全部文章分享

       本文擷取自資安人

在獲取龐大經濟利益前提下，近幾年駭客看準傳統產業、中小企業的資安意識、資安人才等不足，早已頻頻發動各種攻擊、勒索高額贖金等，成為產業推動轉型、邁向升級之旅的重大隱憂。為協助臺灣產業克服數位轉型的挑戰，2024 年 5 月 27 日 Check Point Software Technologies Ltd 宣布與逢甲大學合作共同開辦國際資安學苑，於中臺灣打造資安人才培育基地。

Check Point Software 臺灣區總經理劉基章表示，為展示深耕臺灣市場的決心，近年來我們積極臺灣推廣 Check Point SecureAcademyTM 國際資安教育培育計畫，整體成效深受各大專院校好評。這次我們是首度與中臺灣頂尖大學合作，逢甲大學在多個各領域教學成績有目共睹，也投入資安人才培育多時，整體成效深受企業肯定。我們希望透過此次合作機會，能在中臺灣建立資安人才培育基地，逐步解決產業面臨的人才不足問題。

逢甲大學校長王葳說，現今資安重要性已不需言喻，企業投入創新技術研究過時，也必須重視相關的資安工作。近年來，逢甲大學積極投入資安人才培育工作，我們希望透過 Check Point 共同啟動國際數位資安學苑，借重該公司的資安課程培育人才，讓逢甲大學學生對資安有更深層的了解，並透過輔導學生考取相關資安證照，期盼能提升同學畢業後投入職場的競爭力，進而獲得更好工作機會。

Check Point SecureAcademyTM 是項全球性計畫，Check Point 透過提供一套完整、無償的資安教材方式，與各地頂尖大學合作攜手培育資安人才。截至目前為止，Check Point 已與全球 60 個國家的 190 間以上大學合作，共有超過 20,000 名學生參與相關課程，無論課程內容、培訓制度都深受好評。

逢甲大學向來非常重視資訊安全教育工作，多年前即在逢甲大學資訊電機學院開設相關課程，期盼從學校教育著手，解決產業面臨資安人才不足的問題。由於資安課程規劃深受好評，不少企業亦與逢甲大學合作，透過企業包班方式強化員工的資安意識、技術等，強化因應未知威脅的能力。

逢甲大學資訊安全中心主任林子煒指出，逢甲大學與 Check Point 合作範疇涵蓋人才培育、應用、國際交流等三大面向，在人才培育部分，除原有資訊電機學院學生外，希望可讓更多外系學生透過 CheckPoint 線上教材協助，建立基本的資安知識。至於有想要考取資安證照的學生，學校在規劃 CCSA/CCSE 認證課程之外，CheckPoint 也可望會提供 85% 費用補助，減輕學生考照的費用負擔。在應用部分，雙方預計則會投入產學合作、資安零信任架構、5G 相關應用等四大主題。至於最後的國際交流部分，我們希望能到同樣屬於 Check Point SecureAcademyTM 計畫的以色列高教學府、新加坡理工學院參訪。

Check Point 國際資安學院計畫


Check Point 資安傳教士楊敦凱說，Check Point SecureAcademyTM 計畫與全球眾多大學均有合作關係，我們會定期舉辦交流活動，讓計畫夥伴能透過彼此分享心得方式，提升資訊安全課程的教學效益。紐約大學、新加坡理工學院在此計畫中的表現都很亮眼，我們很樂意協助逢甲大學到當地參訪，擴大 Check Point SecureAcademyTM 計畫的成效。

逢甲大學創能學院資訊教學中心主任蔡國裕說，資訊教學中心負責全校不分系的資訊教育，亦開設資訊安全的課程，希望讓全校學生能有資訊安全的基礎意識。我們期望藉由本次合作案，利用 Check Point 國際數位資安學苑教材讓資訊安全課程內容更充實，作為輔助相關教學的工具。

在 Check Point 與逢甲大學規劃中，2024 年工作重點為人才培育，2025 年則會延伸到應用、國際參訪等領域。而 Check Point 也將持續在臺灣推動 Check Point SecureAcademyTM 國際資安教育培育計畫，透過與更多大學合作方式，實踐為臺灣市場培育資安人才的承諾。

         本文擷取自資安人

Sophos今天發布最新行業調查報告《2024 年關鍵基礎設施的勒索軟體現況》。該報告顯示過去一年中，能源和水利兩個關鍵基礎設施行業的中位數復原成本暴增四倍，達到 300 萬美元。這是全球跨行業中位數的四倍。此外，針對這兩個關鍵基礎設施行業的勒索軟體攻擊，其中 49% 是源自於漏洞利用。
 
