全部文章分享

         本文擷取自資安人

Sophos 公布其年度行業調查報告《2024 年教育機構勒索軟體現況》。根據報告，初等教育機構的贖金中位數為 660 萬美元，而高等教育機構的贖金中位數為 440 萬美元。此外，調查指出，55% 的初等教育機構和 67% 的高等教育機構支付了超過原本勒索金額的贖金。

勒索軟體攻擊帶來的壓力日益加劇。從調查中發現，初等教育和高等教育機構中只有 30% 的受害者能在一週內完全復原，這一比例比去年初等教育的 33% 和高等教育的 40% 都低。復原速度變慢的原因可能是教育機構的團隊和資源有限，因此難以協調復原工作。

Sophos 現場技術長 Chester Wisniewski 表示，不幸的是，教育機構必須對地方政府、社區和學生負責，若遭到勒索軟體攻擊，會造成嚴重的影響和壓力。此外，教育機構有義務和責任保持運作，繼續為社區提供教育服務。以上兩個因素可能是受害者因壓力大而選擇支付贖金的原因。

勒索軟體攻擊者變得更加激進以要求更高的贖金。現在，破壞備份經常成為勒索軟體攻擊的主流手段。藉此，攻擊者得以確認受害者無法在沒有解密金鑰的情況下進行復原，因此有機會進一步提高贖金要求。

事實上，95% 的受訪者表示，網路犯罪分子在攻擊期間曾嘗試破壞他們的備份，其中 71% 成功了，這是所有行業中第二高的備份破壞率。備份被破壞也使得復原成本大幅增加。初等教育機構的復原總成本比平時高出 5 倍，高等教育則高出 4 倍。

雖然應對勒索軟體仍是一個挑戰，但教育機構遭受勒索軟體攻擊的數量有所減少。63% 的初等教育機構和 66% 的高等教育機構遭受勒索軟體攻擊，分別低於之前的 80% 和 79%。與此同時，資料被加密的比率略有上升。85% 的初等教育機構和 77% 的高等教育機構遭受攻擊時資料被加密，比 2023 年調查中報告的 81% 和 73% 稍有上升。不幸的是，網路犯罪分子不僅加密資料，還會竊取它們，並將其作為進一步牟利的籌碼。22% 的初等教育機構資料被加密且被竊，高等教育中這一比例為 18%。

調查顯示，漏洞利用是教育領域受攻擊的主要根本原因，44% 的初等教育和 42% 的高等教育勒索軟體攻擊均透過這個管道入侵網路。

根據 Sophos 調查，學校和其他教育機構可以從多層式的安全策略受益，包括漏洞掃描和修補程式優先性指導，以減少受攻擊面；具備防勒索功能的端點保護能夠自動偵測並阻止攻擊；以及 24/7 全天候人工管理的偵測和回應 (MDR) 服務，可以遏阻進階的人為攻擊，理想情況下還能利用備份解決方案的遙測數據來偵測並阻止攻擊者，以防造成損害。

         本文擷取自資安人

Sophos 發布《紅宮行動：新工具、新戰術、新目標》報告，詳細說明這一個持續了近兩年的中國網路間諜活動在東南亞的最新進展。Sophos X-Ops 在今年 6 月首次揭露了此一被其命名為「紅宮行動」(Crimson Palace) 的活動，並詳細揭露了他們在某備受矚目的政府組織內發現的三個中國國家級獨立行動群組：群組 Alpha、群組 Bravo 和群組 Charlie。在 2023 年 8 月短暫休兵後，Sophos X-Ops 注意到群組 Bravo 和群組 Charlie 的活動訊號再次增強，不僅出現在最初的目標內，也擴展至該地區的其他多個組織。

延伸閱讀：Sophos揭露《紅宮行動》報告：中國國家支持的駭客組織鎖定東南亞政府機構

在調查這些重新出現的活動時，Sophos X-Ops 發現了一種新型鍵盤側錄程式，威脅捕獵團隊將其命名為 "Tattletale"。該程式能夠模仿已登入系統的使用者，並蒐集與密碼政策、安全設定、快取密碼、瀏覽器資訊，以及儲存資料相關的資訊。Sophos X-Ops 在報告中也指出，與第一波行動相比，群組 Charlie 使用開源工具的比例愈來愈高，而非他們在首波活動中使用的自訂惡意軟體。

Sophos 威脅捕獵與威脅情報總監 Paul Jaramillo 表示，在行動初期，群組 Charlie 部署了各種自訂工具和惡意軟體。然而，我們成功『摧毀』了他們一開始的基礎架構，並阻斷指揮和控制 (C2) 工具，迫使他們改變作法，但他們隨即改用了開源工具，顯示這些攻擊團體具備快速適應能力以及持久性，而這似乎也成為中國國家級攻擊團體的新興趨勢。安全社群均致力於保護我們最敏感的系統免受這些攻擊者的侵害，因此分享有關這種轉變的觀察非常重要。

