Kubernetes Configuration Recovery: Retrieving and Cleaning Deployed YAML

This document outlines the technical facts regarding configuration storage in Kubernetes and provides a reliable method for technical leads to retrieve the current, deployed resource configurations, which closely resemble the original YAML files.

1. Kubernetes Does Not Store the Original YAML File Path

When a user executes kubectl apply -f [yaml file], Kubernetes does not record the actual location of the original file. Instead, it only stores the desired state of the resources, as defined in the YAML, within its internal database, etcd.

2. Obtaining the Resource's Current Configuration from the Cluster

While the original YAML file itself cannot be located within the cluster, the cluster holds the complete current configuration of the deployed resource, which is highly similar to the source file.

Steps to Retrieve the Deployed Resource Configuration:

A. Identify the Resource Name, Type, and Namespace

You must first determine the resource's Kind, Name, and its Namespace (if applicable).

Resource Type	Command to List Resources	Notes
StorageClass (SC)	kubectl get sc	Typically cluster-scoped (no specific Namespace).
PersistentVolume (PV)	kubectl get pv	Cluster-scoped.
PersistentVolumeClaim (PVC)	kubectl get pvc --all-namespaces	Use -n <namespace> if the Namespace is known. e.g., for Elasticsearch.
Workload (e.g., Elasticsearch)	kubectl get statefulset --all-namespaces kubectl get deployment --all-namespaces	Identify the name (e.g., elasticsearch-master) and its Namespace. (Workloads are usually StatefulSet or Deployment).

B. Export the Resource's YAML Configuration

Once the resource is identified, use kubectl get with the -o yaml flag to export its current configuration.

Resource Type	Example Command
StorageClass	kubectl get sc <sc-name> -o yaml > storageclass-<sc-name>.yaml (e.g., kubectl get sc netapp-trident-sc -o yaml > netapp-trident-sc.yaml)
PersistentVolume (PV)	kubectl get pv <pv-name> -o yaml > pv-<pv-name>.yaml
PersistentVolumeClaim (PVC)	kubectl get pvc <pvc-name> -n <namespace> -o yaml > pvc-<pvc-name>.yaml
Elasticsearch StatefulSet/Deployment	# Assuming StatefulSet kubectl get statefulset <es-statefulset-name> -n <namespace> -o yaml > es-statefulset.yaml

🚨 Critical Note: Cleaning the Exported YAML

The exported YAML files will contain numerous fields automatically added by Kubernetes during runtime. These include: status, creationTimestamp, resourceVersion, uid, and lengthy metadata.annotations (especially kubectl.kubernetes.io/last-applied-configuration).

If a "clean" YAML file is required for subsequent kubectl apply commands or for version control, these system-generated fields must be manually removed or stripped.

• Priority Fields to Delete (Top-Level): status, metadata.creationTimestamp, metadata.resourceVersion, metadata.uid, metadata.selfLink (if present), and often metadata.generation.
• For Deployment/StatefulSet, review and clean any unnecessary auto-generated annotations and labels within spec.template.metadata.

C. Using the last-applied-configuration Annotation (If Applicable)

If the initial kubectl apply command was executed without the --save-config=false flag, Kubernetes stores a copy of the successfully applied YAML content in a metadata.annotations field called kubectl.kubernetes.io/last-applied-configuration.

This configuration is typically closer to the original YAML (e.g., it lacks the status block) than the full kubectl get -o yaml output.

You can retrieve this clean configuration using tools like jq or yq:

# Retrieve for a StatefulSet, outputting JSON and piping to jq
kubectl get statefulset <es-statefulset-name> -n <namespace> -o jsonpath='{.metadata.annotations."kubectl\.kubernetes\.io/last-applied-configuration"}' | jq . > clean-es-statefulset.json

# Alternative: Retrieve for a StatefulSet, using yq to output clean YAML (requires yq)
# kubectl get statefulset <es-statefulset-name> -n <namespace> -o yaml | yq '.metadata.annotations."kubectl\.kubernetes\.io/last-applied-configuration"' -r | yq -P > clean-es-statefulset.yaml

Summary for Technical Management

The most robust method to reconstruct the configuration is:

1. Use kubectl get <resource_type> -n <namespace> -o yaml to export the resource.
2. Manually clean or use scripting tools to strip the exported YAML of status and system-generated metadata, rendering it a re-applyable configuration file.

Concurrently, the new administration must establish a mandatory process to store all future configuration files in a version control system (e.g., Git) and document the file location corresponding to each deployed resource, preventing recurrence of this "missing file" issue.

