Search Results: budget (13)

    COVID-19 改寫人類歷史,展望 2021 年,企業預算肯定縮減,實務卻有增無減,最近電視廣告不斷輪迴「請一個人出七份糧做十個人嘅嘢」,到底點實行?在 Juniper Network 任職 Global Security Strategy Director 的 Laurence Pitt 在《Security Week》分享經驗,效果沒有如此誇張,但亦相當值得參考。 疫情前全球整體經濟向好,管理層習慣預算年年加 10%,2021 年此情不再,企業在後疫情下重整業務架構,視乎性質部門有不同分配資源優先權,但各行各業 IT…

    一般公司在準備每年 IT Security budget 時,除了行業法規、內部合規及安全架構相關的預算比較容易規劃之外,最難做的就是對新安全技術採用的那一部份。原因是 Security 變化較快,解決方案也五花八門,很難將個plan做得仔細。若碰上突發安全事故,原本 planned 咗嘅項目又會有更改。所以,很多公司會在整年的IT Security Budget 裡,預留固定百分比作新安全技術的花費。 今晚買乜餸 有了這筆預算,花在哪些新的安全技術?有時也挺傷腦筋的,情況就好似今晚買乜餸一樣。在「買餸錢」就只係得咁多嘅情況之下,就是一班 IT Security 同業各出奇謀嘅表演時間,努力去爭取客戶採購佢哋所提供的產品或服務。 諗住買本地肉蟹,變咗買北海道長腳蟹 情況就有如去街市買餸一樣,今天都唔知買乜好?諗住買海鮮,去咗海鮮檔區域,就一大堆海鮮檔擺喺你面前,每檔都話佢啲海鮮最平最靚。原本諗住買本地肉蟹,俾海鮮檔主 sell…

    資安需求日益增加,企業資源分配越見重要,尤其疫情之下,Budget 緊絀。剛過去的 Gartner Security & Risk Management Summit 2020 上,其 Senior Director Analyst Brian Reed 指出,很多企業都用過多時間追求不存在的徹底方案,因此忽略基礎工作。綜合與會專家意見,得出以下 10 個重點 Projects,供各資安主管參考,編入 2021…

    每逢發生社會大事,就係黑客嘅黃金機會,當世人畀新冠疫情折磨緊,黑客卻能從中獲利。美國波士頓著名醫院 Mount Auburn Hospital(亦即 Harvard Medical School)在 7 月 4 日國慶前的周末,其 IT 部門發現網絡突然不穩定,當局快速應變,立即切斷電腦系統的網絡連接,一切改以手動模式操作,反應快最終力保不失。但並非所有美國醫院都如 Mount Auburn Hospital 幸運。 美國國家研調訪問國內 1,300 間醫療機構,83%指曾受到黑客攻擊,超過一半擔心長此下去終會失守,20%更曾因黑客襲擊妨礙運作,平均需要約…

    坊間有則笑話,話推動數碼轉型嘅幕後功臣,唔係CEO,唔係CIO,係COVID-19。 Zoom大行其道,work from home(WFH)成為新模式,Twitter更宣佈部份員工將可以永遠WFH。遙距工作或服務模式成為新趨勢,創新科技署亦推出「遙距營商計劃」,資助企業採用資訊科技方案,開拓遙距業務。申請資助時,難免未能齊頭claim足限額,以下推介3大高CP值百搭網絡保安方案,幫你claim到佢盡。= 電郵保安 想實行遙距工作,電郵自然成爲線上商務通訊最重要的方式之一,據統計,大部份嘅網络攻擊,其實都經由電郵發動,現今黑客攻擊手段變化極快,一封簡單的電郵,足以重創企業的營運,所以最緊要守好電郵呢一關。建議採用有全方位保護功能嘅電郵保安服務,除咗基本防毒、垃圾電郵過濾、沙盒之外,最好有埋針對釣魚電郵、假冒電郵的解決方案,例如利用威脅情報分析IP或網域信譽,更可以嘗試連結隔離技術等。坊間有網絡保安服務供應商以人頭收費,極具彈性,收費亦化算,每個人三四百蚊已經搞掂,最適合中小企。 Endpoint Protection 另一個必須要防護嘅重中之重,就係Endpoint。尤其是而家個個員工都有幾個上網嘅device,用手機、tablet、laptop等等,通通都係黑客攻擊點,是但一個唔小心出事都極可能令公司蒙受重大損失,所以必須有周全嘅Endpoint Protection。其實好多廠牌都有Endpoint Protection,亦係每個人幾百蚊已經搞得掂。 VPN VPN係最近嘅熱門話題之一,更有報導指香港VPN需求急增5倍。除咗保障個人私隱之外,VPN對中小企同樣重要,尤其是今時今日,遙距營商、個個同事都WFH,重要資料甚至係敏感資料都响網絡上傳送,其安全風險之高想而知,所以VPN係中小企嘅必備方案。VPN收費門檻低,彈性高,對於小型公司,萬零蚊都搞得掂,而網絡保安專家就建議,所有企業應該24小時全程使用VPN。提提大家,揀選VPN時記得留意開發商嘅背景,你懂的。 Budget有限,睇餸食飯 「遙距營商計劃」嘅銀碼方面,每間企業可獲最高30萬港元總額資助,進行為期最長六個月嘅資助項目。聽落都幾好,之但係,30萬港元話多唔多,可以用來做乜好呢?其實以呢個budget計,要用盡個budget,就要加入收費較彈性嘅方案。難得政府找數,大家千祈唔好客氣。

