Information Security

AWS ซื้อกิจการ Wickr แพลตฟอร์มติดต่อสื่อสารแบบเข้ารหัส End-to-end

By arjin

on 26 June 2021 - 11:17 Tag: AWS, Acquisition, Amazon, Information Security

AWS

AWS ประกาศซื้อกิจการ Wickr แพลตฟอร์มติดต่อสื่อสารแบบเข้ารหัส end-to-end รองรับทั้งการส่งข้อความ สนทนาเสียง และวิดีโอคอล โดยมูลค่าของดีลไม่มีการเปิดเผย

Wickr เริ่มให้บริการตั้งแต่ปี 2012 เน้นขายกลุ่มลูกค้าองค์กร โดยมีกลุ่มลูกค้าทั้งบริษัทขนาดใหญ่ ไปจนถึงหน่วยงานของรัฐ

Stephen Schmidt รองประธานและหัวหน้าฝ่ายความปลอดภัยข้อมูลของ AWS บอกว่าความต้องการระบบการติดต่อสื่อสาร ที่เข้ารหัสความปลอดภัยมีเพิ่มมากขึ้น ส่วนหนึ่งจากการระบาดของโควิด-19 ที่ทำให้คนต้องทำงานจากที่บ้าน โซลูชันของ Wickr จึงตอบโจทย์สำหรับลูกค้าองค์กรและหน่วยงานรัฐ โดยจะนำมาเป็นส่วนหนึ่งในฟีเจอร์ของ AWS

อภิมหาดีลวงการความปลอดภัยข้อมูล Thales บริษัทอาวุธเข้าซื้อ Gemalto ผู้ผลิตสินค้าด้านความปลอดภัยข้อมูล

By lew

on 19 December 2017 - 13:52 Tag: Gemalto, Information Security, Security

Gemalto

Thales บริษัทด้านอากาศยานและอาวุธจากฝรั่งเศสเข้าซื้อ Gemalto บริษัทด้านความปลอดภัยข้อมูล ที่อาจจะเกี่ยวข้องกับคนทั่วไปบ้างคือเป็นผู้ผลิตซิมการ์ดให้กับผู้ให้บริการโทรศัพท์มือถือทั่วโลก

Thales เข้าซื้อหุ้นในราคา 51 ปอนด์ต่อหุ้น รวมมูลค่า 1.77 แสนล้านบาท สูงกว่าราคาตลาด 57%

สินค้าของ Gemalto ส่วนใหญ่เกี่ยวข้องกับกระบวนการเข้ารหัส เช่น ซิมการ์ด, ฮาร์ดแวร์ยืนยันตัวตนขั้นที่สอง, พาสปอร์ต, บริการเข้ารหัสข้อมูลในคลาวด์ ขณะที่บริษัทอาวุธอย่าง Thales ก็พยายามขยายตลาดมาด้านความปลอดภัยข้อมูล โดยลงทุนไปแล้วพันล้านยูโร

ปกป้องยิ่งกว่า Azure เพิ่มฟีเจอร์จำกัดสิทธิการเข้าถึงข้อมูล แม้ขณะกำลังประมวลผล

By mk

on 15 September 2017 - 10:53 Tag: Microsoft Azure, Intel, Enterprise, Cloud Computing, Security, Microsoft, Information Security

Microsoft Azure

ไมโครซอฟท์เปิดตัวฟีเจอร์ใหม่ของ Azure ชื่อว่า confidential computing สำหรับลูกค้าที่กังวลเรื่องปัญหาข้อมูลรั่วไหล

ปกติแล้ว Azure เข้ารหัสข้อมูลในฐานข้อมูล SQL Server ตลอดเวลา (Always Encrypted) อยู่แล้ว แต่ตอนที่นำข้อมูลออกมาประมวลผล ย่อมต้องถอดรหัสข้อมูลออกมาก่อนเสมอ เป็นช่องโหว่ที่อาจทำให้ลูกค้ากังวล

