5. Day5：2022年版國巨永續報告書
   P21
   議題 策略與承諾 2022行動與成效
   資訊安全 資通安全政策為資訊安全最高指導方針，最高權責單位至董事會 本年度無發生經證實之資訊洩露、失竊或遺失客戶資料事件
   資訊安全 持續導入ISO 27001與TISAX 系統 本年度無發生經證實之資訊洩露、失竊或遺失客戶資料事件
   資訊安全 每年舉辦資訊安全教
   育訓練 2022 年共8,365 人次完成資安教育訓練
   P38
   資訊安全
   資訊安全管理架構
   本公司資訊安全風險管理之權責單位為資訊及科技事業群，由資訊長擔任資訊安全總代表。轄下設置資訊安全部門，該部門主管為資安長，訂定國巨集團資訊安全政策、規劃暨執行資訊安全作業與資安政策推動與落實。
   資訊安全管理系統
   國巨2022 年仍在進行ISO 27001 之導入與認證，同時因應電動車市場需求導入可信資訊安全評估交換（TISAX）認證，驗證範圍為本公司營運核心系統，含訂單管理系統、產線管理系統及財務相關系統，驗證範圍為美國及墨西哥等國家的生產基地。
   國巨每月定期執行弱點掃描，辨識出之弱點按資產價值及風險層級依序完成加強與改善。社交工程演練則為每半年對全體員工執行，並針對未通過之同仁實施線上教育訓練，加強資訊安全知識。
   此外，國巨已建置關鍵系統高可用度與災難復原的機制，並建立系統備份機制落實雙重與異地備份保護，且制定緊急應變計劃與定期演練系統復原，以確保緊急狀況發生時公司可以維持營運，並將損失降至最低。
   P39
   資訊安全教育訓練
   集團資訊安全教育訓練透過公司線上學習平台（E-Academy）進行，2022 年課程內容除強化員工資安知識，同時宣導公司最新資訊安全規範，且需通過課後測驗以完成課程，確保每位同仁具備應有知識，2022 年共8,365 人次完訓。國巨未來將會以每年的資安事件設計符合本公司的宣導教材，提升員工對於資訊安全問題與政策的意識。
   居家辦公資安管理措施
   國巨配合居家辦公實施建立起安全資料傳輸機制，對於員工使用與傳輸資訊方面，會依資料的狀態建置多重保護措施，包含使用兩道驗證（MFA）之VPN 安全傳輸加密管道、強化加密技術（如SSL）保護機敏資料及安裝多層次防火牆與防毒軟體等，以強化資訊安全機制，防堵資訊外洩問題衍生，降低個資與機敏資訊洩漏之風險。

從資安新創看國巨資安
因應電動車市場需求導入可信資訊安全評估交換（TISAX）認證，驗證範圍為本公司營運核心系統，含訂單管理系統、產線管理系統及財務相關系統，驗證範圍為美國及墨西哥等國家的生產基地。也就是說這些核心系統很有可能都放在美國和墨西哥當地生產基地的伺服器，甚至有租用雲端伺服器用來存放。
那麼，就像CTF（Catch The Flag）中的旗標一樣，TISAX的資料就是國巨重要的資產，但是國巨沒有提到加密機制，即很有可能是明文的資料呈現。

紅隊（攻擊方）
今天介紹網路攻擊鏈的第五階段
安裝 Installation：讓受駭者電腦執行惡意程式
請註冊ChatGPT並且如下提問
https://chat.openai.com/
我：
我有一段程式碼 想要變成執行檔 在windows執行 要如何做 需要編譯嗎
ChatGPT
將程式碼轉換成執行檔的步驟通常需要進行編譯，以便將程式碼轉換成計算機可以執行的二進位形式。以下是在Windows上將程式碼轉換成執行檔的一般步驟：
安裝開發工具： 要進行編譯，您需要安裝相應的開發工具。例如，如果您使用C或C++語言，您可以安裝Microsoft Visual Studio。
建立專案： 在開發環境中，建立一個新的專案或項目，將您的程式碼添加到該專案中。
編寫程式碼： 在專案中，將您的程式碼添加到適當的文件或源文件中。
設定編譯選項： 在開發環境中，您可能需要設定一些編譯選項，例如目標平台、編譯器選項等。
進行編譯： 啟動編譯過程，開發工具將根據您的程式碼生成執行檔。編譯過程可能需要一些時間，具體時間取決於您的程式碼的大小和複雜度。
測試執行檔： 編譯成功後，您將在項目目錄或指定的輸出目錄中找到生成的執行檔。您可以雙擊執行檔，或者在命令提示字元中運行它，以測試您的程式。
需要注意的是，具體步驟可能會因您使用的語言和開發環境而有所不同。例如，Python的程式碼不需要編譯，您只需要運行Python解釋器來執行腳本。

接著安裝Kali，然後在Kali依下列解說安裝Caldera
https://www.kali.org/tools/caldera/
再將Caldera的Agent佈建編譯為可執行檔就可以在受駭電腦中執行。（從發現的漏洞遠端執行任意程式碼）

藍隊（防守方）
遠端代碼執行（Remote Code Execution，RCE）。遠端代碼執行是一種攻擊方法，駭客可以通過漏洞將惡意程式碼注入目標系統，從而在遠端執行他們的自訂代碼。這種漏洞可能會對系統的安全性造成嚴重威脅，因此及早識別和修復是至關重要的。
為了防止遠端代碼執行漏洞，您可以採取以下措施：

1. 及時更新和修補： 定期更新作業系統、應用程式和相關的安全補丁，以確保您的系統不受已知漏洞的影響。
2. 最小許可權原則： 限制應用程式和使用者的許可權，確保他們只能訪問他們實際需要的資源，減少潛在的攻擊面。
3. 輸入驗證與過濾： 在編寫應用程式碼時，始終進行嚴格的輸入驗證和過濾，確保不會將用戶輸入作為代碼執行的一部分。
4. 安全編碼實踐： 遵循安全的編碼標準和最佳實踐，使用安全的開發框架和庫，以減少漏洞的產生。
5. 網路防火牆與入侵偵測系統： 使用網路防火牆和入侵偵測系統來監控和阻止潛在的攻擊行為。
6. 安全審計和監控： 實施安全審計和監控機制，以便及時檢測異常行為和潛在攻擊。
7. 安全培訓： 對開發人員和系統管理員進行安全培訓，以提高他們對安全風險的認識，並學習如何預防遠端代碼執行漏洞。
8. 當懷疑系統中存在遠端代碼執行漏洞時，務必及時修復，並確保您的系統和應用程式保持最新、安全的狀態。

請讀者注意

1. 本系列中所提到的永續報告書均為公開資訊，本系列引用的目的僅為學術教育，讓更多的利害關係人能夠讀懂企業欲揭露的永續報告書。本系列不對於永續報告書內容做修飾，僅忠實的呈現。本系列僅為了介紹資安觀念而在引明出處的方式為讀者介紹這些框架，其最新版本的修正還是要以該組織發布為準。
2. 本系列中提到的紅隊攻擊手法和「從新創看資安」，裡面所提到的攻擊，無論是POC（概念驗證）或是工具介紹，紅隊都是指有和企業簽約，在取得許可下協助做安全測試的資安成員，其不會造成企業實質損失，僅止於讓企業了解自身環境、設定、程式碼等環節的資安精進。