记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

AWS秘密区域发布 为美国情报机构提供云服务

通过提供秘密级权限访问,该新云区域扩展了美国情报机构的能力。11月20日,亚马逊公开发布了其最新云区域——AWS Secret Region。与其他任何人可用的AWS区域不同,该秘密区域(Secret Region)专为美国情报机构而设,以现有商业云服务(C2S)合约提供。AWS全球公共部门副总裁特蕾莎·卡尔森在博客中写道:“AWS如今为美国情报机构提供商业云功能,涵盖所有密级:非保密、敏感、秘密、绝密。美国情报机构现在可以用通用工具和最新技术执行各种任务,能够灵活迅速地调整扩展任务。”新Secret Region补充了2014年就可用的AWS Top Secret Region。后者是物理隔离的云,无法从公共云进行访问。CIA首席信息官约翰·爱德华兹在声明中写道:“AWS Secret Region,是情报机
发布时间:2017-11-27 14:25 | 阅读:92921 | 评论:0 | 标签:行业动态 AWS 云服务 情报机构 秘密区域

国内CASB服务模式探索

今年的RSA Conference 2017上,云访问安全代理(CASB)无疑成为了整个行业关注的焦点,Skyhigh、Netskope、360等全球多家企业都展示了CASB产品和方案。随着企业上云热潮兴起,加上一些相关企业借助CASB产品融资成功,CASB逐渐变为数据安全领域的新宠。那么,什么是CASB?CASB概念在2012年由 Gartner 提出,定义了在新的云计算时代,企业或用户掌控云上数据安全的解决方案模型。CASB产品有两种工作模式:一种是Proxy模式,另一钟是API模式。在Proxy模式下,CASB要处理企业上传到云应用的全部流量,重要数据采用加密等安全策略处理后再上传到云服务商;在API模式中,企业数据直接传给云服务商,CASB通过利用云应用的API,对用户进行访问控制以及执行企业的安全策略
发布时间:2017-11-10 19:55 | 阅读:120867 | 评论:0 | 标签:技术产品 CASB 云服务 闪捷信息

监测、分析、网络安全 VMware发布多款新品云服务

虚拟化界龙头老大VMware发布更新软件,可在单云和多云系统中管理、保护、监视及自动化应用。没有了云,我们现在理所当然享受的一切都不会发生:移动设备和应用、大数据工作负载、无人驾驶汽车、按需提供的音乐和视频、国际视频游戏、无人机、虚拟现实——什么都不会出现。尽管我们依然拥有实体企业和家庭计算——所有东西都靠缆线连接且被锁定一地(或许会更安全),但我们就永远不能按需获取任何东西,也不能像今天一样更快更好地启动和完成项目。VMware已成为云软件及服务的奠基人式世界级领先玩家。VMworld 2017大会第一天,该公司继续推进,发布一系列VMware Cloud新产品及服务,供VMware及合作伙伴使用。新产品及产品更新包括:VMware Cloud在AWS美国西部地区(俄勒冈州)的推出;新VMware Cloud
发布时间:2017-09-03 17:55 | 阅读:83103 | 评论:0 | 标签:技术产品 VMware 云服务

四大原因告诉你:云为什么比传统IT系统更安全

对未知事物,我们总是心存恐惧,尤其是涉及到新技术的时候。在最终拥抱一个新玩意儿、新平台、新功能,在将这些新东西融入我们的生活之前,我们总是各种担忧。布莱恩·大卫·约翰逊,英特尔未来学家,负责对未来10~15年里人们与技术的互动形式进行建模,并描绘出保守派对未来新技术,从恐惧到接受的4个阶段。恐惧并诋毁——“这会把我们全干掉的!”挣扎找理由——“会偷走我的(时间、资产等等一些宝贵的东西)!”否认以拒绝——“我才不用这玩意儿!”好奇并接受——“你在干啥呢?”这种模式适用于很多情形,互联网、计算机、智能手机、可穿戴设备,以及云。说到云计算,传统企业和IT从业人士尤为谨慎。但事实上,云计算已经得到大规模的采用,企业却对云安全抱有复杂的心理。在美国,超过90%的企业采用云,52%的中小企业(SMBs)只使用云的存储功能。
发布时间:2016-05-18 19:05 | 阅读:71026 | 评论:0 | 标签:牛闻牛评 云安全 云服务

