分類: 資安

宏碁稱資安事件影響了員工出勤數據，但並未影響客戶資料庫，宏碁菲律賓公司保證所有客戶資訊均受到保護

Key Points:

*宏碁菲律賓公司證實，負責管理員工出勤資料的第三方供應商系統內發生一起資安事件，導致未經授權存取該資訊。

*宏碁稱此次外洩並未影響宏碁菲律賓公司的客戶資料庫。該公司強調客戶資料仍然安全，並強調考勤系統和客戶資料庫完全分開，並擁有強大的內部系統來保護客戶資訊免受網路安全威脅。

*宏碁菲律賓已向國家隱私委員會 (NPC) 和網路犯罪調查和協調中心 (CICC) 通報了這起外洩事件。目前正在進行全面調查，以充分了解入侵情況。

2024 年3 月12 日，宏碁菲律賓公司出面處理據稱於當天發生的資料外洩事件，在一份官方聲明中，該電腦巨頭承認發生了涉及未具名第三方供應商的安全事件，該事件導致未經授權的存取包含特定員工資訊的資料庫。然而，宏碁很快向客戶保證，他們的資料庫在這次資安事件期間不受到影響。關於宏碁的聲明如下:

宏碁菲律賓公司聲明

宏碁菲律賓公司確認，其負責管理員工考勤資料的第三方供應商發生了安全事件，導致包含特定員工資訊的資料庫遭到未經授權的存取。

我們想向大家保證，我們的安全檢查確認宏碁菲律賓客戶資料庫沒有遭到破壞或洩露，客戶資料也沒有受到此事件的影響。需要強調的是，第三方供應商運行的考勤資料庫與我們的客戶資料庫完全不同。我們的內部系統保護我們的客戶資料庫，以保護您的資料免受威脅。

我們致力於對委託我們保管的所有資訊實行最嚴格的資料保護。我們已通知國家隱私委員會（NPC）和網路犯罪調查

協調中心（CICC）。徹底的調查正在進行中。

如需準確可靠的更新，請參閱我們的官方溝通管道。如果您有任何疑問或需要進一步說明，我們鼓勵您直接透過我們的官方支援管道聯繫。我們隨時為您提供協助。

感謝您對宏碁菲律賓公司的持續信任。”

在宏碁菲律賓公司發表聲明之前，Deep Web Konek 報告了這一資安事件，聲稱收到了一封詳細說明該事件的電子郵件，據稱此次資料外洩暴露了277 行員工數據，包括姓名、用戶名、密碼、出生日期、手機號碼、電子郵件地址、雇主姓名和部門細節。進一步調查顯示，#OpEDSA是這起資安事件的攻擊者，並解釋說，他們以宏碁菲律賓等大公司為目標，旨在破壞涉及富裕政治家族的政治爭吵以及他們對國家緊迫問題的忽視的現狀。

#OpEDSA稱，他們的動機是來自渴望終結菲律賓精英階層對國家權力的控制，並解釋他們的動機受到了1986年的EDSA菲律賓人民力量革命的啟發。

在過去宏碁也曾發生其他的資安事件，包括: 

— 2023 年3月，名為Kernelware的駭客聲稱持有Acer約160 Gb 的數據，並在暗網兜售
— 2021 年 3 月Acer被REvil勒索軟體攻擊並被勒索5000萬美元的贖金。

— 2021 年 10 月 15 日，Desorden Group 的駭客組織的入侵 Acer India的售後服務系統，被盜60 GB的數據

— 2021 年 10 月 18 日， Desorden Group駭入宏碁台灣的系統，盜走並釋出Acer員工的敏感資料。

“轉貼、分享或引用文章內容，請註明出處為竣盟科技https://www.billows.tech/, 以免觸法”

