美國總統大選在即，Trump 雖然經常抨擊對手 Biden 低智商，但今次 Biden 終於可以盡情恥笑 Trump，事關侵侵的 Twitter 帳戶最近被踢爆無用 2FA(two-factors authentication) 之餘，更有安全專家在5次機會內猜出他的帳戶登入密碼，發圖證明自己成功進入侵侵帳戶，認真無面。 成日用 Twitter 發表自己政見的侵侵，帳戶有八千幾萬人關注，影響力非常大。早前侵侵的帳戶未有成為 Twitter 加密貨幣欺詐事件受害者，等大家以為他及 Twitter 在保護帳戶上做好功夫，不過，四年前曾成功進入侵侵帳戶的荷蘭安全專家 Victor…

自己友與外敵相比，前者絕對更難防備，因為大部分公司對抵禦外敵早有預備，誰又會預料陣中原來有「二五仔」潛伏？如何讓公司免於被突然出賣的危機？又如何在大數據年代中，於海量資料裏搜集及分析出網絡攻擊的源頭，揭穿用戶異常行為？要揪出公司中隱形黑手，以下兩項技術你不得不認識： Exabeam 的 UEBA （User and Entity Behavior Analytics）技術，能有效在短時間內偵測攻擊，極速分析數據，從用戶細微的異常行為中發現威脅， 讓內鬼無所遁形！而 TrapX 則可循黑客思路，設下陷阱，偽裝被他們攻擊，在難分真與假的情況下，令黑客陷入當中，但又未能盜取機密資料。 誠邀閣下出席是次網上研討會，探討如何透過整合 Exabeam 及 TrapX 技術，從使用者的存取行為中，有效辨識其異常行為，並自動作出即時處理，保障公司重要資產。 參加研討會問答遊戲，更有機會獲得 HKTV Mall HKD200…

對企業來說，阻止網絡攻擊絕對是與時間競賽。無論是發現及堵塞安全漏洞，抑或是阻止黑客入侵，稍遲一分鐘，後果也可以很嚴重。即使企業有資源購買網絡防禦工具，在業內人手嚴重短缺的情況下，也難以及時處理鋪天蓋地的安全警報；再加上隨著業務擴充，無可避免需要更多不同類型的防護，警報數量勢將有增無減，累積的警報有如計時炸彈，令企業管理者難以心安。企業要徹底走出網安死胡同？其實答案早擺在眼前。 安全專家全球缺人 網絡安全研究組織 Cybersecurity Ventures 早前發表報告，預計 2021 年全球有關網絡安全的職位空缺會高達 350 萬，較 2013 年的 100 萬空缺大升 2.5 倍。亞洲最大的純網絡安全服務提供商 Ensign 香港區總經理蘇詠雯（Cat）認同情況相當嚴峻，「企業現時面對很多挑戰，例如多年來採用的各種安全工具無法溝通，必須交由安全專才獨立分析及管理；即使部分客戶有自己的 SIEM（Security Incident…

防火牆都可以減肥瘦身，清除多餘設置，運行得更順暢？你沒有看錯，只要用超強神器 FireMon ，就可以作「全身檢查」並快速為防火牆「減肥」，同時解決 compliance、orchestration 以及 vulnerability management 的管理問題，現在還有一次免費檢查機會，立即往下看了解 FireMon 的服務特色！ FireMon 為業界最頂尖嘅網絡安全策略管理工具，協助大型機構管理複雜網絡結構，在防火牆管理上，是業界表表者，主要有三大強項包括： 一、持續合規。能協助機構有效監管網絡運作，尤其是防火牆管理，最重要是能幫助機構持續達到金管局的審核要求，為企業內部審計做好準備。另外，FireMon 亦具備充足靈活性，可客製化審核評估，對於做 HKMA 報告以及通過 PCI、NIST、CIS 等法規尤其關鍵。 二、Policy orchestration。FireMon…

Google 近年不斷強化用戶的私隱保護功能，例如招聘特別安全人員去篩選 Google Play Store 上的可疑 Android app ，加強 Android 11 作業系統的安全功能。而在最新推出的 Chrome 瀏覽器版本86上，亦特別加強密碼管理、反下載惡意程式方面的功能，一定要盡快更新。 去年 Google 推出 Chrome 79 時，新增…

