隨著供應鏈的數字化和互聯互通程度提高，來自第三方供應商的網絡安全風險也在增加。網絡攻擊可能對企業造成嚴重影響。政府現在要求企業保護供應商，因此企業需要了解供應商帶來的風險。

在是次網絡研討會中，Nathan Smith 和 Ash DSouza 將討論如何使用人工智能來加強企業網絡安全，並展示如何利用威脅情報和未來的 SOC 能力來偵測和應對供應鏈的網絡威脅。

了解 Splunk 和 Dataminr 如何協助企業：

1. 偵測和應對網絡威脅：學習如何將 Splunk 強大的數據分析和機器學習能力與 Dataminr 的 AI 驅動即時警報結合，從而加速處理第三方、網絡物理和數字風險的應急程序。
2. 主動網絡威脅情報：探索 Dataminr 如何使用 AI 驅動的警報掃描公共數據源（包括新聞、社交媒體和暗網論壇），以識別新興的網絡安全威脅。這些即時信息使企業有更多時間採取有效行動，在攻擊影響供應鏈之前抵禦網絡攻擊，如釣魚、惡意軟體和網絡間諜。
3. 為供應鏈建立堅韌的網絡安全戰略：了解整合 Splunk 和 Dataminr 以創建全面的網絡安全方法的重要性。通過結合 Splunk 的由數據驅動威脅偵測與 Dataminr 的 AI 驅動即時威脅洞察，企業將獲得早期可見性，以便快速協調應對，保護供應鏈免受網絡風險的侵害。

立即報名

作為本港第一條網絡安全法例，《保護關鍵基礎設施（電腦系統）條例草案》（下稱條例）如箭在弦。在這條例下，關鍵基礎設施營運者到底有何需注意？有何權利和責任？會否誤墮法網？本地解決方案分銷商 Edvance Technology（下稱 edvance）牽頭舉辦「Cybersecurity Lunch & Learn」活動，邀請法律及 IT 界專家齊齊教路，獲半百客戶踴躍支持。

分享環節由來自 A&O Shearman 律師事務所的執業律師 Anna Gamvros 打響頭炮。Anna 為客戶提供資料保護及網絡安全方面諮詢服務超過 20 年，資歷豐富，她指出條例所針對的是系統的安全而非個人資料，與《個人資料（私隱）條例》不同，對於不少公司的內部團隊來說，條例可算是相當陌生。

不同意成 CIO 可上訴

正如早前政府所言，關鍵基礎設施營運者（簡稱 CIO）名單不會公開，Anna 指出相關機構會得悉被「點名」成 CIO，然而，並非旗下所有電腦系統都屬於「關鍵電腦系統」（簡稱 CCS）。新設立的關鍵基礎設施（電腦系統安全）專員及專責辦公室，將考慮該系統在關鍵基礎設施（CI）核心功能方面的作用、核心功能中斷時所帶來的影響，以及營運商對系統的依賴程度等，判斷是否將系統指定為 CCS。

此外，如果不同意被「點名」成 CIO 或某系統成為 CCS，相關機構亦可向上訴委員會提出上訴，要求進行審核。

監管機構可申請手令調查

根據條例，相關機構的責任將分為三大類：架構、預防、事故報告及回應。Anna 表示鑑於某些行業本身已設有監管機構，例如法例指定通訊及廣播業由通訊事務管理局監管，金融服務業由金管局監管等，因此這類監管機構將負責監督「架構」及「預防」的責任。

至於新成立的專責辦公室，具有調查權，即使 CIO 不願合作，專責辦公室可要求營運商採取特定的補救措施，甚至在嚴重的事件上向裁判法院申請手令，以進入 CIO 處所調查，連接設備或在關鍵電腦系統上安裝程式。Anna 建議 CIO 可透過與供應商簽訂合約，確保雙方知悉供應商之行動會對 CIO 造成影響；並考慮在合約中賦予 CIO 存取權限，當進行調查時可從供應商手中取得資訊。

她強調，最重要的一點是條例並無追溯規定，一旦法例開始實施，被「點名」的機構便需在指定期限後開始遵守法規，故她鼓勵客戶應在此時評估自己會否成為 CIO，開始執行條例所要求的網絡安全協定，並檢討是否需要增加相關預算等，為未來網絡安全好好作規劃。

活動更邀請了領先的網絡安全解決方案供應商，包括 Fortinet、SecurityScorecard、tenable 及 Thales 的 IT 專家，分享他們所提供的解決方案，如何協助客戶應對相關條例。