在 Linux 上監控 Palo Alto 防火牆 Session 狀態

在許多企業環境中，監控防火牆的 Session 狀態對於確保網路安全與效能至關重要。若您希望在不安裝 Panorama 或其他網管軟體的情況下，自行架設監控機制，以下將介紹如何在 Linux Server 上撰寫腳本來達成此目的。

1. Palo Alto 防火牆的 Session 狀態

Palo Alto 防火牆的 Session 主要分為兩大類狀態：

• 穩定狀態（Stable States）：這些狀態通常在 Session 的生命週期中出現較長時間，並且在 Session 表中最常見：
• INIT：每個 Session 初始時的狀態，處於「空閒池」中，尚未被分配。
• ACTIVE：當 Session 匹配特定的流量並已進行檢查和轉發時，會進入此狀態。
• DISCARD：當流量匹配到 Session，但由於安全策略被拒絕或檢測到威脅時，Session 會進入此狀態。
• 過渡狀態（Transient States）：這些狀態通常在 Session 生命週期中出現較短時間，並且在 Session 表中較少見：
• OPENING：Session 從「空閒池」中分配出來，但尚未安裝到流查找表和老化器中。
• CLOSING：Session 被設置為立即過期，但尚未從老化過程中移除，也未從流查找表中移除。
• CLOSED：Session 已過期並從老化過程中移除，但尚未從流查找表中移除。
• FREE：Session 已從老化過程和流查找表中移除，但尚未返回「空閒池」。

每個 Session 都會經歷這些狀態，並依據流量的特性和防火牆的設定進行轉換。

2. 在 Linux 上撰寫監控腳本

為了定期收集防火牆的 Session 資料，您可以在 Linux Server 上撰寫腳本，透過 SSH 連線至防火牆，執行相關指令，並將結果儲存至本地檔案。

以下是一個簡單的 Bash 腳本範例：

#!/bin/bash

# 防火牆的 IP 位址與管理帳號
FIREWALL_IP="192.168.1.1"
USER="admin"
PASS="password"

# 連線並執行指令
sshpass -p $PASS ssh -o StrictHostKeyChecking=no $USER@$FIREWALL_IP "show session all" > /path/to/save/sessions_$(date +\%Y\%m\%d\%H\%M\%S).txt

此腳本會將 `show session all` 的輸出結果儲存至指定路徑，並以時間戳記命名檔案。您可以透過 Cron 設定定期執行此腳本。

或是你只要看穩定狀態的話，就只要執行以下三個指令

show session all filter state active
show session all filter state init
show session all filter state discard

Session官方說明

3. 資料視覺化與報表系統設計

為了更直觀地分析 Session 資料，您可以將收集到的資料匯入至資料庫（如 MySQL 或 PostgreSQL），並使用工具（如 Grafana）進行視覺化呈現。

以下是設計流程的簡要步驟：

1. 資料收集：使用上述腳本定期收集 Session 資料。
2. 資料儲存：將收集到的資料匯入至資料庫。
3. 資料視覺化：使用 Grafana 等工具，連接資料庫，設計儀表板，顯示 Session 的各項指標。
4. 報表產生：設定定期生成報表，並透過電子郵件發送給相關人員。

這樣的系統可以幫助您實時監控防火牆的狀態，並在異常情況發生時，及時採取措施。

4. 發送電子郵件的範例

為了在特定情況下（如 Session 數量異常）發送通知，您可以在腳本中加入發送電子郵件的功能。以下是一個使用 `mail` 指令發送電子郵件的範例：

#!/bin/bash

# 檢查 Session 數量
SESSION_COUNT=$(grep -c "ACTIVE" /path/to/sessions.txt)

# 設定閾值
THRESHOLD=1000

# 如果 Session 數量超過閾值，發送電子郵件
if [ $SESSION_COUNT -gt $THRESHOLD ]; then
    echo "目前有 $SESSION_COUNT 個活躍的 Session，超過設定的閾值 $THRESHOLD。" | mail -s "Session 警告" admin@example.com
fi

此腳本會檢查 Session 數量，如果超過設定的閾值，則發送電子郵件通知管理員。

結論

透過在 Linux Server 上撰寫腳本，您可以在不安裝 Panorama 或其他網管軟體的情況下，定期收集 Palo Alto 防火牆的 Session 資料，並進行分析與報表產生。結合資料視覺化工具，您可以更直觀地監控防火牆的狀態，確保網路的安全與效能。

深入剖析 Cisco Cyber Vision 感測器從流量擷取、邊緣處理到傳輸至 Cyber Vision Center 的通訊協定與實作細節，並提供部署建議。

