今時今日,相信大部分人家中都有安裝 Wi-Fi 無線路由器,甚至應該已經使用了這個網絡設備十多年。不過,最近一份有關 Wi-Fi router 使用習慣的調查報告出爐,揭示了一個令人震驚的結果,原來 Wi-Fi router 用家的整體安全意識每況愈下,先不說沒有使用強密碼,就連原廠登入密碼,也竟有 72% 用家承認從未更改。

    今時今日,相信大部分人家中都有安裝 Wi-Fi 無線路由器,甚至應該已經使用了這個網絡設備十多年。不過,最近一份有關 Wi-Fi router 使用習慣的調查報告出爐,揭示了一個令人震驚的結果,原來 Wi-Fi router 用家的整體安全意識每況愈下,先不說沒有使用強密碼,就連原廠登入密碼,也竟有 72% 用家承認從未更改。

    調查報告由 Broadband Genie 團隊進行,團隊一直關心 Wi-Fi router 的安全性,更在多年前已進行同類型調查,對上兩次分別是 2018 年及 2022 年。而在 2024 年的安全調查中,團體一共訪問了 3,000 多名英國網絡用家,但這次調查結果卻顯示公眾對路由器的安全性變得漠不關心,情況令人不安。 調查發現,有高達 52% 的受訪者從未修改過路由器出廠時的預設設定,這些預設配置為黑客提供入侵的方便之門。McAfee 資深安全研究員 Oliver Devane 指出,許多預設選項在網絡罪犯手中都非常危險,讓他們有更多方法完成入侵,其中一個最明顯的安全漏洞,就是沒有更改路由器管理員密碼。有高達 86% 的受訪者承認從未更改這個關鍵登錄訊息,只要黑客找到這個設備,就可以管理員的身份登入,最大限度地獲取傳輸的數據。

    72% 用家未曾更改 Wi-Fi 密碼

    其次是預設密碼,雖然英國政府禁止生產商以簡單的密碼作為出廠預設密碼,但就算使用了較為繁雜的密碼,黑客都可以通過簡單的方法找出。而在調查結果中便有 72% 的用家承認未曾更改,專家指出情況就有如用家安裝了門禁系統而沒有更改密碼一樣,犯罪份子只要掌握出廠密碼便可自出自入。 除此之外,調查人員發現一些良好的安全習慣也未被重視,例如有高達 89% 的受訪者從未更新過路由器的韌體,讓黑客可利用已知漏洞發動攻擊;有 89% 用家未有更改 SSID 網絡名稱。正常來說,廠方會將自家品牌作為預設 SSID 的一部分,因此黑客可透過掃描網絡了解附近用家所使用的 Wi-Fi router 品牌,再利用適合的方法或已知的漏洞嘗試攻擊。另外還有 75% 的受訪者未有定期檢查哪些設備曾連接到他們的家庭網絡,即使有黑客曾經入侵,用家亦不會察覺。

    用家安全意識不升反跌

    調查報告最大的發現是上述幾項安全要點,在 2024 年的結果幾乎都較 2018 年及 2022 年更差,可見網絡用家的安全意識不單未有提高,反而愈來愈差。專家指出有 75% 受訪者原來不知道修改原廠設定的重要性,有 72% 用家更表示不懂得如何修改設定,顯示政府除了要加強對用家的教育,生產商亦要設計出更友善的介面,協助用家養成良好的使用習慣,這樣才有可能改善用家的 Wi-Fi router 安全意識。 資料來源:https://www.broadband.co.uk/broadband/help/router-security-research

