黑客為求避過網絡安全工具的偵測,近年喜歡使用滲透測試工具如 Cobalt Strike 等,安裝於目標企業的內部網絡,令各種惡意網絡活動如竊取機密資料、安裝勒索軟件等變得「合法」。Palo Alto Unit 42 安全專家近來便捕捉到有黑客轉用新工具 Brute Ratel,成功避過五十多種安全工具的攔截,企業的 IT 管理員不可不防。 早在去年中,網絡安全業界已發現愈來愈多黑客集團利用 Cobalt Strike 等合法工具執行惡意活動,他們首先會誘使目標企業的員工打開惡意檔案,或直接在黑市購買企業的外洩員工帳戶,然後在內部網絡偷偷安裝 Cobalt Strike 用於連結受感染電腦與 C&C…
Search Results: 滲透測試 (42)
由生成式人工智能(AI)掀起的熱潮已接近兩年,其間各種 AI 應用百花齊放,持觀望態度的企業管理者亦開始躍躍欲試。不過,背後的風險卻不容忽視。DICT 數智通訊服務供應商中信國際電訊 CPC(以下簡稱 CPC)早前舉辦了其 Solutions Day 2024,主題圍繞「From +AI to AI+ 從技術賦能到數據賦能」,邀請了各行各業專家分享部署 AI 的經驗,透過與夥伴共築 AI 生態圈,協助企業將 AI 應用融入其業務中,重塑他們的智能營運,及早做好 AI…
網絡威脅日益增加,甚至有機會影響社會正常運作。政府於今年提出《保障關鍵基礎設施(電腦系統)條例草案》(下稱《擬議條例》),涵蓋八大產業,尤其是針對電腦系統的安全。近來,針對保障關鍵基礎設施(電腦系統)的條例草案已經引起了廣泛的討論和關注。主要是針對不斷增長的網絡攻擊和網絡罪案,保障關鍵基礎設施的安全不僅僅是一個單一機構或系統的問題,而是關乎整個香港社會和經濟運作的穩定性和安全性。 規管範疇甚廣需注意 《擬議條例》下的關鍵基礎設施,包括:為香港提供必要服務的基礎設施,如能源、資訊科技、銀行和金融服務、陸上交通、航空交通、海運、醫療保健、通訊和廣播;以及其他維持重要的社會和經濟活動的基礎設施,如大型體育/表演場地、科研園區等亦包括在內。 受規管的機構應及早部署,了解自身網絡安全架構之外,亦可選用合適網絡安全方案,滿足法例要求,避免違規。 關鍵基礎設施營運者的責任 上述營運者在架構、預防、事故通報及應對責任三大類別上,需履行法定責任,如無合理原因下未能符合即屬違規。以下列出部份類別上的營運者責任,對於受規管的機構而言,要在有限的人手下預防網絡威脅、制定電腦系統安全管理計劃,以及發生事故時能迅速應對、通報及提交書面報告,成為符合法規的關鍵要點。 針對條例類別 HKT 提供全面網安方案 雖然大部份基礎設施營運者機構均設有 IT 部門,但要專責處理《擬議條例》合乎要求,所需額外 IT 資源也不能低估。香港電訊(HKT)身為全港最大網絡服務供應商,在網絡層面上具備優勢,能快而準地掌握本地至全球網絡攻擊情報,加上在網絡安全範疇上經驗豐富,無論在《擬議條例》中的架構、預防或制定安全管理計劃方面,均能為企業及機構提供最佳方案,以符合新法例要求。 架構、預防及制管 一 一應對 在架構方面,無論在資金或人手上都需要投放大量資源,企業可採用網絡安全託管服務,將網絡安全工作外判,減輕企業負擔。HKT 透過注入 AI…
自動化滲透測試借助各種工具和軟件來模擬對公司系統進行網路攻擊,並評估網絡的安全性。這些工具能自動執行諸如漏洞掃描、漏洞特徵識別、源碼審計等多種功能,從而迅速識別系統中的安全隱患。 想睇更多專家見解?立即免費訂閱! 然而,自動化滲透測試也存在某些局限性。首先,自動化工具的精確度可能遜於手動測試,特別是在應對複雜的安全漏洞。其次,自動化測試可能缺乏手動測試的靈活性,難以根據特定場景或需求進行定制化測試。此外,自動化工具可能會產生大量誤報,需要安全人員進一步分析和驗證。 