訊息專區

中華電信子公司中華資安國際在最新公告的108年行政院資安服務廠商評鑑中，一舉拿下「SOC監控」、「資安健診」、「滲透測試」、「弱點掃描」及「社交工程郵件測試」五項資安服務全數「A級」之最高評價，也是國內唯一連續兩年獲得這項殊榮的資安服務廠商。專業技術與服務熱忱俱優本次評鑑團對中華資安國際的資安專業能力、技術優勢、服務滿意度皆給予最高評價；肯定中華資安依客戶之資產及網段的重要性進行風險盤點，提供資安儀表板、燈號指標，讓業主即時掌握整體資安風險；並針對重要資產的資安防護、監控、應變、修復，提出多種創新方案，有效提升資安威脅的偵測率及防護能力。贏在前瞻資安技術領先行政院資安服務廠商評鑑方法結合用戶滿意度評分以及專家學者組成評鑑委員進行實地評鑑，從資安國際認證、專業證照、服務流程、專業技術能力、支援人力、交付品質、創新服務價值等面向進行綜合評比，並針對各資安服務項目給予A到E級的評價。本次評鑑備受肯定的主因是前瞻的資安技術自主研發能力，中華資安國際提高資安檢測能力，將從滲透測試提升至紅隊攻防演練(Red Team)與紫隊監控服務(Purple Team)；為提高SOC資安監控的可視性，擴增了納管雲端、網路、端點的託管偵測應變服務(MDR, Managed Detection and Response)；為了驗證資安防禦、應變的有效性，提供了藍隊驗證服務(BAS, Breach and Attack Simulation)，不但幫客戶防護資安，也幫客戶驗證防護的有效性，這是帶領國內資安防護概念的一大躍進。中華資安國際為中華電信子公司，自107年起開始營運，目前已是國內最大的專業資安服務公司，團隊服務通過ISO 27001與ISO 20000雙驗證，並獲得BSI資安服務管理啟航奬、「2018 資安滲透測試攻防國際邀請賽」冠軍、「 2018 HITCON Defense企業資安攻防大賽」冠軍及情資分享特別獎、「2019 資安漏洞挖掘邀請賽」季軍、「2019 RedAlert72資安攻防競賽」亞軍等獎項，近半年更挖掘超過10個以上的重大CVE弱點，更將營業領域從傳統的IT網路資安擴展至OT、物聯網與智慧製造等新興資安領域。中華電信資安團隊中華資安國際股份有限公司為中華電信資安業務團隊成員新創成立之子公司，該團隊自2003年起開始提供企業資安服務，曾獲得BSI資安服務管理啟航奬、連續四年(ISC)2 ISLA國際「資深資訊安全專家」獎、以及ISACA高階資訊安全專家等國際大獎，並榮獲行政院資安服務廠商服務項目評鑑「特優」之廠商，專業實力深獲肯定。擁有多年的資訊安全攻防實戰經驗，統合研發、實務、技術能力，提供事前檢測、事中監控應變、事後鑑識回復的資安服務，一站式滿足政府及企業的資安需求，並已具備對上百家政府機關及企業規劃提供最佳的資安防護系統及整體解決方案的實務經驗。如需更多資訊，請至中華資安國際官方網站：www.chtsecurity.com；中華電信企業資安官方網站：secure365.hinet.net

財團法人電信技術中心(TTC)與桃園市政府合作、偕同國內外合作夥伴，於虎頭山創新園區成立「物聯網資安聯合檢測中心」，提供一站式資安檢測服務，引領台灣物聯網軟實力接軌國際資安標準，交通大學研發團隊也在揭牌現場展示智慧農業系統，參與技術交流活動。此外，TTC繼去年四月推出的物聯網資訊分享及分析中心(IoT-ISAC)平台後，今(2/17)日也宣布對一般民眾免費開放，冀望透過國內首座物聯網資安情資資料庫，提供多元內容，提升全民資安防護意識與警覺性；並提供企業線上資安檢測服務，全方位為台灣物聯網資安把關。