博客
避免成为下一个LockBit受害者:应对信息安全攻击的关键措施
在进行数位转型的同时,信息及网络安全更是必须面对的课题。近年来,全球许多国家已制定强制性的信息安全法规,包括欧盟网络弹性法案(Cyber Resilience Act)、欧盟无线电设备指令授权法案(Radio Equipment Directive - Delegated Act;RED-DA)、英国产品安全和电信基础设施法案(Product Security and Telecommunication Infrastructure Act;PSTI)。
2023构筑OT安全迫在眉睫 如何建构IEC 62443-2-4 & 3-3防护基底
近年由于制造业积极推动数位转型,使OT与IT边界渐趋模糊,因而成为信息安全攻击的主要目标,导致工控信息安全攻击事件加剧,屡屡酿成营运中断、产线停摆等憾事。面对2023年更复杂的供应链攻击,急需强化OT安全防护;企业应依据IEC 62443标准,定义内部不同人员当共同遵循的安全准则,期望从根本做起、彻底强化工控安全防线。
如何100%提升客户信任度 导入ISO 22301循序落实企业永续经营目标
众所皆知,ISO 27001是兼具高普及性、高完整性的信息安全管理系统(ISMS)检验标准,企业若付诸实践其中14大类114个控制项,即可望提升信息安全管理能力,降低在信息上可能面临的风险,确保企业与用户信息的机密性、完整性及可用性,从而增加客户信任度。
信息安全防御再升级 仲至信息助奇邑科技通过ISO27001、ISO27017双认证
在数字化浪潮的冲击下,数字化转型与永续经营是各产业在迎接云端时代的重要课题,在享受云服务的同时,许多企业也担心云端服务的安全性,以及无法掌握的风险,害怕而踌躇不前。
智慧医疗网络安全立法 医疗设备商该如何着手部署
近年来疫情犹如催化剂,加速驱动许多领域的数位转型,智慧医疗便是其中一例。但无可讳言,数位转型好比双面刃,虽有利国利民功效,却也扩大遭受网络攻击的范围,使黑客有机可乘。为此,包括美国FDA、欧盟MDR/MDCG等规范相继出炉,针对医疗设备提出网络安全要求,须通过测试与验证才准予上市销售。
联网车如何抵挡恶意攻击?汽车供应链安全最新趋势
车联网已改变汽车行业,车辆配备高级驾驶辅助系统(ADAS)、自驾车、电动车如雨后春笋般出现,在提升机动性和便利性的同时,也面临网络攻击。联网汽车遭恶意攻击的数量从2011年的约6500万次,增加到2020年的约11亿次,全球首发的安全漏洞(CVE)更超过11,000个,攻击联网汽车已成黑客的新目标;目前为止,国际汽车大厂已有多起被黑客远程入侵的网络安全事件,造成严重的安全危机。
仲至信息提出APP与SWIFT CSP合规建议 助力消弭FinTech网络安全风险
近年全球持续笼罩疫情阴霾,加速了数字化进展,连带为金融科技(FinTech)挹注催化剂;但它彷若双面刃,引发更频繁的黑客攻击,使网络安全跃为金融业瞩目的议题。
疫情催化加速智慧医疗器械网络安全 风险评估8大重点
为促进智慧医疗广泛应用,卫生部门也陆续公布了医疗器械的新法则,提供信息通信业者或结合AI技术的医疗产品,一个更弹性便利的申请通道,这些新法则也有助于以软件为主进行的医疗器械解决方案能快速上市、满足市场需求。而在2021年5月公告的「医疗器材网络安全指引」,也明确提出需要厂商上市前审查所需提供的设计、风险管理与网络安全测试等文件。以下则就指引中所提出的风险评估内容,提出企业可遵循或应用的网络安全评估技术方法,分享给医疗器械开发商作为「网络安全风险管理计划」的参考。
DDoS攻击再进化:封包能放大 65 倍的TCP Middlebox Reflection
以往DDoS攻击大多搭配放大攻击(Amplification Attack)技术,让黑客可以产生比原本所发出的封包数倍、甚至是数十倍大的封包流量进行攻击。目前常见用于执行放大攻击包括网域名称系统(DNS)、简单网络管理通讯协议(SNMP)、网络时间协议(NTP)及通用即插即用协议(UPnP)等基于UDP通讯的通讯协议,利用UDP通讯协议的特性,攻击者可将来源IP位址伪装成受害主机,攻击主机只要发送一个简单的查询封包给服务器(Server),之后服务器便会将大量的资料内容回传给受害主机。
上市柜公司资通安全管控指引发布 产业该如何应对?
