![國際動態 我們為您彙整串連各國最新資訊安全相關新聞](https://themify.me/demo/themes/ultra-church/files/2019/05/pin-map-location.png)
國際動態
![業界訊息 華文世界的資訊安全相關重大新聞匯集在此](https://themify.me/demo/themes/ultra-church/files/2019/05/pin-map-location.png)
業界訊息
-
金管會為提升金融體系整體資安應變能力,2017年底建置「金融資安資訊分享與分析中心」;不過,立院預算中心指出,近年來金融機構遭資安攻擊事件頻傳,未來運用度可能逐年升高,建議金管會研議「會員收費機制」,以利後續營運及減輕國庫財政負擔。
「金融資安中心」的功能為資安事件之通報、資訊分享、警訊發布、公開資訊服務及情資研判分析等。
金管會官員表示,該中心系統涵蓋對象包括金管會、所屬各局、周邊單位及銀行業、證券期貨業、投信投顧業、保險業者等,並預計與行政院國家資通安全會報「政府資安資訊分享與分析中心」自動化情資交換。
不過,該中心目前由財金公司營運,金管會負責委外管理及監督,並未對加入會員收取費用。
對此,立院預算中心表示,金融資安中心啟用以來,無論會員加入比率、會員加入家數、發布警訊數量及維持國內外有效資安資訊來源等績效指標,均超過原定目標值。
立院預算中心指出,由於金融機構遭資安攻擊事件頻傳,如第一銀行ATM遭盜領、遠東銀行SWIFT(環球銀行間金融電訊網路)系統遭駭等,未來該中心運用度可能逐年升高。
考量2019年度及2020年度編列預算數,分別達3423萬9千元及3784萬4千元,因此,為減輕國庫財政負擔,立院預算中心建議金管會研議未來改採「會員收費機制」,以利後續營運。
-
5G 導入異質接取網路新型技術架構與 SDN / NFV 虛擬化, IoT 設備間亦有多種接入方式,若遭到惡意程式感染更加難以追蹤與易產生資安破口。
5G 特性帶來的資安議題:
- 環境不再封閉:出現多樣化攻擊途徑
- 網路虛擬化:複雜系統造成管理困難
- 管理複雜性:傳統分析防護方法應對不及
- 大量採開源軟體: Open sources 存在大量弱點
- 異質接取網路:攻擊介面與安全需求
- 5G 與 LTE 共存:資安威脅頻被揭露
- 高可靠性: 5G 垂直應用需求特性
- 法規要求:歐盟 GDPR 、 PCI DSS 、 HIPAA
要做 5G 研究,一定要有 5G 核網或是基站或 Edge Computer(邊緣電腦),所以在這個地方,臺灣的資安所提供場域。
在林口這座 5G 資安創新實驗室裡,建置了核網讓資安團隊、應用廠商:和應用服務的業者來做測試。像是資安所 5G 計畫自主研發的 4G 跟 5G 的核網,可以與 Nokia 跟愛立信的系統串接,用來做攻防演練非常適宜。
在 5G 的發展市場,如果你是產品商,可以準備 5G 的資安產品,推動 5G 的資安發展、虛擬化的商用,加值硬體的功能等。不同的面向看 5G 資安,其實都會產生不同的價值。
-
資策會資安所所長公開未來一年資安所的技術研發藍圖,其中包括資安所以國內產業技術自主為導向,由法人機構研發資安創新技術;以技轉、合作開發等方式擴散產業,協助業者技術轉型升級等。此外還將投入培育資安的頂尖高階人才、場域攻防演練等實驗場域規劃、台灣首創5G物聯網資安創新實驗平台等。同時接軌國際安全標準及開發流程安全規範。
資安所內專家群則分享新年度資安所將全力投入包括:
智慧型資安與新興應用整合技術研發、人工智慧導向資安共創技術、IC晶片軟體安全品質(BSIMM)與合規技術研發、創新前瞻計畫-假新聞、資安人才培訓及國際推展、資安產業環境建構及標準檢測認證推動、5G資安偵防系統研發等多項計畫。
此刻更直接面對面和與會廠商及相關領域專家,如火如荼的展開進一步的交流討論中。
資安所新的一年包含了 AI、5G、物聯網、工業控制、人才培養等領域的研發規劃方向,吸引各界近50家廠商及相關領域專家共襄盛舉,資策會執行長也蒞臨現場給予勉勵,並盛邀各界相關專業人才共同參與,為資安所的研發帶來新的能量。
-
美國早在中興通訊事件就已經開始關注資安問題,在當時即界定關鍵問題出在「供應鏈資安脆弱的風險與漏洞議題」,而且瞭解到僅對特定公司的一次性禁令並不足以形成保護。美國思考的是需要一種更加系統化的方法來應對資安的挑戰,於是 2018 年層級拉高到國土安全部,在其內部成立了一個資通訊技術的供應鏈工作組。
這當中由公共和私營部門的代表組成,其目的在公私協力共同解決供應鏈風險管理,該小組專注於在整個政府中改善供應鏈的資安訊息共享,制定資安風險的標準與決策框架,推薦合格的製造商名單,並研究採購規則,以鼓勵從原始製造商或授權經銷商進行採購。2018 年 12 月,美國透過立法成立了新的聯邦採購安全委員會,以便在聯邦採購和收購規則中建立更強大的網絡安全保護措施。
接著,美國在 5 月發布了「確保資通訊技術與服務供應鏈安全」(Executive Order on Securing the Information and Communications Technology and Services Supply Chain)的行政命令,禁止美國企業購買對美國國家安全構成重大風險的外國電信設備。凡是在清單上的外國公司,美國企業如果要對其出售或是轉移產品及技術時,都需要獲有工業與安全局的特許。強調對 ICT 和服務漏洞的關注,並將在未來公佈黑名單和合規機制。川普還計畫,未來在美國使用的 5G 設備都需要在中國境外設計、製造。