Cisco Cyber Vision 解決方案中感測器至中心資料傳輸通訊協定深度剖析

1. 導論與核心架構概覽

1.1 查詢問題與專家解讀

關於 Cisco Cyber Vision 解決方案中，從 Cisco 交換器接收資料後傳送至 Cyber Vision 系統所使用的通訊協定，這是一個針對營運技術（OT）網路監控架構的關鍵技術問題。該查詢看似簡單，但其核心在於對 Cisco Cyber Vision 獨特「邊緣監控架構」（unique edge monitoring architecture）的理解。該架構的設計與傳統網路監控模型截然不同，因此無法用單一通訊協定名稱概括。

本報告旨在透過深入剖析整個資料流的生命週期，從流量擷取、邊緣處理，到最終的資料傳輸，提供一個全面且準確的技術解答。分析將明確界定兩個獨立但相互關聯的階段：首先，Cisco 交換器如何將工業網路流量複製給內嵌的 Cyber Vision 感測器；其次，感測器如何將處理後的資料安全地傳輸給 Cyber Vision Center。透過這種分層解構，可以揭示該解決方案在設計上為克服 OT 環境挑戰而採取的策略性選擇。

1.2 Cisco Cyber Vision 的獨特邊緣監控架構

Cisco Cyber Vision 解決方案的核心優勢在於其創新的雙層架構。該架構由以下兩個主要部分組成：

• 感測器（Sensors）： 這些感測器並非獨立的硬體設備，而是被「內嵌」（built into）於選定的 Cisco 工業網路設備中，例如 Cisco IC3000 工業計算閘道器、Cisco Catalyst IE3300/3400/9300 系列交換器等。感測器在網路流量的源頭——即 OT 設備的連接點——運行，並在本地執行繁重的處理任務，包括深度封包檢測（DPI）、協議分析與入侵偵測。
• 中心（Cyber Vision Center）： 中心是一個中央化的聚合平台，可部署為實體硬體設備或 VMware 虛擬機。它的主要職責是從所有感測器接收資料，並提供一個統一的介面，用於資料儲存、分析、行為分析、報告生成以及使用者介面功能。

這種「邊緣計算」架構的關鍵優勢在於其極高的效率。感測器在網路邊緣對工業流量進行解碼和分析，僅將經過精煉、高度壓縮的「輕量級中繼資料」（lightweight metadata）發送給中心。這大大減少了對工業網路頻寬的消耗，根據資料，僅增加 2% 到 5% 的網路負載。這種設計從根本上解決了在頻寬受限的 OT 環境中部署大規模監控方案的挑戰。

1.3 報告範圍界定：釐清資料流的兩大階段

為了解答使用者問題，必須將資料流的整個過程區分為兩個截然不同的階段。混淆這兩個階段會導致對整個解決方案運作原理的誤解。

1. 第一階段：流量擷取（Traffic Acquisition）： 這是指 Cisco 交換器將 OT 網路中的原始封包流量複製給內嵌的 Cyber Vision 感測器應用程式的過程。這個階段不涉及應用層的資料傳輸，而是利用網路交換器內建的流量複製功能。
2. 第二階段：資料傳輸（Data Transmission）： 這是指感測器在本地處理、分析原始流量後，將其生成的輕量級中繼資料傳輸給遠端 Cyber Vision Center 的過程。這才是本報告的核心探討點，涉及的是應用層通訊協定。

這種兩階段的設計模式，是 Cisco Cyber Vision 區別於許多傳統網路監控工具的關鍵。它將繁重的處理任務從核心網路轉移到了邊緣設備，從而將「傳輸原始流量」的模式轉變為「傳輸情報」的模式，這使得解決方案能夠在 OT 環境中實現高效、可擴展的部署。

2. 資料流機制與邊緣處理

2.1 流量擷取：從工業網路到內嵌感測器

在第一個階段，Cisco 交換器會利用其內建的流量複製技術，將工業網路中的原始流量「複製」一份給內嵌的感測器應用。常見的流量複製方法包括：

• SPAN (Switched Port Analyzer)： 這是一種本地流量鏡像技術，在單一交換器上，將一個或多個來源埠（Source Port）或 VLAN 的所有流量複製到一個目標介面（Destination Interface）。這種方法適用於感測器和監控設備位於同一台交換器上的情況。
• RSPAN (Remote Switched Port Analyzer)： RSPAN 允許跨多個交換器進行流量複製。它透過專用的 RSPAN VLAN，將來源交換器上的流量複製到該 VLAN 中，並在目標交換器上透過一個埠將流量轉發給監控設備。
• ERSPAN (Encapsulated Remote Switched Port Analyzer)： ERSPAN 是最進階的遠端流量複製方法，它將被複製的流量封裝在 Layer 3 協定（通常是 GRE）的封包中。這種方式使得流量複製可以跨越路由邊界，將來自不同站點的工業流量匯聚到中央的監控平台。文獻指出，Cisco Cyber Vision 感測器支援在 Catalyst 9300/9400 等設備上使用 ERSPAN。