網絡攻擊愈趨複雜及精密，加上銀行業又是公認的攻擊對象，面對如此高危的環境，香港金融管理局 (HKMA) 於2016年公布網絡安全防衛計劃 (Cybersecurity Fortification Initiative， CFI)，通過三方面提升金融業的網絡攻擊防禦力。其中之一的網路防衛評估架構（Cyber Resilience Assessment Framework， C-RAF）是一套以風險為基礎的評估框架，內裏的評估項目多達400多項，主要分為三個部分。 首先是自身固有風險 (Inherent Risk Level) ，評估標準會根據銀行採用的科技、服務渠道、以往被攻擊的記錄等因素作評級(High、Medium、Low) ；其次會通過審核現有的安全措施，包括監管、偵測機制、保護工具、危機管理及應對政策，以釐定網絡安全成熟度 (Advanced、Intermediate、Baseline) 。如果審核評分未能達到固有風險評估的相對要求，銀行就要按照金管局建議的改善措施提升安全成熟度，直至合符相應的要求。如果金融業的固有風險達到中至高程度，就必須實施網絡攻擊模擬測試iCAST (Intelligence-led…

疫情推動「宅經濟」，加速企業雲端化進程。市場研究機構 Gartner 估測，2020 年全球雲端運算市場估值達 2,498 億玩，預計 22 年升最少 25％ 至 3,312 億美元，所以在經濟低迷下，雲端服務板塊股價逆市攀升。雲計算服務平台 Nutanix 詢問 650 位 IT 決策人，95％ 認為混合雲上的持續性 IT…

網絡安全研究人員披露常見防毒解決方案中，所發現的漏洞，竟然提升了黑客特權，令惡意軟件能夠在入侵系統後橫行！CyberArk Labs 一份報告指出，高特權經常與反惡意軟件產品有關聯，使它們更易受檔案攻擊，繼而令惡意軟件在系統上獲得更高權限。這些受影響的防病毒解決方案，來自 Kaspersky、McAfee、Symantec、Fortinet、Check Point、Trend Micro、Avira 和 Microsoft Defende，現時每個解決方案均已由各自的供應商修復。 這些漏洞中最嚴重的是黑客能在隨意在不同位置刪除系統中的檔案，或者造成檔案損毁。根據 CyberArk 研究，這些錯誤是由 Windows 的「C：\ ProgramData」文件夾的默認 DACL（Discretionary Access Control Lists）所造成，令用戶在程序存取數據，無需其他權限。所以當每個用戶都有在基本目錄（Base level…

一場疫症，令工作模式、生態來個大變身，很多常規的訓練或技術都因時改變；而網絡安全相關的訓練，也需重新啟動接軌，以增強效率。有研究指出，針對釣魚郵件的應對訓練減少，辨識能力會隨時間下降，一個不留神就大件事。USENIX SOUPS上個月舉行的安全會議上，建議讓員工在釣魚行為的安全意識方面的訓練，每半年一次。 由於德國公共行政部門下的組織機構員工，需要進行強制性網絡釣魚意識培訓，當地多間大學因利成便，向409名隸屬國家地理信息及狀況部門 (State Office for Geoinformation and State Survey, SOGSS) 人員進行研究，以了解他們的訓練成效，以及他們的辨識能力會否隨時間而下降。這班受訪人員分成5個組別，並按他們接受釣魚意識訓練後4個月、6個月、8個月、10個月及12個月作測試。 研究人員發現接受測試的員工中，在接受訓練課程4個月後，仍能準確辨別釣魚電郵，但在接受訓練課程6個月或以上的群組，就需要重新再接受訓練。與此同時，研究小組亦設置四種形式「補習班」，包括文本、影片、互動例子、短文，為這班受訪者在受訓後6個月後及12個月後，補充防釣魚知識。四種補習班的內容中，以影片及互動例子效果最顯著，影響力能維持至少6個月。 學者總結出持續讓員工接受釣魚辨識訓練，能有效地協助其所屬部門阻擋部分攻擊，只要定期每6個月進行重複的訓練，並交替以不同的方式如影片及互動例子等，便能持之有效。 資料來源：https://zd.net/3mPZmog

為求保障，網絡安全產品服務不可或缺。然而，所有網絡安全背後的 final boss，始終是背後操控一切的人類。KnowBe4 與 SoftwareOne 聯合主辦的網絡研討會，將探討社會工程師及騙徒如何設局，或以不同手段誘使受害人順從吩咐，讓你識破詭計，掌握 OODA (Observe, Orient, Decide, Act)循環方法，免墮陷阱！ 是次 Webinar 由全球最大的「安全意識培訓平台」供應商 KnowBe4 亞太區網絡安全意識倡導者 Jacqueline Jayne 及 SoftwareONE…