透过本次证交所发布的「上市上柜公司资通安全管控指引」,能协助上市、上柜公司强化资通安全防护及管理机制,并符合「公开发行公司建立内部控制制度处理准则」第九条使用计算机化信息系统处理者相关控制作业。本指引条文共包涵政策与管理面、技术面及认知训练面等37条重点概要,企业可依其产业特性、规模大小及网络安全风险适度采行。
避免成为Apache近年最严重的零日漏洞受害者 该如何找出及缓解log4Shell (CVE-2021-44228)漏洞
Apache 基金会于上周发布了关于 log4j 的严重漏洞警报,log4j是一种常见的开源日志记录的Framework,许多开发人员使用log4j来记录其应用程序中的活动。
黑客的行为威胁着「婴儿床」及数十亿美元的产业
人工智能(AI)与密切关注着我们的小宝宝的互联技术之间存在大量安全风险,鉴于现实中我们越来越依赖它们,网络安全领导者和家长们感到非常担忧。
据行业专家称,全球智能婴儿监视器行业预计将达到近20亿美元,七年复合年增长率(CAGR)为8%,而全球人工智能市场预计在未来五年将超过5000亿美元、CAGR接近18%,包括国际数据公司(IDC)的全球半年度人工智能跟踪器。
工控系统危机四伏 掌握工控网络安全风险管理要点
工业控制(工控)的制程是通过技术驱动的,由于技术的复杂性,工控系统与相关软件与功能部件机床,都可能含有弱点;这些弱点,一旦被误触或加以不当利用,便会产生威胁。而威胁与弱点结合,则会导致风险发生,进而造成人身安全、信息安全或环境冲击等事件,包含金钱赔偿、人员健康议题、环境保护问题、产量减少或停滞、产品优良率下降、业务中断、监管单位行政处罚、司法单位判刑,以及商誉受损等有形或无形的损失。
软件弱点再次成为黑客箭靶 该如何防范供应链安全风险?
这个影响了数十个品牌,百万台设备的风险来源是一个path traversal类型的弱点。Path Traversal类型的弱点是让黑客可以绕过验证,浏览受害主机上的众多目录,一旦攻破即可获取受害主机的控制权,更甚至是获取管理员(root)权限。也正因如此,CVE-2021-20090弱点的CVSS v3分数高达9.8分。
硕天科技通过 CREST 渗透测试 强化 PowerPanel Cloud 云服务的网络安全信心
硕天科技软件部资深经理林咏翔归纳,PowerPanel Cloud蕴含几项优势,除支持24小时全球使用、实时警报、人性化界面,并适用所有高中低阶CyberPower UPS外,还标榜拥有高安全性。为证明它达到一定网络安全层级,硕天决定高规格的测试要求,参考全球知名CREST组织所公告的渗透测试合格厂商名录,委请中国被认可的仲至信息科技科技,依国际标准对PowerPanel Cloud 进行完整检验。
如何抵挡黑客攻击,提升工控系统主动防御力?(下)
信息安全威胁是期待的安全等级与实际安全防护间的差距,补足这段差距的是名为IEC 62443-4-1的策略,以及IEC 62443-4-2的要求。这当中最容易被忽略的是「实际安全防护」的量度。除了透过威胁建模以及相关测试作为模拟考与随堂考之外,更重要的是理解攻击者的思维脉络,才能根据自身能够承担的风险对症下药,让防守方取得与攻击者在不对称战场上匹敌的能力。
如何抵挡黑客攻击,提升工控系统主动防御力?(上)
IEC 62443 Part 4 Component在台湾被广泛讨论,甚至在Google Trend 上,台湾是世界第一的热点。讨论的范畴从入门到进阶都有,但总是少了点什么。IEC 62443 Part 4由Part 4-1 (IEC 62443-4-1)和Part 4-2 (IEC 62443-4-2)组成。分别对应黄金圈理论的「怎么做(策略与流程)」与「做什么(要求)」。然而,在一开始就必须探索的「为什么」反而甚少人提及,这往往成为项目内相关利害关系人没办法对齐相同的目标与愿景的主因,进而导致推动上的阻碍甚至失败。
