疫情期間,人人Work From Home,但是否所有人的家居網絡保安設備,都能夠抵禦黑客入侵?一個漏洞足以洩露公司機密,隨時成為千古罪人!更何況全家人都留在家使用網絡時,其中一人「中伏」就會累全家,自己分身不瑕,又如何睇實阿仔阿囡?!但在短時間內難以提升家中網絡保安級別,有咩法寶可以即刻幫到手呢?香港寬頻(HKBN)與全球網絡資訊保 安方案領導廠商 Trend Micro 聯手打造的 Home Gateway,絕對是你「看門口」之選,一個裝置集封鎖網絡攻擊、攔截危險網站及檔案、限制遠程存取入侵等功能,配合 HKBN HomeGuard 流動應用程式使用,更能管理子女使用網絡時間,一次解決在家工作的網絡保安問題! Home Gateway保障家用網絡 無懼WFH挑戰 黑客攻擊家居網絡是全球各地均有受害案件,HKBN 持股管理人及科技總裁李友忠(Danny Li)表示,一般企業、公司有防火牆阻擋攻擊,但一般家用網絡缺乏保障,變相易受惡意攻擊。在屋企這種不會有專責 IT 部門的工作環境,所需要的是操作簡單、功能齊備、保護力強的多功能防禦系統。Danny 指出,Home Gateway 使用時相當 Layman,全部防護措施自動運作,用家毋須操心,倘遇攻擊便會立即收到警示,而所有連接到 Home Gateway Wi-Fi 或LAN的裝置,立即受保護,如果遇到技術問題,可以隨時聯繫 7 x 24 全天候技術支援熱線,即時獲得HKBN專業團隊解難。另一方面,Home Gateway 亦包含家居電話功能,在家中開電話會議亦無問題。 HomeGuard 流動應用程式 隔絕不良資訊 結合 HomeGuard 流動應用程式使用,能封鎖外來入侵,阻擋到訪釣魚網站,而且具有家長監護功能,可以設定子女上網時段限制,避免他們過度沉迷上網,並能阻擋他們接觸不良資訊,即使工作中也不怕難以控制子女接觸網上資訊。疫情期間,不少公司在2、3月時突然決定實行在家工作措施,Danny 形容有公司因為「夾硬」推行政策而中招,「(公司網絡保安)開道門讓家用用家執行系統就有漏洞,因此要強化基礎架構(enhance infrastructure),不少公司需要購買解決方案(solution)和 產品(product),而遙距方案(remote solution)、設備、軟件的需求亦增加」,他指 HKBN 當時甚至為客戶提供免費的設備臨時使用,「幫助他們先熬過這幾個月」。同時,他們亦鼓勵依賴紙本的行業數碼轉型(digital…
Search Results: 外判 (40)
香港的資訊科技鑑證(Digital Forensics)專家,大部分都集中在政府執法部門內,坊間的專家數量少得有如特務般神秘,原來有段古。提供鑑證服務的網絡安全公司 eWalker 首席顧問楊思聰 (Ricci),是香港第一代資訊科技鑑證專家,更是首位以IT人員身份於法庭提供專家證供。「大約在 2000 年,當時執法部門開始想培訓本地鑑證人才,我們(資訊保安及法證公會, ISFS)的創會主席 (已故的陳天雄教授) 好有前瞻性,便接受邀請籌備香港第一個鑑證訓練課程,定義鑑證的內容及如何做鑑證,所以現時執法部門內有很多我們的學生。」 他解釋說,以往執法部門也會外判鑑證服務,但如鑑證專家在審訊期間離職,便難以找其他專家「執手尾」,所以執法部門現已傾向交由內部人員搜證,更羅致了本港大量人才。另一方面,他說懂得使用電子證供的律師亦不多,如其他證供在庭上已可穩贏,律師便不會考慮使用,變相令坊間的鑑證行業生存空間有限,專門從事這行業的人不多,才會變得如此神秘。 Ricci說全球有三間公司有出售破解工具,甚至亦成功破解新的智能手機,但這些公司只會將工具賣給執法部門,我們雖然也有購買這些工具,但秘技功能卻只有執法部門才可以使用。 鑑證過程等多過做 事實上,Ricci 說資訊科技鑑證一點也不神秘,調查過程也沒有一般人想像中的驚險刺激,投放得最多的時間,反而是前置作業。「處理跟裁判有關的電腦鑑證,首先要合規地完整複製證物內的數據,才可用這份副本進行調查,複製過程中不可改動到正本內的任何數據,否則有可能令這份證物失效。」Ricci 說單是如何取證及保管證物已有一定程序需要遵守,再加上現時儲存設備的容量動輙以 TB 計,以複製一隻 1TB 容量數據為例,便要…
