一周大事：啟動核心系統上雲計畫，臺灣家樂福先從ERP下手。網路數據設備被發現命令注入漏洞，中華電信緊急修補

臺灣家樂福推動數位轉型，ERP上雲及CRM翻新為兩大核心工程

近年臺灣家樂福積極推動數位轉型，決定採用GCP平臺的解決方案運行SAP ERP系統，還有翻新CRM系統，再擷取CRM的部分顧客資料，搬遷上Google雲，進一步進行資料分析，以實現精準行銷。

ERP系統搬遷上Google雲，是臺灣家樂福上雲計畫中，第一個將於雲環境執行的內部核心系統。因該計畫超過50萬歐元，需通過總部審核，家樂福行銷暨電子商務與數位資訊總監林文子表示，歷時兩年的討論，直到1個月前，才與Google雲端和SAP兩方完成簽約。除了將在GCP平臺使用SAP ERP系統，下一階段，家樂福也將於GCP平臺使用SAP BW。更多內容

戴夫寇爾揭露中華電信家用數據機漏洞

今年DEVCORE Conference大會上，戴夫寇爾資安研究員Orange Tsai（蔡政達）揭露了中華電信的家用網路數據機中，因開放特定連接埠，使得駭客能夠發動命令注入（Command Injection）攻擊，經通報後，中華電信已經透過韌體更新的方式，緊急修補。更多內容

Cloudflare與二大瀏覽器合作加速HTTP/3採用

圖片來源_Cloudflare

Cloudflare、Chrome以及Firefox，聯手共同在伺服器端以及客戶端實作最新的HTTP協定HTTP/3，Cloudflare的用戶會逐漸收到HTTP/3可啟用通知，而用戶現在就可以使用Chrome透過HTTP/3與啟用HTTP/3的網站連結，Firefox也將會在之後釋出支援HTTP/3的版本。更多內容

微軟將新增禁止38種OWA副檔名檔案

近日微軟公布，將把Outlook for the Web（原名Outlook Web Access，OWA）封鎖的檔案副檔名類別增加為38類，包含Java、Python、PowerShell等檔案類型，使142類副檔名的檔案無法下載。

微軟表示，為了確保客戶安全，Exchange團隊對現有封鎖檔案名單做了一番檢視，以確保能涵括現今有風險的檔案類型。經過調整，OwaMailboxPolicy物件中的BlockedFiletypes屬性所封鎖的對象，將由現有104類增加38類，成為142類。更多內容

微軟揭露新的Nodersok無檔案攻擊行動

繼今年7月公布的Astaroth無檔案（fileless）攻擊行動之後，微軟再公布新一波的Nodersok無檔案攻擊，駭客同樣利用合法工具展開攻擊，目的是將受害系統變成代理人以執行點擊詐騙，估計已有數千臺Windows電腦被纏上。

狡猾的無檔案攻擊使用各種離地攻擊（living-off-the-land）技術，藉由合法工具展開一連串的感染行動。

Nodersok的開端始於使用者藉由點選或瀏覽惡意廣告，而下載與執行一個HTML程式（HTA），藏匿在該HTA檔案的JavaScript程式碼，就會自C&C伺服器下載另一個JavaScript檔案，接著下載內含PowerShell指令但被加密的MP4檔案，解密後利用PowerShell指令，來下載可關閉Windows Defender Antivirus的模組與其它模組，最後留下的是能把受害電腦變成代理人、基於Node.JS框架的JavaScript模組。更多內容

微軟正式推出雲端SIEM服務，能用ML模型偵測惡意SSH存取

微軟推出雲端原生安全資訊和事件管理（SIEM）服務Azure Sentinel正式版，讓企業可以在不同規模的工作負載上，進行智慧安全分析。

雲端與傳統本地端SIEM的差異之一在於靈活性，本地端SIEM需要企業自己維護基礎設施以及軟體，而雲端SIEM則沒有這些困擾，且用戶可以依需求擴展使用規模以及儲存容量。微軟在今年二月的時候，釋出了Azure Sentinel預覽版，而在之後收到了用戶回饋，為此微軟更新了Azure Sentinel並加入了許多新功能，現在釋出正式版本。更多內容

