全部文章分享

       本文擷取自資安人

Sophos公佈了兩個位於亞洲、規模龐大且仍在運作的殺豬盤 (sha zhu pan) 騙局的詳細資訊，這些精心設計且過程漫長的金融詐騙可能會使受害者損失數千美元。其中一個總部設在香港，牽涉到一個假黃金交易市場，而另一個總部設在柬埔寨，與中國的組織犯罪有聯繫，在短短一個月內就透過加密貨幣淨賺了 50 萬美元。

在這兩個騙局中，詐騙者分別直接透過 Twitter 和私聊直接鎖定 Sophos 首席威脅研究員 Sean Gallagher，而不是透過傳統的交友 App 來尋找受害者。Sophos《愚人金：剖析一個假黃金市場的殺豬騙局》報告重點在詐騙分子設於香港總部的內部運作，展示這些騙子如何提高他們的技術複雜性以引誘和詐騙目標。
 
Sophos 首席威脅研究員 Sean Gallagher 說：「兩年來，我們一直在追蹤並回報這些殺豬騙局下的一個子項，稱為 CryptoRom。這是一種特殊的交友詐騙，詐騙者利用人們熱衷交友的誘惑，透過交友 App 接近潛在受害者，然後要求他們使用詐騙性的加密貨幣交易 App。但 CryptoRom 實際上只是冰山一角。自新冠疫情開始以來，這種類型的網路詐騙已大規模擴展。這些騙子現在以所有主要社群媒體平台，甚至是私聊來鎖定目標，此外他們不只會利用加密貨幣，還會利用黃金和其他形式的貨幣或交易來吸引受害人。他們實際上是無所不用其極。」
 
在 Gallagher 調查的第一個騙局中，他花了三個月的時間與一名在 Twitter 上直接聯繫他的騙子進行了互動。詐騙者假扮成一名來自香港的 40 歲女性，她很快就試圖將對話平台轉移到 WhatsApp。然後，騙子試圖說服 Gallagher 投資一個假黃金交易市場，吹捧她與她據稱是前高盛分析師的『馬丁叔叔』的關係。然後，她將他引導帶到一個網站，該網站複製了一家名為 Mebuki Financial 的合法日本銀行公司，該銀行有提供外匯和商品交易服務。
 
雖然與 Sophos 調查 的其他案例相比，此騙局的社交工程手段還不夠好，但它象徵這類集團的技術成熟度顯著提高了。詐騙者巧妙地結合了高效率的搜尋引擎最佳化、精美的詐騙頁面以誘使新客戶在假 Mebuki 網站上「註冊」，以及包含惡意程式碼的海盜版合法交易 App (MetaTrader 4)，以便從受害者那裡竊取資金。他們還積極更新該騙局的詐騙基礎架構，以避免被關閉。
 
Gallagher 補充說：「這兩個騙局仍在運作，而且很難關閉。雖然我們將攻擊者在香港使用的網域名稱和 IP 地址標記為惡意，但他們的詐騙活動已經轉移到新的網域。他們已經為他們的海盜版 MetaTrader App 準備了新的下載位置，因此現在我們實際上是在玩『打地鼠』的遊戲。不幸的是，隨著騙局的範圍越來越廣，更多地區和不同平台會被鎖定，這就是現實。從加密貨幣轉成黃金，也表明這些集團可以多麼容易地找到一個新的利基市場來下手。這意味著最好的防禦措施就是讓大眾意識到這些詐騙類型。人們應該警惕來自陌生人的任何簡訊、交友 App 或社交媒體私聊。這些陌生人會發起對話，然後建議將聊天平台轉移到 WhatsApp 或 Telegram，尤其是當他們聲稱可以從加密貨幣或其他交易中獲利時。」

        本文擷取自資安人

Check Point Software Technologies Ltd. 為其 Check Point CloudGuard 整合式雲端原生安全平台（CNAPP）新增全新風險管理引擎及多項強化功能，包括智慧風險優先排序、無代理掃描、權限管理和工作管線安全（pipeline security）；這些新功能注重情境、速度和自動化，支援雲端安全操作，再也無須面對傳統型獨立雲端安全警報的複雜性和提示噪音，資安團隊將能專注打造從程式碼到雲端的全面威脅防禦，同時強化 DevOps 敏捷性。
 
