數碼轉型(Digital Transformation)在過去幾年大行其道,成為企業必不可少的成功步驟,加上遙距工作在疫情下急速發展,到底為網絡架構帶來甚麼衝擊?零信任(Zero Trust)為何會成功「彈出」顛覆網絡架構,甚至取代部分 VPN 與防火牆功能?面對日新月異的人工智能(AI)攻擊,企業又應該如何自保?小編請來業界專家 Zscaler 大中華區區域總監袁蔚豪(Henry Yuen),為大家剖析網安趨勢。 VPN 易造成網安漏洞 企業講數碼轉型,不外乎是「由地上天」,例如將應用程式放到雲端,但在網絡架構的層面上,其實未有出現根本性改變。Henry 解釋,傳統以來維護網絡安全做法就如同城堡形式,利用防火牆、IPS 等防護工具作城牆,保護城堡內的重要數據。至後來雲端應用、遙距工作的出現,就演變成利用 VPN 連接用戶、分支辦公室及雲端,但城堡形式的做法仍是一致的。 VPN 成為了員工在外存取內部應用程式及數據的重要工具,惟久而久之,又衍生了用戶「無王管」存取權限、用戶體驗問題等,出現延遲性之餘,安全風險及攻擊面亦會大增,只要有一部機被竊取帳戶與密碼,便足以感染整個公司網絡。事實上,Gartner早於 2019 年便曾預測,企業將逐步淘汰 VPN,轉而使用…
Search Results: UST (539)
Microsoft 上月承認遭俄羅斯國家級黑客集團 Midnight Blizzard(APT 29)入侵,而且表示對方很可能仍然匿藏於內部電郵系統盜竊情報。不知道是否由於美國大量政府或重要機構均採用 Microsoft 服務,美國網絡安全機構 CISA 上星期發出緊急行政指令,要求所有聯邦機構立即檢查有否相關入侵痕跡,以免被刺探更多國家機密。 想知最新科技新聞?立即免費訂閱! 在這次 CISA 發布的緊急行政指令中,要求聯邦機構必須立即分析在 Microsoft 外洩電郵事故中涉及的內容,評估外洩資料的風險,並且應該立即重設外洩的帳戶登入憑證,阻止俄羅斯黑客繼續潛入內部盜取機密,警告由於 Midnight Blizzard 曾成功入侵 Microsoft 企業電郵帳戶,包括該公司與客戶經電郵共享的身分驗證資訊,而且正試圖獲取更多訪問權限,因此可以肯定將帶來嚴重且不可接受的國家安全風險,因而必須快速完成內部檢查。…
去年被美國政府拘捕的前 Amazon 安全工程師 Shakeeb Ahmed,曾於成功透過操控智能合約的漏洞,從兩個加密貨幣交易所盜取 1,200 萬美元。上星期正式被判處三年監禁,同時沒收所有詐騙得來的金錢,成為首宗因濫用智能合約被定罪的個案。 隨著區塊鏈科技興起,去中心化金融(DeFi)成為一種新興的金融技術,這種技術可以擺脫傳統金融機構對貨幣、金融產品的監管,而且交易的透明度高,交易速度亦較傳統銀行快,所以發展潛力極大。 想知最新科技新聞?立即免費訂閱! 由於相關的交易不受監管,借貸亦不需要有資產抵押或當事人背景審查,所以容易發生騙案,而智能合約(smart contract)便是用於減低詐騙風險的手段之一,以貸款為例,一旦借款人無法履行合約內容,例如支付利息或還款,智能合約可自動取消之前的交易,某程度上可保障貸款人的安全。 不過,由於智能合約都是新興技術,所以並非所有人都能完全熟悉其操作,並察覺到是否有漏洞存在,因而讓黑客有機可乘。過往便有不少針對智能合約發動的攻擊,當中閃電貸(flash loan)攻擊就是熱門手段,Shakeeb 犯下的其中一宗個案,便透過濫用 Nirvana Finance 加密貨幣交易所的智能合約漏洞賺錢。 該智能合約的設計原理是,當平台發現 ANA 的購買量增加時,價格便會提升,但…
