現時大家都會經常聽到有關企業出現的種種網絡安全問題,而隨著企業對互聯網的依賴愈來愈高,企業實在有需要加強整體的網絡保安;一般情況下,我們多會以部署不同的資安防禦方案以提高防禦效果,但假如我們能在部署資安方案的同時,新增資安相關的職位,聘請專業人員針對企業網絡安全進行各種工作及跟進,豈不是能達到更佳的防禦效果?
現時很多公司視網絡安全為主要的優先項目,而為了確保公司能抵禦外來威脅和安全漏洞,招聘和留任資訊科技安全專家是公司網絡安全策略的一大重點;亦由於駭客技巧變得越來越純熟,因此網絡安全專家的需求預料亦會隨之而增加,薪金亦會因而上調。
根據早前一份由招聘顧問公司 Robert Half 公佈的調查便指出,資訊科技安全工程師/ 資訊科技風險管理主管 (IT Security/IT Risk Lead) 的薪金在 2017 年將可錄得 + 14.0% 的升幅,由此可見投身資安職位將會有一定的「錢」途。不過假如你本身已從事一般的 IT 職位,而又想嘗試一下投身資安相關職位的話,又應如何是好?
在投身資安職位前,你需要了解清楚自己所保護的是公司內那一部份的 IT 設備!為甚麼呢?事關即使是 IT 的資安職位,亦可細分為多個不同類別,舉例來說有針對電郵的安全防禦、網絡安全、內部資料安全、電腦法證、網站安全、編程安全等等,而這一切都各自擁有其專業的知識。例如你懂得網絡安全,但電腦法證對採集證據的要求,其所重視的地方便明顯與一般的 IT 資安不一樣。
除了解希望從事的職位所需要保護的 IT 設備外,其實在應徵資安相關職位時,你亦應該了解僱主所擔心的是甚麼。一般來說,由於負責資安的 IT 職位會需要經常接觸不同部門,所以僱主多會希望該應徵者能懂得向非 IT 員工解釋資安事宜,亦即是說需要一定的耐心及溝通技巧;同時由於網絡攻擊,尤其是針對性的網絡攻擊,在攻擊前駭客很多時都會抽絲剝繭,並在業務流程之中找出漏洞來進行攻擊,因此很多時僱主亦會希望從事資安的 IT 員工能非常了解企業之中的各種流程,以便於日後的工作;當然啦!僱主通常都會希望員工能本身擁有基本的 IT 工作經驗。
工作經驗之外,學歷亦十分重要!不過有一部份從事 IT 工作的其實早已擁有相關學位,因此要突圍而出,除了大學的學位之外,你亦應擁有一些專業的認證,例如是 CIFI(Certified Information Forensics Investigator)又或者是 CISSP(Certified Information Systems Security Professional)等。
IT 職業屬於專業範疇,要令自己保持競爭優勢,不斷持續學習是必須的!只有不斷學習,充實自己,才可望能突圍而出,爭取到理想的 IT 職位及待遇。
鳴謝:Lapcom
以上資訊由www.hkitblog.com提供
Categories: 市場快訊 Tags: CERTIFIED INFORMATION FORENSICS INVESTIGATOR, CERTIFIED INFORMATION SYSTEMS SECURITY PROFESSIONAL, CIFI, CISSP, IT 安全, IT 職位, LAPCOM, 網絡保安, 網絡安全, 資安, 資安職位, 資安防禦
現時資安方案很多時都會使用上更先進的功能以提供更精準的防禦能力,而趨勢科技早前亦公佈了自家的機器學習能力技術 XGen,近日更正式宣佈已成功將有關技術導入趨勢科技 Worry-Free 服務中以提升對中小企用戶的保護。
XGen 防護融合了高準度的機器學習與其他威脅防護技巧,提供防護能力來防範各種已知及未知威脅,同時保護用戶的網上活動和裝置。該技術能不斷學習、適應並自動分享威脅情報予用戶的主要平台和應用程式。
而剛才提到的 Worry-Free 中小企保安方案可快速偵測無害的資料和已知威脅,讓更高階的智能技術如應用程式控管、漏洞防堵、行為分析、沙盒模擬分析、機器學習等等能夠更快、更準確地偵測未知威脅。配合上將機器學習融入防護中,它亦具備執行前檔案分析與執行中程序分析能力,再搭配普查和白名單這類「雜訊消除」技巧來降低誤判,加上趨勢科技 Smart Protection Network 的全球雲端威脅情報為後盾,能在偵測到新威脅時提供快速更新,讓企業更快具備防護能力。
趨勢科技 Worry-Free 中小企保安方案是一項用戶端防護方案,這方案能為最新的網絡資訊保安威脅提供即時防護,同時提供了惡意程式防護、垃圾郵件防護、勒索程式防護以及資料防護。除此之外,還能集中控管,從單一主控台來管理 個人電腦、Mac、伺服器及流動裝置。
以上資訊由www.hkitblog.com提供
Categories: 市場快訊 Tags: WORRY-FREE, XGen 防護技術, 安全, 網絡危機, 網絡安全, 網絡攻擊, 趨勢科技, 防毒軟件, 駭客, 駭客入侵, 駭客攻擊
數據、元數據控制及擁有權將成 2017 IT 界熱話!
