產品新訊
「大加密年代」的防禦策略:當上網可視性與威脅情資相遇,惡意連線將無所遁形
在多數企業網路中,端點要連到外部服務,會先向 DNS 伺服器發出查詢(DNS Query),取得該網域的 IP 後才建立連線。為了集中管理,企業通常要求端點把系統內的 DNS 伺服器指向公司自建的 DNS Proxy,這個 Proxy 會再去詢問外部 DNS(例如 8.8.8.8),以快取(Cache)縮短回覆時間,並啟用進階功能:留下查詢紀錄並透過 DNS 區域(如 Response Policy Zone, RPZ)比對網域黑名單。同時,防火牆也會禁止端點直接對外部 DNS 訪問,確保所有查詢都經由公司的 DNS Proxy。
2025 Imperva API 威脅報告
2025 上半年發生超過 40,000 起 API 事件,攻擊數量創新高,其中金融服務業、電信與旅遊業首當其衝。《2025 Imperva API 威脅報告》根據超過 4,000 個環境的遙測數據,揭示攻擊者如何鎖定 API、企圖竊取或破壞哪些資源,以及企業必須立即採取的實務對策,以保護營收、維護客戶信任並確保合規。
程式碼簽章:數位時代不可或缺的基石
程式碼簽章是數位時代的重要安全機制,可驗證程式碼發布者身分、軟體來源並保障程式完整性。隨著量子計算崛起,傳統加密面臨威脅,企業需採用後量子密碼學(PQC)演算法,如哈希函數簽章(HBS),以維護簽章安全。美國國家安全局(NSA)發布 CNSA 2.0,要求供應商於 2025 年前支援量子安全演算法,並於 2030 年全面轉換。Thales Luna HSM 提供支援 PQC 的解決方案,確保企業在後量子時代的數位信任與安全。
Proofpoint 協助您完美防範 2025 十大關鍵資安風險 — 從台灣 CIO 到全球 CISO 調查看企業威脅現況
在《iThome 2025 企業資安大調查》中,台灣企業最憂心的資安風險依舊是「網路釣魚與社交工程」,有超過 6 成企業認為未來一年極可能遭遇此威脅;其次是資安漏洞濫用與勒索軟體。值得注意的是,深偽技術(Deepfake)冒用的關注度明顯提升,近 2 成企業擔憂會遭遇此風險,這個結果與 Proofpoint 最新發佈的全球 CISO 調查 (2025 Voice of the CISO) 不謀而合。報告顯示,商業郵件詐騙(BEC)持續成為全球 CISO 最憂心的威脅,然而內部威脅、勒索軟體、雲端帳號入侵、惡意軟體與供應鏈攻擊也同樣備受關注。令人警醒的是,過去一年內有高達 66% 的企業曾發生重大機敏資料外洩事件,顯示資料外洩已成為全球組織普遍且棘手的問題。
量子時代將至,企業如何透過 PQC 完成加密轉型
隨著量子運算技術快速成熟,傳統 RSA 與 ECC 加密機制將迅速失效,後量子密碼學(PQC)成為各產業資訊安全的新「生存門檻」。國際資安大廠 Thales 已將美國國家標準技術研究所(NIST) 核准的 PQC 演算法整合至硬體安全模組(HSM),並提供支援混合加密(Hybrid Cryptography)的量子安全解決方案,協助企業在傳統與 PQC 演算法間平滑過渡,降低轉換風險並滿足合規要求。
2025 Gartner《CNAPP 雲端原生應用程式防護平台 市場指南》重點摘要
隨著企業加速導入雲原生技術,資安團隊所面臨的挑戰也日益增加,需要跟上越來越複雜的環境。Gartner 最新發布的 《2025 雲端原生應用程式防護平台(CNAPP)市場指南》,深入解析市場發展趨勢、企業採購時優先考量的重點,以及頂尖平台應具備的核心能力。無論是工具整合、優化開發者體驗,或是建立一致的風險可視性,2025 年度報告皆顯示 CNAPP 市場正逐步走向成熟,並成為資安、DevOps 與開發團隊協同降低雲端風險的關鍵基石。
Thales 發布 Luna HSM v7.9 韌體,內建 NIST 核准的後量子密碼演算法
Thales 推出 Luna HSM v7.9 韌體,原生整合 NIST 核准的後量子演算法,如 ML-KEM(FIPS 203)與 ML-DSA(FIPS 204),支援混合式加密、TLS/SSL 等應用,且經諸多合作夥伴實測認證。Thales Luna HSM v7.9 提供可立即部署、符合標準且經認證的 PQC 解決方案,讓企業可在規劃 PQC 轉型時,有效兼顧效能、靈活性與長期安全性。
Qualys 透過 Agentic AI 打造智能風險助理,實現雲端風險評估的智慧自適應防護
Qualys Agentic AI 能根據資產的運行狀態與配置,動態調整最佳掃描方式,並結合透過情境感知,有效識別並消除潛在的安全盲點。不僅能提升雲端安全性,還能減輕團隊負擔,實現真正「零介入」的修補流程。
什麼是端對端資料保護?與傳統防護有什麼不同?
在企業邁向數位轉型與 AI 應用的背景下,E2EDP 端對端資料保護方案,能讓資料在靜態、傳輸與使用中等生命週期階段持續受到保護,尤其在機密運算與跨組織協作流程中,E2EDP 可確保敏感資料不被洩漏且符合法規與零信任原則。
Proofpoint 2025 Human Factor 報告摘要:社交工程 & 釣魚與惡意連結攻擊
在多數網路攻擊中,「人」始終是首要目標。在特定情境下,社交工程甚至比技術性攻擊更具殺傷力。許多詐騙與滲透行動,包括商務電子郵件詐騙(BEC)、電話導向攻擊(TOAD)、感情詐騙等,都以社交工程與惡意連結為核心,巧妙避開自動化偵測工具,並透過人際互動誘導受害者主動配合。為協助企業應對這些針對「人」的攻擊,Proofpoint 陸續推出 Human Factor 報告 Vol.1 與 Vol.2,分別聚焦社交工程(Social Engineering)及釣魚與惡意連結攻擊(Phishing & URL),提供威脅趨勢、風險評估與防禦策略的關鍵洞察,協助企業掌握完整攻擊態勢,強化資安防禦佈局。
資安團隊不必再追著告警跑!亞利安攜手 Orca Security,帶來修復導向的雲端安全革新
雲端資安的真正痛點,其實並非欠缺資料,而是缺乏具行動方案的洞察。企業資安團隊需要的,是一個能在成堆告警中提供正確指引的系統,Orca Security 提供的解決方案,正是為此應運而生的雲端原生應用程式防護平台(CNAPP),在台灣由亞利安科技代理銷售。Orca 不但是自動化的雲端資產分析工具,更是一個能在環境中釐清關聯、評估風險、提供修復建議的智慧助理,有助企業將資源聚焦在最急切的問題上,並從反應式防禦走向主動式治理。
企業列印控管軟體 PaperCut 的 CVE 漏洞已遭利用攻擊
美國資安基礎設施安全局(CISA)近期在 PaperCut NG/MF 企業列印管理軟體中發現了一個新的跨站請求偽造(CSRF) 漏洞,可讓駭客在特定條件下更改安全設定或執行任意程式碼,且目前已出現實際攻擊案例。