下半場的專題討論，以「如何能提高本地營運關鍵基礎設施的安全措施之效率」為題，由 edvance 的 Technical Sales Manager 吳家駿任主持人，與 A&O Shearman 律師事務所 Senior Associate Ruby Kwok、獨立顧問 Ricky Cho、港深創新及科技園 Associate Director Franky Lam，共同探討機構在條例實施前需注意的事項。

Ruby 表示，留意到法案委員會討論時，保安局將會在《實務守則》包括更多細節，例如 CI 有何重大改變時需要上報，電腦系統安全管理計劃內容，以及通過例子說明有關通報網絡事故涵蓋範圍等，相信屆時亦會有指引協助 CIO 如何揀選第三方服務提供商。

至於曾擔任零售銀行 IT 基礎設施及安全部主管的 Ricky，具備豐富安全合規經驗，他向在場人士分享其最佳實踐方法，包括進行風險評估、安排人手、制定響應計劃（如 Playbook）、定時演練等。Ricky 提醒機構需「know your partner, know your vendor」，對合作伙伴進行評估，確保符合機構的規則及標準，「監管機構唔管 Partner，萬一佢出事，責任係去返 CIO」。而身為 End User 代表的 Franky，認為如機構採用設計及實施新的系統時，無論是應用程式或基礎建設，都必須要「Security by design」，於構建系統時必需要將網絡安全合規性及標準的因素考慮在內。

近日遊戲平台 Steam 便緊急下架一款名為《Sniper: Phantom's Resolution》的試玩版遊戲，原因是該遊戲內含資訊盜竊惡意軟件，對用家電腦構成嚴重安全威脅。而開發者更聲稱平台存在安全風險，實際上透過其他渠道發放惡意軟件，名副其實「賊喊捉賊」。

開發者建議玩家從平台下位置下載

作為全球最大的線上遊戲平台，Steam 擁有龐大的用家群，根據資料顯示，全球約有 1.3 億登記用家，峰值在線人數更高達 4,000 萬，所以自然成為黑客的狩獵場。過往黑客主要通過釣魚詐騙，誘騙使用者輸入帳號密碼和雙重驗證碼去盜用帳戶；其次是誘騙用家下載惡意軟件，感染電腦後便能盜取儲存的機密數據，又或將電腦變成殭屍網絡的成員，而這次事件便屬於後者。

開發者 Sierra Six Studios 在上星期在平台上預告會推出一款一第一身射擊遊戲的試玩版，介紹頁面上有齊遊戲的片段及內容，但開發者聲稱在 Steam 平台上下載存在安全風險，並留下連結建議玩家從平台下位置下載。部分玩家發現其內容存在異常，例如遊戲描述和素材疑似從其他遊戲複製而來。

非首次遇同類事件

此外，試玩版並未由 Steam 直接下載，而是要求玩家從外部 GitHub 儲存庫安裝程式，引發了安全疑慮。經社群用戶分析，該安裝程式名為「Windows Defender SmartScreen.exe」，內含多項惡意工具，包括權限提升工具、攔截 Cookie 的工具「Fiddler」以及執行 Node.js 腳本的功能，還利用「createShortcut.vbs」腳本將惡意程式設為開機自啟，鞏固其延續性。

更深入的調查顯示，遊戲開發者的 GitHub 帳號「arda1337」不僅儲存了遊戲檔案，還包含與加密貨幣工具及 Telegram 機器人相關的其他惡意程式碼。GitHub 在收到用戶舉報後迅速移除了相關儲存庫，而 Steam 也於隔日將該遊戲下架。與此同時，開發者的官網已無法訪問。

事件凸顯了下載來源可信度的重要性，即使是來自知名平台的軟件也可能暗藏風險。值得一提的是，這並非 Steam 首次遭遇類似事件。上月，平台曾上架一款名為《PirateFi》的遊戲，該作品被用作 Vidar 資訊盜竊程式的傳播渠道，受害用戶多達 1,500 人。這次事件再次警示玩家與平台需加強對安全問題的重視。對於已安裝這些遊戲的玩家，專家建議立即刪除遊戲並執行全面系統掃描，以移除可能殘留的惡意檔案。

資料來源：https://www.bleepingcomputer.com/news/security/steam-pulls-game-demo-infecting-windows-with-info-stealing-malware/