訊息專區

邀請您參加2022臺灣資安大會，搶先了解中華資安國際新世代SOC+MDR監控、SecuTex閘道與端點方案、CypherCom端對端加密通訊系統，企業現場註冊，還有機會獲得免費企業資安曝險報告，資安大會限定，名額有限，額滿截止，敬請把握機會。時間：2022年9月20-22日地點：南港展覽二館 (台北市經貿二路2號)攤位：臺灣資安館 4F T11/T12攤位議程：【Red Team論壇】網域之刃9/22(四)，15:45 - 16:15，七樓701F會議室講者：資深顧問 王思翰【CyberLAB】Hack x Forensics 通靈迴戰9/21(三)，12:30-14:30 14:45-16:45 二場，四樓4D會議室講師：馬洪雯提供Hands-on現場實作【CyberLAB】保安！網站是可以讓人家駭了又駭的嗎？9/22(四)，9:30-11:30 11:45-13:45 二場，七樓702C會議室講師：王凱慶提供Hands-on現場實作另外於超級品牌區L06攤位，由多位資安專家於整點開講，進行紅隊演練案例分享、DDoS防護、HiNet WAF網站應用防火牆、資安健診、OT資安等案例分享。中華資安國際敬邀您蒞臨指教。

9/14-9/16 SEMICON Taiwan 國際半導體展，歡迎蒞臨中華資安國際攤位，南港展覽館一館1樓，I3321攤位。中華資安國際OT資安服務：https://www.chtsecurity.com/service/m112

由中華民國資訊軟體協會主辦的「2022創新資訊應用展示暨研討會」，預計在09月30日於高雄國際會議中心、10月14日於台中集思文心會議中心以及10月21日於台北富邦國際會議中心登場。參展廠商中華資安國際股份有限公司(下簡稱中華資安國際) 將於高雄場展示「SOC資安委外監控服務」等相關資安產品，讓現場政府機關採購、資訊相關人員對中華資安國際產品與服務項目，有更多的了解。近年來全球資安威脅延燒，對國家安全及社會經濟活動皆造成重大影響，台灣不僅將資安升級至國安等級，產業界亦致力於強化整體資安防護能量，全力提升資安產品及服務產業的發展。為協助我國資安產業開拓全球商機，台北市電腦公會特於COMPUTEX TAIPEI台北國際電腦展之官方獎項Best Choice Award (以下簡稱BC Award)中，針對資安類別規劃獨立評選機制(以下簡稱BC資安獎)，COMPUTEX TAIPEI是全球第二大電腦展，希能藉由此平台行銷台灣優質資安產品及服務。BC資安獎今年首屆開辦，資安廠商參與相當踴躍，而中華資安國際之「SOC資安委外監控服務」，在眾多參選案件中脫穎而出，獲選本年度BC資安獎之「資安服務獎」。為獲取龐大經濟利益，面對企業積極強化資安防護力，駭客組織亦透過改變攻擊手法與策略，以便達到入侵企業內網的目的。根據中華資安國際的2021年資安事件處理統計分析資料顯示，目前最常見攻擊手法是攻擊對外服務網站、帳號被盜用、社交工程等三類。在企業資安人才不足的狀況之下，則需要仰賴資安服務業者的SOC服務，而獲得BC資安服務獎的中華資安國際SOC 資安委外監控服務，則是最受到台灣政府機關、企業肯定的服務。中華資安國際總經理洪進福說，有別於其他業者，我們推出的SOC 資安委外監控服務，是將SOC與MDR結合的創新技術，可提高SOC監控的可視性與精準度。藉由導入巨量日誌回朔分析技術，能協助企業快速分析過去是否有駭客入侵的軌跡，而具有自動化應變的SOAR技術，則能隨時發現異常活動，並依照預先制定劇本緊急應變。過往，當企業遭遇駭客攻擊時，資安團隊從發現攻擊、現場取證、資料分析、找出駭客攻擊方式並進行應變，大概都需要數天的時間才能完成。但中華資安國際的SOC資安委外監控與應變服務，曾在3小時內完成客戶網站被上傳木馬程式的偵測告警、事件分析、找出入侵管道、完成初步應變，大幅提升資安事件處理的時效，使客戶獲得最佳的資安應變能力。洪進福指出，對資安人力不足的企業用戶而言，引進中華資安國際的SOC資安監控與應變服務之後，可獲得7x24資安守護，讓資安事件通報與後續回應作業能無縫接軌，將駭客入侵的衝擊降到最低。由於我們已預先在通報事件單管理平台中，設計一鍵刪除惡意程式，及一鍵隔離受駭主機的功能，如此一來SOC一線人員和客戶都能在平台上，迅速執行回應動作來避免受駭衝擊擴大，更大幅簡化所有流程，讓衝擊最低，反應時間最快，保護企業商譽與重要資產。「2022創新資訊應用展示暨研討會」詳細資訊：https://www.cisanet.org.tw/Course/Detail/2883新聞來源：中央社中華資安國際SOC監控服務：https://www.chtsecurity.com/service/m302