《2024 年關鍵基礎設施的勒索軟體現況》報告的數據，是來自 275 名來自能源、石油和天然氣以及公用事業組織的受訪者，這些組織屬於美國國土安全部 (CISA) 定義的 16 個關鍵基礎設施行業中的能源業和水利業。這份行業調查報告的結果，是來自於 2024 年 1 月至 2 月，涵蓋 14 個國家和 15 個行業對不限廠商的 5000 名網路安全/IT 領導者所進行調查的一部分。
 
Sophos 全球現場技術長 Chester Wisniewski 表示：「犯罪分子會將重心擺在能造成最大痛苦和破壞的地方，如此一來社會大眾會要求快速解決問題。而他們指望這些組織會為了更快恢復服務而交出贖金。這使得公用事業成為勒索軟體攻擊的主要目標。由於這些事業提供的是基本民生功能，社會大眾會要求公用事業迅速復原並將干擾降至最低。
 
「不幸的是，公用事業不僅是吸引攻擊的目標，而且在許多方面都很脆弱，包括對高可用性和安全性的需求，以及偏重實體安全的工程思維。有許多較舊的技術被配置為支援遠端管理，但卻沒有現代化的安全控制，例如加密和多因素驗證。此外，如同醫院和學校一樣，這些公共事業營運時通常人手不足，且缺乏讓系統保持最新狀態的 IT 人員，包括安裝最新修補程式、最新的安全漏洞，以及早期偵測和回應所需的監控。」
 
除了不斷增加的復原成本外，這兩個行業的組織在 2024 年的贖金支付中位數上升到超過 250 萬美元，比全球跨行業的中位數高出 50 萬美元。能源和水利業者回報的勒索軟體攻擊率也高居第二位。總體而言，2024 年這些行業中有 67% 的組織回報遇到勒索軟體攻擊，而全球跨行業的平均比例則為 59%。
 
報告的其他發現包括：

能源和水利行業反映復原時間越來越長。2024 年，只有 20% 遭受勒索軟體攻擊的組織能在一週內或更短時間內復原，而 2023 年這一比例為 41%，2022 年則為 50%。55% 的組織需要一個月以上的時間才能復原，高於 2023 年的 36%。相比之下，在所有行業中，需要一個月以上的時間才能復原的公司只有 35%。
相較於調查中的其他行業，這兩個關鍵基礎設施行業回報的備份被破壞率最高 (79%)，被加密率第三高 (80%)。


Wisniewski 補充道：「這再次表明，支付贖金幾乎總是不符合我們的最佳利益。越來越多組織 (61%) 為了復原而支付贖金，但復原所需的時間卻變長了。這些高比例和高額的贖金不僅變相鼓勵惡意分子對該行業發動更多攻擊，也沒能實現縮短復原時間的目標。
 
這些公用事業必須體認到它們已成攻擊目標，並應採取積極行動，監控存在於遠端存取和網路設備的漏洞，以及確保擁有全天候的監控和回應能力，以減少故障和縮短復原時間。它們應提前準備事件回應計畫，就像因應火災、洪水、颶風和地震一樣，並定期進行演練。」

             
           本文擷取自資安人

 Sophos 發布《2024 年網路保險與網路防禦：來自 IT 和網路安全領導者的經驗》調查報告。根據這份報告，97% 擁有網路保險政策的受訪者表示自身改進了防禦措施，以協助獲得保險的保障，其中 76% 宣稱這樣做能幫助他們符合投保資格，67% 表示保費可以更為便宜，30% 則說他們能獲得更優惠的保單條款。

調查還顯示，網路攻擊的復原成本超過了保險的保障。只有 1% 申請理賠的受訪者表示保險公司賠付了事件處理過程的全部成本。保單無法全額支付成本的最常見原因，是帳單總額超過了保單金額。根據《2024 年勒索軟體現況調查》，勒索軟體事件後的復原成本在過去一年內增加了 50%，平均達到 273 萬美元。

Sophos 全球現場技術總監 Chester Wisniewski 表示：「《Sophos 主動攻擊者報告》多次顯示，企業遭遇的許多網路事件，均因未能實施基本的網路安全最佳作法所導致，如及時安裝修補程式。舉例而言，在我們最近的報告中，遭竊的憑證是攻擊的主要根本原因，然而 43% 的公司尚未啟用多因素驗證。

「76% 的公司為了符合投保資格而投資網路防禦措施，這個事實表明為了獲得保險保障，企業被迫必須採取一些基本的安全措施。而這確實有用，並對公司整體產生了更多正面的影響。 不過，雖然網路保險對公司有利，但它只是有效風險緩解策略的一部分。公司仍然需要努力強化自身的防禦。網路攻擊可能會嚴重影響公司的營運和聲譽，而取得網路保險並不能改變這一點。」
在受訪的 5,000 名 IT 和網路安全領導者中，99% 為了保險而改進防禦措施的公司表示，他們的投資除了能獲得保險的保障，還獲得了更廣泛的安全效益，包括提升保護、釋放 IT 資源，以及減少警示。

