日前,一名匿名黑客在論壇上發布了 900 多個 Pulse Secure VPN 企業服務器的用戶名稱、密碼以及許多其他敏感資料。攻擊者可能利用了去年九月發布的 CVE-2019-11510 安全漏洞,以攻擊具有相關安全漏洞的系統。 以上新聞可能爲大家帶來啟示:儘管許多人認為 VPN 對於所有需要在家辦公的員工來說,是一種安全的解決方案,但我們都必須意識到——VPN 只是保護系統安全和數據隱私的眾多安全層之一。 在沒有其他適當的安全層情況下,將 VPN 部署為唯一的安全控制層,會給許多公司帶來「很有安全感」的錯覺。而事實是,黑客透過 VPN 入侵的實例比比皆是,近期較熱門的事例便有三菱電機 VPN 攻擊和…
Search Results: MFA (63)
日本攝影器材巨商 Canon 被爆遭知名勒索軟件 Maze 襲擊,導致 Canon email、Microsoft Team、美國官網等內部應用程式紛紛受影響,傳聞更指超 10TB 用戶資料被竊取。 直至截稿時間,Canon 美國官網仍無法進入 據 Bleeping Computer 爆料,Canon 美國分公司一員工昨日收到公司 IT 部通知,指公司多個內部系統及 20…
雲端應用雖然已大行其道,不過,不少企業管理者仍然無法信任其安全性。最近一份針對亞太地區企業進行的安全調查報告《Data Security APAC 2019》顯示,發展成熟的企業當中,只得 27% 認為公共雲(Public Cloud)有足夠的網絡安全功能。而整個亞洲區的企業中,有 73% 受訪者認為資料外洩是無可避免,這可能跟超過 75% 企業管理者未能了解如何可安全保護業務有關。 增加攻擊難度 企業要提升公共雲的防禦力,可從設定嚴緊的登入措施及加密數據著手。首先企業管理者要釐清各員工的登入權限,可有效阻止未獲授權的員工接觸重要的文件或作業;不過,如登入帳戶資料被盜取,黑客一樣可以登入雲端應用竊取資料,所以企業亦應考慮採用多重因素認證(Multi-Factor Authentication)機制,例如以 USB、藍牙硬體鎖作為 Security key,員工登入帳戶時必須持有這硬體鎖,這樣即使登入名稱及密碼外洩,黑客亦無法登入帳戶,減少公司機密資料被盜取的風險。 另一方面,雖然公共雲供應商有提供網絡安全措施,但客戶並不能單純依靠對方的防護,因為客戶本身存有分擔責任(shared responsibility),必須採取足夠的手段去保護儲存在雲端的資料,否則亦難以追討賠償。而要確保數據安全,最好便是選用加密技術,例如 tokenisation 或 cyptographic 等工具,將數據亂碼化或以金鑰作保護,即使數據被盜用,或於轉送中褒被攔截,黑客亦難以破解及還原數據的內容。 雖然 MFA 或 Tokenisation 都是非常有效的保護公共雲手段,但在今次調查報告中,企業的採用率都不高,前者少於 50%,後者更少於 20%。隨著全球各地陸續立法管制數據安全,資料外洩已不單只會影響商譽,更有可能為企業帶來災難性的金錢賠償,要避免企業營運陷入困境,由今日開始,就要立即採取措施,守好雲端上的數據。 (article sponsored by Edvance)