從事資訊安全工作十幾年，成日遇到企業客戶問應該如何避免數據外洩。其實不少調查報告都顯示，超過三成的商業機密外洩來自內部威脅（Insider Threat），無論有心或無意，都有可能對企業帶來重大影響。最重要的是這種情況並不是無法避免，而且也不是太難做添。一齊睇吓這個 to do list，大大減低機密外洩的風險！ 育成安全意識 話明是 insider threat，首先要做的當然是提高老闆和員工的資訊安全警覺性！撇除專門偷資料的個案，其實好多時洩密者只是無意之下觸發事件，例如遺留無密碼保護的公司手提電腦在的士、在公共 Wi-Fi 下做公司事，又或是隨意打開有問題的檔案或連結，這些行為好明顯都是因爲缺乏安全意識。所以企業必須定期推出安全培訓，將有可能洩密的行為及後果清楚解釋，而不只是貼張禁止清單出嚟，大家先會上心。 限制存取權限 成間公司入面有多個部門，所需接觸的數據自然不一樣，例如銷售部不應該接觸人事部的檔案，IT 部門亦未必需要接觸報價單或財務報表，雖然開放了所有存取權限的確做少好多事，但就要犧牲數據安全性。最理想的做法自然是做好 data segmentation 或 privilege account management，分隔好不同的數據，以及為每位員工設定存取權限，就算其中一位員工的帳戶被盜取，都不會令全公司的檔案失守。當然為帳戶登入安裝多重因素驗證（Multi-Factor…

在新冠肺炎疫情下，由於不能離開香港到其他地方出差或開會，除了每天在公司開視像會議開到頭暈之外，還收到不少政府部門、金融機構和商業伙伴的咨詢。他們關心美國政府主動取消《香港關係法》後，美國政府會不會對高科技產品實行禁運，從而不能在香港安裝使用有關產品？ 本人從事 IT 行業 30 多年，入口無數高科技產品，近 20 年專注高科技產品的業務， 如 HSM、加密軟件、PKI 軟件硬件、Finger Print 讀卡器等等產品，差不多每個星期都同工業貿易署打交道，或可憑自身經驗爲大家提供些參考。 高科技產品=戰略性產品?? 何謂高科技產品？香港工業貿易署是沒有高科技產品清單的，但通常指來自美國的電子及電訊產品，或稱為戰略性產品 （Strategic Product），當中含有高新科技如集成電路、 加密技術、平行計算的硬件和軟件，包括電子遊戲機如 Sony Play…

CT Scan（電腦掃描）除咗可以用嚟確診癌腫瘤，亦可以用嚟檢查空心器官如心臟、肺嘅健康狀況。由於檢查過程要精準控制輻射照射劑量，減少對人體傷害，如果檢查系統被黑客入侵，分分鐘搞出人命。有研究團體就開發出一種 AI 技術，可以防止黑客喺輻射劑量上做手腳，準確度仲高達八成以上添！ 新冠疫情期間，外國唔少醫療機構都受到網絡攻擊，大部分個案都係中咗勒索軟件，俾黑客偷走病人嘅私隱及加密系統檔案，唔算死得人。不過，如果 CT Scan 嘅輻射劑量被竄改就大件事喇，唔單只會誘發癌症，嚴重更有死亡風險。以色列 Ben-Gurion University 研究團隊最新發表報告，公開佢哋用 AI 打假嘅成果。團隊首先搵咗間 CT Scan 儀器供應商合作，輸入 1,991 宗檢查案例俾 AI，等佢分析喺檢查唔同年齡對象、位置及病例嘅情況下所需使用嘅輻射劑量，然後再喺一間醫院入面做測試。分析按兩方面進行，一個專門用嚟分析可疑嘅劑量指令，另一個就比較相同病例嘅使用設定，一旦發現檢查內容有問題，就會即時通報醫護人員，結果發現兩者嘅攔截成功率高達 82%…

對得同一部電腦多，有時都想搞下新意思。唔少人會選擇轉吓 wallpaper、icons、音效，甚至成個 Theme 換咗佢。不過，喺Windows 10 上換 theme 呢個動作原來都有危險，分分鐘將你嘅 Windows 登入名稱同埋 NTLM（NT LAN Manager）密碼雙手奉上！ 其實單純換預設咗或你自製嘅 theme 唔係太大問題，最大問題係用咗人哋 share 出嚟嘅 theme。網絡安全專家 Jimmy Bayne早前發現呢個…

為咗唔使上堂，你可以去到幾盡呢？美國佛羅里達州一間社區高校，喺新學年開始無耐，遭受廿幾次網絡攻擊，當中至少有 8 次，竟然出自同校一位學生之手，呢個攻擊名為低軌道離子炮，淨係聽個名都俾佢嚇親啦！ 低軌道離子炮 (Low Orbit Ion Cannon, LOIC) 聽落好似好勁，但其實真身只係一款開源網絡測試工具，不過由於可以製造大量隨機網站訪問，所以確實係 DDoS 攻擊好幫手。好似大名鼎鼎嘅黑客集團 Anonymous 就係十幾年前利用 LOIC 攻擊 Visa、Master 及 PayPal 等金融機構。…

