记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

2017 OWASP十大关键Web应用安全风险简析

前不久,安全牛报道了2017 OWASP的十大安全问题最终版,下面这篇文章则对十大安全风险做了简单分析。2017 OWASP十大关键Web应用安全风险简析受越来越短的软件项目生命周期影响,有些应用面临损及金融、医疗、零售业和其他行业数字安全的风险。开发人员和经理必须了解这些最常见的风险,才能保护自己的应用。为此,开放网页应用安全计划(OWASP)定期发布十大最关键Web应用安全风险。该计划从专精应用安全的公司企业收集40多份数据,数据涵盖数百家公司处收集的漏洞信息,涉及10万个应用和API。OWASP根据可利用性、普遍性、可检测性和技术影响程度,给每种风险打分。这些风险是随时在变的。比如说,来自社区的500个同行提交,就在2017年往OWASP榜单的前瞻风险类列表中加入了2个新成员。该组织还从源代码分析安全测试
发布时间:2017-12-30 23:00 | 阅读:128730 | 评论:0 | 标签:行业动态 OWASP Web应用安全 安全风险

令大多数人吃惊的5个计算机安全事实

以下5个事实,是很多计算机安全风险和漏洞利用背后的根源。如果你现在能很好地理解它们,未来你就能领先同行一步。事实1. 每家公司都被黑了每当最新大型数据泄露事件曝出,人们可能会觉得,涉事公司肯定是在计算机安全方面做得不好。下一次重大黑客事件发生,造成数百万客户记录被盗或上千万美元损失时,你应该想的是,“每家公司都被黑了。这不过是媒体当前正在热炒的一起而已。”每家公司都被某恶意黑客完全掌握,或很容易被黑客掌控。事实就是如此。当然,完全没有互联网,且硬盘每天收工时得放入保险箱的绝密军事设施除外。这里说的只是普通企业或小公司。评估公司网络安全状态的时候,大多数情况下,都会有不止一名黑客隐身在被评估公司网络某处。尤其是最近10年,甚至会有几组黑客藏匿数年之久。典型案例是一家公司同时有8个黑客小组盯上,其中几组在其网络中遨
发布时间:2017-12-14 01:35 | 阅读:93410 | 评论:0 | 标签:牛闻牛评 入侵 安全事实 安全威胁 安全风险 恶意软件

Equifax黑客事件的经验教训:供应链合作伙伴太重要了!

1.45亿客户记录被泄之后,Equifax股票暴跌30%,相当于蒸发掉50亿美元市值。Equifax黑客事件位列史上罕见大型数据泄露事件之一,被盗记录中包含社会安全号和驾照信息。而且,相比随之而来的事件余波,目前的市值蒸发可能还仅仅是沧海一粟。不仅仅是Equifax被黑,其供应商也面临被黑风险,可能暴露上百万更多客户信息。比如说,Visa和MasterCard最近就向各大银行发出警报,提醒他们约20万张信用卡可能也被黑了。实际上,今年8月,信用卡诈骗迎来了一轮暴增,同比增长了15%。2013年塔吉特百货因第三方供应商漏洞导致数据泄露之后,也出现了类似的身份盗窃猖獗期。Visa和MasterCard都将信用卡可能被黑归罪于Equifax。这两大支付公司,或许是第一批站出来声明自家数据可能在Equifax数据泄露事
发布时间:2017-10-23 19:25 | 阅读:81235 | 评论:0 | 标签:牛闻牛评 Equifax 供应链安全 信用卡 安全风险

UEBA能够检测的七大类安全风险

用户和实体行为分析(UEBA)技术,是网络安全工具市场新成员,旨在提供防火墙和入侵预防系统(IPS)等传统网络安全工具所不具备的功能。有了UEBA,公司企业不仅仅能从网络流量和反恶意软件扫描获悉入侵指标(IoC),还能深入理解用户行为。UEBA系统可识别不同类型的异常用户行为,这些异常用户行为可被视作威胁及入侵指标。下面是UEBA技术可帮检测到的7类安全风险。1. 缓慢少量攻击坏人、外部人和内部人都知道,传统安全工具基于基本阈值起效。他们清楚,只要做同样的事情超过“X”次,就会触发警报。于是,他们降低攻击速度和规模,以便保持低调,避免被侦测到。此种做法的一个例子,可以参考每天仅一次,通过邮件渗漏少量信用卡号。UEBA可检测到此种模式,并将之识别为需加以调查的重复性行为。2. 共谋UEBA可帮助发现紧密合作突然改
发布时间:2017-10-23 02:30 | 阅读:148233 | 评论:0 | 标签:术有专攻 UEBA 安全风险 异常行为检测

