再有調查發現,愈來愈多黑客利用開源 Python 套件倉庫例如 PyPl 作為散播惡意軟件的工具,所使用的手法包括串字錯誤 (typosquatting)、依賴混淆 (dependency confustion) 或社交工程 (social engineering),開發者如果隨便下載有問題的套件使用,廣大客戶將會受牽連! 供應鏈攻擊 (supply chain attack) 是近年黑客愛用的其中一種網絡入侵方法,因為黑客只須入侵開發者的上游服務供應商,之後就可以感染其客戶及用家,性價比極高。供應鏈攻擊可以分兩種類,一種是非法入侵官方伺服器,利用其服務的漏洞發動攻擊,或將惡意軟件替換成官方的更新檔,借助自動更新功能大規模感染下游客戶的電腦設備;另一種則毋須入侵,黑客可以將惡意軟件偽裝成存放於開享資料庫上的共享套件,再靜候獵物上釣,而今次由 JFrog 網絡安全研究員發現的情況就屬於後者。 專家解釋,開源資料庫一般缺乏自動化安全控制功能,未有詳細驗證用家上載的共享檔案是否含有惡意功能,因此如應用服務開發者未有對共享檔案進行安全檢測就使用,便有可能直接將惡意功能引入自家的軟件中,推出後便有很大影響。JFrog 便在知名…
Search Results: Attack (138)
後疫症年代加速數碼轉型,Orange 集團(法國電信)旗下的 Orange Business Services (OBS) 在2020年就Cloud Maturity 進行調查,發現 70% 公司想將應用程式搬上雲端運作,事實上大部分企業早已邁步上雲,更有 15% 將重要應用程式搬上雲。在數碼轉型的過程中,企業最擔心的是風險及安全問題。全球頂尖互連及數據中心公司Equinix 連同 Orange 推出數碼轉型服務,協助企業安全完成雲遷移,立即了解更多上雲過程及安全須知! 切割core 及 edge 保護數據…
數據備份儲存公司 Cloudian 最近公布一項調查指,即使曾接受反網絡釣魚培訓課程,但仍有 65% 的勒索軟件受害者,因為網絡釣魚而深受其害,反映勒索軟件組織仍以網絡釣魚,作為攻擊公司的主要方式。 有關調查的訪問對象為過去兩年曾遭遇勒索軟件攻擊的 200 名 IT 決策者,超過一半的受訪者表示,曾安排員工接受了反網絡釣魚培訓,有 49% 的受訪者表示,在受到攻擊時,已採取防禦措施。近 25% 的受訪者表示,他們的勒索軟件攻擊是透過網絡釣魚展開,而在這些受害者中,有 65% 曾接受反網絡釣魚培訓課程。對於員工人數少於 500 人的企業,41% 的企業表示他們的攻擊因網絡釣魚而中招;大約三分之一的受害者表示,他們的公共雲是受攻擊的切入點。 報告指出,調查結果反映網絡釣魚陷阱日益複雜,攻擊者會模仿為受害者的信任的人如同事或上司,發送釣魚電郵,這種攻擊又稱為…
PDF 的認證簽章 (Certification Signatures) 原本具有確保檔案無法被竄改的功能,但有安全專家就發現,這種認證技術存在安全漏洞,黑客可透過兩種方法去修改 PDF 檔案內容,而不影響簽章的有效性。研究員更發現 26 款 PDF 應用程式中,有 24 款至少存在一種漏洞,當中更包括 Adobe…… PDF 的數碼簽章格式可分為兩種,分別是 Approval Signatures 及 Certification…
黑客經常「撈大茶飯」,使用勒索軟件作為破壞企業營運收錢的惡意活動,屢見不鮮。網絡安全公司 Group-IB 最近就發表一項分析,指出勒索軟件攻擊在 2020 年翻了一倍;而 Cybersecurity Venture 甚至大膽預測,在2021 年勒索軟件攻擊,將會每 11 秒發生一次!企業應該如何面對呢? The Hacker News 就提到,企業必須做好準備,提防勒索軟件攻擊所造成的數據損失、服務受阻、營運中斷等情況,並列舉以下五個方法,在中招後應如何恢復過來。 (1)隔離和關閉關鍵系統(Isolate and shutdown critical systems)…
