有本書─「雨呀!請你到非洲」,現在真有組織想讓非洲有活水:舊鞋救命組織
https://www.step30.org/civicrm/contribute/transact?reset=1&id=4
Question1:在RAAS勒索軟體即服務的產業分工下,華碩有資安主管聯盟的消息分享機制,如果您是華碩的資安人員,該如何應用這個機制,以共享資源的方式,降低單一公司對資安武裝所需的投資金額並及時得知攻擊資訊。
在RAAS(Ransomware-as-a-Service,勒索軟體即服務)產業的分工下,攻擊者的技術和策略變得更為成熟和組織化,企業面臨的資安威脅也日益嚴峻。如果您是華碩的資安人員,應用資安主管聯盟的消息分享機制來降低成本並及時得知攻擊資訊,可以採取以下幾個策略:
Quesion2:華碩路由器等硬體產品可能面臨修補頻率低、缺乏安全軟體、防禦者的可見性有限的問題,您覺得應如何改善?
華碩的路由器等硬體產品若面臨修補頻率低、缺乏安全軟體、防禦者可見性有限等問題,可以通過以下幾個措施來改善這些資安弱點:
1. 提高補丁管理與自動更新機制
自動更新功能:實現固件與安全補丁的自動更新,讓用戶無需手動下載和安裝,從而提升補丁的及時性。華碩可以設計一個強化的自動化更新機制,定期釋出並推送最新的安全更新,減少潛在漏洞的暴露時間。
增強補丁通知機制:即使部分用戶選擇手動更新,也應該提供更清晰的補丁通知機制,定期提醒用戶更新固件和安全補丁,並解釋更新的必要性。
2. 強化內建安全功能
內建安全軟體與防護機制:華碩可以在路由器中內建更多的安全軟體,例如防火牆、入侵檢測系統(IDS)和入侵防禦系統(IPS),提升設備的主動防禦能力。這些功能應該盡可能預設開啟,並且對於普通用戶保持簡單易用。
主動威脅檢測與防護:可以結合人工智能或行為分析技術,對網路活動進行實時監控與分析,檢測並阻擋異常行為或潛在的攻擊行動。
3. 提高防禦者的可見性
用戶友好的安全儀表板:為路由器用戶提供可視化的安全儀表板,顯示網路安全狀況,包括已連接設備、潛在威脅、更新狀況等。這不僅讓用戶可以更直觀地了解設備的安全狀況,還能及時作出調整。
安全報告和通知系統:路由器應提供定期的安全報告功能,讓用戶了解網路中的可疑活動、受攻擊情況以及防護狀況。此外,可以實現異常行為即時通知,讓用戶能夠快速做出應對。
4. 增加第三方安全審計與驗證
與第三方安全公司合作:定期邀請獨立的第三方安全公司進行產品安全審計與滲透測試,確保設備符合最新的安全標準並及時修補漏洞。這不僅提高了產品的安全性,也能增強消費者對產品的信心。
取得安全認證:為產品取得國際通用的安全認證,如ISO/IEC 27001或Common Criteria,展示華碩對產品安全性的承諾。
5. 提升開發與支援的協作機制
開放式漏洞回報計劃:設置漏洞獎勵計劃(Bug Bounty),鼓勵外部安全研究人員提交發現的漏洞並給予獎勵,促進漏洞的及時修補。
增強開發人員的安全意識:在產品開發階段強化安全開發生命週期(Secure Development Lifecycle,SDL),將安全性作為產品設計的核心,確保硬體和軟體在設計和開發階段就考慮到安全風險。
6. 加強用戶教育
用戶教育計劃:針對消費者推出更多的安全教育和指導,例如如何正確設置路由器、如何防範潛在的網路威脅,以及如何定期更新設備。這樣可以增強消費者的安全意識,從而更好地保護其網路環境。
透過這些措施,華碩可以提升硬體產品的安全性,縮短漏洞修補時間,並增強用戶的可見性與防禦能力,使得路由器等產品在面對資安威脅時具備更好的防護效能。
CH1:2022年版聯發科永續報告書
Question1:大部分企業保存機密的方法有二,一個是申請專利,一個是列為營業秘密。請就您的觀點,建議聯發科應該將機密資料多申請專利還是多列為營業機密加以管控。
參考答案:
優點:
缺點:
優點:
缺點:
這樣的混合策略可以幫助聯發科在保護其創新技術的同時,最大限度地保持競爭力和靈活性。
Question2:如果您是聯發科的資安人員,發現新發布了一個漏洞,但是據新聞報導,修補後災情頻傳,那您要如何處理這個漏洞?
