记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

2017年证券行业网络安全报告

概述报告介绍证券行业是我国金融领域重点行业之—,自中国证券市场起步以来,信息与通信技术就在证券业得到了广泛应用。但随着网络技术的深入发展和应用,证券公司计算机网络日趋复杂,网络安全问题日益突出。“安全值”利用大数据的方法,从互联网的角度重点分析了该行业的97家券商的网络安全状况。本报告参考了证监会发布的“2017年证券公司分类结果”,以证券公司风险管理能力为基础,结合公司市场竞争力和合规管理水平,分析了各等级券商发生的安全问题的特点。报告将国内的证券公司分为8个等级,分别是:AA、A、BBB、BB、B、CCC、CC、C。同时,报告还分析了证券行业互联网资产情况,包括注册的域名、线上的主机、IP网络,以及公有云迁移的情况。云技术的应用在优化了IT资源的同时,也使网络威胁发生变化,云化系统成为了—个新的风险点。报告
发布时间:2018-01-23 14:35 | 阅读:153447 | 评论:0 | 标签:行业动态 券商 安全值 安全评估 网络安全

第三方风险管理的三个“秘密”

我们应该认识到第三方是数据泄露的主要途径之一。德勤在2017年的一份研究报告指出有20.6%的受访者经历了因第三方导致客户敏感数据的泄露。Ponemon Institute在去年5月的调查报告显示75%的IT和安全人员认为,从第三方泄露的风险正在持续增长,并且是非常严重的。另一方面,Soha System的第三方咨询团队完成了一次调研,针对219个负责企业IT和安全管理人员、董事、高管做了一次调查,受访者代表22个行业类别,35%的组织中有超过10,000名雇员,全部是匿名回复的。调查发现,尽管企业数字化生态中的合作伙伴越来越多,网络安全威胁也越来越高,但只有不到2%的调查对象表示高度关注第三方接入与合作带来的安全问题。下面我们来具体看一看,有哪些第三方风险的问题常被企业误读。1. 对第三方风险的管理不是IT优
发布时间:2017-10-30 03:45 | 阅读:98973 | 评论:0 | 标签:术有专攻 安全值 安全评估 第三方 风险管理

API安全评估,你需要这样一份核查清单

本清单不仅适用于安全评估人员,也适用于API设计、测试和发布过程中的相关人员参考。 认证 不要使用basic Auth(基本身份认证),使用standard auth(标准身份认证),比如JWT,OAuth; 在身份认证、令牌生成、密码存储方面,不要重造轮子,使用标准的规范和方式; JWT (JSON Web Token) 使用随机的、复杂的密钥(JWT Secret)以抵抗对令牌的暴力破解攻击; 不要从JWT的Payload部分提取算法信息,确保算法在后台(HS256 或 RS256); 限制Token的过期时间(TTL, RTTL),越短越好; 不要在JWT的Payload部分存储敏感信息,它很容易被解码(使用了base64编码); 尽可能的使用HTTPS; OAuth 始终验证服务器端redi
发布时间:2017-07-11 07:35 | 阅读:108658 | 评论:0 | 标签:技术控 API OAuth 安全评估

调查|工控系统亟需安全评估

位于美国马里兰州贝塞斯达市的信息安全与网络安全培训公司SANS研究所,新近发布了一份调查报告,指出:今年,认为工控系统(ICS)受威胁程度是中度到重度的受访者占比67%,比去年的43%有了大幅上升。ICS的安全经理正越来越关注安全问题,担心业内信息共享不足。该报告作者之一,SANS研究所ICS全球项目负责人德雷克·哈普称,不断恶化的问题催生了这种趋势,越来越多的事件被报道,公司高层越来越关注自身暴露面。事实上,根据博思艾伦咨询公司上周发布的一份报告,2014到2015年,报告给美国官方的安全事件数量上涨了20%。尤其是鱼叉式钓鱼攻击,飙升160%。该攻击形式是大型攻击行动的初始攻击方法,2015年最大攻击行动之一“秘狼行动”( Operation Clandestine Wolf ),以及针对德国钢铁厂和乌克兰
发布时间:2016-07-05 18:30 | 阅读:94672 | 评论:0 | 标签:行业动态 安全评估 工控安全 钓鱼攻击