隨著物聯網的蓬勃發展，也將帶來「萬物皆可駭」的資安隱憂，一般民眾及中小企業所使用的物聯網設備，如Wi-Fi、網路攝影機、印表機、投影機、醫療設備、農業器具等，皆可能遭受駭客攻擊。相關攻擊除影響設備正常操作、財物損失及個人隱私外洩外，也可能淪為駭客工具導致更嚴重攻擊事件；此外，物聯網垂直應用也造成各領域也面臨資安威脅。TTC自107年起執行國家發展委員會『亞洲．矽谷-強化物聯網資安防護裝備』計畫，第一期完成物聯網系統層級資安防護評估機制的建立，包含智慧家庭及智慧交通領域，也成立物聯網資訊分享及分析中心(IoT-ISAC)；第二期延續並擴增第一期成果，與桃園市政府經發局合作，偕同國際認證機構UL、中華資安國際股份有限公司及虎頭山創新園區-資安物聯網中心營運團隊(大同世界科技股份有限公司及互聯安睿資通股份有限公司)，聯合於虎頭山創新園區成立「物聯網資安聯合檢測中心」，冀望整合多方能量，共同強化智慧產業資安防護能力，提升台灣物聯網產業的國際競爭力。看好台灣企業發展IoT潛力，國際安全科學領導機構UL本次也參與第二期計畫，在「物聯網資安聯合檢測中心」導入UL IoT安全評等 (IoT Security Rating)，以國際上的IoT資安設計準則為基，融合產業標準共識，提供連網產品的資訊安全評估，並透由安全評等，在產品上標示所獲得的分級標誌，協助廠商展示產品的資安能力，亦幫助消費者在選購時能有所依據；更冀望國內物聯網廠商能經由公正第三方的國際驗證，取得國際市場的信賴。「物聯網資安聯合檢測中心」提供一站式檢測服務(One-Stop Service)，以物聯網系統端、網、雲等全面性的物聯網資安防護評估流程，提供消費者安全基準(Security Baseline)參考，有助廠商生產符合國際資安要求的產品，搶攻國際市場。目前已完成五本物聯網系統層級資安評估指引，應用範圍包含智慧家庭、智慧交通、智慧醫療及智慧農業等領域，導入實際場域進行測試後，發現多項物聯網裝置存在資安漏洞，並揭露於CVE (Common Vulnerabilities and Exposures) 平台且取得編號，有效提出預警，及早發現潛在威脅。為提升人民資安防護意識，物聯網資訊分享及分析中心(IoT-ISAC)自今日起，設置學習專區，免費開放給一般民眾使用，讓全民能夠即時獲得國內外最新物聯網相關資安情資。IoT-ISAC平臺首創物聯網資安情資資料庫，將所蒐集到的 IoT 設備之 IP 位置，藉由地理位置資料庫進行交叉比對與分析，透過視覺化的呈現，使民眾對台灣聯網設備的數量及類型等分布狀況有全面性的概觀，進而提升民眾資安防護警覺性，逐步實踐『資安即國安』目標。未來企業會員也可透過IoT-ISAC平臺，主動上傳物聯網裝置清單，檢測是否有存在既有資安弱點情資，達到早期預警目的，降低物聯網設備受駭客攻擊風險機率。IoT-ISAC平臺目前有30餘家企業會員，歡迎更多的企業及政府組織加入，共同維護台灣物聯網資訊安全。

中華資安國際Red Team團隊發現，國內某證券選股系統具有多項漏洞(CVE-2020-3937、CVE-2020-3938、CVE-2020-3939)，指出此系統具有SQL injection、跨網站腳本攻擊(Cross-Site Scripting)與伺服器端請求偽造(SSRF)漏洞，影響範圍包含證券與金融等多個機構。【風險等級】高度威脅【影響範圍】選股大師 20191223 之前版本【細節描述】1. CVE-2020-3937：攻擊者可在不經過任何身分認證情況下，進行SQL injection攻擊，攻擊成功後可對資料下達任何資料庫查詢語法，此漏洞可歸類於OWASP TOP 10 2017之A1 - Injection類型中。