记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

网络安全最大盲区:“人的漏洞”   

在现代企业的网络安全防御体系中,人员是最薄弱的环节,同时也是最不受重视的环节。换而言之,人员是黑客最容易突破和利用的“漏洞”,同时也是企业安全投入最少,提升最慢的短板。GoSecurity公司2020年全球企业安全调查结果直观地反映了这个问题: 长期以来,那些手套上镶着半打零日漏洞宝石,头上顶着三个博士帽的的国家级黑客,被认为是网络空间最为危险的物种,而企业界也热衷于采购最先进的网络安全技术和方案,并试图提高安全工具集成度和自动化水平。但现实情况正如上述调查数据:最有效的网络安全措施是提升员工安全意识,但员工安全意识培训获得的预算最少。
发布时间:2020-07-28 19:58 | 阅读:14324 | 评论:0 | 标签:牛闻牛评 首页动态 内部威胁 安全意识 网络安全 漏洞

固件安全的三大盲区

5G、物联网、工业互联网、智能制造、智能家居…当下信息技术革命几大热门领域,都在显著扩大一个攻击面:固件安全。因为,几乎所有硬件设备都内置了一种确保设备正常运行的底层软件——固件。安全“下移”在过去的二十年中,随着软件安全性得到显著加固,黑客的攻击路径开始沿着技术堆栈“下移”,聚焦在固件入口点。作为攻击目标,固件不像软件,可以被基本安全控件轻松地访问或扫描,因此固件的安全漏洞生命周期往往比较长,给攻击者提供了足够的时间窗口来利用或者施展各种攻击手段。面对黑客攻击的“下移”,过去十年业界通过固件安全解决方案和最佳实践提升了固件安全。
发布时间:2020-04-29 18:43 | 阅读:22207 | 评论:0 | 标签:牛闻牛评 首页动态 固件安全 安全意识 补丁更新 配置安全

BCS-RSAC万人分享会安全意识论坛即将召开!!

由北京网络安全大会组委会主办的RSAC主题分享万人云峰会于3月24日在线上举行,并于26日召开首场分论坛,安全意识论坛。来自美国创业公司Elevate Security、奇安信、谷安天下及中国移动的安全专家代表将参会并发表演讲。欧美国家的安全意识培训市场发展迅速安全意识在网络安全中的重要性毋庸置疑。但直到最近几年,企业界才开始使用一些系统性的科学方法来进行安全意识培训和安全意识管理。Gartner于2016年6月首次发布了以人为中心的安全框架,并持续发布安全意识培训的魔力象限。下图左边给出了Gartner关于安全意识培训市场的企业竞争力最新排行。
发布时间:2020-03-26 00:18 | 阅读:35759 | 评论:0 | 标签:奇安信专区 活动集中营 RSAC分享会 安全意识

Twitter用户密码明文保存漏洞的安全警示

阅读: 20前段时间,美国大型社交网络平台Twitter和Facebook均爆出信息泄露事件。这些安全事件的背后究竟发生了什么,作为普通用户应该如何防范,作为开发人员又应该从这次事件中吸取什么经验教训呢?5月3日,美国大型社交网络平台Twitter向所有用户发布提醒,称此前存在重大漏洞,导致用户密码以明文形式保存在内部日志中,并建议所有用户更换密码。该事件是在美国另一个大型社交网站Facebook大规模信息数据泄露事件发生之后的另一起安全事件,有一位网友评论道:“Twitter这是用实力替正处于风口浪尖的Facebook挡了一刀,然而他们牺牲的都是用户的隐私,威胁的都是用户的安全”。
发布时间:2018-06-01 15:05 | 阅读:139724 | 评论:0 | 标签:安全意识 facebook Twitter 信息泄露 漏洞

