訊息專區

中華資安國際數位鑑識暨資安檢測中心發現國際知名寵物攝影機之弱點(CVE-2023-28704)，指出此設備因未對特殊參數做過濾，攻擊者不須權限，即可在藍芽網路環境下利用此漏洞進行Command Injection攻擊。【風險等級】高度威脅【影響範圍】狗狗攝影機韌體版本：542套件版本：237.144【細節描述】CVE-2023-28704：狗狗攝影機之設備日誌紀錄功能未對特殊參數作過濾，導致攻擊者不須權限，即可在藍芽網路環境下利用此漏洞進行Command Injection攻擊，執行任意系統指令，進而對系統進行控制，並中斷服務。開發廠商接獲通報後已配合儘速釋出相關更新，若機關或企業有使用此設備，建議儘快聯繫廠商進行修補更新。中華資安國際建議採取以下防範措施：1.使用者：隨時保持產品更新於最新狀態。2.政府機關、企業：盡速聯絡軟體開發商修補，並通知使用者更新韌體。3.韌體開發商：建議導入安全程式開發流程(SSDLC)、事前進行安全程式碼開發教育訓練，並定期執行源碼檢測及滲透測試等安全檢測，才能有效地確保產品及用戶安全。【參考資訊】https://www.twcert.org.tw/tw/cp-132-7153-68f52-1.html

中華資安國際宣布其自主研發產品SecuTex 先進資安威脅防禦系統榮獲COMPUTEX 2023之Best Choice Award，SecuTex系列產品包含網路防護NP (Network Protection)與端點偵測ED (Endpoint Detection)兩大部分；其中SecuTex NP網路防護就像是網路行車紀錄器一樣，可以全時側錄網路封包、偵測入侵活動、鑑識分析事件，還能結合沙箱分析與專家解析，是網路資安管理、重現事件現場的資安利器；SecuTex ED端點偵測則是端點電腦的健診檢測軟體，納管GCB政府組態基準、檢視軟體更新、偵測惡意活動等，全盤掌握企業端點的資安合規良莠與威脅風險程度，是企業資安管理的利器。本次評審根據產品技術、創新以及市場潛力來評選，SecuTex系列產品是中華資安國際的專家團隊在處理大量資安攻擊防禦與事件調查後，開發出來的資安偵測防護解決方案，能夠脫穎而出獲獎主因包括SecuTex NP支援1Gbps以上全速側錄不掉封包，擁有豐富的威脅情資來支援黑名單與入侵偵測，提供300種以上檢索條件，完整保存網路封包、重現事件現場與入侵根因；SecuTex ED則著重在持續改善端點設備之合規與曝險情況(Device Posture)，能迅速檢測端點設備合規程度，並找出可疑之檔案、程序、網路連線等，以資安治理的角度，提高端點可視性與掌握資安風險。中華資安國際總經理洪進福表示，今年二度獲得Computex獎項意義非凡，去年榮獲首屆「COMPUTEX Best Choice Award資安服務獎」，更獲總統接見，是對中華資安國際在資安服務專業的肯定；今年自主資安產品獲獎，則是對中華資安國際從服務公司擴展為資安產品公司的重大鼓舞。目前SecuTex產品已經在政府、金融、關鍵基礎設施、教育等重要場域取得銷售實績，並已成功銷售至海外，預期今年也會有更強的成長力道。中華資安國際為國內最大資安專業服務商，擁有多年資安攻防實戰經驗，團隊取得ISO 27001、ISO 27701、ISO 20000、與ISO 17025、IEC 62443等認證，更是國內唯一連續4年獲得行政院資安服務廠商評鑑五項資安服務全數「A級」之優質資安服務公司，提供資安檢測、資安防護監控、事件應變鑑識、自主研發之資安產品等，協助企業進行資安防護。

