十七年前沙士肆虐期間，由於頻寬限制和技術落後，在家工作無法實行。當年的辦公室環境均是以桌面為主，距離大眾化的智能手機和平板電腦至少還有五年之遙。如今的情況已經改變。我們有數十種連接網絡的方式，遠程辦公很常見，流動工作已能實現，網絡頻寬充足，網絡安全亦應用了人工智能及其他先進技術。 雖然香港的新冠疫情轉好，但出於不同的原因，允許員工居家辦公長遠來說似乎是一趨勢。這旨在維持業務，同時保障員工的健康和安全。同時，企業要確保對IT基礎架構都有同樣謹慎的態度，並嘗試避免折衷方法。 許多機構都有部分員工需要在辦公室環境外工作，這些流動員工在規範的環境使用授權的設備和應用程式連接公司網絡。僱主以嚴格的自帶設備（Bring Your Own Device，BYOD）準則和政策，監督以個人設備存取辦公室內部網絡和系統的員工。這些政策要求每個自帶設備，如智能手機、平板電腦、手提電腦等，都必須先獲IT部門的授權，才能連接到公司網絡。 但允許員工在家辦公以維持業務之際，也引發了嚴重的網絡安全懚憂。Palo Alto Networks的《亞太區網絡安全狀況》調查印證了這一點：近半（47％）的受訪者表示，最大的網絡安全挑戰是員工缺乏網絡安全意識。 企業的網絡安全旨在保護IT基礎結構，但除非有特殊情況，否則這些安全設備僅限於工作場所。試想像，員工在家中工作的連接設備可能與其家人共用。這等於增加僱員的網絡安全風險，僱主亦面臨風險。 要讓員工免受網絡攻擊，需要投入時間、資源和設備。如果僱主和僱員未能保持與平常工作場所一致的保安和慣例，為求維持業務的整個理念就會瓦解。 以下是一些居家辦公的保安技巧建議： 設備 – 僅允許授權的設備存取公司網絡以執行業務。教育 – 定期向員工強調在家工作期間必須維持一貫的網絡安全紀律。企業可以準備網絡安全教材，供員工與家人分享，以鼓勵和灌輸網絡安全意識。培訓 – 無論員工在任何地方連接網絡，企業都必須提供最新培訓並測試員工有關網絡安全的知識。如果這些測試能顧及在家工作並說明需防備的陷阱則更好。防火牆 –…

無論是手機作業系統、應用app 出現漏洞，抑或用家不小心訪問了惡意連結導致被黑客入侵，都令手機內的個人私隱存在極大的外洩風險。不過，正因為今時今日智能手機幾乎協助都市人處理所有工作，包括網上銀行、公司電郵往來、各種帳戶登入，每一樣資訊都極具價值，所以引來黑客瘋狂攻擊。如何才能加強手機的防禦力，即使在手機遺失後也不用擔心會被硬破解讀取資訊？來自以色列的手機防護服務供應商 Kaymera，其提供的軍事級手機防護技術，客戶中就有不少是政府高官及私人機構行政人員，到底技術有多可靠？ 協助用家繞過授權獲取使用權限 在深入剖析 Kaymera 的獨門技術前，先了解一下所提供的服務內容。Kaymera 分別提供特製版 Android 作業系統智能手機 CipherFort，以及手機即時通訊應用 app CipherBond。CipherFort 擁有最全面的防護效能，包括網絡威脅攔截、流量監察、應用 app 掃瞄、手機設定漏洞偵測等，而現時只適用於 Google Pixel 最新型號手機，當使用這款加強版手機時，手機內所有內容及通話都會被最先進的加密技術所保護，而又不會影響之後的應用 app…