企業持續導入雲端和數位轉型，《Check Point 2022 年雲端安全報告》指出 35% 受訪者在雲端運行超過 50% 工作負載，但 72% 受訪者非常擔心雲端安全、76% 受訪者表示難以同時管理來自多家雲端廠商的產品，這常導致配置錯誤、缺乏可視性和遭受網路攻擊；研究更顯示「配置錯誤」因需要人員全天候資安操作和衍生的警報疲勞，被視為導致資安事件的首要因素。
 
在推出有效風險管理（Effective Risk Management，ERM）後，除了雲端身份和權限管理（Cloud Identity & Entitlement Management，CIEM）、無代理工作負載狀態（Agentless Workload Posture，AWP）和工作管線安全工具外，Check Point CloudGuard 現在更提供智慧風險優先排序，支援團隊在整個軟體開發生命週期中根據風險嚴重程度快速消除重大漏洞，例如配置錯誤和逾越權限的造訪。透過上述工具協作企業將只會收到簡單明瞭的建議，專注於至關重要的威脅，減少過往令人困擾的複雜指令，而簡化的建議也有助於減緩威脅。
 
Check Point Software 雲端安全副總裁 TJ Gonen 表示：「隨著企業持續加速導入雲端，簡化雲端安全防護能力變得至關重要。通過新增有效風險管理和強化 Check Point CloudGuard 功能，我們可幫助企業將 CNAPP『左移（Shift Left）』，採取預防為主、易於管理的雲端安全方案。透過 Check Point 的情境式人工智慧和風險評分引擎，資安團隊不必再手動確定應優先處理哪些警報，而是交由機器完成；減輕此負擔後，客戶可以放心專注於將關鍵工作負載遷移至雲端。」

Check Point CloudGuard 將最新工具統合至新一代 CNAPP 中，不僅可協助資安專業人員，更可通過左移工具消除 DevSecOps 的障礙。Check Point CloudGuard 發揮了整合式平台的能力和潛力、提供終端使用者營運價值，包括：

有效風險管理：Check Point CloudGuard 的有效風險管理引擎能夠根據工作負載狀態、身份許可權、攻擊路徑分析及應用程式業務價值等完整情境排序風險，提供可執行的修補指令。資安團隊可專注於處理重大威脅，並以最小程度的安全防護管理達到最大效果。
 
雲端身份和權限管理（CIEM）：CIEM 功能可瞭解使用者和雲端服務的有效權限和識別風險，自動生成明確的最低權限角色建議，減少造訪並撤銷未使用的權限；將 CIEM 安裝至 ERM 後使用者可以瞭解自身權限，並在其雲端環境中執行最低權限原則。
 
無代理工作負載狀態（AWP）：AWP 將 Check Point CloudGuard 無代理基礎架構的可視性擴展到工作負載，可掃描並辨識虛擬機器、容器和無伺服器服務等雲端工作負載中的風險，包括配置錯誤、惡意軟體檢測、漏洞和金鑰。借助這種無代理部署模型，資安團隊能夠在維持效能的同時獲得大規模的深度工作負載安全可視性。
 
工作管線安全：工作管線安全功能全面整合了 Spectral 的自動化程式碼安全服務，可檢測並解決 Check Point CloudGuard 中的配置錯誤、金鑰和漏洞問題；將「開發者優先」的工作負載擴展到 CI/CD 及工作管線，可在問題危害製造環境前快速解決。資安團隊能夠將 CNAPP 左移，從最初開始保護雲端應用程式安全。

          本文擷取自網管人
 
驅動資安技術快速演進到擴展式偵測及回應（eXtended Detection and Response，XDR），藉由雲端平台建構資料湖（Data Lake），可存放大量非結構化資料，以便7×24小時地蒐集聯網裝置、網路傳輸、雲端平台等運行資料，讓後端系統可基於威脅情資運行關聯比對，主動發現攻擊活動以有效降低損害。

SaaS模式訂閱資安服務

根據Check Point威脅情報部門Check Point Research日前公開的2022年度網路攻擊趨勢統計，全球網路攻擊數量較2021年增加38%，特別是第四季度達到歷史新高，平均每個組織每週遭遇1,168次攻擊，最嚴重的前三個行業是教育／研究、政府、醫療。由於教育機構在COVID-19疫情大流行後快速地發展數位教學應用，開放全體師生採線上授課與學習，卻往往缺乏安全防護機制，因而成為攻擊者鎖定標的。從研究報告統計數據來看，教育／研究單位於2022年每個組織平均每週遭受2,314次攻擊，較2021年大幅增長了43%。