這些流量擷取技術，是確保感測器能夠「看到」 OT 網路中所有流量的基礎。然而，它們本身並非感測器與中心之間的通訊協定。

表一：流量擷取技術比較

技術名稱	工作層次	核心機制	主要優勢	Cyber Vision 應用
SPAN	Layer 2	本地埠鏡像	簡單、低開銷	感測器與流量源在同一交換器上的本地部署
RSPAN	Layer 2	遠端 VLAN 鏡像	跨交換器、靈活	跨 Layer 2 網路的多交換器部署
ERSPAN	Layer 3	遠端 GRE 封裝	跨路由、多站點	跨 Layer 3 網路的多站點集中監控部署

2.2 感測器的邊緣處理能力

在感測器接收到複製的原始流量後，並不會直接將其轉發。這是 Cisco Cyber Vision 架構的關鍵所在。感測器內建的引擎會立即對流量進行深度處理。

• OT 協議解碼：感測器能夠理解和解碼數百種工業控制協議，例如 EtherNet/IP、S7、Profinet 等。這種能力使其能夠從流量中提取出豐富的應用層上下文，例如資產屬性、韌體版本、PLC 程式修改、變數變化等。
• 中繼資料生成：經過深度分析後，感測器會捨棄原始的、龐大的封包資料，僅生成並保留輕量級、結構化的「中繼資料」（metadata）。這些中繼資料包含了資產清單、通訊模式、漏洞資訊、安全事件等核心情報，這使得最終傳輸給中心的資料量極小，避免了對工業網路造成過載。

這種從「原始流量」到「精煉情報」的模式轉變，是 Cisco Cyber Vision 在 OT 網路中取得成功的基礎。它將傳統方案中所需的龐大網路頻寬需求轉變為輕量的資料傳輸，從而使其能夠在 OT 環境中實現低成本、高效率的規模化部署。

3. 感測器至中心的核心通訊協定分析

3.1 核心通訊協定：基於 HTTPS/TLS 的 API 傳輸

根據對 Cisco Cyber Vision 解決方案的技術文檔與開發者 API 文件的分析，可以明確指出，感測器將其分析後生成的輕量級中繼資料傳輸給 Cyber Vision Center 所使用的核心通訊協定是 HTTPS/TLS。

這種通訊機制是基於 RESTful API 的模型。感測器透過加密的 HTTPS 連線，向 Cyber Vision Center 的特定 API 端點發送資料。文獻中展示的 curl 和 Python requests 程式碼範例，均明確使用了 https:// URL 並發送 POST 請求，這直接證明了其底層通訊機制的運作方式。傳輸的資料內容是結構化的中繼資料，而非原始的網路封包。HTTPS 協定本身提供了傳輸層安全（TLS），確保了資料在傳輸過程中的加密與完整性。這對於傳輸敏感的 OT 資產資訊至關重要，可有效防範資料在途中被竊聽或篡改。

3.2 傳輸協定與流量監控協定的區別：為何不是 NetFlow/IPFIX？

傳統上，在 IT 網路中，流量監控常依賴於 NetFlow 或其標準化演進版本 IPFIX。這些協議主要用於收集 Layer 3 和 Layer 4 的流量資訊，如來源/目的 IP 位址、埠號、協議類型、封包與位元組計數等，它們能回答「誰在跟誰通訊」的問題。

然而，Cisco Cyber Vision 的目標遠超於此。它旨在提供深層次的 OT 安全洞察，例如識別特定的工業協議通訊模式、監控 PLC 程式的修改、偵測工業變數的異常變化等。這些豐富的 OT 上下文資訊無法透過標準的 NetFlow/IPFIX 欄位來傳輸。因此，Cisco Cyber Vision 的設計選擇是放棄 NetFlow/IPFIX，轉而採用更為靈活、可擴展的基於 API 的傳輸模型。這種設計使得該解決方案能夠傳輸任何自定義的數據類型，並隨著新的 OT 協議和安全情報的出現而輕鬆更新，從而專注於提供真正具備安全價值的「情報」而非單純的「流量統計」。

3.3 特定功能使用的輔助協定：TUS 協議的應用

儘管主要傳輸協定是基於 HTTPS 的 API，但 Cisco Cyber Vision 在處理特殊資料類型時，也會採用其他優化的協定。一個值得關注的例子是 PCAP 檔案上傳功能。Cisco 的開發者文檔明確指出，用於上傳新的 PCAP 檔案的 API 端點使用了 TUS 協議。

