Neo 今天讀到一份不錯的訪談,Michael Coates(曾任Twitter 的CISO)分享了心得,針對兩個頗為吸引的問題:一、如何建立強健的資安團隊?二、如何開展自己在 Cybersecurity 的事業?其立論一針見血,所以略為記下,並加評論,以饗讀者。 Michael 指出一個殘酷的事實:網絡邊界(The perimeter)永遠在改動。上一個世代講要守護network choke points,在今天可能不切實際。為了分秒必爭的業務競爭及發展,愈來愈多的雲運算及外判模式,正在消解(dissolve)網絡邊界。在今天,速度無比重要,所以資安服務要非常貼身。然而,面對眾多業務部門及他們各自獨特的系統結構,IT/資安團隊如何處理快速的變更要求及服務要求?難道要每個部門配置資安技師嗎?這當然是不可能的。 Michael 走了一條路,叫 Empowerment及Paved path approach。這個思維是去 empower(提升能力、給予信任;「授權」二字太狹窄了)一些 Security Champions去協助公司的資安。中央IT做的工作,近乎鋪路,提供一系列不同的工具,並列出權限界綫,定出不應逾越的底綫。有了這些準備,Security Champions…
Search Results: 網絡保安 (206)
做咗資安界咁多年,其中一個印象最深刻嘅場景,就係 2010 年嗰屆 Black Hat 網絡保安大會,研究員 Barnaby Jack 現場示範點樣快速入侵一部提款機,成功令佢嘔晒所有錢出嚟。當部機嘔緊錢,畫面仲要顯示「JACKPOT」老虎機中獎畫面,所以日後呢類型入侵都叫做「jackpotting」。 雖然嗰次示範已經為提款機嘅保安響起警號,但話晒都要有番咁上下技術先做到,加上又未有真實案例出現,所以開頭都唔係咁多人關心。事隔幾年就唔係咁講喇,2017 年德國就開始出事,當地部門發現由 2 月開始到 11 月,總共發生咗至少十單 jackpotting 事件,雖然唔係每單都成功偷到錢,但加加埋埋都令銀行唔見咗 140 萬歐元! 你可能會諗,銀行網絡咁高保安,佢哋係點樣入侵到部提款機嘅呢?其實好簡單,入侵銀行網絡難度咁高,梗係唔係人人咁做,大部分黑客係直情撬開部提款機,將裝咗 jackpotting 程式嘅…
被稱為全球現時最嚴厲的私隱保障及安全法規,歐盟《一般資料保護規則 》(GDPR) 已實施超過一年。此規則旨在為歐盟公民個人資料的儲存和處理,提供更好的保障,但仍然有許多公司未有對此嚴格遵守,當中包括歐洲以外的知名公司。 例如,美國酒店連鎖巨頭萬豪國際集團 (Marriott International)因駭客盜取了 3.83 億條客人訂房記錄,結果要面對 1.25 億美元巨額罰款;谷歌亦因其用戶意見征求政策,以及未對使用用戶信息進行足夠監管,而被罰款 5,680 萬美元。 儘管以上案件備受矚目,全球任何機構在針對或收集與歐盟成員國家人民有關的資料的行為上,亦必須嚴格遵守 GDPR,只要有任何一個客戶屬於歐盟公民,都要遵守該新法,但香港一些公司仍然以為這法規與其業務運作無關。事實上,歐盟是香港的第二大的貿易夥伴,排名僅次於中國內地;在香港,市面上更有逾 2,200 家來自歐盟國家的公司正在進行業務。 為幫助本地企業遵守 GDPR,香港電腦保安事故協調中心(HKCERT)已經找出可造成資料外洩的四種主要網絡攻擊,若採取適當的保安措施,便可以減低其影響。這些攻擊包括: 網絡釣魚攻擊:網絡釣魚是最常見的攻擊手法之一,有很高的騙取用戶憑證成功率。因此,應定期進行用戶意識培訓,以保持工作人員對可疑網站和電子郵件的高度警惕。