记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

多因素认证(MFA)不是网络安全的万灵药

在“零信任”时代,多因素认证(MFA)已经成为企业加强基于身份的网络安全管理的“必修课”,在“多因素认证六大常见错误与误区”中,我们了解到错误的认知和部署会让MFA的效用大打折扣。本文,我们将探讨MFA技术自身面临的威胁。首先,我们要肯定MFA的有效性,今年早些时候,微软报告称,其追踪的违规账户中有99.9%没有使用MFA。而Gartner上周发布的2020-2021年十大热门网络安全项目中,MFA与SSO和IAM一起,并列最热门网络安全项目榜首(远程办公安全类)。随着越来越多的人在线访问高价值账户,双因素身份验证 (2FA) 和多因素身份认证(MFA) 越来越受欢迎。
发布时间:2020-09-29 18:06 | 阅读:5557 | 评论:0 | 标签:网络安全 安全

【数据安全小剧场】母婴用品企业是如何防泄密的

客户简要介绍 某母婴用品品牌,集设计制造及销售为一体,秉承爱的理念,致力于为消费者提供高品质和种类齐全的母婴用品和服务,贝亲产品涵盖了母乳喂养、奶瓶奶嘴、宝宝肌肤护理、衣物清洗、水杯餐具等抚育宝宝的方方面面。
发布时间:2020-09-29 16:26 | 阅读:6555 | 评论:0 | 标签:数据安全小剧场 数据防泄漏 资产管理 防泄密 数据安全 安全

NIST评估信息安全持续监控项目指南:评估方法(二)

《NIST评估信息安全持续监控(ISCM)项目:评估方法》一文可用于:为组织各风险管理级别(定义见NIST SP 800-39《管理信息安全风险:组织、任务与信息
发布时间:2020-09-29 13:41 | 阅读:3483 | 评论:0 | 标签:安全

边缘安全:企业边界瓦解下的安全新解

以三月为例,通过企业连接设备的互联网服务使用量增加了40%,而在这之中,恶意软件相关的网站访问量增加了400%以上。Akamai的数据清晰地表明,网络空间的威胁始终存在,甚至愈发猖獗。即便在疫情期间,攻击者、黑客组织也没有停止攻击活动,甚至,DDoS等大量传统的网络攻击手段依然发挥巨大的破坏力,而更复杂、高级的新型攻击方式也不断给防御带来新的挑战,在多变的网络环境中,企业面临的威胁比想象的更多。本文将分享我们和Akamai区域副总裁暨大中华区总经理李昇、Akamai大中华区产品市场经理刘炅就边缘安全问题进行的一些探讨。“护城河”防护不再,架构走向去中心化在对话中,刘炅反复提到一个词,去中心化。
发布时间:2020-09-29 13:41 | 阅读:4478 | 评论:0 | 标签:安全

腾讯信息安全争霸赛的第四年:喝水人和挖井人

腾讯信息安全争霸赛(TCTF)的诞生,是一个“出道即巅峰”的故事。2017年,腾讯安全发起、腾讯安全联合实验室主办的第一届腾讯信息安全争霸赛,没有经历“冷启动”的开局之难,第一年就吸引了全球近1000支CTF战队参赛,盛名在外的俄罗斯老牌强队LC↯BC战队、日本的binja战队和美国的Shellphish、PPP战队、匈牙利的传统CTF强队!SpamAndHex都在参赛战队之列。
发布时间:2020-09-29 11:08 | 阅读:3112 | 评论:0 | 标签:安全