TUS（The Upload Server）是一種基於 HTTP 的可續傳上傳協定。它的應用表明，當需要處理大型檔案（如完整的網路封包擷取檔）時，Cisco 選擇了最適合該任務的協定。TUS 具備斷點續傳的能力，即使網路連線中斷，上傳也能從中斷處恢復，這對於可能因網路不穩定而導致長傳輸失敗的工業環境而言，提供了額外的彈性和可靠性。這種根據不同用途採用最優協議的設計，體現了產品在實際運維場景中的務實考量。

表二：Cisco Cyber Vision 核心資料流路徑

階段	關鍵技術/組件	數據形式	主要通訊協定
1. 流量擷取	Cisco 交換器 (SPAN/RSPAN/ERSPAN)	原始 OT 流量	埠鏡像技術 (非應用層協議)
2. 邊緣處理	Cyber Vision 感測器應用	輕量級中繼資料	無 (本地處理)
3. 資料傳輸	感測器 → Cyber Vision Center	結構化數據 (如 JSON)	HTTPS/TLS (主要), TUS (特定上傳)

4. 資料傳輸的安全性與實施細節

4.1 傳輸層安全：TLS 加密與認證

感測器與中心之間的通訊傳輸的是敏感的 OT 網路資訊，因此傳輸層的安全性至關重要。HTTPS/TLS 協定是實現這一安全目標的基石。TLS 提供了多重保護：

• 資料加密：確保所有傳輸的資料在網路上以加密形式存在，防止未經授權的第三方竊聽或分析資料流。
• 伺服器認證：透過數位憑證，感測器能夠驗證所連線的 Cyber Vision Center 是否為合法伺服器，防止中間人攻擊。雖然在初始部署時，可能會使用自簽名證書，但這是為了在安全連線建立前進行初始配置。
• API Token 認證：除了 TLS 加密，感測器還需使用預先配置的 API Token 進行身分驗證，以確保只有獲得授權的感測器才能向中心發送資料。

4.2 網路與防火牆配置的最佳實踐

為了確保安全且高效的通訊，Cisco Cyber Vision Center 的硬體設計本身就遵循了資安的最佳實踐。

• 專用網路介面：Cyber Vision Center 設備配置了兩個專用且分離的 10 Gigabit Ethernet 網路埠：一個是「Administration network interface」（eth0），用於使用者透過瀏覽器存取管理介面；另一個是「Collection network interface」（eth1），專門用於與感測器通訊。
• 實施網路分區：這種物理上的網路分離，強烈建議在邏輯上將感測器所在的 OT 監控網路與管理人員使用的 IT 網路進行嚴格的隔離。透過在網路邊界部署防火牆，並僅允許必要的通訊埠（如用於 HTTPS 的 TCP/443）在感測器與中心之間通訊，可以顯著降低橫向移動的風險，並將攻擊面縮小到最低。這種設計是「最小權限」與「零信任」安全模型在實體網路層面的具體應用。

5. 結論與專業建議

5.1 總結核心發現

綜合上述分析，Cisco Cyber Vision 解決方案中，從 Cisco 交換器到 Cyber Vision Center 的資料傳輸是一個分階段且經過精心設計的過程。首先，交換器透過 SPAN/RSPAN/ERSPAN 等技術將原始 OT 網路流量複製給內嵌的感測器應用。隨後，感測器在邊緣執行深度封包檢測，將龐大的原始流量轉換為輕量級的「中繼資料」。最終，這些中繼資料透過基於 HTTPS/TLS 的安全 API 傳輸給 Cyber Vision Center。對於需要上傳大型檔案（如 PCAP）的特殊場景，該解決方案則採用了 TUS 協議以確保傳輸的可靠性。

這種架構的關鍵在於其專為 OT 環境優化的核心特性：輕量級、安全、可擴展且不對網路造成過重負擔。它將繁重的處理任務從網路核心轉移到邊緣，從而將資料流從「頻寬消耗」模式轉變為「安全情報傳輸」模式。

