公司日常運作很多時候要用上不同的應用程式及系統，而遊走各個數據庫，存取資料頻繁，都有機會令數據洩漏的風險增大，而密碼管理也是令企業頭痛的問題。CyberArk Idaptive 方案提供以雲端為本的 IDaaS （identity-as-a-service） 服務，集安全性、簡單性和易於管理及控制的特性於一身， 一個平台便可管理所有帳戶和裝置，對現時遙距工作 BYOD 的情況下，更為合用。是次Webinar 將探討由CyberArk 提供的擴展安全方案、使用 SSO (Single Sign-on) 簡化用戶登入應用程式存取，以及根據裝置內容的 MFA (Multi-Factor Authentication)應用程式存取等。 名額有限，立即報名！ 主題：Workforce Access Security Solution日期：2020 年 12 月 17 日（星期四）時間：3:30pm – 4:30pm語言：廣東話（含英文術語）網上留位：https://bit.ly/3geQJ3R

一場疫症，令大部分香港企業被迫急著數碼轉型，同時黑客亦覷準機會，大舉進攻港企網絡，當中不乏巨型企業中招，暴露了潛藏已久的企業網絡安全意識嚴重不足問題。PwC 網絡安全及私隱保護服務合夥人及 Dark Lab 創辦人顏國定透露，香港近期的網絡攻擊事件大幅上升約十倍。他分析情況指，港企的資安水平落後世界先進地方最少 5 年，主因沿於長久以來，香港社會針對網絡攻擊事件的透明度不足，造成企業以至大眾對網絡安全失去危機感。他認為，現時的監管機制只靠企業自願性披露，情況恐難改善。 香港網絡攻擊升十倍　勒索攻擊明顯進化 顏國定表示，在疫症爆發之前，經他團隊處理的本地網絡攻擊事故，一年平均約四十多宗。但疫症爆發至今，處理事故宗數大幅上升至幾乎一日一至兩宗，按此比例計算，升幅達十倍，而且黑客的攻擊手段亦越見高明。顏以勒索攻擊為例，以往黑客成功駭進企業系統，會短時間引爆病毒，癱瘓並鎖死企業系統，然後直接要求企業支付贖金，攻擊是一次性的。現在，黑客會先潛伏企業系統內一段時間（以香港情況，潛伏期大概一個月），期間黑客會偷偷在系統裝上電腦病毒及後門程式，並且盡量搜集企業的機密資料及客戶資料，之後等待適當時機，黑客就會「唧牙膏」式地攻擊，例如突然在社交媒體把企業的機密資料到處洩漏，並要求企業支付贖金；如果企業拒絕，黑客就會在對方疲於尋找解決方法時，再突然洩漏更多資料，甚至鎖死企業系統。這種持續性的攻擊，比起舊有模式，對企業造成更大恐慌和困擾，因為企業無法得知還有幾多機密資料和客戶私隱會被突然洩漏，相對地受害人就會更容易支付贖金。 長期認知不足　港企資安水平落後 顏國定亦指出，雖然香港企業在近期的數碼轉型風潮下，確實增加投放資源在網絡安全之上，但卻流於「買最貴的系統，但買回來後，從不善用」的層次，令到保安系統即使升級，仍未能發揮應有作用，有些大公司甚至連最基本的 MFA (多重認證）都未有實施。顏形容，港企的網絡安全水平落後世界先進國家五年，主要原因是社會對網絡安全意識長期不足，由市民大眾到公司企業，都不知道網絡攻擊的嚴重性，「連 MFA 這些低成本又有效的保安措施都嫌麻煩」。由於缺乏意識，因此由資訊安全的人材培訓，以至保安系統升級，都被長期忽視，結果現在急於數碼轉型的情況下，企業網絡保安錯漏百出，淪為黑客攻擊目標，「黑客其實都是漁翁撒網式在世界各地找獵物，所以哪裏防禦措施薄弱，哪裏就會成為黑客的天堂。」 監管靠自願披露　透明度不足恐難改善 針對社會整體對網絡安全意低下問題，顏國定認為，核心在於網絡攻擊事故的「披露（Disclosure）」不足，「香港現時的資安教育，很多時候是要求市民大眾『自己小心啲』，但人性在缺乏危機感下，必然會粗心大意。因此最有效的教育是增加危機感。」顏解釋，香港現時主要靠《個人資料（私隱）條例》要求企業自願性披露網絡攻擊事故，但由於欠缺約束力，企業為保聲譽，都會盡量低調處理，結果網絡攻擊事故鮮被曝光，社會大眾一直誤以為「風平浪靜」，自然不懂得去重視問題。他建議，政府可以借鏡先進國家，立法要求企業必須主動披露網絡攻擊事故，並為企業網絡安全措施要求，訂立清晰標準，以有效提高資訊透明度。「只有建立在有力的法律基礎上，企業才有不能迴避的責任，去披露資安問題的實際情況。當資訊的透明度有所提高，公眾認清事實，大家才會從日常生活中感受到網絡攻擊的嚴重性。於這樣的社會氣氛下，我們才能談得上以教育提高大眾以至企業的網絡安全意識。」

