成立於 2017 年的諾華誠信（Nova Credit），是多家個人信貸資料服務機構 (MCRA) 模式下的信貸資料服務機構，掌握了大量客戶的個人信貸資料，背後需要遵守的規例及採用的技術方案，最著重保障數據安全。該公司最近選用了 SUSE 提供的一系列雲原生（Cloud Native）解決方案，除了能全天侯自動偵測安全漏洞，助企業降低風險之餘，更在相同人手下提升營運效率，令公司獲得更多的生意機會。 諾華誠信每日要處理全港 560 萬消費者個人信貸資料，並根據金融機構提供的信貸紀錄，保持資料在最更新狀態，更要按需求在短時間內提供個人信貸報告。 要跟上行業發展速度，同時符合數據安全標準，單靠原有的虛擬機器（VM）已不足以應付。經評估後，諾華誠信決定選用基於 Rancher Prime 的容器管理平台，建立 DevSecOps 流程，以相同的資源下，提高安全和合規性，全面提升應用程序可用性和可擴展性，加快應用部署時間，實現高質量業務應用交付能力，提升在業界的競爭力。 縮短開發營運時間 傳統開發和營運流程就像瀑布一樣線性流動，包括需求分析、設計系統，編寫程式碼、進行滲透測試（Penetration…

香港企業正面臨著越來越嚴重的安全、營運和法規挑戰。本地身分盜竊、網絡釣魚和數據洩露案例正處於歷史高峰。香港電腦保安事故協調中心（HKCERT）最近發表的報告便點出針對身分的網絡攻擊大行其道，並預計這些攻擊將繼續成為企業網絡安全的心腹大患。在 2022 年第四季，本地釣魚攻擊個案首度突破 10,000 宗，相比去年同期上升 11 倍。鑑於身分攻擊的形式越趨多元化，香港企業必須建立嚴格而穩固的身分安全系統。 想睇更多專家見解？立即免費訂閱！ 事實上，在公司網絡中一個無人處理的前僱員帳戶就有可能輕易地引致企業數百萬美元的損失。 那些帳戶被稱為「孤立帳戶」，是公司尚未撤銷的前員工身分帳戶。 這類型的「孤立帳戶」存在於許多公司的系統中，不單引起 IT 審計團隊的關注，更造成潛在網絡威脅。 這是一個很好的例子，說明企業在進行數碼轉型時，為何身分安全應成為網絡安全的戰略核心。 隨著混合辦公模式已成為各行各業的大勢所趨，企業必須為內部及合約員工、合約夥伴和供應商等提供網絡資料存取權限，但同時亦要保護整體員工的身分安全。 因此，企業需要一個強大的身分安全解決方案以管理全公司的存取策略，並及時向用戶提供所需的存取權限，與及確保儲存在雲端的應用程式和數據免受未經授權的存取侵害。 此外，香港企業在招聘及挽留人才上亦面臨前所未有的挑戰。更多員工在企業內不斷轉變工作崗位，或離開他們的公司並開展新的工作。因此，企業必須確保他們的入職和離職流程順暢無縫。 然而，由於香港企業人手短缺，他們不可能再只依靠人手流程授予用戶存取資料和數據的權限，尤其以手動流程處理存取管理和安全的效率低，客易不合規和造成人為錯誤，變相增加風險。 除此以外，現今企業擁有的身分數據數量和認證的次數龐大，要達致及時並準確地對所有數據進行分類已經超出了人手處理的極限，而要以人手完成身分安全流程和決策可能需要數年時間，實際上並不可行。今天的 IT 團隊看到在各種營運環境中，用戶、應用程式及數據用量都在不斷增加。 現時企業的團隊，由員工、供應商、合作夥伴甚至非人類身分設備組成，企業需要完全了解所有用戶類型及其相關存取權限，包括所有權限、員工所需權限、工作特質和崗位等，以便確保所有用戶都能擁有所需的存取權限，並獲取正確的資源以完成他們的工作。 透過自動化的身分流程，企業可以在員工加入、更改職位或離開公司時輕鬆安全地刪除或恢復存取權限，而無需任何人手干預。 這樣能夠最大程度地簡化新員工、內部轉移和離職者的入職和離職流程。 自動化流程還可以簡化實現存取控制和仔細處理權限，以防止利益衝突、資料盜竊和違規，從而實現有效且合規的網絡安全方案。…

