全部文章分享

    本文擷取自資安人

Check Point Software Technologies Ltd. 宣佈推出全新 Check Point Quantum 防火牆軟體 R82 （R82）及其他 Infinity 平台創新成果。隨著全球組織遭網路攻擊激增 75%，R82 新增全新 AI 引擎，以防範網路釣魚、惡意軟體和網域名稱系統（DNS）漏洞利用等零時差威脅。此外，R82 涵蓋新的結構變更及多項創新技術，有助於提升資料中心維運的 DevOps 敏捷性，同時實現簡化和擴展。
 
Check Point 產品總監 Nataly Kremer 表示，全球威脅以指數級速度增長，組織亟需智慧解決方案來保持領先優勢。現今網路安全防護的重要性日益提升，Check Point Quantum 防火牆軟體 R82 和 GenAI Protect 等 AI 威脅防禦工具套件不僅帶來世界級的創新技術，更能不斷簡化維運並提升彈性。
 
Check Point Quantum 防火牆軟體 R82 為企業客戶提供了 50 多項新功能，包括： 

AI 威脅防禦技術：
可攔截 99.8% 零時差威脅。R82 新增了四個全新 AI 引擎來搜尋隱藏關聯和模式，每月可攔截超過 50 萬次攻擊，並防範複雜的零時差網路釣魚和惡意軟體攻擊活動。
 
資料中心維運敏捷性：
透過自動整合安全防護策略，加快應用開發。藉由大幅簡化的防火牆虛擬化，組織可將虛擬系統的配置速度提高 3 倍，以更好地支援 DevOps 所需的多租戶和敏捷應用開發。   
 
維運簡單性：
支援各種規模的網路無縫擴充性，自動適應業務增長和流量激增。R82 有助於組織利用內建負載共用和叢集技術（ElasticXL）實現出色的韌性，同時將防火牆管理配置和維運速度加快 3 倍。
 
後量子加密技術（PQC）：
採用 NIST 核准的最新技術 Kyber（ML-KEM）進行量子安全加密，可保護資料免遭攻擊者竊取。 

IDC 集團安全與信任副總裁 Frank Dickson 表示，要維持有效的網路安全防護，AI、自動化技術以及快速應對最新威脅的能力不可或缺。安全防護不僅要強大，也需確保業務創新與 DevOps 保持同步。Check Point 透過全新的 AI 驅動協作式解決方案和 Quantum 防火牆軟體，提供高效能的 AI 威脅防禦，同時助力組織快速創新。
 
上述新功能均基於 Check Point 近期發佈的 AI 威脅防禦創新套件：  


Check Point Infinity AI Copilot 是一款迅速回應的 AI 助手，可自動實施並加速安全管理和威脅防禦。  
Check Point GenAI Protect 是一款開創性解決方案，支援企業安全地採用生成式 AI。  
Check Point Infinity 外部風險管理（ERM）輔以專家託管服務，可提供持續監控和即時威脅防禦，保護客戶免受憑證威脅、漏洞利用、網路釣魚攻擊和詐騙等各種外部風險。

       本文擷取自資安人

趨勢科技在追蹤全球重要基礎建設和政府機構的攻擊活動時，發現中國政府支援的駭客組織「鹽颱風」（Salt Typhoon）正利用全新的 GhostSpider 惡意程式，大規模攻擊電信服務業者。

趨勢科技的調查進一步揭露，「鹽颱風」組織除了使用 GhostSpider 外，還部署了多項駭客工具，包括針對 Linux 系統的惡意程式「Masol RAT」、用於隱藏惡意行為的 rootkit 工具「Demodex」，以及在中國進階持續性威脅（APT）組織間常見的後門程式「SnappyBee」。
鹽颱風的全球攻擊活動
鹽颱風（又稱「Earth Estries」、「GhostEmperor」或「UNC2286」）自 2019 年以來一直活躍，是一個專門針對政府機構和電信公司發動網路攻擊的進階駭客組織。根據趨勢科技的報告，鹽颱風已在美國、亞太地區、中東、南非等地區攻擊電信、政府機構、科技、顧問諮詢、化工和運輸等產業。

報告中特別指出兩項重要攻擊行動：「Alpha行動」運用Demodex與SnappyBee惡意程式攻擊台灣政府及化工製造商，而「Beta行動」則使用GhostSpider和Demodex惡意程式，對東南亞電信與政府網路進行長期間諜活動。

駭客組織主要透過以下資安漏洞入侵對外服務的網路端點：


CVE-2023-46805、CVE-2024-21887（Ivanti Connect Secure VPN）
CVE-2023-48788（Fortinet FortiClient EMS）
CVE-2022-3236（Sophos防火牆）
CVE-2021-26855、CVE-2021-26857、CVE-2021-26858、CVE-2021-27065（Microsoft Exchange – ProxyLogon）

成功入侵系統後，鹽颱風會利用系統內建的合法工具（Living off the Land，LOLBin）執行情報收集和橫向移動。

GhostSpider 後門程式的技術細節
GhostSpider 是一款模組化的後門程式，透過加密技術並僅存在於記憶體中，以達到高度隱匿性。該惡意程式透過 DLL 劫持方式載入目標系統，並利用合法的「regsvr32.exe」工具註冊為系統服務。其次要模組（信標載入器）負責將加密的惡意程式直接載入記憶體。