如果我是聯發科的資安人員,發現新發布的漏洞修補後導致災情頻傳,以下是我會採取的處理步驟:
通過這些步驟,我將確保在修復漏洞的同時,最大限度地減少對客戶和公司運營的影響,並建立更加穩健的安全管理機制。
Question3:請您練習查詢CVE資料庫,了解漏洞的描述,並檢視受影響的軟體版本與可能的攻擊路徑。
輸入CVE-2020-11023做為範例
Search Results
There are 3 CVE Records that match your search.
Name Description
CVE-2020-23064 ** REJECT ** DO NOT USE THIS CANDIDATE NUMBER. ConsultIDs: CVE-2020-11023. Reason: This candidate is a duplicate of CVE-2020-11023. Notes: All CVE users should reference CVE-2020-11023 instead of this candidate. All references and descriptions in this candidate have been removed to prevent accidental usage.
CVE-2020-11023 In jQuery versions greater than or equal to 1.0.3 and before 3.5.0, passing HTML containing <option> elements from untrusted sources - even after sanitizing it - to one of jQuery's DOM manipulation methods (i.e. .html(), .append(), and others) may execute untrusted code. This problem is patched in jQuery 3.5.0.
CVE-2020-11022 In jQuery versions greater than or equal to 1.2 and before 3.5.0, passing HTML from untrusted sources - even after sanitizing it - to one of jQuery's DOM manipulation methods (i.e. .html(), .append(), and others) may execute untrusted code. This problem is patched in jQuery 3.5.0.
可以看到相關的漏洞都是jQuery未更新至最新版本。
金管會發布「金融業導入零信任架構參考指引」,鼓勵深化資安防護
2024 / 07 / 19
金管會新聞稿
金管會於 2024 年 7 月 18 日發布「金融業導入零信任架構參考指引」,鼓勵金融業以零信任思維深化資安防護。參考指引建議金融機構採風險導向,擇高風險場域為優先導入零信任架構之標的,例如遠距辦公、雲端存取、重要系統主機及資料庫等。
「金融業導入零信任架構參考指引」參考美國CISA零信任成熟度模型,並依據我國金融業屬性及既有資安防護能量進行調適,區分四階段分級指標:
·
第一級為靜態指標,著重在既有資安防護機制之優化及整合,包含雙因子身分鑑別、設備識別、網路區隔與流量加密、應用程式最小授權原則、機敏資料加密及外洩防護等,由關鍵資源存取路徑強化防護縱深。
·
第二級融入動態指標,主要參採零信任「永不信任、持續驗證」概念,將資源存取時的動態屬性(如時間、地點、設備合規狀態等)增納為授權審核條件,可針對異常樣態動態撤銷、限縮存取授權或即時告警。
·
第三級以即時指標為主,建議整合資安監控機制,於安全資訊與事件管理平台(SIEM)收容及整合資源存取相關事件日誌,對入侵指標(IOC)或攻擊行為樣態(如Mitre ATT&CK TTP)等進行即時的偵測、判斷與應處。
·
第四級為最佳化的整合指標,建立可依資安政策快速調適之一致性且自動化之管理機制,確保安全性及合規性。
金管會表示,參考指引屬行政指導,金融機構於導入實務仍得考量既有資訊與資安環境、資安防護水準、資源及人力、業務風險、相關解決方案成熟度等因素調適,或另為適切之規劃。金管會亦將鼓勵金融機構分享實務案例,供金融同業交流研討最佳實務,並透過定期調查各金融機構之導入規劃及進程,適時納入資安規範,提升整體資安防禦水準。
讀者回饋
O小姐:NPASCAN無法在VM上執行,我回應現在已經有Windows Defender了,可以放心使用。並應允未來有書本上的問題,都可以詢問。
人手一本的資安健診實作課:不是專家也能自己動手做!(Win10 / Win11適用)【暢銷回饋版】
初版十刷後,作了一些勘誤,也希望更多的人了解全員資安的概念,資安即國家,希望更多的人能夠對資安有進一步的了解,進而協助資訊、資安人員,成為後盾。
暢銷回饋版2024。6。28上市,歡迎舊雨新知幫推廣,在此謹謝
購買連結:
博碩文化:https://www.drmaster.com.tw/bookinfo.asp?BookID=MP32412
天瓏:https://www.tenlong.com.tw/products/9786263338937?list_name=srh
博客來:https://www.books.com.tw/products/0010992899
(註:香港朋友亦可寄到香港博客來取件)
墊腳石:
PCHome:https://24h.pchome.com.tw/books/prod/DJBP45-A900FXX5T
誠品:https://www.eslite.com/product/10012011762682596829005
