在10月双十国庆这一星期,在关注庆祝活动与中共军事演习行动之余,资安相关新闻同样引人注目,在资安防御消息方面,零信任议题的最受关注,因为全球第一个提出零信任架构的资安专家John Kindervag今年二度来台,特别的是,上月他是在SEMICON Taiwan 2024召开的半导体资安趋势高峰论坛发表演说,显示零信任在全球资安已是显学,半导体产业要做好资安,当然也必须了解并落实这个概念。
近年来零信任虽然受到各界广泛讨论,但也渐渐产生一些认定与推动的歧见,此次John Kindervag远道而来,分享其在网路战争与零信任架构上的深刻见解,因此他特别点出4个常见谬误,以及企业导入零信任架构的五步骤,有助于大家重新正确理解零信任的基本概念。
在资安事件方面,有3起与台湾息息相关的事件需要我们重视,其中以骇客组织NoName057对台发动第二波DDoS攻击最受关注,包括联电、纬创、世芯等半导体大厂,以及知名传产台塑化,均发布资安重讯说明遭遇DDoS攻击。由于这些消息发布多集中于周末期间,加上该骇客组织攻击欧洲多国关键CI网站服务之后,一再锁定台湾攻击,这种骚扰式攻击恐成常态,国人应持续警戒,不可松懈。
●联电、纬创、世芯、松上、台塑化、发布重讯表示遭DDoS攻击,亲俄骇客组织NoName057再次宣称是他们所为,数十个市公所与地检署网站也是其目标。
●储存设备业者乔鼎资讯发布重大讯息,说明遭遇网路攻击,已启动防护机制并对受害主机进行隔离。
●网传PChome疑似资料库外泄,网路家庭澄清并无此事,但该公司研判可能遭遇撞库攻击惹议,后续状况值得留意。
●富达投资向美国缅因州等通报客户个资外泄事故,7.7万客户个资受影响。
●Internet Archive遭骇,首页内容遭置换,并发生逾3,100万笔帐号外泄。
这一星期适逢多家IT厂商发布每月例行安全更新,包含微软、SAP等众多业者针对多项重大漏洞释出修补,企业组织应尽快进行评估与落实修补、缓解弱点的作业,还有6个漏洞已发现遭利用,格外需要留意。
●微软修补5个已被公开的零时差漏洞,其中有2个已遭利用,分别是涉及MSHTML的漏洞CVE-2024-43573,以及涉及MMC的漏洞CVE-2024-43572。
●高通修补多款晶片组中的零时差漏洞CVE-2024-43037,Google TAG指出已有利用迹象,后续Andorid系统的修补时程值得留意。
●Ivanti修补云端服务设备CSA的3个零时差漏洞,分别是CVE-2024-9379、CVE-2024-9380、CVE-2024-9381,指出已有部分用户的系统遭遇漏洞滥用活动。
●Fortinet在2月修补的已知漏洞CVE-2024-23113,近日发现有攻击者针对未修补用户来攻击的情形。
至于资安威胁态势方面,大型电信公司遭渗透一事,引发国际关注。美国有多家电信业者遭遭中国骇客组织Salt Typhoon入侵,包括AT&T、Verizon与Lumen,而且骇客是针对特定目标而来,也就是针对美国政府合法向电信业要求资料的系统。此事件不仅引发美国政府的高度关注,全球电信业者也需要警惕。