零信任（Zero Trust） 防禦策略，近年在網絡安全世界的呼聲愈來愈高，除了因為黑客千方百計鑽探零日漏洞（Zero Day Vulnerability），導致以偵測為主的網絡安全工具無用武之地外，還與人為疏忽有關。Menlo Security 提供的 Isolation Platform 隔離平台技術，就可 100 % 完全過濾潛伏於網站及電郵內的惡意攻擊，救企業於水深火熱之中。 人為失誤難防避 不得不承認，即使企業管理者投入大量資源聘用網絡安全專材、購置安全產品，以及為員工培訓，令企業的安全框架符合各種國際認證標準，但網絡安全事故依然從未停止。Menlo Security 大中華區總監徐伊芬（Yvonne）指出，「從事網絡安全服務多年，業界亦推出過不少產品，例如早期的 antivirus，到其後的 IPS（Intrusion Prevention…

Apple 近日再為 iOS 升級，最新版本係 13.3，根據 Apple 網站所講，今次升級最大嘅特點，係新作業系統加強咗家長監控功能，可以限制小朋友使用通話、FaceTime 或發送訊息嘅對象。另外一項升級，相信會有更多 iPhone 用家受惠，就係開始支援 NFC、USB 及 Lightning FIDO2 等規格嘅實體安全金鑰，要登入公司帳戶，就可以用呢啲 hardware security key 嚟做近距離雙重驗證，進一步增加安全性啦！ 不過，原來今次升級仲有一項…

大數據分析服務龍頭供應商 Splunk，在今年十月舉辦的 .conf19 年度用戶大會上，公佈了 Splunk Partner＋ 計劃的最新發展，以及有關 Splunk Enterprise 8.0 等一系列方案的更新。事隔一個多月，Splunk 上星期亦在香港舉辦合作伙伴年度聚會，與香港一眾客戶進一步解釋各項新的服務內容及加深合作關係。聚會上一隻簡單的觸控式迴避障礙物暖場遊戲，不單推高現場氣氛，更成功帶出了 Splunk 「Data-to-Everything」（將數據轉化為一切）的口號，設計非常有心思！ 一隻簡單的觸控式迴避障礙物暖場遊戲，帶出了 Splunk 「Data-to-Everything」的口號，非常有心思！ 數據分析不限高端 年度聚會開始之前，主持人邀請大家一齊玩有獎遊戲《Buttercup Challenge》，遊戲內容其實很簡單，玩家只要觸碰畫面，遊戲中的飛馬就會上升，相反就會下降，玩家只要適時及準確地觸碰屏幕，就能讓飛馬迴避障礙物，結果以支撐得最長時間的玩家為勝。遊戲進行時，現時嘩聲四起，不少參加者看著計分畫面上的即時成績，最高分竟然硬撐到二十多秒，而自己只能錄得單位數成績，均陸續失去幹勁，轉而為其他人打氣。Splunk 香港及台灣區總經理鄭家威（John Cheng）笑說，其實數據並非高科技，最重要是懂得如何利用。他說過往的 Splunk 給人定位為高端 IT 的應用，例如有些數據可以用來協助企業制訂市場策略、調整人力資源分配，亦有些數據可以協助企業堵塞網絡安全漏洞；但事實上，只要懂得轉化數據，亦可以為各行各業增值。 鄭家威說近來一個比較深刻的應用例子，是一間航運公司用來分析貨船航行速度，因為只要貨船進入貨運碼頭，就會開始計算停泊費；航運公司便將採集到的數據以Splunk 進行分析，以調整貨船的航速，大幅減少停泊港口的費用。的而且確，記者亦曾訪問不少手遊公司，他們均會利用大數據去分析關卡的難度，只要調校至適當的等級，就可以在增加玩家課金或離棄遊戲之間取得平衡，增加營運收入之餘而不趕客。John 說諸如此類的 use cases 其實不計其數，所以 Splunk 近年加強向合作伙伴介紹產品的無限可能性，就連 Splunk 的品牌主色調，也由以往象徵高科技的黑色，置換成充滿活力的橘紅色。 Splunk 香港及台灣區總經理鄭家威認為數據並非高科技，最重要是懂得如何利用。 會上，Splunk 的渠道銷售工程師楊耀輝（Daniel Yeung）及客戶經理鄒遠威（Michael Chow），先後講述新推出的 Data Stream Processor 及 Data Fabric Search 服務，如何有助客戶於高容量多源數據中，採集、分析及搜尋有用的數據，同時又能顧及隱藏機密的資料，並簡述過去一年 Splunk 收購的安全信息和事件管理系統 Phantom Cyber、微服務監察供應商 Omnition及雲監控平台 SignalFx 等，如何融合在 Splunk 的大家庭內，令產品能夠全面照顧到 IT、Security、IoT、Biz…