群組 Charlie 與中國威脅團體 Earth Longzhi 共用了戰術、技術和程序 (TTP)，其最初於 2023 年 3 月至 8 月間在東南亞一個高階的政府組織中活動。在沉寂數週後，該群組於 2023 年 9 月重新出現，並持續活躍到至少 2024 年5 月。在這次行動的第二階段，群組 Charlie 專注於更深入第滲透網路、躲避端點偵測與回應 (EDR) 工具，以及蒐集更多情報。除了改用開源工具外，群組 Charlie 也開始使用群組 Alpha 和群組 Bravo 最初部署的戰術，這表明有一個上層組織指揮著這三個活動群組。Sophos X-Ops 已追蹤到群組 Charlie 持續在東南亞多個其他組織進行活動。

群組 Bravo 與中國威脅團體 Unfading Sea Haze 亦共用了戰術、技術和程序 (TTP)，最初僅在 2023 年 3 月於目標網路中活躍了三週。然而，該群組於 2024 年 1 月重新出現，這次的目標則擴展至同一地區的至少 11 個其他組織和機構。

     本文擷取自資安人

使用不安全網路和自帶設備（BYOD）的遠端使用者連接，加劇了組織遭勒索軟體攻擊，以及將資料洩露給未經授權的軟體即服務（SaaS）和生成式 AI 工具風險。數據顯示，去年遭到公開勒索的勒索軟體受害者增加了 90%，約 55% 資料遺失事件因使用生成式 AI 所致。為此， Check Point 宣布推出新一代生成式 AI 解決方案，有效應對挑戰。
 
Check Point 全新生成式 AI 安全防護解決方案現已透過預覽版計畫推出，支援在組織內安全採用生成式 AI 應用，同時解決業務資料和監管合規性風險。不同於標準資料保護解決方案無法識別對話指令中的上下文，此新型解決方案具開創性、基於生成式 AI 的資料分類功能，可防止應用程式資料外洩。
 
Check Point 全新生成式 AI 安全防護解決方案可助力組織：

發現未經授權的所生成式 AI 工具，例如 ChatGPT、Gemini 等。
查看主要生成式 AI 案例，例如行銷、編碼、資料分析等。
識別風險最高的生成式 AI 應用，並確定優先採取減緩威脅。
利用開創性生成式 AI 資料分析功能防止資料遺失。
透過企業級監控和可視性，滿足法規要求。 


Check Point Harmony 資料遺失防護雲端服務
此外，Check Point 全新 Harmony 資料遺失防護（Data Loss Prevention，DLP）雲端服務也已提前推出，此進階的系統在後台不間斷運行，能夠使用 OCR 識別圖像中超過 700 種預定義資料類型，並滿足自訂資料要求，精確識別 AI 指令中的敏感非結構化資料。此服務可透過 Harmony Endpoint、Harmony Browse 和 Harmony SASE 為工作區提供新一代資料遺失防護，並利用生成式 AI 實現細緻可視性和控制。
 
藉由以下功能，全新 Harmony 資料遺失防護能夠為混合辦公組織提供有力支援：


全面的可視性和控制功能：提供對組織內資料移動情況的全方位洞察，並自動執行依需求客製化的安全策略。
安全無縫的辦公體驗：基於瀏覽器的解決方案可輕鬆保護所有端點，支援在不影響資料安全性的情況下使用應用。
自動化合規性：利用自動化合規性和深度報告功能，確保始終遵守資料法規。
生成式 AI 安全防護整合：安全地發現和管理經認可和未經批准使用的生成式 AI 工具，應用基於 AI 的即時資料保護，並透過風險洞察和使用情況分析做出明智的治理決策。
經濟高效的綜合平台：作為 Harmony Suite 的一部分，可透過單一強大的安全防護平台降低總體擁有成本（TCO）。 


全新 Check Point Infinity ThreatCloud AI 引擎 
Infinity ThreatCloud AI 是 Infinity 平台的中樞神經系統，可在 2 秒內於全球範圍內共用最新威脅情報。ThreatCloud AI 擁有業界領先、高達 99.8% 的惡意軟體捕獲率，現已透過添加新引擎強化，可識別高度複雜的攻擊和威脅活動，包括：


ThreatCloud Graph 引擎能夠對網路威脅進行多維度評估，透過分析它們與已知惡意物件的關係實施有效防禦。
使用基於 AI 的自然語言處理（NLP）對新網站進行自動 URL 分類。
基於惡意和正常網站流量模式之間的不同功能，防止 C2 和 MDN（惡意軟體交付網路）通訊。
深度品牌聚類：利用深度學習技術，阻止品牌欺詐網路釣魚攻擊活動。 

藉由最新的 AI 和生成式 AI 版本，Check Point 提高了生成式 AI 保護工作區標準，透過 Harmony 套件為組織增強安全性。此套件能夠在任何網路、任一設備和所有 Web 應用上為遠端或混合辦公人員提供 360° 全方位威脅防禦。除了支援在整個工作區內安全採用生成式 AI 和新一代資料保護以外，AI 驅動的網路安全防護產品組合還提供了 AI Copilot、AI Cloud Protect 和 ThreatCloud AI。

