網絡詐騙案件不斷增加，無論是個人抑或是各行各業，都可能成為騙徒的目標。為協助公眾識別網絡陷阱及預防詐騙，政府資訊科技總監辦公室(OGCIO)、香港警務處(HKPF)及香港電腦保安事故協調中心(HKCERT)合辦「全城攜守　網安在手」網上研討會，由資訊保安專家分享網絡世界中的隱患，以及可採取的網絡安全措施。

立即報名

數碼轉型（Digital Transformation）在過去幾年大行其道，成為企業必不可少的成功步驟，加上遙距工作在疫情下急速發展，到底為網絡架構帶來甚麼衝擊？零信任（Zero Trust）為何會成功「彈出」顛覆網絡架構，甚至取代部分 VPN 與防火牆功能？面對日新月異的人工智能（AI）攻擊，企業又應該如何自保？小編請來業界專家 Zscaler 大中華區區域總監袁蔚豪（Henry Yuen），為大家剖析網安趨勢。

VPN 易造成網安漏洞

企業講數碼轉型，不外乎是「由地上天」，例如將應用程式放到雲端，但在網絡架構的層面上，其實未有出現根本性改變。Henry 解釋，傳統以來維護網絡安全做法就如同城堡形式，利用防火牆、IPS 等防護工具作城牆，保護城堡內的重要數據。至後來雲端應用、遙距工作的出現，就演變成利用 VPN 連接用戶、分支辦公室及雲端，但城堡形式的做法仍是一致的。

VPN 成為了員工在外存取內部應用程式及數據的重要工具，惟久而久之，又衍生了用戶「無王管」存取權限、用戶體驗問題等，出現延遲性之餘，安全風險及攻擊面亦會大增，只要有一部機被竊取帳戶與密碼，便足以感染整個公司網絡。事實上，Gartner早於 2019 年便曾預測，企業將逐步淘汰 VPN，轉而使用 ZTNA（零信任網絡訪問），Henry 坦言：「如果 VPN 沒有一個新改動，很大機會被淘汰。」

取而代之的，便是近年備受歡迎的零信任安全架構，意味著不再需要傳統基礎建設，利用零信任概念，做到「VPN Free」或「Firewall Free」——即完全不需要 VPN 或防火牆。

料更多企業採用混合模式

實際上是如何操作呢？Henry 以雲端安全服務聞名的 Zscaler 作例子，用戶可以由 5G 或 Wi-fi 接駁到 Zscaler 零信任雲端原生平台（Zero Trust Exchange），簡單直接地連接到不同應用程式、數據中心等。Zscaler 零信任雲端平台以 SASE 為核心，提供網絡防火牆、資料外洩防護（DLP）、網頁安全（SWG）、雲端存取安全性代理程式（CASB）等，利用雲端原生優勢，提高安全性及用戶體驗。

不少香港企業會雲端服務上選擇混合模式（Hybrid mode），Henry 預算越來越多企業也會在網絡架構上傾向Hybrid mode，既保留部分傳統網絡，又採用新式零信任架構，估計未來 5 年 VPN 及防火牆暫時不會完全消失。他指出一些擁有龐大又複雜網絡的企業，需要解決不少根本性問題，如一直支付高昂費用更新軟件、所採用的軟件未能跟上市場需求等，或是因業務需要將兩個網絡整合時，Hybrid mode 便成為不少企業之選，Henry 稱：「可能直到企業覺得夠 comfortable 及 mature 時，便會慢慢 fade out 部分 Firewall，令 Firewall 越來越少。」

企業難獨自抵禦 AI 攻擊

要講網安趨勢，絕對不能不提及 AI，尤其是生成式人工智能（Generative AI）崛起後，更成為一把雙面刃。企業一方面想利用 AI 增加收益、提升員工生產力，但一方面又感受到 AI 所帶來的網絡威脅：到底應否准許員工應用 AI 工具？應該賦予多少數據予 AI 工具？如何保障公司資料不外洩？片段中的人到底是真人還是 AI 合成的？種種仍然未解決的問題，Henry 直言一般企業都並非 IT 專家，要他們安全又妥善地應用 AI、以及抵擋 AI 攻擊是相當困難的，建議企業不要單靠自己，應尋求對 AI 有豐富認識的合作夥伴。

因應 AI 而衍生的攻擊層出不窮，Henry 認為黑客的攻擊就如同變種病毒，而網絡安全專家就如同醫生，「如果遇上 Covid，醫生都不能即時反應，也要研究才知道如何應對、研發新藥物」，前提是醫生必須擁有豐富專業知識及足夠資源去研究，而一直專注於網絡安全的 Zscaler，正正擁有上述兩大條件，非常適合成為企業網絡安全的醫生。

