關公災難近來接二連三爆出，一班公關認真忙，緊急安排完深夜時分嘅記者會解畫都算，完會後又要再度新聞稿為解畫而解畫，心血少啲都應付唔嚟。不過，又唔係所有關公災難都由老闆或高層引起，有時公司其他團隊都無諗過出於好意會便咗踩地雷，認真難搞。 最新出事嘅係美國 Samsung 支援部，早兩日佢哋喺 Twitter 上開 tweet 提醒智能電視嘅用家，內文話唔單只要定期為電腦掃描惡意軟件及病毒，如果 QLED TV 有連接 Wi-Fi，都一樣要每隔幾個禮拜就要用內置嘅安全應用方案去掃描電視先得，同時仲提供埋手動啟用 QLED TV 安全系統嘅視頻。 成件事嚟到呢度都好正路，點知 Twitter 上嘅 followers 突然爆…

大企業要面對嘅其中一個網絡安全難題，就係公司嘅網絡、電腦設備太多，閒閒哋幾百部，每當要為其中某種設備進行系統更新，堵塞網絡漏洞，IT 部同事可能都會做到迷晒，做少幾部嘅甩漏情況時有發生；除此之外，為咗達到合規性經營同業界嘅安全框架要求，企業每年都要定時定候遞交各式各樣嘅國際標準報告作審計，耗費大量人力及時間寫報告。到底有無自動化審計及解決方法？答案當然係：有。 正如上面所講，要確保公司內部所有設備都同步 update 到最新系統版本，堵塞漏洞已經好難；如果要喺幾百部設備入面檢查有無漏洞存在就更難，一來要好多人手，二來亦花費時間，特別係當發現內部同時間存在幾種漏洞，如果缺乏網絡安全專家，就好難判斷應該解決邊個問題先。市面上雖然有 scanner 可以協助搜尋所有設備嘅系統版本，但可能你都會發現到，呢啲 scanner 只會負責搵，唔會識得根據全球網絡威脅報告，去評估風險嘅嚴重性，自然提供唔到解決問題嘅緩急建議；另外，如果公司嘅業務涉及金融或電子支付，又或需要達到一啲網絡安全國際認證標準，例如 ISO、PCI 等等，就算有呢啲 scanner 幫手搜集數據，最後都需要專人按各項認證標準嘅要求嚟製作報告，令 IT 部同事疲於奔命。 自動化審計慳人手 其實現時企業管理者應該考慮自動化解決方案，取代人手完成以上作業，唔單只可以提升工作效率，縮短公司網絡內漏洞存在嘅時間；收集到嘅數據，仲可以因應各種認證標準嘅要求，自動填寫出可以直接遞交嘅報告，慳返嘅人力物力，就可以用喺優化企業安全架框方面。 自動化解決方案仲有啲乜嘢增值功能？挑選呢類工具時有乜要注意？咁你就要報名參加 Edvance Beacon…

雲端技術的出現，推動企業加速數碼化，更進一步實現真正全球化。發展至今，雲端已經不再是個選項，而是必然。Sereno Cloud 成立的理念，就是幫助客戶突破資源及地域限制，將業務帶到世界每個角落。 善用雲端，衝出香港 「我們原本主要做 SI，為客戶提供傳統 IT 服務。」Wing Yee 本業是 SI（System Integrator），於 2013 年見到各種雲端技術相繼出現，覺得可以真正幫助客戶衝出香港，於是成立 Sereno。「Sereno 是 Cloud Enabler，或者叫做 Cloud Brokerage。我們提供…

現今世界秒秒鐘幾百上落，海量嘅操作、交易、分析數據能否達到實時可見（real-time visible）成為是關鍵，慢一秒都不能，運算速度主宰企業生死存亡。繼續以傳統方法進行運算簡直等同自殺，因此，In-memory Computing 成為最熱門的技術。In-memory Computing 的奧義何在？我們找來 In-memory Computing 領域的表表者 GridGain 的專家問個究竟。 Scale up 不是最好方法，現在要 scale out 「以前做 IT 有術語叫 Blackout（停機），當然絕對不能發生的。但今時今日，連…