利用系統漏洞攻擊:實施計劃周全的修補程式更新管理,包括修補程式更新週期,例如在推出到生產環境之前在預備環境進行「用戶接受度測試」(UAT),以及訂立針對終止支援的系統的適當退出計劃,對防止攻擊者通過舊版或未進行修補程式更新的系統損害公司網絡,尤關重要。若企業因一些實際的理由而無法替代舊版系統,便需要一層額外的保護(即防火牆)來控制和監視對它的訪問。來自不可信的網路的攻擊:一旦員工試圖通過公開的網絡(例如互聯網或公共 Wi-Fi)進入公司網絡,資料外洩的風險就會大大增加,例如設備丟失、會話劫持等,所以必須應用嚴格的身份驗證,例如雙重驗證、使用 VPN…
根據華盛頓郵報報導,加州州長 Gavin Newsom 將會簽署法案,限制執法人員喺隨身拍攝鏡頭內加入人臉辨識技術,有份動議呢項法案嘅成員話,原本裝備呢啲鏡頭有助改善警民關係,但如果人臉辨識技術會破壞信任關係,令人憂慮會變成監控工具,咁就寧願唔好有呢項功能住,所以法案會強制禁止執法機關喺 2023 年或之前安裝人臉辨識,真係令人拍爛手掌。其實唔好話有無人臉辨識,要市民信得過呢啲鏡頭,除咗儲存影片嘅方法具透明度,唔可以隨便攞嚟用或銷毁之外,仲要小心存放,否則就好易洩露市民私隱。 好似 Miami 嘅執法機關就唔係好靠得住,早排 Black Alchemy Solutions Group 行政總裁 Jasun Tate 就喺自己個 Twitter 度報料,話網上搵到條公開連結,係人撳入去都可以睇到晒警方隨身鏡頭嘅影片,數量仲有成 1TB…
做咗資安專家咁多年,經驗話俾我知,一間公司無論做咗幾多網絡保安措施同買咗幾多防毒軟硬件,最尾都有可能係衰喺員工手上!最近 Proofpoint 出咗份報告就係最佳例證,喺過去 18 個月入面,專家發現超過 99% 含間諜軟件嘅電郵,都係全靠員工打開先會成功㗎咋! Proofpoint 專家 Chris Dawson 指出,而家黑客嘅入侵已經唔係以前漁翁撤網咁,而係針對性有目標咁做,例如見到近年好多公司都轉晒用雲端服務,所以黑客就順勢用電郵「分享」Office 365 同埋 Dropbox 嘅連結。Chris 雖然好多人都留意到寄件人好生面口,但係因為成日開慣呢類雲端網站連結,潛意識都係會撳落去先,於是就係咁中招。 公司咁大,邊類員工先係最易中招目標呢?Chris 就話好多人以為管理層先係黑客目標,因為佢哋掌管公司咁多資料,被入侵嘅價值自然高啲;但研究發現只得 7% 入侵個案係針對佢哋,反而有 36%…
我好鍾意睇 John McAfee 嘅花邊新聞,呢一秒話俾仇家落毒搞到要留院兩日,下一秒就話要參選下屆美國總統,跟住仲話自己偷咗中美洲國家 Belize 嘅機密文件,所以成日俾人追殺。如果真係俾佢當選美國總統,我諗真係同侵侵有得 fight! 佢創辦嘅網絡安全公司 McAfee 就正路好多,雖然前年賣咗俾 Intel,但一直以嚟 John McAfee 都經營得有聲有色,作為資安界一份子,每季梗係要讀過佢哋嘅研究報告先安樂,話晒分析晒網絡保安趨勢,唔睇分分鐘俾人話 out! 2019 年第一季報告啱啱出爐,睇完真係冷汗都標埋,McAfee 研究員指出,平均每分鐘就出現 504 種新嘅網絡威脅,而全季差唔多有成…
