大多數香港企業在午飯前就輸掉的網絡安全測試
2026-04-08那個在午飯前就揭示一切的早上
2026 年 3 月,觀塘一家區域分銷公司在星期二上午九時十五分到達辦公室,發現文件伺服器已被加密。勒索信件,72 小時倒數計時。IT 供應商無法聯絡,備份系統已連續三週未能成功執行——這個事實沒有人注意到。上午十一點,他們報了警。星期四,他們支付了贖金。下週一,他們流失了兩位客戶,後者在得知入侵事件後決定無法再信任將數據交給這家供應商。
令人痛心的諷刺:六個月前進行的一次基本滲透測試,本可標記出導致這次攻擊的確切漏洞——未修補的伺服器軟件、備份監控缺口、過於寬泛的員工存取權限。滲透測試的總成本:約港幣 3 萬元。事故的總成本:超過港幣 80 萬元,還未計算此後數週內悄然終止的客戶關係。
大多數香港企業未能通過的網絡安全測試,並非高深的技術考試,而是一次基本的審查——確認應該上鎖的門是否真的上了鎖。大多數企業直到攻擊者告訴他們,才知道自己失敗了。
測試包含哪些內容
對香港中小企進行的全面安全評估通常涵蓋五個領域。每個領域測試你的安全態勢的不同維度——而每個領域都揭示出一類幾乎在所有未曾受過評估的企業中普遍存在的失誤。
外部攻擊面評估:在沒有任何內部存取的情況下,攻擊者能從互聯網發現和利用什麼?這包括掃描你面向公眾的系統以尋找已知漏洞、測試你的網頁應用是否存在注入攻擊及身份驗證弱點,以及探測你的電郵基礎設施是否容易受到網絡釣魚攻擊。大多數企業對外部可見的內容感到驚訝。
內部網絡評估:在典型員工或訪客的存取水平下,攻擊者能在你的內部系統中移動多遠?這測試了網絡分區、橫向移動控制,以及一個系統的入侵是否會連鎖到整個網絡的接管。在大多數中小企環境中,「他們能走多遠?」的答案是「很遠」。
存取控制審查:你的員工是否只擁有其職責實際需要的系統存取——還是遠超其所需?這個審查檢查權限提升路徑、休眠賬戶、共享憑證和多因素驗證缺口。超過 33% 的香港入侵事件始於存取控制失誤。
社會工程韌性:你的員工能否可靠地識別網絡釣魚電郵、詐騙電話及冒充攻擊?2026 年,AI 生成的魚叉式網絡釣魚攻擊若無針對性培訓,幾乎與合法通訊無從區分。人為安全層往往是最容易被突破的。
備份與恢復驗證:你的備份系統正常運作——直到它不再正常。這個測試驗證備份是否在運行、恢復是否在你要求的時間框架內真正奏效,以及你的備份環境是否足夠隔離以防止勒索軟件觸及。觀塘那家公司三週的備份失敗之所以未被發現,是因為沒有人測試恢復。許多企業現在也處於相同處境。
最常見的失誤——按頻率排序
根據 UD 在數百家香港企業的滲透測試業務,以下是最常發現的漏洞,按普遍程度排列:
1. 未修補的軟件:系統運行帶有已知可利用漏洞的軟件版本,通常是因為修補過程是手動的、不頻繁的,或對「看似運作正常」的伺服器視而不見。攻擊者持續在互聯網上運行自動掃描器,尋找運行易受攻擊版本的企業。
2. 過多的用戶權限:員工擁有其職責不需要的管理員級別或跨部門存取權限。當擁有過多權限的賬戶遭到入侵,攻擊者立即繼承了這些權限。
3. 密碼薄弱或重複使用:儘管安全意識宣傳已持續多年,密碼衛生仍是中小企環境中最持續的失誤。薄弱密碼加上缺乏多因素驗證,是賬戶入侵攻擊最常見的入口。
4. 休眠賬戶:屬於已離職員工、承包商或服務供應商的賬戶,在關係結束後從未停用。這些賬戶很少受到監控,為獲得憑證的攻擊者提供持久的低可見度入口路徑。
5. 未分區的網絡:平面網絡架構,其中訪客 Wi-Fi 或已連接打印機上的設備入侵可以轉移到核心業務系統。網絡分區是大多數中小企尚未實施的基本控制措施。
為何「我們尚未遭受攻擊」不是測試結果
香港中小企中最危險的網絡安全信念不是「我們已遭入侵」,而是「我們尚未遭入侵,所以我們必定做對了什麼」。沒有已知入侵的記錄不是安全的證明——它是可見度缺口的證明。你無法偵測你沒有在監控的事物,無法回應你不知道已發生的入侵。
在中小企環境中,初次入侵到被發現之間的平均時間以週計,而非小時計。觀塘那家公司所遭遇的戲劇性勒索軟件加密事件是一個過程的終點,而非起點。攻擊者在觸發最終有效載荷之前,估計已在其網絡內部潛伏了三週。滲透測試告訴你你的環境中現在有哪些可被利用的地方——它不能阻止已發生的攻擊,但可以大幅降低未來攻擊的可能性和影響。
2026 年你不能忽視的法規維度
除了運營風險,2026 年香港的網絡安全還有一個日益重要的法規維度。《個人資料(私隱)條例》規定了數據洩露的通知義務。2025 年關鍵基礎設施網絡安全條例將合規要求延伸至供應鏈。保險承保機構正在日益要求以安全控制的證明作為網絡保險承保的條件——沒有保障,入侵的財務影響完全由企業自行承擔。
滲透測試報告作為安全盡職調查的書面記錄,在入侵事件後的監管調查或保險索賠中,能夠證明企業採取了合理的預防措施。缺乏這份記錄,則傳遞了截然不同的信息。
強化企業安全 🛡️ 立即行動
UD 是值得信賴的託管安全服務供應商(MSSP)
擁有 20+ 年經驗,已為超過 50,000 家企業提供解決方案
涵蓋滲透測試、漏洞掃描、SRAA 等全方位網絡安全服務,全面保護現代企業。