國內資安專業服務公司領導品牌中華資安國際與零信任資安新創公司Pomerium攜手合作，提供先進之零信任網路資安解決方案(Zero Trust Network Access ,ZTNA)，隨著遠距工作成為新常態，此次合作之解決方案為企業提供高強度的安全性及可用性，消弭企業遠端接取企業內網資源之資安疑慮。為何企業需要注重ZTNA？傳統的資安防禦已不足以抵禦持續變化的威脅型態，事實證明，基於邊界保護的遠端連線方法已過時，無法應對網路釣魚、勒索病毒及APT攻擊(Advanced Persistent Threats)。相對的，ZTNA提供企業安全連線，且不會影響可及性及易用性。在臺灣最近的網路事件中，安全的存取控制的重要性變得顯而易見。回顧國內知名租車公司個資外洩事件，皆有驗證及存取控制不足的狀況，導致數十萬筆顧客個資外洩。此外，利用竊取的憑證和身分驗證漏洞也是常見的入侵手段。根據中華資安國際2021年之事件調查統計數據，「利用公開漏洞」在駭客的初始入侵方法中排名第一，其次是「帳密外洩」。此外，10％的公開漏洞利用是基於身分驗證的漏洞。這凸顯了ZTNA的必要性，該技術提供更安全的存取控制，以保護重要資產和資源。ZTNA是什麼？ZTNA是一種安全模型，其核心是驗證試圖存取網路的每個使用者和每個設備，並根據該身分提供嚴密的存取控制。與基於網路位置的信任假設不同，ZTNA通過持續驗證和動態策略實施信任。透過實施中華資安國際和Pomerium的解決方案，每個企業資源都將根據組織的中央存取策略擁有有條件的、每次請求的存取權限。(想了解美國的NIST如何定義零信任架構，請讀此文)此合作夥伴關係代表中華資安國際可將Pomerium作為ZTNA解決方案的一環，該解決方案可從任何地點安全、無縫地存取企業資源。此解決方案有許多關鍵優勢，包含：身份和情境感知存取：在憑證被盜用和存取權杖(token)被竊的情況下，存取控制應超越身份本身。此解決方案驗證每個使用者和設備的身份，然後利用外部情資做出更好的決策，限制惡意內部人員與帳戶入侵所造成的損害。提高可及性和易用性：此解決方案可從任何地點安全存取企業資源，而無需VPN或傳統的周邊安全模型。在邊界部署此解決方案，使終端用戶不會遇到連接或延遲問題，使組織擁有運作靈活性和敏捷性。簡化管理：通過簡化存取控制、策略和使用者身份的管理，我們使組織能夠維護安全且易於存取的環境。IT團隊可以避免將網路分段，而是選擇與此解決方案進行相互驗證，確保內部服務運行更順暢，同時限制橫向移動。稽核日誌：誰存取了什麼、何時、在哪裡以及他們做了什麼？此解決方案提供細粒度的基於請求的稽核日誌，確保組織可以了解網路內發生的所有事情。(想了解美國的NIST如何定義零信任架構的優勢，請讀此文)中華資安國際和Pomerium認為安全不應以易用性或可及性為代價。此次合作的ZTNA解決方案提供了兩全其美的最佳方案，確保企業在不影響生產力或易用性的情況下保持安全。Pomerium技術部落格請點此。

教育部先進資通安全實務人才培育計畫(Information Security Incubation Program, ISIP) 總期程期中成果展暨企業資安實習與媒合交流於3月18日(六)舉行，除以動態與靜展方式展示計畫之執行成果，同時設立企業資安徵才攤位，以及提供企業職涯發展、資安職缺、資安實習方式、工作環境與福利等說明，促進產學交流與就業媒合機會。感謝主辦及協助單位提供產學媒合交流及資安人才媒合平台，活絡資安就業環境。莘莘學子，人才輩出，期待對資安充滿熱忱的你加入我們，一起挑戰自我、為提升資通安全盡一份心力！

中華資安國際協辦中華民國資訊軟體協會「駭客難防？勒索無招？資安攻略大補帖」研討會，分別於3月7日、9日、16日於台北、高雄、台中場舉行，協助政府確實落實資安法規要求，提升資安防護效益！中華資安國際股份有限公司在最新公告的111年行政院資安服務廠商評鑑中，一舉拿下「SOC服務」、「資安健診」、「滲透測試」、「弱點檢測」及「社交工程演練」五項資安服務全數「A級」之最高評價，也是國內唯一連年獲得這項殊榮的資安服務廠商。中華資安國際於研討會中分享新世代資安監控、如何透過VANS弱點通報知己知彼、百戰不殆、以及因應企業資安曝險。