「疫境底下無喜事」,可說是新冠肺炎疫情爆發後血淋淋的現實寫照,幾乎任何人也難以躲過疫情影響,零售、飲食、娛樂、交通運輸……各行各業的生意直插谷底,員工被裁員被停工,社會上一片愁雲慘霧。不過,佛系、怨天尤人式抗疫實在無助度過時艱,有本地企業就透過創新科技增加銷售額,收集重要大數據待疫情過後起飛;亦有本地機構急人之急,短時間內推出正念抗疫計劃,透過免費提供遙距工作安全工具及舉辦網絡分享會,助企業嚴密把關,避免於疫境再受網絡攻擊,傷上加傷。 疫情底下無好事?Fortinet 與中信國際電訊 CPC 合辦的疫境創新路網絡研討會,便邀請了善用創意與科技的本地企業,分享如何積極面對疫境。 全球疫情嚴峻,面對著每天數以萬宗新增個案,網絡上自然是負面消息氾濫。不過,上星期網絡安全服務供應商 Fortinet 及ICT服務供應商中信國際電訊CPC(以下簡稱 CPC),就攜手舉辦疫境創新路網絡研討會(Webinar)系列,一連三集,為大家分享以科技及創意抗疫的例子及相關訊息。頭炮邀請了本地珠寶商周大福,分享公司如何透過創新科技,與員工一起拓展電子商貿業務。 Fortinet 香港、澳門和蒙古區域總監Cherry Fung透露,在一連三集的網絡研討會中,除了Fortinet 及CPC 會以科技提供者身份分享抗疫期間科技小竅門,還請來3位出色的商業創新者 (business innovators ),分享他們如何在短時間內,就巿民的「新日常」,再研發他們營商模式,從而幫助市民繼續正常生活之餘,並為其業務創出機遇。Cherry 表示,「科技的發達,已能令我們足不出戶接觸到世界。是次網絡研究會系列是希望透過商業創意及科技小竅門交流,希望在疫情下,有更多人能夠找到自己的新出路。」 CPC 產品開發及管理部高級副總裁Taylor…
一般認爲黑客只會向大企業埋手,發動網絡攻擊以勒索更多金錢,但這觀念其實大錯特錯。事實上,不只大企業,中小企每日都會收到大量釣魚電郵,當中包括惡意連結及勒索程式附件,一不小心隨時中招。去年本港有調查報告顯示,逾七成中小企在過去十二個月曾發生網絡事故或遭受網絡攻擊,愈來愈多黑客瞄準中小企攻擊。另外,根據香港生產力促進局發布的「SSH香港企業網絡保安準備指數 」的分析,中小企業繼續維持在基本(Basic)評級,反映大部分中小企管理者仍未有足夠的安全意識,對有可能造成的損失掉以輕心。英國保險公司 Hiscox 早前發表的研究報告便指出,英國小企業一旦遭受攻擊,每宗事故平均造成約2.57萬英磅損失,包括用於交付贖金、修復數據或購置硬件等,可見中小企絕不可以輕視網絡安全問題。 捨難取易 黑客密食當三番 一旦受到黑客攻擊,中小企管理者第一時間普遍只會高呼不幸,慨嘆被「亂槍打中」。但想深一層,中小企真的沒有被攻擊的價值?答案肯定不是。首先,黑客傾向捨難取易,絕大部份的中小企都疏忽於網絡安全及缺乏備份的意識,就算有選購網絡安全工具,防禦力亦較為薄弱,自然很容易被攻破;更甚者公司內部的電腦及物聯網(Internet of Thing, IoT)裝置被侵略而變成殭屍網絡,被黑客利用去攻擊勒索贖款對象。其次,黑客們洞悉商業社會的生物鏈關係,大企業為節省成本,將工作外判中小型企業,所以只要攻陷規模較細的承包商,絕對可成為入侵大企業的跳板。種種原因,都會置中小企於危牆之上,大企業亦不能倖免。 的而且確,沒有採用適當的防護措施,會令企業在多方面都曝露出安全漏洞,例如電腦設備、物聯網裝置、POS 系統,以及現時流行的 BYOD(Bring your own device)工作模式等,簡單的防毒軟件或防火牆,未必足以應付黑客日新月異的攻擊。另外,看似簡單的 Wi-Fi 無線網絡,卻可能因設定出錯而出現缺口,讓黑客可輕易進入公司網絡作惡。 尤其近來外圍因素多變難測,不少企業讓員工在家或遙距工作以提高工作效率。但有可能面對遙距網絡連接的防禦不足問題,包括數據傳輸未有加密、電腦或手提設備防護不足,未能夠發現和阻隔黑客精密的網絡攻擊等。此外,員工有機會在缺乏足夠保護的無線網絡上工作或在未有以多重登入身份驗證或登入權限界定不夠仔細的情況下,假若公司內部沒有做好網絡間隔(Segmentation),都可令黑客乘機長驅直入。黑客除了借助勒索程式要求贖金、盜取公司機密和暗中利用殭屍裝備發動分散式阻斷攻擊(DDoS, Distributed Denial of…
