訊息專區

中華資安國際Red Team團隊發現，國內某視訊系統具有漏洞(CVE-2021-32536)，包括XSS，影響範圍包含國內部分政府機關以及企業機構。【風險等級】中度威脅【影響範圍】MCU System v5.5【細節描述】CVE-2021-32536：在MCUsystem 5.5中發現反射型跨站腳本漏洞（XSS），透過HTTP-GET即可注入任意的web scripts。開發廠商接獲通報後已配合儘速釋出相關更新，若機關或企業有使用此校務資訊系統，建議儘快聯繫廠商進行修補更新。中華資安國際建議採取以下防範措施：使用者：聯繫廠商盡速安裝修補更新檔。系統開發商：在程式開發過程中應針對輸入參數做檢查。系統開發商：建議導入安全程式開發流程（SSDLC）、事前進行安全程式碼開發教育訓練，並定期執行源碼檢測及滲透測試等安全檢測，才能有效地確保產品及用戶安全。【參考資訊】NIST(CVE-2021-32536)

中華資安國際Red Team團隊發現，國內市占率相當高的知名保全門禁與差勤系統具有Use of Hard-coded Credentials (CVE-2021-35961)以及Path Traversal漏洞(CVE-2021-35962)，簡述如下：CVE-2021-35961：攻擊者可以透過預設帳號、密碼進入系統，取得最高權限。此漏洞可歸類於OWASP TOP 10 2017之A6 Security Misconfiguration類型中。CVE-2021-35962：攻擊者可在不經過任何身分認證情況下，即可利用Path Traversal漏洞下載系統機敏檔案。此漏洞可歸類於OWASP TOP 10 2017之A5 - Broken Access Control類型中。開發廠商接獲通報後已配合儘速釋出相關更新，若機關或企業有使用門禁與差勤系統者，建議儘快聯繫廠商進行修補更新。中華資安國際建議採取以下防範措施：1.使用者：聯繫廠商盡速安裝修補更新檔。2.公文系統開發商：在程式開發過程中應針對輸入參數做檢查。3.公文系統開發商：建議導入安全程式開發流程（SSDLC）、事前進行安全程式碼開發教育訓練，並定期執行源碼檢測及滲透測試等安全檢測，才能有效地確保產品及用戶安全。

中華電信子公司中華資安國際正式宣布其「數位鑑識暨資安檢測中心」通過財團法人全國認證基金會(TAF)物聯網設備影像監控系統檢測認證，不僅能夠提供IoT設備網路攝影機最高等級的Level 3資安檢測，也能協助客戶申請合格證書及資安標章，同時該中心更是ISO 17025認證實驗室，共同捍衛智慧城市與未來萬物聯網的資訊安全。隨著智慧城市與智慧聯網應用快速成長，物聯網設備的資安重要性也日益增加，消費者買到的物聯網設備可能因為有程式後門、簡易內建密碼、資料外洩資安漏洞等，造成財物損失、運作中斷、隱私外洩，甚至生命危害；因此，不論是設備製造商或是使用者，都應注意IoT設備的資安風險，解決方法就是送交物聯網資安檢測實驗室進行資安檢測，確保資安無虞，同時取得檢測標章。中華資安國際總經理洪進福表示，「我們能發現別人看不見的資安缺口，團隊不只執行常規資安檢測，也用滲透鑑識技術執行資安檢測；以前只幫物聯網設備商進行資安檢測，現在通過認證後，還可以幫忙申請合格證書及資安標章」。檢測團隊已經挖掘了超過53個常用軟體的資安漏洞和暴露(CVE)，並登載國際MITRE網站上，其中，有許多是IoT設備，包含國內外知名網路攝影機(IP CAM)、數位監控設備(DVR)、門禁系統與印表機等設備。這次「數位鑑識暨資安檢測中心」ISO 17025增列驗證是針對網路攝影機，檢測的手法除了依據資安檢測規範執行檢測外，也有源碼檢測、弱點掃描、滲透測試，還包含模糊測試等高階檢測項目，甚至還有國際大廠要求以紅隊手法進行物聯網設備資安檢測，用以發現可能的程式錯誤或未知安全漏洞，在設備通過測試後可由中華資安國際協助客戶申請合格證書及資安標章，強化市場競爭力，同時助力物聯網設備廠商與使用者共同營造安全的智慧聯網應用。中華資安國際「數位鑑識暨資安檢測中心」不僅可以提供IoT設備資安檢測服務，也能夠提供物聯網場域資安防護評估(TR-0022)之資安認證輔導服務，延伸資安服務能量，以確保物聯網場域從設備面到網路面的整體安全性。中華資安國際IoT資安服務：https://www.chtsecurity.com/service/m110關於中華資安國際(https://www.chtsecurity.com/)中華資安國際是中華電信集團的資安專業服務公司，通過ISO 27001、ISO 27701、ISO 20000與ISO 17025認證，並獲「2022 Best Choice Award資安服務獎」、「CIO Taiwan傑出品牌獎」、「Frost Sullivan 2021台灣年度安全託管服務商MSSP獎」、「2018 HITCON Defense企業資安攻防大賽」冠軍及情資分享特別獎、「2018資安滲透測試攻防國際邀請賽」冠軍、中華徵信所2020年其他資訊服務業第一名等獎項，更是唯一連年獲得行政院資安服務廠商服務項目評鑑全數「A級」之廠商，專業實力深獲肯定。中華資安國際擁有多年的資訊安全攻防實戰經驗，提供事前檢測、事中監控、事後鑑識應變與回復的服務，一站式滿足政府及企業的資安需求，已提供服務予兩百多家政府機關及大型企業以及兩萬多家中小企業。

