「有外國人面孔都幾好，去外國、歐遊亦不怕，又有點像吉卜賽人，（別人）不敢偷我的東西。」頂着一頭長曲髮、貌似外國人的梁栢謙（Issac）用「安全」形容自己外貌，他在大學實習時視察工地卻「險死」，該段經歷推動他研究工地安全，設計出全新人工智能系統，當偵測到工地人員有潛在危險就發警報，配合數碼工程監督系統作大數據安全分析和風險評估，目標將學界研究結果帶入業界。 24 歲的 Issac 在中學時代，未有機會接觸 STEM 課程，但他打機時，喜歡「開外掛」、改遊戲參數，「例如（打 GTA）改個數值令架車行快啲，咁就玩得易啲」，這是他最初接觸編碼的體驗，直至升讀科技大學土木工程系學士課程時，終有機會接觸相關課程，課餘亦自學編程。 險被挖泥機倒車撞倒 升讀大學四年級前的暑假，Issac 到一間工程顧問公司實習，某次到建築工地視察，他前方的挖泥機突然倒車，在場 4 名工友大聲喝止，挖泥機手卻聽不到，Issac 後方就是斜坡，走投無路險被撞倒之際，幸好挖泥機壓到他前面一台小型運貨手推車後停下。這次驚險遭遇，令他更關注工地安全，畢業論文亦以此為題。 大部分土木工程學系畢業生，以考工程師牌為目標，但 Issac 在 2019 年大學畢業短暫加入大型承建商公司後，即重返校園修讀土木工程哲學碩士至今。他解釋，因為發現部分工作流程缺乏效率，掣肘多、不夠新穎，公司投放很多時間和人手視察地盤、拍攝工地環境、 寫報告，而他認為流程應可適度自動化，望將新技術帶入建築業。…

Apple 即將推出 iOS 16，除了早前宣布加入的安全功能，最新又再追加 Lockdown 模式，為高風險用家如人權組織、記者等提供另一重保障。相關安全功能亦可於 iPadOS 16 及 macOS Ventura 上使用，對平權人士提供全方位保護。 為了獲取對現有政權不利的消息，不少政府除了會派員監視人權組織成員、記者外，亦會想盡辦法入侵對方的電子設備，從中攔截所有訊息及聯絡人資訊。以色列科技公司 NSO 便是其中一個專門為各地政府提供監控的服務供應商，公司推出的 Pegasus監控軟件便曾多次被發現潛伏於上述人士的智能手機內，雖然該公司表示只允許授權政府用於罪案調查，但實際上如何使用，NSO 亦未有明確表示會如何監察。 替政權辦事的黑客，過往經常利用硬件或軟件的零日漏洞入侵電子設備，以 Apple 的…

Stalkerware 監控軟件的使用量愈來愈高，除了政府用於監控維權人士，在疫情下不少企業老闆也會暗中監控員工有否在家工作。Kaspersky 推出的 TinyCheck 開源計劃，就可幫助懷疑被監控的人，偵測手機流量有否可疑之處，而且毋須安裝任何程式，iOS、Android 用家都可受惠。 提到監控軟件，首先都會聯想到以色列科技公司 NSO 的 Pegasus，因為 NSO 會為不同政權提供服務，例如過往便曾多次發現存在於各地的維權組織或人士的智能手機內，以此獲取對政權有利的消息。Kaspersky 早於 2019 年便推出 TinyCheck，目的便是幫助這些高風險人士分析自己有否被監控。 TinyCheck 的運作原理是 Kaspersky 會在網上設立一個裝置，用家只要用手機連線至…

很多企業在實行數碼轉型時，不敢一下子將所有數據及應用程式都立刻放上 Cloud-Native 及 Container Platform的環境操作，會以項目形式作試點，避免數據損失難以復元。 Red Hat 的企業用 Kubernetes 容器平台 OpenShift 與 Pure Storage 的容器管理平台 Portworx 結合，讓企業無後顧之憂實現混合雲策略；在 Resolve Technology 的協作下，將應用程式達到…

一個漏洞足以令整個電腦系統死機，網絡安全專家一早提醒有 patch 快補，切勿讓威脅者有機可乘。網絡安全和基礎設施安全局 (CISA) 提醒所有人都應修補軟件漏洞，並在一周之內將 75 個常遭入侵漏洞增至「必須修補（must-patch）」列表中，當中包括 Microsoft Silverlight plug-in 和 Adob​​e Flash Player 中的一些較舊的程式缺陷。 CISA 在其已知被利用的軟件漏洞列表中，添加三批必須修復的錯誤。第一批涵蓋 21 個漏洞，第二批涵蓋 20…

