Search Results: SD (170)

    網絡安全公司 Sysdig 為客戶調查一宗入侵事故時發現,黑客利用客戶的 AWS 雲端應用服務設定漏洞,乘機在雲環境安裝挖礦程式,更進一步利用 call API 功能取得帳戶登入資料,繼而入侵至受害企業的雲端架構,最終盜取近 1TB 機密資料。雖然大家都趕著數碼轉型,但如未充分理解安全盲點就移雲,好易出事。 想知最新科技新聞?立即免費訂閱 ! 近年不少企業都趕忙數碼轉型,採用更多雲端服務,不過,由於現有的 IT 員工未必熟悉雲環境,因此在設定上有可能出現安全漏洞。Sysdig 早前處理一項網絡安全事故,發現入侵的黑客非常熟悉雲環境,令他們可以憑著客戶一個對外開放的雲端應用服務漏洞入侵,而且更滲透至雲端架構,盜取到大量機密資料。 專家解釋,黑客首先入侵了客戶在 AWS 上掛載的 Kubernetes,並在內裡安裝了一個挖礦程式。之後黑客便利用特製程式碼取得企業其中一個帳戶登入資料,再以…

    不少行業都開始習慣遙距工作,因此,能確保員工安全地存取企業網內的資源,就顯得非常重要。究竟哪個國家走在最前,在推行安全遙距工作上做得最好?又有甚麼工具是遙距工作者必須使用的? 想知最新科技新聞?立即免費訂閱 ! Proxyrack 最近發布的研究,介紹可能影響遙距工作者連接性和安全性的因素,包括一個國家的人口中使用 VPN 的比例、總體上多少人有互聯網接入、每 10 萬人中的 5G 熱點數量,以及在國家網絡安全指數(NCSI)中的排名。Proxyrack 結合這些數字以及幸福指數和薪水等因素,發布了以國家為單位的遙距工作者安全評分。 以私隱和數據保留法律而聞名的瑞士,成為遙距工作者和他們的安全首選之地。其得分為 7.62 分,93.56% 人口有互聯網接入,NCSI 得分為 76.62,每 10 萬人有…

    全世界對科技人才需求甚殷,僱主要留住優秀的員工,必須使出渾身解數。有研究提出,科技公司身為僱主,其主要 KPI,應該是員工的幸福指數,因此必須讓旗下的程式員等職員,保持良好的精神狀態,以便留住他們以戰勝經濟低迷的困境。 想知最新科技新聞?立即免費訂閱 ! 經濟不景氣時,企業可能會削減預算、減少針對技術的投資和裁減人員。然而,現時企業已越來越重視技術人才,視之為來之不易的戰略資源。New McKinsey & Company 研究發現,受訪 1,100 間全球公司中,55% 發現招聘重要的數據和技術人員有困難,例如數據和軟件工程師、數據架構師和機器學習工程師等。 大多數受訪者表示,即使提供具吸引力薪酬方案,及允許採取靈活工作模式,招聘人才仍有困難。因此,對於 CEO 而言,真正問題不應是如何削減成本,而是如何留住和激勵他們現有、表現優秀的技術人才。簡單而言,就是如何讓他們開心並留下來。 科技投資者 Marc Andreessen 接受 McKinsey…

