Search Results: 網絡安全 (1048)

    一般大眾對 Big Four 印象都是專責會計、審計、稅務,而其實 Big Four 業務範圍早已涉足一切企業管理服務,包括 IT Security。PWC 為其中表表者,而且於此範疇有豐富經驗及技術支援,最近不單舉辦 Hackday 比賽,最新研發產品有 Hackbot,不得了。 從審計到資安 「傳統上,PWC 的業務是審計,所以會見到客戶業務的各種問題,因此衍生了不同範疇的顧問服務,包括網絡安全方面的服務。」Samuel 於 Big Four 行頭有二十多年經驗,正是從審計變成資安專家嘅活生生例子。「審計工作其實不只看財務數字,還要看…

    上兩期都是環繞着「白帽黑客」(White Hat)這個題目,心想如果在港可以舉辦一個較大型的黑客 CTF 大賽,讓多一點本地及鄰近地區的「白帽黑客」能夠參賽及交流,那倒是一個不錯的做法。 發現樂趣,創造奇蹟 過去十年,黑客的意義有所改變,但是精神是一樣的。黑客們的共通點,是想知道和理解事物如何運作,在深層次研究後,他們可以創造超乎想像的奇蹟,並在其中發現樂趣。然而黑客並沒有想像中的恐怖,如果黑客發現某軟件存在漏洞並報告給相關企業,那麼企業對其進行快速修補,便會避免此漏洞帶來的危害。 「我們的」黑客大賽,培育本地人才 DEFCON 是國際知名的黑客 CTF 大賽,被譽為黑客界的「奧斯卡」,堪稱是殿堂級的安全盛會,黑客和安全專家都會慕名從世界各地趕來參加,去年參加人數更超過兩萬。我們也決定試一試,暫定於今年 10 月,在港舉行由我們公司主辦的首屆黑客大賽,希望培養業界人士對發掘網絡安全漏洞的興趣,從而提升本地的網絡安全水平。 高手相助,同場切磋 舉辦黑客大賽,我們還缺乏經驗。所以近月我也忙於跟參與過黑客 CTF 大賽的高手們請教。一提到舉辦黑客大賽這個構思,一班高手們非常樂意出手相助,運用他們過往的參賽經驗,為我們籌備一個高水平的大賽。初步構思是先舉辦初賽,給本地參賽者在線上比併。在初賽勝出的前三名會進入精英賽,再與鄰近區域的高手一起在現場一較高下。 美國取經,10 月見 雖然有高手幫忙籌劃,我亦不敢怠慢,並計劃在…

    上一期講過甚麼是「白帽黑客」(White Hat),是指在完全合法的情況下對系統進行攻擊,以求找出安全漏洞,令對方作出修補的黑客。我上個月剛與一位國寶級的白帽黑客見過面,並對網絡安全作深入交流。 這位高手是來自北京的陳宇森,現年只是 26 歲,臉上還有一點稚氣,但跟他溝通,卻感覺到他是非常成熟和有目標的。他除了近年在中國區的各類黑客大賽勇奪各項大獎之外,在 2016 年的全球 DEFCON CTF 黑客大賽獲得第二名,以及在 2017 年另一個全球大型黑客大賽 Pwn2Own,獲得世界第三名。年紀輕輕已在國際大賽打響名堂,實在殊不簡單。但他跟我說:往後應不會再參與同類型的比賽了。畢竟已獲過獎項,可以說是得到業界對他技術能力的肯定。 最令我欣賞的是這位年輕白帽黑客,在 2014 年已成立了安全技術公司,運用自身的專長,開發了一些高端安全產品,來應付日益複雜的黑客攻擊,並獲得一些在中國的大企業所採用。所謂「知己知彼、百戰百勝」,以黑客的思維制訂安全方案去對付黑客攻擊,從邏輯來說,應會更有效。 除了安全產品外,陳宇森也有一套獨特的技術人員培訓計劃,可以說是比較實戰型。點解?一般網絡安全培訓機構都比較學術性,市場上的安全證書如 CISSP、CISM 等,也比較着重理論。但陳宇森所提供的是一套「網絡攻防實訓平台」,內裡包括模擬訓練、線上比賽、線下實訓等。在快速多變的網絡安全領域裏,我個人也認同實戰比證書更重要,也正考慮如何把這套實戰平台引入,來提升本地網絡安全人才應對網絡攻擊的能力。

    講到「黑客」這個名詞,一般都畀人感覺唔係咁正面,並會聯想到「網絡攻擊」、「網絡詐騙」、「資料盜竊」等負面行為。 其實黑客也大致分為三類,分別為「白帽黑客」(White Hat)、「灰帽黑客」(Grey Hat)及「黑帽黑客」(Black Hat)。白帽黑客以「改善」為目標,破解某個程序,令對方作出安全漏洞修補;灰帽黑客以「展現」為目標,透過破解、入侵去炫耀其擁有高超的技術,或者宣揚某種理念;黑帽黑客以「利慾」為目標,透過破解、入侵去獲取不法利益,或者發洩負面情緒。 白帽黑客是在這十年最熱門的職業之一,但不要以為是一件容易的工作,你必須對電腦系統、編寫程式、操作系統、網絡等有深刻的認識。白帽黑客大多是電腦保安公司的僱員,並在完全合法的情況下攻擊系統,以求找出安全漏洞。另外,也有很多大企業會聘請白帽黑客來保護其系統和訊息,薪酬也非常可觀呢。 至於電腦廠商方面,為鼓勵找出安全漏洞,也會付出豐厚獎金(Bounty Program)給予找出安全漏洞的舉報者。這個做法推至近年火熱的 ICO 市場,以進一步加強系統安全性。對白帽黑客來講,又多了一個收入來源。 再且,近年在網絡安全市場也興起黑客 Pwn 或 CTF 比賽,獎金也愈來愈吸引,勝出者亦可名利雙收。Pwn 一般讀作 Pone,自從「own」這個字引申出來的,意思是玩家在整個對戰中處在勝利的優勢,主要用於嘲笑競爭對手在整個遊戲對戰中已經完全被擊敗(例如:You just got pwned!)。CTF…