3月6日，美國國家安全局（National Security Agency, NSA）分享新的指導方針，以幫助組織通過採用零信任框架原則來限制駭客在內部網路上的移動。零信任安全架構要求對網路上的資源進行嚴格控制，無論是在物理邊界內還是外部，以減少遭到入侵的影響。相較於傳統的IT安全模式，零信任是一套安全模型，在這套模型中，不能直接信任任何裝置、使用者或網路區段，而是應將其視為潛在威脅。該設計假設存在威脅，並不允許威脅在網路內自由活動。透過處理駭客可能利用的各種組件或支柱，逐步推進零信任成熟度。美國國家安全局今天釋出了有關網路和環境組件的零信任指南，該組件包括所有硬體和軟體資產、非人實體以及互通協定。零信任模型透過資料流程圖、宏觀和微分割以及軟體定義網路提供全面的網路安全。對於每個組件，組織必須達到特定的成熟度水平，以便按照零信任原則繼續建立。

美國國家安全局稱，網路和環境通過定義網路訪問、控制網路和數據流、分割應用程式和工作負載，以及使用端對端加密，將關鍵資源與未經授權的訪問隔離。

資料流程圖始於識別數據的存儲和處理位置和方式。在這種情況下，組織具有完整的庫存和流程的可見性，並能夠防範所有當前、新的或異常的路徑，則達到了先進的成熟度。

通過宏觀分割(Macro-Segmentation)，組織可以通過為每個部門的使用者創建網路區域，限制網路上的橫向移動。

例如，會計部門的某人除非明確需要，否則不需要訪問專用於人力資源的網路段，因此對於駭客而言，攻擊面是受限的。

透過微分割 (Micro-Segmentation)，將網路管理細分為較小的組件，並實施嚴格的存取政策以限制橫向資料流動。

美國國家安全局進一步解釋，微分割涉及將使用者、應用程式或工作流程隔離到個別的網路段，以進一步減少攻擊面並在發生入侵時限制影響。

透過軟體定義網路（SDN）組件，可以更細緻地控制微分割，提供可自訂的安全監控和警報。

SDN允許從中央控制中心控制封包路由，提供對網路的更佳可見性，並允許強制執行所有網路段的政策。

在零信任架構的網路和環境支柱中的每個組件，美國國家安全局描述了從準備階段到高級階段的四個成熟度水平，其中實施了廣泛的控制和管理系統，以實現最佳的可見性、監控並確保網路的成長。

設計和建立零信任環境是一項複雜的任務，需要系統性地經歷成熟階段。若處理得當，結果將是一個企業架構，可以抵抗、識別並應對試圖利用弱點的威脅。

此前，美國國家安全局於2021年2月發布了零信任框架的第一個指南（擁抱零信任安全模型 Embracing Zero Trust Security Model），該指南描述了該模型及其背後原則的優勢。在2023年4月，該機構發布了有關在零信任框架中達到使用者組件成熟度的指南，通過用戶支柱推進零信任成熟度。

欲了解更多，請參考:

敦促網路防禦者實施強而有力的安全措施，以有效應對這些不斷演變的網路威脅

由美國、英國、加拿大、澳洲及紐西蘭五國情報機構組成的國際情報分享聯盟「五眼聯盟」對APT29（也稱為 Midnight Blizzard、Cloaked Ursa 、The Dukes 或 Cozy Bear）採用的新作案手法發出了警報，APT29 是一個被認定是俄羅斯聯邦對外情報局服務（Russian Foreign Intelligence Service，SVR）轄下的部門。在三年多前精心策劃的 SolarWinds 供應鏈攻擊，入侵多個美國政府機構而聞名。近幾個月來因針對微軟、慧與科技(HPE) 和其他組織以進一步實現其戰略目標而再次引起高度關注。APT29 以政府、智庫、醫療保健組織和能源部門為目標而聞名，但現在已將其目標擴大到包括航空、教育、執法、地方和國務院、政府財務部門和軍事組織。

