Search Results: CIS (167)

    無論是大中小企業,今天同樣面對數碼轉型的各種問題,其中數據移雲就出現不少網絡安全問題。網絡安全企業 Palo Alto Networks 剛發表一份香港及亞太區大型機構雲端安全狀況的調查報告,結果令人震驚,多方面顯示香港大型機構並未理解雲轉移的安全問題,76% 受訪者仍誤以為雲端供應商可保客戶平安,同時亦有超過 3/4 大型機構從沒或未有每年為網絡安全進行審計! 負責這次調查報告的 Ovum Research,一共訪問了 500 個來自各行業的大型企業員工,受訪對象分別來自澳洲、中國、香港、印度及新加坡等地,每個地區各有 100 個受訪者。儘管今次調查共有 83% 受訪者同意網絡安全及私隱是雲端應用的最大挑戰,不過,Palo Alto Networks 副總裁兼亞太區安全總監 Sean Duca…

    雖然好多調查報告話,企業網絡安全事故多數由打工仔助攻,但街訪時打工人就完全唔同意,話有問題檔案可 del 就 del,但如果因工焗開而中毒,責任應該喺公司身上。 有邊啲檔案真係唔開唔得?舉兩個例子就明。 個案一:來歷不明電郵 但凡公司請人,人事部都會收到大量來自陌生人發出嘅CV。如果唔開電郵附件,點樣篩選適合人選嚟面試? 個案二:日常往來伙伴 採購部日常工作就係收客戶訂單同邀請廠方報價,全部靠收發文件檔案去確認交易內容。即使係合作開嘅伙伴發出嘅電郵,點樣確認對方電腦系統仲係安全? 有乜方法可以令員工安心打開檔案做嘢?答案就係 Content Disarm & Reconstruction(CDR)技術,即刻參加 ReSec 實戰工作坊,即可了解重建檔案技術點樣快速摘除隱藏陷阱,一次過提升公司網絡安全同埋員工嘅工作效率。 日期:10 月 15 日(星期二)時間:2:30pm…

    很多朋友問我,做黑客要不要領牌 (專業證書 )。答案可以是「Yes」或「No」,綜觀全球著名黑客, 他們大多數都是從大量的實踐中煉成黑客技術, 他們專注研究軟件,從一些細微的弱點發掘出漏洞,嘗試發動攻擊入侵系統, 終於成功奪取權限。相反,修讀 CEH (Certified Ethical Hacker)專業認證資格,則是一門以正統方式把你培養成為一個「道德黑客」的課程。 CEH的EC-Council原來好打得 CEH 是由國際電子商務顧問委員會 (EC-Council)提供的網絡安全認證。CEH 是國際的頂級熱門安全證書,符合美國的 ANSI / ISO / IEC…

    上次邀請了網絡安全保險專家盧子頴,講解這類保險的保障範圍,以及哪一類企業應該盡快考慮投保。不過,原來並非想買就可以買到,因為保險公司會先評估投保人有沒有做足安全措施,除了影響投保成功投保率,更會左右保費。 三大因素影響投保 網絡安全保險供應商智咨詢集團執行董事盧子頴指出,雖然遇到的個案不多,但間中也會有投保人以為只要有錢就可投保,但其實保險公司也需要核保,評估投保人受到網絡攻擊的風險。「如果店鋪連門鎖也沒有,試問怎會有保險公司受保?」他指出保險公司首先會檢查企業現有的網絡安全措施,例如有沒有裝設防火牆、防毒軟件、登入權限管理、升級硬件及軟件韌體的政策、個人私隱保管政策、遙距登入管制等等,「如果企業完全沒有做,保險公司會建議對方先做好基本的網絡安全措施,之後才考慮投保,因為即使轉投其他保險公司,相信也不會成功。」盧子頴補充說,其實投保不能賺錢,只能減少損失,所以如果站在預防被攻擊的立場,企業都應先做好防禦工作。 除了檢查安全措施,盧子頴表示保險公司還會考慮企業的業務性質,如屬於高風險行業,例如涉及加密貨幣交易,又或處理的個人私隱數據太多,就並非所有保險公司就會受保。另外,一些規模較細的保險公司,如投保企業每年的生意額太高,也可能因為承受不到風險而無法接單,這些因素就與投保企業無關。 上述的考慮因素,不單只會左右投保成功率,同時也會影響保費,「因為全部同風險有關,簡單來說,風險愈高的生意,保險公司收取的保費就會愈高。」盧子頴解釋跟傳統保險服務一樣,保費高低還要因應保額、墊底費及保障內容計算,如前文提及的增值保障如勒索贖金、外判商失誤等,便會提高投保費用。記者問如企業內擁有考獲 CISSP、CEH 等證書的網絡安全專家,安全度理應較高,是否可成為減保費的因素?他說理論上是,但同時間代表企業的業務複雜性較高,而且亦可能有較多監管要求,所以保費最終也要視乎實際情況而定。 「雖然保險費用很難有參考價格,但視乎選購的保險計劃,保費可低至每年五六千元。」盧子頴建議企業管理者不用想得太多,如認為業務受到攻擊的風險頗高,應邀請保險公司進行評估,之後再考慮是否購買也不遲。