รัฐบาลสหรัฐเตรียมเลิกใช้ซอฟต์แวร์จาก Kaspersky เพราะกลัวข้อมูลหลุดไปรัสเซีย

By mk

on 14 September 2017 - 14:41 Tag: Kaspersky, DHS, USA, Russia, Information Security

Kaspersky

มีประเด็นมาสักพักใหญ่ๆ ระหว่างรัฐบาลสหรัฐกับซอฟต์แวร์ความปลอดภัย Kaspersky ล่าสุดรัฐบาลสหรัฐนำโดยกระทรวงความมั่นคงแห่งมาตุภูมิ (Department of Homeland Security - DHS) ก็ออกประกาศให้หน่วยงานของรัฐบาลกลางทั้งหมด ต้องรายงานการใช้งานซอฟต์แวร์ของ Kaspersky กลับมายัง DHS ภายใน 30 วัน

จากนั้น DHS จะวางแผนการเลิกใช้ Kaspersky ภายใน 60 วัน แล้วเริ่มดำเนินการเลิกใช้ Kaspersky ต่อไป

เหตุผลสำคัญคือรัฐบาลสหรัฐเกรงว่าจะมีข้อมูลสำคัญรั่วไหล เนื่องจาก Kaspersky ซึ่งเป็นบริษัทจากรัสเซีย มีความใกล้ชิดกับรัฐบาลและหน่วยข่าวกรองของรัสเซีย

NIST เปิดร่างมาตรฐานการยืนยันตัวตนดิจิตอล เตรียมยกเลิกการใช้ SMS

By lew

on 25 July 2016 - 09:56 Tag: NIST, Information Security, Security, SMS

NIST

NIST หน่วยงานออกมาตรฐานอุตสาหกรรมที่เป็นผู้ออกมาตรฐานการเข้ารหัสจำนวนมากในทุกวันนี้ เปิดรับฟังความเห็นร่างเอกสาร NIST SP 800-63B มาตรฐานการยืนยันตัวตนดิจิตอลเวอร์ชั่นใหม่ เพื่อรับฟังความเห็นจากสาธารณะ

เอกสารนี้กำหนดมาตรฐานกระบวนการยืนยันตัวตนให้ปลอดภัย ตั้งแต่กระบวนการเบื้องต้นเช่นการจำกัดจำนวนครั้งที่การยืนยันตัวตนล้มเหลว, การใช้งานการยืนยันตัวตนหลายขั้นตอน แต่ความเปลี่ยนแปลงที่สำคัญคือการเตรียมยกเลิกการยืนยันตัวตนด้วย SMS

การยืนยันตัวตนด้วย SMS ยังคงยอมรับได้ในร่างเอกสาร แต่ประกาศสถานะเป็น deprecated และจะไม่รวมอยู่ในเอกสารนี้เวอร์ชั่นต่อไป

FTC รายงานปิดคดีข้อมูลรั่วไหลได้ 70%, กำลังสำรวจแนวทางการรับรอง PCI-DSS

By lew

on 30 June 2016 - 20:26 Tag: Information Security, FTC, USA

Information Security

Maureen Ohlhausen หนึ่งในกรรมการการค้าสหรัฐฯ (Federal Trade Commission - FTC) ไปร่วมเวทีเสวนาของ The Heritage Foundation ถึงประเด็นความปลอดภัยของข้อมูลออนไลน์ ระบุว่าในกรณีที่ FTC เข้าไปสอบสวนคดีข้อมูลรั่วไหล จะสามารถปิดคดีได้ถึง 70% จนถึงตอนนี้สามารถตกลงการชดเชยในกรณีต่างๆ ได้ถึง 60 กรณีแล้ว

นอกจากการทำงานปิดคดีข้อมูลรั่วไหลแล้ว FTC ยังพยายามทำความเข้าใจกับกระบวนการออกใบรับรองมาตรฐานความปลอดภัย โดยเฉพาะมาตรฐาน PCI-DSS ที่ใช้ตรวจสอบหน่วยงานที่เก็บข้อมูลบัตรเครดิต

