對企業來說，阻止網絡攻擊絕對是與時間競賽。無論是發現及堵塞安全漏洞，抑或是阻止黑客入侵，稍遲一分鐘，後果也可以很嚴重。即使企業有資源購買網絡防禦工具，在業內人手嚴重短缺的情況下，也難以及時處理鋪天蓋地的安全警報；再加上隨著業務擴充，無可避免需要更多不同類型的防護，警報數量勢將有增無減，累積的警報有如計時炸彈，令企業管理者難以心安。企業要徹底走出網安死胡同？其實答案早擺在眼前。 安全專家全球缺人 網絡安全研究組織 Cybersecurity Ventures 早前發表報告，預計 2021 年全球有關網絡安全的職位空缺會高達 350 萬，較 2013 年的 100 萬空缺大升 2.5 倍。亞洲最大的純網絡安全服務提供商 Ensign 香港區總經理蘇詠雯（Cat）認同情況相當嚴峻，「企業現時面對很多挑戰，例如多年來採用的各種安全工具無法溝通，必須交由安全專才獨立分析及管理；即使部分客戶有自己的 SIEM（Security Incident…

網絡攻擊愈趨複雜及精密，加上銀行業又是公認的攻擊對象，面對如此高危的環境，香港金融管理局 (HKMA) 於2016年公布網絡安全防衛計劃 (Cybersecurity Fortification Initiative， CFI)，通過三方面提升金融業的網絡攻擊防禦力。其中之一的網路防衛評估架構（Cyber Resilience Assessment Framework， C-RAF）是一套以風險為基礎的評估框架，內裏的評估項目多達400多項，主要分為三個部分。 首先是自身固有風險 (Inherent Risk Level) ，評估標準會根據銀行採用的科技、服務渠道、以往被攻擊的記錄等因素作評級(High、Medium、Low) ；其次會通過審核現有的安全措施，包括監管、偵測機制、保護工具、危機管理及應對政策，以釐定網絡安全成熟度 (Advanced、Intermediate、Baseline) 。如果審核評分未能達到固有風險評估的相對要求，銀行就要按照金管局建議的改善措施提升安全成熟度，直至合符相應的要求。如果金融業的固有風險達到中至高程度，就必須實施網絡攻擊模擬測試iCAST (Intelligence-led…

資安需求日益增加，企業資源分配越見重要，尤其疫情之下，Budget 緊絀。剛過去的 Gartner Security ＆ Risk Management Summit 2020 上，其 Senior Director Analyst Brian Reed 指出，很多企業都用過多時間追求不存在的徹底方案，因此忽略基礎工作。綜合與會專家意見，得出以下 10 個重點 Projects，供各資安主管參考，編入 2021…

成日都話要加裝新一代電郵防護系統，究竟有幾重要先？答案係因為黑客經常搞新意思，用唔同手法避過傳統電郵防護之餘，減低你嘅警覺性，一唔小心 click 咗入面嘅連結，輸入的帳戶登入資料就好易被偷。好似新一波釣魚攻擊，就直頭喺真嘅官方網站上造假，問你點防備？ 根據 Cofense 最新的釣魚攻擊調查，發現有黑客開始利用一種常見於 Android 手機上、專門用作偷銀行或信用卡資料的疊影﹝overlay﹞技術。黑客首先會假扮成目標人物嘅 IT 部同事，發出電郵指佢嘅郵箱正被隔離，如果唔點擊連結登入，就會喺指定時間刪除所有郵件，令目標人物即刻做嘢阻止慘劇發生。 而當目標人物點擊連結後，就會跳轉去一個同佢相關嘅網頁如公司官網，舉例用緊 Microsoft 電郵，就會去到真正嘅 Microsoft Outlook 版面，再巧妙地喺上面覆蓋一個登入帳戶視窗，同時預先輸入目標人物嘅電郵，大大增加輸入資料嘅可信度。由於網站係原裝正貨，所以就算目標人物識得去檢查網址有無古惑嗰陣，都唔會查到啲乜嘢，結果就會信以為真，乖乖交出登入密碼。 在真網站上疊加假登入帳號視窗 好喇，咁加裝新一代電護防護工具又有乜用呢？我哋請教咗本地電郵安全專家 Green Radar，以旗下的…