自2010年由John Kindervag提出Zero Trust Model，提倡一種安全的模型、策略或模式，後來Google在2014年也發表Beyond Corp的零信任概念及實作，Google、Netflix、微軟等科技大廠紛紛導入，美國國家標準與技術研究院（National Institute of Standards and Technology）也在2020年發表NIST SP800-207標準，作為實踐的參考，更在2023年發表雲原生服務如何實作零信任。不只民間業者，美國政府也大力推動，例如白宮在2021年發表零信任戰略，推廣聯邦政府採用零信任架構，美國國防部則是提出零信任能力藍圖。臺灣方面，從總統府、行政院、數位部到金管會也開始動起來，政府計畫在T-Road全面導入零信任管理制度，並在2年內輔導A級機關導入零信任，之後再擴大到B級機關及地方政府。去年數位部成立，以2年內針對資通安全等級A級機關輔導優先導入零信任網路架構為目標，為鼓勵擴大參用，資安院則進一步提出身分鑑別、設備鑑別、信任推斷三階段導入。金管會也在2022年底推動金融資安行動方案2.0，鼓勵金融產業採用零信任架構，來強化連線驗證及授權管控。零信任受到各界關注，但企業要導入應從何處下手，中華資安國際經理邱品仁在今年臺灣資安大會說明零信任概念及實作，供想要導入零信任的企業參考。首先，他以NIST SP800-207提出的零信任架構（Zero Trust Architecture）作說明，零信任的核心是將企業內部資料、服務視為資源。過去作法是，登入VPN後等同內網，預設可使用企業內部資源的觀念，而在零信任架構中，在要求存取的裝置、企業資源之間，應設置政策落實的控管節點（Policy Decision/Enforcement Point, PDP/PEP），以盡可能完整、精細的落實存取控管。NIST提出零信任的邏輯架構，PDP/PEP扮演關鍵的存取控管元件。例如使用帳號密碼登入企業電子郵件，傳統上，不論是在職或離職員工、約聘員工或合作廠商，任何人只要知道帳號密碼就能登入，為等同原則，零信任架構則對身分定義要求更完整的控制，對登入請求區分身分信任區間、信任程度有多少，像是工讀生能不能存取ERP或研發資料庫，在零信任架構中需要進一步思考、落實控管，不只是身分識別，請求存取的連線裝置也應被納管，連線裝置是否有足夠的安全保護完整性也需要納入考量。另外，傳統在VPN連線登入後，在隱性信任區內預設可連線存取企業內部資源，但在零信任架構則要儘可能縮小隱性信任區（Implicit trust zone），換言之，更嚴格的控制存取企業資源。組織導入零信任架構的7項原則，幾項重點包括，企業內部資料與服務均視為資源，需要進一步落實控管的標的。其次，不論網路所在位置，都要確保通訊是安全的，不只是授權，包括網路傳輸的安全性，連線需以加密進行傳輸。還有，企業資源存取的授權應以單次請求單次授權為主。企業也應採取動態政策（Dynamic Policy）控管資源的存取，動態政策根據終端用戶的身分、應用及服務、資產狀態，包含行為或環境的改變而動態調整。邱品仁指出，企業必需清楚員工或訪客使用什麼裝置，是企業納管的裝置或是個人的裝置，定義對應的管理監控機制，企業資源的授權存取也要呼應動態政策，應該有一套信任歸納演算法，NIST SP800-207中定義信任歸納演算法應該納入哪些資訊、如何演算，要強制在資源存取授權之前執行。企業應該儘量蒐集資訊，包含身分、登入後的活動，持續性的驗證行為是否有異常，例如發現異常存取大量的資料，應該撤除授權、發出告警。6個假設前提零信任落實到網路管理有6項假設前提。邱品仁指出，首先企業要假設網路內任何地方都是有風險的，要假設已有攻擊者潛伏在企業網路內，這意謂著，所有連線要通過認證，以及加密傳輸。以Netflix為例，不論員工是否在辦公室，假設員工是在星巴克上班，以此來建構他們的零信任防護策略。其次是，包括員工裝置、員工BYOD裝置、合作夥伴、承包商、訪客使用的裝置，企業應該都要有對應管控方式。而當裝置要存取企業資源之前，也需要評估這些裝置的安全狀態（Security posture）。