GhostSpider 接收來自指揮控制（C2）伺服器的指令，這些指令被隱藏在 HTTP 標頭或 Cookie 中，藉此混入正常網路流量。該後門程式支援以下指令：


上傳（Upload）：將惡意模組載入記憶體，執行駭客指定的特定任務。
建立（Create）：啟動已載入的模組，並初始化其運作所需資源。
執行（Normal）：執行已載入模組的主要功能，如資料外洩或系統操控。
關閉（Close）：從記憶體中移除作用中的模組，減少痕跡並釋放系統資源。
更新（Update）：調整惡意程式的行為，如通訊間隔，以維持隱密性。
心跳（Heartbeat）：與 C2 伺服器保持定期通訊，確認系統仍可被存取。

這些指令結構賦予後門程式高度靈活性，使鹽颱風能依據受害者的網路環境和防禦機制調整攻擊策略。

鹽颱風使用的其他駭客工具
除了 GhostSpider 外，鹽颱風還運用一系列自有工具和其他中國駭客組織共用的工具，使其能在邊緣設備到雲端環境間執行複雜的多階段間諜活動。


SNAPPYBEE：模組化後門程式（又稱 Deed RAT），用於長期存取和間諜活動，具備資料外洩、系統監控和執行駭客指令功能。
MASOL RAT：跨平台後門程式，最初針對東南亞政府，專注於 Linux 伺服器，提供遠端存取和指令執行功能。
DEMODEX：用於在被入侵系統中維持潛伏的 rootkit，採用反分析技術，確保駭客能長期隱匿。
SparrowDoor：提供遠端存取功能的後門程式，用於橫向移動和建立 C2 通訊。
CrowDoor：專門針對政府和電信實體的間諜後門程式，注重隱密性和資料外洩。
ShadowPad：中國駭客組織共用的惡意程式，用於間諜活動和系統控制，作為部署各種惡意外掛的模組化平台。
NeoReGeorg：用於建立隱密通訊通道的隧道工具，讓駭客能繞過網路防禦並控制被入侵系統。
frpc：開源反向代理工具，用於建立與 C2 伺服器的安全連線，實現資料外洩和遠端指令執行。
Cobalt Strike：原為商業滲透測試工具，遭駭客濫用來建立信標，進行橫向移動、提權和遠端控制。

整體而言，鹽颱風擁有龐大的攻擊工具庫，包含諸多廣泛使用的工具，這使得研究人員在能見度有限時，難以準確判定攻擊來源。

趨勢科技總結指出，鹽颱風是最具攻擊性的中國 APT 組織之一，呼籲各組織保持警戒，並採用多層次的資安防禦措施。

本文轉載自 BleepingComputer。

     本文擷取自資安人

資安公司 Trellix 最近揭露了一起新型惡意攻擊活動，駭客透過濫用 Avast 舊版且具漏洞的防 Rootkit 驅動程式，成功突破系統偵測並關閉目標系統的安全防護。

根據 Trellix 研究員分析，這款惡意程式是一個 AV Killer 變種，內建了 142 個來自不同資安廠商的安全程式名單。由於該驅動程式具有核心層級的存取權限，使得惡意程式能夠存取作業系統的關鍵部分並終止特定程序。

攻擊者採用了「自帶漏洞驅動程式」（BYOVD）的手法，具體步驟如下：

惡意程式（kill-floor.exe）會在 Windows 使用者資料夾中放置具有漏洞的驅動程式（ntfs.bin）
透過服務控制（sc.exe）創建名為 'aswArPot.sys' 的服務並註冊驅動程式
利用內建的程序清單比對系統中的活動程序
一旦發現相符的程序，就會建立 Avast 驅動程式的存取控制代碼
使用 'DeviceIoControl' API 發送 IOCTL 指令來終止目標程序 

受影響的安全解決方案包括 McAfee、Symantec（Broadcom）、Sophos、Avast、Trend Micro、Microsoft Defender、SentinelOne、ESET 和 BlackBerry 等知名廠商的產品。一旦這些防護機制被停用，惡意程式就能在不觸發警報或遭到阻擋的情況下執行惡意活動。
 
值得注意的是，這類攻擊手法並非首次出現。2022 年初，Trend Micro 的研究人員在調查 AvosLocker 勒索軟體攻擊時就曾觀察到類似的驅動程式濫用情況。2021 年 12 月，Cuba 勒索軟體也曾利用 Avast 防 Rootkit 核心驅動程式的功能來癱瘓受害者系統的安全解決方案。
 
同期，SentinelLabs 發現了兩個自 2016 年就存在的高風險漏洞（CVE-2022-26522 和 CVE-2022-26523），這些漏洞可被利用來提升權限並停用安全產品。Avast 已在接獲通報後透過安全更新修補這些漏洞。
 