    隨著企業持續邁向雲端,他們需要全新的安全架構應付挑戰,而「零信任(zero-trust)」亦因此應運而生。因此,不少網絡保安服務供應商已開始更積極與雲端方案公司合作,共同建立緊密的生態圈,助不同的客戶應對日益嚴峻的網絡威脅。 想睇更多專家見解?立即免費訂閱 ! 零信任成企業網絡保安浪潮 網絡威脅接踵而至且變得日益精密,促使零信任的概念受到組織的格外關注。在零信任的前提下,沒有任何用戶或程序會預設獲組織信任,他們的每個工作階段均需認證,而每個向網絡發送的請求均被視為潛在威脅,直至請求者的身分獲成功認證。即使在工作階段中,用戶和裝置亦會受檢測,以識別任何能夠引致漏洞的變更。 零信任策略使零信任網絡存取(ZTNA)方案成為主流。藉此,組織可在工作階段開始前驗證用戶及其裝置,從而控制應用的存取。他們亦可透過多因素身分認證,確保用戶真實身分後才提供應用的存取權限。 與雲端供應商合作共創雙贏 在雲端浪潮下,網絡保安服務供應商亦需把方案與不同雲端平台整合,以把安全功能拓展至更多平台,全面地保障客戶的網絡基礎設施。 以Fortinet為例,最近 Fortinet 推出了雲原生防火牆產品,保障客戶在雲端上的應用和數據。日前,Fortinet 在阿里雲平台上推出「私人零信任邊緣方案(Private Zero Trust Edge Solution)」,整合零信任網絡存取、SASE、SD-WAN 及次世代防火牆,保障客戶在阿里雲上的應用和數據安全。從中,他們可充分掌握網絡上的情況,並確保每個應用的工作階段安全,同時為各地的員工套用一致的防火牆政策,以免網絡遭到入侵。 Fortinet 與雲端方案公司合作的其中一個重大意義,在於雙方能夠共建生態圈,並能互相借助優勢,賦予客戶最佳體驗。以是次合作為例,Fortinet 的方案亦能利用阿里雲的全球基礎設施,以及企業應用運算引擎…

    由 OpenAI 開發的人工智能聊天程式 ChatGPT 掀起一股熱潮,許多人爭相用來編寫程式、翻譯文字、談天說地,試驗最新 AI 技術的極限。不過,有網絡安全專家發現,黑客及攻擊者亦同樣地利用 AI 助手作不法用途,變相降低網絡犯罪的門檻,增加網絡威脅。 想知最新科技新聞?立即免費訂閱 ! ChatGPT 具備生成文本的能力,儘管自身擁有使用規則,系統會避開部分不當內容,但始終並非完美。Check Point 的首席訊息安全官 Pete Nicoletti 表示,在 Reddit 上出現了一個名為…

    加密貨幣愈出愈多,但其投資價值還是經過深入分析及了解後,才能定奪。網絡安全公司 Check Point 的研究人員發現,一款名為 Dingo Token 的新加密貨幣,其背後操作能容許項目擁有人將交易費用提升至交易額 99% 的功能,將之標記為潛在騙局。Check Point 研究人員目睹 47 次這種惡意費用調整後,發出相關警告。 想知最新科技新聞?立即免費訂閱 ! Dingo Token 目前在 CoinMarketCap 排第…