2020 疫情推動遠程工作,無數用戶使用資安漏洞百出的裝置處理公司機密,低成本低技術門檻的 Old School 網絡攻擊成為散戶式黑客 2020 最常用手段,且收穫甚豐。2021 年則由機構型黑客主宰新聞推送,由 Solarwinds 到最近 Colonial Pipeline,關鍵字係 Ransomeware、Infrastructure、天價贖金。資安團隊很忙,所以時間更加要用得其所,洞察黑客的下一步提早佈局。 3 月 Microsoft 揭露中國黑客組織 Hafnium 透過 4…
雲端安全方案供應商 Barracuda 發布《2021 年的應用程式安全狀況》全球研究報告,顯示針對企業的網絡攻擊問題依然嚴重,有高達六成受訪港企反映,在過去 12 個月內曾因應用程式漏洞而遭到至少一次網絡攻擊,當中以零日漏洞(Zero-day vulnerability)最為常見。 調查在本年三及四月期間進行,一共訪問了 750 名負責應用程式開發及網絡安全的企業 IT 決策者,他們所屬的企業均是員工人數達 500 名或以上的大企,至於來自本港的受訪者則有 50 人,當中六成人(30 人)表示,公司在過去 12 個月內,曾因應用程式漏洞而遭到網絡攻擊;在這 30…
美國最大燃油供應商 Colonial Pipeline 早前遭勒索軟件(Ransomeware)突襲,要啟動應急方案,暫停所有的管道作業。這宗影響美國東岸 45% 燃料供應的網絡攻擊,驚動美國政府,運輸部當日(5 月 9 日)宣佈全國進入緊急狀態,總統 Biden 需親自回應事件。而經 FBI 調查後,揭發幕後黑手為 2020 年 8 月組團的 DarkSide,後者除了滲透 Colonial Pipeline…
全球知名 IT 研究與顧問諮詢公司 Gartner,在其亞太地區安全與風險管理峰會中,分析師探索 IT 行業趨勢。據Gartner 稱,COVID-19 加速數碼業務轉型,並為傳統的網絡安全模式帶來挑戰,提醒安全和風險管理的領導者必須應對以下八個主要趨勢,以實現企業的快速重塑。 Gartner 研究副總裁 Peter Firstbrook 表示,這些趨勢是對所有組織所面臨的持續全球挑戰的回應。Firstbrook 指出,第一個挑戰是技能差距,80% 的受訪問組織表示,他們難以找到和僱用安全專業人員,而 71% 的組織則表示,這正在影響他們在組織內交付安全項目的能力。2021 年安全和風險領導者面臨的其他主要挑戰,包括複雜的地緣政治形勢、日趨嚴格的全球法規,工作空間和工作負載從傳統網絡遷移,端點多樣性和位置的激增以及攻擊環境的變化,尤其是面對勒索軟件的挑戰和企業電子郵件的傷害。 以下是 Gartner…
香港金融管理局 (HKMA) 於去年 11 月推出的加強版網路防衛評估架構「C-RAF 2.0」,特別在產品開發周期上提升了合規要求。全球第七大軟件公司 Micro Focus 夥拍香港系統整合商 Resolve Technology,推出 Fortify 解決方案,可確保金融業將安全性在開發流程中的位置「左移」(shift left),貫通整個流程,金融業就可放心推出新服務,提升競爭力。 新服務成金融業致勝關鍵 作為亞洲金融中心,香港的金融業均積極引入各種金融科技,同時致力縮短產品開發周期回應市場的需求。不過,企業安全產品代理商 B & Data 總經理…