你是否曾經想過，如果網絡城市也有「體檢報告」，香港政府各部門會得到什麼分數呢？最近有專家根據公開資料，對政府機構的網絡防禦能力進行了「外部觀察評分」。結果發現，有些部門的網絡安全表現不錯，但也有一些部門在公開系統的防護上，分數偏低，這意味著如果真有針對性的攻擊，潛在風險不容忽視。 當然，政府也指出，這些分數只是基於公開資料的外部觀察，無法看到內部防護、後臺系統和防禦策略，因此不能完全反映實際安全水平。但這個結果仍然提醒我們：光靠「後臺守護」是不夠的，外部可見的系統也是攻擊者可能入侵的門戶。 網絡安全不是只靠鎖門 想像一下，如果你的家裡有高牆、大門和警報系統，但窗戶沒鎖，或者有人能輕易從陽台進入，家還能算安全嗎？對政府或企業而言，公開面向的網站、API 或雲端系統就像這些窗戶。即使內部安全再嚴密，外部攻擊面一旦被忽略，就可能成為入侵的入口。 這也是為什麼現在很多組織開始重視「Red Team」和滲透測試 (Pen-test) — 模擬真正的攻擊者，找出防線上的漏洞，然後給出可執行的改善方案。 Amidas 的Red Team / Pen-test

11 月的某個下午，全球不少企業突然收到大量用戶回報： 網站無法載入、API 回應逾時、登入流程卡在轉圈，甚至某些企業應用平台整體無法運作。 後續確認後，源頭指向同一個名字——Cloudflare。 這家掌管全球近五分之一網路流量的網絡基礎設施服務供應商，因一項看似日常的配置更新，觸發了其代理層的核心錯誤，導致全球大量流量受到干擾。受影響的不僅是網站，還包括 API Gateway、Bot Management、Zero Trust 服務、DNS 與 CDN 流量路徑等多個關鍵組件。 事件最終被控制，但它留下的訊息比短暫的中斷更深遠： 單一供應商依賴，是現代企業最不該忽視的隱形風險。 對香港市場而言，Cloudflare 的一次事故遠不只是一個國際新聞。 因為香港企業高度依賴海外雲端與網絡基礎設施，包括： E-Commerce 平台的 CDN 加速與安全防護 金融科技（FinTech）平台的 API 安全與存取控制 物流與即時追蹤系統的Network Communication Layer 企業 SaaS、生產力工具與身份驗證服務（IdP / S

API在軟體開發行業中持續發揮著重要作用，使用戶體驗更加流暢，並能將數據在伺服器及終端用戶互相傳送。由於API的數據越來越有價值，威脅行為者現在經常將API用作攻擊向量，令安全專業人員更加嚴格地關注API安全。 API安全是指對API進行保護，以防止濫用和網絡攻擊的整個過程...