訊息專區

中華資安國際長期關懷弱勢團體，支持社會公益機構，今年中秋更以行動支持公益團體心路基金會，讓全體擁有身心靈皆富足的中秋節，並獲得高雄市政府頒發獎盃，感謝中華資安國際一同為公益付出。新聞來源：高雄市政府

三竹資訊的企業簡訊事業群採用中華電信「HiNet WAF網站應用防火牆」過濾惡意存取，確保網站免遭駭客癱瘓、竄改，贏得業界好口碑。三竹資訊為台灣大型資訊服務軟體業者，自1991年創立以來，經營方案主要聚焦於金融、證券相關之資訊軟體服務，結合科技應用與產業知識等核心價值，同時積極與硬體商及電信業者合作，三竹資訊旗下的眾多資訊系統皆為市場翹楚，包含金融智慧語音下單與行動資訊等服務，在台市占率均超過90%，同時商務簡訊的發送量亦居於全台之冠。導入「HiNet WAF網站應用防火牆」，維繫金融交易整體安全性三竹資訊的商務簡訊服務範疇涵蓋民生消費等各領域，特別是金融相關產業，例如，日常信用卡消費通知簡訊、網路銀行身份驗證簡訊等。三竹資訊企業簡訊事業群副總經理吳育霆指出，對銀行業者而言，簡訊認證服務也是金融交易的一環，因此流程中所有相關的環節都須比照相關金融資安管控要求，以確保整體交易過程的可靠度與正確性。為配合金融客戶打造更安全的服務環境，三竹資訊針對企業簡訊系統網站導入了中華電信「HiNet WAF網站應用防火牆」服務，以租賃方式快速強化網站的安全性，加上中華電信旗下的中華資安國際專業攻防團隊，協助進一步稽查、分析網站的連線是否為惡意的，及早阻斷潛在威脅，幫助三竹資訊以最少的資源提升企業簡訊系統的網站安全性。揪出不明連線，防護零日漏洞，及早阻斷網站被駭風險吳副總說明：「中華電信『HiNet WAF網站應用防火牆』整合了國際資安大廠的防護設備，能過濾來自駭客的惡意入侵，確保簡訊系統網站的完整與安全性；並於每日、每週、每月定時提供防護報表，除了可以給予三竹資訊參考外亦可提供給三竹簡訊服務之使用客戶作為查核佐證之用途，此外同時支援專業的資安攻防顧問，協助分析、判讀、應變，一方面滿足金融交易流程間的安全性要求，同時也能提供給網站設計團隊改善弱點的方向與顧問諮詢，即使網站開發者未能即時修正最新發佈之網站漏洞，HiNet WAF也能提前給予安全、周延的網站防護服務。」吳副總也分享了使用HiNet WAF資安統計圖表的經驗，從報表中就能觀察到所有進入網站連線的各種行為，這其中除了客戶的正常系統使用外，不乏有各大搜尋引擎的爬蟲程式來造訪，當然，也曾發現來自歐洲或中國等「行跡可疑」的連線。這些連線經過中華資安國際的專家團隊分析後發現，疑似是駭客集團透過自動化工具來連線「檢測」，企圖從網站中找到弱點。透過報表可以一目了然的掌握客戶連線狀況與潛在風險，進而利用HiNet WAF建立黑名單阻斷惡意連線，避免衍生更嚴重的資安損失。通過金融業例行資安稽核，滿足客戶續約所需安全感自今(2021)年3月完成了中華電信「HiNet WAF網站應用防火牆」建置後，三竹資訊從中獲得的最大效益，就是讓金融客戶群有更信賴的服務網站，而這種安全感是源自於專業的科學數據分析來佐證的。身為金融交易服務中的一環，三竹資訊轄下的服務經常會有來自客戶的資安稽查作業，也就是由業者的資安團隊、或其委託的第三方資安顧問公司到訪，針對系統、文件、管理流程等諸多層面檢驗，例如，資安防護系統是否具備完整報表、網站漏洞修正進度、軟韌體更新時程等，除了資訊系統面的技術問題，與系統相關的日常維運作業流程也會是客戶稽查的部分。「就商務簡訊系統的網站防護為例，這些資安稽查團隊會針對可能發生的入侵狀況提出疑慮，而三竹資訊就要備妥相關資料來佐證我們的網站與資訊系統有能力抵禦這類惡意攻擊，這時中華電信HiNet WAF紀錄的報表就能提供具公信力的佐證，為網站的安全性背書。」吳副總表示，三竹資訊合作的金融企業頗多，因此每年度都會有定期對三竹資訊的稽查工作，倘若安全防護不確實而導致稽查結果不理想，將無法得到客戶的信任以致可能面臨客戶流失，這是企業營運最不樂見的。報表分析詳實，助工程師修補網站漏洞為回應金融客戶高標準的安全稽核，三竹資訊會定期尋求專業的資安團隊協助網站進行弱點掃描與滲透測試，藉此揪出漏洞並加以補強，強化網站系統的資安防護力。針對網站防火牆的設置，吳副總表示，三竹資訊早在2019年就開始評估導入HiNet WAF來強化安全性，初期評估的方案為購入硬體設備；但由於建置成本較高，且維運這些設備必須要有專業的資安人員才能充分發揮其效益，然而資安人才的成本也很高，考量總體成本後只能暫時擱下，直到中華電信推出「HiNet WAF網站應用防火牆」，並經過充分了解服務內容後，決定嘗試導入相關方案。「中華電信集團是我們長期配合的資安夥伴之一，先前委託檢測網站弱點掃描時就觀察出他們的專業，除了技術領域的專業，中華資安的團隊表達與溝通能力也很全面，能幫助我們的工程師迅速掌握弱點的關鍵問題。」吳副總表示，部署「HiNet WAF網站應用防火牆」時，中華資安的團隊也都能積極協助調整HiNet WAF功能：「透過HiNet WAF導流後，提供給用戶瀏覽器的網站SSL憑證會有所異動，為了因應三竹資訊的網站所需，也配合改善網站SSL憑證機制，以符合客戶端的瀏覽器要求。」借力使力，打造讓客戶安心的資訊服務本身也是技術出身的吳育霆副總，多次提及資安專業團隊的重要性，他認為資安重要的是防護知識，也是導入資安方案時的必要考量。以「HiNet WAF網站應用防火牆」為例，需要專業人員針對最新的技術漏洞有一定程度的理解，不斷調校之後才能達到最佳效果，考量事業群內部暫無此類全方位資安專職人員的情況下，尋求中華電信集團的資安團隊這樣的專業服務，才能確保網站萬無一失。從報表與紀錄上觀察，三竹資訊在企業簡訊的網站防護成果相當顯著，配合中華電信集團的資安團隊協助，能為客戶打造出更安全可靠的資訊服務，隨著最新的「三竹智選股」、「三竹股市TV」等應用程式大受好評，三竹資訊也逐步規劃讓相關資安方案落實到各個資訊服務上，藉以構築更安全的系統環境，目標就是讓所有使用者都能從三竹資訊推出的服務中安心獲利。HiNet WAF: 請按此企業資安網站：https://secure365.hinet.net諮詢電話：0800-080-365新聞來源：iThome