Palo Alto Networks日前亦發布《網路安全的下一步》（What’s Next in Cyber）報告，針對全球1,300名垂直行業的高階管理層進行調查，96%的受訪者承認自家公司過去一年曾經歷過網路安全事件和數據洩漏事件，84%同意混合工作模式為主要因素。

缺乏人力、工具與應變程序的企業或組織，大多會採用資安監控中心（SOC）的監控服務，透過基於資安事件管理系統（SIEM）與橫向調配與自動化執行回應（SOAR）建構的平台，掌握最新威脅情資（Threat Intelligence），進而搭配端點部署的EDR機制蒐集資料運行關聯分析，由專業研究團隊執行威脅獵捕，達成主動偵測與即時回應異常活動，讓資安風險受到嚴加管控。

但對於多數IT規模不大、預算不足的企業而言，SOC監控服務過於昂貴，且端點須搭配EPP/EDR，偏重於偵測與回應能力，未必有能力抵禦先進的APT攻擊滲透。對此，XDR方案即可有所發揮，基於SaaS模式訂閱採用即可運行，降低導入部署與維運異質資安防護技術的複雜度。

法規明定部署EDR可望驅動普及

Palo Alto Networks台灣區技術總監蕭松瀛說明，威脅偵測與回應改成「X」，更強調擴展性，不僅著重於掌握端點，亦涵蓋雲端服務運行環境產生的資料，以及擷取網路連線封包內容，將這些全數存放於資料湖後，運用機器學習演算分析，輔助資安維運人員快速釐清與緩解風險。

Check Point資安傳教士楊敦凱引述Gartner發布的XDR市場指南指出，XDR為新興解決方案，用於輔助資安維運團隊改善威脅預防、偵測與回應執行效率，目前的XDR市場尚在早期發展階段，訴求重點在於專精在處理資安事件，從感知、偵測到回應處理，整個流程得以藉由自動化方式運行，並運用市場現有的技術來落實。

XDR組成元件包含前端感知器與後端控管平台。前端感知器即為企業熟知的EPP/EDR、網路偵測與回應（NDR）、防火牆、郵件安全、網頁安全閘道等技術，至少須具備超過三種以上。後端控管平台則多為SIEM與SOAR既有特性，例如資料湖、威脅情資、進階分析、事件調查、資源調度、自動化與回應執行引擎等元件，唯一特殊的是採以雲端交付模式，機敏性較高的產業未必可直接訂閱採用，未來或可改由當地MSP（託管服務供應商）來提供服務。



Gartner發布的XDR市場指南說明，XDR組成元件包含前端感知器與後端控管平台。（資料來源：www.gartner.com）


楊敦凱觀察，台灣企業或組織對於國際市場出現的新興技術看法較為保守，通常發展腳步通常較慢，XDR解決方案同樣如此。他進一步說明，當前台灣企業或組織熱門的議題為EDR、偵測與回應代管（MDR），主要驅動力來自2021年行政院頒布《資通安全管理辦法》子法修正條文，明文規定A、B級公務機關須部署端點偵測與應變（EDR）機制，同時完整介接資安弱點通報（VANS），因此近兩年正積極導入部署。

資安技術專家實作拆解APT攻擊手法過程發現，須完整掌握端點產生的日誌才得以還原惡意程式滲透行徑，利用EDR工具蒐集便可追蹤到根本原因進而加以改善資安體質。但是實務上，多數端點設備較為老舊，例如桌機的記憶體只配置8G規格，若任意安裝資安軟體工具恐影響運行效能。再加上預算不足、人力有限，企業或組織只能階段性地汰換，或改採用MDR服務委外代管。

XDR Alliance共推整合框架

傳統SOC服務蒐集取得的資料，主要為偵測發現事故所產生，也就是防毒引擎掃描比對發現為已知惡意程式，逕行隔離檔案的動作，或者是防火牆設定的黑名單，當網路傳輸封包中比對發現時執行阻斷的記錄，皆為SOC蒐集用以關聯分析的資料來源。意味著SOC將受限於防禦機制的偵測能力，若防毒引擎、防火牆等資安技術皆無法辨識，SOC也無從得知相關行為資料。