    近年常常聽到「人工智能」一詞,好像潮語一樣,並代表著「高科技」的意思。一些產品含有自動調節功能,就以誇張宣傳手法說是「人工智能」,這根本不符合「人工智能」的定義。 「人工智能」已有幾十年歷史,早在八十年代初,電腦科學家便開始設計能學習和模仿人類行為的程式。在電影裏,如《Terminator》、《Matrix》或《Ex Machina》所描述的「人工智能」,都擁有觀察和感知能力,並可以做到推理和解決問題,這類可稱為「強」人工智能,但是現今技術水平仍未有效實現。 目前的科學研究工作都是集中在「弱」人工智能這部份,並取得重大突破。智能是從何而來呢?讓我們先理解「人工智能」、「機器學習」和「深度學習」的區別和關係。 「人工智能」的領域中,「機器學習」是其中一種方法;在「機器學習」的技術中,通過使用大量樣本作訓練而積累的智能,就稱為「深度學習」。 在使用電腦的過程中,大家會不知不覺地留下大量數據及電子足跡,這給予「深度學習」在訓練時所需之用;此外,系統運算速度的提升,令「機器學習」時間大大加快。綜合這兩個主要因素,終於令「機器學習」成熟起來,在「人工智能」的應用邁進了一大步。 同樣,近年一些高端網絡安全產品也採用「機器學習」去處理大量電腦使用者的日常行為,並作深入分析。即使黑客成功盜取了用戶的帳號及密碼,保安系統也會跟用戶日常使用方式作出對比,如發現有明顯偏差,就會發出警示或作出攔截。一幕幕兵賊鬥智(人工智能)的場面,已在網絡安全領域中展開。

    一般人聽見「黑客」兩個字就立即標籤佢係壞人。其實「黑客」,Hacker,泛指以任何手法入侵他人電腦嘅人。黑客有正有邪,更亦正亦邪。 入侵動機各不同,有為錢、為興趣、為學習、為國家、為理想,甚至為啖氣都有。Hacker 分好多顏色「帽子」,以下簡介 hacker 帽子顏色分類,以後唔好再「色盲」亂咁「扣帽子」。 (第一部份) (大題)黑客六種顏色 黑帽 Black Hat 「黑心仔」黑帽亦稱 Cracker。通常「利慾」為目標,在非法的情況下攻擊系統,透過破解、入侵去獲取不法利益。黑帽係網絡罪犯,會hack 入某個系統盜竊數據,從而進行金錢勒索或賣畀黑市。黑帽嘅存在,令網絡世界好危險。 白帽 White Hat 「好心仔」白帽同黑帽完全相反,白帽又叫 Ethical Hacker(道德黑客)。不少白帽受聘於網絡安全公司或大企業,在完全合法的情況下攻擊系統、進行安全測試、找出安全漏洞,以「改善」為目標,令網絡世界更安全。白帽中亦有 Bug…

    不少調查報告均指出,香港企業管理者的網絡安全意識仍較歐美地區落後多年,不過,如果根據市場調查公司 IDC 剛於去年 10 月發表的報告所指,預計全球市場於 2023 年投放於網絡安全產品及服務的金額,將達 1512 億美元,較 2019 年增加四成多的話,香港市場的發展潛力自然較大。而在 2017 年 4 月於創業板上市的安領國際,明顯看好本地及鄰近地區「追落後」的潛力,所以剛於去年 12 月 24 日宣布轉往香港聯合交易所有限公司的主板掛牌上市,股份代號改為「01410」。轉板後,集團可通過改善股份買賣的流通性,加強現有股東信心及增加潛在投資者的認受性,以及提升公司的形象及認知度。 積極推新服務…

    隨便買部 IoT 產品嚟用係非常之危險嘅一件事,相信睇得我哋嘅讀者都唔會懷疑。就算係 Amazon 旗下嘅產品,都一樣會出事,上個月中 Amazon 用十億美元收購返嚟嘅智能監視鏡頭 Ring,就發生大量鏡頭被 hack 事件,有用家仲告上法庭,怒指 Ring 無做好網絡安全工作,Ring 就反駁話用家唔用強密碼先係主因,咁到底係邊個錯呢? 喺上月中,陸陸續續有 Ring 用家嘅監視鏡頭被黑客入侵,有美國用家更因為呢件事,嚇到要放支鎗喺床頭先敢瞓。其中一個受害者 John Baker Orange 就聯同其他同路人告上法庭,指責…