          本文擷取資安人

勒索軟體惡意組織 RansomHub 正在使用一種新型惡意程式，專門針對企業端點偵測與回應（EDR）安全軟體進行攻擊。這種被命名為 EDRKillShifter 的惡意程式，利用「自帶易受攻擊驅動程式」（Bring Your Own Vulnerable Driver，BYOVD）技術來提升權限並停用目標系統的安全防護。
 
根據 Sophos 安全公司調查，EDRKillShifter 於 2024 年 5 月首次被發現。該惡意程式的運作機制包括三個主要步驟：

 通過密碼字串啟動並解密嵌入資源
 解壓縮並執行最終負載
 利用易受攻擊的合法驅動程式提升權限並停用 EDR 程序

Sophos 威脅研究員 Andreas Klopsch 表示：「我們有中度信心認為，這個工具正被多個攻擊者使用。」他指出，在一次攻擊中，EDRKillShifter 嘗試終止 Sophos 的防護，但未能成功。
 
研究人員發現了兩種 EDRKillShifter 變體，分別利用名為 RentDrv2 和 ThreatFireMonitor 的易受攻擊驅動程式。值得注意的是，這些攻擊利用了 GitHub 上公開的概念驗證漏洞，並可能將程式碼移植成Go 語言。
 
為應對此類威脅，Sophos 建議企業採取以下措施：


在端點安全產品中啟用防篡改保護
嚴格分離使用者和管理員權限
及時更新系統，特別是微軟發布的驅動程式安全更新

 
此外，Sophos 去年還發現了另一種名為 AuKill 的 EDR 終止惡意程式，被用於 Medusa Locker 和 LockBit 勒索軟體攻擊中，顯示此類針對 EDR 的攻擊手法正日益普遍。

        本文擷取自資安人

Sophos 推出 Sophos 客戶成功計畫 (Sophos Customer Success) 進一步加強對客戶和通路合作夥伴的承諾。這項新計畫搭配了一支專業團隊，可在售後階段全程支援客戶，提供持續的安全資源和警示、網路研討會以及和網路攻擊 (如勒索軟體和資料外洩) 有關的其他教育資訊。Sophos 客戶成功團隊還將提供如何發揮現有投資並新增 Sophos 產品組合中的其他層級來擴展策略性防禦的指導，包括託管式偵測和回應 (MDR) 服務，以及端點、網路、電子郵件和雲端安全。Sophos 客戶成功專家會與 Sophos 通路合作夥伴和託管服務提供商 (MSP) 密切合作，強化客戶可用的支援服務。

具體來說，Sophos 客戶成功團隊將為客戶配置一位 Sophos 信賴顧問，協助客戶從初次上線到根據組織不斷成長的生態系統擴大投資，以最佳方式抵禦不斷變化的網路攻擊。這項專屬支援確保客戶能擁有單一的聯繫窗口，可以迅速解答問題並分享相關且具情境性的威脅情報，進而提供一個連貫且一致的網路安全作法。

Sophos 客戶成功部門副總裁 Angela Bucher 表示，Sophos 在今年稍早推出合作夥伴關懷服務 (Partner Care) 之後，我們看到了可以直接向客戶提供同樣的高端服務的機會。透過為客戶提供一個單一聯繫窗口，我們能夠更流暢地在多個層面上提升客戶滿意度。這個服務也可幫助合作夥伴和託管服務提供商 (MSP) 有效地保護和服務他們的客戶，幫助客戶充分發揮其現有投資中的安全能力，並新增和整合 Sophos 產品組合中的其他解決方案。

         本文擷取自資安人

Sophos 發布最新暗網報告《加壓：勒索軟體集團的施壓策略》，詳細說明網路犯罪分子如何將竊來的資料武器化，以增加拒付贖款者的壓力。其手法包括公開被攻擊的執行長和企業主的聯絡方式或是家庭成員的個人資訊，以及威脅將被竊資料中發現的任何非法商業行為通報給當局。
在這份報告中，Sophos X-Ops 分享了在暗網上發現的貼文，顯示勒索軟體集團是如何稱那些被勒索的企業是「不負責任和疏忽的」，並在某些情況下，鼓勵那些個人資訊被竊的受害者對其僱主提起訴訟。

Sophos 表示，2023年12月，在 MGM 賭場遭受攻擊後，Sophos 開始注意到勒索軟體集團將媒體變成一種工具，不僅用於增加對受害者的壓力，還能帶風向並轉移責任。我們甚至看到這些集團挑出他們認為應為勒索軟體攻擊負責的商業領袖。在我們發現的一篇貼文中，攻擊者發布了一張被冠上惡魔角的企業主照片並附上其社會安全號碼。在另一篇貼文中，攻擊者鼓勵員工向公司『索賠』。在其他討論串中，攻擊者還威脅要將資料外洩的情形告知受害企業的客戶、合作夥伴和競爭對手。這些動作的目的都是將責任集中到受害者，增加企業支付贖金的壓力，並加大攻擊可能造成的聲譽損害。

