訊息專區

中華資安國際協辦中華民國資訊軟體協會4月21日「公部門如何揪出潛伏資安威脅」研討會高雄場，協助政府確實落實資安法規要求，提升資安防護效益。本次研討會邀請行政院國家資通安全會報技術服務中心 吳啟文 主任分享資安法推動情形及近期重點。我們的講師群則以案例和實際導入經驗，分享新世代資安監控、網戰時代如何透過資安檢測制敵機先、以及完整軌跡管理方案，一次滿足保存、稽核與鑑識需求。感謝各位的蒞臨指教！

中華資安國際協辦中華民國資訊軟體協會4月13日「公部門如何揪出潛伏資安威脅」研討會台中場，，協助政府確實落實資安法規要求，提升資安防護效益，獲得熱烈回響。

中華資安國際參加4月8日CIO Taiwan所舉辦的「打造智慧且安全的新世代醫療系統」研討會，中華資安國際講師分享「醫療產業資安威脅趨勢及防護策略」，獲得熱烈回響。

電腦學會於3月8日訪問中華資安國際陳明仕董事長與王信富協理，討論企業數位轉型浪潮下，資安如何瞻前顧後。

聯達資訊 (Unicomp) 於2022年正式成為中華資安國際公司 (CHT Security Co., Ltd.) 先進資安威脅防禦系統「SecuTex」系列產品代理商。藉由聯達資訊在國內網路資訊安全豐富的業務推廣經驗與專業的技術支援優勢，將SecuTex資安防護系列產品快速推廣至國內的資安應用市場。SecuTex是中華資安國際自主研發的資安系列產品，目前包含NP網路防護與ED端點偵測兩大部分，是中華資安國際的專家團隊在處理大量資安攻擊防禦與事件調查後，開發出來的資安防護解決方案。其中，SecuTex NP網路防護就像是網路行車紀錄器一樣，可以進行網路封包全時側錄、入侵偵測、鑑識分析，還能結合沙箱分析與專家分析驗證，是網路資安管理、重現事件現場的資安利器；SecuTex ED端點偵測則是端點電腦的檢測工具，結合GCB政府組態基準、軟體更新檢視、惡意活動偵測等，全盤掌握資安風險與因應作為，是企業資安管理利器。聯達資訊總經理陳敏煌先生表示：「中華資安國際是國內最大最優的5A資安服務公司，也是具高度競爭力的資安產品公司。聯達資訊很榮幸成為SecuTex系列產品的代理商，這是國內自主資安產品的新頁，我們希望可以藉此提供客戶更全面的資安防護解決方案，協助企業達成資安風險管控的目標」中華資安國際總經理洪進福先生表示：「今年是中華資安國際由資安服務公司延伸為資安產品公司的重要里程碑，我們從實戰經驗中淬煉出來的資安防護解決方案，彌足珍貴，希望可以幫到更多企業與組織。很高興與聯達資訊成為正式的產品代理夥伴，聯達資訊長期專注於資訊安全及網路優化解決方案，相信結合聯達資訊的銷售通路與中華資安國際的資安領導品牌，SecuTex將會為客戶帶來完整的資安解決方案。」更多關於SecuTex先進資安威脅防禦系統詳細資訊。關於聯達資訊聯達資訊股份有限公司成立於 2007年，專業於網路安全及網通產品代理商，本著「專精」及提供｢網路安全優化解決方案」的經營理念，贏得許多大廠的肯定。目前代理了包括A10 Networks、Fortinet、HPE Aruba、Infoblox及N-Partner等業界網路安全領導品牌產品線，以專業的人員服務與完善的售後服務，持續提供網路安全功能技術與應用範疇，並協助經銷商夥伴提供使用者完整網路安全解決方案。關於聯達資訊更多的資訊，請參閱http://www.unicomp.com.tw。

中華資安國際Red Team團隊發現，國內市占率相當高的知名公文系統具有SQL注入(CVE-2021-22859)以及身分驗證缺失漏洞(CVE-2021-22860)，影響範圍包含政府、學校與企業等至少約10個機構，簡述如下：CVE-2021-22859：攻擊者可在不經過任何身分認證情況下，直接進行SQL注入攻擊，攻擊者可讀出完整資料庫表單。此漏洞可歸類於OWASP TOP 10 2017之A1 - Injection類型中。CVE-2021-22860：攻擊者可在不經過任何身分認證情況下，直接查詢系統所有使用者帳號與密碼資訊，可利用取得之帳號密碼進行系統登入，進而取得相關權限。此漏洞可歸類於OWASP TOP 10 2017之A2 - Broken Authentication類型中。開發廠商接獲通報後已配合儘速釋出相關更新，若機關或企業有使用公文系統者，建議儘快聯繫廠商進行修補更新。中華資安國際建議採取以下防範措施：1.使用者：聯繫廠商盡速安裝修補更新檔。2.公文系統開發商：在程式開發過程中應針對輸入參數做檢查。3.公文系統開發商：建議導入安全程式開發流程（SSDLC）、事前進行安全程式碼開發教育訓練，並定期執行源碼檢測及滲透測試等安全檢測，才能有效地確保產品及用戶安全。