Wisniewski 表示：「在網路防禦上的投資似乎能造成連鎖效應。除了可以節省企業的保險費用，省下來的資金亦可轉投入其他防禦措施，進而更廣泛地提升公司的安全狀態。隨著網路保險普及，我們希望企業的安全性能持續提升。網路保險並不會讓勒索軟體攻擊消失，但它很可能成為解決方案的一部分。」

《2024 年網路保險與網路防禦：來自 IT 和網路安全領導者的經驗》報告的數據來自一項中立的調查，調查對象包括 5,000 名資訊安全/IT 領導者，調查時間為 2024 年 1 月至 2 月。調查對象分布在美洲、歐洲、中東和亞太地區的 14 個國家。受訪組織員工數量在 100 至 5,000 人之間，營收額從不到 1,000 萬美元到超過 50 億美元不等。
 

        本文擷取自資安人

近年來企業數位化，以及 AI 等各類新技術和科技快速發展，資訊安全威脅也並未停歇，攻擊頻率愈加頻繁、手法更為複雜。為了能抵禦不斷變化攻擊手法，就需要企業保持高度警覺，並積極了解可能遭遇的潛在威脅來強化自身能力，提升資安韌性的同時達成 ESG 永續發展。

Openfind 長期深耕郵件資安領域，OSecure 郵件資安團隊近期在亞太地區客戶中觀察到的三大威脅趨勢，包含惡意附檔程式、釣魚攻擊，以及進階郵件攻擊。同時在 2024 年 Sophos 威脅報告中提到，電子郵件攻擊的型態已從單純的傳送釣魚 URL 轉為更複雜的手法。郵件資安研究人員發現，犯罪分子通常會冒充合法身份，向企業用戶寄送帶有惡意附檔的電子郵件。傳統的垃圾郵件防護機制會檢查郵件的內容特徵並進行處理，為了規避這些偵測機制，網路罪犯開發出新的手段，例如將文字轉化為圖片，或在郵件內文及附件中嵌入 QR Code 來替代傳統的 URL。

根據統計調查數據指出，企業所面對的惡意程式與勒索病毒主要由電子郵件發佈，其中三大惡意程式類型分別為 Office 檔案、Windows 應用程式與壓縮檔。因此，能效阻擋病毒、進階惡意程式及零時差攻擊（Zero-Day Attack）的防護機制對企業來說相當重要。特別是現今網路罪犯分工越來越細，釣魚網頁已經幾可亂真，惡意攻擊的背後是龐大的黑色產業鏈，要能有效防止釣魚攻擊，除了要有資安意識之外，還需要具有最新情資的工具自動輔助攔截。專業的郵件防護機制能與時俱進的保持更新，隔離阻擋加密附檔病毒信、新型 QR Code 釣魚信等等新型態 APT 進階威脅攻擊。

無論是惡意程式、勒索病毒，乃至於社交工程或釣魚攻擊，在郵件平台的第一線防護，都是企業資安攻防的前哨戰。許多大型的雲端工作平台如 Microsoft 365，雖提供垃圾郵件過濾（Spam Filtering）與基於特徵值的（Signature-based）病毒防護等功能，但這些基礎防護機制，並未能保護企業用戶免於 APT 等針對性攻擊。建議企業可評估導入更專業的第三方電子郵件防護，以提升工作平台之安全性。

         本文擷取自資安人

Sophos 於6月6日發布了《紅宮行動：威脅捕獵揭露鎖定東南亞的多個中國國家支持的活動集團》報告，詳細介紹了一場針對高階政府目標且持續近兩年的高度複雜間諜活動。在 Sophos X-Ops 於 2023 年開始的調查中，旗下託管式偵測和回應 (MDR) 團隊發現了針對同一組織的三個不同活動集團，其中兩個集團使用的策略、技術和程序 (TTP) 與知名中國國家支持的組織 (BackdoorDiplomacy、APT15 和 APT41 子集團 Earth Longzhi) 重疊。

攻擊者在這個行動中使用了多種惡意軟體和工具，以收集特定使用者的情報以及敏感的政治、經濟和軍事資訊，Sophos 將其命名為「紅宮行動」(Crimson Palace)。其中包括一種前所未見的惡意軟體，Sophos 將其稱為PocoProxy，是一種持續滲透工具。

Sophos 威脅捕獵和威脅情報主管 Paul Jaramillo 表示：「這些不同的集團似乎在為中國國家的利益服務，專門收集中國在南中國海戰略的軍事和經濟情報。在這次特定的行動中，我們相信這三個集團代表了不同的攻擊組織，它們在中央國家機器的指導下平行運作。在我們識別的三個集團之一——Alpha 集團中，看到惡意軟體和 TTP 與其他四個被舉發的中國威脅組織重疊。眾所周知，中國攻擊者會共用基礎架構和工具，這次最新的行動再次提醒我們這些組織是如何廣泛地共享彼此的工具和技術。

