全部文章分享

      本文擷取自資安人

隨著人工智慧技術的快速發展，企業資安防護已進入新紀元。根據最新統計，台灣企業每週平均遭受高達4,100次的網路攻擊，較亞太地區其他國家高出1.75倍，情況令人堪憂。面對如此嚴峻的威脅環境，企業該如何運用AI技術強化資安防護，成為當前急需解決的課題。資安人專訪Check Point Software 亞太及日本區總裁 Ruma Balasubramanian  (以下以Ruma稱)分享從大中華區角度觀察到的一些資安趨勢。
台灣資安威脅情勢嚴峻
Ruma指出，台灣企業面臨的網路攻擊主要集中在硬體製造、科技製造及政府機關等重點領域。攻擊手法不斷推陳出新，從傳統的勒索軟體、社交工程詐騙，到近期興起的供應鏈污染攻擊，都對企業造成重大威脅。

整體而言，當前資安攻擊呈現三大趨勢：首先是勒索軟體升級，從單純加密數據演變成鎖定企業夥伴的三重勒索；其次是AI加持的社交工程攻擊，透過深偽技術產生逼真的釣魚郵件、影音內容；第三是軟體供應鏈威脅，攻擊者透過污染開源程式庫，使開發團隊在引用程式碼時，連帶感染企業應用系統。這些新興威脅不僅影響企業本身，更可能危及整個商業生態系統。



2024 台灣網攻概覽


然而，台灣的資安環境具有其獨特性，起因於廣泛使用的IoT設備。Ruma說明，「由於台灣擁有強大的製造基礎，特別是在ICT產業，企業環境通常存在大量的IoT設備，這使得攻擊面相較其他市場更為寬廣。」

近幾年，台灣企業的IT環境經歷了重大變革。大量工作負載遷移至雲端，企業根據營運地區採用不同的雲服務供應商，形成了複雜的混合雲環境。Ruma形容，「我今天就遇到一個全球製造業客戶，他們依據不同國家的需求，採用多個雲端服務供應商，同時將核心安全工作負載保留在內部環境，而將客戶服務和財務相關的工作負載部署在公有雲上。」

這些現象形成台灣企業面臨的雙重安全挑戰：一方面是傳統製造供應鏈中大量IoT設備帶來的威脅，另一方面則是日益複雜的混合雲環境衍生的資安風險。這種特殊的產業結構，使得台灣企業比其他亞太地區企業面臨更多的攻擊途徑。

此外，Ruma認為更具挑戰性的是資安供應商整合問題。調查顯示全球70%的資安長需要管理超過50家資安供應商，這種情況在台灣市場同樣普遍。「對CISO來說，管理如此多的供應商關係已經相當困難，更別說要將這些不同的解決方案整合成一個統一的資安平台，」她說。



近六個月資安攻擊產業：台灣 vs. 全球


AI防護新利器：GenAI Protect
因應生成式AI帶來的新興威脅，Check Point正在開發名為GenAI Protect的創新工具。這款工具突破了傳統數據外洩防護（DLP）的限制，採用更智慧的方式來防範資料外洩風險。
Check Point Software北亞區技術主管侯嘉駿說明，「傳統DLP要求企業自行定義敏感資料的範圍，這對很多企業來說是個挑戰。但GenAI Protect能夠通過AI技術分析使用者的提問內容本身，主動識別可能導致資訊外洩的風險。」

他舉例，當員工詢問一雙鞋子的價格是否合理時，這是無害的提問。但如果員工詢問收購一家公司的價格是否合理，即使沒有涉及具體的敏感資料，但這個提問本身就可能洩露企業的併購計劃。GenAI Protect能夠理解這種語境下的潛在風險，並及時進行阻擋。目前該工具正處於客戶預覽階段，持續收集使用者回饋以進行優化。

全方位的AI安全解決方案
面對日益嚴峻的資安威脅，Check Point憑藉十年的AI經驗，推出了一系列創新的安全解決方案。其中最受矚目的是Threat Cloud AI平台，該平台透過部署在全球的數百萬個偵測器，持續收集即時的威脅情報。侯嘉駿表示：「我們運用超過50種機器學習模型對收集到的數據進行分析，讓用戶能夠主動掌握環境中的潛在威脅。」

值得注意的是，Threat Cloud AI採用了無代理程式的架構設計，這意味著企業無需在終端設備上安裝額外的軟體。侯嘉駿解釋這個設計對現今企業來說極具吸引力。「因為它不會影響系統效能，卻能提供全面的安全防護。」