一般大眾對 Big Four 印象都是專責會計、審計、稅務，而其實 Big Four 業務範圍早已涉足一切企業管理服務，包括 IT Security。PWC 為其中表表者，而且於此範疇有豐富經驗及技術支援，最近不單舉辦 Hackday 比賽，最新研發產品有 Hackbot，不得了。 從審計到資安 「傳統上，PWC 的業務是審計，所以會見到客戶業務的各種問題，因此衍生了不同範疇的顧問服務，包括網絡安全方面的服務。」Samuel 於 Big Four 行頭有二十多年經驗，正是從審計變成資安專家嘅活生生例子。「審計工作其實不只看財務數字，還要看…

相信Windows老手多少都聽講過 CCleaner，呢款 Piriform 旗下嘅老牌系統清理軟件，免費又冇廣告，深受大家歡迎，全球有1.3億使用者！但自從 Piriform 被 Avast 收購後，CCleaner 新聞多多：去年9月被 hack 足一個月，227萬用戶受到影響；近期又被 BetaNews 編輯 Wayne Williams 撰文強烈攻擊，指 CCleaner 開始推送廣告，又綑綁 Avast 其它產本；最新版本仲被指出後台自動運行，收集用戶資料而唔畀用戶…

在周星馳電影《功夫》有一句話說道：「天下武功，無堅不摧，唯快不破！」我就利用這句說話，跟大家分享「唯快不破」的創業心得。 行業變化要快 首先，行業很重要。那些行業變化比較快（當然要對該行業有相當的認識），你的成功機會就比較高。因為這些行業，對大公司來說是沒有太大優勢。畢竟大公司決策需時，在行業環境變化快的局面，人力、財力也不是關鍵。相對來說，一家靈活的初創企業，就可能擁有不少的優勢。行業變化愈快，就對細公司愈有利。10 多年前，我們公司選擇在 IT Security 起步的原因，也是因為 IT Security 在整個IT領域變化得比較快。 行咗先算，怕輸就唔好搞 Start Up 每家 Start Up，都要經歷過前期最艱辛的階段。做出來的 Plan 不是重要（反正到 Execution 時，都跟原來的…

上文提到，權要有限。那麼職責呢？要分。權要限、職要分，夠鐘要放工，得閒要睇 wepro180。 在系統中，有一條重要保安原則：職責分離。在系統及流程中，要把重要功能、職責拆開。在流程中，申請新帳號或者IT服務者，與批准者，須是不同的人。又如有 D 公司將一個超級帳號密碼拆開前後兩截，一人管一截（有 D 似古代果 D 虎符）。又如寫程式的人，不可以把程式直接安裝入系統，要透過另一個團隊。以上這些職責分離，目的是要減少差錯及舞弊。文藝一些講：避免監守自盜。 （再文藝一些…在歷史中，這些職責分離比比皆是，例如中國的皇權與相權的分離、唐代的三省制，以至謀與斷的分工、三權分立等，都有古仔可以講。） 講到呢度，就可以明白，保安系統設計要嚴密，須要包括：有各系統權限的人，他們的職責是否有合理的分離。所以，大機構的 SIEM / Log Management 要求完備，因為要有足夠的 Audit Trails 去審計各程交易 (Transactions)…

一般人聽見「黑客」兩個字就立即標籤佢係壞人。其實「黑客」，Hacker，泛指以任何手法入侵他人電腦嘅人。黑客有正有邪，更亦正亦邪。 入侵動機各不同，有為錢、為興趣、為學習、為國家、為理想，甚至為啖氣都有。Hacker 分好多顏色「帽子」，以下簡介 hacker 帽子顏色分類，以後唔好再「色盲」亂咁「扣帽子」。 （第一部份） （大題）黑客六種顏色 黑帽 Black Hat 「黑心仔」黑帽亦稱 Cracker。通常「利慾」為目標，在非法的情況下攻擊系統，透過破解、入侵去獲取不法利益。黑帽係網絡罪犯，會hack 入某個系統盜竊數據，從而進行金錢勒索或賣畀黑市。黑帽嘅存在，令網絡世界好危險。 白帽 White Hat 「好心仔」白帽同黑帽完全相反，白帽又叫 Ethical Hacker（道德黑客）。不少白帽受聘於網絡安全公司或大企業，在完全合法的情況下攻擊系統、進行安全測試、找出安全漏洞，以「改善」為目標，令網絡世界更安全。白帽中亦有 Bug…