在現今的數碼趨勢下,數據已成為每一家企業的基石,因此保護身分安全成為成功的必要策略關鍵。然而,根據 SailPoint《Horizons of Identity Security》報告,與其他地區相比,亞太區企業的身分安全成熟程度差異較大,高達 60% 企業的成熟程度仍處於最低水平。 儘管澳洲、日本和新加坡等國家已制定成熟的身分及數據安全框架,但區內其他國家或地區卻才剛開始意識到此監管法規的重要性。身分安全在業務當中所發揮的作用,遠遠超越僅遵守監管法規,實際上更是緩減風險、提高營運效率及達致業務成功的重要基礎。因此,企業領袖必須認清身分安全計劃的龐大優勢,如可有效降低風險及簡化營運。把身分管理融入核心業務策略中可使企業超越技術限制,讓其安全目標與整體業務目標保持一致。 想睇更多專家見解?立即免費訂閱! 從傳統身分安全轉型 對於剛起步發展身分安全的企業而言,有些障礙的確需要克服,特別是固有的技術債挑戰。正如報告所顯示,許多處於較低成熟階段的企業均面對硬件、系統及程序過時的難題。這些傳統身分安全工具並非針對現代企業目前需求而設計,而且無法管理複雜的多雲端環境及員工和非員工等多種身分。若要向前發展,企業必須專注識別並有條不紊地更新或替換這些過時的系統。這個關鍵步驟包括投資現代化技術並重新配置 IT 基礎設施,以支援更先進、更複雜的身分安全解決方案。 獲取管理層支持 能否加強企業身分安全計劃也取決於管理層的支持。正如報告所強調,77% 身分和存取權管理決策者認為,有限的高級管理層支持是一大障礙。要獲得決策人員的支持,有效傳遞身分安全的價值尤其重要,並需要強調身分安全除屬技術保障外,亦是達致業務目標不可或缺的一部分,例如產品創新和以數據為本的市場營銷等。以身分安全配合這些業務優先目標,從而培養高級管理層的承諾,這一點是關鍵。此外,制定業務案例來逐步解決預算限制及人才短缺等挑戰,也非常重要。這些案例應重點突顯更強的身分安全如何促進企業生產力和創新、降低網路風險並推動業務成功。 善用先進功能的優勢 在建立強大的高級管理層支持後,企業便就緒利用人工智能和自動化等先進技術來完善身分安全框架。這類技術整合不但能擴展身分安全措施的規模,亦讓企業能夠快速應對新出現的威脅,並在現時變奏快速的數碼環境中保持靈活。舉個例子,與沒有人工智能支援的企業相比,採納自動化和人工智能身分管理平台的企業擴展身分相關功能的速度快達 37%。 該項報告又指出,此等技術的採納率有所不同,從…
有網絡安全公司在 4 月初發表有關 D-Link 產品的安全報告,內裡指出對方一些已停產的 NAS 裝置存在嚴重安全漏洞,不過由於產品已下架多時,因此廠方亦未有提供安全更新的打算。報道刊登兩日,安全機構便發現有黑客積極利用漏洞入侵,將大量 D-Link NAS 變成殭屍大軍,受影響的裝置多達 9.2 萬,建議用家即時將裝置斷網,並考慮升級新裝置先好使用。 想知最新科技新聞?立即免費訂閱! 發現這個安全漏洞的是 Netsecfish 安全研究人員,據知漏洞發生在兩方面,一是韌體存在一個 hardcoded 的帳戶登入名稱 messagebus,使用這個帳戶登入毋須輸入任何密碼,其次是系統參數容許遙距注入編碼,只要同時利用,便可在 D-Link…
黑客利用技術手段在不同的攻擊事件中賺取豐厚回報。然而,若擁有技術而又想要合法且正當地獲取收入,其實可以通過正規途經,例如參加漏洞獎勵計畫(Bug Bounty Programs)。利用自己的專長幫助企業強化其網絡安全防護,不僅為網絡安全做出貢獻,還能夠獲得不錯的回報。 漏洞獎勵計畫,是由漏洞回報平台邀請廠商提交自己的產品作測試,並邀請安全研究人員找出並報告參與計劃公司的軟件、網站或應用程式中的安全漏洞。安全研究人員可以選擇如 HackerOne、Bugcrowd 或香港本土的初創公司 Cyberbay 等漏洞回報平台與廠商提交漏洞並進行溝通。一般而言,參與者將獲得金錢獎勵、公開表揚或廠商提供的紀念品。 想睇更多專家見解?立即免費訂閱! 在 HackerOne 的新聞稿中,提到六名安全研究人員憑藉發現並報告安全漏洞,成功在平台上賺取超過百萬美元的獎金。而像 Google、Mircosoft 和 Apple 的科技巨頭,對嚴重漏洞的單個賞金獎勵高達 150 萬美元,其中 Google 就透過其漏洞獎勵計畫(VRP),向全球安全研究人員支付了近…
