利用智能手機或智能裝置在網上購物,已成為不少人的消費習慣。最近有分析指,未來幾年將會有過十億智能電話、平板電腦或智能手錶用家,會常用面部識別技術作支付;研究亦指,面部識別和其他生物認證技術,將有助於流動付款者的安全付款。 有關分析由 Juniper Research 負責,除了面部特徵外,分析師還預測將會有不同的生物特徵,應用於驗證流動支付,包括指紋、虹膜和語音識別。根據研究人員表示,2025 年全球 95 % 智能手機具有生物特徵識別能力,而利用生物特徵作支付的交易額由 2020 年的 4,040 億美元,上升至超過 3 萬億美元交易額。 愈來愈多人使用流動裝置支付代替信用卡,令用家即使在購物時忘掉拿錢包,仍然能完成購物。電子商務生態系統正在迅速增長,但同時存在隱憂,詐騙者亦可開闢新途徑,利用新漏洞搵食,所以必須確保付款人,的確是支付帳戶的擁有人,而非被盜用。因此,識別生物特徵正朝著改善流動支付的安全性發展,由其是相對普及的面部識別。 面部識別技術的常用示例包括 Apple 的 FaceID,可用於授權從…
Search Results: 安全措施 (72)
科技與人為因素的交錯造成的安全問題,是令企業和組織最為頭痛的挑戰。即使對漏洞的偵測技術有所提升,網絡罪犯的手法與策略亦與時並進,令到他們的攻擊亦難以抵擋。 是次 Webinar 由全球最大的「安全意識培訓平台」供應商 KnowBe4 的 Technical Evangelist Jelle Wieringa 及 SoftwareONE Hong Kong 網絡安全專員 Antonio Chan 主講,拆解應用科技構建安全操作環境時,如何更好地了解人性、模式的成功實例,分享如何讓安全措施和科技結合人性,提高日常運作的安全性和彈性。 Webinar 將涉獵以下主題:…
全球知名 IT 研究與顧問諮詢公司 Gartner,在其亞太地區安全與風險管理峰會中,分析師探索 IT 行業趨勢。據Gartner 稱,COVID-19 加速數碼業務轉型,並為傳統的網絡安全模式帶來挑戰,提醒安全和風險管理的領導者必須應對以下八個主要趨勢,以實現企業的快速重塑。 Gartner 研究副總裁 Peter Firstbrook 表示,這些趨勢是對所有組織所面臨的持續全球挑戰的回應。Firstbrook 指出,第一個挑戰是技能差距,80% 的受訪問組織表示,他們難以找到和僱用安全專業人員,而 71% 的組織則表示,這正在影響他們在組織內交付安全項目的能力。2021 年安全和風險領導者面臨的其他主要挑戰,包括複雜的地緣政治形勢、日趨嚴格的全球法規,工作空間和工作負載從傳統網絡遷移,端點多樣性和位置的激增以及攻擊環境的變化,尤其是面對勒索軟件的挑戰和企業電子郵件的傷害。 以下是 Gartner…
令學校停課的原因,我們以往會聯想到打風、暴雨等天氣因素,現時最先想到的會是疫情下的隔離措施,不過可有想過黑客的勒索軟件,也是導致學校停課的原因?不法分子攻擊學術機構,然後開天殺價! 網絡安全公司 BlueVoyant 早前對 43 個國家/地區的 2,702 所大學進行研究,發現幾乎所有受訪大學,都指出勒索軟件攻擊是他們主要的網絡威脅,去年這些勒索軟件攻擊,平均每宗索款 44.7 萬美元(約 347 萬港元)。除了勒索軟件攻擊之外,數據洩露也對校園造成了極大的打擊,過去兩年有 200 所大學受到影響。 以下係 BlueVoyant 研究的部分發現: 校園受攻擊因素: 隨著學術機構採用遙距教學,網絡攻擊次數增加,也令學校的網絡容易受到威脅者的攻擊。地下市場對大學生的憑證有很高的需求,吸引黑客發起攻擊。缺乏網絡安全培訓和意識、缺乏資源以及預算低,是學術機構經常受到攻擊的主因。 攻擊數據:…
香港金融管理局 (HKMA) 於去年 11 月推出的加強版網路防衛評估架構「C-RAF 2.0」,特別在產品開發周期上提升了合規要求。全球第七大軟件公司 Micro Focus 夥拍香港系統整合商 Resolve Technology,推出 Fortify 解決方案,可確保金融業將安全性在開發流程中的位置「左移」(shift left),貫通整個流程,金融業就可放心推出新服務,提升競爭力。 新服務成金融業致勝關鍵 作為亞洲金融中心,香港的金融業均積極引入各種金融科技,同時致力縮短產品開發周期回應市場的需求。不過,企業安全產品代理商 B & Data 總經理…