此外，Check Point收購Cyberint，進一步強化了其威脅情報分析和供應鏈掃描能力。侯嘉駿說明，「Cyberint的解決方案有兩個特別突出的功能。首先是其深度的暗網掃描能力，能夠偵測員工個人資料、電子郵件等是否外洩；其次是全面的供應鏈安全掃描，特別是針對網路設備製造商的安全檢測。」
 
與市面上其他掃描工具不同，Cyberint採用了「人機協作」的創新模式。在每個客戶的服務中，都會配置專業的資安分析師，負責審查掃描結果。侯嘉駿解釋，「純粹依靠工具的自動掃描常常會產生大量誤報。透由有經驗的分析師進行篩選警報，確保只將真正具有風險的發現通報給客戶，這大幅提高了威脅回應的效率。」

這種結合專業服務的模式特別適合資安運營中心（SOC）的需求。透過Cyberint的即時警報機制，SOC可以快速掌握任何已知的惡意威脅，並採取相應的防護措施。

Ruma補充，「在AI時代，人機協作將成為常態，但這並不意味著AI會完全取代人類。就像客服中心使用AI聊天機器人時，仍需要專業人員監督和確保回覆的準確性。資安領域也是如此，AI工具能夠協助偵測威脅，但最終的判斷和處置仍需要專業人員的參與。」

資安人才面對AI時代的技能升級
隨著AI技術的快速發展，資安人才的培訓與技能提升變得尤為重要。Ruma 指出，資安人才需要在三大關鍵領域強化能力：


AI技能全面提升:
Ruma 認為資安人員的首要之務是培養AI相關技能，包括了解如何開發和應用AI工具、掌握大型語言模型的運作原理，以及熟悉各類機器學習工具的使用方法。
 
雲端安全專業知識:
現代資安人員不僅要熟悉傳統網路安全，更要深入理解雲端安全的特性。特別是在混合雲環境中的安全防護策略。
 
強化滲透測試能力:
Ruma 認為市面上存在兩種不同的方法。一種是利用簡單的掃描工具,可由企業內部人員自行操作；另一種則是更深入的滲透測試，需要具有攻擊能力的專業人士進行。對於涉及敏感資料的企業來說，建議選擇由第三方安全公司提供的深度滲透測試服務,以全面掌握系統的漏洞情況。


未來展望與建議
在產品安全管理方面，Check Point特別重視漏洞的及時修補和主動通報機制。侯嘉駿認為，「沒有任何產品能夠完全避免漏洞，關鍵在於發現漏洞後的處理速度和透明度。我們承諾在發現重大漏洞時，會在24小時內完成修補，並主動聯繫每一位受影響的客戶。」

展望未來，Check Point將持續投資區塊鏈、Web3等創新技術的研發，進一步擴充其安全解決方案的範疇。同時呼籲台灣企業重視AI與人類之間的協作，並加強員工在新興技術領域的培訓，共同應對日益複雜的網路安全挑戰。

     本文擷取自資安人

思科（Cisco）於近日發布重要安全更新，修補一個目前正遭受積極攻擊的 Adaptive Security Appliance（ASA）安全漏洞。該漏洞可能導致系統發生阻斷服務（DoS）攻擊，影響企業網路安全運作。
漏洞細節與影響範圍
這個被編號為 CVE-2024-20481 的漏洞（CVSS 評分：5.8）影響思科 ASA 和 Firepower Threat Defense（FTD）軟體的遠端存取 VPN（RAVPN）服務。由於資源耗盡問題，未經授權的遠端攻擊者可以利用此漏洞對 RAVPN 服務發動 DoS 攻擊。

思科安全公告指出，攻擊者可以透過向受影響設備發送大量 VPN 驗證請求來利用此漏洞。一旦攻擊成功，將導致資源耗盡，使受影響設備的 RAVPN 服務癱瘓。更嚴重的是，根據攻擊影響程度，可能需要重新啟動設備才能恢復 RAVPN 服務。

緩解措施
雖然目前沒有直接的解決方案來完全防範 CVE-2024-20481 漏洞，但思科建議客戶採取以下防護措施來對抗密碼暴力破解攻擊：啟用日誌記錄功能、為遠端存取 VPN 服務配置威脅偵測、實施強化措施（如停用 AAA 驗證），以及手動阻擋來自未授權來源的連線嘗試。

