法規資訊 行動應用資安聯盟於113年1月30日公告「門禁系統資安標準V2.0暨測試規範V2.0」， 共12部，自公告日起適用，並於翌日起收件辦理。 資料來源：行動應用資安聯盟 【公告】「門禁系統資安標準V2.0暨測試規範V2.0」正式發佈 2024/01/31 「門禁系統第六部：人臉辨識系統」資安標準暨測試規範，已正式公告，歡迎下載相關文件，本標準/規範包含： 1.IoT-1006-6 v1.0-門禁系統資安標準-第六部_人臉辨識門禁裝置 2.IoT-2006-6 v1.0-門禁系統資安測試規範-第六部_人臉辨識門禁裝置。　　　　　　　　　　　　　 2023/02/07 茲因財團法人資訊工業策進會，增訂「門禁系統資安標準暨測試規範第六部-人臉辨識」，遂有修訂現行門禁系統資安標準暨測試規範。修訂版如下，歡迎有需要的先進下載卓參。　　　　　　 2022/09/02 01 門禁系統資安標準 v2.0 第一部：一般要求 IoT-1006-1 v2.0-門禁系統資安標準-第一部_一般要求 .pdf Download PDF • 1.17MB 第二部：門禁管理平台 IoT-1006-2 v2.0-門禁系統資安標準-第二部_門禁管理平台 .pdf Download PDF • 691KB 第三部：門禁閘道控制器 IoT-1006-3 v2.0-門禁系統資安標準-第三部_門禁閘道控制器 .pdf Download PDF • 631KB 第四部：門禁讀取器 IoT-1006-4 v2.0-門禁系統資安標準-第四部_門禁讀取器 .pdf Download PDF • 641KB 第五部：智慧門鎖 IoT-1006-5 v2.0-門禁系統資安標準-第五部_智慧門鎖 .pdf Download PDF • 622KB 第六部：人臉辨識門禁裝置 IoT-1006-6 v2.0-門禁系統資安標準-第六部_人臉辨識門禁裝置 .pdf Download PDF • 710KB 一次打包【門禁系統資安標準 v2.0】 門禁系統資安標準 v2.0 .zip Download ZIP • 3.84MB 02 門禁系統資安測試規範 v2.0 第一部：一般要求 IoT-2006-1 v2.0-門禁系統資安測試規範-第一部_一般要求 .pdf Download PDF • 1.93MB 第二部：門禁管理平台 IoT-2006-2 v2.0-門禁系統資安測試規範-第二部_門禁管理平台 .pdf Download PDF • 1.11MB 第三部：門禁閘道控制器 IoT-2006-3 v2.0-門禁系統資安測試規範-第三部_門禁閘道控制器 .pdf Download PDF • 856KB 第四部：門禁讀取器 IoT-2006-4 v2.0-門禁系統資安測試規範-第四部_門禁讀取器 .pdf Download PDF • 913KB 第五部：智慧門鎖 IoT-2006-5 v2.0-門禁系統資安測試規範-第五部_智慧門鎖 .pdf Download PDF • 844KB 第六部：人臉辨識門禁裝置 IoT-2006-6 v2.0-門禁系統資安測試規範-第六部_人臉辨識門禁裝置 .pdf Download PDF • 1.23MB 一次打包【門禁系統資安測試規範 v2.0】 門禁系統資安測試規範 v2.0 .zip Download ZIP • 5.25MB 03 門禁系統資安標準 v1.0 第一部：一般要求 IoT-1006-1 v1.0-門禁系統資安標準-第一部_一般要求 .pdf Download PDF • 1.18MB 第二部：門禁管理平台 IoT-1006-2 v1.0-門禁系統資安標準-第二部_門禁管理平台 .pdf Download PDF • 734KB 第三部：門禁閘道控制器 IoT-1006-3 v1.0-門禁系統資安標準-第三部_門禁閘道控制器 .pdf Download PDF • 665KB 第四部：門禁讀取器 IoT-1006-4 v1.0-門禁系統資安標準-第四部_門禁讀取器 .pdf Download PDF • 650KB 第五部：智慧門鎖 IoT-1006-5 v1.0-門禁系統資安標準-第五部_智慧門鎖 .pdf Download PDF • 630KB 第六部：人臉辨識門禁裝置 IoT-1006-6 v1.0-門禁系統資安標準-第六部_人臉辨識門禁裝置 .pdf Download PDF • 710KB 04 門禁系統資安測試規範 v1.0 第一部：一般要求 IoT-2006-1 v1.0-門禁系統資安測試規範-第一部_一般要求 .pdf Download PDF • 1.95MB 第二部：門禁管理平台 IoT-2006-2 v1.0-門禁系統資安測試規範-第二部_門禁管理平台 .pdf Download PDF • 1.22MB 第三部：門禁閘道控制器 IoT-2006-3 v1.0-門禁系統資安測試規範-第三部_門禁閘道控制器 .pdf Download PDF • 892KB 第四部：門禁讀取器 IoT-2006-4 v1.0-門禁系統資安測試規範-第四部_門禁讀取器 .pdf Download PDF • 936KB 第五部：智慧門鎖 IoT-2006-5 v1.0-門禁系統資安測試規範-第五部_智慧門鎖 .pdf Download PDF • 868KB 第六部：人臉辨識門禁裝置 IoT-2006-6 v1.0-門禁系統資安測試規範-第六部_人臉辨識門禁裝置 .pdf Download PDF • 1.17MB

會員權益 1.免費參與講座／說明會 邀請國內知名學者專家經驗與觀念分享；不定時廣邀會員夥伴舉辦產業新品分享說明會。 2.定期舉辦產業研討會 每季舉辦產業研討會與趨勢分享會，提供同業交流平台。 3.定期進行產業資訊與展訊分享 公會官網每月定期分享同業最新趨勢動態，並同步更新國內外展覽訊息。 4.共同制訂產業標準 整合業界意見向政府提出建言，共同制訂國內安防產品標準。 5.推動標案產品國產化 團結國內同業會員力量，落實安防工程採購國產化政策。 6.免費提供會員專屬連結 於公會會員專區提供會員公司標誌與網站連結，透過安防媒體宣傳與網路口碑擴散， 達到形象加乘效益。 7.安防產業陣線聯盟，建構台灣最強團隊 建立國內跨域合作生態，從用戶需求找核心價值，朝著市場共享、健全產業鏈的目標前進。 8.定期舉辦餐敘活動 定期邀請會員夥伴共同餐敘，進而聯絡感情、交流商機。 9.組建公會球隊，促進同業交誼 組建球隊並舉辦例行交誼活動，攏絡會員間之情誼並達到身心健康之目的。 10.組隊參與海外展覽、考察、拓銷 協助會員爭取海外推廣補助，以台灣安防產品作為推廣標的，提升台製產品世界商機， 強化廠商出口競爭力。