邱品仁指出，當員工在外面的星巴克上班，透過網際網路連線時，除了提供DNS解析等基本網路能力，還需要通過零信任控管機制，管理員工在外存取企業資源的授權。在零信任的架構下，需假設遠端存取企業資源，即使是來自本地端網路的存取也有風險，可能遭竊聽或是中間人攻擊，所有存取的需求都應該被認證、授權確認，以確保通訊的安全及完整。最後，考量到存取裝置移動的可能性，例如出差或旅行，需維持持續的安全政策及確保裝置的安全狀態。儘管NIST SP800-207描繪出理想中零信任的架構設計，邱品仁認為，企業不需要因為內部現況和NIST的架構設計不同，急於找廠商規畫導入，企業可以檢視所使用嚴格遠端存取機制，對照是否與零信任框架、精神相符合。「企業很可能已做到零信任的6成或7成，只是企業自己並不知道」。零信任架構的10項網路需求NIST SP800-207也列出零信任架構的10個基礎網路需求，例如對於企業的資產提供基礎的網路連線，例如LAN、DNS等；應該能區分裝置的安全狀態，是屬於企業的資產或是應該被納管的員工資產，給予不同的存取策略及授權；企業要能掌握所有網路的流量，同時對存取行為保持可視性。為了加強對企業資源的保護，零信任架構也要求資源不應在沒有PEP（Policy Enforcement Point）存取閘道的存取控管下提供存取。邱品仁指出，部分的企業可能會擔心內部沒有PEP政策執行節點，實務上每家企業做法不同，他建議可對照現有存取管控做法，有些企業是以VPN作為PEP。10項需求中，其他還包括Data Plane和Control Plane要落實邏輯上的區分，必需確保企業的資產可以連到PEP；在所有流程中，只有PEP可以存取、觸碰等等。在零信任架構中，PEP扮演使用者或設備來存取企業資源時的閘道控管角色，而PEP負責政策執行，其中的決策引擎仰賴信任演算法。邱品仁表示，所有的資產裝置清冊、政策管理等等，都應該被納入信任演算法之中，和政策關聯後再落實執行，「每一次存取請求都要被妥善檢查，確保安全性比以往只依靠帳號密碼或2FA驗證要來得高很多」。大廠怎麼做假設企業希望一個應用系統只提供財務部門存取，在妥善控管的裝置上存取，地理位置上限制只有臺灣地區能存取，要有足夠強度的認證機制及加密傳輸，應該如何做？邱品仁以Google的BeyondCorp說明零信任概念及基礎實作，在BeyondCorp的元件及存取流程示意圖Access Control Engine，相當於NISP SP800-207的PEP政策執行節點的PDP決策引擎，透過信任演算法，持續從各管道取得資料，包括安全識別及驗證裝置的Device Inventory Database、端點防護資料等等，將Access Control Engine引入至Access Proxy，作為存取放行與否決策的參考，員工不論在內部或是外部，透過SSO單一簽入或內網透過RADIUS進行網路存取的資訊派發。在BeyondCorp有幾項關鍵的基礎原則與實作，首先是對存取裝置進行識別與驗證，建立Device Inventory Database來納管裝置及裝置的狀態。其次是對人的識別及驗證，包括建立使用者（User）與群組（Group）資料庫，並整合SSO單一簽入系統，邱品仁指出，如同NIST要求企業盡量將身分識別系統集中作有效的管控，而非讓不同的團隊各自有自己的身分識別系統，否則將影響零信任策略執行的完整性。另外，在BeyondCorp去除了預設信任特定網路的原則，不再採用邊界的概念，預設將所有人放在沒有特權的網路（Unprivileged Network），建立基礎低權限存取網路，透過Access Porxy存取企業服務。為了方便從外部存取，更將企業服務註冊到外部的Public DNS Entry，使用者只要連到對應網址，就會被導入Access Proxy進行SSO，通過驗證後才放行。