儘管自動化滲透測試在快速評估系統安全性方面具有一定優勢,但在面對複雜的企業環境和深度安全測試需求時,仍需依賴手動滲透測試對目標網絡進行深入分析,揭示複雜的業務邏輯漏洞、邏輯缺陷或其他安全性漏洞。當然,手動測試所需要花費的時間、資源和專業知識,會使其成本比自動化分析高。而在實際應用中,可以將自動化滲透測試和手動滲透測試相結合,相互補充,以提供更全面、準確的安全評估結果。 因此,學習手動滲透測試技術至關重要。它能深入剖析複雜系統漏洞,並根據特定商業邏輯進行獨立分析,更全面地瞭解系統安全架構,識別並修復潛在風險,為企業築牢安全防線。同時,這也是提升個人技能水準和職場競爭力的關鍵途徑。掌握網絡安全技能,將有助於在資訊安全領域取得更好的職業發展。 持續進修是資訊安全領域中不可或缺的一部分。欲想學習更多有關尋找網站伺服器漏洞的發掘技術,歡迎報讀由香港資訊科技學院(HKIIT)舉辦的網頁程式滲透測試證書課程,由業界專家教授學員實戰技術,詳細講解不同的攻擊工具與識別網站的漏洞,助學員成為市場炙手可熱的道德白帽黑客(Ethical Hacking)人才。 作者:Kinsey NG香港資訊科技學院(HKIIT)網絡安全中心講師、研究範圍包括黑客攻擊技術、黑色產業。並透過模擬各種企業攻擊場景,提供校內與企業網絡安全培訓。 唔想成為下一個騙案受害人? 網絡安全公司 Green Radar 聯同 wepro180 最新推出《網安 2 分鐘》,一系列影片助你自學網絡安全招數,遠離詐騙,安全意識輕鬆 Level Up!立即去片:https://www.wepro180.com/cybersafety/
SEO,全稱搜索引擎優化(Search Engine Optimization),是一種通過優化網站的結構和內容,提高網站在搜索引擎中的排名,進而提升網站流量的有效方式。搜索引擎使用複雜的演算法來確定網頁的排名,其中一個重要的因素是反向連結(Backlink),也就是其他網站指向您網站的連結。搜索引擎認為,如果眾多高權威的網站(如政府、大型機構網站)連結到您的網站,那麼您的網站可能提供有價值的內容,因此應該在搜索結果中獲得較高的排名。 想睇更多專家見解?立即免費訂閱! 然而,有些網站經營者為了追求短期的排名提升,不惜採用黑帽 SEO 的手法。黑帽 SEO 利用搜索引擎的排名原理,通過增加指向特定網頁的反向連結數量來誤導搜索引擎,試圖製造出一種該網頁內容具有高度重要性和權威性的假像。其中,黑帽連結便是一種重要的黑帽 SEO 手段。 而入侵網站是常見的手段去建立黑帽連結。黑客會從高排名的網站中尋找安全性漏洞,通過這些漏洞入侵網站,並在其中植入指向目標網站的連結,從而短期內帶來網站排名的顯著提升。這種做法不僅違反了搜索引擎的規則,而且會對被入侵網站的聲譽和用戶體驗造成嚴重影響。 為確保網站的安全和正常運行,網站經營者需要定期進行網站文件和代碼的檢查。在檢查過程中,要特別留意網站伺服器是否有未知的文件或代碼片段存在,這些很可能是網站被入侵留下的痕跡。此外,手動檢查每個頁面,尤其是那些具有高流量的頁面。通過仔細檢查,我們可以發現並清除任何隱藏的連結或不尋常的內容,從而確保網站的清潔和安全。 同時,學習尋找網站漏洞並及時發現與修補可能存在的安全問題也十分重要,以避免因網站存在漏洞而被人利用。欲想學習更多有關尋找網站漏洞的發掘技術,歡迎報讀由香港資訊科技學院(HKIIT)舉辦的網頁程式滲透測試證書課程,由業界專家教授學員實戰技術,詳細講解不同的攻擊工具與識別網站的漏洞,助學員成為市場炙手可熱的道德白帽黑客(Ethical Hacking)人才。 作者:Kinsey NG香港資訊科技學院(HKIIT)網絡安全中心講師、研究範圍包括黑客攻擊技術、黑色產業。並透過模擬各種企業攻擊場景,提供校內與企業網絡安全培訓。 唔想成為下一個騙案受害人? 網絡安全公司Green Radar聯同…
