臺北文創大樓 6樓
OWASP
台灣分會會長
NETSCOUT System
台灣技術總監
APNIC
Senior Internet Security Specialist
Cloud Security Alliance
台灣分會會長
(ISC)² Taipei Chapter – President
台灣國際認證資安專家協會 – 理事長
PMI Taipei, Taiwan Chapter – President
社團法人國際專案管理學會台灣分會 – 理事長
ISACA Taiwan Chapter – Vice President
ISACA台灣分會 – 副會長
OWASP HK
微智安聯股份有限公司
營運長
Palo Alto Networks
SASE資安顧問
Pynt
co-founder and Chief Science Officer
SYSTEX 精誠集團
智慧資安科技 博士/專案副總
Qualys Inc
Senior Threat Researcher
安創資訊股份有限公司
資安主任工程師
金財通商務科技
專案經理
ViewSonic Global Inc.
myViewBoard Security Team Leader
Netskope
Sr. Staff Threat Researcher
FIDO聯盟台灣分會
會長
臺灣「金融FIDO聯盟」– 召集人
聯徵中心 – 副總經理
臺灣「金融FIDO聯盟」技術委員會
財金公司 – 經理
兆豐銀行
數位金融處 – 襄理
第一銀行
數位銀行處 – 副處長
台新銀行
數位金融處電子銀行部 – 部長
工研院資通所
副所長
澳洲蒙那許大學
法學院 – 教授
「金融FIDO聯盟」安控委員會代表
星展銀行 – 資深副總裁
元智大學 資訊管理學系
兼任助理教授
登豐數位科技股份有限公司 – 總經理
(ISC)2 Taipei Chapter – Membership chair
(ISC)2 Taipei Chapter – Secretary
SustainableTech
Consulting – CISO / COO
國立臺灣科技大學 資訊管理系
博士生
PMI Taipei, Taiwan Chapter – 專案管理大獎 主委
(ISC)2 Taipei Chapter – 業界交流委員會 主委
iFUS System Consultants Ltd. – /Value Creator
台北富邦銀行
資深協理
天眼衛星科技股份有限公司 – 總經理
逢甲大學建設學院 – 助理教授
巨鷗跨界智慧創新集團
營運長
ISACA台灣分會 – 副會長
國家太空中心稽核室 – 正工程師
兆益數位股份有限公司
總經理
中華民國電腦稽核協會 – 理事長
達文西個資暨高科技法律事務所 – 所長
中華民國電腦稽核協會 – 秘書長
OWASP
台灣分會會長
OWASP HK
Pynt
co-founder and Chief Science Officer
Qualys Inc.
Senior Threat Researcher
SPEECH
Join us as our experts separate fact from fiction, debunking prevalent misconceptions surrounding information security. From password complexity to antivirus software, small business vulnerabilities, and employee responsibility, we'll challenge these myths and enhance your understanding of cybersecurity in the digital age.
NETSCOUT System
台灣技術總監
SPEECH
企業在數位轉型階段面臨服務監控技術量能不足的情況下,將導致營運或服務中斷,要如何快速釐清是“設備/網路障礙(Break)”的效能問題或“外部攻擊/入侵(Break
in)”安全問題所造成?持續監控避免中斷方能確保營運連續,因此同步監控效能與安全,全面觀測IT/CT/OT網路服務將是營運不中斷的決勝關鍵。
我們將發表NETSCOUT新一代效能管理平台(NETSCOUT nGeniousInsight)與新一代網路偵測回應系統(NETSCOUT NDR)與眾不同的強大功能。
APNIC
Senior Internet Security Specialist
SPEECH
The APNIC community honeynet project was setup as part of APNIC’s engagement work. The data collected is shared with partners. In this presentation, I intend to highlight some of the interesting observations with the audience.