中華資安國際日前再度獲得111年行政院資安服務廠商評鑑中，獲得「SOC監控」、「資安健診」、「滲透測試」、「弱點掃描」及「社交工程演練」五項資安服務全數「A級」之最高評價，是唯一榮獲此殊榮之資安公司，也是唯一連續四年勇奪全數Ａ級最高評價之資安服務廠商。本次資安服務廠商評鑑對於中華資安國際之專業技術、服務品質、資安證照均給予極高評價，客戶滿意度調查更對中華資安國際在事前檢測、事中監控應變、事後鑑識調查等資安專業服務給予高度肯定，多面向評核才有這次的五Ａ最高評價。評鑑結果認為中華資安國際的SOC服務是國內唯一整合MDR雲、網、端監控之資安監控應變服務商，多維度關聯分析大幅提高資安風險的可視性與準確度；再透過紅隊演練，來確認監控的有效性；除了具有SOAR自動化分析應變腳本，團隊也展現了優異的惡意程式逆向分析能力與資安鑑識調查能力，更自主研發複合式檔案沙箱(Sandbox)與誘捕(Honeypot)系統，有效獵捕駭客攻擊手法。為有效獵捕資安威脅，中華資安國際自主研發網路閘道SecuTex NP與端點SecuTex ED的資安產品，用來協助客戶進行資安健診與事件調查；其中SecuTex NP就像網路行車紀錄器，全時側錄網路封包、偵測入侵活動、鑑識分析，結合沙箱與專家分析驗證，是網管與資安利器；SecuTex ED則是端點電腦檢測工具，用來檢查GCB政府組態基準、檢視軟體更新、偵測惡意活動等，透過中控台可以一目了然的掌握資安風險，是企業資安風險管理利器。本次中華資安國際再獲資安廠商評鑑五Ａ最高評價，也是呼應今年度榮獲首屆Best Choice Award資安服務獎，並獲得國際知名顧問公司Frost Sullivan 之2022 Taiwan Cybersecurity Services Company of the Year Award等獎項，特別是近日，中華資安國際之零信任 (zero trust network access) 資安解決方案更通過行政院國家資通安全研究院認證，不只擁有資安專業服務技術，也擁有資安產品與解決方案，要在零信任的浪潮中，成為最值得信任的資安專業公司。

2023年正式邁入了後疫時代，各產業延續了前兩年數位轉型的力道，不斷地在商模和服務上尋求優化及創新，對於解決方案服務需求量大增， CIO們必須全盤佈局才能順利協助企業進入下一個新高度。因此 CIO Taiwan 平台特別舉辦【2023 Elite Vendor供應商品牌調查】，讓 CIO 們票選出心目中優先想了解的十大項目類別品牌、不分類的信賴品牌及長期合作的IT服務商，提供企業IT的採購決策者做為選擇解決方案合作夥伴時的參考。中華資安國際也很榮幸在本次調查中，於十大產品類別品牌的「資安產品與服務」分項中獲選。CIO Taiwan 平台的發起人，同時也是 CIO IT 經理人雜誌總經理林振輝表示：「期盼這樣的票選活動能夠幫助企業及供應商快速媒合，推動各產業的創新轉型創造雙贏的局面。」他也會繼續運用平台的力量，集結各個方面的資源，協助CIO們快速推動轉型計畫，強化台灣企業競爭力，躍上國際舞台！新聞來源：CIO Taiwan

中華資安國際的資安服務受到肯定，2022年獲得首屆「COMPUTEX Best Choice Award 資安服務獎」，2月3日（五）獲蔡總統接見。總統表示，政府會全力推動「資安即國安2.0」政策，持續強化組織、完善法制，並培養更多人才，提供產業更多支持。她也請產業界領袖們一起跟政府打拚，帶動資安產業發展，共同建立「堅韌、安全、可信賴的智慧國家」。總統感謝台北市電腦商業同業公會，多年來以「台北國際電腦展Best Choice Award」品牌，協助本土廠商行銷、開拓國際市場；這次也用心舉行第一屆BC資安獎，挖掘更多本土優質的產品。總統並恭喜中華資安，將AI導入SOC監控服務，這項技術獲得許多個國際獎項及認證的肯定，「謝謝中華資安，讓國際看到臺灣卓越的資安服務！」照片來源：總統府提供新聞來源：總統府

