记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

微软:每年信息安全投入10亿美元 必要的话诉诸法律手段

进入2018年,在对“云上全球利益”( A Cloud for Global Good)战略路线图的更新中,微软呼吁重视民族国家攻击者,关注人工智能对社会越来越大的影响力。对微软而言,治理并商业化云计算、人工智能(AI)和其他技术创新,是一项不仅仅为了产生利润的商业战略。微软总裁兼首席法务官布拉德·史密斯认为,这些技术还有助于解决当今世界面临的大部分紧迫问题。新版《云上全球利益》中,微软披露了将在2018年及之后时光中指导该公司社会责任工作的几个优先事项。2016年10月,微软发布了《云上全球利益》策略路线图。这是一本电子书,内含对策略制定者和IT行业的一系列建议,主题涉及云计算、AI、数据隐私、教育、持续性等等。这些建议还反映出了软件制造商对技术及其可能带来的社会问题的前瞻性思考。2018年的更新中,微软基于
发布时间:2018-01-12 05:50 | 阅读:16461 | 评论:0 | 标签:行业动态 人工智能 信息安全 国家黑客 微软

2018安全趋势预测及建议:确保数据完整性是实现安全的关键

对于企业来讲,要说2017年是充满挑战的一年,未免太轻描淡写。人类社会高度互连,对于企业来讲,网络攻击并非遥不可及之物,它就在前方可见之处,需要我们有预案予以防备。所有企业,都应该保有一定水平的“网络洁癖”,需要定时备份数据、为其系统及应用打上补丁、尽量缩小其数字资产的受攻击面。2018年,我们仍然需要借助新技术来变革我们的经营之道,这就有必要对相关安全顾虑有所周知,从而降低风险,甚至可以不采用技术便可实现这种变革。我们需要对现有的和潜在的风险有所了解,并且知晓如何做才能减少或者消除这些风险,只有这样我们才能时刻保持警戒之心,想网络罪犯之所未想,做网络罪犯之所未做。1. 云就是别人的电脑,保护信息安全要常抓不懈近日新闻中,“第三方云存储”这个字眼被反复提及,尤其是亚马逊的简易存储服务(Simple Storag
发布时间:2017-12-28 19:45 | 阅读:34219 | 评论:0 | 标签:牛闻牛评 AWS S3 bucket Palo Alto networks 信息安全 数据完整性

机器学习作用于信息安全的五大顶级案例

通俗讲,机器学习就是“(计算机)无需显式编程即可学习的能力”。跨海量数据集应用数学技术,机器学习算法可建立起行为模型,并基于新输入的数据,用这些模型做出对未来的预测。视频网站根据用户的历史观看记录推出新剧集,自动驾驶汽车从擦肩而过的行人学习路况,都是机器学习的例子。那么,信息安全中的机器学习应用又是什么呢?大体上,机器学习可帮助公司企业更好地分析威胁,响应攻击及安全事件;还有助于自动化更琐碎更低级的工作,也就是之前工作量巨大或技术欠缺的安全团队所做的那些。安全方面,机器学习是个快速发展的趋势。ABI Research 的分析师估测,在网络安全界,机器学习将推动大数据、人工智能(AI)及分析的投资,有望在2021年达到960亿美元,同时,世界科技巨头已经在采取措施更好地保护自己的客户。谷歌用机器学习来分析安卓移动
发布时间:2017-12-19 01:05 | 阅读:26294 | 评论:0 | 标签:术有专攻 信息安全 分析检测 机器学习 移动终端安全 自动化

伯炎有话说:安全咨询师们的突破

安全咨询师,作为为企业提供安全服务及安全解决方案的专业群体,在保障企业信息安全中扮演着至关重要的角色。然而,身负迷彩声誉的安全咨询师们在从业过程中也面临着很多需要突破的地方。其一,见识广更要眼光深。信息安全是一门综合性学科,它需要咨询师具备一个比较健全的安全知识体系。咨询师的眼界取决于两个方面,一是看,二是学。当前安全咨询行业单科型人才较多,虽然咨询师们因服务于不同行业而具有较广的见识,但这恰恰是问题所在。一是他们的解决方案流于形式化和案例化,缺乏对原理和架构的掌控;二是所谓的见识麻痹了他们的求知欲望,当案例化方案被人接受谁又需要读书呢?当方案呈现出更多的引用而不是设计时,它该如何进步呢?在看与学的路上,咨询师更要具备国际化视野。虽然中国的信息产业和规模非常庞大,在国际上也有一定的影响力,但整个信息产业的基础和
发布时间:2017-12-04 08:40 | 阅读:19201 | 评论:0 | 标签:牛闻牛评 信息安全 安全咨询

