最新消息


  • (108/3/20)「SecureCorteX」、「CryptoCorteX」、「資安事件應變夥伴協議」首次於台灣資安館公開亮相

    3/19~3/21於台灣資安大會的台灣資安館展出:「CryptoCorteX」身分安全晶片與加密通訊應用、「SecureCorteX」網路威脅偵測系統、「資安事件應變夥伴協議」等自主研發產品與服務,並對總統簡介產品功能及應用。應用於「事前防範」的身分確認產品CryptoCorteX:此為本公司與本土晶片廠商合作研發的安全晶片產品,不僅可搭配手機或電腦提供對人的身分識別,也適合整合在IoT裝置中提供對設備的身分識別,並且提供通訊加密的保護。應用於「事中監控」的封包側錄分析產品SecureCorteX:此為本公司自主開發之產品,可以將網路上流量完整側錄下來,並在發生駭客攻擊時還原事件現場,找出根因。應用於「事後應變」的「資安事件應變夥伴協議」(IncidentResponse服務):由本公司資安專家即時救援應變、事件調查與鑑識,提供事件報告與強化措施,企業不需花錢培養鑑識團隊。

    更多
  • (108/3/20)於台灣資安大會分享「 IT 及 OT 環境的資安挑戰與因應之道」

    台灣企業的資安意識已逐步提升,許多企業已建置基礎的資安防護措施,但駭客技術及手法隨著資訊技術、科技應用的演進也持續精進,同時也將攻擊對象延伸到特定領域如醫療、高科技、關鍵基礎設施等產業的OT環境。然而企業為引進智慧化與大資料分析,很多OT網路與設備開始進行聯網資料交換,與IT網路互聯越來越普遍,雖有採取隔離措施,但仍衍生很多資安風險,因此,企業在面臨資安嚴峻的挑戰,除持續關注IT環境的因應之道外,如何因應OT環境的資安挑戰,以避免造成營運中斷的風險,更是企業不容忽視的課題。簡報下載

    更多
  • (107/12/24)本公司Red team成員參加「2018 資安滲透測試攻防國際邀請賽」榮獲冠軍

    本公司Redteam團隊2名成員與資安社群2名成員組隊參加「2018資安滲透測試攻防國際邀請賽」,與來自社群、學術、研究機構等十家隊伍共同參與競賽,榮獲冠軍殊榮。本次攻防邀請賽由廠商提供產品供參賽隊伍進行漏洞挖掘,產品涵蓋電子郵件管理系統、資料管控系統、視訊監控系統、Windows與Ubuntu白名單系統等,當參賽隊伍挖掘出漏洞時,透過主辦單位的漏洞回報平台回報漏洞及截圖佐證方能得分。本賽程為期三天,考驗參賽隊伍對作業系統、網路架構、通訊協定運作、應用程式運行、資料蒐集分析、資安防護機制迴避、程式撰寫以及團隊協同合作的能力,同時也是對體力、耐力及腦力的考驗,本隊伍成功挖掘出數十個漏洞取得297積分,領先第二名50分之多,獲得冠軍。