「隨著西方政府提高了對來自中國的網路威脅的警覺性，Sophos 揭露的重疊現象是一個重要的提醒。過度關注任何單一歸咎於中國駭客的行為，可能會使企業忽略這些組織如何協調運作的趨勢。透過掌握更大、更廣泛的全貌，企業可以更聰明地進行防禦。」

Sophos X-Ops 在 2022 年 12 月首次發現鎖定企業網路的惡意活動，當時揭露了一個來自中國威脅組織 Mustang Panda 的資料外洩工具。此後，MDR 團隊開始進行更廣泛的惡意活動捕獵。在 2023 年 5 月，Sophos X-Ops 威脅捕獵時發現了一個有弱點的 VMWare 可執行檔，經過分析，發現了遭鎖定網路中的三個不同活動集團：Bravo 集團、Charlie 集團和 Alpha 集團。

Alpha 集團活躍於 2023 年 3 月初到至少 2023 年 8 月期間，其部署了多種惡意軟體，專注於停用防毒保護、提升權限和進行偵察。其中包括升級版的 EAGERBEE 惡意軟體，而這與中國威脅組織 REF5961 有關。Alpha 集團還使用了與中國威脅組織 BackdoorDiplomacy、APT15、Worok 和 TA428 重疊的 TTP 和惡意軟體。

Bravo 集團僅在遭鎖定網路中活躍了三週，專注於橫向移動，透過受害者網路來側載名為 CCoreDoor 的後門程式。這個後門程式會建立外部通訊路徑、執行探索操作並外洩憑證。
Charlie 集團則活躍於 2023 年 3 月到至少 2024 年 4 月期間，專注於間諜活動和資料外洩。包括部署 PocoProxy：一個偽裝為 Microsoft 可執行檔的持續滲透工具，並建立與攻擊者的指揮和控制基礎架構的通訊。Charlie 集團著重於外洩大量敏感資料，包括軍事和政治文件，以及進一步存取網路的憑證/權杖。Charlie 集團的 TTP 與中國威脅組織 Earth Longzhi (APT41 的一個子集團) 重疊。與 Alpha 和 Bravo 集團不同的是，Charlie 集團仍在活躍中。

Jaramillo 表示：「我們在這次行動中看到的是在南中國海地區積極發展的網路間諜活動。我們發現了可能擁有無限資源的多個威脅組織，它們會針對同一高階政府組織進行數週或數月的攻擊，並會交互使用先進的自訂惡意軟體與公開可用的工具。它們能夠，並且仍然能夠自由地在一個組織中移動，以及經常更換工具。至少有一個活動集團仍然非常活躍，並試圖進行進一步的監視。

「有鑑於這些中國威脅組織經常重疊並共用工具，我們在這次行動中觀察到的 TTP 和新型惡意軟體有可能在全球其他歸因於中國的行動中再次出現。我們將繼續調查這三個集團，並與情報界分享我們的發現。」

       本文擷取自資安人

Sophos今天發布首份《2024 年託管服務提供商觀點》調查報告。報告發現，託管服務提供商 (MSP) 日常面臨的最大挑戰是跟上最新的網路安全解決方案/技術，39% 的受訪者反映了此一問題。除此之外，MSP 業者表示招募新的資安分析師來因應客戶成長和跟上最新的網路威脅，也是他們的主要挑戰之一。

調查還顯示，MSP 業者認為內部網路安全技能短缺，是對他們自身業務和客戶的最大網路安全風險。此外，他們認為被竊的資料、憑證以及未修補的漏洞，是對客戶造成最大安全風險的幾項因素。《2024 年勒索軟體現況報告》顯示，近三分之一 (29%) 的勒索軟體攻擊起始於遭竊的憑證，表明這是一個非常普遍的入侵途徑。

Sophos MSP 副總裁 Scott Barlow 表示：「網路安全戰場的創新速度不斷加快，意味著 MSP 將比以往更難跟上威脅，以及取得阻止這些威脅的網路防護。再加上全球技能短缺，使得許多 MSP 更難吸引和留住網路安全分析人才，因此他們覺得難以跟上不斷變化的威脅局勢並不令人意外。而且複雜度又因為客戶需要 24x7 全天候的防護而提高了。我們在《2023 年給科技領袖的主動攻擊者報告》中指出，91% 的勒索軟體攻擊是發生在下班時間。」

為了因應這一複雜的威脅局勢，可提供全天候防護的託管式偵測與回應 (MDR) 服務的需求日益增加。目前，已有 81% 的 MSP 業者提供了 MDR 服務，而其他 MSP 業者幾乎全部 (97%) 計劃在未來幾年內將 MDR 加入到產品組合中。

