Author: Toni

相信不少 IT 管理層的願望是「網絡零意外」。但是對於網絡保安而言，這可算是不切實際。過去 10 年，網絡攻擊拖垮整個企業的事件已是累見不鮮。不過，優秀的網絡安全事故應變（Cyber Incident Response），不單可以減輕事故所造成的破壞，甚至可以提升企業形象，轉危為機。 據網絡保安培訓機構 SANS 的研究，指出由發現事故開始，事故應變大致可分為 5 個階段： 鑑定（Identification）：確認是否網絡安全事故，再繼而評估嚴重性； 遏制（Containment）：控制入侵範圍，避免進一步擴大； 消除（Eradication）：分析攻擊來源，再加以清除； 恢復（Recovery）：恢復正常業務運作，並監測攻擊會否捲土重來； 檢討（Lesson Learnt）：從事故中學習，加強網絡保安能力。 篇幅所限，筆者未能逐一講解。反而，筆者希望能把自己的實戰經驗，歸納成之以下幾個要點分享： 靈活變通的戰術 某些企業，預早制定了非常詳盡的應變程序，並要求應變小組一步步照做。這是一個很理想的做法，只可惜實際上卻難以執行。 網絡攻擊種類繁多，而且千變萬化。這一刻我們認為黑客是來竊取資料，下一刻卻發現原來是勒索程式。如果硬性規定應變小組只可以跟既定程序，不但會阻礙他們隨機應變，還徒添心理壓力。 因此，筆者建議可以將硬梆梆的程序，分拆成多款「招數」。使用防火牆攔截是一招、檢查伺服器狀態，又是另一招。當網絡安全事故發生時，應變小組因應現場情況，將適合的招數像「砌拼圖」一般，拼湊成最有效的應變計劃。 業務部門積極參與 某些部門的主管，可能會覺得網絡保安事故只是 IT 部門的工作，因此未有及時參與應變行動。其實，在事故中遏制和消除階段，一些行動是會直接影響業務運作的。例如，當公司網站遭到入侵，關掉伺服器的確可以停止攻擊擴散，但與此同時，網站亦需暫停服務。這種時候，正需要各業務部門的全面配合，管理層才能有足夠的支援作出決定，保全大局。 檢討措施對事不對人 在檢討階段中，焦點應該放在哪些地方可以改善，而避免問「誰犯了錯？誰應負責？」例如事故是因為某位員工中了釣魚電郵而引發，我們不應把責任歸咎該員工。相反，我們可理解為整體網絡安全意識有所不足，公司應加強員工培訓。只有在正面的討論氣氛下，企業中的參與者才能夠消除顧慮，發表更多意見。 事故應變是一個博大精深的範疇，並非短短一篇文章可以全面解釋。筆者志在拋磚引玉，嘗試帶起多一點的注意和討論。現今業界發展的趨勢，正由怎樣「阻擋」網絡攻擊，轉化為如何「應對」。由此可見，事故應變將成為企業網絡安全不可或缺的一環。 以上內容純屬作者個人意見，並不代表本網立場。   鄧穎暉 香港電腦學會HKCS網絡安全專家小組成員

朋友、同事吃飯分單，先付錢的往往會叫其他人用電子錢包還錢給他。這種P2P的支付方式，已成為大多數香港人日常生活的一部分。除了騰訊和阿里巴巴等科技公司外，香港也有大型銀行分拆子公司，去開發專用的App。儘管近年不少銀行都致力發展金融科技，使用的技術可説是五花八門，但P2P支付，似乎是唯一成功且被廣泛應用的例子。 事實上，這些P2P支付的應用程式，其實能算是很高科技(Tech)，基本上無法申請專利，但卻有着可靠的護城河，令競爭對手不易成功抄襲。在內地，支付寶和微信支付加起來，已佔了超過九成的市場。 說到底，金融科技是不是很Tech，不是重點，能直接解決用戶的痛點，和讓他們產生依賴才是重要。因為這樣的產品，才會易於建立一個強大的用戶生態圈。生態圈其實是一種「已經習慣了，如非必要也不想轉變」和「朋友間都是用它」的產品霸權，功能不一定是最好，夠用就好了。在日常生活中，因為要和朋輩連繫上，所以經常使用，便會成為習慣，對它產生依賴。 其實，一個可靠的用戶生態圈，是會有網絡效應的，有利於推廣新產品、新服務。騰訊最初也是利用微信的即時通訊平台所建立的生態圈，去促進微信支付的使用。 一個非常受歡迎的產品，不能幫銀行賺到錢，也是沒用的。信用卡、八達通也會向商戶收取交易費用，這些P2P支付程式卻不收取交易費用，也少有廣告收入，往往使人忽略其實際商業價值。 其實，這些P2P支付程式的最大價值，不在於交易收費，而在於交易數據。 近年，銀行界積極探索如何透過大數據，去挖掘更多的客戶資訊，從而在貸款時，進行更好的風險評估，或選擇合適的客戶推銷新產品。可是，在過程中，很多時會遇到數據缺乏完整性和不足夠等問題。在數據不完整或缺乏資訊的情況下，大家能夠期望人工智能能幫到多少呢？大數據分析又能給多少啟示呢？ 其實銀行一直都掌握大家很多數據，例如住址、年齡、收入等等，但是這些數據不夠詳細。透過收集客戶的消費數據，以補充現有數據不足，便成為新趨勢。這些P2P支付程式，正好為銀行補充了非信用卡消費的資料。同事一起吃飯、買禮物、網購等行為，都無所遁形，銀行可從用戶輸入給收款人看的資訊推算；再配合信用卡收集的數據，消費者的資料就很完整了。 此外，這些P2P支付程式，也可以編織出每個客戶的人際關係網，有甚麼朋友和親戚、經常和誰吃飯，其實都會一清二楚。知道了這些訊息，銀行就比較容易知道你是一個怎麼樣的人，父母有沒有錢，身邊有沒有朋友瀕臨破產邊緣，就可推斷是否應借錢給你了。   陳鎮輝 香港電腦學會網絡安全專家小組執行委員會成員