為防範此類攻擊，組織可採用基於簽章或雜湊值的規則來識別和阻擋可疑元件。Microsoft 也提供了易受攻擊驅動程式封鎖清單政策檔案作為防護措施，該清單會隨每次 Windows 主要更新而更新，並自 Windows 11 2022 版本起預設在所有裝置上啟用。使用者可透過 App Control for Business 取得最新版本的清單。
 
此事件再次提醒企業和使用者，即使是來自知名安全廠商的合法元件，若未及時更新也可能被攻擊者利用作為入侵系統的工具。定期更新和妥善的安全配置管理變得更加重要。

本文轉載自bleepingcomputer。

     本文擷取自資安人

Check Point Software Technologies Ltd. 的威脅情報部門 Check Point Research 數據顯示，今年第三季度全球平均每周網路攻擊次數為 1,876 次，相較去年同期增加 75%。其中，台灣的網路攻擊情況尤為嚴重，平均每週遭受 4,129 次攻擊，位居亞太地區之首。
 
根據 Check Point Research 統計，2024 年 5 至 10 月台灣受攻擊次數最多的前三大產業依序為硬體供應商（平均每周 7,046 次攻擊）、政府與軍事機構（平均每周 5,357 次）和製造業（平均每周 4,175 次）。
 
此外，全球第三季最常被用於網路釣魚攻擊的前五大品牌分別為微軟（Microsoft）、蘋果（Apple）、谷歌（Google）、臉書（Facebook）和 WhatsApp。
Check Point Software 2024 年第三季全球網路攻擊數據統計
報告重點摘要如下：


攻擊紀錄創新高：2024 年第三季，全球各組織平均每週遭受 1,876 次攻擊，較去年同期增加了 75%，與上一季相比上升了 15%。
 
全球各產業遭受攻擊情形：「教育與研究機構」成為最易遭攻擊的產業，每週平均遭到 3,828 次攻擊，接著分別為「政府與軍事機構（2,553 次）」和「醫療保健機構（2,434 次）」。
 
全球各地區亮點：非洲是全球遭受最多網路攻擊的地區，每週平均遭受 3,370 次攻擊（年增 90%），歐洲和拉丁美洲亦有顯著增加。至於亞太地區，每週平均 2,863 次（年增 55%），其中台灣尤為嚴重，每週平均 4,129 次（年增 44%），位居亞太第一。
 
勒索病毒肆虐：共有超過 1,230 起勒索病毒事件，尤以北美最為嚴重，占 57%，其次為歐洲，占 24%。 

2024 年第三季，全球數位環境經歷了前所未有的網路攻擊劇增，不僅突顯組織面臨的網路威脅在數量和強度上都顯著升級，也揭示了網路犯罪戰術的演變，進一步顯示出加強網路防禦的迫切性。Check Point Software 建議透過採取積極主動的網路安全方針，賦能組織在不斷變化的威脅環境中保護其資產，確保營運持續性。

威脅情資報告

2024 年 5 至 10 月，台灣受攻擊次數最多的前三大產業依序為硬體供應商（平均每週遭受 7,046 次攻擊）、政府與軍事機構（5,357 次）和製造業（4,175 次）。

威脅情資摘要如下：


台灣最猖獗的惡意軟體為 Formbook。
台灣常見惡意軟體包含 RAT（遠端存取木馬）、Tofsee（木馬惡意軟體）、Botnet（殭屍網路）與 Formbook（資訊竊取惡意軟體）。
2024 年 10 月 6 日至 2024 年 11 月 6 日期間，台灣有 65% 的惡意檔案夾帶在電子郵件中。 


2024 年第三季品牌網路釣魚報告
2024年第三季最常被用於釣魚攻擊的品牌排名如下：

科技業仍是最常被冒充的產業，其次是社群網路和銀行業，這突顯主要線上服務供應商仍持續面臨漏洞問題。

       本文擷取自資安人

繼 Akira 與 Fog 勒索軟體之後，資安研究人員發現駭客正利用 Veeam 備份與複寫（VBR）軟體的重大安全漏洞（CVE-2024-40711）部署 Frag 勒索軟體，引發資安警報。

此漏洞由 Code White 資安研究員 Florian Hauser 發現，源自於不受信任資料反序列化的弱點。未經授權的攻擊者可藉此在 Veeam VBR 伺服器上執行遠端程式碼（RCE）。資安研究團隊 watchTowr Labs 於 9 月 9 日發布技術分析，並延至 9 月 15 日才公開概念驗證程式碼，以給予系統管理員充分時間套用 Veeam 於 9 月 4 日發布的安全更新。

Sophos X-Ops 事件應變團隊指出，攻擊者結合此 RCE 漏洞與竊取的 VPN 閘道憑證，在未修補且暴露於網際網路的伺服器上，將惡意帳號加入本機管理員和遠端桌面使用者群組。最新發現顯示，代號「STAC 5881」的威脅組織利用 CVE-2024-40711 漏洞部署新型 Frag 勒索軟體。