臺灣政府資安防護檢驗結果出爐，網路配置不當是公部門最常見的弱點

在9月的以色列資安高峰論壇，行政院國家資通安全會報技術服務中心主任吳啟文揭露了去年政府資安防護的現況驗證。吳啟文指出，許多駭客攻擊政府單位，採取進階持續性威脅攻擊（APT），其中，從滲透的管道來看，釣魚郵件是極為盛行的手法，再者，資料詐欺的事件也相當常見。基於上述的態勢，技服中心不只進行稽核，更透過各式演練，提升公部門的資安意識。而在他們去年執行的社交工程演練中，他們也對於正副首長的公務手機，發送演練用的釣魚簡訊。結果發現，高達27.93%會點選其中的內容，相較於2017年僅有21.14%，可說是增加了許多。由於這些首長的行動裝置，往往擁有不少機密資料，開啟釣魚內容的比例較一般公務員高出數倍，若不加強相關意識，很有可能成為攻擊者鎖定的對象。

不只是部分公務人員的資安意識缺乏，如何管理疊床架屋的資訊架構，也是許多政府單位的難題，這也造成當中潛在的資安隱憂。技服中心去年針對65個機關、4,145個對外服務的資通系統，執行滲透測試，總共發現579個弱點。前5大弱點包括不安全的組態設定、跨網站腳本攻擊、無效的身分認證、無效存取控管，以及注入攻擊等。

Chrome更新造成部份macOS的檔案系統損毀

圖片來源＿Corbin Davenport on GitHub

近日Google證實，自動更新的Chrome版本，可能會造成macOS的檔案系統損毀，有些用戶回報在安裝新版Chrome之後無法重新啟動。

其實最早發現此一問題的，是安裝Avid Media Composer影片編輯軟體的Mac Pro用戶，他們在Chrome自動更新之後，就無法重新啟動電腦，原本以為是Avid軟體的問題，後來才知道是Chrome更新版含有臭蟲。

Google很快就出面認錯，表示是這次的Chrome更新內含一個臭蟲，若是在macOS系統上，關閉了系統完整保護（System Integrity Protection，SIP）功能，就會危害檔案系統。此一臭蟲除了影響關閉SIP的macOS之外，也影響未支援SIP的macOS，而OS X 10.11以前的版本即未支援SIP。更多內容

阿里巴巴新AI推論晶片，分類10億圖片只需5分鐘

圖片來源_阿里巴巴

在雲棲技術大會上，阿里巴巴集團CTO兼阿里雲智能總裁張建鋒在開場演講中，重磅發布了阿里巴巴第一款自行研發的AI推論晶片含光800，也正式推出了採用含光800晶片的雲端AI服務，可供企業直接租用。

阿里巴巴內部應用已經開始採用含光800晶片，主要用在支援阿里巴巴集團旗下電商平臺，例如產品搜尋、自動翻譯、個人化產品推薦、廣告以及智慧客戶服務等需強大算力的功能，試圖用來改善消費者的購物體驗。更多內容

美國通過可協助組織對抗網路攻擊的法案

美國參議院通過一項法令，要求國土安全部的資安團隊協助政府及其它私人企業避免網路攻擊，也應在這些組織遭到攻擊時協助緩解。

國土安全部原本就有許多與網路安全相關的任務，新法案要求國土安全部必須設立網路狩獵與網路事件應變兩個安全團隊，以永久協助政府機關、重大基礎設施與私人企業來對抗網路攻擊，也要求相關團隊必須廣邀私人企業的安全專家，以提供非政府角度的專業意見。更多內容

歐盟地區的Google新聞搜尋頁將不提供文章摘錄

圖片來源_Society of Authors

在歐盟理事會（Council of the European Union）於今年4月通過了《著作權指令》（Copyright Directive）之後，法國準備成為全歐第一個採用該指令的歐盟國家，當地的新著作權法案將於10月下旬實施，對此Google宣布，不會付費給法國的新聞媒體，而是選擇移除搜尋結果中的新聞內容摘錄。更多內容

928遭攻擊，香港蘋果日報App及網站服務受影響

在9月28日早上，蘋果日報的「蘋果動新聞」手機App與網站疑遭受外來攻擊，導致部分讀者無法登入，服務異常在三個小時後解除。香港蘋果日報並未公布遭駭原因與入侵管道，以及影響範圍。由於事發當天，適逢香港反集權運動與傘運5周年敏感時機，導致這起網路攻擊事件引發外界關注。更多內容