Google建立基於Inventory的存取控管機制，基於對人與設備，執行動態政策（Dynamic Policy）及落實執行。Netflix在2018年分享他們的作法，稱為LISA原則，邱品仁表示，其主要精神包括信任身分及健康度，並且去除原本對辦公網路（Office Network）的預設信任，裝置之間彼此隔離，禁止裝置間的溝通，他們假設使用者在咖啡店存取網路，當辦公室有一臺裝置被入侵，雖然可以存取Internet，但裝置彼此之間隔離，當被入侵的裝置要存取AWS的企業資源時，就會受到管控。在LISA網路架構下，使用者通過Switch Private VLANs，經由Firewall ACLs存取控管，從LISA網路欲連至AWS或資料中心，需進一步通過VPN檢查裝置健康狀態，再進行身分及多因子驗證、進行流量側錄後，才允許裝置存取企業的資源。網路存取落實嚴格控管，盡量減少控管例外，對於少數的例外情形，基於安全僅開放有限存取。另一家科技大廠微軟在落實零信任提出4種情境，首先，應用系統及服務有能力作多因子驗證、檢查裝置安全狀態，其次是員工可以註冊自己的裝置接受納管，確保裝置安全裝置，可獲得的對應資源存取權限，第3是即使員工或訪客使用未納管裝置仍可存取企業資源，但要定立存取控管機制，第4是存取權限最小化，甚至精確到特定功能。當使用者透過裝置存取時，需通過MFA、所在位置、使用何種裝置、存取何種資源、是否有風險、例外規則。微軟將內部員工經常使用的資源，例如Microsoft 365導入零信任，並延伸到合作夥伴及廠商。針對存取公司資源的裝置，不論是公司或是個人使用的裝置，都要由微軟的裝置管理系統納管。企業導入零信任架構，可參考NIST SP800-207對遷移ZTA架構的建議，以及CISA提出的零信任成熟模型，其中CISA對資料、裝置、身分、網路、應用服務及工作負責，分別定義4種階段的成熟度，讓企業自行評估現況，逐步推動零信任成熟度。此外，美國國防部（DoD）也提出自己的零信任策略，同時提出DoD如何從現有的IT架構，慢慢引導往零信任目標發展的3個行動方案。邱品仁認為，企業導入零信任可參考相關的標準及框架，但導入零信任並非毀減性的IT作法，而應該循序漸進的引導。「零信任是資安的策略或原則，並非產品」，邱品仁指出，企業可以參考零信任架構ZTA，但不能只是依據架構的項目，一一比對自家作法列出還沒做的事，而忽略了ZTA是一套標準的框架及架構，企業應該辨識出自己和這個架構的落差來補強。當企業要導入零信任，3到6個月內可先選出需要先應用的關鍵服務及區域、使用情境，對照零信任架構，從資產等級、風險等級、必要性，列出引導零信任的順序，確認現況和目標的落差，爭取預算強化。在6到12個月進入POC，包括強化現有管控機制，或是建立Greenfield或Brownfield區遷移驗證，測試是否影響到正常營運，網路架構進行調整，南北向及東西向的網路架構隔離及防護，強化身分、存取控管機制，建立集中統一的管理機制。特別是，企業對裝置的納管，應列入資產管理作業流程、風險管理評鑑流程，最後到授權存取原則。中華資安國際經理邱品仁在今年臺灣資安大會中分享零信任概念及實作。新聞來源：iThome更多內容請見：https://www.ithome.com.tw/news/157027

3C的普及讓孩子在學習工具上更加豐富，卻帶來數位教養新挑戰，其中3C產品的使用界線是許多爸媽的困擾。對於這群網路原生世代的孩子，小兒科醫師黃瑽寧認為一味地禁止使用，是不可行的！他以自身經驗分享在數位教養時代，如何化弊為利，利用3C正向育兒！「全家人一起吃飯，爸爸玩手遊、媽媽回LINE、孩子盯著平板裡的卡通，不發一語」這樣的日常是否很熟悉？對許多父母而言，3C育兒儼然成為「制伏」孩子的唯一辦法。如果禁止孩子使用，孩子就會開始哭鬧，甚至無法專注在閱讀等其他靜態活動，除了讓家長煩心不已外，還伴隨著網路安全、有害網站及危及視力等問題。3C常成為親子衝突導火線？