近日國內多家券商遭駭客以「密碼撞庫攻擊」，使客戶與企業蒙受損失的重大資安事件。駭客利用民眾外流個資嘗試登錄網站服務，一旦成功，即可冒用他人身分登入與操作系統，進行證券下單、資金操作等非經當事人授權行為，造成巨大的商業損失，更嚴重影響企業商譽。對此，中華電信與中華資安國際合作推出「HiNet WAF網站應用防火牆」服務，提供完整防撞庫攻擊機制，以機器學習方式辨識自動化與惡意流量，有效緩解撞庫攻擊，為企業築起網站安全護城河。網站資訊安全是保障企業網站安全的第一道防線中華資安國際總經理洪進福表示：「目前包括金融、電商、製造等類型的企業服務網站，皆面臨如同『密碼撞庫』的憑證填充(Credential Stuffing)或密碼噴灑(Password Spraying)攻擊。從中華資安國際累積的近千件資安事故調查中發現，有過半事故入侵管道是從網站遭駭出發，相較於利用惡意電子郵件、未修補的系統漏洞、遠端桌面等手法高出許多，更顯示網站安全是保障企業網站安全的第一道防線。」「HiNet WAF網站應用防火牆」服務，可針對單一帳號登入多次失敗或單一IP多個帳號登入成功等場景提供檢查機制，亦可利用機器學習方式精準辨識自動化與惡意流量，防止大量假帳號與爬蟲行為；除前述撞庫攻擊外，可防護OWASP TOP10定義之網站威脅、BOT攻擊、跨腳本攻擊等網站常見漏洞，對層出不窮的零時差(Zero Day)攻擊具備免疫力，即使網站開發者未能即時修正網站漏洞，也能給予網站第一線有效防護服務。高規格電信等級資安設備提供企業網站最佳防護方案「HiNet WAF網站應用防火牆」服務，佈署於HiNet骨幹網路機房，為電信等級的資安防護設備，結合中華資安國際團隊的頂尖攻防專家調校，協助客戶有效阻擋來自Internet的網站入侵攻擊或傀儡程式騷擾，目前已有多家政府機關、資服業、金融業、超大型連鎖量販業與學校採用。此項服務提供7x24全年無休的資安專業防護及管理，企業不須自行雇用資安專家，並可透過月租方式申辦，可為企業減少管理負擔，同時撙節高額的資安設備支出與維運成本，亦可依網站流量規模調整租用容量，省錢又有效率。想了解更多資訊，請撥打企業客戶服務專線：0800-080-365。更多HiNet WAF網站應用防火牆服務介紹。

中華電信旗下子公司中華資安國際在最新公告110年行政院資安服務廠商評鑑中，再度取得「SOC監控」、「資安健診」、「滲透測試」、「弱點掃描」及「社交工程演練」五項資安服務全數「A級」之最高評價，是今年唯一榮獲此殊榮之資安公司，也是國內唯一連續三年勇奪全數Ａ級最高評價之資安服務廠商。行政院資安服務廠商評鑑是綜合客戶滿意度評分、以及專家學者組成評鑑委員進行實地評鑑。今年度除客戶給與中華資安國際的服務品質高度肯定外，評鑑團對中華資安國際的資安專業能力與技術優勢也給予最高評價。本次備受肯定的最主要原因在於中華資安國際的SOC服務融入了MDR雲、網、端監控，大幅提高資安監控的可視性與準確度；同時透過藍隊驗證工具(BAS)或紅隊演練，來提升監控的有效性，協助客戶做好資安防護。此外，團隊也展現了優異的惡意程式逆向分析能力與資安鑑識調查能力，擁有技術自主的沙箱系統(Sandbox)，並持續追查駭客攻擊手法與事件根因。滲透測試團隊除了呈現OSCP實戰演練的師資教材外，更首次展現利用網通安全來入侵實體安全的檢測能力，包含門禁系統、車機、工控單向閘道器、互動式觸控面板等，從網路世界控制實體世界，預告未來網路安全與實體安全密不可分的技術趨勢。在這次評鑑過程，中華資安國際也首次展示了技術自主研發的資安產品，包含SecuTex NP與SecuTex ED，用來協助客戶進行資安健診與資安檢測；其中SecuTex NP像是網路行車紀錄器一樣，可以進行網路封包全時側錄、入侵偵測、鑑識分析，能結合沙箱分析與專家分析驗證，是網路管理與資安管理的利器；SecuTex ED則是端點電腦的檢測工具，用來檢查GCB政府組態基準、軟體更新檢視、惡意活動偵測等，並能將資安風險一目了然的呈現在管理中控台上，協助客戶做好端點電腦的資安管理工作。此外，中華資安國際的數位鑑識暨資安檢測中心通過ISO 17025認證，紅隊演練服務是全國唯一通過ISO 20000認證之檢測團隊，已累積挖掘超過50個以上的系統軟體、網站、物聯網設備之重大漏洞(CVE)，更與國際知名的資安訓練機構Offensive Security共同推動高階資安攻防實戰訓練與認證。中華資安國際專注於資安專業服務與相關軟硬體研發，目前已是國內最大的專業資安服務公司，團隊取得ISO 27001、ISO 27701、ISO 20000、與ISO 17025證書，並獲得國際知名顧問公司Frost Sullivan之「2021 Taiwan Managed Security Services Company of the Year Award」獎項。中華資安國際擁有安全可靠『以電信網路為中心』的資安解決方案，協助國內15個縣市完成資安區域聯防，協助眾多重要政府機構、關鍵基礎設施、金融業、高科技製造業以及醫療場域進行資安檢測與防護，已提供服務予兩百多家政府機關及大型企業以及兩萬多家中小企業。來源：行政院國家資通安全會報技術服務中心。