    更多
  • (107/12/18)中華電信資安團隊榮獲HITCON Defense企業資安攻防大賽冠軍及「情資分享特別獎」

    中華資安團隊榮獲HITCONDefense企業資安攻防大賽冠軍及「情資分享特別獎」雙料獎項中華電信資安團隊於12/14,台灣駭客協會舉辦的「HITCONDefense企業資安攻防大賽」,從6支參賽勁旅中脫穎而出獲得冠軍。並且在參賽過程中,因樂於分享情資榮獲主辦單位頒發的「情資分享特別獎」,肯定中華資安除擁有專業的資安防護能力外,還具有互助精神,協助其他參賽隊伍提升資安防護能力。本次參賽隊伍來自金融、電信、政府、軍方、高科技單位,皆為國內資安專業的一時之選。中華電信團隊打趣以RFC2324狀態碼「418」為隊名,成員由中華資安國際、中華電信數據分公司所組成,在駭客炮火猛烈的攻擊下,快速盤點企業資產、挖掘內部網路威脅、建構資安防護架構,最終維持企業持續營運,因此奪得本屆大賽冠軍。代表領獎的中華資安國際公司總經理洪進福表示:「本屆HITCONDefense攻防大賽最大特色就是『真』,這些攻擊情境與我們過去協助客戶處理的資安事件頗多雷同;我們擁有豐富的資安專業能力、實戰經驗,樂於協助政府與企業做好資安防護,共同提升國內整體資安防護能力;本次參賽的中華電信資安團隊,都擁有長期服務企業資安的經驗,也是這次團隊脫穎而出的成功關鍵。」「HITCONDefense企業資安攻防大賽」是模擬資安防禦團隊(BlueTeam)「空降」接手企業網路與資訊系統,同時由大會組成的駭客團隊(RedTeam),展開各式網路攻擊,從埋設後門程式、遭分散式阻斷攻擊(DDoS)、資料隱碼注入攻擊(SQLInjection)、刪除資料庫、到企業資源整合系統(ERP)漏洞等,最後連企業雲端平臺與虛擬私人網路(SSLVPN)都遭受入侵,手法相當激進,也非常貼近真實世界的目標式攻擊手法;但中華電信418團隊運用傑出的資安防禦、弱點挖掘、網路封包等分析能力,找出攻擊來源及手法,快速建立防護體系,才能在這次大賽中一舉奪冠,更顯示出中華電信在資安實戰經驗的豐富資歷。

    更多
  • (107/12/8)中華資安國際榮獲BSi頒發「資安品質精銳獎」

    發佈日期:107/12/8BSI英國標準協會於12月8日頒贈「資安品質精銳獎」給中華資安國際公司,由中華資安國際洪進福總經理代表領獎,肯定本公司從今年初成立,僅僅六個月就完成ISO27001與ISO20000標準實踐與驗證,對團隊之技術能量、服務品質、資安治理獲得國際評鑑機構的肯定,這一路走來,說與做一致,就是承諾全心守護客戶的資訊安全,成為企業可信任的資安夥伴,打造一個安全可信任的網路生活環境!

    更多
  • (107/8/24)中華資安國際於「CLOUDSEC 2018 企業資安高峰論壇」分享「企業如何與ISP合作建構資安縱深防禦網」

    發佈日期:107/8/24中華資安國際以上網資安防護為主題參展「CLOUDSEC2018企業資安高峰論壇」,並由資深資安架構規劃師於會場上分享「企業如何與ISP合作建構資安縱深防禦網」,企業將資安防線往前推到ISP骨幹網路端,由結合全球及在地化威脅情資與ISP網路連線管控機制,阻絕威脅於境外,不但可降低企業自行佈建資安防禦的複雜度,更可以避免企業網路頻寬遭駭客塞爆及系統效能超載,更可有效降低營運成本,演講資料請按此下載。中華資安國際與中華電信合作提供上網資安防護安全於會場上展示與中華電信合作網路端多項資安防護服務由資深資安架構規畫師王信富經理主講,座無虛席,詢問不斷