這份行政命令定義了相當廣泛的保護範圍,包含硬體、軟體或其他產品或服務,只要是透過電子手段(包括傳輸)來進行資訊的處理、儲存,、檢索或通信的功能皆被包含在內。這份行政命令授權給商務部擁有廣泛的裁量權,並特別針對供應鏈所開發、製造和使用資通訊技術及服務的國外企業,應配合該部門就新監管計劃的範圍、內容和功效進行稽查。
-
據美國媒體報導,密西根州所屬的多個學校系統,日前遭到不明勒贖軟體攻擊;歹徒要求高達一萬美元等值的比特幣贖金,若不支付,便不解鎖遭加密的市政相關重要檔案。
密西根州相關官員指出,勒贖攻擊是在耶誕假期將結束時發動,該州學校體系的多個系統都遭到攻擊,包括影印機、電話和教室內的資訊系統均無法運作。
官員指出,雖然和師生相關的個人資料都平安無事,但仍有三所學校因為攻擊事件而被迫關閉;相關資訊人員已開始復原被攻擊的系統,但復原所需時間將會相當漫長。
官員表示,他們不會支付贖款,因為就算付了贖款,也無法保證受到攻擊的系統和檔案就能完全復原。
無獨有偶,德州的英格賽市(City of the Ingleside)近日也遭到勒贖軟體攻擊,造成部份市政系統停止運作。該市正在努力恢復受損的資料和系統。
根據一份 2019 年十二月底由資安公司 Emsisoft 發表的統計,全美在去年一共有113個州級和城市等級的政府單位、764 個醫療單位、89 所學校遭到勒贖軟體攻擊,造成的損失難以估計。
Emisoft 也警告,2019 年沒有任何人因為勒贖軟體而死,這純粹只是因為運氣好,;2020 年全球各地因為勒贖攻擊造成的損失,恐將有過之而無不及。
美國聯邦調查局網路犯罪相關官員也表示,去年光是某一支勒贖軟體,其所有變種襲擊範圍,就廣達全美 50 州,不法贖金所得達六百萬美元,造成的損失更高達三千萬美元。他警告人人都應有可能遭到勒贖軟體攻擊的準備。
-
先說結論:想要接到單,「資安合規」會是關鍵條件!
因為面對網路安全問題,歐美政府已經相繼提出所謂的安全標準;簡單說,你的產品想要進入市場,就必須符合相對應的安全規範或認證。
像是歐盟一般資料保護法規 GDPR 的實施,以及 NIS Directive、Cybersecurity Act 等新資通安全法,透過要求關鍵基礎設施、數位服務商,來確保產品之安全;另外,2018 年美國加州,也通過全美第一個 IoT 裝置的資訊隱私法案《Information Privacy: Connected Devices》及《消費者隱私法案》等兩大法案,這些都可以看出國際上對於安全防護的重視,進而衍伸出來的就是數位經濟的發展力以及商品在國際上競爭力的問題。
不過現狀是,現在許多廠商它們在面對 5G 資安考題其實很傷腦筋。尤其當你的競爭對手做足各項資安認證,他們擔心,若是標案書中將「資安認證」列為必備條件,自己該怎麼因應?
又比如說,採用 Open Source 的程式如何管理?第三方軟體如何做到安全管理?研發、生產單位如何因應資安防護?一連串的問題,讓它們急忙開始思考解方。若是不能滿足大客戶對資安製程要求,等於埋下丟單的隱憂。
資安即國安!目標產值 6 年成長 8 成
提供一個數據給大家參考,根據微軟亞太研究資安報告顯示,台灣在 2017 年受到資安事件造成的經濟損失達 8100 億元,等於是台灣 GDP 總值的 5%,由此可見資安的重要性。
進入 5G 時代後,所有能連結上網的基站、機台、設備都成為駭客的新入口,各式資料遭受盜竊、竄改與挾持的機會恐將直線上升。美國科技資訊研究顧問公司 Gartner 更直接預估,未來全球資安市場規模仍將呈現持續成長的趨勢,至 2021 年可突破 1460 億美元,年成長達到 8.4%。而接下來台灣在全球 5G 發展,我覺得著力點在於網通邊緣運算與垂直應用優先整合找出商模,創造出 made in Taiwan 整場參與國際賽的優勢。
在台灣,資安更被視為國安等級。工研院統計,2018 年台灣資安產業產值約 437 億元,其中以系統整合需求成長 26.5% 最快,其次為終端與行動裝置防護需求;行政院規劃 2025 年資安產業產值目標為 780 億,將有近八成成長空間;未來一旦連生產線上都注入資安思維,整體產值將遠遠不至於此。(資策會)
-
全球四大會計師事務所之一的勤業眾信(Deloitte)的資安專家,日前發表研究報告,指出有近四百萬枚比特幣,恐有遭到量子電腦高速攻擊的危險。
據比特幣目前的現值,這四百萬枚比特幣,相當於 286 億美元的巨款。
根據勤業眾信的報告指出,以「可接受付款的公鑰」(Pay-to-Public-Key)加密形式的比特幣,較其他加密類型的比特幣,更容易遭到量子電腦高速計算的攻擊。
這類比特幣理論上可用其公鑰推導計算出私鑰,再加上預設公開的帳本,因此特別容易遭到攻擊。早期比特幣大都屬於這種類型,之後比特幣才推出新加密標準。
量子電腦是近來全球高科技業者傾力研究的新形態電腦,與傳統在矽晶片上運作的奈米級二進位電腦不同,量子電腦可在原子分子層級運作;且由於量子本身具備的疊加態特性,使得一個量子可以同時表示多個狀態,大大加快運算速度。
2019 年十月,Google 宣布已達到「量子優勢」(Quantum Spremacy);該公司研製的量子電腦在三分鐘內能解出的複雜計算,若由一般傳統電腦執行,需要的解題時間長達一萬年。
資安專家指出,現行由傳統電腦進行加密的演算法,在面對極快的量子計算時,都可能在很短時間內遭到破解;包括各種加密貨幣都面臨量子電腦快速破解的威脅。
勤業眾信估計,一次量子電腦高速計算攻擊,就可以威脅全球 25% 的比特幣。
