現今網絡威脅不斷上升，黑客攻擊經常出現，最近攻擊政府機構的勒索事件成為城中熱話。黑客會使用不同的攻擊工具，以識別系統中存在的漏洞，並利用漏洞獲取受害者伺服器的存取或控制權。許多網站的資料泄露主因，是黑客熟用不同的攻擊工具，成功尋找漏洞，並利用漏洞來竊取資料。 想睇更多專家見解？立即免費訂閱！ 對於一般中小企而言，公司的網頁平台，不論是公司主頁或是內部系統，很多時都會忽略了安全性檢查，繼而成為攻擊事故中的起始點。多了解最新的黑客技術和工具，對保護網站的安全至關重要。在黑客進行攻擊前，找到網站漏洞並加以修復，使黑客難以利用安全漏洞來保護資產的安全。 以下列出五個知名的網站攻擊工具，所有工具都可以公開下載並已被廣泛使用。 Nmap Nmap 是一款備受歡迎的網絡探索工具，用於搜索網絡上的主機，檢測其提供的服務以及運行的操作系統等。對於每位學習黑客攻擊技術的學員來說，這是必學的工具，因為識別攻擊目標中運行的軟件，是發掘漏洞的第一步。 Metasploit Metasploit 是一個擁有眾多攻擊模組的平台，覆蓋不同的攻擊目標，如網站、檔案分享伺服器、基礎建設設備等。透過其提供簡單易用的設定指令，使攻擊者快捷發動攻擊。 Burpsuite Burpsuite 是一款攔截工具，用於攔截網頁（HTTP）用戶和伺服器之間的網絡流量，其功能為掃描網頁漏洞、了解網站運作機制以及執行自動化攻擊。 Nessus Nessus 是一個圖形化界面的漏洞掃描工具，用於檢測各種操作系統、資料庫和網絡應用程序的漏洞，幫助組織辨識潛在安全威脅。其優點為提供直觀操作，並對目標進行全自動化的漏洞掃瞄，操作上對新手來說也較容易上手。 SQLMap SQLMap 專門用於自動化檢測並利用資料庫注入漏洞。它擁有強大的檢測引擎，支援坊間大部分資料庫系統。安全研究人員和黑客可以使用 SQLMap…

職業訓練局（VTC）成立的網絡安全中心（CyberSecurity Centre），旨在培育新一代網絡安全專才。中心不但與業界舉辦一系列網絡安全推廣及教育活動，提升大眾網絡安全意識，又與業界簽訂合作備忘錄，為學生提供最新教學資源。其中三大課程將於 4 月起開課，獲批資助的申請人可獲退還合資格課程六成學費，有興趣人士記得從速報名。 與業界緊密合作 教授最新網路安全技術培訓 為確保教學質素及專業水平，中心一直致力與業界緊密合作，並與許多世界知名網絡安全品牌簽訂合作備忘錄如：AWS、華為、H3C 新華三、CheckPoint等，為學生提供行業領先的教學資源，並為課程注入最貼近市場需求的技術培訓，攜手培養本地網絡安全專才，增強學生的市場就業競爭力。 舉辦網安活動 增強大眾意識 除此之外，為提高大眾網絡安全認知，中心舉辦校際網絡安全比賽及大專界藍隊比賽，增加參賽者對防禦網絡攻擊的知識，又與業界協力舉辦一系列網絡安全推廣及教育活動，包括網絡安全論壇、工作坊、簡介會及體驗課程等，提升市民大眾對網絡安全的意識。 三大課程即將開課 VTC 提供多元化的網絡安全培訓課程，其中網頁程式滲透測試證書（Certificate in Web Application Penetration Testing），旨在為學員提供實戰知識以識別伺服器和網站的漏洞，當中包括使用…

現時大家所常用和熟悉的 AI 人工智能應用，如 ChatGPT、Copilot、文心一言等，都是「大型語言模型」（LLM, Large Language Model），只能算是 AI 界的「初級選手」。它們在處理文字、語音和平面影像時，尚可以勝任，但距離成為全面化的 AI 人工智能助手，仍然有一段距離。 想睇更多專家見解？立即免費訂閱！ 其中一大問題，是 LLM 對 3D 空間缺乏理解。當我們看到房間內有一張書桌，書桌上擺放了各類的書籍，我們能夠理解物件的大小、形狀、用途，以及它與其他物件的相對位置。但對於 LLM 而言，它對以上種種是無法識別及理解的，因此亦大大限制了其分析與互動能力。 AI…

