Post

電郵騙案面面觀

有網絡安全公司指出,多達九成一的網絡攻擊由電郵開始,原因很簡單,因為這是最容易、成本最低、攻擊範圍最大,成功率也最高的方法。 互聯網電郵最初的設計,是沒有太多網絡安全考慮的。而電郵一般有以下風險。 垃圾電郵:是指一些不請自來,漁翁撒網式的電郵,例如一些賣藥的、增強身體機能的。這些電郵賣的貨品良莠不齊,更可能是非法的。這些電郵都沒有提供不接收訊息的選項。雖然我們只要不理會這些垃圾電郵就是,但如每一天收很多這些電郵,要花時間清除它們也是不勝其煩。 有害電郵:有一些電郵內附有害的附件,可能是一個執行檔或普通文件。收件人如不虞有詐打開了附件,電腦就可能中毒。 釣魚電郵:電郵內會有一些連接到有害網站的超連結。這些網站常常假扮成一些常見網站,例如PayPal、O365、銀行網站等,幾可亂真,騙取用家的個人資料。 CEO詐騙:俗語有云:「橋唔怕舊,最緊要受」。這不是甚麼高科技的技術,只是回歸最基本,電郵假扮公司的CEO或高層,欺騙收件人轉錢,或只是代為購買價值一百幾十元的儲值卡。這些看似很低水平的詐騙,但現實還是會有人上當,甚至損失數百萬元。 其實電郵詐騙,來來去去都是這幾度板斧,通常都會假扮與收件人有往來的發件者和連結的網站,然後內容就說很緊急,要收件者立即行動;又或以利益如很大的折扣,來引誘收件人點擊或回覆。 我有時想,為何黑客的伎倆十年如一日,也不改變一下呢?我想主要有兩原因,一就是如這些方法仍然有效,根本不需要改變;二是黑客的目標,根本就是一些保安意識最低的一群人。欺騙這群人的成功率最高,成本也最低,黑客不想花心神時間,在一些比較難欺騙的對象上。同樣道理,這就是我們今天仍不時收到「你有一份急件」的詐騙電話一樣。 一些電郵保安系統,可有效過濾這些惡意電郵,但用家仍要保持警覺。在收到一些可疑電郵,在打開附件或按下連結之前,停一停,想一想:發件者是誰?我認識的嗎?我應該收到這電郵嗎?連結的網站是聲稱的網站嗎?這些都不是一些很難掌握的事,只要我們有網絡安全的意識,就做得到。 葉曼春 香港電腦學會網絡安全專家小組委員會成員

On June 15, 2021June 15, 2021by
Post

網絡保安加入人工智能 主動找出漏洞保企業平安

甚麼是網絡保安?根據美國網絡保安和基礎設施安全局的解釋,網絡保安是保護網絡、設備和數據,免遭未經授權的訪問或犯罪使用的技術,並且確保資訊的機密性(Confidentiality),完整性(Integrity)和可用性(Availability)。 人工智能(Artificial intelligence;AI)已在多種網絡保安領域中使用,以增加任務自動化,並允許企業通過做出更好的預測,以便主動解決問題,包括漏洞管理。 「漏洞」主要是指軟件中的漏洞,攻擊者可利用這些漏洞,在系統中執行未經授權的操作。它們可能是由軟件編程錯誤引起的。攻擊者或黑客藉機利用這些錯誤,使電腦感染惡意軟件(Malware),或執行其他惡意活動,例如竊取企業的機密資料等。 由於漏洞數量龐大,對於任何企業而言,管理漏洞並確定優先次序非常困難。考慮到每家企業平均需要 1 或多個月的時間修補 1 個鍵漏洞,目前企業比以往任何時候更需要工具來幫助,在「漏洞」被發現之前,找出來並作出適當處理。 其實,現時企業已可以使用人工智能主動找出並解決漏洞問題。開發人員使用 AI 來自動執行編碼審查,識別其應用程序中,最昂貴的編碼行,並獲得有關如何修復或改進其編碼的建議。就算是經驗最豐富的工程師,即使通過對等編碼審查和單元測試,也可能很難檢測到某些類型的編碼問題。可藉由 AI 幫助開發人員更快、更早地發現編碼問題,並提高應用程式性能。 企業還可以善用人工智能,透過關聯多個指標,包括在「暗網」(Dark Web)上的黑客討論、黑客的聲譽、供應商等,來準確預測可能發生的攻擊,以提高對可能在攻擊中所使用的漏洞的確定性。

