回顧最近的三年抗疫生活,我們都不難發現很多生活習慣,以及約定俗成的工作模式都被改變了。然而,在這一場持久戰當中,除了守護着自己及家人的健康,我們在應付及處理突發事情與危機,也變得更熟練了。 從面對疫情的經驗當中,亦可總結出一些重要因素,幫助我們重新思考及鞏固我們的網絡安全防禦系統及策略。 黑客精心製作的木馬程式及病毒,就像是新型冠狀病毒,能夠通過電子郵件,在大氣電波中與我們的電腦接觸,無聲無息感染我們的系統,並潛伏在電腦當中,等待適當的機會作進一步的擴散。 像隱藏在社區裏的隱形傳播鏈,被木馬軟件控制的電腦,就是超級傳播者,能夠幫助黑客把木馬軟件,複製到企業裏的其他電腦。當企業絕大部分的電腦及系統,都被木馬軟件控制後,黑客就能很輕鬆及精準地盜取對企業至為重要的關鍵數據,例如客户資料、信用卡資料等。 收集實時分析重要數據 快速檢測及詳細的核酸檢測,都是讓我們找出超級傳播者的重要手段之一。在網絡世界,殺毒軟件及網絡安全偵察/響應系統,能夠自動化及恒常地檢查哪一些電腦已被感染。在病毒進一步擴散前,先把受感染的系統隔離,例如把這些電腦系統重新安裝,要求電腦用戶重新設定密碼等,然後找出病毒傳入的方法及源頭,從源頭堵截木馬病毒傳播鏈。 最常見的三種源頭分別是: 一、對互聯網開放的系統及伺服器,例如是企業網站,直接遭受入侵。這亦包括管理員無意中把內部系統錯誤設定為對互聯網開放的情況。 二、員工的企業帳號密碼被盜取,讓網絡犯罪分子能以員工的身分,連接對外網開放的企業系統例如電子郵箱、VPN、辦公系統等等。 三、通過釣魚郵件或其他社交工程的騙術,誘使員工安裝隱含在附件的木馬程式。 當面對網絡危機時,企業往往很難保持冷靜,細心分析上述源頭的可能性,從而制定及實行針對性的抗疫手段。因此,最危險的莫過於企業自以為實行了有效的措施後,卻直到木馬軟件蔓延,並控制更多重要的系統後,才驚覺網絡仍然受感染 。 要做到準確的分析,企業可以使用全天候的網絡安全監控服務中心,通過收集及實時分析不同的重要數據,來確認感染源頭,例如防火牆的日誌中,是否出現與網絡犯罪集團組織相關的IP Address?網絡系統設定中,是否有不為人知的高權限帳戶?用戶電腦的事件日誌中,是否有特殊程序如Powershell、mimikatz、psexec運行的痕迹等? 最後,更重要的是在整個抗疫行動中,如何利用相關的數據,供企業管理層掌握抗疫行動的成效。這些數據可以是有多少受感染的系統已安裝有效的殺毒程序,防火牆的黑名單加入了多少IP Address,曾被黑客佔領的帳號是否有再被啟用的痕迹。在網絡攻防戰發生之前,預先制定這一些評核抗疫成效的主要數據,就可以讓我們更加從容地指揮及應對突如其來的網絡攻擊。 簡培欽 香港電腦學會網絡安全專家小組執行委員會成員
Category: CSSG_Publications
網絡安全專家「文武兼備」
網絡安全是組織抵禦黑客和其他網絡威脅的第一道防線。早前已有預計,到二○二一年底,網絡犯罪將在全球造成價值六萬億美元的損失,因此我們可以理解,為何網絡安全愈來愈受到重視。 正因如此,網絡安全是招聘市場上最熱門的範疇之一,已是不爭的事實。各大專院校和專業辦學團體,也推出更多網絡安全的專業訓練和課程,反應也相當熱烈,愈來愈多人希望加入網絡安全專業大軍。 美國馬里蘭州貝塞斯達的安全研究和培訓公司SANS Institute,曾對二百八十四家不同公司的五百多名網絡安全從業人員,進行了一項調查,了解他們認為那一項專業技能,對求職者最為有用。該調查要求受訪者對從「關鍵」到「不需要」的各種技能進行排名。