Shadow IT ปัญหาระบบไอทีลับในองค์กร จากกรณีอีเมลของ Hillary Clinton

By nrad6949

on 5 June 2016 - 14:10 Tag: Enterprise, Information Security, Special Report, Hillary Clinton

Enterprise

ในช่วงนี้ที่กระแสการเลือกตั้งประธานาธิบดีสหรัฐอเมริกากำลังมาแรง Hillary Clinton หนึ่งในผู้สมัครจากพรรคเดโมแครต กลับถูกโจมตีจากสาธารณะอย่างมาก โดยเฉพาะในประเด็นเรื่องของการตั้งและใช้อีเมลส่วนตัว เพื่อใช้ในการสื่อสารข้อมูลที่เป็นทางการ ขณะดำรงตำแหน่งเป็นรัฐมนตรีว่าการกระทรวงการต่างประเทศของสหรัฐฯ (ข่าวเก่า) ซึ่งผู้ตรวจการประจำกระทรวง ออกมาระบุแล้วว่าเป็นการละเมิดระเบียบของรัฐบาลกลาง

แม้จะเป็นประเด็นเรื่องการเมือง แต่การใช้อีเมลของ Clinton ในลักษณะนี้กลับสะท้อนถึงปัญหาการใช้ระบบหรือโครงสร้างไอที ซึ่งทำกันเองหรือองค์กรไม่ได้อนุญาต ที่เรียกว่า “Shadow IT” ซึ่งเป็นประเด็นใหญ่ของบทความชิ้นนี้ บทความชิ้นนี้พยายามจะนำเสนอถึงปัญหาของ “Shadow IT” ว่าเป็นอย่างไร มีผลกระทบอย่างไร และควรจัดการอย่างไรครับ

มาตรฐาน PA-DSS สำหรับผู้พัฒนาซอฟต์แวร์รับจ่ายเงินออกรุ่น 3.2 ปรับตาม PCI-DSS

By lew

on 30 May 2016 - 20:14 Tag: PCI-DSS, Security, Information Security

PCI-DSS

มาตรฐาน PCI-DSS ที่ระบุมาตรการความปลอดภัยของผู้ให้บริการรับจ่ายเงินออกรุ่น 3.2 มาตั้งแต่เดือนเมษายน ตอนนี้มาตรฐาน PA-DSS สำหรับผู้พัฒนาซอฟต์แวร์ (software vendor) ก็ถูกปรับขึ้นมาแล้วโดยปรับมาตรฐานหลายส่วนให้ตรงกับ PCI-DSS รุ่นล่าสุด

PCI DSS 3.2 มาแล้ว: แอดมินต้องใช้การล็อกอินสองขั้นตอนทุกกรณี

By lew

on 28 April 2016 - 15:27 Tag: Open Standard, Security, PCI-DSS, Information Security

Open Standard

มาตรฐานความปลอดภัย PCI DSS ออกเวอร์ชั่น 3.2 โดยความเปลี่ยนแปลงสำคัญคือการเพิ่มเงื่อนไขการล็อกอินด้วยการยืนยันตัวตนสองขั้นตอน

ก่อนหน้านี้เงื่อนไขการยืนยันตัวตนสองขั้นตอนจะจำเป็นต่อเมื่อผู้ดูแลระบบจะล็อกอินเข้าจากภายนอกที่อยู่นอกพื้นที่ที่เชื่อถือได้เท่านั้น แต่หลังจากนี้แม้จะเป็นการล็อกอินจากในเน็ตเวิร์คบริษัทก็ต้องเข้าเงื่อนไขเดียวกัน

