越來越多企業依賴第三方供應商提供產品和服務,但當第三方存在網安漏洞,可能會直接對企業構成威脅。要保障自身網絡安全,就要做好第三方風險管理(Third Party Risk Management,TPRM)及外部攻擊面管理 (External Attack Surface Management,EASM)。全球著名網絡安全評級機構 SecurityScorecard 與本地解決方案分銷商 Edvance Technology(下稱 edvance)建立合作夥伴關係,客觀中立地評估各機構網安風險水平,助香港企業全面掌握自己及第三方供應商網絡安全狀況。 SecurityScorecard 與 Edvance Technology 日前舉行簽約儀式,由 SecurityScorecard 亞太區營運副總裁郭家賢及…
Search Results: 漏洞修補 (10)
台灣晶片供應商 Realtek 為網絡設備生產商提供的開發者工具 (SDK) 被發現存在嚴重漏洞,黑客可透過漏洞遙距騎劫網絡設備,而且毋須用家任何參與,受影響的包括使用了該廠商的 RTL819X 設備,專家警告必須即時安裝更新檔阻截攻擊。 被發現存在漏洞的是 Realtek 的 eCos SDK 套件,它是專門提供給 routers、access points、repeaters 使用的套件,可讓開發商簡化開發流程,將自家功能及網上管理介面快速加添到設備之上。而發現漏洞的網絡安全研究員是來自阿根廷的網絡安全公司 Faraday Security,由於 Realtek 方面已於三月推出漏洞修補檔案,加上已給予足夠時間讓客戶更新軟體,因此研究員在上星期的…
網絡安全團隊 Project Zero 發表最新統計報告,顯示現時 IT 公司對推出安全更新的速度愈來愈快,在 2021 年經團隊舉報的所有漏洞中,平均只須 52 日便有安全更新推出。而在 90 + 14 日的寬限期政策下,只得 5% 個案未能完成漏洞修補,對企業來說自然是好消息! Google Project Zero 是…
針對企業發動的網絡攻擊日趨激烈,特別是在新冠疫情下,企業倉卒採用各種雲服務及讓員工在家工作,一時之間令安全運維(SecOps)面對更多挑戰。團隊不單要趕在網絡犯罪集團活用安全漏洞前加以堵塞,敏感行業亦要兼顧法規(compliance)要求。如何才能在資安人手短缺的窘境下兼得魚與熊掌?關鍵在於找到合適的管理工具,以及交由專家找出痛點所在。今次就請來企業軟件公司 VMware 及系統整合商 Amidas的專家,分享解難心得。 疫情加重安全管理難度 早前 Google 發表安全調查報告,指 40% 在雲端平台部署的 instances,在 8 小時內便會被黑客發現及入侵,當中最快紀錄更只需 30 分鐘,可見今時今日企業採用雲端服務的嚴竣環境。Amidas 高級售前規劃顧問 Antonio 說:「雖然近年企業願意在維護網絡安全上投入更多資源,但大部分都投放在偵測漏洞方面,維護方面卻不足夠,導致運維團隊即使知道系統有漏洞存在,也未必能即時應對及修補,一旦受到網絡攻擊,企業營運便會被癱瘓,造成無法估計的損失。」 SaltStack可以跨作業系統進行漏洞評估,最適合配置了多種作業系統的企業使用,快速掌握系統的安全風險現況,優先處理緊急問題。 VMware…
一個存在了近 16 年的打印機驅動程式漏洞,最近被網絡安全組織 SentinelOne 公諸於世,受影響的打印機品牌包括 HP、Samsung 及 Xerox,只要黑客取得本機帳戶登入資料,就可借漏洞提升至最高權限,過程中完全毋須電腦用家參與,而且防毒軟件亦無法阻止其他惡意軟件繼續進入,估計有數以百萬計用家有被入侵風險…… 由 SentinelOne 發現的有問題打印機驅動程式檔名為 SSPORT.SYS,專家發現只要它被安裝在 Windows 作業系統後,即使在未有接駁打印機的情況下,每次開機時都會首先被執行,因而成為絕佳的攻擊弱點。發動攻擊的必要條件是黑客必須首先取得本機的基本帳戶權限,然後就可利用漏洞引發緩衝記憶體溢滿 (buffer overflow),進而提升至最高帳戶權戶,於 Kernel mode 執行惡意編碼,從而繞過防毒軟件的攔截,繼續引入其他惡意軟件。 專家指出,當黑客提升帳戶權限後,就可安裝任何程式、編輯電腦內的檔案,甚至執行加密程序,後果可大可小。而又因為…
5G 技術為生活帶來方便,應用範疇廣泛,但有機遇的同時,自然背後亦暗藏危機。究竟 5G 會帶來怎麼樣的挑戰,又能如何應對?wepro180 請來 Fortinet 香港及東南亞區網路安全方案架構師 Sam Fong 與我們進行訪談,一起了解更多 5G 世代要注意的地方,迎流而上。 Sam: Fortinet香港及東南亞區網路安全方案架構師 Sam Fong wepro180:5G 網絡發展會對企業帶來怎樣的網絡挑戰? Sam:5G 發展將推動物聯網應用蓬勃發展,當中包括自動化製造、工業遙測、機械人手術等。與此同時,分散式的5G環境將為企業的網絡保安環境帶來挑戰,因為這讓網絡保安團隊難以於整個網絡獲得完整的裝置和用戶活動資訊,使團隊在檢查、識別和執行保安政策等方面將遇上困難。…