    如果大家好記性,都記得舊年香港爆過單遺失選民登記冊嘅新聞,最精采 係上個月選委會開記招提返呢件事,竟然話調查完都判斷唔到點解會遺失……any肥,我只係想講,香港地方咁細,唔見咗選民登記冊都牽連甚廣,換轉係美國,當然就更大件事,而且分分鐘影響埋選舉結果! 路透社最近就出咗篇獨家文章,話原來美國政府內部已經做緊嘢,一個月前推出咗新計劃,希望可以喺 2020 年總統大選前,提升選舉系統嘅防禦能力。上屆選舉時,已經有俄羅斯黑客入侵選民驗證系統,從中偷走資料,但大家擔心嘅係上次只係試驗,今次大選行動會升級,黑客唔滿足於拎資料咁簡單,而係透過操控及竄改資料嚟決定選舉結果,咁就更加大件事! 華府網絡安全和基礎設施安全局(CISA)局長 Christopher Krebs 接受訪問時就話,近幾個月各州縣政府部門先後被勒索軟件攻陷,部分檔案被鎖住唔能夠打開,要用虛擬貨幣交贖金先開得返,而好有可能下年大選都有機會中招,俾黑客用同樣招數鎖住選民資料。 目前 CISA 已經同所有州政府聯繫,一方面提供教材,等佢哋知點樣應對呢類攻擊,另一方面就落手落腳幫佢哋做齊晒各方面嘅測試,睇下有冇乜嘢漏洞,及早作出修補。雖然目前仲未有指引,如果州政府中招後應唔應該俾贖金,但 CISA 就強調做好預防及備份措施,就係希望唔會出現要俾贖金嘅呢一日。 當然啦,唔想俾黑客勒索,最有效方法就係定時備份,有州政府選舉工作人員就話,自從 2016 年開始,已明顯加強咗網絡保安,而且不時都會備份選民資料以防萬一,但係到底要幾耐備份一次先妥當?暫時都未有清晰指引喇! 資料來源:https://reut.rs/2ZwpYxK

    數碼轉型的好處,相信毋須特別多提;不過隨著愈來愈多企業將重要工作或數據轉移雲端,網絡安全的問題亦陸續浮面,例如難以把握的多雲(Multi-Cloud)架構、複雜的存取權限管理,特別是「影子 IT」」(Shadow IT)應用失控,每走一步似乎都可以引發難以預計的洩密風險。既要繼續移雲,但對網絡安全又有大量疑雲,應該如何自處? 發展過快 監管困難 先來看看現時企業管理者面對的難題,愈趨複雜的多雲架構及存取權限問題都較易理解,但到底「影子IT」應用又是什麼一回事?它其實代表未經企業 IT 部門允許的應用軟件。根據最新發表的一份網絡安全調查顯示,企業管理者認為員工使用的雲端應用軟件數量為 452 種,但實際上卻是 1807 種,足足接近 4 倍之多,完全低估了實際使用情況,這些影子 IT 應用既然未被允許使用,企業 IT 部門所採購的網絡安全設備自然難以洞察及堵塞其漏洞,大大增加黑客潛入的門路。 除了雲端應用「失控」, BYOD(Bring…