On December 7, 2020December 7, 2020by
Post

網絡安全人才 前景亮麗

網絡安全人才短缺,估計到2021年,全球會有350萬個空缺。隨著網絡攻擊愈來愈多,包括有組織的犯罪集團和國家級的黑客,數據洩露事故無日無之。另一方面,網絡安全的管制愈趨加強,歐盟國家的GDPR法規(General Data Protection Regulation)實施兩年,共收到9.8億港元的罰款。面對嚴峻的環境,機構對網絡安全求才若渴,但人才卻供不應求。 網絡安全是很專門的行業,對從業員的技術要求頗高,而且要掌握足夠的威脅情報(threat intelligence),才能更有效防禦網絡攻擊,因此。資源不足的中小企通常考慮外判這類工作予託管安全服務(managed security services)的供應商;大機構則可提供友善的工作環境、清晰的職業發展路線圖,以及適合的訓練以吸引人才。 在人才不足的情況下,留住員工至為重要,需知道重新培訓新員工並讓他們熟悉公司環境需時,因此企業皆重視留才,從業員的工作前景非常穩定。由於網絡安全會接觸到資訊科技的每個層面,不少機構亦會吸納一些有經驗的系統管理員、網絡工程師,甚至應用程式開發人員,轉到網絡安全這行業上發展。 若有意在網絡安全行業發展,可先裝備自己,考取大機構常見要求的CISSP、CISA、CISM和CEH等認證,這些認證亦可顯示你對行業的熱誠和投入,增加獲取錄或晉升的機會。網絡安全知識日新月異,從業員對行業富有熱誠和不斷進修極為重要。 投身這門專業,亦要具備良好的分析和解難能力。網絡安全的接觸層面很廣,面對的資訊很多,良好的分析能力能讓我們避免「見樹不見林」,從而作出正確的決定。在應對網絡安全事故時,也要像查案般在複雜的環境中抽絲剝繭,找出原因和對策,需要大膽假設,小心求證,過程中亦有很大的滿足感。 網絡安全非常複雜,對技術的要求也很高,對作業系統、網絡,甚至應用系統的開發也要有一定知識,所以從業員亦要有良好溝通能力,能將複雜深奧的問題,解釋得簡單易明,向老闆申請網絡安全預算時,更要深入淺出地說明。因此,網絡安全從業員可說是要「出得廳堂」懂得應付管理層,又要「入得廚房」解決錯綜複雜的技術問題,殊不簡單,但換來的,是光明的前景和工作上的滿足感。 葉曼春 香港電腦學會網絡安全專家小組執行委員會成員