近年社交平台假帳戶問題日趨嚴重，有 Instagram 用家更被騙徒複製帳戶的相同片，然後開設假帳戶進行詐騙，不過即使真用家向 Instagram 舉報，竟然都不受理，甚至有可能被騙徒反舉報而令帳戶被鎖。點解官方對假帳戶會無反應？外界就猜測可能同錢有關！ 想知最新科技新聞？立即免費訂閱！ 官方先利用 AI 系統處理投訴 如果有用 Facebook、Instagram 等社交平台而又有作出比較嚴格的私隱設定，相信每日都有可能會收到添加朋友或關注請求，只要稍為查閱對方的帳戶內容，多數會發現內容千篇一律，大多是在張貼個人日常生活照之餘，再加插一些名牌錶、袋或豪華酒店套房的相，不過，到底這個人是否實際存在或真是使用這個姓名？相信大家都心裡有數。實際上，不少騙徒都會盜用其他人在社交平台發布的相及影片，然後開設假帳戶以假身分進行詐騙，出來的感覺會較真實，不用擔心 AI 生成出有瑕疵的相片，而且只要真用家經常發表新內容，騙徒就有源源不絕的新材料，認真慳水慳力。 騙徒有時更會盜用知名用家的相片使用，似乎不太擔心會被真用家發現。有專家便指出，騙徒原來都有出力減少被真用家發現，例如當他們獲真用家授權關注，可以看到真用家發表的內容後，騙徒便會第一時間單方面封鎖真用家，令對方無法讀取到自己帳戶的內容，減少發現自己相片被盜用作詐騙的可能性。 另一方面，有知名 Instagram 用家又指出，即使向官方作出投訴，但亦沒有任何幫助，因為官方首先會仰賴 AI 系統處理投訴，而絕大部分情況是會駁回真實用家的舉報，即使有傳媒測試再作出上訴，背後可能再次交由…

人工智能（AI）發展一日千里，組織或企業的網絡安全策略亦須與時並進。Palo Alto Networks 日前在澳門，舉辦了一場盛大會議，主題為「AI 賦能的網絡安全轉型」，探討最新的網絡威脅形勢，以及業界人士應如何依靠 AI 來應對網絡攻擊，助業務保持領先，活動吸引了逾百名參加者到場交流學習。 是次 Palo Alto Networks IGNITE on Tour Macau 2024 活動，於 1 月 23…

勒索軟件由面世至今，依然是企業最怕遇到的網絡攻擊之一，而且隨著勒索軟件集團攻擊策略的轉變，要在第一時間阻截其入侵，亦變得難上加難。有網絡安全分析師便指出，近來相關攻擊又有新趨勢，而要保障企業的數據安全性，加密技術可說是唯一出路。 一開始，勒索軟件攻擊以加密受害者的系統及數據為主，目的是導致對方的業務無法正常運作，然後黑客便會向對方索取解鎖贖金獲利。 想知最新科技新聞？立即免費訂閱！ 不過，隨著企業做好數據備份及恢復工作，肯交贖金的企業已買少見少。後來黑客便改變策略，在鎖死對方的系統及數據前，會先暗中盜取對方的機密檔案，一方面索取解鎖費，另一方面亦要求企業支付掩口費，否則便會將盜取的資料曝光，打擊對方的商譽，這種行之有效的方法，稱為雙重勒索（double extortion）。 勒索軟件集團棄鎖死系統及數據做法 有專家便發現，勒索軟件集團近來似乎有傾向放棄鎖死系統及數據的做法，單純靠索取掩口費獲利。專家解釋，因為勒索軟件集團發現前者的做法成效不大，而且又要投入成本去研發加密系統及檔案的技術，因此開始改變做法，最明顯的例子，是去年由勒索軟件集團 Cl0p 及 BlackCat/ALPHA 針對 MOVEit、GoAnywhere 檔案傳輸服務的客戶及 Western Digital 儲存設備供應商的事件中，兩個勒索軟件集團均只執行盜取數據，因而預計企業必須進一步加強數據的防盜能力。 數據加密後或不用向受影響者通報 專家指出，其中一種有效的做法是企業採用數據加密工具，將重要數據在處理及儲存期間，以高強度演算法加密，之後即使被勒索軟件集團入侵及盜取數據，對方亦無法讀取內容。 這種做法的好處，是受害企業未必需要因遭受入侵而要向受影響者通報，例如根據歐盟的 GDPR…

網絡安全研究公司 Mandiant 早前發表一份報告，詳細剖析國家級黑客集團 UNC3886 如何在過去兩年間，利用 VMware 在當時仍未被發現的 vCenter Server 零日漏洞，秘密入侵目標機構及進行間諜任務。報告發出兩日，VMware 亦承認該項現時已修補的漏洞正被黑客濫用，警告客戶立即更新系統堵塞入侵渠道。 想知最新科技新聞？立即免費訂閱 ！ UNC3886 曾利用 Fortinet 軟件漏洞 Mandiant 在去年曾發表報告，指中國國家級黑客集團 UNC3886…

