安全的未來
NVIDIA 的網路安全 AI 平台結合生態系合作夥伴的專業知識，提供強大且可擴充的解決方案，保護關鍵基礎設施環境免受不斷演進的威脅。將 NVIDIA AI 與加速運算帶入 的最前線，可協助組織保護現在和未來最重要的事物。

        本文擷取自資安人

Check Point Software Technologies Ltd. 日前於 CPX Vienna 宣佈推出多項 Infinity 平台新功能，加速實現零信任、強化威脅防禦、降低複雜性並簡化安全維運。
 
Check Point Software 首席產品長兼研發主管 Nataly Kremer 表示，由於各種安全解決方案複雜且孤立，安全團隊難以有效防範網路攻擊。Check Point 推出多項 AI 創新功能，旨在降低複雜性並強化 Infinity 平台的統一安全管理功能，為客戶帶來更佳的威脅防禦體驗，並可同時輕鬆搭配使用第三方產品。
 
許多組織仰賴孤立的安全防護方案，IT 團隊在網路、端點、電子郵件和雲端環境中，部署各種針對特定防護需求的安全工具。這種碎片化的安全防護方法需要管理多達數十種系統，帶來維運挑戰、過於分散的策略和安全漏洞風險。同時，網路攻擊次數逐年增長 44%，使安全防護團隊壓力倍增。
 
由於混合環境的獨立性，安全團隊需要跨數十種系統和工具審查並協調策略和流程，這些工作通常以手動方式執行，因此會降低維運速度，也導致零信任架構、威脅排除和基礎建設管理出現漏洞，從而增加網路攻擊和系統故障的風險。Check Point 全新升級的六大 AI 創新功能從以下三方面提升維運速度，並強化威脅防禦能力：
統一身份和策略
藉助 AI 和身份感知技術，管理員能實施更高效與精細的安全防護策略，確保只有授權使用者才能存取關鍵資源。統一跨環境的策略可視化與分析，有助於安全團隊維護安全防禦並確保合規性。
 
Quantum Policy Insights


分析現有策略並提出調整建議，以強化安全防護
透過消除過度寬鬆的存取權限和相互衝突的策略，強化零信任的執行 

Quantum Policy Auditor


確保符合企業安全準則
使用策略可視化介面，快速辨識違反組織準則的策略
在數秒內分析數千條規則，透過將複雜的策略和規則轉化為直觀的圖形化業務洞察，幫助安全和審計團隊節省數周的繁瑣工作 

Infinity Identity


可在整個 Infinity 平台執行集中式身份管理的雲端服務
與第三方身份驗證供應商無縫整合
支援新增新身份來源：Microsoft Defender、Microsoft Intune 與 Harmony Endpoint 


協作式威脅防禦
AI 能幫助組織跨多個執行點即時辨識和攔截威脅，消除人為錯誤並縮短修復時間。
 
Infinity Playblocks


具備跨 Infinity 平台和第三方的安全防護自動化和調度功能
擴展孤島安全解決方案的覆蓋範圍，在整個企業內有效防範安全攻擊
提供超過 100 種開箱即用的 playbook，包括威脅防禦、自動修復與報告等
支援企業使用自然語言生成式 AI（GenAI）輕鬆建立自定義 playbook 


維運簡易性
基於 AI 的洞察能有效減少繁瑣且易出錯的工作，有助於簡化整個安全堆疊的維運，從而強化達成零信任、優化生命周期管理，並縮短基礎建設的停機時間。
 
Infinity AIOps


AI 代理（AI agent）主動監控閘道器，可提前預測並幫助減少故障
即時監控安全防護基礎建設的健康狀況，包括 CPU、記憶體使用率等 

Infinity AI Copilot


基於聊天的 GenAI 助手能了解組織的策略、存取規則、對象、日誌及所有產品的文件紀錄
為安全管理員、IT 部門和安全團隊提供情境化且全面的解決方案，以加速安全管理、減緩威脅和強化回應
有助於在整個 Infinity 平台上快速且有效地實現自動化與協作

          本文擷取自資安人

Sophos X-Ops 發現，網路犯罪分子越來越常利用SVG圖像檔案格式來規避反網路釣魚與垃圾郵件防護機制。SVG 檔案內含類似 XML 的文字指令，可用於繪製圖形。Sophos X-Ops 的研究顯示，從去年年底開始，釣魚集團開始採用這項技術，透過電子郵件傳送附帶惡意 SVG 圖形檔案的附件。

攻擊手法如下： 

網路犯罪分子向目標發送一封帶有 SVG 檔案附件的電子郵件。
當收件者點開附件時，預設會在瀏覽器中開啟。
該 SVG 檔案內含連結或 JavaScript 程式碼，會將瀏覽器重新導向至託管釣魚工具包的網站。 

大多數受害者會看到一個偽造的畫面，誘使他們按下按鈕以開啟或閱讀存放於 DocuSign、Dropbox 或 SharePoint 上的文件，或者收聽透過 Google Voice 接收的語音留言。

Sophos X-Ops 進一步指出，本次研究分析的 SVG 檔案中，近半數僅發送給單一目標，且目標的電子郵件地址或姓名被嵌入在 SVG 檔案內。這種高度客製化的攻擊模式顯示，這些 SVG 檔案正被用於鎖定企業的目標式攻擊。