最新消息


  • 中華資安國際發現CVE弱點,知名電子郵件系統具有多項漏洞

    中華資安國際RedTeam團隊發現,國內市占率相當高的知名電子郵件系統具有權限跨越導致指令注入漏洞(CVE-2020-10511)以及SQL注入漏洞(CVE-2020-10512),影響範圍包含政府、金融與科技公司等至少約20個機構,簡述如下:CVE-2020-10511:攻擊者可在不經過任何身分認證情況下,直接利用管理者權限進行指令注入攻擊,進而取得目標主機控制權。此漏洞可歸類於OWASPTOP102017之A2-BrokenAuthentication類型中。CVE-2020-10512:攻擊者可讀出完整資料庫表單,取得其他User帳密進行登入,影響系統機密性,登入後可修改user密碼,影響系統完整性。此漏洞可歸類於OWASPTOP102017之A1-Injection類型中。開發廠商接獲通報後已配合儘速釋出相關更新,若機關或企業有使用電子郵件系統者,建議儘快聯繫廠商進行修補更新。中華資安國際建議採取以下防範措施:1.使用者:聯繫廠商盡速安裝修補更新檔。2.郵件系統開發商:在程式開發過程中應針對輸入參數做檢查。3.郵件系統開發商:建議導入安全程式開發流程(SSDLC)、事前進行安全程式碼開發教育訓練,並定期執行源碼檢測及滲透測試等安全檢測,才能有效地確保產品及用戶安全。

    更多
  • 中華資安國際榮獲BSI「資訊服務品質深耕獎」

    中華資安國際於11月26日英國標準協會所舉辦的2020BSI國際資安標準管裡年會中,獲頒「資訊服務品質深耕獎」,由中華資安國際洪進福總經理代表領獎,表揚本公司甫成立即導入ISO20000,今年更將紅隊演練服務納入驗證範圍,證明中華資安國際達到國際IT服務管理的最佳實務標準,更以嚴謹的實務作業程序提供高品質的紅隊演練服務。中華資安國際是國內唯一通過ISO20000驗證之紅隊演練(RedTeaming)服務商,代表除了領先市場的資安專業,團隊更著重於團隊的紀律與品質,整合人員(People)、流程(Process)、資訊系統(Technology),制定作業程序詳細記錄處理過程,致力於提供客戶高品質之資訊安全服務。紅隊演練是找資安專家擔任紅隊攻擊方,以駭客的觀點,針對特定的企業或組織執行全面性的情報偵蒐、尋找曝險缺口、入侵、取得關鍵資產、獲得掌控權等一系列的入侵演練,目的是為了協助企業或組織找到資安缺口、驗證企業的偵測與應變能力,藉以持續強化改善自身的資安防護能力。紅隊演練可以補足傳統滲透測試容易忽略之邊界防禦、以及人為疏失之佈署錯誤,通常會利用公開資訊、社交網路、供應鏈、暗網等蒐集情資、結合資訊安全專家之專業知識、攻防技術及駭客工具資料庫,對於雙方所約定之攻擊標的與組織,進行全面性的入侵演練。中華資安國際的資安檢測團隊,已連續六年榮獲行政院資安評鑑A級之最佳評價,成員皆擁有多年檢測經驗及OSCP、CEH、ECSA、GWAPT、GPEN、CISSP、CREST等多項國際證照,以及主機、網站、行動App、應用程式、物聯網設備等各領域0day漏洞挖掘能力,實力備受業界肯定,並已協助多家大型企業進行紅隊攻防演練。中華資安國際為中華電信子公司,團隊服務通過ISO27001與ISO20000雙驗證,並獲得BSI資安品質精銳奬、「2018資安滲透測試攻防國際邀請賽」冠軍、「2018HITCONDefense企業資安攻防大賽」冠軍及情資分享特別獎、「2019資安漏洞挖掘邀請賽」季軍、「2019RedAlert72資安攻防競賽」亞軍、中華徵信所TOP5000服務業經營績效排名第208名與「其他資訊服務業」企業排名第一名等獎項,近一年更挖掘超過29個以上的重大CVE弱點,更將營業領域從傳統的IT網路資安擴展至OT、物聯網與智慧製造等新興資安領域。