大規模攻擊活動
思科 Talos 威脅情報團隊於今年四月初報告指出，自 2024 年 3 月 18 日以來，針對 VPN 服務、網頁應用程式驗證介面和 SSH 服務的暴力破解攻擊明顯增加。這些攻擊不僅針對思科設備，還包括 Check Point、Fortinet、SonicWall、MikroTik、Draytek 和 Ubiquiti 等多家廠商的產品。
Talos 指出，這些暴力破解攻擊使用通用使用者名稱和特定組織的有效使用者名稱，攻擊來源主要來自 TOR 出口節點以及各種匿名通道和代理伺服器。

其他重大漏洞修補
除了上述漏洞外，思科同時修補了三個嚴重性更高的安全漏洞：


CVE-2024-20412（CVSS 評分：9.3）影響 FTD 軟體，涉及硬編碼密碼的靜態帳戶問題；
CVE-2024-20424（CVSS 評分：9.9）存在於 FMC 軟體的網頁管理介面，可能允許已驗證的遠端攻擊者以 root 權限執行任意命令；
CVE-2024-20329（CVSS 評分：9.9）影響 ASA 的 SSH 子系統，同樣可能允許已驗證的遠端攻擊者執行 root 權限的系統命令。

有鑑於網路設備安全漏洞已成為國家級駭客組織的主要攻擊目標，資安專家強烈建議企業用戶儘速更新至最新版本。同時，應持續監控系統異常活動，確保企業網路安全。

本文轉載自thehackernews。

        本文擷取自資安人

網路安全大廠 Sophos 宣布將以全現金約 8.59 億美元收購 Secureworks，每位 Secureworks 股東將可獲得每股 8.50 美元的現金對價。此次併購將使 Sophos 顯著擴展其產品範疇，新增身分偵測與回應 (ITDR)、次世代安全資訊與事件管理 (SIEM) 功能、營運技術 (OT) 安全，以及增強的漏洞風險優先性等重要功能。

​這項預計於 2025 年初完成的交易，將透過整合兩家擁有共同使命文化的產業領導者，進一步強化安全社群。此次合併後的產品組合將更全面地保護占全球企業 99% 的中小型企業，協助其突破網路安全資源不足的困境，同時也能為大型企業提供更完善的防護，以對抗來自活躍網路犯罪生態系統和地緣政治壓力所帶來的網路威脅。 

Sophos 結合 Secureworks 在安全營運方面的專業知識，預期將進一步為全球客戶提供互補的 MDR 和 XDR 解決方案。

        本文擷取自資安人

Sophos 推出了九款全新 XGS 系列桌上型防火牆設備，這些設備適用於中小型企業，以及大型組織的分公司。新款 XGS 設備具備精簡的架構，提供比前代機型高出一倍的效能，同時降低了 50% 的能源消耗。所有新款 Sophos XGS 設備均支援多種高速連線選項，其中四款採無風扇設計，非常適合對噪音敏感的環境。

Sophos 同時發表 Sophos Firewall 軟體的更新版本，提供更強大的網路攻擊防護功能，包括整合第三方威脅情報源的能力。此功能允許具有特定地區或垂直市場需求的組織自訂並採用額外的資訊，以加強其防火牆的安全性。新軟體還提升了對分散式網路的可擴展性，並可讓舊版防火牆客戶順暢地升級至最新的 Sophos XGS 設備。透過利用新 Sophos Firewall 軟體中改良的虛擬 FastPath 加速功能，以及新的精簡架構，新的 Sophos XGS 防火牆設備提供的 IPsec VPN 輸送量可達三倍於前代機型的效能。 

使用者現在可以配置 Sophos Firewall 軟體，使其接收由安全廠商、託管服務提供商 (MSP)、特定行業聯盟和資訊共用與分析中心 (ISAC) 或其他威脅情報平台發布的付費和免費情報來源。這些第三方數據可增強 Sophos 專有的威脅情報，包括來自 Sophos X-Ops 的情報，以及來自包括 SophosLabs、Sophos Managed Detection and Response (MDR) 和 Sophos Extended Detection and Response (XDR) 技術的遙測數據。結合內建於 Sophos 託管端點的 Sophos Active Threat Response 功能及各情報來源，Sophos Firewall 軟體將啟動同步回應，能自動隔離潛在攻擊，為防禦人員爭取寶貴時間來評估、回應並修復威脅。

Sophos Firewall 軟體的其他增強功能包括：

提升效能與可擴展性：新款 XGS 系列桌上型設備的 IPsec VPN 效能提升三倍，以及具備更快的身分驗證尖峰效能，並經過最佳化，在 SD-RED 通道、動態路由和 Active Directory 互動方面，可減少故障切換期間的停機並增強韌性，適合分散式企業的環境。
 