美國研究機構 ESG 最近出咗份調查報告,訪問咗北美 400 個喺中小企(美國定義為少於 500 人)返工嘅網絡保安同埋資訊科技員工,呢班員工都有個共通點,就係 IT 部門人手少得可憐,而且大部分直屬上司已經係公司嘅最高管理層,中間係冇 CIO 或者 CISO 呢類職位嘅人存在,可想而知間公司規模係幾咁細! 得出嚟嘅結果係點呢?就係呢類公司嘅網絡保安都做得唔多好。有三分二被訪者嘅公司,過去兩年至少出現過一次網絡保安事故,當問到事故對公司有乜影響,46% 嘅被訪者話事故影響公司嘅生產力,而 37% 嘅被訪者就話導致商業應用或者 IT 系統停止運作,仲有 37%…
網絡安全公司同審計公司,喺幫客戶做風險評估嗰陣,都有需要做滲透測試,睇吓員工嘅安全意識夠唔夠高,有無員工要做出嚟重點培訓。由於要試員工嘅安全意識,所以負責測試嘅人有時會特登做啲踩界嘢,例如扮維修員要求插 USB 手指入公司內部電腦系統,又或借用電腦收發電郵,如果員工覺得唔對路,就會拒絕要求或暗中報告上級跟進。不過,唔少調查報告都會話俾大家知,員工本身就係最大嘅安全漏洞,所以未必會意識到咁做可以好大件事,包括紐約警察學校嘅員工在內。 話說上年 10 月,紐約市皇后區一間警察學校因為要裝一個數碼顯示屏,於是就搵咗外判商嚟搞。唔知係咪學校入面嘅人無諗過件事咁嚴重,當外判商要接入內部聯絡做設定時,竟然無人出手阻止對方直接將電腦接駁,結果呢部中咗毒嘅電腦,就透過網絡將病毒感染 23 部指紋追蹤系統。紐約警方喺幾個鐘後就發現有可能出現私隱外洩,即時漏夜熄咗 LiveScan 呢個指紋追蹤系統,同時將受影響嘅 200 部電腦重新安裝,避免病毒透過網絡擴散,最終都成功控制到病毒嘅影響。 外判商喺呢次事件,梗係要負大部分責任,不過,紐約警方經調查後,相信對方都係無心之失,所以未有公布對方嘅公司名及控告對方。據講呢個 LiveScan 系統連接住藏有 700 萬筆資料嘅數據庫,當中更包括較早前被證實非法保存嘅未成年罪犯嘅資料。至於有幾多人受影響? 發言人就回應話受影響嘅只得 0.1%,信唔信就由你決定喇。不過,外來 USB…
Neo 今天讀到一份不錯的訪談,Michael Coates(曾任Twitter 的CISO)分享了心得,針對兩個頗為吸引的問題:一、如何建立強健的資安團隊?二、如何開展自己在 Cybersecurity 的事業?其立論一針見血,所以略為記下,並加評論,以饗讀者。 Michael 指出一個殘酷的事實:網絡邊界(The perimeter)永遠在改動。上一個世代講要守護network choke points,在今天可能不切實際。為了分秒必爭的業務競爭及發展,愈來愈多的雲運算及外判模式,正在消解(dissolve)網絡邊界。在今天,速度無比重要,所以資安服務要非常貼身。然而,面對眾多業務部門及他們各自獨特的系統結構,IT/資安團隊如何處理快速的變更要求及服務要求?難道要每個部門配置資安技師嗎?這當然是不可能的。 Michael 走了一條路,叫 Empowerment及Paved path approach。這個思維是去 empower(提升能力、給予信任;「授權」二字太狹窄了)一些 Security Champions去協助公司的資安。中央IT做的工作,近乎鋪路,提供一系列不同的工具,並列出權限界綫,定出不應逾越的底綫。有了這些準備,Security Champions…