八成五的受訪者將網絡列為一項關鍵或「非常重要」的技能,其次是精通Linux操作系統(七成七)、Windows(七成三)、規探安全漏洞技術(七成三)、計算機架構和虛擬化(六成七)及數據和密碼學(五成八);只有三成九的人將編程列為一項關鍵或非常重要的技能。 要在網絡安全領域上獲取較高的薪酬前,你需要學習工具和技能,這就是網絡安全培訓的用武之地。網絡安全認證課程,不僅為你提供職位的基本知識,而且還提供有價值的證書,向潛在僱主證明你具有所需的資格。雖然絕大多數剛畢業並獲得學位的人,缺乏實踐經驗,但通過專業培訓和指導,人們可以通過基礎理論和模擬攻防等方式,有效地掌握網絡安全的一些基概念和知識。 可是,入行者需要面對另一問題:「坊間有各式各樣的課程和專業認證,到底應該選哪一個?」又或者「是否考獲的認證愈多,獲取錄的機會就愈大?或是可賺取的工資就愈多?」 就像許多不同形式的網絡攻擊一樣,有一系列令人眼花繚亂的網絡安全認證,可供選擇。儘管選擇多不是壞事,但數量和種類太多,也為有意投身網絡安全的人士,帶來了困惑甚至不知所措。到底哪種網絡安全認證,對有意投身網絡安全的你最有價值? 古時科舉有文科狀元和武舉狀元考試,筆者認為在網絡安全的領域上,也有「文」、「武」之分。 「文」者乃着重網絡安全管理框架和理念,讓學員對網絡安全管理架構和布局、職責分工、安全審計、風險管理及評估,有一定了解。此等認證是具有企業級安全管理職責的IT專業人員的重要資源,對往後管理、開發和監督安全系統,並制定組織最佳實踐,具有相當價值的理論根柢。在市場上較熱門和受僱主所認可的專業認證,包括認可資訊安全系統審計師(Certified Information System Auditor簡稱CISA)、認可資訊安全經理(Certified Information System Manager簡稱CISM)、資訊安全系統專家(Certified Information System Security Professional簡稱CISSP)等。 「武」者則着重具體網絡安全技術和實戰操作,為被培訓對象具備網絡攻防相關的運作和處理,提供技術知識和透過模擬平台增加「實戰」經驗。此類專業認證愈來愈受業界所重視。當中較被認同的,包括認可道德黑客(Certified Ethical Hacker 簡稱CEH)、認可安全分析師(EC-Council Certified Security Analyst簡稱ECSA)、認可法證分析師(GIAC Certified Forensic Analyst簡稱GIAC)等。 能夠做到能文能武,就能成為炙手可熱的網絡安全專家,受各大企業爭相聘用的專業人才。所以,專業認證的多寡不是重點,是否能覆蓋文武,即管治和實戰技術的範疇,而非側重其中一方,才是關鍵所在;對往後在網絡安全的專業領域上的發展,會有更大幫助。 胡志偉 香港電腦學會新興數碼技術總監及網絡安全專家小組召集人
電郵騙案面面觀
有網絡安全公司指出,多達九成一的網絡攻擊由電郵開始,原因很簡單,因為這是最容易、成本最低、攻擊範圍最大,成功率也最高的方法。 互聯網電郵最初的設計,是沒有太多網絡安全考慮的。而電郵一般有以下風險。 垃圾電郵:是指一些不請自來,漁翁撒網式的電郵,例如一些賣藥的、增強身體機能的。這些電郵賣的貨品良莠不齊,更可能是非法的。這些電郵都沒有提供不接收訊息的選項。雖然我們只要不理會這些垃圾電郵就是,但如每一天收很多這些電郵,要花時間清除它們也是不勝其煩。 有害電郵:有一些電郵內附有害的附件,可能是一個執行檔或普通文件。收件人如不虞有詐打開了附件,電腦就可能中毒。 釣魚電郵:電郵內會有一些連接到有害網站的超連結。這些網站常常假扮成一些常見網站,例如PayPal、O365、銀行網站等,幾可亂真,騙取用家的個人資料。 CEO詐騙:俗語有云:「橋唔怕舊,最緊要受」。