礙於營運成本，中小企業難以投入大量資金聘請安全專家、購置安全工具。有調查報告顯示小企業 CISO 明言無法阻擋入侵，而人手短缺更令安全工具無法被妥善運用。矛盾難解決？答案就是將網絡安全工作外判，或交由託管公司代管 (MSP)，便可借助對方的安全專家及先進的安全工具，守護公司。 早前生產力局轄下香港電腦保安事故協調中心（HKCERT）公布2020年網絡保安事故統計數字，指出上年處理了 8,346 宗安全事故，雖然數字上較 2019 年下跌 12%，但由於只是經 HKCERT 處理的個案，未有尋求協助的個案相信還有很多。而 HKCERT 方面亦呼籲企業盡快為新常態和新技術制定網絡保安策略，以應對因新冠疫情而加速的數碼轉型，以及 5G 通訊、物聯網和人工智能技術的廣泛應用。 作為守護公司大門的網絡安全團隊，自然不可能鬆懈，因為網絡攻擊招數層出不窮，加上黑客已不會只針對大企業或金融業發動攻擊，各行各業的中小企亦成為目標，對資源有限、人手緊絀的小團隊來說，難免每日生活在惶恐中。 新公布的一份調查報告《2021 Survery of…

數據加密與高速資訊儲存，從來就像水溝油，沒有並存空間。 科技界這一大困局，最近就由 Multisoft 聯同 Thales 及 PureStorage 攜手打破。數據加密與儲存系統的兩大科技界龍頭，合作推出簡稱 CTE的解決方案，CipherTrust Transparent Encryption – Efficient Storage，首創在點對點加密的環境下，仍可維持高壓縮比率，令用家同時做到防止數據洩漏及節省 Storage 成本。 CTE 背後的原理是甚麼？實際環境下可為企業節省多少成本？操作上是否很複雜？ 想知道更多有關 CTE…

新加坡政府一向希望取代香港的亞洲金融中心地位，而在維護網絡安全政策方面，反應更比港府敏捷得多。最新動作是修改了金融業的科技風險管理指引，強調行業必須加強對第三方服務供應商的規管，相信跟近年頻頻發生的供應鏈攻擊 (supply chain attack) 有絕大關係，例如令人聞風喪膽的 SolarWinds 事件…… 現時金融業在發展網上業務時，傾向與第三方服務供應商合作，例如 IT 管理工具、數據備份及災難復原服務等，雖然金融業本身有嚴格的網絡安全法規要遵守，但在第三方服務供應商上卻難以監管，黑客組織自然會捨難取易，選擇向這些服務供應商發動攻擊，從而入侵金融機構。最近 SolarWinds 火燒連環船事件就可看出，如果能成功入侵第三方服務供應商，成效有可能更大。 而今次新加坡金融管理局修訂的科技風險管理指引，明顯針對供應鏈攻擊而來，因為在新指引下，金融業必須嚴格監督第三方服務供應商，同時亦就任命第三方供應商及高級 IT 管理人員方面提供建議，例如必須嚴格監管對方員工是否有足夠的技能或證書，而在聘用 CIO 或 CISO 等職位時，亦要考慮對方是否持有相關的認證。在兩方面配合下，便能確保服務供應商有高規格安全標準之餘，金融機構內部亦有懂得如何監管服務供應商的能力。 此外，新加坡金管局亦規定金融業界必須確立網絡威脅情報分享平台，交換彼此收集到的網絡威脅資訊，以供業界定期進行內部滲透測試，堵塞可被入侵的漏洞。在這方面，雖然香港金管局推出的網絡安全防衛計劃…

