雲端應用雖然已大行其道,不過,不少企業管理者仍然無法信任其安全性。最近一份針對亞太地區企業進行的安全調查報告《Data Security APAC 2019》顯示,發展成熟的企業當中,只得 27% 認為公共雲(Public Cloud)有足夠的網絡安全功能。而整個亞洲區的企業中,有 73% 受訪者認為資料外洩是無可避免,這可能跟超過 75% 企業管理者未能了解如何可安全保護業務有關。 增加攻擊難度 企業要提升公共雲的防禦力,可從設定嚴緊的登入措施及加密數據著手。首先企業管理者要釐清各員工的登入權限,可有效阻止未獲授權的員工接觸重要的文件或作業;不過,如登入帳戶資料被盜取,黑客一樣可以登入雲端應用竊取資料,所以企業亦應考慮採用多重因素認證(Multi-Factor Authentication)機制,例如以 USB、藍牙硬體鎖作為 Security key,員工登入帳戶時必須持有這硬體鎖,這樣即使登入名稱及密碼外洩,黑客亦無法登入帳戶,減少公司機密資料被盜取的風險。 另一方面,雖然公共雲供應商有提供網絡安全措施,但客戶並不能單純依靠對方的防護,因為客戶本身存有分擔責任(shared responsibility),必須採取足夠的手段去保護儲存在雲端的資料,否則亦難以追討賠償。而要確保數據安全,最好便是選用加密技術,例如 tokenisation 或 cyptographic 等工具,將數據亂碼化或以金鑰作保護,即使數據被盜用,或於轉送中褒被攔截,黑客亦難以破解及還原數據的內容。 雖然 MFA 或 Tokenisation 都是非常有效的保護公共雲手段,但在今次調查報告中,企業的採用率都不高,前者少於 50%,後者更少於 20%。隨著全球各地陸續立法管制數據安全,資料外洩已不單只會影響商譽,更有可能為企業帶來災難性的金錢賠償,要避免企業營運陷入困境,由今日開始,就要立即採取措施,守好雲端上的數據。 (article sponsored by Edvance)
Search Results: USB (43)
為咗保障電郵、社交平台帳戶嘅安全,唔俾黑客搶奪,好多人都識得選用雙重因素認證(two factor authentication, 2FA),即係除咗輸入密碼外,再用另一種方法例如 SMS 收一次性驗證碼嚟確認。不過,由於黑客可以通過 SIM-swapping 技術嚟攔截 SMS 確認碼,唔算得上安全,所以自從 Google 今年將 Android 電話變成其中一種確認金鑰,都有唔少人轉用,亦有人會買一個 USB 或藍牙硬件金鑰返嚟,登入帳戶時一定要用佢嚟做確認。 雙重驗證得個樣 雖然好多帳戶已支援呢種登入方法,亦會主動鼓勵用家進行設定,不過,有呢項設定原來唔代表一定支援,好似 twitter 就係其中一個例子喇。…
唔單只牙線唔可以交換用,就連手機充電線都唔得,因為都有可能引發病毒感染㗎! 近排搭車成日碌手機睇新聞睇片,搞到部 iPhone 好快無電,相信唔少 iPhone 用家都會喺公司擺多條 Lightning 線駁電腦充電。但你有無諗過,插住果條線好可能係鬼線,只要你開著電腦做嘢,隨時可以俾黑客偷走資料? 手機充電線內藏病毒 其實好多手機用家對充電線都無乜戒心,基本上有需要時就會四圍問人借線充電。理解嘅,因為咁細條充電線,可以惡得去邊丫?有黑客為咗提高公眾對充電線嘅安全意識,特別整咗條像真度高達 100 % 嘅 Lightning 線出嚟,但就內置 Wi-Fi 接收器同惡意軟件,只要目標人物將呢條線插入電腦,黑客就可以透過 Wi-Fi 訊號發出指令,指示惡意軟件執行特別任務,例如引導瀏覽器去釣魚網站,又或將電腦進入鎖定模式,強制要用家輸入登入資料,從而盜取登入系統權限。當然,職位愈高,帳戶可接觸嘅公司資料都愈機密。 製作呢條古惑…