Sophos X-Ops 首席威脅研究員 Sean Gallagher 表示：「在最近的案例中，我們再次觀察到 STAC 5881 的攻擊手法，但這次部署了一個先前未被記錄的勒索軟體『Frag』。攻擊者同樣使用遭入侵的 VPN 設備進行存取，利用 VEEAM 漏洞，並建立名為『point』的新帳號，此次還額外建立了『point2』帳號。」

英國資安公司 Agger Labs 報告指出，Frag 勒索軟體團體大量使用系統內建的合法軟體（Living Off The Land binaries，LOLBins）進行攻擊，增加防護難度。他們的攻擊模式與 Akira 和 Fog 組織相似，主要針對備份和儲存解決方案中未修補的漏洞與錯誤配置。

值得注意的是，Veeam 在 2023 年 3 月曾修補另一個高風險漏洞（CVE-2023-27532），該漏洞後來被用於針對美國關鍵基礎設施組織的 Cuba 勒索軟體攻擊。據悉，Veeam 全球用戶超過 55 萬，其中包括約 74% 的全球前 2000 大企業，受影響範圍廣泛。

專家建議企業立即更新 Veeam 軟體至最新版本，並加強監控可疑的系統活動，以防範勒索軟體攻擊。

本文轉載自bleepingcomputer。

          本文擷取自資安人

Check Point Software Technologies Ltd. 旗下威脅情報部門 Check Point Research 報告指出，今年前三季全球平均每週網路攻擊次數為 1,876 次，相較去年同期增加 75%，而台灣更以每週 4,129 次的平均攻擊次數位居亞太地區榜首。Check Point 發佈 2025 年網路安全趨勢預測，列舉未來一年組織將面臨的主要安全挑戰；隨著企業不斷擁抱新技術，AI 驅動攻擊、量子威脅和雲端漏洞將重新定義數位威脅情勢。
 
Check Point 技術長 Dorit Dor 博士表示，2025 年，AI 將同時助長網路攻擊與強化安全防護—安全團隊將依賴為其獨特環境量身打造的 AI 驅動工具，而攻擊者則會以日益複雜的 AI 驅動網路釣魚和深度偽造攻擊予以回應。與此同時，攻擊者將利用被忽視的漏洞、服務帳戶和機器對機器存取金鑰在網路內橫向移動，進一步增加防禦難度。隨著網路衝突逐漸擴展到社交平台甚至戰場，各組織必須更主動地採取預防措施，並能夠迅速做出調整，以確保其維運不受新興威脅影響。
 
Check Point Software 提出 2025 年全球九大網路安全趨勢預測：

趨勢一：AI 驅動攻擊日益增多
2025 年 AI 將成為網路犯罪的主要幫兇。攻擊者將利用 AI 技術發起高度客製化的網路釣魚攻擊，以及生成能夠從即時資料中學習、躲避偵測的自適應惡意軟體（adaptive malware）。小型駭客組織也可利用 AI 工具發起大規模攻擊，而無需具備高深專業知識，將導致網路犯罪更加普及。
 
趨勢二：勒索軟體將重創供應鏈
勒索軟體將變得更具針對性和自動化，並將攻擊矛頭指向關鍵供應鏈，大規模攻擊可能更加頻繁，影響整個產業。同時，攻擊者會運用 AI 增強型網路釣魚電子郵件和深度偽造技術冒充身份，以避開防禦系統。
 
趨勢三：AI 使用不當將增加資料外洩風險
隨著 ChatGPT 等 AI 工具成為業務流程中不可或缺的一部分，意外的資料外洩將成為重要隱憂。員工可能在無意間將敏感資料分享給外部 AI 平台，導致非蓄意的資料外洩。組織需要建立治理架構來監控 AI 使用情況並保護資料隱私。 
 
趨勢四：量子計算將對加密技術構成新威脅
量子計算即將挑戰現有的加密方法。儘管大規模量子攻擊威脅形成尚需數年時間，但金融和醫療等產業必須及早開始採用量子安全加密技術，以有效抵禦這一近在眉睫的威脅。 
 
趨勢五：社群媒體濫用和深度偽造技術將屢見不鮮
愈來愈多的網路犯罪分子將瞄準社群媒體平台，利用個人資訊實施精準詐騙和身份冒充。AI 驅動的深度偽造技術將更加逼真，對金融交易和企業安全構成威脅。為了偵測並防範這些複雜攻擊，企業需要採用即時 AI 防禦。 
 
趨勢六：AI 驅動的 SOC 助手將革新安全維運
資訊安全監控中心（SOC）將利用 AI 助手處理大量資料並對威脅進行優先順序劃分，進而縮短回應時間。這些 AI 驅動的工具將有助於自動偵測威脅並減少誤報，藉此提升安全團隊效率。 
 
趨勢七：隨 AI 普及，資訊長和資安長角色趨於融合
隨著企業日益採用 AI 和導入混合雲環境，資訊長和資安長的角色將逐步整合，轉向全面風險管理。根據 Check Point 報告預測，資訊長將監管愈來愈多網路安全維運，推動 IT 與安全職能團隊之間更緊密的協作。 
 
趨勢八：雲端安全平台主導市場
組織將遷移至整合式雲端安全平台，採用雲端原生安全平台（CNAPP）等工具來監控並保護多雲環境。AI 將在自動化威脅防禦上發揮關鍵作用，將重心從被動防護轉向主動防禦。
 
