Archive

Archive for May, 2017

晉升資安專業人員:普通 IT 人應如何入手?

May 11th, 2017 No comments

晉升資安專業人員:普通 IT 人應如何入手?

現時大家都會經常聽到有關企業出現的種種網絡安全問題,而隨著企業對互聯網的依賴愈來愈高,企業實在有需要加強整體的網絡保安;一般情況下,我們多會以部署不同的資安防禦方案以提高防禦效果,但假如我們能在部署資安方案的同時,新增資安相關的職位,聘請專業人員針對企業網絡安全進行各種工作及跟進,豈不是能達到更佳的防禦效果?

現時很多公司視網絡安全為主要的優先項目,而為了確保公司能抵禦外來威脅和安全漏洞,招聘和留任資訊科技安全專家是公司網絡安全策略的一大重點;亦由於駭客技巧變得越來越純熟,因此網絡安全專家的需求預料亦會隨之而增加,薪金亦會因而上調。

根據早前一份由招聘顧問公司 Robert Half 公佈的調查便指出,資訊科技安全工程師/ 資訊科技風險管理主管 (IT Security/IT Risk Lead) 的薪金在 2017 年將可錄得 + 14.0% 的升幅,由此可見投身資安職位將會有一定的「錢」途。不過假如你本身已從事一般的 IT 職位,而又想嘗試一下投身資安相關職位的話,又應如何是好?

在投身資安職位前,你需要了解清楚自己所保護的是公司內那一部份的 IT 設備!為甚麼呢?事關即使是 IT 的資安職位,亦可細分為多個不同類別,舉例來說有針對電郵的安全防禦、網絡安全、內部資料安全、電腦法證、網站安全、編程安全等等,而這一切都各自擁有其專業的知識。例如你懂得網絡安全,但電腦法證對採集證據的要求,其所重視的地方便明顯與一般的 IT 資安不一樣。

除了解希望從事的職位所需要保護的 IT 設備外,其實在應徵資安相關職位時,你亦應該了解僱主所擔心的是甚麼。一般來說,由於負責資安的 IT 職位會需要經常接觸不同部門,所以僱主多會希望該應徵者能懂得向非 IT 員工解釋資安事宜,亦即是說需要一定的耐心及溝通技巧;同時由於網絡攻擊,尤其是針對性的網絡攻擊,在攻擊前駭客很多時都會抽絲剝繭,並在業務流程之中找出漏洞來進行攻擊,因此很多時僱主亦會希望從事資安的 IT 員工能非常了解企業之中的各種流程,以便於日後的工作;當然啦!僱主通常都會希望員工能本身擁有基本的 IT 工作經驗。

工作經驗之外,學歷亦十分重要!不過有一部份從事 IT 工作的其實早已擁有相關學位,因此要突圍而出,除了大學的學位之外,你亦應擁有一些專業的認證,例如是 CIFI(Certified Information Forensics Investigator)又或者是 CISSP(Certified Information Systems Security Professional)等。

IT 職業屬於專業範疇,要令自己保持競爭優勢,不斷持續學習是必須的!只有不斷學習,充實自己,才可望能突圍而出,爭取到理想的 IT 職位及待遇。

鳴謝:Lapcom

以上資訊由www.hkitblog.com提供

面對區塊鏈等新型技術:金融機構須保持警惕!

May 6th, 2017 No comments

面對區塊鏈等新型技術:金融機構須保持警惕! – HKITBLOG

面對區塊鏈等新型技術:金融機構須保持警惕!

面對區塊鏈等新型技術:金融機構須保持警惕!

文章由 Fortinet 提供

香港的金融服務機構正積極研究應用區塊鏈(Blockchain)等新技術,以降低成本及欺詐風險,並提高交易的透明度,然而區塊鏈真的安全嗎?

