雖然喺香港任職 IT 行業，總逃唔過俾人笑係「 IT 狗」嘅命運，但相信唔少人都認同， IT 業係資訊科技發達下嘅「筍工」，唔單止專業更看似有大好前景。之不過當你以為搶手時，現任 IT 同業竟大吐苦水？ 一項源自 Enterprise Strategic Group (ESG) 以及 International Systems Security Association (ISSA)…

香港生產力促進局轄下香港電腦保安事故協調中心（HKCERT）早前發表2019年網絡保安事故報告，指整體事故達9,458宗，較2018年下跌6%！難道香港人的網絡安全意識大幅提升，同時又採用更先進精密的網絡安全工具？答案竟然是⋯⋯ 生產力局首席數碼總監黎少斌開估，關鍵是惡意軟件事故大幅下跌，但他說原因是惡意軟件變得更隱密，難以被發現而且勒索軟件攻擊亦由漁翁撒網改變為企業鎖定，所以先出現下跌現象，但合共佔79% 網絡事故的殭屍網絡及網絡釣魚攻擊，就分別增加 30% 及 23%，可見實際上網絡安全意識未有太大改變。 生產力局首席數碼總監黎少斌（左）與高級顧問梁兆昌早前發表香港資訊保安展望2020報告，為企業提出多項安全建議。 除了公布「全年業積」，HKCERT 亦發表「未來報告」，分析未來一年將會面對的新挑戰。他估計，2020 年借助人工智能如 Deepfake 等技術行騙的事故將會增多，罪犯會模擬企業高層的視頻或聲音，誤導員工執行轉帳或交出登入資料。另外，物聯網及 5G 的普及應用，亦令網絡接觸面及數據流量大增，潛在的漏洞將製造更多網絡安全事故。此外，Windows 7、Windows Server 2008 及 TLS 1.0/1.1…

Neo 今天讀到一份不錯的訪談，Michael Coates（曾任Twitter 的CISO）分享了心得，針對兩個頗為吸引的問題：一、如何建立強健的資安團隊？二、如何開展自己在 Cybersecurity 的事業？其立論一針見血，所以略為記下，並加評論，以饗讀者。 Michael 指出一個殘酷的事實：網絡邊界（The perimeter）永遠在改動。上一個世代講要守護network choke points，在今天可能不切實際。為了分秒必爭的業務競爭及發展，愈來愈多的雲運算及外判模式，正在消解（dissolve）網絡邊界。在今天，速度無比重要，所以資安服務要非常貼身。然而，面對眾多業務部門及他們各自獨特的系統結構，ＩＴ／資安團隊如何處理快速的變更要求及服務要求？難道要每個部門配置資安技師嗎？這當然是不可能的。 Michael 走了一條路，叫 Empowerment及Paved path approach。這個思維是去 empower（提升能力、給予信任；「授權」二字太狹窄了）一些 Security Champions去協助公司的資安。中央ＩＴ做的工作，近乎鋪路，提供一系列不同的工具，並列出權限界綫，定出不應逾越的底綫。有了這些準備，Security Champions…

作為資安長老，有很多朋友向我查詢 CISSP、 CISA（Certified Information Security Auditor）及CISM (Certified Information Systems Manager)三個保安認證資格中，哪一個比較易應付？各自的職場發展機遇如何？另外，為何有些培訓中心提供三合一課程？應該逐個修讀還是一併報考？ 三種證書，各擅勝場 根據資安長老多年教授 CISSP、CISA 及 CISM 的課程經驗，我的建議還是應該先了解每個證書的認證要求，再根據自身條件，訂立學習計劃。說到要考取上述認證的方程式，我認為必須預留半年或以上時間準備，課程編排最好是每星期一次，並於每個周末抽出 4 小時溫習，勝算便很高。讀者看完今次關於 CISA 及…

欺詐之神話而家呃人，容易過 50 年前 4000 倍，唔好問點解，信就得。 《Catch Me if You Can》（港譯《捉智雙雄》）呢套經典犯罪電影相信好多人都睇過，喺戲內由里安納度狄卡比奧（Leonardo DiCaprio）飾演嘅欺詐犯 Frank Abagnale，的確真有其人，多次利用人類心理漏洞扮成法語教師、醫生、律師、機師，又涉及偽造支票，被 FBI 逮捕及服役後，轉而為 FBI 服務及開設安全顧問公司，以自己嘅豐富詐騙經驗為企業進行培訓。 資訊發達「商機」處處 Frank 最近接受傳媒訪問時首先就話，造成資料外洩嘅唔係黑客，製造漏洞嘅永遠係受害者自己或公司員工，例如唔轉密碼、將唔應該拎走嘅工作帶返屋企做、無及時更新系統檔案、無做清楚身份核對就信以為真……各式各樣嘅前設令到人類掉以輕心，以為黑客唔會攻擊自己。Frank…