友讯科技与仲至信息联手 取得IEC 62443-4-1国际认证 提升产品安全
随着物联网及智能家居等应用兴起,包括网络摄影机、无线路由器等联网产品安全,已开始被各国政府积极规范,以保障消费者的隐私与住家的网络安全。2016年友讯科技的路由器与网络摄影机面临来自美国政府的关注,原因起于产品标榜具备先进的网络安全能力,但却仍发生用户敏感数据外泄的网络安全事件,如实时影片或声音。
Cubo Ai 宝宝摄影机 获 CTIA 网络安全认证 为父母增添更多安心保障
「尽管Cubo Ai 研发团队在产品设计阶段,便加入许多网络安全考量,认为可以让摄像机被黑客入侵风险降到最低,」沉时宇说,但仍不时接收到用户对资讯安全问题的关切,深怕有隐私泄漏、甚至宝宝遭受惊吓的风险。有鉴于此,云云科技于2020 年开始着手准备取得「美国无线通讯与网际网络协会」CTIA物联网产品网络安全认证,在2021 年1 月通过仲至信息测试,正式取得CTIA认证,形同有了公正单位背书,足以带给消费者安心保障。
全球知名 IoT 设备商应用 HERCULES SecFlow与 HERCULES SecDevice 落实安全开发流程 (SSDLC)
在物联网设备被频繁攻击的事件中,A 公司面临亟待解决的漏洞包括:由于设备固件许 可认证处理不当而引发的恶意攻击;帐号密码采用弱加密储存方式,黑客可以登入设备;设备漏洞可能成为黑客攻击路径中的跳板,严重的话会导致消费者隐私泄漏。这些问题 引起消费者及政府机构的密切关注。
美国联邦密码模块安全标准FIPS 140-3 防止敏感数据外泄
随着密码技术的进步,FIPS 140标准发展至今已更新至第三版(FIPS 140-3),现行的FIPS 140-2也将于2021年9月22日后停止受理申请认证。未来所有密码模块开发商与加密加速器开发商等受管制行业,所出售的任何硬件或软件密码模块,皆必须支持FIPS 140-3认可列表中的算法,同时也要符合相关算法及密码模块要求,并且由认可实验室验证这些算法的实际运作。
浅谈智能制造工厂的信息安全防御实务(下)
由于工业生产的特性,生产线制程具有一定危险性;从原物料的输入,自动化流程的各种切磋琢磨,所导致的物理与化学变化,到产品的产出,剩余废弃物的处理等,只要其中有任何一个环节忽视了信息安全,都有可能影响到流程,进而造成重大的损失,包括:「人员健康、人身安全、环境保护问题、生产线产出量的减少或停运、产品优良率降低、业务中断、金融赔偿、监管单位行政处罚、司法单位判刑、声誉损失」等情况,其中也包含许多企业所重视的「商业秘密、知识产权、商务合约中断与赔偿」等损失。
物联网设备漏洞频传 仲至信息呼吁从提升网络信息安全思维着手
在消费市场需求的带动下,物联网正逐渐扩张到各个领域,从个人设备到企业设备、从工业系统到商业应用均加入了物联网,因此各大企业也纷纷加入物联网投资行列,媒体业相信IoT对公司成长扮演至关重要角色,因此预估2025年物联网设备数量将突破750亿。
物联网设备符合网络安全标准已成定局 不只设备本身安全验证 开发流程认证也成近年焦点
近年,物联网安全议题越来越受关注,例如数字视频录像机(Digital Video Recorder, DVR)等连网设备不断遭黑客入侵攻击,越来越多的新兴物联网设备应用发展扩张,因此,导入网络信息安全标准来落实产品信息安全已成为近年备受关注的焦点。
