2024年3月27日星期三

資安通識課程

 資安通識課程(歡迎洽詢


課程大綱

課程內容

預計時間(分鐘)

破題

l  著作權法修法重點:11154日修正第 9191-1100117 條條文、刪除第 9898-1 條條文

l  著作權疑義解析

10

主題一:資訊安全概論

 

l  資訊安全的定義和重要性

l  常見的資訊安全威脅和攻擊方式

l  實際案例分享:過去的大規模資安事件

30

主題二:密碼學基礎

l  對稱加密和非對稱加密的基本概念

l  數位簽章和公鑰基礎設施(PKI)的介紹

l  實際案例分享:加密在日常生活中的應用

40

主題三:網路安全與漏洞利用

 

l  常見的網路安全威脅,如惡意軟體、釣魚和網路釣魚攻擊

l  網路安全防禦措施,如防火牆、入侵檢測系統(IDS)和入侵防禦系統(IPS

l  實際案例分享:企業網路遭受的攻擊和如何應對

30

主題四:資料隱私與合規性

 

l  個人資料保護的重要性和法律法規,如個資法、安維辦法等

l  企業如何管理和保護客戶和員工的敏感資訊

l  實際案例分享:因資料洩露而導致的法律和財務風險

30

主題五:AI工具簡介

l  ChatGPTGeminiCopilot平台

l  做一份課程大綱

l  回答選擇題

l  寫程式、修改程式

l  繪圖

l  分析彙總一篇文章

l  Prompt Engineer提示工程師

20

主題六:課程結語和討論

 

l  回顧課程要點和重要概念

l  問題和討論時間,提出問題並分享他們的觀點和疑慮

l  鼓勵繼續學習和關注資訊安全議題的重要性

20


2024年2月14日星期三

台大法律高材生賣保險,不做人情保單,如何靠ESG精神,拚到業界頂尖1%?

 台大法律高材生賣保險,不做人情保單,如何靠ESG精神,拚到業界頂尖1%?

 

撰文: 林心怡         圖檔來源:攝影/ 吳東岳 日期:2024-02-05

(今周刊1416-1417)

頂著飄逸長髮,長相甜美的公勝保經資深行銷副總經理陳郁瑄,看上去要比實際年齡年輕許多。但她搶眼之處絕不僅止於形象管理。去年,她拿下有「保險業奧斯卡」之稱的保險信望愛獎「最佳專業顧問獎」,最近也幫母親買了戶千萬宅,還送了輛價值兩百多萬元的特斯拉給老公當禮物。論專業、事業、財富,陳郁瑄已經能和「富足」二字畫上等號。

在《猶太人致富金律》一書中,富足的定義分為四個象限。外在方面,是「財富」累積與被人「尊重」;內在部分,則是影響或幫助他人的「力量」,與追求增長的「智慧」。「我自己的體會是,當內在富足,就可以成為外在富足的動力,也會讓外在的富足更穩固。」陳郁瑄對富足持如此見解。

 

陳郁瑄在雲林農村長大,有5個兄弟姊妹,她排行老么,小時候也經常得下田幫忙;自小學業優異的她,12歲後跟著大她八歲、當時讀大學夜間部的姊姊去台中念書,養成了獨立的性格。至於大學會念法律系,其實與她的俠女性格、成長背景大有關係。

 

「務農很辛苦,但那些農民常常被合約綁架,吃了中盤商的悶虧,那時我就暗自立志要保護這群人。」法律,成了她追求目標的武器。台灣大學法律系畢業後,她也曾在相關領域工作了幾年,「但我在實際工作的過程中發現,即使我負責的官司獲得勝訴,也不見得就是我期待的正義。」內心的天人交戰,讓她萌生轉換跑道的念頭。

 

她的人生是一連串的驚嘆號,原本立志當律師、法官的她,30歲那年卻意外選擇先成家,陸續生了兩個孩子,當了5年全職主婦後,她決心返職場,加入富邦人壽,從法律專業人士變身保險業務。對於這個另類的換軌決定,陳郁瑄解釋,「我的公公因為一場意外半身癱瘓,由於他有完整的保險,讓全家財務無虞,這讓我意識到保單規畫的重要性。」她認真地說,她想證明保險可以是種「大愛」。

 

當然,入行初期,很少人能相信這位「嫁得不錯的法律學霸」真能扛住業務壓力。她的印象很深,「加入富邦人壽後,我曾經受到另一家金融同業的高層賞識,破格找我面談。記憶中,那名總經理跟我談了兩、三個小時,最後卻沒錄取我。」她回憶,當時對方提出的理由是:「妳的學歷高、又不缺錢,還有個科技業老公⋯⋯,在挫折頻繁的保險業,很難成功。」