随笔:信息安全保密管理实务

信息安全是企业竞争的关键之一,然而信息的公开与保密,是矛盾的一体。一方面是公开信息是管理的需求,而另一方面信息保密是竞争的需要;同一信息,在不同时间段,对保密和公开的需求是不同的。笔者从实务的角度进行阐明。以资信息安全同业者参考。 公开与保密的矛盾: 举例而言,某些企业薪资与奖金结构具有典型的公开与保密的矛盾。首先,对薪资、奖金信息进行保密,可以使企业有效的在人力资源市场中进行竞争。然而,有些企业为了执行激励机制,可能采取计件工资制等公开的薪资制度,从而使员工通过简单的换算即使可获知他人的薪酬水平;有些企业采取级差与权重系数制度,为保持其公正性,级差和权重系数是公示的,因此也能够使他人很容易推算出全体员工的报酬。类似的情况比比皆是,信息的公开与保密之间的矛盾由此产生。例如:处理这一矛盾的良好做法包括重叠型级差方
发布时间:2017-11-09 06:10 | 阅读:21458 | 评论:0 | 标签:专栏 保密管理 信息安全

国内首个智慧家庭信息安全白皮书发布

2017年10月,由中国电子技术标准化研究院、海尔优家智能科技(北京)有限公司、梆梆安全研究院联合编写的《智慧家庭信息安全白皮书》(以下简称《白皮书》)正式发布。白皮书梳理了国内外智慧家庭信息安全现状及发展趋势,剖析了历年来智慧家庭信息安全事件风险点,积极探寻智慧家庭信息安全本质,建立了智慧家庭信息安全方法论,构建了“端——管——云——App”架构为核心的保障体系,给出了智慧家庭信息安全最佳实践,并从场景化的角度让人们对智慧家庭信息安全有了更加直观的认知。每个人心中都有一个哈姆雷特每个人心中都有一个哈姆雷特,智慧家庭亦如此。智慧家庭服务于“人”与“家庭”,家庭所赋予每个人的意义独一无二,拥有了“感知”、“联接”、“交互”能力的智慧家庭更是如此,它因为家庭的原因拥有了独属于自己的“智慧”。种种迹象证明智慧家庭不再
发布时间:2017-11-01 03:15 | 阅读:22034 | 评论:0 | 标签:行业动态 信息安全 智慧家庭 梆梆安全

常见SQL注入方法整理系列-初始篇

前面介绍了MSSQL、MYSQL以及ORACLE的一些涉及安全体系的基本知识,且当作知识的积累或者温故吧。本篇主要介绍这三种数据库的攻击手法,力求形成一套攻击流程,当然流程是死的,在真实的攻击环境中还是需要发挥聪明才智的,所以也且当作参考笔记吧。 1  发现SQL注入漏洞 万事开头难,SQL注入攻击同样如此。给定一个WEB站点URL,发现该站点SQL注入漏洞最快的方法莫过于使用扫描工具,最有效的我自认为是查看应用程序源代码。然而工具往往不是万能的,查看源代码寻找注入漏洞的机会通常也是没有的,所以此时手工探测注入漏洞就显得格外重要了。 2  经典方法 相信听说过SQL注入攻击的,都知道最经典的探测方法。这里假设存在一个GET请求的连接http://www.sqltest.com/sql.php?id=1,则经典的
发布时间:2017-08-31 13:25 | 阅读:74316 | 评论:0 | 标签:专栏 SQL注入 信息安全 信息安全工程师 小白 渗透测试 注入

跨越工控安全缺失的十年

觉得过去10年的IT网络安全世界很糟糕?那是你还没认识到更令人绝望的深层因素。被盗知识产权损失达数十亿,OPM之类的大规模情报泄露频发,亿万身份失窃——网络空间失败案例多如繁星。尽管如此,从安全控制角度出发,依然有着明显的重大进展。无数创新——人力财力的巨大投入、产业/次产业的诞生和发展、对新兴威胁的响应能力(尽管不能预见),描绘出了损失背后蕴藏的大量积极因素。重点在于,为什么我们当前拥有一个约2000个安全解决方案的市场。而其市场价值就是另一个讨论话题了。关键基础设施/工业控制系统(ICS)这一安全细分领域,虽然围绕噩梦般的网络攻击场景和后果有近20年的讨论,过去10年却可被标记为“信息安全缺失的10年”。可以说,在网络安全准备度上,我们现在也没比10年前好多少。随着威胁态势明显日渐活跃和危险,这种形势简直让
发布时间:2017-08-26 23:45 | 阅读:33894 | 评论:0 | 标签:术有专攻 ICS 信息安全 工控安全