AI科技應用讓「雲端火警系統」體現安全新價值 2024-09-16 全球安防科技網 新聞來源： https://www.asmag.com.tw/article_detail.aspx?aid=13020 根據內政部消防署統計資料顯示，火災起火原因前3名分別為：電器因素、遺留火種、爐火烹調，這三項原因皆與人為因素有關，因此如何提升設備防減災的性能，是相當關鍵的課題。 台灣的建築物在一定樓高、面積下法規規範必須要安裝火警受信總機，而一般火警受信總機只能於該案場的設備上查看火警相關訊息，若管理人員不在火警受信總機旁，即無法第一時間得知火警警報訊息，更無法知道起火點位置、平面圖等相關訊息。礙於以上的狀況，若真的發生火災，相關人員很難在黃金3分鐘內完成初期滅火，終釀成不可挽回的災損。另外，當火警探測器偵測到火災發報時，通常室內溫度已經相當高（約攝氏70℃），火場內的人員能逃生成功實屬不易，因此火警受信總機內應提供預先警告的功能，意即當火警探測器偵測到環境溫度異常時，就提前發出警告，讓管理人員可以先行查看異常原因，避免火災真正發生。而當消防人員到達火場時，若還需要費時查找起火點、平面圖等資訊，也會耗費救援時間及增加消防人員生命安全風險。 初期滅火時間比較圖 雲端火警系統讓防火更智慧 因應AI雲端科技蓬勃發展，我們將火警受信總機資訊上傳雲端平台，管理人員或是任何使用者皆可透過3C裝置內的APP，第一時間獲得火警訊息、起火點位置、建築物平面圖、探測器即時煙溫數值等重要資訊，無論管理人員在哪裡，都可以馬上「同步」獲得相關資訊。相關人員第一時間可以直接趕赴起火位置，進行初期滅火動作，省去來回折返到中控室查看火警受信總機、相關人員互相聯絡時間、查找起火點等時間，有效爭取黃金滅火3分鐘；而同樣的資訊提供給消防人員，亦可提升滅火效率及降低救火人員之生命安全風險。 另外，雲端火警系統也導入了預警的功能，使用者可以自行設定預先警告的溫度，當案場溫度到達預先警告溫度時，手機亦可收到異常通知，讓管理人員提前查找溫度異常的原因進行初期滅火，避免釀成火災，而非像傳統設備必須達到法定警報溫度才發出火警通報，大幅降低致災風險。 雲端火警系統架構圖 （註：現場需具備RJ-45接頭的有線網路環境） 與各類火警系統比較，結合APP的雲端火警系統具有：(1)APP即時通報消防資訊，亦可結合LINE通知；(2)預警通報；(3)支援平面圖及探測器煙溫數值；(4)支援案場分享鏈接；(5)案場歷史記錄查詢；(6)支援遠端操作；(7)可在有網路的環境透過瀏覽器網頁平台登入案場管理；(8)可透過使用者帳戶自訂和管理，同時監視多個維護案場；(9)可顯示各樓層平面圖及中繼器、火警定址探測器位置資料；(10)可明確顯示設備與各迴路處所相關位址等特點。 科技帶來防災新應用 目前消防署並無對此類火警雲端APP設置驗證之機制，建議大家可以向國內業界可靠之火警設備廠商諮詢相關產品，若廠商有自主向相關驗證單位提出APP資安認證等報告，亦為加分選項。國人防火意識逐漸提高，雲端火警系統不僅符合消防法規要求，更是優於消防法規，希望藉由雲端火警APP新產品的推出，若不幸發生火災時，相關人員皆可第一時間「同步」於手機上查找起火點位置、平面圖等重要資訊，對於逃生及搶救人員都相當有幫助；另外結合預警的功能，可使整體火警設備發揮更好的價值，更有機會可以讓火災不會發生。火災並不可怕，可怕的是不知道火在哪裡。 傳統消防與科技消防比較圖 < Previous News Next News >

平價智慧門鈴有破綻　韌體分析揭露物聯網安全隱憂 2024-06-24 新通訊 新聞來源： https://www.2cm.com.tw/2cm/zh-tw/headline/A19C4937D7A94648AF72468A9B49BAD6#google_vignette 智慧家庭應用在帶來便利的同時，聯網裝置本身的安全性也是一大隱憂。本文將檢視市面上平價智慧門鈴的安全問題，並說明韌體分析如何協助業者找出可能遭受攻擊的安全漏洞及弱點。 近期，一篇Consumer Reports上的文章[1]檢視了幾款安全性不佳、售價較低的影像智慧門鈴(Video Doorbell)。這些不同品牌的門鈴，其實都是使用Eken和Tuck兩家公司生產的電路板，只是經過重新包裝再銷售出去。文中還提到，未經授權的人員可輕易對已安裝好的門鈴進行重新配對，並且只需要輸入門鈴的序號，便可查看攝影機的螢幕截圖。 讀完文章後，筆者好奇該產品是否仍有其他還沒被發現的安全漏洞，於是決定自掏腰包買幾個這樣的門鈴來進行測試。本文說明拆解此類智慧門鈴所發現的問題，並透過是德科技(Keysight)為物聯網安全評估套件新加入的韌體分析功能，找出裝置可能遭受攻擊的安全漏洞。 初步調查 筆者在Amazon買了兩個CR文章介紹的同款Aiwit智慧門鈴，其中一個用來測試其正常運作狀態，另一個用來拆解研究。在測試新設備時，首先依照官方預設的步驟進行安裝，以便評估其攻擊面。 將第一個門鈴與Wi-Fi存取點(AP)配對後，實際驗證了CR文章提到的問題：只需要按住門鈴按鈕約八秒鐘，未經授權的人員確實可以將攝影機重新設成配對模式，接著就可以將門鈴連接到其他帳號。 確認這項漏洞後，再來快速掃描了TCP埠，但除了發現telnet埠正在監聽外，並未看到其他問題。於是，筆者試著連接到telnet埠，看看能否以root使用者身分登入，但是其設有密碼保護，而且無法用常見的預設密碼登入。初步調查完畢，接下來將拆開備用的第二個門鈴分析裡面的構造。 逐步拆解：由外到內的分析 拆開門鈴外殼後，筆者注意到的第一件事是，雖然產品使用兩顆3.7V可充電電池，但兩顆電池是並聯的，也就是說，只需要其中一顆電池即可讓門鈴運作。