成日聽人講 IT Security 行業前景不錯，並且非常缺人手，Salary Package 也吸引，令到很多 IT 人都想加入這個領域。但在那邊廂，我有位在大企業負責 IT Security 的朋友，卻用了一個有趣的比喻說：在公司做 IT Security，有如負責清洗廁所。當中的辛酸，不為人知，真是不好受。 Security Team 壓力大 點解？他說：因為 IT Security 即使做得再好，也不容易被察覺，亦好似是份內事，俾公司讚的機會較少；但萬一爆咗鑊（就好似爆咗渠一樣，周身都喺…

在我的朋友圈之中，有很多不同界別的人，當中不乏律師、會計師、醫生、金融業等專業人士。有時在閒談中，這些專業人士總是有點羨慕我們 IT 這個行業。 何解？他們感覺：IT 沒有他們的傳統行業那麼沉悶和壟斷，創意比較多，發展空間也比較大。看看全球高增長的新興企業中，大多數是跟 IT 有關的。原來做 IT 都咁令人嚮往，都有點飄飄然的自豪感。 所謂：城外的人想進城，城內的人想出城，有些 IT 界的朋友們，倒是對另有看法。大體上，都是說 IT 行業沒什麼專業認證、沒有保障、行業變化快、每天總是要追上新的科技、停不了的學習等。我有些 IT 朋友甚至不鼓勵子女投身 IT 行業，也可能是做果行厭果行啩。 早 20…

如果只看文章標題，會以為我想講講 IT 從業員需要大量 OT（overtime），俗稱 IT 狗，有幾辛苦等等……當然不是啦。只是最近碰到一較新的名詞，叫 Operational Technology，簡稱 OT。 IT 與 OT 的分別 在電腦系統未有大量普及前，企業一般都會投放資源去成立 IT 部門，把業務營運轉化為數據（以前更有人會稱為 EDP 部門，即 Electronic Data…

在周星馳電影《功夫》有一句話說道：「天下武功，無堅不摧，唯快不破！」我就利用這句說話，跟大家分享「唯快不破」的創業心得。 行業變化要快 首先，行業很重要。那些行業變化比較快（當然要對該行業有相當的認識），你的成功機會就比較高。因為這些行業，對大公司來說是沒有太大優勢。畢竟大公司決策需時，在行業環境變化快的局面，人力、財力也不是關鍵。相對來說，一家靈活的初創企業，就可能擁有不少的優勢。行業變化愈快，就對細公司愈有利。10 多年前，我們公司選擇在 IT Security 起步的原因，也是因為 IT Security 在整個IT領域變化得比較快。 行咗先算，怕輸就唔好搞 Start Up 每家 Start Up，都要經歷過前期最艱辛的階段。做出來的 Plan 不是重要（反正到 Execution 時，都跟原來的…

自「防火牆」面世至今的過去二十幾年裡，為了面對不同的網絡安全挑戰，市場也湧現很多不同的安全產品。有點像兵捉賊遊戲一樣，企業不停地修補漏洞，亦不斷地添置安全設備去加強防禦和監控。就算是大型企業，要投放大量資源去做好網絡安全，都會有點吃力。 安全服務供應商差異大 所以近年市場也興起把安全工作委託或外判給安全服務供應商，對於一些企業來說，也是一個選擇，但如何挑選合適的服務供應商仍是一個難題。首先，市場充斥著很多安全服務供應商（MSSP，Managed Security Service Provider），有本地 MSSP，也有外地 MSSP，其服務內容也林林總總，更有不同的 Service Level，價格也有很大差異。要認識清楚服務內容，實在不容易。再加上大部份 MSSP 所提供的服務範圍也處於前期階段，其質量和穩定性還需要時間來印證。 買車轉為 Call 車 由「產品」轉為「服務」是一個過程，也可以說是開闢了另外一個新市場。就如我們買車一樣：汽車是產品，汽車購買屬於一個市場，但需要接送服務的人，可以選擇 Call 車（像的士或 Uber）。用 Uber…

之前寫過一些魚事，其實我亦成日賣魚俾人，幫一 D 企業發放各種魚類 (Phishing Email)，搞到我返工好似去咗長沙灣魚類批發巿場咁樣。講開長沙灣，你有沒有見過一種「野獸派」數銀紙方式？一整堆十蚊紙，幾百張成座山咁，當中又濕水又混亂，但係個大佬氣定神閒，一口氣數出來，都費事分開一疊疊。當年搵食就係咁樣。 今次我發果批 FIT 殊，有不同吸引力，有 D 係假扮 Invoice，有 D 係假扮香港 Salary Guide，有 D 係假扮你個帳號快要取消，等等。最攞命果條 FIT 殊，仍然係訴諸恐怖，話你個帳號畀人入侵咗，URGENT，快 D…

