Shadow Credentials เป็นเทคนิคในการโจมตีรูปแบบหนึ่งที่ทำให้ attacker สามารถแฝงตัวเข้ายึดเครื่อง computer หรือ user ที่อยู่บน environment ของ Active Directory (AD) โดยที่ไม่จำเป็นต้องรู้รหัสผ่านของเป้าหมาย

Prompt Injection คือ การโจมตีที่ผู้ไม่ประสงค์ดีทำการควบคุมหรือเปลี่ยนแปลงการทำงานของ AI โดยการแทรกคำสั่ง (Prompt) เพื่อให้สามารถทำงานนอกเหนือจากการตั้งค่าที่ถูกกำหนดไว้

SSL Certificate ที่หมดอายุโดยไม่รู้ตัว อาจทำให้ผู้ใช้เข้าถึงเว็บไม่ได้ สูญเสียความน่าเชื่อถือ หรือโดน Google เตือนว่า "Not Secure"

เบื้องหลัง "ความง่าย" นี้ คือโปรโตคอลที่เปลี่ยนวงการ Digital Certificate ไปตลอดกาล

ในโลกปัจจุบัน คุณสามารถเปิดใช้ HTTPS ได้ฟรี ภายในไม่กี่วินาที ด้วยบริการอย่าง Let's Encrypt

บริษัท อินค็อกนิโตแล็บ จำกัด ขอแสดงความยินดีกับ มหาวิทยาลัยทักษิณ ที่เดินหน้าสู่การเป็นองค์กรต้นแบบด้านการบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ ด้วยการขับเคลื่อนโครงการ พัฒนาระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศตามมาตรฐาน ISO/IEC 27001:2022 สำหรับศูนย์เทคโนโลยีดิจิทัล

ในบทความนี้เราจะมาพูดถึงการใช้งาน Agentic AI ในงาน cyber security กันนะครับ

ในปัจจุบันการพัฒนา mobile application ขึ้นมา มีแนวโน้มไปในทางที่มีการใช้งาน framework ที่เป็น cross-platform ทำให้เขียน code แค่ครั้งเดียว แต่สามารถ build เพื่อให้ใช้งานได้บนหลาย platform และเทคนิคการทำ reverse engineering, static analysis, dynamic analysis ในแต่ละ framework นั้นแทบจะแตกต่างกันโดยสิ้นเชิง ซึ่งการที่จะสามารถเข้าใจการทำงานของ application และหาจุดอ่อน/ช่องโหว่ทาง security ให้พบนั้น จำเป็นที่จะต้องรู้การทำงานภายในของแต่ละ framework และปัญหานี้ในปัจจุบัน (และอนาคต) เป็นความท้าทายพอสมควรสำหรับ security researcher เนื่องด้วยเทคโนโลยีมีการพัฒนาอย่างรวดเร็ว ทำให้เครื่องมือและความรู้เกี่ยวกับการวิเคราะห์ security ของ app นั้นตามไม่ทัน

ในเดือนนี้ Oracle ปล่อยอัปเดตความปลอดภัยครั้งใหญ่ที่สุดครั้งหนึ่งรวม 378 แพตช์ ครอบคลุมช่องโหว่จากผลิตภัณฑ์หลักเกือบทุกตัวทั้ง Oracle Database, MySQL, WebLogic ฯลฯ