Archive

Posts Tagged ‘網絡保安’

晉升資安專業人員:普通 IT 人應如何入手?

May 11th, 2017 No comments

晉升資安專業人員:普通 IT 人應如何入手?

現時大家都會經常聽到有關企業出現的種種網絡安全問題,而隨著企業對互聯網的依賴愈來愈高,企業實在有需要加強整體的網絡保安;一般情況下,我們多會以部署不同的資安防禦方案以提高防禦效果,但假如我們能在部署資安方案的同時,新增資安相關的職位,聘請專業人員針對企業網絡安全進行各種工作及跟進,豈不是能達到更佳的防禦效果?

現時很多公司視網絡安全為主要的優先項目,而為了確保公司能抵禦外來威脅和安全漏洞,招聘和留任資訊科技安全專家是公司網絡安全策略的一大重點;亦由於駭客技巧變得越來越純熟,因此網絡安全專家的需求預料亦會隨之而增加,薪金亦會因而上調。

根據早前一份由招聘顧問公司 Robert Half 公佈的調查便指出,資訊科技安全工程師/ 資訊科技風險管理主管 (IT Security/IT Risk Lead) 的薪金在 2017 年將可錄得 + 14.0% 的升幅,由此可見投身資安職位將會有一定的「錢」途。不過假如你本身已從事一般的 IT 職位,而又想嘗試一下投身資安相關職位的話,又應如何是好?

在投身資安職位前,你需要了解清楚自己所保護的是公司內那一部份的 IT 設備!為甚麼呢?事關即使是 IT 的資安職位,亦可細分為多個不同類別,舉例來說有針對電郵的安全防禦、網絡安全、內部資料安全、電腦法證、網站安全、編程安全等等,而這一切都各自擁有其專業的知識。例如你懂得網絡安全,但電腦法證對採集證據的要求,其所重視的地方便明顯與一般的 IT 資安不一樣。

除了解希望從事的職位所需要保護的 IT 設備外,其實在應徵資安相關職位時,你亦應該了解僱主所擔心的是甚麼。一般來說,由於負責資安的 IT 職位會需要經常接觸不同部門,所以僱主多會希望該應徵者能懂得向非 IT 員工解釋資安事宜,亦即是說需要一定的耐心及溝通技巧;同時由於網絡攻擊,尤其是針對性的網絡攻擊,在攻擊前駭客很多時都會抽絲剝繭,並在業務流程之中找出漏洞來進行攻擊,因此很多時僱主亦會希望從事資安的 IT 員工能非常了解企業之中的各種流程,以便於日後的工作;當然啦!僱主通常都會希望員工能本身擁有基本的 IT 工作經驗。

工作經驗之外,學歷亦十分重要!不過有一部份從事 IT 工作的其實早已擁有相關學位,因此要突圍而出,除了大學的學位之外,你亦應擁有一些專業的認證,例如是 CIFI(Certified Information Forensics Investigator)又或者是 CISSP(Certified Information Systems Security Professional)等。

IT 職業屬於專業範疇,要令自己保持競爭優勢,不斷持續學習是必須的!只有不斷學習,充實自己,才可望能突圍而出,爭取到理想的 IT 職位及待遇。

鳴謝:Lapcom

以上資訊由www.hkitblog.com提供

淺談2016年網絡轉移技術的新趨勢

December 29th, 2015 No comments

cloud_security

2015 年見證著很多機構採納第三代運算平台和新的 IP 網絡策略,在數碼轉移的過程中革新了他們的市場,從而協助它們成為新市場的領導者。邁入 2016 年,越來越多的企業有望利用智能機器和轉移技術,增加其競爭優勢。

近日 Brocade 便分享了她們對 2016 年及其後網絡轉移技術的趨勢預測:

1. 雲端將持續帶領潮流

據研究機構 IDC 表示,企業將投放於第三代平台,即基於雲端技術之開支將超過 IT 總開支的一半,而這個數字更將會於 2020 年達致六成。企業和服務供應商為增加創新和競爭優勢,願意把舊有網絡轉移到一個更開放和基於軟件的平台上。舊式、遺存的 IP 網絡架構將會加速轉移到新 IP 網絡,達到近乎主流。

