不少企業也有為員工舉辦網絡安全培訓課程，以為做完就安全？可惜事與願違，有調查發現34%員工受訓後依然用紙寫低密碼，60% 員工依然接駁公共 Wi-Fi 工作。其實舉辦培訓都要成本，究竟如何才能有效地運用資源？一齊學習四個要點。 根據 TalentLMS 和 Kenna Security 一項員工網絡安全風險意識調查發現，大部分安全培訓都未能達到預期效果。調查訪問了 1,200 個美國員工，當中 69% 已接受安全培訓，除了上述學完等於無學的例子外，受訪者當中有 61% 未能通過主辦機構提供的基本安全測試。 由此可見，設計網絡安全培訓課程絕不簡單，罐頭式培訓內容未必。網絡安全專家認為安全培訓課程要有成效，不可忽略以下四點。 定期審核：做完培訓班都要有跟進，企業管理者必須安排人手定期進行內部審計，評估員工有否執行課程內容，例如檢查員工電腦有否未經批准使用的軟件、帳戶密碼是否繼續採用易於破解的組合，同時亦可留意員工工作枱上有否隨意擺放敏感度高的文件。如效果未有改善，就有可能要改課程內容或教學方法。 實用淺白：影響網絡安全培訓效率的經典原因是內容大路及充斥大量專業術語。首先如員工未能了解釣魚電郵、社交工程攻擊的意思，根本無法了解自己有可能中招的原因。另外如內容過於大路或理論化，員工亦無法將課程內容應用到實際工作上，因此導師應針對行業實況及公司文化，設計出實用淺白的教程，同時以實例進行分析，確保員工清楚掌握入侵原理。 持續培訓：培訓應定期進行，一次性課程不可能讓員工記住所有內容，最好每次課程有不同主題，加深員工印象。…

安全意識培訓真係有用㗎！根據 IT 安全公司 F-Secure 最新發表的研究報告，有1/3由員工舉報的可疑電郵，的確內藏惡意行為，例如包含虛假網站連結、帶有惡意功能的附件。萬一有惡意電郵可以繞過防護系統進入收件箱，員工就是一條重要的防線，所以老闆們一定要做好培訓工作呀！ 不少調查顯示，九成企業入侵事件是通過釣魚電郵達成，例如員工誤信電郵內容打開帶有病毒的附件，又或被引導至虛假網頁然後輸入公司帳戶資料，另外亦有員工墮入商業電郵詐騙 (BEC) 陷阱，將鉅款匯入犯罪集團的銀行帳戶，令公司帶來難以估計的損失。而 F-Secure 最新發表的報告，便著眼於員工舉報可疑電郵的準確度。 研究團隊一共分析了 20 萬封由企業員工於今年上半年舉報的可疑電郵，結果確認 33% 電郵的確帶有惡意行為。最多員工認為電郵有可疑的原因，有 60% 認為當中含有可疑的連結，其次為電郵由可疑或不明人士發送，其他如電郵內有可疑附件或疑似垃圾訊息，都是員工決定舉報的主要元素。另外，研究員又指出，如有「Warning」、「Your funds has」或「Message is…