Cloud Security Alliance
台灣分會會長
(ISC)² Taipei Chapter – President
台灣國際認證資安專家協會 – 理事長
PMI Taipei, Taiwan Chapter – President
社團法人國際專案管理學會台灣分會 – 理事長
ISACA Taiwan Chapter – Vice President
ISACA台灣分會 – 副會長
SPEECH
國際資安組織在台灣發揮著重要的角色,透過支持和合作以建立更安全的數位環境,成為掌握資訊安全發展趨勢的關鍵。
OWASP HK
SPEECH
In this session I will share my journey of reversing a series of applications and software packages, ranging from big ERP and financial trading systems to small client-side software connecting to state-owned institutions to appliances designed for special purposes, supplied by different vendors in a region classified as high risk for many foreign entities. While it is impractical to thoroughly reverse engineer all details of such a huge codebase written in a variety of languages, I had focused on a dozen of common patterns and to our surprise, quite a number of critical issues were identified for each program. Some of those could be leveraged as backdoors even though there was no evidence of intentional compromise. An interesting finding from my threat modeling indicates that the adversaries can easily leverage certain types of vulnerabilities such as RCE in combination to backdoor the victim’s environment, and I would coin it as “bugdoor”. While I would modify some of the finding details and abstract my experience into more hypothetical scenarios, I would like to highlight the key message that it’s not something novel and real problem can happen any time, even not now.
微智安聯股份有限公司
營運長
SPEECH
你是數位世界的先知,還是你仍處在未知領域( unknow zone
)?你曉得資安威脅情資掌管著你所關心的各種資安資訊,而其扮演著關鍵角色是我們在面對日益複雜的威脅時的指南針和洞察力,它對於資安決策參考依據起了至關重要的決定性。
在這個資訊驅動的時代,了解威脅的本質和形式對於保護個人或組織的數位資產、資料、和資源至關重要。資安威脅情資除了能夠提供關鍵的信息,幫助我們預測和預防攻擊,並及時應變已經發生的威脅事件。
在數位訊息氾濫的情形下,這些情資來自於廣泛的來源,包括專家分析、監控系統、漏洞研究以及合作夥伴間的分享。如何有效率的透過方法篩選出有效益的資安情資將是成為先知的關鍵,而透過這些情資,我們就能夠深入瞭解攻擊者的策略、漏洞的存在以及新興的威脅趨勢,以便我們能夠提前做出反應並做好保護。
Palo Alto Networks
SASE資安顧問
SPEECH
ESG 強調企業應在經營中考慮環境影響、社會責任和良好治理,以實現可持續發展。GRC專注於有效的治理結構、風險管理和合規性要求,確保企業合法合規並實現持續經營。
SASE 保護企業網路,確保數據安全,防範威脅,符合ESG的環境和社會要求。這包括保護數據隱私、防止數據洩露和網絡攻擊,以減少企業對環境的負面影響,同時保護權益。
SASE提供風險管理和合規性功能,符合GRC的要求。它建立統一的安全策略和控制機制,監控網路活動並提供報告,有助於企業應對風險並滿足法規要求。透過SASE,企業能夠更好地管理數據安全和合規性,提升治理能力。
SASE 強調數據隱私和透明度,同時符合ESG和GRC。它確保數據在傳輸和處理過程中的安全性和隱私保護,同時提供相應的透明度,讓利害關係人能夠了解企業的網路安全措施和數據處理方式。
本議程將解析如何透過SASE讓企業邁向這些重要議題。
Pynt
co-founder and Chief Science Officer
SPEECH
Shift security left - why and how? tools, tactics and more
SYSTEX 精誠集團 智慧資安科技
博士/專案副總
SPEECH
隨著數位轉型、雲端化、微服務、開源化以及容器化如火如荼在企業機關激盪風行,然而開放性的嶄新科技評估導入,更需要謹慎思考可能的資安風險,避免享受新科技的同時,讓有心人士與駭客有機可乘,同時也要評估如何符合國內外資安法規的遵循性。
本場次分享針對雲端化、微服務、開源化以及容器化之國際相關資安規範與架構機制,助於企業機關可以放心合規的數位轉型、安全上雲,創造隨之的優勢與效益。
Qualys Inc
Senior Threat Researcher
SPEECH
In this research paper, we delve into the alarming rise of open proxy usage by nation-sponsored threat actors in cyber espionage campaigns. We explore the impact of the COVID-19 pandemic on organizations' security posture and how it has contributed to increased vulnerability. We analyze state-sponsored threat actor groups and their utilization of open proxies, focusing on examples such as Fancy Bear, Ocean Lotus, and Lazarus. Additionally, we provide insights into the common intrusion scenario known as Proxychains and discuss the providers of open proxy servers utilized by these threat actors. Lastly, we offer recommended actions that organizations should consider to mitigate the risks posed by open proxies and bolster their security defenses.