上兩期都是環繞着「白帽黑客」（White Hat）這個題目，心想如果在港可以舉辦一個較大型的黑客 CTF 大賽，讓多一點本地及鄰近地區的「白帽黑客」能夠參賽及交流，那倒是一個不錯的做法。 發現樂趣，創造奇蹟 過去十年，黑客的意義有所改變，但是精神是一樣的。黑客們的共通點，是想知道和理解事物如何運作，在深層次研究後，他們可以創造超乎想像的奇蹟，並在其中發現樂趣。然而黑客並沒有想像中的恐怖，如果黑客發現某軟件存在漏洞並報告給相關企業，那麼企業對其進行快速修補，便會避免此漏洞帶來的危害。 「我們的」黑客大賽，培育本地人才 DEFCON 是國際知名的黑客 CTF 大賽，被譽為黑客界的「奧斯卡」，堪稱是殿堂級的安全盛會，黑客和安全專家都會慕名從世界各地趕來參加，去年參加人數更超過兩萬。我們也決定試一試，暫定於今年 10 月，在港舉行由我們公司主辦的首屆黑客大賽，希望培養業界人士對發掘網絡安全漏洞的興趣，從而提升本地的網絡安全水平。 高手相助，同場切磋 舉辦黑客大賽，我們還缺乏經驗。所以近月我也忙於跟參與過黑客 CTF 大賽的高手們請教。一提到舉辦黑客大賽這個構思，一班高手們非常樂意出手相助，運用他們過往的參賽經驗，為我們籌備一個高水平的大賽。初步構思是先舉辦初賽，給本地參賽者在線上比併。在初賽勝出的前三名會進入精英賽，再與鄰近區域的高手一起在現場一較高下。 美國取經，10 月見 雖然有高手幫忙籌劃，我亦不敢怠慢，並計劃在…

今早好天氣，一望出街，成群人在低頭捉怪獸。Neo 諗，乜個遊戲仲未死咩？我家對出的地方，平時少外人，但也算係 Public Areas – 公眾地方，原則上屋邨沒有理由趕人走。 前一陣子幫個客寫 Security Policies，寫到差不多，忽然問我：喂，你有沒有考慮 Public Areas – 公共區域嘅 Security 呀？我反問，Public Areas 嘅 Security 唔係保安局以及香港警察負責嘅咩？佢話，大佬，我係講緊企業入面果幾十萬呎地方，平日 D…

上一期講過甚麼是「白帽黑客」（White Hat），是指在完全合法的情況下對系統進行攻擊，以求找出安全漏洞，令對方作出修補的黑客。我上個月剛與一位國寶級的白帽黑客見過面，並對網絡安全作深入交流。 這位高手是來自北京的陳宇森，現年只是 26 歲，臉上還有一點稚氣，但跟他溝通，卻感覺到他是非常成熟和有目標的。他除了近年在中國區的各類黑客大賽勇奪各項大獎之外，在 2016 年的全球 DEFCON CTF 黑客大賽獲得第二名，以及在 2017 年另一個全球大型黑客大賽 Pwn2Own，獲得世界第三名。年紀輕輕已在國際大賽打響名堂，實在殊不簡單。但他跟我說：往後應不會再參與同類型的比賽了。畢竟已獲過獎項，可以說是得到業界對他技術能力的肯定。 最令我欣賞的是這位年輕白帽黑客，在 2014 年已成立了安全技術公司，運用自身的專長，開發了一些高端安全產品，來應付日益複雜的黑客攻擊，並獲得一些在中國的大企業所採用。所謂「知己知彼、百戰百勝」，以黑客的思維制訂安全方案去對付黑客攻擊，從邏輯來說，應會更有效。 除了安全產品外，陳宇森也有一套獨特的技術人員培訓計劃，可以說是比較實戰型。點解？一般網絡安全培訓機構都比較學術性，市場上的安全證書如 CISSP、CISM 等，也比較着重理論。但陳宇森所提供的是一套「網絡攻防實訓平台」，內裡包括模擬訓練、線上比賽、線下實訓等。在快速多變的網絡安全領域裏，我個人也認同實戰比證書更重要，也正考慮如何把這套實戰平台引入，來提升本地網絡安全人才應對網絡攻擊的能力。

講到「黑客」這個名詞，一般都畀人感覺唔係咁正面，並會聯想到「網絡攻擊」、「網絡詐騙」、「資料盜竊」等負面行為。 其實黑客也大致分為三類，分別為「白帽黑客」（White Hat）、「灰帽黑客」（Grey Hat）及「黑帽黑客」（Black Hat）。白帽黑客以「改善」為目標，破解某個程序，令對方作出安全漏洞修補；灰帽黑客以「展現」為目標，透過破解、入侵去炫耀其擁有高超的技術，或者宣揚某種理念；黑帽黑客以「利慾」為目標，透過破解、入侵去獲取不法利益，或者發洩負面情緒。 白帽黑客是在這十年最熱門的職業之一，但不要以為是一件容易的工作，你必須對電腦系統、編寫程式、操作系統、網絡等有深刻的認識。白帽黑客大多是電腦保安公司的僱員，並在完全合法的情況下攻擊系統，以求找出安全漏洞。另外，也有很多大企業會聘請白帽黑客來保護其系統和訊息，薪酬也非常可觀呢。 至於電腦廠商方面，為鼓勵找出安全漏洞，也會付出豐厚獎金（Bounty Program）給予找出安全漏洞的舉報者。這個做法推至近年火熱的 ICO 市場，以進一步加強系統安全性。對白帽黑客來講，又多了一個收入來源。 再且，近年在網絡安全市場也興起黑客 Pwn 或 CTF 比賽，獎金也愈來愈吸引，勝出者亦可名利雙收。Pwn 一般讀作 Pone，自從「own」這個字引申出來的，意思是玩家在整個對戰中處在勝利的優勢，主要用於嘲笑競爭對手在整個遊戲對戰中已經完全被擊敗（例如：You just got pwned！）。CTF…