    更多
  • 中華資安國際領先全國 紅隊演練服務通過ISO 20000驗證

    中華電信子公司中華資安國際近日通過ISO20000範圍擴大及轉版稽核,並取得BSI英國標準協會正式頒發的證書,其中最大亮點就是將資安「紅隊演練」服務(RedTeamingService)納入本次驗證範圍,目前也是國內唯一通過ISO20000驗證之紅隊演練服務商,證明中華資安國際達到國際IT服務管理的最佳實務標準,也提供客戶值得信任、高品質的資訊安全服務。紅隊演練(RedTeaming)是找資安專家擔任紅隊攻擊方,以駭客的觀點,針對特定的企業或組織執行全面性的情報偵蒐、尋找曝險缺口、入侵、取得關鍵資產、獲得掌控權等一系列的入侵演練,目的是為了協助企業或組織找到資安缺口、驗證企業的偵測與應變能力,藉以持續強化改善自身的資安防護能力。紅隊演練可以補足傳統滲透測試容易忽略之邊界防禦、以及人為疏失之佈署錯誤,通常會利用公開資訊、社交網路、供應鏈、暗網等蒐集情資、結合資訊安全專家之專業知識、攻防技術及駭客工具資料庫,對於雙方所約定之攻擊標的與組織,進行全面性的入侵演練。中華資安國際洪進福總經理表示:「紅隊演練是企業或組織檢視自身資安防護做得好不好,最有效的方法和手段。但是,過去很多企業或資安負責人都會擔心執行紅隊演練的過程或找到資安缺口,如果管理不當,會為企業帶來風險。因此,紅隊演練通過ISO20000驗證,代表中華資安國際不只品牌形象值得信任,更從實務上嚴謹的制定作業程序、詳實記錄過程、完善透明的客戶溝通、諮詢客戶滿意度,以專業、紀律來提供客戶高品質的紅隊演練服務。」,中華資安國際的紅隊演練團隊已經連續六年榮獲行政院資安評鑑A級之最佳評價,成員皆擁有多年檢測經驗及OSCP、CEH、ECSA、GWAPT、GPEN、CISSP、CREST等多項國際證照,近一年內挖掘超過20項以上的CVE零日漏洞,實力備受肯定。此外,中華資安國際最近更在2020年中華徵信所的調查中,不論營收規模或是獲利規模,都是國內最領先的資安服務商,歸類於資訊服務業(代號6299),在公司成立後的第二年即晉身全國台灣大型企業排名TOP5000服務業經營績效排名第208名,更是「其他資訊服務業」企業排名第一名,在新冠肺炎疫情中逆勢成長,見證中華資安國際之經營實力。中華資安國際為中華電信子公司,團隊服務通過ISO27001與ISO20000雙驗證,並獲得BSI資安品質精銳奬、「2018資安滲透測試攻防國際邀請賽」冠軍、「2018HITCONDefense企業資安攻防大賽」冠軍及情資分享特別獎、「2019資安漏洞挖掘邀請賽」季軍、「2019RedAlert72資安攻防競賽」亞軍等獎項,近一年更挖掘超過29個以上的重大CVE弱點,更將營業領域從傳統的IT網路資安擴展至OT、物聯網與智慧製造等新興資安領域。關於中華資安國際(https://www.chtsecurity.com/)中華資安國際為中華電信集團子公司,專注於資安專業服務與相關軟硬體研發,團隊取得ISO20000及ISO27001雙證書,連年榮獲行政院資安服務廠商評鑑「A級」之特優評價,專業實力深獲肯定。中華資安國際擁有多年的資訊安全攻防實戰經驗,提供事前檢測、事中監控、事後鑑識應變與回復的服務,一站式滿足政府及企業的資安需求,已提供服務予兩百多家政府機關及大型企業以及兩萬多家中小企業。

