一般企業所認知的數碼轉型 (Digital Transformation)，可能還停留在採用各種遙距工作工具、雲端應用服務上。新科技固然重要，但如服務供應商沒有充分了解客戶的營運目標，便無法協助客戶成功轉型，回應客戶的需要及拓展業務。早前 ICT 服務供應商中信國際電訊 CPC（以下簡稱 CPC ）及雲端數據管理備份解決方案供應商 Veeam 便舉辦網上研討會，邀請在今次疫情中成功數碼轉型的企業 Mainetti，分享靠防疫裝備轉型的故事，並在全體員工及服務供應商的支援下，快速而安全地開展新的個人健康用品戰線。 適當科技提升轉型效率 Veeam 早前發表一份 Data Protection Report，合共訪問超過 1,500 間企業，其中一個環節提及數碼轉型的重要性，有 51% 受訪者認為是改變客戶服務。Veeam 香港及台灣高級總監…

新冠肺炎的疫情令很多本地企業實行遙距工作，香港互聯網註冊管理有限公司 (HKIRC) 早前就「香港遙距工作網絡安全應用調查」進行調查，探討遙距工作在香港的市場發展前景，以及其與網絡安全的密切關係。HKIRC 於八月中以電話及網上問卷形式，向本港企業和市民進行訪問，成功收集了近 1,800 份問卷，受訪者來自金融、資訊科技、教育及物流等不同行業，結果發現遙距辦公在商業環境中已被廣泛採用。 調查顯示，64% 的受訪企業已採用遙距辦公，比一年前增加了兩成，而近八成的受訪者亦指過去半年開始進行遙距工作。而企業在實施遙距辦公時，需要用到各類應用工具，其中有六成人以視像會議作為遙距工作的主要應用工具，惟企業及個人受訪者均表示，他們對於遙距工作最關注的是網絡安全風險和資料外洩，受訪者亦對遙距工作下的支援指導，以及網絡安全意識不足兩方面表示憂慮， 因只有約四成的中小企業曾向員工提供遙距工作指導 (42%) 和網絡安全資訊 (41%)，個人受訪者甚至表示，在過去的 6 個月中，只有 30% 人曾接受過相關培訓，僅 13% 人有接收有關的資訊， 反映實施遙距工作與企業政策執行間存在差距。 大部分企業及個人受訪者 (80%) 均認同遙距工作在未來將會越來越普及，並期望見證公司發展奏效的遙距工作模式以及數碼轉型。而為配合遙距工作及數碼轉型的發展，逾六成公司及個人受訪者表示，希望從公司獲得更多網絡安全的資訊。 香港互聯網註冊管理有限公司行政總裁黃家偉先生表示，新興的遙距辦公趨勢已經逐漸喚醒了企業將網絡安全列入其業務風險的議程上，亦反映出員工對網絡安全和遙距工作的指引不足感關注，他建議，公司應採取積極主動的方式，推出健全及具網絡防衛的措施及指引。 香港互聯網註冊管理有限公司主席陳細明先生相信，未來將有更多有遠見的公司會繼續實行遙距工作，並在這方面為支援員工作出努力，而香港互聯網註冊管理有限公司作為香港重要的網絡發展基礎，營造一個安全的網絡環境，以促進香港網絡的持續發展，並會推動數碼化轉型，提升中小企及企業的競爭力。