中国医疗健康行业网络安全分析报告

综述近年来,随着互联网、大数据、云计算技术的快速发展,国内越来越多的医院基本完成了基于信息化的医疗整体解决方案。2014年国家卫生计生委在卫生信息技术交流大会上首次将医疗数据资源整合提升为国家战略规划及“46312”工程,将数据共享、平台互联、国家级三大数据库的建设作为智慧医疗转变的第一步。随着医疗改革、分级诊疗、药品改革等等一系列的政策落实,医疗信息化的目标不仅涵盖医疗卫生机构的管理系统信息化、业务功能系统信息化、区域医疗信息化、以及远程医疗、云医院、移动医疗、医疗大数据挖掘等,而且一系列的新型模式如:远程医疗、云医院、移动医疗等已呈现星星之火可以燎原态势。2016年6月底国务院出台《关于促进和规范健康医疗大数据应用发展的指导意见》,将医疗大数据正式纳入国家发展计划,在医疗大数据融合及共享开放建设,以及在医疗
发布时间:2017-10-22 09:30 | 阅读:282546 | 评论:0 | 标签:行业动态 三甲医院 互联网医疗 医疗云 医疗健康 安全风险 网络安全

在Docker上部署容器时应考虑的安全风险

Docker——被称为容器的操作系统级虚拟化实例平台,已成为超级流行的基础设施技术。灵活的容器化,完全改变了我们大规模部署和维护应用的方式,其中大企业市场是关键驱动因素。4月底,Docker首席执行官本·格鲁布在DockerCon大会上发言,分析用户体验和经验教训,庆祝该平台巨大的成功。如今,所有容器开发中有1/3都在生产环境中完成,大多以成百上千台主机上线的形式呈现。事实上,涉及容器化,大公司往往身先士卒;云监视公司Datadog发现,过去1年里Docker采用率上升了40%。今天不断变化的技术格局里,除了积极面与成长势头,我们不能忘记的一个核心重点是:信息安全。想要保护你的容器部署,以下5个潜在威胁和策略可以参考。容器的顾虑1. 恶意及脆弱镜像Docker Hub 注册表托管着超过10万个公共容器资源库,免
发布时间:2017-07-18 15:30 | 阅读:94658 | 评论:0 | 标签:术有专攻 Docker 安全风险 容器

飞机、火车、汽车……数字化巨变带来的交通安全问题

提到技术创新对交通方式的改变,大部分人可能立刻会想到自动驾驶汽车。其实,整个交通运输业都在经受数字化大潮的洗礼。 DHL公司的卓越品质长期受到相关行业的认可.最近DHL为员工配置了使用增强现实技术的头戴式显示器,这可以简化员工的选择过程,从而在保持发货的准确性的同时提高工作效率。 德黑兰国际机场有限公司(DIAL)则使用数字技术来进一步了解旅客的喜好,机场商铺根据游客的需求在合适的时间提供相应的产品和服务。 Komatsu公司在建筑及采矿车辆上安装传感器来搜集有价值的全球经济数据,这些数据被用于预测和计划未来的需求模式。 安大略省的政府机构Metrolinx则运营着最先进的铁路信息系统,该系统包含乘客免费Wi-Fi、旅客在线娱乐服务、票价收集、车票验证等多种功能。类似的例子还有很多。 一下几个显而易见的趋势正
发布时间:2017-03-27 18:50 | 阅读:88145 | 评论:0 | 标签:术有专攻 交通安全 安全风险 数字化

你的企业真的安全吗?经常被忽视的6个安全风险

企业总在为业务安全奔波劳碌。但是,你确保你的安全措施足以保护公司、客户和员工吗?安全领域从没有“足够安全”这个说法。 技术的发展永不停息,相应的,企业面临的安全威胁也在不断变迁。这就造就了一种局势:某些安全公司总试图指出企业的安全措施缺陷,并哄骗企业去购买那些可能永远用不上的服务。这导致许多公司忽视了一些更明显的安全风险。 以下是一些显而易见却往往被忽视的网络安全风险。 1. 心怀不满的员工 如果你的员工(或前员工)觉得待遇不公,他们很可能会寻求报复。这会为公司带来极大的安全风险。如果该员工拥有管理员访问权限或者是内部IT团队的成员,这将酿成灾难。 建议:为了解决这个问题,你最好能经常检查系统网络,以停用过期的特权帐户。理想情况下,当员工离职时,你应该第一时间限制或停用这些账户。 2. 缺乏培训的雇员 如果公
发布时间:2017-03-27 18:50 | 阅读:83655 | 评论:0 | 标签:术有专攻 BYOD 企业安全 安全风险