變種殭屍網絡軟件 TheMoon 在過去一個月非常進擊,安全專家發現黑客已利用 TheMoon 入侵 88 個國家的小型辦公室及家用路由器,3 日內成功將超過 6,000 部裝置收編旗下,當中更有絕大部分屬於 Asus 路由器。被感染的裝置,會用來隱藏犯罪分子的活動,如果不幸成為其中一員,隨時會在執法部門追蹤罪犯行蹤期間,無辜成為被調查的對象。 想知最新科技新聞?立即免費訂閱! 眾所周知,黑客不會放過任何機會建立或壯大殭屍網絡大軍的規模,因為殭屍網絡的用途廣泛,當中最多黑客會應用於 DDoS 攻擊,而控制的兵力越大,可製造的洪流亦越強勁及難以阻擋。 不過,Black Lotus Labs 安全研究員在報告中提及由…
Google 旗下的人工智能 「搜索生成體驗」,被發現背後的算法有可能被黑客濫用,令到人工智能會首先推薦可將用家引領至惡意內容的詐騙網站,例如虛假的贈品、垃圾訂閱和技術支援詐騙等,令用家身陷詐騙風險之中。 想知最新科技新聞?立即免費訂閱! 為回應 Microsoft 推出的 Bing 人工智能搜尋服務,去年 Google 急推自家的「搜索生成體驗 」(Search Generative Experience),用家使用 Google 搜尋引擎時,除了會顯示傳統搜尋結果頁面,還會在接近頂部位置插入標明由 AI 推薦的搜尋結果,用家還可借助 AI 繼續搜尋相關引申內容。…
數碼港去年中發生資料外洩事件,私隱專員公署發表調查報告,指數碼港欠缺足夠措施保障系統安全,以致去年兩度被黑客入侵及勒索,影響逾 1.3 萬人,當中有四成個人資料更已超過保留期限而未有刪除。公署認為事件涉及五大缺失,敦促數碼港糾正。 相關文章:【數碼港】8月中遭黑客入侵 逾400Gb資料網售235萬【數碼港被入侵】400GB數據暗網任睇 涉員工薪金履歷表 想知最新科技新聞?立即免費訂閱! 經過 7 個月調查,公署表示事件共有 13,632 人受影響,包括近 8,000 名與僱傭有關人士,涉及 5,292 名求職者及已離職者資料。事件中外洩的個人資料除了姓名、身分證號碼、護照號碼、聯絡資料外,亦有部分人的財務資料、健康資料、照片、社交媒體帳戶資料等。 根據數碼港的資料保留政策列明,求職者資料只會保存一年,惟在外洩的個人資料中,卻發現有早於 2016 年求職者的資料,數碼港亦未能解釋保留資料原因。公署認為數碼港不必要地保留個人資料,令受影響人數增加。 公署又質疑,數碼港作為一間儲存大量個人資料的機構,事發時僅依賴一款反惡意軟件程式偵測異常活動,措施明顯不足及不成比例,以致未能有效偵測黑客以暴力攻擊其資訊系統。另外,事發時數碼港未有為遠端存取資料啟用多重認證功能,令黑客成功透過管理員帳戶進入網絡。 調查又發現,數碼港每兩年資訊系統作保安審計,事發前最近一次審計在 2021…
全新一代 Wi-Fi 7 於去年登陸香港,不少企業都希望採用 Wi-Fi 7,以獲更佳的速度及頻寬,然而,此類新技術亦會擴大企業的攻擊面。網絡保安服務方案供應商 Fortinet 推出業界唯一結合 Wi-Fi 7 的全方位安全網絡解決方案,提供企業級保護、AI 驅動的安全月服務和 AIOps 自動化功能,以確保客戶無線流量安全。 想知最新科技新聞?立即免費訂閱! Fortinet 是唯一一間將網絡技術和 AI 驅動的安全方案結合的供應商,提供單一且全面的解決方案,以連接和保護有線和無線區域網絡。今次所推出的解決方案,令客戶既可以受惠於 Wi-Fi…