记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

微软将修改 HOSTS 屏蔽 Win10 遥测数据视作一个严重的安全风险

作为完善 Windows 10 开发的一个重要组成部分,微软希望联网用户允许其上传部分遥测用的系统数据。通常情况下,它会包括 CPU、内存等硬件的基础配置信息,并在传输过程中予以完全的加密。基于分析,微软得以确定系统的安全性和可靠性问题,从而为后续的修复奠定基础。 尽管微软不允许用户彻底禁用遥测收集,但你始终可以清理被 Windows 收集的相关诊断数据。 矛盾的是,虽然遥测被视作 Windows 10 开发所必须、且其它企业也在利用相同的方案来改进其软件,但一些批评人士仍将其视作微软的一项“间谍”行为。
发布时间:2020-09-08 15:54 | 阅读:8288 | 评论:0 | 标签:今日推送 安全快讯 安全风险 微软 安全

API的安全危机

安全牛点评:互联网商业创新和传统企业数字化转型都离不开API经济或API战略,可以说,API就是传统行业价值链全面数字化的关键环节,API连接的已经不仅仅是系统和数据,还有企业内部职能部门、客户和合作伙伴,甚至整个商业生态(行业和市场)。但是API面临的安全威胁,却很容易被决策者忽视或轻视。本文介绍了API面临的安全威胁,以及相关软件开发、运营和保护解决方案。API为软件和开发社区带来许多便利和好处,例如文档完备、可公开获取、标准化、无处不在、高效且易于使用等。现在,攻击者正利用API来实施自动化的“高效攻击”,从Web应用程序到云计算服务都是目标。
发布时间:2020-06-10 20:34 | 阅读:17703 | 评论:0 | 标签:牛闻牛评 首页动态 API 安全风险 数字化

2017 OWASP十大关键Web应用安全风险简析

前不久,安全牛报道了2017 OWASP的十大安全问题最终版,下面这篇文章则对十大安全风险做了简单分析。2017 OWASP十大关键Web应用安全风险简析受越来越短的软件项目生命周期影响,有些应用面临损及金融、医疗、零售业和其他行业数字安全的风险。开发人员和经理必须了解这些最常见的风险,才能保护自己的应用。为此,开放网页应用安全计划(OWASP)定期发布十大最关键Web应用安全风险。该计划从专精应用安全的公司企业收集40多份数据,数据涵盖数百家公司处收集的漏洞信息,涉及10万个应用和API。OWASP根据可利用性、普遍性、可检测性和技术影响程度,给每种风险打分。这些风险是随时在变的。
发布时间:2017-12-30 23:00 | 阅读:207993 | 评论:0 | 标签:行业动态 OWASP Web应用安全 安全风险

令大多数人吃惊的5个计算机安全事实

以下5个事实,是很多计算机安全风险和漏洞利用背后的根源。如果你现在能很好地理解它们,未来你就能领先同行一步。事实1. 每家公司都被黑了每当最新大型数据泄露事件曝出,人们可能会觉得,涉事公司肯定是在计算机安全方面做得不好。下一次重大黑客事件发生,造成数百万客户记录被盗或上千万美元损失时,你应该想的是,“每家公司都被黑了。这不过是媒体当前正在热炒的一起而已。”每家公司都被某恶意黑客完全掌握,或很容易被黑客掌控。事实就是如此。当然,完全没有互联网,且硬盘每天收工时得放入保险箱的绝密军事设施除外。这里说的只是普通企业或小公司。
发布时间:2017-12-14 01:35 | 阅读:153628 | 评论:0 | 标签:牛闻牛评 入侵 安全事实 安全威胁 安全风险 恶意软件

Equifax黑客事件的经验教训:供应链合作伙伴太重要了!

1.45亿客户记录被泄之后,Equifax股票暴跌30%,相当于蒸发掉50亿美元市值。Equifax黑客事件位列史上罕见大型数据泄露事件之一,被盗记录中包含社会安全号和驾照信息。而且,相比随之而来的事件余波,目前的市值蒸发可能还仅仅是沧海一粟。不仅仅是Equifax被黑,其供应商也面临被黑风险,可能暴露上百万更多客户信息。比如说,Visa和MasterCard最近就向各大银行发出警报,提醒他们约20万张信用卡可能也被黑了。实际上,今年8月,信用卡诈骗迎来了一轮暴增,同比增长了15%。2013年塔吉特百货因第三方供应商漏洞导致数据泄露之后,也出现了类似的身份盗窃猖獗期。
发布时间:2017-10-23 19:25 | 阅读:136649 | 评论:0 | 标签:牛闻牛评 Equifax 供应链安全 信用卡 安全风险

