訊息專區

歡迎報名參加！

感謝參與學員熱情給予用心準備Hands-on的講師及助教群回饋很開心大家有所收穫！也感謝主辦單位iThome每年特別邀約期待來年再相會謝謝學員們的回饋：講師準備的教材，整體流程很容易跟上，操作⽅式、難度及知識性都相當⾜夠，是很難得的體驗。也感謝中華資安提供的基礎設施服務，讓整個教學能如此流暢。拜託講師多開幾場！很好理解流程進度也很棒很棒！！感謝講師跟助教幫我修bug QQ新⼿向的教學⾮常好，真的有學習到東西，學完發現可以回家調整監控規則，真的棒!感謝詳細的實作課程，學習到很多。助教群太棒了,也展現了公司實⼒有機會分享如何製作這套產品的經驗!!⼀定要持續舉辦你很強，去幫助別人吧。實戰ATT CK 矩陣......點我顯⽰更多(講師：2022年國際技能競賽摘銀國手黃聖筌)900英呎，看藍隊如何善⽤⼯具在資安事件中安全降落(講師：研發部經理邱品仁)

中華資安國際劉叡經理於CIO IT經理人舉辦之第十屆製造業CIO論壇台北場分享智慧製造資安威脅趨勢與攻防演練。針對SEMI E187四大防護要求(作業系統、網路、端點之安全、資安監測)，中華資安國際團隊能提供資安事件應變(IR)、OT顧問輔導、應變能力建置、OT健診、OT IDS/IPS、OT SOC等服務。透過全方位的ICS資安強化策略，輔導製造業制度導入、教育訓練，協助提升資產及場域威脅可視性，以及資安事件應變準備度，並給予風險評估與改善措施建議。

隨著疫情解封國際商業媒合行銷實體活動再度回到疫情前盛況，數位發展部積極助台灣資安業者投入國際資安市場並協助台灣資安業者參與國際資安商業媒合活動，SECPAAS資安整合服務平台之資安計畫團隊6月6日於日本東京JP tower舉行【Taiwan Security Solution Day In Tokyo】行銷活動，率領臺灣資安業者組團以Only Taiwan概念與展會形式對日本企業需求端進行行銷。

中華資安國際5/30(二)-6/2(五)於COMPUTEX台北國際電腦展展出甫獲Best Choice Award類別獎之SecuTex先進資安威脅防禦系統、CypherCom端對端語音加密通訊系統，以及資安檢測服務。

中華資安國際數位鑑識暨資安檢測中心發現國際知名寵物攝影機之弱點(CVE-2023-28704)，指出此設備因未對特殊參數做過濾，攻擊者不須權限，即可在藍芽網路環境下利用此漏洞進行Command Injection攻擊。【風險等級】高度威脅【影響範圍】狗狗攝影機韌體版本：542套件版本：237.144【細節描述】CVE-2023-28704：狗狗攝影機之設備日誌紀錄功能未對特殊參數作過濾，導致攻擊者不須權限，即可在藍芽網路環境下利用此漏洞進行Command Injection攻擊，執行任意系統指令，進而對系統進行控制，並中斷服務。開發廠商接獲通報後已配合儘速釋出相關更新，若機關或企業有使用此設備，建議儘快聯繫廠商進行修補更新。中華資安國際建議採取以下防範措施：1.使用者：隨時保持產品更新於最新狀態。2.政府機關、企業：盡速聯絡軟體開發商修補，並通知使用者更新韌體。3.韌體開發商：建議導入安全程式開發流程(SSDLC)、事前進行安全程式碼開發教育訓練，並定期執行源碼檢測及滲透測試等安全檢測，才能有效地確保產品及用戶安全。【參考資訊】https://www.twcert.org.tw/tw/cp-132-7153-68f52-1.html

