| 美國國土安全部 | DHS | 微軟 | 改革 | 資安 | 中國駭客 | 網路攻擊 | 內控

美國政府批評微軟的安全文化不足才遭駭客入侵

去年美國政府官員的電子郵件帳戶因微軟發生資安事故而遭非法存取,促使美國國土安全部展開調查並於近期公布結果,直言微軟資安內控有重大疏失,要求微軟進行根本性的安全改革

2024-04-03

| 美國國土安全部 | Lapsus$ | 駭客組織 | CSRB | SIM卡挾持 | 社交工程

駭客組織Lapsus$僅利用諸如SIM卡挾持等簡單的技倆,就入侵數十家知名企業

深入研究Lapsus$以簡單攻擊手法屢次成功達陣的現象後,美國政府建議各組織捨棄文字簡訊或語音通話等傳統MFA措施、改用無密碼登入,也要求通訊主管單位制定對抗SIM卡挾持的最佳實踐

2023-08-15

| VMware | CVE-2022-22972 | CVE-2022-22973 | CISA | 美國國土安全部 | DHS | 緊急指令

美國要求聯邦機構要在5天內修補VMware的兩個新漏洞

美國國土安全部認為VMware在5月18日公告的產品漏洞,對政府資訊系統造成極大風險,決定縮短漏洞修補時限,要求聯邦行政機構在官方公告5天內完成安全更新或緩解措施

2022-05-19

| 美國國土安全部 | DHS | Hack DHS | 抓漏專案 | Bug Bounty | 漏洞獎勵

美國國土安全部Hack DHS抓漏專案找出逾122個安全漏洞

去年12月美國國土安全部(DHS)啟動Hack DHS抓漏專案,目前公布了第一階段的成果,指出逾450名受邀的安全研究人員總計找出了122個安全漏洞,包含27個重大等級漏洞

2022-04-25

| 鐵路運輸 | 駭客 | 網路攻擊 | 資安 | 關鍵基礎設施 | CI | 美國國土安全部 | 美國運輸安全管理署 | 安全命令

美政府要求鐵路公司進行漏洞評估、24小時內通報安全事件

美國國土安全部旗下運輸安全管理署發布安全命令及相關指引,要求全國鐵路公司強化系統安全,以因應日漸頻繁的網路攻擊事件

2021-12-03

| 美國國土安全部 | DHS | 聯邦調查局 | FBI | 無人機 | 資安 | 關鍵基礎設施 | 電廠 | CI

美國懷疑有人想利用修改過的DJI Mavic 2無人機破壞美國電網

美國國土安全部與聯邦調查局發布共同情報通知,揭露去年發生一起無人機疑似入侵變電站的安全事件,要求政府單位重視無人機對關鍵基礎設施可能造成的威脅

2021-11-09

| 美國國土安全部 | DHS | 資安人力 | 網路安全

美國國土安全部資安人力大缺,60天內就招募300名資安人才

美國國土安全部的資安職缺超過2千個,這波招募只滿足了該單位1成安全人力需求

2021-07-05

| 美國國土安全部 | DHS | 中國 | 隱私 | 資料遭竊 | 資料服務 | 儲存設備

DHS警告美國企業不要向中國業者購買資料服務與設備

美國國土安全部(DHS)警告當地企業不要向與中國有關的廠商採購資料服務及設備,以減輕隱私被危害或資料遭竊的風險

2020-12-23

| 國家級駭客 | SolarWinds Orion | CISA | 美國國土安全部 | 供應鏈攻擊

美國國土安全部發布緊急指令,要聯邦機構立即關閉被植入木馬的SolarWinds系統

基於多個政府部門採用的SolarWinds Orion被植入木馬程式,美國國土安全部旗下CISA要求所有聯邦機構網站關閉這款IT監管平臺

2020-12-15

| Zerologon漏洞 | 美國國土安全部 | 緊急指令 | 微軟8月安全更新 | CISA | CVE-2020-1472

美政府發布緊急指令,要求周一前完成Zerologon修補

位於Windows Server的CVE-2020-1472被列為最高等級風險漏洞,除了從網路上移除AD網域控制器外,目前唯一緩解威脅之道是安裝微軟8月釋出的修補程式

2020-09-21

| 中國駭客 | 美國國土安全部 | 網路設備漏洞

美國土安全部示警,中國利用各大網路設備已知漏洞對政府部門發動攻擊

美國國土安全部提醒各政府單位盡快修補網路設備已知漏洞,過去一年來中國持續搜尋尚未修補Citrix、微軟Exchange Server、F5及Pulse VPN等漏洞的網路設備,以伺機發動攻擊

2020-09-15

| 美國國土安全部 | 聯邦機構 | 漏洞揭露政策 | 資安通報

美國國土安全部規定所有聯邦機構必須在半年內公布漏洞揭露政策

所有使用.gov的聯邦機構必須在180天內公布漏洞揭露政策,也應建立對外的安全聯繫窗口,讓安全研究人員能夠提報系統漏洞,但不提供抓漏獎勵

2020-09-04