IT業界資訊媒體

【獨家專訪】本地最強 intelligence platform AdvSTAR

香港嘅 startup 唔算多,金融科技範疇嘅,更屬罕見。AdvSTAR 由 Joe Chan 帶領,成功將研究院項目變成實際應用,叫好又叫座,當中嘅成功關鍵、經驗絕對值得借鑑。

防到一次 attack,已經極之好

Cyber Security 嘅有趣之處,就係「做咗好似冇做」,feel like yesterday。而冇事發生,就係最好,尤其係金融銀行業。「因為有一啲消息、資訊、本地情報、特定 APT、盲點、新型 attack 等,係佢地未必睇到,或者有某啲限制做唔到。對佢地來講,只要防到一次 attack 都已經極之好。」AdvSTAR 嘅誕生,正正針對金融、銀行及大企業特性,度身設計,揉合不同技術及程式,進行收集、發放、驗證、分析及配對資訊,同時提出專業建議、技術分享等。甫推出即獲各金融、銀行及大企業樂意採用,究竟成功關鍵係乜呢?

Joe Chan, AdvSTAR 行政總裁
Joe Chan, AdvSTAR 行政總裁
第一個條件,興趣

要成功發展事業,第一個條件,係興趣。而 Joe Chan 與團隊嘅興趣,都幾乎寫咗响個額頭。「我自小喜歡玩電子產品、玩電腦。正如好多電腦迷,越玩越深入,就嘗試去改變程式嘅運作,或者去 bypass 一啲 security block,就係所謂嘅 reverse engineering,簡單而言,即係 hacking。好自然,大學選修電子,然後從事 AAC、audio compression、IT 行業,同時又繼續研究電子電腦,總之都係圍繞 IT。」後來 Joe Chan 加入 ASTRI(香港應用科技研究院),成立一個 14 人嘅 cyber security lab,成員有 hacker,有做 penetration test,亦有做加密算法,全屬業界精英,團隊對 IT 嘅熱誠達 200%,證明有興趣有熱誠,是成功嘅首要關鍵。

AdvSTAR 揉合多個不同技術及程式,協助大企業強化保安
AdvSTAR 揉合多個不同技術及程式,協助大企業強化保安
先了解,後研發

AdvSTAR 嘅另一成功關鍵,係研究團隊從 day one 開始,已經與香港金融機構緊密溝通。先了解,後研發,因此能準確掌握行業特性、限制及需求。「與香港不同金融機構接觸之後,我地發現,大家都不約而同提出一個問題,就係太多 cyber attack 資訊,而機構自己又好多系統。咁究竟邊啲 attack 與自己有關?與邊個系統有關?系統之間有乜關聯性?同時大機構嘅網絡服務越來越繁複,就算有再多資源,都未必可完全照顧所有事情。我地團隊就開始研究如何幫助佢地。」答案係開發一個 Intelligence Platform,後來金管局獲悉,引進銀行公會、警方參與,令研究成果豐富更成熟。「不過,研究院主要工作始終係研究,而且不只一項研究,但金融機構又需要呢個 platform 甚至更多服務,最後,不如將研究成果做個 spin-off,即係 AdvSTAR。」

邊了解,邊研發

香港乃國際金融、銀行業重鎮,已經係一個大市場,而且創業門檻低,法制簡單清晰,理應係培育金融科技網絡保安嘅上佳土壤,然而,成功商品化嘅研究項目非常少。「香港比較少呢類 research base 嘅公司,其中原因係做 research 嘅學者有時未必考慮到用家實際情況,而我地係做 industry driven 嘅 research,好重視實際運用時嘅 feed back,因為咁樣先可以改進,再 feed back 再改進,形成正面嘅循環。」Joe Chan 認為,關鍵之一,係要不斷溝通修正,即係 action research,一路 action,一路 research。 AdvSTAR 最近更獲得 2018 香港資訊及通訊科技獎「金融科技獎」優異證書,成績靡然。

AdvSTAR 最近更獲得 2018 香港資訊及通訊科技獎「金融科技獎」優異證書,成績靡然
AdvSTAR 最近更獲得 2018 香港資訊及通訊科技獎「金融科技獎」優異證書,成績靡然
大小企業,各有分別

AdvSTAR 特別針對獨特市場,而縱觀香港嘅網絡保安環境,其實可以分為幾個層面,每個都有其獨性。「大企業可以分兩種,一種屬受監管,另一種屬於冇受監管。受監管即是有監管機構如金管局、保監局等。」Joe Chan 指,呢類企業非常注重網絡保安,一定已經投放資源,已經做好保安工作,否則牌照都不保。

「另一類大企業,冇受監管,例如零售業、旅遊業、珠寶業,冇受監管唔代表冇網絡保安,亦有唔少做得好好嘅。但經常出現嘅情況係,話有 security,有 anti-virus 有 Firewall 啦,但冇正確地做 configuration,咁基本上即係 no security。更多情況係冇理會任何漏洞、冇做 assessment,好多時抱持『都冇人監管』、『出咗事的話,最多咪倒翻(restore from backup )囉』嘅心態。但倒翻,即是個漏洞依然存在。到真係出事,大家先識得驚。」其實大企業有的是資源,欠的是正確保安意識,只要大企業明白網絡保安嘅重要性,就可以好快做好。反而,中小企嘅問題更令人擔心。

AdvSTAR 對中小企嘅關懷,同樣上心,公司對此正積極進行研究
AdvSTAR 對中小企嘅關懷,同樣上心,公司對此正積極進行研究
關心中小企網絡保安問題

雖然目前嘅服務對象係大企業大機構,但 AdvSTAR 對中小企嘅關懷,同樣上心。「至於中小企,網絡保安方面,差唔多全部都中門大開,就算有,都不太嚴謹。原因可能係 IT 同事未必與時並進,更常見嘅問題係冇乜 budget,又唔知點搞。而且,做保安部署之後,唔會有任何分別,中小企老闆會感覺好唔實在,又擔心電腦系統因此被拖慢。另一個新現象係,好多公司開始用 cloud service,企圖將網絡保安工作交予 service provider,其實都好有問題。」

「除咗業界交流,我地亦對其他非專業團體演講,如扶輪社、獅子會等,佢地好多時會問:有冇乜嘢可以幫到我地呢啲中小企?」以 Joe Chan 有十幾年接觸中小企嘅經驗,清楚中小企嘅情形。「呢個問題其實好難答,我都好想幫佢地,但一來實在冇咁大 manpower 逐個幫手;二來,我地主力做研究,所以希望從研發入手。」據 AdvSTAR 透露,公司正積極進行研究,睇睇可以為中小企做啲乜嘢。大家密切留意,期待有創新產品一解中小企網絡保安之苦,咁就真係造福萬民。