這不是甚麼高科技的技術,只是回歸最基本,電郵假扮公司的CEO或高層,欺騙收件人轉錢,或只是代為購買價值一百幾十元的儲值卡。這些看似很低水平的詐騙,但現實還是會有人上當,甚至損失數百萬元。 其實電郵詐騙,來來去去都是這幾度板斧,通常都會假扮與收件人有往來的發件者和連結的網站,然後內容就說很緊急,要收件者立即行動;又或以利益如很大的折扣,來引誘收件人點擊或回覆。 我有時想,為何黑客的伎倆十年如一日,也不改變一下呢?我想主要有兩原因,一就是如這些方法仍然有效,根本不需要改變;二是黑客的目標,根本就是一些保安意識最低的一群人。欺騙這群人的成功率最高,成本也最低,黑客不想花心神時間,在一些比較難欺騙的對象上。同樣道理,這就是我們今天仍不時收到「你有一份急件」的詐騙電話一樣。 一些電郵保安系統,可有效過濾這些惡意電郵,但用家仍要保持警覺。在收到一些可疑電郵,在打開附件或按下連結之前,停一停,想一想:發件者是誰?我認識的嗎?我應該收到這電郵嗎?連結的網站是聲稱的網站嗎?這些都不是一些很難掌握的事,只要我們有網絡安全的意識,就做得到。 葉曼春 香港電腦學會網絡安全專家小組委員會成員
網絡保安加入人工智能 主動找出漏洞保企業平安
甚麼是網絡保安?根據美國網絡保安和基礎設施安全局的解釋,網絡保安是保護網絡、設備和數據,免遭未經授權的訪問或犯罪使用的技術,並且確保資訊的機密性(Confidentiality),完整性(Integrity)和可用性(Availability)。 人工智能(Artificial intelligence;AI)已在多種網絡保安領域中使用,以增加任務自動化,並允許企業通過做出更好的預測,以便主動解決問題,包括漏洞管理。 「漏洞」主要是指軟件中的漏洞,攻擊者可利用這些漏洞,在系統中執行未經授權的操作。它們可能是由軟件編程錯誤引起的。攻擊者或黑客藉機利用這些錯誤,使電腦感染惡意軟件(Malware),或執行其他惡意活動,例如竊取企業的機密資料等。 由於漏洞數量龐大,對於任何企業而言,管理漏洞並確定優先次序非常困難。考慮到每家企業平均需要 1 或多個月的時間修補 1 個鍵漏洞,目前企業比以往任何時候更需要工具來幫助,在「漏洞」被發現之前,找出來並作出適當處理。 其實,現時企業已可以使用人工智能主動找出並解決漏洞問題。開發人員使用 AI 來自動執行編碼審查,識別其應用程序中,最昂貴的編碼行,並獲得有關如何修復或改進其編碼的建議。就算是經驗最豐富的工程師,即使通過對等編碼審查和單元測試,也可能很難檢測到某些類型的編碼問題。可藉由 AI 幫助開發人員更快、更早地發現編碼問題,並提高應用程式性能。 企業還可以善用人工智能,透過關聯多個指標,包括在「暗網」(Dark Web)上的黑客討論、黑客的聲譽、供應商等,來準確預測可能發生的攻擊,以提高對可能在攻擊中所使用的漏洞的確定性。
網絡安全人才 前景亮麗
網絡安全人才短缺,估計到2021年,全球會有350萬個空缺。隨著網絡攻擊愈來愈多,包括有組織的犯罪集團和國家級的黑客,數據洩露事故無日無之。另一方面,網絡安全的管制愈趨加強,歐盟國家的GDPR法規(General Data Protection Regulation)實施兩年,共收到9.8億港元的罰款。面對嚴峻的環境,機構對網絡安全求才若渴,但人才卻供不應求。 網絡安全是很專門的行業,對從業員的技術要求頗高,而且要掌握足夠的威脅情報(threat intelligence),才能更有效防禦網絡攻擊,因此。資源不足的中小企通常考慮外判這類工作予託管安全服務(managed security services)的供應商;大機構則可提供友善的工作環境、清晰的職業發展路線圖,以及適合的訓練以吸引人才。 