一項調查顯示，80% 企業管理者表示有限的數據透明度，令他們無法確實掌握員工的應用軟件使用狀況，意味著即使有內部威脅 (Insider threat) 存在，他們也難以發現，令企業置身於被入侵的高風險之中…… 隨著企業踏上數碼轉型旅程，採用雲端應用服務的比重亦愈來愈高。雲端應用服務雖然有靈活及增加生產力的優點，但由於工作流程由以往的內部網絡轉移至外部，如企業沒有足夠的網絡安全管理，一旦員工的操作發生錯誤，或安全設定出現漏洞，便很容易發生網絡入侵事故。為了解企業的網絡安全狀況，CyberArk 早前便進行了一項全球企業問卷調查，收集 900 多間企業網絡安全管理者的回應。結果發現，約有 80% 企業表示過去一年曾發生員工誤用或濫用應用軟件的情況，而有 48% 企業表示主要原因與數據透明度有關，導致網絡安全監測出現盲點。 從調查中可見，70% 企業表示每個員工平均會使用超過 10 種應用軟件，部分軟件會應用於處理重要的資料，例如財務記錄、客戶私隱及知識產權等。這些資料都有非常高的價值，因此容易成為黑客攻擊的目標。而在眾多應用服務之中，管理者最關注 IT 管理工具如 ServiceNow、雲端服務如…

IoT（物聯網）的應用愈來愈廣泛，但對於 IoT 設備的安全保護卻成疑。五分之四的物聯網設備供應商未有公開其產品安全漏洞的相關資料，意味著用戶處於私隱洩露危機及網絡攻擊的危機當中。 物聯網安全基金會 (IoTSF) 作為鼓勵保護 IoT 安全的科技業界組織，早前分析了數百間常用的物聯網產品製造商，發現只有五分之一在公共渠道上曾公布產品安全漏洞，以便修復。儘管包括英國、美國、新加坡、印度、澳大利亞以及歐盟，都曾強調 IoT 設備網絡安全的重要性以及能夠披露漏洞的能力。但以這種形式公布安全漏洞的供應商只有 21%，自去年起略有上升。 報告指出，漏洞披露政策的有缺失的原因可能是由於「非傳統 IT 企業」首次進入 IoT 市場，例如時尚供應商推出連線產品或廚房電器製造商為其產品添加智能功能。有些 IoT 設備製造商首次面對須考慮將網絡安全功能納入產品內，因為漏洞不僅可以進入設備，而且沒有固定的報告漏洞的途徑。 儘管如此，該報告指出「自 2017…

網絡安全專家於網上發現一個數據量達 1.2 TB 的資料庫，當中包含 2,600 萬個帳戶登錄資料、110 萬個不重複的電郵地址、20 億個瀏覽器 cookies 及 660 萬個檔案，暫時未知屬於哪個組織，但始終已上載 Have I Been Pwned，檢查一下無壞喎。 這個估計從 300 萬部電腦竊取而來的龐大資料庫，由 NordLocker…

人工智能（Artificial Intelligence，AI）和機器學習（Machine Learning，ML）的應用愈趨廣泛。以電子商貿起家的亞馬遜，旗下的雲端運算業務　Amazon Web Services（AWS）港台銷售總監翁宇強接受訪問時表示，AI 及機器學習科技革新了零售、金融等傳統行業，集團亦力拓相關業務，單是去年，集團已有超過 250 種 AI 及機器學習相關服務新推出市場。 翁宇強表示，集團提供的 AI 及機器學習服務，主要協助企業預測產品市場反應、精準營銷，以至整理非結構化數據（Unstructured Data）、偵測程式碼漏洞等。針對本身已有 AI 及數據專家的企業，集團亦提供不同機器學習工具，讓企業建立、訓練和部署機器學習模型，或者搜尋所需的演算法，藉以加快 AI 系統開發進度。 他續指，以電商起家的亞馬遜其實早於廿多年前已涉足 AI…