2. 基於軟件的網絡顯然是未來趨勢

去年,軟件革新了數據中心和一般的網絡,服務供應商和企業轉移利用軟件定義網絡 (Software Defined Networking,簡稱 SDN) 和網絡功能虛擬化 (Network Function Virtualization,簡稱 NFV) 技術快速地建立新服務,輕鬆地擴展和以用戶為首的方式傳送服務。2016 年將見證更多企業和服務供應商都採用創新、開放和自動化的軟件網絡平台,從而轉移到新的 IP 網絡。更多企業佈署 x86 伺服器架構將加速這個轉移,取代網絡硬件的各種角色,例如應用交付控制器 (Application Delivery Controller,簡稱 ADC)。ADCs 已經開始轉移到虛擬模式(vADC)來協助企業和服務供應商在處理龐大的流量時延展處理的能力。軟件正逐漸地滲透至虛擬化轉移的每個範疇。

3. 保安的重要性將大大提升

機構在現時新的 IP 網絡環境面對越來越多對雲端應用程式的需求,並需要支援社交、流動和大數據項目。但是,網絡攻擊和破壞持續阻礙服務的傳遞,亦對網絡和服務的可靠性帶來額外的挑戰。新的 IP 網絡解決方案容許機構部署進階的保安系統,從建立網絡時便融入設計而不是在現有的系統上作出修定。網絡本身能警示和追蹤行為,迅速辨識和防止不必要的活動。保安服務可虛擬化,容許機構能夠隨時在有需要時分配保安服務和因應地理位置、功能、團體或個人、應用程式來自定保安服務至不同程度。

4. DevOps 將擔任更重要的角色

DevOps 或其他靈活軟件的發展方式只要能配合服務和商業的需求都將會影響深遠,以及獲得企業和服務供應商採用,以確保他們的競爭力。據研究機構 IDC 資料顯示,那些實行數碼化轉移策略的企業,它們的軟件發展能力將會於 2018 年前增加多於一倍。那些建立和採用以領域為中心團隊的公司因不受傳統產品的發展過程所限,將會在以顧客為中心的革新上擁有顯著的優勢。此優勢更將協助企業加速發展,改善客戶滿意度及挽留客戶。

5. 大數據和分析將更趨流行

能夠利用數據爆發契機的機構將會獲得更多商機,其中許多機構是懂得使用大數據並作出策略性決策的初創公司。隨著數據變得越來越龐大,所有相關的商機、技能,以及對分析和認知服務的需求亦將於各行業中日益增加。任何企業若能擁有從大數據中即時獲得情報的能力,將具備優越的競爭優勢。

6. 機器學習起飛

機器學習的出現建功於大數據,是電腦運算的一大突破。通過已產生、傳輸和通過網絡存儲的龐大數據,運算方式變得能自我學習甚至作出預測。這將於 2016 年閞始改變整個數據中心和網絡的世界。這種革新正在進行中,例如面部和語音識別技術正在改變電子產品行業和相關的雲端服務,異常檢測亦正迅速成為網絡安全不可或缺的部份。

7. 電訊公司虛擬化架構的興起

那些未能迎合快速變化的客戶需求和抓緊市場機會的流動電話網絡供應商 (MNOs) 將於 2016 年被迫採用軟件定義網路 (SDN) 和網絡功能虛擬化 (NFV) 方案。因為落後的風險會加強,而採用新技術的營運商和服務供應商將成為在 2020 年物聯網(IOT)生態系統和 5G 競賽的優勝者。

8. 技術人才短缺變得嚴重

供應商、服務供應商和用戶機構都在爭奪擁有編碼和技術專長的新一代人才。人才短缺的問題將會變得越來越嚴峻,機構將需要重新思考他們的人力資源策略和政策,以吸引、培養和挽留優秀的人才。這些近年才被視為在網絡行業中擔任重要崗位的技術資格,將會改變自我配置和自我編寫程式網絡的情況。越來越多的關鍵網絡職位將開始需要現時正短缺的進階分析和編碼技能。