安創資訊股份有限公司
資安主任工程師
SPEECH
In December 2022, President Biden signed the Quantum Computing Cybersecurity Preparedness Act
( QCCSP ) into law, prioritizing the task of migrating federal IT systems to quantum-resistant
cryptography. The signing of this Act indicates that the US government now officially
acknowledges that the development of Quantum Computing has come to a stage where it is no
longer just a far-fetched future but a real technology that is in development.
In this session we will look into the past, present and the future of Quantum Computing,
the promising potential it brings, and the emerging threats that ride alongside its
development. In addition, we will take a look at what professionals around the globe have been
planning to address the possible complications of such technologies and how it may affect the
landscape of cybersecurity.
金財通商務科技
專案經理
SPEECH
主要介紹了企業必須採取系統加固和安全配置措施來保障資訊系統安全的重要性和方法。該簡報包括了以下內容:
首先,介紹了系統加固和安全配置的基本概念和重要性。系統加固和安全配置是企業保障資訊系統安全的基本措施,需要全面深入地開展。接著,從系統安全性的角度出發,分析了不進行系統加固的後果,並強調了加固工作的緊迫性。然後,介紹了進行系統加固的基本原則,包括最小化安裝、關閉不必要服務、安全審計等。同時,從系統安全的不同層面出發,介紹了安全配置的基本內容,包括作業系統、資料庫、應用程式等方面。隨後,詳細介紹了系統加固的具體操作步驟,包括查殺病毒、開啟防火牆、禁用不必要的服務、修改預設密碼等。並強調了每一步操作需要注意的事項和技巧。此外,通過案例分析,介紹了實際操作中需要注意的問題和企業在實踐中的經驗和教訓。最後,總結了系統加固和安全配置的重要性和方法,並提出了加強安全審計、加強員工安全教育培訓等進一步措施的建議。
ViewSonic Global Inc.
myViewBoard Security Team Leader
SPEECH
在Application Security的概念裡,測試都是在產品完成後再進行。很多時候這樣的測試卻不能即時性解決一些Critical的Bug。在坊間的解決方案,很多人都說DevSecOps可以解決Application Security的問題,然而,在DevSecOps的角度要怎麼切入,切入的方法如何?同一時間,在過百人的開發團隊中,DevSecOps的切入能讓開發流程進步多少?另外對於產品面向來說,DevSecOps又會對產品有甚麼好處?這樣的問題我可以用在ViewSonic的實例跟大家分享一下。
Netskope
Sr. Staff Threat Researcher
SPEECH
This study discusses a covert channel technique that leverages the use of ephemeral ports in
TCP connections to conduct a non-traditional port knocking then further exfiltrate the data
covertly to a remote web server from a client in a strict firewall environment.
In this technique, an attacker can use the source port field in TCP headers to encode and
transmit data. The ephemeral ports are randomly assigned by the operating system and typically
change for each new connection, making it difficult for security measures to detect the covert
channel.
Proof-of-concept (PoC) programs are available to demonstrate how file exfiltration can be
achieved through the abuse of ephemeral ports. It is recommended to use a dummy web server
listening on the server's < destination_port>, although it is not strictly necessary. Once the
client establishes a connection, a request mimicking a software version check will be
sent.
Current security measures, such as firewalls and intrusion detection systems, are not
designed to detect this type of covert channel. Firewalls typically monitor traffic based on
the destination port, not the source port, while intrusion detection systems often focus on
detecting known attack signatures rather than analyzing the source port field in TCP
headers.