    更多
  • (107/7/29)中華資安國際於HITCON CMT 2018攤位提供模擬系統入侵遊戲,民眾反應熱烈

    前言「台灣駭客年會社群場」(HITCONCMT2018)於7/27-7/28為期兩天於南港展覽館舉行,中華電信及中華資安國際在HITCONCMT攤位活動上,設計一個模擬社交工程真實案例的體驗活動,希望以寓教於樂的方式,提醒企業與個人瞭解各種安全防護上的風險因素。參加者藉由靜態社交資訊搜集的方式(人肉搜索),利用使用者洩漏的資訊,逐步抽絲剝繭找出使用者的帳號密碼,達到入侵系統的目的,為期兩天的活動共計約250位會眾通過第一階段關卡、80位最終闖關成功,闖關者普遍反應難易適中、解開很有成就感,為呼應「鏈出世界、解密未來」大會主題,攤位成功過關者可參加射飛鏢遊戲,以獲得更多主辦單位發行的HITCONToken虛擬幣,在大會中換取紀念品及獎勵。圖:熱絡的活動現場攤位活動題目解題流程說明一開始在攤位上取得一張名片,上面載明了公司和該名員工的公開資訊,也就是一般人際交流中就可取得的使用者資料,攻擊目標則是一個只有登入畫面的網站系統。圖:左圖為名片,右圖為目標系統針對姓名進行搜索,即可找到該人員的Facebook頁面,以及連接的Google+等社交圈,在這些社交媒體中,大頭照及姓名皆為公開顯示,而貼文權限則可由使用者自行決定,許多無隱私觀念的使用者,常會洩漏更多可用資訊,從中可取得個人的喜好與行蹤等。圖:FB頁面在尋找的過程中,發現該人員使用了Trello的看板式管理網站,其中在待辦事項中,可找到一個開發中系統的功能要求列表,以及Github連結。有些人為求方便分享給朋友,會無意將Trello的權限設為Public,洩漏更多敏感資訊。圖:Trello畫面在Github中,發現了目標系統的原始碼,以及程式更新紀錄(Commits),找到了一組帳號及密碼,密碼為一組md5雜湊值。由於Github免費使用者必須將開發專案設定為公開,因此任何人皆可存取,且git的特性是可以對程式碼進行版本控管,每一次commit後的結果都會保存下來,即使在最新版本刪除內容,並無法消除過去的紀錄。圖:從修改紀錄中找回原始的程式內容在程式碼中可以發現密碼經過了一次md5,因此只能取得雜湊值,但僅進行一次的md5並不是安全的作法,在本案例中,長度8碼、含大小寫英數字及符號的密碼,不需要暴力運算,只需經過Google或利用線上解即可破解還原,取得原始密碼。圖:在網路上即可搜尋到雜湊值的原始明文利用原始碼中發現的帳號及還原的密碼,即可成功登入系統,至此即完成了第一階段的模擬入侵。挑戰者可繼續第二階段的挑戰,透過常見的流程和程式設計缺失,以及利用前述搜尋過程中的所發現的使用者個人資訊,將另一個系統攻破。結論與建議在流程中所使用的社交媒介、看板式管理、程式碼版控等網站,本身並沒有漏洞,而是利用人員使用產生的資訊,以某種關聯相連而成社交網路,再與目標公司相關聯後,無形中拉高了對企業的威脅。攻擊者若直接嘗試入侵本例中的系統,因程式簡單且帳號及密碼強度足夠,入侵相當困難,所以在傳統的弱點掃描或滲透測試,皆無法找出漏洞,但是透過人員洩漏的資訊,最快在10分鐘即可入侵並成為管理者,由此可見,人性的弱點永遠是安全管理上的最大風險。因此,無論是系統開發、維護或使用人員,皆應進行安全意識的教育訓練與社交工程演練,避免企業的資訊透過類似的管道洩漏,或遭到釣魚攻擊取得,一旦重要的存取點遭駭客進入,立刻門戶洞開,即使建置再多的安全防護設備都無法發揮作用。另外,也建議定期實施包含APT攻擊的進階滲透測試,亦即時下倡導的紅隊演練(RedTeam),以稽核系統和人員意識的安全強度。最後,密碼保存部份應遵循正確的作法,無論是明文保存或一次性雜湊,皆為常見且錯誤的方式,正確作法應運用「加鹽雜湊」(Salted-Hash),即先為密碼加上一段秘密長字串(salt),再重覆進行多次雜湊運算後,才存入資料庫,理想的實作方式是依每一個不同使用者,配置不同的salt,使用者日後輸入的密碼,一樣經過同樣步驟運算出雜湊值,比對之下即可得知是否輸入正確密碼,達到安全保存的目的。