精簡管理：更新的使用者操作，支援 Let’s Encrypt 憑證，整合支援 Google Workspace 認證，以及擴展了網路物件的可視性，可簡化防火牆的管理。
 
無縫裝置升級：新增配置備份助理及連接埠對應支援，並提供免費的授權重疊期，讓 Sophos XG 防火牆用戶能更彈性、輕鬆地升級至新一代硬體設備。

        本文擷取自資安人

Sophos 發布行業調查報告《2024 年醫療保健領域勒索軟體現況》。該報告顯示，自 2021 年以來，針對醫療機構的勒索軟體攻擊率已達到四年來的最高點。在受訪的機構中，三分之二 (67%) 在過去一年中受到勒索軟體攻擊，這一數據相比 2023 年的 60% 有所上升。醫療機構遭受勒索軟體攻擊的上升趨勢，與各行業整體攻擊率下降的趨勢形成鮮明對比；從總體上看，勒索軟體攻擊率從 2023 年的 66% 下降到 2024 年的 59%。

隨著勒索軟體攻擊率上升，醫療機構報告的復原時間也越來越長。只有 22% 的勒索軟體受害者能在一週內完全復原，這一數據和 2023 年的 47% 和 2022 年的 54% 相比顯著下降了。此外，37% 的受害者花費超過一個月才復原，這一比例相較 2023 年的 28% 上升，反映出攻擊的嚴重性和複雜性有所增加。

Sophos 現場技術長 John Shier 表示，雖然我們看到勒索軟體攻擊率在各行各業中看似穩定或甚至有所下降，但針對醫療機構的攻擊無論在數量還是範圍上都在不斷加劇。醫療資訊的高度敏感性和其必須可隨時取用的需求，總是使得醫療行業成為網路犯罪分子的攻擊目標。遺憾的是，網路犯罪分子已經知道只有少數醫療機構有能力應對這些攻擊，這一點從復原時間越來越長就可以看出。這些攻擊可能會引發巨大的連鎖反應，正如我們今年看到幾次重大勒索軟體攻擊均對醫療行業和病患照護造成了嚴重影響。

為了對抗這些有計畫的攻擊者，醫療機構必須採取更加主動且由人主導的威脅偵測與回應策略，結合先進的技術與持續監控，才能領先攻擊者一步。

報告中的其他發現包括：

勒索軟體復原成本激增：2024 年醫療行業勒索軟體攻擊的平均復原成本為 257 萬美元，高於 2023 年的 220 萬美元，且是 2021 年成本的兩倍
 
贖金要求與實際支付的差異：57% 支付贖金的醫療機構最終支付的金額超過了最初的贖金要求
 
攻擊的根本原因：被竊的憑證與被利用的漏洞，這兩者並列為攻擊的首要根本原因，各佔 34% 的攻擊
 
備份成為目標：95% 遭受勒索軟體攻擊的醫療機構表示，網路犯罪分子在攻擊過程中試圖破壞其備份
 
增加壓力：備份遭到破壞的機構支付贖金以復原加密資料的可能性，是未受破壞機構的兩倍以上 (63% 對 27%)
 
誰支付贖金：保險提供者在贖金支付中參與甚深，參與了 77% 的案例。19% 的總贖金支付資金是來自保險提供者。

        本文擷取自資安人

Sophos 發布一份與 Tech Research Asia 合作，針對亞太地區和日本合作夥伴的《網路安全實戰手冊》。該報告分析了未來 12 個月內各組織的優先事項，以及合作夥伴支援這些目標的商機。

Sophos 亞太地區及日本通路銷售 MSP 部門總監 Cameron Reid 表示，持續存在的網路威脅迫使組織必須採取行動來處理各種網路安全措施。報告發現，企業關注的三大領域是加強金融操作的網路安全狀態、改善風險管理能力，以及確保網路安全健全以支持數位轉型計畫。顯然，當企業投資新技術時，必須優先考慮安全性，以確保潛在的受攻擊面得到保護。

隨著企業透過實施如人工智慧 (AI) 等技術持續進行數位轉型，網路犯罪分子可能也會進行類似的操作。報告發現，除了澳大利亞 (排在憑證竊取和釣魚/社交工程之後) 外，AI 輔助的網路攻擊被認為是所有市場中組織最在意的網路威脅。

令人擔憂的是，調查顯示只有不到一半 (45%) 的亞太地區和日本組織認為自己擁有應對 AI 威脅的技能，僅有超過五分之一 (22%) 的組織認為自己擁有全方位的 AI 和自動化策略。為了應對 AI 技能短缺的困境，45% 的組織打算外包給合作夥伴，49% 的組織打算透過合作夥伴支援的培訓和教育來培養和發展內部技能。
對託管服務提供商 (MSP) 支援的需求持續成長
在接下來的一年內，83% 的亞太地區和日本組織預期增加網路安全預算，50% 的組織打算投入更多資金於第三方管理的安全服務，以整合和管理技術堆疊、提升安全能力，以及減輕內部壓力。