【安全意识】从《头号玩家》引发的信息安全思考

阅读: 3在《头号玩家》这部电影中,绝大多数人们已经沉迷游戏世界,并且通过游戏逃避残破不堪的现实生活环境,影射了“娱乐至死”的社会问题。但与此同时,在这部电影中还反映了一些信息安全相关的思考,在此与大家一起分享。好莱坞巨制《头号玩家》上映后,好评不断,该片由斯皮尔伯格导演,主要讲述了在2045年的世界中人们沉迷于VR(虚拟现实)游戏“绿洲”的虚幻世界,该游戏的创始人临终前宣布在游戏中留下了三个彩蛋,将他的全部资产都留给能寻找到隐藏彩蛋的游戏玩家。这部电影时长140分钟,截稿为止豆瓣评分达到8.9分,全片包含138个彩蛋,囊括了各年龄段人群的童年回忆,也有人说它是“在彩蛋中插播电影”。
发布时间:2018-04-26 15:05 | 阅读:200651 | 评论:0 | 标签:安全报告 信息安全 头号玩家 安全意识 密码保护 弱密码

【RSA2018】创新沙盒 | StackRox容器安全防护平台

阅读: 8StackRox利用分布式架构通过应用程序生命周期进行数据收集与分析,从而检测并阻止恶意攻击者,最终解决容器化云原生应用程序的保护需求。StackRox通过独特的分布式传感器组合以及集中式分析与机器学习技术提供持续检测能力,以便帮助客户立足容器速度与规模提供情境与关联信息。
发布时间:2018-04-16 20:05 | 阅读:208824 | 评论:0 | 标签:安全意识 rsa2018 rsa2018创新沙盒 StackRox 容器安全

【Web测试】关于Open Browser的那些坑

阅读: 18自动化测试工具Robot Framework(简称RF)可以支持端口测试、web测试、数据库测试、集成自动化测试等。在常用的web测试中,我们编写用例的第一条就是用浏览器打开指定的url界面,所用到的关键字就是:Open Browser。但是就是这么一个简单的关键字,在使用过程中却会遇到各种奇怪的报错,本文将详细介绍我曾经踩过的坑,以及怎么越坑。
发布时间:2018-03-26 15:05 | 阅读:109880 | 评论:0 | 标签:安全意识 open browser Robot Framework web测试 自动化测试

个人防范勒索软件的6个办法及自测

阅读: 11从目前的案例来看,勒索软件主要传播渠道有两种:网络蠕虫病毒和恶意邮件。堵住这两种渠道后,对个人用户来说暂时可以不用怕勒索软件了。本文用5分钟告诉你这些防范小知识,然后用10道题目自测一下。近年来,勒索软件在国内大肆横行,给个人和企业单位造成了无法估量的损失。作为一个普通的互联网用户,如何防范勒索软件的侵害呢?勒索软件在被安装和实施文档加密操作后,可以认为是无法回退的,所以事前防范是重点,那我们事前防范的目的是什么呢?就是防止勒索软件在自己的电脑上被执行。从目前的案例来看,勒索软件主要传播渠道有两种:网络蠕虫病毒和恶意邮件。堵住这两种渠道后,对个人用户来说暂时可以不用怕勒索软件了。

大安全时代面临新威胁大挑战:记录2017防御的点滴

360首席安全官谭晓生在2016年的中国互联网安全大会上发表了题为《我有病,你有药吗?》的主题演讲,他谈到如果把互联网安全比做一场战争,破解人员和信息安全工程师便分为攻防两方。作为漏洞挖掘人才因为显而易见的成绩容易被人们所铭记,而防守型人才的则很难被关注到。在360公司,就有一支这样的防御型队伍,他们7*24小时保障着公司的安全稳定运行。360信息安全部成立于2007年,成立之初主要是防御黑客的攻击,走过十个年头,随着公司业务的不断扩大,信息安全部被赋予了更多的责任。一、公司业务时刻面临威胁入侵,我们该如何超前防御?360在早期也曾购买过一些安全产品,用于发现安全威胁,但最后发现并不好用。
发布时间:2018-01-12 22:50 | 阅读:115314 | 评论:0 | 标签:厂商供稿 360信息安全部 安全团队 安全意识