近來香港多間機構連環遭受攻擊者入侵,令本地企業管理層深深感受到危機已迫在眉睫,開始積極部署更多網絡安全工具。不過,亂石投林式的添置安全工具,對提升防禦力是否真的有幫助?早前 DICT 數智通訊服務供應商中信國際電訊 CPC(以下簡稱 CPC)與網絡安全服務供應商 Fortinet,便特別舉辦人工智能攻防戰「卡牌盛會」,破格地以卡牌遊戲形式,展示完美安全防護所需具備的靈活解決方案組合,以及最重要的全面佈局思維,讓參與今次盛會的企業IT領導專員及業界專家,日後能夠將整套思維融入企業的防禦架構之中。 香港電腦保安事故協調中心 Otto 透露正跟其他地區的 CERT 合作,建構一個可提升偵測網絡釣魚域名的 AI 模型,以緩解企業面對最多的網絡攻擊問題。 人工智能提升黑客攻擊力 全新思維扭轉防禦劣勢 開始卡牌模擬實戰前,香港電腦保安事故協調中心主管Otto Lee 首先跟參與者分析了現時香港的網絡安全狀況。他指出從近年本地發生的多宗安全事件可見,黑客均加大力度運用AI,令各種網絡攻擊來得更快更具針對性。以企業接獲得最多的釣魚電郵為例,黑客可借助 AI 更快地產生出高質素的詐騙內容,令收到信件的企業員工更難防範,再配合深度偽冒(Deepfake)AI…
網站作為企業與外界溝通交流的重要橋樑,承載著大量的敏感資訊和使用者資料。然而,與此同時,網路安全威脅也層出不窮,資料洩露事件時有發生,給企業和個人帶來了巨大的風險和潛在損失。本文將介紹兩種快速檢查網站資料洩露風險的方法,包括檢查網站後門檔案、查看伺服器日誌異常記錄。這些方法能夠幫助網站管理員及時發現並應對潛在的安全風險。 想睇更多專家見解?立即免費訂閱! 方法一:檢查網站是否存在後門檔案 後門檔案通常是黑客為了再次入侵或控制網站而留下的文件。您可以通過檢查網站伺服器上的目錄,例如查看網站根目錄、主題目錄、外掛程式目錄等地方,查找是否存在異常的檔案或程式碼。您可以使用網站管理後台進行查看和對比原始版本的網站源碼。如果發現可疑檔案,建議立即進行審查並刪除。 方法二:檢查伺服器日誌是否存在異常記錄 伺服器日誌記錄了網站運行的各種資訊,包括使用者連接、系統錯誤、安全事件等。通過查看伺服器日誌,您可以發現是否有異常的連接或攻擊記錄。透過查看安全相關的日誌,如訪問日誌、錯誤日誌和安全性記錄檔。舉例說,如果發現大量來自同一 IP 位址的請求、或是從未知 IP 的未授權訪問或異常的錯誤資訊,可能意味著網站遭受了攻擊或存在資料洩露的風險。 網站程式會因業務需要存放大量資料。敏感資料外泄因而很多時候與網站漏洞有關,檢查這些漏洞並修復它們,對於保障網站資料安全至關重要。但要注意的是,這些方法只能提供初步的資料洩露風險檢查,並不能完全保證網站的安全性。為確保網站資料的安全,建議定期進行全面的安全檢測和風險評估,並學習發現與修復網站漏洞。 此外,為了進一步提升網站的安全性,建議採取以下措施: 1. 定期更新和升級網站及伺服器軟件,確保使用最新版本,以修復已知的安全性漏洞。 2. 使用複雜的密碼,並定期更換密碼,避免使用容易猜測的密碼。 3. 限制對網站敏感區域的存取權限,確保只有授權的用戶才能訪問敏感性資料和功能。 4. 部署防火牆和安全防護軟硬件,阻止惡意攻擊。…
網站程式在商業世界扮演著重要角色,從網上商店到公司內部系統都離不開開發網站。然而,隨著針對網站的攻擊不斷湧現,單純的網站開發技能,已不足以應對日益複雜的安全挑戰。因此,近年越來越多公司聘請專家,為自家網站作漏洞測試。 網站漏洞測試是通過模擬黑客攻擊,來識別系統的缺陷,與網站開發相比,漏洞發掘更側重於對網站各組成部分的深入理解。測試員需要深入剖析網站的運作原理,從細微之處發掘潛在的安全隱患。擁有網站開發經驗的程式員,在理解和識別系統脆弱性方面具備天然優勢。為進入網站滲透測試領域奠定了堅實的基礎。 想睇更多專家見解?