電腦科學界已經開始正視這個問題,並且發展全新的加密技術與演算法,以對抗未來可能日益普及的高速量子電腦帶來的威脅。
勤業眾信也建議持有這類易受攻擊比特幣的用戶,儘早將持有的比特幣轉至採用 P2PKH 加密協定的加密貨幣錢包,會比較安全。
-
俄羅斯最大暗網市場 Hydra 發起目標為 1.46 億美元的 ICO 代幣發行融資計劃
俄羅斯最大暗網市場Hydra 正在發起ICO (Initial Coin Offerings) 代幣發行融資籌集1.46 億美元的資金。代幣售價為100 美元,可在該平台上使用比特幣購買,一個由100 個代幣組成的「package」將為買家提供Hydra 利潤的0.00333333%的份額。此次ICO 旨在為新服務Eternos 提供開發資金,Eternos 是一個全球暗網市場,包括加密即時聊天、加密貨幣交易所、類似Tor 的匿名瀏覽器、基於AI 的爭議解決方案和OTC(Over-The-Counter) 市場多個產品。
中國最大的暗網市集正在被關閉!
中國最大的暗網交易市集 “暗网交易市场” 或稱“DeepMix” 發出準備關閉的公告,主要原因為從2019年9月開始便持續遭到大量的DDoS攻擊,持續的高強度攻擊對網站已造成衝擊。關站聲明附上了新網站連結,表示正在與有意願合作的partners共同重建網站,此模式很像Dream Market,也是因受到DDoS攻擊而不得不另外重建網站。
-
推動工控資安三個主要的心法包括:「人才」的部分,提升工控業者資安意識、培養工控資安專業能力,讓OT具有資安觀念,讓經營管理人具有資安風險的能力;「制度」上訂定工控合規基準、協助導入資安強化工控管理;「技術」上強化OT業者產品競爭力、促進資安業者發展工控資安解決方案,還有IT的人員能夠了解OT資安。
如果公司要培養人員去考 IEC 62443 ,它有四張個人的認證,集滿四張的認證,就是expert,就能得到專家的認證。資安所已經大幅的人力考取認證,未來希望能夠導入顧問服務。
資安威脅對症下藥,風險評估報告如同處方簽
資安產品的投入選擇具有階段性,初步著重評估階段也就是風險評估,尤其大場域,強化風險評估更為重要。在風險評估中做盤點,透過 IEC 62443 的risk assessment (風險評估)的建議,然後產生風險評估報告。
有風險評估報告之後才知道要投入哪裡?第二個部分要做 testing ,紅隊演練或是做弱點掃描,或是組織的資安意識的測試。最後一個階段才是導入防禦機制或是建 SOC (Security Operation Center,資訊安全監控中心)。如果先做最後一個階段,在產生一大堆警報時,會無從得知哪個優先順序比較高。
IEC 62443 是製造廠商可以具體使用的標準規範,人跟組織維運、技術、規則、實體,都很重要,持續的 architration (存檔)跟風險的管理,其實相對也是一個在工控上面要發展的重點。
許多中小企業缺乏相關資源、人才、組織架構,該從何做起?政府有前瞻建設補助智慧領航 AI 計畫,智慧製造要建廠或是要增加AI、OT的新技術時,要求要有5%~7%的預算用於資安,是一個好的發展方向。
企業主資安思維,思考3議題、具備2認知
同時,中小企業都必須思考的三個重要議題:
- 資安管理法通過之後, ABC 三級機關都要做資安,但法規到了,預算沒到,但預算沒到就是趕快去編預算嗎?
- 如何去找出適合的資安的投資?難道找出現在正在當下投資的東西。
- 資安產業上需透過技術的突破,創造像 AI 或是自動化,降低資安服務的成本,讓更多的中小企業,能夠彈性的使用這些資安服務。
至於台灣企業主要應該具備什麼樣的「資安」思維,盤點分級跟排序優先順序會是很重要的一個考量,選擇優先要保護的東西先做,可能是在未來的發展。
台灣廠商必須有兩個認知:第一個要確保組織夠安全,第二,有外銷產品要出去時,要確保我們不要造成全世界安全的一些困擾。以歐盟水廠標案為例,沒有資安的標準是不能來標的,在國外,至少歐美市場,已是必備的基礎標配。
-
因應中國網攻威脅,台美官方今年11月初舉辦逾十國資安大規模演練,行政院政務委員唐鳳今天透露,未來台美等資安演練將常態化舉行,這項演練將與多個國家合作,而且合作的國家將繼續擴充,未來將每年至少舉辦一次。
對於媒體詢問,台美共同面對中國發動的網路攻擊,為何今年的資安演練模擬情境是北韓發動對台灣金融關鍵基礎設施的攻擊?唐鳳回應,模擬情境必須把對方的能力與動機等資訊揭露給所有參與者,這次的參與者也包括民間的白帽駭客,是否能把相關資訊透露給其他參與國或國內不涉及軍事機密的民間人士,需要慎重討論。她說,這次情境的模擬,是讓安全機密等級沒那麼高的人也可以理解。
行政院資安處與美國在台協會(AIT)合作,今年11月4日到8日共同舉辦首次國際大規模聯合網路演練,參與網攻實兵演練的國家超過10國,包括日本、澳洲、捷克與馬來西亞、美國、台灣等國家的資安團隊共同參與。
唐鳳今天下午在行政院受訪時表示,唐鳳說,在資安方面,以她的理解,這一次作金融相關的實證(白帽駭客跟防守者)互相切磋,也就是一個紅隊、藍隊,大家透過所謂紫隊交流,也就是藍、紅隊彼此分享怎麼想的,以及未來要補強哪一個部分。
唐鳳說,國外來台的參與者認為台灣這次演練的資安能力高於原本預期,有很好的表現,這項資安演練將會常態性的辦理,不會只辦今年這一次,將成為常態活動,每年至少舉辦一次。
唐鳳指出,未來參與的國家也可能會繼續擴充,不止10國。她日前訪問柏林與荷蘭,對方聽到這個常態化的構想也表達參與意願;在未來跟歐盟關係拓展上,將是另一個可以常態化的事情。
-
使用雲端服務務必小心!