趨勢九：物聯網擴展增大攻擊面
預計到了 2025 年物聯網裝置數量將達到 320 億台，確保這些互連系統的安全將變得至關重要，攻擊者將利用安全防護脆弱的物聯網裝置入侵雲端網路。為了降低此風險，組織必須採用零信任架構和 AI 威脅偵測工具。

      本文擷取自資安人

隨著人工智慧技術的快速發展，企業資安防護已進入新紀元。根據最新統計，台灣企業每週平均遭受高達4,100次的網路攻擊，較亞太地區其他國家高出1.75倍，情況令人堪憂。面對如此嚴峻的威脅環境，企業該如何運用AI技術強化資安防護，成為當前急需解決的課題。資安人專訪Check Point Software 亞太及日本區總裁 Ruma Balasubramanian  (以下以Ruma稱)分享從大中華區角度觀察到的一些資安趨勢。
台灣資安威脅情勢嚴峻
Ruma指出，台灣企業面臨的網路攻擊主要集中在硬體製造、科技製造及政府機關等重點領域。攻擊手法不斷推陳出新，從傳統的勒索軟體、社交工程詐騙，到近期興起的供應鏈污染攻擊，都對企業造成重大威脅。

整體而言，當前資安攻擊呈現三大趨勢：首先是勒索軟體升級，從單純加密數據演變成鎖定企業夥伴的三重勒索；其次是AI加持的社交工程攻擊，透過深偽技術產生逼真的釣魚郵件、影音內容；第三是軟體供應鏈威脅，攻擊者透過污染開源程式庫，使開發團隊在引用程式碼時，連帶感染企業應用系統。這些新興威脅不僅影響企業本身，更可能危及整個商業生態系統。



2024 台灣網攻概覽


然而，台灣的資安環境具有其獨特性，起因於廣泛使用的IoT設備。Ruma說明，「由於台灣擁有強大的製造基礎，特別是在ICT產業，企業環境通常存在大量的IoT設備，這使得攻擊面相較其他市場更為寬廣。」

近幾年，台灣企業的IT環境經歷了重大變革。大量工作負載遷移至雲端，企業根據營運地區採用不同的雲服務供應商，形成了複雜的混合雲環境。Ruma形容，「我今天就遇到一個全球製造業客戶，他們依據不同國家的需求，採用多個雲端服務供應商，同時將核心安全工作負載保留在內部環境，而將客戶服務和財務相關的工作負載部署在公有雲上。」

這些現象形成台灣企業面臨的雙重安全挑戰：一方面是傳統製造供應鏈中大量IoT設備帶來的威脅，另一方面則是日益複雜的混合雲環境衍生的資安風險。這種特殊的產業結構，使得台灣企業比其他亞太地區企業面臨更多的攻擊途徑。

此外，Ruma認為更具挑戰性的是資安供應商整合問題。調查顯示全球70%的資安長需要管理超過50家資安供應商，這種情況在台灣市場同樣普遍。「對CISO來說，管理如此多的供應商關係已經相當困難，更別說要將這些不同的解決方案整合成一個統一的資安平台，」她說。



近六個月資安攻擊產業：台灣 vs. 全球


AI防護新利器：GenAI Protect
因應生成式AI帶來的新興威脅，Check Point正在開發名為GenAI Protect的創新工具。這款工具突破了傳統數據外洩防護（DLP）的限制，採用更智慧的方式來防範資料外洩風險。
Check Point Software北亞區技術主管侯嘉駿說明，「傳統DLP要求企業自行定義敏感資料的範圍，這對很多企業來說是個挑戰。但GenAI Protect能夠通過AI技術分析使用者的提問內容本身，主動識別可能導致資訊外洩的風險。」

他舉例，當員工詢問一雙鞋子的價格是否合理時，這是無害的提問。但如果員工詢問收購一家公司的價格是否合理，即使沒有涉及具體的敏感資料，但這個提問本身就可能洩露企業的併購計劃。GenAI Protect能夠理解這種語境下的潛在風險，並及時進行阻擋。目前該工具正處於客戶預覽階段，持續收集使用者回饋以進行優化。

全方位的AI安全解決方案
面對日益嚴峻的資安威脅，Check Point憑藉十年的AI經驗，推出了一系列創新的安全解決方案。其中最受矚目的是Threat Cloud AI平台，該平台透過部署在全球的數百萬個偵測器，持續收集即時的威脅情報。侯嘉駿表示：「我們運用超過50種機器學習模型對收集到的數據進行分析，讓用戶能夠主動掌握環境中的潛在威脅。」

值得注意的是，Threat Cloud AI採用了無代理程式的架構設計，這意味著企業無需在終端設備上安裝額外的軟體。侯嘉駿解釋這個設計對現今企業來說極具吸引力。「因為它不會影響系統效能，卻能提供全面的安全防護。」