    網絡釣魚經常利用虛假的社交媒體資料,以及對目標人物作深入調查,從而製作出精細的攻擊活動,誘騙受害者點擊惡意連結,並將用戶名和密碼「雙手奉上」。究竟有甚麼方法可以避免墮入黑客的陷阱?正所謂知己知彼,首先我們要了解黑客背後的運作模式。 英國國家網絡安全中心(NCSC)早前發出警報指,網絡釣魚攻擊針對來自多個行業的個人和組織。網絡釣魚攻擊的最終目標,是誘使受害者點擊惡意連結,這些連結會導向看起來逼真的虛假登入頁面,受害者一旦輸入他們的登入憑據,等同向攻擊者直接提供自己帳戶的訪問權限。黑客透過利用這些帳戶,再接觸其他受害者。 許多惡意連結的頁面會設計成常用的雲端軟件和協作工具,如 OneDrive、Google Drive 和其他文件共享平台。其中一個案例是攻擊者與受害者進行 Zoom 通話,然後在通話期間於即時訊息發送了一個惡意 URL。他們甚至會在網絡釣魚過程中,創造出多個角色並操作,增加可信性。 魚叉式網絡釣魚攻擊的第一階段是做研究和準備。攻擊者透過社交媒體和網絡平台等的公開資料,盡可能了解目標人物背景,包括他們的職業和聯絡人,例如家人、朋友和同事。攻擊者通常會根據真實人物,設置虛假社交媒體和文件以令人信服,使之看起來像是與真實事件相關,實際上這些事件並不存在。 據 NCSC 指,這些活動是俄羅斯和伊朗的網絡攻擊者所為,兩地的攻擊活動雖不相關,但策略相同。無論攻擊者冒充何人,或使用甚麼誘餌,這些魚叉式網絡釣魚活動都有一個共同特徵,就是以個人電子郵件地址為目標。這種策略能用以繞過對公司賬戶和網絡安全控制,而公司或企業電郵也成為攻擊目標。 這些網絡釣魚活動背後另一關鍵要素,是攻擊者相當有耐性,他們會花時間與目標建立關係。通常他們不會立即潛入,或直接要求目標人物點擊惡意連結或打開惡意附件,反而會與目標慢慢建立信任。過程通常從一封看起來平平無奇的電郵開始,通常是經調查後發現目標很可能感興趣的內容,藉以吸引他們,然後他們之間來回發送電子郵件,有時持續很長時間,直到建立起受害者所需的信任,令他們中招。 惡意連結將偽裝成受害者感興趣的文檔或網站,如會議邀請或議程,將受害者導向至攻擊者控制的伺服器。當受害者在惡意連結中輸入用戶名和密碼時,這些資料將發送給攻擊者,他們便可利用受害者的電子郵件和其他帳戶作更多行動。據 NCSC 稱,這些行動包括從帳戶中竊取訊息和文件,以及監控受害者未來發送和接收的電子郵件和附件。 攻擊者還會利用受害者電子郵件帳戶的權限,獲取郵件列表數據和聯絡人列表,隨後用於後續活動:由其他人作進一步網絡釣魚攻擊。 NCSC 運營總監…

    一場影響全球多年的疫情,對人們的工作模式帶來了許多改變。在家工作(Work From Home)的新趨勢,令不少企業開始增加應用雲端計算,同時也要為員工提供高速網絡、自動化和遠程訪問工具。正正因為企業對網絡更加倚賴,網絡安全成為了相當重要的課題。 據網絡安全供應商Check Point指出,香港中小企近年所面對的網絡攻擊威脅日趨嚴重,香港公司過去半年平均每周遭受 789 次攻擊,而當中有 9 成惡意檔案,乃是透過電郵發送。雖然網絡安全風險大增,但許多中小企卻未有加強防護意識。據電訊營辦商於 2022 上半年的調查顯示,超過 8 成中小企客戶為節省成本,沒有定期更新網絡防護軟件,這會令公司資料被入侵和盜取的危機大增加,隨時會損失慘重。 筆者曾經聽客戶提及,其團購公司因網絡防護做得不好,被黑客攻擊,整個網站即時停運。而媒體亦不時有報道,指有黑客入侵和盜取公司郵箱,假冒商業夥伴或公司高層要求轉款;2022 年 9 月就有一宗本地肉類批發商公司被黑客盜取資料,損失達 2 千萬港元匯款的案件。 來自黑客的網絡攻擊,大多是勒索軟件、釣魚攻擊,或是系統漏洞攻擊,以破壞防禦系統並偷取資料。而最常見的是木馬程式、代碼注入,它們會攻擊企業的內聯網及電子郵箱。針對這些攻擊風險,筆者建議企業在網絡安全防禦方面要執行以下措施:…

    加速數碼化轉型,邁向數智宇宙,中國移動國際(CMI)正舉行 iSolutions 狂歡節,舉辦今年最大促銷。限時推出的五大優惠,包括免費上雲諮詢服務、簽單送雲工具及服務等,助企業輕鬆「上雲」。 Gartner 報告顯示,目前企業上雲遇到最大的挑戰包括管理技術、技術及資源不足等。CMI 致力為跨境企業提供全面、優質的解決方案,其 iSolutions 解決方案協助企業能夠無縫及安全地將業務拓展至全球。 優惠期至今年 12 月 31 日,請把握今年最後機會,盡情狂歡! 優惠一A —免費上雲諮詢服務 凡選購 iSolutions 國際數據連接、雲網、數據中心、IoT 及 ICT…