將網路、應用系統放上雲端是長期趨勢,但一不小心也可能出大問題。美國就因雲服務的配置發生錯誤,75萬份出生證明全數暴露~
英國資安公司Fidus Information Security發現,這批資料被儲存於不受密碼保護的Amazon Web Services(AWS)資料庫。包括申請人姓名、出生日期、自己或家人的電子郵件地址、電話號碼、住址等全都攤在陽光下,若遭有心人使用,將能進行身分詐騙、寄發釣魚電子郵件,或利用小孩的個人資料開設新的銀行帳戶。
造成的損害有多大?根據過往經驗推估,可看出部分端倪。由Javelin Strategy&Research公司的數據,光是2017年,就有超過100萬名美國孩子深受身份欺詐所苦,總體損失超過26億美元
-
安永會計師事務所報告指出,金融業的風險管理長認為,金融業已開始面臨有3大威脅,包括新科技帶來的產業破壞(69%)、數位化大幅改革金融產業(65%),以及擔心地緣政治風險(59%),安永企業管理諮詢服務公司執行副總張騰龍認為,台灣因地緣政治因素,很容易成為資安攻擊的高風險區域,金融業更不能忽視。
安永報告與國際金融協會(IIF)共同發布最新2019「銀行風險管理調查報告」,列出銀行風險長及資深風險管理主管關注的未來10大風險因素,除了金融風險,更包含網路安全、隱私、公有雲、雲端業者管理、地緣政治、人工智慧以及氣候變遷等非金融風險,可預見未來10年銀行業的風險管理工作,將更具挑戰。
報告指出,大多數銀行都認為,未來5年可能會發生系統性的攻擊或重大風險事件,希望增聘相關專業人才因應,或從既有工作中培養人才。張騰龍指出,過去10年業者加強風險管理的方式較為明確,在取得預算及資源後用於改善監理機關的要求,不過,未來10年的挑戰恐更艱鉅。
他提出3點觀察,認為未來將從金融風險轉向非金融風險;從有明確法規可規範,發展成模糊不確定的風險;且無論是對主管機關或業者而言,並沒有標準化的解決方案,風險長與其團隊應在風險影響到企業財務及聲譽前,盡快引導銀行相關配套措施。
他也認為,台灣因地緣政治因素,很容易成為資安攻擊的高風險區域,金融業更不能忽視,尤其今年我國「資通安全管理法」正式上路;美國在台協會(AIT)與我國政府也合作進行資安測試,都證明政府已提高對資安的重視。
進一步觀察安永近3年調查,「網路安全」都是銀行風險長與董事會認為最高的風險,前10名的「非金融風險」項目也較往年增加,都顯示金融業未來將在更多不確定因素下維持營運。
-
運作Webmin的Linux伺服器正在大量變身為殭屍網路的一員。
早在8月時,有21.5萬台伺服器正面臨這樣的威脅,惡意攻擊者能夠以root權限運行惡意代碼,並藉此接管舊版Webmin。
中國網絡安全廠商奇虎360在追蹤其中一支名為Roboto的殭屍網路時指出,目前雖然還未發現Roboto有發動DDOS的攻擊行為,但通過Webmin漏洞,被黑客入侵的Linux系統上,Roboto機器人還可以:
• 充當反向shell,讓攻擊者在受感染的主機上運行shell命令
• 從受感染的伺服器收集系統、運轉流程與網路信息
• 將收集的數據上傳到遠程伺服器
• 運行Linux system()命令
• 執行從遠程URL下載的文件
• 自行卸載而且,Roboto獨特之處在於它是以P2P方式傳遞命令,未來想要關閉這個殭屍網路程式,將是巨大工程。
-
資訊安全在物聯網時代,需要跳脫傳統思維了!除了做好SOC、SIEM等資安監控工作之外,也要有優質的資安情資蒐集能力,系統性分析並預防資安事件的發生。也就是說以風險管理為導向、資安情資為驅動,抵抗駭客出其不意且不間斷的惡意攻擊,所以國際資安廠商都在發展資安情蒐資料庫,同時針對源自於外部與內部的攻擊加以防禦,加上現在人工智慧技術日益成熟,因此就連資安防護也要AI化!