网络钓鱼测试:打造人类防火墙

网络钓鱼已成全球企业的主要威胁网络钓鱼,是发送非法电子邮件引诱终端用户做出响应的一种操作——无论用户的响应是点击可致恶意软件感染的链接,还是拱手交出平时不太可能告诉别人的口令之类敏感信息。令人毛骨悚然的是,所有迹象都表明,网络钓鱼攻击越来越普遍了。Webroot表示,每个月都有近150万个新的网络钓鱼登录页面被创建。为什么网络钓鱼如此流行?原因有以下几点:首先,这种操作成本非常低。发送电子邮件基本上是免费的,只需要花点时间编写下内容即可。不仅如此,电子邮件账户简直无处不在。人们通常至少有2-3个电子邮件账户,比如私人电子邮件账户、公司电子邮件账户、社交媒体账户等。
发布时间:2017-11-26 21:05 | 阅读:169312 | 评论:0 | 标签:行业动态 安全意识 网络钓鱼测试 防火墙

中国网民网络安全意识调研报告

摘要 约九成网民认为当前的网络环境是安全的。其中,49.1%的网民认为当前的网络环境比较安全;32.8%的网民认为一般安全;6.9%的网民认为非常安全。 从平均分来看,网民最信任的信息发布者是:媒体发布,平均得分为3.8,其次是自媒体、行业专家、资深人士,得分是3.1 。 从信息发布的渠道来看,网民最信任广播/电视发布的网络信息,信任度平均分为4.0,最不信任论坛/博客发布的网络安全信息,信任度平均分为2.6。 网民对自己网络安全防范能力总体来说是比较自信的,43.7%的网民给自己打了4分,14.4%的网民给自己打了5分。
发布时间:2017-10-25 13:30 | 阅读:138419 | 评论:0 | 标签:安全报告 中国网民网络安全意识 安全意识

【安全意识】从德勤泄密事件,了解双因素认证的重要性

阅读: 389月25日爆出,德勤(Deloitte)遭受到一次大规模网络攻击,造成其全球电子邮件服务器被入侵,24万员工与客户之间的往来邮件全部泄露,从而导致许多知名客户的敏感信息外泄。这一消息,对作为全球“四大”会计和咨询公司的德勤而言,无疑是一个巨大的丑闻——因为德勤的一大重要业务,就是提供网络安全咨询。常言道:“木匠家里没板凳,裁缝身上没新衣”。这句老话就是德勤只注重对外销售安全解决方案,而轻视自身安全建设的最好写照。无论在任何规模的企业,最脆弱也最关键的因素都是人本身。
发布时间:2017-09-30 18:05 | 阅读:134636 | 评论:0 | 标签:安全意识 双因素认证 密码认证 身份认证 身份认证信息

【安全意识】谨慎!邮件转发!

阅读: 84E-mail电子邮件,作为我们日常工作生活中必不可少的通讯工具,具有诸多便利性,在日常工作生活中,我们经常需要进行转发/答复、自动回复、抄送邮件等“二次“操作,在进行这些看似再平常不过的”二次“操作背后却隐藏着信息泄露的风险,这些被泄露的信息亦可能带来诸如个人信任缺失、第三方机密信息外泄等“并发”风险及黑客入侵等潜在风险。  这也常常被我们忽略……转发答复莫大意,莫给他人送信息我们在答复或转发时,经常会写上简单的回复后,直接点击“答复”或“全部答复”,却并未去看之前引用的邮件内容。