家陣公司為咗節省資源，好多嘢都靠外判，等自己唔使養咁多人。就連網絡安全工作都係，一來市場上唔夠人手，二來逐樣產品買亦負擔唔起。理解嘅，在商言商，老闆又錯唔晒，不過如果公司連一個識 IT Security 嘅同事都無，又可以點去評估外判商做緊啲嘢掂唔掂？好似好多企業都鍾意搵公司做 consultation，但公司入面無人識 cyber security，根本唔知點揀，所以有多啲 budget 嘅就會搵 Big 4，因為連銀行金融業都搵佢哋做評估，差極都有個譜啩，但 Mr. Smith 真係要再強調一次，好易中伏！ 試過有次公司要搵美國一間大公司做 code review，評估一隻用嚟保護其他 application 嘅軟件有無漏洞。結果報告返咗嚟，話隻軟件嘅 loophole…

最鍾意入侵其他國家網絡嘅俄羅斯情報部門「聯邦安全局」（FSB），竟然都有俾人 hack 返轉頭嘅一日！俾黑客組織提取咗 7.5TB 機密資料！ 同大家做少少功課先，講起俄羅斯情報部門，大家可能只係識 KGB，但其實而家已經俾 FSB 取代，佢嘅角色類似美國聯邦調查局或英國軍情五處差唔多，但負責嘅範籌就更加多，而且直接向俄羅斯總統匯報，可想而知有幾巴閉。 事緣上兩個星期，一個名為 0v1ru$ 嘅黑客組織成功入侵 FSB 主要外判商 SyTech 嘅伺服器，偷走入面 7.5TB 嘅資料不突止，仲將 SyTech 網站首頁換成…

人生有個豬隊友確係慘仔嘅，最慘如果係自己上司，有時都唔知點幫佢兜，搞到我都好想升高三個 key 同佢講，「你真係蠢唔係扮㗎喎！」唔知係咪開口中，早幾日 Mr. Smith 就遇到以上情況喇。 事緣上星期要測試 vendor 產品，分析吓有冇後門，其中一項要做 dynamic analysis，睇吓隻軟件有無喺過程中做啲古惑嘢。因為時間幾趕，所以成 team 人好快已有共識，就係利用一隻 open source 嘅工具，去 capture 軟件嘅網絡流量做分析，同時用不同嘅 軟件（當然都係快靚正嘅 open…

上回分析過 HKUSPACE 為期三年半、用 30 萬學費 （18萬加上12萬）就可成為網絡安全碩士的課程。有讀者就問，香港有無學校為中學生提供「升呢」成為網絡保安學士的課程？以前的確沒有，但今年就有喇。 香港科技專上書院（Hong Kong Institute of Technology, HKIT）成立初期叫 College of Info-Tech，於 1997 年創辨，後來於 2003 年 10…

上回講到修讀 VTC 資訊及網絡安全高級文憑(Diploma)課程，是成為資安新人王的捷徑。但對於一些已從事其他行業有一段日子，但又有興趣「中途轉機」、加入資安行業的在職人士，又有哪一個課程是入行踏腳石？答案可在 HKUSPACE 課程找到。 香港大學專業進修學院（HKU School of Professional and Continuing Education, HKUSPACE）已經辦學60年，其前身是香港大學學外課程，而現在已獨立為一家非牟利擔保有限公司的教育機構。截至2016年，已有282萬人次報讀學院課程，其中有關資訊科技和資訊保安的課程，在這十多年間大受歡迎，每年課程的學額都是供不應求，課程種類繁多，包括資訊保安的深造文憑、理學士、碩士課程，任君選擇。中學畢業人士可申請就讀資訊科技深造文憑課程（Postgraduate Diploma in Information Technology），這兼讀課程的部分學費可以申請CEF（持續進修基金），成功達標者可得到基金資助 80% 學費津貼，而從 2019…