思想科技 資安月訊 MC CyberSecurity Monthly / 2023 Nov

隨著各式科技服務的導入,政府企業,乃至於個人,都越來越重視資訊安全,思想科技 Master Concept 團隊每個月都會替您搜羅最新的資安新聞和品牌洞見,讓您第一時間獲取相關情報,建立企業安全網! 資安問題永遠都不能掉以輕心,但別擔心,我們與您同在,讓您的數據永遠都能牢牢守護在最安全的地方!

隨著各式科技服務的導入,政府企業,乃至於個人,都越來越重視資訊安全,思想科技 Master Concept 團隊每個月都會替您搜羅最新的資安新聞和品牌洞見,讓您第一時間獲取相關情報,建立企業安全網!

資安問題永遠都不能掉以輕心,但別擔心,我們與您同在,讓您的數據永遠都能牢牢守護在最安全的地方!

國內外資安新聞

[惡意廣告: 駭客假冒 PDF Converters 搜尋廣告]

Source: The Hacker News

近期出現了冒充熱門軟體服務例如 Notepad++ 、PDF converters、KeePass 等搜尋廣告的惡意廣告,這些惡意廣告看起來和普通的搜尋結果相同,但是下載下來的就是惡意程式。儘管目前 Google 似乎已經下架這些惡意廣告,但難保同樣手法不會再度出現,仍須慎防。

[未更改預設密碼:超過 4 萬管理員帳戶密碼是 Admin]

Source: IThome

許多人因為擔心忘記會把密碼設定得很簡單,但是這都可能讓駭客乘虛而入。根據近期發佈的一份調查報告,在 180 萬個被駭的管理員帳戶中,最常使用的前五名密碼分別是:admin、123456、12345678、1234 及 Password,其中,有超過 4 萬個 Admin 帳戶的密碼是 admin,占了所有 Admin 帳戶的 2%。

[2024 最新十大資安趨勢:從現在開始做好萬全準備!]

Source: Forbes

根據預測,到明年底,網路攻擊對全球經濟造成的花費將超過 10.5 兆。富比世雜誌提出了 2024 年的十大資安趨勢預測:

  1. 資安人才短缺更加嚴重,資安相關技能價值升高
  2. 生成式 AI 將被運用到發動攻擊及防禦的雙方
  3. 在 AI 及 Deepfake 的進步中,釣魚攻擊將更加精緻、個人化
  4. 資安問題應納入企業全盤規劃,而非受制於 IT 相關策略
  5. 家用電器物聯網(IoT)可能成為網路攻擊破口
  6. 資安韌度重要度大幅提升,比起預防,維持穩定運作更加重要
  7. 零信任架構將在 AI 輔助的即時驗證和活動監控下成為新常態
  8. 網路攻擊可能在政治上有更大規模的影響,無論是戰爭或是選舉
  9. 面對更加複雜的攻擊,資安人才的軟技能如人際溝通將被放大
  10. 全球各地資安法規受到重視,立法腳步將可能加快

品牌洞見

[KnowBe4] QR Code 已成為最新網路釣魚攻擊媒介!協作系統遭到駭客利用 AI 深偽技術入侵

「根據統計,從十月上旬起,以 QR Code 作為媒介的網路釣魚攻擊已經成長了 22%。」

Hoxhunt Challenge 是一個收集超過 125 個國家、9 個產業超過 59萬名員工統計資料所完成的研究報告, 這些員工在未被告知的情況下受到測試。結果他們發現僅有 36%的受試者發現了網路攻擊並回報給管理團隊,KnowBe4 認為這顯示了網路攻擊的多元化是大多數人無法應付的,透過平日的教育訓練將能有效幫助企業免於威脅。

閱讀全文:[KnowBe4] QR Code Phishing on the Rise: The Alarming Findings From the Hoxhunt Challenge

Source: Barracuda

[Barracuda] 關於那些我們總是忽略的那些建議

「我們總是希望體驗可以無縫、直覺、有足夠附加價值但又不影響決策,然後所有複雜的、麻煩的事情都交給別人處理。」

Barracuda 替您整理五項您一定常常聽到,但卻總是忽略的建議:(1) 閱讀說明手冊 (2) 刪除不想要的應用程式不會解決問題 (3) 簡單、使用者友善的應用程式比複雜的更實用 (4) 重複做一樣的事情不會改善問題 (5) 設定一個強度夠高的密碼。Barracuda 提醒,當這些建議一再地被忽略,就應該開始思考替代方案,比如說密碼強度總是不夠高,就考慮採取無密碼的解決方案。

閱讀全文:[Barracuda] What we can learn from top tech advice we never listen to

Source: Google Cloud

[Google] 漏洞回報獎勵計劃擴大到生成式 AI 系統

「網路攻擊快速進化,但有太多漏洞是尚未被企業或是產品原廠發現的。」

在十月下旬,Google 宣布將生成式 AI 系統納入原有的漏洞回報獎勵計劃。隨著越來越多的生成式 AI 被納入產品中,Google 希望有更多人可以一起抓漏,協助抵抗模型竄改(model tampering)、資料下毒( data poisoning)及有害內容的產出(production of harmful content)等攻擊。

閱讀全文:[Google] Acting on our commitment to safe and secure AI

Source: Okta

[Okta] 零信任相關數據趨勢分享

「防止企業資料遭到剽竊需要技巧性地調整傳統的資安措施。」

零信任是源自於 1994 年的概念,隨著時間推進已有大幅度的成長與改變, Okta 整理了幾個相關數據趨勢:(1) 零信任已從計劃變為現實 (2) 無論經濟如何波動,企業對於零信任的預算總是在上升 (3) 身份仍是零信任架構最大的課題 (4) 導入零信任架構仍存在挑戰。

閱讀全文:[Okta] It’s official: Zero Trust now favored by 96% of organizations

歡迎您與我們聯絡
我們會協助您取得最佳解決方案!

Leave Us Your Message
We are ready to talk!

歡迎您與我們聯絡。
我們會協助您取得最佳解決方案!

Leave Us Your Message.
We are ready to talk!

找不到您需要的? 加入我們的最新活動!

搶先了解
新趨勢