資安

從單一金融機構的資安組織文化和戰力的養成，到金融產業整體資安聯防體系的建置，現在更近一步擴大到金融生態圈，從服務供應上中下游到第三方合作對象，都要納入金融資安的範疇，而零信任架構是讓彼此安心互通和共享的關鍵底層

全球資安態勢更嚴峻，更大規模、更組織性、更跨產業性的攻擊頻傳，再加上疫情加速數位轉型腳步，金融業發展更多數位金融創新應用，但也帶來更多供應鏈與第三方合作的資安考驗，這都促使金融資安行動方案必須再升級，2.0特別瞄準四大重點

資安院是資安國家隊一員，全力推動前瞻資安科技研發、應用及服務，致力提升關鍵資訊系統以及基礎設施的防護能力，首要任務將協助落實資安法與個資法

本周有三大漏洞遭鎖定利用消息，包括檔案傳輸管理系統GoAnywhere零時差漏洞，老舊Intel驅動程式漏洞與TerraMasterOS的漏洞；近日國內兩大資安事故，包括上市公司飛宏傳遭勒索病毒Lockbit 3.0攻擊，以及格上租車會員訂單資料曝險消息；另一受關注的是，中國駭客組織APT41在農曆年間又針對多個臺灣組織發動攻擊

Reddit在2月5日受到網路攻擊，駭客入侵Reddit內部系統，取得內部文件、程式碼以及業務系統存取權限

NIST宣布將採用可支援帶有關聯資料的認證加密（AEAD），與雜湊加密任務的Ascon系列演算法，作為保護物聯網與微型裝置的輕量級加密標準

針對日前傳出發動大規模攻擊的勒索軟體ESXiArgs，美國CISA提供了自動化工具，讓受害組織的IT人員能較為容易復原虛擬機器的運作；安卓木馬程式Medusa加入釣魚簡訊攻擊的行列，假冒DHL等品牌的App對北美、歐洲下手

即便OpenAI為自家對話語言模型ChatGPT新增防止濫用機制，以防止有心人士用來生成釣魚信件或惡意程式碼，但CheckPoint研究人員發現駭客界又有新的因應之道