訊息專區

大數據、AI到5G等新科技推升政府、企業對資安智慧化的需求。中華資安國際總經理洪進福說，資安智慧化除了強化企業在雲端及地端的「邊界」防護安全，更需針對各「端點」進行主動性的預防、偵測，甚至回應，為此該公司與VMware及零壹科技合作，在台推廣VMware Carbon Black新世代端點安全平台。中華資安國際總經理洪進福。 彭子豪／攝影洪進福說，VMware是公有、私有及混合雲虛擬化平台的領導者，近年推出的VMware Horizon VDI提供企業資料不落地、遠端工作持續的解決方案，VMware Carbon Black則如同資安大傘，保護用戶於雲端接口、行動裝置，甚至是自動化設備的端點安全。VMware Carbon Black共有3種保護模式，第1.提供端點智慧白名單保護機制，能依企業資安需求做嚴格掌控；第2.可以在封閉的場域中，以預測模型分析端點數據並發現惡意行為，並阻止各種類型的攻擊發生；第3.利用雲端特性，進行自動化數據分析、威脅阻擋，可以取代傳統防毒，並增加了新世代APT端點防護功能。另外，VMware Carbon Black不只針對惡意軟體、檔案進行分析阻擋，也會針對一連串的可疑威脅情境，主動進行防禦，這個特性在5G帶動的新一波AIoT應用中更顯重要。以ATM櫃員機來說，過去駭客會針對ATM端點進行攻擊，讓ATM自動吐鈔，即便是將所有ATM都進行集中管理，但在資料交換的同時還是有機會漏出破口，VMware Carbon Black的智慧白名單與監控機制即能補起漏洞。洪進福說，VMware Carbon Black在國內受到政府、金融及高科技業青睞，放眼財富美國100大企業中，超過30家企業導入VMware Carbon Black。由於中華資安國際是中華電信集團的資安專業公司，擁有眾多網通專家與資安道德駭客，又有政府、金融、高科技與OT智慧製造等領域完整資安方案，因此獲VMware肯定，成為VMware Carbon Black在台合作夥伴。鑑於5G將翻轉產業各項智慧應用，中華資安國際將與VMware更緊密合作，讓企業投入數位轉型時遠離駭客威脅與資安風險。(新聞來源：https://money.udn.com/money/story/5640/4686109)

中華資安國際Red Team團隊發現，日本知名電子郵件系統具有跨網站指令碼漏洞(CVE-2020-11734)，影響範圍包含政府、教育與科技公司等至少約10個機構。【影響範圍】CyberMail 5或之後版本【細節描述】CVE-2020-11734：攻擊者可在不經過任何身分認證情況下，進行跨網站腳本攻擊，郵件系統多個版本都存在此漏洞，弱點發生頁面為/cgi-bin/go，此漏洞可歸類於OWASP TOP 10 2017之A7 - Cross-Site Scripting(XSS)類型中。中華資安國際建議採取以下防範措施：1. 使用者：聯繫廠商盡速安裝修補更新檔。2. 郵件系統開發商：密碼保存應使用加鹽雜湊(Salt)，避免明文儲存。3. 郵件系統開發商：在程式開發過程中應針對輸入參數做檢查。4. 郵件系統開發商：建議導入安全程式開發流程（SSDLC）、事前進行安全程式碼開發教育訓練，並定期執行源碼檢測及滲透測試等安全檢測，才能有效地確保產品及用戶安全。【參考資訊】NIST(CVE-2020-11734) (2020/04/13)