สำหรับประเด็นการใช้งาน SSL และ TLS รุ่นเก่าที่มีช่องโหว่ยังคงให้เวลาไปอีกสองปีจนถึงกลางปี 2018 โดย PCI DSS มีส่วนที่ให้รายงานถึงกระบวนย้ายออกจากการเชื่อมต่อที่ไม่ปลอดภัยเช่นนี้ว่าก้าวหน้าไปเพียงใด

ไมโครซอฟท์ซื้อ Secure Islands บริษัทความปลอดภัยจากอิสราเอล

By mk

on 10 November 2015 - 09:38 Tag: Security, Information Security, Acquisition, Microsoft

Security

ไมโครซอฟท์เข้าซื้อบริษัทซอฟต์แวร์ความปลอดภัย Secure Islands จากอิสราเอล เจ้าของผลิตภัณฑ์ด้านความปลอดภัยข้อมูล (data security) ชื่อ IQProtector เพื่อนำมาใช้กับ Azure Rights Management Service บริการคลาวด์ของไมโครซอฟท์เอง

ไมโครซอฟท์ไม่ได้เปิดเผยมูลค่าการซื้อกิจการครั้งนี้ บอกแค่ว่า Secure Islands เป็นพาร์ทเนอร์ใกล้ชิดกับไมโครซอฟท์มานาน หลังการซื้อกิจการแล้ว Secure Islands จะยังขายผลิตภัณฑ์ของตัวเองและให้บริการลูกค้าเดิมต่อไป

แอพของ NHS ในอังกฤษ มีการส่งข้อมูลบางอย่างที่ไม่ได้เข้ารหัส, หน่วยงานเอาแอพออกจากระบบแล้ว

By nrad6949

on 28 September 2015 - 15:50 Tag: Privacy, UK, Medical, Information Security, NHS

Privacy

สำนักข่าว BBC ของอังกฤษ รายงานว่า นักวิจัยจาก Imperial College London ได้ตีพิมพ์รายงานวิจัยชิ้นหนึ่งที่พบว่าแอพของ NHS (National Health Service หรือ หน่วยงานบริการสาธารณสุขแห่งชาติของอังกฤษ) มีช่องโหว่ในกระบวนการส่งข้อมูลบางอย่างซึ่งไม่ได้เข้ารหัส และทำให้สามารถถูกขโมยข้อมูลได้

รัฐบาลอังกฤษออกคำแนะนำการใช้รหัสผ่านใหม่ "การบังคับผู้ใช้เปลี่ยนรหัสผ่านบ่อยๆ สร้างภาระโดยไม่จำเป็น"

By lew

on 11 September 2015 - 12:41 Tag: Security, United Kingdom, Information Security, Password

Security

องค์กรประกันคุณภาพข้อมูลแห่งชาติของอังกฤษ (National Technical Authority for Information Assurance - CESG) ออกคำแนะนำการใช้รหัสผ่านฉบับใหม่ ปรับปรุงแนวทางการใช้รหัสผ่านให้ปลอดภัย

คำแนะนำมีหลายข้อ แต่ข้อที่เป็นการเปลี่ยนแปลงหนักๆ คือข้อ 2 ที่ระบุว่าการบังคับเปลี่ยนรหัสผ่านเป็นรอบๆ 30 ถึง 90 วันนั้นเป็นการสร้างภาระให้ผู้ใช้โดยไม่จำเป็น หากรหัสผ่านหลุดไปจริงก็มักจะถูกใช้เจาะระบบในเวลาไม่นาน แนวทางที่ดีกว่าคือการตรวจสอบการใช้รหัสผ่านอย่างต่อเนื่อง แจ้งผู้ใช้เมื่อมีการใช้รหัสผ่านและเปิดช่องทางให้ผู้ใช้รายงานหากมีการใช้รหัสผ่านโดยไม่ได้รับอนุญาต

นักวิจัยความปลอดภัยชี้สมาร์ทโฟน HTC เก็บภาพลายนิ้วมือของผู้ใช้เอาไว้อย่างหละหลวมมาก