勒索集團 LAPSUS$ 在今年初開始，多次成功入侵科技巨企如 Nvidia、Microsoft、Samsung，並於網上公開受害企業的領先科技，雖然部分集團成員被捕，但在這一系列事件中，的確曝露出大企業在網絡安全上意想不到的脆弱性，到底有什麼反面教材可成為參考？ LAPSUS$ 雖然同樣以勒索受害企業謀利，但集團與其他勒索軟件有明顯分別，因為它專注於竊取科技企業的機密資料，並不熱衷於加密對方的電腦設備或數據，只會要求對方交付贖金，換取機密資料不被公開。由今年初開始，多間科技企業相繼被 LAPSUS$ 攻陷，當中包括 Microsoft 部分應用服務如搜尋引擎 Bing、Bing Maps 及智能個人助理 Cortana、Nvidia 的 LiteHash Rate （LHR）及 DLSS 技術、Samsung…

IT 託管服務愈來愈受企業歡迎，因為企業毋須自雇團隊及採購軟硬件，而又能達成營運目標。不過，全球多個安全機構如 NCSC、CISA、FBI 在近期連續發出安全警報，指國家級黑客將會瞄準 IT 託管服務供應商發動攻擊，除了供應商要升級防禦力，客戶亦是時候認真研究合約條款。 在全球 The Great Resignation 大辭職潮下，IT 業界專才職缺漸多，網絡安全業界更是重災區。企業管理者為紓緩 IT 人手不足問題，傾向採用各式各樣的 IT 託管服務，借助服務供應商的專業人士及先進科技，確保業務能夠暢順運作之餘，同時提升網絡防禦力。不過，這類託管服務供應商近來開始成為黑客攻擊的對象，因為黑客只要成功入侵，便有機會藉著它們的基建設備滲透至其客戶網絡，進而竊取公司機密資料，甚至執行勒索軟件，真正做到一舉數得。 有見及此，美國、加拿大、澳洲及英國等地政府屬下網絡安全組織，在上星期先後發出安全警告，內容均預計針對託管服務供應商的攻擊將會愈來愈密集，而且有迹象顯示這些攻擊會來自背後有國家支援的黑客集團。官方認為不論是 IaaS (基建即服務)、PaaS (平台即服務)及…

Remote Working 甚至是 Hybrid Working 的模式，自疫情以來廣為企業採用，企業對遙距工作進入公司系統的安全把關要求必須提高，稍一不慎恐讓黑客有機可乘。廣受全球大型企業、服務供應商及政府機構信賴的 Fortinet，擁有多款旗艦產品，能讓企業按不同的安全需求，選用合適的配置。下文將介紹針對三種客戶需求的 Fortinet 產品，包括：WFH 員工連線安全、員工個人裝置的安全保護、及專為企業領導層提供的全方位管理式裝置系統。 就遙距辦工企業安全問題，Fortinet 香港、澳門及蒙古系統工程主管吳維穎（Nick）提醒，可注意個人身份及憑證的安全設置，如設定 2FA 及不同身份的權限，減低有其他人進入系統所造成的外洩風險。另外，亦要確保遠端連線有足夠加密措施。 ZTNA 零信任保護系統進出 Fortinet 的下一代防火牆（NGFW）FortiGate 採用Zero Trust…

劍達（香港）（Green Radar）公布 2022 年第一季度的電郵威脅指數 Green Radar Email Threat Index（GRETI）。第一季指數顯示為 67.4分（上季為 65.9分），反映電郵威脅風險持續上升並處於高水平。首季的網絡釣魚和商業詐騙電郵活躍，因此風險級別水平保持為「高」。今季報告亦發現，近期備受世界關注的「俄烏戰爭」，和本港第五波疫情，均被黑客利用作釣魚，倘忽略其真確性恐成黑客的目標。 根據今季 GRETI 報告，商業電郵詐騙攻擊比上季大幅增加 16.3% 至 52.5%。Green Radar 電郵安全監控中心（SOC）統計數據顯示，最常被冒充的三大品牌包括：DHL 、LinkedIn…

美國國土安全部 (The Department of Homeland Security) 去年啟動 Hack DHS 賞金獵人計劃，以賞金邀請有能之士找到系統的安全盲點。計劃執行近半年，DHS 方面公布已堵塞 122 個安全漏洞，當中有 27 個屬極危險級別，而整體只發放了 12.5 萬美元獎金，可見這類賞金獵人計劃的性價比極高。 針對他國發動網絡攻擊，藉此窒礙敵國的經濟發展或刺探政治軍事機密，有時比起派間諜執行更有效率。作為全球最大影響力的美國政府，單在去年已多次指控俄羅斯政府放任黑客集團攻擊，對美國市民造成能源短缺、大量企業受到勒索軟件攻擊等後果。而為了加強國家網絡安全防禦力，美國聯邦政府曾發出行政指令，要求各政府機關盡快堵塞系統漏洞，並發出指引要求各部門執行。 不過，要找出系統漏洞，單靠部門內的專家未必可行，最有效率的方法是邀請外人調查，過程才能做到不偏不倚，探查能力甚至會更大。有見及此，美國國土安全部便於 2019…