感謝友商 TXOne Networks邀請，中華資安國際8/24(三)-8/27(六)在 台北國際自動化大展 友商攤位展出 OT SOC監控服務。TXOne攤位展出從制度、輔導、工控場域專用防護產品、到 7x24 監控的完整 OT 資安 Eco-system。中華資安國際OT資安服務：https://www.chtsecurity.com/service/m112

8/19(五)-8/20(六) HITCON PEACE 2022圓滿落幕，感謝大家熱情參與 也恭喜得獎者們！本次NutLottery、NutCoin尚未悟出其中奧秘、挑戰成功的們也別氣餒，我們9/20(二)-9/22(四)臺灣資安大會再接再厲！！

以往聽到的資安事件通常都發生在國外，然而這些事件在台灣日趨頻繁地發生。在許多的政策推動及疫情的爆發下，使企業加快數位轉型的同時，也必須面對資安防護的議題。因此，定期的資安檢測是不容小覷的環節，那麼定期做資安檢測有什麼優點？及早發現未知的漏洞及潛在的資安風險提升產品競爭力了解問題的根因強化員工的資安意識強化資安的防護力，不僅成為抵禦營運風險的盾牌，也是爭取客戶信任的最佳利器。中華資安國際資安健診服務：https://www.chtsecurity.com/service/m104採訪全文請見經貿透視雙周刊https://www.trademag.org.tw/page/itemsd/?id=7864635no=21https://www.trademag.org.tw/page/itemsd/?id=7864636no=21

中華資安國際Red Team團隊發現，國內某視訊系統具有漏洞(CVE-2021-32536)，包括XSS，影響範圍包含國內部分政府機關以及企業機構。【風險等級】中度威脅【影響範圍】MCU System v5.5【細節描述】CVE-2021-32536：在MCUsystem 5.5中發現反射型跨站腳本漏洞（XSS），透過HTTP-GET即可注入任意的web scripts。開發廠商接獲通報後已配合儘速釋出相關更新，若機關或企業有使用此校務資訊系統，建議儘快聯繫廠商進行修補更新。中華資安國際建議採取以下防範措施：使用者：聯繫廠商盡速安裝修補更新檔。系統開發商：在程式開發過程中應針對輸入參數做檢查。系統開發商：建議導入安全程式開發流程（SSDLC）、事前進行安全程式碼開發教育訓練，並定期執行源碼檢測及滲透測試等安全檢測，才能有效地確保產品及用戶安全。【參考資訊】NIST(CVE-2021-32536)

中華資安國際Red Team團隊發現，國內市占率相當高的知名保全門禁與差勤系統具有Use of Hard-coded Credentials (CVE-2021-35961)以及Path Traversal漏洞(CVE-2021-35962)，簡述如下：CVE-2021-35961：攻擊者可以透過預設帳號、密碼進入系統，取得最高權限。此漏洞可歸類於OWASP TOP 10 2017之A6 Security Misconfiguration類型中。CVE-2021-35962：攻擊者可在不經過任何身分認證情況下，即可利用Path Traversal漏洞下載系統機敏檔案。此漏洞可歸類於OWASP TOP 10 2017之A5 - Broken Access Control類型中。開發廠商接獲通報後已配合儘速釋出相關更新，若機關或企業有使用門禁與差勤系統者，建議儘快聯繫廠商進行修補更新。中華資安國際建議採取以下防範措施：1.使用者：聯繫廠商盡速安裝修補更新檔。2.公文系統開發商：在程式開發過程中應針對輸入參數做檢查。3.公文系統開發商：建議導入安全程式開發流程（SSDLC）、事前進行安全程式碼開發教育訓練，並定期執行源碼檢測及滲透測試等安全檢測，才能有效地確保產品及用戶安全。

