在周星馳電影《功夫》有一句話說道：「天下武功，無堅不摧，唯快不破！」我就利用這句說話，跟大家分享「唯快不破」的創業心得。 行業變化要快 首先，行業很重要。那些行業變化比較快（當然要對該行業有相當的認識），你的成功機會就比較高。因為這些行業，對大公司來說是沒有太大優勢。畢竟大公司決策需時，在行業環境變化快的局面，人力、財力也不是關鍵。相對來說，一家靈活的初創企業，就可能擁有不少的優勢。行業變化愈快，就對細公司愈有利。10 多年前，我們公司選擇在 IT Security 起步的原因，也是因為 IT Security 在整個IT領域變化得比較快。 行咗先算，怕輸就唔好搞 Start Up 每家 Start Up，都要經歷過前期最艱辛的階段。做出來的 Plan 不是重要（反正到 Execution 時，都跟原來的…

自「防火牆」面世至今的過去二十幾年裡，為了面對不同的網絡安全挑戰，市場也湧現很多不同的安全產品。有點像兵捉賊遊戲一樣，企業不停地修補漏洞，亦不斷地添置安全設備去加強防禦和監控。就算是大型企業，要投放大量資源去做好網絡安全，都會有點吃力。 安全服務供應商差異大 所以近年市場也興起把安全工作委託或外判給安全服務供應商，對於一些企業來說，也是一個選擇，但如何挑選合適的服務供應商仍是一個難題。首先，市場充斥著很多安全服務供應商（MSSP，Managed Security Service Provider），有本地 MSSP，也有外地 MSSP，其服務內容也林林總總，更有不同的 Service Level，價格也有很大差異。要認識清楚服務內容，實在不容易。再加上大部份 MSSP 所提供的服務範圍也處於前期階段，其質量和穩定性還需要時間來印證。 買車轉為 Call 車 由「產品」轉為「服務」是一個過程，也可以說是開闢了另外一個新市場。就如我們買車一樣：汽車是產品，汽車購買屬於一個市場，但需要接送服務的人，可以選擇 Call 車（像的士或 Uber）。用 Uber…

世界盃對球迷來說，可說是四年一度的大喜日子，在俄羅斯的開波時間對本地球迷來說時差比較好，至少冇咁夜開波。對於足球的陣式，有傳統的 4-4-2、4-3-3、到較新陣式如 4-2-3-1、3-5-2、 3-4-2-1 等。如何擺陣和變陣，也視乎整體戰術、球員特質及比賽情況而定。 我喜歡 4-2-3-1 在公司內，高層管理人員基本上就是扮演足球「領隊」的角色，帶領員工為業務爭取好成績。在一次內部會議中，喜歡足球的我（已掛靴N年，現只睇波而已），就用了我比較喜歡的 4-2-3-1 陣式（攻守較容易作出變化）去形容對公司不同部門在球場的位置，及應該如何配合。 後防骨幹：Technical 讓我先從 4-2-3-1 的後面 4 位球員說起，Technical 部門是我們的後防骨幹，也是在 IT 公司裡最核心的（很多有經驗的領隊要重建球隊，都是從後防開始入手）。在整個後防，分「中堅」（Technical Implementation…

之前寫過一些魚事，其實我亦成日賣魚俾人，幫一 D 企業發放各種魚類 (Phishing Email)，搞到我返工好似去咗長沙灣魚類批發巿場咁樣。講開長沙灣，你有沒有見過一種「野獸派」數銀紙方式？一整堆十蚊紙，幾百張成座山咁，當中又濕水又混亂，但係個大佬氣定神閒，一口氣數出來，都費事分開一疊疊。當年搵食就係咁樣。 今次我發果批 FIT 殊，有不同吸引力，有 D 係假扮 Invoice，有 D 係假扮香港 Salary Guide，有 D 係假扮你個帳號快要取消，等等。最攞命果條 FIT 殊，仍然係訴諸恐怖，話你個帳號畀人入侵咗，URGENT，快 D…