 

不搏感情、不做人情保單

 

陳郁瑄事後分析,對方或許說得有幾分道理,但她就是不服氣,緊握著因為早年務農而有點粗糙的雙手,眼眶泛淚地說:「當下就是覺得被瞧不起,感覺好像被狠狠打了一拳!」隔天起,她就下決心只給自己一年時間,一定要在保險業獲得成功。

 

「我每天6點起床,從淡水山上開1小時的車,準時8點到公司接受各種訓練課程,早會結束後就立刻整理重點、請教資深同事,然後開始研讀保險專業書籍。」她說,從公司的商品結構到成功者的經驗心法,「前後閱讀超過30本的書,就是要逼自己快速進入狀況。」

 

此時,法律固然不再是她用來保護鄉親的武器,但法學訓練打下的邏輯基礎,成為她在保險業務領域披荊斬棘的利刃,關鍵,在於她能用淺顯的方式解讀艱澀的保險內容。「跟我談保險,其實會很有效率的。」她笑說,自己從不做人情保單,開發新客戶時更不靠刻意耕耘「搏感情」,「我只跟客戶約在午餐時間,往往只要一、兩頓午餐,就能很完整地說明。」

 

「就這樣3個月後,我在公司的獅子盃競賽中成為全國新人第一名!」接下來的3個月,陳郁瑄就獲得業界僅1%保險業務員能夠達到的年度MDRT百萬圓桌殊榮。

 

別誤會,雖然往往只跟客戶吃頓午餐就能說明保險內涵,但論起客戶服務,陳郁瑄也是絕對暖心,「只要是為客戶好的事,她就全力以赴,拚到生病也會使命必達。」跟著她13年的祕書蘇函千如此形容。而陳郁瑄對此則說,「建立『信賴存摺』至關重要。」

 

她舉例,有一次某位客戶半夜十二點來電,哭訴父親在上海重病,當地醫院卻無法找到病因,「我努力打通層層關係,終於喬到華航的特殊機位,協助客戶父親火速返台就醫。幸好就醫即時,否則就要終身洗腎了。」

 

另一個經驗是2015年「八仙塵爆」事件,「當時我的一位客戶受傷了,但是他早期買的保單因為沒有繼續繳費而停效。」面對客戶家人的哭訴,這位法律人雖然明知「依照契約不可能理賠」,卻靈機一動提出另一個契約條文之外的雙贏解方。

 

「我跟那家保險公司溝通,大意是,你們已經為八仙塵爆意外做了許多公益捐獻,而這名客戶只有50萬的保障,若你們能破格理賠,從公益的角度來講,也是樹立一個良好企業形象的絕佳機會。」就這樣來來回回幾趟,這名客戶最終真的獲得理賠,也陸續幫她轉介紹許多優質客戶。

  

長期捐款無國界醫生、偏鄉小學

 

6年前,陳郁瑄創立了個人的保經事務所,開始做差異化經營,除了保險經紀人執照,也陸續考取CFP財務顧問、RFA退休理財規畫顧問等,現在,她對客戶的價值不僅是理財顧問,甚至已升格成「人生顧問」。

 

「小從孩子求學、出國,大到家裡的財務配置,資產要不要傳承給下一代,甚至在美國第二國籍上的拋棄考量,都會諮詢我的意見。」陳郁瑄笑著說,在事業穩腳步後,她也長期捐款無國界醫生、資助偏鄉小學,她說,自己就是出身偏鄉的孩子,當然希望幫助更多需要的人,這樣的回饋,才是富足兩個字的最終章。

 

2024年1月31日星期三

超強後門中國APT攻擊者黑木已潛伏5年以上

 超強後門中國APT攻擊者黑木已潛伏5年以上

2024 / 01 / 29

編輯部

超強後門!中國APT攻擊者「黑木」已潛伏5年以上

2018 年以來,一個未知的中國威脅行為者持續使用新型後門對中國和日本目標進行中間人 (AitM) 網路間諜攻擊。

 

ESET公司將該組織命名為「Blackwood」,目前已知的具體受害者包括一家大型中國製造和貿易商、一家日本工程和製造公司的中國辦事處、以及部分中國和日本的特定人士。

 

距離第一次攻擊,Blackwood隔了5年才被曝光。研究人員表示Blackwood能夠毫不費力地在 WPS Office 等流行軟體產品的更新中隱藏惡意軟體,這種惡意軟體是一種高度精密的間諜工具,名為「NSPX30」。

 

NSPX30的前身可以追溯到2005年的Project Wood。該計畫曾多次針對香港政客,後來又針對台灣、香港和中國東南部地區。Project Wood有許多變體,包括2008 年的DCM(又名Dark Specter 黑暗幽靈)。DCM持續10年之久,直到2018年還有出現惡意攻擊行動。