中華資安國際於2021年11月取得ISO 27701:2019證書，代表中華資安國際對於個人隱私資訊管理的承諾，將致力於保護客戶個人隱私資訊，透過個人資料蒐集、處理及利用管理作業，建立個人資料檔案盤點暨風險評鑑辦法，以及個人資料當事人權利行使等管理作為，符合個人資料保護法各項法規，致力遵循我國相關法令要求，適用範圍包含中華資安國際蒐集、處理或利用個人資料之相關業務及其所有人員，亦包括委外服務廠商，期能深植於公司組織文化，確保個人資料之保護。ISO 27701 隱私資訊管理系統 (PIMS, Privacy Information Management System)，為資訊安全管理系統 ISO 27001 和 ISO 27002的擴充，提供企業保護個人隱私資訊之指引，並加入額外補充之要求項目，以PDCA循環(Plan-Do-Check-Act)在 ISMS 範圍內建立隱私資訊管理系統，用以降低企業在接觸個人資料所面臨之風險。中華資安國際團隊取得ISO 20000、ISO 27001、與ISO 17025證書，在行政院資安服務廠商評鑑中，是唯一連續三年獲得五項服務項目全數皆「A級」之資安廠商，資安專業獨步全國。中華資安國際擁有安全可靠『以電信網路為中心』的資安解決方案，協助國內15個縣市完成資安區域聯防，協助眾多重要政府機構、關鍵基礎設施、金融業、高科技製造業以及醫療場域進行資安檢測與防護，已提供服務予兩百多家政府機關及大型企業以及兩萬多家中小企業，並獲得Enterprise Security 雜誌「Top Enterprise Security Startup in APAC - 2020」、BSI「資訊服務品質深耕獎」、中華徵信所「其他資訊服務業第一名」等知名獎項。

中華資安國際Red Team團隊發現，國內某差勤系統具有多項漏洞(CVE-2021-22853、CVE-2021-22854、CVE-2021-22855)，包括不安全的存取控制、SQL Injection與遠端程式碼執行(RCE)弱點，影響範圍包含部分國內中小企業。【風險等級】高度威脅【影響範圍】差勤系統7.3.2020.1110前的版本【細節描述】CVE-2021-22853：攻擊者取得使用者識別碼資訊後，可透過特定封包存取部分機敏資訊，如使用者登入資訊，進而導致登入功能無法正常使用，此漏洞可歸類於OWASP TOP 10 2017之A5 - Broken Access Control類型中。CVE-2021-22854：攻擊者可在不經過任何身分認證情況下，透過參數注入未經授權的SQL語法，取得資料庫的所有資料，此漏洞可歸類於OWASP TOP 10 2017之A1 - Injection類型中。CVE-2021-22855：攻擊者可在不經過任何身分認證情況下，傳送惡意的序列化物件執行任意指令，此漏洞可歸類於OWASP TOP 10 2017之A8 - Insecure Deserialization類型中。開發廠商接獲通報後已配合儘速釋出相關更新，若機關或企業有使用此差勤系統，建議儘快聯繫廠商進行修補更新。中華資安國際建議採取以下防範措施：使用者：聯繫廠商盡速安裝修補更新檔。系統開發商：在程式開發過程中應針對輸入參數做檢查。系統開發商：建議導入安全程式開發流程（SSDLC）、事前進行安全程式碼開發教育訓練，並定期執行源碼檢測及滲透測試等安全檢測，才能有效地確保產品及用戶安全。【參考資訊】NIST(CVE-2021-22853)NIST(CVE-2021-22854)NIST(CVE-2021-22855)