    更多
  • 中華資安國際榮獲中華徵信所2020年其他資訊服務業第一名

    國內資訊安全領導廠商中華資安國際今(9/25)日宣布榮獲中華徵信所2020年「其他資訊服務業」企業排名第一名。中華徵信所長期記錄台灣企業之發展軌跡及成果,並根據企業經營績效進行排名,而中華資安國際作為台灣資安產業之執牛耳者,不論營收規模或是獲利規模,都是國內最領先的資安服務商,歸類於資訊服務業(代號6299),在公司成立後的第二年即晉身全國台灣大型企業排名Top5000服務業經營績效排名第208名,更是「其他資訊服務業」企業排名第一名,在新冠肺炎疫情中逆勢成長,見證中華資安國際之經營實力。(圖1、中華資安國際榮登中華徵信所2020Top5000大型企業排名其他資訊服務業第一名)目前外在環境雖有新冠肺炎疫情衝擊全球,中華資安國際不僅以領先的資安技術、嚴謹的服務態度持續協助政府、金融、醫療、高科技與資服等企業專業的資安服務,近期更擴展至OT(OperationalTechnology)關鍵基礎設施以及智慧製造等場域,協助油水電等關鍵基礎設施、運輸業、高科技智慧工廠業者進行OT資安健診與防護監控,共同致力於提升國內整體資安防護能力,因此,故能在本次中華徵信所之調查排行中脫穎而出。中華資安國際為中華電信子公司,自2018年開始營運,目前已是國內最大的專業資安服務公司,團隊服務通過ISO27001與ISO20000雙驗證,並獲得BSI資安品質精銳奬、「2018資安滲透測試攻防國際邀請賽」冠軍、「2018HITCONDefense企業資安攻防大賽」冠軍及情資分享特別獎、「2019資安漏洞挖掘邀請賽」季軍、「2019RedAlert72資安攻防競賽」亞軍等獎項,近一年更挖掘超過29個以上的重大CVE弱點,更將營業領域從傳統的IT網路資安擴展至OT、物聯網與智慧製造等新興資安領域。(圖2、中華資安國際主管帶領團隊致力於提升國內整體資安防護能力。由左至右分別為:中華資安國際副總游峯鵬、總經理洪進福、副總王文正)

    更多
  • 中華資安國際攜手奧義智慧 資安國家隊強推「AI 巡檢包」

    國內資安領導廠商中華資安國際今(10日)宣布與資安新創公司奧義智慧科技合作推出「AI巡檢包」服務,採用美國MITREATTCK公開評測最強偵測能力的奧義智慧CyCraftAI資安引擎,提供政府或企業自動化資安威脅分析、排查、抑制與快速通報,並提供淺顯易懂的資安檢查報告,由強強聯手的「資安國家隊」協助政府或企業抵禦惡意程式侵駭。臺灣中小型企業及政府機關多數未能配置足夠之資安人員,無法早期偵測未知惡意程式威脅,以致遭受惡意程式攻擊的事件頻傳。本次中華資安國際與奧義智慧科技推出的「AI巡檢包」,利用AI防駭模組自動化盤點清查單位端點設備,偵測是否遭受未知惡意程式、駭侵行為威脅,排查可疑帳號、可疑行為及高危險工具,並產生出易懂且完整的健診報告。健診報告以視覺化詳細呈現遭駭端點、案情脈絡與惡意連線軌跡等分析成果,提供客戶訂定有效根除計畫、擺脫駭客威脅與防阻勒索軟體危害。透過此方案,可比一般曠日廢時的調查更加快速、即時發現潛伏的資安威脅,徹底防堵與壓制惡意程式造成的影響。中華資安國際總經理洪進福表示「由於中華資安國際和奧義智慧是臺灣的在地團隊,我們希望能提供政府與企業由臺灣自主研發、品質更勝國外的資安解決方案,打造值得信賴的『資安國家隊』,共同守護臺灣政府與企業的資安無虞!」;奧義智慧共同創辦人吳明蔚博士則表示,「中華資安國際在資安技術、專業服務與資安事件處理的經驗十分豐富,很開心這次能與中華資安合作,除了本次的AI巡檢包外,未來兩家公司也會持續深化彼此的策略合作。」更多關於「AI巡檢包」關於中華資安國際(https://www.chtsecurity.com/)中華資安國際為中華電信集團子公司,專注於資安專業服務與相關軟硬體研發,團隊取得ISO20000及ISO27001雙證書,連年榮獲行政院資安服務廠商評鑑「A級」之特優評價,專業實力深獲肯定。中華資安國際擁有多年的資訊安全攻防實戰經驗,提供事前檢測、事中監控、事後鑑識應變與回復的服務,一站式滿足政府及企業的資安需求,已提供服務予兩百多家政府機關及大型企業以及兩萬多家中小企業。關於奧義智慧(https://cycarrier.com/)世界領先AI資安公司,以創新AI技術自動化資安防護,內建EDR、CTI、NGAV、NDR並整合建構新一代AI資安戰情中心,獲得逾五十個政府機關、警政、國防單位,以及三成金融機構、數十家關鍵領域龍頭企業的信賴,市占率國內第一。從端點到網路、從調查到阻擋、從自建到託管,CyCraftAIR涵蓋企業安全所需的一切面向,遵循F/A/S/T量化指標,提供客戶主動防禦,達到「威脅,視可而止」。