Microsoft 被稱為 Section 52 的 Azure Defender for IoT 安全研究小組近日發現，物聯網和營運技術（Operational Technology，OT）裝置上，有一系列的記憶體分配漏洞，可用來執行惡意程式。這個目前盛行的漏洞名為 BadAlloc，與不正確驗證的輸入有關，而這個漏洞會導致堆溢出，並最終執行這些代碼。 研究小組在發文指，這些漏洞都源於使用記憶體容易受攻擊的功能，如 malloc、calloc、realloc、memalign、valloc、pvalloc 等。當傳遞外部輸入時，這些函數就會出現問題，因為這些外部輸入可能導致整數溢出或迴繞函數，折回的結果是重新分配記憶體緩衝區。小組又指，儘管折回而分配的記憶體不多，但令與記憶體分配相關的負載，超過了實際緩衝區分配，導致了溢出；缺乏輸入驗證令入侵者開採記憶體分配功能，造成堆積溢位，而令他們可於目標裝置上執行任意程式。 Microsoft 正與美國國土安全部合作，向受影響的供應商發出警報，並修復漏洞。在通報中所示的受影響產品來自 Google Cloud、Arm、Amazon、Red Hat、Texas…

SAPPHIRE NOW 作為 SAP 年度盛事，今年將以 Think Beyond Tomorrow 為主題， SAP 全球高管及各行業的商界精英，會透過分享各自見解與洞悉，協助不同行業，在數碼轉型路上作出前瞻部署。 年度峰會將由 SAP CEO Christian Klein 的主題演講打開序幕，SAP 大中華區總裁 Mark Gibbs…

iOS 其中一款下載次數逾百萬的通話錄音 app 「call recorder」，被安全專家發現竟然存在身份驗證漏洞，開發商儲存於AWS雲端上的用家通話記錄及通話錄音，都可以通過修改 API 指令，被黑客隨意竊取，好兒戲喎！ ClubHouse 語音社交平台早前被爆漏洞，有心人可以闖入不同房間錄音，再將用家對話的語音檔上載網上分享。雖然用家在房間內的公開發言，都會預計有可能被錄音，所以未必有太多機密訊息，但在不知情下被竊聽，感覺始終不太愉快。不過當換轉通話錄音 app 出現安全漏洞，情況就完全不同，因為使用錄音 app 一般都有工作需要，例如記者做電話訪問、同客戶開會等等，當中總涉及一些機密資料。而 PingSafe AI 網絡安全研究員 Anand Prakash 最新發現的安全漏洞，便與 iOS 其中一款下載次數逾百萬的通話錄音…

Philip Hue、Amazon Kindle、Apple Watch、Google Home Voice Controller、August Smart Lock、Kuri Mobile Robot、Dyson Pure Cool Link Air Purifer、NEST T3021US Learning Thermostat、WeMo Insight…

COVID-19、外交新秩序、WFH……來到 12 月，想不到 2020 年在人類大歷史上會再添新 Entry，今次難得有好消息；Microsoft 公布 Microsoft Passwordless Systems 按月用戶量突破 1.5 億人！ 數碼化年代個人管理帳戶數目高速增長，但大眾未夠認真看待 Password，「Abc123」、「Password1」依然雄踞 2020 年最常用密碼排行榜，而 COVID-19 更讓黑客承機突破企業防線，盡情採摘個人資料。簡單講，這種水平的密碼，形同虛設，構成的保安漏洞令科技企業極度煩惱，Apple、Microsoft、Google、Facebook、Amazon、Intel、Paypal 等巨頭幾年前結盟，組織取名…

現時不少企業已利用雲端平台，協助營運及管理網上平台，而可靠、易於管理的雲端服務平台，結合安全資訊分析，有效阻擋外來入侵與攻擊，相信是企業間夢寐以求的雲端服務。首屈一指的雲端服務供應商 AWS （Amazon Web Service，亞馬遜雲端運算服務），自 2006 年起已建立雲端服務平台，致力向客戶提供兼具深度與闊度的服務平台，支援超過 175 種雲端服務，在芸芸雲端服務供應商中，連續 10 年成為市場第一，而且兼客第三方的服務平台，例如可結合大數據分析龍頭供應商 Splunk 的資訊安全分析系統，全面保障雲端平台安全運作，預先偵測風險並自動對症下藥，究竟兩個系統的結合，實際上如何讓企業得到穩定而安全的雲端解決方案呢？ 獲多項認證 AWS平台效率高合規格 AWS 的雲端服務平台包含不同範疇的服務，讓份屬不同行業的公司使用，例如 AI Machine Learning、Migration、Application…