| 美國 | 資安高峰會 | 拜登 | 白宮 | 安全倡議 | 資安 | 國家安全 | 國家級駭客 | 資安人才 | 供應鏈安全 | 安全框架

白宮舉行資安高峰會:微軟、Google、蘋果、Amazon及IBM等業者共襄盛舉,承諾將大幅改善資安

美國總統拜登宣布美國國家標準與技術研究所(NIST)將與產業合作,共同開發新技術框架,以提高IT供應鏈安全與完整性,微軟、Google、IBM等科技公司都將加入此一倡議

2021-08-26

| 軟體供應鏈 | 網路威脅 | 供應鏈安全 | SLSA | 安全框架 | 資安

Google推動軟體供應鏈安全框架SLSA

Google提出旨在確保軟體供應鏈安全的框架SLSA,是以該公司內部所有營運作業都採用的部署時強制檢查機制為基礎發展而成

2021-06-18

| CI | 委外 | 外包 | 供應鏈安全 | 淨水廠 | WordPress漏洞

險被水中下毒的佛州淨水廠外包商也被駭

安全廠商Dragos調查今年2月佛州淨水處理廠遭駭事件時,發現廠方的外包業者網站去年底被植入惡意程式後,被駭客用來竊取佛州當地政府單位以及民間水利公司資料,但二起攻擊事件尚無證據有關聯

2021-05-24

| 資安 | 供應鏈安全 | 供應鏈攻擊 | Supermicro | 間諜晶片 | 超微 | 中國解放軍 | 國家級駭客 | 彭博 | FPGA晶片 | Altera | 安全長 | Mukul Kumar

彭博再報導:Supermicro間諜晶片真的存在,美國國防部、英特爾、FBI都知情

彭博宣稱FPGA晶片廠商Altera安全長在某份報告中,承認見過會連線回中國的Supermicro晶片

2021-02-15

| 資安 | 供應鏈安全 | SolarWinds | Amazing A32手機 | 台灣大哥大

產品安全已成企業資安重大隱患

在我們2019、2020、2021的年度資安趨勢預測當中,都將供應鏈安全納入重大關注重點。包括2020年底爆發震撼全球的SolarWinds事件,以及今年初台灣大哥大自有品牌Amazing A32手機遭惡意軟體滲透一案

2021-01-18

| 5G安全 | X-Force Red | 滲透測試 | 供應鏈安全

IBM針對5G產業推滲透測試服務,將涵蓋中上下游產業鏈如晶片、核網與SDN

要如何讓5G安全能夠落實,今年IBM提出針對5G產業供應鏈的滲透測試服務,要讓這類通訊設備與元件的安全從中上下游供應商做起。

2020-12-10

| Dell | 供應鏈攻擊 | 資料防護 | PowerEdge | 安全元件驗證 | 設備生產生命週期管理 | 供應鏈安全

防止硬體路上被掉包、植入間諜軟體,Dell提供伺服器、PC安全防護工具

防範產品在運送或維修過程中被動手腳,Dell針對自家伺服器及商用PC發布供應鏈及資料防護解決方案

2020-12-06

| 萊迪思半導體 | 韌體安全 | 韌體保護恢復標準 | NIST SP 800-193 | Sentry | SupplyGuard | 設備生產生命週期管理 | 供應鏈安全

萊迪思半導體推韌體安全方案,符合NIST韌體保護恢復標準PFR

對應韌體與生產環節的供應鏈安全,近期萊迪思半導體宣布推出Sentry解決方案與SupplyGuard服務,前者可加密驗證每個IC晶片的韌體,主要透過橢圓曲線演算法的簽名認證來進行,後者涵蓋設備生產生命週期管理。

2020-09-10

| 台積電 | 供應商資訊安全協會 | 2020臺灣資安大會 | 供應鏈安全 | 半導體資安標準

【臺灣資安大會直擊】面對供應鏈資安風險,半導體龍頭台積電設立供應商資訊安全協會

企業除了要顧好自己的資安問題,還要協助上下游與合作夥伴也要能做好資安,對於供應鏈安全議題,臺灣半導體龍頭台積電正帶頭做出成功的示範,在2020臺灣資安大會的供應鏈安全論壇中,他們在專題演講上分享了從建立供應商資訊安全協會,與制定半導體機臺資安標準來因應。

2020-08-28

| 供應鏈安全 | supply chain | MITRE ATT&CK | SBOM | 軟體物料清單 | 奧義智慧

【臺灣資安大會直擊】供應鏈安全層面大剖析,奧義揭露臺灣多起APT攻擊事件都是對方從供應鏈下手

供應鏈安全的涵蓋面向不小,在近日舉行的臺灣資安大會上,奧義智慧表示需針對突破口持續風險管理,強調供應鏈評鑑與軟體物料管理(SBOMs),同時也揭露了臺灣近年多起APT攻擊,其實都與供應鏈有關。

2020-08-17

| DVR漏洞 | 利凌企業 | 可取國際 | 通航 | 帳密寫死韌體 | 供應鏈安全

又有臺廠DVR設備被揭露資安漏洞,過去半年遭多個攻擊組織鎖定用以傳播殭屍網路

近日有資安業者揭露,多個攻擊組織鎖定利凌企業(Lilin)視訊監控主機(DVR)的零時差漏洞,散布殭屍網路。利凌企業在收到通報已立即修補,用戶儘速更新,避免淪為DDoS攻擊幫兇。此事件還可能牽扯供應鏈安全議題,因為,與之前可取國際(iCatch)DVR遭駭的IoT攻擊事件,存在韌體寫死相同敏感資料的狀況。

 

2020-03-31

| 網路攻防演練 | 滲透測試 | 資安處 | 技服中心 | 供應鏈安全 | 無效的存取控管 | 無效的身分認證

【2019政府網路攻防演練結果大公開】新焦點是需重視使用相同軟體套件與委外廠商可能忽略的風險

透過網路攻防演練,持續檢視政府機關對外系統的資安防護與應變,已行之多年,近期資安處公布2019年度的演練結果,有5大議題值得關注,其中無效存取控管的比例最高,並發現有機關竟規避演練做出無效防護。

2020-03-19