黃瑽寧：善用工具化弊為利別以3C做情緒安撫劑，制定明確使用規則對此，小兒科醫師黃瑽寧以美國密西根大學（University of Michigan）醫學院近期發表在《美國醫學會：兒科》（JAMA Pediatrics）期刊上的研究指出「頻繁使用智慧手機或平板電腦等設備來安撫3到5歲的兒童，與孩子情緒失調的狀況增加有關」。黃醫師進一步說明，「用3C產品來安撫幼童看似是一種無害的臨時工具，但如果它成為常態教養方式，將會埋下孩子情緒失調的惡性循環種子，特別是在兒童早期成長階段。3C產品會取代培養獨立自主和自我調節能力的機會，一旦孩子出現情緒問題，就需要用更多的3C去安撫他。」而黃醫師也分享了自己的做法，像是把3C使用空間全部移到客廳。「我和家人有個約定，只要在客廳以外的地方看到3C，就會被沒收一段期間，這樣做的好處是避免睡前滑手機，重點則是讓孩子在公共空間使用網路，並且全家人一起遵守。」除此之外，黃醫師也提醒「能用大銀幕，就不要用小手機」，儘管許多家長會有一些不得不給孩子用手機的理由，像是追蹤定位、緊急連絡等，但其實還是有很多方式像是手錶等可取代，能夠不把這些需求縮減在小螢幕裡面就盡量避免。從視力的角度來看更是如此，建議父母要與孩子一起遵循「眼睛健康法則20-20-20」。所謂的「20-20-20護眼法則」是指：在看近（看書／做功課／使用手機／Ipad/電腦）時，每隔20分鐘休息20秒，期間望向20英尺（約6公尺）外的景物，讓眼睛得到適當放鬆。善用網路管理工具、減少親子摩擦，全面守護上網安全最後則是要遵守網站年齡限制，不提前替孩子申請帳號，黃醫師認為「社群網站有帳號年齡規範，就無需替孩子申請虛擬帳號，減少孩子接觸有害網站非常重要！」除此之外，也需要善用網路管理工具，像是中華電信推出「色情守門員」及「上網時間管理」產品服務及「中華網安助手APP」，都是能協助父母篩選管理的好助手！笑言自己是未雨綢繆的黃醫師，在中華電信推出第一代「色情守門員」時就已使用，隨著技術演進，「色情守門員」的功能也持續優化，「除了攔阻色情、暴力、毒品等六大類不良網站資訊基本把關之外，最常使用的是阻擋影音串流及社群媒體。」比方說當小孩在興頭上，上網看影片停不下來，「色情守門員就能發揮功能，先跟孩子預告最後五分鐘，然後直接一鍵關掉影音串流，且可以不影響其他網路，大人小孩都能繼續上網做功課，免去過往大人小孩對於使用時間討價還價的爭執情況。」同時，他也稱許色情守門員的持續優化，「過往這些設定都只能在同一個網域進行，現在則是遠端也能操作，透過中華網安助手APP，即便我人在外面，孩子也可傳簡訊問我能否開放Youtube時間，十分方便。」至於一般家長擔心孩子使用過度、網路成癮，也能透過上網時間管理功能，「像是我有朋友的孩子半夜會爬起來打電動，搞到睡眠不足，這種困境下，上網時間管理就蠻有用處的。」黃醫師說。另外，中華電信健康上網方案還有提醒用戶留意詐騙訊息、提供影音串流、社群媒體、購物網站等過濾類別，方便客戶管理，以更全面的功能守護孩子的上網安全。要讓親子相處比3C更有趣「3C或許只是孩子的舒壓方式之一，父母要做的不是完全阻絕，而是要讓孩子有更多元的紓壓管道，比如說運動、聽音樂、閱讀、烹飪、烘培等等。」黃醫師說。網路安全議題無所不在，除了要善用現代科技與軟體來進行把關外，網路安全還有一個死角，就是孩子在網路上闖禍不敢跟爸媽講，所以平常就要讓自己與孩子無話不談，至少在他們遇到網路詐騙時，可以及早求救。」黃醫師強調，正因3C產品在現代人的生活分不開，管控時間與內容固然重要，但更重要的是，讓家人的相處比3C更有趣，更歡樂，孩子就不會沈迷3C！更多內容請見：https://www.parenting.com.tw/article/5094921

很榮幸中華資安國際可以連續三年贊助GiCS尋找資安女婕思 活動，看到越來越多優秀女力加入資安領域！活力滿滿，好事成三！