立即免費訂閱! 尋找漏洞需要深入學習網站常見的安全性問題,如 SQL 注入、跨站腳本(XSS)等。透過並瞭解網站漏洞的成因、並擴展知識領域至資料庫管理、網絡基礎以及互聯網協定,將有助於更好地理解資料傳輸機制以及其潛在的攻擊手段。 同時,熟悉 Linux 作業系統與其命令行操作模式,也是關鍵技能,因為大多數測試工具和網站伺服器都基於 Linux 平台。日常 Linux 上的操作如查看系統日誌、伺服器參數、管理使用者許可權等操作,在滲透測試過程中同樣需要,透過學習相關知識能更深入地瞭解系統的運行機制和潛在的安全風險。 如想淺嘗如何發掘網站漏洞,在 Hack The Box、TryHackMe 等平台,有不同的漏洞模擬系統可用作學習,並透過接觸不同類型的漏洞掌握滲透測試技能。 持續進修是轉型過程中不可或缺的一部分。欲想學習更多有關尋找網站漏洞的發掘技術,歡迎報讀由香港資訊科技學院(HKIIT)舉辦的網頁程式滲透測試證書課程,由業界專家教授學員實戰技術,詳細講解不同的攻擊工具與識別網站的漏洞,助學員成為市場炙手可熱的道德白帽黑客(Ethical Hacking)人才。…
黑客利用技術手段在不同的攻擊事件中賺取豐厚回報。然而,若擁有技術而又想要合法且正當地獲取收入,其實可以通過正規途經,例如參加漏洞獎勵計畫(Bug Bounty Programs)。利用自己的專長幫助企業強化其網絡安全防護,不僅為網絡安全做出貢獻,還能夠獲得不錯的回報。 漏洞獎勵計畫,是由漏洞回報平台邀請廠商提交自己的產品作測試,並邀請安全研究人員找出並報告參與計劃公司的軟件、網站或應用程式中的安全漏洞。安全研究人員可以選擇如 HackerOne、Bugcrowd 或香港本土的初創公司 Cyberbay 等漏洞回報平台與廠商提交漏洞並進行溝通。一般而言,參與者將獲得金錢獎勵、公開表揚或廠商提供的紀念品。 想睇更多專家見解?立即免費訂閱! 在 HackerOne 的新聞稿中,提到六名安全研究人員憑藉發現並報告安全漏洞,成功在平台上賺取超過百萬美元的獎金。而像 Google、Mircosoft 和 Apple 的科技巨頭,對嚴重漏洞的單個賞金獎勵高達 150 萬美元,其中 Google 就透過其漏洞獎勵計畫(VRP),向全球安全研究人員支付了近…
人工智能使網絡入侵攻擊更難應對,其自動化及分析技術令入侵者不斷進化,導致企業網絡防禦工作更見艱鉅。有見及此,安全專家建議採用智賦(AI-Powered)技術配合防禦策略,以抵禦日益智能化的網絡攻擊。 人工智能應用在網絡安全上表現出色,在處理大量數據及識別入侵模式方面能力甚強,能更快檢測人手操作時忽略的異常情況。另外,電腦可不眠不休全天候監控,提供無間斷防護。當網絡受到攻擊,自動化功能更可即時作出反應,讓企業恢復運作。 不過,據中信國際電訊 CPC 經驗所知,當涉及人員及業務流程的網絡安全管理上,人工智能無法取代人類。 人性化網絡安全框架 中信國際電訊 CPC 為網絡安全注入了人類智慧和人工智能,在「識別及預測」、「保護」、「偵測」、「回應與復原」四大服務領域組成網絡安全框架,透過 TrustCSI 3.0雲網神盾技術賦能、重新定義企業防護。 將人類智慧與人工智能互相結合,不論在複雜的決策、策略規劃或法律解讀等方面均具備獨特優勢,現就逐一詳細說明: 「識別及預測」是網絡安全框架的基礎,除了利用不同的應用程式和評估工具來掃描和識別漏洞外,中信國際電訊 CPC 的信息評估服務(IAS)亦結合了安全專家的專業意見,分析客戶的業務流程,提供可行建議。專家團隊亦會藉著對市場格局及業務優次的了解,協助企業分配安全資源達到目標。 透過 AI 滲透測試技術,安全專家可幫助企業根據目標,自訂內容範圍及度身訂造滲透測試服務。這項輕量版自我測試解決方案,讓企業定期進行以人工智能驅動的測試 (如弱密碼測試、SQL 注入或…