一般認爲黑客只會向大企業埋手，發動網絡攻擊以勒索更多金錢，但這觀念其實大錯特錯。事實上，不只大企業，中小企每日都會收到大量釣魚電郵，當中包括惡意連結及勒索程式附件，一不小心隨時中招。去年本港有調查報告顯示，逾七成中小企在過去十二個月曾發生網絡事故或遭受網絡攻擊，愈來愈多黑客瞄準中小企攻擊。另外，根據香港生產力促進局發布的「SSH香港企業網絡保安準備指數 」的分析，中小企業繼續維持在基本（Basic）評級，反映大部分中小企管理者仍未有足夠的安全意識，對有可能造成的損失掉以輕心。英國保險公司 Hiscox 早前發表的研究報告便指出，英國小企業一旦遭受攻擊，每宗事故平均造成約2.57萬英磅損失，包括用於交付贖金、修復數據或購置硬件等，可見中小企絕不可以輕視網絡安全問題。 捨難取易 黑客密食當三番 一旦受到黑客攻擊，中小企管理者第一時間普遍只會高呼不幸，慨嘆被「亂槍打中」。但想深一層，中小企真的沒有被攻擊的價值？答案肯定不是。首先，黑客傾向捨難取易，絕大部份的中小企都疏忽於網絡安全及缺乏備份的意識，就算有選購網絡安全工具，防禦力亦較為薄弱，自然很容易被攻破；更甚者公司內部的電腦及物聯網（Internet of Thing, IoT）裝置被侵略而變成殭屍網絡，被黑客利用去攻擊勒索贖款對象。其次，黑客們洞悉商業社會的生物鏈關係，大企業為節省成本，將工作外判中小型企業，所以只要攻陷規模較細的承包商，絕對可成為入侵大企業的跳板。種種原因，都會置中小企於危牆之上，大企業亦不能倖免。 的而且確，沒有採用適當的防護措施，會令企業在多方面都曝露出安全漏洞，例如電腦設備、物聯網裝置、POS 系統，以及現時流行的 BYOD（Bring your own device）工作模式等，簡單的防毒軟件或防火牆，未必足以應付黑客日新月異的攻擊。另外，看似簡單的 Wi-Fi 無線網絡，卻可能因設定出錯而出現缺口，讓黑客可輕易進入公司網絡作惡。 尤其近來外圍因素多變難測，不少企業讓員工在家或遙距工作以提高工作效率。但有可能面對遙距網絡連接的防禦不足問題，包括數據傳輸未有加密、電腦或手提設備防護不足，未能夠發現和阻隔黑客精密的網絡攻擊等。此外，員工有機會在缺乏足夠保護的無線網絡上工作或在未有以多重登入身份驗證或登入權限界定不夠仔細的情況下，假若公司內部沒有做好網絡間隔（Segmentation），都可令黑客乘機長驅直入。黑客除了借助勒索程式要求贖金、盜取公司機密和暗中利用殭屍裝備發動分散式阻斷攻擊（DDoS, Distributed Denial of…

【網上工作坊】COBO 定BYOD? 老闆員工陷兩難 BlackBerry輕鬆打造無須VPN的安全移動辦公室 流動裝置普及率高，所以喺疫情之下，企業最快嘅遙距工作開展方法自然係讓員工採用BYOD（Bring Your Own Devices）模式工作，因為毋須突然採購大量電腦(Corporate-Owned Business Only)裝置，減少開支。不過，一聽到BYOD，大部分企業管理者都會耍手擰頭，認定員工嘅私人裝置唔夠安全，一旦中毒就會禍連公司！其中一種解決方法係喺使用MDM（Mobile Devices Management）管理員工嘅裝置，阻止員工使用某啲軟件，保障員工使用的裝置安全，甚至可以讀取裝置位置排除外地嘅虛假登入。雖然比較安全，但一般要求裝置的權限過大，作為員工，肯定唔會想被監控。 BlackBerry提供嘅UEM（Unified Endpoint Management）服務就可解決呢個膠著點，員工只須喺裝置上安裝Blackberry UEM 的軟件工具，就可以通過呢個工具直接連接公司內部網絡，以及所採用嘅雲端應用服務，員工完全毋須擔心公司可以讀取上述嘅私隱問題。由於Blackberry UEM軟件使用獨立Container，員工喺入面所做嘅嘢，都唔可以存取到工具以外嘅地方，就連將文字copy & paste都唔得，所以企業管理者亦唔使擔心機密外洩，可以快速達成遙距工作嘅目的，而又唔使犧牲私隱及安全性。成個系統最快只需半日就可完成設定，唔會好似MDM系統咁要因應員工裝置嘅作業系統而逐一setup，快捷又簡單！…

隨著 5G 及 Wi-Fi 6 新一代流動通訊及無線網絡制式上馬，突破了從前的傳輸速度及頻寬的限制；更被視為推動第四代工業革命開展的核心一環，有利於物聯網（Internet of Things, IoT）技術應用及發展，使利益隨時獲利倍翻。現時對IoT裝置缺乏統一的規格及監管，部分生產商為了搶銷量降成本，退而求其次地犧牲網絡安全性，卻令 IoT裝置安全漏洞百出。企業要借助IoT拓展業務就不能過於大意，否則便有如大開中門，「邀請」黑客隨意出入。 物聯網普及 提升自動化及數據分析 IoT的應用層面非常廣泛，例如網絡監控鏡頭、溫度及濕度感應器、防漏水感應器、智能門鎖、電力監測系統、智能燈光系統等，最大優點是可讓作業自動化完成，減少人力成本。此外，IoT 應用亦逐漸與傳統的 IT 系統結合，包括操作型科技系統 (Operation Technology, OT）、工業控制系統（Industrial Control…