預期增加預算的主要產品和解決方案領域是：


基礎架構和網路安全 (62% 的組織增加了預算)
威脅偵測和回應 (61%)
應用程式和安全 (56%)
身分識別存取管理 (53%)

事件回應和復原 (50%)在供應商環境方面，20% 的受訪組織僅使用一個供應商來滿足其網路安全需求，而三分之一 (33%) 的組織使用三個或更多供應商。隨著組織改用來自合作夥伴的彈性且量身定制的商業架構，多供應商的情況將在未來一年更為常見。

此外，組織還在尋找具備強大安全技能的合作夥伴。近 60% 的受訪組織表示，他們不太會與曾經遭受攻擊或安全事件的合作夥伴合作。在仍願意與曾遭攻擊的合作夥伴合作的公司中，81% 的公司會增訂額外的績效條款和具體的服務等級協議。

Reid 補充說，由於攻擊者的行為不斷演變，組織必須獲得所需的支援才能應對網路安全的各個方面，並持續評估和維護對抗最新網路攻擊的強大防禦。研究顯示，企業明白他們需要幫手來建立持續的網路韌性，並用合作夥伴來填補內部的不足。這意味著 MSP 有機會透過展示強大的網路安全技能、對威脅環境的了解，以及幫助客戶和潛在客戶保持安全的能力來贏得並維持業務，使客戶能夠專注於他們的業務營運和目標。

         本文擷取自資安人

Sophos 公布其年度行業調查報告《2024 年教育機構勒索軟體現況》。根據報告，初等教育機構的贖金中位數為 660 萬美元，而高等教育機構的贖金中位數為 440 萬美元。此外，調查指出，55% 的初等教育機構和 67% 的高等教育機構支付了超過原本勒索金額的贖金。

勒索軟體攻擊帶來的壓力日益加劇。從調查中發現，初等教育和高等教育機構中只有 30% 的受害者能在一週內完全復原，這一比例比去年初等教育的 33% 和高等教育的 40% 都低。復原速度變慢的原因可能是教育機構的團隊和資源有限，因此難以協調復原工作。

Sophos 現場技術長 Chester Wisniewski 表示，不幸的是，教育機構必須對地方政府、社區和學生負責，若遭到勒索軟體攻擊，會造成嚴重的影響和壓力。此外，教育機構有義務和責任保持運作，繼續為社區提供教育服務。以上兩個因素可能是受害者因壓力大而選擇支付贖金的原因。

勒索軟體攻擊者變得更加激進以要求更高的贖金。現在，破壞備份經常成為勒索軟體攻擊的主流手段。藉此，攻擊者得以確認受害者無法在沒有解密金鑰的情況下進行復原，因此有機會進一步提高贖金要求。

事實上，95% 的受訪者表示，網路犯罪分子在攻擊期間曾嘗試破壞他們的備份，其中 71% 成功了，這是所有行業中第二高的備份破壞率。備份被破壞也使得復原成本大幅增加。初等教育機構的復原總成本比平時高出 5 倍，高等教育則高出 4 倍。

雖然應對勒索軟體仍是一個挑戰，但教育機構遭受勒索軟體攻擊的數量有所減少。63% 的初等教育機構和 66% 的高等教育機構遭受勒索軟體攻擊，分別低於之前的 80% 和 79%。與此同時，資料被加密的比率略有上升。85% 的初等教育機構和 77% 的高等教育機構遭受攻擊時資料被加密，比 2023 年調查中報告的 81% 和 73% 稍有上升。不幸的是，網路犯罪分子不僅加密資料，還會竊取它們，並將其作為進一步牟利的籌碼。22% 的初等教育機構資料被加密且被竊，高等教育中這一比例為 18%。

調查顯示，漏洞利用是教育領域受攻擊的主要根本原因，44% 的初等教育和 42% 的高等教育勒索軟體攻擊均透過這個管道入侵網路。

根據 Sophos 調查，學校和其他教育機構可以從多層式的安全策略受益，包括漏洞掃描和修補程式優先性指導，以減少受攻擊面；具備防勒索功能的端點保護能夠自動偵測並阻止攻擊；以及 24/7 全天候人工管理的偵測和回應 (MDR) 服務，可以遏阻進階的人為攻擊，理想情況下還能利用備份解決方案的遙測數據來偵測並阻止攻擊者，以防造成損害。