Zscaler 究竟如何利用 AI 助客戶應對網絡威脅？在 Zscaler 即將舉行的「One True Zero Live」活動中，可進一步了解更多透過 AI 驅動的威脅防護方法，以及如何借助 AI 簡化並自動化數據保護計劃，並由專家一對一教導實施零信任，簡化及加強用戶、分支辦分室及雲端連接。請即報名參加：https://bit.ly/49rjR1O

活動詳情：
日期：2024 年 4 月 25 日（四）
時間：9am 至 5pm
地點：CENTRICITY（干諾道中 8 號置地遮打大廈 2 樓）
立即報名： https://bit.ly/49rjR1O

越來越多注重安全的企業會採用 HSM（Hardware Security Module，硬件安全模組）以保護交易、身分及應用程式。領先全球的數據保護解決方案供應商 Thales，宣布其專為保護加密密鑰生命週期而設計的 Thales Luna 7 系列 HSMs，成為業界首款通過國際級 FIPS 140-3 三級審查認證的產品，代表 Thales Luna HSMs 在安全性方面達到行業最高標準，能為客戶資料安全提供最高級保護，並滿足合規與監管需求。

最新國際標準安全認證

FIPS 140（聯邦信息處理標準）是由美國國家標準與技術研究院（NIST）定義的一套加密模組安全要求，由國家授權的實驗室進行功能測試及結構化程式碼審查，以確認產品符合該安全等級。

現時，FIPS 140-3 是安全認證標準的最新版本，自 2021 年 9 月起取代 1998 年開始使用的 FIPS 140-2，更緊密地與 ISO/IEC 國際標準接軌，確保加密模組能充分應對量子攻擊帶來的挑戰和威脅，更好地適應當今的技術環境。

而業界首款通過 FIPS 140-3 認證的產品，是 Thales Luna7 系統 HSM（包括網絡及 PCIe 所有型號），符合 ISO/IEC 19790 國際標準。

現有客戶可進行韌體升級

Thales Luna7 系統 HSM 可以將加密密鑰存儲在硬件中，由於所有加密操作都在 HSM 內部進行，具有嚴格的訪問控制，未經授權用戶難以訪問敏感的加密資料。Thales 更採用多項操作以簡化安全 HSM 的部署，與 Thales 加密命令中心集成，快速輕鬆地進行加密資源的分區、報告和監控。

Thales 雲保護和軟件授權業務大中華區及韓國區銷售總監 Wayne Hui 表示相當榮幸，形容產品通過 FIPS 140-3 認證屬一大成就：「這一成就彰顯了 Thales 致力於為客戶的關鍵數據資產提供最高級別的安全和合規保障，為抗量子演算法做好充份準備。」而現有客戶只須進行韌體升級，即可採用經 FIPS 140-3 認證的安全解決方案，保障客戶投資回報。

FIPS 140-3 認證特點

FIPS 140-3 審查測試嚴格，進一步提高對測試實驗室的要求，以確保對模組進行充分測試，即使在全球不同實驗室及國家之間，均可保持更一致的安全水平，其認證特點包括以下幾點：

．為 HSM 用戶提供靈活性：FIPS 140-3 允許在同一平台上同時支持已批准和未批准的服務，讓用戶能夠既採用新應用程式的新標準，又可滿足傳統應用程式的約束。

．增強模組自檢功能：在三級水平，FIPS 140-3 新增了對 HSM 等模組的定期自檢，從而確保這類長時間運行的模組能持續安全運作。

．CVE追蹤和代碼質量：FIPS 140-3 要求具備審查和追蹤可能影響模組的 CVE 之能力，加強了內部代碼質量的維護規則，即使代碼不直接暴露於外部環境，也無法被 HSM 用戶掃描或檢測。

．量子安全加密：FIPS 140-3 將引入認證後量子加密（PQC）算法的能力，為應對量子攻擊帶來的挑戰和威脅做好準備，採用經 FIPS 140-3 認證的安全解決方案是構建量子安全、加密敏捷安全態勢的關鍵，可確保企業當前及未來的安全。

根據該國際級標準，證明通過認證的 Thales Luna HSM 亦具備上述特點及優勢。如欲了解更多關於 Thales Luna HSM 及其 FIPS 140-3 三級認證的資訊，可瀏覽相關網頁：https://cpl.thalesgroup.com/compliance/fips-140-3。