根據五眼聯盟的聯合諮詢，警告稱APT29 現在已將其策略轉向針對受害者的雲端服務，並正在適應現代 IT 環境，特別是基於雲端的基礎設施的廣泛採用。APT29 現在不再利用本地網路中的軟體漏洞，而是直接針對雲端服務本身進行攻擊。“隨著組織不斷對其系統進行現代化改造並轉向基於雲端的基礎設施，APT29已經適應了操作環境中的這些變化。”

該通報警告還說，APT29 使用透過暴力或密碼噴灑（Password Spraying）的方式進行攻擊從而來獲得服務帳戶和屬於受害者組織前員工的帳戶來存取雲端環境。一旦進入內部，他們就會使用 MagicWeb 惡意軟體等複雜工具偽裝成合法用戶，阻礙偵測工作。

為了應對這些不斷演變的威脅，五眼聯盟敦促網路防禦者實施強而有力的安全措施。其中包括啟用多重身份驗證 (MFA) 和強制執行強密碼、遵守最小權限原則以及及時刪除未使用或休眠的帳戶。此外，對入侵跡象保持警惕並監控可疑活動是阻止 APT29 進展的關鍵步驟。透過採用這些建議，組織可以加強對 APT29 基於雲端的入侵的防禦，並降低未來被入侵的風險。

這些機構總結了一些最佳實踐，以幫助組織免受這些威脅行為者的侵害：

*啟用多重身份驗證 (MFA)

*使用強且唯一的密碼，尤其是對於無法使用兩步驟驗證 (2SV) 的帳戶

*實施系統和服務帳戶的最小權限原則

*建立金絲雀部署服務帳戶以更快地偵測洩露

*調整系統發行token的有效期限

*僅允許授權設備進行設備註冊

*使用各種資訊來源預防、偵測和調查異常行為

新的指南擴充了該框架，納入關鍵基礎設施以外的組織；還包含應對治理和供應鏈網路安全

Key Points:

• NIST 的網路安全框架 (CSF) 現在明確旨在幫助所有組織（而不僅僅是關鍵基礎設施中的組織，即其最初的目標受眾）管理和降低風險。
• NIST 更新了 CSF 的核心指南，並建立了一套資源來幫助所有組織實現其網路安全目標，並更加重視治理和供應鏈。
• 此次更新是多年討論和公眾意見過程的結果，旨在使該框架更加有效。

經過幾年的審議，美國國家標準與技術研究所 (NIST) 發布了網路安全框架 2.0 (Cybersecurity Framework 2.0—CSF 2.0)。新框架建立在其長期存在以降低網路風險的建議基礎上，除了最初關注關鍵基礎設施之外，還納入了其他組織關注的問題。

NIST 在 2014 年根據美國總統行政命令發布了第一個 CSF，以幫助組織（特別是關鍵基礎設施）降低網路安全風險。CSF 2.0 基於現有的五個基本功能識別（Identify）、防護（Protect）、偵測（Detect）、回應（Response）與復原（Recover）的構建，並已更新包括第六個功能：治理(Governance)。這些功能提供了管理網路安全風險的生命週期的全視圖，同時NIST 的 CSF 2.0 也解決了供應鏈風險。

NIST 應用網路安全部門負責人 Kevin Stine 在聲明中表示：“此次更新是透過與利益相關者密切合作開發的，反映了最新的網路安全挑戰和管理實踐，旨在使該框架與美國和國外更廣泛的用戶更加相關。” 

CSF 2.0 由六大功能組成：治理、識別、保護、偵測、回應 和復原。 此外該框架還包括以下內容：

CSF Core —高階網路安全成果的分類，可以幫助任何組織管理其網路安全風險。這可以在 CSF 2.0 的附錄 A 中找到（並且可以透過 CSF 2.0 參考工具瀏覽核心）。