假如只使用一顆電池，那麼門鈴的電量就只能充到約54%，不過還是可以正常運作。 繼續進行拆解，打開內蓋，檢查裡面的電路板。裡面有兩片電路板，透過16針腳連接在一起。較小的電路板主要由一些LED、門鈴按鈕、一根天線和一個喇叭所組成；較大的電路板則包含兩個關鍵元件：主CPU(圖1紅色框線)和快閃記憶體晶片(圖1黃色框線)。 圖1　Aiwit門鈴的主機板，配有CPU(紅色框線)和快閃記憶體(黃色框線) 該產品的CPU是全志科技(Allwinner)的V837S，其為中國一家採用Arm架構的SoC晶片製造商，專門生產Android平板電腦、車載媒體系統和攝影機等產品。雖說找不到CPU的產品規格書有點可惜，但影響不大，筆者最感興趣的是快閃記憶體。此門鈴採用武汉新芯(XMC)的XM25QH128C 16MB串列快閃記憶體，推測設備韌體應該都儲存在該記憶體中。 根據該快閃記憶體的產品規格書，其採用SOP-8封裝和SPI通訊，非常適合用來萃取資料，使用者可完全跳過將晶片從電路板上拆下，然後放入專用外部讀取器的麻煩過程。如果要透過SPI與晶片進行通訊，至少需要五個針腳：資料輸入(Data In)、資料輸出(Data Out)、時脈(Clock)、晶片選擇(Chip Select)和接地(Ground)。如果要為晶片供電，還需要供電的第六個針腳。根據產品規格書，這些針腳分別是5、2、6、1、4，以及供電用的8(圖2)。 圖2　XMC XM25QH128C產品規格書的針腳排列圖示 只需要一片可透過USB與SPI裝置(例如Tigard或Buspirate)進行通訊的簡易I/O板，便可連接到這些針腳，接著導出晶片內的所有內容以進行分析。在未啟用寫入保護針腳(針腳3)的狀況下，甚至可覆寫晶片內容，或進行任何韌體修改。之所以未啟用針腳3，是因為裝置也使用此晶片來儲存配置資料。所有導出的晶片內容，最後會轉存成一個16MB檔案，裡面全是二進位資料和字串。 物聯網安全評估一探究竟 採用相關分析工具將可從導出的檔案中找出潛在的安全問題，例如是德科技於RSA 2024大會所發表，新加入物聯網安全評估套件(IoT Security Assessment)的「韌體分析」新功能(圖3)，便可透過前面導出的晶片內容，檢查智慧門鈴的安全性。 圖3　新韌體分析功能的截圖 將導出的檔案上傳到韌體分析工作區後，筆者發現該裝置很容易遭受多個已知嚴重CVE漏洞和常見配置弱點的攻擊，其中最顯著的弱點是，韌體中儲存了root使用者的預設密碼雜湊值(Hash)。 奇怪的是，它實際上使用了兩組不同的雜湊值，一個存在/etc/shadow檔，另一個存在/etc/passwd檔，並且雖然它們都是為root使用者配置的，但卻是兩組不同的密碼。就跟Eken並聯運作的電池一樣，筆者猜測其實只需要一組密碼。在使用IoT Security Assessment套件的韌體分析功能來萃取並下載這兩個密碼檔後，透過密碼破解工具程式來分析這些檔案，成功破解了密碼。不出所料，/etc/passwd檔案中的才是正確的密碼(圖4)。 圖4　透過telnet埠成功以root身分登入 值得注意的是，只要這款門鈴事先通過新的網路安全認證標章(Cyber Trust Mark)計畫[2](一項由FCC管理，基於NIST IR 8425準則[3]的自願性消費者物聯網網路安全標準)，上述這些問題，例如寫死的預設密碼、不必要的開放埠、未加密的資料儲存等，大部分問題都可檢測出來並提前解決。 藉由從晶片中擷取內容、將資料轉存成可讀的檔案，接著找出可被利用來攻擊裝置的安全漏洞，一系列安全評估動作將有助於確保物聯網安全，開發出能夠讓消費者安心使用的產品。 (本文作者為是德科技首席安全研究員) 參考資料 [1] https://www.consumerreports.org/home-garden/home-security-cameras/video-doorbells-sold-by-major-retailers-have-security-flaws-a2579288796/ [2] https://www.keysight.com/us/en/cmp/2023/cyber-trust-mark-event.html [3] https://csrc.nist.gov/pubs/ir/8425/final < Previous News Next News >

台灣智慧安防工業同業公會 公會講座活動花絮 請點選相簿放大觀看 S__59613410 S__59613409 69764 S__59613410 1/12 DSC_3429 HS (112) 20201020_201020_6 DSC_3429 1/46 2020/12/18 邊緣 AI 運算於行動影像之應用 & 資安議題下的後海思時代、區塊鏈下談安防產業上鏈 講座 IMG_9185 IMG_9188 IMG_9181 IMG_9185 1/7 110.3.26 S__14557246 S__14557251 110.3.26 1/6 2021/03/26 AIoT安防新視界 講座 2021/06/23 智慧安防AI技術落地應用 線上研討交流會 S__59613410 S__59613409 20200807-第一次 S__59613410 1/14 2020 0814 人工智慧與深度學習於視訊監控之十八項武藝講座 HS (112) HS (111) 20201020_201020_6 HS (112) 1/46 2020 1016 公會辦公室啟用酒會 擷取 IMG_9188 IMG_9185 擷取 1/8 2020 1023 崛起於危機之中-談企業情境規劃講座 2021/07/22 線上第一屆第一次安控設備 資安技術暨介接標準委員會 2021/07/29 SECPAAS資安服務模式 與企業資安評級介紹 2021/08/11 門禁系統廠商意見徵詢 線上會議 2021/08/12 SECPAAS資安工具服務 線上體驗活動 2021/08/20 第一次門禁系統資安標準 制定草案小組 2021/09/03 第二次線上門禁系統資安 標準制定草案小組 2021/09/16線上 