以上資訊由www.hkitblog.com提供

 

企業有錢的話:多重身份認證+資料加密=保障資料安全

July 3rd, 2014 No comments

現時企業需要提升安全性,往往會考慮到部署不同的防火牆以及保安方案,這些方法固然能提升整體的網絡保安,不過假如企業有充足的資源,那針對檔案進行加密以及多重身份認證,相信對比起傳統的防禦方案可能更為直接;傳統的網絡防禦方案很多時針對著網絡的流量進行攔截,例如是 IP Table 便是一例,這些方案可有效進行防禦,例如防禦入侵性攻擊、DDoS 等等,因此這些方案不可或缺。

但現時的企業,除了著重於網絡上的防禦方案之外,更多時會考慮到的便是企業之中的機密資料的保密性,針對這方面問題,我們則可採取一些資料加密以及身份認證功能加以實現,事關資料已加密,即使外洩第三方亦無法得知加密資料的真正內容,這無疑地為敏感資料加上一層金鐘罩。

不過要部署一套完整的加密方案,企業要先提升基建的整體效能,完成之後更需要就加密方案進行部署,而這一切對於本身並未採用加密方案或多重身份認證方案的企業來說,其實亦是一項十分大的投資,所以要做到加密與多重身份認證兼備,企業的「水源」必須十分充足才可。

有關資料加密的數據筆者仍未掌握,因此接下來先為大家分享一下多重身份認證的相關討論。

多重身份認證加強存取保安

於是很多著重資料保密的企業,例如是金融業便願意以更多資源投放於部署加密以及多重身份認證的方案之上,這點我們可通過近日由 SafeNet 發表的研究報告得知。在 2014 年全球身份認證調查中,發現超過三分之一的機構現正使用多重身份認證(Multi-factor Authentication),較 2013 年結果上升,讓資料存取可於多種裝置及多個位置無縫及安全地進行。

調查結果顯示,越來越多企業正採用多重身份認證,並應用於更廣泛的工作模式中。調查結果與近期 451 Research 一份報告相近,揭示資料存取控制和身份認證是 IT 部門當前的難題及優先考慮的事項。外來惡意入侵者於 2013 年造成了 57% 的數據外洩,多重身份認證可減低非授權用戶存取敏感資料的風險,而另外透過不同的加密方案亦可確保資料安全性,同時更可讓員工在需要時存取企業資料。

多重身份認證獲廣泛應用,升幅明顯:

37% 機構正在為大部份員工採用多重身份認證,較往年 30% 多。
截至 2016 年,56% 機構期望大部份用戶將依賴多重身份認證。

雲身份認證認受性增加:

33% 機構表示他們趨向選擇以雲為本的身份認證,相比往年 21%,錄得 50% 升幅。
33% 機構現時對雲表示開放,以部署身份認證。

流動裝置上的多重身份認證:

逾 53% 受訪者稱流動裝置用戶在存取企業資料上受到限制。
在使用多重身份認證的流動裝置用戶中,(目前 22%)受訪者預計使用量將於 2016 年前增加至 33%,增長率為 30%。

成本及預算優次

451 Research 的報告顯示,身份認證及身份存取管理是保安項目中的優先考慮。然而,在 SafeNet 的身份認證調查中,近 40% 的受訪者並不知道他們的身份認證解決方案每年每用戶的成本,表示機構對於何為最具成本效益的方案欠缺認識;誤以為只要不在多重身份認證上額外花費便可節省成本,這將進一步誤導了負責 IT 預算的人員。而事實上,多重身份認證旨在減低認證成本及提高易用性。

