Salesloft Drift 聊天機械人引發的供應鏈攻擊災情持續擴大！黑客利用 Drift 應用的 OAuth 授權漏洞，成功入侵多間企業的 Salesforce 客戶關係管理 （CRM）系統，估計受影響企業逾 700 間，當中更波及多間頂尖網絡安全公司，包括 Zscaler、Cloudflare、Palo Alto Networks 等。 想知最新科技新聞？立即免費訂閱！ 事件發生於今年 8 月中旬，黑客利用…

黑客盜取企業帳戶再入侵內部網絡的案例，相信大家也聽過不少，黑客通常會啟動勒索軟件索取贖金，又或為國家暗中刺探軍情，不過，這次一位俄羅斯莫斯科富豪兼科技公司老闆 Vladislav Klyushin 入侵的目的，竟然同炒賣股票有關， 由於他入侵的是專門為上市公司服務的第三方供應商，牽連巨大，據講還因此賺取了 3300 萬美元， 賺錢手法真是層出不窮。 想知最新科技新聞？立即免費訂閱 ！ 今年 42 歲的 Vladislav Klyushin 據報是俄羅斯一間科技公司的老闆，在俄羅斯非常有名，而且公司專門為俄羅斯政府最高層服務。大約在兩年前，他乘搭私人飛機前往瑞士滑雪勝地度假，不過在抵埗後即被警方拘捕，指控他非法進入美國多間上市公司，盜取公司未公布的財政報告，並在稍後引渡美國，大約兩年後才被送上聯邦法院審訊。 富商否認指控　法院判監禁 14 年 美國檢察官指…

早前一間專門提供商業網絡通話、視像會議及訊息傳輸服務的企業3CX遭受入侵，雖然很快已發現是北韓國家級黑客所為，但隨著其他專家參與調查，黑客集團原來亦已入侵了另外四間企業，受害機構分別來自能源基礎設施及金融行業，而且入侵方式與 3CX 基本上一樣，可見這類供應鏈攻擊（Supply chain attack）真是防不勝防。 想知最新科技新聞？立即免費訂閱 ！ 3CX 入侵事件在今年三月公開，當時負責調查的網絡安全公司 Mandiant 專家，很快已指出事件與北韓國家級黑客集團 UNC4736 有關，估計入侵源頭是因為 3CX 一個員工在自己的電腦上，下載及安裝了一款帶有木馬病毒 VeiledSignal 的 X_Trader 交易軟件。 該軟件由…

面對訂單需求反覆波動、供應交付滯後延長、商品物流干擾不斷，製造商極需迅速而精準的業務規劃。SAP Integrated Business Planning for Supply Chain （SAP IBP）整合式供應鏈規劃解決方案，透過多情景可視性、即時分析和自動化流程改善業務規劃與決策，提升供應鏈管理。 想知最新科技新聞？立即免費訂閱！

最近網絡安全公司頻頻失事，繼 Solarwind 事件後，今次主角輪到法國防火牆龍頭安全公司 StormShield，公司發言人指工單處理系統 (ticket system) 被入侵，同時黑客亦盜取了旗下網絡防火牆工具 Stormshield Network Security Firewall 的原始碼！系統潛在漏洞隨時被發現，引爆另一場供應鏈攻擊災難。 Solarwind 被黑客入侵後釀成大災難，不少全球知名科技公司、政府機構、醫療企業，全部因 Solarwind 本身的漏洞而被入侵，令供應鏈攻擊 (supply chain attack) 這種攻擊手法再度被重視。StormShield…

