駭客攻擊固然可惡,但人為的低級錯誤也本應可以避免,預防爆發一些顯而易見的危機。面對外憂內患,企業又應該如何做好資料保護措施,保障用戶個資免受駭客盜取,同時保全公司免觸犯 GDPR 而被開罰? 一、定期更新軟體 最基本的就是定期更新軟體。駭客技術雖然日新月異,但 antivirus(防護軟體)或其他軟體同樣與時並進。每次韌體更新除了一般除錯外,也有很多是為了填補已存在的資安漏洞或防禦新型病毒而進行的。 二、加入多重身份認證或生物認證 Broken authentication 是網路資安問題的第二大主因,而要做好身份認證這一步驟,除了傳統輸入密碼以外,現時已經有很多加強保安的驗證方式,比如雙重認證 (Two-factor Authentication, 2FA) 讓用戶輸入密碼後需要加上第二重認證步驟,常見的工具有: TOTP (Time-Based One Time Password):透過時間因素產生不一樣的一次性密碼,像是 Google…
Search Results: 安全意識 (168)
DEF CON ’18 邀請了一班小朋友參加比賽:攻進一個複製的選舉結果網站,最後由一位 11 歲小朋友於 10 分鐘內成功攻入。除了顯示今日的網絡安全問題,亦提醒大家,別小看小朋友的能力。曾經有個 List 大數著名的兒童黑客,今日大家重溫一下: Reuben Paul 網絡安全界神童 Reuben Paul 現年 13 歲,是一位白帽黑客,其身份包括網絡保安大使、兒童黑客、最年輕少林功夫黑帶、體操運動員、Video-gamer、網絡忍者及 CyberShaolin 創辦人。Reuben…
根據全球知名的資安組織 OWASP (Open Web Application Security Project) 定期公佈的十大網路資安風險報告,去年最新報告中,「失效的身份認證 (Broken Authentication) 」高踞第二名。另外 IBM 今年四月公佈的《X-Force Threat Intelligence Index 威脅情報指數》報告中則指出,跟雲端基礎建設設置不當相關的資料洩露就比前一年大幅增加四倍,而且絕大多數是人為錯誤。至於資安業者 Palo Alto Networks…
12 歲的黑客小天才 黑客界鼻祖 Kevin Mitnick,充滿爭議性的傳奇人物,看完他的經歷,會發覺「第一黑客」稱號,當之無愧。有人形容 Kevin 的上半生猶如電影《Catch me if you can》的男主角 Frank Abagnale。Kevin 於 1963 年生於美國加洲的一個猶太家庭,小時候已發揮黑客本色:12 歲時,利用Social Engineering 及 Dumpster…
相信大家都收過欺詐電話,要用電話呃人,要花時間與對方溝通,但現今生活節奏急速,很多人都會 cut 你線,要成功得手,絕對唔容易。欺詐電郵就唔同,騙徒首先會對目標人物的背景有所掌握,也會精心製作電郵內容,並以冒充的身份把電郵發出,一般用戶收到這些電郵,都難以判斷真假。 傳統安全方案束手無策 事實上,電郵仍然是現今最大安全攻擊途徑。原因很簡單,發動攻擊成本不大,因為你是不能拒絕攻擊者發送電郵給你。況且傳統的電郵安全方案也好一段時間沒有技術革新,依然側重於防病毒、防垃圾電郵等功能,把懷疑有問題的 Email 隔離就了當。面對更新型的欺詐電郵攻擊,傳統的電郵安全方案缺乏技術及能力處理,可以說是有點手束手無策。 BEC 個案平均損失近百萬港元 Business Email Compromise(BEC)是近年出現的名詞,指利用欺詐電郵手法(或附有網絡釣魚攻擊)的新型威脅。 