隨著 5G、AI、物聯網等智慧應用興起，大量的設備增加了連網功能，舉凡網路攝影機、電視、燈泡、車輛、醫療儀器、工業製造機台等，新科技雖為智慧生活、智慧城市帶來了新契機，然而隨之而來的資安風險大增，引發眾多資安事件使得受駭的物聯網設備設備導致資料外洩、隱私受侵害、營運中斷、財務損失，甚至成為殭屍網路被用於其他攻擊，嚴重者更可能造成網路癱瘓或性命危害。針對智慧聯網設備營運安全防護，中華資安國際提供 IoT 物聯網資安服務，包括開發階段 SSDLC ( 安全的軟體開發生命週期 ) 輔導，協助設備商從根本提升系統安全性；於交付階段提供檢測服務，進行不同層面的測試，從硬體、軟體及無線通信界面，模擬駭客攻擊手法進行檢測，甚至以逆向工程手法，嘗試找出任何可能的入侵管道，以利事先修補漏洞。在物聯網設備上線營運階段，更協助監控與管理，超前佈署駭客誘捕蜜罐 ( Honey Pot ) ，一旦資安事故發生，即協助處理與鑑識。中華資安國際 IoT 服務說明。2020 年初國內曾發生 ISP 有近 300Gbps 大流量的 DDoS 攻擊事件，中華資安國際的專家團隊進行攻擊溯源與威脅誘捕，發現有高達22萬台特定型號的網路攝影機 ( IP Cam ) ，其中的3萬多台被入侵控制做為殭屍大軍，占有高達七成的攻擊量。在掌握駭客入侵管道與攻擊手法後，有效阻斷受駭的物聯網裝置，大幅縮短事件的應變時間，中華資安國際提供的網路資安聯防，助全台佈下嚴密的智慧城市防護網。中華資安國際至今協助多家IoT設備進行資安檢測，包括網路攝影機 ( IP cam ) 、門禁系統、數位監控設備 ( DVR ) 、印表機等設備，其中不乏許多國際知名且國內廣為使用之廠牌。現階段物聯網設備最常見的弱點包含對外曝露的管理界面、身份認證強度不足、連線及資料未加密等，不論是設備製造商或是使用設備之企業，都建議尋求專業資安公司進一步確認，從源頭提升 IoT 設備安全。除了擁有紥實的資安技術，中華資安國際在過去一兩年內累積挖掘了超過40個以上的重大公共漏洞和暴露 ( CVE ) 漏洞，其中不乏常見的物聯網設備的資安漏洞；此外，其「數位鑑識暨資安檢測中心」於去年正式通過 ISO 17025 認證，目前正在發展 IoT 資安檢測實驗室增項認證，可以提供企業針對 IoT 設備之逆向工程、模糊測試、滲透測試與資安規範檢測等。該公司長期致力於資安威脅情資之研究與追蹤，並將相關情資應用於「防駭守門員」等產品，協助企業用最簡單、最節約的方式，守護物聯網安全。近期亦參與「經濟部科技研究發展專案智慧城鄉生活應用補助計畫」的實際場域，協助進行全面像安全檢測，打造安全可靠的新世代智慧城市。中華資安國際協助國內15個縣市完成資安區域聯防，也協助眾多重要政府機構、關鍵基礎設施、金融業、高科技製造業以及醫療場域進行資安檢測與防護，唯一連續三年獲得行政院資安服務廠商評鑑五項服務項目全數皆「A級」之最高評價，獨步全台。以多年的資訊安全攻防實戰經驗，提供事前檢測、事中監控、事後鑑識應變與回復的服務，一站式滿足政府及企業的資安需求，服務兩百多家政府機關及大型企業以及兩萬多家中小企業。新聞來源：工商時報