中華資安國際宣布其自主研發產品SecuTex 先進資安威脅防禦系統榮獲COMPUTEX 2023之Best Choice Award，SecuTex系列產品包含網路防護NP (Network Protection)與端點偵測ED (Endpoint Detection)兩大部分；其中SecuTex NP網路防護就像是網路行車紀錄器一樣，可以全時側錄網路封包、偵測入侵活動、鑑識分析事件，還能結合沙箱分析與專家解析，是網路資安管理、重現事件現場的資安利器；SecuTex ED端點偵測則是端點電腦的健診檢測軟體，納管GCB政府組態基準、檢視軟體更新、偵測惡意活動等，全盤掌握企業端點的資安合規良莠與威脅風險程度，是企業資安管理的利器。本次評審根據產品技術、創新以及市場潛力來評選，SecuTex系列產品是中華資安國際的專家團隊在處理大量資安攻擊防禦與事件調查後，開發出來的資安偵測防護解決方案，能夠脫穎而出獲獎主因包括SecuTex NP支援1Gbps以上全速側錄不掉封包，擁有豐富的威脅情資來支援黑名單與入侵偵測，提供300種以上檢索條件，完整保存網路封包、重現事件現場與入侵根因；SecuTex ED則著重在持續改善端點設備之合規與曝險情況(Device Posture)，能迅速檢測端點設備合規程度，並找出可疑之檔案、程序、網路連線等，以資安治理的角度，提高端點可視性與掌握資安風險。中華資安國際總經理洪進福表示，今年二度獲得Computex獎項意義非凡，去年榮獲首屆「COMPUTEX Best Choice Award資安服務獎」，更獲總統接見，是對中華資安國際在資安服務專業的肯定；今年自主資安產品獲獎，則是對中華資安國際從服務公司擴展為資安產品公司的重大鼓舞。目前SecuTex產品已經在政府、金融、關鍵基礎設施、教育等重要場域取得銷售實績，並已成功銷售至海外，預期今年也會有更強的成長力道。中華資安國際為國內最大資安專業服務商，擁有多年資安攻防實戰經驗，團隊取得ISO 27001、ISO 27701、ISO 20000、與ISO 17025、IEC 62443等認證，更是國內唯一連續4年獲得行政院資安服務廠商評鑑五項資安服務全數「A級」之優質資安服務公司，提供資安檢測、資安防護監控、事件應變鑑識、自主研發之資安產品等，協助企業進行資安防護。

自2010年由John Kindervag提出Zero Trust Model，提倡一種安全的模型、策略或模式，後來Google在2014年也發表Beyond Corp的零信任概念及實作，Google、Netflix、微軟等科技大廠紛紛導入，美國國家標準與技術研究院（National Institute of Standards and Technology）也在2020年發表NIST SP800-207標準，作為實踐的參考，更在2023年發表雲原生服務如何實作零信任。不只民間業者，美國政府也大力推動，例如白宮在2021年發表零信任戰略，推廣聯邦政府採用零信任架構，美國國防部則是提出零信任能力藍圖。臺灣方面，從總統府、行政院、數位部到金管會也開始動起來，政府計畫在T-Road全面導入零信任管理制度，並在2年內輔導A級機關導入零信任，之後再擴大到B級機關及地方政府。去年數位部成立，以2年內針對資通安全等級A級機關輔導優先導入零信任網路架構為目標，為鼓勵擴大參用，資安院則進一步提出身分鑑別、設備鑑別、信任推斷三階段導入。金管會也在2022年底推動金融資安行動方案2.0，鼓勵金融產業採用零信任架構，來強化連線驗證及授權管控。零信任受到各界關注，但企業要導入應從何處下手，中華資安國際經理邱品仁在今年臺灣資安大會說明零信任概念及實作，供想要導入零信任的企業參考。