7/28(四) 《資通安全管理法》採購指引懶人包說明暨媒合會 台南場主題：資安冰與火之歌 - 政府機關資安防禦與駭客的對抗由中華資安國際資安顧問 李尚倫 介紹台灣產業常見資安問題及分享攻擊案例，包括DB主機遭植入惡意程式、跨網段橫向攻擊、無檔案攻擊...等，以及企業資安治理與因應之道。感謝各位貴賓蒞臨參與、交流！活動相關資訊：https://www.acw.org.tw/News/Detail.aspx?id=3231更多活動照：https://www.facebook.com/chtsec/

一場疫情，觸發了新的消費習慣，也驅動了企業數位轉型 ，四大零售通路 (量販、百貨、超商、超市) 1.3兆版圖大挪移。在這過程中，適度引入外部服務，讓專業的夥伴協助企業在數位轉型、虛實整合的路上更加如魚得水，能專注於提供更好的產品服務予用戶。7月27日(三) 由中華電信主辦之零售趨勢論壇中，中華資安國際 王信富副總經理分享如何在 全通路時代-強化資安韌性決勝未來。重點摘要如下：面對資安監理（法規）、持續面臨駭客（威脅）、快速導入（新科技）打造創新服務，如5G, AI, Big Data, Blockchain 等，資安攻擊無可迴避，應避免最低價格標，更應該有「富貴險中求」的風險意識主動積極地面對資安風險，建立持續性的資安防護與評估機制， 採取對應的控制措施。資安威脅是不可控的，企業應該將重心放在自身弱點漏洞管理、如何應對威脅，確實執行資產盤點、提升端點/網路可視性、監控不同階段的駭客活動，搭配管理制度，就能有效控制資安風險。因應資安威脅是從管理面、技術面、教育訓練面三方下手，依據IPDRR，建立縱深防禦，以及持續性的資安防護與安全評估，確實執行資產盤點、提升端點/網路可視性、監控不同階段的駭客攻擊活動，搭配管理制度，就能有效控制資安風險。資安檢測(弱點掃描、滲透測試) 能夠協助企業驗證弱點漏洞管理是否落實，早期發現資安弱點，降低受駭風險。MDR威脅偵測應變服務 保護企業重要系統主機安全，在初始入侵階段就切斷攻擊鏈，主動獵捕可疑威脅，將可疑行為由調查分析後提出處理建議，給您全年不中斷的資安專家偵測與應變服務。HiNet WAF 網站應用防火牆服務 提供電信等級的網站防護設備，專責分析網站訊務內容，搭配資安顧問專業調校，可有效阻擋來外部的網站入侵攻擊，維持企業網站正常運作。更多報導內容：https://www.bnext.com.tw/article/70564/cht活動資訊：https://eventgo.bnextmedia.com.tw/event/detail/e60725u629f336ee5043?_gl=1*z7hcqc*_ga*NDY0ODk0NDcuMTY1NTExMzQ5OA..*_ga_LJQ58J2DG7*MTY1ODQwNzU5OS40LjAuMTY1ODQwNzU5OS42MA..