為了釐清攻擊活動行為軌跡並推論背後的意圖，SOC開始納入EDR完整記錄端點環境檔案執行所產生的資料，甚至是整合網路封包流量、雲端工作負載等異質技術環境產生的資料，依據MITRE ATT&CK框架定義進行關聯分析，釐清攻擊活動屬於狙殺鏈（Kill Chain）的執行階段，及其採用的策略、技術與執行程序（TTP），此時即可搭配SOAR方案預定義的劇本（Playbook）實作事件回應執行步驟，提高控管的有效性。

如今XDR解決方案組成元件是由當前主流資安技術所建構而成，因此對於Check Point、Palo Alto Networks等次世代防火牆業者，抑或是Trellix等進階威脅防護技術供應商而言，先天即具備XDR方案的前端感知元件技術，只須擴展研發再將後端管理系統陸續運用雲端平台設計建構，以便獲取最新威脅情資，同時確保大數據系統的實體資源可彈性擴充，避免遭遇效能瓶頸。

楊敦凱指出，XDR目前最大的挑戰在於整合與實現橫向溝通，為此國際市場自2021年開始出現XDR Alliance組織，期望制定出開放框架，讓資安領域的API得以遵循標準格式，以便彼此互通與交換資料。目前加入的成員除了資安技術供應商，亦包含MSSP、MDR、系統整合商、專業顧問服務等領域，共同協助企業調整配置、導入部署與維運XDR框架，實踐以拓撲圖方式呈現關聯性與歸納分析結果，針對高風險環節採以Playbook執行回應，或提出建議操作步驟，可大幅降低資安維運門檻、提高工作效率，不僅減少人為疏失的機會，亦可讓資安人才缺口問題得到緩解，確保數位應用場域營運韌性。

         本文擷取自資安人






邁達特選用Check Point Harmony Email & Collaborations不僅保護自我，也希望為客戶打造參考典範。



MetaAge邁達特（更名前：聚碩科技）為「IT 智能化最佳夥伴」，專注引進全球最先進的資訊服務軟硬體產品，全面滿足企業客戶在資訊系統領域的需求。基於在資訊服務領域累積的深厚底蘊，邁達特深知企業在推動IT轉型的過程中，面臨的最大阻礙便是資安威脅。

因此邁達特長期關注資安威脅發展態勢，也追蹤資安領導大廠發佈的專業研究報告。其中Check Point的分析報告指出，自2018年至2022年上半，經由郵件傳遞惡意程式的佔比從33%攀升至89%，讓邁達特有所警戒，認定郵件防護為當務之急。

邁達特採用 Microsoft 365，搭配微軟進階威脅防護（ATP）服務，已建立堅強的郵件保護力，為了更加滴水不漏地偵測釣魚信件、偽冒／惡意網址或惡意附檔，規劃建立第二道安全防線，與既有的ATP聯袂組成郵件的縱深防護機制；不僅保護自我，也希望為客戶打造參考典範。經過審慎的測試與評估，選用Gartner雲端郵件安全魔力象限的領導者Avanan解決方案，亦即現在的Check Point Harmony Email & Collaborations（HEC）。

直覺式UI介面，易於執行中／後調查

邁達特資訊長吳叩清表示，急欲建立雲端郵件的縱深防禦，一來是因應當前駭客慣用的攻擊模式，二來則是為了遵循臺灣證券交易所發佈的「上市櫃資通安全控管指引」，其中第18條的第3點要求設置電子郵件過濾機制，以及第6點要求設置進階持續性威脅攻擊防禦措施。邁達特身為上市櫃企業，自然必須恪遵主管機關的規範。

上述指引當中的第27條，要求針對人員使用電子郵件、即時通訊軟體訂定管控規則；這部份也牽動到邁達特後續的資安決策，只因HEC不僅保護郵件安全，也能有效防範經由Teams、OneDrive或SharePoint等管道衍生的內部威脅。

具體來說，邁達特選擇HEC，主要基於幾個關鍵理由。首先HEC，上線作業相對簡易，用戶無須執行繁瑣設定，只需輸入微軟管理員帳號，便能輕鬆啟動自動化上線程序，完全不會增加人力負擔。

其次HEC的UI介面直覺簡潔，管理者不必繁複點擊，即可透過單一頁面綜覽郵件解析結果，以及郵件來源位址、惡意附件和網址的偵測結果，有助提升事中／後調查效率。再者經過模擬測試，證實HEC可多偵測到約10~20%可疑郵件。