跟據Gartner 2020科技發展趨勢策略顯示,AI與資安在科技趨勢中扮演重要角色,主要作用包括:
超級自動化:結合多種機器學習,套裝軟體和自動化工具來完成工作
多重體驗:VR/AR/混合實境與對話式平台,改變人和數位世界互動方式
專業知識的民主化:能夠更廣泛地獲取技術或者業務相關專業知識
增進人類賦能:人類體能與認知的增進技術,將會變得越來越普遍
透明度與可追溯性:符合監管要求、遵守AI先進科技應用的道德規範
邊緣計算:將獲得越複雜且專業的計算資源,以及更多儲存支援
分散式雲端:將目前集中式公有雲服務分散到不同地點,開創新時代
自動化物件:利用人工智慧讓過去由人類負責的某些流程得以自動化
實用型區塊鏈:得降低成本、縮短交易結算時間和改善現金流
人工智慧安全性:保護人工智慧系統、利用人工智慧強化安全防護,
以及做好攻擊者惡意使用人工智慧的準備
進一步來看,資安領域存在什麼待解的問題與瓶頸呢?駭侵手法日新月異、持續發展中的科技應用包括IoT、5G,、FinTech…等,此外像是標記問題、特徵基礎及行為基礎的偵測,甚至到政策與法遵層面以及時下當紅的假新聞議題等,這些都將是AI應用的機會。
資策會資安所也歸納出,AI技術可用於以下幾類的資安領域,也就是說透過AI將成為新一代的「解方」:
惡意程式:惡意程式判斷/分類、威脅指數評估
測試:模糊測試(Fuzzing)
隱私:機敏內容偵測、去識別化
弱點:惡意利用評估與預警、情資關聯 (領域、CWE、ATT&CK)
舞弊行為:使用者行為分析 (內/外部)、信用評等 (個人/企業)
社群媒體:輿情觀測、文字摘要與標記、主題分析、異常帳號判斷、資安/非資安過濾、駭侵指數評估、社群成員族群分析
網路流量:異常分類 (e.g. KDD Cup 1999)、惡意網域判斷、殭屍網路判斷、DNS Tunneling 判斷、資產識別、加密流量分析
郵件:垃圾郵件判斷、惡意郵件判斷、郵件主題分類分群、殭屍網路來源分析
加解密:自行演化加密技術
實體安全:監視器影像物件辨識追蹤
-
Android用戶注意!15 款「黑心」防毒App涉違法蒐集個資大賺廣告財。
資安研究公司 VPNpro 最新調查報告指出,近日在Google Play商店裡發現多達15個以提供免費防毒之名,行「黑心」之實的App。
使用者下載安裝App後,會被要求開放允許裝置上像是錄音、手機位置、通訊錄、相機等,部分功能和數據資訊的使用權限,才可獲得完整的安全防護及防毒功能。
藉此大量蒐集用戶個資,再將其轉賣給第三方數據公司或相關業者以從中牟利,根據統計,來自全球各地用戶的下載次數,已超過15億次。
15款涉及侵犯用戶隱私權限的防毒App名單如下,快檢視自己是否已經誤入陷阱!
• Clean Master /安裝次數約 10億次
• Security Master /安裝次數約 5億次
• Super Cleaner – Antivirus, Booster, Phone Cleaner/安裝次數約 1億次
• Antivirus Free 2019– Scan & Remove Virus, Cleaner /安裝次數約 1億次(目前已被Google 下架移除)
• 360 Security/安裝次數約 1億次
• Antivirus Free – Virus Cleaner/安裝次數約 5千萬次(目前已被Google 下架移除)
• Virus Cleaner (MAX Security) /安裝次數約 5千萬次(目前已被Google 下架移除)
• Super Phone Cleaner: Virus Cleaner, Phone Cleaner/安裝次數約 5千萬次(目前已被Google 下架移除)
• 360 Security Lite – Free Antivirus, Booster, Cleaner /安裝次數約 5千萬次
• Super Security – Antivirus, Booster & AppLock /安裝次數約約 1千萬次(目前已被Google 下架移除)
• Antivirus & Virus Cleaner /安裝次數約 1千萬次
• Antivirus Android/安裝次數約 1百萬次
• Virus Cleaner 2019 – Antivirus, Cleaner & Booster/安裝次數約 1百萬次
• Antivirus Free 2019 – Virus Cleaner/安裝次數約 1百萬次
• Antivirus Mobile – Cleaner, Phone Virus Scanner/安裝次數約 50萬次
-
國家實驗研究院國網中心統計,台灣每月網路攻擊事件至少1.5億次。國網中心打造台灣第一個AI雲端服務平台「台灣AI雲」(TWCC),近日獲最高資安評鑑的ISO 27017雲端服務資訊安全,以及ISO 27018個人隱私資料保護兩項認證。台灣AI雲將用來發展智慧資安,維護國內網路環境安全。
國網中心主任史曉斌表示,ISO 27017、ISO 27018是雲端安全主流國際標準認證,確保安全的雲端服務環境及個人隱私資料保護。為讓企業客戶安心使用台灣AI雲,國網中心建置高效能的防禦機制,包括可處理100Gbps以上效能的防護設備,運用高速運算環境,針對異常的通訊進行分析。