首先，他以NIST SP800-207提出的零信任架構（Zero Trust Architecture）作說明，零信任的核心是將企業內部資料、服務視為資源。過去作法是，登入VPN後等同內網，預設可使用企業內部資源的觀念，而在零信任架構中，在要求存取的裝置、企業資源之間，應設置政策落實的控管節點（Policy Decision/Enforcement Point, PDP/PEP），以盡可能完整、精細的落實存取控管。NIST提出零信任的邏輯架構，PDP/PEP扮演關鍵的存取控管元件。例如使用帳號密碼登入企業電子郵件，傳統上，不論是在職或離職員工、約聘員工或合作廠商，任何人只要知道帳號密碼就能登入，為等同原則，零信任架構則對身分定義要求更完整的控制，對登入請求區分身分信任區間、信任程度有多少，像是工讀生能不能存取ERP或研發資料庫，在零信任架構中需要進一步思考、落實控管，不只是身分識別，請求存取的連線裝置也應被納管，連線裝置是否有足夠的安全保護完整性也需要納入考量。另外，傳統在VPN連線登入後，在隱性信任區內預設可連線存取企業內部資源，但在零信任架構則要儘可能縮小隱性信任區（Implicit trust zone），換言之，更嚴格的控制存取企業資源。組織導入零信任架構的7項原則，幾項重點包括，企業內部資料與服務均視為資源，需要進一步落實控管的標的。其次，不論網路所在位置，都要確保通訊是安全的，不只是授權，包括網路傳輸的安全性，連線需以加密進行傳輸。還有，企業資源存取的授權應以單次請求單次授權為主。企業也應採取動態政策（Dynamic Policy）控管資源的存取，動態政策根據終端用戶的身分、應用及服務、資產狀態，包含行為或環境的改變而動態調整。邱品仁指出，企業必需清楚員工或訪客使用什麼裝置，是企業納管的裝置或是個人的裝置，定義對應的管理監控機制，企業資源的授權存取也要呼應動態政策，應該有一套信任歸納演算法，NIST SP800-207中定義信任歸納演算法應該納入哪些資訊、如何演算，要強制在資源存取授權之前執行。企業應該儘量蒐集資訊，包含身分、登入後的活動，持續性的驗證行為是否有異常，例如發現異常存取大量的資料，應該撤除授權、發出告警。6個假設前提零信任落實到網路管理有6項假設前提。邱品仁指出，首先企業要假設網路內任何地方都是有風險的，要假設已有攻擊者潛伏在企業網路內，這意謂著，所有連線要通過認證，以及加密傳輸。以Netflix為例，不論員工是否在辦公室，假設員工是在星巴克上班，以此來建構他們的零信任防護策略。其次是，包括員工裝置、員工BYOD裝置、合作夥伴、承包商、訪客使用的裝置，企業應該都要有對應管控方式。而當裝置要存取企業資源之前，也需要評估這些裝置的安全狀態（Security posture）。邱品仁指出，當員工在外面的星巴克上班，透過網際網路連線時，除了提供DNS解析等基本網路能力，還需要通過零信任控管機制，管理員工在外存取企業資源的授權。在零信任的架構下，需假設遠端存取企業資源，即使是來自本地端網路的存取也有風險，可能遭竊聽或是中間人攻擊，所有存取的需求都應該被認證、授權確認，以確保通訊的安全及完整。最後，考量到存取裝置移動的可能性，例如出差或旅行，需維持持續的安全政策及確保裝置的安全狀態。儘管NIST SP800-207描繪出理想中零信任的架構設計，邱品仁認為，企業不需要因為內部現況和NIST的架構設計不同，急於找廠商規畫導入，企業可以檢視所使用嚴格遠端存取機制，對照是否與零信任框架、精神相符合。「企業很可能已做到零信任的6成或7成，只是企業自己並不知道」。