勒索軟件肆虐,美國唔少行政機關都飽受困擾,中招者糾纏於是否交付贖金嘅決定之中,正宗俾又死唔俾又死。而勒索軟件對於黑客嚟講,絕對係一件成本低、回報大嘅攻擊,加上暗網有大量勒索軟件發售,只要略懂電腦技術就可以買嚟用,然後坐喺度等收錢。 以往勒索軟件主要發生於電腦作業系統之上,好似 Windows、Linux 系統等等,不過網絡安全公司 Check Point 研究員就發現,Canon 相機嘅 PTP (Picture Transfer Protocol)數碼圖片傳輸協定存在 6 個漏洞,其中 5 個係關於 Buffer Overflow,最後一個就係暗中升級韌體。通過呢幾個漏洞,黑客可以透過 USB 或…
經 NotPetya 一役,馬士基不僅致力改進自身的網絡安全,而且還把它發展成一項「競爭優勢」,它是一次非常切中要害又非常昂貴的喚醒服務。 發生襲擊後兩星期,馬士基的網絡終於恢復至可以重新運作,公司為絕大部分員工下發整理後的個人電腦。哥本哈根總部大樓地庫的自助餐廳,已被挪用為重新安裝電腦的部門,每次都有 20 部電腦被排成一列,系統服務站的員工會按順序插入USB,按照畫面提示不斷點擊執行清洗工作。 從梅登黑德返回哥本哈根後,Henrik Jensen 從按著使用者姓名字母排列的幾百部手提電腦中,找到了屬於自己的一部,硬盤裡面的東西已經被徹底刪除,並且安裝了一個乾淨的 Windows 鏡像。 有危就有機 五個月後,馬士基主席 Jim Hagemann Snabe 於瑞士達沃斯世界經濟論壇大會上,對公司 IT 部門在這次拯救行動中付出的「英雄般的努力」表示稱讚。 他說,從…
間間公司 day 1 搞網絡保安,多數都係槍頭對外㗎啦,又防火牆又防間諜軟件又擋 DDoS 攻擊,目的只有一個,就係唔好俾外人入侵到自己個網絡。但實情係,世間上最難防嘅永遠唔係外人呀! Ponemon Institute 早前出過一份調查報告,總共調查咗 159 間公司,結果發現佢哋因為公司員工或外判員工造成嘅網絡入侵,一年內總共損失咗 876 萬美元!雖然大部分係員工刻意所為,但亦有唔少係意外造成,例如員工唔小心將藏有敏感資料嘅 USB 手指漏咗喺餐廳、廁所,又或者返工手痕 click 咗入去條有毒嘅網址之類,單係呢類無辜辜嘅意外,每次平均已令公司損失 28 萬美元,你都咪話唔得人驚。 報告仲話呢類內鬼個案特別難查,平均要用…
其實我好怕用 USB 手指,雖然係好方便,隨時拎出嚟就可以抄嘢走,但係啲手指愈出愈細隻,好易跌咗都唔知。咁當然啦,普通人跌隻 USB手指,最多唔見咗啲資料,如果有做 backup 嘅,問題都唔大,但如果係黑客跌咗 USB 手指,就分分鐘監都有得坐! 點解咁講?事關比利時最近發生咗件好有趣嘅事:話說有位 35 歲嘅仁兄俾比利時警察拉咗,因為佢向當地一間叫做 Crelan 嘅銀行辦公室掟汽油彈,佢之所以俾比利時警方拉到,係因為掟汽油彈時唔小心跌咗隻 USB 手指,比利時警方就係憑隻手指入面嘅資料確認到佢身份。 但係呢個唔小心嘅代價就認真大,比利時警方慢慢研究 USB 手指入面嘅資料,再加埋去佢屋企搜證,就發現佢除咗掟汽油彈外,仲曾經向 Crelan 銀行發動…
今早港鐵測試新訊號系統,導致兩架地鐵相撞,荃灣線金鐘至中環路段全線封閉搶修,港鐵方面全面叫停系統測試,指必須調查清楚訊號系統出事原因,方可繼續測試計劃。常用於訊號系統管理的 SCADA/ICS 系統,被廣泛應用於基建設施或工業運作的監控介面上。南韓網絡保安專家表示,原來 SCADA/ICS 亦是黑客喜愛攻擊的目標之一,試想像電力、供水、核電設施的控制系統可以被隨意玩弄,引發的災難,就絕不止列車「輕微」碰䃥那麼簡單。 今晨港鐵測試系統訊號卻發生意外,導致兩列地鐵發生碰撞,車廂嚴重變形,同時令兩名車長受傷。(互聯網圖片) 今晨港鐵測試系統訊號卻發生意外,導致兩列地鐵發生碰撞,車廂嚴重變形,同時令兩名車長受傷。(互聯網圖片) 黑客攻擊 SCADA/ICS 製造大停電 今次港鐵意外是訊號系統故障所致,並非黑客所為,但其實最近就有一次黑客攻擊 SCADA(Supervisory Control and Data Acquisition, 資料採集與監控)/ ICS (Industrial Control…
