在2025年一开始的资安新闻中,DDoS攻击的资安事件再成国内焦点,群光在1月2日周四傍晚发布资安重讯,表示该公司官方网站遭受网路DDoS攻击。值得注意的是,后续我们发现,同日遭攻击的政府相关单位,还有主计总处、桃园捷运、松山机场、证交所受害,而且隔日再有多家上市柜公司也表示受到DDoS攻击,包括,上市公司世芯-KY、大众电脑、台塑,以及上柜公司青云。
事实上,这已是亲俄骇客NoName057继去年9月、10月后,对台发动的第3波攻击,该组织也依然嚣张地在社群平台X公布其攻击活动,而且上述公家与民间单位,有相当高比例是再次遭受攻击。而且NoName057声称的攻击目标还包括:台船、ITIS产业技术资讯服务网、台湾港栈服务网、台湾金融服务业联合总会、马祖航空站、交通部航港局、台湾自由贸易港区网站等。
其他重要资安事件包括,有3起是月前资安事故的后续消息,涵盖施耐德电机遭骇,以及BeyondTrust与Cleo的零时差漏洞利用。
●施耐德电机11月遭骇,12月底有骇客在暗网公布相关档案。
●BeyondTrust于12月中揭露零时差漏洞利用情形,新传出美国财政部因此受害。
●Cleo于12月被资安业者揭露有零时差漏洞利用,传出60家企业遭Clop勒索。
●德国福斯被发现旗下软体公司Cariad应用程式配置不当,致云端资料库曝险。
●资安业者iProov示警,发现暗网一批资料内含大量身分证明文件及对应的脸部图片,将对KYC识别带来挑战,歹徒可用这些真实资料突破金融单位的验证。
在资安防御及发展的消息中,2025年的到来,市调机构IDC公布了台湾资安产品市场的预测报告,强调了该领域的快速增长潜力,指出未来4年市场规模从2024年的4.62亿美元,增至2028年的7.16亿美元。
特别的是,IDC还强调量子韧性与AI资安将推动更多市场需求。基本上,因应量子破密威胁,NIST在2022年已在推广密码敏捷性(Crypto-agility)的概念,如今IDC认为2025年企业将优先采用Crypto-Agility框架,以确保加密演算法能灵活升级与更换;在AI资安领域,透明度与安全性将成发展重点,近期我们时常听到资安专家谈及AI物料清单(AI BOM)的议题,IDC亦认为业界在2025年将加速推广AI BOM,并将带动数据物料清单(Data BOM)的兴起。
另一个焦点是近年万众瞩目的生成式AI技术,最近我们报导资安院院长何全德阐释了新世代AI对资安治理的挑战与机遇,他呼吁应用AI应关注资安、伦理和治理风险,如今许多大型企业已经行动,包括透过红队演练,或推行提示多样性注入机制来因应,并有企业开始成立了AI道德伦理委员会,同时他也建议,可参考美国CISA局长Jen Easterly提出的AI风险四大关键面向:Velocity、Vulnerability、Veracity、Vigilance,作为台湾制定AI安全政策的重要依据。
对于台湾企业组织的资安强化,何全德也强调,资安理念正从传统的信任架构转型为零信任模式(Zero Trust),这不仅是技术的革新,更是战略上的长期规画,他并指出「资安向左移」、「从骇客视角强化资安」,都是当前提升防护能力的重要方向。
此外,数位部一项新进展也受关注,预计2025年推出「台湾数位皮夹」,将采用可验证凭证(VC)和去中心化身份(DID)等技术,不只可存放政府核发的证件卡片,学位证书、企业核发的员工证等未来也能加入
在漏洞消息方面,有多项开源软体有关的修补需要企业重视,包括:Linux作业系统开源影音框架GStreamer、Java网路应用程式框架Apache MINA、开源发票及专案管理平台Invoice Ninja,以及开源NAS作业系统TrueNAS Core。
此外,有研究人员展示Windows 11 BitLocker漏洞攻击手法,虽然此一手法是利用旧有bitpixie漏洞(CVE-2023-21563),但可透过降级攻击成功重现了漏洞利用。研究人员强调,此攻击需近距离短暂接触实体设备,对一般用户影响有限但对重视资安的企业与政府来说需格外重视。
从上周到本周,有两起重大的资料外泄事故后续,引起外界高度关注,其中一起是发生在10月,初始入侵管道掮客IntelBroker声称窃得大量思科开发资料,另一起则是发生在11月,勒索软体骇客组织Hellcat宣称入侵施耐德电机开发环境。
其中较为值得留意的是思科的资料外泄事故,因为骇客已二度公布窃得的资料,迫使思科必须确认这批资料的真实性及影响范围,厘清并未发生其他资安事故。
资安需求与日俱增,台湾在这块市场也发展得不错,但情况有多乐观?在2024年12月终于有相关的预测数据出炉。