零信任架構的10項網路需求NIST SP800-207也列出零信任架構的10個基礎網路需求，例如對於企業的資產提供基礎的網路連線，例如LAN、DNS等；應該能區分裝置的安全狀態，是屬於企業的資產或是應該被納管的員工資產，給予不同的存取策略及授權；企業要能掌握所有網路的流量，同時對存取行為保持可視性。為了加強對企業資源的保護，零信任架構也要求資源不應在沒有PEP（Policy Enforcement Point）存取閘道的存取控管下提供存取。邱品仁指出，部分的企業可能會擔心內部沒有PEP政策執行節點，實務上每家企業做法不同，他建議可對照現有存取管控做法，有些企業是以VPN作為PEP。10項需求中，其他還包括Data Plane和Control Plane要落實邏輯上的區分，必需確保企業的資產可以連到PEP；在所有流程中，只有PEP可以存取、觸碰等等。在零信任架構中，PEP扮演使用者或設備來存取企業資源時的閘道控管角色，而PEP負責政策執行，其中的決策引擎仰賴信任演算法。邱品仁表示，所有的資產裝置清冊、政策管理等等，都應該被納入信任演算法之中，和政策關聯後再落實執行，「每一次存取請求都要被妥善檢查，確保安全性比以往只依靠帳號密碼或2FA驗證要來得高很多」。大廠怎麼做假設企業希望一個應用系統只提供財務部門存取，在妥善控管的裝置上存取，地理位置上限制只有臺灣地區能存取，要有足夠強度的認證機制及加密傳輸，應該如何做？邱品仁以Google的BeyondCorp說明零信任概念及基礎實作，在BeyondCorp的元件及存取流程示意圖Access Control Engine，相當於NISP SP800-207的PEP政策執行節點的PDP決策引擎，透過信任演算法，持續從各管道取得資料，包括安全識別及驗證裝置的Device Inventory Database、端點防護資料等等，將Access Control Engine引入至Access Proxy，作為存取放行與否決策的參考，員工不論在內部或是外部，透過SSO單一簽入或內網透過RADIUS進行網路存取的資訊派發。在BeyondCorp有幾項關鍵的基礎原則與實作，首先是對存取裝置進行識別與驗證，建立Device Inventory Database來納管裝置及裝置的狀態。其次是對人的識別及驗證，包括建立使用者（User）與群組（Group）資料庫，並整合SSO單一簽入系統，邱品仁指出，如同NIST要求企業盡量將身分識別系統集中作有效的管控，而非讓不同的團隊各自有自己的身分識別系統，否則將影響零信任策略執行的完整性。另外，在BeyondCorp去除了預設信任特定網路的原則，不再採用邊界的概念，預設將所有人放在沒有特權的網路（Unprivileged Network），建立基礎低權限存取網路，透過Access Porxy存取企業服務。為了方便從外部存取，更將企業服務註冊到外部的Public DNS Entry，使用者只要連到對應網址，就會被導入Access Proxy進行SSO，通過驗證後才放行。Google建立基於Inventory的存取控管機制，基於對人與設備，執行動態政策（Dynamic Policy）及落實執行。Netflix在2018年分享他們的作法，稱為LISA原則，邱品仁表示，其主要精神包括信任身分及健康度，並且去除原本對辦公網路（Office Network）的預設信任，裝置之間彼此隔離，禁止裝置間的溝通，他們假設使用者在咖啡店存取網路，當辦公室有一臺裝置被入侵，雖然可以存取Internet，但裝置彼此之間隔離，當被入侵的裝置要存取AWS的企業資源時，就會受到管控。