金融科技近年發展迅速，大數據、雲計算、區塊鏈、人工智能及生物認證等，都已在不少行業發展出成功實施的案例。網絡攻擊和防禦的技術發展和競賽，也是愈來愈快和激烈。踏入二○二○年，網絡安全主管也在忙於分析網絡攻擊技術的發展趨勢，整合及制訂來年防禦策略。多間網絡安全服務供應商及技術顧問，都為今年網絡安全發展趨勢作出分析和預計。 近年來人工智能技術已逐漸應用於多個商業領域之中。 提升員工意識及培訓 據Verizon公司發布的《2019年資料洩露調查報告》，在一九年近三分之一的資料洩露涉及網絡釣魚；其中，網絡犯罪分子的攻擊數字升78%。網絡攻擊者主要通過被洩露了的企業內部或合作夥伴帳戶，發送看起來合法但其實是欺詐性的訊息，作為釣魚嘗試，誘使受害員工提供公司的敏感資料，或引入惡意軟件。因此，二○年的首要任務，是提高安全意識和員工培訓的優先權。 另據卡巴斯基公司的《2019年IT安全經濟學》報告，一九年約40%企業經歷過勒索軟件攻擊事件；平均損失146萬美元。防範勒索軟件的最佳方法，是對所有關鍵資料進行備份，並把備份儲存到與企業網絡隔離的地方，減低一旦受到勒索軟件攻擊時，連備份也被加密「綁架」的風險。除此之外，企業需要實施如「應用程式白名單等額外的保護措施，加強備份的安全保護。 該公司去年發布《IT安全經濟學》表示，一九年有42%大企業和38%中小型企業，遭「分散式拒絕服務（DDoS）」攻擊。由於5G興起和物聯網設備數量增加，相信DDoS攻擊仍將會大增。IDG預測5G及其相關的網絡基礎設施市場，將從一八年的5.28億美元，增至二二年的260億美元。5G的轉變將催生全新的營運模式和架構，當然會催生新漏洞；加上未來會愈來愈多的5G物聯網設備，直接連接至5G網絡，亦會增加設備更易遭網絡攻擊的機會。 黑客利用AI探測漏洞 面對此等安全威脅，網絡區間需加強規劃及細分，並加強存取控制和網絡安全監控，特別是網絡遠端存取，在對手攻擊或關閉其設施之前，快速檢測和緩解物聯網攻擊。 近年來人們期待已久的人工智能（AI）技術商用，逐漸成為現實，並應用在許多商業領域中。有分析指，網絡攻擊者已開始通過人工智能技術來進行犯罪活動。由人工智能技術驅動的自動化系統，可以探測網絡和系統，從中找到未被發現的漏洞，再加以利用。當然，另一方面人工智能技術，也能用在網絡安全防禦上。不只是攻擊者使用人工智能系統來探測漏洞，防禦者也在使用人工智能技術進一步強化安全環境。許多威脅識別系統已經在使用機器學習技術，來識別新的威脅。將來網絡安全將很可能成為人工智能較量的一個主要平台之一。 金融機構宜做好防禦 隨着網絡攻擊的技術和手法不斷提升和變化，多個國家或其監管機構都推出或加強網絡安全相關條例和指引，對企業就網絡安全管控有更高的要求。對企業而言，特別是銀行、投資、保險及金融機構等涉及眾多資金的公司，提前認清這些威脅並做好防禦準備，才能更有效地把風險管理做好，並降低相關損失。   胡志偉 香港電腦學會理事會成員及網絡安全專家小組召集人

智能手機，物聯網，新興科技如5G等等，成為了香港市民日常生活及工作中不可或缺的工具。隨著科技與生活的融合，獲得智能的，除了手機，還有我們的家居–智能家居給予我們從未想像得到的趣味和便利，其設計亦對我們的生活質素有所提昇。而智慧城市，就是把智能概念套用在城市當中。那麼，當中有甚麼是我們需要注意，及早作準備呢？筆者認為有兩個要點。 首先，是提昇個人私隱資料的保護意識。 智能化的其中一個策略性功能，就是提供個人化的體驗，這亦代表我們將會有在更多情況下，共享我們的數據，綁定我們的電子身份，又或提供我們的人際關係網，例如邀請朋友參與某些活動。 我們要善用智能手機、社交平台的私隱保護的設定，控制哪一類的訊息能夠分享給不同的朋友圈子及數據保護策略。 第二，是啟動智能裝置的保護設定。 智能設備的其中一個特點，就是經常需要保持連線。而每一個連線設備皆有機會成為網絡攻擊的目標，例如是分散式阻斷服務攻擊，又或不同程度的系統入侵，癱瘓服務及偷竊重要數據。 所以在購買這些設備前，除了比較價錢及功能等重要因素外，亦不要忘記了解該設備的安全配置及私隱保護功能。避免使用預設密碼，選取較複雜的密碼，啟動雙重認證，甚至是IP地址白名單（就算密碼泄漏，仍能拒絕所有經由不明電腦／裝置的遠程連接），都是非常重要的保護措施。   簡培欽 香港電腦學會網絡安全專家小組執行委員會成員簡培欽