「疫情下企業節省資源」這句開埸白，全球和應，因為任何部門主管的 2021 Proposal 主題（其實 2020 下半年已經如是）都係開源節流，最好即日見效，而科技往往是關鍵。In House IT 團隊寧舍忙，既要好好制定自己的 Proposal，亦要擔任其他部門的技術顧問，雙重角色相當吃力。加上疫情間遠程工作，員工由使用統一企業設備變成私人家居設備，遠程 IT 支援就更考人，故科技對應的解決方案如 Self-Service Password Reset（SSPR），最近變成中小企 IT 群組熱話。 疫情下另一個歇後語係「每個部門都有難唸的經」，科技革命周期越來越短，員工的 IT 知識拉闊，醒目的更獨立，落後的更依賴 IT 技術支援。疫情間遠程工作，支援方式由面授轉為視像，更需時耗心力，部門主管不得不審視工作，重新規劃人手資源分配。根據資安研究團隊 Gartner Group and…

由 12345678 到 N 個數字加 N 個字母（大細階）加 N 個符號，密碼設定複雜過讀個學位 ，但複雜化趨勢，正正反映自設密碼，越來越不合時宜。Microsoft Identity Division 的 Corporate Vice President Joy Chik 指出，80％的黑客攻擊都係為咗用戶資料，亦即係 Login…

日前，一名匿名黑客在論壇上發布了 900 多個 Pulse Secure VPN 企業服務器的用戶名稱、密碼以及許多其他敏感資料。攻擊者可能利用了去年九月發布的 CVE-2019-11510 安全漏洞，以攻擊具有相關安全漏洞的系統。 以上新聞可能爲大家帶來啟示：儘管許多人認為 VPN 對於所有需要在家辦公的員工來說，是一種安全的解決方案，但我們都必須意識到——VPN 只是保護系統安全和數據隱私的眾多安全層之一。 在沒有其他適當的安全層情況下，將 VPN 部署為唯一的安全控制層，會給許多公司帶來「很有安全感」的錯覺。而事實是，黑客透過 VPN 入侵的實例比比皆是，近期較熱門的事例便有三菱電機 VPN 攻擊和…

日本攝影器材巨商 Canon 被爆遭知名勒索軟件 Maze 襲擊，導致 Canon email、Microsoft Team、美國官網等內部應用程式紛紛受影響，傳聞更指超 10TB 用戶資料被竊取。 直至截稿時間，Canon 美國官網仍無法進入 據 Bleeping Computer 爆料，Canon 美國分公司一員工昨日收到公司 IT 部通知，指公司多個內部系統及 20…

雲端應用雖然已大行其道，不過，不少企業管理者仍然無法信任其安全性。最近一份針對亞太地區企業進行的安全調查報告《Data Security APAC 2019》顯示，發展成熟的企業當中，只得 27% 認為公共雲（Public Cloud）有足夠的網絡安全功能。而整個亞洲區的企業中，有 73% 受訪者認為資料外洩是無可避免，這可能跟超過 75% 企業管理者未能了解如何可安全保護業務有關。 增加攻擊難度 企業要提升公共雲的防禦力，可從設定嚴緊的登入措施及加密數據著手。首先企業管理者要釐清各員工的登入權限，可有效阻止未獲授權的員工接觸重要的文件或作業；不過，如登入帳戶資料被盜取，黑客一樣可以登入雲端應用竊取資料，所以企業亦應考慮採用多重因素認證（Multi-Factor Authentication）機制，例如以 USB、藍牙硬體鎖作為 Security key，員工登入帳戶時必須持有這硬體鎖，這樣即使登入名稱及密碼外洩，黑客亦無法登入帳戶，減少公司機密資料被盜取的風險。 另一方面，雖然公共雲供應商有提供網絡安全措施，但客戶並不能單純依靠對方的防護，因為客戶本身存有分擔責任（shared responsibility），必須採取足夠的手段去保護儲存在雲端的資料，否則亦難以追討賠償。而要確保數據安全，最好便是選用加密技術，例如 tokenisation 或 cyptographic 等工具，將數據亂碼化或以金鑰作保護，即使數據被盜用，或於轉送中褒被攔截，黑客亦難以破解及還原數據的內容。 雖然 MFA 或 Tokenisation 都是非常有效的保護公共雲手段，但在今次調查報告中，企業的採用率都不高，前者少於 50%，後者更少於 20%。隨著全球各地陸續立法管制數據安全，資料外洩已不單只會影響商譽，更有可能為企業帶來災難性的金錢賠償，要避免企業營運陷入困境，由今日開始，就要立即採取措施，守好雲端上的數據。 （article sponsored by Edvance)