此外，Check Point收購Cyberint，進一步強化了其威脅情報分析和供應鏈掃描能力。侯嘉駿說明，「Cyberint的解決方案有兩個特別突出的功能。首先是其深度的暗網掃描能力，能夠偵測員工個人資料、電子郵件等是否外洩；其次是全面的供應鏈安全掃描，特別是針對網路設備製造商的安全檢測。」
 
與市面上其他掃描工具不同，Cyberint採用了「人機協作」的創新模式。在每個客戶的服務中，都會配置專業的資安分析師，負責審查掃描結果。侯嘉駿解釋，「純粹依靠工具的自動掃描常常會產生大量誤報。透由有經驗的分析師進行篩選警報，確保只將真正具有風險的發現通報給客戶，這大幅提高了威脅回應的效率。」

這種結合專業服務的模式特別適合資安運營中心（SOC）的需求。透過Cyberint的即時警報機制，SOC可以快速掌握任何已知的惡意威脅，並採取相應的防護措施。

Ruma補充，「在AI時代，人機協作將成為常態，但這並不意味著AI會完全取代人類。就像客服中心使用AI聊天機器人時，仍需要專業人員監督和確保回覆的準確性。資安領域也是如此，AI工具能夠協助偵測威脅，但最終的判斷和處置仍需要專業人員的參與。」

資安人才面對AI時代的技能升級
隨著AI技術的快速發展，資安人才的培訓與技能提升變得尤為重要。Ruma 指出，資安人才需要在三大關鍵領域強化能力：


AI技能全面提升:
Ruma 認為資安人員的首要之務是培養AI相關技能，包括了解如何開發和應用AI工具、掌握大型語言模型的運作原理，以及熟悉各類機器學習工具的使用方法。
 
雲端安全專業知識:
現代資安人員不僅要熟悉傳統網路安全，更要深入理解雲端安全的特性。特別是在混合雲環境中的安全防護策略。
 
強化滲透測試能力:
Ruma 認為市面上存在兩種不同的方法。一種是利用簡單的掃描工具,可由企業內部人員自行操作；另一種則是更深入的滲透測試，需要具有攻擊能力的專業人士進行。對於涉及敏感資料的企業來說，建議選擇由第三方安全公司提供的深度滲透測試服務,以全面掌握系統的漏洞情況。


未來展望與建議
在產品安全管理方面，Check Point特別重視漏洞的及時修補和主動通報機制。侯嘉駿認為，「沒有任何產品能夠完全避免漏洞，關鍵在於發現漏洞後的處理速度和透明度。我們承諾在發現重大漏洞時，會在24小時內完成修補，並主動聯繫每一位受影響的客戶。」

展望未來，Check Point將持續投資區塊鏈、Web3等創新技術的研發，進一步擴充其安全解決方案的範疇。同時呼籲台灣企業重視AI與人類之間的協作，並加強員工在新興技術領域的培訓，共同應對日益複雜的網路安全挑戰。

     本文擷取自資安人

思科（Cisco）於近日發布重要安全更新，修補一個目前正遭受積極攻擊的 Adaptive Security Appliance（ASA）安全漏洞。該漏洞可能導致系統發生阻斷服務（DoS）攻擊，影響企業網路安全運作。
漏洞細節與影響範圍
這個被編號為 CVE-2024-20481 的漏洞（CVSS 評分：5.8）影響思科 ASA 和 Firepower Threat Defense（FTD）軟體的遠端存取 VPN（RAVPN）服務。由於資源耗盡問題，未經授權的遠端攻擊者可以利用此漏洞對 RAVPN 服務發動 DoS 攻擊。

思科安全公告指出，攻擊者可以透過向受影響設備發送大量 VPN 驗證請求來利用此漏洞。一旦攻擊成功，將導致資源耗盡，使受影響設備的 RAVPN 服務癱瘓。更嚴重的是，根據攻擊影響程度，可能需要重新啟動設備才能恢復 RAVPN 服務。

緩解措施
雖然目前沒有直接的解決方案來完全防範 CVE-2024-20481 漏洞，但思科建議客戶採取以下防護措施來對抗密碼暴力破解攻擊：啟用日誌記錄功能、為遠端存取 VPN 服務配置威脅偵測、實施強化措施（如停用 AAA 驗證），以及手動阻擋來自未授權來源的連線嘗試。

大規模攻擊活動
思科 Talos 威脅情報團隊於今年四月初報告指出，自 2024 年 3 月 18 日以來，針對 VPN 服務、網頁應用程式驗證介面和 SSH 服務的暴力破解攻擊明顯增加。這些攻擊不僅針對思科設備，還包括 Check Point、Fortinet、SonicWall、MikroTik、Draytek 和 Ubiquiti 等多家廠商的產品。
Talos 指出，這些暴力破解攻擊使用通用使用者名稱和特定組織的有效使用者名稱，攻擊來源主要來自 TOR 出口節點以及各種匿名通道和代理伺服器。