系統具有多項漏洞(CVE-2020-10508、CVE-2020-10509、CVE-2020-10510)，指出此系統具有敏感資訊洩漏、跨網站腳本攻擊(Cross-Site Scripting)與權限跨越漏洞，影響範圍包含國內多家企業。【風險等級】高度威脅【影響範圍】教育訓練管理系統8、9版【細節描述】CVE-2020-10508：系統資訊未恰當保護，攻擊者可以輸入指定的URL，取得此系統中的資訊，此漏洞可歸類於OWASP TOP 10 2017之A3 - Sensitive Data Exposure類型中。CVE-2020-10509：教育訓練管理系統存在跨站腳本攻擊的漏洞，攻擊者可以利用此漏洞執行惡意腳本，此漏洞可歸類於OWASP TOP 10 2017之A7 - Cross-Site Scripting(XSS)類型中。CVE-2020-10510：教育訓練管理系統未恰當設定存取控制，攻擊者登入系統後，可透過特定網址執行未經授權的功能，此漏洞可歸類於OWASP TOP 10 2017之A5 Broken Access Control類型中。開發廠商接獲通報後已配合儘速釋出相關更新，若機關或企業有使用此教育訓練管理系統，建議儘快聯繫廠商進行修補更新。中華資安國際建議採取以下防範措施：使用者：聯繫廠商盡速安裝修補更新檔。系統開發商：在程式開發過程中應針對輸入參數做檢查。系統開發商：建議導入安全程式開發流程 (SSDLC)、事前進行安全程式碼開發教育訓練，並定期執行源碼檢測及滲透測試等安全檢測，才能有效地確保產品及用戶安全。【參考資訊】NIST(CVE-2020-10508) (2020/02/17)NIST(CVE-2020-10509) (2020/02/17)NIST(CVE-2020-10510) (2020/02/17)TWCERT/CC(TVN-201910008) (2020/01/31)TWCERT/CC(TVN-201910010) (2020/01/31)TWCERT/CC(TVN-201910011) (2020/01/31)

中華資安國際數位鑑識暨資安檢測中心發現國內、國際知名品牌的DVR影像錄影主機具有任意讀取、寫入的漏洞(CVE-2020-10513)、命令注入漏洞(CVE-2020-10514)，影響範圍至少國內數十萬台設備。【風險等級】高風險【影響範圍】2020年2 月(含)之前的韌體版本【細節描述】CVE-2020-10513： 攻擊者在具有設備管理密碼的情況下 (我們發現多數設備可能未更改密碼或是使用了經銷商更改的一組固定密碼)，攻擊者可以任意讀取、修改設備上的檔案，輕則造成設備阻斷服務 (DoS)，嚴重甚至能夠透過系統設定執行惡意命令。CVE-2020-10514：攻擊者可以透過修改設備上服務提供的API參數注入任意的命令，攻擊者能夠在受害設備上執行任意命令、程式。開發廠商接獲通報號已經配合盡速釋出相關更新，若使用者、機關或企業有使用該廠牌的設備，建議盡速更新韌體至最新版本。【建議】中華資安國際建議採取以下防範措施：使用者：聯絡經銷商或是自行更新韌體到最新版本。設備開發商：建議導入安全程式開發流程 (SSDLC)、事前進行安全程式碼開發教育訓練，並定期執行源碼檢測及滲透測試等安全檢測，才能有效地確保產品及用戶安全。【參考資料】NIST: https://cve.mitre.org/cgi-bin/cvename.cgi?name=2020-10513NIST: https://cve.mitre.org/cgi-bin/cvename.cgi?name=2020-10514TWCERT: https://www.twcert.org.tw/tw/cp-132-3533-10afe-1.htmlTWCERT: https://www.twcert.org.tw/tw/cp-132-3534-fc7f5-1.html

中華資安國際Red Team團隊發現，國內市占率相當高的知名電子郵件系統具有SQL注入漏洞(CVE-2020-3922)，影響範圍包含政府、金融與科技公司等至少約20個機構。【風險等級】重大威脅【影響範圍】2017前版本【細節描述】CVE-2020-3922：攻擊者可在不經過任何身分認證情況下，可讀出完整資料庫表單，取得user帳密進行登入，影響系統機密性，登入後可修改user密碼，影響系統完整性。此漏洞可歸類於OWASP TOP 10 2017之A1 - Injection類型中。開發廠商接獲通報後已配合儘速釋出相關更新，若機關或企業有使用電子郵件系統者，建議儘快聯繫廠商進行修補更新。中華資安國際建議採取以下防範措施：1. 使用者：聯繫廠商盡速安裝修補更新檔。2. 郵件系統開發商：密碼保存應使用加鹽雜湊(Salt)，避免明文儲存。3. 郵件系統開發商：在程式開發過程中應針對輸入參數做檢查。4. 郵件系統開發商：建議導入安全程式開發流程 (SSDLC)、事前進行安全程式碼開發教育訓練，並定期執行源碼檢測及滲透測試等安全檢測，才能有效地確保產品及用戶安全。【參考資訊】 NIST(CVE-2020-3922) (2020/03/18) TWCERT/CC(TVN-202012001) (2020/03/18)

