AI 驅動、雲端交付的網絡安全平台供應商 Check Point 軟件技術有限公司公佈了 2025 年 4 月《全球威脅指數》報告,當中顯示本港的全球網絡攻擊風險排名於上個月上升五位,列位第 66 名,風險高於澳洲(第 71 名)、日本(第 100 名)及南韓(第 108 名)等其他亞太市場,形勢令人擔憂。

    報告顯示,工業/製造業為香港首要攻擊目標,緊隨其後是政府和消費者產品及服務。FakeUpdates 再次主導本港的網路攻擊,滲透率達到 4.38%,威脅形勢持續升溫。其他活躍的惡意軟件家族亦不容忽視,包括 Androxgh0st 及 Remcos,分別影響了2.92%  和 2.11% 的本地機構。 全球網絡安全威脅並不限於惡意軟件攻擊。網絡犯罪分子正透過勒索軟件、釣魚攻擊等手段不斷升級攻擊策略。隨着網絡攻擊越發頻繁,手段越變複雜,加上犯罪分子正迅速採用 AI 技術,機構需要儘快加強防護措施和提高網絡安全意識。

    2025 年或是史上最危險的一年

    現今的勒索軟件組織並非獨立運作,它們更像數碼聯盟。這些犯罪集團不但擁有更精銳的工具和精準的戰略,更將 AI 融入攻擊手段。以勒索軟件攻擊為例, Check Point Research 指出單在 2025 年首季,被公佈在資料洩漏網站上的受害機構就高達 2,289 間,與去年同期相比增加 126%。匿名犯罪分子正利用一切漏洞對企業進行勒索,它們看準企業薄弱的網絡安全意識,當中釣魚攻擊正是最常見的勒索手段。 繼 Microsoft 成為今年第一季在釣魚攻擊中最常被冒充的品牌, Check Point Research 再次發現犯罪者利用 Microsoft 的客戶關係管理軟件「Dynamics 365 Customer Voice」發動新的釣魚攻擊。該軟件通常用作記錄客戶對話、監測客戶意見、分享問卷及追蹤意見。 全球有超過 200 萬間機構正在使用 Microsoft 365;至少 50 萬間機構正在使用「Dynamics 365 Customer Voice」,當中包括 97% 《Fortune》雜誌 500 強企業。 在這次攻擊中,網絡犯罪分子共寄出超過 3,370 封釣魚郵件,波及逾 350 間企業,超過一百萬個郵箱被鎖定為目標。犯罪分子透過入侵賬戶寄出商業文件及賬單,並附上僞造的「Dynamics 365 Customer Voice」連結。這些電郵圖文模仿得相當逼真,令收件人容易上當。 這次攻擊的主要目的是盜取用戶憑證,一旦成功,網絡犯罪分子便可以非法獲取敏感資料和系統權限。受害機構涵蓋多個領域,包括廣為人知的社區組織、高等院校和大學、傳媒機構、知名醫療信息機構以及文化藝術推廣機構等。

    AI 科技顛覆網絡攻擊

    Check Point 指出,2025 是 AI 全面融入勒索軟件的一年,例如 AI 生成的釣魚誘餌能模仿寫作風格和用語、AI 能在幾秒鐘內生成定制的惡意軟件、深度偽造能冒充行政人員進行商業電郵詐騙(BEC)攻擊,以及使用合法的 IT 工具能在入侵期間關掉網絡安全控制系統。 Funksec 等組織正在利用這些能力來簡化開發週期和擴大攻擊規模。在這次的攻擊行動中,犯罪分子利用 AI 生成的代碼將合法腳本串連起來以繞過端點偵測及回應(EDR)檢測,最終成功避開行為分析引擎。 Check Point 香港及澳門區總經理周秀雲表示,勒索軟件已迎來「工業革命」式的變革。人工智能令定制、部署和大規模發動勒索軟件攻擊變得前所未有地容易。其影響已不僅局限於技術層面,更蔓延至營運、財務及企業聲譽等各個範疇。 Check Point 預測 2025 年將出現 2-3 宗大型供應鏈勒索軟件攻擊。屆時,人工智能不僅會被用於製作惡意程式,更會用於自動化橫向移動、鎖定優先攻擊目標,甚至自動進行贖金談判。

    如何建立網絡韌性?