採用區塊鏈技術的交易毋需金融機構介入,都能達到即時完成交付,過程經過加密保安,結果亦得到公開驗證。由於交易的分佈性質實際上驗證了交易的完整性,透明度高之餘亦不能被刪改,所以區塊鏈本身是更安全的技術,使攻擊變得非常困難。

區塊鏈技術可以扮演「財務中間人」的角色,從而大大減少了交易的執行時間並加強其安全性。銀行希望大量應用區塊鏈技術,從匯款到證券交易方面都能安全地處理任何交易,並成為國際貿易的標準。

然而,區塊鏈技術大致上仍未受認可,而且需要更多時間來發展和滿足現代銀行業的一些複雜要求。另外市場對這技術也缺乏監管,其合規性、法例和執法上也有許多未解決的問題。

除此之外,雖然使用區塊鏈技術的 Bitcoin 多年來一直受到點對點系統的歡迎,但這虛擬貨幣亦被網絡罪犯利用,導致用戶損失多達數百萬美元。所以,儘管區塊鏈技術可以幫助消除許多過時和低效率的手動交易流程,但亦為銀行帶來不少安全隱憂。

交易的保密程序依然是銀行的首要顧慮,例如,假設銀行使用區塊鏈來儲存機密合同資料或付款數據,那麼如果複製了當中的文件,便可能會為網絡犯罪分子提供更多竊取數據的機會。

為新技術作好準備

金融機構在採用新的技術和解決方案時,不能輕易放下防線,反而需要繼續致力保護數據,投資加強安全防護措施,開發新防禦引擎來抵禦新型攻擊。業務轉型往往以科技為核心,所以許多金融機構其實只需要投入更多的資源來提高維護能力和安全意識。

今時今日的銀行必須能夠相對快速地應對客戶需求,並且靈活地採用新技術和實施新工具及流程。監管和合規需求將為適應創新和現況而逐漸改變,銀行需要定時研究如何配合新法規。同時,機構也必須能夠不斷地篩選新技術,認清該把哪項整合到他們的 IT 架構中。

金融機構需要辨識威脅客戶數據的風險,並制定相關政策和程序來管理及控制這些風險,實施適當的安全控制,並按著技術需求、數據敏感度和潛在威脅而調整計劃。隨著安全威脅的發展,他們需要準備實時升級防禦來抵擋攻擊,同時確保數據安全亦合乎法規。

以上資訊由www.hkitblog.com提供

淺談互聯智能汽車時代面臨的三大挑戰

May 1st, 2017 No comments

淺談互聯智能汽車時代面臨的三大挑戰

現代汽車是人類技術不斷升級的產物,即使是最基礎的配置,它們都能提供高水平的穩定性、安全性和舒適性。汽車市場還在不斷發展,駕駛輔助系統、GPS、泊車輔助、Wi-Fi 熱點等等,人們不再滿足點對點的對接,而是希望能更廣泛地利用網絡,將車與外界的人與物進行互聯,無論是只與您間隔 10 米的其他汽車還是整個城市的交通情況。

互聯汽車在科技的發展與人們的需求中不斷發展,例如:娛樂與通信的在線服務普及越來越高,它不僅可以記錄駕駛行為並且儲存至雲端,還能夠快捷查詢以前的駕駛路線。甚至,在緊急情況下,因為網絡的連通性,發出潛在危險信號。

根據高德納報告指出,到 2020 年,預計全球將有 260 億互聯設備。各類輔助系統可以幫助駕駛員,但是同時,技術的升級也如同一把雙刃劍,衍生出其他可能的危險。

DEKRA 德凱集團東亞區總裁曾牧先生表示,車聯網和互聯汽車現在主要面臨三大挑戰,它們分別是:汽車性能的安全性和保密性、與外界環境的正確交互以及車載系統的穩定性。

汽車互聯安全性面臨挑戰

試想一下這樣的場景:在僅僅的幾分鐘內,城市交通忽然陷入了混亂狀態。半個小時後,所有的城市主幹道都排起了長長的隊伍。很快大家都意識到,黑客攻擊了城市道路交通系統。

正如黑客可以侵入外界交通系統,汽車本身電子控制系統也不會倖免「遇難」。克萊斯勒就曾有過被黑客入侵的實例,黑客入侵了車載電子控制系統,操控了雨刷、車載收音機和車內空調。最後,因為存在遠程劫持隱患,克萊斯勒在美國召回 140 萬輛旗下汽車。

消費者也更加擔心個人信息洩露的問題。這問題也在 DEKRA 與益普索集團的合作調查之中反映出來。只有 27% 的車主相信司機和駕駛行為數據是安全的,50% 的車主表示並不相信這些數據的保密性。81% 的車主都有不同程度擔心黑客入侵汽車電子系統獲取數據將會增加。

在未來,如何保障客戶端敏感數據的安全性將是汽車市場的一個重大挑戰,然而越來越頻繁的汽車互聯已是大環境的趨勢。

以上資訊由www.hkitblog.com提供