公司被黑客入侵，好多時都因為員工疏忽，錯誤開啟了電郵內的惡意連結或附件，不過在怪責他們的同時，企業管理者有否反思公司提供的網絡安全訓練是否足夠？內容能否吸引同事細心閱讀？記著以下 5 個要點，才可令同事在培訓課程時專心及上心。 有調查顯示，企業被入侵的原因九成出於員工誤開釣魚電郵，而且隨著疫情下在家工作 (Work From Home) 變得普及，員工在公司以外環境下工作，防禦力自然更薄弱，因此有必要提高員工的網絡安全意識，於源頭阻截惡意攻擊。不過，有企業管理者會懷疑，明明公司已提供各種網絡安全培訓，為什麼員工就是無法上心？歸根究底，問題可能出在培訓課程之上。不妨留意以下幾點，重新審視安全培訓課程內容，才能讓課程變得有效率及有意義。 1. 內容要專 一個優質的課程，內容必須夠專及到位，必須因應行業特性安排培訓內容，而不是隨便拿取網上的網絡安全培訓樣本使用，以金融業為例，同事可能須更注意各種合規要求，貿易公司則可能面對較多商業詐騙電郵 (BEC) 攻擊，不能一概而論。 2. 真實事例 在準備培訓內容時，必須加入真實事例講解，以釣魚攻擊為例，如只告訴員工釣魚攻擊可令電腦中毒，員工未必意會到有多嚴重。應該清楚舉例說明黑客的攻擊手段，例如會引誘員工開啟惡意附件，或預先架設一個虛假網站套取帳戶登入資料，員工才會理解如何防範。 3. 簡潔說明 這點不難理解，培訓課程的時間不應太長，解說亦要簡潔到位，員工才不會因說明時間太長而失去集中力。如果能夠加入有趣的例子或互動元素，自然更容易上心。 4. 高透明度 公司引入各種網絡安全守則及工具，雖然出發點是為了公司及員工著想，但始終會引來員工疑慮，擔心公司會以安全為名，實則加強監控工作。因此企業管理者必須詳細解釋安全守則及工具的內容及會收集到哪些資料，讓員工清楚理解不會侵犯其私隱，員工才會樂於按照安全指引辦事。 5. 因人而異 每個同事對網絡安全的認知不一，因此培訓內容也要作出調校，企業管理者可安排員工接受安全測試，因應其安全意識分成不同的小組並提供合適的課程內容，這做法不單可找出高風險員工優先培訓，更不會因課程內容太深或太淺，令員工失去專注力。…

黑客利用技術手段在不同的攻擊事件中賺取豐厚回報。然而，若擁有技術而又想要合法且正當地獲取收入，其實可以通過正規途經，例如參加漏洞獎勵計畫（Bug Bounty Programs）。利用自己的專長幫助企業強化其網絡安全防護，不僅為網絡安全做出貢獻，還能夠獲得不錯的回報。 漏洞獎勵計畫，是由漏洞回報平台邀請廠商提交自己的產品作測試，並邀請安全研究人員找出並報告參與計劃公司的軟件、網站或應用程式中的安全漏洞。安全研究人員可以選擇如 HackerOne、Bugcrowd 或香港本土的初創公司 Cyberbay 等漏洞回報平台與廠商提交漏洞並進行溝通。一般而言，參與者將獲得金錢獎勵、公開表揚或廠商提供的紀念品。 想睇更多專家見解？立即免費訂閱！ 在 HackerOne 的新聞稿中，提到六名安全研究人員憑藉發現並報告安全漏洞，成功在平台上賺取超過百萬美元的獎金。而像 Google、Mircosoft 和 Apple 的科技巨頭，對嚴重漏洞的單個賞金獎勵高達 150 萬美元，其中 Google 就透過其漏洞獎勵計畫（VRP），向全球安全研究人員支付了近…

在現代的商業環境變得更為流動之際，遙距工作已經不僅僅是一種趨勢，而是一項必需品，但隨之而來的網絡安全風險亦開始成為問題。在過去的 2023 年，香港便經歷了多次網絡安全事件，大至針對數碼港和渣打銀行等大型組織的攻擊，以至 Yuu 這些手機應用程式的數據洩漏，可見網絡安全威脅不容忽視。 想睇更多專家見解？立即免費訂閱！ 根據香港電腦保安事故協調中心（HKCERT）的數據，雖然 2023 年整體的保安事故與 2022 年相比有輕微下降，但這些事故的嚴重性依然令人擔憂，尤其是網絡釣魚等攻擊變得更為頻繁和顯著。我們的工作模式在這後疫情時代有着重大的轉變，現在遙距和混合工作模式變得更為普遍，這意味着我們需要在網絡安全方面與時並進，保持高度警覺。但在這個新的工作時代，企業又應該如何平衡安全和靈活性呢？ 事實上，一間公司的 IT 結構越複雜和分散，就越容易成為網絡罪犯攻擊的目標。而隨著數碼資料存儲和雲端計算於近年加速普及，攻擊事件有所增加；加上於疫情期間，為了確保員工的福祉，很多公司在採用遙距工作選項時往往將速度置於安全之上。儘管現在社會已經復常，但我們的工作環境已經和以前改變甚多，那麼企業應如何維持網絡安全呢？ 如何在分散的工作環境管理風險？ 根據網絡安全組織 ISC2 進行的一項研究，有近七成（69%）的香港網絡安全專業人士認為當前的環境是過去五年來最具挑戰性的；不約而同，HKCERT 的報告亦顯示多於七成（73%）的本地企業在過去一年，曾遭受最少一類網絡安全攻擊。這些數據意味著企業和組織在未來必須採取更為積極的措施，並應集中加強網絡安全協議，和實行可以保護敏感信息的策略。 提供快速並安全的遙距工作設置、定期進行安全培訓、和採用穩健的加密策略，這些都是減少網絡安全風險的關鍵。同時，Thales…