在數碼轉型的大勢所趨之下，很多公司已將數據資料庫交由雲端處理，更有不少企業採用 Hybrid Cloud，運用多個 Public Cloud 及 Private Cloud，具有高度可靠性，讓企業能按安全性等考慮，靈活部署在公共或私有基礎架構（infrastructure）環境中的工作負載，根據需要將工作分散在不同的雲上，並滿足 Compliance 的要求。使用 Hybrid Cloud 時，企業或遇到以下幾個難處： 1.使用 Hybrid Cloud 時，企業最大的困擾必然是兼容性問題，例如最多企業使用的 AWS、Azure、Google Cloud 等，不同的雲端服務供應商有各自的管理平台及工具，未能集中管理。…

通訊軟件 WhatsApp 近排因有新用戶條款，要求用家與 Facebook 共享資料，爆發私隱危機。鬧得熱烘烘之際，有印度媒體揭發，Google 再次將 WhatsApp 群組聊天連結編入索引，此舉意味著任何人都能以簡單搜尋發現有關連結，繼而進入私人群組！ WhatsApp 今次所面臨的安全危機，是因為 Google 一共為 4,000 多個邀請加入私人聊天群組的連結作索引。WhatsApp 發言人 Alison Bonny 表示，（群組聊天連結）就如在可搜索的公共渠道中，能搜尋得到的所有內容一樣，因此在互聯網上公開發布的 WhatsApp 邀請連結，也會在搜尋頁面中找得到。Bonny…

在新冠炎肺疫情反反復復的情況下，新經濟常常受到衝擊，各地股市市場指數大上大落，疫情受控或疫苗開發有望，舊經濟抬頭，而疫情不受控或疫苗開發，又阻礙新經濟開動。Zoom Video Communications Inc. 作為新冠炎肺疫情必須的「網上會議工具」，又有「在家工作受益股」的綽號，有人認為她是比騰訊更騰訊，比 Tesla 更 Tesla 的新經濟公司。Zoom 在 2019 年 4 月在美國 NASDAQ 股票市場上市，IPO 以每股 36 美元上市，疫情下最高價位每股達 588…

黑客肆虐，令「疫情、新常態、黑客機遇」概念突破資安圈，各行各業漸漸覺悟，明白後疫情年代適應資安生態劇變的逼切性，又以醫療產業感受至深。 自疫情籠罩美國，紐約皇后區 Elmhurst Hospital 每日湧現數以百計病人，其中一名向《The New York Times》訴苦，以「災難」形容醫護周旋於 PPE、呼吸機、照顧病人、培訓臨危受命的新手間。而事實上，醫院 IT 部門狀況亦不遑多讓，隨著病人數目增加，遠程問診系統、收費系統、醫療器材聯網、視像會議平台等使用壓力幾何級暴增，黑客亦趁亂打劫，同期對醫療體系發動的黑客攻擊增幅達 150％，有黑客搶奪病人資料在黑市倒賣或後續進行詐騙，亦有黑客透過 Ransomware 以垂危病人為人質，要脅醫療機構就範。跟小型醫院與 NGO 醫療機構合作超過 10 年的資安與創新專家 Beau Woods 分析，前線醫護在疫情間盡忠職守，大眾視為抗疫英雄，但如果斷網，病人接受的醫療服務質素一定受到影響，甚至超出負荷。而眼下黑客正利用疫情，蜂湧攻擊醫療機構。 疫情前資安專家早已預警，胰島素注射泵或自動體外心臟去顫器等醫療器材長年欠更新、或使用 Window XP 等有漏洞的傳統系統，均構成極大資安風險。美國 FDA 去年發出警告，Medtronic MiniMed 胰島素注射泵有漏洞，黑客可無線更改注射劑量，構成性命威脅，廠方暫時透過軟件更新堵塞漏洞。 總括而言，醫療機構本已深受不可逆轉的病歷數據化與在線醫療器材所衍生的資安漏洞困擾，後疫情下推行遙距問診，個人電子裝置收集的個人健康資訊，未來勢必成為一大資安問題。而即使醫療機構理解資安風險，卻未必可以投放相關資源。疫情下，醫院首要增加人手、採購呼吸機、PPE、COVID-19 試劑，但同時間，醫院要暫停主要收入來源的非緊急手術與門診，University of California at Davis 的醫生指，疫情下最艱巨的是資源分配決定。Reuters 報導紐約長老會教友決定順延所有非緊急手術，決定影響 10 間紐約區醫院。在緊絀資源下，前線比 IT 部門有資源優先權。 資安平台 SecurityScorecard 與 DarkOwl 聯合研調發現，疫情間黑客攻擊醫療機構的 Web Application、End Point 與 IP Address 分別有 16%、56% 與 117％ 增幅，而圍繞 COVID-19 的攻擊極具效率。攻擊形式中，Ransomeware 大行其道，疫情期間於美國錄得 109％ 增幅，亦有針對 COVID-19 疫苗策動的國家級黑客侵略。攻擊醫療機構的著名案例，要數 2019 年專門追討病患欠債的 American Medical…