    單靠備份和定期修補的時代已經過去。要抵禦現今勒索軟件攻擊者的手段,機構必須徹底革新防禦策略: .採用零信任架構 限制橫向移動,預設不信任任何對象,驗證一切存取。 .強化供應鏈安全 假設合作夥伴有機會成為入侵缺口,持續審查第三方風險。 .運用 AI 加強網絡防禦 藉 AI 提升威脅檢測、網絡安全中心(SOC)自動化及即時優先處理,搶先一步防範攻擊。 .為數據勒索做好準備 全面加密所有數據的安全,釐清敏感資料範圍,並預設其被盜的可能性。 .配合網絡保險及合規要求 緊貼全球法規更新,確保安全記錄及管控與合規同步。 2025 年的網絡攻擊不僅更頻密,且更具策略。如今的攻擊持續更久、破壞更強、禍害更深。在這個聲譽損害會像病毒般傳播的時代,即使只是「疑似」被入侵,亦可引發災難性的後果。

    探索 Synology 為各級學校量身打造的全方位解決方案,如何以兼具擴充性與成本效益的特性,全面提升資料保護、協作與 IT 管理效能。

    觀看本次研討會,您將能了解:

    • 適用於各規模學校的彈性儲存解決方案,探討如何應對資料極速成長所引發的資料儲存空間不足問題。
    • 校內部署的生產力解決方案,全面提升校園協作與營運效率 介紹部署於校內 NAS 的全方位生產力解決方案,協助學校優化日常作業流程並提升協作效率。
    • 完善的資料保護,協助學校防禦網路威脅 深入剖析資料備份在校園環境中的重要性,以及如何實現資料即時復原與全面保護。

    立即報名

    《保護關鍵基礎設施(電腦系統)條例》上月獲三讀通過,目標於來年正式生效,尚有僅八個月時間,相信營運者(Critical Infrastructure Operator, CIO)正密鑼緊鼓為條例做足準備。到底 CIO 在準備階段時, 最關注的問題是甚麼?應如何解決?香港電訊(HKT)一一為你解答。

    受《保護關鍵基礎設施(電腦系統)條例》(下稱條例)監管的營運者覆蓋八大範疇,包括能源、交通、通訊等行業。《條例》分為三大類責任,當中以「事故通報及應對」——尤其是通報時間、電腦系統安全演習及制定應急計劃,最受 CIO 們關注。

    通報時間爭分奪秒 CIO 需加強應變能力

    根據警方數字,過去數年本港的科技罪案一直有增無減,至去年終放緩,反映企業投放了一定資源,致力保障網絡安全。在即將來臨的新法例下,企業(尤其是 CIO)所投放的資源或需更多。例如《條例》下關鍵電腦系統嚴重事故的通報時間為 12 小時內,而其他事故通報時間則為 48 小時內,通報時間絕對是爭分奪秒,到底 IT 部門「應對」是否夠快,便成為一大關鍵。

    隨監察越多、需要分析的資料越大,相對警報數量亦會隨之而增多,通報時間亦有機會被「拖後腿」。 而香港電訊領先同儕的新世代網絡安全監控中心(Next Generation Security Operations Centre, NGSOC),獲 ISO27001 認證,透過注入不同的 AI 模型及自動化功能,不斷進步,提升威脅、檢測和應對時間,快速地排除誤報(False Positive),大幅減省 IT 人員的應對時間,讓 IT 人員更集中應對「真.事故」。

    萬一不幸發生網絡安全事故時,香港電訊可以快速分析客戶的 IT 組合,判斷受到哪種攻擊、影響程度,及早為客戶提供所需資料或數據,讓管理層能盡快作出決策及通報,爭取一分一秒,合乎法規。