安全自动化在于信任,而非技术

我们可以自动化动作,而不自动化决策……一直以来的反馈都表明,至少安全团队是非常渴求自动化的。但这种渴望受制于怀疑和恐惧。怀疑威胁检测的准确性,恐惧威胁控制或缓解响应自动化的后果,以及自动化出错可能造成的不良影响和破坏。长期工作于网络安全领域的人知道,这种现象并不新鲜。反垃圾邮件和入侵防御系统(IPS)的承诺尚历历在目,对其异常和攻击检测能力的过度自信所造成的混乱,就开始啪啪打脸。安全自动化很多公司都有IPS,但却以非阻塞模式运行,直接降级成入侵检测系统(IDS)使用。而且这种趋势至今未减:公司企业引入自动化功能到现有技术中,比如安全信息及事件管理(SIEM)、终端检测与响应(EDR)、安全自动化与编配(SAO)解决方案等,但却不相信它们的自动化能力,仅仅在发送通知或执行威胁情报查询之类基本任务上应用自动化。这基
发布时间:2017-07-25 00:10 | 阅读:36177 | 评论:0 | 标签:术有专攻 信息安全 安全运营 自动化

Let’s do Yoga! 瑜伽与信息安全竟然有如此的相似性

跨界互通是个很常见的现象,瑜伽和网络安全也是如此。瑜伽,尤其是串联瑜伽,教导我们在一连串姿势中保持统一的原则。通过保持呼吸,我们专注在练习上,持续深入保持姿势,消除长时间维持姿势中的焦虑。网络安全也是如此。在网络安全项目中保持方针原则或指导框架是非常重要的。SANS的CIS关键安全控制(CSC)、NIST 800-171、PCI DSS 或 NERC CIP 安全标准起到的就是指南作用,可以改善我们使用特定工具保护公司和用户的有效性。串联瑜伽课上的几个常见姿势,与网络安全之间,存在有某种联系。1. 下犬式每堂瑜伽课上的必练姿势。下犬式天天练的原因,在于它带来的好处真是太多了。它就是瑜伽中的80/20原则。其中包含的好处有:通过伸展整个背部和肩甲一带,缓解背部疼痛;通过拉长颈椎和脖子,放松头部,缓解紧张和头痛;增
发布时间:2017-07-22 21:25 | 阅读:33141 | 评论:0 | 标签:术有专攻 CIC CSC 信息安全 安全框架 瑜伽

为什么“加密”成为企业要考虑的问题?

每隔一段时间,信息安全事件又会出现在公众面前,前段时间发生的“50亿条公民信息被泄露”就震惊了不少人。这50亿条数据涵盖交通、物流、医疗、社交、金融等各类信息,与以往黑客通过技术手段入侵服务器获取用户的信息不同,部分敏感数据是相关行业内部人员出于黑市交易等目的主动泄露的。 这些人为获取私利把企业的信息资料盗窃贩卖,而企业的声誉、客户基础以及发展却遭到严重影响,这足以让企业高层夜不能寐。要想避免成为明天的头条新闻,企业必须确保自己和客户的隐私数据的安全。 加密:数据保护关键策略 信息保护挑战越来越多,但不管是何种挑战,数据本源的防护必须牢牢抓住,而采用灵活且具有针对性的加密工具进行防护则是最可靠的选择!加密直接作用于数据本身,这种防护最大的特点就是即使数据和文档最终还是泄漏了,加密的防护依然存在,偷窃者也
发布时间:2017-05-06 03:20 | 阅读:39539 | 评论:0 | 标签:安全前沿 信息安全 数据加密 加密

2016智能网联汽车信息安全年度报告抢“鲜”看

联网汽车已经成为了各主流汽车品牌高端车型的标配。功能更丰富的车载联网娱乐系统,包括自动驾驶技术在内的更人性化驾驶辅助体验,给车主带来便利的同时,车厂及其供应商在软件开发和技术实现过程中的潜在安全隐患却容易被厂商和消费者忽视。 继今年2月推出《智能网联汽车信息安全建设最佳实践》后,360天行者团队于昨日正式发布《2016智能网联汽车信息安全年度报告》。因报告原文多达52页,现安全牛小编缩编如下,并在文尾附上报告全文下载链接。 第一章智能网联汽车技术发展分析 本章内容包括智能网联汽车介绍、技术路线图、各厂商的自动驾驶技术路线和互联网汽车操作系统、车载内容服务的技术发展分析。(详情请参见报告原文) 第二章 汽车信息安全威胁分析 随着 2015 年 7 月两位著名白帽黑客查理·米勒以及克里斯·瓦拉塞克入侵了一辆 J
发布时间:2017-04-18 14:50 | 阅读:47252 | 评论:0 | 标签:行业动态 360天行者 信息安全 自动驾驶 车联网

上亿行代码的Vault 7里面有什么?