    作為網絡安全從業員,茶餘飯後其中一個談得最多的話題,肯定是老闆又要安全,但又不肯俾錢買工具。不過,假設今年 budget 大增,你又是否懂得購買合適的工具,預算用得其所?上星期四,網絡安全產品分銷商安領科技(香港)有限公司再度舉辦「Edvance Beacon Game Day II」,邀請各行業的網絡安全部門主管參加,通過玩法新奇的小組遊戲,讓參加者齊齊接受「腦震盪」療法,震散固有的安全概念,重建網絡安全意識。 到底哪種網絡安全工具最有效?實情必須針對各行各業的高危風險因素才能決定。 有限資源砌出最強防禦組合 現時網絡攻擊的種類多不勝數,而且各行業面對的風險因素亦不盡相同,所以天底下絕沒有百戰百勝的安全工具組合可以抄襲。作為決策者,最重要是了解公司的業務內容,認清行業最常面對的網絡風險,才能在有限的預算中砌出最強防禦組合。事實上,即使有錢也不能任性,因為亂買工具除了嘥錢,更有可能降低管理透明度。以上論點可能大家都聽過,但真正應用,表現又如何?在今次 Game Day 上,主辦單位就將參加者分成三組,並安排多個遊戲,一試誰是精明消費者。 無錢買網絡安全工具好頭痕?但原來有錢到手仲頭痕。 其中一個遊戲的玩法,是每組獲發多張代表不同網絡安全工具的卡牌,參加者要根據主辦單位提供的資料及預算,挑選出最有用的安全工具組合。如選取的工具可有效抵擋該攻擊,即可得分,分數愈高就可勝出。現場所見,各小組的成員都熱烈參與討論,思考哪款工具可派上用場。有部分參加者仍以平常的思路來挑選安全工具,經隊友提點現時所扮演的行業,才發現該工具用途有限;亦有參加者堅持要購買某種防禦工具,卻發現「硬著陸」後 budget 爆煲,最終又要重新「洗牌」。 換個形式推銷網絡安全 主辦單位除了讓參加者扮演防守一方,另一遊戲又讓大家扮演黑客去攻擊其他小組,猶如上演紅藍對戰。不少參加者均表示以遊戲方式去提升安全意識,較平常參加的網絡安全研討會更易入腦,因為不再是由演講者單向發表講話,而是所有參加者都要用腦參與,其中一位教育界參加者更表明會偷師,回校後會以類似的遊戲方式,提升員工的安全意識。另外,角色扮演亦可以讓他們跳出行業框框,以不同身份重新認識網絡攻擊的真面目。 雖然參加者平日面對網絡攻擊時,不會好像…

    做咗資安界咁耐,問親中小企老闆,普遍都仲係以為自己間公司咁細規模,啲黑客唔會有興趣,但係事實上好多調查及統計報告都話你知絕對係謬誤嚟,好似最新由 Verizon Data 公布嘅調查顯示,43% 嘅黑客攻撃係針對中小企,證明咗黑客搞唔搞你,並唔關公司大定細,而且調查仲話黑客就係睇準中小企疏於防範嘅心理,自然捨難取易。 好喇,中小企老闆呢個時候又會講,我哋真係中小企嚟㗎咋,邊似得大企業咁多資源,可以買咁多軟硬件同埋請人嚟對抗班黑客呢?咁又未必要咁大陣仗嘅,以最近 Barracuda 公布嘅 2019 資安調查報告為例,59% 有毒檔案嚟自文件檔,而中小企每日又要處理無數文件檔,好易中招,所以今次就教大家五招,有效防止喺收到文件時中毒。 有理冇理先解毒 好多公司以為裝咗防毒軟件,就乜都擋到,實情而家啲毒愈整愈複雜,甚至會因應被發現嘅病毒定義而不停變體,唔係咁易搵到佢哋出嚟。最佳方法係用 disarming malware 呢個方法,佢會當所有檔案都係毒,一收到任何檔案就會將佢解體,抽絲剝繭睇吓入面有冇唔屬於呢類型檔案嘅可疑物體,有就立即移走,而且確保移走咗都唔會影響文件原本結構,咁就令你永遠只收到乾淨嘅檔案啦! 網絡電郵靠唔住 據統計,而家全球一日收成 2930 億封電郵,預計到…