    欺詐之神話而家呃人,容易過 50 年前 4000 倍,唔好問點解,信就得。 《Catch Me if You Can》(港譯《捉智雙雄》)呢套經典犯罪電影相信好多人都睇過,喺戲內由里安納度狄卡比奧(Leonardo DiCaprio)飾演嘅欺詐犯 Frank Abagnale,的確真有其人,多次利用人類心理漏洞扮成法語教師、醫生、律師、機師,又涉及偽造支票,被 FBI 逮捕及服役後,轉而為 FBI 服務及開設安全顧問公司,以自己嘅豐富詐騙經驗為企業進行培訓。 資訊發達「商機」處處 Frank 最近接受傳媒訪問時首先就話,造成資料外洩嘅唔係黑客,製造漏洞嘅永遠係受害者自己或公司員工,例如唔轉密碼、將唔應該拎走嘅工作帶返屋企做、無及時更新系統檔案、無做清楚身份核對就信以為真……各式各樣嘅前設令到人類掉以輕心,以為黑客唔會攻擊自己。Frank…

    上回講到修讀 VTC 資訊及網絡安全高級文憑(Diploma)課程,是成為資安新人王的捷徑。但對於一些已從事其他行業有一段日子,但又有興趣「中途轉機」、加入資安行業的在職人士,又有哪一個課程是入行踏腳石?答案可在 HKUSPACE 課程找到。 香港大學專業進修學院(HKU School of Professional and Continuing Education, HKUSPACE)已經辦學60年,其前身是香港大學學外課程,而現在已獨立為一家非牟利擔保有限公司的教育機構。截至2016年,已有282萬人次報讀學院課程,其中有關資訊科技和資訊保安的課程,在這十多年間大受歡迎,每年課程的學額都是供不應求,課程種類繁多,包括資訊保安的深造文憑、理學士、碩士課程,任君選擇。中學畢業人士可申請就讀資訊科技深造文憑課程(Postgraduate Diploma in Information Technology),這兼讀課程的部分學費可以申請CEF(持續進修基金),成功達標者可得到基金資助 80% 學費津貼,而從 2019…

    從事資訊安全工作多年,曾在不同場合的講座中,被不少中學生和老師問我如何入行?要成為資安顧問,有何學歷要求? 資安顧問是否「黑客」? 應該考取哪些資安課程證書會較實際?甚至打爛沙盆問到篤,追問資安顧問的收入及發展前途。當然除了學生之外,還有其他行業人士有興趣「中途轉機」,可見普羅大眾對資安行業的資訊還是比較陌生,更遑論要成為資安 新人王 。 著重實戰經驗 其實資訊安全行業絕不神秘,跟其他行業一樣,也有很多相關證書可以考取,晉升階梯亦算清晰。接下來筆者將會撰寫一系列資安入行秘笈,分享在業內快人一步上位的正確途徑。 毋容置疑,擁有資安證書會較容易入行,但如果你有使用和安裝網絡安全產品 (如防火墻)的經驗,又或有 PKI 密碼學和電子證書使用和配置的經驗,甚至乎你已考取了相關的國際資安證書,很多公司都會願意聘請成為資安顧問。不過,最穩打穩紮的途徑,還是修讀香港各大教育機構開辦的課程。 VTC 資安 新人王 速成班 香港專業教育學院(VTC)開辦的資訊及網絡安全兩年制高級文憑 (Diploma)全日制課程,可算是本地課程的表表者。課程旨在訓練學生學習及應用資安知識,去分析、設計及實現安全的網絡及電腦系統。課程的內容緊貼市場,還著重通識教育、語文訓練、全人發展,亦為學生提供實習機會,有助加强學生的解難能力和熟習職場運作,往往一畢業就能快速受聘並跟職場環境磨合,屬於實戰型課程。本港不少公營機構及私營企業,包括跨國公司等,都樂意提供實習機會給這課程的學生。 入學門檻並不算高,只要於香港中學文憑考試 (Hong Kong Diploma of Secondary Education Examination, DSE)其中五科成績考獲第二級或以上(包括英國語文及中國語文);或擁有 VTC 基礎(級別三)/基礎課程文憑、中專教育文憑/職專文憑、毅進文憑或同等學歷,即可申請。不過,這課程屬 VTC 的熱門學科,每年招收約 90 個學生,但入學申請卻多達數百,競爭頗為激烈。…

    美國電腦網絡危機處理及協調中心 CERT 日前公布,多家廠商推出嘅企業 VPN (Virtual Private Network,VPN)服務存有安全漏洞,名單中更不乏大品牌,例如 Palo Alto 、Cisco、F5 Networks、Pulse Secure 等。以為企業級 VPN 就等於 100% 安全?咪傻喇。 平民百姓用 VPN ,無非都係為咗翻牆或藏匿自己嘅數碼足跡;而企業用…