如果大家好記性,都記得舊年香港爆過單遺失選民登記冊嘅新聞,最精采 係上個月選委會開記招提返呢件事,竟然話調查完都判斷唔到點解會遺失……any肥,我只係想講,香港地方咁細,唔見咗選民登記冊都牽連甚廣,換轉係美國,當然就更大件事,而且分分鐘影響埋選舉結果! 路透社最近就出咗篇獨家文章,話原來美國政府內部已經做緊嘢,一個月前推出咗新計劃,希望可以喺 2020 年總統大選前,提升選舉系統嘅防禦能力。上屆選舉時,已經有俄羅斯黑客入侵選民驗證系統,從中偷走資料,但大家擔心嘅係上次只係試驗,今次大選行動會升級,黑客唔滿足於拎資料咁簡單,而係透過操控及竄改資料嚟決定選舉結果,咁就更加大件事! 華府網絡安全和基礎設施安全局(CISA)局長 Christopher Krebs 接受訪問時就話,近幾個月各州縣政府部門先後被勒索軟件攻陷,部分檔案被鎖住唔能夠打開,要用虛擬貨幣交贖金先開得返,而好有可能下年大選都有機會中招,俾黑客用同樣招數鎖住選民資料。 目前 CISA 已經同所有州政府聯繫,一方面提供教材,等佢哋知點樣應對呢類攻擊,另一方面就落手落腳幫佢哋做齊晒各方面嘅測試,睇下有冇乜嘢漏洞,及早作出修補。雖然目前仲未有指引,如果州政府中招後應唔應該俾贖金,但 CISA 就強調做好預防及備份措施,就係希望唔會出現要俾贖金嘅呢一日。 當然啦,唔想俾黑客勒索,最有效方法就係定時備份,有州政府選舉工作人員就話,自從 2016 年開始,已明顯加強咗網絡保安,而且不時都會備份選民資料以防萬一,但係到底要幾耐備份一次先妥當?暫時都未有清晰指引喇! 資料來源:https://reut.rs/2ZwpYxK
作為資安界一分子,每年都會特別留意幾個關於網絡安全嘅全球盛事,DefCon 自然喺名單之上,呢個喺 1993 年由「黑客之神」Jeff Moss 搞嘅大會,嚟到今年已經係第 27 屆,每年都會喺拉斯維加斯舉行,吸引全球黑客高手參加。大會高手如雲,上年更有個 11 歲小朋友,只用咗 10 分鐘就成功入侵美國選舉網站,成為一時熱話。 今屆大會啱啱喺美國時間星期四(8月8號)開鑼,而焦點就落喺 BioHacking Village 身上。其實 BioHacking Village 唔係新嘢,過往幾屆都有搞,但通常都好細規模,可能一張細枱放幾部醫療儀器俾人 hack…
2020 年係選舉年,唔單只美國同台灣選總統,多個歐洲地區議會都舉行直選,因應形勢,微軟今年年初已經喺歐洲推出咗 AccountGuard 網絡安全服務,專幫政治團體、半政府或非政府組織、智庫、研究所、外交關係協會之類嘅機構搞網絡保安,抵禦一班嚟自伊朗、北韓同埋俄羅斯嘅國家級黑客。 其中特別鎖定嚟自俄羅斯嘅黑客團隊 STRONTIUM(又名 Fancy Bear 或者 APT28),梗係啦,呢個團隊好出名,美國政府曾點名指控佢哋喺上屆總統大選時,參與攻擊民主黨全國委員大會伺服器,之前佢哋亦都入侵過奧林匹克委員會,舊年亦試過大規模感染 Linksys、TP-Link、華碩、D-Link 等牌子嘅路由器,「戰績」幾咁彪炳! 不過,微軟月頭發表報告就話佢哋有新玩法,4 月時發現 STRONTIUM 班友分別連上幾間私營企業嘅 VoIP 電話、打印機同埋影片解碼呢三種 IoT 裝置,三次攻擊入面,有兩次係利用…
第一日返呢份工,枱頭就有部 30 吋 Apple Cinema Display 同埋 iMac,當時真心好興奮,終於有機會加入蘋果陣營。不過同事靜靜雞提醒,最好都係遮遮個鏡頭,起初都以為佢哋諗多咗,但直到呢單新聞出現,都係轉頭封咗個鏡頭佢啦! 講緊嘅係 MacOS 版本嘅 Zoom,呢個全球有 400 萬用家嘅視像會議軟件,俾網絡保安研究員Jonathan Leitschuh 發現有大漏洞,就係軟件會喺電腦入面安裝一個網頁伺服器(web server),只要 Zoom 用家唔小心打開咗一條邀請參與會議嘅惡意連結,之後黑客就可以喺用家唔知情嘅情況下,自動開啟視像會議,換句話講,即係打開 Mac…