常言道疑人勿用，應用在網絡世界亦然：由陌生人所寄發的可疑檔案也不要胡亂開啟，只要收到防毒軟件或電郵防護軟件發出警示，就切勿開啟檔案或附件。舉例來說，人事部經常會收到大量來自陌生人所發出的CV，而採購部日常工作亦是以電郵收發客戶訂單及邀請廠方報價，公司隨時因為一個員工誤開帶有病毒的電郵而「中伏」。在黑客橫行的時代，即使是由相熟客戶傳來的檔案，亦未必一定安全，員工固然要打醒十二分精神，但謹慎處理或令工作效率拖慢。 要打破困局、快而準偵測到電郵可疑附件？選用 Content Disarm & Reconstruction（CDR）+ Isolation 技術幫到你！立即報名參加 ReSec + Menlo Security 網上研討會，了解重建檔案技術如何快速清除隱藏陷阱，一次過提升公司網絡安全，與及員工工作效率。研討會中更設問答遊戲環節，有機會獲得HKTV Mall HKD200購物券！ 主題：Menlo Security & Resec Webinar日期：2020 年 11 月…

企業推動數碼轉型的進程，在疫情下步伐更見加速。透過雲端科技及各項人工智能，在企業推行遙距工作期間，仍能快速獲取數據，並提升工作效率；但與此同時對網絡安全的需求也相應增加，以保障資料機密並確保運作不受網絡威脅影響，令終端用戶在操控平台及儲取企業數據時更得心應手。科技巨頭 Microsoft 舉辦網絡安全峰會，夥同其他業界知名品牌：PwC Hong Kong、EY Hong Kong 及 Amidas，分享前瞻遠見。 今次網上峰會為第二年舉辦，去年吸引超過 200 來自不同界別的參加者。而今年的峰會冀讓來自不同行業的企業組織，在數小時內快速掌握後疫情時代下，如何做好有關資安的預備，了解如何應對安全威脅，同時了解最新的科技及趨勢，為2021年的來臨做好準備。有別於一般的網絡研討會，參加者更能獲得與網絡安全專家 1 對 1 的商談環節，雙向交流探討最新的資安趨勢和新興技術，交流創新意念及實踐方法，聯手阻止網絡攻擊，在 New Normal 下一起迎難而上。 活動分上下午兩節進行，並有來自 Microsoft 總部網絡安全部門的專家分享主講，包括 Ann Johnson (Corporate Vice President, Business Development – Security, Compliance & Identity, Microsoft) 分享後疫症時期世界網絡安全和合規性；Minoru…

Google 近年不斷強化用戶的私隱保護功能，例如招聘特別安全人員去篩選 Google Play Store 上的可疑 Android app ，加強 Android 11 作業系統的安全功能。而在最新推出的 Chrome 瀏覽器版本86上，亦特別加強密碼管理、反下載惡意程式方面的功能，一定要盡快更新。 去年 Google 推出 Chrome 79 時，新增…