UEBA能够检测的七大类安全风险

用户和实体行为分析(UEBA)技术,是网络安全工具市场新成员,旨在提供防火墙和入侵预防系统(IPS)等传统网络安全工具所不具备的功能。有了UEBA,公司企业不仅仅能从网络流量和反恶意软件扫描获悉入侵指标(IoC),还能深入理解用户行为。UEBA系统可识别不同类型的异常用户行为,这些异常用户行为可被视作威胁及入侵指标。下面是UEBA技术可帮检测到的7类安全风险。1. 缓慢少量攻击坏人、外部人和内部人都知道,传统安全工具基于基本阈值起效。他们清楚,只要做同样的事情超过“X”次,就会触发警报。于是,他们降低攻击速度和规模,以便保持低调,避免被侦测到。
发布时间:2017-10-23 02:30 | 阅读:205327 | 评论:0 | 标签:术有专攻 UEBA 安全风险 异常行为检测

中国医疗健康行业网络安全分析报告

综述近年来,随着互联网、大数据、云计算技术的快速发展,国内越来越多的医院基本完成了基于信息化的医疗整体解决方案。2014年国家卫生计生委在卫生信息技术交流大会上首次将医疗数据资源整合提升为国家战略规划及“46312”工程,将数据共享、平台互联、国家级三大数据库的建设作为智慧医疗转变的第一步。随着医疗改革、分级诊疗、药品改革等等一系列的政策落实,医疗信息化的目标不仅涵盖医疗卫生机构的管理系统信息化、业务功能系统信息化、区域医疗信息化、以及远程医疗、云医院、移动医疗、医疗大数据挖掘等,而且一系列的新型模式如:远程医疗、云医院、移动医疗等已呈现星星之火可以燎原态势。
发布时间:2017-10-22 09:30 | 阅读:356931 | 评论:0 | 标签:行业动态 三甲医院 互联网医疗 医疗云 医疗健康 安全风险 网络安全

在Docker上部署容器时应考虑的安全风险

Docker——被称为容器的操作系统级虚拟化实例平台,已成为超级流行的基础设施技术。灵活的容器化,完全改变了我们大规模部署和维护应用的方式,其中大企业市场是关键驱动因素。4月底,Docker首席执行官本·格鲁布在DockerCon大会上发言,分析用户体验和经验教训,庆祝该平台巨大的成功。如今,所有容器开发中有1/3都在生产环境中完成,大多以成百上千台主机上线的形式呈现。事实上,涉及容器化,大公司往往身先士卒;云监视公司Datadog发现,过去1年里Docker采用率上升了40%。今天不断变化的技术格局里,除了积极面与成长势头,我们不能忘记的一个核心重点是:信息安全。
发布时间:2017-07-18 15:30 | 阅读:141582 | 评论:0 | 标签:术有专攻 Docker 安全风险 容器

飞机、火车、汽车……数字化巨变带来的交通安全问题

提到技术创新对交通方式的改变,大部分人可能立刻会想到自动驾驶汽车。其实,整个交通运输业都在经受数字化大潮的洗礼。 DHL公司的卓越品质长期受到相关行业的认可.最近DHL为员工配置了使用增强现实技术的头戴式显示器,这可以简化员工的选择过程,从而在保持发货的准确性的同时提高工作效率。 德黑兰国际机场有限公司(DIAL)则使用数字技术来进一步了解旅客的喜好,机场商铺根据游客的需求在合适的时间提供相应的产品和服务。 Komatsu公司在建筑及采矿车辆上安装传感器来搜集有价值的全球经济数据,这些数据被用于预测和计划未来的需求模式。
发布时间:2017-03-27 18:50 | 阅读:130229 | 评论:0 | 标签:术有专攻 交通安全 安全风险 数字化

你的企业真的安全吗?经常被忽视的6个安全风险

企业总在为业务安全奔波劳碌。但是,你确保你的安全措施足以保护公司、客户和员工吗?安全领域从没有“足够安全”这个说法。 技术的发展永不停息,相应的,企业面临的安全威胁也在不断变迁。这就造就了一种局势:某些安全公司总试图指出企业的安全措施缺陷,并哄骗企业去购买那些可能永远用不上的服务。这导致许多公司忽视了一些更明显的安全风险。 以下是一些显而易见却往往被忽视的网络安全风险。 1. 心怀不满的员工 如果你的员工(或前员工)觉得待遇不公,他们很可能会寻求报复。这会为公司带来极大的安全风险。如果该员工拥有管理员访问权限或者是内部IT团队的成员,这将酿成灾难。
发布时间:2017-03-27 18:50 | 阅读:125051 | 评论:0 | 标签:术有专攻 BYOD 企业安全 安全风险