企业安全运营实践:海量日志采集和解析

本文整理自2020北京网络安全大会(BCS)企业安全运营实践论坛上奇安信网络安全部大数据平台负责人邓小刚的发言。邓小刚,SIEM领域ArcSight国内第一人,一个纯粹的技术工程师。大家好我是来自奇安信的邓小刚,很高兴参与北京网络安全大会企业安全运营实践论坛,我分享的题目是《海量日志采集、解析实践》。内容主要是五部分:一、简单的自我介绍;二、面临的挑战与应对;三、日志采集的手段;四、案例的定制;五、现状的简述。一、简单的自我介绍我现在在奇安信集团网络安全部。网络安全部主要是负责公司内部安全,我在网络安全部主要负责内部安全大数据平台架构的实施和维护。
发布时间:2020-09-29 10:25 | 阅读:3971 | 评论:0 | 标签:安全运营 安全

国庆节安全防护指南:政企用户网络安全七大常见风险盘点

随着政企用户数字化转型的深入,也带来了更多的未知网络安全风险。平时,企业网络安全人员全天值守,遇到问题也能够快速处理。国庆8天小长假将至,为了让网络安全人也有一个愉快的假期,奇安信根据近年来的网络安全应急响应实践,总结出了长假期间政企用户常见的七大网络安全风险。希望能帮助网络安全人提前做好预防和排查,避免“踩坑”。风险1:勒索病毒图:2017年5月爆发的WannaCry勒索病毒勒索信风险特点:系统一旦遭受勒索病毒攻击,将会使大多数文件被加密,并添加一个特殊的后缀,导致受害者无法读取原本正常的文件,从而造成无法估量的损失。
发布时间:2020-09-29 10:25 | 阅读:4171 | 评论:0 | 标签:网络安全 防护 安全

2020年上半年云安全分析报告

一 云计算的背景与发展趋势随着云计算等企业级技术应用的发展普及,产业互联网实际已经在各行各业展开实践。广度上不仅覆盖服务业、工业和农业,还从商业扩展到公益和政府,整个社会走向全面互联网;深度上,从营销服务、生产研发到运营管理,互联网渗透到组织内部的各个环节。数据信息由此实现从消费端到供给端的高效流通,数字产业与传统产业相互协同带动,助推中国经济迈向高质量发展阶段。在新旧动能接续转换的过程中,传统产业的数字化升级和新兴产业的数字化能力建设,使当前的安全趋势发生了变化。
发布时间:2020-09-28 21:36 | 阅读:9226 | 评论:0 | 标签: 安全

信通院:云原生安全理念助力云上安全建设变革

云计算作为“新基建”中信息基础设施的重要组成,是企业数字化转型的重要支撑,是实现产业互联网落地的必要途径。随着云计算的广泛普及和重要价值日益凸显,其安全性面临更高要求,如何更加全面、有效地保障云上业务安全成为行业关注的重点,云原生安全理念兴起。在9月25日召开的“云原生安全技术发展研讨会”上,腾讯安全、中国信息通信研究院、深信服、绿盟科技和天融信相关专家出席,并围绕云原生安全技术和发展进行了研讨。会上,中国信息通信研究院云计算与大数据研究所副所长栗蔚分享了云原生安全相关研究成果。
发布时间:2020-09-28 21:36 | 阅读:7111 | 评论:0 | 标签: 安全

车联网数据安全治理经验分享

编者按:9月16日,由郑州市人民政府主办、国家工业信息安全发展研究中心承办的“2020年国家网络安全宣传周——数据安全主题论坛”顺利举办。会上,各行业、各领域的专家围绕数据安全立法,电信、能源、车联网等领域数据治理经验,区块链技术在数据治理当中的应用、数据安全技术方案、企业数据合规等热点话题作了精彩发言。本公众号将陆续分享论坛嘉宾的演讲内容。本期为大家带来《车联网数据安全治理经验分享》,作者为四维图新副总裁张文杰。以下为演讲内容:在当前的国际形势和环境下,数据安全治理与防控的战略意义愈发重要。车联网的应用将会至少收集车辆位置数据、车辆行驶速度数据、车辆传感器和总线的数据。
发布时间:2020-09-28 21:36 | 阅读:8565 | 评论:0 | 标签:数据安全 安全

