生產力局(HKPC)公布 2021 年資訊安全展望報告,預料在疫情影響下,針對新科技如 5G、物聯網(IoT)及人工智能會大幅度增加;而因應流動支付愈趨普及,加上虛擬銀行及虛擬金融業的發展,生產力局呼籲,業界應多留意資安資訊,加強保安,用戶也要注意密碼設定和保安措施。該局亦指出 ,供應鏈攻擊會升級,單在去年便增加了 430%,企業應多加留神。 在數碼轉型的新常態下,新技術如 5G、物聯網及人工智能的應用等,可能會導致更多系統或數據流量暴露在不可信的網絡中,以物聯網為例,因為密碼強度太低、通訊未有作加密等,存在保安漏洞,被入侵的風險相應會提高,生產力局建議,應深入了解這類新技術牽涉的保安議題,亦應定期進行網絡保安檢查,評估網絡和系統的保安,及持續監察接觸到互聯網的資訊科技配置。 促企業制定WFH保安指引 提升員工保安意識 生產力局數碼轉型部總經理兼 HKCERT 負責人陳仲文指,企業必須為新常態和新技術制定網絡保安策略,在管理計劃中應包括第三方風險、保護任何暴露於互聯網的系統、採用加強驗證並進行網絡保安檢查和監察;另外,企業需要提高員工的網絡保安意識,以應對攻擊。就供應鏈攻擊繞過企業的保安系統的情況,生產力局解釋,攻擊者會利用企業對合作夥伴的信任,來避開保安防禦,通常使用合法軟件發佈機制,將木馬化的軟件組件發布至 「下游」,令企業用家不慎中招。 Work From Home(WFH)工作安排亦為企業保安系統帶來衝擊,有黑客伺機入侵網絡會議,發放不雅內容,又會趁機攻擊缺乏保護的遙距工作端點,生產力局建議企業制訂新常態下的網絡保安策略,提供在家工作安排的保安指南,保護遙距存取設施和端點,並提高員工保安意識,提防釣魚電郵來襲;定期進行網絡保安檢查,評估網絡和系統的保安;持續監察接觸到互聯網的資訊科技配置。企業可以參考該局製作的在家工作的六大資訊保安建議(https://www.hkcert.org/tc/security-guideline/six-security-tips-for-home-office)及評估遠端存取服務保安指南(https://www.hkcert.org/tc/security-guideline/assessing-the-security-of-remote-access-services-guideline)。 使用虛擬銀行 宜設置單獨使用高強度密碼 而在疫情期間能有效減少人與人之間接觸的流動支付,也存在保安風險,陳仲文提到,有流動支付用家將付款…
Search Results: os (903)
威脅模型分析(Threat Modeling)是尋找系統潛在威脅,按風險評估,擬定對抗策略,再分配資源建立防禦系統。守護機密資料係所有資安團隊的終極目標,法規與監管有助企業尋找數據化年代的營運方式,資安風險層出不窮,風險不一,Threat Modeling 以系統性方法,偵測系統的潛在威脅,堵塞漏洞守護系統。 現時的 Therat Modeling 大致歸納為 3 類,第一種是軟體導向(Software-Centric Approach),以系統的設計方式與運作目的為基礎,尋找對此系統或其內部模組相關類型的攻擊方式,Microsoft Security Development Lifecycle 便是利用此方式;第 2 種是資產導向(Asset-Centric Approach),以系統管理的資訊為基礎,分析資訊敏感度再作部署,資安專家會建立 Attack Trees…
最近討論得最多嘅話題,一定係社交應用程式搬唔搬家,一堆用戶由 WhatsApp 大規模遷徙去 Signal,力抗 WhatsApp 新嘅私隱政策,亦有唔少人抱住觀望態度,兩邊都用住先,邊面好就用邊面。歸根究柢,大家都係想箍番實自己嘅個人資料,收緊私隱嘅界線。有科技專家就有 4 個貼士畀大家,喺轉用「息怒」嘅時候,點樣增加自己嘅私隱同安全度! 科技專家 Adrian Kingsley-Hughes 喺 ZDNet 過兩招畀大家,點樣喺 Signal 系統上有嘅功能下,提升安全度,如果大家一早已經做咗相關設定,不妨睇多一次,睇吓有冇做漏: (1)Screen Lock (iOS 及…
2020 年比特幣以及虛擬貨幣可算是特別的一年,幾年前首次代幣發行 (ICO) 的爆破,接踵而來的是去中心化金融 (Defi) 的興起,而上年美國上市公司微策略 (MicroStrategy) 大手買入比特幣,持倉量超越美國政府,投資總額超過 10 億,MicroStrategy 的股價亦一飛沖天。大勢所趨,虛擬貨幣以比特幣為首已經成為資產類別一部分,很多家庭基金以及機構投資者已經開始及計劃配置資產於虛擬貨幣上。但可惜的是,虛擬貨幣對於這些機構投資者而言,是一樣比較新的東西,要確立虛擬貨幣本身的擁有權,對於機構投資者已經是一大難題,所以對著這些虛擬貨幣,好多機構投資者都是有心無力。退而求其次,這些投資者會選擇買如 MicroStrategy 這樣的概念公司或相關挖礦的公司。 市場上都有投資虛擬貨幣相關的衍生產品,例如是芝加哥商業交易所上市的比特幣期貨,但對於一般大眾投資者而言,期貨是小眾的活動,所以都是以專業投資者為主。一般大眾投資者選擇的是購買 Grayscale 的虛擬貨幣信託基金,道理就是你買信託基金的單位,而信託基金就代你買相對的虛擬貨幣。這些信託基金對大眾參與虛擬貨幣市場、是一個極大的幫助,只要你有證券戶口就可以作買賣,不需要開設虛擬貨幣戶口,不需要解決重新入金的問題。 但是信託基金最大的問題就是基金架構,因為監管問題美國證監會未有批准成立 ETF(指數基金)型的基金形式,今天 Grayscale 用的還是信託基金形式。ETF…
