近日有傳中國受水災影響，部分地區出現糧食危機，政府亦帶頭呼籲民眾不要浪費食物。除了天災之外，人禍也會引發糧食短缺，例如以色列安全專家就發現，由Motorola設計的智能灌溉系統在設計上缺乏安全考慮，竟容許用戶以出廠登入資料長期使用系統，只要黑客有心，隨時可摧毁大量農作物，製造糧食危機！ 為減少人力需求、降低成本，不少農場也會裝設智能灌溉系統，交由電腦自動執行灌溉、施肥、使用農藥等工作。可想而知，如未能及早發現系統損壞或運作異常，農作物的收成將會大受影響。而以色列安全公司Security Joes創辨人Ido Naor，就發現有超過100個Motorola ICC PRO智能灌溉系統的用戶，竟然未有為系統設定密碼，黑客只要使用Motorola預設的帳戶登入名稱如admin，即可遙距登入帳戶，修改智能灌溉系統的設定及執行異常灌溉指令，而且不會驚動Motorola及其用戶。Naor指出Motorola的ICC PRO雖然有安全保護，但由於未有強制用戶在安裝後更改帳戶登入資料，全靠客戶自律，結果情況就如許多IoT物聯網產品的用戶一樣，放任繼續使用原廠設定。 Naor說要找出這些系統並不困難，只要使用IoT裝置掃描器，就能輕易在網絡上搜出Motorola的ICC PRO。他已即時將研究報告通知以色列的網絡安全中心及Motorola，讓對方通知用戶盡快修改密碼，而Naor發現仍未修改密碼的用戶已減少至78個，不過由於研究已經公開，肯定會有黑客嘗試入侵這些用戶。 事實上，各國政府均意識到IoT產品的安全問題，並開始陸續規管生產商，例如美國於2020年1月1日生效的SB-327 Information Privacy：Connected Devices 條文，就限制生產商必須為每部產品設定獨一的出廠登入密碼，即使用戶未有更改，也不致被黑客以同一密碼大規模攻擊其他同廠產品。英國及澳洲政府亦有就IoT產品推出安全生製指引，但距離立法還有一段長時間，用戶現階段必須靠自己，例如定時更改帳戶登入資料、啟用2FA雙重因素驗證、持續更新官方發布的韌體更新等，雖然未必百分百安全，但也可減少大部分危機。 資料來源：https://zd.net/3kDpb9V

資安權威 Gartner 在 10 月 19 至 22 日舉行年度 Gartner IT Symposium/Xpo 2020，當中最注目的是其年度趨勢報告發表會，疫情下發佈會改為網上進行，主題當然圍繞著疫情怎樣影響企業營運模式，轉變又會帶來甚麼趨勢。這份報告一向獲業界高度重視，主流媒體都廣泛引用，到底動盪的 2021 年，各大企業的 IT 頭目需要注意甚麼？ 1.Internet of Behaviours…

在新冠肺炎肺炎疫情下，僱員在家工作是遙距營商的主要安排，遙距工作成為新常態「New Normal」。而視像會議已變成工作和生活的一部分，上班要參加或主持視像會議，而下班後又要教子女用視像會議上課，連老婆上的烹飪班，都話要用視像會議學餸。突然，原是 IT 從業員的你同我，都變成視像會議從業員，好像升了「呢」。 市場上視像會議軟件多不勝數，如老牌子 LogMeIn 的 Goto Meeting、CISCO 的 WebEx，新來的有微軟的 Teams、Google的 Hangout Meeting、Amazon 的 Chime等，也有其他人用專用的企業級視像會議系統，亦有人用 Facebook 的 Message及微信 (WeChat) 來做視像會議或電話會議，五花八門，各適其適。我個人比較喜歡用 Zoom (https://www.zoom.us/)， 因為其免費版本功能已經非常強大，即使是收費版本也很便宜，只需美元 14.99 一個月，購買一年的費用是美元 149.9，性價比相當高。因為可以月付，很多企業在「遙距營商計劃」中，都是用 Zoom 作為「網上會議工具」為其主要的申請項目。下一篇 Zoom の 謎思，將會詳細探討這間在 2019…

對企業來說，阻止網絡攻擊絕對是與時間競賽。無論是發現及堵塞安全漏洞，抑或是阻止黑客入侵，稍遲一分鐘，後果也可以很嚴重。即使企業有資源購買網絡防禦工具，在業內人手嚴重短缺的情況下，也難以及時處理鋪天蓋地的安全警報；再加上隨著業務擴充，無可避免需要更多不同類型的防護，警報數量勢將有增無減，累積的警報有如計時炸彈，令企業管理者難以心安。企業要徹底走出網安死胡同？其實答案早擺在眼前。 安全專家全球缺人 網絡安全研究組織 Cybersecurity Ventures 早前發表報告，預計 2021 年全球有關網絡安全的職位空缺會高達 350 萬，較 2013 年的 100 萬空缺大升 2.5 倍。亞洲最大的純網絡安全服務提供商 Ensign 香港區總經理蘇詠雯（Cat）認同情況相當嚴峻，「企業現時面對很多挑戰，例如多年來採用的各種安全工具無法溝通，必須交由安全專才獨立分析及管理；即使部分客戶有自己的 SIEM（Security Incident…