台灣最大的資安盛事「CYBERSEC 2023 臺灣資安大會」於5月9日至5月11日盛大展開，中華電信攜手旗下中華資安國際連續第五年參展，展現資安即國安的決心，協助企業與政府提升台灣的資安能力，抵抗網路駭客的攻擊。中華電信董事長郭水義強調，中華電信以客戶為中心，除強化廣結盟策略合作外，並積極提升資安服務量能，提供完整資安解決方案(total solution)。未來將強化研究院「產研合作」，持續推升「網路資安服務」、「身分識別創新應用」、「資安專業服務」外，已投入資源在培養資安人才、資安技術並結合集團能量，強化資安防禦縱深，期望台灣的資安實力能夠透過中華電信海外廣大的網絡，開展至國際舞台。中華電信展現資安防護能量，協助企業共同抵禦新世代資安威脅為期3天的展期中，中華電信攤位同時針對網路攻擊行為及防護進行每小時整點資安講堂的介紹，內容包括「HiNet IPS入侵防護」，為特別針對中華電信固定制企業客戶由機房遠端提供網路的第一道防線，阻擋駭客滲透行為、防範網路型病毒，有效預防暴力密碼及漏洞攻擊；另還有「HiNet WAF網站應用防火牆服務」，係以專業資安顧問團隊調校及諮詢，透過電信等級的網站防護設備阻擋OWASP Top 10攻擊，以及預防推陳出新的零日(zero day)應用程式攻擊，讓企業在漏洞修補前有效保護網站。中華電信在本次臺灣資安大會展覽中，也參與了大會的「零信任論壇」與「供應鏈資安論壇」，分別分享零信任網路導入實際案例以及從紅隊和事件調查實例看供應鏈安全與面臨的資安威脅和因應策略。「2023臺灣資安大會」中華電信集團傳授實戰經驗此外在大會CyberLab課程中，中華資安國際針對紅隊攻擊常見的攻擊手法，搭配精心設計的演練環境，讓學員進行實際操作了解ATTCK矩陣定義。為了帶領現場聽眾一窺資安實務，演練課程將以近年來重大的CVE弱點為引，透過高度擬真的資安事件情境與工具帶領學員深入藍隊實務中常用的工具(包含日誌分析、網路流量調查等) 使用，完成事件根因分析與軌跡重建，進而產出簡易調查報告。

中華電信持續投入資安技術領域發展，積極研發相關解決方案，攜手子公司中華資安國際於本(5/9)日在台北市南港展覽館二館登場的「2023 臺灣資安大會」首次展出車聯網資安、ZTA零信任網路資安解決方案及SOC資安監控服務、SecuTex先進資安威脅防禦系統、CypherCom端對端加密通訊系統等優質資安產品，協助企業提升整體資安防禦與應變能力，強化資通安全。中華電信以最高資安規格，成為國內外企業、政府最佳資安夥伴中華電信董事長郭水義表示，資安是國家六大核心戰略產業之一，因此中華電信一直致力於協助企業強化資安防禦能量，將以客戶為中心研發5G、半導體等防護技術、開發AIoT及醫療等領域解決方案。並因應工控資安、IoT車聯網資安服務、產業供應鏈安全服務及公雲資安等產業發展趨勢，持續針對政府、金融、醫療、科技製造、流通等業別發展各項資安創新應用產品服務與客製化解決方案。隨著資料與服務雲端化及遠端辦公等新興存取方式興起，傳統基於信任邊界之網路模型已逐漸受到衝擊。根據中華資安國際2022年事件調查統計數據，利用「公開漏洞」和「洩漏的帳密」是兩大主要入侵手法，而公開漏洞類型中，有10％是基於身分驗證的漏洞。若邊界的網路安全防護一旦被攻擊者突破，即可自由進入內網。通過資安院「政府零信任網路身分鑑別功能符合性檢測」認證，協助企業抵禦資安攻擊此外，為能協助企業及機構提升資安防護能力，中華電信及中華資安國際子公司推出ZTA零信任網路資安解決方案。該方案通過資安院「政府零信任網路身分鑑別功能符合性檢測」的認證，對每台設備和每個使用者進行身份驗證和授權，有效阻擋網路攻擊者的橫向移動，讓使用者在遠端辦公或雲端化的環境下，仍能安全存取內部資源，為企業與機關消弭數位轉型下之資安疑慮。