黑客愛用 Ransomware,因為只要得手,中招對象大部分願意息事寧人,交贖金快快手手回復營業狀態,減少損失。黑客可以短時間收錢,故屢試不爽。近日,越來越多黑客透過 Ransomware 封鎖企業網絡,相對以往封鎖檔案或硬盤,封鎖網絡能夠完全癱瘓企業運作,個別黑客還會威脅洩漏客戶私隱,「唔交錢、黑市見」,對企業而言威嚇力十足。所以即使開價上百萬美元等值的 Bitcoin,企業都不敢依從執法機構呼籲報案。「對賺錢至上的黑客而言,Ransomware 的回報率絕對係眾多攻擊之中最高,與目標企業營收掛勾。2020 年底,我們見到黑客借 COVID-19 增加攻擊頻率賺到盡。」Palo Alto Networks Unit 42 的資安風險研究分析員 Anna Chung 回應這個現象。 「我們預期 2021 年…
網絡安全賞金獵人平台 HackerOne 有好消息宣布,旗下其中一位賞金獵人 Cosmin Lordache 所獲得的總賞金衝破 200 萬美元,成為平台排名第一的獵人。最令人振奮的是距離他突破 100 萬美元關卡,僅僅用了 334 日!錢途無限呀! HackerOne 是一個雲集道德黑客 (ethical hacker) 的集團,專門發掘高科技公司的安全漏洞,而與平台合作的政府機構及高科技企業已達過千間。只要旗下黑客發現到這些企業的安全漏洞,一經核實,機構或企業就會按約定派出賞金,而 HackerOne 旗下的賞金獵人 (Bug…
勒索軟件(ransomeware)愈見猖狂,威脅醫院、學校及政府機構的網絡安全,有見及此,19 間公司包括諸如 Microsoft、McAfee、Cybereason等的安全服務供應商 、智庫、網路保險公司、非牟利組織等,在上周自組聯盟,冀建立勒索軟體技術標準框架,應對各式各樣的攻擊,降低威脅。 聯盟命名為 Ransomeware Task Force (RTF),成員包括Aspen Digital、Citrix、The Cyber Threat Alliance、Cybereason、The CyberPeace Institute、The Cybersecurity Coalition、The Global Cyber Alliance、The…
新冠肺炎第四波疫情悄然降臨,有公司在年頭已開始推行遙距辦公(Remote Working)政策,准許員工在家工作 Work From Home(WFH),亦有公司在疫情緩和之際推行彈性上班。不過,在遠離辦公室的標準網絡安全保護網下,黑客亦蠢蠢欲動,承機以釣魚電郵及網站,以及用惡意軟件等攻擊缺乏安全網絡環境的員工電腦,入侵企業系統。香港互聯網註冊管理有限公司 (HKIRC)行政總裁黃家偉表示,企業和員工都有各自可採取的措施,去營造安全遙距辦公環境,降低資料外洩機會。 Microsoft 早前曾公布數據,指出在疫情爆發後,黑客利用全球所有人對疫情的恐懼和對資訊的渴望,藉機發動網絡攻擊,特別是遭受疫情重創的國家及地區,成功發動攻擊更現上升趨勢;全球每天數以百萬計的針對性網絡釣魚郵件中,大約有 6 萬個包含與新冠肺炎相關的惡意附件或惡意連結。與此同時,因應遙距辦公措施,不少企業未有制定相關指引,讓員工注意風險,HKIRC 上月公布《香港遙距工作網絡安全應用調查》結果,只有約四成的受訪中小企業曾向員工提供遙距工作指導 (42%) 和網絡安全資訊 (41%),而員工亦缺乏網絡安全意識相關的訓練,僅 30% 個人受訪者曾受過這類培訓。 籲以VPN連線 切勿連接公眾Wi-Fi 欠缺使用守則,會令員工因疏忽而造成資料外洩。要改善欠缺網絡安全意識的情況,黃家偉建議,培訓可從人、系統、政策三方面入手:在人方面,要提醒員工注意 Wi-Fi…
COVID-19、外交新秩序、WFH……來到 12 月,想不到 2020 年在人類大歷史上會再添新 Entry,今次難得有好消息;Microsoft 公布 Microsoft Passwordless Systems 按月用戶量突破 1.5 億人! 數碼化年代個人管理帳戶數目高速增長,但大眾未夠認真看待 Password,「Abc123」、「Password1」依然雄踞 2020 年最常用密碼排行榜,而 COVID-19 更讓黑客承機突破企業防線,盡情採摘個人資料。簡單講,這種水平的密碼,形同虛設,構成的保安漏洞令科技企業極度煩惱,Apple、Microsoft、Google、Facebook、Amazon、Intel、Paypal 等巨頭幾年前結盟,組織取名…
在新冠炎肺疫情反反復復的情況下,新經濟常常受到衝擊,各地股市市場指數大上大落,疫情受控或疫苗開發有望,舊經濟抬頭,而疫情不受控或疫苗開發,又阻礙新經濟開動。Zoom Video Communications Inc. 作為新冠炎肺疫情必須的「網上會議工具」,又有「在家工作受益股」的綽號,有人認為她是比騰訊更騰訊,比 Tesla 更 Tesla 的新經濟公司。Zoom 在 2019 年 4 月在美國 NASDAQ 股票市場上市,IPO 以每股 36 美元上市,疫情下最高價位每股達 588…