【安全意识】IoT安全的注意事项

阅读: 45IoT(Internet Of Things)物联网,这个词最近在各种安全会议被频繁提及。物联网其实很早就有提及,但是由于传统行业转型的因素,此领域一直不温不火。直到近几年信息化普及,网络的提速以及人工智能的发展。使得物联网真正的进入了大家的生活。究竟什么是物联网?这个问题我其实也不是理解的很透彻的,大概就是说物联网是个很宏观的概念,狭义的理解就是物物都联网。所有的你看得到的东西都能联网。这个说法似乎熟悉it技术的人会联想到ipv6。确实ipv6实行的话所有东西都能获得到一个网络地址,但至今ipv6尚未普及。
发布时间:2017-09-30 01:05 | 阅读:119486 | 评论:0 | 标签:安全意识 iot安全 iot安全产品 iot安全指南

【安全意识】直播穿帮?别让照片卖了你

阅读: 117“穿帮”一词原指鞋帮穿了,露出了脚。一般电影或电视剧中的穿帮是指在制作中产生的小错误。在互联网时代的今天,穿帮的照片更是随处
发布时间:2017-09-30 01:05 | 阅读:115768 | 评论:0 | 标签:安全意识 保护个人隐私 摄像安全 照片安全

从来不装反病毒软件 这人是疯了还是睿智?

本文作者竟然好几年不装杀毒软件,他为自己无视所有安全专家建议的行为付出代价了吗?多年来,我一直是家里随叫随到的技术人员,我的“修理”工作大多涉及清理恶意软件蔓延。你或许知道都有些什么类型:被劫持的浏览器、猖獗的弹出框、严重受损的计算机性能。就在前几天,我从老爸的笔记本电脑里清除了一个浏览器“劫匪”。讽刺的是,他们的计算机上通常都运行有某种安全软件,迈克菲、诺顿之类的。老爸电脑上装的是专供康卡斯特客户的诺顿免费版。但在抱怨了人为错误之后,我遇到了那个必然的问题:“好吧,你用哪款安全软件?”我的答案是:一款都没用。我在玩火吗?或许可以说我疯了吧。
发布时间:2017-09-16 03:35 | 阅读:140542 | 评论:0 | 标签:牛闻牛评 win10 反病毒软件 安全工具 安全意识

【安全意识】移动安全日常那些事儿

阅读: 25近年来移动网络快速发展,各种移动应用如雨后春笋般纷纷出现,但是随之而来的安全问题也逐渐凸显出来。本文从科普知识的角度对相关安全风险进行介绍。文章目录前言安全事件案例:调试接口泄露用户敏感信息如何才能提高移动终端的安全水平结束语前言据某咨询公司《2015年中国手机APP市场研究》显示,截止2015Q2,中国手机网民规模达到6.57亿人,智能手机用户规模为6.01亿人。庞大的用户基础推动了中国手机APP的快速发展。APP承载了各种便捷的移动服务,逐渐成为人们日常生活的一部分。移动应用用户增量主要来自PC端用户的迁移,随着移动应用使用习惯的培养将进一步推动移动应用用户规模的增长。
发布时间:2017-09-11 16:30 | 阅读:138115 | 评论:0 | 标签:安全意识 移动

【安全意识】手机木马病毒浅谈

阅读: 25手机木马病毒的种类、攻击方式和安全建议。文章目录手机木马病毒安全事件攻击方式攻击目标安全建议手机木马病毒安全事件3月30日消息,据央视新闻报道,仅仅是点开了一条短信里的链接,居民卡里的钱就被盗走了,这样的木马病毒实在可怕,警方调查发现,近半年时间,全国有近10万部手机被感染。通过分析木马病毒,警方发现,用户一旦点开短信中的链接,手机马上就会中毒,这个病毒会将手机收到的信息,包括验证码等所有内容,进行转移;如果手机的防御系统较差,病毒还会将信息进行拦截,这样的话,用户连自己被盗刷的短信提示也收不到了。
发布时间:2017-09-11 16:30 | 阅读:143819 | 评论:0 | 标签:安全意识