On October 23, 2020October 23, 2020by
Post

雲端數據主權

隨著雲端服務的日益普及,企業可透過租用的方式,享有雲端服務,輕鬆地使用處理器、儲存容量、網路等基礎的運算資源,毋須自行購置基礎設施,節省成本;而且可按實時需要快速擴展。企業部署技術服務、構思以至實施,都比前快許多,企業因而可自由進行試驗、測試新構思,為客戶帶來不同的體驗,以及實現業務轉型等。 據Statista Q4 2019市場統計,雲端服務市場份額,主要由大公司所佔有,包括美國的AWS(33%)、Azure(18%)、Google Cloud(8%)和 IBM Cloud ( 5% ), 以及中國的阿里巴巴(5%)。由於許多雲端用戶為滿足業務需求,將個人資料存儲在雲端資料庫,需要符合相關數據存儲的規定,因此,大多數雲端服務商都在本地設置數據中心,讓客戶將資料加密,並存儲其中,以滿足有關法律要求。 由於歐洲沒有主要的雲端服務供應商,歐洲企業越來越依賴外國,特別是美國的雲端服務。但根據去年生效的美國的《雲法案》,地方當局可以命令美國供應商,上交存儲在服務器上的任何公司數據,無論該公司位於何處,包括歐盟在內。 缺乏數據自主權和自決權,特別是日益增加的敏感數據,例如知識產權、研究結果、公共衛生信息等,更不應受到外國當局的監控,法例自然引起歐洲企業的不滿和擔憂;加上越來越多的地緣政治憂慮、貿易爭端、政治不確定性,以及普遍對Amazon Web Services之類近乎壟斷的供應商產生懷疑等因素,促使歐洲企業有意將數據的雲端自主權,帶回歐洲本家。 因此,歐洲企業在德國和法國牽頭下,低調地在2019進行一個名為Gaia-X的大計,目的是打造一個歐洲本土的雲端服務,讓歐洲重拾數據的控制權。 為免失去數據的自主權,跨國企業在考慮與全球電子通信服務或遠程計算服務供應商,簽訂服務協議時,應對美國的服務供應商的組織設置,進行盡職調查,調查其是否可以「擁有、保管或控制」非美國分支機構持有的數據。服務接受者應盡量修改服務協議,以限制美國對非美國司法管轄區擁有的取得數據的權力。 而為降低風險,企業應評估與美國服務供應商的協議,以確定其是否可通過使用美國語言鍵盤,有權取得非美國實體在美國境外持有的數據,並在服務協議中,明確列明非美國數據,在非美國數據存儲的位置,須被「隔離」,包括物理上和邏輯上的隔離,並且不能從美國取得。此外,除非當地法律有所禁止,否則企業在簽訂協議前,應以合同語言通知美國服務供應商,作為服務接受者,已收到根據《雲計算法》所提出,具有法律約束力的請求。 如果關鍵數據是存儲在雲端,包括個人專有訊息、機密訊息或個人數據等,企業應利用最新的網絡安全方式,包括靜態加密和傳輸中加密處理,並且確保在任何情況下,加密的密鑰管理,都必須在企業的完全控制下;並在未經數據控制器的允許下,美國雲服務供應商不准取得數據。

On September 17, 2020September 17, 2020by
Post

網絡保安市場潛力豐厚

近年,大眾對網絡事故的關注度愈來愈高,網絡安全已成為企業責任,管理層都願意不惜工本去強化保安系統。網絡保安(Cybersecurity)逐漸變成了一個龐大商機,商家們亦紛紛湧進這個市場,希望能夠分一杯羹。 若要把握機會,我們最好先認識這個市場的特點。簡單而言,可以歸納成以下四點。 第一,是由恐懼所產生的市場需求。網絡攻擊的可怕之處在於神秘感,若缺乏專門技術,一般人難以發現它的存在。面對這種看不見但又彷彿無處不在的威脅,正常的反應就是恐懼。加上很多關於網絡攻擊的報道,往往着重受影響的客戶人數或損失的金額,這都加強了恐懼性。在這種情緒下,網絡保安產品就成為了各大企業爭相購買的「護身符」。 第二,是配合國家發展方向。隨着現代戰爭漸趨數碼化,網絡保安成為國家安全重要一環,因此各國都着力促進相關產業的發展。首先,最直接就是向初創公司提供資金,鼓勵研發技術。其次,就是訂立法則,要求企業達到一定程度的網絡安全水平。最後,也是最重要的就是人才培訓。例如在以色列,由於所有成年人都必須服兵役,而網絡保安又屬於國防技術,因此每年都有一班年輕人被挑選進入相關部隊。當他們退伍後,市場上就有了一班有實戰經驗的人才,造就了不少成功的初創公司。 第三,空降而來的科技巨企。既然出現了一個潛力龐大的市場,現有的科技巨企當然想積極開拓,而微軟(Microsoft)可算佼佼者。首先,因為視窗系統(Windows)仍然是最普及的作業系統,Microsoft所推出的網絡保安產品,全都被冠上Windows最佳兼容性的名號,這無疑是給客戶們一個至安心的選擇。另一方面,Microsoft亦可以將這些產品跟Windows整合成一套更全面的方案,繼而進一步鞏固它的領導地位。 行業巨頭隨時誕生 第四,通過商業合併搶攻市場。以上提到初創公司的冒起,以及科技巨企的參與,當這兩股勢力相遇就自然會觸發企業併購。今年五月,Microsoft就收購了一間以色列初創公司CyberX,進軍物聯網保安市場。 網絡保安市場現正來到一個百花齊放的時代,像Palo Alto及FireEye等企業相繼崛起,更是已經成為了上市公司;接下來的發展,大家不妨拭目以待,我們很可能在網絡保安行業,見證到下一個Microsoft或者Google的誕生。   鄧穎暉 香港電腦學會網絡安全專家小組執行委員會成員