一名优秀的安全主管需要“见人说人话,见鬼说鬼话”

想要沟通,就需要用听众听得懂的语言说话。 关于CISO角色,如何清晰地向上沟通(对高管和董事会),向下交流(公司安全部门人员),平级互通(其他主要利益相关者),是其长期职业生涯中的一个重要工作。 经常旅游的人就知道,总会有那么一些场景需要用当地语言交流。如果学过多国语言,那在很多国家都可以在较高层次上跟上对话。若丝毫不通当地语言,即便对话题知之甚深,在交流中也只能干瞪眼。 作为安全主管,从上述旅游经验中就可学到重要一课:要用交流对象的语言来说话。风险、报告、度量,是信息安全领域3大主要话题,对不同受众具有完全不同的意义。我们可以从不同受众围绕各个话题所用的语言,来阐述这一点。 一、风险 1. 董事会和高管 对高管和董事会而言,风险主要意味着业务中断和资金损失。要用这种语言说话,你就得展示出自己所做工作是对缓解
发布时间:2017-03-13 18:10 | 阅读:116020 | 评论:0 | 标签:术有专攻 CISO 安全主管 安全风险

调查|零日漏洞风险的现状与趋势

零日漏洞一直让安全从业者头疼。阴魂不散的零日问题的根源之一,是开源代码的不断扩散。这也是很多人想要知道零日漏洞当前趋势,以及缓解开源代码风险最佳实践的原因所在。 网络安全风投公司最近发布了一份新的《零日漏洞报告》,为CISO和IT安全团队提供零日漏洞趋势、统计数据、最佳实践和资源。 该报告凸显了一些预警性统计数据,包括: 应用攻击界面每年增加1110亿行软件代码 任务关键App中的开源代码将占99% 麦克·卡顿,Digital Defense 研发副总裁,称:“从安全角度看,开源代码的大量使用是有问题的。越来越多的公司不断投入开源代码怀抱,作为削减营销周期,尽快将产品推向市场的一种手段。” 由于一块代码可作为软件组件应用到多种设备中,这种组件中发现的零日漏洞复现率就可能倍增。你通常会在各种各样的设备和平台
发布时间:2017-02-07 00:15 | 阅读:98512 | 评论:0 | 标签:术有专攻 安全风险 开源代码 零日漏洞 漏洞

大道至简 安全工作是一场马拉松

简单,常被认为是考虑不完全,或对概念想法的部分理解。但事实上,真相正好相反,简单中蕴含有某种程度的优雅。对概念或想法的简单解决方案、分类,或者呈现,需要对该概念或想法有准确而全面的掌握,这一点往往是大多数人都欠缺的。 或者,我们换种说法,过分复杂化是很容易出现的一种行为。加入过某种委员会或列席过某些会议的人太清楚了。简单,是人生中很难达到的境界。 虽然简单很好,过于简单却也会造成麻烦。在太复杂和太简单之间有微妙的平衡,很多问题的优雅解就存在其间。然而,不幸的是,我们大多数人想要准确落在其间通常不太容易。安全问题也不例外,同样受这条规则约束。 一边是过于简单,一边是过于复杂,这两种情况都太常见,一点不意外。 有时候会有这样的问题:“网络安全吗?”,“想要安全,我至少得花多少钱?”,或者,“我已经有了SIEM、I
发布时间:2017-02-07 00:15 | 阅读:74376 | 评论:0 | 标签:术有专攻 安全工作 安全风险 马拉松

为什么所有开发人员都需要具备网络安全技术?

除了拥有专家团队,提高全部开发人员的实用安全技术同样重要。 一份最近的研究表明:到2019年,全世界对网络安全专业人才的需求,将导致超过100万个网络安全职位亟待填充;其中需求最甚的,是安全软件开发。毫无意外,公司企业正经历越来越严峻的安全人才荒,打造可靠服务和保持自家用户数据安全所需人才缺口正在扩大。 补足人才缺口和创建更安全产品的一个途径,就是培训和聘用更多的网络安全专业工程师。但是,除了钉在专门网络安全团队里的那些,让公司里所有开发人员的密码学和安全技术都得到提高,也同样重要。 1. 新App产生更多数据的同时也产生了更多风险 医疗、健康和金融App的兴起,连同联网设备数量的增加,产生了大量关于我们自身的敏感数据。我们信任这些App,将自己的医疗记录、银行信息,甚至最常造访的地方都提供给了它们。如果创建
发布时间:2017-02-03 13:20 | 阅读:197553 | 评论:0 | 标签:术有专攻 加密 安全人才 安全开发 安全风险