2. CVE-2020-3938：攻擊者可在不經過任何身分認證情況下，進行伺服器端請求偽造(SSRF) 攻擊，攻擊成功後可對內網伺服器進行服務請求以及探測實體檔案路徑等敏感資訊，此漏洞可歸類於OWASP TOP 10 2017之A1 - Injection類型中。3. CVE-2020-3939：攻擊者可在不經過任何身分認證情況下 , 進行Cross-Site Scripting(XSS) 攻擊，攻擊成功後可竊取使用者Cookie等資訊，此漏洞可歸類於OWASP TOP 10 2017之A7 - Cross-Site Scripting(XSS)類型中。開發廠商接獲通報後已配合儘速釋出相關更新，若機關或企業有使用此證券選股系統者，建議儘快聯繫廠商進行修補更新。中華資安國際建議採取以下防範措施：1. 使用者：聯繫廠商盡速安裝修補更新檔。2. 系統開發商：在程式開發過程中應針對輸入參數做檢查。3. 系統開發商：建議導入安全程式開發流程 (SSDLC)、事前進行安全程式碼開發教育訓練，並定期執行源碼檢測及滲透測試等安全檢測，才能有效地確保產品及用戶安全。【參考資訊】 NIST(CVE-2020-3937) (2020/02/17) NIST(CVE-2020-3938) (2020/02/17) NIST(CVE-2020-3939) (2020/02/17) TWCERT/CC(TVN-201910013) (2020/01/31) TWCERT/CC(TVN-201910014) (2020/01/31) TWCERT/CC(TVN-201910015) (2020/01/31)

資料來源：iThome2020/01/10嘉義市政府智慧科技處 資安聯合防護團隊嘉義市政府智慧科技處資安聯合防護團隊在嘉義市長黃敏惠堅持下，市府各局處都非常重視資訊安全，嘉義市議會亦在預算上全力支援。在引進中華資安國際的資安服務後，嘉義市政府亦共構資安聯合防護機制，與加入雲嘉嘉南資安區域聯防平台，除可支撐各種數位政策的發展外，亦能全方位保護市政府各機關與市民的資料安全。因應資安威脅升級為國安事件，近來行政院積極推動中央與地方政府合作方式，打造多重資安聯防體系，提升政府對資安情資掌握能力，以及落實各項資安防護作為。以嘉義市政府為例，即引進中華資安國際(CHTSecurity)的資安服務，順利完成將市府暨所屬機關進行橫向結合，共構資安聯合防護機制外，亦與雲林縣、嘉義縣、台南市跨域合作，共同建置雲嘉嘉南資安區域聯防平台。此一連串資安措施，不僅可掌握網路駭客攻擊資訊、即時情資分享與共同防護外，還能確保市民的資料安全及提升資安意識。嘉義市智慧科技處處長郭軒志指出，嘉義市政府積極推動智慧整合服務與科技應用等專案，在健全基礎網路架構之外，也從來沒有忘記資安防護的重要性。在嘉義市長黃敏惠堅持下，市府各局處都非常重視資訊安全外，嘉義市議會亦在預算上全力支援，並加入本市資安聯合防護團隊。而引進中華資安國際的資安服務後，讓市府整體資安防護能力獲得大幅提升，更有信心持續推動各種資安專案。串連市府所屬機關打造聯合防禦機制為落實智慧樂活城之施政理念，近幾年嘉義市積極推動各項智慧治理政策，運用資通訊創新科技之應用，強化公共市政服務與政府效能，滿足民眾需求、提升民眾幸福感。另外，嘉義市亦積極推動「經濟5＋1」政策，期盼成為台灣西部走廊的消費新都心，讓雲林、嘉義、北台南等近200萬人的生活消費，都能在嘉義市取得相關服務。在推動數位經濟產業時，嘉義市政府也深知有優質安全的網路環境，才有智慧科技的創新應用，讓市民感受數位智能所帶來的便利，因此也積極強化各種資安防護工作。