    更多
  • (107/7/21)中華資安國際以「零缺失」取得ISO 20000及ISO 27001雙證書

    發佈日期:107/7/21中華資安國際股份有限公司於今(107)年6月以「零缺失」驗證佳績取得「ISO20000國際資訊技術服務管理認證」及「ISO27001國際資安管理認證」雙證書,並於7/20由英國標準協會台灣分公司(BSI)蒲總經理親自授證。本次驗證範圍為SOC資安監控服務與滲透測試服務,針對公司重要資產進行盤點,對可能之風險提出應對措施,重要服務流程亦定期實施營運持續演練,代表本公司所提供資安監控服務(SOC)及滲透測試服務的服務流程及客戶資料的保護已達國際標準組織(ISO)所制定的資訊安全標準。而本公司同時也通過ISO20000驗證,代表本公司為盡力提供優良服務,針對本公司所提供的服務品質及客戶服務流程,透過整合人員、流程、資訊系統,並制定作業程序詳細記錄處理過程,與客戶建立良好溝通管道,進行自我服務能力優化,同時定期實施客戶滿意度調查,以提供高品質的服務為目標,使每一位客戶皆能得到滿意的服務。

    更多
  • (107/6/1)中華電信資安艦隊再出擊!「HiNet新世代防火牆」上市

    有感於全球資安威脅遽增,中華電信資安艦隊搭載更先進的裝備挺身出擊,於今(31)日舉辦「HiNet新世代防火牆」上市記者會,由中華電信、中華資安國際及PaloAltoNetworks三強聯手推出的「HiNet新世代防火牆」服務建置於中華電信網路機房端,由中華資安國際負責資安威脅的即時攔阻及系統平台的建置,並由PaloAltoNetwork提供電信等級的資安防護管理設備及後勤支援,幫助HiNet企業上網客戶於網路端直接阻斷駭客入侵,阻絕威脅於境外,成為亞洲地區率先提供服務的電信業者。中華電信數據分公司副總經理鄭鳴岡表示「台灣是資安的重災區,單靠企業內部的防護已不足以應付多變且複雜的網路攻擊,需將防線往前推至ISP端,由ISP於網路骨幹端攔截攻擊,阻絕威脅於境外,並與企業內部資安構成縱深防禦,透過多層次的防禦架構才能有效阻擋駭客攻擊,就像濾心一樣,經由多道的淨水措施才能提供乾淨健康的飲水。」資安艦隊助國內中小企業資安防禦從「前端」做起中華資安國際股份有限公司總經理洪進福指出:「我們發現台灣主要面臨五大類的資安威脅包含:「勒索軟體威脅」、「DDoS攻擊」、「IoT物聯網裝置受駭」、「組織型駭客APT攻擊」、「駭客入侵竊取個資」,這些攻擊的共同特性是他們都透過網路來進行攻擊,這也是我們推出「HiNet新世代防火牆」的主要原因」「HiNet新世代防火牆」採用PaloAlto次世代資安防護系統(NGFW)與中華資安國際的SDN網路防禦架構結合,協助HiNet客戶在ISP網路端直接阻斷駭客入侵攻擊、阻擋惡意連線,並可依客戶的個別需求設定員工禁止瀏覽「不良內容網站」、「降低生產力」、「影音播放」等不同類別網站,協助上網客戶阻絕複雜的網路攻擊,並與企業內部資安防禦架構結合,構築多層次的資安防禦能力,提升網路頻寬效益,並定期寄送安全防護月報、提供全面的資安威脅預警情報,協助客戶強化資安防禦能力。月租型服務節省維護經費,還有資安專家協助管理「HiNet新世代防火牆」是中華電信資安艦隊的新成員,讓一般企業客戶以月租方式,就能享有先進的企業防火牆所具備的資安防護功效,同時由中華資安國際的資安專家負責管理,企業不需要自己養資安人力,專注於本業經營。。聯手國際大廠中華電信展現資安領航員決心中華電信秉持「數位經濟的發動機,創新產業的領航員」,這次三強聯手合作推出上網資安新服務,展現中華電信全力發展資安業務,打造安全可信任的資通訊環境的決心,提供客戶優質且安全的上網環境。