安防AI技術 與解決方案實務應用交流會 2021/09/23 第一次門禁系統資安標準 制定專家審查會議 2021/09/24 興創知能產業AI落地實證 與擴散會議 2021/10/04 昇銳電子產業AI 落地實證與擴散會議 2021/10/20 第二次門禁系統資安標準 制定專家審查會議 2021.1223安防產業趨勢發展研討會 謝君偉-人工智慧新發展應用於安防之未來 趙緝熙-建構資安的個資問題探討 2021.1223安防產業趨勢發展研討會 1/11 2021/12/23 安防產業趨勢發展研討會 1/10 2022/06/10 門禁系統資安標準認證-輔導 講座【第一部：一般要求】 S__59613410 S__59613409 20200807-第一次 S__59613410 1/14 2020 0814 Add a Title Describe your image Add a Title Describe your image Add a Title Describe your image Add a Title Describe your image 1/4 魔幻沙漠 摩洛哥 4/11-5/12 $600 魔幻沙漠 摩洛哥 4/11-5/12 $600 魔幻沙漠 摩洛哥 4/11-5/12 $600 魔幻沙漠 摩洛哥 4/11-5/12 $600 魔幻沙漠 摩洛哥 4/11-5/12 $600 魔幻沙漠 摩洛哥 4/11-5/12 $600 魔幻沙漠 摩洛哥 4/11-5/12 $600 魔幻沙漠 摩洛哥 4/11-5/12 $600 魔幻沙漠 摩洛哥 4/11-5/12 $600 魔幻沙漠 摩洛哥 4/11-5/12 $600 魔幻沙漠 摩洛哥 4/11-5/12 $600 魔幻沙漠 摩洛哥 4/11-5/12 $600

AI驅動製造業商業模式加速轉型 2024-09-03 FIND 新聞來源： https://www.find.org.tw/index/indus_trend/browse/858b60f4601d417242f60b9731e84cbb/ 自Open AI於2022年推出Chat GPT，大型語言模型（LLM）對於輸入指令的理解分析能力及生成內容及答覆水準令人驚豔，各行各業開始廣泛地將生成式AI應用至產業當中。 隨著AI議題討論熱度達新高峰，產業AI化的議題也帶動企業思考能如何利用AI改善製造業內部流程，以利提升產品或服務的品質，同時降低管理、人事及生產成本等，維持及提升產業競爭力，進而成為升級及轉型的契機。 生成式AI席捲全球製造業 可用來創造文字與圖像的「生成式人工智慧（Generative artificial intelligence, GAI）」浪潮，已影響全球製造業，目前生成式AI已廣泛應用至各行各業像是文件撰寫、總結摘要與設計提案等。隨著AI技術整合到供應鏈網路，將徹底改變產品從工廠生產到送達消費者手上的每一個環節。因此《富比士》與國際調研機構Gartner都將生成式AI列為2024年增加供應鏈韌性、引領供應鏈創新的重要新科技，根據Gartner調查顯示，僅僅2%的企業領袖沒有計畫使用生成式AI。 全球市場正面臨勞動力短缺、產業數位轉型等因素，製造業對生成式AI的期待正迅速成長。根據MIC針對台灣製造業生成式AI發展現況調查顯示，2024年「有意願投入生成式AI」（Intention）加上「已規劃」（Planning）及「已導入（Adotion）」達22%的比例；其中，「軟體開發」與「IT系統」為業者優先投資應用的業務領域。 圖一：台灣製造業生成式AI導入現況 資料來源：MIC，資策會數轉院數位服務創新中心團隊整理 製造業AI八大應用驅動生產再進化 製程優化 ： AI演算法可藉由分析各種數據資料來優化製程，提升生產效率。例如，在製程開始前，AI可模擬並分析大量的歷史數據，提升設備性能與精度、維持產品的良率穩定度，以提高產品品質。 設備稼動： 工廠在生產過程中的停機會對成本影響十分劇烈，透過機台數據即時搜集，將數據傳至雲端後可以進行AI分析。幫助製造商預先了解機台狀況，以方便安排何時需要更換零件、檢修，或是會出現故障的機率，以提升設備使用率、降低廠房管理成本及提升產能等。 勞動生產 ： 當電腦視覺與機器學習技術開始被大量部署到產線上時，在工業與製造業場景上的人機協作與全自動化將會越來越普及。不論是組裝、搬運等不同任務，機器人都能取代重複性高的工作。 供需預測 ： 供應鏈的快速變動提升企業營運不確定性，對於原物料時程與價格的預測需求開始顯現。透過歷史資料分析並建立AI模型，藉此對可能的結果提出預測，可幫助企業做出需求導向的正確決策。 庫存管理 ： 當製造業要處理大量SKU、多種物料與外部物流等複雜環節時，不應該再用Excel報表作為管理工具。AI可即時處理多種複雜變因，強化工廠營運效率。 品質管理 ： 從最初期的AOI光學檢測，到AI強化的AOI，確保產品品質，提生產線良率的AI應用已變成許多工廠的標準配備。此外，機器視覺檢測還可以協助製造現場的工安管理，在人、機、物料進入到危險區域時可以自動偵測發出警示。 產品上市 ： 透過AI演算法找出最佳化的產品設計模型，利用機器學習演算法來協助工程師模擬產品設計；並結合數位孿生，製造業可以透過數據模擬出產品從出貨、生產、物流到售後的客戶需求預測等各種不同面向的應用。 售後服務 ： AI可以提供整體的資訊流透明化，進而從中找到優化成本方法。以物流運輸為例，利用AI計算貨櫃裝貨與物流路線，能讓整體物流到貨準時且耗費燃料成本大幅降低。 圖二：智慧化價值驅動的八大AI應用 資料來源：McKinsey，資策會數轉院數位服務創新中心團隊整理 結論 目前，生成式AI已經運用在尋找供應商、合約法規、生產模型設計、成本計算、優化庫存分配等領域。例如，國際物流公司Maersk和零售巨頭Walmart都使用AI聊天機器人的軟體來自動議價及合約管理；國際FMCG公司巨擘聯合利華，透過AI搜集網站數據自動為客戶評分，生成潛在新供應商列表，避免供應鏈斷鏈。 在智慧製造與數位轉型的浪潮下，期望透過AI帶動商業模式的轉型是許多台廠的策略目標，AI的垂直應用讓產線、營運細節更加透明化，有助於扭轉當前的產業競爭以及供應鏈危機。製造業的營運模式多為B2B，但是在彈性製造、快速小量生產的彈性需求下，必須開始思考終端市場與消費者的需求才能夠敏捷因應，並且提前部署原物料與產線動能。 製造業的智慧化與數位化，不僅只是購買機器設備或是採購雲端解決方案，更是一種思維與體質上的全面轉型；黑天鵝群飛時代，從疫情、供應鏈重組、通膨與地緣政治等不同因素影響，皆考驗著台灣製造業者的營運智慧與數位韌性，擁抱AI迎向全新商業模式帶動整體供應鏈轉型。 封面圖片來源：Unsplash 資料來源：資策會數轉院數位服務創新中心團隊整理 < Previous News Next News >