中華資安國際專業SOC監控服務能力獲高度肯定，打造優質資安防護網中華電信子公司中華資安國際的SOC資安監控服務是國內唯一連年獲得行政院資安服務廠商評鑑A級之資安團隊；SOC服務整合納管雲端、網路、端點的託管偵測應變服務(Managed Detection and Response，MDR)，善用新科技提高可視性與精準度，並提供藍隊驗證服務(Breach and Attack Simulation，BAS)確保客戶資安防護，以鑑識調查與逆向工程能力掌握最新跨國病毒與惡意程式威脅情資，打造更優質的資安專業服務。中華資安國際擁有優秀研發能力與場域實戰經驗，於本次大會展示兩大自主研發產品展示SecuTex先進資安威脅防禦系統、CypherCom端對端加密通訊系統，以打造企業優質資安環境。

中華資安國際數位鑑識暨資安檢測中心發現國內知名企業協同作業入口網之弱點( CVE-2023-25909 )，指出國內知名國內知名企業協同作業入口網具有不安全的API，可被攻擊者在未登入的狀態下任意上傳檔案。【風險等級】嚴重威脅【影響範圍】v2、v3【細節描述】CVE-2023-25909：國內知名企業協同作業入口網之上傳功能未對上傳檔案進行檢查限制，導致不須登入的遠端攻擊者可以上傳任意檔案，進而執行任意程式碼或中斷系統服務。開發廠商接獲通報後已配合儘速釋出相關更新，若機關或企業有使用此數位簽章系統，建議儘快聯繫廠商進行修補更新。中華資安國際建議採取以下防範措施：1.使用者：隨時保持產品更新於最新狀態。-更新入口網版面配置模組套件2.0到2.0-10-更新入口網版面配置模組套件3.0到3.0-102.政府機關、企業：盡速聯絡軟體開發商修補，並通知使用者更新軟體。3.軟體開發商：建議導入安全程式開發流程(SSDLC)、事前進行安全程式碼開發教育訓練，並定期執行源碼檢測及滲透測試等安全檢測，才能有效地確保產品及用戶安全。【參考資訊】https://www.twcert.org.tw/tw/cp-132-6973-45872-1.html

邀請您蒞臨2023臺灣資安大會，搶先了解中華資安國際新世代SOC+MDR監控、供應鏈資安、ZTNA、VANS、CypherCom、SecuTex閘道與端點等最新資安解決方案。時間：2023年5月9-11日地點：南港展覽二館 (台北市經貿二路2號)攤位：4F C122 臺灣資安館 T11/T12議程：【Blue Team論壇】網域之刃-領域展開5/10(三) 14:45-15:15，七樓701H會議室，講者：王思翰【零信任論壇】由淺入深零信任網路導入，從基礎心法至實際導入案例分享5/10(三) 15:45-16:15，七樓701B會議室，講師：邱品仁【雲端安全論壇】雲端的戰場藍隊還要多久到達5/11(四) 9:30-10:00，七樓701B會議室，講師：陳彥銘【供應鏈資安論壇】誰是豬隊友？從紅隊和事件調查實例看供應鏈及邊界安全5/11(四) 10:15~10:45，七樓701G會議室，講師：林峰正【資安威脅研究室】APT 組織的調查日記5/11(四) 11:00-11:30，四樓4A會議室，講師：馬洪雯【CyberLab】 900英呎，看藍隊如何善用工具在資安事件中安全降落5/9(二) 12:30-14:30 15:00-17:00，4D 會議室，講師：邱品仁【CyberLab】實戰ATTCK矩陣...點我顯示更多5/11(四) 9:30-11:30 12:30-14:30，4D 會議室，講師：黃聖筌中華資安國際敬邀您蒞臨指教。

中華資安國際林志和顧問14日於CIO智慧醫療論壇分享醫療業現況、SOC監控服務、MDR應變服務、以及相關案例。Key takeaways： 1.資安委外服務達到團隊合作降低內部同仁負擔2. SOCxMDR監控範圍均以核心系統及業務為優先，再逐步擴大。3.流量與端點的各種資安防護設備可加強SOC監控的涵蓋範圍及可視性。4. SOCxMDR相輔相成，雙重宇宙互相學習，監控應變雙效合一。照片來源：旗訊科技