畢馬威(KPMG)會計事務所及市場調查公司 Gartner 先後發表科技分析報告,前者指九成受訪企業考慮將雲端架構提升至先進級別,後者則指出在 2023 年,企業花費在公共雲服務的投資,將高達 5,900 萬億美元,較 2022 年大增 20.7%!可見企業雲轉移的步伐將再提速。不過,數碼轉型並非單純㩒升級掣,還要克服很多挑戰,例如近期熱門話題 ── 搶人才。 現時不少企業在雲轉移過程前,都會考慮採用混合雲(Hybrid Cloud)架構,即結合私有雲(Private Cloud)和公共雲(Public Cloud)的 IT 基礎架構模式。由於企業可以選擇不同的雲服務供應商部署工作負載或儲存空間,因此具備高靈活性、高擴充性及節省成本的優點,亦令企業可選用最優質的雲端服務。 KPMG 的…
Search Results: 黑客 (1071)
經過數之不盡的網絡安全事故發生後,網絡安全仍然是 2022 年最火熱的話題。隨著遙距工作及雲端運算越趨普及,黑客擁有更多渠道去破壞企業環境。「如何建立網絡安全框架」,成為 IT 管理層最關鍵的任務。 「How to Prevent and Detect Phishing & Advanced Attacks Effectively」研討會在 11 月 15 日順利舉行,由edvance分享於早期階段如何主動地檢測黑客攻擊,Green Radar及Fortinet則探討對於惡意軟件及預防網絡釣魚的建議。透過是次研討會,相信一眾參加者也獲益良多。…
Microsoft安全專家發出警告,不少企業未有做好 IoT(物聯網)設備的安全防護,連帶一些工業控制系統也曝露在網絡攻擊之下,而在研究報告中,就發現有一間英國供水公司,竟只採用存在已知漏洞的家庭版 Wi-Fi router,黑客入侵後便可隨時干擾供水系統,造成大規模制水。 隨著愈來愈多企業引入 IoT 設備,但又缺乏安全管理,成為網絡安全業界其中一個最迫切需要解決的問題。過往透過不安全 IoT 裝置入侵企業內部網絡的事故經常發生,例如澳門一間賭場,便因其智能魚缸溫度計存在漏洞,令黑客成功入侵盜竊客戶資料。而 Microsoft Defender Threat Intelligence 團隊發現的英國供水公司漏洞,便與其他個案非常類似。 專家解釋,當團隊使用一些開源工具掃描網絡上存在的 IoT 設備時,便發現了 Draytek 一款家用版 Vigor…
以色列網絡安全公司KELA發表最新調查報告,指專門出售入侵企業帳戶權限的黑客活動,在 2022 年第三季的數字雖然保持相若,但累計要求的報酬卻大幅上升至 400 萬美元,而且從各種網絡攻擊的數據可見,這些入侵權限最常被利用於勒索軟件攻擊之上,企業管理者應盡快堵塞入侵門路。 無論是勒索軟件或資料盜竊活動,在進行網絡攻擊前,必須先進入企業的內部網絡,例如勒索軟件集團 LockBit,便經常在暗網或地下討論區上刊登廣告,邀請擁有企業帳戶權限的人合作,由對方提供入侵門路,LockBit 則負責入侵、執行勒索軟件、與受害公司商議贖金及收款等工作,事後便會與帳戶權限提供者對分贖金。 出售企業帳戶權限拆家 ( Initial Access Brokers, IAB ),本身也是網絡犯罪世界中其中一門專業,KELA 網絡安全專家指出,他們或許因為缺乏入侵企業內部網絡的技能,又或不願冒上更大被捕風險,因此在取得企業帳戶登入權限,便選擇退居幕後,僅以出售帳戶權限謀利。 而在 KELA 發表的 2022…
元宇宙加速發展,企業積極運用新興科技,加快數碼轉型和上雲部署,但過程中企業會面對越來越多網絡威脅,所以必須要提升整體應變能力。香港電訊商業客戶業務方案及市務主管吳家隆(Steve)表示,網絡攻擊嚴峻和 IT 人手不足,都是企業的重大挑戰,HKT 作為全方位的網絡安全託管服務供應商,一直緊貼市場,推出多元化的網絡安全託管服務。 由 ISO27001 認證的 NG SOC(Next Generation Security Operation Centre),以及一班本地專家,24×7 全天候支援,有助解決企業當務之急。Steve 續稱,「我哋嘅網絡安全託管服務涵蓋多個範疇,包括 TMS, DDoS Protection, Firewall 及…
無論問哪個老闆或管理層,都一定會大大聲話網絡安全是重中之重!不過一講到錢就傷感情,有調查報告顯示,在英國的科技公司中,只有 1/3 人事部願意在未來 12 個月出一萬英磅去聘請網絡安全員工,或進行安全培訓。相比起被勒索軟件攻擊後動輒數十萬美元起跳的贖金,看來大家聲稱重視網絡安全,純粹只是口號。 有關網絡安全的話題近年愈來愈普及,原因之一在於新冠疫情期間,企業被逼快速引入各種遙距工作工具及雲端服務,不過由於員工要離開公司內部網絡工作,因此企業管理者都會關注網絡安全問題,以保障公司機密不致外洩。 另一方面,勒索軟件集團亦在這段時間冒起,事關不少企業 IT 管理員仍未熟悉遙距工作工具及雲端應用服務的運作,安全設定出錯令公司中門大開,因此不少國際大企業都在這段期間失守,例如美國燃油公司 Colonial Pipeline、IT 服務管理公司 Kaseya 等等,不單影響巨大,黑客勒索的贖金亦高達數以百萬美元。 早前 IBM 一份調查報告顯示,企業一旦遭受勒索軟件攻擊,損失平均約 500 萬美元!由於勒索軟件集團經常向傳媒報料,因此近年有關網絡攻擊事件便常被廣泛報導,照理說,企業管理者應該會盡量避免成為受害者而加強網絡安全防禦力。 不過,多份調查報告均顯示,企業老闆或管理者不願出資去提升網絡安全,除了上述由科技培訓公司…
