全球超過 200,000 個企業及機構使用的Barracuda，5 月份發現電郵安全閘道器（Email Security Gateway，ESG）被攻擊後，CISA 近日表示，於被入侵的 ESG 設備上發現新的惡意軟件 Submarine，更警告該惡意軟件會對橫向移動構成嚴重威脅。 想知最新科技新聞？立即免費訂閱 ！ 早前 Barracuda 發現 ESG 存在零時差漏洞，更早於去年 10 月已開始被黑客攻擊，直至今年 5…

美國 CISA 發表有關勒索軟件集團 Royal ransomware 的調查報告，指這個集團正在瞄準美國及國際組織進行攻擊。由於他們會使用先進方法入侵，而且能夠同時攻擊 Windows 及 Linux 作業系統，再加上他們的目標包括通訊、教育、醫療保健、製造業等關鍵行業，因此 CISA 才會發出緊急警報！ 想知最新科技新聞？立即免費訂閱 ！ 根據 Trend Micro 安全研究員的調查顯示，Royal ransomware 在…

DDoS 攻擊主要價值在於可癱瘓目標企業的業務運作或網上應用服務，美國網絡安全機構 CISA 及執法機關 FBI 聯合發出警告，因應 DDoS 攻擊技術日益提升，呼籲企業應加強防禦力，減少遭受損失。而當中最大的原因，都是跟 IoT（物聯網）裝置的脆弱性有關。 黑客會使用 DDoS 攻擊向企業勒索贖金，否則將向對方的網站或雲端應用服務發動攻擊，令客戶無法訪問網站，員工無法遙距工作，直接打擊企業營運。DDoS 攻擊一般須使用大量殭屍電腦設備，但隨著黑客掌握放大技術，即使只控制較少量 botnet 也能成功，例如今年 6 月 Cloudflare 為客戶攔截的 Mantis，攻擊期間的無效訪問要求便高達…

一個漏洞足以令整個電腦系統死機，網絡安全專家一早提醒有 patch 快補，切勿讓威脅者有機可乘。網絡安全和基礎設施安全局 (CISA) 提醒所有人都應修補軟件漏洞，並在一周之內將 75 個常遭入侵漏洞增至「必須修補（must-patch）」列表中，當中包括 Microsoft Silverlight plug-in 和 Adob​​e Flash Player 中的一些較舊的程式缺陷。 CISA 在其已知被利用的軟件漏洞列表中，添加三批必須修復的錯誤。第一批涵蓋 21 個漏洞，第二批涵蓋 20…

美國網絡及基礎設施安全機構 (CISA) 發出非常危險行為注意目錄，呼籲企業或機構必須特別提防及避免讓員工犯錯，今次小編就帶大家一齊睇睇，當中有邊幾個項目要盡快達標。 近年勒索軟件事故頻頻發生，特別是美國企業及機構就經常受到攻擊。雖然近來勒索軟件集團的氣焰稍為放緩，不過美國的 CISA 未有放下戒心，反而全速製作一份高風險行為手冊，讓企業或機構能按著手冊內的重點，重新審視現時採用的安全措施是否足夠，以減少美國企業或機構遭受攻擊的機會。當中有三項行為被列為超高風險： 單因素驗證：即在登入帳戶時，IT 系統只要求員工使用其用戶名稱及對應密碼登入。由於大部分人為了貪方便，都傾向採甪簡單的密碼組合及與其他帳戶共用同一密碼，因此只要黑客使用暴力破解 (bruteforce) 便能輕易入侵；而後者亦容易因員工其中一個帳戶登入資料被外洩，繼而引發公司帳戶被入侵。研究發現，如採用多重因素驗證 (multi-factors authentication) 已可阻止 99% 帳戶入侵事件，因此企業或機構應盡快採用。 弱密碼：基本上比起採用單因素驗證更高風險，因為員工如自設的密碼夠強，例如採用無意義的英文字串，加插大小楷及數字符號，黑客要暴力破解也不容易。但如員工採用 password、12345678 或偶像英文名作為密碼，黑客便能瞬間破解。解決辦法是鼓勵企業採用多重因素驗證之餘，可讓員工使用密碼管理器，這樣員工才不會因要記住複雜密碼而頭痛，亦可令他們更易接受為每個帳戶採用不同密碼。 過期軟硬件：又一嚴重危險行為，如企業所使用的軟硬件已停止生產，而製造商或開發商亦停止繼續為產品提供支援，屆時如被發現安全漏洞，企業也不會得到任何保護，而黑客便可利用漏洞大舉入侵。企業應盡早做好升級準備方案，如已知悉產品將被停止支援，便應即時跟進。 資料來源：https://zd.net/3jDVvLA