新加坡政府一向希望取代香港的亞洲金融中心地位，而在維護網絡安全政策方面，反應更比港府敏捷得多。最新動作是修改了金融業的科技風險管理指引，強調行業必須加強對第三方服務供應商的規管，相信跟近年頻頻發生的供應鏈攻擊 (supply chain attack) 有絕大關係，例如令人聞風喪膽的 SolarWinds 事件…… 現時金融業在發展網上業務時，傾向與第三方服務供應商合作，例如 IT 管理工具、數據備份及災難復原服務等，雖然金融業本身有嚴格的網絡安全法規要遵守，但在第三方服務供應商上卻難以監管，黑客組織自然會捨難取易，選擇向這些服務供應商發動攻擊，從而入侵金融機構。最近 SolarWinds 火燒連環船事件就可看出，如果能成功入侵第三方服務供應商，成效有可能更大。 而今次新加坡金融管理局修訂的科技風險管理指引，明顯針對供應鏈攻擊而來，因為在新指引下，金融業必須嚴格監督第三方服務供應商，同時亦就任命第三方供應商及高級 IT 管理人員方面提供建議，例如必須嚴格監管對方員工是否有足夠的技能或證書，而在聘用 CIO 或 CISO 等職位時，亦要考慮對方是否持有相關的認證。在兩方面配合下，便能確保服務供應商有高規格安全標準之餘，金融機構內部亦有懂得如何監管服務供應商的能力。 此外，新加坡金管局亦規定金融業界必須確立網絡威脅情報分享平台，交換彼此收集到的網絡威脅資訊，以供業界定期進行內部滲透測試，堵塞可被入侵的漏洞。在這方面，雖然香港金管局推出的網絡安全防衛計劃…

生產力局（HKPC）公布 2021 年資訊安全展望報告，預料在疫情影響下，針對新科技如 5G、物聯網（IoT）及人工智能會大幅度增加；而因應流動支付愈趨普及，加上虛擬銀行及虛擬金融業的發展，生產力局呼籲，業界應多留意資安資訊，加強保安，用戶也要注意密碼設定和保安措施。該局亦指出 ，供應鏈攻擊會升級，單在去年便增加了 430%，企業應多加留神。 在數碼轉型的新常態下，新技術如 5G、物聯網及人工智能的應用等，可能會導致更多系統或數據流量暴露在不可信的網絡中，以物聯網為例，因為密碼強度太低、通訊未有作加密等，存在保安漏洞，被入侵的風險相應會提高，生產力局建議，應深入了解這類新技術牽涉的保安議題，亦應定期進行網絡保安檢查，評估網絡和系統的保安，及持續監察接觸到互聯網的資訊科技配置。 促企業制定WFH保安指引 提升員工保安意識 生產力局數碼轉型部總經理兼 HKCERT 負責人陳仲文指，企業必須為新常態和新技術制定網絡保安策略，在管理計劃中應包括第三方風險、保護任何暴露於互聯網的系統、採用加強驗證並進行網絡保安檢查和監察；另外，企業需要提高員工的網絡保安意識，以應對攻擊。就供應鏈攻擊繞過企業的保安系統的情況，生產力局解釋，攻擊者會利用企業對合作夥伴的信任，來避開保安防禦，通常使用合法軟件發佈機制，將木馬化的軟件組件發布至 「下游」，令企業用家不慎中招。 Work From Home（WFH）工作安排亦為企業保安系統帶來衝擊，有黑客伺機入侵網絡會議，發放不雅內容，又會趁機攻擊缺乏保護的遙距工作端點，生產力局建議企業制訂新常態下的網絡保安策略，提供在家工作安排的保安指南，保護遙距存取設施和端點，並提高員工保安意識，提防釣魚電郵來襲；定期進行網絡保安檢查，評估網絡和系統的保安；持續監察接觸到互聯網的資訊科技配置。企業可以參考該局製作的在家工作的六大資訊保安建議（https://www.hkcert.org/tc/security-guideline/six-security-tips-for-home-office）及評估遠端存取服務保安指南（https://www.hkcert.org/tc/security-guideline/assessing-the-security-of-remote-access-services-guideline）。 使用虛擬銀行 宜設置單獨使用高強度密碼 而在疫情期間能有效減少人與人之間接觸的流動支付，也存在保安風險，陳仲文提到，有流動支付用家將付款…