近年,利用「加密電郵附件」來發動惡意攻擊有趨升之勢,一般都會以 DOC、XLS、PDF 文件等形式發出,並會在電郵正文告知你附件的密碼。當你收到這類電郵時,請注意,因為它很可能是惡意電郵! 如果只看電郵原文內容,一般是看不出有任何不妥,附件也是收據、發票、逾期欠款、財務報告、簡歷等,但當你輸入密碼、打開附件,你的軟件(例如 DOC 文件則為 Microsoft Word)將詢問您是否要 Enable Editing。如果你容許及啟動 Macros,就可能中招了。 為何黑客會使用這種方式去散播惡意軟件? 1. 容易避開電郵過濾檢測 從罪犯角度看,使用受密碼保護的電郵附件,是有效避開電郵過濾檢測的方法。雖然電郵網關安全掃描能夠檢測和刪除惡意附件,但如果附件是加密文件,大部份的電郵過濾器是束手無策的。 2. 易於發動 導致電郵附件惡意程式普及的另一個原因,是創建這些附件相對容易。惡意 Macros 可以使用 Microsoft Visual Basic 或 JavaScript 編寫,技術門檻較低。 3. 利用人性弱點 惡意程式通過令人信服的附件進行發放,這些附件看起來像業務相關的文檔。更重要的是,添加密碼保護會產生安全感和真實性,令用戶放下戒心,打開文件。…
LinkedIn宣布加強安全功能,阻止近年愈來愈多黑客透過平台詐騙。新加入的帳戶驗證機制,以及持續以先進人工智能技術辨識虛假帳戶,均可提高用家的安全意識及打擊假帳戶,讓用家用得放心。 近年不少黑客都透過職場社交平台 LinkedIn 犯案,原因有多方面。首先,由於用家都會樂於上載詳細資料到平台,以便讓潛在僱主找到自己,因此黑客可簡單地利用搜尋功能找到目標,同時亦可訂立更個人化的社交工程攻擊,讓目標上當。 其次是大部分用家都以尋找新工作機遇為目標,因此對於來自大公司的工作邀請,更易上當。詐騙活動近年經常發生,比較著名的有北韓黑客集團 Lazarus 以虛假的工作職位為名,引誘英國、印度及美國等地從事 IT 及媒體工作的職員,打開假扮成職位資料的文件,實際上卻在對方電腦上安裝木馬程式,以便黑客刺探目標公司的內部機密。其他手法還包括引誘對方到其他通訊軟件聯絡,或到訪釣魚網站,盜竊對方的個人及公司帳戶登入資料。 LinkedIn 為了打擊上述詐騙活動,宣布即日起陸續推出新的安全功能。其中之一的「About this profile」,可顯示登記用家是否已通過公司電郵或電話驗證,如黑客要假扮為某間企業員工,並在個人資料上顯示目標公司的電郵地址,便要先通過驗證,否則便不會獲得驗證標記。 新加入的人工智能技術,則會無間斷地偵測所有用家的帳戶使用情況,包括帳戶相片、登入平台後的活動內容,如發現可疑行為,便可能會凍結用家帳戶,或對其他用家發出警告。LinkedIn 強調相片辨識上毋須使用生物辨識技術,即用家毋須先通過人臉辨識,系統也可憑人工智能找出虛假相片。 新加設的 「About this profile」 功能。…
多款聲稱可加強瀏覽器自訂功能的 Chrome 及 Edge 延伸工具,原來藏有惡意廣告軟件,據知這些軟件在最近大量出現,且錄得數以百萬計下載量。除了顯示廣告賺錢,黑客更可騎劫搜尋結果,顯示可獲利的廣告內容,甚至可賺取網民上網購物的佣金。 網絡安全公司Guardio Labs研究員在十月中發表調查報告,指出有 30 多個變種惡意廣告軟件繞過安全偵測,成功在 Chrome 及 Edge 的網上商店上架。研究員解釋,這些被歸類為 Dormant Colors 的瀏覽器延伸工具,均聲稱可為用家提供更多瀏覽器自訂色彩的功能,而且由於軟件內並無惡意編碼存在,所以可以順利通過官方商店的安全審查。 黑客首先會在一些受感染的網站上加入惡意編碼,以免費睇片或下載影片作招徠,並通過廣告提升觸及率,讓更多人發現這些網站。當有網民嘗試播放或下載影片,畫面會跳轉到另一個網站,並要求網民必須先安裝一個瀏覽器延伸工具才能播放。 如網民按照指示安裝,網站內的惡意編碼便會將網民引導至更多網站,而 Dormant Colors…
Green Radar在愛馬仕資訊科技安全日,介紹了 QR Code 的一些基本信息和常見應用,以及和釣魚電郵相關的安全威脅和建議。Green Radar 的專業技術顧問分享了關於 Quishing(QR Code 網絡釣魚)、用戶認證和釣魚郵件的真實案例。透過遊戲的方式與大家互動,加深大家對釣魚電郵和網絡安全的認識,提醒各位在日常生活或工作上保持警惕,切勿成為黑客下一個目標! (資料及圖片來自 Green Radar)