每逢有網絡保安事故,本地傳媒都會即時搵保安專家評論事件。這些被行家視為「傳媒好友」的專家不多,因為解答不單要快,意見亦要準確簡短,才能幫助記者搶先報導事件。如果言論能再帶有一點幽默感,自然更易成為傳媒寵兒。香港互聯網協會網絡保安及私隱小組召集人楊和生就是其中之一,原來當初他踏入電腦界全因為懶,誰不知現在卻是最忙的職業。 輸在起跑線 早於 1990 年讀大專一年級時,楊和生已開始接觸電腦,「那時讀電腦工程,喜歡寫電腦程式只因為懶,因為發現有很多重複性的工作毋須人手處理,例如要處理一大堆文件檔案的排版,其實只須編寫簡單的程式,就可交由電腦自動執行。」令他沉迷鑽研電腦程式的原因,除了他宅宅的沒有其他嗜好,還與他的電腦設備輸在起跑線有關,「以前無錢,所以第一部電腦的硬件配備比同學差很多,例如別人的電腦用 386 (Intel 處理器型號)、1MB RAM,我就只用 286 及 640KB RAM,連電腦屏幕也只得黑白。」眼見朋友的電腦可以做到很多東西,楊和生亦想試試自己那部弱弱的電腦可否做出接近的效果,所以便花了很多時間練習寫程式,蒲深水埗黃金電腦商場買書自學一些破解技術,「當時完全無黑客的概念,只是有興趣試試修改程式,例如修改電腦遊戲內的生命值、武器防具等,雖然自己完全沒有打機的嗜好……」 後來有朋友移民美國,楊和生為了保持通訊而連上互聯網,才從不同渠道認識黑客這回事,「不過那年代接觸的黑客技術並非以破壞為目的,只是大家互相分享一些程式的漏洞,例如當時互聯網供應商使用的 FreeBSD 作業系統,就有各式各樣的破解玩意,雖然有些成功有些失敗,但我已可讀取到其他用家的電郵地址及內容。」掌握到這些個人私隱,有心人其實已可利用來進行社交工程(Social Engineering)攻擊,楊和生則笑說可能自己沒有犯罪基因,所以即使讀取到伺服器內的電郵內容,也僅僅是滿足了自己的成功感,未能發現偉大的「錢途」。 大專時經常蒲黃金的結果,就讓楊和生認識了一班「砌機佬」,後來其中一個相熟的店員在商場內另起爐灶,順理成章便邀請他一同開檔。「那時賣電腦很好賺,一套電腦可賺取四成利潤,有時講價可以減到幾百蚊,不似現在只賺到百多元,想平幾蚊都難。」賣電腦的好處,就是可以接觸最新的電腦資訊,同時以平價入貨,「所以第二部電腦已是當時頂級的 486,一下子由最慢變成最快。」無論上學或兼職都與電腦有關,讓他打穩了電腦編程的根基,所以出來工作後,編寫程式的技術及速度亦較人高及快。 隱密攻擊…
駭客攻擊固然可惡,但人為的低級錯誤也本應可以避免,預防爆發一些顯而易見的危機。面對外憂內患,企業又應該如何做好資料保護措施,保障用戶個資免受駭客盜取,同時保全公司免觸犯 GDPR 而被開罰? 一、定期更新軟體 最基本的就是定期更新軟體。駭客技術雖然日新月異,但 antivirus(防護軟體)或其他軟體同樣與時並進。每次韌體更新除了一般除錯外,也有很多是為了填補已存在的資安漏洞或防禦新型病毒而進行的。 二、加入多重身份認證或生物認證 Broken authentication 是網路資安問題的第二大主因,而要做好身份認證這一步驟,除了傳統輸入密碼以外,現時已經有很多加強保安的驗證方式,比如雙重認證 (Two-factor Authentication, 2FA) 讓用戶輸入密碼後需要加上第二重認證步驟,常見的工具有: TOTP (Time-Based One Time Password):透過時間因素產生不一樣的一次性密碼,像是 Google…