網絡攻擊愈趨複雜及精密，加上銀行業又是公認的攻擊對象，面對如此高危的環境，香港金融管理局 (HKMA) 於2016年公布網絡安全防衛計劃 (Cybersecurity Fortification Initiative， CFI)，通過三方面提升金融業的網絡攻擊防禦力。其中之一的網路防衛評估架構（Cyber Resilience Assessment Framework， C-RAF）是一套以風險為基礎的評估框架，內裏的評估項目多達400多項，主要分為三個部分。 首先是自身固有風險 (Inherent Risk Level) ，評估標準會根據銀行採用的科技、服務渠道、以往被攻擊的記錄等因素作評級(High、Medium、Low) ；其次會通過審核現有的安全措施，包括監管、偵測機制、保護工具、危機管理及應對政策，以釐定網絡安全成熟度 (Advanced、Intermediate、Baseline) 。如果審核評分未能達到固有風險評估的相對要求，銀行就要按照金管局建議的改善措施提升安全成熟度，直至合符相應的要求。如果金融業的固有風險達到中至高程度，就必須實施網絡攻擊模擬測試iCAST (Intelligence-led…

網絡安全研究人員披露常見防毒解決方案中，所發現的漏洞，竟然提升了黑客特權，令惡意軟件能夠在入侵系統後橫行！CyberArk Labs 一份報告指出，高特權經常與反惡意軟件產品有關聯，使它們更易受檔案攻擊，繼而令惡意軟件在系統上獲得更高權限。這些受影響的防病毒解決方案，來自 Kaspersky、McAfee、Symantec、Fortinet、Check Point、Trend Micro、Avira 和 Microsoft Defende，現時每個解決方案均已由各自的供應商修復。 這些漏洞中最嚴重的是黑客能在隨意在不同位置刪除系統中的檔案，或者造成檔案損毁。根據 CyberArk 研究，這些錯誤是由 Windows 的「C：\ ProgramData」文件夾的默認 DACL（Discretionary Access Control Lists）所造成，令用戶在程序存取數據，無需其他權限。所以當每個用戶都有在基本目錄（Base level…

資安需求日益增加，企業資源分配越見重要，尤其疫情之下，Budget 緊絀。剛過去的 Gartner Security ＆ Risk Management Summit 2020 上，其 Senior Director Analyst Brian Reed 指出，很多企業都用過多時間追求不存在的徹底方案，因此忽略基礎工作。綜合與會專家意見，得出以下 10 個重點 Projects，供各資安主管參考，編入 2021…

一份最新的調查報告發現，本港一些運用 5G 物聯網技術的日常用品，如心臟監測儀、智能手表、水壺和健身單車等，可以輕鬆連接企業網絡，而且連接量近年大幅增加，有資案專家認為，普遍香港企業對這些用品連接公司網絡，未有採取足夠保安措施，已形成被黑客攻擊的漏洞。 調查機構訪問來自亞洲、歐洲、中東和北美 14 個國家或地區，合共 1,350 名擁有 1,000 名員工或以上組織的IT業務管理層。當中有九成(91%) 的香港受訪者表示，去年連接到企業網絡的物聯網設備有所增加，當中不乏日常用品。有三成 (31%) 的受訪者反映他們需要大幅改善其企業的物聯網保安措施，逾三分之一 (37%) 受訪者更表示需要徹底的改進，整體接近七成，反映企業對此情況表示憂慮，擔心日常物聯網設備會成為黑客入侵途徑。 網絡安全企業Palo Alto Networks香港及澳門董事總經理馮志剛表示：「員工無意識地連接到企業網絡的IoT設備通常缺乏保安考量，有機會成為輕易存取到公司機密資料和系統的缺口。」他認為應對這種威脅，安全團隊需要能夠識別新設備，迅速評估其風險，並採用安全策略。 另外，報告還發現有五分之一 (20%)…

新冠肺炎爆發至今，全球工作模式轉型， Work From Home 成為新常態，而這個新常態亦加速使用雲端系統工作的進展，不少企業投放更多資金於雲端系統中，以增加工作效率，不受制於辦公空間。 雲端工作雖然帶來方便，但亦隱藏危機！黑客或會覷準機會，入侵系統令企業蒙受損失。來自四間 IT 界企業，包括 Green Radar、Hyperides、Sereno Cloud 及 Veeam Software 的講者，將會各自就雲端應用的層面作分享，涉獵電郵攻擊、雲端安全、數據恢復等題材，助你預先掌握如何把關自己公司的雲端資產。 立即報名參加網上研討會！活動費用全免。參加是次 Webinar，更有機會贏取價值港幣＄200 的 HKTV Mall…

想必大家都知道，在黑客手法層出不窮的世代入面，各位老闆都想盡辦法保護好自己的資產。Phishing attack﹑Social Engineering 等等濫用人類信任的手法，小編都 cover 過好幾次啦。今日就探討下，現有存在的非人類因素漏洞 — 假冒手段，以及如何利用量子力學解決呢個問題。 而家好多時收貨驗貨都靠一個 QR Code 或者 Bar Code 搞掂。不過隨住 Photoshop 等編輯軟件興起，不法之徒好容易就偽造到一個同原裝一模一樣嘅貼紙，一野就貼喺 D 假貨上面混水摸魚。最多要你打埋個密碼入系統 —…