此外 66% 的 MSP 業者使用第三方供應商來提供 MDR 服務，15% 則是透過自己的安全營運中心 (SOC) 和第三方供應商共同提供，反映出內部網路安全技能短缺的情形。在第三方 MDR 供應商的必要能力列表中，首要的是能夠提供 24/7 全天候的事件回應服務。

MSP 也朝向精簡他們的網路安全合作關係，只與少數幾個供應商合作。研究顯示，超過一半 (53%) 的 MSP 業者只與一到兩家網路安全供應商合作，而使用一到五家供應商的比例則高達 83%。MSP 業者估計，如果能從單一平台管理所有網路安全工具，那麼他們可以減少 48% 的日常管理時間，反映出操作多個平台需要耗費的人力和管理成本。
報告中的其他重要發現包括：

99% 的 MSP 業者回報說，和網路保險相關的支援需求有所增加，其中最常見的是客戶希望採用 MDR 服務以提高其可保險性 (47%)，或是希望獲得申請保險的幫助 (45%)。
MSP 業者希望 MDR 供應商能提供彈性，71% 的 MSP 認為供應商能夠使用現有安全工具的遙測數據進行威脅偵測和回應是「必需或非常重要」的。
美國的 MSP 業者在提供 MDR 服務方面保持領先，幾乎所有 MSP 業者 (94%) 都已經提供 MDR，德國為 70%，英國為 62%，澳大利亞為 58%。
 

Barlow 繼續表示：「雖然 MSP 業者在保護客戶免受快速移動的攻擊者方面有很多工作要做，但如果他們能找到合適的安全防護，就有絕佳的機會來發展業務和提升獲利能力。資料顯示，MSP 業者正透過整合他們使用的平台，並與第三方 MDR 供應商合作來強化競爭力並減少開支，以擴增提供的服務項目。在尋求建構未來的安全方案時，他們應該優先考慮那些能夠完整提供業界最佳且完全託管式的安全服務和解決方案的供應商。」

《2024 年託管服務提供商觀點》報告的數據來自對美國 (200)、英國 (50)、德國 (50) 和澳大利亞 (50) 等地共 350 家 MSP 業者進行的一份中立調查。這項調查由 Sophos 委託研究機構 Vanson Bourne 在 2024 年 3 月進行。

     本文擷取自資安人

AI 驅動與雲端交付的網路安全平台領導廠商 Check Point® Software Technologies Ltd.（NASDAQ 股票代碼：CHKP）近期發布《2024 年雲端安全報告》；報告顯示今年的雲端安全事件急劇增加，有 61% 組織遭到影響，與較 2023 年的 24% 相比，有著 154 % 增長，顯示雲端威脅正變得日益複雜和頻繁。
 
Check Point 的最新調查揭露了令人堪憂的趨勢，儘管多數組織持續重視已知漏洞和惡意行為模式的威脅偵測和監控，卻只有 21% 組織重視「預防」。在組織難以跟上技術快速發展步伐（包括 DevOps 發展速度以及新程式碼和應用程式在雲端的部署速度）之情況下，此趨勢格外令人擔憂。
 
該調查凸顯了一個嚴峻的現實，雖然雲端攻擊頻傳，卻只有 4% 的組織表示其能輕鬆、快速地緩解風險，有高達 96% 的受訪者擔心自己無法處理此類風險。此外，91% 受訪者對於激增且日趨複雜的網路威脅感到憂慮，包括未知風險和零時差攻擊等傳統安全工具無法偵測到的威脅。
 
Check Point 首席策略長 Itai Greenberg 表示：「這些調查結果顯示，組織亟需將焦點轉向實施 AI 驅動的威脅防禦措施，透過採用整合的安全架構並增強協作式安全維運，便可針對新興威脅預先準備，確保更安全且韌性的雲端環境。」
 
《2024 年雲端安全報告》的要點包括：
 

雲端事件頻傳：今年雲端安全事件的數量較去年遽增 154%，有 61% 的組織通報重大攻擊事件。
對風險管理深感擔憂：高達 96% 的受訪者擔心無法有效管理雲端風險，與前幾年相比，該比例呈現明顯增長。
AI 技術的快速普及：有 91% 的組織正優先以 AI 增強安全態勢，並已將焦點轉向藉由 AI 進行主動威脅防禦。
以雲端原生應用程式保護平台（CNAPP）增強防禦：雖然威脅態勢日益嚴峻，卻僅有 25% 組織全面部署 CNAPP，凸顯了採用全面解決方案的急迫需求，而非單純仰賴傳統工具。



雲端安全整合的複雜性：儘管解決方案可望日益簡化，但 54% 受訪者仍在跨多雲環境中保持一致監管標準方面面臨挑戰。此外，有 49% 受訪者表示很難將雲端服務整合到傳統系統裡，且有限的 IT 資源往往讓問題更加複雜。