Electron 安全设计清单

0x00背景   如果你可以建一个网站,你就可以建一个桌面应用程序。 Electron 是一个使用 JavaScript, HTML 和 CSS 等 Web 技术创建原生程序的框架,它负责比较难搞的部分,你只需把精力放在你的应用的核心上即可。   简单来说,Electron 基于 Chromium 和 Node.js, 让你可以使用 HTML, CSS 和 JavaScript 构建应用。把一个浏览器的标签视图去掉,并且只限定访问特定的网页。
发布时间:2020-09-28 19:56 | 阅读:8744 | 评论:0 | 标签:安全

“拔网线” 解决不了安全产品0Day问题

日前,一年一度的大型线上攻防对抗大赛已圆满落下帷幕。但今年的演习尤其热闹,乙方安全产品频频被曝出0Day漏洞,各种真假消息满天飞,让甲方企业每天都惴惴不安,开始用看”内鬼“的眼光看待自己的安全防线。为应对安全产品0Day问题,有的甲方企业甚至采用了关机、拔网线、下线安全产品等极端方式,直接让业务系统处于“裸奔”状态。这种乱象不禁让业界陷入深思。甲方企业平日几乎不会遇到0Day攻击,但在攻防对抗大赛期间,平日精心构筑的安全体系集中被曝出多个0Day漏洞。这真是巧合?有业内专家推测,这极有可能是攻击方将前期早已积累好的0Day武器库,在这段时间内集中曝出,让防守方措手不及。
发布时间:2020-09-28 19:12 | 阅读:8358 | 评论:0 | 标签:安全报 0day 安全

一周安全头条(20200921-0927)

行业动态 政策法规 《关于加快推进媒体深度融合发展的意见》近日,中共中央办公厅、国务院办公厅印发了《关于加快推进媒体深度融合发展的意见》,并发出通知,《意见》从重要意义、目标任务、工作原则三个方面明确了媒体深度融合发展的总体要求,要求各地各部门结合实际认真贯彻落实。https://mp.weixin.qq.com/s/bGS7_bOx6_lFypbvxqSUdw行业动态 上海 2020中国网络媒体论坛由中央网信办、上海市委网信委、新华社联合主办的2020中国网络媒体论坛9月27日在上海举行。
发布时间:2020-09-28 18:07 | 阅读:7867 | 评论:0 | 标签:漏洞补丁,政策法规 安全

调查:航旅业是网络安全的重灾区

无论航空公司还是酒店,航旅业是遭受新冠病毒疫情打击最为严重的行业之一,但雪上加霜的是,航旅业同时也是网络安全重灾区,英国航空公司和万豪集团等企业虽然因数据泄露事件付出过惨痛代价和高额罚款,但是航旅业的网络安全问题似乎没有任何改善。近日,英国消费者权益和技术咨询公司6point6使用合法的在线工具研究了98家旅行业公司的网站、子域名、员工门户和其他网站资源。结果,安全研究人员在主要的酒店、航空公司和旅行预订网站上发现了数百个漏洞,其中一些漏洞已经遭到严重破坏。他们发现,万豪酒店集团的网站查出多达497个漏洞,其中包括100多个被评定为“高”(96)或“严重”(18)的漏洞。
发布时间:2020-09-28 18:07 | 阅读:10751 | 评论:0 | 标签:漏洞安全 网络安全 安全

亚马逊十大网络安全必读书清单

网络安全是一个知识和情报驱动的行业,多年来安全行业的技术会议现场以活力和激情著称,虽然新冠疫情给线下交流按下了暂停键,但网络研讨会、在线峰会和各种视频直播和在线课堂依然在源源不断地输送网络安全知识和资讯。但是,有一个重要的获取网络安全知识渠道经常被忽视,那就是阅读。
发布时间:2020-09-28 18:07 | 阅读:7366 | 评论:0 | 标签:杜鹃蛋 网络安全书籍 网络安全 安全