史曉彬說,國網中心密切關注全球資安發展趨勢,隨時針對最新的資安威脅進行調查、分析,快速掌握國內外駭客最新動態。
針對台灣AI雲提供的智慧資安服務,國網中心表示,其後台的資安大數據,來自國網中心以6000個以上的IP位址,佈署在全台各地的誘捕系統,24小時無間斷監控網路惡意活動。
國網中心說,這項誘捕網路系統,平均每分鐘攔截近3500次攻擊,每月至少偵測到1.5億次以上的網路攻擊,捕捉30萬隻以上的惡意程式,再透過安全的隔離環境(分析沙箱)進行分析,以了解惡意程式的潛在企圖。
-
今年 8 月,曾有一款稱作「MegaCortex」的 Windows 勒索病毒在歐美企業肆虐,以透過將用戶電腦檔案封鎖的方式,要求用戶支付贖金來換回資料,否則便會刪除所有的檔案。不過有研究人員發現,這支勒索病毒不但回歸,還以「變種」的姿態現身。
據資安機構「BleepingComputer」消息,變種的「MegaCortex」改透過更改用戶的 Windows 登入密碼,以及威脅公佈檔案內容來進行攻擊,以勒索受害用戶支付贖金。此外,原版的「MegaCortex」主要的攻擊對象是以企業為主,但在新版的變種上,攻擊的 PC 類型也開始涉及一般用戶。
當受到攻擊時,用戶會在 Windows 的登入畫面看到「Locked by MegaCortex」字樣,接著會收到兩封 Email 作為勒索信。如果是在用戶使用電腦的途中「中招」,Windows 的桌面則會出現稱作「!-!_README_!-!.rtf」的檔案,點開後則會出現威脅字樣,接著只要休眠或關機,重啟後用戶就會因被更改登入碼,而無法正常使用自己的 PC。
與此同時,雖然更改了用戶的登入碼,但變種「MegaCortex」還是會繼續加密封鎖用戶的檔案。
該病毒的開發者也宣稱,它會下載用戶的檔案到駭客的伺服器,進而威脅用戶如果不付贖金,就會公佈裡面的機密資料。不過資安機構「BleepingComputer」指出,目前還沒有證據確認變種「MegaCortex」有這項能力,但「BleepingComputer」提醒,雖然許多勒索病毒都會誇大其攻擊手段,但通常都會至少有一項是真的。
-
根據中央社報導指出,未來AIT將與台灣各機關在3個領域展開密切合作,以加強網路安全與數位經濟:
1. 今年12月舉行第3屆的「數位經濟論壇」(DEF),協助美台關係邁入數位時代。
2. AIT與美國政府將在明年年初舉辦「巡迴說明會」,邀請美國專家來台,協助提高對最新資安威脅、趨勢及實務認知,並計畫在台灣的主要科學園區和科技產業中心舉辦訓練研討會。
3. 研擬設立台灣的「國際網路安全卓越中心」(International Cybersecurity Center of Excellence)加強雙邊合作。這個中心將提供平台,使在台灣及全印太區域的公私部門能夠在資安議題上密切合作,尤其是在網路安全、5G和新興資安標準等領域。
-
台美首度共同舉辦國際網路演練,聯合 10 國以上之力打資安戰,為台美網路合作立下新里程碑,行政院資通安全處透露,台灣公部門每月遭受境外網攻次數平均達 3,000 萬,但防禦率高達 99.99% 以上。
美國在台協會(AIT)與行政院資安處今天共同舉辦首次國際聯合網路演練,這項演練是年度「大規模網路攻防演練」(CODE)的一環。由美國在台協會代理處長谷立言及台灣國安會諮詢委員李德財等出席致詞。谷立言表示,美國政府十分驕傲首次與台灣共同舉辦國際網路演練,研究如何回擊來自北韓及其他行為者的網路威脅,這是前所未有的創舉,今年的「大規模網路攻防演練」,可以說在美台日益深刻的網路合作領域,立下了新的里程碑;希望這代表不只是美國與台灣將在網路上有更加密切的合作,本區域內所有經濟體的合作也能夠愈緊密。
谷立言說,今天面對的最大威脅,已不再是搶灘的部隊,而是惡意行為者企圖用社會及網路的開放性,威脅產業、民主體制以及關鍵基礎建設的完整性,包括金融體系及電信網路,企圖竊取營業秘密、智慧財產權及最有價值的資料數據。
行政院資通安全處長簡宏偉表示,台灣公部門每個月遭受境外的網路攻擊次數達 2,000 萬至 4,000 萬次,和歐洲國家一個月可能只有幾萬次相比,台灣受攻擊的頻率非常高,屬於「前段班」,且近幾年穩定增加,推估與台灣地理位置與發展高科技產業有關,攻擊目的可能有政治和經濟因素。
但他表示,台灣攔截網路攻擊的防護率極高;以去年為例,平均一個月有 3,000 萬次攻擊,只有 262 件攻擊成功,涉及資安 3 級的只有 6 件,成功率達 99.99% 以上,台灣的防禦率非常好,也因為蒐集資訊多,可進一步分析,也成為台灣的優勢。
至於攻擊來源為何?簡宏偉表示,來自各國都有,因為網路攻擊通常會透過不同國家做跳板,只能說推估有一半以上來自中國,但沒有辦法完全確定,必須一直追溯,因此國際間的合作與分享資訊就非常重要,這次參與 CODE 的除了台灣和美國,也有印尼、日本、捷克、澳洲、馬來西亞等 10 至 11 個國家共同參與。
他觀察,不只在選前,台灣每當有重大事件,攻擊都會變多,已是常態性的數量逐年增加,除了量增加,針對性攻擊(APT)也變多,這些在其他國家也有類似狀況;這次 CODE 演練部分針對金融,政府機關的防護則是一直都有在做。
谷立言表示,台灣在網路安全領域有極多的寶貴經驗可以分享,尤其過去幾年來在國安會諮詢委員李德財的帶領下,台灣已制定全面國家資安戰略,設立新辦公室,負責打造全政府、全社會的資安思維作法,並建立全國性的資訊分享體系,這些都不是簡單的事。