BEC攻擊者大多數會冒充公司外國供應商、老闆、公司高層、公司員工、公司律師(會計師)等… 欺詐目標大多數是公司的財務或高級管理人員,最終目的是以不同的藉口要求匯款,令公司蒙受重大金錢損失。據統計,每個案平均損失近百萬港元,這絕對是大茶飯。 期待最新技術杜絕 BEC BEC 之所以難以防止,因為它利用大眾的疏於防範的心理,讓受害者掉入社交工程(Social Engineering)陷阱。在今天高度透明的商業社會,要找出財務部門(或公司高層)的電郵地址並非難事,這也意味著一個一個精心炮製的欺詐,隨時可以用電郵發動。在「道高一尺魔高一丈」的網絡安全環境中,我們總不能單單每日叫員工提高安全意識。新一代的電郵安全系統,終於包含了BEC 防護功能,期待最新技術能把這類超級大殺傷力的欺詐電郵威脅徹底清除。
一般大眾對 Big Four 印象都是專責會計、審計、稅務,而其實 Big Four 業務範圍早已涉足一切企業管理服務,包括 IT Security。PWC 為其中表表者,而且於此範疇有豐富經驗及技術支援,最近不單舉辦 Hackday 比賽,最新研發產品有 Hackbot,不得了。 從審計到資安 「傳統上,PWC 的業務是審計,所以會見到客戶業務的各種問題,因此衍生了不同範疇的顧問服務,包括網絡安全方面的服務。」Samuel 於 Big Four 行頭有二十多年經驗,正是從審計變成資安專家嘅活生生例子。「審計工作其實不只看財務數字,還要看…
以前網絡保安的工作範圍,主要是環繞著企業網關安全設備的管理,例如:防火牆、IPS、電郵病毒過濾等管理工作。因為傳統的企業網絡架構相對較為簡單,在網關設置防禦來管理企業員工的進出,這個方法行之有效。 再講番大約十年前,鑑於當時對雲端技術、流動設備的安全保護技術還不是太成熟,企業對相關技術採用還有很大的安全憂慮。當年更有安全設備廠商推出一些解決方案,去防止員工在企業環境內上網或使用即時通訊軟件,甚至發出干擾訊號去禁止員工使用流動上網。在現今新世代,若果使用這種方式的話,企業想請到員工都幾難。 近年由於雲端技術的成熟發展,很多企業為了加快營運效率,都轉用雲端服務。例如:雲端版本的 CRM 客戶管理、ERP 企業資源管理、文件傳輸等系統,方便員工在不同地域和時間上班。這個數碼轉型同時把企業的重要數據資料都上載雲端儲存,再加上現今流動設備的普及應用,員工很容易在辦公室以外地方利用自己的智能電話和手提電腦下載雲端上的公司資料,增加了公司資料外洩的機會。 雲端技術和流動設備的廣泛採用,改變了傳統網絡保安的覆蓋範圍。除了網關上的保護外,企業亦加強對雲端及端點(即 Endpoint,包括:手提電腦和流動設備)的資料加密、系統使用的行為監控及多層安全保護。隨著大家對安全意識的提升,行業對安全法規的落實,企業投放在安全的資源也以倍數增加,令到網絡保安的市場也加速擴大。
不少調查報告均指出,香港企業管理者的網絡安全意識仍較歐美地區落後多年,不過,如果根據市場調查公司 IDC 剛於去年 10 月發表的報告所指,預計全球市場於 2023 年投放於網絡安全產品及服務的金額,將達 1512 億美元,較 2019 年增加四成多的話,香港市場的發展潛力自然較大。而在 2017 年 4 月於創業板上市的安領國際,明顯看好本地及鄰近地區「追落後」的潛力,所以剛於去年 12 月 24 日宣布轉往香港聯合交易所有限公司的主板掛牌上市,股份代號改為「01410」。轉板後,集團可通過改善股份買賣的流通性,加強現有股東信心及增加潛在投資者的認受性,以及提升公司的形象及認知度。 積極推新服務…