Google Cloud 預測 2025 年前 90%安全措施將採自動化作業 2023-02-02 資安人 新聞來源： https://www.informationsecurity.com.tw/article/article_detail.aspx?aid=10313&mod=1 Google Cloud 預期，未來兩到三年間將出現更多突破性革新，這些改變的推力來自包容神經多樣性的設計、開放原始碼管理，以及有助實現「週休三日」的 AI 擴展趨勢。 過去三年來，企業試圖解決前所未有的挑戰，因此加快了數位轉型的腳步。 Google Cloud 預測 2023 至 2025 年十大雲端應用開發趨勢，其中與「資安」相關者： 將有過半企業的應用程式是由非 IT 開發人員打造 隨著技術民主化的發展，讓「低程式碼」或是「無程式碼」技術被更多企業所熟識，預期未來將有越來越多的開發工作是由非 IT 部門的團隊或人員負責。根據市調機構 Gartner 指出，至 2025 年，由企業所開發的新興應用程式當中，將會有高達 70% 是採用「低程式碼」或者是「無程式碼」技術所打造。遠高於 2020 年，僅有近 25% 應用程式採用該技術所開發。 這代表非 IT 技術背景的人員也可以建立符合需求的企業級應用程式，並不必具備程式設計能力，就能自行打造應用程式和自動化工作流程。 開發人員仍須打造這些無需程式碼的工具，並提供防護機制保護企業安全， 但企業使用者可在沒有開發人員的協助下完成更多事情。這一轉變讓企業的營運不再僅仰賴於特定 IT 專業人員，也讓不同層級的人員都有參與開發的機會。 透過開放原始碼管理提高可靠度 開放原始碼具備的速度、靈活性，以及可擴充性，讓開發人員高度仰賴開放原始碼的使用。根據市調機構 Gartner 的軟體結構分析市場指南（Market Guide for Software Composition Analysis）指出，幾乎所有企業都會用到開放原始碼軟體，但這也成為企業受到駭客攻擊的痛點之一。 這讓企業開始重視開放原始碼管理的重要性，除了可以維持原始碼的公開性質外，更能提升軟體可靠度。此外，開放原始碼的「管理者」不僅能找出安全漏洞，並會協助修正。管理者會更新舊版依附元件，並追蹤新版依附元件。就開放原始碼管理而言，依附元件會內建自動測試機制，且可能會提供回應型服務水準協議。這點在現今特別重要，因為目前有許多仰賴開放原始碼運作的數位基礎架構，而這些原始碼是由社群以「保持原樣」的方式維護。 這種情況會因開放原始碼管理的普及而改變，例如 Google Cloud Software Delivery Shield 便是管理開放原始碼的工具。 這套全代管安全解決方案可從採用原始碼到部署期間，全程保護企業軟體供應鏈。 Google 會掃描、分析及模糊測試超過 250 個 Java 和 Python 套件，替企業找出安全漏洞並視需要更新。由於開放原始碼管理可大幅提升安全性，Google Cloud 預期在 2025 年前，所有企業開發人員都會採用這套做法。 防護措施將走向自動化，並以程式碼的形式管理 層出不窮的網路攻擊，讓現今的安全營運團隊難以阻絕危害。根據全球資訊安全業者 Mandiant 調查，亞太區涉及勒索軟體的侵入行為，從 2020 年的 12.5％ 增加到 2021 年的 38％，顯示亞太區企業面臨越來越頻繁的網路資安威脅。 為了在雲端環境中大規模實施防護措施，Google Cloud 運用程式碼提升安全機制的敏捷性和應用規模。過程中將採用 API 優先的做法、Chronicle 和其他工具，包括 Google Cloud 最新的 Mandiant 網路安全產品組合。保密資訊的存取規則可依管理員活動記錄等資料自動建立，因此不必手動設定並複製到不同的環境中。 同樣地，使用者也可以建立應對手冊，以自動化擷取、分析與回應等工作流程，讓安全性分析師能以更接近開發人員的方式工作，省下時間以專注處理企業面臨的重大威脅。 預計 2025 年前，有 90% 的安全措施將採用自動化作業，並以程式碼的形式管理。 < Previous News Next News >

旅館房卡系統有漏洞，駭客可自製萬能房卡 2024-03-25 iThome 新聞來源： https://www.ithome.com.tw/news/161930 Dormakaba超過300萬個RFID電子鎖含有安全漏洞，允許駭客利用一對偽造的鑰匙卡解鎖單一飯店所有房間，即使修補工作從去年11月開始進行，但涉及複雜的軟硬體更新，截至今年3月只完成36%進度。 資安研究人員近日揭露，知名安全業者dormakaba所推出的RFID電子鎖Saflok含有一系列的安全漏洞，允許駭客利用一對偽造的鑰匙卡解鎖單一飯店的所有房間，並將相關漏洞命名為Unsaflok。此一型號的電子鎖經常被應用在飯店與住宅大樓中，估計有超過300萬個散布在131個國家的電子鎖受到影響。 dormakaba在1862年創立於瑞士，為當地知名且歷史悠久的安全業者，最初只是一家鎖匠與收銀機工廠，現階段所提供的產品已涵蓋實體門的五金、電子存取、入口系統、機械鑰匙系統、保險箱鎖，以及鑰匙系統等。 Unsaflok漏洞影響Saflok系統的電子鎖產品，包括Saflok MT、Quantum系列、RT系列、Saffire系列和Confidant系列等，涉及System 6000、Ambiance與Community等管理軟體，研究人員是在2022年發現相關漏洞，同年9月通知dormakaba，雖然dormakaba已開發並公布緩解措施，並自去年11月開始升級或更新飯店所使用的系統，不過截至今年3月，受到影響的門鎖中，只有36%已更新或更換。 