資安

CISA推出新的硬體物料清單框架（HBOM），目的是提高硬體採購的風險評估準確性，強調一致性、透明度及供應鏈資訊整合

本週有許多漏洞利用的攻擊行動相當值得留意，其中又以被低估為中度風險的Juniper設備漏洞引起研究人員提出警告，因為，IT人員對於這樣的漏洞，很可能不會馬上處理，但研究人員發現，該漏洞實際上能在尚未通過身分的情況下利用，過程中完全不需使用者互動

根據多家資安新聞網站報導，勒索軟體駭客RansomedVC聲稱竊得日本大型企業Sony機密資料，但事隔兩天，又有另一組人士出現，表示攻擊者其實是他們

近年來中國網攻能力不僅大幅提升，攻擊策略也大轉型，逐漸捨棄社交工程手法，轉而發掘更具攻擊力的零時差漏洞，諸多知名網通設備皆淪為中國駭客挖掘零時差漏洞的目標。

近期一波釣魚郵件攻擊以LastPass官方技術支援的名義發送，導致LastPass用戶的密碼及個資外洩，資安業者Malwarebytes則建議民眾使用密碼管理器，登入線上服務時也應採用基於實體金鑰的雙因素驗證措施，才能避免淪為這類攻擊的受害者

微軟繼續推動擴大採用Rust，公開可供開發者以Rust編寫Windows驅動程式的平臺，但目前該專案還處於早期開發階段，不適合用於商業用途

將資安規範納入採購合約將依系統安全等級而有不同，普級系統資安入規定於明年（2024年）3月1日實施，中、高級系統則於8月1日適用

鎖定中東地區的攻擊行動引起研究人員關注，有研究人員揭露新型態的後門程式Deadglyph，該程式的開發方式、運作方式相當特殊，駭客企圖藉此回避資安系統偵測