思想科技 資安月訊 MC CyberSecurity Monthly / 2023 Nov

隨著各式科技服務的導入，政府企業，乃至於個人，都越來越重視資訊安全，思想科技 Master Concept 團隊每個月都會替您搜羅最新的資安新聞和品牌洞見，讓您第一時間獲取相關情報，建立企業安全網！

資安問題永遠都不能掉以輕心，但別擔心，我們與您同在，讓您的數據永遠都能牢牢守護在最安全的地方！

國內外資安新聞

[惡意廣告： 駭客假冒 PDF Converters 搜尋廣告]

近期出現了冒充熱門軟體服務例如 Notepad++ 、PDF converters、KeePass 等搜尋廣告的惡意廣告，這些惡意廣告看起來和普通的搜尋結果相同，但是下載下來的就是惡意程式。儘管目前 Google 似乎已經下架這些惡意廣告，但難保同樣手法不會再度出現，仍須慎防。

[未更改預設密碼：超過 4 萬管理員帳戶密碼是 Admin]

許多人因為擔心忘記會把密碼設定得很簡單，但是這都可能讓駭客乘虛而入。根據近期發佈的一份調查報告，在 180 萬個被駭的管理員帳戶中，最常使用的前五名密碼分別是：admin、123456、12345678、1234 及 Password，其中，有超過 4 萬個 Admin 帳戶的密碼是 admin，占了所有 Admin 帳戶的 2%。

[2024 最新十大資安趨勢：從現在開始做好萬全準備！]

根據預測，到明年底，網路攻擊對全球經濟造成的花費將超過 10.5 兆。富比世雜誌提出了 2024 年的十大資安趨勢預測：

1. 資安人才短缺更加嚴重，資安相關技能價值升高
2. 生成式 AI 將被運用到發動攻擊及防禦的雙方
3. 在 AI 及 Deepfake 的進步中，釣魚攻擊將更加精緻、個人化
4. 資安問題應納入企業全盤規劃，而非受制於 IT 相關策略
5. 家用電器物聯網（IoT）可能成為網路攻擊破口
6. 資安韌度重要度大幅提升，比起預防，維持穩定運作更加重要
7. 零信任架構將在 AI 輔助的即時驗證和活動監控下成為新常態
8. 網路攻擊可能在政治上有更大規模的影響，無論是戰爭或是選舉
9. 面對更加複雜的攻擊，資安人才的軟技能如人際溝通將被放大
10. 全球各地資安法規受到重視，立法腳步將可能加快

品牌洞見

[KnowBe4] QR Code 已成為最新網路釣魚攻擊媒介！協作系統遭到駭客利用 AI 深偽技術入侵

「根據統計，從十月上旬起，以 QR Code 作為媒介的網路釣魚攻擊已經成長了 22%。」

Hoxhunt Challenge 是一個收集超過 125 個國家、9 個產業超過 59萬名員工統計資料所完成的研究報告， 這些員工在未被告知的情況下受到測試。結果他們發現僅有 36%的受試者發現了網路攻擊並回報給管理團隊，KnowBe4 認為這顯示了網路攻擊的多元化是大多數人無法應付的，透過平日的教育訓練將能有效幫助企業免於威脅。

閱讀全文：[KnowBe4] QR Code Phishing on the Rise: The Alarming Findings From the Hoxhunt Challenge

[Barracuda] 關於那些我們總是忽略的那些建議

「我們總是希望體驗可以無縫、直覺、有足夠附加價值但又不影響決策，然後所有複雜的、麻煩的事情都交給別人處理。」

Barracuda 替您整理五項您一定常常聽到，但卻總是忽略的建議：(1) 閱讀說明手冊 (2) 刪除不想要的應用程式不會解決問題 (3) 簡單、使用者友善的應用程式比複雜的更實用 (4) 重複做一樣的事情不會改善問題 (5) 設定一個強度夠高的密碼。Barracuda 提醒，當這些建議一再地被忽略，就應該開始思考替代方案，比如說密碼強度總是不夠高，就考慮採取無密碼的解決方案。

閱讀全文：[Barracuda] What we can learn from top tech advice we never listen to

[Google] 漏洞回報獎勵計劃擴大到生成式 AI 系統

「網路攻擊快速進化，但有太多漏洞是尚未被企業或是產品原廠發現的。」

在十月下旬，Google 宣布將生成式 AI 系統納入原有的漏洞回報獎勵計劃。隨著越來越多的生成式 AI 被納入產品中，Google 希望有更多人可以一起抓漏，協助抵抗模型竄改（model tampering）、資料下毒（ data poisoning）及有害內容的產出（production of harmful content）等攻擊。

閱讀全文：[Google] Acting on our commitment to safe and secure AI

[Okta] 零信任相關數據趨勢分享

「防止企業資料遭到剽竊需要技巧性地調整傳統的資安措施。」

零信任是源自於 1994 年的概念，隨著時間推進已有大幅度的成長與改變， Okta 整理了幾個相關數據趨勢：(1) 零信任已從計劃變為現實 (2) 無論經濟如何波動，企業對於零信任的預算總是在上升 (3) 身份仍是零信任架構最大的課題 (4) 導入零信任架構仍存在挑戰。

閱讀全文：[Okta] It’s official: Zero Trust now favored by 96% of organizations