记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

无文件攻击的兴起与应对之道

无文件攻击比基于恶意软件的传统威胁更容易实施也更有效,因而给公司企业的安全防护带来了更大的挑战。网络罪犯自然会寻找阻力最小的途径实施攻击,这也正是越来越多的网络罪犯采用无文件攻击的原因所在。随着攻击者对该攻击手法的应用越来越得心应手,企业雇员越来越依赖移动设备和云来开展工作,无文件攻击的威胁也越来越大了。无文件攻击也就是非恶意软件攻击,是一种可以让攻击者省去传统恶意软件攻击所需步骤的攻击手法。他们不用创建攻击载荷,只需简单地利用可信程序获取内存访问即可。2017年,利用PowerShell或WMI的无文件攻击占了全年攻击总数的52%。尽管如此,企业依然没有对无文件攻击投以足够的关注。大多数人对网络安全行业的认知依然停留在打了多年交道的传统攻击方法上。企业是时候进一步了解这些威胁的工作机制了。他们有必要搞清如何检
发布时间:2018-01-20 18:25 | 阅读:101290 | 评论:0 | 标签:术有专攻 凭证泄露 安全培训 无文件攻击 神恩 网络钓鱼

一篇文章教你如何构建网络安全战略体系

网络安全是确保信息的完整性、保密性和可用性的实践。它代表防御安全事故和从安全事故中恢复的能力。这些安全事故包括硬盘故障或断电,以及来自竞争对手的网络攻击等。后者包括脚本小子、黑客、有能力执行高级持续性威胁(APT)的犯罪团伙,以及其他可对企业构成严重威胁的人。业务连续性和灾难恢复能力对于网络安全(例如应用安全和狭义的网络安全)至关重要。安全应该成为整个企业的首要考虑因素,且得到高级管理层的授权。我们如今生活的信息世界的脆弱性也需要强大的网络安全控制战略。管理人员应该明白,所有的系统都是按照一定的安全标准建立起来的,且员工都需要经过适当的培训。例如,所有代码都可能存在漏洞,其中一些漏洞还是关键的安全缺陷。毕竟,开发者也只是普通人而已难免出错。安全培训人往往是网络安全规划中最薄弱的环节。培训开发人员进行安全编码,培
发布时间:2018-01-08 16:50 | 阅读:106986 | 评论:0 | 标签:术有专攻 安全培训 网络威胁 网络安全战略 网络安全职位

调查︱英美20%的网民仍然对钓鱼或勒索软件一无所知

近日,勒索、钓鱼等攻击充斥各大报端。人们理所当然地认为这种热议可以提高网民的安全意识、改善网民的安全行为。为了测试这一理论,Wombat Security在2017年5月初调查了超过2000名在职人员(一半来自美国,一半来自英国),内容是数字安全和自我保护行为。研究结果表明,要实现网民对最基本的数字安全风险有所认知,我们的路还很长。以下是Wombat Security首次网民风险报告的主要发现。1. 缺少对钓鱼和勒索的了解英国和美国的受访者对网络钓鱼有着同等的认识水平。70%的受访者可以准确地描述网络钓鱼的威胁,但仍有30%的受访者不知道钓鱼。其中13%的受访者完全不能想象钓鱼意味着什么。而与受访者的无知形成鲜明对比的是,调查显示43%的美国受访者和19%的英国受访者说曾遭受过网络钓鱼的攻击。网民对勒索攻击的了
发布时间:2017-07-10 21:25 | 阅读:113207 | 评论:0 | 标签:行业动态 勒索软件 安全培训 安全意识 钓鱼

企业安全需警惕:流行APP均遭恶意软件克隆

据应用安全公司Arxan的2014移动应用安全报告,安卓和iOS应用中大部分排名前100的付费应用和排名前20的免费应用都被恶意黑客克隆/感染了。这些黑客利用受感染的应用进入企业系统危害他们最宝贵的信息。别以为自带设备(BYOD)安全工具可以保护企业数据不受这些传说中的应用侵害。企业也不应该相信边界安全工具的防护能力。想挫败克隆手机应用需要结合多种方法和资源,而且即使这样,企业也无法保证百毒不侵。让我们看看网络渗透和资料破解是如何夺取合法APP的清白的吧:网络恶棍们逡巡整个互联网寻找最流行、被下载次数最多、最常用的,如愤怒的小鸟一类的手机应用。然后,这些攻击者用互联网上免费提供的多种工具对流行应用进行反编译、反汇编,再修改重构,使其把恶意软件包含在内。然后,攻击者在网上包括第三方应用商店在内的不同地方分发修改过
发布时间:2015-03-09 13:05 | 阅读:86175 | 评论:0 | 标签:CISSP 安全培训 安全意识 牛管理 牛观点 APP克隆 BYOD

从监管、行业及人才三方面看信息系统审计

 编者按:信息技术在全社会各领域已经广泛深入,IT审计近年来随之逐渐升温,美英等西方强国很早就开展由独立资格的第三方进行的信息系统审计,并建立了完善的信息系 统审计制度。我国近年来也开始接受IT审计理论,一些对信息化依赖程度较高的行业如:金融、电信等已逐步引入了信息系统审计。那么,信息系统审计目前在我国的行业现状怎样?监管部门又对信息系统审计做过哪些重点工作?信息系统审计的人才建设状况又如何?带着这些问题,安全牛分别采访了国家审计署、国有大型银行的领导和信息安全负责人,以及信息安全管理专业人员培训的知名专家。国家审计署信息部门的领导表示,我国的IT审计目前经历了两个阶段,先是借助计算机等数字化工具辅助对企业业务进行审计的辅助审计阶段,后来随着信息系统的发展,逐步形成了专门针对信息系统的审计工作。从目前
发布时间:2014-10-20 11:51 | 阅读:92906 | 评论:0 | 标签:CISA 安全合规 安全培训 金融 IT审计

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云