一場疫症,令大部分香港企業被迫急著數碼轉型,同時黑客亦覷準機會,大舉進攻港企網絡,當中不乏巨型企業中招,暴露了潛藏已久的企業網絡安全意識嚴重不足問題。PwC 網絡安全及私隱保護服務合夥人及 Dark Lab 創辦人顏國定透露,香港近期的網絡攻擊事件大幅上升約十倍。他分析情況指,港企的資安水平落後世界先進地方最少 5 年,主因沿於長久以來,香港社會針對網絡攻擊事件的透明度不足,造成企業以至大眾對網絡安全失去危機感。他認為,現時的監管機制只靠企業自願性披露,情況恐難改善。 香港網絡攻擊升十倍 勒索攻擊明顯進化 顏國定表示,在疫症爆發之前,經他團隊處理的本地網絡攻擊事故,一年平均約四十多宗。但疫症爆發至今,處理事故宗數大幅上升至幾乎一日一至兩宗,按此比例計算,升幅達十倍,而且黑客的攻擊手段亦越見高明。顏以勒索攻擊為例,以往黑客成功駭進企業系統,會短時間引爆病毒,癱瘓並鎖死企業系統,然後直接要求企業支付贖金,攻擊是一次性的。現在,黑客會先潛伏企業系統內一段時間(以香港情況,潛伏期大概一個月),期間黑客會偷偷在系統裝上電腦病毒及後門程式,並且盡量搜集企業的機密資料及客戶資料,之後等待適當時機,黑客就會「唧牙膏」式地攻擊,例如突然在社交媒體把企業的機密資料到處洩漏,並要求企業支付贖金;如果企業拒絕,黑客就會在對方疲於尋找解決方法時,再突然洩漏更多資料,甚至鎖死企業系統。這種持續性的攻擊,比起舊有模式,對企業造成更大恐慌和困擾,因為企業無法得知還有幾多機密資料和客戶私隱會被突然洩漏,相對地受害人就會更容易支付贖金。 長期認知不足 港企資安水平落後 顏國定亦指出,雖然香港企業在近期的數碼轉型風潮下,確實增加投放資源在網絡安全之上,但卻流於「買最貴的系統,但買回來後,從不善用」的層次,令到保安系統即使升級,仍未能發揮應有作用,有些大公司甚至連最基本的 MFA (多重認證)都未有實施。顏形容,港企的網絡安全水平落後世界先進國家五年,主要原因是社會對網絡安全意識長期不足,由市民大眾到公司企業,都不知道網絡攻擊的嚴重性,「連 MFA 這些低成本又有效的保安措施都嫌麻煩」。由於缺乏意識,因此由資訊安全的人材培訓,以至保安系統升級,都被長期忽視,結果現在急於數碼轉型的情況下,企業網絡保安錯漏百出,淪為黑客攻擊目標,「黑客其實都是漁翁撒網式在世界各地找獵物,所以哪裏防禦措施薄弱,哪裏就會成為黑客的天堂。」 監管靠自願披露 透明度不足恐難改善 針對社會整體對網絡安全意低下問題,顏國定認為,核心在於網絡攻擊事故的「披露(Disclosure)」不足,「香港現時的資安教育,很多時候是要求市民大眾『自己小心啲』,但人性在缺乏危機感下,必然會粗心大意。因此最有效的教育是增加危機感。」顏解釋,香港現時主要靠《個人資料(私隱)條例》要求企業自願性披露網絡攻擊事故,但由於欠缺約束力,企業為保聲譽,都會盡量低調處理,結果網絡攻擊事故鮮被曝光,社會大眾一直誤以為「風平浪靜」,自然不懂得去重視問題。他建議,政府可以借鏡先進國家,立法要求企業必須主動披露網絡攻擊事故,並為企業網絡安全措施要求,訂立清晰標準,以有效提高資訊透明度。「只有建立在有力的法律基礎上,企業才有不能迴避的責任,去披露資安問題的實際情況。當資訊的透明度有所提高,公眾認清事實,大家才會從日常生活中感受到網絡攻擊的嚴重性。於這樣的社會氣氛下,我們才能談得上以教育提高大眾以至企業的網絡安全意識。」