蝦皮:https://shopee.tw/product/728783014/24932372068/
讀墨:https://readmoo.com/book/210265917000101
香港地攤:
馬來西亞城邦閱讀花園:
https://www.cite.com.my/m/product_info.php?products_id=1279210
sudo apt-get update
https://www.itdog.cn/batch_ping/
https://www.accupass.com/event/2405100517366590224820
http://www.foodtw.org.tw/
https://eapdb.com/ciso/alphv.php
https://cybersecurity-exam.blogspot.com/
https://lihi.cc/Xwqx5
https://www.securevectors.com/wp-content/uploads/2024/01/
%E3%80%90%E7%AF%84%E6%9C%AC%E3%80%91%E5%80%8B%E4%BA%BA%E8
%B3%87%E6%96%99%E6%AA%94%E6%A1%88%E5%AE%89%E5%85%A8%E7%B6
%AD%E8%AD%B7%E8%A8%88%E7%95%AB_2023.docx
https://www.ftc.gov.tw/internet/main/doc/docDetail.aspx?uid=1194&docid=12956
類型目標行動作業平台
本公司對外資訊服務 1. Domain 含 taipower.com.tw 之資訊系統 。 X
2.北部對外服務之網段: 203.74.176.0/24、203.74.177.0/24 。 X
3.中部資訊中心和南部資訊中心之對外服務網段:121.50.188~189.0/24 、 122.146.207.128/26 、122.146.210.128/26 。 X
本公司行動應用APP 台灣電力APP iOS/Android
電力即點 APP
i
S/Android
(B)1. 關於資訊安全管理系統的敘述,下列何者錯誤?
(A) ISO 27001 2022是目前最新版本
(B) 建立資訊安全管理系統必須以 ISO 27001為架構
(C) 機密性、可用性、完整性是 ISO 27001最主要的資安 3要素
(D) ISO 27001資訊安全管理系統是一個持續改善的架構
(C)2. 使用微軟提供的功能將檔案加密,主要目的是增加下列資訊安全的何種特性?
(A) 可歸責性( Accountability)
(B) 可用性( Availability)
(C) 機密性( Confidentiality)
(D) 完整性( Integrity)
靈鷲山鑫業稅務記帳士事務所興毅基金會碩品聯合會計師事務所新北市鎖匙業職業工會https://www.nics.nat.gov.tw/core_business/cybersecurity_defense/GCB/
apt update; apt install metasploit-framework
msfconsole
intitle:"index of" etc
intitle:"index of" .sh_history
intitle:"index of" .bash_history
intitle:"index of" passwdintitle:"index of" people.lstintitle:"index of" pwd.dbintitle:"index of" etc/shadow intitle:"index of" spwd intitle:"index of" master.passwdintitle:"index of" htpasswd intitle:"index of" dataSite:URLinurl:"admin"inurl:"content-personal"?filename=php://filter/read=convert.base64-encode/resource=fi.php ?filename=php://filter/covert.base64-encode/resource=fi.phpURL 編碼中的使用
如果你在 URL 中傳遞需要分隔命令的字符(例如 ; 或 &),需要進行相應的 URL 編碼:
http://example.com/script.php?command=ping%20localhost%26dir
https://code.visualstudio.com/download
search 查詢可用exploit
use exploit 載到待執行區
show targets 查看選用的exploit適用於那些對象
show payloads 查看配合此模組可用的payload
set payload PAYLOAD 載入適當的payload
show options 查看使用這個exploit及payload應設定的選項
set OPTION VALUE 設定適當的選項值
exploit 執行此exploit
back 回到上一層
https://web.archive.org
recon-ngload , use 載入模組
show options
show modules
set OPT VAL
run
OWASP ZAP
sudo apt-get update
sudo apt-get upgrade
sudo apt install zaproxy
【Pubu X 文化部】
「新竹縣公共圖書館」計次借閱服務上線!
讓你無限暢讀電子書!
線上申辦 新竹縣公共圖書館借閱證
完成申辦,登入 新竹縣公共圖書館-Pubu 計次借閱服務 閱覽
電腦、平板、閱讀器、手機,跨裝置都好讀!
- 本公司的漏洞懸賞活動即日起開跑,歡迎各方好手熱情參與!