無論甚麼話題，AI 都係一個萬能 Solution；編輯？律師？醫生？會計？教師？司機？廚師？將來都係 AI 黎㗎啦。的確，將來咩都有機會係 AI Driven，首當其衝仲會係高薪專業，因為最有取代價值；律司點記 Court Case，都唔會夠 AI 個 Database 龐大，夠快夠準摷到正確 Reference 打官司。問題係，幾時？ 芬蘭係個好重視 Digitization 嘅國家，2019 年推出一個免費網上課程《Elements of…

電郵保護的把關，是企業最基本，亦是最重要的一環。然而，傳統 signature-based 電郵保護方案已經不能有效防禦網絡攻擊，尤其面對零日攻擊、無文件攻擊、BEC 攻擊等。此外，一般電郵保護方案多以海外情報為基礎，對於本地化、針對香港企業的攻擊就束手無策。香港企業急需一套使用新技術兼且本地化的電郵保護方案。 有見及此，網絡保安專家 Cyberforce 特別推出轉台優惠，幫助企業轉用新一代雲端電郵保護平台 Green Radar。Green Radar 擁有行業領先的電郵技術 grIsolation，能有效阻擋釣魚攻擊；亦設有 SOC，由專家人手監控，阻截零日攻擊、BEC 攻擊。最重要，是其本地的專家團隊能辨識針對香港企業的網絡攻擊，絕對是本地企業的最佳支援。 由即日起至2020年12月31日，凡從指定電郵安全方案供應商轉用 Green Radar，即可獲取現有方案成本低至五折的價錢優惠。首20名完成試用體驗的客戶，更可獲$200購物禮券。 欲購從速，勿失良機！ 立即登記：https://bit.ly/31ooji1 唔想錯過熱門網絡保安消息，請即訂閱 wepro180 電子周報：https://bit.ly/2ZcCi9J

作為一個雲服務供應商嘅技術支援人員，平時都收到唔少企業客戶投訴，問點解搬咗啲嘢上我哋嚿雲之後，竟然仲俾人入侵到去佢個 database？其實而宜好多企業管理者都以為將虛擬機、應用服務或數據搬上雲，我哋就會幫你守穩大門，唔會俾黑客入侵，但其實條款一早已寫明係「共同責任」模式（Shared Responsibility Model）嚟㗎！ 呢個謬誤其實相當普遍，一來個客未必理解雲端服務嘅運作原理，二來幫襯時亦可能遊咗魂無聽清楚我哋提供嘅保障內容。事實上，公司一早已喺服務條款內寫明，只會確保提供嘅基礎架構、服務嘅安全性，而客戶必須負責自己嘅數據防護。 咁樣做絕對唔係「卸膊」，而係因為幫襯嘅客來自各行各業，採用嘅應用方案亦五花百門，試問我哋點可以一個 settings 招呼晒所有客呢？以 Web Application Firewall 為例，e-commerce 平台同一般企業客戶嘅設定已好唔同，前者要考慮準確過濾惡意連線之餘而唔會擋埋正常顧客，後者基本上就只會俾員工訪問數據庫，所以只可以留返俾客戶自己搞。仲有嘅係如果企業員工嘅安全意識不足，唔小心中咗釣魚電郵俾黑客攞到登入帳戶權限（最新鮮例子係 Twitter），雲供應商又點擋到呢啲表面上屬於合法登入嘅入侵？ 另一方面，Web Application 同背後用到嘅 API 絕對係對外開放，而最終目的地自然係客戶嘅數據庫，莫講話我哋照顧唔到各企業採用嘅工具同設定，就算係企業自己，亦會因工具同工具之間嘅數據無法溝通，而掌握唔到出入嘅數據有無可疑，試問我哋又點樣幫你守穩門口呢？講出嚟你都唔應該信啦！ 所以話，企業喺採用雲端服務嘅時候，態度亦要好似管理傳統…

經電郵發動嘅攻擊與日俱增，黑客透過假冒發信人地址，或修改信件內容，繞過電郵驗證系統嘅攔截。雖然電郵系統設有 DMARC 驗證機制，但由於設定上比較麻煩，所以採用率偏低。Google 為咗吸引電郵用戶採用 DMARC 技術，而家喺 G Suite 新推出先導計劃，經驗證後嘅用戶可以喺電郵上顯示公司嘅標誌，唔知又有幾多公司會參與呢？ 為咗解決電郵造假問題，電郵驗證系統一般都設有 SPF（Sender Policy Framework）以及 DKIM（Domain Keys Identified Mail）兩種方法。SPF 主要用喺防止電郵造假，因為系統會先驗證發送者嘅電郵地址，睇下究竟有無喺寄件伺服器上存在，如果來源伺服器根本無呢個電郵，就好大機會證明係假電郵。DKIM 就用喺驗證電郵內容嘅完整性上，以攔截有可能喺發送過程中被修改嘅電郵。雖然有呢兩個系統把關，但由於有啲舊電郵系統唔支援呢兩種技術，所以有時都焗住要收入信箱。 DMARC（Domain-based…