在LISA網路架構下，使用者通過Switch Private VLANs，經由Firewall ACLs存取控管，從LISA網路欲連至AWS或資料中心，需進一步通過VPN檢查裝置健康狀態，再進行身分及多因子驗證、進行流量側錄後，才允許裝置存取企業的資源。網路存取落實嚴格控管，盡量減少控管例外，對於少數的例外情形，基於安全僅開放有限存取。另一家科技大廠微軟在落實零信任提出4種情境，首先，應用系統及服務有能力作多因子驗證、檢查裝置安全狀態，其次是員工可以註冊自己的裝置接受納管，確保裝置安全裝置，可獲得的對應資源存取權限，第3是即使員工或訪客使用未納管裝置仍可存取企業資源，但要定立存取控管機制，第4是存取權限最小化，甚至精確到特定功能。當使用者透過裝置存取時，需通過MFA、所在位置、使用何種裝置、存取何種資源、是否有風險、例外規則。微軟將內部員工經常使用的資源，例如Microsoft 365導入零信任，並延伸到合作夥伴及廠商。針對存取公司資源的裝置，不論是公司或是個人使用的裝置，都要由微軟的裝置管理系統納管。企業導入零信任架構，可參考NIST SP800-207對遷移ZTA架構的建議，以及CISA提出的零信任成熟模型，其中CISA對資料、裝置、身分、網路、應用服務及工作負責，分別定義4種階段的成熟度，讓企業自行評估現況，逐步推動零信任成熟度。此外，美國國防部（DoD）也提出自己的零信任策略，同時提出DoD如何從現有的IT架構，慢慢引導往零信任目標發展的3個行動方案。邱品仁認為，企業導入零信任可參考相關的標準及框架，但導入零信任並非毀減性的IT作法，而應該循序漸進的引導。「零信任是資安的策略或原則，並非產品」，邱品仁指出，企業可以參考零信任架構ZTA，但不能只是依據架構的項目，一一比對自家作法列出還沒做的事，而忽略了ZTA是一套標準的框架及架構，企業應該辨識出自己和這個架構的落差來補強。當企業要導入零信任，3到6個月內可先選出需要先應用的關鍵服務及區域、使用情境，對照零信任架構，從資產等級、風險等級、必要性，列出引導零信任的順序，確認現況和目標的落差，爭取預算強化。在6到12個月進入POC，包括強化現有管控機制，或是建立Greenfield或Brownfield區遷移驗證，測試是否影響到正常營運，網路架構進行調整，南北向及東西向的網路架構隔離及防護，強化身分、存取控管機制，建立集中統一的管理機制。特別是，企業對裝置的納管，應列入資產管理作業流程、風險管理評鑑流程，最後到授權存取原則。中華資安國際經理邱品仁在今年臺灣資安大會中分享零信任概念及實作。新聞來源：iThome更多內容請見：https://www.ithome.com.tw/news/157027

3C的普及讓孩子在學習工具上更加豐富，卻帶來數位教養新挑戰，其中3C產品的使用界線是許多爸媽的困擾。對於這群網路原生世代的孩子，小兒科醫師黃瑽寧認為一味地禁止使用，是不可行的！他以自身經驗分享在數位教養時代，如何化弊為利，利用3C正向育兒！「全家人一起吃飯，爸爸玩手遊、媽媽回LINE、孩子盯著平板裡的卡通，不發一語」這樣的日常是否很熟悉？對許多父母而言，3C育兒儼然成為「制伏」孩子的唯一辦法。如果禁止孩子使用，孩子就會開始哭鬧，甚至無法專注在閱讀等其他靜態活動，除了讓家長煩心不已外，還伴隨著網路安全、有害網站及危及視力等問題。3C常成為親子衝突導火線？黃瑽寧：善用工具化弊為利別以3C做情緒安撫劑，制定明確使用規則對此，小兒科醫師黃瑽寧以美國密西根大學（University of Michigan）醫學院近期發表在《美國醫學會：兒科》（JAMA Pediatrics）期刊上的研究指出「頻繁使用智慧手機或平板電腦等設備來安撫3到5歲的兒童，與孩子情緒失調的狀況增加有關」。