    家陣公司為咗節省資源,好多嘢都靠外判,等自己唔使養咁多人。就連網絡安全工作都係,一來市場上唔夠人手,二來逐樣產品買亦負擔唔起。理解嘅,在商言商,老闆又錯唔晒,不過如果公司連一個識 IT Security 嘅同事都無,又可以點去評估外判商做緊啲嘢掂唔掂?好似好多企業都鍾意搵公司做 consultation,但公司入面無人識 cyber security,根本唔知點揀,所以有多啲 budget 嘅就會搵 Big 4,因為連銀行金融業都搵佢哋做評估,差極都有個譜啩,但 Mr. Smith 真係要再強調一次,好易中伏! 試過有次公司要搵美國一間大公司做 code review,評估一隻用嚟保護其他 application 嘅軟件有無漏洞。結果報告返咗嚟,話隻軟件嘅 loophole…

    老闆成日同我講,公司budget好緊架,應慳則慳啦,IT嘅嘢夠用就得啦,唔好出大穫嘢就得架喇。於是尋日開會我就索性拎咗單新聞俾佢睇,佢睇完就即刻轉晒軚,話一間公司嘅網絡保安其實好緊要架,仲即時批咗大筆錢落嚟添置新器材。 乜嘢新聞咁巴閉?咪就係英航俾人判罰天價罰款囉!事緣舊年9月,英航俾一個名為Magecart嘅黑客組織睇中,佢哋一向玩慣card skimmer呢個數碼版信用卡讀取器程式,於是搵方法拎到英航網頁嘅登入權限,再將card skimmer 嘅 script 植入俾錢買機票嘅網頁,結果成功喺舊年8月21號到9月5號期間,偷走約38萬客戶嘅名字、電郵地址、信用卡等資料,詳細案情可以睇番我哋舊文(https://bit.ly/2CPy0f7 )。 經過一輪調查之後,英國資訊專員辦公室(ICO)早兩日就決定向英航罰款1.8億英鎊,係ICO歴來開出最大額罰款,差唔多係英航2017財政年度全球營業額嘅1.5%,諗起都好肉赤!英航行政總裁Alex Cruz當然立即出嚟呼冤,話對ICO嘅決定感到驚訝和失望,英航對偷取客戶資料嘅犯罪行為作出快速反應,並未發現與盜竊相關嘅賬戶存在欺詐行為嘅證據……咁佢哋仲有28日上訴期嘅,或者可以減到罰款都未定。 可能大家會問,點解今次判得咁甘?之前Facebook、Yahoo、Equifax發生嘅事故仲大單啦,點解都係罰50萬英鎊就搞掂?原來係因為舊年5月歐盟通過新私隱條例《一般資料保護規則(GDPR)》之後,加重咗罰則,最高罰款可以去到全球營業額嘅4%,所以今次英航其實係未去到最高罰款嘅,但撞正事件喺GDPR通過之後先發生就冇法子啦,但亦都俾到教訓各大小企業嘅老闆們,唔好睇少保護客人資料呢樣嘢,唔係分分鐘賺埋都唔夠交罰款! 相關文章:【謎底已經解開!】英航資料洩露案真相大白?

    人生有個豬隊友確係慘仔嘅,最慘如果係自己上司,有時都唔知點幫佢兜,搞到我都好想升高三個 key 同佢講,「你真係蠢唔係扮㗎喎!」唔知係咪開口中,早幾日 Mr. Smith 就遇到以上情況喇。 事緣上星期要測試 vendor 產品,分析吓有冇後門,其中一項要做 dynamic analysis,睇吓隻軟件有無喺過程中做啲古惑嘢。因為時間幾趕,所以成 team 人好快已有共識,就係利用一隻 open source 嘅工具,去 capture 軟件嘅網絡流量做分析,同時用不同嘅 軟件(當然都係快靚正嘅 open…