    隨著越來越多企業將文件和數據儲存在雲端環境,增加數據洩露發生時對其進行監控和管理的難度,面臨重大安全的挑戰。

    • 隨著管理的困難性增加,可能出現以下風險:
      • 知識產權洩露
      • 惡意軟件擴散
      • 文件分享泄漏

    企業需要一種安全有效的方式管理生命周期,確保及時識別和處理安全問題。立即參加 Webinar,學習建立有效的安全管理策略,以防範潛在的數據洩露及安全風險。

    立即報名

    數碼新時代來臨,API(應用程式介面)作為應用程式之間數據交換的主要渠道,使用量迅速增長,同時成為黑客主要攻擊目標。全球領先的雲端服務供應商 Akamai Technologies 亦預視到未來市場對 API 安全的需求,今年中以 4.5 億美元收購頂尖 API 安全公司 Noname Security。小編今次特意請來專家,詳細講解雙方整合至今,如何完善並擴充原有的產品功能及能力,為企業提供更安全可靠的 API 保護。

    一個月多達48億次API攻擊

    現時 API 在互聯網中廣泛被應用,物流快遞、網購、電子支付等平台都是常見的 API 應用例子。根據 Akamai Technologies(下稱 Akamai)的調查報告指出,API 攻擊每年增長 109%,而僅僅 2024 年 6 月就記錄了 48 億次攻擊。在 2023 年第一季度到 2024 年首季,香港亦遭受 15 億次 API 和 Web 應用程式的攻擊。API 作為目前數碼轉型的核心,負責傳輸重要敏感資料及數據,其安全性不容忽視。

    強強結合 打造更完善API安全方案

    Akamai 於去年收購 Neosec 後已初步完善了其 API Security 保護方案,為進一步加強對 API 的全面保護,Akamai 於 6 月再收購了 Noname Security(下稱 Noname),結合 Noname API Security 的技術,協助 Akamai 在 API 安全範疇上更上一層樓。

    Akamai Technologies大中華區產品市場經理劉炅(John)指出,Noname 一直專注研發 API 安全方案,其技術專業程度以及產品化能力無容置疑,是次收購更能補足 Akamai API Security 跨供應商之間的集成和部署選擇,提供更大的靈活性和支援,能夠在 API 整個生命週期中,提供全面的安全檢測,並降低產品上線後的風險,在發現影子 API、尋找敏感資料、偵測漏洞和攻擊等能力亦得以擴充。

    結合 Noname 的技術後,Akamai API Security 方案不僅提供靈活的部署選擇,不論雲端、在地、混合或是分散式環境都能全面覆蓋。此外,Noname 廣泛的第三方集成選擇亦幫助 Akamai API Security 無縫整合到客戶現有的產品服務當中,包括 AWS、Azure、CloudFlare、Kubernetes、Mulesoft、Oracle Cloud、F5 和 Palo Alto Networks 等平台,其集成選擇是現有 API Security 產品的 4 倍。

    Noname 為 Akamai API Security 提供更多檢測點,以更全面的視角探測企業網絡內,所有南北東西向的流量,加強發現影子 API。

    探查、測試、偵測及響應四大功能

    Akamai API Security 的安全管理流程分為探查(Discover)、測試(Testing)、偵測(Detection)和響應(Response)四個主要部分。

    從開發到生產的整個生命週期內,探查所有 API 並偵測休眠、舊版和殭屍 API,消除盲點並找出潛在的攻擊路徑,防止企業暴露安全風險之中;利用 API 安全性測試套件,自動執行超過 150 項模擬惡意流量的測試,包括 OWASP API 安全性十大威脅,在 API 上線之前發現漏洞,以降低被黑客攻擊的風險;在偵測方面,Akamai API Security 透過自動掃描基礎架構,找出錯誤配置和隱藏風險;更能即時偵測攻擊者和可疑行為、阻擋攻擊,在漏洞遭到利用前先行補救。

    Akamai API Security 的安全測試套件可以自動運行 150 多項模擬惡意流量測試,其中包括 OWASP API 安全十大威脅。

    滿足行業標準 全面保障API安全

    John 指出,API 不只是代表應用程式介面,而是企業的核心資產,當中包含數據安全問題,因此不同行業對 API 安全都有嚴格的法規要求,尤其金融行業對網上銀行交易轉賬的安全性要求更高。香港金融管理局(HKMA)在 2018 年亦制定銀行業 Open API 的框架,確保數據和交易的安全性。Akamai API Security 方案經整合後,符合 FFIEC、SOC、GDPR、HIPAA 和 PCI DSS 等針對不同地區及行業的標準,其安全性獲得認可,為客戶在不同領域上都有全面的保障。 大部分企業高度依賴於 API 的資料交互能力,特別是業務規模較大的企業,每月 API 請求數目有機會高達幾十億次。John 表示,當 API 架構漸趨複雜,卻沒有視覺化能力,很多隱藏 API 端點是整體業務的隱患。