一名优秀的安全主管需要“见人说人话,见鬼说鬼话”

想要沟通,就需要用听众听得懂的语言说话。 关于CISO角色,如何清晰地向上沟通(对高管和董事会),向下交流(公司安全部门人员),平级互通(其他主要利益相关者),是其长期职业生涯中的一个重要工作。 经常旅游的人就知道,总会有那么一些场景需要用当地语言交流。如果学过多国语言,那在很多国家都可以在较高层次上跟上对话。若丝毫不通当地语言,即便对话题知之甚深,在交流中也只能干瞪眼。 作为安全主管,从上述旅游经验中就可学到重要一课:要用交流对象的语言来说话。风险、报告、度量,是信息安全领域3大主要话题,对不同受众具有完全不同的意义。我们可以从不同受众围绕各个话题所用的语言,来阐述这一点。
发布时间:2017-03-13 18:10 | 阅读:165111 | 评论:0 | 标签:术有专攻 CISO 安全主管 安全风险

调查|零日漏洞风险的现状与趋势

零日漏洞一直让安全从业者头疼。阴魂不散的零日问题的根源之一,是开源代码的不断扩散。这也是很多人想要知道零日漏洞当前趋势,以及缓解开源代码风险最佳实践的原因所在。 网络安全风投公司最近发布了一份新的《零日漏洞报告》,为CISO和IT安全团队提供零日漏洞趋势、统计数据、最佳实践和资源。 该报告凸显了一些预警性统计数据,包括: 应用攻击界面每年增加1110亿行软件代码 任务关键App中的开源代码将占99% 麦克·卡顿,Digital Defense 研发副总裁,称:“从安全角度看,开源代码的大量使用是有问题的。越来越多的公司不断投入开源代码怀抱,作为削减营销周期,尽快将产品推向市场的一种手段。
发布时间:2017-02-07 00:15 | 阅读:140937 | 评论:0 | 标签:术有专攻 安全风险 开源代码 零日漏洞 漏洞

大道至简 安全工作是一场马拉松

简单,常被认为是考虑不完全,或对概念想法的部分理解。但事实上,真相正好相反,简单中蕴含有某种程度的优雅。对概念或想法的简单解决方案、分类,或者呈现,需要对该概念或想法有准确而全面的掌握,这一点往往是大多数人都欠缺的。 或者,我们换种说法,过分复杂化是很容易出现的一种行为。加入过某种委员会或列席过某些会议的人太清楚了。简单,是人生中很难达到的境界。 虽然简单很好,过于简单却也会造成麻烦。在太复杂和太简单之间有微妙的平衡,很多问题的优雅解就存在其间。然而,不幸的是,我们大多数人想要准确落在其间通常不太容易。安全问题也不例外,同样受这条规则约束。
发布时间:2017-02-07 00:15 | 阅读:123060 | 评论:0 | 标签:术有专攻 安全工作 安全风险 马拉松

为什么所有开发人员都需要具备网络安全技术?

除了拥有专家团队,提高全部开发人员的实用安全技术同样重要。 一份最近的研究表明:到2019年,全世界对网络安全专业人才的需求,将导致超过100万个网络安全职位亟待填充;其中需求最甚的,是安全软件开发。毫无意外,公司企业正经历越来越严峻的安全人才荒,打造可靠服务和保持自家用户数据安全所需人才缺口正在扩大。 补足人才缺口和创建更安全产品的一个途径,就是培训和聘用更多的网络安全专业工程师。但是,除了钉在专门网络安全团队里的那些,让公司里所有开发人员的密码学和安全技术都得到提高,也同样重要。
发布时间:2017-02-03 13:20 | 阅读:246594 | 评论:0 | 标签:术有专攻 加密 安全人才 安全开发 安全风险

越过网络层看威胁:为什么全攻击界面才是最重要的

随着新技术融入企业环境,安全实践者必须更全面整体地看待企业风险管理。 几十年来,企业都将自身安全工作重点放在网络边界防御,以及保护服务器、计算机和网络设备方面。然而,在互联世界,“硬件定义的”方法不再具有意义。随着企业转向软件定义的网络,他们需要越过网络层来防护不断扩张的攻击界面并考虑:无边界攻击界面是怎样让今天的企业安全模型失效的?企业可以采取哪些措施来跟上不断进化的威胁? 在网络安全上,企业面对的是难以攻克的高地,因为他们需要保护的攻击界面已经扩张了很多,且还在进一步膨胀中。
发布时间:2017-01-11 18:05 | 阅读:112290 | 评论:0 | 标签:牛闻牛评 安全风险 容器 微服务 物联网安全

一名合格的威胁情报专家什么样?