    更多
  • 專業團隊轉化為服務 持續監控異常及時應變

    自2019年資通安全管理法(簡稱資安法)上路後,明文要求政府單位與關鍵基礎設施業者必須設立資安長,使得近兩年來資安專業人力需求大幅增長。從日前震驚全台的能源領域內部身分驗證伺服器遭滲透成功,使得攻擊者得以藉由合法的政策派送勒索軟體到多台終端可發現,設立專責部門立即回應處置,才是降低損失的關鍵要務。就本土資安環境來看,中華資安國際總經理洪進福指出,法規向來是主要的驅動力,其次則是外部威脅不斷加劇,除了2018年台積電晶圓廠遭WannaCry感染引發社會關注,日前關乎基礎民生所需的中油也遭受勒索軟體感染,就連經營管理為標竿型企業的台塑集團同樣無法倖免,大眾開始意識到,惡意軟體威脅確實必須面對,特別是智慧化應用場域,高度仰賴新興資訊科技,讓企業不得不正視外部威脅潛在的風險。此外,新科技也會為資安帶來一定程度的風險,今年(2020)各家電信公司陸續開台的5G,預期將掀起物聯網等新型態應用場域蓬勃發展,初期勢必無法完善資安控管措施,畢竟新科技本就是為了全新目的所設計,難以事先兼顧所有安全性措施,除非實際部署運行後才會被攻擊者挖掘發現缺口,趁機滲透入侵控制主機。即便不是新型態應用場域,既有的資訊系統也隨時可能被攻擊者找到新漏洞。因此洪進福強調,資安/IT管理者必須意識到防禦措施得持續不斷地被強化,而非僅停留在當下的防護等級。局端防護企業上網資安勒索軟體之所以能夠滲透成功,不外乎透過釣魚郵件或對外服務被掃描出漏洞進而成功滲透到內網,駭客先行潛伏取得高權限的帳密後,以合法行為大規模擴散。對於九成以上的中小企業、新創公司而言,IT人員往往嚴重不足,平日維持網路、資訊系統正常運行,解決終端用戶工作環境的各種疑難雜症,就已經相當忙碌,根本無暇因應以不法利益為目的的外部威脅。中華資安國際協理陳怡如認為,這正是資安託管服務供應商(MSSP)可發揮之處。「中小企業很難如同政府、大型企業般設立資安團隊,更多狀況是根本沒有設立專屬IT人力,以成本結構來看確實合理,但面對勒索軟體不減反增的狀況,便須藉由MSSP協助因應。例如本就租用中華電信的電路,可直接在局端偵測進行防禦,把資安防護交給專業資安服務廠商,來因應攻擊威脅。」陳怡如說。即便中小企業願意投資部署資安技術,往往也欠缺專才維運發揮功效,針對這類型的缺口,中華電信旗下的中華資安已提供企業上網資安服務,包含部署新世代防火牆、先進網路防禦系統等設備,協助增強防護,並由中華資安來負責維運工作。中華資安的監控中心(SOC)設有專業團隊724監控,在偵測到異常行為時便會予以攔阻與發出告警通知,讓中小企業無需額外資本支出,以月費方式建立防護力。涵蓋前、中、後的資安專業服務除了結合電路的企業上網資安服務,中華資安更具優勢之處在於專業服務項目,包含事前檢測、事中監控、事後調查與應變措施。洪進福表示,「行政院資安處每年進行的資安服務廠商評鑑,類別涵蓋SOC監控、資安健診、滲透測試、弱點掃描、社交工程郵件測試,中華資安可說是國內資安服務廠商中唯一連續多年全數5項皆被評為A級的廠商。」