- 參賽資格: 持有本國國民身分證者即可參加本次活動。
- 活動時間: 自2024/05/01起至2024/07/31止
- 如遇緊急狀況,本公司得單方面終止活動,並公告於活動網頁,恕不另行通知。
請您發現漏洞後依據規範(詳見第三點第(一)項)書寫並寄至bugbounty@taipower.com.tw。
本公司將於7個工作天內回覆您並根據漏洞嚴重性儘速修正問題(一般性漏洞約3個月內會修正完成)。
漏洞修正完成後將通知您協助複測。
請依據規範書寫複測報告並寄至bugbounty@taipower.com.tw (詳見第三點第(二)項)。
根據您提交的通報審核獎金額度(詳見第四點第(三)項)後匯款至您的帳戶。
通報請包含以下內容:(倘若檔案壓縮後超過12Mb ,請切割檔案批次寄出)
(一) 漏洞報告規範:
- 姓名
- 電話
- 聯絡郵件
- 學校/公司名稱
- 職稱
- IP位址
- 探測網址
- 概念性驗證(PoC)說明:請提供可重現漏洞之詳細過程,以利本公司驗證並重現,如詳細記錄:使用之工具、攻擊字串等
- 修補建議
(二) 複測報告規範:
- 複測驗證過程:請提供截圖等相關佐證
- 複測結果
- (如未通過複測)修補建議
(一) 獎金總額:新台幣200萬元整,獎金發放完畢為止
(二) 您必須符合下列所有條件,才有資格獲得獎金:
- 您是具有本國國民身分證者的台灣人民。
- 您是第一位回報特定漏洞的通報者。
- 您是透過本公司唯一管道E-mail(bugbounty@taipower.com.tw)提交通報。
- 您回報的通報經確認為可驗證、重現且符合獎勵資格的漏洞,請提供充足資訊以重現您所回報的問題 。
- 您遵守本計畫的所有條款和規定。
(三) 獎金金額將視所回報漏洞的嚴重性而定:
嚴重程度由本公司內部及外聘之評審視通報內容依漏洞影響程度評判獎金額
【依所得稅法規定,獎金在NT$20,000(含)以上者,依法扣繳10%所得稅】
【 依印花稅法規定,依法扣繳 4% 印花稅 】
嚴 重 程 度 獎 金 額 度 (NTD) 漏 洞 影 響 說 明 嚴重 100,000元~150,000 元 任何由本公司對外服務系統及行動應用APP,進入本公司企業內網(對外服務網段外之10.X.X.X網段)且能造成實質影響之攻擊行為。『請務必提出進入企業內網網段之佐證』 高 50,000元~100,000 元 於本次活動範圍內,對本公司對外服務系統及行動應用APP,造成嚴重影響之任何攻擊行為。 中 20,000元~50,000 元 於本次活動範圍內,對本公司對外服務系統及行動應用APP,造成實質影響之任何攻擊行為。 低 頒發感謝狀/1,000元~5,000元 發現任何符合OWASP Top 10 (2017、2021) 、OWASP Mobile Top 10 (2014、2016)之漏洞且並未對服務系統造成任何實質影響。 非首位通報者 頒發感謝狀 - (四) 下列攻擊手法不在本次活動範圍:
- 實體存取使用者設備 (Physical access to a user's device)
- 社交工程 (Social engineering)
- 中間人攻擊 (MITM attacks)
- DDoS / Fuzzing / High-Bandwidth 攻擊
類型 目標 行動作業平台 本公司對外資訊服務 1. Domain 含 taipower.com.tw 之資訊系統 。 X 2.北部對外服務之網段: 61.65.236.0/23 、61.65.238.0/23 。 X 3.中部資訊中心和南部資訊中心之對外服務網段:121.50.188~189.0/24 、 122.146.207.128/26 、122.146.210.128/26 。 X 本公司行動應用APP 台灣電力APP iOS/Android 電力即點 APP iOS/Android
- 本公司成立內、外部含產官學之評審委員會針對您回報的安全性漏洞造成系統實際影響程度審核獎金金額。
- 若提交之通報為針對同一系統的連續攻擊行為,將視為同一則通報合併審核 。
- 請提供完整詳細的漏洞說明(例如:網址連結或參數),以及對網站系統影響提出佐證(例如:於發動攻擊前、後之對照畫面),並包含可重現漏洞的步驟,請務必於通報中完整說明,將由您提交的通報內容判定獎金額度,結果通知後再提出佐證則不予以採納。
- 您通報的漏洞在不影響公司信譽及服務正常運行下,本公司不會採取任何的法律行為。
- 您通報的漏洞不得公開揭露,取得的系統資料或是個人資料,均不得洩漏,如有違反「營業秘密法」、「公平交易法」、「國家機密保護法」等相關之法規內容,除依其情形負刑事責任外,對於本公司因而所致之一切損失,均應依實際損失情形負起全部之損害賠償責任。
- 本公司漏洞懸賞活動委員會 bugbounty@taipower.com.tw
