資安

時隔20年，密碼學模組安全標準改朝換代，今年2022年4月，FIPS 140-2產品送驗已停止，而現在已有超過50家產商開始送驗FIPS 140-3產品。更值得關注的是，普遍開發人員會使用到密碼學模組，因此相關認知需要建立，仔細閱讀手冊及注意改版，避免誤用密碼學的輸入參數，並在安全軟體開發生命週期中應啟用FIPS模式

駭客組織SideWinder鎖定巴基斯坦，散布名為WarHawk的後門程式；蘋果修補了今年第9個零時差漏洞CVE-2022-42827，並指出可能已被用於攻擊行動

Google與多家組織共同創建GUAC工具，以提高組織軟體供應鏈的可觀察性，使企業更能掌握應用程式中的相依性，更明確掌握特定漏洞的影響範圍

新型惡意程式利用遠端配置與FCM技術，來掩飾廣告詐騙功能

Apache Commons Text 1.10.0版修補的重大漏洞CVE-2022-42889，研究人員認為可能會與Log4Shell帶來類似的效應；勒索軟體事件不斷，國際間物流、保險、生技、媒體、科技都有受害者出現

駭客已經有工具繞過傳統的多因素認證（MFA）機制，而FIDO聯盟推動的無密碼數位身分認證機制，因為FIDO伺服器只存放公鑰、而解密私鑰存在使用者端的作業系統、瀏覽器、手機和平板等裝置的特性，因為駭客無法取得私鑰，也讓駭客的攻擊無法成功

微軟在Ignite大會上宣布，原本針對大型企業推出的Azure DDoS IP保護，將另外發展出適合中小企業的SKU

Moxa本月更新網路安全路由器EDR-G9010規格，新增IPS防護功能，可運用虛擬修補防護漏洞濫用攻擊