安裝手機app，基本上你只係會諗個 app 好唔好用，好唔好玩，好少會考慮個app嚟自邊個國家，不過最近美國聯邦調查局（FBI）就發出警告，話安裝俄羅斯製嘅手機 app 要高度小心！ 事緣今年年初有隻手機 app 爆紅，佢個名叫 FaceApp，用程式 selfie 完，佢就會用人工智能幫你「換樣」，令你可以見到變老咗嘅自己，或者見到另一個性別嘅自己，由於實在太好玩，所以引起咗一股熱潮，#FaceAppChallenge 成為熱門 hashtag，據報隻 app 總共處理過全球 1.5 億個樣，可見佢有幾咁受歡迎！ 但係今年 7 月，有網絡安全專家發現隻…

近年隨住物聯網興起，大家都關心多咗運營技術（Operational Technology，簡稱OT）嘅保安風險，事關以前一間公司入面，運營同IT可以分得好開，但自從有咗物聯網技術，就連運營部分都要連上網，從而分析當中嘅運營數據嚟節省成本，或者用數據嚟開發創新應用，最近Ponemon Institute同西門子就做咗份調研，大部分受訪者都話擔心OT嘅保安多過IT嘅保安，因為目前市場上都未有完備嘅方案，可以完全擋住OT方面嘅攻擊。 上星期就有個好消息，就係好叻做漏洞風險管理嘅Tenable，宣布成功收購咗Indegy，可能香港讀者唔係好熟Indegy呢間公司，其實佢係一間工業網絡安全系統供應商，曾經被以色列《福布斯》評為10大最有前途嘅網絡安全初創，佢有一套自行研發嘅系統，幾乎覆蓋所有OT嘅重要基礎設施，而且可以實時監測所有工業控制配置嘅變化，無論係有外來攻擊，甚至係有員工有意無意搞亂個操作，系統都會感應到，即時發出警報，確保運營安全。 本身做開漏洞風險管理嘅Tenable，就應該多啲人聽過喇，好多人都知佢最初成立時，係幫美國政府機構提供軍事級網絡保安設備，後來先將軍事級保安技術推向商業機構層面，去年7月喺美國上市，兩個星期就升咗三成幾，市值超過27億美金，係美國少數達「」級別嘅網絡保安公司，佢最勁嘅產品係Nessus，透過連續性監察，自動執行補救措施，縮減系統暴露於風險嘅時間。而家佢加埋Indegy嘅技術，就可以照顧晒OT同埋IT兩邊嘅攻擊。

如果你收到一封電郵，抬頭係嚟自 xxx.gov 嘅，我諗你多數會傾向相信封電郵係嚟自政府部門，可惜呢個世界真真假假好難分，有人最近就試過，原來要申請 .gov，唔係想像中咁難。 有研究人員最近就做咗個實驗，試下一個普通人，到底申唔申請到 .gov 域名。佢先上網填咗份官方申請表，份表要求佢填行政、資訊科技同埋會計部嘅負責人資料，於是研究人員就用假嘅 Gmail 戶口同埋 Google Voice 號碼蒙混過去，跟住仲要求佢用部門信紙嚟打印張表格，佢又走上網是但搵咗個羅德島小鎮Exeter嘅政府信，剪貼個信紙抬頭嚟用，仲冒充埋自己係小鎮嘅市長，結果成功過關，幾日後就開通咗個 .gov 域名，易過借火！ 研究人員話，其實成個申請過程，除咗市長個名係真嘅，其他全部造假。起初佢諗至少域名審查部門點都會打個電話 check 一 check，佢填嘅幾位負責人係唔係真有其人，點知結果係連電話都冇收過。由於研究人員喺美國境內做呢個測試，係觸犯咗美國法例，所以佢一直都冇開名，只係將有關資料俾咗網絡安全網站 KrebsOnSecurity，等佢公開俾大家知，但研究人員就好擔心，如果有國家級黑客知道呢個方法，喺境外做呢件事，可以話係完全零成本，到時佢哋申請埋一堆域名，就可以為所欲為，甚至有機會擾亂埋下年大選結果。 就呢件事，KrebsOnSecurity…