其他重大漏洞修補
除了上述漏洞外，思科同時修補了三個嚴重性更高的安全漏洞：


CVE-2024-20412（CVSS 評分：9.3）影響 FTD 軟體，涉及硬編碼密碼的靜態帳戶問題；
CVE-2024-20424（CVSS 評分：9.9）存在於 FMC 軟體的網頁管理介面，可能允許已驗證的遠端攻擊者以 root 權限執行任意命令；
CVE-2024-20329（CVSS 評分：9.9）影響 ASA 的 SSH 子系統，同樣可能允許已驗證的遠端攻擊者執行 root 權限的系統命令。

有鑑於網路設備安全漏洞已成為國家級駭客組織的主要攻擊目標，資安專家強烈建議企業用戶儘速更新至最新版本。同時，應持續監控系統異常活動，確保企業網路安全。

本文轉載自thehackernews。

        本文擷取自資安人

網路安全大廠 Sophos 宣布將以全現金約 8.59 億美元收購 Secureworks，每位 Secureworks 股東將可獲得每股 8.50 美元的現金對價。此次併購將使 Sophos 顯著擴展其產品範疇，新增身分偵測與回應 (ITDR)、次世代安全資訊與事件管理 (SIEM) 功能、營運技術 (OT) 安全，以及增強的漏洞風險優先性等重要功能。

​這項預計於 2025 年初完成的交易，將透過整合兩家擁有共同使命文化的產業領導者，進一步強化安全社群。此次合併後的產品組合將更全面地保護占全球企業 99% 的中小型企業，協助其突破網路安全資源不足的困境，同時也能為大型企業提供更完善的防護，以對抗來自活躍網路犯罪生態系統和地緣政治壓力所帶來的網路威脅。 

Sophos 結合 Secureworks 在安全營運方面的專業知識，預期將進一步為全球客戶提供互補的 MDR 和 XDR 解決方案。

        本文擷取自資安人

Sophos 推出了九款全新 XGS 系列桌上型防火牆設備，這些設備適用於中小型企業，以及大型組織的分公司。新款 XGS 設備具備精簡的架構，提供比前代機型高出一倍的效能，同時降低了 50% 的能源消耗。所有新款 Sophos XGS 設備均支援多種高速連線選項，其中四款採無風扇設計，非常適合對噪音敏感的環境。

Sophos 同時發表 Sophos Firewall 軟體的更新版本，提供更強大的網路攻擊防護功能，包括整合第三方威脅情報源的能力。此功能允許具有特定地區或垂直市場需求的組織自訂並採用額外的資訊，以加強其防火牆的安全性。新軟體還提升了對分散式網路的可擴展性，並可讓舊版防火牆客戶順暢地升級至最新的 Sophos XGS 設備。透過利用新 Sophos Firewall 軟體中改良的虛擬 FastPath 加速功能，以及新的精簡架構，新的 Sophos XGS 防火牆設備提供的 IPsec VPN 輸送量可達三倍於前代機型的效能。 

使用者現在可以配置 Sophos Firewall 軟體，使其接收由安全廠商、託管服務提供商 (MSP)、特定行業聯盟和資訊共用與分析中心 (ISAC) 或其他威脅情報平台發布的付費和免費情報來源。這些第三方數據可增強 Sophos 專有的威脅情報，包括來自 Sophos X-Ops 的情報，以及來自包括 SophosLabs、Sophos Managed Detection and Response (MDR) 和 Sophos Extended Detection and Response (XDR) 技術的遙測數據。結合內建於 Sophos 託管端點的 Sophos Active Threat Response 功能及各情報來源，Sophos Firewall 軟體將啟動同步回應，能自動隔離潛在攻擊，為防禦人員爭取寶貴時間來評估、回應並修復威脅。

Sophos Firewall 軟體的其他增強功能包括：

提升效能與可擴展性：新款 XGS 系列桌上型設備的 IPsec VPN 效能提升三倍，以及具備更快的身分驗證尖峰效能，並經過最佳化，在 SD-RED 通道、動態路由和 Active Directory 互動方面，可減少故障切換期間的停機並增強韌性，適合分散式企業的環境。
 
精簡管理：更新的使用者操作，支援 Let’s Encrypt 憑證，整合支援 Google Workspace 認證，以及擴展了網路物件的可視性，可簡化防火牆的管理。
 
無縫裝置升級：新增配置備份助理及連接埠對應支援，並提供免費的授權重疊期，讓 Sophos XG 防火牆用戶能更彈性、輕鬆地升級至新一代硬體設備。

        本文擷取自資安人

Sophos 發布行業調查報告《2024 年醫療保健領域勒索軟體現況》。該報告顯示，自 2021 年以來，針對醫療機構的勒索軟體攻擊率已達到四年來的最高點。在受訪的機構中，三分之二 (67%) 在過去一年中受到勒索軟體攻擊，這一數據相比 2023 年的 60% 有所上升。醫療機構遭受勒索軟體攻擊的上升趨勢，與各行業整體攻擊率下降的趨勢形成鮮明對比；從總體上看，勒索軟體攻擊率從 2023 年的 66% 下降到 2024 年的 59%。

隨著勒索軟體攻擊率上升，醫療機構報告的復原時間也越來越長。只有 22% 的勒索軟體受害者能在一週內完全復原，這一數據和 2023 年的 47% 和 2022 年的 54% 相比顯著下降了。此外，37% 的受害者花費超過一個月才復原，這一比例相較 2023 年的 28% 上升，反映出攻擊的嚴重性和複雜性有所增加。