Sophos X-Ops 還發現多篇由勒索軟體攻擊者發布的貼文，詳細說明他們計劃在被竊資料中找出可用作籌碼的資訊，以便對付不支付贖金的企業。例如，在一篇貼文中，WereWolves 勒索軟體行為者提到，任何被竊資料都將進行「刑事法律評估、商業評估以及競爭對手的內部資訊評估」。另一個例子中，Monti 勒索軟體集團提到，它發現目標公司的某位員工上網搜尋兒童性虐待的照片和影片，於是威脅如果公司不支付贖金，就會將此資訊告知警方。

這些貼文反映出一個更普遍的趨勢，即犯罪分子試圖利用與員工、客戶或病人相關的敏感資料來勒索公司，包括心理健康記錄、兒童醫療記錄、「患者性向問題」以及「患者的裸露照片」。在一起勒索軟體案件中，Qiulong 勒索軟體集團公布了一位執行長女兒的個人資料，以及她的 Instagram 帳號。

Sophos 認為，勒索軟體集團在如何以及使用什麼手段來當成武器方面變得越來越具侵略性和大膽。對企業來說，壓力更大的是，這些集團不僅會竊取資料並威脅外洩，還積極分析這些資料，以最大化損害並創造新的勒索機會。這意味著，組織不僅要擔心企業間諜活動和商業機密的損失或員工的非法行為，還要注意這些問題與網路攻擊之間的交互影響。

      本文擷取自資安人

Check Point® Software Technologies Ltd. 威脅情報部門 Check Point Research 數據顯示，2024 年第二季全球平均各組織每週網路攻擊達 1,636 次，比去年同期增加 30%；台灣各組織平均每週遭受 4,061 次攻擊，為全球近 2.5 倍。Check Point Research 同時發佈《2024 年第二季品牌網路釣魚報告》，揭示網路犯罪者企圖竊取個人資料或付款資料時最常冒充的品牌，其中微軟（Microsoft）仍是網路釣魚攻擊中最常被冒充的品牌，在所有攻擊中占比超過一半（57%）；高居第二的蘋果（Apple）（10%）從 2024 年第一季的第四位躍升至第二位；領英（LinkedIn）仍位列第三，占比 7%。與此同時，愛迪達（adidas）、WhatsApp 和 Instagram 自 2022 年以來首次進入榜單前十。
 
在品牌網路釣魚攻擊中，科技業仍是最常被冒充的產業，其次為社交網路和銀行業。由於科技公司通常掌握各種敏感資訊，包括個人資料、財務資訊及其他帳戶的存取權限，因此成為攻擊者的重要目標。提供電子郵件、雲端儲存及線上購物等服務的微軟（Microsoft）、谷歌（Google）和亞馬遜（Amazon）等公司均榜上有名，這意味著在品牌網路釣魚攻擊中，人們更有可能對看似來自這些關鍵服務供應商的電子郵件作出回應。
 
Check Point Software 強調，網路釣魚攻擊仍是主要網路威脅之一，且往往是更大規模供應鏈攻擊活動的起點。為了防範網路釣魚攻擊，使用者應始終驗證寄件者的電子郵件地址，切勿點擊來歷不明的連結，並在帳戶上啟用多重身份驗證（MFA）。此外，使用安全防護軟體並確保即時更新也有助於檢測和阻止網路釣魚攻擊。
2024 年第二季最常被用於網路釣魚攻擊的品牌
全球所有網路釣魚攻擊的品牌出現率排名如下： 


微軟（Microsoft）57%
蘋果（Apple）10%
領英（LinkedIn）7%
谷歌（Google）6%
臉書（Facebook）1.8%
亞馬遜（Amazon）1.6%
DHL0.9%
愛迪達（adidas）0.8%
WhatsApp0.8%
Instagram0.7%

2024 年第二季度 Check Point 發現多起冒充愛迪達（adidas）品牌網站的網路釣魚攻擊活動。舉例而言，仿冒網站高度相似以欺騙受害者。這些詐騙網站旨在透過假冒品牌官方網站誘騙使用者輸入其憑證和個人資訊，從而成功竊取資訊。
 
同時，研究人員在 2024 年第二季觀察到大量利用 Instagram 品牌實施線上詐騙的攻擊活動，Instagram 因此在受網路釣魚影響的主要品牌排行榜中躍升至第十，此為其自 2022 年以來首次上榜。

近幾個月來，Check Point 發現一系列冒充 Instagram 誘騙使用者透露登入憑證的網路釣魚攻擊活動。例如，託管在 instagram-nine-flame[.]vercel[.]app/login的網路釣魚頁面模仿 Instagram 登入介面，此假網頁託管在用於創建 React 應用程式的平台 Vercel 上，引誘使用者輸入其用戶名和密碼。
 
另一起觀察到的攻擊活動使用網域 instagram-verify-accoun[.]tk，雖其目前已停用，但它曾顯示引誘使用者驗證 Instagram 帳號訊息，誘騙使用者輸入個人資訊。此策略旨在利用信任，騙取使用者憑證。



仿冒 Instagram 要求使用者輸入帳號密碼的釣魚網站 instagram-nine-flame[.]vercel[.]app/login


 