5.2 對網路工程師與 OT 專家的建議

• 部署前準備：在部署感測器之前，務必確保感測器與中心之間的管理網路具備連線能力，並檢查防火牆規則是否允許必要的通訊。同時，精準的時間同步（NTP）對於事件關聯和分析至關重要。
• 善用邊緣能力：感測器本身具備強大的本地分析能力。在進行故障排除時，可以利用內建工具（如 tcpdump）在本地擷取流量，進行初步分析，無需將所有資料都傳送至中心。
• 實施網路分區：充分利用 Cyber Vision Center 專用的「Collection」網路介面，將 OT 監控網路與 IT 管理網路進行物理或邏輯上的分區，並配置嚴格的防火牆策略，這是提升整體解決方案安全性的關鍵。
• 融合 IT/OT 安全：Cyber Vision 能夠生成豐富的 OT 資產、通訊、事件和漏洞上下文資訊。建議將這些中繼資料與 IT 的安全資訊與事件管理（SIEM）平台（如 IBM QRadar 或 Splunk）進行無縫整合。這將實現 IT 與 OT 領域的事件關聯與統一的威脅分析，構建一個真正統一的 IT/OT 安全營運中心。

密碼竟是「123456」！McHire 平台爆出 64,000,000 筆求職者資料外洩危機

1. 事件發生經過（發生時間）

• 2025 年 6 月 30 日：資安研究人員 Ian Carroll 與 Sam Curry 開始調查麥當勞 AI 招聘平台 McHire，發現管理後台使用預設帳號密碼「123456」可登入，包括開發／測試環境。
• 登入後透過 API 發現 IDOR（不安全直接物件參照）漏洞，修改 applicant ID 即可存取其他求職者資料，整個過程約半小時內完成。
• 同日即通報 Paradox.ai 與麥當勞，Paradox.ai 於數小時內停用預設帳密，並於 7 月 1 日完成漏洞修補。

2. 影響範圍

• 該平台可能暴露超過 64,000,000 筆申請人資料，包括姓名、電子郵件、電話號碼、聊天紀錄與其他申請資訊。
• McHire 平台由 Paradox.ai 提供，覆蓋約 90% 麥當勞特許經營商的招聘流程，影響範圍廣泛。
• 雖然僅有 5 筆申請人資料被研究人員實際存取，但若落入不法人士手中，恐造成大規模釣魚詐騙、社交工程攻擊等風險。

3. 補救與防範措施

• 立即停用所有預設帳號與弱密碼（如「123456」），並要求管理／測試帳號設置強密碼並定期強制變更。
• 為所有管理入口啟用多因素驗證（MFA），避免單一帳密成為資安破口。
• 移除或封存所有不再使用的開發與測試帳號或環境，避免留有遺留入口。
• 針對第三方供應鏈（如 Paradox.ai）強化安全稽核，要求依照 SOC 2、ISO 27001 等標準，並納入合約與審查流程。
• 建立漏洞獎勵計畫（Bug Bounty Program），鼓勵外部資安研究者協助偵測潛在漏洞，以便提前修補。

4. 參考連結

• TechNews 報導：「麥當勞 AI 徵才機器人爆資安災難，6,400 萬筆求職者資料可能外洩？」 
• Wired 深度揭露：「McDonald’s AI Hiring Bot Exposed Millions of Applicants’ Data to Hackers Who Tried the Password ‘123456’」
• Tom’s Hardware 與 Forbes 等媒體報導事件細節與影響分析
• 
  

---

Picture from : HKCert

深偽技術現形：2024香港Deepfake詐騙事件分析與防範建議

一、事件發生經過

1. 技術公開與貼近應用

2024年3月11日，HKCERT 在官方博客發表「深度偽造：有圖未必有真相」文章，揭示 深偽技術（Deepfake） 結合深度學習與影音偽造技術的應用，已廣泛出現在換臉、仿聲等場景。

2. 犯罪事件實例

2024年2月，香港首次出現 Deepfake 詐騙案。不法分子利用 YouTube 取得公司高層影音素材，偽造視訊會議畫面，冒充高層向員工下達匯款指令，造成損失達數億港元。

二、影響範圍

1. 企業及金融損失

單次詐騙即導致公司損失超過 2 億港元。詐騙過程中會議快速結束，員工難以及時查證資訊真偽。

2. 個人與聲譽風險

Deepfake 可用於製作色情誘騙、假冒名人聲音、散播錯誤訊息，甚至生成不雅影片進行勒索。即便是一般民眾也有可能成為受害者。

3. 社會信任危機

當「有片不代表真實」成為常態，將嚴重動搖公眾對影音資訊的信任，進一步影響媒體素養、法律認定與社會共識。

三、補救與防範措施

1. 會議安全驗證

• 核實會議邀請者身份與鏈接來源
• 要求對方即時進行特定動作（如點頭、揮手）以確認為真人

2. 觀察影音特徵

• 聲音與畫面不同步
• 光影不自然、膚色不協調
• 嘴型與語音不同步、眨眼頻率異常

3. 資料隱私保護

• 避免公開過多臉部與聲紋數據
• 不參與陌生視訊會議
• 避免在未驗證會議中透露敏感資料

4. 使用防偽技術工具

• 網站與媒體可加電子水印技術
• 提升機構與個人對 Deepfake 識別工具的使用能力

5. 提升媒體素養與教育

• 定期進行員工培訓
• 採用多來源資訊進行交叉比對
• 不盲目相信影音內容

四、參考連結

• HKCERT 官方博客：「深度偽造：有圖未必有真相」
• HKCERT 安全公告：「釣魚警報—AI Deepfake 詐騙」實例
• 防偽技術與識別資訊綜合介紹

