我們的紅隊演練是用最強的攻擊技巧找出企業各種可能的疏漏,但這些疏漏背後的複雜問題組織一定比我們更加瞭解。我們期望透過分享一個不同視角的方法論,讓企業可以參考這樣的方式建構更全面的防禦策略。
駭客攻擊事件一直存在於真實世界,只是鮮少被完整公開揭露。今年國內一些重大關鍵基礎設施 (Critical Information Infrastructure Protection,CIIP) 以及國內的跨國企業紛紛發生嚴重的資安事件,我們想簡單的跟大家談談這些事件背後企業真正需要思考及重視的核心問題。
近期因新型冠狀病毒影響,不少企業開放同仁遠距工作 (Telework)、在家上班 (Work from home, WFH)。如果沒有準備周全就貿然全面開放,恐怕會遭遇尚未考慮到的資安議題。這篇文章提供一個簡單的指引,到底遠端在家上班有哪些注意事項?
DEVCORE 為什麼要做紅隊?過去面臨過什麼問題和怎麼解決的?以及在 DEVCORE 心中認為紅隊成員應該具備的特質。最後分享我們現階段看到的企業資安問題,期望未來可以透過紅隊演練來幫助企業補足那些問題。
企業期望透過風險評鑑 (Risk Assessment) 來盤點出可能的疏失,我們想聊聊從攻擊者的角度是怎樣看待這個擬訂防禦策略核心工具
2016年10月21日知名網路服務 Dyn 遭受殭屍網路發動三波巨大規模 DDoS 攻擊,世界各大網站服務皆因為此攻擊而中斷。為什麼這些設備會成為攻擊的幫凶呢?我們又該如何自保呢?
電商業者到底發生了什麼事?為什麼就是不處理個資外洩呢?其實有的時候不是企業不處理,搞不好是有苦難言。今天我們來談談電商業者所遇到的困境是什麼。
在使用最近熱門的寬宏售票網站時,我們發現網頁原始碼存在一些疑似密碼的資訊。從這件事情出發,我們分別延伸探討了兩個工程師應該注意的議題:分別是金流串接常見的弱點以及駭客的心理。
資訊洩漏是十幾年前就被一提再提的議題,在資訊安全領域中也是最最最基本該注意的事情,然而至今很多網站都還是忽略它,甚至連一些熱門網站都仍有資訊洩漏問題。來看看資訊洩漏到底影響什麼...
使用第三方套件節省開發時間,已經是整個資訊產業的慣例。但很多人可能不知道,使用第三方套件到底需要擔負多大的資安風險。你確定你用的套件是安全無虞的嗎?是否有經過嚴謹的安全測試?若有安全漏洞引爆,是否有廠商可以負責維護修補?這些都是在使用之前必須要考慮的。本文將以案例探討第三方套件的安全性,並且提出企業該有的應對措施。