拒绝服务(DoS)攻击给全球设备制造商带来的挑战与因应之道
物联网的多元发展为各界带来明显的商机,各行各业相继推出连网商品,除了智能家电、智能摄像机等消费型商品外,连工控、医疗、通讯、交通等非消费型行业的设备也纷纷加入物联网行列。而在这蓬勃发展的商机下,最开心的莫过于黑色产业链了,原本难以攻占的场域,全部都因为装置连网而创造出新的攻击蓝图,新加入连网世界的设备瞬间成为黑客争相访问的对象。
工控安全标准与实际运用 浅谈IEC62443
2015年12月23日乌克兰电力网络受到黑客攻击,导致伊万诺-弗兰科夫斯克州大停电,这是世界第一起黑客攻击造成电网大规模的停电事件,也让关键基础设施的网络信息安全威胁受到各方的高度重视。而在2018年国内半导体行业机台中毒事件后,陆续发生了制造业、工业领域以及医疗产业的网络信息安全事件,但这些只是大规模复杂攻击行动的一部分。
建立工控网络信息安全流程并取得国际认证 将威胁风险降至最低
短短几个月内,在台湾省接连发生多起重大网络信息安全事件,包括五月期间大型石化公司和半导体封测厂遭勒索软件感染,六月期间自动化设备厂遭勒索软件感染、PCB大厂遭病毒感染,到了七月,穿戴设备大厂亦遭勒索软件攻击。同时越来越多针对工控设备设计的恶意程序被披露,例如EKANS(Snake)针对GE的Historian,LogicLocker针对PLC,Triton针对Schneider的TriconexSIS控制器等。
浅谈智慧工厂的网络信息安全防御实务(上)
近年来政府大力推动工业4.0[1](又称智慧工厂),重点在于生产线的智慧化,需整合现有的IT与OT技术,并大量采用IoT设备,以此顺应快速变化的定制化制造需求。为了优化生产流程,采用大量的网络安全设备作部署就成了必然的趋势。然而再怎么优良的网络安全产品(如网关防火墙),一旦布建错误便会失去防御能力,进而成为网络信息安全的缺口。
移动应用程序蓬勃发展 你使用的APP真的安全吗?
随着科技及网络传输的发展,移动装置应用日渐普及,许多移动APP应运而生,从而为人们带来极高度的便利性,食衣住行育乐都能通过移动APP达成。移动APP俨然已成为人们生活中不可或缺的部分,但同时也成为有心人士窃取数据的管道之一。相信大家在手机上下载安装了APP并准备使用时,普遍都会遇到弹框提示授权手机的权限,比如授权读取通讯录、拨打电话、使用麦克风及GPS定位等,然而大部分的用户都容易忽视移动APP所请求的权限的相关性,让恶意APP取得不必要的系统权限,从而导致大量重要信息泄漏。
开放源代码套件已知漏洞的因应之道 以安全套接层漏洞为例
還記得2014年4月,開放原始碼OpenSSL管理委員會發佈一項震驚全球的重大資安漏洞Heartbleed嗎?這個允許攻擊者讀取伺服器記憶體資訊的漏洞,當年可是影響全球過半的網站運作!然而隨時間推進,不難發現因安全套接層(SSL)漏洞所產生的資安風險還不只這一件,安全套接層(SSL)漏洞還有哪些潛在威脅會導致風險,該如何有效地早期發現並防止威脅 ?讓本文來為您解析。
网络信息安全攻击事件频传 最新物联网设备认验证制度大公开
每当新兴科技与应用出现在市场时,有时会衍生出当初规划时没有想到的问题,如同物联网产品的问市,也伴随着其他网络信息安全攻击事件的发生,例如2016年的Mirai僵尸网络。
仲至信息科技全亚洲领先提供ETSI EN 303 645、Amazon、CTIA网络信息安全检测服务