 
該報告建議組織採用更全面的協作式 AI 驅動之網路安全框架。Check Point CloudGuard 提供了實際可行的安全防護和更智慧的防禦，有效增強整體安全態勢。CloudGuard 為 Check Point Infinity 平台的一部分，組織得以集中並自動實施安全流程、確保合規性和執行規則集，從而強化雲端環境的可視性和控制。如欲查看報告全文並全面了解雲端安全趨勢，請造訪：https://engage.checkpoint.com/2024-cloud-security-report。

關於本調查：
《2024 年雲端安全報告》由 Cybersecurity Insiders 於 2024 年4 月進行，對北美、歐洲、亞太等地區的 813 名網路安全專家進行了調查，其中包括來自各行各業、不同規模企業的高階主管、IT 安全專業人員及員工。該研究深入分析使用雲端服務的組織如何應對安全挑戰，以及如何在此關鍵領域有效利用 AI 等先進技術。

        本文擷取自資安人

Sophos 《2024 年勒索軟體現況》報告顯示，過去一年受到勒索軟體攻擊的受害者中有 97% 曾與執法單位和/或政府機構合作，尋求被攻擊的協助。超過一半 (59%) 與執法單位合作的企業表示這個過程容易或相對容易，只有 10% 的受訪者表示這個過程非常困難。

根據調查，受影響企業會與執法單位和/或政府機構合作，尋求各種對抗勒索軟體攻擊的協助。61% 的受訪者表示他們獲得了如何應對勒索軟體的建議，而 60% 獲得了調查攻擊的幫助。58% 的資料被加密的受訪者獲得了執法單位的幫助，以從勒索軟體攻擊中復原他們的資料。

Sophos表示，傳統上，公司總是會避免與執法單位合作，因為他們擔心自己受到攻擊的事情會公諸於世。一旦被知道他們曾經成為受害者，可能會影響業務聲譽，使情況變得更糟。長期以來，受害者受到責難一直是攻擊的後果之一，但在這方面我們有了進步，無論是在安全社群還是在政府層面。例如，回報網路安全事件的新法規似乎已經使受害者與執法單位合作成為一種常態。調查數據顯示企業正朝正確的方向邁出步伐。如果公部門和私部門能夠繼續團結一致，成為一個協力團體來幫助企業，我們就能夠繼續改善我們快速復原和收集情報的能力以保護他人，甚至還能追究攻擊者的責任。

Sophos X-Ops 最新的現場調查主動攻擊者報告發現指出勒索軟體對中小型企業持續造成威脅。根據 2023 年超過 150 個事件回應案例的數據，勒索軟體連續第四年成為最常見的攻擊類型，在 Sophos X-Ops 調查的事件回應案例中有 70% 是此類攻擊。

Sophos最近的主動攻擊者報告顯示，許多企業仍未實作可以顯著降低整體風險的關鍵安全措施，包括即時修補裝置和啟用多因素驗證。從執法單位的角度來看，儘管他們最近成功地關閉了 LockBit 到 Qakbot，但事實證明這些成功只是暫時性的干擾，而不是長期或永久性的勝利。

《2024 年勒索軟體現況》報告的數據來自於一項中立的調查，調查對象包括 5,000 名資訊安全/IT 領導者，調查時間為 2024 年 1 月至 2 月。調查對象分布在美洲、歐洲、中東和亞太地區的 14 個國家。受訪組織員工數量在 100 至 5,000 人之間，營收額從不到 1,000 萬美元到超過 50 億美元不等。

            本文擷取去資安人

Sophos發布年度《2024 年勒索軟體現況》調查報告，發現過去一年平均支付的贖金暴增了五倍。報告發現支付贖金的企業平均支付高達 200 萬美元，較 2023 年的 40 萬美元大幅增加。但贖金僅是一部分成本。除了贖金外，復原成本的平均值達到 273 萬美元，比 Sophos 的2023 年報告中的 182 萬美元增加了近百萬美元。

儘管贖金不斷攀升，今年的調查顯示勒索軟體攻擊率略為下降，約 59% 的企業受到攻擊，而 2023 年時則為 66%。雖然營收較高的企業受到勒索軟體攻擊的可能性較高，但即使是營收不到 1,000 萬美元的最小型企業也經常成為目標，過去一年中有將近一半 (47%) 遭受勒索軟體攻擊。

2024 年的報告還發現，63% 的案件索求贖金為 100 萬美元或更高，其中 30% 超過500 萬美元，這表明勒索軟體營運者想要牟取暴利。不幸的是，不只營收額最高的企業被索取的贖金增加，將近一半 (46%) 營收不到 5,000 萬美元的企業，在過去一年被索取的贖金高達七位數。

