【iThome新聞】行政院宣布通過資安法修正草案,納管機關若遭遇重大資安事故須配合調查,若不配合最高可罰百萬
來源 iThome新聞 內容 7月4日行政院宣布,他們正式通過數位發展部去年底提出的資通安全管理法(資安法)修正草案,接下來將送交立法院審議。
來源 iThome新聞 內容 7月4日行政院宣布,他們正式通過數位發展部去年底提出的資通安全管理法(資安法)修正草案,接下來將送交立法院審議。
來源 iThome新聞 內容 在今年臺北國際電腦展(Computex 2024)上,未來有望普及的AI PC,無疑是本場展會最重要的焦點之一,各大筆電廠商展示最新款機型,不僅顯露出未來筆電的新樣貌,也展現AI加持下的筆電新能耐。 究竟有哪些重要變化?在Computex大會現場各廠商展示的多款新型筆電產品中,最讓大家印象深刻的是,Windows筆電上新增了專為AI設計的Copilot按鍵,通常設置於鍵盤區右邊Alt鍵的右方,可以快速叫出Windows 11 內建的Windows Copilot功能,讓使用者一鍵就可以啟動AI體驗。 可以想見的是,這個按鈕會在AI PC世代佔有重要的地位。比起過往Windows 8的實體Home鍵的變化,有更大的意義存在。
來源 iThome新聞 內容 「我們正在測試自建的雲原生環境。」禾伸堂企業資訊中心協理郭建中興奮地說道。 走進郭建中位於內湖的辦公室,雖然面積不大,但地上和桌上擺滿了多臺老舊的Mac筆電和伺服器,正在測試最新的雲原生軟體。伺服器風扇運作的聲響不時傳來,彷彿置身在產品研發測試間,但這裡其實是禾伸堂用來實驗現代化IT架構的創新實驗室。 郭建中規畫將來IT架構完全轉向Cloud Native,先從IoT環境開始進行轉換,改用K3s(K8s輕量版)平臺處理和儲存IoT數據,然後逐步擴展到其他IT系統。他的辦公室就是用來測試這個自建雲原生環境的創新實驗場。
來源 iThome新聞 內容 專門提供基於隱私之線上服務的瑞士業者Proton周三(7/3)發表了Docs in Proton Drive,於其雲端端對端加密儲存服務Proton Drive中加入了Docs文件編輯服務,除了支援即時協作、評論、新增照片及儲存功能外,同樣也提供了端對端加密。
來源 iThome新聞 內容 數年前奧義智慧共同創辦人邱銘彰曾在臺灣資安大會上,針對2020年5月初臺灣中油遭遇勒索軟體攻擊事故,推敲較為全面的樣貌,當時邱銘彰指出,勒索軟體攻擊往往是駭客作案完成,最後進行毀屍滅跡的破壞手段。但這樣的推論,一直缺乏研究人員進一步的佐證。直到最近,有研究人員證實,這種在攻擊流程最後利用勒索軟體進行破壞的策略,最近3至4年有越來越明顯的趨勢。
來源 台灣電腦網路危機處理暨協調中心 內容 近日全球廣泛使用的開源地理位置資訊伺服器GeoServer被發現存在嚴重的安全漏洞(CVE-2024-36401)。該漏洞源於GeoServer處理XPath表達式的方式,使得未經身份驗證的遠端攻擊者能夠利用這個漏洞在受影響的伺服器上執行任意代碼,從而獲取伺服器權限,近期已經發現有駭客利用漏洞進行攻擊,建議使用者儘速完成更新。 GeoServer是一個開源的地理空間資訊伺服器,允許用戶使用各種開放地理空間聯盟(Open Geospatial Consortium,OGC)標準發布和管理地理空間數據。GeoServer的功能強大且靈活,廣泛應用於政府、企業和學術機構。 CVE-2024-36401主要涉及GeoServer與GeoTools函式庫API之間參數傳送的內容,GeoServer在傳遞元素類型屬性名稱給commons-jxpath函式庫時存在不安全的操作,允許未經身份驗證的攻擊者注入特製的XPath表達式,導致可以執行任意程式碼。XPath是一種用於在XML文檔中選擇節點的語言,GeoServer使用的commons-jxpath函式庫,允許在Java中使用XPath表達式。這些技術的結合使GeoServer可以靈活地處理和查詢地理空間數據,但同時也引入了潛在的安全風險。GeoServer中XPath表達式評估的設計用途,原本應該只用於複雜特徵類型(如應用模式數據存儲)的 XPath 表達式評估,現在錯誤地被應用於簡單特徵類型,導致所有 GeoServer 實例都受到這個漏洞的影響。 在GeoServer中,WFS(Web Feature Service)是OGC定義的一個標準,用於在 Web 上共享地理空間資訊的標準化服務,它允許使用者通過 Web 服務查詢和擷取地理特徵的屬性資訊。在此漏洞中,WFS為攻擊者利用漏洞的一個入口點,攻擊者可以利用特製的請求觸發漏洞。 WFS功能中的WFS GetFeature、WFS GetPropertyValue、WMS GetMap、WMS GetFeatureInfo、WMS GetLegendGraphic 和 WPS Execute 均存在漏洞,未經身份驗證的遠端使用者可透過特製的輸入內容在預設的 GeoServer 中執行遠端程式碼(RCE)。 根據研究報告,GeoServer及GetTools影響的版本如下: GeoServer •GeoServer< 2.23.6 [繼續閱讀]
來源 iThome新聞 內容 各產業今年掀起了生成式AI應用浪潮,2成企業CIO更認為,GAI在今年對所屬企業和產業帶來了重大的影響。 不過,生成式AI技術的競爭激烈,演化速度飛快,多數企業對相關技術架構的掌握能力,嚴重不足,從今年CIO大調查中可以看到,就算是公認IT資源最豐沛的金融業,對於生成式AI技術架構的準備程度依舊偏低,甚至有許多金融CIO自評還沒達到中等水準。
來源 iThome新聞 內容 生成式AI是企業今年最積極採用的新興技術,不論醫療、政府學校或金融業,都有破四成企業要採用現成的ChatGPT類服務。 去年,最積極採用的是醫院,其次是政府機關和一般製造業,各約3成多企業要用。到了今年,想用ChatGPT類服務的醫院更多了,幾乎是每兩家醫院就有一家要用。去年8月,行政院發布了政府機關使用生成式AI的參考指引後,同樣加速政府機關對這類技術的採用力道,今年預估高達43.9%的機關會用,比去年還多了一成。
來源 iThome新聞 內容 大規模DDoS攻擊行動這兩年變得越來越頻繁,繼去年10月3家雲端服務業者AWS、Cloudflare、Google聯手揭露針對HTTP/2漏洞CVE-2023-44487的大規模攻擊行動,本週歐洲最大主機代管業者OVHcloud也公布他們攔阻的DDoS攻擊事故。 值得留意的是,OVHcloud發現攻擊流量的來源,竟多半來自MikroTik大型路由器設備,對方用於發動攻擊的設備數量,多達近10萬臺。
來源 iThome新聞 內容 在網路攻擊當中,駭客濫用滲透測試工具Cobalt Strike的情況不時傳出,這款原本資安人員用於找出企業網路環境弱點的利器,已成為網路罪犯偏好用來控制受害電腦的作案工具,如今執法單位聯手,大量拿下疑似遭到濫用的Cobalt Strike系統。
Copyright © 2024 | National Yang Ming Chiao Tung University All rights reserved