7/26(二) 《資通安全管理法》採購指引懶人包說明暨媒合會 台北場主題：持續性威脅偵測-資安防禦與駭客的對抗由中華資安國際資安顧問 鍾宜蒲 介紹資安事件處理分析常見威脅，資安法修法應辦事項與對應解決方案，以及其他法遵應辦事項...等。感謝各位貴賓蒞臨參與、交流，7/28(四)台南見！活動相關資訊：https://www.acw.org.tw/News/Detail.aspx?id=3231更多活動照：https://www.facebook.com/chtsec/

零售業在數位轉型過程中，普遍會遇到網站安全、電子郵件安全及網路控管三大資安盲點，唯有從技術、管理、和教育訓練三個面向著手，才能全面強化資安防禦能力。(圖：中華資安國際 技術副總經理 王信富；圖片來源：數位時代)因應全通路及虛實融合（Online Merge Offline；OMO）的發展趨勢，越來越多零售業者在電商平台開店，或自行架設購物官網，希望為顧客提供更好的購物體驗。於此同時，部份零售業者也順應數位轉型趨勢，引進雲服務、數據分析等各種新科技應用。這些數位化的腳步，加重了IT人員肩上的責任，使其必須同時兼顧新科技應用導入及做好資安防護兩大課題，對人力資源有限的零售業者而言，著實是個相當艱鉅的挑戰，容易陷入顧此失彼的窘境，也就是導入了新科技，卻疏忽了資安防禦。零售業資安防禦三大盲點中華資安國際副總經理王信富進一步指出，從過往協助客戶進行資安檢測與資安事件應變處理的經驗來看，零售業者常見的資安盲點有三個：第一、網站系統的安全防護不夠完善，例如：電商後台管理系統直接曝露在Internet上、網站有檔案/文件上傳漏洞、使用具有弱點的網站套件等，導致駭客可藉此管道進入內網，竊取顧客的姓名、電話、消費及付款資料等個資。第二、與電子郵件相關的安全配置不夠嚴謹，造成內部員工容易誤點擊社交工程的惡意郵件。第三、缺乏集中控管網路的機制。由於分支據點眾多的特性，使得零售業所面對的資安威脅以及暴露風險皆較其他產業高，在缺乏集中管控、沒有妥善切割內外部網路的情況下，各分支據點各自上網的做法，反倒形成了資安破口。面對三大資安盲點，王信富建議，零售業者應該從技術、管理、和教育訓練三個面向著手，全面強化資安防禦能力。技術面：從網站、網路管控到郵件安全，逐步強化資安防禦網先就技術面來說，零售業者應針對上述盲點選擇合適的資安解決方案，倘若人力或資安人才不足，亦可適度引入外部資安專業夥伴，以完善的資安機制做為推動數位轉型的基礎。至於各項解決方案在導入時的優先順序，王信富認為，第一要專注於核心業務、也就是網站系統安全防護，包含在系統上線前，無論自行開發或委外開發都要遵循SSDLC要求並進行黑白箱檢測，系統上線後，則要導入網站應用防火牆（WAF）、部署MDR服務偵測惡意活動，以便在第一時間切斷攻擊鏈、持續監控風險（SOC）、定期進行弱點掃描與滲透測試等安全檢測，持續發現與修補資安弱點。其次則是集中管理各分支據點的網路使用行為，例如：透過MPLS VPN或Internet VPN架構出一個封閉式環境，將網路出口集中到同一處統一管理，而不是每個分支據點都是一個網路出口，同時還要進行邏輯上的切割，將POS收銀服務、門市行政應用等內部員工的網路使用，與門市顧客上網等外部使用行為區隔開來，才能降低分支據點的資安風險。