         本文擷取自資安人

Sophos 發布《紅宮行動：新工具、新戰術、新目標》報告，詳細說明這一個持續了近兩年的中國網路間諜活動在東南亞的最新進展。Sophos X-Ops 在今年 6 月首次揭露了此一被其命名為「紅宮行動」(Crimson Palace) 的活動，並詳細揭露了他們在某備受矚目的政府組織內發現的三個中國國家級獨立行動群組：群組 Alpha、群組 Bravo 和群組 Charlie。在 2023 年 8 月短暫休兵後，Sophos X-Ops 注意到群組 Bravo 和群組 Charlie 的活動訊號再次增強，不僅出現在最初的目標內，也擴展至該地區的其他多個組織。

延伸閱讀：Sophos揭露《紅宮行動》報告：中國國家支持的駭客組織鎖定東南亞政府機構

在調查這些重新出現的活動時，Sophos X-Ops 發現了一種新型鍵盤側錄程式，威脅捕獵團隊將其命名為 "Tattletale"。該程式能夠模仿已登入系統的使用者，並蒐集與密碼政策、安全設定、快取密碼、瀏覽器資訊，以及儲存資料相關的資訊。Sophos X-Ops 在報告中也指出，與第一波行動相比，群組 Charlie 使用開源工具的比例愈來愈高，而非他們在首波活動中使用的自訂惡意軟體。

Sophos 威脅捕獵與威脅情報總監 Paul Jaramillo 表示，在行動初期，群組 Charlie 部署了各種自訂工具和惡意軟體。然而，我們成功『摧毀』了他們一開始的基礎架構，並阻斷指揮和控制 (C2) 工具，迫使他們改變作法，但他們隨即改用了開源工具，顯示這些攻擊團體具備快速適應能力以及持久性，而這似乎也成為中國國家級攻擊團體的新興趨勢。安全社群均致力於保護我們最敏感的系統免受這些攻擊者的侵害，因此分享有關這種轉變的觀察非常重要。

群組 Charlie 與中國威脅團體 Earth Longzhi 共用了戰術、技術和程序 (TTP)，其最初於 2023 年 3 月至 8 月間在東南亞一個高階的政府組織中活動。在沉寂數週後，該群組於 2023 年 9 月重新出現，並持續活躍到至少 2024 年5 月。在這次行動的第二階段，群組 Charlie 專注於更深入第滲透網路、躲避端點偵測與回應 (EDR) 工具，以及蒐集更多情報。除了改用開源工具外，群組 Charlie 也開始使用群組 Alpha 和群組 Bravo 最初部署的戰術，這表明有一個上層組織指揮著這三個活動群組。Sophos X-Ops 已追蹤到群組 Charlie 持續在東南亞多個其他組織進行活動。

群組 Bravo 與中國威脅團體 Unfading Sea Haze 亦共用了戰術、技術和程序 (TTP)，最初僅在 2023 年 3 月於目標網路中活躍了三週。然而，該群組於 2024 年 1 月重新出現，這次的目標則擴展至同一地區的至少 11 個其他組織和機構。

     本文擷取自資安人

使用不安全網路和自帶設備（BYOD）的遠端使用者連接，加劇了組織遭勒索軟體攻擊，以及將資料洩露給未經授權的軟體即服務（SaaS）和生成式 AI 工具風險。數據顯示，去年遭到公開勒索的勒索軟體受害者增加了 90%，約 55% 資料遺失事件因使用生成式 AI 所致。為此， Check Point 宣布推出新一代生成式 AI 解決方案，有效應對挑戰。
 
Check Point 全新生成式 AI 安全防護解決方案現已透過預覽版計畫推出，支援在組織內安全採用生成式 AI 應用，同時解決業務資料和監管合規性風險。不同於標準資料保護解決方案無法識別對話指令中的上下文，此新型解決方案具開創性、基於生成式 AI 的資料分類功能，可防止應用程式資料外洩。
 
Check Point 全新生成式 AI 安全防護解決方案可助力組織：

發現未經授權的所生成式 AI 工具，例如 ChatGPT、Gemini 等。
查看主要生成式 AI 案例，例如行銷、編碼、資料分析等。
識別風險最高的生成式 AI 應用，並確定優先採取減緩威脅。
利用開創性生成式 AI 資料分析功能防止資料遺失。
透過企業級監控和可視性，滿足法規要求。 