中華資安國際金融安全評估團隊發現國內知名跨平台數位簽章軟體之弱點 (CVE-2020-3925、CVE-2020-3936、CVE-2020-3927)，指出國內知名跨平台數位簽章軟體具有不安全的API，可被攻擊者利用導致任意函式庫執行、任意讀取檔案、與刪除檔案。【風險等級】高度威脅【影響範圍】ServiSign Windows 版本，版本號 1.0.19.0617【細節描述】1.CVE-2020-3925：攻擊者可以在任意網站頁面部屬惡意JS代碼執行 ServiSign 提供之API的功能，其中 ServiSign 具有不安全的API，使得攻擊者可以任意執行使用者端指定路徑的動態連結函數庫 (DLL)。2.CVE-2020-3926：攻擊者可以在任意網站頁面部屬惡意JS代碼執行 ServiSign 提供之API的功能，其中 ServiSign 具有不安全的API，使得攻擊者可以讀取使用者系統上任意的檔案的內容。3.CVE-2020-3927：攻擊者可以在任意網站頁面部屬惡意JS代碼執行 ServiSign 提供之API的功能，其中 ServiSign 具有不安全的API，使得攻擊者可以刪除指定路徑的檔案。開發廠商接獲通報後已配合儘速釋出相關更新，若機關或企業有使用此數位簽章系統，建議儘快聯繫廠商進行修補更新。中華資安國際建議採取以下防範措施：1.使用者：確認ServiSign 版本是否是最新版本，且不在影響範圍之內。2.政府機關、企業：盡速聯絡軟體開發商修補，並通知使用者更新軟體。3.軟體開發商：建議導入安全程式開發流程 (SSDLC)、事前進行安全程式碼開發教育訓練，並定期執行源碼檢測及滲透測試等安全檢測，才能有效地確保產品及用戶安全。【參考資訊】NIST(CVE-2020-3925)NIST(CVE-2020-3926)NIST(CVE-2020-3927)TWCERT(TVN-201910005)TWCERT(TVN-201910006)TWCERT(TVN-201910007)

中華資安國際鑑識實驗室發現知名數位監控設備(DVR)之弱點(CVE-2020-3923、CVE-2020-3924)，指出知名DVR設備弱點可被攻擊者利用取得控制權限。【風險等級】重大威脅【影響範圍】1.通航TAT-76系列DVR 20191216前版本2.通航TAT-77系列DVR 20200213前版本【細節描述】1.CVE-2020-3923：TAT-76和TAT-77系列DVR設備韌體未妥適處理密碼資訊，攻擊者可解析程式內的預設金鑰資訊，破解該設備的密碼取得權限。2.CVE-2020-3924：TAT-76和TAT-77系列DVR設備韌體的更新功能，未檢查韌體更新檔之合法性，攻擊者可注入指令來取得設備權限。開發廠商接獲通報後已配合儘速釋出相關更新，若機關或企業有使用此DVR 設備，TAT-76系列DVR更新版本至20191216；TAT-77系列DVR更新版本至20200213。中華資安國際建議採取以下防範措施：1.使用者：確認DVR韌體版本是否已經更新至修補後的版本。2.硬體開發商：建議導入安全程式開發流程 (SSDLC)、事前進行安全程式碼開發教育訓練，並定期執行源碼檢測及滲透測試等安全檢測，才能有效地確保產品及用戶安全。【參考資訊】NIST(CVE-2020-3923)NIST(CVE-2020-3924)TWCERT(TVN-201910003)TWCERT(TVN-201910004)