    更多
  • (107/1/16)中華電信轉投資資安子公司正式成立將攜手資安業者,放眼國際資安市場

    發佈日期:2018/01/16中華電信轉投資資安子公司「中華資安國際股份有限公司」正式成立,由前中國科技大學資訊學院院長陳振楠擔任董事長,並於今天舉行揭牌記者會,由行政院吳(政忠)政委、國安會李(德財)諮詢委員、交通部賀陳(旦)部長、國家通訊傳播委員會詹(婷怡)主委、國發會何(全德)主任秘書、行政院資安處簡(宏偉)處長、電信技術中心李(漢銘)董事長、台灣網路資訊中心黃(勝雄)董事暨執行長、台灣駭客協會徐(千洋)理事長、中華資安國際董事暨中華電信數據通信分公司馬(宏燦)總經理以及國內外多家知名資安廠商高層主管等超過百位貴賓共同參與揭牌儀式,共同見證新銳資安公司的誕生。會中吳政委表示:「未來四年台灣資安政策發展的藍圖,以打造安全可信賴的數位國家為願景,並以建構國家資安聯防體系、提升整體資安防護機制、強化資安自主產業發展為目標。」,中華資安國際的正式成立,正好呼應了政府發展國內資安自主研發及鼓勵產業新創的政策,並期許繼中華電信之後,能有更多的國內企業投入資安產業及培育資安專業人才,共同打造一個安全、可信賴的資通訊環境。中華電信鄭優董事長表示,中華電信秉持「數位經濟的發動機,創新產業的領航員」的願景,於106年2月通過鼓勵內部員工創業獎勵作業要點,鼓勵集團內具備領先技術的優秀人才投入創業,這次轉投資成立資安子公司,就是第一個適用這個獎勵作業要點的新銳子公司,並期許中華資安國際公司,不止要成為政府與企業最值得信賴的資安夥伴,更要成為國內資安領導品牌,並帶動國內資安產業發展,形成國家級資安艦隊,前進國際市場。中華資安國際陳董事長對於團隊成員的資安專業能力深具信心,並表示公司主要業務範圍包含在機房端對消費者及中小企業提供上網電路安全、協助政府機關做到符合資安管理法及前瞻基礎建設計畫的資安強化要求,並協助企業做好資安檢測、防護、監控、管理以及事件鑑識,同時,將快速地與國內外廠商建立更緊密的合作及經銷關係以形成產業供應鏈;就長遠來看,將擴大資安市場服務規模並朝向國際型的公司發展,與國內外ISP合作提供網路資安服務,同時與國內外業者組成國際型銷售團隊,一起將產品推向國際。陳董事長提到,中華資安國際以成為國內資安第一領導品牌,帶動國內資安產業發展,邁向國際級資安公司為目標,未來希望能為國防資安、政府安全盡一份心力,共同捍衛數位國土安全,達成政府「打造安全可信賴的數位國家」之願景。同時強調中華資安國際可以比以前做的更好,客戶可以對中華資安國際的專業品牌更信賴。

    更多

金融機構資安強化

金融機構安全評估辦法、ATM攻防、DDoS演練、因應GDPR法規的資安強化建議。

企業資安強化

大型企業:閘道端防護、端點防護、資料安全、定期資安檢測、導入ISMS資安管理制度、與ISP合作形成縱深防禦網。
中小型企業及工作室:防毒防駭軟體、企業上網資安防護。

政府機關資安強化

資安管理法規範、前瞻計畫資安強化措施(區域聯防、SOC、ISAC、基層機關資安強化),資安服務供應契約下單。