 

NSPX30也在2018年出現,集所有網路間諜工具之大成。NSPX30是一種多階段的多工工具,由一個 dropper、一個 DLL 安裝程式、載入程式、協調器和後門組成。其中協調器和後門都帶有一組附加可交換的插件。

 

無論是系統或網路、文件和目錄、憑證、擊鍵、螢幕截圖、音訊、聊天以及來自流行訊息應用程式,如:微信、TelegramSkype、騰訊QQ、等等,NSPX30都可以進行資訊竊取。

 

此外,NSPX30 還可以建立反向 shell,將自身添加到中國防病毒工具的白名單中,並攔截網路流量。這種能力使 Blackwood 能夠有效隱藏自己的CC伺服器,可以長期運作而不被發現。

軟體更新中隱藏的後門

目前Blackwood的確切攻擊手法還不明朗。它不使用任何典型的技巧:網絡釣魚、受感染的網頁等。相反,當某些完全合法的程序嘗試通過未加密的HTTP 從合法的企業服務器下載更新時,Blackwood也會以某種方式植入後門。

 

換句話說,這並不是 SolarWinds 事件的供應鏈攻擊型態。ESET 推測 Blackwood 可能使用網路植入物件。此類植入程式可能儲存在目標網路中易受攻擊的邊緣設備中,這在其他中國 APT 中很常見。

 

用於傳播 NSPX30 的軟體產品包括 WPS Office,一種免費替代MicrosoftGoogle office軟體套件的程式、QQ 即時通訊服務和搜狗拼音輸入法編輯器。

 

ESET建議,執行端點保護工具阻止 NSPX30,並注意與合法軟體系統相關的惡意軟體偵測。此外,監控和阻止 AitM 攻擊,如 ARP 中毒。現今的交換器多半有緩解此類攻擊的功能。同時禁用 IPv6 有助於阻止 IPv6 SLAAC 攻擊。

 

研究人員補充道,分段良好的網路也會有所幫助,因為 AitM 只會影響執行它的子網。

2024年1月16日星期二

全台首次駭客竊資料後挾持半導體大廠京鼎網站

 全台首次駭客竊資料後挾持半導體大廠京鼎網站

2024-01-16 14:53 聯合報/ 記者

馬瑞璿

/台北即時報導

 

鴻海集團旗下半導體設備大廠京鼎遭駭客入侵,不只如此,駭客集團更直接在網站上威脅京鼎客戶與員工,如果京鼎置之不理,客戶資料將會被公開,員工也將因此失去工作。駭客集團駭進上市櫃公司竊取資料時有所聞,但是,第一次有駭客集團在竊取資料之後,直接挾持上市櫃公司網站,召告天下該公司內部資料被竊,這是全台灣第一次。

 

京鼎是鴻海集團旗下子公司,主要經營半導體前段製程設備關鍵模組、半導體自動化設備研發,是台灣重要的半導體上市櫃公司。

 

然而,今日竹科園區企業議論紛紛,因為他們今日進入京鼎公司網站時,赫然發現京鼎網站已然被駭客集團挾持,而且駭客還直接在網頁上留下兩大段訊息,第一段訊息是告知客戶,駭客集團已拿下京鼎的客戶資料,如果京鼎不付錢,那麼,客戶的所有個人資料都將被公開在網路上,第二段訊息則是告知員工,如果京鼎管理階層不與駭客集團聯繫,那麼,駭客將會摧毀京鼎所有的資料,而且這些資料將不能恢復,這恐怕會讓員工失去工作。

 

台灣過去已有許多上市櫃企業遭駭客入侵,大部分企業選擇私下解決,並未對外公開,但也有些企業選擇置之不理,任由駭客將客戶資訊免費公開在暗網,造成許多企業或者個人客戶資訊外流。

 

針對已被勒索軟體攻擊成功的企業,竣盟科技創辦人鄭加海表示,企業不應與犯罪者妥協、不應支付贖金,因為即使支付了,仍有相當大比例的受駭者無法復原資料。

 

另外,攻擊者也不會透露攻擊手段與滲透進入點,這表示被駭者仍有弱點把持在犯罪者手中。針對勒索軟體的橫行,鄭加海建議,企業的應對方式為備份、備份、再備份,也就是落實備份的 3-2-1 法則,才能處變不驚,臨危不亂。

資安通識課程

 資安通識課程( 歡迎洽詢 ) 課程大綱 課程內容 預計時間(分鐘) 破題 l   著作權法修法重點: 111 年 5 月 4 日修正第 91 、 91-1 、 100 、 117 ...