中華資安國際RedTeam團隊發現國內知名保全門禁與差勤系統具有多項弱點(CVE-2020-3933、CVE-2020-3934、CVE-2020-3935)，指出國內知名保全門禁與差勤系統具有帳號列舉弱點與Pre-authSQLInjection及明文儲存密碼。【風險等級】高度威脅【影響範圍】Dr.ID門禁考勤系統門禁Ver3.3.2考勤Ver3.3.0.3_20160517【細節描述】1.CVE-2020-3933：攻擊者可在不經過任何身分認證情況下，攻擊者可透過此弱點列舉帳號資訊。此弱點可歸類OWASPTOP102017之A3-SensitiveDataExposure類型中。2.CVE--2020-3934：攻擊者可在不經過任何身分認證情況下，系統存在Pre-authSQLInjection弱點，可透過特定SQL語法,取得相關權限。此弱點可歸類於OWASPTOP102017之A1-Injection類型中。3.CVE-2020-3935：系統以明文儲存密碼，攻擊者可以輕易取得密碼資訊，此弱點可歸類OWASPTOP102017之A3-SensitiveDataExposure類型中。開發廠商接獲通報後已配合儘速釋出相關更新，若機關或企業有使用門禁與差勤系統者，建議儘快聯繫廠商進行修補更新。中華資安國際建議採取以下防範措施：1.使用者：聯繫廠商盡速安裝修補更新檔。2.保全門禁與差勤系統：在程式開發過程中應針對輸入參數做檢查。3.保全門禁與差勤系統：建議導入安全程式開發流程（SSDLC）、事前進行安全程式碼開發教育訓練，並定期執行源碼檢測及滲透測試等安全檢測，才能有效地確保產品及用戶安全。【參考資訊】NIST(CVE-2020-3933) (2020/02/12)NIST(CVE-2020-3934) (2020/02/12)NIST(CVE-2020-3935) (2020/02/12)TWCERT/CC(TVN-201910016) (2020/01/31)TWCERT/CC(TVN-201910017) (2020/01/31)TWCERT/CC(TVN-201910018) (2020/01/31)

中華電信子公司中華資安國際在最新公告的108年行政院資安服務廠商評鑑中，一舉拿下「SOC監控」、「資安健診」、「滲透測試」、「弱點掃描」及「社交工程郵件測試」五項資安服務全數「A級」之最高評價，也是國內唯一連續兩年獲得這項殊榮的資安服務廠商。專業技術與服務熱忱俱優本次評鑑團對中華資安國際的資安專業能力、技術優勢、服務滿意度皆給予最高評價；肯定中華資安依客戶之資產及網段的重要性進行風險盤點，提供資安儀表板、燈號指標，讓業主即時掌握整體資安風險；並針對重要資產的資安防護、監控、應變、修復，提出多種創新方案，有效提升資安威脅的偵測率及防護能力。贏在前瞻資安技術領先行政院資安服務廠商評鑑方法結合用戶滿意度評分以及專家學者組成評鑑委員進行實地評鑑，從資安國際認證、專業證照、服務流程、專業技術能力、支援人力、交付品質、創新服務價值等面向進行綜合評比，並針對各資安服務項目給予A到E級的評價。本次評鑑備受肯定的主因是前瞻的資安技術自主研發能力，中華資安國際提高資安檢測能力，將從滲透測試提升至紅隊攻防演練(Red Team)與紫隊監控服務(Purple Team)；為提高SOC資安監控的可視性，擴增了納管雲端、網路、端點的託管偵測應變服務(MDR, Managed Detection and Response)；為了驗證資安防禦、應變的有效性，提供了藍隊驗證服務(BAS, Breach and Attack Simulation)，不但幫客戶防護資安，也幫客戶驗證防護的有效性，這是帶領國內資安防護概念的一大躍進。中華資安國際為中華電信子公司，自107年起開始營運，目前已是國內最大的專業資安服務公司，團隊服務通過ISO 27001與ISO 20000雙驗證，並獲得BSI資安服務管理啟航奬、「2018 資安滲透測試攻防國際邀請賽」冠軍、「 2018 HITCON Defense企業資安攻防大賽」冠軍及情資分享特別獎、「2019 資安漏洞挖掘邀請賽」季軍、「2019 RedAlert72資安攻防競賽」亞軍等獎項，近半年更挖掘超過10個以上的重大CVE弱點，更將營業領域從傳統的IT網路資安擴展至OT、物聯網與智慧製造等新興資安領域。中華電信資安團隊中華資安國際股份有限公司為中華電信資安業務團隊成員新創成立之子公司，該團隊自2003年起開始提供企業資安服務，曾獲得BSI資安服務管理啟航奬、連續四年(ISC)2 ISLA國際「資深資訊安全專家」獎、以及ISACA高階資訊安全專家等國際大獎，並榮獲行政院資安服務廠商服務項目評鑑「特優」之廠商，專業實力深獲肯定。擁有多年的資訊安全攻防實戰經驗，統合研發、實務、技術能力，提供事前檢測、事中監控應變、事後鑑識回復的資安服務，一站式滿足政府及企業的資安需求，並已具備對上百家政府機關及企業規劃提供最佳的資安防護系統及整體解決方案的實務經驗。如需更多資訊，請至中華資安國際官方網站：www.chtsecurity.com；中華電信企業資安官方網站：secure365.hinet.net

