現今企業不論規模大小，都必需做好特權帳號管理（Privileged Access Management，PAM），以保護好敏感資源和數據安全。網絡安全公司 Green Radar 有見及此，推出 grKey 服務，以 PAM as-a-Service 方式供客戶訂閱，大大降低了各類企業實施 PAM 的入門門檻，最近在市場反應正面。 Green Radar 銷售執行副總裁馬偉雄（Kenneth）解釋，公司專注電郵安全業務多年，發覺不少企業在實施 PAM 上有所不足，甚至大企業都未必做到很好的保護，中小企則因人手或資源限制，未必有能力實施 PAM。 想知最新科技新聞？立即免費訂閱！…

2023 年網絡安全事故第一位，相信都要數 MOVEit Transfer 檔案共享服務遭入侵事件，安全專家指勒索軟件集團 Clop 於服務中發現零日漏洞，可以使用 SQL injection 技術遙距執行惡意編碼，提升帳戶特權任意讀取使用該服務的客戶資料。雖然開發商 Ipswitch 很快已推出修補檔，但不少客戶如英國航空、BBC 及 Boots 均表示已遭受入侵，有專家更估計已有 2706 個機構遭受牽連，至少有 9300 萬個人資料外洩。 想知最新科技新聞？立即免費訂閱…

要防範身份盗用及濫用特權帶來的威脅，特權帳號管理（Privileged Access Management，PAM）實屬企業的不二之選。然而，PAM 技術引入香港逾 10 年來，企業應用仍頗為兩極化。網絡安全公司Green Radar銷售執行副總裁馬偉雄（Kenneth）表示，企業一般會根據有否需遵從的框架、有否足夠的預算及人手，決定是否選用 PAM，而人才短缺往往是企業最大的挑戰。 想知最新科技新聞？立即免費訂閱 ！ 基於法規或指引，香港不少大型企業已採用 PAM，特別是金融服務業。至於中小企，Kenneth 則認為可分為兩類，一類是已了解 PAM 技術，但基於人手及預算而未有選用，另一類則是不清楚 PAM 技術，「甚至可能仍用紙張寫下或用 Excel 儲存 Password」。…

雲端技術、機器學習以及生成式 AI，無疑在過去一年變得更普及。亞馬遜（AWS）技術總監 Werner Vogels 相信，生成式 AI 將為世界迎來更多創新，並推動科技普及應用。在未來，AWS 預測生成式 AI 將具備文化意識，並會進一步降低使用門檻。 想知最新科技新聞？立即免費訂閱 ！ 預測一：生成式 AI 將具備文化意識 基於多種文化數據訓練而成的大型語言模型（LLMs），將能更細膩地理解人類體驗及複雜的社會問題。這種文化適應性有望降低全球用戶使用生成式 AI 的門檻。在過去數月內，非西方大語言模型開始湧現：例如以阿拉伯語和英語數據訓練的 Jais、中英雙語模型 Yi-34B，以及使用大量日語網絡語料庫進行訓練的…

美國網絡安全和基礎設施安全局（CISA）再度發出呼籲，要求網絡產品供應商停止為推出的軟硬件產品採用預設密碼，因為該局發現不少 IT 人員將產品部署在企業的基礎設施後，並未有修改密碼而直接使用，導致黑客可以輕易入侵企業，造成機密技術被盜或遭受各類型網絡攻擊。其實過往已發生不少同類入侵個案，單靠一個呼籲，似乎影響力有限。 想知最新科技新聞？立即免費訂閱 ！ CISA 改為源頭解決問題 採用生產商的預設管理帳戶登入名稱及密碼有多危險，相信每個 IT 技術人員都非常清晰，例如最近伊朗黑客就採用了這種方法，入侵預設密碼值為 1111 的 Unitronics 可編程邏輯控制器（PLC），當中便包括美國一個供水設施，如被黑客惡意利用，便可在關鍵時刻造成斷水或惡意排洪，對政府的公信力可帶來重大打擊。過往美國 CISA 曾多次向企業及機構發出警告，指如果不更改這些預設設定，攻擊者便可以利用這些漏洞入侵內部網絡，從而危及企業整個網絡的安全。 不過，CISA 指出從多年經驗可見，依靠企業的管理員為網絡產品更改密碼並不足夠，無論有意或無意，管理員似乎並未在部署後修改密碼，只要簡單利用網絡掃描工具搜尋特定產品，黑客便能利用預設帳戶登入資料嘗試入侵，研究亦證實相關安全漏洞依然廣泛存在，因此官方這次便轉移方向，敦促生產商由源頭解決問題。 有國家就產品安全性展開立法程序 CISA…