       本文擷取自資安人

在獲取龐大經濟利益前提下，近幾年駭客看準傳統產業、中小企業的資安意識、資安人才等不足，早已頻頻發動各種攻擊、勒索高額贖金等，成為產業推動轉型、邁向升級之旅的重大隱憂。為協助臺灣產業克服數位轉型的挑戰，2024 年 5 月 27 日 Check Point Software Technologies Ltd 宣布與逢甲大學合作共同開辦國際資安學苑，於中臺灣打造資安人才培育基地。

Check Point Software 臺灣區總經理劉基章表示，為展示深耕臺灣市場的決心，近年來我們積極臺灣推廣 Check Point SecureAcademyTM 國際資安教育培育計畫，整體成效深受各大專院校好評。這次我們是首度與中臺灣頂尖大學合作，逢甲大學在多個各領域教學成績有目共睹，也投入資安人才培育多時，整體成效深受企業肯定。我們希望透過此次合作機會，能在中臺灣建立資安人才培育基地，逐步解決產業面臨的人才不足問題。

逢甲大學校長王葳說，現今資安重要性已不需言喻，企業投入創新技術研究過時，也必須重視相關的資安工作。近年來，逢甲大學積極投入資安人才培育工作，我們希望透過 Check Point 共同啟動國際數位資安學苑，借重該公司的資安課程培育人才，讓逢甲大學學生對資安有更深層的了解，並透過輔導學生考取相關資安證照，期盼能提升同學畢業後投入職場的競爭力，進而獲得更好工作機會。

Check Point SecureAcademyTM 是項全球性計畫，Check Point 透過提供一套完整、無償的資安教材方式，與各地頂尖大學合作攜手培育資安人才。截至目前為止，Check Point 已與全球 60 個國家的 190 間以上大學合作，共有超過 20,000 名學生參與相關課程，無論課程內容、培訓制度都深受好評。

逢甲大學向來非常重視資訊安全教育工作，多年前即在逢甲大學資訊電機學院開設相關課程，期盼從學校教育著手，解決產業面臨資安人才不足的問題。由於資安課程規劃深受好評，不少企業亦與逢甲大學合作，透過企業包班方式強化員工的資安意識、技術等，強化因應未知威脅的能力。

逢甲大學資訊安全中心主任林子煒指出，逢甲大學與 Check Point 合作範疇涵蓋人才培育、應用、國際交流等三大面向，在人才培育部分，除原有資訊電機學院學生外，希望可讓更多外系學生透過 CheckPoint 線上教材協助，建立基本的資安知識。至於有想要考取資安證照的學生，學校在規劃 CCSA/CCSE 認證課程之外，CheckPoint 也可望會提供 85% 費用補助，減輕學生考照的費用負擔。在應用部分，雙方預計則會投入產學合作、資安零信任架構、5G 相關應用等四大主題。至於最後的國際交流部分，我們希望能到同樣屬於 Check Point SecureAcademyTM 計畫的以色列高教學府、新加坡理工學院參訪。

Check Point 國際資安學院計畫


Check Point 資安傳教士楊敦凱說，Check Point SecureAcademyTM 計畫與全球眾多大學均有合作關係，我們會定期舉辦交流活動，讓計畫夥伴能透過彼此分享心得方式，提升資訊安全課程的教學效益。紐約大學、新加坡理工學院在此計畫中的表現都很亮眼，我們很樂意協助逢甲大學到當地參訪，擴大 Check Point SecureAcademyTM 計畫的成效。

逢甲大學創能學院資訊教學中心主任蔡國裕說，資訊教學中心負責全校不分系的資訊教育，亦開設資訊安全的課程，希望讓全校學生能有資訊安全的基礎意識。我們期望藉由本次合作案，利用 Check Point 國際數位資安學苑教材讓資訊安全課程內容更充實，作為輔助相關教學的工具。

在 Check Point 與逢甲大學規劃中，2024 年工作重點為人才培育，2025 年則會延伸到應用、國際參訪等領域。而 Check Point 也將持續在臺灣推動 Check Point SecureAcademyTM 國際資安教育培育計畫，透過與更多大學合作方式，實踐為臺灣市場培育資安人才的承諾。

         本文擷取自資安人

Sophos今天發布最新行業調查報告《2024 年關鍵基礎設施的勒索軟體現況》。該報告顯示過去一年中，能源和水利兩個關鍵基礎設施行業的中位數復原成本暴增四倍，達到 300 萬美元。這是全球跨行業中位數的四倍。此外，針對這兩個關鍵基礎設施行業的勒索軟體攻擊，其中 49% 是源自於漏洞利用。
 
《2024 年關鍵基礎設施的勒索軟體現況》報告的數據，是來自 275 名來自能源、石油和天然氣以及公用事業組織的受訪者，這些組織屬於美國國土安全部 (CISA) 定義的 16 個關鍵基礎設施行業中的能源業和水利業。這份行業調查報告的結果，是來自於 2024 年 1 月至 2 月，涵蓋 14 個國家和 15 個行業對不限廠商的 5000 名網路安全/IT 領導者所進行調查的一部分。
 
Sophos 全球現場技術長 Chester Wisniewski 表示：「犯罪分子會將重心擺在能造成最大痛苦和破壞的地方，如此一來社會大眾會要求快速解決問題。而他們指望這些組織會為了更快恢復服務而交出贖金。這使得公用事業成為勒索軟體攻擊的主要目標。由於這些事業提供的是基本民生功能，社會大眾會要求公用事業迅速復原並將干擾降至最低。
 
