资安需求与日俱增,台湾在这块市场也发展得不错,但情况有多乐观?在2024年12月终于有相关的预测数据出炉。
使用ID名称@NSA_Employee39的用户于社群网站X(原推特)宣称,将连续多日释出7-Zip的零时差漏洞资讯,首波公开的是任意程式码执行漏洞,此人于Pastebin发布概念性验证程式码(PoC),并于7-Zip于SourceForge的专案网页通报此事。
对此,7-Zip专案负责人Igor Pavlov出面驳斥此事,他表示该压缩软体的LZMA压缩演算法不存在@NSA_Employee39提到的漏洞。Igor Pavlov分析概念性验证程式码提出进一步证据,他发现注解提及的功能函数RC_NORM并未出现在LZMA解码器,研判此人以大型语言模型(LLM)产生这些程式码。
值得留意的是,目前7-Zip漏洞疑云未有定论。尽管@NSA_Employee39的爆料普遍认为是不实资讯,Igor Pavlov已从技术层面否认漏洞的存在,不过用户最好还是提高警觉,避免开启来源不明的压缩档,并定期更新7-Zip以维持安全性。
【漏洞与修补】
虽然这项攻击手法需要实体接触电脑,对于一般使用者的风险较低,但对于企业组织与政府机关而言却不能掉以轻心,因为这项攻击仅需短暂的接触就能完成。研究人员指出,这项漏洞微软并未完全修复,主要的挑战在于UEFI韧体的储存空间有限,无法以杂凑值黑名单撤销所有曝险的凭证,微软预计要到2026年才能完全更新安全开机的相关凭证。
其他漏洞与修补
市调机构IDC最近预测,未来四年台湾资安产品市场将持续成长,市场规模从2024年的4.62亿美元增至2028年的7.16亿美元(相当于新台币235.4亿元),年复合成长率达11.9%。其中,资安软体的成长动能尤为强劲,年复合成长率高达13.3%。
IDC分析指出,目前许多企业优先导入密码敏捷性(Crypto-Agility)框架,这是一种能快速应对加密威胁的资料加密实践方式。与直接部署PQC相比,IDC表示,密码敏捷性框架在部署成本与周期上更具效率,且在现有合规环境下实务可行性更高。
过去两年,生成式AI(GenAI)的快速发展虽大幅提升了企业内部的生产力与效率,但同时也带来了全新的资安挑战,IDC指出,企业在资安策略上,明年将更注重建立明确的AI BOM(人工智慧物料清单),以加强AI资安防护能力,应对日益复杂的安全威胁。
其他资安防御措施