第三為加強電子郵件安全，可善用郵件安全解決方案，阻擋惡意郵件，降低被社交工程攻擊的風險。管理面：以NIST為最高原則再就管理面而言，零售業可以參考由美國國家標準與技術研究所（NIST）提出的網路安全框架，規劃資安管控措施，並由上而下貫徹與落實資安政策，有效強化及提高資安防護效果。王信富另外提醒零售業者，應注意遠距辦公模式下的資安風險管理，尤其當混合辦公逐漸成為未來趨勢後，零售業在面對遠端存取的使用者和連網裝置時，應該採取零信任機制，亦即一律進行身份識別和權限管理，並提高端點活動的可視性，避免遠距辦公成為企業新的資安破口。教育訓練面：兼顧員工與IT人員的訓練至於教育訓練面，則需把握兩個重點，第一是強化整體員工的資安意識，使其認知到資安攻擊的手法與嚴重性，避免落入社交工程攻擊的陷阱中，第二則是鼓勵IT人員持續關注新技術與新威脅，畢竟駭客攻擊手法不斷翻新，IT人員唯有知己知彼，才能做好應對之道。從服務到產品，中華資安國際化身零售業最佳資安夥伴王信富認為，面對數位轉型過程中的資安挑戰，零售業者必須善用外界資源，讓資安防禦能收事半功倍之效，而中華資安國際擁有相當豐富的資安經驗與實績，更是業界唯一連續3年獲得行政院資安服務廠商評鑑五項資安服務全數「A級」最高評價，專業能力無庸置疑，可以協助零售業者安全地推動數位轉型。目前，中華資安國際的服務範疇包含資安檢測、資安管理及資安顧問三大領域，同時也整合中華電信既有企業資安服務，讓零售業可以用最低的投資成本享有專業資安服務。例如，中華資安國際的MDR威脅偵測應變服務可搭配中華電信HiNet WAF網站應用防火牆服務，加強電商網站系統的縱深防禦效果，除了能夠大幅降低資安風險，還可因應零售業者促銷活動檔期，動態調整防護能量，滿足臨時性大量需求。又如中華資安國際安全託管服務可搭配中華電信資安艦隊，為企業提供Secure SD-WAN解決方案，且採月租計價模式，企業不需一次投入大筆資金，就可以達成WAN頻寬使用最佳化、強化網路安全性與遠端辦公安全性等多重效益。迎向未來，中華資安國際正規劃由資安服務公司延伸為資安產品公司，以SecuTex品牌名陸續推出多個自主研發產品，同時也將順應雲端趨勢，推出雲端安全解決方案，用全方位的產品和服務，成為零售業數位轉型時的最佳夥伴。________________________________________想瞭解更多零售業數據轉型的「眉角」，現在就報名7月27日中華電信舉辦的「2022掌握數據洞察佈局零售新趨勢」，輕鬆踏上數據轉型之路。文章來源：數位時代

放暑假了，隨著居家上班上課人數增加，上網時間大幅提升，除了擔心影響視力，對於相關資安防護的需求也大幅提升。詢問及申辦相關服務的民眾相較去年翻倍成長，顯示民眾的資安意識大幅抬頭，更加關切資安相關議題。不需另外下載軟體或app，申辦色情守門員和上網時間管理，分別可過濾不良網站、把關上網時間，讓孩子能健康上網、父母安心辦公；防駭守門員則會主動在系統網路端先將其攔截及過濾可能的釣魚網站、駭客攻擊。不僅使用簡單便利，同時也能打造出安全的網路世界，讓全家大小安心享受網路的快速與便捷。更多資訊：https://hicare.hinet.net/行動裝置傳送門：https://msecurity.emome.net/msecurity/

