| 資安日報 | SpringShell | 供應鏈安全 | MITRE ATT&CK評估計畫 | APT10 | GitLab | 漏洞揭露

【資安日報】2022年4月6日,Spring漏洞已出現嘗試性攻擊活動,Go語言公開防禦供應鏈攻擊5大安全設計原則

Java框架Sping重大資安漏洞攻擊態勢持續受關注,有資安業者指出有16%的企業組織面臨針對SpringShell漏洞的嘗試性攻擊;資安防護態勢本日有兩則消息受關注,一是Go語言揭露如何減緩軟體供應鏈攻擊,一是MITRE ATT&CK第四輪評估計畫結果出爐

2022-04-06

| CMMC | 網路安全成熟度評估模型 | 供應鏈安全 | 供應鏈資安標準 | 委外安全

美國防部CMMC認證計畫推2.0版,建立國防供應鏈網路安全成熟度新標準

供應鏈安全問題近年備受重視,美國國防部推CMMC網路安全成熟度模型認證,目標讓國防承包商符合認證級別才能承包其業務,近期已公開2.0版,畫分為三種認證級別,未來是否受到業界擴大採用更是焦點

2022-03-03

| Puma | 雲端服務 | 供應鏈安全 | 資料外洩 | 個資

Puma因軟體商被勒索軟體攻擊外洩逾6千員工資料

運動品牌Puma使用的人力管理雲端服務業者遭勒索軟體攻擊,駭客盜走6千多名Puma員工個資

2022-02-10

| 2022資安趨勢 | 展望後疫2022新趨勢 | 法規遵循 | 供應鏈安全 | 開源軟體安全 | SBOM | 身分冒用攻擊 | FIDO FDO

【展望後疫2022新趨勢10】產業法令開始納入資安要求, 供應鏈與身分冒用威脅加劇

全面安全勢在必行!法規遵循將律定產業基本資安水準,而隨著威脅無孔不入,軟體供應鏈與身分驗證須落實

2021-12-30

| 勒索軟體防護 | 供應鏈安全 | 5G供應鏈安全 | 資安通報

資安不只是國安更是產業安全,臺灣推動資安多元通報與公私協力

為促進企業提升資安觀念,提升通訊產業資安能量,近期政府公開揭露兩大重點,包括新成立勒索軟體防護專區,進一步促進公私聯防,臺灣也將在供應鏈安全層面發力,從5G產業鏈做起,將建立檢測規範與通報系統。

2021-11-18

| 零時差攻擊 | 妮可‧柏勒斯 | Nicole Perlroth | 零時差漏洞 | 供應鏈安全

專訪《零時差攻擊》作者:國家級駭客發動零時差攻擊,關鍵基礎設施是主要標的

《零時差攻擊》作者妮可‧柏勒斯(Nicole Perlroth)任職「紐約時報」擔任資安記者,花七年時間訪談超過三百位受訪者,揭露零時差漏洞對世人帶來的威脅,並追查各種國家級駭客的行蹤。她接受專訪時表示,油水電廠等關鍵基礎設施(CI)都是駭客鎖定攻擊標的,實體隔離是必要的;零時差漏洞雖然是駭客攻擊的武器,卻也是政府自衛的武器,但當政府要掌握這樣武器時,必須權衡相關風險,國家安全不應該成為濫用武器的藉口

2021-11-10

| 台積電 | 網路安全 | Semi | SEMI臺灣 | 資安委員會 | 供應鏈安全 | 半導體資安

臺灣成半導體產業資安主要推手,SEMI臺灣資安委員會今年成立

資安已是國安議題,面對半導體資安與供應鏈安全的議題,臺灣產業已經動起來,近日台積電企業資訊安全處長屠震表示,今年6月SEMI臺灣成立首屆資安委員會,將從4大面向推動半導體界建立有韌性的供應鏈。

2021-10-26

| 微軟 | Nobelium | SolarWinds | 俄羅斯駭客 | 軟體供應鏈 | 資安 | 網路攻擊 | 供應鏈安全

攻擊SolarWinds的駭客再度駭入IT供應鏈,新目標是經銷及雲端服務商

微軟發現去年滲透SolarWinds軟體供應鏈,以在眾多使用單位植入後門的俄國駭客組織Nobelium,今年5月以來開始針對科技產業經銷商及雲端服務業者發動新一波攻擊,意圖透過釣魚信件和密碼潑灑手法,伺機竊取受害組織的使用者憑證,再進一步攻擊其客戶及合作夥伴

2021-10-26

| 美國 | 資安高峰會 | 拜登 | 白宮 | 安全倡議 | 資安 | 國家安全 | 國家級駭客 | 資安人才 | 供應鏈安全 | 安全框架

白宮舉行資安高峰會:微軟、Google、蘋果、Amazon及IBM等業者共襄盛舉,承諾將大幅改善資安

美國總統拜登宣布美國國家標準與技術研究所(NIST)將與產業合作,共同開發新技術框架,以提高IT供應鏈安全與完整性,微軟、Google、IBM等科技公司都將加入此一倡議

2021-08-26

| 軟體供應鏈 | 網路威脅 | 供應鏈安全 | SLSA | 安全框架 | 資安

Google推動軟體供應鏈安全框架SLSA

Google提出旨在確保軟體供應鏈安全的框架SLSA,是以該公司內部所有營運作業都採用的部署時強制檢查機制為基礎發展而成

2021-06-18

| CI | 委外 | 外包 | 供應鏈安全 | 淨水廠 | WordPress漏洞

險被水中下毒的佛州淨水廠外包商也被駭

安全廠商Dragos調查今年2月佛州淨水處理廠遭駭事件時,發現廠方的外包業者網站去年底被植入惡意程式後,被駭客用來竊取佛州當地政府單位以及民間水利公司資料,但二起攻擊事件尚無證據有關聯

2021-05-24

| 資安 | 供應鏈安全 | 供應鏈攻擊 | Supermicro | 間諜晶片 | 超微 | 中國解放軍 | 國家級駭客 | 彭博 | FPGA晶片 | Altera | 安全長 | Mukul Kumar

彭博再報導:Supermicro間諜晶片真的存在,美國國防部、英特爾、FBI都知情

彭博宣稱FPGA晶片廠商Altera安全長在某份報告中,承認見過會連線回中國的Supermicro晶片

2021-02-15