Black Belt Cisco AI Strategy Quiz - presales

 

https://partnerlearning.cisco.com/new/ui/learner/training/programs/1887546992813355363/certifications

Quiz 1

1. Why is monitoring AI system latency important?

Options:

1. Ensure system fast timely response

2. Identify when the system needs to be rebooted

3. Reduce the volume of processed data

4. Increase security levels

Correct Answer: Ensure system fast timely response 

---

2. Why is it important to have a scalable network infrastructure for AI?

Options:

1. Support data-intensive processes and minimize latency

2. Simplify management of user accounts

3. Reduce internet costs

4. Simplify maintenance

Correct Answer: Support data-intensive processes and minimize latency

---

3. Which programming languages are used most often in AI development?

Options:

1. Python and Java for their flexibility and extensive libraries

2. C++ and Assembly for high performance

3. PHP and Ruby for web development

4. HTML and CSS for user interfaces

Correct Answer: Python and Java for their flexibility and extensive libraries

---

4. How can customers reduce risks when implementing AI?

Options:

1. Focusing on local regulatory requirements and ignoring norms of other regions to avoid instruction conflicts

2. Limiting the use of AI to the minimum possible

3. Developing and implementing a strict data management and AI usage policy

4. Avoiding the use of cloud technologies

Correct Answer: Developing and implementing a strict data management and AI usage policy

---

5. What characterizes reinforcement learning?

Options:

1. Learning based on rewards and punishments

2. Using labeled data

3. Analyzing unstructured data

4. Used exclusively in games

Correct Answer: Learning based on rewards and punishments

6. What principle underlies expert systems operation?

Options:

1. True – False. Evaluates the truthfulness of data based on databases

2. If – Then. Follows a set of predefined rules.

3. Do – While. Determines when to stop routine processes and requests expert assistance for finding solutions.

4. Analysis – Redirection. Analyzes the question and redirects it to the expert in the database who specializes in the relevant topic.

Correct Answer: If – Then. Follows a set of predefined rules.

---

7. Where did the evolution of AI begin?

Options:

1. With attempts to mimic human thinking

2. With attempts to merge several programs into one

3. As a byproduct of the development of neural networks

4. With attempts to create a better internet distribution controller

Correct Answer: With attempts to mimic human thinking

---

8. Why is data processing and labeling important in AI development?

Options:

1. Ensure the accuracy and relevance of training data

2. Reduce the volume of stored data

3. Accelerate network connections

4. Simplify the user interface

Correct Answer: Ensure the accuracy and relevance of training data

---

9. How can AI help companies manage their IT infrastructure?

Options:

1. AI provides basic support to IT staff without affecting infrastructure management.

2. AI reduces maintenance costs for accounting by optimizing usage

3. AI improves performance and ensures higher security

4. IT infrastructure helps manage AI, not the other way around

Correct Answer: AI improves performance and ensures higher security

---

10. What ethical challenges are associated with the development of AGI?

Options:

1. Creating autonomous military systems

2. Enhancing production efficiency

3. Managing impacts on employment and social justice

4. Improving user interfaces

Correct Answer: Creating autonomous military systems

Quiz 2

Question 1

Which of the following AI technologies directly addresses behavioral analysis and proactive threat detection?
A. automated responses
B. coordinated responses
C. threat prioritization
D. machine learning

Answer: D. machine learning

---

Question 2

You are speaking with a customer who is looking on adopting AI infrastructure, however they are concerned about possible sensitive data leakage during AI model development. What solution will address their security concern?
A. Complexity; the appropriate solution is Cisco Hypershield.
B. Improper use of data; the appropriate solution is Cisco Hypershield.
C. Sensitive data leakage; the appropriate solution is data loss prevention.
D. Complexity; the appropriate solution is Cisco Identity Intelligence.

Answer: C. Sensitive data leakage; the appropriate solution is data loss prevention.