供应链安全五大关键数字风险的思考

供应链正迈向自动化与集成。比如说,云计算、机器人技术和人工智能在提高生产力与改善客户服务方面的应用。事实上,最近几年,物流运输业一直在开发无人机和仓储机器人,Uber也致力于打造自治汽车。这在上个世纪是连想都想象不出的技术大发展。但是,尽管物联网(IoT)携诸多优势渗透我们的日常生活,但也给我们的供应链系统带来了网络攻击和其他漏洞利用的威胁。随着公司企业和研究人员对端到端供应链的普及宣传,供应链也逐渐成为网络攻击的一大重点目标。这种模型推动了供应链各层级之间通过数字方式的广泛信息共享与分发。
发布时间:2017-07-13 17:05 | 阅读:227051 | 评论:0 | 标签:术有专攻 供应链安全 勒索软件 安全意识 安全漏洞

金融行业威胁深入分析与防护

阅读: 7金融行业由于其行业的特殊性,一旦遭到网络攻击,后果和影响都不堪设想。这篇文章中,我们将结合赛门铁克发布的2017金融行业安全威胁白皮书,深入分析金融行业所面临的威胁与防护措施。

最好看的网络安全法宣传教育资料在此!

中华人民共和国网络安全法》的颁布实施,是我国网络空间法治建设的重要里程碑事件。作为我国第一部网络安全的基础性法律,网络安全法的宣贯工作也将是今后一段时间安全工作的重点。为响应中央网信办深入学习、大力宣传《中华人民共和国网络安全法》的号召,安全牛特推出《网络安全法》主题宣传教育包帮助客户线上、线下全方位做好《网络安全法》的普及宣传工作。
发布时间:2017-07-11 14:20 | 阅读:489755 | 评论:0 | 标签:技术产品 安全意识 宣传教育 网络安全法

调查︱英美20%的网民仍然对钓鱼或勒索软件一无所知

近日,勒索、钓鱼等攻击充斥各大报端。人们理所当然地认为这种热议可以提高网民的安全意识、改善网民的安全行为。为了测试这一理论,Wombat Security在2017年5月初调查了超过2000名在职人员(一半来自美国,一半来自英国),内容是数字安全和自我保护行为。研究结果表明,要实现网民对最基本的数字安全风险有所认知,我们的路还很长。以下是Wombat Security首次网民风险报告的主要发现。1. 缺少对钓鱼和勒索的了解英国和美国的受访者对网络钓鱼有着同等的认识水平。70%的受访者可以准确地描述网络钓鱼的威胁,但仍有30%的受访者不知道钓鱼。其中13%的受访者完全不能想象钓鱼意味着什么。
发布时间:2017-07-10 21:25 | 阅读:149658 | 评论:0 | 标签:行业动态 勒索软件 安全培训 安全意识 钓鱼

Petya和NotPetya的关键技术性区别

阅读: 1有关Petya和NotPetya的文章这段时间已经铺天盖地了。大家都知道Petya和NotPetya是利用了永恒之蓝的漏洞,修改用户主引导记录(MBR),从而实现文件的加密。可是它们之间的具体区别是什么呢?本篇文章着重从技术角度分析了Petya和NotPetya的关键不同点。文章目录区别点1:XOR key区别点2:Mini-Kernel的责任区别点3:重启风格区别点4:骷髅显示区别点5:勒索信息区别点1:XOR keyPetya和NotPetya都是读取MBR并用一个简单的XOR key对其进行加密。
发布时间:2017-07-10 16:00 | 阅读:170088 | 评论:0 | 标签:安全分享 安全意识 技术前沿 MBR勒索病毒 NotPetya Petya Petya 技术分析 勒索病毒 永恒之蓝

网络安全法解读及安全建设交流

阅读: 136网络安全法的颁布实施对企业而言从遵从性的角度看是一个前所未有的压力和挑战;从改善内部网络安全治理,更好维护和保障业务运行的角度看则是一个有力的政策抓手和发展契机。

为个人信息加把“锁”