This technique presents a significant threat to network security, as it can be used to
exfiltrate sensitive information without detection, highlighting the need to develop new
security measures that can detect and prevent this type of covert channel.
FIDO聯盟台灣分會 – 會長
臺灣「金融FIDO聯盟」– 召集人
聯徵中心 – 副總經理
臺灣「金融FIDO聯盟」技術委員會
財金公司 – 經理
SPEECH
響應金管會「金融科技發展路徑圖」推動措施,聯合徵信中心及財金公司協同金融機構導入「金融FIDO」服務;「金融FIDO」係我國泛金融產業共通之行動身分識別工具,本次分享將說明如何應用「晶片金融卡」進行身分核驗,並透過財金公司「身分查驗平台」完成「金融FIDO註冊」,俾利運用「金融FIDO」辦理銀行、證券、保險等金融相關業務。
兆豐銀行 數位金融處 – 襄理
第一銀行 數位銀行處 – 副處長
台新銀行 數位金融處電子銀行部 – 部長
SPEECH
為配合主管機關推動「金融科技發展路徑圖」政策,本次議程特別邀請三家銀行分享個案經驗,瞭解金融 FIDO 合作的關鍵要素:合作對象、模式、服務項目以及未來展望等。
透過這些實際案例,共同擴大金融 FIDO 應用場景,落實跨領域金融業務合作,實現普惠金融願景。藉此讓會眾一同深入了解金融科技的發展,共襄智慧金融未來!
工研院資通所
副所長
SPEECH
隨著智慧科技與跨界應用趨勢的發展,兼顧安全、可靠、便利的身分識別機制,已經成為強化資安防護、保障個資隱私的第一道關卡,也是全球政府與國際組織近年來政策制定的焦點。本次演講將分享如何掌握快速變遷的國際發展趨勢與現況,正確而快速的導入並運用國際標準,建立接軌全球主流規範的數位信任環境與應用基礎。
澳洲蒙那許大學法學院 – 教授
「金融FIDO聯盟」安控委員會代表
星展銀行 – 資深副總裁
工研院資通所
副所長
兆豐銀行 數位金融處
襄理
第一銀行 數位銀行處
副處長
SPEECH
1. 有哪些國際的 FIDO 趨勢,是台灣產業可以借鏡的?
2. 金融 FIDO 的應用目前還有哪些挑戰?
3. 對於金融 FIDO 的發展,未來還有哪些潛在的應用機會?
元智大學
資訊管理學系
兼任助理教授
SPEECH
1.AI 技術對人類社會的助益及願景
2.台灣 AI 技術發展現況
3.AI 技術對資安的挑戰
(1) 社會治安
(2) 金融穩定
(3) 認知作戰
(4) 軍事行為
4.結論
登豐數位科技股份有限公司 – 總經理
(ISC)2 Taipei
Chapter – Membership chair
SPEECH
從紅色警戒至PGM,Microsoft的維運是如此的艱辛? Open Source就不用還技術債?
牢牢的咬著開源精神就能得安逸的IT生涯,十幾年下來的攻擊與防守,從組態基準到雲端服務自動化更新,降低維運停機的可能性,這些年來我們修的漏洞能不能有效的架構自動化的框架,使企業維運更安全?
本議程探討如何透過EDR及VANS有效的提供高SLA的服務,使IT Pro們不用再當無敵鐵金肝!