以雲為本身份認證

員工對以其流動裝置連接企業網絡的需求增長,與機構對以雲為本的身份認證需求增加相連。今年,33% 公司表示他們趨向選用以雲為本的身份認證,比往年 20% 為多。

流動裝置上的身份認證

當在流動裝置上使用強勁的身份認證以存取公司資源時,大部份的回應都能歸類至榜上的兩端,顯示極端化的做法。接近 40% 表示少於 10% 的用戶要求使用強效的身份認證;超過 20% 建議 90% 至 100% 的用戶現時需要這樣做。有趣的是這些數字將於未來將有著顯著轉變﹕33% 預期 90% 至 100% 用戶將於未來兩年內需要強效的身份認證,而僅 15% 認為這需要將少於 10%。這代表流動裝置的身份認證日漸變得重要。

鑑於流動裝置身份認證的需求,進一步推動身份認證方法由硬件為本轉向至以軟件為本。調查顯示,軟件為本的身份認證使用率由 2013 年的 27% 上升至 2014 年的 40%,預測於 2016 年將會達至 50%。相反地,硬件為本的身份認證的使用率由 2013 年的 60% 下降至 2014 年的 41%。

以上資訊由www.hkitblog.com提供

威脅不攻自破:中型 ADC 加入 IP 評價系統

April 11th, 2014 No comments

網絡威脅愈來愈強,因此針對網絡保安的相關方案亦需加大防禦能力及反應才可。近日 Fortinet 便更新了其方案系統,同時更將 IP 評價服務加入當中,實時比對資料庫並作出相應的防禦行為,從而避開網絡危機;所謂的 IP 評價服務是由 FortiGuard Labs 提供的可供訂閱服務,讓 FortiADC 檢測並阻止已知惡意來源的流量;另一方面,FortiADC 亦結合了大容量 SSL 卸載和內置防火牆,提供額外的安全功能。

除了更新其系統之外,Fortinet 亦推出了三個全新方案,包括:FortiADC-1500D、FortiADC-2000D 及 FortiADC-4000D,藉以為高容量應用程式環境提供有效的安全系統;另外值得留意的是這些方案已包含了 16GbE 連接埠以及多達 8 個高效能 10GbE SFP+ 連接埠。

FortiADC-4000D 的主要功能

– 50Gbps 的 L4 吞吐量和每秒高達 1,600,000 L7 交易的企業和數據中心應用流量
– 16X GE 連接埠和 8 x 10 GbE SFP+ 連接埠,提供高吞吐量連接,以消除網絡瓶頸
– 專用 SSL 卸載硬件能提供每秒 31,000 SSL 更高效連接
– 雙熱插拔電源提供額外空間以支援獨立的電源接駁,在不中斷業務的情況下允許電源設備進行交換
– 專用的管理連接埠,在斷電的時候也能進行遠程設備控制

FortiADC-2000D 的主要功能

– 30 Gbps 的 L4 吞吐量和每秒高達 1,200,000 L7 交易的中級流量數據中心
– 16X GE 埠和 4 x 10 GB SFP+ 連接埠
– 專用 SSL 卸載硬體提供每秒高達 31,000 SSL 連接
– 雙電源供應

FortiADC-1500D 的主要功能

– 20 Gbps L4 吞吐量和每秒高達 800,000 L7 交易的小型流量或二級數據中心
– 8X GE 連接埠和 4 x 10 GbE SFP+ 連接埠
– 專用 SSL 卸載硬體提供每秒高達 14,500 SSL 連接
– 雙電源供應

以上資訊由www.hkitblog.com提供

向黑客下戰書!Symantec 研新技術助企業把關

December 18th, 2013 No comments

正所謂「道高一尺、魔高一丈」,很多時當防護技術愈來愈強,黑客亦會研發新的技術以求突破;近日安全機構 Symantec 便聲稱研發到兩種技術,分別在 Symantec Endpoint Protection 中融入網絡威脅防護(Network Threat Protection)技術,為 Mac 作業系統提供保護;以及在 Symantec Messaging Gateway 中加入 Disarm 技術,保護企業對抗惡意附件程式。