日前，一名匿名黑客在論壇上發布了 900 多個 Pulse Secure VPN 企業服務器的用戶名稱、密碼以及許多其他敏感資料。攻擊者可能利用了去年九月發布的 CVE-2019-11510 安全漏洞，以攻擊具有相關安全漏洞的系統。 以上新聞可能爲大家帶來啟示：儘管許多人認為 VPN 對於所有需要在家辦公的員工來說，是一種安全的解決方案，但我們都必須意識到——VPN 只是保護系統安全和數據隱私的眾多安全層之一。 在沒有其他適當的安全層情況下，將 VPN 部署為唯一的安全控制層，會給許多公司帶來「很有安全感」的錯覺。而事實是，黑客透過 VPN 入侵的實例比比皆是，近期較熱門的事例便有三菱電機 VPN 攻擊和…

睇開我哋嘅報導，應該知道而家喺盜用信用卡資料嚟講，邊個黑客集團最離譜。無錯，就係 Magecart 嘞。呢個慣犯好棘手，佢最叻就係喺網購網站加入一段好短嘅惡意程式碼，靜靜雞偷走用戶去網站買嘢時輸入嘅信用卡資料，英國航空、TicketMaster、Newegg、Forbes 等等好多大企業都中過佢哋招，有網絡專家調查後發現，Magecart 由2010年到而家，已經發展成超過十個小組，每個小組所採用嘅手法都唔一樣，而且愈後期出現嘅團隊，手法就愈複雜，增加偵查難度，真係搞到人人自危。 最近網絡安全專家 RiskIQ 又發表咗份報告，話 Magecart 攻陷嘅網站愈嚟愈多，而家已經超過 200 萬個網站中招，其中好多大企業都採用嘅網購平台 Magento 同埋 Opencart，更加係重災區。RiskIQ 專家話單係用 Magento 網購平台嘅已有 9,688 個網站存有…

作為資安長老，有很多朋友向我查詢 CISSP、 CISA（Certified Information Security Auditor）及CISM (Certified Information Systems Manager)三個保安認證資格中，哪一個比較易應付？各自的職場發展機遇如何？另外，為何有些培訓中心提供三合一課程？應該逐個修讀還是一併報考？ 三種證書，各擅勝場 根據資安長老多年教授 CISSP、CISA 及 CISM 的課程經驗，我的建議還是應該先了解每個證書的認證要求，再根據自身條件，訂立學習計劃。說到要考取上述認證的方程式，我認為必須預留半年或以上時間準備，課程編排最好是每星期一次，並於每個周末抽出 4 小時溫習，勝算便很高。讀者看完今次關於 CISA 及…

今個月中，Microsoft 為旗下 Windows 作業系統推出更新檔，用嚟修復一個重大嘅漏洞。呢個稱之為 BlueKeep 嘅安全漏洞牽連有幾大？只要睇 Microsoft 連已經停止支援嘅 Windows XP 及 Windows Server 2003 都照顧埋，就知可以好大鑊。而喺上個周末，網絡安全公司發現黑客終於出手喇！ 系統漏洞無法防避 網絡安全專家指出，編號為 CVE-2019-0708 嘅 BlueKeep…

特權帳號管理方案領域上，CyberArk 絕對是龍頭，去年就繼續被 Gartner 欽點評為 Leader 了。最近，CyberArk 特別舉辦了 CyberArk Refresh，從 Endpoint、Cloud、DevOps 等不同角度介紹 CyberArk 強大功能，幫助用戶更好地發揮手中利器。 CyberArk 活動由 Jack Poon 揭開序幕，Jack 指出 Gartner…

美國國家反情報與安全中心（National Counterintelligence and Security Center，NCSC）表示，美國企業一向是國家級黑客的目標，NCSC 日前推出一系列宣傳品教導企業對抗網絡攻擊。 美國企業被黑攻擊頻繁，資料外洩、供應鏈遭滲透、情報遭截取等事故屢見不鮮，代價沈重，甚至危及國家安全。而且不少攻擊模型屬「國家級」的，NCSC 舉例去年 3 月來自伊朗的大規模網絡攻擊，竊取美國企業及超過 144 間美國大學的研究成果、3 月 發現由俄羅斯政府主導，偵測美國的能源部網路，還有 9 月北韓的 WannaCry 2.0 攻擊。因此，NCSC 推出網絡安全宣傳活動，以提高國民及企業意識。最新推廣活動名為「Know…