Check Point Harmony 資料遺失防護雲端服務
此外，Check Point 全新 Harmony 資料遺失防護（Data Loss Prevention，DLP）雲端服務也已提前推出，此進階的系統在後台不間斷運行，能夠使用 OCR 識別圖像中超過 700 種預定義資料類型，並滿足自訂資料要求，精確識別 AI 指令中的敏感非結構化資料。此服務可透過 Harmony Endpoint、Harmony Browse 和 Harmony SASE 為工作區提供新一代資料遺失防護，並利用生成式 AI 實現細緻可視性和控制。
 
藉由以下功能，全新 Harmony 資料遺失防護能夠為混合辦公組織提供有力支援：


全面的可視性和控制功能：提供對組織內資料移動情況的全方位洞察，並自動執行依需求客製化的安全策略。
安全無縫的辦公體驗：基於瀏覽器的解決方案可輕鬆保護所有端點，支援在不影響資料安全性的情況下使用應用。
自動化合規性：利用自動化合規性和深度報告功能，確保始終遵守資料法規。
生成式 AI 安全防護整合：安全地發現和管理經認可和未經批准使用的生成式 AI 工具，應用基於 AI 的即時資料保護，並透過風險洞察和使用情況分析做出明智的治理決策。
經濟高效的綜合平台：作為 Harmony Suite 的一部分，可透過單一強大的安全防護平台降低總體擁有成本（TCO）。 


全新 Check Point Infinity ThreatCloud AI 引擎 
Infinity ThreatCloud AI 是 Infinity 平台的中樞神經系統，可在 2 秒內於全球範圍內共用最新威脅情報。ThreatCloud AI 擁有業界領先、高達 99.8% 的惡意軟體捕獲率，現已透過添加新引擎強化，可識別高度複雜的攻擊和威脅活動，包括：


ThreatCloud Graph 引擎能夠對網路威脅進行多維度評估，透過分析它們與已知惡意物件的關係實施有效防禦。
使用基於 AI 的自然語言處理（NLP）對新網站進行自動 URL 分類。
基於惡意和正常網站流量模式之間的不同功能，防止 C2 和 MDN（惡意軟體交付網路）通訊。
深度品牌聚類：利用深度學習技術，阻止品牌欺詐網路釣魚攻擊活動。 

藉由最新的 AI 和生成式 AI 版本，Check Point 提高了生成式 AI 保護工作區標準，透過 Harmony 套件為組織增強安全性。此套件能夠在任何網路、任一設備和所有 Web 應用上為遠端或混合辦公人員提供 360° 全方位威脅防禦。除了支援在整個工作區內安全採用生成式 AI 和新一代資料保護以外，AI 驅動的網路安全防護產品組合還提供了 AI Copilot、AI Cloud Protect 和 ThreatCloud AI。

          本文擷取資安人

勒索軟體惡意組織 RansomHub 正在使用一種新型惡意程式，專門針對企業端點偵測與回應（EDR）安全軟體進行攻擊。這種被命名為 EDRKillShifter 的惡意程式，利用「自帶易受攻擊驅動程式」（Bring Your Own Vulnerable Driver，BYOVD）技術來提升權限並停用目標系統的安全防護。
 
根據 Sophos 安全公司調查，EDRKillShifter 於 2024 年 5 月首次被發現。該惡意程式的運作機制包括三個主要步驟：

 通過密碼字串啟動並解密嵌入資源
 解壓縮並執行最終負載
 利用易受攻擊的合法驅動程式提升權限並停用 EDR 程序

Sophos 威脅研究員 Andreas Klopsch 表示：「我們有中度信心認為，這個工具正被多個攻擊者使用。」他指出，在一次攻擊中，EDRKillShifter 嘗試終止 Sophos 的防護，但未能成功。
 
研究人員發現了兩種 EDRKillShifter 變體，分別利用名為 RentDrv2 和 ThreatFireMonitor 的易受攻擊驅動程式。值得注意的是，這些攻擊利用了 GitHub 上公開的概念驗證漏洞，並可能將程式碼移植成Go 語言。
 
為應對此類威脅，Sophos 建議企業採取以下措施：


在端點安全產品中啟用防篡改保護
嚴格分離使用者和管理員權限
及時更新系統，特別是微軟發布的驅動程式安全更新

 
此外，Sophos 去年還發現了另一種名為 AuKill 的 EDR 終止惡意程式，被用於 Medusa Locker 和 LockBit 勒索軟體攻擊中，顯示此類針對 EDR 的攻擊手法正日益普遍。

