網絡世界暗藏隱憂 Hoplite Technology以簡單易用軟件提高網絡安全

科技發展愈來愈進步，縱然令生活變得加倍便利，但當中的網絡安全問題卻容易令人忽略其隱憂。明白到網絡安全重要性的AP Lens(www.aplens.co) 創辦人馬裕杰Antony於2018年成立犀兵科技有限公司 (Hoplite Technology Limited)，一直致力研發出不同網絡安全軟件，近日更獲得《香港金融科技發展大獎2022》初創組別基礎科技 – 網絡安全，讓本地不同行業都對網絡安全有更深入的了解及關注。

網站真偽不能從「https」驗證 假網站亦有 合適的 電子證書

Hoplite Technology是香港科技園所資助的研發機構，利用研發資金及時間開發DNS (Domain Name Server)白名單軟件給予香港的中小企及本地需要符合ISO網絡保安監管條例的機構。在網絡世界中，當用電腦或流動電話瀏覽不同網址時，IP地址都會需要「黃頁服務」去轉換至另一個地址。「黃頁服務」一般由電訊供應商提供，而電訊供應商所提供的服務多以方便為主及免費，但當中並沒有安全考量。「Hoplite Technology所提供的DNS白名單便是加入了安全制度，將網絡上過千萬 個網站中的安全網站加入白名單當中，令用戶在瀏覽網站時可以確保其安全性。若然用戶瀏覽白名單以外的網站時，我們會提供虛擬瀏覽器給用戶，透過我們的保安系統去瀏覽網站，即使該網站帶有風險仍能確保用戶的電腦受到保護。」

過去出現不少釣魚網站騙案，尤其疫情期間更加嚴重，到底如何才能分辦網站的真偽？不少人都以為網址上的「https」便代表網站已經得到相關機構認證、屬於安全網站，不過Antony卻指今時今日的釣魚網站亦能輕易取得「https」。「雖然『https』的制式已經實行了大約20年，但其制式並不能彌補人為上的疏忽，當用戶心急又或是不小心開啟帶有風險的網站時，其實未必能夠分辦正在瀏覽的是否假冒的網站，而是只能分辦網站是否有保密協議。」Antony更指現時要取得數字證書(Digital Certificate)愈來愈容易，例如於全球服務Let’s Encrypt上大約10分鐘便能申請到一張代表網站的證書，所以在過去5、6年不難發現假網站亦會有「https」的認證。

以雲端遠程瀏覽器保障客戶 提高網絡安全性

縱使香港亦有監管網站的部門存在，但每年仍會有不同公司被釣魚網站或電郵矇騙而受到金錢損失。問到Antony是甚麼引發其研發出DNS白名單，Antony便指希望客戶在受到金錢損失後，能夠防止日後有同樣的事情發生。「公司在成立初期已經幫助不同受到釣魚網站攻擊而造成金錢損失的企業，甚至會與律師到高等法院申請狀紙去要求凍結一些銀行戶口。在過程當中我們都會跟客戶提到所造成的損失已成過去，但更重要的是如何避免再次受到釣魚網站、電郵攻擊。」

在與客戶的對話之中，Antony發現最主要的原因在於員工無法分辦網站或電郵的真偽。「一般大企業都會每三個月或半年對員工進行培訓，但由於駭客所採用的行騙技當日新月異，換言之公司的培訓要持續更新，可說是一個無止境的工作，但這對中小企業來說成本相當高，因此令我們決定 開發DNS白名單。而即使網站不在白名單上，客戶亦能使用我們的虛擬瀏覽器，只需短短5-10秒便能訪問該網站但仍然有保障。」AP Lens雲端遠程瀏覽器不但節省了企業進行持續培訓的成本及時間，同時亦能防止病毒經由網站傳播至公司電腦當中，大大提高網絡安全性，同時減低造成金錢損失的機會。

捨棄黑名單制式 著重於帶領用戶瀏覽正確網站

過去較常見的虛擬瀏覽器可能用於小朋友身上，用作過濾帶有暴力或色情內容的網站，但當需要應用於整個網絡世界上過千萬的網站時，Hoplite Technology所研發的虛擬瀏覽器又是如何順利運作？「當然穩定性是其中一個很重要的因素，但亦要同時配合多流量時亦要增加CPU的容量，而這便採用了雲端運算(Cloud Computing)上的自動規模化(Autoscaling)去自動增加CPU的容量，當用戶多、流量高時會提高運算力，而當需求少時亦會自動停止。」

在云云網站當中，到底當中牽涉到怎樣的運算才能分辦出一個網站的真偽？Antony便指比起黑名單，創立白名單所需的邏輯、計算簡單得多。「真網站只會有一個，而假網站的網址組合卻是無限，所以我們並沒有採用黑名單的制式，因為千變萬化的假網站是無法完全封鎖的。但在製作白名單時，我們只需要知道真實的網址，著眼點在於用戶是否能夠前往正確網站。」

未來發展客製化白名單 更貼合客戶業務需求

除了釣魚網站，現今網絡世界仍有各式各樣的網絡攻擊，例如木馬病毒、分散式阻斷服務攻擊(Distributed Denial of Service)，而透過Hoplite Technology所研發的工具便能減低受到網絡攻擊的機率。「我們現時開始為客戶提供客製化服務，會根據客戶的業務、需求去訂製專屬的白名單。當然在白名單以外的網站，客人仍然可以使用我們的虛擬瀏覽器去訪問不同的網站，從而減少網絡風險。」

在金融科技世界當中，假網站、假電郵出現的情況越趨嚴重，而詐騙、冒認銀行人員的短訊亦開始於世界各地出現，Antony便提醒大家切記多加提防、查證真偽，千萬不要輕易點擊任何連結，以免誤入詐騙陷阱，繼而造成金錢損失。