微软报告首次披露其Azure微软云服务安全

微软半年一度的《安全情报报告》近日发布。最新一期涵盖了2015下半年安全问题,通过互联网服务和全球6亿台电脑,分析了漏洞利用、脆弱点和恶意软件的威胁态势。这是一项繁重的工作,来自微软各部门的几十名员工参与其中。今年的报告里,他们第一次不仅仅关注PC恶意软件,也将目光投放到了其Azure云服务的威胁上,利用易于理解的安全图表展示了微软是怎样保护终端,更好地抵御攻击和加速响应的。每一天,微软的机器学习系统处理超过10TB的数据,其中包括数十亿微软账户和Azure活动目录账户的130亿次登录信息。报告称:“我们纳入了新的数据,解读了微软云是怎利用这些海量数据和机器学习切实检测并防止每天百万次的攻击的。”198页报告中很大一部分(35页)专门介绍一个被微软命名为“铂金”的东南亚黑客团伙。微软称该团伙2009年起便出现了
发布时间:2016-05-16 05:25 | 阅读:116405 | 评论:0 | 标签:行业动态 云服务 安全威胁 黑客团伙

云服务级别协议中应该包括的十条最佳实践

美国政府问责办公室(GAO)最近出台的一份报告着重指出:购买云服务时最重要的一点就是制定并执行服务级别协议。GAO称:“从提供商购买IT服务,可以免去部署支持此类服务所需的硬件、软件和网络,让联邦机构得以更快更节约地使用服务。为充分发挥效能,联邦机构计划在2016财年投入至少20亿美元在云计算服务上。”在报告成形过程中,GAO总结了云服务级别协议(SLA, Service Level Agreements)的十条最佳实践,适用于美国联邦机构和私营企业,也可作为国内机构使用或购买云服务时的一个参考。1. 详细定义SLA相关的各方角色和责任,至少,要包括机构和云提供商。这些定义包括负责合同监管、审计、效率管理、维护和安全等方面的人员。定义关键条款,比如生效日期、性能等,还要商定云计算术语定义中任何模棱两可的部分。2
发布时间:2016-04-26 14:30 | 阅读:60950 | 评论:0 | 标签:术有专攻 SLA 云服务 最佳实践

这家初创公司用端到端安全保护物联网设备

物联网安全初创企业Afero,这是一家通过蓝牙广播模块和云服务,来保护大大小小物联网设备的厂商。Afero公司前不久推出了一种云服务基础设施,尝试将多种互连设备捆绑在一起。该系统可同时适用于家庭和企业的物联网环境,能够加密设备和云端间传输的所有数据。目前,物联网被普遍认为将在接下来几年时间里走到数十亿消费者身边,渗透进城市和企业所使用的各种设备周围。由于互连设备数量快速增长,软件、网络和诊断手段也将会成为物联网的关键组成部分。综合考虑,这种局面可能会对电子设备制造商和那些想要通过互联网改善效率、节省成本、获取利润的企业造成严峻挑战。物联网系统安全带来了巨大挑战。目前,遍布世界的物联网设备已经引起了黑客的注意,他们制造的一些大型黑客事件中曾涉及机器对机器网络,这引起了对公众对隐私的担忧。对于想要购买互联设备的人们
发布时间:2016-04-26 14:30 | 阅读:81315 | 评论:0 | 标签:技术产品 云服务 加密 物联网

谷歌全球云计算大会上的十个关键词

谷歌全球云计算用户大会(GCP NEXT 2016)上周在美国旧金山举行,大会吸引了众多IT领域的大咖和牛人。董事会执行主席埃里克·施密特在会议上不少分析人士认为谷歌云平台(GCP)在云计算市场上,已经远远的被对手落在身后,如亚马逊云(AWS)和微软云(Azure),甚至连IBM在IaaS(基础设施即服务)上都强之许多。最新的一份调查报告预测,GCP的年化收入约为4亿美元,而AWS的年收入是这个数字的20倍,即80亿美元。但谷歌的搜索、邮件、地图、浏览器和手机,均有着巨大的用户基础和产品优势,因此谷歌还是有很大的机会迎头赶上。“云”还没完,整个行业刚刚开始旅程下面是这次 GCP Next 大会上的十个关键词,它们不仅对谷歌云服务的发展影响深远,还将对整个云计算行业有着重要的借鉴意义:一、机器学习若论谷歌在本次G
发布时间:2016-03-29 11:40 | 阅读:77103 | 评论:0 | 标签:行业动态 云服务 机器学习 谷歌