筆者上回提及到人工智能 Kiosk 糸統於商場應用的例子。身邊友人看到文章分享，不禁提問坊間看到的不就是人工智能嗎？也懂得對話啊。Kiosk（電子資訊站）設備在香港已相當普及，大家在商場、餐廳、展覽會場、公共場所、公司企業中均會見到。 然而，現時坊間大部分的 Kiosk 都只能算是自動化 Kiosk，而並非真正的 AI。如果你見到有些 Kiosk 界面顯示着擬人化角色，恍如真人對話般回答用戶所輸入的問題，以為那就是 AI Kiosk 的話，那就有所誤解了。 想睇更多專家見解？立即免費訂閱！ 坊間的自動化 Kiosk 只是預設編程，只能一板一眼地回答已預設的答案，變化不大且相當被動。它們只能提供不同的預設選擇按鈕供用戶選按，而並非可以讓用戶自由提出問題。與用戶打招呼時，它們只是說出標準的打招呼用語。簡單來說，這些自動化 Kiosk 與真正的 AI…

面對香港 IT 鬧人才荒的問題，已非單用錢就能解決，企業「搵到人、用好人、留到人」同樣重要。 Sangfor 的第三代超融合基礎設施 HCI （Hyper-Converged Infrastructure）本身已很好地將儲存、訊息處理、網絡和管理集於一身； 最近與 Landray Software 將其企業級的自動化協同運營管理平台 EKP 融入至 HCI 中， 共同推出的一體化方案，除了可以高效地部署和支援 EKP上眾多 IT 應用項目外，亦可周全顧及到客戶（特別是…

Kaspersky 網絡安全專家發現新的網絡攻擊手法，它主要通過在受害者的 YouTube 頻道上載遊戲推廣短片，引誘對方的粉絲下載多合一功能惡意檔案。有別於其他同類型攻擊，這款全新惡意軟件有自動擴散能力，相信 YouTube 將會愈來愈多這類假宣傳片出現。 防毒軟件公司 Kaspersky 最新捕捉到一種全新的惡意攻擊手法，它的攻擊流程可以分為兩部分。專家指黑客第一步會攻擊 YouTuber，暗中取得其帳戶後，便會借用受害者的身份在其頻道上傳短片，內容主要是推廣連線遊戲如 FIFA、Final Fantasy、Forza Horizon 等遊戲的破解版或作弊程式，引誘頻道的追隨者下載及安裝檔案。事實上，專家指這個檔案卻有如病毒雞尾酒，除了有最有人氣的資料盜竊軟件 RedLine，還有一個挖礦程式，暗中借受害者的電腦賺錢。而為了減少被察覺的風險，專家指黑客利用 Nirsoft NirCmd 工具，隱藏所有執行檔及涉及的彈出式視窗，而且亦不會在桌面或 Taskbar 上留下有任何存在證明。…

Synopsys Black Duck 用於管理在應用程式和容器中使用的 open source 所產生的安全性、許可合規性和代碼質量的風險。 Black Duck 被 Forrester 評為軟件組合分析 (software composition analysis, SCA) 領域的領導者，提供第三方代碼可見性，能用於整個軟件供應鏈和整個應用程式生命週期。 Black Duck 結合多功能開源風險管理與深度二進制檢查，提供出色的…