曾幾何時，OnePlus 手機喺香港都有唔少人玩，貪佢性價比高，Android 系統接近原生，運作速度同流暢度都夠高。不過，後來新機價錢愈賣愈貴，而且亦俾人舉報系統有後門，搞到好多人即時卻步。最近 OnePlus 又再出事，有用家收到佢哋寄嚟嘅電郵，話公司發現內部系統有匿名登入，而且仲接觸過客戶嘅資料添，收到信就代表係受影響人士，作為用家或曾經係用家嘅你，又收唔收到通知呢？記得檢查埋垃圾郵件信箱呀！ 就喺上星期，有 OnePlus 用家收到官方發出嘅電郵，表示佢哋最近偵測到有匿名人士闖入佢哋嘅內部系統，而且仲嘗試讀取用家嘅購買紀錄資料。不過，OnePlus 方面已第一時間話俾受影響嘅用家知，洩露嘅資料包括姓名、聯絡電話、電郵同郵寄地址，其他好似信用卡、登入密碼就安全。OnePlus 方面雖然無清楚講明匿名人士利用乜嘢方法進入內部系統，但就話已經堵塞咗呢個漏洞，同時亦檢查埋系統仲有無相同漏洞存在，保證會持續提高網絡安全強度。 單係咁講，真係可以挽回用家信心咩？尤其係年初先俾人入侵網上購買平台喎，答案當然唔得啦，所以 OnePlus 亦公布喺嚟緊 12 月，將會委托一個知名嘅網絡安全平台，推出賞金獵人計劃，邀請全球黑客去發掘 OnePlus 嘅漏洞，去提升品牌嘅安全性。雖然暫時未知會同邊個平台合作，但相信都可以令粉絲比較安全嘅，至於其他未用過又想試用嘅客戶，最後會唔會都係「不了」呢？講到尾，都係抵下部機夠唔夠抵買啫，好多人都好善忘嘅！ 資料來源：https://bit.ly/2KTSfKl

寫關於網絡安全事故嘅新聞，每日都要面對一個心理關口：想篇文多人like多人share，當然要單料夠爆先得，但見到發生嘅災難規模以幾何級數咁膨脹，又真係唔想佢發生，好矛盾！ 點解突然間咁感觸？係因為今次呢單事故真係好恐怖，有成 12 億人嘅資料外洩，其實而家全世界人口都只係得 70 幾億，即係話差唔多每 6 個人就有 1 個人嘅資料，喺今次事件中外洩，聽落都幾得人驚！咁到底洩漏咗乜嘢呢？原來總共外洩咗 4TB 嘅資料，有齊晒受害人嘅電郵地址、Facebook、Twitter 同埋 LinkedIn 戶口，不幸中之大幸，係入面完全冇密碼同埋信用卡等敏感資料，否則就更加冇眼睇！ 發現呢件事嘅，係網絡安全專家 Bob Diachenko 同埋 Vinny…

網絡安全公司同審計公司，喺幫客戶做風險評估嗰陣，都有需要做滲透測試，睇吓員工嘅安全意識夠唔夠高，有無員工要做出嚟重點培訓。由於要試員工嘅安全意識，所以負責測試嘅人有時會特登做啲踩界嘢，例如扮維修員要求插 USB 手指入公司內部電腦系統，又或借用電腦收發電郵，如果員工覺得唔對路，就會拒絕要求或暗中報告上級跟進。不過，唔少調查報告都會話俾大家知，員工本身就係最大嘅安全漏洞，所以未必會意識到咁做可以好大件事，包括紐約警察學校嘅員工在內。 話說上年 10 月，紐約市皇后區一間警察學校因為要裝一個數碼顯示屏，於是就搵咗外判商嚟搞。唔知係咪學校入面嘅人無諗過件事咁嚴重，當外判商要接入內部聯絡做設定時，竟然無人出手阻止對方直接將電腦接駁，結果呢部中咗毒嘅電腦，就透過網絡將病毒感染 23 部指紋追蹤系統。紐約警方喺幾個鐘後就發現有可能出現私隱外洩，即時漏夜熄咗 LiveScan 呢個指紋追蹤系統，同時將受影響嘅 200 部電腦重新安裝，避免病毒透過網絡擴散，最終都成功控制到病毒嘅影響。 外判商喺呢次事件，梗係要負大部分責任，不過，紐約警方經調查後，相信對方都係無心之失，所以未有公布對方嘅公司名及控告對方。據講呢個 LiveScan 系統連接住藏有 700 萬筆資料嘅數據庫，當中更包括較早前被證實非法保存嘅未成年罪犯嘅資料。至於有幾多人受影響？ 發言人就回應話受影響嘅只得 0.1%，信唔信就由你決定喇。不過，外來 USB…

Google 早兩日宣布，公司旗下針對發掘 Android 作業系統嘅賞金計劃即時加碼，最高賞金額由 100 萬美元勁升至 150 萬美元。不過，要攞到呢筆賞金，專家估計至少要利用連串漏洞，達成遙距攻擊 Pixel 手機 Titan M 嘅安全系統，仲要係已推出嘅 Android 版本以及重置系統後都移除唔到，先至有可能攞足，但已可見 Google 的確有決心去提升自家系統嘅安全性。都啱嘅，因為系統唔安全，真係趕客㗎，好似 Android 最近一個漏洞，竟然只係需要攞到大部分人都會俾嘅記憶卡存取權限，就可以控制系統咁滯，你話大家仲點會敢用？ 意料之外缺口…