IoT(Internet of Things, 物聯網)可以話係現時其中一個網絡安全嘅大敵,因為生產商大多數認為要賺錢嘅話,出嘢一定要快、功能要多同易用,至於網絡安唔安全?呢啲問題真係可以遲啲先算。產品對象為企業客戶嘅都可能講究啲,但做一般用家生意真係睬你都傻啦!明嘅,不過嚟緊就唔可以咁 hea 喇,事關唔少國家都準備為規管 IoT 產品而立法,最快仲要明年一月就有規管添! 根據網絡安全產品供應商 F-Secure Labs 嘅統計數字顯示,IoT 漏洞主要有兩方面,一係弱登入驗證,二係無提供更新檔修補漏洞。前者嘅問題係好多產品推出時可能唔使用密碼嚟配對,但出廠預設嘅登入名及密碼一式一樣,最出名嘅就當然係「admin」同「0000」之類嘅組合啦。只要用家買咗返嚟又懶得改,黑客就好易破解進入。另外,有產品出廠時根本無諗過會提供漏洞修補,所以即使被發現有漏洞,廠方都唔會理,甚至連更新渠道都欠奉,除非廠方回收,否則用家只可以決定用或唔用。 禁用相同出廠密碼 不過,呢啲情況將會有改變,美國加州喺 2018 年通過及 2020 年 1…
數年前,有黑客遙距入侵澳洲一間賭場的監視器系統,偷看其中一間貴賓室內的撲克牌局,然後暗中通知現場的同謀下注,八局下來詐贏了將近3,300 萬美元。另一個讓人意想不到的場景,則是 2018 年某酒店大廳中壯觀的新式魚缸,雖然讓顧客們置身於愉悅的環境中,但魚缸內與酒店電腦系統相連的智能溫度監察器,卻存在網絡安全漏洞,結果成為絕佳的跳板,讓黑客成功闖入酒店電腦系統⋯⋯ IoT(Internet of Things, 物聯網)的發展速度愈來愈快,上述的個案恐怕只會愈來愈多。IoT(Internet of Things, 物聯網)的發展速度愈來愈快,根據最新數字顯示*,預計 2021 年將會有 250 億 IoT 連接上網。報告同時指出當中約 9 成缺乏網絡安全保護,透明度亦不夠高,令企業及使用者難以有效監管這些 IoT…
人哋用得你嘅服務,梗係相信你可以守護佢哋嘅私隱,點知上載嘅相可以喺網上任睇,全無私隱可言,咁仲唔係虛假宣傳?Online Buddies 就係因為咁而被告喇。 網絡安全公司嘅研究員經常會進行一啲網上調查,分析一啲應用服務供應商提供嘅服務有無漏洞存在,因為服務供應商未必有足夠人手去監測自己嘅伺服器有無問題,所以當研究員發現到漏洞所在,就會第一時間通知對方修補,而喺漏洞修補後或對方過咗一段時間都無反應,先至公開漏洞等對方正視。一般嚟講,服務供應商都會即刻解決問題,以免影響用家嘅信心,或被黑客入侵造成更大嘅損失。 Online Buddies、Jack’d 共用儲存平台 除咗以上兩項風險,服務供應商仲有可能被執法機關起訴。美國紐約一個專門提供同性戀交友平台應用服務嘅公司 Online Buddies,喺上星期五就俾紐約州總檢察長 Letitia James 檢控,指出被告公司早年收購嘅 Jack’d 手機約會應用軟件存有誤導成分,令用戶相信其上載嘅相片有足夠私隱保護,可以防止被授權以外嘅人睇到,但被告一方卻對漏洞視而不見,收到報告一年都無修補漏洞,令用戶嘅個人私隱蒙受損失,結果判處罰款 24 萬美元,同時勒令 Online Buddies 要持續改善網絡安全程度。…
講到「黑客」這個名詞,一般都畀人感覺唔係咁正面,並會聯想到「網絡攻擊」、「網絡詐騙」、「資料盜竊」等負面行為。 其實黑客也大致分為三類,分別為「白帽黑客」(White Hat)、「灰帽黑客」(Grey Hat)及「黑帽黑客」(Black Hat)。白帽黑客以「改善」為目標,破解某個程序,令對方作出安全漏洞修補;灰帽黑客以「展現」為目標,透過破解、入侵去炫耀其擁有高超的技術,或者宣揚某種理念;黑帽黑客以「利慾」為目標,透過破解、入侵去獲取不法利益,或者發洩負面情緒。 白帽黑客是在這十年最熱門的職業之一,但不要以為是一件容易的工作,你必須對電腦系統、編寫程式、操作系統、網絡等有深刻的認識。白帽黑客大多是電腦保安公司的僱員,並在完全合法的情況下攻擊系統,以求找出安全漏洞。另外,也有很多大企業會聘請白帽黑客來保護其系統和訊息,薪酬也非常可觀呢。 至於電腦廠商方面,為鼓勵找出安全漏洞,也會付出豐厚獎金(Bounty Program)給予找出安全漏洞的舉報者。這個做法推至近年火熱的 ICO 市場,以進一步加強系統安全性。對白帽黑客來講,又多了一個收入來源。 再且,近年在網絡安全市場也興起黑客 Pwn 或 CTF 比賽,獎金也愈來愈吸引,勝出者亦可名利雙收。Pwn 一般讀作 Pone,自從「own」這個字引申出來的,意思是玩家在整個對戰中處在勝利的優勢,主要用於嘲笑競爭對手在整個遊戲對戰中已經完全被擊敗(例如:You just got pwned!)。CTF…