更重要的，HEC「躲藏」於原生郵件之後，攻擊者看不到它的存在，所以沒有任何嘗試Bypass的空間。

採取Prevention模式，大幅降低調查人員工時

不僅如此，HEC支援獨特的In-line Prevention Mode，迥異於其他方案慣用的Detection Mode，對資訊人員來說，是極為討喜的亮點。

我們做一個前提假設，某公司平均每週收到2,500封郵件，經ATP過濾後平均會認定900封可疑郵件，若採取Detection Mode，資訊人員須逐一複判，確認沒有問題才傳送給同仁。一方面，資訊部門需要投入可觀的調查人力工時，導致人員的負擔急遽升高；二方面，容易導致資訊人員不堪告警轟炸，索性放棄逐件調查，可能讓惡意信件乘隙潛入，對企業帶來重大危害。

反觀Check Point的Prevention Mode採取相反作法，會即時將900封可疑信件全數擋下，再將相關訊息發送給當事人；假設同仁認為遭到誤攔，可向資訊部門申請放行，這時資訊人員只需專注調查這些信件，以決定放行與否。調查數量通常僅剩原來的10分之1不到，大幅降低資訊部門投入事後調查與處理的負擔。

而HEC除支援In-line Prevention Mode外，也支援Mirror Mode。一般企業在上線之初，都會先採取Mirror Mode，利用AI/ML技術學習內部郵件行為樣態，以建立正常基線，完成學習後即可進入Prevention Mode。以邁達特為例，於2022年10月底上線啟用HEC後，先行採取Mirror Mode，之後歷經兩階段轉換（優先將技術同仁的郵件收發調整為Prevention Mode），迄至年底才全面開啟Prevention模式。

自啟用HEC以來，邁達特資訊部門投入郵件調查的時間，已較導入前驟降近99%，換言之經由HEC即時阻擋的可疑信件中，使用者回報誤攔的比例僅1%，代表資訊部門不需再耗時查驗大量信件。

另外在產品實證階段，邁達特悉心準備幾個特殊考題。譬如假設有人透過Teams、OneDrive或SharePoint，從A網域傳遞有害檔案或網址給B網域的同事，證實都能被HEC即時偵測，有效阻斷這些內部威脅。此外邁達特設計一封偽冒成CEO發出交辦信件，模擬BEC（Business Email Compromise）攻擊，結果HEC再次通過考驗，準確地攔下這個可能讓各個企業陷入財務危機的禍患。

藉由這次導入及測試，邁達特充分理解到，Check Point Harmony Email & Collaborations實在是因為憑藉高偵測率、低作業負擔、直覺式介面等優勢，果真讓企業從容應對層出不窮的雲端郵件攻擊。而邁達特也希望以本次導入經驗為基石，期許未來能為企業用戶提供更多相關雲端防護方案服務及資安研究報告；畢竟隨著攻擊型態趨於規模化與複雜化，已使資安防禦難度激增，邁達特期望協助企業持續引入新的技術能量，有效擴大資安診斷、評估、監控與分析範圍，藉此強化資安靭性、確保永續經營。

關於 MetaAge邁達特

MetaAge邁達特，舊名聚碩科技，蟬聯多年中華徵信社台灣地區電腦系統整合服務業第一名。擁有國際知名品牌之軟硬體產品線、原廠認證之技術人才、綿密廣佈之市場通路、堅實的諮詢與維護服務。MetaAge邁達特協助企業雲地整合、全方位進行數位轉型，以智動化提升企業人均產值，成為元宇宙世代IT智能化的最佳夥伴。歡迎至MetaAge邁達特官網瀏覽：www.metaage.com.tw

          本文擷取自資安人

Sophos最新報告《詐騙 App 潛入 Apple 和 Google 應用程式商店》中，發布了對 CryptoRom 詐騙的最新發現。這是一場精心策劃的金融詐騙，誘使交友 App 的用戶進行假的加密貨幣投資。該報告詳細介紹了首批成功繞過 Apple 嚴格安全控管的假 CryptoRom 應用程式 ─ Ace Pro 和 MBM_BitScan。而在之前，網路罪犯分子只能試圖說服受害者下載未在 Apple App Store 上架的非法 iPhone App。Sophos 立即通知 Apple 和 Google；緊接著兩家公司都從各自的商店中刪除了這些詐騙 App。