物聯網設備超出了安全控制的範疇，未受管的IoT和OT設備佔企業網路設備的30%以上。組織需要這些設備來支持自己的業務，但是又不能信任這些設備！物聯網設備存在巨大的網路安全風險，因為他們基本上不受監管，通常也都帶有漏洞，並且不受對外訪問的限制。很少讓參與採購的安全團隊發現，由於這些設備的構建方式極其多樣化，生命週期長，並且未得到傳統安全控制方案的覆蓋，因此保護這些設備非常具有挑戰性！CHT Security、Palo Alto Networks、鉅晶國際攜手線上開講，當天將有情境劇，以及辦公場域與醫療IoT OT資安參考架構介紹。各方專家開講，平時可是一位難求，機會非常難得！敬邀您於線上直播研討會一同探討IoT安全的重要性。●時間：2021/7/30(五)下午2:00-3:00，準時開播●費用：免費●LINE Points、藍芽喇叭、訂製造型面紙盒等多樣好禮等您來拿！●主辦單位：中華資安國際、Palo Alto Networks Taiwan、鉅晶國際●活動備註：1.電子禮券將於會後統整，以Email依序寄送兌換碼，故回填問券時請務必提供正確資訊。2.主辦單位保有報名資格審核權及變更活動內容、議程、講師、贈品等相關之權利。

全台受疫情影響，多數公司需辦理遠距或居家辦公，在讓員工方便辦公的狀況下，往往讓駭客有機可乘，對於資安經費有限的中小微企業來說更是一大風險，為保護廣大的用戶，中華電信與中華資安國際特別聯手推出早鳥優惠專案，搭配線路一起購買，資安防護閘道最高可享68折優惠，讓企業輕鬆享有最即時的防護 ! 員工順利辦公，網管輕鬆，老闆放心 !阻擋釣魚網站 ! 防病毒感染 ! 防駭客入侵攻擊 !與防火牆不同，不需設定、簡易安裝省麻煩！價格親民 ! 基礎防護最完整 !更多詳情請參閱活動網址：https://secure365.hinet.net/liteutm#