Sophos 現場技術長 John Shier 表示，雖然我們看到勒索軟體攻擊率在各行各業中看似穩定或甚至有所下降，但針對醫療機構的攻擊無論在數量還是範圍上都在不斷加劇。醫療資訊的高度敏感性和其必須可隨時取用的需求，總是使得醫療行業成為網路犯罪分子的攻擊目標。遺憾的是，網路犯罪分子已經知道只有少數醫療機構有能力應對這些攻擊，這一點從復原時間越來越長就可以看出。這些攻擊可能會引發巨大的連鎖反應，正如我們今年看到幾次重大勒索軟體攻擊均對醫療行業和病患照護造成了嚴重影響。

為了對抗這些有計畫的攻擊者，醫療機構必須採取更加主動且由人主導的威脅偵測與回應策略，結合先進的技術與持續監控，才能領先攻擊者一步。

報告中的其他發現包括：

勒索軟體復原成本激增：2024 年醫療行業勒索軟體攻擊的平均復原成本為 257 萬美元，高於 2023 年的 220 萬美元，且是 2021 年成本的兩倍
 
贖金要求與實際支付的差異：57% 支付贖金的醫療機構最終支付的金額超過了最初的贖金要求
 
攻擊的根本原因：被竊的憑證與被利用的漏洞，這兩者並列為攻擊的首要根本原因，各佔 34% 的攻擊
 
備份成為目標：95% 遭受勒索軟體攻擊的醫療機構表示，網路犯罪分子在攻擊過程中試圖破壞其備份
 
增加壓力：備份遭到破壞的機構支付贖金以復原加密資料的可能性，是未受破壞機構的兩倍以上 (63% 對 27%)
 
誰支付贖金：保險提供者在贖金支付中參與甚深，參與了 77% 的案例。19% 的總贖金支付資金是來自保險提供者。

        本文擷取自資安人

Sophos 發布一份與 Tech Research Asia 合作，針對亞太地區和日本合作夥伴的《網路安全實戰手冊》。該報告分析了未來 12 個月內各組織的優先事項，以及合作夥伴支援這些目標的商機。

Sophos 亞太地區及日本通路銷售 MSP 部門總監 Cameron Reid 表示，持續存在的網路威脅迫使組織必須採取行動來處理各種網路安全措施。報告發現，企業關注的三大領域是加強金融操作的網路安全狀態、改善風險管理能力，以及確保網路安全健全以支持數位轉型計畫。顯然，當企業投資新技術時，必須優先考慮安全性，以確保潛在的受攻擊面得到保護。

隨著企業透過實施如人工智慧 (AI) 等技術持續進行數位轉型，網路犯罪分子可能也會進行類似的操作。報告發現，除了澳大利亞 (排在憑證竊取和釣魚/社交工程之後) 外，AI 輔助的網路攻擊被認為是所有市場中組織最在意的網路威脅。

令人擔憂的是，調查顯示只有不到一半 (45%) 的亞太地區和日本組織認為自己擁有應對 AI 威脅的技能，僅有超過五分之一 (22%) 的組織認為自己擁有全方位的 AI 和自動化策略。為了應對 AI 技能短缺的困境，45% 的組織打算外包給合作夥伴，49% 的組織打算透過合作夥伴支援的培訓和教育來培養和發展內部技能。
對託管服務提供商 (MSP) 支援的需求持續成長
在接下來的一年內，83% 的亞太地區和日本組織預期增加網路安全預算，50% 的組織打算投入更多資金於第三方管理的安全服務，以整合和管理技術堆疊、提升安全能力，以及減輕內部壓力。

預期增加預算的主要產品和解決方案領域是：


基礎架構和網路安全 (62% 的組織增加了預算)
威脅偵測和回應 (61%)
應用程式和安全 (56%)
身分識別存取管理 (53%)

事件回應和復原 (50%)在供應商環境方面，20% 的受訪組織僅使用一個供應商來滿足其網路安全需求，而三分之一 (33%) 的組織使用三個或更多供應商。隨著組織改用來自合作夥伴的彈性且量身定制的商業架構，多供應商的情況將在未來一年更為常見。

此外，組織還在尋找具備強大安全技能的合作夥伴。近 60% 的受訪組織表示，他們不太會與曾經遭受攻擊或安全事件的合作夥伴合作。在仍願意與曾遭攻擊的合作夥伴合作的公司中，81% 的公司會增訂額外的績效條款和具體的服務等級協議。

Reid 補充說，由於攻擊者的行為不斷演變，組織必須獲得所需的支援才能應對網路安全的各個方面，並持續評估和維護對抗最新網路攻擊的強大防禦。研究顯示，企業明白他們需要幫手來建立持續的網路韌性，並用合作夥伴來填補內部的不足。這意味著 MSP 有機會透過展示強大的網路安全技能、對威脅環境的了解，以及幫助客戶和潛在客戶保持安全的能力來贏得並維持業務，使客戶能夠專注於他們的業務營運和目標。