網絡攻擊愈趨複雜及精密,加上銀行業又是公認的攻擊對象,面對如此高危的環境,香港金融管理局 (HKMA) 於2016年公布網絡安全防衛計劃 (Cybersecurity Fortification Initiative, CFI),通過三方面提升金融業的網絡攻擊防禦力。其中之一的網路防衛評估架構(Cyber Resilience Assessment Framework, C-RAF)是一套以風險為基礎的評估框架,內裏的評估項目多達400多項,主要分為三個部分。 首先是自身固有風險 (Inherent Risk Level) ,評估標準會根據銀行採用的科技、服務渠道、以往被攻擊的記錄等因素作評級(High、Medium、Low) ;其次會通過審核現有的安全措施,包括監管、偵測機制、保護工具、危機管理及應對政策,以釐定網絡安全成熟度 (Advanced、Intermediate、Baseline) 。如果審核評分未能達到固有風險評估的相對要求,銀行就要按照金管局建議的改善措施提升安全成熟度,直至合符相應的要求。如果金融業的固有風險達到中至高程度,就必須實施網絡攻擊模擬測試iCAST (Intelligence-led…
遙距工作意味著員工需用自己的網絡處理文件,脫離公司的防火牆或網絡安全系統,存在不能計算風險。但為了下屬的健康減少聚集,公司不得不准許員工在家工作。網絡安全服務供應商Netwrix進行調查,發現有85%受訪資安主管承認,為實施Work From Home有放棄網絡安全措施。在公司內部文件安全脫離掌握的情況下,相信不少高層大為頭痕。 調查亦發現,有四分一企業認為在疫情爆發期間,公司運作暴露在危險當中,這裏當中有63%企業指這段期間的網絡攻擊次數有增加,60%企業發現在遙距工作期間,有新的網絡安全漏洞。 一項在6月進行、訪問超過900名IT業界的專業人士的調查,發現最常見的安全威脅,多屬於人為因素,其中48%屬釣魚攻擊,27%為行政失誤,亦有26%是員工分享資訊不合規。同時,有四分一人表示,在疫症爆發的首三個月,遭受勒索軟件或惡意軟件的侵擾,反映網絡安全在這段時間切實受到影響。而供應鏈相關的漏洞情況似乎更嚴重,有超過一半人指需時數天甚至一整個月才能標記出相關事件,呼應了資安主管們的放寬網絡安全措施的結果。 Netwrix行政總裁 Steve Dickson 表示,疫情令很多公司除了將業務由辦公室轉換成在家工作之外,企業亦將服務置於網絡安全之上。他提醒,在大家都適應這個新常態的情況下,IT主管應重新檢視他們對資安措施的決定,以縮減安全漏洞,包括識別敏感資訊,並減少其曝光情況,提高對用戶活動的可見程度等,以確保快速發現網絡安全事故。 資料來源:https://bit.ly/3cCdmO5
一份最新的調查報告發現,本港一些運用 5G 物聯網技術的日常用品,如心臟監測儀、智能手表、水壺和健身單車等,可以輕鬆連接企業網絡,而且連接量近年大幅增加,有資案專家認為,普遍香港企業對這些用品連接公司網絡,未有採取足夠保安措施,已形成被黑客攻擊的漏洞。 調查機構訪問來自亞洲、歐洲、中東和北美 14 個國家或地區,合共 1,350 名擁有 1,000 名員工或以上組織的IT業務管理層。當中有九成(91%) 的香港受訪者表示,去年連接到企業網絡的物聯網設備有所增加,當中不乏日常用品。有三成 (31%) 的受訪者反映他們需要大幅改善其企業的物聯網保安措施,逾三分之一 (37%) 受訪者更表示需要徹底的改進,整體接近七成,反映企業對此情況表示憂慮,擔心日常物聯網設備會成為黑客入侵途徑。 網絡安全企業Palo Alto Networks香港及澳門董事總經理馮志剛表示:「員工無意識地連接到企業網絡的IoT設備通常缺乏保安考量,有機會成為輕易存取到公司機密資料和系統的缺口。」他認為應對這種威脅,安全團隊需要能夠識別新設備,迅速評估其風險,並採用安全策略。 另外,報告還發現有五分之一 (20%)…
DevOps 的技術令應用程式快速更新,在追求速度與時間的同時,由於所經的安全測試次數減少,漏洞亦隨之而然增多,所以揀選合適的容器 (Container) 管理平台由其重要。但由於 Container 為新興技術,很多傳統的網絡安全措施難以應用,例如 Container Image Vulnerability Scanning、Run Time Defense 及 Container Firewall with DPI/DLP 等等。因此,你需要的是 Container Security…