他指出,美國正在快速深化與台灣的網路安全合作,以幫助台灣加入美國國土安全部的「自動指標分享系統」( Automated Indictor Sharing),之後便能快速分享網路威脅指標。
今年 5 月,美國曾與歐洲盟友召開會議,共同討論 5G 時代的網路安全問題,那次會議援定了「布拉格提案」,這是理念相近各國共同議定在考慮網路安全問題的未來時,所必須遵守的基本原則;在印太地區,日本、澳洲與台灣已公開支特「布拉格提案」,實際上,台灣早從 6 年前開始,就一直遵守這些原則。
未來 AIT 將與台灣各機關在 3 個領域展開密切合作,以加強網路安全與數位經濟,包括今年 12 月舉行第 3 屆的「數位經濟論壇」(DEF),協助美台關係邁入數位時代;第 2,AIT 與美國政府將在明年年初舉辦「巡迴說明會」,邀請美國專家來台,協助提高對最新資安威脅、趨勢及實務認知,還計畫在台灣的主要科學園區和科技產業中心舉辦訓練研討會。
第 3,將與台灣密切合作,研擬設立台灣的「國際網路安全卓越中心」(International Cybersecurity Center of Excellence),這個中心將提供平台,使在台灣及全印太區域的公私部門能夠在資安議題密切合作,尤其是在網路安全、5G 和新興資安標準等領域。
-
自今年一月以來,資通安全管理法已經上路實施六個月。我國的資安保護規範從原先的行政命令層級提升為法令層級,除了公務機關以外,此法也將特定非公務機關納入實施範圍,訂定一致性以及標準化的資安規範;所謂的特定非公務機關,指的即是關鍵基礎設施提供者、公營事業、以及政府捐助的財團法人這三類。
此法將特定非公關務機關納入管轄,除了是因為此三類機關掌管之業務範圍與國家運作息息相關外,也是政府為了宣示資通安全的重要性而身先士卒的行動,並期望國內企業能夠同步提升資安意識,共同維護國家、企業、社會、以及人民的權益。
多數人聽到資安法,可能腦海中會浮現的是一些技術性的詞語或畫面。然而資安法的本質並不只是在技術面的規範,其執行內容係以加強並精進風險管理的角度在看待資通安全。根據行政院資通安全處公佈的資料可知,其實際影響範圍可從五個面向來看,除了前述提到的規範層級以及納管範圍外,尚包含了管理面、技術面、以及政策整合面。這幾個面向仔細地規範了不同層級的納管機關應盡之責,從人力配置、政策配合、乃至於防護標準皆明定於此。
在資安法的施行細則中,將納管機關以責任安全劃分五級(A 到 E 級);機關所管轄之資通系統防護等級,依照其機密性、完整性、可用性、以及法遵性又可分為高、中、普三級。各級機關皆須依照其責任安全等級以及資通系統防護等級辦理相關防護措施。
由於此法是依照辦理的業務以及維運之系統在訂定層級,因此一般層級較低的機關,按照其職掌業務,也有可能被劃分為較高層級之責任安全、或是高層級之資通系統防護標準。然而各級機關的資安預算本就有所不同,即使被劃分到高等級之標準、需要遵守的資安標準變多,也不代表其預算會隨之增加;如何以既有的運算達到資安法的要求,也正考驗著納管各級機關的智慧。(資安所)
-
人工智慧看似有著超越人類的能力,但那是完美嗎?它就像荷馬史詩《伊利亞特》中,青銅巨人塔羅斯被宙斯指派看管腓尼基公主歐羅巴,但卻被英雄伊阿宋之妻美狄亞矇騙喝下毒藥而死。這位神話中威猛無比的「人工智慧」巨人,卻也有著被人類欺騙的軟肋存在⋯⋯
人工智慧(Artificial Intelligence,AI)是近年各個領域都非常熱門的話題,舉凡醫療、金融、交通、電商、能源、甚至是交友通訊軟體都紛紛宣稱應用了AI技術。資誠聯合(PWC)於 2017 年世界經濟論壇新領袖年會中發表的《全球人工智慧研究報告》也同時指出,AI 對產業潛力的影響指數,依序為醫療、汽車、金融服務、運輸、物流、技術、通信、娛樂、零售、能源及製造業等領域。
這些產業的經營模式相對於傳統方式,已經有顯著的改變;攤開這些應用領域,我們不難發現到幾個共通的詞彙,像是降低成本、預測趨勢、準確配對、以及提升效率等等,這都點出了現行 AI 技術在產業普遍被運用以及被期待的角色。
AI 的概念,最早可以回溯到 1940 年代,來自不同領域的學者開始探討製造人工大腦的可能性。到了 1950 年代,圖靈提出的圖靈測試替人工智慧立下了一個發展目標。而現代意義指稱的人工智慧,則是在 1956 年的達特矛斯會議中正式被確立。自 AI 被明確定義後,至今已經歷了半個世紀的發展,如同多數的新興科技,AI 在這當中也經歷了數次的發展阻礙。
所幸,大數據應用的發展以及計算機技術的提升,替 AI 帶來了曙光,深度學習的茁壯發展以及不同用途的演算模型紛紛問世,一股 AI 革命的浪潮就正在你我的身邊發生。台灣人工智慧學校主任蔡明順更直接點出,未來十年將是 AI 產業化的黃金十年。他提到,AI 產業化的四波轉型提升的機會:單點效率的提升、企業流程的提升、產業水平面的提升、以及產業生態系整體的提升。這四大提升,所體現的就是將 AI 從單一效率改善,發展到組織改善的全面應用,進而演化到足以影響產業遊戲規則的程度。
人工智慧成為網路安全領域最新助力 ─ 不論對企業或駭客都是如此