中華資安國際宣布，「中華資安國際ZTNA」於112年1月30日通過國家資通安全研究院進行之「政府零信任網路身分鑑別功能符合性檢測」，可協助政府佈署相關零信任方案。公告請點選此處。

數位部轄下財團法人電信技術中心（TTC）發布無人機資安保障規範，協助建立台灣無人機資安檢測制度，並攜手中華資安國際等民間廠商籌組「無人機資安聯合驗測實驗室」，預計3月提供檢測服務。去年國慶焰火晚會無人機表演疑使用中製產品，行政院指定政務委員羅秉成、吳政忠調查整起事件原委，也引發外界關注無人機資安議題。TTC去年底陸續召開說明會搜集業界意見，今年1月發布首版無人機資安保障規範，協助建立國內無人機資安檢測制度，強化無人機資安防護能力。規範內容主要分成兩大部分，一為製造商資安成熟度查驗，二為產品資安測試，包含無人機、地面控制站與無人機交通管理系統等產品。在無人機產品檢測部分，項目包含系統安全、軟體安全、通訊安全、韌體安全及晶片安全5大項目，安全等級區分為初階、中階及高階三級。TTC規劃攜手中華資安國際等民間資安廠商，共同籌組「無人機資安聯合驗測實驗室」，預計3月正式提供檢測服務。數位部官員說明，無人機主管機關為民航局，因此飛行申請計畫、飛行型態（單飛或是群飛）等還是由民航局來做細部規範，像是群飛可能涉及場域的資安驗證，確認場域有沒有其他干擾訊號、可能把資訊竊取下來等。TTC發布的規範則是把相關資安檢測制度建立起來。官員解釋，概念上可能會先有一個一般性標準，但還會針對個案做調整，公部門若有契約可能也會做進一步規範。舉例而言，飛行樣態群飛風險可能比單飛來得高，以場地或活動性質來看，可能把活動出席狀況納入風險評估。簡言之，每個活動綜合評估後，會對應到不同等級的風險，若風險愈高，資安檢測的等級也會拉高。TTC目前已經具備個案資安檢測能力，官員表示，後續細部規範出來後，因為涉及整體無人機資安管理，必定需要更多的檢測量能，因此透過TTC建立檢測制度，預計在3月中上旬正式成立聯合實驗室，跟民間廠商攜手提供檢測服務新聞來源：中央社

中華資安國際在最新公告111年行政院資安服務廠商評鑑中，再度取得「SOC服務」、「資安健診」、「滲透測試」、「弱點掃描」及「社交工程演練」五項資安服務全數「A級」之最高評價，是今年唯一榮獲此殊榮之資安公司，也是國內唯一連續四年勇奪全數Ａ級最高評價之資安服務廠商。111年資安服務廠商評鑑結果請點此。資料來源：國家資通安全研究院

