資安新知

Cybersecurity Maturity Model Certification (CMMC)是由美國國防部（DoD）推出的一個框架，旨在確保處理受控非機密信息（CUI）的承包商，滿足特定的資訊安全標準。該框架分為三個成熟度級別，每個級別都有不同的資訊安全要求，從基本的控制措施到更高級的風險管理和準備工作。遵循CMMC要求的國防基礎工業需要確保其資訊安全措施，達到相應的成熟度水平，確保對CUI的保護。

Read more …

資訊外洩防護 （DLP） 工具軟體監督和管理端點活動，過濾企業網路上的資訊傳輸管道，並監控使用者活動中的數據，以保護靜態、動態和使用中的資訊。此外，DLP 還提供應用於合規性和稽核目的的檢討報告，調查可能漏洞和異常情況，以便進行取證分析和即時事件回應。

Read more …

X-FORT在7.0版本，針對新時代的資安需求作了多方面強化，包含生成式AI管理、資料安全，端點零信任以及自身的系統管理。建議盡快升級至X-FORT最新版7.0.2.3，享受新版帶來的豐富新功能。

Read more …

Windows服務 ( Service ) 是指Windows 背景執行的電腦程式。Windows服務程式和一般的應用程式 ( APP) 撰寫法式有些不同，必須符合Windows服務控制管理器的介面規則和協定。

由於 Windows服務 ( Service ) 可以長時間在背景執行，即使在Windows 開機階段中也可以執行，和常見的 Application執行方式略有不同。

Read more …

CMMC（網路安全成熟度模型認證）是美國國防部政府（DoD） 開發的框架，旨在提高國防基礎企業和組織的國防採購相關資訊的安全性。該框架定義了不同級別的安全措施，企業和組織必須實施這些措施才能被視為合規。CMMC 合規性現在是所有 DoD 合約承包商（包括中小型企業和組織）的要求。

Read more …

Data Leak Prevention ( DLP數據外洩防護）這個詞本身就傳達了有關此類系統的明確目標，最主要在解決的特定任務：阻止有價值資訊的洩漏。雖然這解釋了這種系統傳統上的一般要務，但隨著時間的推移，這個概念已經包含了額外新的任務含義。下一代 DLP 解決方案不僅可以防止有意和意外洩漏，還可以幫助企業應對其他資安領域上的需求。

適應新的變化需求產生的挑戰? 而這些挑戰又有哪方面新技術可以幫上忙?

Read more …

Lua 是一種輕量小巧的腳本語言，用標準C語言編寫並開放源始碼， 其設計目的是為了應用程式提供靈活的擴展和定制功能。

Lua 是巴西裡約熱內盧天主教大學（Pontifical Catholic University of Rio de Janeiro）裡的一個研究小組，由Roberto Ierusalimschy、Waldemar Celes 和 Luiz Henrique de Figueiredo所組成並於1993年開發。

Read more …

美國國防部 (Under Secretary of Defense for Acquisition & Sustainment ,OUSD(A&S))，推出了網路安全成熟度模型認證（CMMC），為國防基礎工業（DIB）及其他領域提供了一致的資安保護要求。CMMC 推動國防基礎工業 (DIB) 中的組織，主動完善其整體網路安全能力、增強他們的商業案例、保護他們的品牌，最重要是保護國家的經濟和安全。該計劃向整個政府機構及其相關供應鏈提出挑戰，在技術上可接受的最低價格來源，必要滿足整體網路安全要求下開展業務。

Read more …

供應鏈資訊安全

供應鏈資訊安全除了防範駭客對整個製造鏈進行破壞之外，供應鏈之間的資料傳遞後，是否每個節點都有執行完善的防護措施，這其中就包含是否有善盡責任的保護上下游廠商交給你的資料，除了制定資安規範以外，X-FORT這類的工具亦可協助保護廠商提供的資料。

Read more …

如何證明你就是你？

王小明因為生病要到醫院拿藥，首先要證明自己的身份，可能有下面狀況：

• 狀況一：他告訴醫院：我叫王小明
• 狀況二：他告訴醫院：我叫王小明，而且你看看這是我的識別證
• 狀況三：他告訴醫院：我叫王小明，這是我的身份證
• 狀況四：他告訴醫院：我叫王小明，這是我的身份證，還有我的健保卡

Read more …

為什要推CMMC?