    John 認為 API的安全建設和防護已經是企業安全架構中最重要一環,是企業最需要保護的資產之一。

    香港曾有知名二手買賣平台於系統遷移過程中出現保安漏洞,令 32 萬名本港用戶個人資料遭洩露。個人資料私隱專員公署調查後,認為該平台未有採取適當措施偵測異常模式或活動,亦未有配置用於偵測潛在惡意使用應用程式介面的活動的警報。由此可見,企業必須持續加強對 API 的監控與保護,才能有效降低資料外洩和安全事件的風險。

    事實上,Akamai 收購 Noname之前,客戶對 Akamai API Security 的需求增長率就已經高達 200%。大部分企業缺乏對 API 的安全弱點分析能力,John 表示,雖然企業都有使用不同的「手段」,如 WAF、API Gateway 以解決 API 安全問題,但企業網絡內東西南北向流量錯綜複雜,單靠 WAF 產品並未能防禦所有針對 API 的攻擊。Akamai API Security 方案則提供更全面的保護、更有深度的視野和分析能力,基於行為和邏輯檢測 API 濫用情況,有效保護企業的 API 免受攻擊威脅。

    政府早前提出制定《保障關鍵基礎設施(電腦系統)條例草案》,就加強保護上述電腦系統安全建議立法框架進行諮詢,保安局表示共收到 53 份意見書,並稱因應業界建議,考慮放寬嚴重事故的通報時限,由原本建議的 2 小時改為 12 小時,預計條例將於 2026 年初生效。

    保安局在 7 月 2 日至 8 月 1 日諮詢期間,收到 53 份意見書,涉及 600 多項意見或建議,其中 47 份來自業界,均表示支持立法或提出正面建議,唯一持反對的是來自英國的人權組織。保安局發言人強調,條例並不牽涉自由或內容規管,亦不針對個人資料和商業機密。

    有業界指出發生嚴重事故後,或會忙於搶救,而難以做到在 2 小時內通報。保安局表示理解,經參考英國、歐盟等做法後,積極考慮放寬報告時限,嚴重事故由 2 小時改為 12 小時;其他事故則由 24 小時放寬至 48 小時內。發言人亦指,營運者可透過電郵或電話等方式通報,惟兩周內須再提交詳細事故報告。

    此外,條例通過一年內會成立專責辦公室,半年後條例生效,職能是調查針對電腦系統的攻擊,包括攻擊手法、受影響程度、被中斷的服務等。為確保有效及早應對事件,將積極考慮賦權專責辦公室,在系統可能受干擾、服務中斷時,可主動向營運者調查原因並提供協助。

    被問及市面上有部分機構,將電腦系統等關鍵基礎設施外判交由第三方服務提供者處理,發言人指外判工作不能外判責任,若外判商違法,營運者亦須負責。屆時將會有《實務守則》提供指引,供營運者在聘請第三方時作參考,以便釐定及履行合約。

    發言人重申,因涉及保安問題,政府不會公開名單,並已接觸受規管者。條例預計在 2025 年上半年於立法會通過,期望條例 2026 年初生效,又指生效初期將設適應期,希望毋須向營運者提出罰款。

    想 守 住 企 業 網 絡 安 全 防 線 ?

    網絡安全公司 Green Radar 推出雲端員工培訓平台,透過短片形式,由淺入深向員工講解網絡安全注意事項,更備有即時考核,評估員工學習進度及企業網絡安全風險。立即登記與專家聯絡: https://bit.ly/4dX1oO4