根據dormakaba的說法，相關漏洞與用來產生MIFARE Classic金鑰的金鑰衍生演算法，以及用來保護底層卡片資料的第二次層加密演算法有關。 而研究人員則說，駭客只要從一個系統（一家飯店）中讀取一張鑰匙卡，即可對該系統的任何門展開攻擊，不管是駭客自己房間的鑰匙卡，或者是從快速結帳的鑰匙卡箱中所取得的鑰匙都可以。繼之駭客即可透過任何MIFARE Classic卡及任何可將資料寫入這些卡的工具來建立偽造的鑰匙卡，再利用這對偽造的鑰匙卡打開同一系統上的任何門。可用來的工具包括Proxmark3、Flipper Zero，或是支援NFC的Android手機。 更新之所以進度緩慢的主要原因為所有的鎖都必須更新軟體或直接更換，而且所有的鑰匙卡都必須重新發行，前臺軟體及卡片編碼器也必須升級，而且也可能需要升級與第三方設備的整合，如電梯、停車場或支付系統等。 儘管迄今並未收到任何攻擊報告，但研究人員指出，dormakaba於1988年便開始銷售Saflok，意味著此一系列含有安全漏洞的電子鎖已被使用超過36年，有人知道並濫用它並不是不可能的事。 < Previous News Next News >

生成式AI崛起，是強化資安的大好機會 2023-12-29 iThome 新聞來源： https://www.ithome.com.tw/news/160608 這些年網路威脅加劇，資安人力卻總是補不滿，如何翻轉攻防不對稱的局勢是資安發展重心，而AI應用正是大家期待已久的技術。 回顧2023年生成式AI應用成形與爆發，資安界憂心攻擊者的技術門檻大幅降低，能發動更大規模且複雜的攻擊。但水能覆舟，亦能載舟，生成式AI同樣有助於資安，催生出新的防護作法。 儘管通用生成式AI問題持續受探討，AI監理規範也正持續發展，像是建立AI風險驗測方法，評估AI生命週期的資訊與資料安全需求，以及2023年下半的種種指引與立法，雖然確保生成式AI安全很重要，不過，鎖定領域專屬的局部應用，已是重要發展方向。 基本上，資安業者採用AI/ML提升本身產品與服務的能力，並非新鮮事，甚至不少廠商強調，資安解決方案要以AI為中樞，在GPT-4、PaLM 2、Llama 2等多個大型語言模型（LLM）引領之下，不僅帶動生成式AI興起，也再次掀起AI資安浪潮。 因此，這一年來生成式AI的應用，不僅微軟與Google一舉一動受熱烈關注，許多資安大廠態度也很積極，令人驚喜的是，臺灣多家資安業者也不落人後。 在2024年可以預見的是，對資安領域而言，生成式AI可望帶來完全不同的新面貌，也有資安專家盼望這能成為資安人員的救星，幫助縮短攻防不對稱的嚴峻態勢。 因此不論企業規模大小，勢必都要了解當前的生成式AI發展概況，才能更好設想未來如何提升資安防護。 微軟敲響AI資安助手第一鐘，大量推出的新應用都與生成式AI有關 早在2014年，我們就看到美國一家名為Tanium的新創公司，發展資安軟體結合自然語言，使用者透過口語化文字輸入提問，就能盤查企業電腦網路。到了2016年，對話機器人（Chatbot）開始步入主流，但當時仍處於自然語言理解階段，還需改進對話管理與自然語言生成；在2018年，GPT-1誕生，促成新一波AI應用。 到了2023年，基於LLM的生成式AI技術不僅爆紅，其資安領域上的應用潛力，也有目共睹。 首先， 3月29日微軟發表整合GPT-4大型語言模型的Security Copilot ，目標是協助資安人員工作，相隔一個月之後，Google發布整合自家Sec-PaLM大型語言模型的Security AI Workbench平臺。 這些產品新功能的預告，意味著新時代來臨──將生成式AI技術整合至各種資安產品和服務。 接下來幾個月，這兩家大廠宣布將生成式AI的技術，擴大至眾多產品線。以雲端服務為例，像是Microsoft 365 Copilot、Duet AI for Google Workspace等，而這些輔助生產力工具的AI助理，吸引許多用戶目光。在端點裝置，例如個人電腦與手機，微軟針對Windows系統，預計提供Copilot in Windows輔助功能，最新Google Pixel手機的相片魔術橡皮擦、提高解析度功能，背後也是導入了生成式AI。 更重要的是，還有各式資安產品，也都將擁抱這股新浪潮，包括微軟的Microsoft Defender XDR、Sentinel、Intune，以及Google的Chronicle等。 資安結合生成式AI，微軟帶頭掀起風潮微軟2023年3月29日預告，將推出全新Security Copilot，掀起資安領域結合生成式AI的旋風，他們指出該應用將成為資安人員的AI助手，後續並公布Security Copilot的運作架構，說明資安人只要送出指示（prompt）、接收答覆，背後運作全由這個AI助手負責，而且，旗下多項資安產品都將支援Security Copilot。 圖片來源／微軟 微軟將生成式AI整合至旗下資安產品根據微軟Microsoft Defender XDR初步試用計畫資料，可看出Security Copilot嵌在網頁介面右側，幫助快速總結事件，分析腳本與程式碼，提供建議行動，以及撰寫報告。 圖片來源／微軟 微軟、Google兩家雲端巨擘率先引領風潮 究竟生成式AI的出現，會讓各類資安產品帶來哪些改變？ 以微軟為例，在2023年11月公布的Microsoft Defender XDR預覽版當中，企業將可藉助嵌入的Security Copilot功能，達到多項應用效益，例如：不需撰寫複雜的查詢指令，可節省時間並減少發生錯誤的機率，可幫助快速摘要事件、分析腳本與程式碼，能提供引導式回應機制，幫助操作人員對事件採取動作，同時，還能用自然語言產生Kusto查詢語言（KQL），以及能夠讓撰寫事件報告變得更有效率。 而且，幾日後微軟表示，將Microsoft Defender XDR/Sentinel，以及Security Copilot，整合至同一管理平臺。 