「不幸的是，公用事業不僅是吸引攻擊的目標，而且在許多方面都很脆弱，包括對高可用性和安全性的需求，以及偏重實體安全的工程思維。有許多較舊的技術被配置為支援遠端管理，但卻沒有現代化的安全控制，例如加密和多因素驗證。此外，如同醫院和學校一樣，這些公共事業營運時通常人手不足，且缺乏讓系統保持最新狀態的 IT 人員，包括安裝最新修補程式、最新的安全漏洞，以及早期偵測和回應所需的監控。」
 
除了不斷增加的復原成本外，這兩個行業的組織在 2024 年的贖金支付中位數上升到超過 250 萬美元，比全球跨行業的中位數高出 50 萬美元。能源和水利業者回報的勒索軟體攻擊率也高居第二位。總體而言，2024 年這些行業中有 67% 的組織回報遇到勒索軟體攻擊，而全球跨行業的平均比例則為 59%。
 
報告的其他發現包括：

能源和水利行業反映復原時間越來越長。2024 年，只有 20% 遭受勒索軟體攻擊的組織能在一週內或更短時間內復原，而 2023 年這一比例為 41%，2022 年則為 50%。55% 的組織需要一個月以上的時間才能復原，高於 2023 年的 36%。相比之下，在所有行業中，需要一個月以上的時間才能復原的公司只有 35%。
相較於調查中的其他行業，這兩個關鍵基礎設施行業回報的備份被破壞率最高 (79%)，被加密率第三高 (80%)。


Wisniewski 補充道：「這再次表明，支付贖金幾乎總是不符合我們的最佳利益。越來越多組織 (61%) 為了復原而支付贖金，但復原所需的時間卻變長了。這些高比例和高額的贖金不僅變相鼓勵惡意分子對該行業發動更多攻擊，也沒能實現縮短復原時間的目標。
 
這些公用事業必須體認到它們已成攻擊目標，並應採取積極行動，監控存在於遠端存取和網路設備的漏洞，以及確保擁有全天候的監控和回應能力，以減少故障和縮短復原時間。它們應提前準備事件回應計畫，就像因應火災、洪水、颶風和地震一樣，並定期進行演練。」

             
           本文擷取自資安人

 Sophos 發布《2024 年網路保險與網路防禦：來自 IT 和網路安全領導者的經驗》調查報告。根據這份報告，97% 擁有網路保險政策的受訪者表示自身改進了防禦措施，以協助獲得保險的保障，其中 76% 宣稱這樣做能幫助他們符合投保資格，67% 表示保費可以更為便宜，30% 則說他們能獲得更優惠的保單條款。

調查還顯示，網路攻擊的復原成本超過了保險的保障。只有 1% 申請理賠的受訪者表示保險公司賠付了事件處理過程的全部成本。保單無法全額支付成本的最常見原因，是帳單總額超過了保單金額。根據《2024 年勒索軟體現況調查》，勒索軟體事件後的復原成本在過去一年內增加了 50%，平均達到 273 萬美元。

Sophos 全球現場技術總監 Chester Wisniewski 表示：「《Sophos 主動攻擊者報告》多次顯示，企業遭遇的許多網路事件，均因未能實施基本的網路安全最佳作法所導致，如及時安裝修補程式。舉例而言，在我們最近的報告中，遭竊的憑證是攻擊的主要根本原因，然而 43% 的公司尚未啟用多因素驗證。

「76% 的公司為了符合投保資格而投資網路防禦措施，這個事實表明為了獲得保險保障，企業被迫必須採取一些基本的安全措施。而這確實有用，並對公司整體產生了更多正面的影響。 不過，雖然網路保險對公司有利，但它只是有效風險緩解策略的一部分。公司仍然需要努力強化自身的防禦。網路攻擊可能會嚴重影響公司的營運和聲譽，而取得網路保險並不能改變這一點。」
在受訪的 5,000 名 IT 和網路安全領導者中，99% 為了保險而改進防禦措施的公司表示，他們的投資除了能獲得保險的保障，還獲得了更廣泛的安全效益，包括提升保護、釋放 IT 資源，以及減少警示。

Wisniewski 表示：「在網路防禦上的投資似乎能造成連鎖效應。除了可以節省企業的保險費用，省下來的資金亦可轉投入其他防禦措施，進而更廣泛地提升公司的安全狀態。隨著網路保險普及，我們希望企業的安全性能持續提升。網路保險並不會讓勒索軟體攻擊消失，但它很可能成為解決方案的一部分。」

《2024 年網路保險與網路防禦：來自 IT 和網路安全領導者的經驗》報告的數據來自一項中立的調查，調查對象包括 5,000 名資訊安全/IT 領導者，調查時間為 2024 年 1 月至 2 月。調查對象分布在美洲、歐洲、中東和亞太地區的 14 個國家。受訪組織員工數量在 100 至 5,000 人之間，營收額從不到 1,000 萬美元到超過 50 億美元不等。
 