Sophos表示，不應該讓攻擊率稍微下降就產生自滿。勒索軟體攻擊仍然是當今最主要的威脅，並是網路犯罪經濟的推手。如果沒有勒索軟體，就不會有這麼多支持勒索軟體的多樣化和層出不窮的前導威脅和服務。成本飆升掩蓋了勒索軟體攻擊是一種無差別犯罪的事實。當今勒索軟體的整體環境使得每一個網路犯罪分子都有機可乘，無論是否擁有技能。雖然部分集團專攻數百萬美元的贖金，但也有些人只收取低額贖金，採取積沙成塔的策略。
攻擊的起始點
連續二年來，被利用的漏洞是攻擊最常見的根本原因，影響了 32% 的企業。其次是遭竊憑證 (29%) 和惡意電子郵件 (23%)。這與 Sophos 最近《主動攻擊者報告》中在事件回應現場所發現的事實一致。

受害者回報指出，攻擊始於漏洞利用的攻擊對企業造成的影響最為嚴重，因其備份被破壞 (75%)、資料被加密 (67%) 和支付贖金 (71%) 的比例都高於攻擊始於遭竊憑證的情況。受調查的企業在財務和營運方面遭受的影響也更大，平均復原成本高達 358 萬美元，而攻擊始於遭竊憑證時為 258 萬美元。受害企業需要超過一個月才能復原的比例也更高。

報告中其他值得注意的發現包括：


在支付贖款的企業中，不到四分之一 (24%) 支付了對方原本要求的金額，其他 44% 回報支付的贖金低於對方要求
平均支付金額為最初贖金要求的 94%
在超過五分之四 (82%) 的案例中，贖金來自多個來源整體而言，總贖金中的 40% 來自企業自身，23% 來自保險業者
過去一年受到勒索軟體攻擊的企業中，有 94% 表示網路犯罪分子試圖破壞他們的備份，而在州立和地方政府中則高達 99%在 57% 的案例中，備份已被破壞
在 32% 的資料遭加密事件中，也發生資料被竊取的情形，相較去年的 30% 稍有增加。這將增加攻擊者向受害者進行勒索的能力

Sophos表示，風險管理是我們作為防禦者的重中之重。勒索軟體攻擊最常見的兩個根本原因是被利用的漏洞和遭竊的憑證，雖然可以預防，但太多企業仍然深受其擾。

企業需要全面評估他們環境中這些根本原因的暴露程度，並立即解決這些問題。即使環境中的防禦資源不足，企業仍需要盡可能讓攻擊者無法得手。只有提高攻擊者入侵網路所需的門檻，企業才能有效地利用其防禦的預算。

Sophos 建議採取以下最佳作法來幫助企業防禦勒索軟體和其他網路攻擊：


了解風險概況，使用 Sophos Managed Risk 等工具來評估企業的外部受攻擊面，優先處理最危險的曝險，並提供量身訂製的修補指引
使用如 Sophos Intercept X 等端點保護，阻止各種不斷變化的勒索軟體技術
取得內部團隊或經由託管式偵測與回應 (MDR) 供應商的支援，加強防禦並實現全天候的威脅偵測、調查和回應
制定並維持一份事件回應計畫，以及定期備份資料並練習從備份中復原資料

《2024 年勒索軟體現況》報告的數據來自於一項中立的調查，調查對象包括 5,000 名資訊安全/IT 領導者，調查時間為 2024 年 1 月至 2 月。調查對象分布在美洲、歐洲、中東和亞太地區的 14 個國家。受訪組織員工數量在 100 至 5,000 人之間，營收額從不到 1,000 萬美元到超過 50 億美元不等。

       本文擷取自資安人

外媒報導，思科示警全球 Cisco、CheckPoint、Fortinet、SonicWall 和 Ubiquiti 等設備的 VPN 和 SSH 服務遭受大規模的暴力撞庫攻擊。
 
暴力撞庫攻擊是嘗試使用大量的用戶名和密碼來登入帳戶或設備，直到找到正確的組合。一旦獲得正確的憑證，威脅行為者就可以利用它們劫持設備或訪問內部網路。
 
根據思科 Talos 的資訊，這次攻擊使用了一些有效的和通用的員工用戶ID，這些ID與特定的組織相關。
 
研究人員表示，這些攻擊開始於 2024 年 3 月 18 日，所有攻擊都源自 TOR 出口節點，攻擊主使者使用各種匿名工具和代理程式躲避封鎖。
 
思科 Talos 警告，依據目標環境的不同，攻擊成功可能會導致未經授權的網路訪問、帳戶鎖定或拒絕服務等後果。目前觀察到與攻擊相關的流量正隨著時間增加中。
 
用於進行攻擊的服務包括 TOR、VPN Gate、IPIDEA Proxy、BigMama Proxy、Space Proxies、Nexus Proxy 和 Proxy Rack。
 
思科的研究人員表示，以下服務正遭受積極攻擊:

Cisco Secure Firewall VPN
Checkpoint VPN
Fortinet VPN
SonicWall VPN
RD Web Services
Miktrotik
Draytek
Ubiquiti 