Google在12月也宣布Duet AI in Security Operations正式上線，這是適用於資安維運的生成式AI助理，供所有Chronicle用戶使用，可簡化威脅偵測並給予回應，協助歸納與分類威脅資訊，將自然語言輸入轉換為查詢指令並執行複雜分析，提供案例資料與警報的自動摘要，以及提供後續步驟建議，以改善事件回應時間等。 同時Google還預告，未來幾週，所有的Duet AI服務，都將包含新的多模態模型Gemini，這也顯示出，近年生成式AI能力，其實是會快速地提升與進步。 多家資安業者同樣擁抱生成式AI，臺廠也趕上這股熱潮 不只是微軟與Google，事實上，短短幾個月之內，有多家資安廠商紛紛跟上這股風潮，顯然都是看重生成式AI在資安應用的潛力與優勢。 如微軟一發表Security Copilot之後，網路威脅情報業者Recorded Future的動作很迅速，在2023年4月11日宣布，在自家威脅情資（CTI）平臺整合OpenAI GPT，強調可幫助企業整理龐大資料，並緩解網路安全技能短缺的情形。 接著，是資安風險管理業者Security Scorecard，他們在4月25日宣布，其服務將整合OpenAI的GPT-4，可用自然語言回答網路風險問題，像是：找出評分最低的10家供應商，顯示過去一年有哪些重要供應商遭入侵等，讓用戶在風險管理決策上可以更有效率，並可針對需要優先處理的網路安全風險，提出緩解的建議。 資安業者SentinelOne也跟進，在4月26日公布整合生成式AI的Purple AI，強調對話式AI可以讓威脅獵捕變得容易，讓威脅分析變得簡單，當中說明了Purple AI的應用特性。例如，當分析人員想要搜尋特定威脅時，可以使用環境是否感染SmoothOpreator的語句，而不需建立以入侵指標（IoC）形式的手動查詢，在此同時，指出Purple AI對資料蒐集與網路安全領域的理解，使它能夠快速確定事件鏈，並向分析師總結出潛在的複雜威脅情況。 特別的是，臺灣有資安業者更快發展生成式AI，並且早於上述公司。例如，前幾年參與MITRE ATT&CK評估計畫、受國際關注的奧義智慧，於微軟Security Copilot發表後，在4月6日這天，該公司就宣布將推出「XCockpit」自動化資安威脅管理平臺，並會導入AI虛擬分析助手於其中。 該平臺不僅整合既有EDR與鑑識調查的產品，日後還將增加AD安全與ASM的功能模組，更關鍵的是，他們強調，該平臺是依循AI-Assistant-as-a-Service概念而打造，可建構AI自動化的事件應變流程，協助第一線SOC資安人員及資安團隊，讓事件處理精準度與速度大幅提升。而這個XCockpit平臺，已在2023年7月上線。 趨勢科技對話式AI資安助手11月正式上線 2023年底，也就是最近一個多月以來，有更多資安大廠發布了相關消息，我們看到趨勢科技、思科、Fortinet都有應用生成式AI的進展。這也意味，其實還有更多廠商已經在進行，並且陸續對外發表，此一新技術的應用漸成主流。 尤其是臺灣出身發展到全球知名的趨勢科技，先是在2023年6月發表生成式AI資安助手Companion，7月提供部分客戶使用，並在11月27日正式推出Trend Companion，開放所有客戶使用。 因此，以正式推出時間來看，這個能以自然語言聊天的Trend Companion，甚至領先於更早預告的Google與微軟。 基本上，趨勢科技這項功能整合於自家Trend Vision One整合式資安平臺，可透過自然語言的聊天介面提供服務，該助手不僅提供事件摘要與全面分析報告，還能解釋攻擊警報，關聯攻擊戰術與技巧，並清晰展示影響範圍。它還能將簡單語言轉換成正式的查詢語法，提高事件查詢的精準度。 值得注意的是，他們還提到令我們印象深刻的應用情境，那就是：幫助識別利用合法工具的寄生攻擊（LotL），例如，能解析一段PowerShell腳本的目的與運作，並產生人員能夠容易理解的解釋內容。 趨勢科技AI助手在2023年底正式上線趨勢科技打造的Trend Vision One平臺AI資安助手Trend Companion，2023年6月發表，在11月27日正式推出。根據他們展示的介面，這個AI助手不僅能夠提供事件摘要與分析報告，也可幫助快速分析攻擊腳本，並將結果以口語方式說明，讓資安人員與團隊更快了解威脅。 圖片來源／趨勢科技 另一家網路與資安大廠思科，也有這方面的功能進展，我們在12月6日參加他們的墨爾本亞太區年度用戶大會時，看到他們現場發表全新AI助手Cisco AI Assistant，而且首先強調的應用場景是在防火牆規則管理，包括：可用自然語言簡化相關查詢與操作，並能主動提供規則分析，以及改進的建議，像是清除重複或多餘的規則，藉此強化企業防火牆管理，以降低防火牆規則因設定複雜可能帶來的安全風險與挑戰。 當時，我們看到這方面的實機展示，在Cisco Defense Orchestrator雲端管理介面上，用戶可以叫出AI Assistant Beta版來對話，另外在Cisco防火牆管理中心介面上，也同樣能有此應用。思科表示，這個AI助理之後也將擴及該公司旗下各產品線。 還有一家資安業者Fortinet，12月15日也宣布推出生成式AI助理，他們將此功能命名為Fortinet Advisor，並表示已在FortiSIEM、FortiSOAR產品開放公開預覽版、供用戶使用，其特色包含：可幫助解析資安威脅告警事件，提供事件分析摘要，當中將包含情境說明，以及潛在影響解釋的內容，並且提供緩解措施指南與回應Playbook的範本，並可用自然語言輸入提問，就能向Fortinet Advisor諮詢資安建議。 值得我們注意的是，綜觀Advisor這一命名，其實也意味著，生成式AI不只是化身助手，也可視為一個虛擬諮詢顧問般的存在。未來這項功能應用也將擴大，預計擴展至40多個AI驅動的解決方案。 思科展示用AI助理簡化網路防火牆規則管理2023年12月6日思科揭露AI助手功能，在思科Cisco Defense Orchestrator管理介面，將可叫出Cisco AI Assistant Beta的功能，以自然語言聊天方式，查詢防火牆政策，詢問如何建立防火牆資安政策，並快速獲得規則建議。 