政府制定的資安共同供應契約,過去都採最低價格標而不論能力好壞,例如執行滲透測試服務,每個網站的費用為固定,讓各單位可直接挑選下單採購。但是去年(2019)開始做了重大改變,評鑑資安服務廠商的等級,以A、B、C、D等級區分,接下來,規範政府A級機關只能選擇評鑑為A級的服務廠商,準則是服務廠商的級別不可低於單位資安責任等級。此外,中華資安亦有提供顧問服務,例如輔導ISO27001資訊安全管理系統(ISMS)認證、PKI建置。陳怡如說明,自從中華資安成立後,提供服務的同時也持續強化自有產品開發,且已經陸續開始發布,例如SecuTex全時封包側錄與網路偵測設備,以及情資分享平台、弱點管理平台、社交工程郵件平台、通訊加解密技術等,皆為中華資安自主研發。推MDR及早應變緩解風險全時封包側錄用意就如同網路環境的行車記錄器,洪進福說明,部署位置是在企業IT或關鍵基礎設施環境的閘道端,目前已經具備一定程度的智慧化,意味著無須人力時時監控而是系統自主偵測異常活動。萬一發生資安事故時,亦可成為數位鑑識的工具還原現場狀況,以便鑑識人員查看滲透軌跡,快速地釐清滲透入侵的根本原因與損害範圍。「SecuTex在當前市場上的分類屬於網路流量分析(NetworkTrafficAnalysis,NTA),目的不必然是偵測滲透入侵,過去IT人員常用的Sniffer是側錄後拆解封包,本身是設計給工程師用的工具,SecuTex則是輔助非專業資安人員分析的工具,部署之後會主動判讀正常或異常。」洪進福說。中華資安國際總經理洪進福(右)與中華資安國際協理陳怡如(左)指出,資安技術工具發展已屆成熟,如今企業更需要專業服務的協助。中華資安提供的MDR服務,攜手合作夥伴共同提供,可依據企業應用場景彈性選用最合適的技術輔助。最近爆發的重大資安事件,皆非為典型惡意程式滲透手法,例如可能是用戶帳號的弱密碼所導致,讓攻擊者得以採用正常行為進行滲透,根本無法被資安防禦措施偵測發現。另一方面,企業對外提供服務的網站應用程式被發現漏洞,攻擊者利用來當成跳板進入內網,可成功迴避防禦措施,SOC團隊監看時亦無從察覺。對此洪進福認為,惡意程式建立灘頭堡時或許難以被偵測,但是在攻擊活動到達橫向移動階段時,理應要有機制可發現,問題是,傳統SOC蒐集資料的範圍並未包含端點活動,在涵蓋範圍不夠廣泛之下,可視性始終有盲點。對此市場上興起MDR(ManagedDetectionandResponse)服務型態,「中華資安日前亦開始提供MDR服務項目,攜手端點與閘道端技術供應商例如FireEye、CarbonBlack、趨勢科技等,在端點上部署代理程式,蒐集資料拋送到大數據平台,彙整既有閘道端持續地解析封包累積的資料,如此一來,才有完整的可視性能力,再藉由機器學習演算分析輔助,來補強企業欠缺的威脅偵測與應變能力。」(新聞來源:http://www.netadmin.com.tw/netadmin/zh-tw/trend/75C842DC69354CEC9BE4F5922DAD21B8)

