Browsing: Pentest

    網絡攻擊愈趨複雜及精密,加上銀行業又是公認的攻擊對象,面對如此高危的環境,香港金融管理局 (HKMA) 於2016年公布網絡安全防衛計劃 (Cybersecurity Fortification Initiative, CFI),通過三方面提升金融業的網絡攻擊防禦力。其中之一的網路防衛評估架構(Cyber Resilience Assessment Framework, C-RAF)是一套以風險為基礎的評估框架,內裏的評估項目多達400多項,主要分為三個部分。 首先是自身固有風險 (Inherent Risk Level) ,評估標準會根據銀行採用的科技、服務渠道、以往被攻擊的記錄等因素作評級(High、Medium、Low) ;其次會通過審核現有的安全措施,包括監管、偵測機制、保護工具、危機管理及應對政策,以釐定網絡安全成熟度 (Advanced、Intermediate、Baseline) 。如果審核評分未能達到固有風險評估的相對要求,銀行就要按照金管局建議的改善措施提升安全成熟度,直至合符相應的要求。如果金融業的固有風險達到中至高程度,就必須實施網絡攻擊模擬測試iCAST (Intelligence-led…

    資料顯示,預計 2022 年因網絡罪案導致嘅經濟損失達 8 萬億美元,每一宗資料外洩令企業損失近 400 萬美元,企業鬥創意鬥效率鬥專業時,仲要鬥安全,呢方面已經成為各行各業共識,所以資安人才相當渴市,搶人難,管理又煩,而一味靠人搵漏洞,係咪 21 世紀最有效手段?再加埋 5G 帶動 IoT 同埋新冠掀起 Work From Home 潮流,未來嘅資安挑戰只會更大。PwC 最近推出 Ethical Hack…

    Pentest 滲透測試係發掘網絡系統漏洞嘅好方法,所以唔少政府部門或企業都會外判服務供應商進行測試。但美國就有兩個網絡安全專家喺執行測試時,懷疑殺得性起,做多咗嘗試強行爆入法院大樓,再攻埋其他系統,結果搞到官非纏身! 上星期三,美國愛荷華州(Iowa)達拉斯縣(Dallas)法院發現有不明人士闖入法院大樓,觸動警報系統,結果警衛拉咗兩個入侵者。兩個入侵者分別係 Justin Wynn 同 Gary Demercurio,被捕時二人即刻話係受到達拉斯縣政府所僱用,目的係測試法院嘅安全系統。起初當局回應話無咁嘅事,但經查明係,證實 State Court Administration(SCA)的確係僱用咗網絡安全公司 Coalfire 為系統進行滲透測試,而 Justin 同 Gary 就係 Coalfire 嘅員工。 雖然證實咗真係派出社員,但…