市調公司 CB Insight 在《2018 AI 100》這份報告中說到,AI 應用已擴散至各種不同情境與領域;其中也提到,AI 在網路安全中的應用是目前令人矚目的領域之一,像是利用 AI 進行網路安全偵防,找出潛在威脅與風險,進而協助企業提升網路安全防護等級。
凱捷研究院(Capgemini Research Institute)最新報告中也提到,69% 企業認為自己無法在沒有 AI 技術支援下,對網路攻擊行為做出回應。同時,六成受訪者也同意 AI 可以幫助資安專家提升效率,並且有接近七成的人同意 AI 提高了偵測違規行為的準確度。其中,電信業者尤其關心 AI 因應網路攻擊的議題。這是因為電信業者掌握了相當多樣且大量的使用者資訊,經常成為網路犯罪者的目標。該報告也提到,40% 受訪電信業者回覆,其公司因為網路安全漏洞而導致超過 5000 萬美金財務損失;這也是電信業者積極尋求並且對新技術持開放態度的原因之一。
然而,AI 並不全然是網路世界的守護神。根據使用者的意圖,它也可以是名冷酷且忠於任務的入侵者。波士頓諮詢公司在 2018 年 11 月發表的文章中指出,根據資安公司 Webroot 的調查,超過 90% 在美國與日本工作的資安專家預期,攻擊者將開始使用 AI 作為攻擊手段。
IBM 研究人員在 2018 年美國黑帽駭客大會展示的新式概念驗證攻擊程式 - DeepLocker,更證實了 AI 惡意程式已不再只是紙上談兵。在 Crowdstrike 發佈的 2018 全球威脅報告中即指出,透過暗網(Dark web),越來越多的攻擊工具能夠以相當親民的價格取得;他們也預期,在未來數年之內, AI 驅動的入侵工具就能以令人可接受的價格取得。
至此,人工智慧之於資安的關係已有一相當清楚的輪廓。我們單純以角色與標的物來思考的話,那麼要將 AI 發展到資安產業,至少需要仔細思考以下四個命題:
攻擊方如何利用 AI 對資訊系統及機敏資訊進行攻擊或竊取
攻擊方如何攻擊以 AI 模型為核心的資訊系統或服務
防護方如何利用 AI 防衛資訊系統或機敏資訊
防護方如何防衛以 AI 模型為核心的資訊系統與服務
以彼之矛攻子之盾:我該如何抵禦與我同樣強大的技術?
「以子之矛陷子之盾,何如?」如同楚國商人面臨到的問題,目前 AI 資安領域在發展上也需要思考:我該如何抵禦與我同樣強大的技術?目前對於 AI 資安的運用,多是朝向自動檢測與行為學習;除了協助資安人員提升工作效率外,也希望藉由 AI 的力量,在惡意程式造成巨大損害前進行阻斷。
然而有光必有影,如同莎翁名言,「事情沒有好壞之分,只是看你意願為何」。在不肖份子的手中,AI 便成了一種破壞工具。根據 IBM Research 首席研究科學家 Marc Ph. Stoecklin 在 2018 年 RSA 中的談話,我們可以了解到傳統的防禦系統與方法論很難去抵禦以 AI 為基礎的攻擊手段。
此外越來越多的企業開始應用 AI 作為各項工作的輔助,這也成為了駭客攻擊的目標。像是以大量虛假資料欺騙系統,導致 AI 學習出錯誤的模型,或是透過特殊處理欺騙影像識別系統等等,這些都是抓準了機器學習的弱點所進行的攻擊手法。趨勢核心技術部門經理張佳彥於 2019 年台灣資安大會中也提到,駭客甚至開始用對抗式機器學習(Adversarial Machine Learning)來欺騙防毒軟體中的機器學習模型。AI 防禦是未來的趨勢,但 AI 攻擊也隨之而來,如何應對這樣的攻擊,將是未來資安發展的重要課題。(資安所)
-
歐盟之通用資料保護規則(General data protection regulation,GDPR)於 2016 年 5 月 25 日正式頒佈,並已於 2018 年 5 月 25 日生效,屆時只要核心業務直接或間接與歐洲民眾個資的蒐集、處理和利用有關,都必須要從內部系統到控制制度進行調整與修正,利用 GDPR 所提供歐盟成員對人民保護隱私資料,以及重整組織處理資料隱私之方法,使組織符合 GDPR 對個資保護的規範與要求。
雖然許多企業組織已通過國際資安標準 ISO / IEC 27001 驗證,代表已在資訊安全管理的機制上達到可供驗證的水準,可有效保護客戶與利害關係人的利益。然而在隱私保護方面則主要透過 ISO / IEC 27009 與個人可識別資訊(Personally Identifiable Information,PII)與隱私保護方面的管理標準結合,ISO / IEC 27018 及 ISO / IEC 29151 結合 ISO / IEC 27009。
但是,ISO / IEC 27018 及 ISO / IEC 29151 等標準的頒行皆在 GDPR 制定之前,因此在整體法規的適用性而言,部份內容由於無法涵蓋所有的利害關係人,而使得部份產業無法合規於 GDPR 標準。例如 ISO / IEC 27018 僅針對雲服務業的 PII 處理者,而缺少針對雲服務業的 PII 控制者、非雲服務業的 PII 控制者的指引及要求。
因此,ISO 標準組織為了再強化 ISO / IEC 27001 標準與 GDPR 合規及加強隱私保護的完整性,著手 ISO / IEC 27552 的起草。ISO / IEC 27552 草案目前為 DIS;在內容上 ISO / IEC 27552 除了擴充 ISO / IEC 27001 及 ISO / IEC 27002 的內容外,亦針對 PII 控制者及 PII 處理者新增新的控制措施。(國科會)