Sophos 資深威脅研究員 Jagadeesh Chandraiah 表示：「一般來說，惡意軟體很難通過 Apple App Store 的安全審查流程。這就是為什麼當我們最初開始調查針對 iOS 用戶的 CryptoRom 詐騙時，詐騙者必須先說服用戶先安裝設定檔，然後才能安裝假的交易 App。顯然，這需要一些額外的社交工程手法才行，而且很難達成。當許多潛在受害者無法直接下載一個據稱合法的 App 時，他們會『警覺』到某些事情不對勁。但若將 App 上架到 App Store 上，詐騙分子就能大大增加潛在的受害者對象，因為絕大多數用戶都會信任 Apple。這兩款 App 也不受 iOS 最新鎖定模式的影響，該模式可防止詐騙分子載入用於社交工程的行動設定檔。事實上，CryptoRom 詐騙分子很可能正在根據鎖定模式中的安全功能改變他們的策略，並專心設法繞過 App Store 審查流程。」

例如，為了引誘被 Ace Pro 騙過的受害者，詐騙者會建立並積極維護一個假的 Facebook 帳號，和一個據稱在倫敦過著奢華生活的女性角色。在與受害人搭上線後，騙子會建議受害人下載詐騙 App Ace Pro，然後展開加密貨幣詐騙。

Ace Pro 在應用商店中被歸類於 QR 碼掃描器，但實際上是一個詐騙加密貨幣交易平台。打開這個 App 後，用戶會看到一個可以存取款項的交易介面。但是，任何存入的錢都會直接流向詐騙者。為了繞過 App Store 的安全措施，Sophos 認為詐騙者在 App 最初提交審查時，先將其連線到用途正當的遠端網站。該網域包含用於 QR 掃描的程式碼，因此 App 審核者會認為它是合法的。然而，一旦該 App 獲得核准，詐騙者就會將該 App 重新導向到另一個在亞洲註冊的網域。該網域會發送一個請求，讓來自另一台主機的內容進行回應，最終回傳的是假的交易介面。 

MBM_BitScan 也是適用於 Android 的 App，但它在 Google Play 上被稱為 BitScan。這兩個 App 都使用相同的命令和控制 (C2) 基礎架構進行通訊；然後，此 C2 基礎架構會與類似於日本合法加密公司的伺服器進行通訊。所有其他惡意內容都是經由網頁介面處理，這就是為什麼 Google Play 的程式碼審查人員很難偵測出它是詐騙 App 的原因。

CryptoRom 是被稱為「殺豬盤」詐騙家族的一個子集，其是一個組織嚴密的聯合詐騙活動，結合使用交友社交工程、詐騙性加密貨幣交易 App 和網站，用來引誘受害者並在獲得信任後竊取他們的金錢。兩年來，Sophos 一直在追蹤和回報這些騙取數百萬美元的騙局。

              本文擷取自資安人

資安廠商 VulnCheck 旗下的資安研究人員，近日撰寫報告指出網通設備大廠 Sophos 生產的防火牆產品，在去年遭發現內含遠端執行任意程式碼漏洞 CVE-2022-3236，且原廠已於 2022 年 12 月發布更新，但現今仍有 99% 以上已售出且連網的 Sophos 防火牆並未套用更新，仍含有該漏洞。

CVE-2022-3236 的 CVSS 危險程度評分高達 9.8 分（滿分為 10 分），危險程度評級為最高的「嚴重」等級。

CVE-2022-3236 漏洞存於 Sophos 的用戶入口與 Web 管理介面中，Sophos 於去年 9 月時通報此漏洞，且警告已觀察到有駭侵者利用該漏洞大規模發動攻擊；該廠並於去年 12 月推出該漏洞的修補更新。

不過距更新推出約一個月後，VulnCheck 的資安專家仍然發現，有超過 4000 台以上連接網路的 Sophos 防火牆裝置仍未安裝該更新，因此仍然受到該 CVE-2022-3236 漏洞的影響。

