早前英國一個 Samsung S10 用家，意外發現自己部手機喺加裝矽膠保護套後，指紋鎖竟然變成任何人都開得。Samsung 喺事後又承認呢個 Bug 真係存在，但當時只係建議用家要用返原裝保護套，對解決件事毫無幫助。不過，Samsung 而家已開始推出更新檔，俾受今次事件影響嘅 S10、S10+、Note 10、Note 10+ 嘅用家，如果收到通知，就要即刻更新同埋重設指紋認證喇。https://www.youtube.com/embed/e-uG8ZO28hU?wmode=transparent&rel=0&feature=oembed 指紋鎖愈驗愈醇 根據 Samsung 嘅公布，呢批手機採用嘅超聲波指紋鎖存有漏洞，佢原本嘅解鎖原理，係透過收集超聲波反射嘅數據，去重建 3D 指紋圖案再進行驗證。不過，由於矽膠手機套本身嘅材料或入面嘅紋理有可能會被指紋鎖誤認為指紋特徵，所以如果戴咗套做指紋登記，呢啲「數據」會被記錄為指紋嘅一部分；而即使無戴套做指紋登記，亦會因手機系統慢慢「適應」咗用家嘅指紋誤差，令戴套後變得更容易解鎖。知道呢個漏洞後，NatWest、Royal Bank 等銀行已即時移除咗支援…

雲端應用大行其道，企業在數碼轉型的大趨勢下，都開始進行各種部署，當中網絡安全就是其中一個考慮重點。早前硬體安全模組供應商 nCipher Security 與 Ponemon Institute 聯合發佈了一項名為《2019 港台加密趨勢研究》的調查報告，內裡指出有 48% 港台企業認為員工疏忽為數據安全的首要威脅，另外有 91% 港台企業表示希望數據加密技術可在企業內部及雲端環境中運作使用，反映管理者均意識到保護數據安全的重點——必須掌握主導權，而 BYOK（Bring Your Own Key）就是最可靠的方法。 獨立硬體演算省電腦資源 nCipher Security 大中華區業務總監戴文忠指出，互聯網上各種活動，簡單如發送及接收電郵或瀏覽網站，以至較複雜的電子支付等，都需要在執行指令前進行身份驗證，「舉例每部智能手機都有一張獨立的電子證書，證明這部手機的身份屬實及沒有被冒認，當核實了溝通雙方的身份後，才能執行之後的動作。」為了防止這張電子證書被冒認，製造商必須以數據加密的方法將它「鎖起」及存放起來，實際上就是通過密碼學（Cryptography）的各種演算法例如…

大企業要面對嘅其中一個網絡安全難題，就係公司嘅網絡、電腦設備太多，閒閒哋幾百部，每當要為其中某種設備進行系統更新，堵塞網絡漏洞，IT 部同事可能都會做到迷晒，做少幾部嘅甩漏情況時有發生；除此之外，為咗達到合規性經營同業界嘅安全框架要求，企業每年都要定時定候遞交各式各樣嘅國際標準報告作審計，耗費大量人力及時間寫報告。到底有無自動化審計及解決方法？答案當然係：有。 正如上面所講，要確保公司內部所有設備都同步 update 到最新系統版本，堵塞漏洞已經好難；如果要喺幾百部設備入面檢查有無漏洞存在就更難，一來要好多人手，二來亦花費時間，特別係當發現內部同時間存在幾種漏洞，如果缺乏網絡安全專家，就好難判斷應該解決邊個問題先。市面上雖然有 scanner 可以協助搜尋所有設備嘅系統版本，但可能你都會發現到，呢啲 scanner 只會負責搵，唔會識得根據全球網絡威脅報告，去評估風險嘅嚴重性，自然提供唔到解決問題嘅緩急建議；另外，如果公司嘅業務涉及金融或電子支付，又或需要達到一啲網絡安全國際認證標準，例如 ISO、PCI 等等，就算有呢啲 scanner 幫手搜集數據，最後都需要專人按各項認證標準嘅要求嚟製作報告，令 IT 部同事疲於奔命。 自動化審計慳人手 其實現時企業管理者應該考慮自動化解決方案，取代人手完成以上作業，唔單只可以提升工作效率，縮短公司網絡內漏洞存在嘅時間；收集到嘅數據，仲可以因應各種認證標準嘅要求，自動填寫出可以直接遞交嘅報告，慳返嘅人力物力，就可以用喺優化企業安全架框方面。 自動化解決方案仲有啲乜嘢增值功能？挑選呢類工具時有乜要注意？咁你就要報名參加 Edvance Beacon…