By ตะโร่งโต้ง

on 16 August 2015 - 03:03 Tag: HTC, Information Security, Fingerprint

HTC

นักวิจัยความปลอดภัยของ FireEye ค้นพบว่าสมาร์ทโฟนของ HTC หลายรุ่น เก็บข้อมูลภาพลายนิ้วมือของผู้ใช้แบบความละเอียดสูงเอาไว้ในตัวเครื่อง โดยมีการป้องกันข้อมูลภาพนั้นน้อยมากหรือไม่มีเลย

ตัวอย่างที่นักวิจัยหยิบยกมานำเสนอในเอกสารรายงานเรื่องนี้ คือการเก็บภาพลายนิ้วมือของผู้ใช้สมาร์ทโฟน HTC รุ่น One Max ซึ่งภาพลายนิ้วมือความละเอียดสูงถูกจัดเก็บในรูปไฟล์ Bitmap

PCI-DSS ออกรุ่น 3.1 ประกาศยกเลิก SSL และ TLS รุ่นเก่า

By lew

on 17 April 2015 - 18:37 Tag: Security, Information Security, PCI-DSS

Security

มาตรฐาน PCI-DSS 3.0 ออกมาเมื่อปลายปีที่แล้ว ตอนนี้ก็อัพเดตเป็นรุ่น 3.1 เพื่อรองรับช่องโหว่ที่รู้กันทั่วไป เช่น BEAST และ POODLE ส่งผลให้หน่วยงานที่ได้รับรอง PCI-DSS จะไม่สามารถใช้ SSL ทุกรุ่นและ TLS รุ่นแรกๆ ได้หลังจากวันที่ 30 พฤษภาคม 2016

งานวิจัยระบุ เวชระเบียนผู้ป่วยของผู้ป่วยกว่า 29 ล้านชุด ได้รับผลกระทบจากการรั่วไหลของข้อมูล

By nrad6949

on 15 April 2015 - 18:17 Tag: Privacy, Medical, Information Security

Privacy

วารสาร Journal of the American Medical Association (JAMA) ซึ่งเป็นวารสารทางการแพทย์ของสหรัฐอเมริกา ได้เผยแพร่งานวิจัยที่ระบุเกี่ยวกับความปลอดภัยและการจัดเก็บข้อมูลเวชระเบียนของผู้ป่วย โดยระบุว่าในช่วงปี 2010 ถึง 2013 มีข้อมูลเวชระเบียนจำนวนกว่า 29 ล้านชุด ได้รับผลกระทบจากการรั่วไหลของข้อมูล โดยกว่าร้อยละ 67 เป็นเวชระเบียนที่จัดเก็บอยู่ในรูปแบบอิเล็กทรอนิกส์ และมีแนวโน้มเพิ่มขึ้นด้วย

ทิม คุก "เราอยู่ในโลกที่ข้อมูลตัดสินความเป็นความตายของคนได้"

By lew

on 15 February 2015 - 16:00 Tag: Security, Privacy, Information Security, Tim Cook

Security

ทิม คุก ขึ้นพูดสุนทรพจน์ในงาน "White House Summit on Cybersecurity and Consumer Protection" (ที่ซีอีโอบริษัทอื่นหลายบริษัทไม่ยอมไป) สุนทรพจน์ของทิม คุก เน้นยำถึงความสำคัญของข้อมูลส่วนตัว

โอบามาประกาศคำสั่งปรับปรุงความมั่นคงไซเบอร์ สร้างโครงสร้างเตือนภัยการโจมตีไซเบอร์

By lew

on 15 February 2015 - 01:06 Tag: Security, USA, Barack Obama, Information Security

Security

โอบามาประกาศคำสั่งทางบริหาร (Executive Order) สั่งให้หน่วยงานรัฐบาลกลางสร้างศูนย์แลกเปลี่ยนข้อมูล (clearing house) แลกเปลี่ยนข้อมูลการโจมตีทางไซเบอร์ โดยเอกชนจะสามารถเข้าร่วมในศูนย์นี้ได้โดยสมัครใจ