2019 年，擁有 W、St. Regis、Westin、Sheraton 等貴價酒店的 Starwood Hotel and Resorts，主動自首承認由 2014 年至 2018 年間，外洩 500 萬住客資料，當中涉及姓名、電郵地址、手機號碼、住址、護照號碼、酒店會藉詳情、出生日期、姓別、入住退房資料（即行蹤）、預約日期等，付款資料其實都有外洩，不過有 AES-128 加密。呢單嘢極度震撼，因為 Starwood 沒有交代外洩原因，好難令人唔懷疑同管理失誤有關。而呢件事入面，最無辜（亦係最 Juicy）可能係…

想必大家都知道，在黑客手法層出不窮的世代入面，各位老闆都想盡辦法保護好自己的資產。Phishing attack﹑Social Engineering 等等濫用人類信任的手法，小編都 cover 過好幾次啦。今日就探討下，現有存在的非人類因素漏洞 — 假冒手段，以及如何利用量子力學解決呢個問題。 而家好多時收貨驗貨都靠一個 QR Code 或者 Bar Code 搞掂。不過隨住 Photoshop 等編輯軟件興起，不法之徒好容易就偽造到一個同原裝一模一樣嘅貼紙，一野就貼喺 D 假貨上面混水摸魚。最多要你打埋個密碼入系統 —…

釣魚攻擊（Phishing attack），絕對係成本低、回報高嘅熱門網絡攻擊。雖然釣魚攻擊仲可以分為魚叉式（Spear Phishing）及商業詐騙（Business Email Compromise）等，但由於係針對指定對象攻擊，黑客要投入更多時間去理解偽裝角色同受害人的關係，所以無釣魚攻擊咁普遍。一般嚟講，無差別攻擊主要係用作盜取帳戶登入資料，例如 Microsoft Office、PayPal 等等，黑客首先會偽造相關網站登入版面，再用電郵將連結漁翁撒網式寄出去，等待獵物上釣。一旦收件人誤信連結內容為真，就可能到偽造網站親手輸入自己嘅登入資料，黑客就可以入侵相關帳戶。受害人不單止可能遭受信用卡盜用損失，如果係公司帳戶資料，更會連累公司機密資料外洩添！ 為咗研究釣魚攻擊喺今年頭半年嘅特色，網絡安全公司 IRONSCALES 研究員就對相關嘅偽造登入網頁進行調查，結果發現頭半年有超過 5 萬個假網站，冒充超過 200 個全球知名品牌。其中被冒認得最多嘅 5 個品牌，分別係 PayPal、Microsoft、Facebook、eBay 同埋 Amazon，而…

後疫情時代，無論是生活與工作都出現「新常態」(New Normal)，大部分企業工作負載轉移到網上進行，難免令公司網絡基建壓力倍增，相信不少中小企的管理層正為此大感頭痛，無法在成功與效益之間取得平衡。 其實目前市面上，已經有針對中小企網絡監察的解決方案，嘗試為用戶提供最佳的成本效益，支援可能持續的「疫後」居家工作環境。Progress 作爲美國上市企業，在去年藉收購 Ipswitch，獲得包括 MOVEit、WhatsUp Gold 與 WS_FTP 在內的三項技術，已經做足準備，爲香港中小企安全與網絡管理提供優質服務。 WhatsUp Gold：自動網絡管理 疫情之下，在家工作與 A/B 分組辦公室上班情況常見，企業對維持穩定網絡表現的需求激增，與此同時，企業還需要爲員工提供安全檔案分享平台，才能維持團隊有效協作。Progress 的 WhatsUp Gold 能爲企業精準找出網絡有問題的地方，監察不同組織的運作情況，再作效能與數據分析，避免業務因網絡問題而停頓。 WhatsUp…

作為一名 CISO（Chief Information Security Officer），亦即係資訊科技安全主管，有住同 CEO、CFO 睇齊舉足輕重嘅地位，就知一啲都唔嘢少，近年網絡危機層出不窮，要保障企業網絡安全，作為阿頭就必須要與時並進，有專家就提醒一班 CISO，未來要更加謹慎防範廣告欺詐，呢種將會愈趨普遍嘅網絡罪行。 隨住數碼營銷日漸興起，企業紛紛將廣告由實體轉移到網上，喺新冠肺炎疫情之下就更加明顯，以致到廣告欺詐呢類網絡罪行被帶動，有估計直到 2023 年，企業用嚟應對廣告欺詐嘅成本，可能達到 1 億美金，好得人驚呢。 廣告欺詐（Ad fraud）亦都叫做無效流量（Invalid Traffic），唔同點擊欺詐，廣告欺詐係指黑客透過開設虛假網站廣告，藉住曝光、點擊、轉換率等嘅指標嚟賺錢。通常就個啲社交媒體或者網站上面嘅橫幅廣告、或者應用程式見到嘅廣告，呃啲假流量嚟賺錢。 而佢最令資訊科技安全主管頭痕嘅地方，係廣告欺詐可以話係最容易，而且最好搵嘅網絡詐騙方法，仲好搵過信用卡、比特幣同埋銀行詐騙。根據一份有關 2020 年全球 CIO…