Sophos 受影響的防火牆產品分為兩類，較新款者其自動更新選項預設為啟用，因此可以自動接收並安裝該漏洞的修補程式，而舊款者需要手動進行更新。

此外，由於 Sophos 防火牆的 Web 管理介面，其登入程序預設須要輸入 CAPTCHA，因此也減低了駭侵者通過登入驗證的機率。

目前駭侵者針對 Sophos 防火牆 CVE-2022-3236 漏洞發動攻擊的區域，主要集中在南亞地區。

建議 Sophos 防火牆用戶應檢視其硬體版本是否可以自動接收並套用 hotfix 更新，若為無法自動更新的舊機型，應隨時注意資安更新訊息並即時套用更新。

       本文擷取自資安人

Check Point® Software Technologies Ltd.的威脅情報部門 Check Point Research近期研究指出，自 2020 年中起網路攻擊數量便持續上升，於 2021 年末創下歷史新高，全球每間機構每週平均遭受 925 次網路攻擊；與 2020 年相比，2021 年企業網路每週遭受的攻擊數量增長了 50 %。台灣的機構在去年則是每週平均遭受 2,644 次網路攻擊，較 2020 年增加 38 %。
 

每周台灣受惡意軟體攻擊比例


2021 年 12 月，全球遭受高危險漏洞 Log4j 每小時發動數百萬次攻擊，因此在不到一個月的時間，2021 年竟成為網路安全史上破紀錄的一年。根據去年 10 月 Check Point Research 報告指出，2021 年全球網路攻擊規模增長了 40 %，全球每週平均每 61 間機構就有 1 間遭受勒索軟體影響。

各產業受攻擊情況
2021 年，教育與研究機構成為攻擊重災區，各機構每週平均遭受 1,605 次攻擊，較 2020 年增長了 75 %。其次為政府和軍事機構，每週平均遭受 1,136 次攻擊（增長 47 %）、通訊業每週平均遭受 1,079 次攻擊（增長 51 %）。


強化資安2大策略思維


預防勝於治療：攻擊規模大、波及範圍廣，且有巨大攻擊表面的第五代網路攻擊，是資安業者面臨的最大挑戰之一。比起拼湊式、無法有效整合的基礎設施，一個整合式的安全架構能夠提供更快速、更全面的防護；而一個能夠先發制人的安全架構正是 Check Point Infinity 的核心。 
 
任何地方皆為破口：為達成有效防護，各機構應採用能夠保護所有攻擊表面及攻擊手法的整合式解決方案；在當今企業的混合環境中，威脅無處不在，更應隨處佈署安全防護。電子郵件、網頁流覽、伺服器和儲存安全只是基礎，手機 App、雲端和外部儲存安全防護已成為企業必備；連網的行動裝置和端點設備的合規性、日益增長的物聯網設備資產保護也不能掉以輕心；多雲和混合雲環境中的工作負載、容器和無伺服器應用程式更必須隨時受到安全防護。 


維持網路環境的「衛生」


安裝修補程式：攻擊者經常利用尚未安裝修補程式的已知漏洞入侵網路，各機構務必確認所有系統和軟體皆已安裝最新修補程式。  
 
採取分段防護：各機構內部應進行網路分段防護，並在網段之間佈署強大的防火牆和 IPS（入侵防禦系統），防止威脅散播至整個網路。  
 
教育員工識別潛在威脅：提升資安意識一直是避免惡意軟體感染的關鍵因素，因為具高度資安意識的使用者通常能夠有效阻止攻擊發生。建議機構對使用者進行資安培訓，確保他們能夠第一時間向資安團隊回報異常狀況。 
 
佈署最先進的安全技術：沒有任何單一技術能夠防止機構免於所有威脅及攻擊手法，不過目前已存在許多先進解決方案，包含機器學習、沙箱、異常檢測、內容威脅解除等；每項技術都能夠在特定情境、檔案類型或攻擊手法中發揮作用，其中最關鍵的是用於檔案檢測的威脅萃取（Threat Extraction）和進階沙箱技術威脅模擬（Threat Emulation）。綜合使用提供不同防護作用的技術即可構成一套全面的解決方案，於網路和端點設備防範未知惡意軟體。

          本文擷取自資安人

Check Point® Software Technologies Ltd.的威脅情報部門 Check Point Research 發佈最新 2022 年網路攻擊趨勢，指出 2022 年全球網路攻擊年增率達 38%；台灣各組織平均每週遭受 3,118 次攻擊，年增率為 10%，其中遭攻擊次數最多的產業分別為金融與銀行業（4,664 次）、製造業（3,705 次）及政府與軍事機構（2,884 次）。
 