        本文擷取自資安人

Sophos 推出 Sophos 客戶成功計畫 (Sophos Customer Success) 進一步加強對客戶和通路合作夥伴的承諾。這項新計畫搭配了一支專業團隊，可在售後階段全程支援客戶，提供持續的安全資源和警示、網路研討會以及和網路攻擊 (如勒索軟體和資料外洩) 有關的其他教育資訊。Sophos 客戶成功團隊還將提供如何發揮現有投資並新增 Sophos 產品組合中的其他層級來擴展策略性防禦的指導，包括託管式偵測和回應 (MDR) 服務，以及端點、網路、電子郵件和雲端安全。Sophos 客戶成功專家會與 Sophos 通路合作夥伴和託管服務提供商 (MSP) 密切合作，強化客戶可用的支援服務。

具體來說，Sophos 客戶成功團隊將為客戶配置一位 Sophos 信賴顧問，協助客戶從初次上線到根據組織不斷成長的生態系統擴大投資，以最佳方式抵禦不斷變化的網路攻擊。這項專屬支援確保客戶能擁有單一的聯繫窗口，可以迅速解答問題並分享相關且具情境性的威脅情報，進而提供一個連貫且一致的網路安全作法。

Sophos 客戶成功部門副總裁 Angela Bucher 表示，Sophos 在今年稍早推出合作夥伴關懷服務 (Partner Care) 之後，我們看到了可以直接向客戶提供同樣的高端服務的機會。透過為客戶提供一個單一聯繫窗口，我們能夠更流暢地在多個層面上提升客戶滿意度。這個服務也可幫助合作夥伴和託管服務提供商 (MSP) 有效地保護和服務他們的客戶，幫助客戶充分發揮其現有投資中的安全能力，並新增和整合 Sophos 產品組合中的其他解決方案。

         本文擷取自資安人

Sophos 發布最新暗網報告《加壓：勒索軟體集團的施壓策略》，詳細說明網路犯罪分子如何將竊來的資料武器化，以增加拒付贖款者的壓力。其手法包括公開被攻擊的執行長和企業主的聯絡方式或是家庭成員的個人資訊，以及威脅將被竊資料中發現的任何非法商業行為通報給當局。
在這份報告中，Sophos X-Ops 分享了在暗網上發現的貼文，顯示勒索軟體集團是如何稱那些被勒索的企業是「不負責任和疏忽的」，並在某些情況下，鼓勵那些個人資訊被竊的受害者對其僱主提起訴訟。

Sophos 表示，2023年12月，在 MGM 賭場遭受攻擊後，Sophos 開始注意到勒索軟體集團將媒體變成一種工具，不僅用於增加對受害者的壓力，還能帶風向並轉移責任。我們甚至看到這些集團挑出他們認為應為勒索軟體攻擊負責的商業領袖。在我們發現的一篇貼文中，攻擊者發布了一張被冠上惡魔角的企業主照片並附上其社會安全號碼。在另一篇貼文中，攻擊者鼓勵員工向公司『索賠』。在其他討論串中，攻擊者還威脅要將資料外洩的情形告知受害企業的客戶、合作夥伴和競爭對手。這些動作的目的都是將責任集中到受害者，增加企業支付贖金的壓力，並加大攻擊可能造成的聲譽損害。

Sophos X-Ops 還發現多篇由勒索軟體攻擊者發布的貼文，詳細說明他們計劃在被竊資料中找出可用作籌碼的資訊，以便對付不支付贖金的企業。例如，在一篇貼文中，WereWolves 勒索軟體行為者提到，任何被竊資料都將進行「刑事法律評估、商業評估以及競爭對手的內部資訊評估」。另一個例子中，Monti 勒索軟體集團提到，它發現目標公司的某位員工上網搜尋兒童性虐待的照片和影片，於是威脅如果公司不支付贖金，就會將此資訊告知警方。

這些貼文反映出一個更普遍的趨勢，即犯罪分子試圖利用與員工、客戶或病人相關的敏感資料來勒索公司，包括心理健康記錄、兒童醫療記錄、「患者性向問題」以及「患者的裸露照片」。在一起勒索軟體案件中，Qiulong 勒索軟體集團公布了一位執行長女兒的個人資料，以及她的 Instagram 帳號。

Sophos 認為，勒索軟體集團在如何以及使用什麼手段來當成武器方面變得越來越具侵略性和大膽。對企業來說，壓力更大的是，這些集團不僅會竊取資料並威脅外洩，還積極分析這些資料，以最大化損害並創造新的勒索機會。這意味著，組織不僅要擔心企業間諜活動和商業機密的損失或員工的非法行為，還要注意這些問題與網路攻擊之間的交互影響。