贝壳安全TIME:零信任在企业中的落地实践

前沿的安全理念详细的安全技术剖析实用的企业落地分享想要进一步了解“零信任”10月12日14:00「贝壳安全TIME」沙龙第一期线上直播即将开启快来报名、参与互动CHERRY机械键盘、小霸王游戏手柄+体感游戏机、手持云台、小度在家、贝壳限量周边等奖品等你来拿“永不信任,永远验证”。零信任作为一种网络安全架构或者安全理念提出至今,已经在贝壳和快手落地并得到充分的实践证明,将各种安全产品、安全模块整合起来,形成一个紧密耦合的安全体系。本次沙龙活动是来自贝壳、快手、数篷等互联网企业安全专家,不吝分享在零信任方向在企业的实际应用与落地,深度解剖零信任技术应用细节,从甲乙双方企业中解析零信任不同的痛点。
发布时间:2020-09-28 17:12 | 阅读:7480 | 评论:0 | 标签:安全

盘点:全球金融行业十大网络安全事件

金融行业在国民经济发展中占据着重要地位,影响着国家产业经济发展的稳定性。由于金融行业的特殊性,黑客对金融机构的攻击往往能直接“变现”,因此金融行业一直是网络攻击的重点目标。攻击者通过DDoS攻击、漏洞、勒索软件、木马病毒等手段对各大金融机构发起攻击,造成数据泄露和财产损失。此外,近年来随着数字加密货币的兴起,各大加密货币交易所也成为网络攻击的重灾区,且损失更大、更难溯源。《安全内参》对跟踪到的金融行业网络安全事件进行梳理,筛选出近三年比较有代表性的十个事件,为金融机构和相关监管部门提供参考,防患于未然。01 新西兰证交所连续一周遭受DDoS攻击导致交易中断。
发布时间:2020-09-28 16:29 | 阅读:10831 | 评论:0 | 标签:网络安全 安全

物联网设备存在较大安全隐患 专家可轻松掌控 Smarter 咖啡机

尽管名称为“Smarter”,但这家主打互联网连接的厨房电器制造商并不意味着比传统电器公司更聪明。早在 2015 年,Smarter 的产品就曾曝光过安全问题,当时总部位于伦敦的安全公司 Pen Test 发现,可以恢复初代 Smarter iKettle 咖啡机中使用的 Wi-Fi 加密密钥。随后团队还发现第二代 iKettle 和其他 Smarter 旗下的咖啡机存在其他问题,包括没有固件签名,芯片组 ESP8266 内部没有可信的安全区域(Enclave)等等。
发布时间:2020-09-28 16:28 | 阅读:6602 | 评论:0 | 标签:漏洞 安全隐患 物联网 安全

企业安全建设之应急响应

随着网络安全环境变得更加复杂,界限变得模糊,安全事件频发,有的企业在安全建设初期或者没有合适的应急响应体系及流程,很多企业安全人员都变成了“救火队长”,陷入了出现问题,急忙解决事件的点对点恶性循环中,有时候甚至还要被领导误解,着实让人精疲力尽,心力交瘁,有苦说不出,头痛不已,那么,面对这样的情况,如何建立应急响应体系与流程呢?一、目标规范应急响应的流程,提升应急响应能力,减少“救火队长”的情况出现二、威胁情报说到应急响应,势必都会想到威胁情报,也可以说是情报驱动应急响应。那什么是威胁情报呢?旨在为面临威胁的资产主体提供全面的、准确的、与其相关的、并且能够执行和决策的知识和信息。
发布时间:2020-09-28 16:25 | 阅读:8050 | 评论:0 | 标签:安全