一講起美國頭號通緝犯，大家都會以為係拉登呢類恐怖分子……我估直到上個月都可能係，但由今個月開始就有變喇！ 事關美國司法部十二月初出咗個新嘅通緝令，通緝俄羅斯一個叫 Maksim V. Yakubets 嘅人，懸紅高達 500 萬美元，500 萬美元算唔算多，我唔敢講，但係今年司法部喺拉登死後通緝佢個仔，都只係出 100 萬美元啫，咁呢位 Yakubets 先生睇嚟份量都有返咁上下！ 佢到底做過乜嘢事，要搞到美國政府咁高調通緝呢？原來Yakubets早年成立咗一個叫 Evil Corp 嘅組織，一聽個名就知唔係好嘢，呢個組織由2011年開始，用自家研發軟件Bugat（又叫做 Dridex 同埋 Cridex）入侵目標電腦，取得對方嘅個人資料同埋密碼後，成功盜取佢嘅銀行存款，咁多年嚟大大話話偷咗過億美金（其中7000萬美金嚟自美國），但最令人頭痛嘅唔只係佢哋偷咗幾多錢，而係美國司法當局同…

踏入 2019 年最後一個月，各大網絡安全服務供應商都開始對來年業界進行預測。當中 Palo Alto Networks 專業領域亞太區安全總監 Kevin O’Leary 就認為有幾方面特別需要關注，同時亦就這幾方面提供建議。 解決4G漏洞救 5G Gartner 估計，2020 年全球 5G 無線網絡基礎設施的收入將會達到 42 億美元，較 2019 年大增 89%，而在不同國家亦已推出…

零信任（Zero Trust） 防禦策略，近年在網絡安全世界的呼聲愈來愈高，除了因為黑客千方百計鑽探零日漏洞（Zero Day Vulnerability），導致以偵測為主的網絡安全工具無用武之地外，還與人為疏忽有關。Menlo Security 提供的 Isolation Platform 隔離平台技術，就可 100 % 完全過濾潛伏於網站及電郵內的惡意攻擊，救企業於水深火熱之中。 人為失誤難防避 不得不承認，即使企業管理者投入大量資源聘用網絡安全專材、購置安全產品，以及為員工培訓，令企業的安全框架符合各種國際認證標準，但網絡安全事故依然從未停止。Menlo Security 大中華區總監徐伊芬（Yvonne）指出，「從事網絡安全服務多年，業界亦推出過不少產品，例如早期的 antivirus，到其後的 IPS（Intrusion Prevention…

今時今日，無論是 Startup 創業，又或配合 BYOD（Bring Your Own Device）工作趨勢，企業都有需要考慮建立一個優質的 Wi-Fi 無線網絡，以提升員工的工作效率及照顧客戶的需要。其實 Set up 無線網絡不一定困難，Aruba 專為中小企業而設的 Instant AP 無線網絡解決方案，單單靠 Aruba Instant AP 組成的無線上網陣式，已毋須再添置…

如果你收到一封電郵，抬頭係嚟自 xxx.gov 嘅，我諗你多數會傾向相信封電郵係嚟自政府部門，可惜呢個世界真真假假好難分，有人最近就試過，原來要申請 .gov，唔係想像中咁難。 有研究人員最近就做咗個實驗，試下一個普通人，到底申唔申請到 .gov 域名。佢先上網填咗份官方申請表，份表要求佢填行政、資訊科技同埋會計部嘅負責人資料，於是研究人員就用假嘅 Gmail 戶口同埋 Google Voice 號碼蒙混過去，跟住仲要求佢用部門信紙嚟打印張表格，佢又走上網是但搵咗個羅德島小鎮Exeter嘅政府信，剪貼個信紙抬頭嚟用，仲冒充埋自己係小鎮嘅市長，結果成功過關，幾日後就開通咗個 .gov 域名，易過借火！ 研究人員話，其實成個申請過程，除咗市長個名係真嘅，其他全部造假。起初佢諗至少域名審查部門點都會打個電話 check 一 check，佢填嘅幾位負責人係唔係真有其人，點知結果係連電話都冇收過。由於研究人員喺美國境內做呢個測試，係觸犯咗美國法例，所以佢一直都冇開名，只係將有關資料俾咗網絡安全網站 KrebsOnSecurity，等佢公開俾大家知，但研究人員就好擔心，如果有國家級黑客知道呢個方法，喺境外做呢件事，可以話係完全零成本，到時佢哋申請埋一堆域名，就可以為所欲為，甚至有機會擾亂埋下年大選結果。 就呢件事，KrebsOnSecurity…