(ISC)2 Taipei Chapter –
Secretary
SustainableTech Consulting
– CISO / COO
SPEECH
藉由分析國際重大資安事故根因,對應最新版本 ISO 27001:2022 國際標準條文,使各公部門以及私部門組織汲取經驗勿重蹈覆轍。
國立臺灣科技大學
資訊管理系 博士生
SPEECH
近年金融服務數位化,電子商務系統成為金融業面對客戶重要渠道,安全性成為最基本要求,因此金融業不僅制定相關安全基準要求,近年SSDLC或DevSecOps等開發流程更成為同業討論議題;然由新聞事件可見仍持續有不同犯罪團伙針對金融系統漏洞,從中獲取不法利益;因此,整理近年犯罪案件與應用程式漏洞問題,提醒於開發時應多注意,避免重導覆轍。
PMI Taipei, Taiwan Chapter – 專案管理大獎 主委
(ISC)2 Taipei Chapter – 業界交流委員會 主委
iFUS System Consultants Ltd. – /Value Creator
SPEECH
踏入軟體資安的大門,有如展開一段(JoJo)奇妙冒險旅程。在這既廣且深的領域中,我們該如何選擇最適合的證照,以塑造出全套的專業護身符呢?就讓我們一同深入淺出CyberSec、Cloud、PM、Agile、DevOps和AI這六條龍的證照之路,並分享實際取得這些證照的經驗與好處,揭開資安之旅的神秘面紗,找到最適合你的證照光明大道吧。
台北富邦銀行
資深協理
SPEECH
隨著金融業的數位轉型加速推進,資訊安全已經成為保障金融系統穩定運行和客戶信任的關鍵要素。本次將與大家一同探討金融業在數位轉型中應採取的資訊安全戰略,以確保我們的金融生態系統得以可持續發展。
在這個數位化時代,金融業正處於全面變革的浪潮之中,金融機構必須時刻關注和適應不斷變化的安全威脅,並採取積極的防禦措施。透過本行資訊安全戰略之實務應用之特權管理、開源軟體、資訊服務預警等,可以更好的保護客戶資產和隱私,降低金融犯罪的風險,以建立一個更加安全和可靠的金融環境,為金融業的永續發展奠定堅實的基礎。
天眼衛星科技股份有限公司 – 總經理
逢甲大學建設學院 – 助理教授
SPEECH
車聯網是指將車輛與網路連接起來,實現車輛之間以及車輛與基礎設施之間的資訊交換和通信。它包括人、車、路、通訊和服務平台等關鍵要素。藉助車聯網,車輛可以通過網路實現與其他車輛、行人以及交通基礎設施的智慧互動。車聯網技術為我們帶來了許多便利,例如:智慧導航、車輛監控、車隊管理、停車位搜尋等服務。
然而,車聯網的快速發展雖然為我們帶來了便利和創新,但同時也帶來了新的挑戰和風險,本次演講將介紹車聯網系統可能面臨的資訊安全威脅,並探討如何保護車聯網系統免受攻擊和風險的方法。其中包括加強車聯網系統的安全設計,採取適當的身份驗證和加密措施,實施漏洞管理和風險評估等。
巨鷗跨界智慧創新集團
營運長
SPEECH
1. 循證式治理的發展趨勢與數據匯流的重要性
2. 智慧城市數據匯流平台設計架構
3. 多元異質系統數據交換的資訊安全管控機制
4. 應用案例及效益分享
5. 智慧城市數據匯流平台的未來前景及挑戰
ISACA 台灣分會 – 副會長
國家太空中心稽核室 – 正工程師
SPEECH
國際電腦稽核協會 ( ISACA ) 為國際性專注於資訊管理、控制、安全和稽核專業設定規範的全球性組織,主要知名的框架有 COBIT、ITAF、CMMI、Risk IT
Framework 等。 ISACA 於 2022 年提出數位信任生態系 ( Digital trust ecosystem )
框架,透過擅長的資安治理架構,以安全、隱私、風險、確保、治理實踐等面向,示範出未來社會對人、組織、能力、技術、道德、透明度等的信賴,在強化數位韌性時提供廠商和消費者間的關係、互動和交易完整性的信心。
數位信任是推動消費者決策的重要因素,也是保持組織競爭力的關鍵因素。
數位信任將有助於提高企業聲譽與客戶的忠誠度。
兆益數位股份有限公司
Uprofit Digital Ltd., – 總經理
SPEECH
1. ITAF 資訊稽核標準
2. 電腦稽核實務解析
3. 持續性風險評估與稽核作業
中華民國電腦稽核協會 – 理事長
達文西個資暨高科技法律事務所 – 所長
SPEECH
近期層出不窮的詐騙手法廣受社會大眾注意,相關衍生案件與個資保護議題都有密切關聯,雖然我國的獨立個人資料專責管理機構最晚將在明年成立,政府仍持續從現行法令中進行補強,並提高主管機關行政檢查裁量權及裁罰金額。
葉理事長在本場次將從個資外洩裁罰案例樣態,分析近期個資法修法提高裁罰力道,對企業面臨的風險及因應之道。
中華民國電腦稽核協會 – 秘書長
SPEECH
隨著網路應用的無遠弗界以及晶片生產技術的突破限制,資訊科技的應用發展同步呈現幾何式的成長;於是身處在數位時代,藉由數位轉型讓自身企業經營體質可以脫胎換骨的期待,成了許多行業都在探討的熱門話題。
於此同時,在數位時代所面臨的資訊科技風險也並非一成不變。有的是新興科技本身的風險;有些是在轉型過程中,評估失當所產生問題。如何提早洞悉這些風險並採取治理方法以適當規避或降低對企業之影響,也是一項重要的課題。
RAT團隊
SPEECH
你是否好奇:駭客是如何察覺可利用的網站漏洞?駭客是如何正確利用網站漏洞植入後門程式?駭客是如何建立穩固的木馬連線,讓病毒程式潛伏於網站系統之中?