中華電信統計，2022年中華電信每月平均成功攔阻逾千萬次惡意活動，其中惡意中繼站連線（CC）攻擊佔比平均高達46%，顯見駭客仍持續不斷嘗試入侵企業內部，為企業帶來越來越大的威脅與風險。因此現今，企業不分規模大小、不論行業屬性為何，多已意識到必須做好資安防禦，因而紛紛部署防火牆設備；只不過，不少企業對於防火牆的部署方式，其實存在著一些盲點。中華資安國際產品經理張維凱指出，顯而易見，多數企業看待防火牆的重點，都偏向設備本身，所以初期願意花一筆資金來購置防火牆設備，但談到防火牆裡各項功能模組，則考量授權成本不低，顯得格外糾結與掙扎。除此之外，不少企業的IT人力其實不甚充裕，也難以善盡防火牆維運工作。前述種種現象，恐衍生諸多不利影響。譬如有些企業因為想節省功能模組的授權支出，因而選擇少買或不買，導致防禦功能不完整，甚至若干企業索性屈就於低階但便宜的產品，讓防護效果和威脅情資雙雙大打折扣；又或者礙於缺乏專業人力來管控防火牆，以致在規則設置或日誌管理等方面未臻完善。換言之，不少企業基於預算、資安人力或授權金額等顧慮，選擇了自以為權宜變通的做法，反倒造成資安防護成效不如預期。張維凱說， 考量自此， 中華電信採用長期被Gartner評為次世代防火牆（NGFW）領導品牌的Palo Alto Networks技術，以此為基礎設計「HiNet先進網路防禦系統」（Advanced Networks Defense System；ANDs），讓企業能透過服務租賃方式，既省錢也省人力、省麻煩，就能享用世界一流NGFW及完整防護模組，直接在中華電信機房端阻絕駭客攻擊與病毒感染。四大核心功能，串聯成綿密縱深防禦架構ANDs擁有四大核心防護功能。首先是「IPS入侵偵測與防禦」，可即時辨識駭客手法，阻斷暴力密碼破解、掃描攻擊、緩衝區溢位、漏洞攻擊等外對內的惡意行為。其次是「隔絕網路病毒」，主要透過特徵碼比對方式，分析過濾用戶所傳輸的文件、檔案與自動執行程式碼，適時防堵最新型態的病毒、勒索軟體、木馬、蠕蟲、間諜軟體等，阻止它們侵入；值得一提，病毒特徵碼每隔5分鐘就自動更新一次，故能有效預防零時差攻擊。明顯可見，上述兩項防護功能，皆側重於外到內的防護；接下來的「阻擋惡意連線」則是從內到外的角度執行防禦，且被張維凱喻為是四大核心功能最重要的一環。他說，假使企業內部主機感染惡意程式，這個惡意程式要做的第一件事，便是向惡意中繼站（CC）進行回報，等待接收駭客傳來下一步操作指令；所幸在ANDs強力把關下，可及時阻斷這項報到程序，同時間還會向用戶端管理者通報某某主機遭駭資訊，協助用戶爭取處理時間發現及清除感染源，避免威脅持續擴大。最後一項是攔阻進階威脅（沙箱特徵碼分析），ANDs透過國內外網路及資安威脅情資雲的整合，形成不斷與時俱進的特徵碼，藉此分析與過濾企業傳輸的文件、檔案或執行程式碼，一旦察覺難以清楚識別的可疑標的，就自動上傳至沙箱進行試驗，觀測它是否正常，若最終證明其確實帶有惡意活動，就予以阻斷，不讓它流向企業內部；與此同時，也會利用每一次的新發現，轉化為威脅情資的一部份。除了四大核心功能為企業嚴格把關，ANDs還有一大特色是團隊開發ANDs專屬報表介面。許多資安人員在設備維護時，時常遇到複雜的英文介面及繁瑣的操作功能。 ANDs的中文化介面以清晰、容易操作的方式，讓資安人員在首頁即可一目瞭然掌握四大核心功能的防護摘要，並且輕鬆設定國別流量管控、上網內容過濾、黑白名單⋯ 等客製化功能。╴「HiNet 先進網路防禦系統 (ANDs) 」自線路端阻擋外對內的駭客攻擊，並阻絕內對外連線至惡意中繼站，透過四大核心防禦將攻擊拒之門外。企業分點或OT場域，因ANDs增進防護力有人好奇，中華電信自推出ANDs以來，已累積逾數千家案例，其中不乏銀行、醫院、高科技製造、政府機關等中大型用戶，按理說這些機構應該早已佈建防火牆，為何依然申租ANDs？張維凱解釋，前述中大型機構的總部，不管人力、預算都很充裕，自行建置與維運高階防火牆系統不成問題，但其遍佈各地的分支據點，某種程度上也有類似中小企業的問題，即是礙於資源不足，只能被迫採取權宜做法。也許購置中高階防火牆設備，但未購足完整功能模組；也許降格以求、部署較低階的防火牆產品，導致防護能力不盡完善，成為駭客眼中的破口，得以從分支攻進總部。更麻煩的是，礙於分支據點各自為政、採用多元防火牆品牌，往往導致集團防護架構趨於混亂，萬一哪天被駭客入侵，很難快速還原其攻擊脈絡，意即不管駭客從哪裡潛入、感染哪些主機都無法有效釐清。許多總部意識到這個危機，於是為轄下所有據點統一申裝ANDs，順勢建構一致的資安可視性；可快速簡單地重現整個足跡，儘快斬斷攻擊鏈。至於製造業OT場域，經年累月在工廠環境佈置大量主機，有的新、有的舊，但彼此需要頻繁溝通串接，以共同完成生產製造任務；久而久之，這群主機成為牽一髮動全身的命運共同體，假設任何一台主機升級更新，工廠便需執行複雜繁瑣的測試工作，以確認這台主機仍可與其餘大量主機溝通無礙。當然，任何工廠絕無可能任由經常性的更新與測試，一再打亂生產節奏、折損稼動率，因而會傾向不升級不更新，在資安方面就難免會留下安全漏洞。此時製造業者若導入ANDs，便形同在這些不易升版更新的主機外圍築起金鐘罩，在維持正常的生產線之下同時也能有效防範零日攻擊的來襲。ANDs的應用價值，藉由此例可說展露無遺。HiNet 企業防駭守門員 | 企業客服電話 : 0800-080-365