    更多
  • 中華資安國際牽手VMware 從端點防堵攻擊

    大數據、AI到5G等新科技推升政府、企業對資安智慧化的需求。中華資安國際總經理洪進福說,資安智慧化除了強化企業在雲端及地端的「邊界」防護安全,更需針對各「端點」進行主動性的預防、偵測,甚至回應,為此該公司與VMware及零壹科技合作,在台推廣VMwareCarbonBlack新世代端點安全平台。中華資安國際總經理洪進福。彭子豪/攝影洪進福說,VMware是公有、私有及混合雲虛擬化平台的領導者,近年推出的VMwareHorizonVDI提供企業資料不落地、遠端工作持續的解決方案,VMwareCarbonBlack則如同資安大傘,保護用戶於雲端接口、行動裝置,甚至是自動化設備的端點安全。VMwareCarbonBlack共有3種保護模式,第1.提供端點智慧白名單保護機制,能依企業資安需求做嚴格掌控;第2.可以在封閉的場域中,以預測模型分析端點數據並發現惡意行為,並阻止各種類型的攻擊發生;第3.利用雲端特性,進行自動化數據分析、威脅阻擋,可以取代傳統防毒,並增加了新世代APT端點防護功能。另外,VMwareCarbonBlack不只針對惡意軟體、檔案進行分析阻擋,也會針對一連串的可疑威脅情境,主動進行防禦,這個特性在5G帶動的新一波AIoT應用中更顯重要。以ATM櫃員機來說,過去駭客會針對ATM端點進行攻擊,讓ATM自動吐鈔,即便是將所有ATM都進行集中管理,但在資料交換的同時還是有機會漏出破口,VMwareCarbonBlack的智慧白名單與監控機制即能補起漏洞。洪進福說,VMwareCarbonBlack在國內受到政府、金融及高科技業青睞,放眼財富美國100大企業中,超過30家企業導入VMwareCarbonBlack。由於中華資安國際是中華電信集團的資安專業公司,擁有眾多網通專家與資安道德駭客,又有政府、金融、高科技與OT智慧製造等領域完整資安方案,因此獲VMware肯定,成為VMwareCarbonBlack在台合作夥伴。鑑於5G將翻轉產業各項智慧應用,中華資安國際將與VMware更緊密合作,讓企業投入數位轉型時遠離駭客威脅與資安風險。(新聞來源:https://money.udn.com/money/story/5640/4686109)

    更多
  • 中華資安國際發現CVE弱點,日本知名電子郵件系統具有跨網站指令碼漏洞

    中華資安國際RedTeam團隊發現,日本知名電子郵件系統具有跨網站指令碼漏洞(CVE-2020-11734),影響範圍包含政府、教育與科技公司等至少約10個機構。【影響範圍】CyberMail5或之後版本【細節描述】CVE-2020-11734:攻擊者可在不經過任何身分認證情況下,進行跨網站腳本攻擊,郵件系統多個版本都存在此漏洞,弱點發生頁面為/cgi-bin/go,此漏洞可歸類於OWASPTOP102017之A7-Cross-SiteScripting(XSS)類型中。中華資安國際建議採取以下防範措施:1.使用者:聯繫廠商盡速安裝修補更新檔。2.郵件系統開發商:密碼保存應使用加鹽雜湊(Salt),避免明文儲存。3.郵件系統開發商:在程式開發過程中應針對輸入參數做檢查。4.郵件系統開發商:建議導入安全程式開發流程(SSDLC)、事前進行安全程式碼開發教育訓練,並定期執行源碼檢測及滲透測試等安全檢測,才能有效地確保產品及用戶安全。【參考資訊】NIST(CVE-2020-11734)(2020/04/13)