台灣長期以來極為重視高科技產業發展，也同時培植了極佳之資安實力，中華資安國際總經理洪進福認為國內資安公司可藉由拓展國際市場加速成長。Long-standing emphasis on high-tech development means Taiwan is well prepared to meet increased demand for information security. Jeff Hung (洪進福), general manager of Taipei-based CHT Security Co., sees the situation as a golden opportunity for homegrown companies to expand their target markets by going global. Established in 2018, the company is a subsidiary of Chunghwa Telecom Co., Taiwans largest telecommunications service provider. It offers security risk assessment and management as well as digital forensics for consumers, enterprises and government agencies, with its next-generation defense technologies receiving a U.S.-based Infosec Excellence Award and U.K.-based Infosec Quality Award.Given the rapidly changing threat landscape, cybersecurity solutions providers like CHT Security must continuously evolve to keep apace. The inclusion of cybersecurity in the six core strategic industries is a huge boon to those in the business, Hung said. The policy brings expanded government assistance with experimentation facilities, finance, talent cultivation, technology and regulatory frameworks.According to CHT Securitys Hung, public-private and cross-sector partnerships are also playing a crucial role in delivering results and meeting the policys objectives. For our part, were ready to team up with other ICT companies to bring secure products utilizing entirely homegrown hardware and software components to the international market, he said. Through collaboration and strong government support, Taiwan is set to become a worldwide leader in cybersecurity.(Photo by Chin Hung-hao, Design by Lin Hsin-chieh)Source:Taiwan Review

關於汽車產業的安全定義，中華資安國際總經理洪進福也提出說明，讓大家容易理解。他表示，在汽車產業的安全定義中，可以區分為兩大部分，包括了功能安全（Functional Safety），以及資訊安全（Cyber Security）。而在車聯網的發展趨勢之下，資訊安全已經與煞車功能一樣屬於行車安全的基本需求。基本上，功能安全的規範在汽車領域早已經成熟，在ISO 26262規範中，焦點在於危害分析與風險評估（Hazard Analysis Risk Assessment，HARA）。簡單而言，這是基於封閉框架的假設，針對意外所造成的功能失效進行安全性評估；而在ISO/SAE 21434安全標準中，討論的焦點在於威脅分析與風險評估（Threat Analysis and Risk Assessment，TARA），主要是將外部威脅納入評量，它的前身是SAE J3061，在2015年就已經提出，這也意謂著汽車工程協會很早就關注，不過直到今年才預計要正式發布。特別的是，洪進福也給出不同面向的意見，例如，關於聯網汽車網路安全規範，所適用的對象，會有製造車廠或車隊服務商的角色之別，他認為，這是大家可以思考的問題。新聞來源：iThome影片來源：鴻海研究院

疫情讓愈來愈多企業採用在家上班模式，加速遠端工作的發展進程，在數位轉型過程中，伴隨更多資安風險。人們要防範病毒的感染，各種工作與上課設備也要防範駭客的入侵，保護資料的安全，這些都可以從建立正確資安觀念開始。「經濟部工業局跨域資安強化產業推動計畫」推出「WFH資安週線上快講」，從7/12(一)開始，進續5天每天下午4點開講，由資安專家用深入淺出的方式告訴大家在家工作如何防駭，讓更多企業人士具備資安意識，展開資安防護行動。2021/7/13(二)下午16:00，由中華資安國際資安顧問謝正豪主講VPN安全。無論分流或居家上班，要連上公司內部網路就要用VPN，這也是駭客首要攻擊的對象，這一場告訴你VPN有什麼資安風險，要如何選擇適合VPN，如何為VPN做好資安把關。謝正豪目前在中華資安國際擔任資安顧問，負責資安整體解決方案規劃，訪談客戶需求並給予全方位資安建議，主要客群為金融證券產業、政府部門及國營事業、製造業、流通業等。直播網址YouTube。報名網址活動報名。

