ZUSO
」台灣資安新秀成軍3年 被國際漏洞揭露計畫招為No.1管理者
主要維護通用弱點揭露計畫(Common Vulnerabilities and Exposures, CVE)的國際非營利組織MITRE Corporation,近日授權台灣資安公司ZUSO如梭世代成為CNA(CVE Numbering Authority)編號管理者之一,是目前台灣第1間被認可的資安團隊。目前全球有217個單位組織加入CNA,而如梭世代是台灣第1個申請通過弱點研究者(Vulnerability Researchers)的資訊安全團隊(全球共 43 個單位組織)外,也是亞太地區第5個核可的團隊。通用弱點揭露(Common Vulnerabilities and Exposures, CVE)是專門收集資安弱點,並給予編號的資安資料庫,可以協助全球資安人員查閱現有已知弱點,辨識軟硬體產品的安全弱點,由CNA負責分配弱點編號。長期專注於資安技術研究的如梭世代有10年以上駭客攻擊手法與威脅分析經驗,擁有完善的弱點通報規範與分析弱點的通報能力。特別是在弱點揭露方面,堅持公開透明準則與道德規範,一旦發現未公開的弱點,即與廠商溝通弱點技術細節並預期於90天修補,修補與揭露時程可依情況彈性調整,力求與產品原廠進行技術和良性交流,讓產品弱點有足夠時間執行修復。創辦人洪睿荃指出,公司自成立以來一直深耕於資訊安全技術領域,持續充實資安研究量能,此次成為Vulnerability Researchers類型的CNA夥伴證明如梭的 資安能力備受國際認可。
勒索軟體猖獗 30資安人串聯組協會抗敵
自新冠肺炎疫情爆發後,國內外不斷傳出企業遭駭情事,總統蔡英文不斷呼籲「資安即國安」,因此國發基金也預計在資安產業投資30億元,因此資安界眾多發起人25日正式成立「台灣資安產業發展協會」,期望資安產業未來能將產官學資源相互整合。由30多位國內眾多優秀資安公司(如安華聯網、盧氪賽忒、三甲科技、安創資訊及資策會資安鑄造廠等)及資安社群(如臺灣校園資訊安全推廣暨駭客培育協會、台灣數位安全聯盟、台灣資訊安全聯合發展協會等。)的創辦人或核心成員共同籌組的「台灣資安產業發展協會」25日正式在台中成立。協會第一任理事長由ZUSO如梭世代創辦人洪睿荃高票當選,副理事長由資策會資安鑄造廠總經理毛敬豪擔任,秘書長則是盧氪賽忒執行長沈家生,洪睿荃致詞時表示,台灣資安產業發展協會將以「深耕台灣,拓展全球」為宗旨,以促進台灣資安產業高速發展為目標。同時也與資安學界合作,進行資安技術的研究與資安人才培育,期許將產官學界的能量相互連結串連,一同引領台灣資安產業於未來成為台灣的第二座護國神山科技立委高虹安指出,資安產業發展協會的成立,代表資安不是過去1種服務或者單一公司而已,已經是條供應鏈,對於科技業、製造業而言,內部製程、資料都是公司最珍貴的資產,因此定期掃描漏洞、更新保護資料已經是必要的成本,而不是等到在暗網看到資料時才去堵漏洞,而我也會在立法院全力支持台灣資安的發展。立法院副院長蔡其昌則說,日前辦公室的硬碟被駭客鎖住還勒索加密幣,報案後警方幫助也相當有限,最後也是資安界的朋友協助才能解鎖,顯示資安的已經是台灣相當重要的產業,我們立法院也會監督政府在資安相關發展政策是否有落實。
QNAP裝置成肉票3/紅隊演練中發現漏洞 專家:VPN可降低勒索機率
本刊調查,資安公司「如梭世代」(ZUSO)去年替企業進行「紅隊演練」(模擬駭客入侵攻擊)時,就無意間發現威聯通NAS疑似有安全問題,研究了兩個月,終於發現產品的「HBS」(Hybrid Backup Sync,一種用戶進行備份、刪除和還原的軟體)內,存在1個漏洞。如梭世代的技術經理Shirley指出,該漏洞不需要任何帳號權限,只要能在網路中接觸設備就可以在主機內執行任意代碼,甚至可以撈到使用者的密碼等,「這個漏洞被『漏洞評分系統CVSS』(Common Vulnerability Scoring System)評為最高級的10.0分。」確定漏洞確實存在後,如梭世代除了在3月17日通知威聯通進行修補,也遵循國際的「負責任披露規則」(ResponsibleDisclosure Policy),在威聯通釋出更新檔後,通報刑事局,希望透過官方管道同步讓國際刑警組織知悉,善盡社會責任。Shirley指出,安全與便利本是一體兩面,在兩者間取得平衡是大家共同努力的目標,「建議用戶除了定期更新外,也可以讓設備減少對外暴露,例如透過VPN(虛擬私人網路)連線內網存取裝置,就可以大幅降低類似事件發生。」香港一名YouTuber出示在NAS儲存的音樂檔案,檔名上的「7z」為Qlocker勒索軟體加密壓縮,「encrypt」則為另一種勒索軟體加密。(圖/黃鵬杰攝)
20萬筆個資被駭 1111人力銀行:已報案
【編輯/陳俐君】上個月銓敘部才驚傳59萬筆文官個資,遭國外論壇洩露,現在同個論壇,又傳出1111人力銀行,約20萬筆求職者的個資外洩。對此1111人力銀行證實,求職會員個資的確被外洩,目前已向調查局、刑事警察局報案,除了全力配合檢調偵辦,也會對遭到外洩個資的會員權益負責到底。111人力銀行針對個資外洩,所發出說明稿如下:1、1111所有會員資料是提供給合法厰商,甄選適合的人才之用,今遭非法露出,已向調查局,刑事警察局分别報案,全面偵辦中。2、經查,此案係8年前子網站委託外包製作時,所發生遭到攻撃入侵的舊資料,之後已逐年提升資安,並加強防護。3丶同時1111委請合作的知名資安專家一ZUSO Generation協助後續資安事件調查與相關資安服務,密切合作中,而ZUSO顧問陳盈豪CIH也是刑事局科技團隊。4丶即時與世界級的資安制度顧問- KPMG安侯企管顧問公司合作,全方位提升1111的個資管理深化輔導。5丶1111對系統功能升級益臻至善的要求,為開發AI人工智慧,強化求職、求才端的系統介面,已與台灣科技大學,以及其AI人工智慧中心全面合作,正式簽約2年,預計在短期內,就可大幅提升系統介面,更人性化、更快速、更精準的媒合功能。6丶1111與知名產物保險公司,為所有求職會員,投保新台幣2億元,第三人責任險,讓找工作的會員更有保障。7丶會員若對個人權益有任何疑問,歡迎利用1111免付費服務專線:0800-011234專人為您服務。看更多↓↓轉傳蘇揆公祭摔筆影片 顏正義未到案說明恐遭函送6歲男童衝馬路遭撞飛 搶救10天仍身亡