網絡攻擊愈趨複雜及精密，加上銀行業又是公認的攻擊對象，面對如此高危的環境，香港金融管理局 (HKMA) 於2016年公布網絡安全防衛計劃 (Cybersecurity Fortification Initiative， CFI)，通過三方面提升金融業的網絡攻擊防禦力。其中之一的網路防衛評估架構（Cyber Resilience Assessment Framework， C-RAF）是一套以風險為基礎的評估框架，內裏的評估項目多達400多項，主要分為三個部分。 首先是自身固有風險 (Inherent Risk Level) ，評估標準會根據銀行採用的科技、服務渠道、以往被攻擊的記錄等因素作評級(High、Medium、Low) ；其次會通過審核現有的安全措施，包括監管、偵測機制、保護工具、危機管理及應對政策，以釐定網絡安全成熟度 (Advanced、Intermediate、Baseline) 。如果審核評分未能達到固有風險評估的相對要求，銀行就要按照金管局建議的改善措施提升安全成熟度，直至合符相應的要求。如果金融業的固有風險達到中至高程度，就必須實施網絡攻擊模擬測試iCAST (Intelligence-led…

疫情推動「宅經濟」，加速企業雲端化進程。市場研究機構 Gartner 估測，2020 年全球雲端運算市場估值達 2,498 億玩，預計 22 年升最少 25％ 至 3,312 億美元，所以在經濟低迷下，雲端服務板塊股價逆市攀升。雲計算服務平台 Nutanix 詢問 650 位 IT 決策人，95％ 認為混合雲上的持續性 IT…

資安需求日益增加，企業資源分配越見重要，尤其疫情之下，Budget 緊絀。剛過去的 Gartner Security ＆ Risk Management Summit 2020 上，其 Senior Director Analyst Brian Reed 指出，很多企業都用過多時間追求不存在的徹底方案，因此忽略基礎工作。綜合與會專家意見，得出以下 10 個重點 Projects，供各資安主管參考，編入 2021…

面對陌生電郵大家可能有防備心，黑客都深明這個道理，所以也著力以不同方法，蒙騙受害人的眼睛，利用知名企業的牌頭發出信件，以圖令更多人中招。近日有電郵防護公司Confense進行打擊釣魚電郵活動，藉假冒知名資安培訓（Security Awareness Training）公司KnowBe4，發出培訓活動提示，但實際上這是一封「釣魚電郵」，旨在提醒用戶不要中招。但驟眼看來幾可亂真，而且還會自圓其說 ⋯⋯ 釣魚攻擊老是常出現，所以資安培訓公司提供課程，讓企業可安排員工上堂，以判斷惡意攻擊電郵。Confense以假冒KnowBe4名義，模擬黑客手法，發出電郵邀請接收者登錄防止釣魚行為培訓，並以課程提示加上截止日期作為信件主題，要求參加者24小時內回應。 正所謂「做戲做全套」，電郵內還鄭重的提醒一眾會員，活動不能在KnowBe4的平台登記，而附帶的連結是外部連結，試圖降低收件人戒心。當他們點進網頁，便會要求他們輸入個人 outlook 資訊作登入用，繼而索取更多個人資訊及電郵密碼等。即使曾接受辨別釣魚電郵訓練的人，稍一不留神，也有機會中招！ 除了可依靠電郵防護公司的服務，阻擋這類假電郵落入收件箱外，亦可參考以下自保招式：細心留意信中附有的URL是否有古怪，倘有懷疑即聯絡網絡管理員，以確認電郵的真確性。而如果這是辨識釣魚電郵的訓練，收件人又能成功洞悉「奸計」，便可以放膽通知負責人，順利通過測試了！ 資料來源：https://bit.ly/2FFpq4N

全球網絡保安領導廠商Forcepoint今日宣佈其雲端原生SASE解決方案推出全新套裝Dynamic Edge Protection，包括全新Cloud Security Gateway及Private Access，為業界提供最全面的網絡安全產品組合，以解決企業實踐在家工作所面對的網絡安全、威脅防護、安全瀏覽及數據保護等問題。 據Gartner於2020年6月30日發佈由Neil MacDonald and Joe Skorupa撰寫的報告《2020年網絡安全技術成熟度曲線報告》，當中提及真正的SASE是雲端原生的，可動態擴展及於全球存取，並以微服務及多租戶技術為基礎。由於要滿足廣泛的使用情境，服務涵蓋的範圍亦十分廣闊，相信2020年只有少數供應商提供完整的解決方案。報告同時指出SASE能為企業的基礎架構與營運（I&O）及保安應變團隊提供一站式及全面的網絡安全服務，從而解決企業在數碼轉型、邊緣運算及流動辦公上遇到的問題。這使新一代數碼化企業在不同的使用情境下（例如在數碼生態系統及流動辦公方面），具有更高的易用性，同時通過合併供應商及取消專用電路來降低成本及複雜性。 為業界首個真正以數據為本SASE解決方案 Dynamic Edge Protection讓企業能使用雲端改變其網絡和安全架構，簡化連接並透過整個分佈式應用程式和網絡環境，統一實施安全政策，產品融合雲服務、Cloud Security Gateway及Private Access，可為全球企業提供更具透明度、更好的控制和防護，讓員工無論在哪裏工作，都能避免數據受到威脅和遺失。 Cloud Security…

新冠肺炎爆發至今，全球工作模式轉型， Work From Home 成為新常態，而這個新常態亦加速使用雲端系統工作的進展，不少企業投放更多資金於雲端系統中，以增加工作效率，不受制於辦公空間。 雲端工作雖然帶來方便，但亦隱藏危機！黑客或會覷準機會，入侵系統令企業蒙受損失。來自四間 IT 界企業，包括 Green Radar、Hyperides、Sereno Cloud 及 Veeam Software 的講者，將會各自就雲端應用的層面作分享，涉獵電郵攻擊、雲端安全、數據恢復等題材，助你預先掌握如何把關自己公司的雲端資產。 立即報名參加網上研討會！活動費用全免。參加是次 Webinar，更有機會贏取價值港幣＄200 的 HKTV Mall…