在人才不足的情況下,留住員工至為重要,需知道重新培訓新員工並讓他們熟悉公司環境需時,因此企業皆重視留才,從業員的工作前景非常穩定。由於網絡安全會接觸到資訊科技的每個層面,不少機構亦會吸納一些有經驗的系統管理員、網絡工程師,甚至應用程式開發人員,轉到網絡安全這行業上發展。 若有意在網絡安全行業發展,可先裝備自己,考取大機構常見要求的CISSP、CISA、CISM和CEH等認證,這些認證亦可顯示你對行業的熱誠和投入,增加獲取錄或晉升的機會。網絡安全知識日新月異,從業員對行業富有熱誠和不斷進修極為重要。 投身這門專業,亦要具備良好的分析和解難能力。網絡安全的接觸層面很廣,面對的資訊很多,良好的分析能力能讓我們避免「見樹不見林」,從而作出正確的決定。在應對網絡安全事故時,也要像查案般在複雜的環境中抽絲剝繭,找出原因和對策,需要大膽假設,小心求證,過程中亦有很大的滿足感。 網絡安全非常複雜,對技術的要求也很高,對作業系統、網絡,甚至應用系統的開發也要有一定知識,所以從業員亦要有良好溝通能力,能將複雜深奧的問題,解釋得簡單易明,向老闆申請網絡安全預算時,更要深入淺出地說明。因此,網絡安全從業員可說是要「出得廳堂」懂得應付管理層,又要「入得廚房」解決錯綜複雜的技術問題,殊不簡單,但換來的,是光明的前景和工作上的滿足感。 葉曼春 香港電腦學會網絡安全專家小組執行委員會成員
雲端數據主權
隨著雲端服務的日益普及,企業可透過租用的方式,享有雲端服務,輕鬆地使用處理器、儲存容量、網路等基礎的運算資源,毋須自行購置基礎設施,節省成本;而且可按實時需要快速擴展。企業部署技術服務、構思以至實施,都比前快許多,企業因而可自由進行試驗、測試新構思,為客戶帶來不同的體驗,以及實現業務轉型等。 據Statista Q4 2019市場統計,雲端服務市場份額,主要由大公司所佔有,包括美國的AWS(33%)、Azure(18%)、Google Cloud(8%)和 IBM Cloud ( 5% ), 以及中國的阿里巴巴(5%)。由於許多雲端用戶為滿足業務需求,將個人資料存儲在雲端資料庫,需要符合相關數據存儲的規定,因此,大多數雲端服務商都在本地設置數據中心,讓客戶將資料加密,並存儲其中,以滿足有關法律要求。 由於歐洲沒有主要的雲端服務供應商,歐洲企業越來越依賴外國,特別是美國的雲端服務。但根據去年生效的美國的《雲法案》,地方當局可以命令美國供應商,上交存儲在服務器上的任何公司數據,無論該公司位於何處,包括歐盟在內。 缺乏數據自主權和自決權,特別是日益增加的敏感數據,例如知識產權、研究結果、公共衛生信息等,更不應受到外國當局的監控,法例自然引起歐洲企業的不滿和擔憂;加上越來越多的地緣政治憂慮、貿易爭端、政治不確定性,以及普遍對Amazon Web Services之類近乎壟斷的供應商產生懷疑等因素,促使歐洲企業有意將數據的雲端自主權,帶回歐洲本家。 因此,歐洲企業在德國和法國牽頭下,低調地在2019進行一個名為Gaia-X的大計,目的是打造一個歐洲本土的雲端服務,讓歐洲重拾數據的控制權。 為免失去數據的自主權,跨國企業在考慮與全球電子通信服務或遠程計算服務供應商,簽訂服務協議時,應對美國的服務供應商的組織設置,進行盡職調查,調查其是否可以「擁有、保管或控制」非美國分支機構持有的數據。服務接受者應盡量修改服務協議,以限制美國對非美國司法管轄區擁有的取得數據的權力。 而為降低風險,企業應評估與美國服務供應商的協議,以確定其是否可通過使用美國語言鍵盤,有權取得非美國實體在美國境外持有的數據,並在服務協議中,明確列明非美國數據,在非美國數據存儲的位置,須被「隔離」,包括物理上和邏輯上的隔離,並且不能從美國取得。此外,除非當地法律有所禁止,否則企業在簽訂協議前,應以合同語言通知美國服務供應商,作為服務接受者,已收到根據《雲計算法》所提出,具有法律約束力的請求。 如果關鍵數據是存儲在雲端,包括個人專有訊息、機密訊息或個人數據等,企業應利用最新的網絡安全方式,包括靜態加密和傳輸中加密處理,並且確保在任何情況下,加密的密鑰管理,都必須在企業的完全控制下;並在未經數據控制器的允許下,美國雲服務供應商不准取得數據。