今時今日，絕大部分人上網都是用智能手機，但網絡安全公司Rapid 7研究員就發現，Safari、Opera等7款手機版瀏覽器存在極大漏洞，可讓黑客在網址列偽造網頁連結，令用家誤以為自己正在訪問官方網站，實情卻被引導至釣魚網站上，不自覺地親手將帳戶登入資料雙手奉上…… 為確保用家可以安全地瀏覽不同網站，瀏覽器服務供應商如Google、Mozilla、Apple等都會為產品加入各種反偽造網站的識別技術，例如在網址列加入鎖頭圖標，讓用家可以一眼辨識自己有否跌入釣魚網站圈套。不過，Rapid7研究員指這些安全技術卻有可能因為手機屏幕較細，而被部分瀏覽器取消，從而讓黑客有可乘之機。研究員於是檢視了市面上各種手機瀏覽器，最終發現Safari、OperaTouch、Opera Mini、UC Browser、RITS、Yandex及Bolt等7 款瀏覽器，均存有JavaScript詭計漏洞，因本身設計的問題，令黑客可操控網址列上出現的網址，但實際上卻將用家引導了偽造網站，而由於沒有鎖頭安全圖標輔助，用家便無法得知已跌入陷阱，成功達到網址列欺詐(Address Bar Spoofing)攻擊。 研究員以手機版Safari為例，由於在設計上系統會保留任意port上呼叫的網址在網址列上，只要黑客在網頁JavaScript程式碼內將setInterval時間改為每2毫秒便載入新的網頁內容，便可透過時間差，在網址列仍顯示原網址的情況下，極速將用家引導至其他偽造網站，以時間差令用家上當。研究員指出如偽造網站製作得跟官方網站一模一樣，用家便會傾向相信自己正在訪問官方網站一樣，從而輸入自己的帳戶登入資料。 除了Safari，其他6款瀏覽器亦存在類似問題，Rapid7研究員在今年8月發現這漏洞後，已去信通知受影響的瀏覽器供應商，不過，除了Apple已修補了Safari的漏洞，Opera承諾會在11月推出修補檔外，其他4款瀏覽器供應商卻未有回覆，相信未必會在短時間內修補上述問題。現階段用家就要小心使用這些瀏覽器，建議用家最好避免使用。 資料來源：https://bit.ly/2TfyS22

網絡安全公司發現，分散式阻斷服務（ DDoS, Distributed Denial of Service）攻擊的數量由年初至今年九月之間，暴升三倍有多，全因黑客將 DDoS 視為勒索目標企業的有效手段，而且更有持續上升趨勢。企業要維持業務營運，不得不防。 DDoS 攻擊主要透過大量無效的網站或應用服務訪問要求，以耗盡攻擊對象的網絡帶寬或系統資源，使其服務中斷受阻。要製造有威脅的攻擊相對簡單，黑客毋須事先入侵目標企業，只須控制僵屍網絡同時發動攻擊即可，甚至可於暗網購買 DDoS-as-a-Service 服務，以每小時數十美元的代價達成目的，難怪極受黑客歡迎。 網絡安全公司 Akamai 上星期發表研究報告，正正揭示 DDoS 的普遍性，研究員 Richard Meeus 指出，上一季收到 DDoS…

不少人都喜歡用網上設計平台 Canva 來製圖，成品製作過程方便而出品又精美，但是黑客竟然利用 Canva 分享功能，藉以加入釣魚網頁登陸頁面。Canva 允許用家建立 URL，將設計向朋友或同事共享檔案，加入在平台中協作設計，對方只要點擊連結，就會看到整個設計頁面。 而正正就是 Canva 這個功能讓黑客有機可乘！網絡安全公司 Confense 最近公布一份報告指 Canva 面對的威脅因素愈來愈大，指透過 Canva 創建的 HTML 登陸頁面，被利用作將受害者重新導向至虛假登入頁面。報告以一封假裝是 SharePoint eFax…

多得網絡安全研究人員的努力，經常對網站及應用服務的潛在漏洞保持好奇心，才可減少用家的損失，好像智能運動產品Fitbit的應用程式市場Fitbit Gallery，竟可讓有心人將惡意app上載，在未獲審批前以官方連結分享出來，用家好易中招。 上年Google宣布收購 Fitbit 大計，令品牌大受市場關注，不過礙於反壟斷法關係，交易暫時仍在美國、歐洲及澳洲等地審核中。Fitbit 的智能連動手錶由於設計精美，上班運動兩相宜，所以在港也有不少捧場客。今次 Immersive Labs 的 Cyber Threat Research 總監 Kev Breen，就對 Fitbit Gallery 的運作感到興趣，深入調查有關第三方 app 開發者在上載新…