權限（Access Rights）是一件很好玩的東西，在電腦系統中，處處可見其身影。例如，你登入你的網上銀行，你只能見到你的資料，見唔到我的資料，這就是你的「權」的「限」。理論上，系統中的一切活動，都需要夠權。不夠權，就睇唔到、改唔到、用唔到（此即上文的 C/I/A）。所以，世上所有黑客，都想抵達一個超高權限的境界，有如系統 Administrator 所有的特權咁高。如此，佢就乜都睇到、乜都改到、乜都用到（理論上）。 對於 Administrator 呢一類特權帳號（Privileged Accounts），係要好好管理的。但係……點管呢？因為佢係特權帳號，佢所有活動紀錄都可抹去、一切對佢設限嘅手段都可以被他撤去，反過來，佢可以更改所有其他帳號，叫其他人奈佢唔何。咁又問，可唔可以取消呢 D 特權帳號，人人平等呢？咁又好危險，因為電腦成日壞，在緊急關頭要救機，唔通仲要圍十條友用十個帳號做十樣嘢咩？一定要用特權帳號，bypass everything，救到個系統再算。 （如果你再問我，點解系統會故障、點解要救機，你可以打去消費者委員會問。） 以前，管理這些特權，唯有由政策入手，再加信封。政策上講清講楚，冇人可以有特權帳號嘅密碼，要用的話，拆信封讀密碼，兩個人一齊做嘢，然後再改個新密碼入信封，再將信封鎖入夾萬。幾十年過去，好多機構仍係咁做。 以上這些，行家好清楚，煩親大家唔好意思。 現在係講真話時間。在塵世上，多數會出現以下情況： 特權帳號一地都係。有 D 秘密特權帳號，唔係叫 root…

上兩期都是環繞着「白帽黑客」（White Hat）這個題目，心想如果在港可以舉辦一個較大型的黑客 CTF 大賽，讓多一點本地及鄰近地區的「白帽黑客」能夠參賽及交流，那倒是一個不錯的做法。 發現樂趣，創造奇蹟 過去十年，黑客的意義有所改變，但是精神是一樣的。黑客們的共通點，是想知道和理解事物如何運作，在深層次研究後，他們可以創造超乎想像的奇蹟，並在其中發現樂趣。然而黑客並沒有想像中的恐怖，如果黑客發現某軟件存在漏洞並報告給相關企業，那麼企業對其進行快速修補，便會避免此漏洞帶來的危害。 「我們的」黑客大賽，培育本地人才 DEFCON 是國際知名的黑客 CTF 大賽，被譽為黑客界的「奧斯卡」，堪稱是殿堂級的安全盛會，黑客和安全專家都會慕名從世界各地趕來參加，去年參加人數更超過兩萬。我們也決定試一試，暫定於今年 10 月，在港舉行由我們公司主辦的首屆黑客大賽，希望培養業界人士對發掘網絡安全漏洞的興趣，從而提升本地的網絡安全水平。 高手相助，同場切磋 舉辦黑客大賽，我們還缺乏經驗。所以近月我也忙於跟參與過黑客 CTF 大賽的高手們請教。一提到舉辦黑客大賽這個構思，一班高手們非常樂意出手相助，運用他們過往的參賽經驗，為我們籌備一個高水平的大賽。初步構思是先舉辦初賽，給本地參賽者在線上比併。在初賽勝出的前三名會進入精英賽，再與鄰近區域的高手一起在現場一較高下。 美國取經，10 月見 雖然有高手幫忙籌劃，我亦不敢怠慢，並計劃在…

上一期講過甚麼是「白帽黑客」（White Hat），是指在完全合法的情況下對系統進行攻擊，以求找出安全漏洞，令對方作出修補的黑客。我上個月剛與一位國寶級的白帽黑客見過面，並對網絡安全作深入交流。 這位高手是來自北京的陳宇森，現年只是 26 歲，臉上還有一點稚氣，但跟他溝通，卻感覺到他是非常成熟和有目標的。他除了近年在中國區的各類黑客大賽勇奪各項大獎之外，在 2016 年的全球 DEFCON CTF 黑客大賽獲得第二名，以及在 2017 年另一個全球大型黑客大賽 Pwn2Own，獲得世界第三名。年紀輕輕已在國際大賽打響名堂，實在殊不簡單。但他跟我說：往後應不會再參與同類型的比賽了。畢竟已獲過獎項，可以說是得到業界對他技術能力的肯定。 最令我欣賞的是這位年輕白帽黑客，在 2014 年已成立了安全技術公司，運用自身的專長，開發了一些高端安全產品，來應付日益複雜的黑客攻擊，並獲得一些在中國的大企業所採用。所謂「知己知彼、百戰百勝」，以黑客的思維制訂安全方案去對付黑客攻擊，從邏輯來說，應會更有效。 除了安全產品外，陳宇森也有一套獨特的技術人員培訓計劃，可以說是比較實戰型。點解？一般網絡安全培訓機構都比較學術性，市場上的安全證書如 CISSP、CISM 等，也比較着重理論。但陳宇森所提供的是一套「網絡攻防實訓平台」，內裡包括模擬訓練、線上比賽、線下實訓等。在快速多變的網絡安全領域裏，我個人也認同實戰比證書更重要，也正考慮如何把這套實戰平台引入，來提升本地網絡安全人才應對網絡攻擊的能力。