網絡保安市場潛力豐厚
近年,大眾對網絡事故的關注度愈來愈高,網絡安全已成為企業責任,管理層都願意不惜工本去強化保安系統。網絡保安(Cybersecurity)逐漸變成了一個龐大商機,商家們亦紛紛湧進這個市場,希望能夠分一杯羹。 若要把握機會,我們最好先認識這個市場的特點。簡單而言,可以歸納成以下四點。 第一,是由恐懼所產生的市場需求。網絡攻擊的可怕之處在於神秘感,若缺乏專門技術,一般人難以發現它的存在。面對這種看不見但又彷彿無處不在的威脅,正常的反應就是恐懼。加上很多關於網絡攻擊的報道,往往着重受影響的客戶人數或損失的金額,這都加強了恐懼性。在這種情緒下,網絡保安產品就成為了各大企業爭相購買的「護身符」。 第二,是配合國家發展方向。隨着現代戰爭漸趨數碼化,網絡保安成為國家安全重要一環,因此各國都着力促進相關產業的發展。首先,最直接就是向初創公司提供資金,鼓勵研發技術。其次,就是訂立法則,要求企業達到一定程度的網絡安全水平。最後,也是最重要的就是人才培訓。例如在以色列,由於所有成年人都必須服兵役,而網絡保安又屬於國防技術,因此每年都有一班年輕人被挑選進入相關部隊。當他們退伍後,市場上就有了一班有實戰經驗的人才,造就了不少成功的初創公司。 第三,空降而來的科技巨企。既然出現了一個潛力龐大的市場,現有的科技巨企當然想積極開拓,而微軟(Microsoft)可算佼佼者。首先,因為視窗系統(Windows)仍然是最普及的作業系統,Microsoft所推出的網絡保安產品,全都被冠上Windows最佳兼容性的名號,這無疑是給客戶們一個至安心的選擇。另一方面,Microsoft亦可以將這些產品跟Windows整合成一套更全面的方案,繼而進一步鞏固它的領導地位。 行業巨頭隨時誕生 第四,通過商業合併搶攻市場。以上提到初創公司的冒起,以及科技巨企的參與,當這兩股勢力相遇就自然會觸發企業併購。今年五月,Microsoft就收購了一間以色列初創公司CyberX,進軍物聯網保安市場。 網絡保安市場現正來到一個百花齊放的時代,像Palo Alto及FireEye等企業相繼崛起,更是已經成為了上市公司;接下來的發展,大家不妨拭目以待,我們很可能在網絡保安行業,見證到下一個Microsoft或者Google的誕生。 鄧穎暉 香港電腦學會網絡安全專家小組執行委員會成員
網絡攻擊層出不窮 三大對策助企業化險為夷
相信不少 IT 管理層的願望是「網絡零意外」。但是對於網絡保安而言,這可算是不切實際。過去 10 年,網絡攻擊拖垮整個企業的事件已是累見不鮮。不過,優秀的網絡安全事故應變(Cyber Incident Response),不單可以減輕事故所造成的破壞,甚至可以提升企業形象,轉危為機。 據網絡保安培訓機構 SANS 的研究,指出由發現事故開始,事故應變大致可分為 5 個階段: 鑑定(Identification):確認是否網絡安全事故,再繼而評估嚴重性; 遏制(Containment):控制入侵範圍,避免進一步擴大; 消除(Eradication):分析攻擊來源,再加以清除; 恢復(Recovery):恢復正常業務運作,並監測攻擊會否捲土重來; 檢討(Lesson Learnt):從事故中學習,加強網絡保安能力。 