郭軒志說，在駭客攻擊手法持續進化下，現今資安防護工作已非單一機關可完成，在配合行政院前瞻基礎建設強化資安防護、區域聯防計畫下，期盼將市府所屬機關橫向結合成資安聯合防護機制。然在市府人力有限的狀況下，唯有引進民間資安防護能量，才能有效抵禦惡意程式入侵，所以在107、108年透過公開評選作業，評估市面上合適的資安服務廠商，最後由技術、經驗兼具的中華資安國際勝出，成為市府推動資安防護政策的夥伴。嘉義市政府智慧科技處處長 郭軒志嘉義市政府智慧科技處處長郭軒志結合中華電信資安團隊資安資源發展多元防護機制台灣有不少相當優異的資安服務業者，更有12家廠商名列在嘉義市府的評選名單中。中華資安國際能連續2年勝出的關鍵，首先是中華電信資安團隊獲行政院資安服務廠商服務項目評鑑皆為「特優」之廠商，其次，則是在行政院推動的資安前瞻案中，已取得15縣市的資安聯防案，無論技術與服務能量均備受肯定。最重要的是該公司具備研發、實務、技術能力，可提供一站式事前檢測、事中監控應變、事後鑑識回復的資安產品及服務，完全滿足嘉義市政府的資安需求。在嘉義市政府全體同仁努力，以及中華電信的資安團隊的協助下，目前嘉義市已發展出SOC、ISAC、教育訓練、雲嘉嘉南區域聯防，以及端點緊急資安回應(EDR)、資安健診、網路流量檢測設備(SecuTex)、企業資安等防護機制。無論資安防護廣度與深度，均比過去有大幅進步，堪為其他縣市建置資安防護機制的參考。「在資安防護機制之外，府內許多同仁也在中華資安團隊協助下，陸續取得資安專業國際證照，包含ECSA、CEH、ISO27001LA、BS10012LA等等。」郭軒志解釋：「另外，我們也為同仁提供資安教育訓練、ISO27001:2013資訊安全管理系統內部稽核員訓練課程等等，有效提升嘉義市政府暨所屬機關的整體資安防護意識。」揪出公文系統漏洞展現聯合防護成效嘉義市政府向來非常注重資安工作，多年來亦已添購各種資安設備，但傳統資安設備只能提供功能防護，無法針對多元蒐集資訊進行分析與識別。當發生資安事件時，無法正確採證或即時通報告警，只能被動處理資安威脅。然隨著前述資安防護機制上線之後，現今嘉義市各單位資安防護已從內部延伸到外部，部分機構除了搭配電信業者採用網路端資安防護服務，更強化資安監控機制的建置，以期能深入進行資安情資分析與數位鑑識。郭軒志表示，當嘉義市與所屬機關的區域聯防建立之後，已展現出相當不錯的效益，如曾發現某公文系統存在資安漏洞。市府在第一時間通知各機關注意之外，也進一步提供自我檢查方式與進行阻擋，亦和多機關進行資安鑑識及後續追蹤處理。此種加強資安防護縱深的區域聯防機制，確實達到行政院資安處期望的資通安全管理效能外，亦實踐市政府打造健全資安防護網的目標。一套完善的資安防護機制，需要仰賴各部門配合與多設備配合，才能發揮預期成效。在嘉義市智慧科技處規畫中，未來將建置核心網路流量管理安全平台(SDN)，針對資安設備與應用主機之間的網路流量進行分析，在有效地提升資安設備的效能之餘，也可強化整體安全防護工作，還可即時阻絕各種惡意攻擊，全方位保護市政府各機關與市民的安全。

2019/12/13 中華資安國際參與CIO IT經理人所主辦之2019-20全球IT發展趨勢暨CIO大調查發表會，並由中華資安國際王信富協理分享「數位轉型下的資安思維與策略」，建議CIO們於中長期需建立以下能力：1.建立企業的資產清單、建立設備與網路的可視性2.建立企業關鍵資產(個資、交易資訊、營業秘密等)的防護、監控、應變、復原能力3.建立企業的資安管理制度與防護能力4.定期執行資安健診、紅、藍、紫隊攻防演練，即時修補缺口若企業有任何資安議題，都歡迎隨時找中華資安國際諮詢。