Android 惡意軟件的功能愈來愈強大，最新一款被捕捉到的 MaliBot，不單可以盜取裝置儲存的帳戶密碼、銀行及加密貨幣錢包資料，更可以暗中控制裝置通過多重因素驗證 (MFA) 驗證程序，以及向受害者的聯絡人發送惡意訊息。 F5 Labs 網絡安全專家早前捕捉到一款新的 Android 惡意軟件 MaliBot，它被假扮成一款在 Google Play Store下載量過百萬的加密貨幣追蹤 app，專家指這款軟件主要是透過 SMS 短訊散播，只要用家點擊連結至網站，下載並成功安裝該軟件，黑客就可獲得完整的裝置控制權。專家解釋，由於安裝前必須授予該軟件多種權限，當中包括 Android 系統的輔助服務 (Accessibility…

不少企業也會採用 Elasticsearch 分散式搜尋及分析引擎，不過在管理時往往因設定錯誤，令資料庫在毫無保護下面向互聯網。Secureworks Counter Threat Unit 研究員上星期便發現有黑客至少向 1,200 個資料庫發動攻擊，鑑於數據量龐大，研究員認為就算交贖金，受害者亦不太可能取向原始數據…… 資料庫發生數據外洩的情況經常發生，早前有一份調查報告便指出，2021 年共有 308,000 個資料庫發生外洩事故，而當中約 30% 均屬於 Elasticsearch 資料庫。報告同時顯示，系統管理員平均需要 170 日才能發現在設定上出現問題，導致資料庫有很長時間在不安全狀態下面向互聯網，非常容易造成數據外洩。 Secureworks…

智能自動化平台工具早已經不是空中樓閣，只要熟知機械人流程自動化（RPA）科技發展的讀者，都清楚這是數碼化轉型中必然的步伐。作為中國市場的領導者之一，創立於 2015 年的來也科技在多年前已經早著先機，為各大企業提供智能自動化平台，協助用戶以自動化工序或虛擬勞動力協助辦公，加速數碼轉型提升業務效益。 加快數碼化轉型步伐 該公司早前決定進軍香港市場，並選定擁有雄厚企業科技服務背景的 ACW Distribution（HK）Limited 作為合作夥伴，致力推動包括人工智能（AI）與 RPA 在內的科技應用方案，提升本地企業在相關層面的應用水平。來也科技聯合創始人兼 CEO 汪冠春對於進軍香港市場表示高興，強調不同層面的企業，都正在於技術層面上考慮引進自動化的營運平台，以實現更多可能。 作為中國 RPA 市場的領導者之一，創立於 2015 年的來也科技在多年來已經早著先機，為各大企業提供智能自動化平台，加速數碼轉型提升業務效益。 提升營運與生活水平 在可見的將來，人類可能都要面對新的工作與生活模式，汪冠春指出 RPA…

針對企業發動的網絡攻擊日趨激烈，特別是在新冠疫情下，企業倉卒採用各種雲服務及讓員工在家工作，一時之間令安全運維（SecOps）面對更多挑戰。團隊不單要趕在網絡犯罪集團活用安全漏洞前加以堵塞，敏感行業亦要兼顧法規（compliance）要求。如何才能在資安人手短缺的窘境下兼得魚與熊掌？關鍵在於找到合適的管理工具，以及交由專家找出痛點所在。今次就請來企業軟件公司 VMware 及系統整合商 Amidas的專家，分享解難心得。 疫情加重安全管理難度 早前 Google 發表安全調查報告，指 40% 在雲端平台部署的 instances，在 8 小時內便會被黑客發現及入侵，當中最快紀錄更只需 30 分鐘，可見今時今日企業採用雲端服務的嚴竣環境。Amidas 高級售前規劃顧問 Antonio 說：「雖然近年企業願意在維護網絡安全上投入更多資源，但大部分都投放在偵測漏洞方面，維護方面卻不足夠，導致運維團隊即使知道系統有漏洞存在，也未必能即時應對及修補，一旦受到網絡攻擊，企業營運便會被癱瘓，造成無法估計的損失。」 SaltStack可以跨作業系統進行漏洞評估，最適合配置了多種作業系統的企業使用，快速掌握系統的安全風險現況，優先處理緊急問題。 VMware…