一起绕过双因子验证的实际入侵案例

上周,云服务提供商Linode发布了一篇博文,描述了其云服务客户PagerDuty的服务器被入侵的过程。网络入侵事件已经泛滥,但此事值得关注的是,攻击者是通过Linode的管理面板进入PagerDuty的服务器的,而想要做到这一点,攻击者必须绕过安全性极高的双因子身份验证(2FA)。在典型的2FA应用中,用户身份验证一般遵循以下过程:用户在网站或其他服务器上输入用户名和口令时,用户的终端设备上会运行TOTP算法产生一次性的服务器口令,用户再将此口令输入服务器。服务器端也会运行TOTP来验证输入的一次性口令,想要验证成功,用户设备的时钟需要和服务器的时钟大致同步。用于后续所有身份验证会话的单一密钥,必须在之前通过安全信道在服务器和用户设备之间共享。谷歌认证器TOTP截图TOTP算法的安全取决于共享密钥的保密性。密
发布时间:2016-03-01 09:00 | 阅读:107904 | 评论:0 | 标签:威胁情报 云服务 双因子认证 密钥

思科找到新的业务:“影子 IT ”

思科公司在上个月发布了一款新产品。该产品的功能是监控员工使用第三方软件的情况,可加强思科在云领域的服务。福劳伦斯是信息技术专家同时负责网络安全。现在则是思科云消费即服务(Cloud Consumption as a Service)产品负责人。思科将该产品定义为,能够帮助企业管理职员自主下载并使用第三方软件的方式,比如谷歌 Gmail邮箱或者 Dropbox 等文件存储服务。这些产品或服务为员工提供工作上的便利,但同时存在可被恶意软件利用、占用带宽、违反政策法律等问题,很可能给企业带来很大的麻烦。 IT 专家称之为“影子 IT”。思科高管鲍勃·狄米科(Bob Dimicco) 称,影子 IT 正在成为企业日益严峻的挑战。大多数拥有超过5000名员工的企业估计其内部计算机设备上大约安装了90种此类服务,但实际数字
发布时间:2016-02-14 09:30 | 阅读:76529 | 评论:0 | 标签:技术产品 云服务 影子 IT 思科

云数据库安全初探

阅读: 60本文根据目前国内外数据库安全的发展现状和经验,结合亚马逊AWS[1]、阿里云、腾讯云、UCloud、华为云等国内外云服务厂商,和IBM、微软等IT巨头的云服务情况,从云数据库安全角度,介绍了云环境下数据库安全四种技术路线与安全模型架构,和云数据库安全的关键技术,适合从事云安全、云计算、数据安全等相关人员和安全爱好者学习探讨。 本文来自安华金和。每个公司对私有云、公有云的定义都不一样,但是CIO们却在不断重演莎翁经典对白:“公有云还是私有云,这是个问题”,政府、企业、金融、公共事业等都在建设或者规划上云。引发这一问题的核心是:云环境的安全合规性问题,也就是云环境的法规遵从、云数据的安全如何保障、云环境风险管理。云数据(库)安全之技术路线从法规遵从和企业、个人敏感信息防护的角度,相比私有云环境和传统企
发布时间:2016-01-06 11:40 | 阅读:117029 | 评论:0 | 标签:技术分享 云安全 数据库安全 云环境风险管理 云数据库 安全 云服务 安全模型

