博客來下五折了

 https://www.books.com.tw/products/0010980479

水呀 請你到非洲

 有本書─「雨呀！請你到非洲」，現在真有組織想讓非洲有活水：舊鞋救命組織

多年來深耕東非偏鄉，舊鞋救命看見當地居民如何為了取水而耗盡心力，辛苦取得的水源還是與牲畜共用，佈滿細菌和寄生蟲的骯髒水質。

根據聯合國統計，每年有超過 297,000 名 5 歲以下的孩童因為飲用不乾淨的水而死於腹瀉等疾病 (WHO 2019)。 為解決非洲乾淨水資源不足的問題，從2016 年起舊鞋救命成立「活水計畫」，至今已開鑿逾 40 口水井，為偏鄉村落超過 6 萬人帶來乾淨水源。

在建造水井前，會跟隨村落的牧師及意見領袖進行田野調查，實地了解當地狀況。接著由地質學家和水井挖鑿公司合作以進行水源探勘、地質調查和水井挖鑿。建設完成後，還須經過水質檢驗、保證水源潔淨，才開放給當地聚落使用。

落成的水井會交由當地社區管理維護，使居民們在用水過程中也負起維護責任；意識到這口水井是「屬於村莊社群的」，而不是「慈善機構要負責的」，如此才能永續經營。

https://www.step30.org/civicrm/contribute/transact?reset=1&id=4

新心公益─第二講（亞洲女孩獎．勵馨基金會）

 

MP32315《26大企業紅藍隊攻防演練：從企業永續報告書精進資安網路攻防框架》各章Q&A參考答案─第二章

 

Question1：在RAAS勒索軟體即服務的產業分工下，華碩有資安主管聯盟的消息分享機制，如果您是華碩的資安人員，該如何應用這個機制，以共享資源的方式，降低單一公司對資安武裝所需的投資金額並及時得知攻擊資訊。

在RAAS（Ransomware-as-a-Service，勒索軟體即服務）產業的分工下，攻擊者的技術和策略變得更為成熟和組織化，企業面臨的資安威脅也日益嚴峻。如果您是華碩的資安人員，應用資安主管聯盟的消息分享機制來降低成本並及時得知攻擊資訊，可以採取以下幾個策略：

1. 分享威脅情報：透過資安主管聯盟與其他公司分享最新的威脅情報，例如最新的攻擊模式、攻擊工具及常見的攻擊向量。這樣可以使各公司即時了解最新的威脅動態並提早防範，而不需要獨自進行昂貴的情報搜集。

2. 共享資安工具與資源：透過聯盟內部協作，共享防禦工具、威脅檢測技術和資安人員的專業知識。例如，可以共同購買威脅情報訂閱服務、協作開發自訂的防禦策略，或共享資安防護技術的使用經驗，從而減少單一公司在資安工具和技術上的投資。

3. 即時事件通報機制：聯盟內部可以建立一個快速的事件通報機制，當有成員公司遭受攻擊時，其他成員可以即時收到警示，從而加強防範。這種快速反應機制可以幫助企業在攻擊發生後快速調整防禦措施，減少潛在的損害。

4. 合作進行應急演練：聯盟可以組織跨公司合作的應急演練，模擬各類資安事件（如RAAS攻擊、DDoS攻擊等）的發生，並測試聯盟成員的反應能力與應急預案。這種合作演練不僅可以提升整個聯盟的防禦能力，還能讓成員企業學習彼此的應對策略。

5. 推動資安教育與訓練：聯盟成員可以共享資安培訓資源，針對勒索軟體和其他威脅進行定期的資安教育與訓練，並共同組織資安講座、工作坊，讓所有成員都能更有效地應對最新的威脅。

透過資安主管聯盟的共享機制，華碩可以減少資安投資成本，提升整體資安防護能力，並及時獲取重要的攻擊信息，從而更有效地保護公司免受RAAS等威脅的影響。

Quesion2：華碩路由器等硬體產品可能面臨修補頻率低、缺乏安全軟體、防禦者的可見性有限的問題，您覺得應如何改善?

華碩的路由器等硬體產品若面臨修補頻率低、缺乏安全軟體、防禦者可見性有限等問題，可以通過以下幾個措施來改善這些資安弱點：

1. 提高補丁管理與自動更新機制

自動更新功能：實現固件與安全補丁的自動更新，讓用戶無需手動下載和安裝，從而提升補丁的及時性。華碩可以設計一個強化的自動化更新機制，定期釋出並推送最新的安全更新，減少潛在漏洞的暴露時間。

增強補丁通知機制：即使部分用戶選擇手動更新，也應該提供更清晰的補丁通知機制，定期提醒用戶更新固件和安全補丁，並解釋更新的必要性。

2. 強化內建安全功能

內建安全軟體與防護機制：華碩可以在路由器中內建更多的安全軟體，例如防火牆、入侵檢測系統（IDS）和入侵防禦系統（IPS），提升設備的主動防禦能力。這些功能應該盡可能預設開啟，並且對於普通用戶保持簡單易用。

主動威脅檢測與防護：可以結合人工智能或行為分析技術，對網路活動進行實時監控與分析，檢測並阻擋異常行為或潛在的攻擊行動。

3. 提高防禦者的可見性

用戶友好的安全儀表板：為路由器用戶提供可視化的安全儀表板，顯示網路安全狀況，包括已連接設備、潛在威脅、更新狀況等。這不僅讓用戶可以更直觀地了解設備的安全狀況，還能及時作出調整。

安全報告和通知系統：路由器應提供定期的安全報告功能，讓用戶了解網路中的可疑活動、受攻擊情況以及防護狀況。此外，可以實現異常行為即時通知，讓用戶能夠快速做出應對。

4. 增加第三方安全審計與驗證

與第三方安全公司合作：定期邀請獨立的第三方安全公司進行產品安全審計與滲透測試，確保設備符合最新的安全標準並及時修補漏洞。這不僅提高了產品的安全性，也能增強消費者對產品的信心。

取得安全認證：為產品取得國際通用的安全認證，如ISO/IEC 27001或Common Criteria，展示華碩對產品安全性的承諾。

5. 提升開發與支援的協作機制

開放式漏洞回報計劃：設置漏洞獎勵計劃（Bug Bounty），鼓勵外部安全研究人員提交發現的漏洞並給予獎勵，促進漏洞的及時修補。

增強開發人員的安全意識：在產品開發階段強化安全開發生命週期（Secure Development Lifecycle，SDL），將安全性作為產品設計的核心，確保硬體和軟體在設計和開發階段就考慮到安全風險。

6. 加強用戶教育

用戶教育計劃：針對消費者推出更多的安全教育和指導，例如如何正確設置路由器、如何防範潛在的網路威脅，以及如何定期更新設備。這樣可以增強消費者的安全意識，從而更好地保護其網路環境。

透過這些措施，華碩可以提升硬體產品的安全性，縮短漏洞修補時間，並增強用戶的可見性與防禦能力，使得路由器等產品在面對資安威脅時具備更好的防護效能。

新心資安講座2024─第十四講（聯發科延伸思考）