這此惡意活動沒有特定目標，表示背後的主使者，採取了隨機的攻擊策略。Talos 團隊已在 GitHub 上分享了這一活動的一系列完整的入侵指標(IoC)，包括攻擊者的 IP 地址以供列入黑名單，以及用於暴力攻擊的用戶名和密碼列表。
 
2024 年 3 月下旬，思科曾警告遭受一波 Cisco Secure Firewall 設備上的遠端 VPN (RAVPN) 服務的密碼噴灑攻擊。密碼噴灑攻擊對弱密碼政策更有效，密碼噴灑瞄準許多用戶名使用一小組常用密碼。
 
基於觀察到的攻擊模式和攻擊範圍，研究人員將這些攻擊歸因於一個名為「Brutus」的惡意軟體僵屍網路。但到目前為止尚未確認是否兩起攻擊事件是否有關聯。
 

       本文擷取自資安人

資安專家近期針對 Microsoft Message Queuing (MSMQ) 中介軟體服務中的一個嚴重資安漏洞提出警告，指出 Windows 系統管理者應立即套用修補軟體，修復此漏洞。目前有數十萬台 Windows 系統曝露於該資安風險之下。

MSMQ 於所有 Windows 各版本中均有提供，是一個可讓 App 具備網路通訊能力的選用組件，可以透過 PowerShell 或控制台（Control Panel）來啟用。

資安廠商 Fortinet 和 CheckPoint 旗下的資安專家指出，在 MSMQ 中存在的嚴重漏洞 CVE-2023-21554 可讓駭侵者以特製的 MSMQ 惡意封包，在不需要使用者互動的情形下，輕易進行攻擊，並且遠端執行任意程式碼。

受該漏洞影響的 Windows 版本，為目前市面上全系列的所有版本，包括最新版本的 Windows 11 22H2 與 Windows Server 2022。Microsoft 本身已在日前釋出的 2023 年 4 月分 Patch Tuesday 例行性資安修補包中修復此一漏洞，但根據 Check Point 的估計，目前仍有約 36 萬台 Windows MSMQ 伺服器尚未完成該漏洞的修補作業，因此仍曝露在駭侵攻擊的風險之下。

Microsoft 指出，目前已接獲有駭侵者利用此漏洞發動攻擊的情報，所有 Windows 系統管理者，應正視這個漏洞可能帶來的威脅，且應立即進行修補。

CVE 編號：CVE-2023-21554
影響產品：Windows 各版本作業系統，包括 Windows 11 2022H2 與 Windows Server 2022。
解決方案：建議立即套用 Microsoft 日前釋出的 Patch Tuesday 資安修補包。

       本文擷取自資安人

微軟在2024年4月推出了重大的安全更新，共修復了149個漏洞，其中2個正在被惡意利用。
 
修復的漏洞中，有3項被評為「關鍵」級，142項被評為「重要」級，3項為「中度」，1項為「低度」。除了這149個漏洞外，微軟也於3月發布patch tuesday後另行修補了Edge瀏覽器的21個漏洞。
 
本月資安人員須特別注意兩個漏洞，根據外媒報導，這兩個漏洞已被攻擊者利用：

CVE-2024-26234 (CVSS 6.7分) - 代理驅動程式欺騙漏洞（Proxy Driver Spoofing Vulnerability）
Sophos公司已發現一款惡意程式利用微軟的合法數位簽章來偽裝成正版軟體。該程式包含3proxy後門組件，可監控並攔截受感染系統的網路流量。Sophos 在野外發現了該後門的多個變體，最早可追溯到2023年1月5日。
 
CVE-2024-29988 (CVSS 8.8分)- SmartScreen提示安全繞過漏洞
與CVE-2024-21412和CVE-2023-36025一樣，攻擊者可利用這個漏洞繞過Microsoft Defender SmartScreen的保護，誘使使用者執行惡意檔案。Zero Day Initiative表示已有證據顯示此漏洞正在被野外利用。


其他值得關注的漏洞
另一個重要的漏洞是CVE-2024-29990 (CVSS分數:9.0)，這是一個影響Microsoft Azure Kubernetes Service保密容器的特權提升漏洞，未經身份驗證的攻擊者可利用它來竊取憑證。
 
此次更新還修復了68個遠端程式碼執行、31個權限提升、26個安全繞過以及6個拒絕服務漏洞。值得注意的是，有24個安全繞過漏洞與Windows安全啟動功能有關。
 
分析師表示，雖然這些漏洞尚未在野外被利用，但它們提醒大家，安全啟動機制仍存在問題，未來可能會出現更多相關的惡意活動。
 
Microsoft在這次更新中使用了CWE評估標準，這有助於開發人員了解漏洞的根源原因，從而在軟體開發生命週期中採取更好的措施來預防攻擊。