美國司法部日前宣布，已成功瓦解全球第二大勒索軟件集團 BlackCat（又稱 ALPHV），不單查封集團的網站及伺服器，更製作出破解工具，估計可解救 500 間受害企業，省回約 6800 萬美元贖金。不過，BlackCat 方面反指已重新取回網站及伺服器控制權，同時為了報復美國司法部的執法行動，集團決定解除道德封印，會將核電廠、醫院等基建及醫療機構列為攻擊對象，正邪大戰似乎一觸即發。 想知最新科技新聞？立即免費訂閱 ！ 勒索集團 BlackCat 以使用較難被網絡安全工具偵測的 Rust 編寫勒索軟件聞名，根據美國司法部的資料顯示，該集團在過去 18 個月共襲擊了過千間企業及機構，合共賺取數億美元贖金，如果以銀碼計，BlackCat 足以稱為全球第二大勒索軟件集團。 有網絡安全研究員表示，集團成員其實來自另一已結束營運的 BlackMatter，並非橫空出世，所以已具備一定的網絡入侵技術。雖然美國司法部在…

網上拍賣平台 Carousell 去年 9 月發現用戶個人資料外洩，牽涉全球 260 萬用戶，包括逾 32 萬香港用戶的電郵地址、電話及出生日期。私隱專員公署就事件發表調查報告，指今次事故屬嚴重失誤，對事件感到失望及遺憾。 想知最新科技新聞？立即免費訂閱 ！ 調查報告指，Carousell 去年 1 月在系統遷移過程中出現人為錯誤，不慎漏放過濾器，以致用戶部分本應不會顯示的個人資料被公開，形成保安漏洞。有黑客在同年 5 月及 6 月時，透過一個來自緬甸的互聯網服務供應商的 IP…

博通（Broadcom）上月底正式收購 VMware，繼大幅裁員後再有重大銷售策略調整。VMware 虛擬化平台將全面終止永久授權的「買斷」銷售模式，改為訂閱制，換言之，VMware 不再提供永久授權版。 想知最新科技新聞？立即免費訂閱 ！ VMware 表示一直致力簡化產品組合，在本月 11 日開始，新產品不再提供永久授權及支援與訂閱服務（Support and Subscription，SnS）續訂。現有企業用戶可繼續使用永久授權購買的產品，如日後需要替補或更換目前永久授權的基礎架構時，便需購買訂閱軟件或定期授權，無法再以永久授權形式購買，VMware 建議客戶可檢視更新周期及續約日期。 在此新政策下，受影響的產品包括： ．VMware Cloud Foundation．VMware vSphere．VMware vSAN．VMware NSX．VMware…

黑客常用的「經典」攻擊方法，可謂萬變不離其宗。不過在網絡犯罪即服務（CaaS）激增的時代，加上生成式 AI 的出現，Fortinet 預料黑客在 2024 年將更容易進行攻擊。AI 武器化，將會令網絡攻擊加劇。 想知最新科技新聞？立即免費訂閱 ！ Fortinet 東南亞與香港資訊安全總監鄺偉基（Daniel）表示，該公司推出 FortiRecon 後，暗網監察能力大為提高，從暗網中發現很多 Playbook（戰術手冊）越來越完善，甚至是針對某一行業而設。Fortinet 預料，黑客將專攻大型企業，放眼目標至醫療、金融、交通及公共事務等行業，並擴大攻擊策略。Daniel 認為很多人對網絡安全的意識有所提高，故黑客需進行更個人、具攻擊性及破壞性的攻擊。 2023 年，零日漏洞（Zero-day Attack）及 CVEs…

2023 年又到尾聲，各大供應商開始預測 2024 年的科技趨勢。資料保護和勒索軟件恢復供應商 Veeam 認為，無論是企業從公共雲回歸基礎設施，還是即將持續增長即服務（as-a-Service）模式，「靈活性」都成為關鍵要素。 想知最新科技新聞？立即免費訂閱 ！ Veeam 亞太及日本地區首席技術官 Anthony Spiteri 指出，雲端近年被認為是企業減少 IT 成本的最佳解決方案，可減輕基礎設施的昂貴負擔。然而，對於並非以數碼優先的企業來說，雲端儲存成本會持續及迅速增加，令部分已遷移至雲端存儲的客戶，正積極探索更經濟、計算效能更高或符合數據主權要求的替代方案。 展望 2024 年，相信有企業會選擇將某些應用從公共雲中遷移出來，回歸私有的基礎設施，以重新控制其工作負載，減少對公共雲的依賴。 雲端對企業仍然至關重要，但數據靈活性將成為一個關鍵要素，讓企業能夠快速且具有成本效益地採用所需的替代方案。 在經濟不確定情況下，即服務模式將持續增長，由資本支出轉向營運支出，並注重於提供具靈活性和可擴展性的服務。…