On June 15, 2020August 3, 2020by
Post

網絡攻擊層出不窮 三大對策助企業化險為夷

相信不少 IT 管理層的願望是「網絡零意外」。但是對於網絡保安而言,這可算是不切實際。過去 10 年,網絡攻擊拖垮整個企業的事件已是累見不鮮。不過,優秀的網絡安全事故應變(Cyber Incident Response),不單可以減輕事故所造成的破壞,甚至可以提升企業形象,轉危為機。 據網絡保安培訓機構 SANS 的研究,指出由發現事故開始,事故應變大致可分為 5 個階段: 鑑定(Identification):確認是否網絡安全事故,再繼而評估嚴重性; 遏制(Containment):控制入侵範圍,避免進一步擴大; 消除(Eradication):分析攻擊來源,再加以清除; 恢復(Recovery):恢復正常業務運作,並監測攻擊會否捲土重來; 檢討(Lesson Learnt):從事故中學習,加強網絡保安能力。 篇幅所限,筆者未能逐一講解。反而,筆者希望能把自己的實戰經驗,歸納成之以下幾個要點分享: 靈活變通的戰術 某些企業,預早制定了非常詳盡的應變程序,並要求應變小組一步步照做。這是一個很理想的做法,只可惜實際上卻難以執行。 網絡攻擊種類繁多,而且千變萬化。這一刻我們認為黑客是來竊取資料,下一刻卻發現原來是勒索程式。如果硬性規定應變小組只可以跟既定程序,不但會阻礙他們隨機應變,還徒添心理壓力。 因此,筆者建議可以將硬梆梆的程序,分拆成多款「招數」。使用防火牆攔截是一招、檢查伺服器狀態,又是另一招。當網絡安全事故發生時,應變小組因應現場情況,將適合的招數像「砌拼圖」一般,拼湊成最有效的應變計劃。 業務部門積極參與 某些部門的主管,可能會覺得網絡保安事故只是 IT 部門的工作,因此未有及時參與應變行動。其實,在事故中遏制和消除階段,一些行動是會直接影響業務運作的。例如,當公司網站遭到入侵,關掉伺服器的確可以停止攻擊擴散,但與此同時,網站亦需暫停服務。這種時候,正需要各業務部門的全面配合,管理層才能有足夠的支援作出決定,保全大局。 檢討措施對事不對人 在檢討階段中,焦點應該放在哪些地方可以改善,而避免問「誰犯了錯?誰應負責?」例如事故是因為某位員工中了釣魚電郵而引發,我們不應把責任歸咎該員工。相反,我們可理解為整體網絡安全意識有所不足,公司應加強員工培訓。只有在正面的討論氣氛下,企業中的參與者才能夠消除顧慮,發表更多意見。 事故應變是一個博大精深的範疇,並非短短一篇文章可以全面解釋。筆者志在拋磚引玉,嘗試帶起多一點的注意和討論。現今業界發展的趨勢,正由怎樣「阻擋」網絡攻擊,轉化為如何「應對」。由此可見,事故應變將成為企業網絡安全不可或缺的一環。 以上內容純屬作者個人意見,並不代表本網立場。   鄧穎暉 香港電腦學會HKCS網絡安全專家小組成員