        本文擷取自資安人

近年來企業數位化，以及 AI 等各類新技術和科技快速發展，資訊安全威脅也並未停歇，攻擊頻率愈加頻繁、手法更為複雜。為了能抵禦不斷變化攻擊手法，就需要企業保持高度警覺，並積極了解可能遭遇的潛在威脅來強化自身能力，提升資安韌性的同時達成 ESG 永續發展。

Openfind 長期深耕郵件資安領域，OSecure 郵件資安團隊近期在亞太地區客戶中觀察到的三大威脅趨勢，包含惡意附檔程式、釣魚攻擊，以及進階郵件攻擊。同時在 2024 年 Sophos 威脅報告中提到，電子郵件攻擊的型態已從單純的傳送釣魚 URL 轉為更複雜的手法。郵件資安研究人員發現，犯罪分子通常會冒充合法身份，向企業用戶寄送帶有惡意附檔的電子郵件。傳統的垃圾郵件防護機制會檢查郵件的內容特徵並進行處理，為了規避這些偵測機制，網路罪犯開發出新的手段，例如將文字轉化為圖片，或在郵件內文及附件中嵌入 QR Code 來替代傳統的 URL。

根據統計調查數據指出，企業所面對的惡意程式與勒索病毒主要由電子郵件發佈，其中三大惡意程式類型分別為 Office 檔案、Windows 應用程式與壓縮檔。因此，能效阻擋病毒、進階惡意程式及零時差攻擊（Zero-Day Attack）的防護機制對企業來說相當重要。特別是現今網路罪犯分工越來越細，釣魚網頁已經幾可亂真，惡意攻擊的背後是龐大的黑色產業鏈，要能有效防止釣魚攻擊，除了要有資安意識之外，還需要具有最新情資的工具自動輔助攔截。專業的郵件防護機制能與時俱進的保持更新，隔離阻擋加密附檔病毒信、新型 QR Code 釣魚信等等新型態 APT 進階威脅攻擊。

無論是惡意程式、勒索病毒，乃至於社交工程或釣魚攻擊，在郵件平台的第一線防護，都是企業資安攻防的前哨戰。許多大型的雲端工作平台如 Microsoft 365，雖提供垃圾郵件過濾（Spam Filtering）與基於特徵值的（Signature-based）病毒防護等功能，但這些基礎防護機制，並未能保護企業用戶免於 APT 等針對性攻擊。建議企業可評估導入更專業的第三方電子郵件防護，以提升工作平台之安全性。

               本文擷取自資安人
 
Check Point指出，儘管組織已不再受限於集中式的資料中心，但大多數組織並未完全實現遠端或雲端部署，其資料管理和維運越來越偏向混合模式。這項轉變是由分散式團隊所驅動，包括分公司、居家辦公、漫遊工作，以及雲端的擴充性和靈活性優勢。
 
採用混合環境勢在必行，Gartner 預估，「2025 年將有超過 50% 的網路防火牆部署需要同一供應商提供兩個以上的部署要素，而此比例在 2023 年還不到 10%。」[1]雖然這種新生態系具備諸多優勢，但也增加了安全防護與管理的複雜性。
 
資安長（CISO）必須在安全防護與業務需求間取得平衡，在管理多種防火牆類型的同時，要設法加強整體基礎建設的網路韌性，這不僅產生全新維運挑戰，還使得資安長要在設計混合安全架構和維護可接受的安全防護之間做出選擇。
 
單點解決方案往往無法確保維運的永續性，促使企業選用混合網狀防火牆平台。
 
2024 年首次發布的《Gartner®混合網狀防火牆平台市場指南》指出，「混合網狀防火牆（HMF）平台是種多部署防火牆，包括硬體和虛擬設備、基於雲端，以及具有基於雲端統一管理平面的即服務模式（as-a-service models）。透過提供成熟的 CI/CD 管道和雲端原生的集成，及進階威脅防護功能，HMF 可有效保護物聯網設備並抵禦基於 DNS 的攻擊，為混合環境和不斷演進的案例提供強大支援。」
 
基本上，HMF 平台提供多種防火牆類型，包含集中式管理，以及身分提供者（Identity Providers）和 CI/CD 整合等第三方工具，能降低使用不同供應商的多個單點解決方案所致複雜性。然而，過於分散的單點方案將使工具變得複雜難用，並增加管理難度、維護費用，且導致可視性的碎片化、策略執行不一致、採購壓力大，以及整個 IT 基礎建設的安全防護能力參差不齊等狀況。
 
為確保組織安全和滿足業務需求，資安長必須針對幾個核心挑戰，評估潛在混合網狀防火牆平台的應對能力。



採用 Check Point Infinity 平台的混合式網狀防火牆架構


混合 IT 環境面臨的主要挑戰
 
保護和管理分散式生態系看似困難重重，而資安長面臨的主要挑戰可被歸納為以下四點：
 
挑戰一：跨多種環境之資料外洩威脅的風險增加
 
不同運作環境所需的執行點不盡相同，這增加了網路漏洞和入侵的風險，因此組織需部署不同類型的防火牆，包括地端防火牆、虛擬防火牆、雲端原生防火牆，以及防火牆即服務（FWaaS）。
 