現今網絡威脅不斷上升，黑客攻擊經常出現，最近攻擊政府機構的勒索事件成為城中熱話。黑客會使用不同的攻擊工具，以識別系統中存在的漏洞，並利用漏洞獲取受害者伺服器的存取或控制權。許多網站的資料泄露主因，是黑客熟用不同的攻擊工具，成功尋找漏洞，並利用漏洞來竊取資料。 想睇更多專家見解？立即免費訂閱！ 對於一般中小企而言，公司的網頁平台，不論是公司主頁或是內部系統，很多時都會忽略了安全性檢查，繼而成為攻擊事故中的起始點。多了解最新的黑客技術和工具，對保護網站的安全至關重要。在黑客進行攻擊前，找到網站漏洞並加以修復，使黑客難以利用安全漏洞來保護資產的安全。 以下列出五個知名的網站攻擊工具，所有工具都可以公開下載並已被廣泛使用。 Nmap Nmap 是一款備受歡迎的網絡探索工具，用於搜索網絡上的主機，檢測其提供的服務以及運行的操作系統等。對於每位學習黑客攻擊技術的學員來說，這是必學的工具，因為識別攻擊目標中運行的軟件，是發掘漏洞的第一步。 Metasploit Metasploit 是一個擁有眾多攻擊模組的平台，覆蓋不同的攻擊目標，如網站、檔案分享伺服器、基礎建設設備等。透過其提供簡單易用的設定指令，使攻擊者快捷發動攻擊。 Burpsuite Burpsuite 是一款攔截工具，用於攔截網頁（HTTP）用戶和伺服器之間的網絡流量，其功能為掃描網頁漏洞、了解網站運作機制以及執行自動化攻擊。 Nessus Nessus 是一個圖形化界面的漏洞掃描工具，用於檢測各種操作系統、資料庫和網絡應用程序的漏洞，幫助組織辨識潛在安全威脅。其優點為提供直觀操作，並對目標進行全自動化的漏洞掃瞄，操作上對新手來說也較容易上手。 SQLMap SQLMap 專門用於自動化檢測並利用資料庫注入漏洞。它擁有強大的檢測引擎，支援坊間大部分資料庫系統。安全研究人員和黑客可以使用 SQLMap…

職業訓練局（VTC）成立的網絡安全中心（CyberSecurity Centre），旨在培育新一代網絡安全專才。中心不但與業界舉辦一系列網絡安全推廣及教育活動，提升大眾網絡安全意識，又與業界簽訂合作備忘錄，為學生提供最新教學資源。其中三大課程將於 4 月起開課，獲批資助的申請人可獲退還合資格課程六成學費，有興趣人士記得從速報名。 與業界緊密合作 教授最新網路安全技術培訓 為確保教學質素及專業水平，中心一直致力與業界緊密合作，並與許多世界知名網絡安全品牌簽訂合作備忘錄如：AWS、華為、H3C 新華三、CheckPoint等，為學生提供行業領先的教學資源，並為課程注入最貼近市場需求的技術培訓，攜手培養本地網絡安全專才，增強學生的市場就業競爭力。 舉辦網安活動 增強大眾意識 除此之外，為提高大眾網絡安全認知，中心舉辦校際網絡安全比賽及大專界藍隊比賽，增加參賽者對防禦網絡攻擊的知識，又與業界協力舉辦一系列網絡安全推廣及教育活動，包括網絡安全論壇、工作坊、簡介會及體驗課程等，提升市民大眾對網絡安全的意識。 三大課程即將開課 VTC 提供多元化的網絡安全培訓課程，其中網頁程式滲透測試證書（Certificate in Web Application Penetration Testing），旨在為學員提供實戰知識以識別伺服器和網站的漏洞，當中包括使用…

