科技新聞

    Google 最新發表一份報告,內容是回應近期美國政府因 Microsoft 執行網絡安全措施不足,導致 25 間政府機構電郵數據被盜事件,Google 更以「單一文化」(Monoculture)一詞批評政府,即只盲目採用 Microsoft 提供的網絡安全方案,而漠視其他網安同業有可能提供更優質的服務,以致令公共部門及市民陷入網安及資安風險。對「主角」Microsoft 來說,認真無面。

    Microsoft 遭入侵事件仍未解決

    Microsoft 去年遭受俄羅斯國家級黑客集團 Midnight Blizzard(又稱 APT 29)入侵事件,至今依然未能完全解決,早前美國網絡安全機構 CISA 已發出緊急行政指令,要求所有聯邦機構立即檢查有否相關入侵痕跡,網絡安全審查委員會(CSRB)亦強烈譴責 Microsoft 犯下一連串低級錯誤,甚至建議對方應該要徹底改革內部文化及作業,以提高網絡安全水平。

    而就在 Microsoft 管理層還在「熱鍋」之際,頭號對手 Google 亦再踩一腳,就這次事件狠批美國政府機構過往太依賴單一服務供應商,在採購後又缺乏持續評分,漠視其他安全效能更高的同類解決方案,才會導致今次火燒連環船事件。雖然指責的是政府,但由於出事源頭是 Microsoft 的網絡安全服務,所以即使公司管理層有可能感到被羞辱,但現時也只能忍氣吞聲。在 Google 這份報告書中有一些重點,其實也適合企業管理層反思,因為在採購安全服務後,並不能以為可以一勞為逸。

    Google 提出保障網安 3 重點

    首先,現時安全業界的主流是採用單一服務供應商提供的不同安全解決方案,因為只有數據能夠互通,才能提升數據可視性,及早發現可疑活動。而 Google 就認為政府應採取多供應商策略,但必須先制定和推廣開放標準,以確保各網安公司的產品能夠互通,這做法的好處是即使任何一個環節的解決方案出現問題,客戶也能輕易找到其他更好的方案替換。

    其次是 Google 認為即使政府在採購產品時,該產品符合公共部門認證標準,但對其安全評估不應就此結束,應持續就其運作效能、安全漏洞、回應效率等作評分,同時這些評分亦可作為將來續期時的重要參考資料。

    最後,雖然 Microsoft 方面遭 CSRB 狠批後已承諾會徹底改革網絡安全策略,且聘用了新的 CISO 去推動改革,但 Google 方面在報告內就指出數據安全不能在現有產品推出後再事後添加,這種說法與安全業界的「左移」(shift left)一致,因為只有在一開始設計軟件時已加入網絡安全考慮,出來的產品才能全面應付不同網絡安全攻擊,以及減少漏洞出現。

    資料來源:https://www.securityweek.com/google-cites-monoculture-risks-in-response-to-csrb-report-on-microsoft/

    唔想成為下一個騙案受害人?

    網絡安全公司Green Radar聯同 wepro180 最新推出《網安 2 分鐘》,一系列影片助你自學網絡安全招數,遠離詐騙,安全意識輕鬆 Level Up!立即去片:https://www.wepro180.com/cybersafety/

    人工智能(AI)對商業環境產生很大影響,而 SAP 正是這個變革的領導者。參加年度旗艦活動——SAP NOW Hong Kong,與業界領袖、科技專家以及創新思想家一同分享他們應對不斷變化的數碼環境的策略。

    活動亦會一同探討如何善用 SAP 業務應用中內嵌的 AI 能力,展示最新解決方案,以開拓機遇、優化流程並提升客戶體驗。

    立即註冊,學識善用人工智能,在現時日益由 AI 驅動的世界中發揮最佳水平。

    立即報名

    香港科技大學一直致力開拓創新教學新模式,早於數年前便將 AI 融入傳統主修課程,更於去年成為香港首家在教研上有系統地採用生成式 AI 的學府。為支援校內使用 AI 等需要,在香港電訊(HKT)的協助下,最近決定採用 思科的解決方案,不但降低管理難度,更為整個資料中心網絡增加可見性。思科指相比現有 InfiniBand(IB)技術下每個連接埠的成本,新解決方案足足降低了 40 至 50%。

    今次科大在本身已有的 AI 數據中心之上,需要擴大其網絡設施,建構一個達 HPCIC 級的資料中心,要具備高性能計算和創新技術,以支援相關 AI 課堂、大型語言模型(LLM)訓練等需要。

    未來擴充時可應用同一套系統

    香港科技大學資訊科技總監關樹建表示,校方在高性能計算(HPC)領域使用 InfiniBand(IB)作為網絡架構已超過 10 年,現計劃建造新的 HPC Farm。在網絡層面上,科大決定採用思科的 Nexus 9K RoCEv2 解決方案,因 RoCEv2 是作為 IB 替代技術的新興技術,不但性價比高、且提供更多彈性,兼十分容易管理。

    思科香港、澳門及華南區總經理封小韵小姐指出,科大採用了思科 Nexus 9000 系列 Switches,提供低時延 200Gps 連接,可以滿足網絡基礎設施中對高效能及節能等各項要求;更有助科大應對現代數據中心不斷增長的網絡流量和需求,因它除了兼容現有數據中心,如果將來有需要擴充時,也可應用同一套系統協助。