每年到了這個時候,很多廠商都會公佈對來年的科技預測,今日達科 (Dimension Data) 亦公佈了其對於 2017 年 IT 界的一些預測,並指出市場對數碼科技的關注預計仍是未來 12 個月 IT 的關鍵趨勢。
數碼科技其實是利用網絡、數據中心、應用程式以及其他基礎建設等 IT 元素,建構真正以客戶為中心的商業模式,有關部署可以採用內部或雲端型式。達科首席科技總監 Ettienne Reinecke 表示:「如今已沒有數碼策略這回事,只有數碼世界裡的策略。雖然數碼時代為某些企業帶來了一定的不確定性,但也敞開了迎接各種振奮人心的可能性的大門,開啟了一個擁有無限潛能的時代。」
數據與元數據的擁有權和存取權是個極其重要的主題。明年,對數據和元數據的控制及擁有權將成為討論話題,甚至是爭論點。這是因為數據和元數據相當於「金沙」,企業可利用這些「金沙」來收集有關客戶行為的豐富見解。此外,有了元數據,企業還可以識別具體的行為模式,發掘商業情報,並作出有見地的業務決策。
因此,企業對其元數據的保護意識越來越強,對存取者的身分也越來越警惕。企業不僅會出於法規遵循的考慮,才想擁有對數據的控制權和擁有權,它們還希望用元數據來進行分析,這會讓企業與雲端服務供應商之間展開一些有趣的探討。例如,如何定義擁有權的界限,特別是對元數據而言。就這個問題,估計各方之間會出現拉鋸現象。
另外她們亦預測了以下其他 2017 年的 IT 界趨勢:
智能推動網絡安全預測效能的發展:網絡犯罪是筆大買賣。過去幾年,網絡犯罪分子利用更先進的技術,將很多非法所得的資金重投到更尖端技術的研發當中。儘管網絡安全界持續創新,但大部分努力仍屬於被動回應。網絡安全的可預測性 (而非主動性) 將增強。
機器開始融入未來的工作場所新生代開始在工作上展露頭角,不過他們不是千禧世代,甚至也不是 Z 世代:他們,是機器。不久將來,全像攝影、擴增實境 (AR) 和虛擬實境 (VR) 便會從 B2C 轉向 B2B 模式發展。此外,在接下來的兩三年裡,這些技術將推動工作場所發生根本性的改變。
物聯網將兌現大數據承諾物聯網將兌現大數據承諾。主要拜物聯網 (IoT) 所賜,越來越多的大數據計畫將在一年內經歷多次更新。這是因為物聯網能夠讓企業檢視達致具體業務成果的特定模式,而且這類檢視更日益需實時完成。這將促進大數據計畫投資變得更健全,回報更快。
容器 (Container) 技術不僅是數據中心的新顛覆性因素,也是驅動混合 IT 的關鍵所在:2017 年,容器(container)技術將更加普及,惟向完全容器化(containerised)的世界過渡則尚需數年時間。此外,隨著現有網絡利用雲運算功能以及新網絡考慮採取混合雲架構,網絡功能虛擬化(NFV)亦將日益普及。
以上資訊由www.hkitblog.com提供
Categories: 市場快訊 Tags: AR, CONTAINER, Dimension Data, ETTIENNE REINECKE, IoT, VR, 元數據, 容器, 擴增實境, 數據, 數據中心, 數碼世界, 數碼科技, 數碼策略, 物聯網, 網絡安全, 虛擬實境, 達科
網絡安全威脅超跨張!2017 年資安事件 5 大預言
就快又來到了 2016 年年尾了,每年這個時候各家廠商便會開始對來年的一些趨勢進行預測,而今年我們第一份收到的預測是由 Check Point 提供的,當中她們總結了 2016 年資安事件並對來年作出預測,我們且看看她們的預測是否準確。
2016 年是各行各業、各種大小型企業屢遭資料外洩之苦的一年,即使相關機構適時發出了預警,而事實一再證明,在複雜的網路攻擊面前,沒有人可以免受攻擊。