多防火牆的生態系需要與不同系統和控制整合，包括物聯網設備、雲端資安態勢管理（CSPM）和 SD-WAN。安全團隊往往沒有足夠人力或資源深入學習來自不同供應商的多種工具，導致安全漏洞頻發和風險態勢脆弱。
 
實現一致的威脅防禦並採取零信任模式
 
上述問題可透過具基本威脅防禦能力的綜合性架構解決：
 


基於 AI 技術：具備 AI/ML 功能的 HMF 可藉由大數據和威脅分析，而非既有的入侵指標（IoC），快速識別零日惡意軟體和網路釣魚。
全球威脅情報共享：先進的平台能夠在數秒內跨全球所有執行點共享零日威脅情報，包括雲端防火牆、FWaaS、端點及行動安全防護。
針對最新漏洞的虛擬修補程式：具有進階入侵防禦系統（IPS）的平台可針對最新漏洞（CVEs）進行虛擬修補，即使 IT 部門沒有時間逐一修補這些漏洞，也能確保系統、伺服器及應用程式的安全。
其他進階功能：採用遞迴 DNS 安全防護和進階端點解決方案，以遏止威脅，實現程序層級防護。
支援零信任措施：為了跨整個 IT 環境實現零信任措施，HMF 應提供使用者、機器、裝置身分、資料敏感度、目標應用程式及風險等屬性之執行策略細節。

 
挑戰二：合規性的複雜性
 
一般而言，混合 IT 環境存在著多種技術與團隊所造成的孤島；這樣對於不同安全防護工具和措施的分散管理恐為資安長帶來合規方面的挑戰。
 
當組織使用多種單點解決方案保護受攻擊面，其基礎建設往往出現千瘡百孔、佈滿盲點的情形，可見要同時持續保持合規性，以及管理多種產品與其獨特策略實屬困難。
 
統一可視性和鑑識
 
混合網狀防火牆平台能減少對於多家廠商的需求，但團隊和環境之間仍需保持協調性，而這需要藉由一系列特定功能來實現統一可視性和事件回應，例如：
 


整合式控制台：單一管理平台儀表板能打破孤島，促進團隊間的密切協作，進而實現跨防火牆的簡化日誌紀錄，以及統一事件管理。
整合可視性與日誌紀錄：若能在同個平台查看跨雲端、遠端使用者及辦公室網路的所有日誌和事件，將會有多麼便利？可視性無疑是審計、證明合規性和進行鑑識調查的關鍵，而統一可視性將可為組織節省數小時甚至數天的時間。

 
挑戰三：高昂的管理與營運開銷
 
單點解決方案之間缺乏關聯性，因此管理員必須在多個控制台間來回切換，才能建立和更新策略，並確保安全控制處於最新狀態。這使得 IT 人員需投入大量時間和資源學習新功能和儀表板，並進一步加劇了安全漏洞風險。
 
整合與自動化管理
 
組織需要藉由整合的解決方案消除孤島並實現集中管理，以提高可視性和效率；解決方案應具以下能力：
 


雲端管理系統：雲端平台支援團隊使用最新的安全引擎、功能及控制，並進行持續且不中斷的更新。
移轉的敏捷性和管理工作負載：HMF 使組織可在任何混合環境自由、敏捷地管理工作負載，安全防護便能成為混合網路、工作團隊和雲端的推力，而非阻力。這項功能的關鍵在於可按工作負載類型自動執行策略。
強大雲端支援：透過與雲端服務供應商整合，HMF 可追蹤變更並動態調整策略執行，進而實現更佳的雲端安全防護管理。
與企業安全控制及架構整合：評估平台時，應優先考慮內建支援或與第三方基於 API 整合的供應商，以減少團隊的手動管理工作。
集中式的事件回應：具統一監控和警報功能的混合網狀防火牆，有助於對專有和第三方安全防護解決方案進行擴展防禦與回應（XDR）以及託管防禦與回應（MDR）操作。
AI 助理：生成式 AI 助理可將執行常見任務所需時間縮短高達 90%，以便管理員快速更新策略、解決故障問題並驗證保護措施。


 
挑戰四：採購與預算限制
 
預算始終是組織的首要考量，但由於多種執行方式和不同定價模式，保護混合環境安全的成本恐相當高昂且難以預測；單點方案更可能加劇多個供應商定價和採購的複雜性。
 
確保可用於任何執行點的授權彈性
 
組織可使用靈活、可預測定價模式的混合網狀防火牆，因應不斷變化的安全防護要求，而無需重新獲取授權、申請採購審核或與廠商再度談判。舉例而言，每位使用者每年的單一定價結構涵蓋所有訂閱、硬體、軟體和支援，在一年內可根據 IT 需求變化靈活更改執行點。例如使用者在年初可能將雲端、地端及 FWaaS 領域部署的防火牆比例設為 30%、50% 和 10%，但隨時間推移，後續希望將比例調整為 50%、20% 和 30%；若有靈活的定價模式，就能在不變更既有廠商協議的情況下，做出相關調整。