篇幅所限,筆者未能逐一講解。反而,筆者希望能把自己的實戰經驗,歸納成之以下幾個要點分享: 靈活變通的戰術 某些企業,預早制定了非常詳盡的應變程序,並要求應變小組一步步照做。這是一個很理想的做法,只可惜實際上卻難以執行。 網絡攻擊種類繁多,而且千變萬化。這一刻我們認為黑客是來竊取資料,下一刻卻發現原來是勒索程式。如果硬性規定應變小組只可以跟既定程序,不但會阻礙他們隨機應變,還徒添心理壓力。 因此,筆者建議可以將硬梆梆的程序,分拆成多款「招數」。使用防火牆攔截是一招、檢查伺服器狀態,又是另一招。當網絡安全事故發生時,應變小組因應現場情況,將適合的招數像「砌拼圖」一般,拼湊成最有效的應變計劃。 業務部門積極參與 某些部門的主管,可能會覺得網絡保安事故只是 IT 部門的工作,因此未有及時參與應變行動。其實,在事故中遏制和消除階段,一些行動是會直接影響業務運作的。例如,當公司網站遭到入侵,關掉伺服器的確可以停止攻擊擴散,但與此同時,網站亦需暫停服務。這種時候,正需要各業務部門的全面配合,管理層才能有足夠的支援作出決定,保全大局。 檢討措施對事不對人 在檢討階段中,焦點應該放在哪些地方可以改善,而避免問「誰犯了錯?誰應負責?」例如事故是因為某位員工中了釣魚電郵而引發,我們不應把責任歸咎該員工。相反,我們可理解為整體網絡安全意識有所不足,公司應加強員工培訓。只有在正面的討論氣氛下,企業中的參與者才能夠消除顧慮,發表更多意見。 事故應變是一個博大精深的範疇,並非短短一篇文章可以全面解釋。筆者志在拋磚引玉,嘗試帶起多一點的注意和討論。現今業界發展的趨勢,正由怎樣「阻擋」網絡攻擊,轉化為如何「應對」。由此可見,事故應變將成為企業網絡安全不可或缺的一環。 以上內容純屬作者個人意見,並不代表本網立場。 鄧穎暉 香港電腦學會HKCS網絡安全專家小組成員
P2P支付程式最大的價值在於…
朋友、同事吃飯分單,先付錢的往往會叫其他人用電子錢包還錢給他。這種P2P的支付方式,已成為大多數香港人日常生活的一部分。除了騰訊和阿里巴巴等科技公司外,香港也有大型銀行分拆子公司,去開發專用的App。儘管近年不少銀行都致力發展金融科技,使用的技術可説是五花八門,但P2P支付,似乎是唯一成功且被廣泛應用的例子。 事實上,這些P2P支付的應用程式,其實能算是很高科技(Tech),基本上無法申請專利,但卻有着可靠的護城河,令競爭對手不易成功抄襲。在內地,支付寶和微信支付加起來,已佔了超過九成的市場。 說到底,金融科技是不是很Tech,不是重點,能直接解決用戶的痛點,和讓他們產生依賴才是重要。因為這樣的產品,才會易於建立一個強大的用戶生態圈。生態圈其實是一種「已經習慣了,如非必要也不想轉變」和「朋友間都是用它」的產品霸權,功能不一定是最好,夠用就好了。在日常生活中,因為要和朋輩連繫上,所以經常使用,便會成為習慣,對它產生依賴。 其實,一個可靠的用戶生態圈,是會有網絡效應的,有利於推廣新產品、新服務。騰訊最初也是利用微信的即時通訊平台所建立的生態圈,去促進微信支付的使用。 一個非常受歡迎的產品,不能幫銀行賺到錢,也是沒用的。信用卡、八達通也會向商戶收取交易費用,這些P2P支付程式卻不收取交易費用,也少有廣告收入,往往使人忽略其實際商業價值。 其實,這些P2P支付程式的最大價值,不在於交易收費,而在於交易數據。 近年,銀行界積極探索如何透過大數據,去挖掘更多的客戶資訊,從而在貸款時,進行更好的風險評估,或選擇合適的客戶推銷新產品。可是,在過程中,很多時會遇到數據缺乏完整性和不足夠等問題。在數據不完整或缺乏資訊的情況下,大家能夠期望人工智能能幫到多少呢?大數據分析又能給多少啟示呢? 