เอกชนที่เข้าร่วมจะสามารถรับข้อมูลเตือนภัย หรือส่งข้อมูลเตือนภัยเข้ามาด้วยก็ได้ อย่างไรก็ดีเจ้าหน้าที่รัฐและเอกชนตามคำสั่งนี้ยังคงมีความรับผิดชอบต่อความเป็นส่วนตัวของผู้ใช้ที่ข้อมูลอาจจะถูกแชร์กันไปมาในศูนย์นี้

NIST ออกร่างการพัฒนามาตรฐานใหม่ จัดความสัมพันธ์กับ NSA, ระบุชื่อคนพัฒนามาตรฐาน

By lew

on 27 January 2015 - 07:55 Tag: Security, Open Standard, Information Security, NIST

Security

หลังการเปิดเผยเอกสารของ Edward Snowden ข้อมูลส่วนใหญ่จะเป็นข้อมูลของหน่วยงานข่าวกรองอย่าง NSA, GCHQ, และ DSD แต่อีกหน่วยงานที่ได้รับผลกระทบอย่างหนักคือ NIST ที่เป็นหน่วยงานมาตรฐานอุตสาหกรรม แต่มีงานสำคัญคือการออกมาตรฐานการเข้ารหัสสำหรับหน่วยงานรัฐ ซึ่งมักได้รับความไว้วางใจและนำมาตรฐานเดียวกันไปใช้งานในภาคเอกชนโดยทั่วไป แต่มาตรฐาน Dual_EC_DRBG กลับถูกผลักดันโดย NSA เป็นหลักแม้จะมีปัญหาทางเทคนิคหลายประการ เมื่อปีที่แล้ว NIST ร่างเอกสารแนวทางการออกมาตรฐานเสียใหม่เพื่อเรียกความเชื่อมั่นกลับมา และตอนนี้ร่างนี้ก็มาถึงร่างที่สอง

สัมภาษณ์ Omise บริษัท Payment Gateway ที่ได้รับรอง PCI-DSS 3.0 รายแรกในไทย

By lew

on 25 December 2014 - 15:24 Tag: Security, Interview, Information Security

Security

อุปสรรคใหญ่ในการทำการค้าออนไลน์ของเมืองไทยอย่างหนึ่งที่ทุกคนเจอกันคือการรับจ่ายเงินที่ยังทำได้ยาก การค้าออนไลน์จำนวนมากทุกวันนี้ยังอาศัยการโอนเงินแบบตัวต่อตัว ทำให้ไม่มีกระบวนการคืนเงิน เรายังคงได้ยินข่าวการหลอกลวงทั้งลูกค้าถูกพ่อค้าแม่ค้าหลอกลวง หรือฝั่งพ่อค้าแม่ค้าเองที่ถูกลูกค้าหลอกว่าโอนเงินแล้ว

มาตรฐานความปลอดภัยข้อมูลบัตรเครดิต PCI DSS 3.0 จะเริ่มใช้วันที่ 1 มกราคมนี้

By lew

on 17 December 2014 - 17:00 Tag: Security, Information Security, PCI-DSS

Security

มาตรฐานการดูแลข้อมูลการจ่ายเงิน PCI DSS (Payment Card Industry Data Security Standard) เป็นมาตรฐานการเก็บรักษาข้อมูลให้ปลอดภัยที่บริษัทบัตรเครดิตอย่าง Visa และ Mastercard บังคับใช้กับผู้ให้บริการและร้านค้าจำนวนมาก โดยปัจจุบันเราใช้งานเวอร์ชั่น 2.0 อยู่และตามรอบสามปีของมาตรฐานแต่ละรุ่น ปีใหม่นี้มาตรฐาน PCI DSS 3.0 (PDF) ก็จะเริ่มใช้งานแทนโดยมีการปรับเปลี่ยนหลายอย่าง