攝影／羅正漢 已有研究顯示，資安研究人員正積極使用生成式AI 除了上述資安業者的動向，對於資安研究人員而言，在他們目前的工作領域，也呈現積極應用生成式AI的情況。 漏洞懸賞平臺HackerOne於2023年10月，公布《駭客驅動安全報告（Hacker-Powered Security Report）》，調查結果特別列出幾個必須重視的態勢。他們發現有6成資安研究人員，正利用生成式AI（GenAI）來開發各種駭客工具，以用來發現更多的漏洞，也有66％的研究人員表示，正在或準備利用生成式AI來撰寫報告。 無論如何，用AI幫助資安早已是大勢所趨，生成式AI技術更是最新的利器。儘管現在只是這項技術爆發的第一年，還有很多進步空間與創新擴展，但我們可以預期的是，生成式AI資安的潛力相當被看重，尤其是能夠快速處理大量資料的能力，以及用自然語言進行交流的能力。 整體而言，隨著2024年的到來，企業可能要意識到，當生成式AI逐漸融入資安產品，預料將成為資安團隊未來的一份子，甚至期盼是企業資安的神隊友，但AI也將會讓那些沒有道德底線的攻擊者，發展更多自動化攻擊的武器，並且會讓社交工程問題加劇，這些新挑戰，我們同樣需要積極因應，因為，新的AI時代已經來臨。 < Previous News Next News >

到2027年，影像監控市場將達到 760 億美元 2022-09-01 SecurityWorldMarket 新聞來源： https://www.securityworldmarket.com/int/News/Business-News/video-surveillance-market-set-to-register-76-billion-by-20271 根據研究公司 Marketsandmarkets 的最新消息，影像監控市場預計將從 2022年的487億美元增長到2027年的764 億美元，預期複合年成長率為 9.4%。 許多因素，包括攝影功能升級、成熟的技術、功能和定制系統，使整合商更願意升級傳統監控系統，以滿足安全和營運需求的終端用戶的需求。 安全問題和技術進步要求終端用戶（例如零售店、製造場所、企業、倉庫和銀行）隨時對任何設備進行即時遠端監控，以檢測場所內的異常事件。 存儲設備佔據最大份量 雖然 DVR 被認為是具有成本效益的存儲解決方案，但 NVR 通過集中式網絡提供基於 IP 的記錄解決方案，提供比 DVR 更大的靈活性。隨著以更高分辨率和幀速率錄製視頻的 IP攝影機的技術成長，其中一些攝影機能同時錄製影像和聲音。這些因素增加了存儲需求；因此，與相機、顯示器和其他存取器相比，存儲設備預計以最高的複合年增長率成長。 IP 監控系統增長最快 除了基本功能外，高階 IP攝影機還具有增強的過濾功能，即使在弱光條件下也可以監控圖像和影像數據。網路界面和 PoE界面用於傳達網路傳輸數據。對於 PTZ 和 PWM 等高級攝影機功能，可使用馬達驅動器來旋轉具有 PTZ 功能的攝影機。儘管與模擬 CCTV 系統相比，IP 影像監控系統的前期成本更高，但與模擬攝影監控系統相比，隨著時間的推移，總擁有成本 (TCO) 較低。專業分析發現，包括海康威視、大華科技、安訊士通信和博世安防系統是提供 IP 影像監控系統的主要參與廠商。 城市監控促進垂直基礎設施 基礎設施領域包括交通和城市監控、公共場所和公用事業。城市監控是影像監控基礎設施市場的主要應用，預計將高速增長。預計各國政府增加投資以提高公共場所的安全標準也將推動市場成長。越來越多的智慧城市計畫將需要實施各種安全和監控系統，從而在預測期內推動基礎設施市場的成長。 增長最快的國家來自亞太地區 由於基礎設施和智慧城市項目的大量投資，亞太地區預計將成為影像監控市場增長最快的地區。由於中國大規模部署城市監控網絡以監控全國數百萬公民，預計亞太地區安全攝影機的使用將會增加。亞太地區不斷增長的城市化導致了新城市和製造業和零售業的發展，以及其他國家的其他應用領域。監控攝影機在中小企業、飯店業、機場、ATM、銀行、住宅和宗教場所等場所的滲透率不斷提高，預計也將推動影像監控市場的成長。 < Previous News Next News >

< Back 安防產業Al出題精修班 台灣文創訓練中心-長安館C201室(台北市中山區長安東路一段27號2樓) 2022 0630 09:20~16:30 由經濟部工業局主辦，中華民國資訊軟體協會與台灣智慧安防工業同業公會共同協辦、財團法人資訊工業策進會執行的「安防產業AI出題精修班」，以協助安防產業領域之公司發掘內部AI智慧化轉型契機，將「AI x 安防」整併到既有的硬體產品，改善與突破現有營運模式並開拓AI應用為目標，創造產業整體經濟升級轉型。 本場活動共吸引了20家廠商、近30位同仁參與，現場聘請了中華民國資訊軟體協會AI大數據智慧應用促進會會長張榮貴為本活動主持人，並邀請在人工智慧領域非常專業的企業如：若水國際、雲守護安控、海盛科技、數據決策等公司至現場演講，並擔任解題顧問。這次活動將參與者分ABC三組討論後，由各組推派代表各出三個問題於現場表述，再由張會長與現場參與的講師顧問一同找出可以解決的方向。本活動在開始進行時，則由資策會AIGO計畫辦公室充分說明本次出題機制。 < Previous News Next News >

物聯網資安產業輔導交流會 2023年4月27日(星期四) 10:00~12:30 台北南港展覽 1館 4樓 1202會議室 本會與 A&S安全與自動化雜誌 於2023年「Secutech台北國際安全科技應用博覽會」 4/27(四) 共同舉辦「物聯網資安產業輔導交流會」， 邀請大家共同分享此趨勢性的重要議題～ 台北南港展覽 1館 4樓 1202會議室 安防公會、A&S安全與自動化雜誌 交流會報名連結（已結束） https://www.asmag.com.tw/seminar/2023_iot_security/register.aspx 報名洽詢 A&S安全與自動化雜誌 02-8729-1099 分機215 鄭先生 jason.cheng@taiwan.messefrankfurt.com 1/1 < Previous Project Next Project >