2019/11/5中華資安國際參與11月5舉行之ATD資安論壇暨資安人才培育成果發表暨就業媒合，其中洪進福總經理於資安論壇暢談「數位轉型之資安防護之道」，有以下重點：資安技術不只是保護價值(Protect Value)，更重要的是擴增價值(Expand Value)威脅是不可控的，企業應該將重心方在企業弱點管理(Vulnerability Management)，降低資安風險資安要做好須從管理面、技術面、教育面三方下手，建立企業資安防護體系經營者不一定要懂資安，但一定要要求企業主管知彼知己，知道威脅在哪裡?漏洞怎麼管?務實的面對風險企業主管應該掌握企業的IT資產、網路設備的可視性、監控足以動搖企業根本的惡意活動，搭配管理制度，就能有效控制資安風險此外中華資安國際檢測團隊並於會中分享「那些年，我們在滲透測試發現的奇葩案例」，引起熱烈的迴響。

2019/9/9中華資安國際游峯鵬副總受邀於108年9月19日於南港展覽館1館舉行之國際半導體展(Semicon)之資安論壇，分享「系統整合x資安- 從系統整合觀點看資安新銳」，暢談近期觀察到高科技產業/半導體產業最新的資安市場需求方向，觀察國內近期新興企業產品，從自身經驗分享產品方案合作策略建議。

資料來源：關鍵評論網 2019/10/21 數位轉型議題正熱，搭配上緊接而來的5G時代、AI應用，全球企業都想在這波轉型中抓住機會、過彎超車。尤其是最先實現轉型的商業場景，如工業物聯網、自駕車、虛擬娛樂應用等，更是大家摩拳擦掌等候應戰的新舞台。但是，在網路更加快速、新科技更加智慧、虛擬化更加普遍的趨勢下，仍存在著一個不可忽視的隱憂──那就是「資訊安全」。想像一下，當一間企業的業務有80%以上需要仰賴通網設備，或是如同純網銀這樣全面倚賴網路的商業模式，只要一受到惡意的網路攻擊，就可能產生巨大的損失，甚至影響到整體社會安全。 根據知名產業公司Frost Sullivan在2018年5月公布的研究報告，光是2017年，台灣因為資安威脅造成的損失即高達新台幣8100億元，幾乎等同全國5% GDP。甚至就連台灣科技龍頭台積電，也曾在2018年時發生產線中毒大當機，短短兩天就蒸發了52億，引發了大家對資安的關注。擁有多年資訊安全防禦經驗的中華資安國際，是台灣目前唯一可以提供一站式整合服務方案，並從網路機房端為企業進行資安防護的企業；總經理洪進福表示，在這波數位轉型下，無論是政府或企業都是希望藉由新科技帶來更智慧、自動化與效率的產出。「在新科技的出現下，伴隨而來的就是駭客與網軍的威脅，只要有需求、就會有缺口。」也因為如此，他強調，資安將是未來企業競爭力的一環，唯有安全的資安管理，才能迎戰數位轉型新時代。不只金錢損失，資安也影響人身安全在多數情形下，資安所造成的損失都與金錢相關，或是營運中斷、導致企業競爭力下降等。例如常見的「阻斷服務攻擊（DDoS）」，可能讓電商網站癱瘓、無法順利運作；或是2017年令人聞風喪膽的勒索病毒「WannaCry」，也可能對工廠產線惡意加密、直接讓生產停擺，進而要求企業支付贖金；又或者是駭客竊取企業智慧財產或營業秘密，導致企業競爭力下降，除此之外，資安的漏洞也可能影響到社會的安全。中華資安國際副總游峯鵬「萬一國家的重要基礎建設，像是通網的醫療設備、無人機、無人車等遭受到惡意攻擊，危害的就不只是金錢或競爭力，而是直接衝擊我們的生命安全。」洪進福說。不可不慎！最常見的5種資安漏洞在我們迎接數位轉型的同時，為了要避免資安漏洞造成企業損失，首先必須了解最容易發生問題的地方在哪裡，才能夠加以防範。根據洪進福的經驗指出，企業最常出現資安漏洞的地方有5處：1.