中華電信子公司中華資安國際正式宣布其「數位鑑識暨資安檢測中心」通過財團法人全國認證基金會(TAF)物聯網設備影像監控系統檢測認證，不僅能夠提供IoT設備網路攝影機最高等級的Level 3資安檢測，也能協助客戶申請合格證書及資安標章，同時該中心更是ISO 17025認證實驗室，共同捍衛智慧城市與未來萬物聯網的資訊安全。隨著智慧城市與智慧聯網應用快速成長，物聯網設備的資安重要性也日益增加，消費者買到的物聯網設備可能因為有程式後門、簡易內建密碼、資料外洩資安漏洞等，造成財物損失、運作中斷、隱私外洩，甚至生命危害；因此，不論是設備製造商或是使用者，都應注意IoT設備的資安風險，解決方法就是送交物聯網資安檢測實驗室進行資安檢測，確保資安無虞，同時取得檢測標章。中華資安國際總經理洪進福表示，「我們能發現別人看不見的資安缺口，團隊不只執行常規資安檢測，也用滲透鑑識技術執行資安檢測；以前只幫物聯網設備商進行資安檢測，現在通過認證後，還可以幫忙申請合格證書及資安標章」。檢測團隊已經挖掘了超過53個常用軟體的資安漏洞和暴露(CVE)，並登載國際MITRE網站上，其中，有許多是IoT設備，包含國內外知名網路攝影機(IP CAM)、數位監控設備(DVR)、門禁系統與印表機等設備。這次「數位鑑識暨資安檢測中心」ISO 17025增列驗證是針對網路攝影機，檢測的手法除了依據資安檢測規範執行檢測外，也有源碼檢測、弱點掃描、滲透測試，還包含模糊測試等高階檢測項目，甚至還有國際大廠要求以紅隊手法進行物聯網設備資安檢測，用以發現可能的程式錯誤或未知安全漏洞，在設備通過測試後可由中華資安國際協助客戶申請合格證書及資安標章，強化市場競爭力，同時助力物聯網設備廠商與使用者共同營造安全的智慧聯網應用。中華資安國際「數位鑑識暨資安檢測中心」不僅可以提供IoT設備資安檢測服務，也能夠提供物聯網場域資安防護評估(TR-0022)之資安認證輔導服務，延伸資安服務能量，以確保物聯網場域從設備面到網路面的整體安全性。中華資安國際IoT資安服務：https://www.chtsecurity.com/service/m110關於中華資安國際(https://www.chtsecurity.com/)中華資安國際是中華電信集團的資安專業服務公司，通過ISO 27001、ISO 27701、ISO 20000與ISO 17025認證，並獲「2022 Best Choice Award資安服務獎」、「CIO Taiwan傑出品牌獎」、「Frost Sullivan 2021台灣年度安全託管服務商MSSP獎」、「2018 HITCON Defense企業資安攻防大賽」冠軍及情資分享特別獎、「2018資安滲透測試攻防國際邀請賽」冠軍、中華徵信所2020年其他資訊服務業第一名等獎項，更是唯一連年獲得行政院資安服務廠商服務項目評鑑全數「A級」之廠商，專業實力深獲肯定。中華資安國際擁有多年的資訊安全攻防實戰經驗，提供事前檢測、事中監控、事後鑑識應變與回復的服務，一站式滿足政府及企業的資安需求，已提供服務予兩百多家政府機關及大型企業以及兩萬多家中小企業。

7/28(四) 《資通安全管理法》採購指引懶人包說明暨媒合會 台南場主題：資安冰與火之歌 - 政府機關資安防禦與駭客的對抗由中華資安國際資安顧問 李尚倫 介紹台灣產業常見資安問題及分享攻擊案例，包括DB主機遭植入惡意程式、跨網段橫向攻擊、無檔案攻擊...等，以及企業資安治理與因應之道。感謝各位貴賓蒞臨參與、交流！活動相關資訊：https://www.acw.org.tw/News/Detail.aspx?id=3231更多活動照：https://www.facebook.com/chtsec/