網絡攻擊愈趨複雜及精密，加上銀行業又是公認的攻擊對象，面對如此高危的環境，香港金融管理局 (HKMA) 於2016年公布網絡安全防衛計劃 (Cybersecurity Fortification Initiative， CFI)，通過三方面提升金融業的網絡攻擊防禦力。其中之一的網路防衛評估架構（Cyber Resilience Assessment Framework， C-RAF）是一套以風險為基礎的評估框架，內裏的評估項目多達400多項，主要分為三個部分。 首先是自身固有風險 (Inherent Risk Level) ，評估標準會根據銀行採用的科技、服務渠道、以往被攻擊的記錄等因素作評級(High、Medium、Low) ；其次會通過審核現有的安全措施，包括監管、偵測機制、保護工具、危機管理及應對政策，以釐定網絡安全成熟度 (Advanced、Intermediate、Baseline) 。如果審核評分未能達到固有風險評估的相對要求，銀行就要按照金管局建議的改善措施提升安全成熟度，直至合符相應的要求。如果金融業的固有風險達到中至高程度，就必須實施網絡攻擊模擬測試iCAST (Intelligence-led…

APT (Advanced Persistent Threat, 先進持續威脅) 是專門形容以情報收集為目標、受國家資助的黑客團隊所發動的攻擊。這些攻擊以隱密性優先，主力入侵其他國家的政府機構或企業，並不會長期存在於受感染的電腦設備內，而且運作時間有限，以減少被網絡安全工具發現的機會。而網絡安全公司 ESET 今次調查的 APT 團隊 XDSpy ，其隱密手段可謂非常高超，不單在首次曝光後瞬即再度消失，在專家追查下，才發現這團隊已運作了整整 9 年！雖然專攻白羅斯、俄羅斯、烏克蘭等國家，但專家也未能斷言其他地區國家未曾受過攻擊，只是沒有留下網絡線索。 XDSpy 的行蹤首次曝光，源於白羅斯 CERT 網絡安全事故協調組織發出的警報。 ESET 專家跟進調查後，顯示 XDSpy…

網絡安全研究人員披露常見防毒解決方案中，所發現的漏洞，竟然提升了黑客特權，令惡意軟件能夠在入侵系統後橫行！CyberArk Labs 一份報告指出，高特權經常與反惡意軟件產品有關聯，使它們更易受檔案攻擊，繼而令惡意軟件在系統上獲得更高權限。這些受影響的防病毒解決方案，來自 Kaspersky、McAfee、Symantec、Fortinet、Check Point、Trend Micro、Avira 和 Microsoft Defende，現時每個解決方案均已由各自的供應商修復。 這些漏洞中最嚴重的是黑客能在隨意在不同位置刪除系統中的檔案，或者造成檔案損毁。根據 CyberArk 研究，這些錯誤是由 Windows 的「C：\ ProgramData」文件夾的默認 DACL（Discretionary Access Control Lists）所造成，令用戶在程序存取數據，無需其他權限。所以當每個用戶都有在基本目錄（Base level…

一場疫症，令工作模式、生態來個大變身，很多常規的訓練或技術都因時改變；而網絡安全相關的訓練，也需重新啟動接軌，以增強效率。有研究指出，針對釣魚郵件的應對訓練減少，辨識能力會隨時間下降，一個不留神就大件事。USENIX SOUPS上個月舉行的安全會議上，建議讓員工在釣魚行為的安全意識方面的訓練，每半年一次。 由於德國公共行政部門下的組織機構員工，需要進行強制性網絡釣魚意識培訓，當地多間大學因利成便，向409名隸屬國家地理信息及狀況部門 (State Office for Geoinformation and State Survey, SOGSS) 人員進行研究，以了解他們的訓練成效，以及他們的辨識能力會否隨時間而下降。這班受訪人員分成5個組別，並按他們接受釣魚意識訓練後4個月、6個月、8個月、10個月及12個月作測試。 研究人員發現接受測試的員工中，在接受訓練課程4個月後，仍能準確辨別釣魚電郵，但在接受訓練課程6個月或以上的群組，就需要重新再接受訓練。與此同時，研究小組亦設置四種形式「補習班」，包括文本、影片、互動例子、短文，為這班受訪者在受訓後6個月後及12個月後，補充防釣魚知識。四種補習班的內容中，以影片及互動例子效果最顯著，影響力能維持至少6個月。 學者總結出持續讓員工接受釣魚辨識訓練，能有效地協助其所屬部門阻擋部分攻擊，只要定期每6個月進行重複的訓練，並交替以不同的方式如影片及互動例子等，便能持之有效。 資料來源：https://zd.net/3mPZmog