根據身份竊盜資源中心(Identity Theft Resource Center)統計,截至今年 10 月 19 日為止,已發生 783 起記錄在案的資料外洩事件,累計多達 2900 多萬筆資料(請注意,這數字並不包括那些僅公布發生資料外洩事件,但卻不願公布細節的公司的外洩狀況。)這告訴我們什麼呢?資料外洩正變得越來越普遍,全無減緩趨勢。此外,研究還發現這些外洩事件多數是針對高價值的資料:社會安全碼、加密醫療資訊、信用卡和簽帳卡號碼、網路釣魚、外包商/協力廠商導致的外洩,甚至還有電子郵件、密碼和其他的使用者登錄資訊。
展望 2017 年,Check Point 預計將會出現以下的安全威脅和趨勢:
流動裝置
針對流動裝置的攻擊持續增長,研究人員發現來自於流動裝置的企業資料外洩事件,將成為最重要的企業安全問題。最近有國家支援的駭客,針對記者手機上的資料進行攻擊,意味著這些攻擊方法已經在全球蔓延,未來大家也會看到組織型犯罪者採用這種方法。
工業用物聯網(IoT)
在明年,網路攻擊的範圍將擴展至工業用物聯網。資訊技術(IT)和作業技術(OT)的融合,使環境變得更加脆弱,特別是作業技術或資訊採集與監控系統(SCADA)等環境。這些環境通常採用舊型系統,通常缺乏可用的修補程式,或更糟,根本不進行修補。製造業需要將系統和實體安全控制擴展至單一虛擬平台,並在 IT 和 OT 環境中落實威脅防護解決方案。
關鍵基礎架構
關鍵基礎架構極易受到網路攻擊。幾乎所有的關鍵基礎架構設施,如核電廠和電訊塔,都是在網路攻擊威脅出現之前便設計和建造的。在 2016 年初,便有新聞報導指出,發生了有史以來第一次因網路攻擊蓄意造成的停電事故。關鍵基礎架構的安全規劃人員需要為一切可能性做好規劃,其網路和系統將會發現與許多攻擊方法與眾多不同攻擊發動者(包括來自民族國家、恐怖主義,語組織型犯罪)採行的方法一致的現象。
威脅防禦
對於企業來說,勒索軟體將變得和分散式阻斷服務(DDoS)攻擊一樣普遍,如何預防這些攻擊,將成為企業營運成本的一環。由於勒索軟體的存在,企業需要部署多方面的預防策略,包括進階沙箱和威脅萃取,以有效保護其網路安全。企業也需要考慮其他的方法來應對發起勒索軟體活動的攻擊者,例如與同業協調進行取締和執法行動,以及建立預備資金以加速付款(如果這是唯一的可以降低損害的選擇)。我們也將看到「合法的」攻擊者發動更有針對性的攻擊,來影響或讓一個組織噤聲。剛剛結束的美國總統競選活動,便顯示了這種可能性,並且將成為未來大選的先例。
雲端運算
隨著企業持續在雲端儲存更多資料,等於為駭客打開通往其他企業資訊系統的大門。攻擊、中斷或關閉主要的雲端服務供應商,將衝擊該供應商所有客戶的業務。這種具備干擾性的作法,將被作為影響特定競爭對手或組織的手段,更由於鎖定的競爭者將僅是眾多受影響者之一,使得攻擊動機更難被發現。此外,勒索軟體攻擊也將影響更多雲端運算資料中心。隨著越來越多的企業組織採用包括公有雲和私有雲在內的雲端運算架構,這些類型的攻擊自然會開始尋找新的方法來攻擊這些新的基礎架構類型,藉由加密檔從此雲傳播到彼雲,把雲端運算架構當成是擴大攻擊效果、範圍的工具。
最近發表的 Check Point 安全報告,在某種層面上,對 2017 年資訊安全提出了一個複雜的預警。就行動、雲端運算和物聯網而言,其企業採用的引爆點早就已經發生,如今也都成為業務運作重要的一部分,而網路犯罪者亦已因應這些轉變,調整了攻擊技術。更令人感到擔憂的是,從惡意軟體和勒索軟體採用的手法,研究人員已經發現駭客這種與時俱進的轉變,便是每分鐘都會有新的變種出現。採用特徵比對技術的防毒軟體便足以對抗惡意軟體的時代已經過去。企業組織可以依據上述預測來制定自家的資訊安全計畫,以在新型態的網路威脅面前能領先一步,並在攻擊可能造成損害之前,便加以阻止。
以上資訊由www.hkitblog.com提供
Categories: 未分類 Tags: CHECK POINT, 基礎架構攻擊, 威脅防禦, 流動裝置安全, 物聯網安全, 網絡安全, 網絡安全趨勢, 網絡攻擊, 資安, 資安漏洞, 資安趨勢, 雲端安全, 駭客入侵, 駭客攻擊