根據 Cybersecurity Ventures 的統計數字，全球現有多達 350 萬個網絡安全職位空缺。隨著各行業對網絡安全技能需求持續增長，全球正面對網絡安全人才短缺的大趨勢。為加強培育新一代網絡安全人才，VTC 柴灣院校的網絡安全中心（CyberSecurity Centre），旨在透過提供專業且全面的網絡安全教育，培育具備專業技能及貼近市場需要的網絡安全人才。另外，中心開辦的資訊安全專業證書課程將於 4 月開課，獲批資助的申請人可獲退還合資格課程六成學費，有興趣人士可於 3 月 10 日前報名。 透過設施助學生累積實戰經驗 為回應市場對網絡安全專才的需求， VTC 柴灣院校設立了網絡安全中心（CyberSecurity Centre），中心提供先進的教學設施，以模擬各種在現實網絡環境中遇到的攻擊。例如使用網絡攻防靶場教授勒索病毒攻擊的補救方法 ，模擬常見網絡漏洞以學習黑客攻擊手法的滲透測試實驗室（Pentesting Lab），各樣工具例如安全資訊和事件管理工具（SIEM…

西九龍柯士甸道早前發生奪命工業意外，兩名地盤男工人通宵被困在地下管道內，至翌日早上才被發現，疑吸入硫化氫中毒失救不治，兩名判頭則被控誤殺。是次慘劇再次響起工地安全的警號，有創科界人士提出工地應該積極實行「安全智慧工地」，直言「慘劇一單都嫌多」。 想知最新科技新聞？立即免費訂閱 ！ 將硬件器材串連　實時結合數據 政府近年力推安全智慧工地（Smart Site Safety System，簡稱 4S），發展局於 2020 年起在個別工務工程合約推展「安全智慧工地」系統，並在今年 2 月發出工務技術通告，要求逾 3,000 萬元的工務工程全面應用「安全智慧工地」系統，而房協今年初更開始將該管理系統列為招標條款之一。 思路富邦集團（SagaDigits）創辦人陳智銓（Arthur）指出，舊有的單一硬件配備，未必可及時讓工人們作出防範，重點是將多項硬件器材串連，能實時融匯結合 AI、IoT、PNT 及大數據，再透過中央管理系統，發送警報短訊至工人的手機或智能手錶。 舉例而言，採用了中央管理系統後，承建商可先讓工人配戴系統的智能手錶，同時連接工人的手機，並在施工的地下管道內放置氣體監測器，將數據實時上傳至 AI…

人工智能（AI）大爆發，各行業為取得領先優勢，紛紛加速數碼轉型。時間就是金錢，企業部署網絡必須夠快速，既降低成本又提升效率。華為所研發的 iMaster NCE-Campus，集管理、控制、分析、AI 多功能於一身，將網絡系統自動及智能化，最快半日可完成部署，令網絡變得簡單又安全。 iMaster NCE-Campus 是華為的自動駕駛網絡管理與控制系統，透過最高級別 Level 4 標準的華為公用雲，利用大數據、人工智能、雲端計算等技術，管理網絡的全生命周期管理，包括購買、網絡法規、開局、部署、維護及營運等各個階段，從而降低 50% 成本及提升 3 倍業務效率。系統主要應用於園區網絡，例如辦公室、門店、大學校園，用戶直接連接園區網絡得到服務。 用戶毋須添置基礎設施　適合各行各業 系統將園區網絡劃分成三層架構：多租戶網絡、雲管理平台、增值 SaaS 平台。多租戶網絡部署在客戶附近，由 AP、交換機、路由器、防火牆等過百款網絡設備組成；雲管理平台屬解決方案的核心，提供網絡智能分析引擎，令使用者體驗數碼化，偵測網絡問題；而增值 SaaS…