    更多
  • 中華資安國際發現CVE弱點,國內某教育訓練管理系統具有多項漏洞

    系統具有多項漏洞(CVE-2020-10508、CVE-2020-10509、CVE-2020-10510),指出此系統具有敏感資訊洩漏、跨網站腳本攻擊(Cross-SiteScripting)與權限跨越漏洞,影響範圍包含國內多家企業。【風險等級】高度威脅【影響範圍】教育訓練管理系統8、9版【細節描述】CVE-2020-10508:系統資訊未恰當保護,攻擊者可以輸入指定的URL,取得此系統中的資訊,此漏洞可歸類於OWASPTOP102017之A3-SensitiveDataExposure類型中。CVE-2020-10509:教育訓練管理系統存在跨站腳本攻擊的漏洞,攻擊者可以利用此漏洞執行惡意腳本,此漏洞可歸類於OWASPTOP102017之A7-Cross-SiteScripting(XSS)類型中。CVE-2020-10510:教育訓練管理系統未恰當設定存取控制,攻擊者登入系統後,可透過特定網址執行未經授權的功能,此漏洞可歸類於OWASPTOP102017之A5BrokenAccessControl類型中。開發廠商接獲通報後已配合儘速釋出相關更新,若機關或企業有使用此教育訓練管理系統,建議儘快聯繫廠商進行修補更新。中華資安國際建議採取以下防範措施:使用者:聯繫廠商盡速安裝修補更新檔。系統開發商:在程式開發過程中應針對輸入參數做檢查。系統開發商:建議導入安全程式開發流程(SSDLC)、事前進行安全程式碼開發教育訓練,並定期執行源碼檢測及滲透測試等安全檢測,才能有效地確保產品及用戶安全。【參考資訊】NIST(CVE-2020-10508)(2020/02/17)NIST(CVE-2020-10509)(2020/02/17)NIST(CVE-2020-10510)(2020/02/17)TWCERT/CC(TVN-201910008)(2020/01/31)TWCERT/CC(TVN-201910010)(2020/01/31)TWCERT/CC(TVN-201910011)(2020/01/31)

    更多
  • 中華資安國際數位鑑識暨資安檢測中心發現知名 DVR 設備存在命令注入等弱點

    中華資安國際數位鑑識暨資安檢測中心發現國內、國際知名品牌的DVR影像錄影主機具有任意讀取、寫入的漏洞(CVE-2020-10513)、命令注入漏洞(CVE-2020-10514),影響範圍至少國內數十萬台設備。【風險等級】高風險【影響範圍】2020年2月(含)之前的韌體版本【細節描述】CVE-2020-10513:攻擊者在具有設備管理密碼的情況下(我們發現多數設備可能未更改密碼或是使用了經銷商更改的一組固定密碼),攻擊者可以任意讀取、修改設備上的檔案,輕則造成設備阻斷服務(DoS),嚴重甚至能夠透過系統設定執行惡意命令。CVE-2020-10514:攻擊者可以透過修改設備上服務提供的API參數注入任意的命令,攻擊者能夠在受害設備上執行任意命令、程式。開發廠商接獲通報號已經配合盡速釋出相關更新,若使用者、機關或企業有使用該廠牌的設備,建議盡速更新韌體至最新版本。【建議】中華資安國際建議採取以下防範措施:使用者:聯絡經銷商或是自行更新韌體到最新版本。設備開發商:建議導入安全程式開發流程(SSDLC)、事前進行安全程式碼開發教育訓練,並定期執行源碼檢測及滲透測試等安全檢測,才能有效地確保產品及用戶安全。【參考資料】NIST:https://cve.mitre.org/cgi-bin/cvename.cgi?name=2020-10513NIST:https://cve.mitre.org/cgi-bin/cvename.cgi?name=2020-10514TWCERT:https://www.twcert.org.tw/tw/cp-132-3533-10afe-1.htmlTWCERT:https://www.twcert.org.tw/tw/cp-132-3534-fc7f5-1.html

    更多

金融機構資安強化

金融機構安全評估辦法、ATM攻防、DDoS演練、因應GDPR法規的資安強化建議。

企業資安強化

大型企業:閘道端防護、端點防護、資料安全、定期資安檢測、導入ISMS資安管理制度、與ISP合作形成縱深防禦網。
中小型企業及工作室:防毒防駭軟體、企業上網資安防護。

政府機關資安強化

資安管理法規範、前瞻計畫資安強化措施(區域聯防、SOC、ISAC、基層機關資安強化),資安服務供應契約下單。