財團法人電信技術中心(TTC)與桃園市政府合作、偕同國內外合作夥伴，於虎頭山創新園區成立「物聯網資安聯合檢測中心」，提供一站式資安檢測服務，引領台灣物聯網軟實力接軌國際資安標準，交通大學研發團隊也在揭牌現場展示智慧農業系統，參與技術交流活動。此外，TTC繼去年四月推出的物聯網資訊分享及分析中心(IoT-ISAC)平台後，今(2/17)日也宣布對一般民眾免費開放，冀望透過國內首座物聯網資安情資資料庫，提供多元內容，提升全民資安防護意識與警覺性；並提供企業線上資安檢測服務，全方位為台灣物聯網資安把關。隨著物聯網的蓬勃發展，也將帶來「萬物皆可駭」的資安隱憂，一般民眾及中小企業所使用的物聯網設備，如Wi-Fi、網路攝影機、印表機、投影機、醫療設備、農業器具等，皆可能遭受駭客攻擊。相關攻擊除影響設備正常操作、財物損失及個人隱私外洩外，也可能淪為駭客工具導致更嚴重攻擊事件；此外，物聯網垂直應用也造成各領域也面臨資安威脅。TTC自107年起執行國家發展委員會『亞洲．矽谷-強化物聯網資安防護裝備』計畫，第一期完成物聯網系統層級資安防護評估機制的建立，包含智慧家庭及智慧交通領域，也成立物聯網資訊分享及分析中心(IoT-ISAC)；第二期延續並擴增第一期成果，與桃園市政府經發局合作，偕同國際認證機構UL、中華資安國際股份有限公司及虎頭山創新園區-資安物聯網中心營運團隊(大同世界科技股份有限公司及互聯安睿資通股份有限公司)，聯合於虎頭山創新園區成立「物聯網資安聯合檢測中心」，冀望整合多方能量，共同強化智慧產業資安防護能力，提升台灣物聯網產業的國際競爭力。看好台灣企業發展IoT潛力，國際安全科學領導機構UL本次也參與第二期計畫，在「物聯網資安聯合檢測中心」導入UL IoT安全評等 (IoT Security Rating)，以國際上的IoT資安設計準則為基，融合產業標準共識，提供連網產品的資訊安全評估，並透由安全評等，在產品上標示所獲得的分級標誌，協助廠商展示產品的資安能力，亦幫助消費者在選購時能有所依據；更冀望國內物聯網廠商能經由公正第三方的國際驗證，取得國際市場的信賴。「物聯網資安聯合檢測中心」提供一站式檢測服務(One-Stop Service)，以物聯網系統端、網、雲等全面性的物聯網資安防護評估流程，提供消費者安全基準(Security Baseline)參考，有助廠商生產符合國際資安要求的產品，搶攻國際市場。目前已完成五本物聯網系統層級資安評估指引，應用範圍包含智慧家庭、智慧交通、智慧醫療及智慧農業等領域，導入實際場域進行測試後，發現多項物聯網裝置存在資安漏洞，並揭露於CVE (Common Vulnerabilities and Exposures) 平台且取得編號，有效提出預警，及早發現潛在威脅。為提升人民資安防護意識，物聯網資訊分享及分析中心(IoT-ISAC)自今日起，設置學習專區，免費開放給一般民眾使用，讓全民能夠即時獲得國內外最新物聯網相關資安情資。IoT-ISAC平臺首創物聯網資安情資資料庫，將所蒐集到的 IoT 設備之 IP 位置，藉由地理位置資料庫進行交叉比對與分析，透過視覺化的呈現，使民眾對台灣聯網設備的數量及類型等分布狀況有全面性的概觀，進而提升民眾資安防護警覺性，逐步實踐『資安即國安』目標。未來企業會員也可透過IoT-ISAC平臺，主動上傳物聯網裝置清單，檢測是否有存在既有資安弱點情資，達到早期預警目的，降低物聯網設備受駭客攻擊風險機率。IoT-ISAC平臺目前有30餘家企業會員，歡迎更多的企業及政府組織加入，共同維護台灣物聯網資訊安全。