講到「黑客」這個名詞，一般都畀人感覺唔係咁正面，並會聯想到「網絡攻擊」、「網絡詐騙」、「資料盜竊」等負面行為。 其實黑客也大致分為三類，分別為「白帽黑客」（White Hat）、「灰帽黑客」（Grey Hat）及「黑帽黑客」（Black Hat）。白帽黑客以「改善」為目標，破解某個程序，令對方作出安全漏洞修補；灰帽黑客以「展現」為目標，透過破解、入侵去炫耀其擁有高超的技術，或者宣揚某種理念；黑帽黑客以「利慾」為目標，透過破解、入侵去獲取不法利益，或者發洩負面情緒。 白帽黑客是在這十年最熱門的職業之一，但不要以為是一件容易的工作，你必須對電腦系統、編寫程式、操作系統、網絡等有深刻的認識。白帽黑客大多是電腦保安公司的僱員，並在完全合法的情況下攻擊系統，以求找出安全漏洞。另外，也有很多大企業會聘請白帽黑客來保護其系統和訊息，薪酬也非常可觀呢。 至於電腦廠商方面，為鼓勵找出安全漏洞，也會付出豐厚獎金（Bounty Program）給予找出安全漏洞的舉報者。這個做法推至近年火熱的 ICO 市場，以進一步加強系統安全性。對白帽黑客來講，又多了一個收入來源。 再且，近年在網絡安全市場也興起黑客 Pwn 或 CTF 比賽，獎金也愈來愈吸引，勝出者亦可名利雙收。Pwn 一般讀作 Pone，自從「own」這個字引申出來的，意思是玩家在整個對戰中處在勝利的優勢，主要用於嘲笑競爭對手在整個遊戲對戰中已經完全被擊敗（例如：You just got pwned！）。CTF…

上文提到，權要有限。那麼職責呢？要分。權要限、職要分，夠鐘要放工，得閒要睇 wepro180。 在系統中，有一條重要保安原則：職責分離。在系統及流程中，要把重要功能、職責拆開。在流程中，申請新帳號或者IT服務者，與批准者，須是不同的人。又如有 D 公司將一個超級帳號密碼拆開前後兩截，一人管一截（有 D 似古代果 D 虎符）。又如寫程式的人，不可以把程式直接安裝入系統，要透過另一個團隊。以上這些職責分離，目的是要減少差錯及舞弊。文藝一些講：避免監守自盜。 （再文藝一些…在歷史中，這些職責分離比比皆是，例如中國的皇權與相權的分離、唐代的三省制，以至謀與斷的分工、三權分立等，都有古仔可以講。） 講到呢度，就可以明白，保安系統設計要嚴密，須要包括：有各系統權限的人，他們的職責是否有合理的分離。所以，大機構的 SIEM / Log Management 要求完備，因為要有足夠的 Audit Trails 去審計各程交易 (Transactions)…

近年常常聽到「人工智能」一詞，好像潮語一樣，並代表著「高科技」的意思。一些產品含有自動調節功能，就以誇張宣傳手法說是「人工智能」，這根本不符合「人工智能」的定義。 「人工智能」已有幾十年歷史，早在八十年代初，電腦科學家便開始設計能學習和模仿人類行為的程式。在電影裏，如《Terminator》、《Matrix》或《Ex Machina》所描述的「人工智能」，都擁有觀察和感知能力，並可以做到推理和解決問題，這類可稱為「強」人工智能，但是現今技術水平仍未有效實現。 目前的科學研究工作都是集中在「弱」人工智能這部份，並取得重大突破。智能是從何而來呢？讓我們先理解「人工智能」、「機器學習」和「深度學習」的區別和關係。 「人工智能」的領域中，「機器學習」是其中一種方法；在「機器學習」的技術中，通過使用大量樣本作訓練而積累的智能，就稱為「深度學習」。 在使用電腦的過程中，大家會不知不覺地留下大量數據及電子足跡，這給予「深度學習」在訓練時所需之用；此外，系統運算速度的提升，令「機器學習」時間大大加快。綜合這兩個主要因素，終於令「機器學習」成熟起來，在「人工智能」的應用邁進了一大步。 同樣，近年一些高端網絡安全產品也採用「機器學習」去處理大量電腦使用者的日常行為，並作深入分析。即使黑客成功盜取了用戶的帳號及密碼，保安系統也會跟用戶日常使用方式作出對比，如發現有明顯偏差，就會發出警示或作出攔截。一幕幕兵賊鬥智（人工智能）的場面，已在網絡安全領域中展開。