現時﹐針對性攻擊的目標已經不再局限於大型企業及機構。由於規模較小的企業之安全措施一般較簡單,同時又與大企業有緊密聯繫,令它們開始成為黑客的目標。Symantec 在今年 4 月發布的第 18 期互聯網安全威脅報告(Internet Security Threat Report, Volume 18) 便顯示 2012 年針對性攻擊較上一年激增了 42%,而在這些意圖盜取企業知識產權的針對性網絡攻擊中,有 31% 是以製造業及中小型企業為目標。

新技術助企業把關

隨著 Mac 商務用戶增加,黑客已經開始針對 Mac 系統展開攻擊,加上許多 Mac 用戶對安全問題的忽視,令 Mac 系統進一步成為針對性攻擊者的目標。Symantec Network Threat Protection 技術能偵測到攻擊者在 Mac 系統內的網絡流量,從而發現針對性攻擊利用的漏洞所在,並自動將其攔截。

此外,在 Network Threat Protection 分析和攔截攻擊的同時,Symantec Endpoint Protection 亦運用了 Symantec Insight 和 SONAR 等防禦技術攔截針對性攻擊:

1. 針對性攻擊採用經常改變和特別設計的惡意軟件來避開傳統的病毒指紋、啟發式檢測、模擬器及虛擬執行(VX)系統,而通過 Symantec Insight 配合上 Symantec 數百萬用戶的匿名軟件部署模式,從而辨識到那一個軟件正受到世界各地使用者的信賴,或那一個是不明或需要注意的軟件。

2. SONAR 行為偵測技術能夠自動監控受保護的終端,並即時分析每個正在運作中的軟件,以識別其是否有針對性攻擊行為。

新增 Disarm 技術

Symantec Messaging Gateway 10.5 中新增了一種名為 Disarm 的技術,此技術能應對 APT 攻擊;相信大家都知道,現時多數針對性攻擊均經過精心策劃,並會偽裝成普通電子郵件,傳送的檔案還會附帶 PDF、DOC 或 XLS 等格式的檔案,其中包含嵌入式攻擊,而這些偽冒郵件有可能逃過所有傳統的掃描器、啟發式檢測、模擬器,甚至虛擬執行解決方案。

通過 Disarm 技術,用戶便可把每一個郵件的附件轉換成數碼「無害」副本,從根源上阻止收件人與惡意程式的接觸。這項技術能詳細檢查所有帶有 Microsoft Office 和 Adobe PDF 附件的電子郵件,並建立附件的重構版本,在郵件及新附件傳送給收件人之前,刪除所有可被攻擊者利用的內容,例如 Javascript 及嵌入式 Flash。

現時出現的針對性攻擊同時會試圖運用不同方法對企業進行攻擊。通常攻擊者會通過社交網絡(網頁瀏覽器)聯繫企業員工﹐然後把攻擊滲透進他們的電腦,再滲透進企業的網絡。而 Symantec Web Gateway(SWG) 便正正針對此問題而出現。

它是一種監控所有輸入及輸出網站流量的方案,專門偵測和攔截針對性攻擊。SWG 也利用 Symantec Insight 專利技術來自動偵測「信譽度低」的檔案,並在它們到達用戶前將其攔截;此外 Symantec 亦通過 Email Security.cloud 服務提供主動式電子郵件保護。這一服務能在無需安裝任何軟件或硬件的情況下自動過濾所有寄入及寄出的電子郵件。官方指出,Email Security.cloud 採用 SKEPTIC 和 Real-Time Link 等多種技術。

保護現實和虛擬數據中心

Symantec Critical System Protection(CSP) 是一款專為保護現實和虛擬基礎設施的伺服器鎖定解決方案,通過安裝並配置 CSP,允許裝置在伺服器上運作,從而攔截一切反常活動。一旦有人發動針對性攻擊或作出偏離常態的行為﹐例如瀏覽電腦或數據中心中的敏感性資料,CSP 便可自動監測到這些行為﹐並且進行攔截。

以上資訊由www.hkitblog.com提供