On May 5, 2020August 3, 2020by
Post

P2P支付程式最大的價值在於…

朋友、同事吃飯分單,先付錢的往往會叫其他人用電子錢包還錢給他。這種P2P的支付方式,已成為大多數香港人日常生活的一部分。除了騰訊和阿里巴巴等科技公司外,香港也有大型銀行分拆子公司,去開發專用的App。儘管近年不少銀行都致力發展金融科技,使用的技術可説是五花八門,但P2P支付,似乎是唯一成功且被廣泛應用的例子。 事實上,這些P2P支付的應用程式,其實能算是很高科技(Tech),基本上無法申請專利,但卻有着可靠的護城河,令競爭對手不易成功抄襲。在內地,支付寶和微信支付加起來,已佔了超過九成的市場。 說到底,金融科技是不是很Tech,不是重點,能直接解決用戶的痛點,和讓他們產生依賴才是重要。因為這樣的產品,才會易於建立一個強大的用戶生態圈。生態圈其實是一種「已經習慣了,如非必要也不想轉變」和「朋友間都是用它」的產品霸權,功能不一定是最好,夠用就好了。在日常生活中,因為要和朋輩連繫上,所以經常使用,便會成為習慣,對它產生依賴。 其實,一個可靠的用戶生態圈,是會有網絡效應的,有利於推廣新產品、新服務。騰訊最初也是利用微信的即時通訊平台所建立的生態圈,去促進微信支付的使用。 一個非常受歡迎的產品,不能幫銀行賺到錢,也是沒用的。信用卡、八達通也會向商戶收取交易費用,這些P2P支付程式卻不收取交易費用,也少有廣告收入,往往使人忽略其實際商業價值。 其實,這些P2P支付程式的最大價值,不在於交易收費,而在於交易數據。 近年,銀行界積極探索如何透過大數據,去挖掘更多的客戶資訊,從而在貸款時,進行更好的風險評估,或選擇合適的客戶推銷新產品。可是,在過程中,很多時會遇到數據缺乏完整性和不足夠等問題。在數據不完整或缺乏資訊的情況下,大家能夠期望人工智能能幫到多少呢?大數據分析又能給多少啟示呢? 其實銀行一直都掌握大家很多數據,例如住址、年齡、收入等等,但是這些數據不夠詳細。透過收集客戶的消費數據,以補充現有數據不足,便成為新趨勢。這些P2P支付程式,正好為銀行補充了非信用卡消費的資料。同事一起吃飯、買禮物、網購等行為,都無所遁形,銀行可從用戶輸入給收款人看的資訊推算;再配合信用卡收集的數據,消費者的資料就很完整了。 此外,這些P2P支付程式,也可以編織出每個客戶的人際關係網,有甚麼朋友和親戚、經常和誰吃飯,其實都會一清二楚。知道了這些訊息,銀行就比較容易知道你是一個怎麼樣的人,父母有沒有錢,身邊有沒有朋友瀕臨破產邊緣,就可推斷是否應借錢給你了。   陳鎮輝 香港電腦學會網絡安全專家小組執行委員會成員