本次議程將會著重在網站滲透的手法,詳細解析網站漏洞利用與後滲透的流程,再藉由幾款常用的紅隊工具帶著會眾實際操作,從而更加深對於網站安全的認知。
上半軌,將帶領會眾學習如何針對一個目標網站做弱點偵查與漏洞評估,找尋各種攻擊的注入點,進一步利用網站漏洞,從網站漏洞中獲得系統初始存取權限,結合紅隊手法植入後門程式,從而建立穩固的木馬連線。
下半軌,將帶領會眾利用木馬連線進行本機提權、內網偵查與橫向移動,也會實作部分內網提權的手法。
RAT團隊
SPEECH
你是否好奇:駭客是如何察覺可利用的網站漏洞?駭客是如何正確利用網站漏洞植入後門程式?駭客是如何建立穩固的木馬連線,讓病毒程式潛伏於網站系統之中?
本次議程將會著重在網站滲透的手法,詳細解析網站漏洞利用與後滲透的流程,再藉由幾款常用的紅隊工具帶著會眾實際操作,從而更加深對於網站安全的認知。
上半軌,將帶領會眾學習如何針對一個目標網站做弱點偵查與漏洞評估,找尋各種攻擊的注入點,進一步利用網站漏洞,從網站漏洞中獲得系統初始存取權限,結合紅隊手法植入後門程式,從而建立穩固的木馬連線。
下半軌,將帶領會眾利用木馬連線進行本機提權、內網偵查與橫向移動,也會實作部分內網提權的手法。
RAT / Co-member
SPEECH
本課程透過常見的惡意行為介紹,其中課程內容包含下列幾個部分:惡意程式識別、惡意程式探勘以及惡意程式實務分析,提供實戰惡意程式的角度讓學員能更融入真實環境。
鑒真數位有限公司 / 資安鑑識工程師
SPEECH
提供資安鑑識領域實務觀念配合現場鑑識工具、程序及實務操作之運用,當面對事件發生時,第一時間進行數位證據之現場蒐證及封存有充份的認識,對受影響的系統、檔案和數據進行收集和分析,以找出攻擊者的入侵方式、破壞行為和目的,並進一步確認受影響的範圍和程度。
區塊科技股份有限公司 / 業務暨產品經理
SPEECH
近年來,隨著加密貨幣的普及,加密貨幣詐騙也愈趨嚴重。對此,金融機構與執法機關一直在尋求有效的方法來追蹤詐騙者的金流,以遏止詐騙行為的發生。
由於加密貨幣交易是在區塊鏈上進行,因此無法像傳統銀行一樣直接追蹤資金流動。新興的技術和解決方案正在被開發,以協助金融機構和執法機關有效地追蹤加密貨幣詐騙的金流。透過使用分析軟體,追蹤加密貨幣的流動,找出潛在的出金位址,並揭示詐騙者的身份和行為,提高加密貨幣詐騙金流追蹤的準確度和效率。