2020年台灣資安產值552億元，達11.9%高成長，相當吸睛。中華資安國際總經理洪進福表示，政府重視、法規趨動、企業數位化、智慧化和雲端化趨勢，加上5G、AIoT、智慧城市、智慧製造等應用，越來越多新科技帶動智慧和聯網需求，觸發新的資安挑戰，也帶來龐大商機。中華資安為國內最大MSSP（資安專業服務商），服務涵蓋資安檢測、資安防護監控、事件應變鑑識、顧問服務，實務經驗豐富，成立以來獲獎無數，2020年至今獲有BSI資訊服務品質深耕獎、中華徵信所評鑑「其他資訊服務業第一名」、行政院資安服務廠商評鑑五項資安服務全數「A級」，並獲ISO 17025認證數位鑑識暨資安檢測中心、ISO20000、ISO27001。其提供多種解決方案包括網路資安產品、端點防護產品、身份識別產品等，也包含整合性資安防護與資安風險控管解決方案。中華資安國際 WFH(Work From Home) 三合一解決方案架構圖。因應WFH(Work From Home)居家辦公需求，中華資安推出整合企業網路閘道、端點軟體、雙因子認證載具的三合一解決方案，協助企業建立安全的遠端連線機制，不僅能強化身份驗證強度，也能大大提升網路活動的可視性，實現遠距辦公之資安升級。針對勒索軟體攻擊、網站入侵、APT等網路攻擊，中華資安之新世代SOC監控服務，包含資安風險管理作業、情資分享、整合MDR提升可視性與主動回應、巨量日誌情資回溯分析、SOAR自動化、ML分析應用、藍隊驗證(BAS)等新技術，達成偵測、判斷、告警、處理等智慧化應變程序，成為近期廣受採用之主力解決方案。此外，中華資安也開始推出一系列以SecuTex為家族名稱的自主資安產品，包含SecuTex NP網路防護和SecuTex ED端點防護產品，將更強化其閘道與端點聯防之解決方案，預期這些自主研發產品將積累中華資安的專業技術與經驗，有助未來朝IPO及進軍海外市場之中長期目標邁進。新聞來源：工商時報

中華資安國際Red Team團隊發現，國內某校務資訊系統具有多項漏洞(CVE-2020-10505、CVE-2020-10506、CVE-2020-10507)，指出此系統具有SQL Injection、任意檔案下載與任意檔案上傳(RCE)弱點，影響範圍包含國內多家企業。【風險等級】高度威脅【影響範圍】校務資訊系統2020前的版本【細節描述】CVE-2020-10505：攻擊者可在不經過任何身分認證情況下，進行SQL injection攻擊，攻擊成功後可對資料下達任何資料庫查詢語法，此漏洞可歸類於OWASP TOP 10 2017之A1 - Injection類型中。CVE-2020-10506：攻擊者可在不經過任何身分認證情況下,進行任意檔案下載攻擊，攻擊成功後可竊取伺服器上任何檔案，此漏洞可歸類於OWASP TOP 10 2017之A5 - Broken Access Control類型中。CVE-2020-10507：攻擊者可在不經過任何身分認證情況下，進行任意檔案上傳攻擊，上傳功能未恰當的過濾的檔案格式與檔名，成功後便可執行任意程式碼。此漏洞可歸類於OWASP TOP 10 2017之A5 - Broken Access Control類型中。開發廠商接獲通報後已配合儘速釋出相關更新，若機關或企業有使用此校務資訊系統，建議儘快聯繫廠商進行修補更新。中華資安國際建議採取以下防範措施：使用者：聯繫廠商盡速安裝修補更新檔。系統開發商：在程式開發過程中應針對輸入參數做檢查。系統開發商：建議導入安全程式開發流程（SSDLC）、事前進行安全程式碼開發教育訓練，並定期執行源碼檢測及滲透測試等安全檢測，才能有效地確保產品及用戶安全。【參考資訊】NIST(CVE-2020-10505)(2020/04/15)NIST(CVE-2020-10506)(2020/04/15)NIST(CVE-2020-10507)(2020/04/15)TWCERT/CC(TVN-201912001)(2020/04/15)TWCERT/CC(TVN-201912002)(2020/04/15)TWCERT/CC(TVN-201912004)(2020/04/15)