今時今日的商業環境緊密互連，企業有迫切需要採納數碼轉型。隨着數碼世界持續演變，企業必須適應不斷改變的環境，才能夠保持競爭力，同時提高營運效率。 數碼轉型能夠為企業帶來多種優勢，包括提升生產力、擴展觸及的市場範圍和增強與客戶的互動度等。若企業能好好善用先進科技和以數據為本的策略，更可以為業務開創新機遇，發展競爭優勢。然而，在這場數碼改革之中，數碼生態系統緊密互連的特性亦同時增加企業面對的安全風險。因此，企業需確保自身擁有強大的身分安全，這是決定他們的數碼轉型能否成功的關鍵因素。 想睇更多專家見解？立即免費訂閱！ 現時，在一個企業的工作空間內，員工已不再是唯一的參與者。隨着自動化技術、人工智能和物聯網的出現，機械人、虛擬助理、智能設備等非人類身分已成為數碼勞動力中不可或缺的一部分。與員工一樣，這些非人類身分能夠存取企業的存取點，並與重要的系統和敏感數據互動，成為網絡威脅的潛在目標。 身分攻擊形式多變 企業必須正視並應對非人類身分所引起的新安全漏洞和風險，尤其因惡意攻擊者會時刻積極尋找安全漏洞、冒充身分或偽造憑證，來詐取未經授權的企業網絡存取權。 就香港而言，根據香港電腦保安事故協調中心（HKCERT）發表的最新報告，針對身分的攻擊非常普遍，在可預見的未來將繼續是網絡安全的主要威脅。舉例，於 2022 年第四季度，本地網絡釣魚攻擊首破 10,000 宗，按季大增 90%，按年更飆升逾 11 倍。身分攻擊的形式多樣難測，因此香港企業有必要建構嚴密的身分安全系統。 若未能採取適當的身分安全措施，可能會引致難以修復的嚴重後果，例如資料外洩、營運受阻、違反監管合規、商譽嚴重受損等，故企業必須優先部署身分安全，以有效緩解相關風險。 傳統方案不足以應對現代數碼環境 即使企業本來已有一套身分安全策略，但鑑於身分數目急劇增加，單單依賴傳統的身分安全人手程序，再不足以對付現時的網絡安全威脅。以人手管理存取權的程序既耗時又容易出錯，而且需要耗費大量工夫來處理用戶配置、存取權要求、允許及撤銷權限。這種做法亦經常引起各種問題，包括授予或撤銷存取權時出現延遞、安全策略執行不一致的情況，以及未能充分掌握用戶活動。 傳統身分安全系統的設計並未能應對現今數碼環境不斷擴張所涉及的規模、多樣性和變化速度，而且還會產生「技術債」，即專用硬件、許可授權和支援等所產生的成本。再者，企業所擁的身分數目持續增加，以人手來處理這類工作變得越來越不切實際。 正因如此，我們建議採用以人工智能（AI）為基礎的身分安全解決方案來應對上述種種挑戰。配備 AI…

由編寫研究報告到譜出詼諧詩篇，AI 人工智能贏得了科技愛好者、企業主管與消費者的心。但該技術亦引起了黑客與保安專家的關注。Forrester 研究指出，近 80% 的網絡安全決策人員預期，AI會增加網絡入侵的攻擊規模和速度。 AI — 網絡安全的雙刃劍 對企業和入侵者而言，AI 在改變行業遊戲規則。在企業嘗試使用 AI 來推動數碼業務時，入侵者亦利用AI來強化網絡攻擊。 生成式人工智能（GenAI） 工具現時成本很低又易取得，令攻擊者能夠快速發動「社交工程攻擊」，例如偽冒企業在社交媒體上進行詐騙銷售活動破壞企業聲譽、又或利用超現實網絡釣魚方式偽造企業通訊。AI 可令攻擊自動化，加速處理被盜的數據，亦能更快發動攻擊。對入侵者而言這是一個加快網絡攻擊的理想工具。如果企業只利用現有技術及工具，偵測和阻檔攻擊將更困難。 企業是時候利用 AI 來革新網絡安全，加強防禦策略。為協助企業充分採用人工智能技術，中信國際電訊 CPC 最近推出了…

經歷生成式人工智能（Generative AI）大爆發的 2023 年後，踏入新一年，Sangfor 預計人工智能（AI）在 2024 年勢頭繼續強勁，仍然是改變網絡安全趨勢的重要技術，但同時亦有很多似曾相識的挑戰繼續上榜。小編立即為你送上 Sangfor 2024 年 7 大預測！ 一、勒索軟件繼續火熱 每次談及網絡安全，總不能少了勒索軟件，今年亦一樣。根據 Corvus Insurance 的數據，勒索軟件攻擊數量在 2023 年創下紀錄！以 2023…