新年新气象,有新策略要实现,新预算要平衡,新威胁要防止。过去1年中,更多公司对威胁情报的理解更加深入,逐渐转向开始从优良情报获益的计划和实现过程。 计划往公司安全和风险项目中添加威胁情报的第一步,真心应该紧紧围绕以下几个关键问题展开: 我们想要的情报目标是什么? 情报应服务的主要利益相关者是谁? 我们最想要保护的资产和信息是什么? 情报应该影响的决策和结果是什么? 结果该怎样衡量? 我们已经在收集内部情报了吗? 是外包情报运营,还是内部运营,或者来个混搭? 无论你的网络威胁情报计划和过程是什么,它都应该驱动更快更智能的决策来最小化风险暴露。
发布时间:2016-12-22 11:20 | 阅读:161693 | 评论:0 | 标签:术有专攻 威胁情报 安全风险

雅虎之殇:不可预见的风险带来无法预料的影响

雅虎在各市场当老大已经很长时间了,但2016年9月,它又摘得一项新“桂冠”:人类历史上最大型的公开数据泄露。 数量非常庞大,对所有类型的公司企业有着地壳板块迁移一般的潜在影响: 5亿+账户受影响 8亿美元威瑞森收购案被搁置 从雅虎开始检测到公开披露数据泄露花了2年 几乎翻倍了2016年已经创历史记录的公开承认数据泄露记录条数——540亿条 怎么发生的? 雅虎是网络安全5大致命因素(Five Killer C:Culture、Complexity、Conflict of Interest、Cash、Complacency:文化、复杂性、利益冲突、资金、自满)的绝佳案例。
发布时间:2016-10-19 22:05 | 阅读:120152 | 评论:0 | 标签:牛闻牛评 安全风险 数据泄露 雅虎

你是否还未关注第三方访问导致的安全风险?

2016年5月,Soha第三方咨询小组对200多名企业IT和安全高管、董事、经理进行了调查,意图找出由于第三方访问而导致的IT风险和日常挑战。结果表明,98%的受访者不认为第三方访问是IT项目和预算分配的第一要务。 绝大多数受访者承认,提供第三方访问是个复杂而又繁琐的过程。为应用开辟安全第三方访问通道的复杂程度,直接导致IT部门平均要处理4.6个设备,比如VPN、防火墙、目录等等。从安全角度看,这已经构成了问题。有研究揭示,63%的数据泄露是由第三方造成,或与第三方有关。第三方厂商应该仅仅对支持业务必需的应用拥有访问权,再多就不能给了。
发布时间:2016-09-19 04:20 | 阅读:125483 | 评论:0 | 标签:术有专攻 安全风险 第三方访问

为什么首席信息安全官需要自己的驾驶舱

航空发展早期,飞行员穿着家常衣服就开着飞机上天了,可用的仪表和导航帮助少得可怜。引擎问题只能从冒烟情况来判断,飞行速度是靠飞行员头发被风吹动的程度来感知,导航基本靠使用星星和太阳的航位推测法。随着飞机越来越复杂高端。今天,飞行员们手上有了“玻璃面板”和GPS,一板可知飞行所需的所有信息,还有几乎可让飞机自行飞行的自动驾驶系统。 就像飞行员肩负最小化风险、保障乘客和飞机安全的终极多任务处理挑战一样,首席信息安全官(CISO)也需要同时关注许多仪表和工具以最小化企业的网络风险,保护最贵重的应用程序和数据。CISO手无寸铁就起航的日子已经远去。
发布时间:2016-09-07 22:40 | 阅读:94953 | 评论:0 | 标签:术有专攻 安全风险 首席信息安全官

重庆潮讯信息技术招聘网络安全工程师

重庆潮讯信息技术有限公司招聘  网络安全工程师 渗透方向 岗位职责: 1、根据项目需要,实施经过合法授权的主机、网络和Web安全渗透测试; 2、提供网络安全攻防技术培训演练及应急响应工作。 3、对互联网领域的重大安全事件进行跟踪、分析; 4、对安全领域的新技术、新方法进行研究。
发布时间:2016-04-06 04:10 | 阅读:351427 | 评论:0 | 标签:招聘 APPscan Blackhold csrf IDS Inspect ips metasploit Nmap OW