维基解密周二发布Vault 7文档,泄露了许多黑客工具,早晨起床网上被这个事件刷屏了都,听说这些黑客工具能入侵苹果、谷歌、三星,还能攻破智能手机、电脑、甚至是网络电视呢。看起来好像特别厉害,不过还是想自己去看看。 最初维基解密说,泄露出来的只是文档的一部分,包含7818个网页与943个附件,所有软件加起来有几亿行的代码。如果这些泄露文件都得到证实,那将更新整个世界的技术。维基解密还表示CIA已经可以绕过Signal, WhatsApp 和Telegram等通讯软件的加密获取用户信息。 这些文档最初是没有命名的。后来维基解密将这些文档称为“Vault7”,对来源的解释是“这份文件早已在美国政府黑客和承包商之间未经授权的传播,其中一个向维基解密提供了部分存档。” 在这份声明中,提出了政策问题,比如“CIA的黑客所
发布时间:2017-03-09 11:40 | 阅读:158049 | 评论:0 | 标签:观点 CIA Vault7 信息安全

使用Oracle的Security External Password Store功能实现数据库加密登陆

在去年国内很多用户的 Oracle 数据库突然遭到比特币勒索,(知己知彼-关于Oracle安全比特币勒索问题揭秘和防范)分析事件我们发现,根源在于用户缺乏安全意识。生产环境中使用的 Oracle 数据库确实存在着很多安全隐患和安全风险,但Oracle 在数据库安全方面的解决方案也有很多,比如 Oracle 审计与数据库防火墙(AVDF)产品、Oracle 的透明数 据加密功能(KDE)和 Oralce Wallet(也称 Oracle 钱夹)加密用户的密码等等。 接下来我们将会分享如何使用 Oracle 的 Security External Password Store 功能实现加密登录, 不将明文密码暴露在生产环境当中。 如果需要从 SHELL 脚本来连接到 Oracle 数据库,那么这些脚本包含数据库连接
发布时间:2017-02-26 01:55 | 阅读:54504 | 评论:0 | 标签:数据安全 oracle 信息安全 数据库安全 加密

「安全输入框插件」能否有效地保护输入数据

不少安全性较高的网站,会提供一个安全输入框插件,用户必须下载安装后,才能输入账号口令等数据。例如各大网银的登录页面,相信大家都见过。 下面我们来探讨,这类安全插件对用户输入的数据,究竟能起到多大的保护效果。 对抗 稍了解编程的朋友都知道,用户在安全框内输入时,其他程序是无法通过简单的技术手段,来截获按键消息的。因为插件会从最底层的键盘驱动中取走消息,保障按键过程无法被轻易窃听。 同时,也无法简单地通过内存扫描等手段,获取控件内部的数据。所以从系统攻防上,这类插件还是有一定保护效果的。 但是,攻击者非得从系统攻防上进行对抗吗? 绕过 我们先来聊一个其他话题。大家都知道 HTTPS 是难以破解的,但这并不意味它就是无懈可击的。例如某些场合下,使用类似 SSLStrip 的工具,就能让用户进不了 HTTPS —— 我
发布时间:2017-02-16 19:40 | 阅读:43076 | 评论:0 | 标签:信息安全 网络安全

基于内存漏洞的互联网与本地系统的跨界攻击: The “Web/Local” Boundary Is Fuzzy

作者:Yaoqi Jia (新加坡国立大学) 早期的网页浏览器(Web browser)作为一个简单的网页文档显示软件,没有隔离不同的资源和对象。利用任何一个内存漏洞,攻击者就可以控制整个浏览器。现在主流的浏览器采用 沙箱技术分离互联网网页和本地的资源,从而阻止恶意网页通过利用内存漏洞来影响本地系统。同时这些浏览器也采用了基于进程隔离的设计,用来隔离不同源的网 页,从而确保相互之间不会受到安全漏洞的影响。谷歌Chrome与微软Internet Explorer拥有合计超过80%的市场占有率,都相继采用了这些安全隔离的设计。在这篇论文中,我们用作为代表的Chrome研究这种安全隔离的设计 问题,以及这种隔离设计的不足带来的互联网与本地系统的跨边界攻击。 Chrome使用沙箱技术来保护网页和本地的边界  
发布时间:2017-01-18 19:05 | 阅读:45120 | 评论:0 | 标签:信息安全 网络安全 漏洞

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云