黃醫師進一步說明，「用3C產品來安撫幼童看似是一種無害的臨時工具，但如果它成為常態教養方式，將會埋下孩子情緒失調的惡性循環種子，特別是在兒童早期成長階段。3C產品會取代培養獨立自主和自我調節能力的機會，一旦孩子出現情緒問題，就需要用更多的3C去安撫他。」而黃醫師也分享了自己的做法，像是把3C使用空間全部移到客廳。「我和家人有個約定，只要在客廳以外的地方看到3C，就會被沒收一段期間，這樣做的好處是避免睡前滑手機，重點則是讓孩子在公共空間使用網路，並且全家人一起遵守。」除此之外，黃醫師也提醒「能用大銀幕，就不要用小手機」，儘管許多家長會有一些不得不給孩子用手機的理由，像是追蹤定位、緊急連絡等，但其實還是有很多方式像是手錶等可取代，能夠不把這些需求縮減在小螢幕裡面就盡量避免。從視力的角度來看更是如此，建議父母要與孩子一起遵循「眼睛健康法則20-20-20」。所謂的「20-20-20護眼法則」是指：在看近（看書／做功課／使用手機／Ipad/電腦）時，每隔20分鐘休息20秒，期間望向20英尺（約6公尺）外的景物，讓眼睛得到適當放鬆。善用網路管理工具、減少親子摩擦，全面守護上網安全最後則是要遵守網站年齡限制，不提前替孩子申請帳號，黃醫師認為「社群網站有帳號年齡規範，就無需替孩子申請虛擬帳號，減少孩子接觸有害網站非常重要！」除此之外，也需要善用網路管理工具，像是中華電信推出「色情守門員」及「上網時間管理」產品服務及「中華網安助手APP」，都是能協助父母篩選管理的好助手！笑言自己是未雨綢繆的黃醫師，在中華電信推出第一代「色情守門員」時就已使用，隨著技術演進，「色情守門員」的功能也持續優化，「除了攔阻色情、暴力、毒品等六大類不良網站資訊基本把關之外，最常使用的是阻擋影音串流及社群媒體。」比方說當小孩在興頭上，上網看影片停不下來，「色情守門員就能發揮功能，先跟孩子預告最後五分鐘，然後直接一鍵關掉影音串流，且可以不影響其他網路，大人小孩都能繼續上網做功課，免去過往大人小孩對於使用時間討價還價的爭執情況。」同時，他也稱許色情守門員的持續優化，「過往這些設定都只能在同一個網域進行，現在則是遠端也能操作，透過中華網安助手APP，即便我人在外面，孩子也可傳簡訊問我能否開放Youtube時間，十分方便。」至於一般家長擔心孩子使用過度、網路成癮，也能透過上網時間管理功能，「像是我有朋友的孩子半夜會爬起來打電動，搞到睡眠不足，這種困境下，上網時間管理就蠻有用處的。」黃醫師說。另外，中華電信健康上網方案還有提醒用戶留意詐騙訊息、提供影音串流、社群媒體、購物網站等過濾類別，方便客戶管理，以更全面的功能守護孩子的上網安全。要讓親子相處比3C更有趣「3C或許只是孩子的舒壓方式之一，父母要做的不是完全阻絕，而是要讓孩子有更多元的紓壓管道，比如說運動、聽音樂、閱讀、烹飪、烘培等等。」黃醫師說。網路安全議題無所不在，除了要善用現代科技與軟體來進行把關外，網路安全還有一個死角，就是孩子在網路上闖禍不敢跟爸媽講，所以平常就要讓自己與孩子無話不談，至少在他們遇到網路詐騙時，可以及早求救。」黃醫師強調，正因3C產品在現代人的生活分不開，管控時間與內容固然重要，但更重要的是，讓家人的相處比3C更有趣，更歡樂，孩子就不會沈迷3C！更多內容請見：https://www.parenting.com.tw/article/5094921

很榮幸中華資安國際可以連續三年贊助GiCS尋找資安女婕思 活動，看到越來越多優秀女力加入資安領域！活力滿滿，好事成三！