阅读: 2人们在享受智能生活的同时不应忽视潜在的信息泄露风险。6月1日,《中华人民共和国网络安全法》(以下简称《网络安全法》)正式施行。这是我国首部网络安全法,保护个人信息是其重要内容。近年来,我国个人信息泄露事件频发,窃取个人隐私手段不断翻新,移动互联网以及物联网的快速发展又给网络安全带来新的隐患——《网络安全法》值得你我共同关注。文章目录窃取手段五花八门点开老同学聚会照片链接,银行账号却被盗新技术成为双刃剑剑指信息保护痛点窃取手段五花八门点开老同学聚会照片链接,银行账号却被盗“老同学聚会拍的照片你自己看吧,哈哈,大家没怎么变呢。

网络安全法解读(金融行业)

阅读: 78《中华人民共和国网络安全法》(以下简称《网络安全法》)即将在2017年6月1日正式实施,这样一部法律究竟对金融行业而言即将产生什么影响,本文将在下面给予分析和介绍:文章目录《网络安全法》的国际和国内背景《网络安全法》的定位及管辖范围《网络安全法》的主要指导方向和主要内容《网络安全法》对金融行业的影响结束语《网络安全法》的国际和国内背景从国际上来,大国之间的大规模的军事冲突随着现代战争费用的暴涨,某些国家实力的衰弱以及可能导致的地区和国际震荡而变得不太可能。因此大国间的对抗与冲突转向于网络攻击与对抗。

银行业金融机构信息科技外包管理体系建设及落地经验分享(中)

阅读: 594月份的安全月刊中刊登了《银行业金融机构信息科技外包管理体系建设及落地经验分享》(上),我们谈到针对信息科技外包管理组织架构建设,整体结构在符合监管要求的前提下,尽量贴合金融机构自身的组织现状及岗位设置,方能促使信息科技外包管理职能更有效的执行和落地;本期我们将继续探讨金融机构信息科技外包战略建设、风险管理以及生命周期管理方面的建设思路和落地建议。

绿盟科技解读《网络安全法》 考验安全厂商真本领

阅读: 23国产安全厂商绿盟科技在接受赛迪网采访时表示,《网络安全法》的亮点在于明确了国家网络安全监管架构、网络运营者的责任义务、个人数据保护、等级保护和关键信息基础设施保障的关系、违法行为的法律责任和罚则等内容,为网络运营者有效履行安全保障责任,监管机构有效履行监管职责、执法机关对违法行为进行处罚提供了明确的法律依据。6月1日,《中华人民共和国网络安全法》(下文简称《网络安全法》)正式实施。作为我国第一部关于网络安全的综合性法律,对于企业、个人和机构的身份和行为都作出了新的法律概念和规定,他们将对在中国境内建设、运营、维护和使用网络产生深远的影响。

《非银机构信息科技指导意见》解读(下)

阅读: 108之前我们对《指导意见》中的开发安全管控、安全意识教育两部分内容进行了解读,本期将继续对剩余的安全技术保障体系建设、网络区域划分和隔离、安全漏洞管理、上线安全检测、数据安全管控、应急预案和应急演练等部分内容进行解读。《指导意见》第五章节中提出“……加强安全技术保障体系建设,采取有效的防病毒、防攻击、防篡改、防泄密、防抵赖等措施,提高系统抵御内外部攻击破坏的能力。

内部人员威胁的分析和防护措施

阅读: 112安全界从来不缺话题,当人们谈论着最新的strusts2漏洞、方程式漏洞、DDOS攻击、勒索软件的时候,人们似乎有意无意的更为关注来自外部的攻击。的确,由于外部攻击的种类繁多,攻击更为频繁和持续,因此获得更多的关注并不奇怪。而内部威胁所引发的安全事件,从企业管理的角度上看,这类安全事故的公布和曝光无疑会为企业和高管/主管们带来业务和声誉的双重损失,因此通用的做法是除了必要的监管上报外尽量低调处理。但作为安全人员,从业伊始就已被灌输安全的威胁既来自外部也来自内部。因此安全人员在关注外部威胁的同时也应该关注来自组织内部人员的内部威胁。

ADS

标签云