CSF 組織概況— 一種根據 CSF 核心結果描述組織當前和/或目標網路安全態勢的機制。

CSF 層級— 一種可應用於 CSF 組織概況的方法，用於表徵組織網路安全風險管理實務的嚴格性。 

CSF在國際上已廣泛應用；1.1 和 1.0 版本已翻譯成 13 種語言，NIST 預計 CSF 2.0 也將由世界各地的志工翻譯。這些翻譯將被添加到 NIST 不斷擴大的 CSF 資源組合中。在過去 11 年中，NIST 與國際標準化組織 (ISO) 以及國際電工委員會 (IEC) 的合作協助協調了多個網路安全文件。ISO/IEC 資源現在允許組織使用 CSF 功能建立網路安全框架並組織控制。NIST 計劃繼續與 ISO/IEC 合作，以繼續這種國際協調

了解更多關於CSF 2.0以及其他補充資源:

CSF 2.0

瀏覽 NIST 的 CSF 2.0 快速入門指南

CSF 2.0 設定文件

CSF 2.0資訊參考

美國網際安全暨基礎設施安全局 (CISA) 週四(2/15)在已知遭濫用之漏洞清單 ( KEV )中新增了一個思科現已修補的安全漏洞，有報告指出Akira 勒索軟體利用思科自適應安全設備（Cisco Adaptive Security Appliance，ASA）和思科威脅防禦系統（Cisco Firepower Threat Defense，FTD）中先前修補的安全漏洞。該漏洞被稱為CVE-2020-3259（CVSS 評分：7.5），這是一個高嚴重性的資訊外洩漏洞，攻擊者無需經過授權，便可通過利用該漏洞檢索受影響設備上的記憶體內容，進行類似如下所示的惡意攻擊：

遠端獲取連接到思科VPN用戶的當前Session ID，影響用戶的正常使用；

利用獲取到的用戶當前Session ID，登錄思科VPN客戶端，從而滲透到公司的內部網路；

遠端獲取思科ASA內存中的其他機密資訊，如電子郵件地址、憑證等。

作為 2020 年 5 月發布的更新的一部分，思科對其進行了修補。但由於最近被發現Akira 勒索軟體在攻擊中使用，故已被添加到 CISA 的已知遭濫用之漏洞清單 ( KEV )中。上個月末，網路安全公司 Truesec 表示，它發現的證據表明，在過去的一年裡，Akira 勒索軟體攻擊者已將其武器化，以危害多個易受攻擊的 Cisco Anyconnect SSL VPN 設備。Truesec執行的八個最新事件回應任務進行的分析（其中部署了Akira 勒索軟體，並且被確認Cisco Anyconnect SSL VPN為入口點）顯示，至少有六台受感染的設備正在運行不同版本的易受攻擊的設備。

據 Palo Alto Networks Unit 42 稱，Akira 是 2023 年新設立勒索軟體的 25 個組織之一，於3 月首次被發現。Akira公開聲稱有近 200 名受害者，據信Akria與臭名昭著的Conti之間存在聯繫，因為Akira被發現將贖金收益發送至 Conti錢包地址。僅在 2023 年第四季度，Akira就在其暗網網站上列出了 49 名受害者，排在LockBit（275 名）、Play（110 名）、ALPHV/BlackCat（102 名）、 NoEscape（76 名）、8Base（75 名）之後。）和BlackBasta（72）。CISA要求聯邦民事行政部門 (FCEB) 機構必須在 2024 年 3 月 7 日之前修復已發現的Cisco ASA/FTD 中存在的漏洞CVE-2020-3259，以確保其網路免受潛在威脅。

CVE-2020-3259 遠非唯一被利用來傳播勒索軟體的漏洞，本月早些時候，Arctic Wolf Labs披露了濫用CVE-2023-22527（Atlassian Confluence 資料中心和 Confluence 伺服器最近發現的漏洞）來部署 C3RB3R 勒索軟體以及加密貨幣挖礦程式和遠端存取木馬的情況。