Umap2:开源USB host安全评估工具

Umap2是一款由NCC Group和Cisco SAS小组开发的、基于python的USB host安全评估工具。它拥有第一版所支持的所有功能:umap2emulate:USB设备枚举umap2scan:用于设备支持的USBhost扫描umap2detect:USBhost操作系统检测(尚未实现)umap2fuzz:USB host fuzzing另外,该版本中添加了额外的功能:USBhost fuzzing使用kitty作为fuzzing引擎Umap2中不仅包含可执行的脚本,而且作为程序包进行安装,也可用于库注意:Umap2目前仍然是一款处于alpha阶段的工具。API、可执行文件名都有可能会更改。安装Umap2是一个比较早期的版本,因此还不能通过pypi安装。目前是使用pip进行安装
发布时间:2016-06-27 04:00 | 阅读:106402 | 评论:0 | 标签:工具 Umap2 USB 安全评估

2016美国总统大选网站安全评估 希拉里最差

随着2016美国总统初选季的展开,各党派参选人纷纷加入用网站笼络选民的大军。虽然所有参选人都有自己的网站,那么若从安全角度出发,谁的竞选站点是最安全的呢?安全评估公司SecurityScorecard最近对特朗普、克鲁兹、克林顿、桑德斯和卡西奇的竞选网站做了分析对比。研究结果表明:共和党领跑者唐纳德·特朗普的网站在安全性方面傲视群雄,民主党领跑人希拉里·克林顿还需要做很多工作才能赶得上。(小编注:希拉里的安全意识的确很差,比如去年让她陷入麻烦的公用邮箱私用)SecurityScorecard专业提供对各类组织的安全评估服务,采用多种对外属性进行衡量。今年2月,该公司抛出了一项第三方供应商安全状况评估的新业务。很多组织面临的风险,其实通常不局限在他们自己的基础设施中,而是存在于第三方供应商引入的共享组件中。该公司
发布时间:2016-04-06 20:05 | 阅读:85826 | 评论:0 | 标签:牛闻牛评 安全评估 总统大选 竞选网站

准确评估企业信息安全能力的三大量化指标

今天,企业的首席信息安全官们面临最大的安全挑战不是如何防范和预测攻击,而是如何有效应对攻击,因为已经有无数次案例证明,今天的信息安全是一场不对等的战争,信息安全攻击手段和技术的发展远超企业信息安全防御能力,大多数企业的安全管理都无法跟上网络犯罪的脚步。因此,企业在遭受攻击后的事件响应能力和恢复能力才是当下企业最核心的信息安全能力,而量化精准评估一家企业信息安全能力的关键指标也正发生变化。近日网络安全公司Raytheon Cyber Products的产品总监Ashok Sankar撰文指出,过去评估企业信息安全的量化指标例如攻击数量的减少等并不能反映一个企业的真实信息安全能力,Sankar认为“平均响应时间”、“修复时间”和“攻击者驻留时间”才是检验企业信息安全能力的三大核心量化评估指标。 一、平均反应时间。所
发布时间:2015-05-27 09:15 | 阅读:88647 | 评论:0 | 标签:动态 信息安全方法 信息安全管理 信息安全评估 安全审计 安全评估

漏洞扫描器Nessus 5.2新版发布

新版的Nessus漏洞扫描器发布啦!这是一次大更新,直接从5.0.3至5.2.0。同时,这次升级包括了一系列新特性和改进。新特性 IPv6 全平台支持 (包括Windows)支持Windows 8 和Windows 2012扫描结果报告中新增附件Mac OS X 特性发布Nessus RPM包减少系统消耗更快更可靠的web扫描接口不再需要访问Tenable官网获取激活码!下载地址
发布时间:2013-04-25 12:45 | 阅读:92148 | 评论:0 | 标签:工具 Nessus 5.2 安全评估 漏洞扫描 扫描 漏洞

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云