作為資安長老，有很多朋友向我查詢 CISSP、 CISA（Certified Information Security Auditor）及CISM (Certified Information Systems Manager)三個保安認證資格中，哪一個比較易應付？各自的職場發展機遇如何？另外，為何有些培訓中心提供三合一課程？應該逐個修讀還是一併報考？ 三種證書，各擅勝場 根據資安長老多年教授 CISSP、CISA 及 CISM 的課程經驗，我的建議還是應該先了解每個證書的認證要求，再根據自身條件，訂立學習計劃。說到要考取上述認證的方程式，我認為必須預留半年或以上時間準備，課程編排最好是每星期一次，並於每個周末抽出 4 小時溫習，勝算便很高。讀者看完今次關於 CISA 及…

早前 Microsoft 承認被中國黑客集團 Storm-0558 盜取的消費者簽名金鑰（Consumer signing key）一事， 有安全研究人員指出，原來不單可讓黑客入侵 Exchange Online 及 Outlook.com 帳戶，更影響到所有使用 Microsoft OpenID v2.0 驗證的應用服務，猶如擁有超能力的入侵者一樣。 想知最新科技新聞？立即免費訂閱 ！ 中國黑客組織濫用零日漏洞　受影響範圍成羅生門…

預防勝於治療，要提升企業網絡安全，除了配備工具如防火牆來守護網絡之外，定時的「攻防演練」，猶如防火演習般重要。在內地，透過「紅藍兩隊」活動來提升客戶網絡安全更是法律要求，相關機構要作事前準備以及在攻防演練演，並作出 24/7 全天候防禦。 香港方面，香港電訊與 Sangfor 為企業機構提供針對攻防演練的網絡防禦策略方案，增強應戰能力，配合兩間公司的頂尖網絡安全專家團隊、網絡保安認證及最新威脅情報，以達到「零失分」佳績。 攻防演練呈高速發展 根據國內網絡安全法要求，公安每年都會安排攻防演練來測試相關機構網絡安全的防守能力。在攻防演練的活動中，公安當局會通過多種渠道，手法，來對機構進行測試。護網行動針對所有在港的中資機構在港的分支，國企，央企，金融行業等。 根據 IDC 數據，2021 年中國網絡安全實訓演練測試平台產品的市場規模為 1.45 億美元（約 9.4 億元人民幣），按年增長 38.5%，市場呈高速發展，亦反映越來越多的綜合型網絡安全廠商進該市場。 要全天候監控防火牆，既耗費資源又耗時，但卻不能忽視。 香港電訊防火牆管理和網路應用程式防火牆服務協助企業在監控上減輕負擔，包括在攻防演練前提醒安全威脅，並及時處理漏洞，以避免在真正演練時被扣減分數。 香港電訊與…

不少企業管理者都說重視網絡安全，實情卻是另一回事。早前有網絡安全公司研究員利用掃網神器 Shodan，掃瞄面向外網的端點安全性，結果竟然發現有超過 1,500 萬個公開事例（instance）中，至少有一個美國 CISA 公布的 KEV 已知漏洞存在，部分漏洞更早於 2012 年已被供應商修復，有多重視網絡安全？一 check 就現形。 想知最新科技新聞？立即免費訂閱 ！ 美國安全機構 CISA 有一套 KEV 已知漏洞目錄，編撰目的是希望能讓政府部門、企業或機構可第一時間檢查哪些產品或服務存在安全漏洞，根據資料顯示，現存的已知漏洞共有 896…

網絡安全事故頻頻發生，不少科技公司及開源社群，都開始倡議從程式語言層級確保記憶體安全（memory safety）問題，即以具備記憶體安全的程式語言例如 Rust、Java、Go 等，取代 C 或 C++。到底為何有這變動？業界又是否可以順利轉型？ 記憶體安全可說是開發軟件的一大難題，早在 2019 年，Microsoft 已發表報告指出過去 12 年來發生的網絡安全事故中，近 70% 都與記憶體安全問題有關。 記憶體安全其實是指程式運行時因管理記憶體失當，導致數據外洩或被注入惡意編碼，當中包括記憶體緩衝區溢出（buffer overflow）、超出緩衝區邊界（out of bounds）存取及釋放記憶體（use after…