全球攻擊次數增長可歸因於更小型、更敏捷的駭客和勒索軟體團體，利用居家辦公環境中採用的協作工具發動攻擊，同時鎖定疫後轉為線上教學的教育機構；另一部分的攻擊則來自駭客對醫療機構產生的濃厚興趣，與其他產業相比醫療機構於 2022 年遭受的網路攻擊增幅最大。Check Point Research 表示隨著人工智慧技術日漸成熟，如 ChatGPT 的落地應用，網路攻擊在今年將愈演愈烈。
 
2022 年第四季全球網路攻擊量達歷史新高，各組織平均每週遭受 1,168 次攻擊；而 2022 全年全球遭受最多次網路攻擊的產業分別為教育與研究機構、政府與軍事機構和醫療機構。非洲地區為遭受攻擊次數最多的地區，各組織平均每週遭受 1,875 次攻擊，其次為亞太地區的 1,691 次攻擊。與 2021 年相比，2022 年網路攻擊增幅最大的三個地區分別為北美洲（+52%）、拉丁美洲（+29%）和歐洲（+26%）。

其中，台灣受攻擊次數最多的產業依序為金融與銀行業、製造業、政府與軍事機構。

各組織平均每週遭受攻擊次數及年增率（按地區劃分）


勒索軟體生態系統在 2022 年不斷演變，網路犯罪團體為規避法律制裁改以更小、更敏捷的規模行動。駭客也逐漸擴大攻擊目標範圍，利用網路釣魚程式瞄準 Slack、Microsoft Teams、Microsoft OneDrive 和 Google Drive 等協作工具發動攻擊，主要原因在於全球多數組織的員工皆繼續實行遠距辦公，而這些協作工具中通常包含大量敏感資料。
 
教育機構因疫情轉為提供線上課程後，也淪為網路犯罪分子的重點攻擊對象，更成為 2022 年的全球首要目標，所遭受的網路攻擊數量年增 43%，平均每週遭受 2,314 次攻擊。許多教育機構未能充分準備便突然轉為線上教學，駭客因而可輕易透過各種手段入侵其網路；中小學和大學更面臨著如何落實兒童及青少年資安教育的挑戰，因許多人會使用自己的設備在公共區域學習，或經常連接公共 WiFi 而絲毫不考慮資安問題。
 
Check Point Software 數據研究經理 Omer Dembinsky 指出：「全球網路攻擊日益增加，在 2022 年企業網路平均每週遭受的網路攻擊數量便相較去年增加 38%，我們看到多種網路威脅趨勢同時出現；而不幸的是，Check Point Software 預期網路攻擊活動將有增無減。隨著 ChatGPT 等人工智慧技術逐漸普及，駭客將能夠以更快的速度自動化生成惡意程式碼和惡意電子郵件。做好自我防護的關鍵為將『預防』作為首要任務，而非著重於『檢測』；建議各組織實行資安培訓課程、即時安裝修補程式和導入反勒索軟體技術等措施，盡可能降低受到攻擊或資料外洩的可能性。」



2022 年各組織平均每週遭受攻擊次數及年增率（按產業劃分）


四大網路安全建議


資安意識培訓：經常實行資安意識培訓對於防護組織免遭勒索軟體攻擊十分重要，務必提醒員工注意以下項目： 


切勿點擊惡意連結
切勿打開陌生或不受信任的附件
避免將個人或敏感資料透露給網路釣魚者
在下載前驗證軟體的合法性
切勿將未知 USB 安裝於電腦上
在連接不受信任或公共 WiFi 時使用 VPN 
 


即時安裝修補程式：即時更新電腦及安裝修補程式，尤其是被標記為重要的修補程式，將可降低組織受勒索軟體攻擊的可能性。 
 
即時更新軟體：勒索軟體攻擊者有時會在應用程式和軟體中發現漏洞，並利用這些漏洞發動攻擊；不過開發人員也會主動搜尋新漏洞並開發相應的修補程式，若組織想採用這些修補程式，就必須制定修補程式管理策略，確保所有團隊成員即時更新至最新版本的軟體。 
 
預防先於檢測：許多人聲稱攻擊在所難免，唯一解決之道為進行技術投資，以便在網路遭駭後能及早檢測降低損失。但事實上組織不僅可以攔截攻擊，也能夠預防零日攻擊和未知惡意軟體等攻擊；採用合適技術可以使企業在不中斷業務的情況下，防範大多數、甚至是最複雜的攻擊。