记“西湖论剑·2015”的三个议题

西湖美,白马湖更美,但牛君是来开会的。西湖论剑·2015中国网络安全创新分享大会昨天召开,中央网信办协调局赵泽良局长发表讲话。赵局依旧脱稿而谈,记忆比较深刻的如下:五中全会提出了创新、协调、绿色、开放、共享这样一个新的发展理念。这种理念对我们网络安全工作同样具有十分重要的意义。首先,我们要树立创新的理念,让创新成为网络安全工作的基石。我们网络安全工作者的责任,就是既要用好先进技术,发挥IT技术的潜力,发挥互联网的优势,又能保证国家的安全,企业的安全,老百姓的安全,而不是说不用。这就要求我们要用创新的思路,创新的理念来应对。新发展的五个理念里,有共享、有开放,我理解我们这里的分享就是和开放、共享密切联系在一起的。这就要求我们要坚持开放的理念,立足于全球化的环境,做好我们的网络安全工作。在新时期对外开放全球化环境下
发布时间:2015-11-03 05:30 | 阅读:85458 | 评论:0 | 标签:动态 云服务 互联网 安全企业 数据安全

风险最高的十大云服务平台

云安全供应商Skyhigh给1万6千家云服务提供商做了份排名。云安全厂商Skyhigh Networks称,一般人工作时会用到30种云服务,其中有一些比起其它服务而言更有风险。Skyhigh依据是否加密数据、是否尊重客户的隐私和知识产权、是否允许匿名使用、是否在注销账户后立即删除相关数据、是否在近期被入侵过等五十种不同的安全属性为1万6千家云服务提供商做了排名。其它标准还包括用户数量,因为公司的员工越多,使用这些服务的风险也就越高。Skyhigh分析了来自2300万全球云用户的匿名汇总数据。这些用户都来自支柱行业,比如金融服务、医疗保健、公共部门、教育、零售、能源和运输。网易免费邮这是排名中危险程度位居第一的服务。网易提供免费的在线电子邮件服务,但存储的数据未经加密,如果有黑客设法侵入了服务器,用户数据将完全泄
发布时间:2015-10-29 19:20 | 阅读:69499 | 评论:0 | 标签:牛观点 云服务 风险

混合云有多安全?

“混合云”这个词内涵外延宽泛,或许正是为什么有那么多公司都宣称他们计划采用混合云的原因。如果你正铺开混合云战略,那你需要考虑的安全问题恐怕不会是你所预期的那些。混合云迎合了今年IT界口味。《埃维诺全球混合云调查》报告中显示,高管们尤其看好它的前景:75%的高管认为混合云应作为他们公司今年的年度重点关注领域;72%预期在2018年引入混合云;76%期待在未来三年内将他们应用和服务的大部分——包括像数据和分析、办公应用和面向客户的服务之类的关键系统,转移到混合云环境中运营。微软企业云团队也给出了相似的数字,表示其2/3的企业客户都看好混合云。Gartner的一份调查中显示,“3/4的企业将混合云看作带来期望的商业价值之物”。微软企业云的副总麦克·尼尔称这一比例变化很快,“我们极少听到客户说‘我只想在公有云上’或‘我
发布时间:2015-09-08 22:05 | 阅读:78969 | 评论:0 | 标签:牛观点 云服务 混合云

迷失在云端:如何避免谷歌把你一览无余

如今,我们的生活是数字化的。在网上的一切活动都会留下痕迹,个人隐私保护的倡导者们一直在试图消除它们。但对于个人隐私,我们自己才是自身最大的敌人,而“个人云应用”的出现则加重了这种令人担忧的局面。只需简单的搜索就能获得个人敏感信息每天,世界各地的数百万人都在备份个人文件。备份的初衷是为文件寻找安全的存储场所,并在需要时进行恢复,然而实际情况与此相去甚远。事实上,何有明确寻找目标的人都可以免费获得你的备份文件,只不过是获得途径会基于你使用的备份设备有所不同罢了。(注:个人云应用这个词看上去会有些令人不明所以。在本文中,个人云应用的含义是你在家将文件存储在设备上或网络上,以便可以通过互联网访问它们。通过个人云应用,你不论何时何地都可以在联网的设备上访问文件。)对消费者而言,个人云应用的诱惑在于随时随地都可以进行访问。
发布时间:2015-05-12 00:55 | 阅读:95249 | 评论:0 | 标签:动态 个人隐私 云服务 搜索引擎

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云