Neo 今天讀到一份不錯的訪談,Michael Coates(曾任Twitter 的CISO)分享了心得,針對兩個頗為吸引的問題:一、如何建立強健的資安團隊?二、如何開展自己在 Cybersecurity 的事業?其立論一針見血,所以略為記下,並加評論,以饗讀者。 Michael 指出一個殘酷的事實:網絡邊界(The perimeter)永遠在改動。上一個世代講要守護network choke points,在今天可能不切實際。為了分秒必爭的業務競爭及發展,愈來愈多的雲運算及外判模式,正在消解(dissolve)網絡邊界。在今天,速度無比重要,所以資安服務要非常貼身。然而,面對眾多業務部門及他們各自獨特的系統結構,IT/資安團隊如何處理快速的變更要求及服務要求?難道要每個部門配置資安技師嗎?這當然是不可能的。 Michael 走了一條路,叫 Empowerment及Paved path approach。這個思維是去 empower(提升能力、給予信任;「授權」二字太狹窄了)一些 Security Champions去協助公司的資安。中央IT做的工作,近乎鋪路,提供一系列不同的工具,並列出權限界綫,定出不應逾越的底綫。有了這些準備,Security Champions…
外判服務已經係大趨勢,例如公司要寫個網站或手機應用軟件,好多時都唔會係自己員工寫,一來呢啲project 通常都係一次性,寫完就唔會長期養住呢個人;二來有啲外判商收取嘅費用真心平,老闆當然樂於採用。唔係話全部廉價服務都唔好,但中伏風險實在大得多,例如售後服務唔見影、網絡防禦方案原來唔安全等等,做開報價嘅同事應該深受其害。其實點解有啲程式撰寫外判商收嘅價錢可以咁平呢?最近由一班電腦專家進行嘅調查報告,應該會俾到啟示大家。 抄得就抄 由全球大學電腦專家Morteza Verdi、Ashkan Sami、Jafar Akhondali、Foutse Khomh、Gias Uddin 及 Alireza Karami Motlagh組成嘅研究團隊,早前就對 Over Stack 上 72,000 組 C++ 語言寫成嘅程式碼進行驗證,佢哋發現喺呢個程式碼討論區平台上嘅…
上次邀請了網絡安全保險專家盧子頴,講解這類保險的保障範圍,以及哪一類企業應該盡快考慮投保。不過,原來並非想買就可以買到,因為保險公司會先評估投保人有沒有做足安全措施,除了影響投保成功投保率,更會左右保費。 三大因素影響投保 網絡安全保險供應商智咨詢集團執行董事盧子頴指出,雖然遇到的個案不多,但間中也會有投保人以為只要有錢就可投保,但其實保險公司也需要核保,評估投保人受到網絡攻擊的風險。「如果店鋪連門鎖也沒有,試問怎會有保險公司受保?」他指出保險公司首先會檢查企業現有的網絡安全措施,例如有沒有裝設防火牆、防毒軟件、登入權限管理、升級硬件及軟件韌體的政策、個人私隱保管政策、遙距登入管制等等,「如果企業完全沒有做,保險公司會建議對方先做好基本的網絡安全措施,之後才考慮投保,因為即使轉投其他保險公司,相信也不會成功。」盧子頴補充說,其實投保不能賺錢,只能減少損失,所以如果站在預防被攻擊的立場,企業都應先做好防禦工作。 除了檢查安全措施,盧子頴表示保險公司還會考慮企業的業務性質,如屬於高風險行業,例如涉及加密貨幣交易,又或處理的個人私隱數據太多,就並非所有保險公司就會受保。另外,一些規模較細的保險公司,如投保企業每年的生意額太高,也可能因為承受不到風險而無法接單,這些因素就與投保企業無關。 上述的考慮因素,不單只會左右投保成功率,同時也會影響保費,「因為全部同風險有關,簡單來說,風險愈高的生意,保險公司收取的保費就會愈高。」盧子頴解釋跟傳統保險服務一樣,保費高低還要因應保額、墊底費及保障內容計算,如前文提及的增值保障如勒索贖金、外判商失誤等,便會提高投保費用。記者問如企業內擁有考獲 CISSP、CEH 等證書的網絡安全專家,安全度理應較高,是否可成為減保費的因素?他說理論上是,但同時間代表企業的業務複雜性較高,而且亦可能有較多監管要求,所以保費最終也要視乎實際情況而定。 「雖然保險費用很難有參考價格,但視乎選購的保險計劃,保費可低至每年五六千元。」盧子頴建議企業管理者不用想得太多,如認為業務受到攻擊的風險頗高,應邀請保險公司進行評估,之後再考慮是否購買也不遲。