在10月双十国庆这一星期，在关注庆祝活动与中共军事演习行动之余，资安相关新闻同样引人注目，在资安防御消息方面，零信任议题的最受关注，因为全球第一个提出零信任架构的资安专家John Kindervag今年二度来台，特别的是，上月他是在SEMICON Taiwan 2024召开的半导体资安趋势高峰论坛发表演说，显示零信任在全球资安已是显学，半导体产业要做好资安，当然也必须了解并落实这个概念。

近年来零信任虽然受到各界广泛讨论，但也渐渐产生一些认定与推动的歧见，此次John Kindervag远道而来，分享其在网络战争与零信任架构上的深刻见解，因此他特别点出4个常见谬误，以及企业导入零信任架构的五步骤，有助于大家重新正确理解零信任的基本概念。

在资安事件方面，有3起与台湾息息相关的事件需要我们重视，其中以黑客组织NoName057对台发动第二波DDoS攻击最受关注，包括联电、纬创、世芯等半导体大厂，以及知名传产台塑化，均发布资安重讯说明遭遇DDoS攻击。由于这些消息发布多集中于周末期间，加上该黑客组织攻击欧洲多国关键CI网站服务之后，一再锁定台湾攻击，这种骚扰式攻击恐成常态，国人应持续警戒，不可松懈。

●联电、纬创、世芯、松上、台塑化、发布重讯表示遭DDoS攻击，亲俄黑客组织NoName057再次宣称是他们所为，数十个市公所与地检署网站也是其目标。
●存储设备业者乔鼎信息发布重大消息，说明遭遇网络攻击，已启动防护机制并对受害主机进行隔离。
●网传PChome疑似数据库外泄，网络家庭澄清并无此事，但该公司研判可能遭遇撞库攻击惹议，后续状况值得留意。
●富达投资向美国缅因州等通报客户个资外泄事故，7.7万客户个资受影响。
●Internet Archive遭骇，首页内容遭置换，并发生逾3,100万笔帐号外泄。

这一星期适逢多家IT厂商发布每月例行安全更新，包含微软、SAP等众多业者针对多项重大漏洞发布修补，企业组织应尽快进行评估与落实修补、缓解弱点的作业，还有6个漏洞已发现遭利用，格外需要留意。

●微软修补5个已被公开的零时差漏洞，其中有2个已遭利用，分别是涉及MSHTML的漏洞CVE-2024-43573，以及涉及MMC的漏洞CVE-2024-43572。
●高通修补多款芯片组中的零时差漏洞CVE-2024-43037，Google TAG指出已有利用迹象，后续Andorid系统的修补时程值得留意。
●Ivanti修补云端服务设备CSA的3个零时差漏洞，分别是CVE-2024-9379、CVE-2024-9380、CVE-2024-9381，指出已有部分用户的系统遭遇漏洞滥用活动。
●Fortinet在2月修补的已知漏洞CVE-2024-23113，近日发现有攻击者针对未修补用户来攻击的情形。

至于资安威胁态势方面，大型电信公司遭渗透一事，引发国际关注。美国有多家电信业者遭遭中国黑客组织Salt Typhoon入侵，包括AT&T、Verizon与Lumen，而且黑客是针对特定目标而来，也就是针对美国政府合法向电信业要求数据的系统。此事件不仅引发美国政府的高度关注，全球电信业者也需要警惕。

【10月7日】亲俄黑客传出再度发动DDoS攻击，多家上市柜公司网站受到影响

亲俄黑客NoName057因总统赖清德接受媒体采访的回答里，提及中国政府一再主张的维护领土完整性，认为他们应该要夺回清朝签订瑷珲条约而割让俄罗斯的土地，而引起黑客不满，已于9月发起一波DDoS攻击行动，上周又有企业组织传出受害，并于股市公开观测站发布重大消息。

值得留意的是，这些黑客不光针对企业而来，他们这次的目标也涵盖台湾多个政府机关。

【10月8日】美国水力关键基础设施再传遭遇网络攻击

最近几年针对美国水力设施发动攻击的情况不时传出，例如：去年底伊朗黑客Cyber Av3ngers攻击宾州阿里奎帕市水务局，理由是该机构采用以色列自动化控制业者Unitronics的系统而成为目标；今年4月，德州小镇供水系统传出因遭到攻击而失控，资安业者Mandiant指出，很有可能是俄罗斯黑客Sandworm所为。这些事故多半针对地方供水系统而来，如今有横跨14个州的业者American Water遭到网络攻击而引起关注。

值得留意的是，虽然该公司强调营运并未受到影响，但其网站至截稿为止并未恢复正常，实际影响有待观察。

【10月9日】零信任之父第一手导读零信任架构

随着资安威胁与日俱增，零信任架构成为最近几年的热门话题。但究竟什么是零信任架构？在14年前提出此战略理念的零信任之父John Kindervag，日前在国际半导体展（SEMICON 2024）召开的半导体资安趋势高峰论坛发表演说，指出其核心理念就是「拒绝信任」。

他以美国特勤局保护总统的策略来比喻零信任架构，揭示零信任3个内核理念的关键要素，企业组织也应该依循这样的策略，保护数据及网络环境的资产。

【10月11日】Mozilla修补遭到利用的Firefox零时差漏洞

近期针对浏览器的零时差漏洞攻击不时传出，其中又以锁定市占率最高的Chrome较为常见，今年已出现9个零时差漏洞，由于采用其排版引擎开发的浏览器也相当多，这些漏洞也同样波及Edge、Brave、Vivaldi等应用程序，因而受到高度关注。

相较之下，利用Firefox未公开漏洞的情况较为少见。最近Mozilla基金会的资安公告引起外界的注意，原因是他们近期修补的一项重大漏洞，已出现实际利用的情况。