这家公司模拟攻击受害者 以寻找安全风险

攻击者使用多种工具和技术入侵某机构。一家名为SafeBreach的安全公司尝试使用自动化技术确定安全风险。要想了解企业是否存在安全风险,一个可行的方法是尝试入侵它。这正是SafeBreach的目标, 该公司近日刚刚发布了其多功能安全平台。SafeBreach公司CEO兼联合创始人盖伊·本杰拉诺(Guy Bejerano)对媒体表示:SafeBreach的重大意义在于,让机构认识到不需要只是坐等入侵事件发生。本杰拉诺将SafeBreach平台上运行的程序称为“黑客剧本”。它是关于黑客的进攻性知识。黑客剧本包括各种技术和行动。比如:试图窃取信用卡数据、激活恶意软件、暴力破解密码。
发布时间:2016-02-02 23:00 | 阅读:122390 | 评论:0 | 标签:牛闻牛评 安全公司 安全风险 钓鱼邮件

首席执行官至少应该懂得这几招

前不久,美国中央情报局局长约翰·布伦南和国土安全部部长约翰逊的个人电子邮件地址居然被一个十几岁的小孩子给黑了。这种事情不是第一次,当然也不会是最后一次。在信息安全事件越来越稀松平常的今天,连对入侵技术知之甚少的业余“黑客”都参与进来,“应对网络安全威胁”也变得任重而道远。在上述事件中,布伦南和约翰逊的个人电子邮件帐户就是通过非常简单的手段进行攻破的。该少年假扮成个人信息被泄露的受害者,并使用这些信息请求邮件服务提供商重置密码,从而获得这些电子邮件账户的无限制访问权限。
发布时间:2016-01-04 19:50 | 阅读:112490 | 评论:0 | 标签:术有专攻 牛观点 安全意识 安全框架 安全风险

如何直观地让董事会感知安全风险

我们知道公司面临网络安全风险,实际上董事会也知道。他们清楚网络安全是个商业问题,也知道自己应该关注这一问题对业务意味着什么。但是,董事会往往对自己可以做点什么没有一个具体的概念。一个不错的建议就是,将某安全事件,如数据泄露与董事会熟悉事情联系起来,然后再落到重要的安全控制上去。这一方法能使你的董事会对情况多些了解,也能增加你安全策略的可信度。以下是使用这一方法的3个例子:1. 网络划分、身份验证以及访问控制内线消息:第三方厂商的安全凭证被盗,且被用作突破某大型全球零售商网络的轴心点。攻击者利用这一最初的数据泄露获取到了该零售商销售终端生态系统的访问权。
发布时间:2015-12-03 05:40 | 阅读:100050 | 评论:0 | 标签:术有专攻 牛观点 《信息安全研究》 安全意识 安全风险

一个完整和全面的云服务器安全方案是什么样子的?

安全的改变随着云计算技术的普及,越来越多的企业将其系统向云端迁移,云计算便捷、可靠和廉价的特性被广大用户接受。从另一方面来说,尽管距离商业化公有云业务的推出已经超过10年,根据CSA(Cloud Security Alliance,云安全联盟)在今年年初发布的《Cloud Adoption, Practices and Priorities Survey Report》调研报告,73%的受访对象表示安全仍旧是企业上云的首要顾虑。对于很多企业用户来来说,由于云服务器替代传统服务器承载了与企业生存发展息息相关的互联网业务,使得用户对云安全的疑问很大程度上聚焦在云服务器的安全上。
发布时间:2015-08-24 16:10 | 阅读:124911 | 评论:0 | 标签:牛观点 云服务器 安全风险 阿里云盾

Top 10 Security Risks for 2014

information from WooYunA1-互联网泄密事件/撞库攻击以大量的用户数据为基础,利用用户相同的注册习惯(相同的用户名和密码),尝试登陆其它的网站。2011年,互联网泄密事件引爆了整个信息安全界,导致传统的用户+密码认证的方式已无法满足现有安全需求。泄露数据包括:天涯:31,758,468条,CSDN:6,428,559条,微博:4,442,915条,人人网:4,445,047条,猫扑:2,644,726条,178:9,072,819条,嘟嘟牛:13,891,418条,7K7K:18,282,404条,共1.2亿条。
发布时间:2015-06-27 16:50 | 阅读:124016 | 评论:0 | 标签:网络安全 安全风险

ADS

标签云