美國整體每年平均因網路安全所造成的損失達六千億美金。目前國防部的供應鏈，從極音速武器到皮革工廠，大約有三十萬家合約承包商，而其中約有二十九萬家基本上沒有任何的網路安全措施。除了之前沒有法規要求，美國政府近幾年決定大加整頓國防供應鏈，而網路安全被視為首要議題。在此之前，國防部請廠商遵循 DFARS 252.204-7012 以及 NIST 800-171 裡所敘明的規範，其中包括廠商須自行評估認證一百一十項資訊安全項目。然而問題其一在於這是由廠商自我認證，其二是國防部並未特別看重此標準。

Read more …

Microsoft 365是由微軟提供的一個集成式套件，旨在幫助個人、企業和組織更有效的工作、協作和提高生產力。該套件集成了多種應用程序、工具和服務，涵蓋了文書處理、電子郵件、日曆、文件共享、通訊和更多方面，且具備卓越的整合性，能促進各部門協作與各項流程的推進。

Read more …

全球化程度提升及數位化的轉型，對於上、下游企業之間，形成更多交互影響的情況，以資訊安全來說，也不再是自己做得好，就沒有問題，而是和企業相關聯的公司有沒有做好資訊安全，有連帶的關係。

• 公司產品的零件供應商，因為資安問題洩露機密，影響公司產品的競爭
• 公司交付給外包公司的產品，發生資安問題，導致產品規格洩密
• 顧主因為資安問題，要加強稽查公司是否有做好資訊安全

Read more …

"達文西密碼"一文中，主人公羅柏．蘭登，憑藉著豐富的符號學知識，一步一步地，解開聖杯和錫安會兩千年間守護的祕密，所以瞭解原理，進一步擴展成解決方案，才能協助我們使用檔案系統的"達文西密碼"找出隱藏檔案的兇手。

Read more …

傳統以來關於數據外洩對策方面的議題，最了解的應該是DLP；而Data Leakage和Data Breach 有什麼不同? 以中文來看是很像。

Data leakage 和 Data breach雖然是相關聯的概念，但是在涉及未經授權揭露或暴露敏感資訊的情境場景中，兩者之間的區別明顯。

Read more …

Windows中的每個檔案都會有屬性，其中包含了唯讀、隱藏2種屬性。如果在檔案總管中，對每個檔案點選「右鍵」再點選「內容」，或者按住 「Alt 鍵」後再連點滑鼠左鍵 2 次，就可以看到檔案內容的相關資訊，其中有「屬性」區塊，可設定唯讀、隱藏 2 種屬性。唯讀屬性表示檔案僅能讀取，無法修改。而隱藏屬性則是另一種附加的條件，可以在檔案總管中，透過開關對有隱藏屬性的檔案進行隱藏，這樣，就不會在檔案總管中顯示有隱藏屬性的檔案，這些簡單的設定，可以避免有心人士，在你的電腦上，查找機密檔案。不過，因為這種方法是檔案總管的基本操作，也不是真正的隱藏檔案，無法阻擋有心人的窺探。

Read more …

爆紅的生成式AI，已成為知識工作者不可或缺的生產工具，卻潛藏外洩企業資訊的風險，根據資安廠商Cyberhaven偵測旗下企業客戶，僅在3/14一天內，每10萬名員工中，就有5,267起將企業資料貼上ChatGPT的資料外流事件，比例高達1/20 (https://www.ithome.com.tw/news/156293)。

面對Bing Chat、ChatGPT的安全管理，針對機密單位，可禁止使用以避免機密外洩。
若開放使用，建議搭配螢幕浮水印，時時刻刻提醒員工不可洩露公司訊息。亦保留其提問內容，以便必要時稽核提問記錄，將生成式AI的使用納入管理。

Read more …

ChatGPT這個語言模型原本具備良好的善意，就是幫助人類！聽起來很不錯。但是，AI發展之初目標就是模仿人類大腦的認知機制，沒有道德審查機制。所以不僅是對好人，對網路犯罪分子也是一視同仁服務。因此它可能被刻意誤用，或因意外衍生成惡意，成為對業務及數據的潛在威脅。

當利用ChatGPT幫助企業業務活動，如何對數據安全構成威脅? 並提供企業保護自己的建議方案。

Read more …

於5月11日CYBERSEC 2023台灣資安大會 ”金融資安論壇”，金管會資訊服務處林裕泰處長以”展望金融資安行動方案 2.0”進行主題演講，同場，並且有幾位金控資安長在現場資安專題分享。藉本篇文章，把金融產業重視的資安層面各項推動措施的觀察與心得，就以下幾個議題，進行分享。

Read more …

過去的一年可能是有記錄以來，企業數據洩漏最嚴重的一年，預計未來在混和工作與雲端運用成長，攻擊和被洩漏的數量只會更增加。鑒於這些趨勢，採用數據防外洩防護（DLP）資安系統，變得比以往任何時候都更加重要。而以往的DLP通常是用於邊境安全方案，難以面對混合工作的場域變化；因此組織現正在尋求 DLP 工作的現代化，以應對這些挑戰。

Read more …