---

Question 3

What is a primary concern for customers that the Cisco Responsible AI Framework addresses?
A. Spiraling costs of AI-based technology solutions
B. Increased complexity of AI solutions
C. Collection and use of personal data
D. Logistics in retraining employees affected by AI

Answer: C. Collection and use of personal data

---

Question 4

What key feature benefits organizations when incorporating AI in networking solutions?
A. Manually configured software that AI corrects in real time
B. Uncovered human error at the expense of higher costs
C. Increased automated and streamlined operations
D. Improved tracking of network downtime

Answer: C. Increased automated and streamlined operations

---

Question 5

In a Webex meeting today, your supervisor gave you detailed instructions on your next assignment and how to accomplish it. Which of the following Webex features will be most helpful to you when you review the recording?
A. gesture recognition
B. virtual backgrounds
C. meeting summary
D. language translation

Answer: C. meeting summary

---

Question 6

In which way does Cisco’s partnership with Nutanix provide a more efficient AI deployment for its customers?
A. Flashstack for AI
B. A multicloud UCS-X powered multicloud, hyperconverged solution
C. Flexpod Datacenter for AI
D. Unicloud environment UCS-X powered unicloud, hyperconverged solution

Answer: B. A multicloud UCS-X powered multicloud, hyperconverged solution

---

Question 7

Identify two partner concerns that Cisco CX Cloud attempts to address. (Choose two.)
A. The increasing costs of technology due to the introduction of AI
B. The need to clearly define business outcomes
C. The continuous need of retraining professionals
D. The need to reduce the complexity of planning and integrating technology
E. The need to articulate AI benefits to prospective customers

Answer: B. The need to clearly define business outcomes
D. The need to reduce the complexity of planning and integrating technology

---

Question 8

What are three elements of the Cisco security strategy that mitigate potential threats across an organization’s attack surface?
A. Data loss prevention, Silicon One technology, GPU security
B. Zero trust, microsegmentation, data loss prevention
C. Data loss prevention, GPU security, RMDA technology
D. Data loss prevention, zero trust, InfiniBand

Answer: B. Zero trust, microsegmentation, data loss prevention

---

Question 9

A manufacturing firm is implementing an AI-based software solution to simulate their production environment with the goal of improved production efficiency and reduced time-to-market for new products. What is the term for this software-based solution?
A. Supply-chain optimization
B. Intelligent quality control
C. Key performance indicator monitoring
D. Digital twin environment

Answer: D. Digital twin environment

---

Question 10

What is the functionality that provides visibility across the customer’s entire technology landscape?
A. AppDynamics real-time performance monitoring
B. ThousandEyes end-user monitoring
C. Cisco Full-Stack Observability
D. Cisco Hypershield

Answer: C. Cisco Full-Stack Observability

濫用人工智慧違反《日本不正存取禁止法》的案件示意圖

AI＋ChatGPT協助未成年人闖資安禁區：3日本少年駭入楽天伺服器

1. 事件發生經過（發生時間）

• 時段：2024年5月至8月間，3名年僅14～16歲少年利用非法方式取得他人帳號密碼，不當登入楽天モバイル伺服器，並擅自以他人名義開通電話通信線路，共計105條該公司線路被濫用（資料來源：asahi.com）。
• 偵查與逮捕：警方偵查發現，這三名少年前後賣出約2,500條通信線路，販售金額約合日幣750萬（約新台幣150萬元），最終於2025年2月27日將三人依違反不正存取幫助法及電腦使用詐欺罪名逮捕，具體觸犯《禁止非法存取法》與《電腦詐欺罪》。

2. 影響範圍

• 受害數量：共有至少11名使用者的帳號被盜用，合計被用於105條新線路申請，波及個人資訊安全。
• 社群售賣規模：線路被非法售出給犯罪團體，再經轉賣獲利，造成加密資產市場受洗錢、詐騙資金流動等影響。
• 社會負面效應：事件揭示少年涉入網路詐欺，濫用 AI 工具（如 ChatGPT）協助犯罪，引起各界對未成年人網路素養與監控的高度關注。

3. 補救防範措施

• 強化身份驗證機制：推動雙重身份認證（2FA），尤其在遠端登入、開通通信線路情境下加強資料核對。
• 監控 AI 工具濫用核查：通信業者應與科技部門合作，偵測並阻止透過 AI 模型（如 ChatGPT）生成犯罪行為腳本，找出異常登入與操作模式。
• 提升資安教育與少年防範意識：加強校園與家庭資安宣導，告知未成年學子 AI 技術的倫理界限與風險。
• 行政與法制配套完善：改進取證流程與少年司法制度，協助警方快速鎖定流程並追查加密貨幣交易資金流向。

4. 參考連結

👉 朝日新聞全文報導