其實銀行一直都掌握大家很多數據,例如住址、年齡、收入等等,但是這些數據不夠詳細。透過收集客戶的消費數據,以補充現有數據不足,便成為新趨勢。這些P2P支付程式,正好為銀行補充了非信用卡消費的資料。同事一起吃飯、買禮物、網購等行為,都無所遁形,銀行可從用戶輸入給收款人看的資訊推算;再配合信用卡收集的數據,消費者的資料就很完整了。 此外,這些P2P支付程式,也可以編織出每個客戶的人際關係網,有甚麼朋友和親戚、經常和誰吃飯,其實都會一清二楚。知道了這些訊息,銀行就比較容易知道你是一個怎麼樣的人,父母有沒有錢,身邊有沒有朋友瀕臨破產邊緣,就可推斷是否應借錢給你了。 陳鎮輝 香港電腦學會網絡安全專家小組執行委員會成員
企業網絡安全新里程
金融科技近年發展迅速,大數據、雲計算、區塊鏈、人工智能及生物認證等,都已在不少行業發展出成功實施的案例。網絡攻擊和防禦的技術發展和競賽,也是愈來愈快和激烈。踏入二○二○年,網絡安全主管也在忙於分析網絡攻擊技術的發展趨勢,整合及制訂來年防禦策略。多間網絡安全服務供應商及技術顧問,都為今年網絡安全發展趨勢作出分析和預計。 近年來人工智能技術已逐漸應用於多個商業領域之中。 提升員工意識及培訓 據Verizon公司發布的《2019年資料洩露調查報告》,在一九年近三分之一的資料洩露涉及網絡釣魚;其中,網絡犯罪分子的攻擊數字升78%。網絡攻擊者主要通過被洩露了的企業內部或合作夥伴帳戶,發送看起來合法但其實是欺詐性的訊息,作為釣魚嘗試,誘使受害員工提供公司的敏感資料,或引入惡意軟件。因此,二○年的首要任務,是提高安全意識和員工培訓的優先權。 另據卡巴斯基公司的《2019年IT安全經濟學》報告,一九年約40%企業經歷過勒索軟件攻擊事件;平均損失146萬美元。防範勒索軟件的最佳方法,是對所有關鍵資料進行備份,並把備份儲存到與企業網絡隔離的地方,減低一旦受到勒索軟件攻擊時,連備份也被加密「綁架」的風險。除此之外,企業需要實施如「應用程式白名單等額外的保護措施,加強備份的安全保護。 該公司去年發布《IT安全經濟學》表示,一九年有42%大企業和38%中小型企業,遭「分散式拒絕服務(DDoS)」攻擊。由於5G興起和物聯網設備數量增加,相信DDoS攻擊仍將會大增。IDG預測5G及其相關的網絡基礎設施市場,將從一八年的5.28億美元,增至二二年的260億美元。5G的轉變將催生全新的營運模式和架構,當然會催生新漏洞;加上未來會愈來愈多的5G物聯網設備,直接連接至5G網絡,亦會增加設備更易遭網絡攻擊的機會。 黑客利用AI探測漏洞 面對此等安全威脅,網絡區間需加強規劃及細分,並加強存取控制和網絡安全監控,特別是網絡遠端存取,在對手攻擊或關閉其設施之前,快速檢測和緩解物聯網攻擊。 近年來人們期待已久的人工智能(AI)技術商用,逐漸成為現實,並應用在許多商業領域中。有分析指,網絡攻擊者已開始通過人工智能技術來進行犯罪活動。由人工智能技術驅動的自動化系統,可以探測網絡和系統,從中找到未被發現的漏洞,再加以利用。當然,另一方面人工智能技術,也能用在網絡安全防禦上。不只是攻擊者使用人工智能系統來探測漏洞,防禦者也在使用人工智能技術進一步強化安全環境。許多威脅識別系統已經在使用機器學習技術,來識別新的威脅。將來網絡安全將很可能成為人工智能較量的一個主要平台之一。 金融機構宜做好防禦 隨着網絡攻擊的技術和手法不斷提升和變化,多個國家或其監管機構都推出或加強網絡安全相關條例和指引,對企業就網絡安全管控有更高的要求。對企業而言,特別是銀行、投資、保險及金融機構等涉及眾多資金的公司,提前認清這些威脅並做好防禦準備,才能更有效地把風險管理做好,並降低相關損失。 胡志偉 香港電腦學會理事會成員及網絡安全專家小組召集人
- 1
- 2