On February 17, 2020August 3, 2020by
Post

企業網絡安全新里程

金融科技近年發展迅速,大數據、雲計算、區塊鏈、人工智能及生物認證等,都已在不少行業發展出成功實施的案例。網絡攻擊和防禦的技術發展和競賽,也是愈來愈快和激烈。踏入二○二○年,網絡安全主管也在忙於分析網絡攻擊技術的發展趨勢,整合及制訂來年防禦策略。多間網絡安全服務供應商及技術顧問,都為今年網絡安全發展趨勢作出分析和預計。 近年來人工智能技術已逐漸應用於多個商業領域之中。 提升員工意識及培訓 據Verizon公司發布的《2019年資料洩露調查報告》,在一九年近三分之一的資料洩露涉及網絡釣魚;其中,網絡犯罪分子的攻擊數字升78%。網絡攻擊者主要通過被洩露了的企業內部或合作夥伴帳戶,發送看起來合法但其實是欺詐性的訊息,作為釣魚嘗試,誘使受害員工提供公司的敏感資料,或引入惡意軟件。因此,二○年的首要任務,是提高安全意識和員工培訓的優先權。 另據卡巴斯基公司的《2019年IT安全經濟學》報告,一九年約40%企業經歷過勒索軟件攻擊事件;平均損失146萬美元。防範勒索軟件的最佳方法,是對所有關鍵資料進行備份,並把備份儲存到與企業網絡隔離的地方,減低一旦受到勒索軟件攻擊時,連備份也被加密「綁架」的風險。除此之外,企業需要實施如「應用程式白名單等額外的保護措施,加強備份的安全保護。 該公司去年發布《IT安全經濟學》表示,一九年有42%大企業和38%中小型企業,遭「分散式拒絕服務(DDoS)」攻擊。由於5G興起和物聯網設備數量增加,相信DDoS攻擊仍將會大增。IDG預測5G及其相關的網絡基礎設施市場,將從一八年的5.28億美元,增至二二年的260億美元。5G的轉變將催生全新的營運模式和架構,當然會催生新漏洞;加上未來會愈來愈多的5G物聯網設備,直接連接至5G網絡,亦會增加設備更易遭網絡攻擊的機會。 黑客利用AI探測漏洞 面對此等安全威脅,網絡區間需加強規劃及細分,並加強存取控制和網絡安全監控,特別是網絡遠端存取,在對手攻擊或關閉其設施之前,快速檢測和緩解物聯網攻擊。 近年來人們期待已久的人工智能(AI)技術商用,逐漸成為現實,並應用在許多商業領域中。有分析指,網絡攻擊者已開始通過人工智能技術來進行犯罪活動。由人工智能技術驅動的自動化系統,可以探測網絡和系統,從中找到未被發現的漏洞,再加以利用。當然,另一方面人工智能技術,也能用在網絡安全防禦上。不只是攻擊者使用人工智能系統來探測漏洞,防禦者也在使用人工智能技術進一步強化安全環境。許多威脅識別系統已經在使用機器學習技術,來識別新的威脅。將來網絡安全將很可能成為人工智能較量的一個主要平台之一。 金融機構宜做好防禦 隨着網絡攻擊的技術和手法不斷提升和變化,多個國家或其監管機構都推出或加強網絡安全相關條例和指引,對企業就網絡安全管控有更高的要求。對企業而言,特別是銀行、投資、保險及金融機構等涉及眾多資金的公司,提前認清這些威脅並做好防禦準備,才能更有效地把風險管理做好,並降低相關損失。   胡志偉 香港電腦學會理事會成員及網絡安全專家小組召集人

On January 16, 2020August 3, 2020by
Post

智慧城市 要智能更要安全

智能手機,物聯網,新興科技如5G等等,成為了香港市民日常生活及工作中不可或缺的工具。隨著科技與生活的融合,獲得智能的,除了手機,還有我們的家居–智能家居給予我們從未想像得到的趣味和便利,其設計亦對我們的生活質素有所提昇。而智慧城市,就是把智能概念套用在城市當中。那麼,當中有甚麼是我們需要注意,及早作準備呢?筆者認為有兩個要點。 首先,是提昇個人私隱資料的保護意識。 智能化的其中一個策略性功能,就是提供個人化的體驗,這亦代表我們將會有在更多情況下,共享我們的數據,綁定我們的電子身份,又或提供我們的人際關係網,例如邀請朋友參與某些活動。 我們要善用智能手機、社交平台的私隱保護的設定,控制哪一類的訊息能夠分享給不同的朋友圈子及數據保護策略。 第二,是啟動智能裝置的保護設定。 智能設備的其中一個特點,就是經常需要保持連線。而每一個連線設備皆有機會成為網絡攻擊的目標,例如是分散式阻斷服務攻擊,又或不同程度的系統入侵,癱瘓服務及偷竊重要數據。 所以在購買這些設備前,除了比較價錢及功能等重要因素外,亦不要忘記了解該設備的安全配置及私隱保護功能。避免使用預設密碼,選取較複雜的密碼,啟動雙重認證,甚至是IP地址白名單(就算密碼泄漏,仍能拒絕所有經由不明電腦/裝置的遠程連接),都是非常重要的保護措施。   簡培欽 香港電腦學會網絡安全專家小組執行委員會成員簡培欽

On October 15, 2019August 3, 2020by