《保護關鍵基礎設施（電腦系統）條例》即將於明年生效，本地資訊科技及網絡安全諮詢機構 Syber Couture，今天於會展四樓舊翼展覽廳舉行「CYBER SECURITY EXPrO」，活動吸引超過 300 位網絡安全業界精英報名參與，逾 100 位來賓包括來自本港關鍵基礎設施及大型機構的網絡安全管理層及工程師，透過共 11 場的專家演講、專題討論及多個供應商展位，共同探討應對《條例》的解決方案。 想知最新科技新聞？立即免費訂閱！ 活動由 Syber Couture 創辦人兼 CEO 黃迪奇（Dicky Wong）致歡迎辭揭開序幕，他指主辦這個活動目的希望協助業界準備即將生效的關鍵基礎設施條例，期望來賓能在活動中「拎走好多嘢」，啟發他們如何將《條例》落地，盡早計劃「套拳可以點打」，包括如何設計安全政策、識別關鍵電腦系統（Critical Computer…

香港首條網絡安全法例《保護關鍵基礎設施（電腦系統）條例》（下稱《條例》）將於明年 1 月 1 日實施，涵蓋能源、金融、醫療、運輸、廣播服務及資訊科技等八大關鍵行業。面對新例要求，相關營運者需緊急審視現有系統安全措施，避免因違規面臨高達 500 萬港元的罰款！我們今次請來「AI +雲網安」服務供應商第一線 DYXnet 的網絡安全專家鍾而政（Louis）提供行動指南，助受監管的企業或機構了解如何透過一系列的合規評估及措施，實現資訊安全升級。 《保護關鍵基礎設施（電腦系統）條例》涵蓋八個關鍵行業。 三大核心責任：架構、預防、應變 《條例》清楚要求受監管的營運者履行架構、預防、應變三類責任，Louis 指出：「目的是確保關鍵基礎設施系統安全，防止因電腦系統安全事故造成核心營運損害，影響到社會及經濟層面。」他遂指出三類責任的內容細節：首先，針對架構方面的責任，受監管企業或機構須建立完善的電腦系統安全管理架構，設立由合資格人士領導的專責團隊，負責監督關鍵電腦系統的資訊安全運作。其次，在威脅預防與持續評估方面，企業或機構須於法例生效指定日後 3 個月內提交並實施電腦系統安全管理計劃，包括事故應急計劃，並在首年完成安全風險評估報告，後續每 2 年進行系統審核；若其架構或電腦系統出現重大變更，亦須於 1 個月內通報監管機構。…

隨著企業在數碼轉型和雲端遷移上不斷加速，網絡攻擊手法日新月異，傳統防護已愈發無法應對新型、多變的網絡威脅。瀏覽器早已成為企業數據和應用系統的主要入口，亦成為攻擊者的重點目標。面對水坑攻擊（Watering hole）、複雜釣魚手法和零日漏洞的威脅，香港企業必須尋找一套既能「預防優先」亦可「快速合規」的現代化保安方案。 新法規環境下的挑戰與新常態 隨著《保護關鍵基礎設施（電腦系統）條例》於 6 月份刊憲，全港關鍵基礎設施營運者的網絡保安踏入全新里程碑。關基營運者需要採取適當措施保護其電腦系統，減低因網絡攻擊導致必要服務受到干擾或破壞的風險，確保香港社會的正常運作和市民的日常生活。在此變革下，瀏覽器成為網絡保安的最前線，企業必須重新制訂保安策略，將瀏覽器保安作為維護基礎設施抗禦能力的核心。 全球認可 本地適應能力卓越 憑藉 110% 客戶續約率，Menlo Security 成為全球超過 1,000 家金融機構與政府部門的首選方案。近年積極拓展亞太區業務，在香港、新加坡、印度均設有團隊，為本地企業提供度身訂造方案及即時技術支援，讓 Menlo Security 能更迅速回應香港及大灣區市場對新法規、新威脅的特殊需求。 零信任瀏覽器保安新典範 Menlo…