越过网络层看威胁:为什么全攻击界面才是最重要的

随着新技术融入企业环境,安全实践者必须更全面整体地看待企业风险管理。 几十年来,企业都将自身安全工作重点放在网络边界防御,以及保护服务器、计算机和网络设备方面。然而,在互联世界,“硬件定义的”方法不再具有意义。随着企业转向软件定义的网络,他们需要越过网络层来防护不断扩张的攻击界面并考虑:无边界攻击界面是怎样让今天的企业安全模型失效的?企业可以采取哪些措施来跟上不断进化的威胁? 在网络安全上,企业面对的是难以攻克的高地,因为他们需要保护的攻击界面已经扩张了很多,且还在进一步膨胀中。在过去,保护好网络和终端便已足够,但现在这种应用、云服务和移动设备(比如平板、手机、蓝牙设备和智能手表)越来越多的情况下,企业要面对的,是一个大为延伸了的攻击界面。 全球风险管理调查揭示,今天84%的网络攻击都针对的是应用层而非网络层
发布时间:2017-01-11 18:05 | 阅读:73581 | 评论:0 | 标签:牛闻牛评 安全风险 容器 微服务 物联网安全

一名合格的威胁情报专家什么样?

新年新气象,有新策略要实现,新预算要平衡,新威胁要防止。过去1年中,更多公司对威胁情报的理解更加深入,逐渐转向开始从优良情报获益的计划和实现过程。 计划往公司安全和风险项目中添加威胁情报的第一步,真心应该紧紧围绕以下几个关键问题展开: 我们想要的情报目标是什么? 情报应服务的主要利益相关者是谁? 我们最想要保护的资产和信息是什么? 情报应该影响的决策和结果是什么? 结果该怎样衡量? 我们已经在收集内部情报了吗? 是外包情报运营,还是内部运营,或者来个混搭? 无论你的网络威胁情报计划和过程是什么,它都应该驱动更快更智能的决策来最小化风险暴露。如果没能对此目标有所帮助,那不如叫停项目,好好想想需要做哪些改变,来让情报更好地保护你的公司。 大公司有安全运营中心(SOC),分析师们24小时三班倒工作。网络成熟度欠
发布时间:2016-12-22 11:20 | 阅读:119948 | 评论:0 | 标签:术有专攻 威胁情报 安全风险

雅虎之殇:不可预见的风险带来无法预料的影响

雅虎在各市场当老大已经很长时间了,但2016年9月,它又摘得一项新“桂冠”:人类历史上最大型的公开数据泄露。 数量非常庞大,对所有类型的公司企业有着地壳板块迁移一般的潜在影响: 5亿+账户受影响 8亿美元威瑞森收购案被搁置 从雅虎开始检测到公开披露数据泄露花了2年 几乎翻倍了2016年已经创历史记录的公开承认数据泄露记录条数——540亿条 怎么发生的? 雅虎是网络安全5大致命因素(Five Killer C:Culture、Complexity、Conflict of Interest、Cash、Complacency:文化、复杂性、利益冲突、资金、自满)的绝佳案例。《纽约时报》一篇文章指称,“雅虎将防御黑客放在了次要位置”: 2012年中,玛丽莎·梅耶尔接任这家摇摇欲坠公司的CEO帅印时,安全,就是她继
发布时间:2016-10-19 22:05 | 阅读:77387 | 评论:0 | 标签:牛闻牛评 安全风险 数据泄露 雅虎

你是否还未关注第三方访问导致的安全风险?

2016年5月,Soha第三方咨询小组对200多名企业IT和安全高管、董事、经理进行了调查,意图找出由于第三方访问而导致的IT风险和日常挑战。结果表明,98%的受访者不认为第三方访问是IT项目和预算分配的第一要务。 绝大多数受访者承认,提供第三方访问是个复杂而又繁琐的过程。为应用开辟安全第三方访问通道的复杂程度,直接导致IT部门平均要处理4.6个设备,比如VPN、防火墙、目录等等。从安全角度看,这已经构成了问题。有研究揭示,63%的数据泄露是由第三方造成,或与第三方有关。第三方厂商应该仅仅对支持业务必需的应用拥有访问权,再多就不能给了。 基于调查结果,这个由安全专家、分析师和业界大拿组成的咨询小组被问到了第三方访问安全趋势问题,比如IT从业者应该怎样保障自身网络安全,以及确保第三方访问安全。 当前最主要的安全
发布时间:2016-09-19 04:20 | 阅读:83470 | 评论:0 | 标签:术有专攻 安全风险 第三方访问

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云