Search Results: IoC (7)

    雖然多個勒索軟件集團近來被搗破,不過網絡安全業界普遍認為今年勒索軟件仍是企業頭號對抗目標。而美國 FBI 亦剛對釋出針對其中一個勒索軟件集團 LockBit 的防禦技術詳情及威脅指標 (IoC),其實只要跟著守則,基本上可防止其他勒索軟件入侵。 美國 FBI 在上周末突然釋出上文提及的資料,但就未有解釋背後原因,官方除了協助企業阻止 LockBit 入侵外,亦呼籲受害企業盡快向當地的 FBI Cyber Squad 通報,協助他們搜集更多攻擊詳情,包括入侵記錄、過程中與外地 IP 位址的連線資料、勒索信樣本、收取贖金的加密錢包網址、被加密的檔案樣本等,以提高其他美國企業的防禦力。 事實上 LockBit 近年在地下討論區的人氣的確急升,集團成立於…

    2020 年東京奧運會即使在疫情影響下,所有人都未能入場觀看全球盛事,但仍無阻黑客活動,不受地域所限的網絡世界,隨時帶來無窮商機,美國聯邦調查局 (FBI) 就警告,網絡威脅者可能會針對奧運會發動攻擊,雖然現時尚未發現任何攻擊東京奧運會的活動及相關證據,但都不能掉以輕心。 美國情報部門發布的一份私營行業的通知中提到,聯邦調查局至今未發現針對奧運會的任何具體網絡威脅,但提醒一眾合作夥伴應保持警惕,並在其網絡和數碼環境下保持最高度的防護。正如 FBI 所指,由犯罪分子或由國家支持的威脅參與者,或策劃針對東京夏季奧運會的攻擊,可能涉及DDoS攻擊、勒索軟件、社交工程、網絡釣魚活動或內部威脅等。 由於今年奧運會是第一個按照因疫情,而需要觀眾透過網上平台或電視廣播觀看比賽,所以更有可能吸引惡意攻擊者的額外關注。而他們的攻擊可能會造成賽事直播中斷,而攻擊者在將資料加密前或入侵 IT 系統後,便會洩露敏感數據,影響支撐奧運會的數碼基礎設施,其最終目標很可能是賺錢、散播混亂、增加其「知名度」、詆毀對手等。 而在今年稍早之前,已有 2020 年東京奧組委的數據遭到洩露。FBI 指出,在今年 5 月下旬,日本信息技術設備和服務公司 Fujitsu 披露一宗洩露其多家企業和政府客戶數據的漏洞,包括東京 2020 組委會和日本國土交通省。…

    現今遙距工作 (WFH) 成為新常態,但黑客的活動並没有停下來。近日有 FireEye 公司的 SolarWinds 門事件,不久前 Shopify 已確認發生客戶資料洩露,全世界的運作都因為疫情而慢下來,資訊安全人員卻馬不停蹄的工作再工作,加班再加班,日以繼夜,夜以繼日與黑客抗爭;在寫這篇文章時,看到 WhatsApp 群組上有朋友求救:他們公司的電腦系統被 CryLock 入侵,多部個人電腦的文件被 Ransomware 勒索軟件,事故的原因不是每部個人電腦已安裝了防病毒軟件,群組內大部分的意見是「死於自然」或「醫番都殘廢」、「安裝防病毒軟件是常識」。 群組裡後來談及 SOC 這個話題,有人提出有 SOC 就沒有資訊安全的問題;有人提出 SOC 是公司的核心,不能外判 (Out Source) 第 3 方公司營運;有人提出本地的 SOC 無料到;有人話資訊安全人員很難聘請,有人話 SOC 的收費或運作費用好貴,本地公司不能負擔;有人話…

    對企業來說,阻止網絡攻擊絕對是與時間競賽。無論是發現及堵塞安全漏洞,抑或是阻止黑客入侵,稍遲一分鐘,後果也可以很嚴重。即使企業有資源購買網絡防禦工具,在業內人手嚴重短缺的情況下,也難以及時處理鋪天蓋地的安全警報;再加上隨著業務擴充,無可避免需要更多不同類型的防護,警報數量勢將有增無減,累積的警報有如計時炸彈,令企業管理者難以心安。企業要徹底走出網安死胡同?其實答案早擺在眼前。 安全專家全球缺人 網絡安全研究組織 Cybersecurity Ventures 早前發表報告,預計 2021 年全球有關網絡安全的職位空缺會高達 350 萬,較 2013 年的 100 萬空缺大升 2.5 倍。亞洲最大的純網絡安全服務提供商 Ensign 香港區總經理蘇詠雯(Cat)認同情況相當嚴峻,「企業現時面對很多挑戰,例如多年來採用的各種安全工具無法溝通,必須交由安全專才獨立分析及管理;即使部分客戶有自己的 SIEM(Security Incident…

    思科(Cisco)分析上半年最常見嚴重網絡安全威脅遙測數據,發現以無檔案惡意攻擊 (fileless malware) 為最多。所謂無檔案惡意攻擊,即是惡意代碼在裝置記憶體運行,而不是以檔案模式存在於硬盤中。思科將Kovter、Poweliks、Divergent 以及LemonDuck 標示為最常見的無檔案惡意攻擊。 思科指出對端點第二類威脅是常在開發任務和開發後任務 (exploitation and post-exploitation tasks) 中所利用的雙重用途工具,例子包括 PowerShell Empire、Cobalt Strike、Powersploit和Metasploit。思科的研究人員表示,這類型的工具雖然能好好地用在如滲透測試 (penetration test) 的非惡意攻擊活動,但卻常被黑客利用作攻擊用途。而第三類威脅則是如 Mimikatz 的身份驗證和憑據管理系統,惡意攻擊者多數藉這類工具竊取受害者登入資訊。…

    新型冠狀病毒疫情雖然有緩和跡象,為保障員工安全,大部分企業繼續彈性安排員工在家工作,或將團隊分為 A、B Team 輪流上班,而會議大都改爲視訊進行。這些安排亦間接加速了企業工作流程的數碼轉型(Digital Transformation),例如有相關視訊程式的用戶數量就在一星期內錄得 25% 升幅¹。不過,讓員工帶手提電腦回家遙距工作(Remote work),等於離開公司的網絡防護罩,暴露於高風險網絡環境。再加上有網絡罪犯正恣意利用大眾對新型冠狀病毒資訊的需求,以不同手法包括假冒世界衛生組織(WHO)總幹事濫發電郵、假疫情追蹤地圖、爭相登記擬似「新型冠狀病毒」的域名,發送惡意釣魚電郵。形勢之危急,香港及全球企業都難以倖免。企業亦可於即日起至 2020 年 10 月 31 日下午 6 時前申請創新科技署推出的「遙距營商計劃」(D-Biz)²,以獲資助採用科技方案加强網絡安全,確保在疫情期間繼續安全營運。 輕率啟動 遙距工作陷阱重重 在啟動遙距工作模式前,企業或網絡管理者必須充分考慮網絡安全元素,當中包括以下幾點。 數據無加密:在公司內部網絡工作,可依賴防火牆阻擋外界攻擊。如遙距工作沒有採用虛擬私人網絡(Virtual…