網路早已成為生活的一部份，遠距教學更是疫情期間的求學工具，但家長往往一轉頭卻發現孩子心思根本不在課堂上。一旦發現孩子過於沉迷網路該怎麼辦？面對這些新生代的數位原住民，親子要如何溝通、拿捏3C的使用？本集【家庭經理人】邀請到陳志恆諮商心理師，跟大家聊聊怎麼養成良好的網路使用習慣，以及有哪些數位工具能夠輔助我們，讓健康上網不再只是口號。重點：1.什麼年紀開始接觸3C才適合？怎麼做？2. 3C當褓姆是大忌？！3.小孩上網課不專心，該怎麼溝通？4.怕孩子沉迷網路，健康上網習慣如何養成？5.避免孩子誤入不良網頁的數位工具

三大服務齊發滿足企業多元需求面對全球各地持續爆發的資安事件，企業資安意識明顯提高不少，但是在資安人才不足的狀況下，難以建構一套合宜的資安防護機制。有鑑於此長期關注企業需求的中華資安國際，選擇透過與Palo Alto Networks合作方式，直接在中華電信機房提供資安防護機制，助企業防堵無孔不入的資安威脅。中華資安國際總經理洪進福說，在駭客攻擊手法多變下，我們認為若能在中華電信機房端防堵，自然可以減少企業的防護壓力。因此，我們在電信網路機房推出企業防駭守門員、入侵防護服務、先進網路防禦系統(ANDs)等三個層次的資安服務，用戶可依據自身需求選擇合適方案；其中，最高階的ANDs服務，就是與Palo Alto Networks 全球資安設備領導品牌共同合作，利用其深受企業用戶歡迎的次世代防火牆推出的網路資安服務。善用先進網路防禦系統(ANDs) 、hicloud資安服務 先進網路防禦系統(ANDs)強化因應未知威脅能力中華資安國際以Palo Alto Networks次世代防火牆推出的先進網路防禦系統(ANDs)，提供威脅防禦(Threat Prevention)、隔絕網路病毒、阻擋惡意連線及上網內容過濾等防護功能，減少攻擊封包進出企業內部，降低企業受駭的機率。中華資安國際總經理洪進福指出，在前述功能之外，先進網路防禦系統(ANDs)還有提供應用程式控管、國別流量控管、檔案傳輸控管等進階功能，能直接在中華電信機房阻斷各種威脅入侵，可有效保障企業資訊安全。 訂閱hicloud 資安服務保護雲端服務安全中華電信結合國際大廠Palo Alto Networks，於既有hicloud環境中透過VMware虛擬化與Network Function Virtualization(NFV)方式，提供多款Palo Alto Networks軟體式虛擬防火牆服務產品，讓客戶可以透過hicloud平台訂閱，並透過hicloud的UI管理介面，簡易的建置與操控Palo Alto Networks設備，並佈署所需的企業雲端架構，提供線上服務。中華資安國際總經理洪進福表示，企業在使用雲服務過程中，都忘記資安防護的重要性，以至於發生被駭客入侵的憾事。我們強烈建議客戶可以透過hicloud平台訂閱此服務，藉由Palo Alto Networks設備保護應用程式安全，避免發生，並佈署所需的企業雲端架構，提供線上服務。迎合法規需求規劃新服務鑑於企業資料外洩事件頻傳，中華資安國際認為必須從強化端點安全、找出外洩根源，才能保護資料安全，並符合主管機關的法規要求。Palo Alto Networks Cortex可整合數十種 SOC 工具，協助資安人員運用AI工具進行分析，並且透過自動化機制回應威脅。至於Palo Alto Networks Prisma Cloud則可保護基礎設施、應用程式、身份、網路和資料安全。中華資安國際總經理洪進福說，現今中華資安國際推出服務都是以閘道端防護為主，鑑於造成許多資料外洩主因，都是用戶端設備遭到入侵所致，所以正評估以此兩產品為核心，為企業推出更多元化的服務。新聞來源：iThome