在10月雙十國慶這一星期，在關注慶祝活動與中共軍事演習行動之餘，資安相關新聞同樣引人注目，在資安防禦消息方面，零信任議題的最受關注，因為全球第一個提出零信任架構的資安專家John Kindervag今年二度來臺，特別的是，上月他是在SEMICON Taiwan 2024召開的半導體資安趨勢高峰論壇發表演說，顯示零信任在全球資安已是顯學，半導體產業要做好資安，當然也必須了解並落實這個概念。

近年來零信任雖然受到各界廣泛討論，但也漸漸產生一些認定與推動的歧見，此次John Kindervag遠道而來，分享其在網路戰爭與零信任架構上的深刻見解，因此他特別點出4個常見謬誤，以及企業導入零信任架構的五步驟，有助於大家重新正確理解零信任的基本概念。

在資安事件方面，有3起與臺灣息息相關的事件需要我們重視，其中以駭客組織NoName057對臺發動第二波DDoS攻擊最受關注，包括聯電、緯創、世芯等半導體大廠，以及知名傳產台塑化，均發布資安重訊說明遭遇DDoS攻擊。由於這些消息發布多集中於週末期間，加上該駭客組織攻擊歐洲多國關鍵CI網站服務之後，一再鎖定臺灣攻擊，這種騷擾式攻擊恐成常態，國人應持續警戒，不可鬆懈。

●聯電、緯創、世芯、松上、台塑化、發布重訊表示遭DDoS攻擊，親俄駭客組織NoName057再次宣稱是他們所為，數十個市公所與地檢署網站也是其目標。
●儲存設備業者喬鼎資訊發布重大訊息，說明遭遇網路攻擊，已啟動防護機制並對受害主機進行隔離。
●網傳PChome疑似資料庫外洩，網路家庭澄清並無此事，但該公司研判可能遭遇撞庫攻擊惹議，後續狀況值得留意。
●富達投資向美國緬因州等通報客戶個資外洩事故，7.7萬客戶個資受影響。
●Internet Archive遭駭，首頁內容遭置換，並發生逾3,100萬筆帳號外洩。

這一星期適逢多家IT廠商發布每月例行安全更新，包含微軟、SAP等眾多業者針對多項重大漏洞釋出修補，企業組織應盡快進行評估與落實修補、緩解弱點的作業，還有6個漏洞已發現遭利用，格外需要留意。

●微軟修補5個已被公開的零時差漏洞，其中有2個已遭利用，分別是涉及MSHTML的漏洞CVE-2024-43573，以及涉及MMC的漏洞CVE-2024-43572。
●高通修補多款晶片組中的零時差漏洞CVE-2024-43037，Google TAG指出已有利用跡象，後續Andorid系統的修補時程值得留意。
●Ivanti修補雲端服務設備CSA的3個零時差漏洞，分別是CVE-2024-9379、CVE-2024-9380、CVE-2024-9381，指出已有部分用戶的系統遭遇漏洞濫用活動。
●Fortinet在2月修補的已知漏洞CVE-2024-23113，近日發現有攻擊者針對未修補用戶來攻擊的情形。

至於資安威脅態勢方面，大型電信公司遭滲透一事，引發國際關注。美國有多家電信業者遭遭中國駭客組織Salt Typhoon入侵，包括AT&T、Verizon與Lumen，而且駭客是針對特定目標而來，也就是針對美國政府合法向電信業要求資料的系統。此事件不僅引發美國政府的高度關注，全球電信業者也需要警惕。

【10月7日】親俄駭客傳出再度發動DDoS攻擊，多家上市櫃公司網站受到影響

親俄駭客NoName057因總統賴清德接受媒體採訪的回答裡，提及中國政府一再主張的維護領土完整性，認為他們應該要奪回清朝簽訂璦琿條約而割讓俄羅斯的土地，而引起駭客不滿，已於9月發起一波DDoS攻擊行動，上週又有企業組織傳出受害，並於股市公開觀測站發布重大訊息。

值得留意的是，這些駭客不光針對企業而來，他們這次的目標也涵蓋臺灣多個政府機關。

【10月8日】美國水力關鍵基礎設施再傳遭遇網路攻擊

最近幾年針對美國水力設施發動攻擊的情況不時傳出，例如：去年底伊朗駭客Cyber Av3ngers攻擊賓州阿里奎帕市水務局，理由是該機構採用以色列自動化控制業者Unitronics的系統而成為目標；今年4月，德州小鎮供水系統傳出因遭到攻擊而失控，資安業者Mandiant指出，很有可能是俄羅斯駭客Sandworm所為。這些事故多半針對地方供水系統而來，如今有橫跨14個州的業者American Water遭到網路攻擊而引起關注。

值得留意的是，雖然該公司強調營運並未受到影響，但其網站至截稿為止並未恢復正常，實際影響有待觀察。

【10月9日】零信任之父第一手導讀零信任架構

隨著資安威脅與日俱增，零信任架構成為最近幾年的熱門話題。但究竟什麼是零信任架構？在14年前提出此戰略理念的零信任之父John Kindervag，日前在國際半導體展（SEMICON 2024）召開的半導體資安趨勢高峰論壇發表演說，指出其核心理念就是「拒絕信任」。

他以美國特勤局保護總統的策略來比喻零信任架構，揭示零信任3個核心理念的關鍵要素，企業組織也應該依循這樣的策略，保護資料及網路環境的資產。

【10月11日】Mozilla修補遭到利用的Firefox零時差漏洞

近期針對瀏覽器的零時差漏洞攻擊不時傳出，其中又以鎖定市占率最高的Chrome較為常見，今年已出現9個零時差漏洞，由於採用其排版引擎開發的瀏覽器也相當多，這些漏洞也同樣波及Edge、Brave、Vivaldi等應用程式，因而受到高度關注。

相較之下，利用Firefox未公開漏洞的情況較為少見。最近Mozilla基金會的資安公告引起外界的注意，原因是他們近期修補的一項重大漏洞，已出現實際利用的情況。