網路缺口：「有接口，就有缺口。」只要連上網路，就讓威脅有機會入侵公司內部。2.系統漏洞：公司使用的系統可能具有漏洞。可以透過紅隊（Red team）的檢測，對系統進行模擬入侵攻擊、找出需要填補的漏洞。3.網站、應用端漏洞：凡是有對外公開的資訊、或是提供上載服務，甚至是Email，都讓駭客有機會直入家門。4.人員漏洞：有人的地方就會有安全缺口，因此要加強員工的資安思維，不要隨意點開惡意信件或隨意使用隨身碟等。5.供應鏈漏洞：這是許多企業忽略的關鍵。如果公司的上下游沒有做好資安，而讓惡意病毒透過交貨或交流時進入公司內部，就會造成巨大損失。Photo Credit：TNL Brand Studio建立紅藍紫隊思維，守護企業命脈既然知道常見的資安漏洞，那麼作為企業，究竟應該如何建立起完善的防備、守護企業資產，並且順利迎接數位轉型？洪進福表示，資安可分為「紅、藍、紫」三隊，紅隊是站在「不知攻、焉知防」的角度，以道德駭客的方式找出企業自身漏洞；藍隊是以守備概念，在企業管理制度、技術框架與人員訓練上進行強化；而紫隊則是站在監控的角度，全面改善公司內部的資安管理進程。因此，企業應建立三色檢測思維，以守護企業命脈。不過，中華資安國際副總游峯鵬也提出：目前企業面臨的困境在於企業資源，由於台灣多半是中小型企業，很難在有限資源下建立完整的資安團隊。然而，企業仍可以透過整合外部資安服務與內部人員管理，建立強固的防禦邊界、守護企業珍貴的資產與商業命脈。

2019/8/8中華資安國際於108年8月8日受邀參加資通安全管理法採購指引懶人包推廣說明座談會，楊士弘資深顧問於會中與眾多公務機關分享關鍵基礎設施資通安全管理法實施重點，依資通安全責任分級規劃管理面、技術面、認知訓練面進行說明。

中華資安國際Red Team團隊發現，國內知名電子郵件系統具有多項漏洞(CVE-2019-15071、CVE-2019-15072、CVE-2019-15073)，指出國內知名電子郵件系統具有跨網站腳本攻擊(Cross-Site Scripting)與未經驗證的轉址與導向(Open Redirect)等漏洞，影響範圍包含政府、教育與金融等至少約40個機構，簡述如下：CVE-2019-15071：攻擊者可在不經過任何身分認證情況下，進行跨網站腳本攻擊，郵件系統多個版本都存在此漏洞，弱點發生頁面為/cgi-bin/go，此漏洞可歸類於OWASP TOP 10 2017之A7 - Cross-Site Scripting(XSS)類型中。CVE-2019-15072：攻擊者可針對任意參數進行跨網站腳本攻擊，郵件系統多個版本都存在此漏洞，弱點發生頁面為/cgi-bin/portal，此漏洞可歸類於OWASP TOP 10 2017之A7 - Cross-Site Scripting(XSS)類型中。CVE-2019-15073：攻擊者可在不經過任何身分認證情況下，進行未經驗證的轉址與導向，郵件系統多個版本都存在此漏洞，弱點發生頁面為/cgi-bin/go，此漏洞可歸類於CWE-601: URL Redirection to Untrusted Site (Open Redirect)類型中。開發廠商接獲通報後已配合儘速釋出相關更新，若機關或企業有使用電子郵件系統者，建議儘快聯繫廠商進行修補更新。中華資安國際建議採取以下防範措施：1.使用者：聯繫廠商盡速安裝修補更新檔。2.郵件系統開發商：在程式開發過程中應針對輸入參數做檢查。3.郵件系統開發商：建議導入安全程式開發流程（SSDLC）、事前進行安全程式碼開發教育訓練，並定期執行源碼檢測及滲透測試等安全檢測，才能有效地確保產品及用戶安全。