近年数字浪潮席卷全球,使IoT连网设备与应用大行其道,不仅改变消费者的生活习惯,更为相关产业带来新商机。不过IoT的网络信息安全威胁与日俱增,导致国际上许多政府纷纷祭出网络信息安全法规,亦有不少知名大厂制定产品网络信息安全要求;随着国际市场与国际客户释出愈来愈多的网络信息安全法规要求,也让ICT 制造商备感压力。
仲至信息科技全面掌握物联网信息安全
在时下的物联网时代,设备制造商都在积极生产连网产品,同时也在加快产品的上市速度。为了加快产品开发速度,设备制造商难免会对网络信息安全质量有所忽略,从而导致设备处于网络安全漏洞之中,而这些漏洞也经常被黑客发现、攻击,这不仅会让消费者的隐私权益受到侵害,还会让设备制造商面临法律诉讼风险,以致设备制造商的商誉与品牌价值受损。
如何兼顾产品开发的敏捷度与安全性?浅谈DevSecOps与自动化的相辅相成
过往惨痛的案例告诉我们,DevSecOps的重要性。 2019年,Facebook再次被爆出个人数据泄漏事件,位于暗网的线上数据库,有超过2.67亿个Facebook用户个人数据被泄漏,包含用户的姓名,Facebook的ID,以及电话号码,这些用户可能受到垃圾邮件或钓鱼邮件的信息攻击,这使得Facebook遭受信用的损失和股价的重挫。
防疫宅经济持续发烧 如何抵挡黑客攻击、保护网络交易安全
从2020年2月开始,因为COVID-19疫情的影响,市场上吹起一股宅经济旋风,人们对于电商平台与影音串流平台的使用率大幅增加。但线上交易网站或平台可能潜藏许多网络信息安全问题。早在2016年,网络信息安全研究人员就曾向Uber通报安全漏洞[6],攻击者能藉由暴力猜测,取得有使用次数限制且价值在五千至二万五千美元的Uber折扣优惠码。因此,线上交易网站从会员注册(填写个人资料)、登入到购买付费的过程中,若是网站存在安全漏洞,便有可能遭恶意的攻击者盗用,或是窃取个人与财务资料等重要信息。
工业物联网时代来临 智能制造将面对的网络信息安全挑战与机会
随着人工智能技术的进步,智能化(intelligentization)已经成为21世纪最重要的科技主轴。而智能制造主要的核心技术便是物联网技术与虚实整合系统(Cyber-Physical System,CPS),再结合大数据分析、人工智能及云計算等技术,将生产过程的每一个环节智能化,借此达到定制化的业务目标,以适应外部市场少量多样的需求。
物联网装置五花八门 网络信息安全规范如何兼顾?
时序进入2020年,人工智能(AI)与5G的发展仍不停歇。而在5G进入商转的同时,趁着硬件产业的强盛,物联网(IoT)的发展也因此愈加蓬勃。不过,随着IoT的普及,边缘装置的网络信息安全威胁却随之增加,有越来越多的网络信息安全攻击通过入侵IoT的终端装置,进而进入核心网络窃取信息以进行诈骗等不法行为。
仲至信息科技技术与经验兼具 助业者抢攻IoT商机
在半导体制程进步带动,加上云端服务日益健全,全球物联网装置数量日益增加;但是产品的安全性不足问题,也发生多起网络信息案例事件造成重大损失。如2016年爆发的Mirai殭尸病毒,即为产品本身没有强制要求消费者在第一次登入后需修改管理密码的设计缺陷,取得全球数十万个网络摄像机的控制权限。黑客可以控制这些网络摄像机,对特定目标发动大流量的DDoS攻击,造成网站无法顺利提供服务。
仲至信息科技力推DevSecOps安全关键动能 网络信息安全合规难题迎刃而解
身处物联网(IoT)时代,多数设备制造商或品牌商力推连网产品,并加快产品上市速度,但求快之余,难免对网络信息安全品质有所忽略,以致许多存在漏洞的设备流向市面,履履被国外政府或黑客披露产品上的网络信息安全漏洞,除影响消费者权益外,甚至被提起诉讼,连带造成厂商的商誉与品牌价值受损。