    方案還包括了思科 Nexus Dashboard Fabric Controller(NDFC),有助整個  IT 基礎架構的日常營運可以更順利之餘,配合 Nexus Dashboard Insight(NDI),增加整個網絡的可視性,當一旦出現任何問題,IT 人員都可快速找到問題所在。

    做到快速傳遞及低時差問題等要求

    根據估算,思科的 N9K RoCEv2 相比 Infinite Brand,每個連接埠(Port)成本足足降低 40 至 50%,性價比十足。科大也可依靠思科方案來發展現有 NDFC,以管理新的儲存和人工智慧架構,並在熟悉的營運和管理平台上,加速其人工智慧的發展。

    至於思科在部署的過程中,除了本地技術專家,也有來自上海的團隊協助,全方位確保萬無一失。科大團隊對此十分滿意,對思科能滿足他們對 AI 數據中心要做到快速傳遞、無損失和低時差問題等要求,表示讚賞。

    HKT提供一站式服務令項目順利完成

    今次科大是在思科的 HK Gold Partner HKT 的協助下,引入相關方案。HKT 商業客戶業務總處副總裁梁樹恒先生稱:「憑藉 HKT 的本地專業團隊和豐富的系統集成經驗,以及我們在不同院校實施數碼轉型的成功案例,HKT 一直致力為科大校園提供多元化的網絡設備解決方案,並確保這些方案能夠與科大的發展進程完美配合。」

    HKT 擁有專業的思科網絡技術團隊,充當顧問角色,提供一站式服務,加上本身對科大的 IT 環境已十分熟悉,又提供相關的售前和售後服務,協助科大選擇和購買最適合的思科網絡設備解決方案。方案預計於 6 月部署完成,科大將利用 NDFC 和 NDI,提升整個數據中心網絡的可見性和管理能力。

    事實上,市場上各行各業對建構 AI 數據中心及高效能運算(High-Performance Computing,HPC)設施的需要已越來越高,亦是目前的大趨勢。隨著通用人工智能技術在各行各業變得越來越重要,任何需要為自己定制專屬的 GenAI 以支援大規模應用的企業,或是需要建構屬於自己的 AI 超級計算中心或數據中心的企業,都可以考慮採用思科的方案。

    Google 最新發表一份報告,內容是回應近期美國政府因 Microsoft 執行網絡安全措施不足,導致 25 間政府機構電郵數據被盜事件,Google 更以「單一文化」(Monoculture)一詞批評政府,即只盲目採用 Microsoft 提供的網絡安全方案,而漠視其他網安同業有可能提供更優質的服務,以致令公共部門及市民陷入網安及資安風險。對「主角」Microsoft 來說,認真無面。

    Microsoft 遭入侵事件仍未解決

    Microsoft 去年遭受俄羅斯國家級黑客集團 Midnight Blizzard(又稱 APT 29)入侵事件,至今依然未能完全解決,早前美國網絡安全機構 CISA 已發出緊急行政指令,要求所有聯邦機構立即檢查有否相關入侵痕跡,網絡安全審查委員會(CSRB)亦強烈譴責 Microsoft 犯下一連串低級錯誤,甚至建議對方應該要徹底改革內部文化及作業,以提高網絡安全水平。

    而就在 Microsoft 管理層還在「熱鍋」之際,頭號對手 Google 亦再踩一腳,就這次事件狠批美國政府機構過往太依賴單一服務供應商,在採購後又缺乏持續評分,漠視其他安全效能更高的同類解決方案,才會導致今次火燒連環船事件。雖然指責的是政府,但由於出事源頭是 Microsoft 的網絡安全服務,所以即使公司管理層有可能感到被羞辱,但現時也只能忍氣吞聲。在 Google 這份報告書中有一些重點,其實也適合企業管理層反思,因為在採購安全服務後,並不能以為可以一勞為逸。

    Google 提出保障網安 3 重點

    首先,現時安全業界的主流是採用單一服務供應商提供的不同安全解決方案,因為只有數據能夠互通,才能提升數據可視性,及早發現可疑活動。而 Google 就認為政府應採取多供應商策略,但必須先制定和推廣開放標準,以確保各網安公司的產品能夠互通,這做法的好處是即使任何一個環節的解決方案出現問題,客戶也能輕易找到其他更好的方案替換。

    其次是 Google 認為即使政府在採購產品時,該產品符合公共部門認證標準,但對其安全評估不應就此結束,應持續就其運作效能、安全漏洞、回應效率等作評分,同時這些評分亦可作為將來續期時的重要參考資料。

    最後,雖然 Microsoft 方面遭 CSRB 狠批後已承諾會徹底改革網絡安全策略,且聘用了新的 CISO 去推動改革,但 Google 方面在報告內就指出數據安全不能在現有產品推出後再事後添加,這種說法與安全業界的「左移」(shift left)一致,因為只有在一開始設計軟件時已加入網絡安全考慮,出來的產品才能全面應付不同網絡安全攻擊,以及減少漏洞出現。

    資料來源:https://www.securityweek.com/google-cites-monoculture-risks-in-response-to-csrb-report-on-microsoft/

    唔想成為下一個騙案受害人?

    網絡安全公司Green Radar聯同 wepro180 最新推出《網安 2 分鐘》,一系列影片助你自學網絡安全招數,遠離詐騙,安全意識輕鬆 Level Up!立即去片:https://www.wepro180.com/cybersafety/