    危機管理成重點 HKT 助符合規例

    對於《條例》內列明「參與由專員安排的電腦系統安全演習」,不少 CIO 都有疑問,到底是否要做攻防演練?是否要進行護網行動?據知,《條例》的安全演習相信內容以集中執行危機管理為主,概念亦與桌上模擬演習 Tabletop Exercise(TTX)頗為相似。

    如同「走火警」一樣,演習前亦需要事先制定逃生計劃。因此《條例》亦規定 CIO 需制定和推行應急計劃,例如懷疑發生事故後,IT 人員實際上要採取甚麼措施?如何向上級通報?各部門的職員的如何協調?管理層應如何處理?

    香港電訊的網絡安全事故應變服務 Incident Response(IR)方案,能在預備階段預先為企業建立事故管理機制,加強應急能力,快速識別事故的詳細情況,並按需要為 CIO 定時進行電腦系統安全演習。該事故應變服務採用國際認可的框架,包括 SANS 和 NIST,確保可靠,而 HKT 專家團隊亦具備多項國際標準安全認證,例如 CISSP、CISM 等,提供全天候 24 x 7 監察及應對服務。

    CIO 要符合規例,便需要投放更多人手及資源,選用香港電訊網絡安全託管服務,既可將網安工作交予專家跟進,又可減輕企業 IT 部門負擔,一舉多得。

    想了解更多,歡迎瀏覽:https://bit.ly/4jvam7a

    新一屆 Pwn2Own Berlin 2025 黑客大賽已經在德國柏林圓滿結束,這項一連三日的賽事由趨勢科技旗下 Zero Day Initiative 主辦。今年賽事首次將人工智能納入比賽項目,而參賽隊伍在三天內共發現 29 個零日漏洞,獲得高達 107.8 萬美元獎金,刷新歷屆紀錄。

    在新設的 AI 類別中,來自 Summoning Team 的 Sina Kheirkhah 成為首位贏家,透過攻破開源 AI 應用程式數據庫 Chroma 贏得 2 萬美元獎金。其後他又再成功入侵 NVIDIA Triton Inference Server,雖然獲得額外 1.5 萬美元獎金,但他破解的漏洞被標記為「Collision」,意味開發商早已知悉,只是還未推出修補檔案。

    漏洞詳情會保密 90 日

    而在今次參賽的黑客隊伍中,來自 STAR Labs SG 的 Nguyen Hoang Thach 憑藉發現 VMware ESXi 虛擬化軟件中的整數溢位漏洞,贏得今屆賽事中單項最高獎金 15 萬美元。STAR Labs SG 隊伍更在整個比賽中累積 35 個大師分數,包括成功入侵 Red Hat 企業級 Linux、Docker Desktop、Windows 11 等多個目標,最終以總獎金 32 萬美元成為今屆總冠軍。

    至於亞軍及季軍就分別由 Viettel Cyber Security 隊伍及 Reverse Tactics 隊伍獲得,前者展現了出色的滲透測試技巧,成功從 Oracle VirtualBox 虛擬機入侵主機系統,並通過結合認證漏洞和不安全反序列化漏洞,成功入侵 Microsoft SharePoint;Reverse Tactics 隊伍則在比賽最後一日利用整數溢位和未初始化變數漏洞,成功攻破 VMware 虛擬化軟件,贏得 11.25 萬美元獎金。

    在三日賽事中,最矚目的攻擊來自 STAR Labs 隊伍,他們利用 Linux 內核漏洞成功從 Docker Desktop 容器中逃出,繼而在底層作業系統執行程式碼,獲頒 6 萬美元獎金。而 Team Prison Break則獲得 4 萬美元獎金,成功展示 Oracle VirtualBox 的逃逸技術。根據大會規則,所有被發現的漏洞詳情都會保密 90 日才公開,給予時間開發商修補漏洞。

    資料來源:https://www.bleepingcomputer.com/news/security/hackers-earn-1-078-750-for-28-zero-days-at-pwn2own-berlin/