“中能融合杯”第六届全国工控系统信息安全攻防竞赛圆满举办

【北京2020年9月27日】由公安部信息安全等级保护评估中心、华北电力大学信息安全工程实验室、工业信息安全产业发展联盟、中关村信息安全测评联盟和中能融合智慧能源产业联盟联合主办,  北京蓝军网安科技发展有限责任公司承办,中能融合智慧科技有限公司独家冠名的“中能融合杯”第六届全国工控系统信息安全攻防竞赛在北京隆重举办。工业控制系统是国家关键信息基础设施的重要组成部分。我国超过80%的关键信息基础设施依靠工控系统实现自动化作业。能源、电力、金融、通信、交通等领域的关键信息基础设施是经济社会运行的神经中枢,事关国家安全、国计民生和公共利益,是网络安全的重中之重。
发布时间:2020-09-28 15:34 | 阅读:6611 | 评论:0 | 标签:中能融合杯 攻防竞赛 工控 攻防 安全

AI框架安全依旧堪忧:360 AI安全研究院披露Tensorflow 24个漏洞

近日,360 AI安全研究院(AIVUL团队)对Google Tensorflow进行了安全测试,在不到一个月的时间内发现多个安全问题,最终获得谷歌分配的24个CVE编号,其中危险等级严重的漏洞(critical severity)2个,高危(high severity)8个,中危(moderate severity)12个,低危(low severity)2个,影响上千万开发者及用户。
发布时间:2020-09-28 14:45 | 阅读:7064 | 评论:0 | 标签:漏洞 AI 安全

新趋势,开源组件的安全治理不可忽视

国家关键基础软件亟待发展,而保障软件安全则是重中之重。开源网安对开源组件治理等提供相应的解决方案和技术支持,助力我国软件产业的稳健发展。国产软件行业面临巨大挑战近期,中科院推出了“率先行动”计划。中科院院长白春礼表示:“当前国家科技的发展正在转型,经济高质量发展也需要科技高质量发展。面临着美国对中国高科技产业的打压,我们希望在这方面能够做一些工作。前期我们已经做了一些工作,未来十年我们还会针对一些卡脖子的关键问题做一些新的部署。要把美国卡脖子清单变成科研任务清单。瞄准目标,集智攻关,向科技广度和深度进军;遵循科学发展规律,培育创新土壤,科技创新必能喷涌而出。
发布时间:2020-09-28 13:00 | 阅读:3775 | 评论:0 | 标签:开源组件 开源网安 安全

源代码安全:低成本、高效率的数据隐私保护“捷径”

数据与隐私泄露年年有,为什么今年特别多?显然,因为关注度上升了。根据马斯洛需求理论可见,人们在物质生活富足后,关于精神层面的更高需求会加速激发,隐私作为个人的合法权益,会越来越受关注。9月,多位明星因个人航空里程积分被盗刷频上微博热搜。短短一周,吴磊、江映蓉、李晨等艺人相继爆料出里程积分被发现类似盗刷被兑换免费机票事件。这波事件引发的话题热议余温还在,紧接着,另一位明星张萌在微博上发声分享了令人“毛骨悚然”的经历——自己的身份信息被盗用,有陌生人用她的身份信息办了一张航空公司积分卡。“如果今天能用我的名义办一张积分卡,那么明天是不是就可以办银行卡,办贷款了。”她发出了灵魂质问。
发布时间:2020-09-28 12:04 | 阅读:2965 | 评论:0 | 标签:安全

安全事件周报(09.21-09.27)

 0x01 事件导览本周收录安全事件 37 项,话题集中在 数据泄露 、 网络攻击 方面,涉及的组织有: Microsoft 、 Luxottica 、 Google 、 Instagram 等。网络攻击泛滥,已造成巨额损失;内部安全问题频发,内部员工泄漏数据屡禁不止。对此,360CERT建议使用 360安全卫士 进行病毒检测、使用 360安全分析响应平台 进行威胁流量检测,使用 360城市级网络安全监测服务QUAKE 进行资产测绘,做好资产自查以及预防工作,以免遭受黑客攻击。
发布时间:2020-09-28 12:03 | 阅读:5273 | 评论:0 | 标签:安全

通杀Bypass安全狗

前言 主流浏览器安装谷歌助手插件。 分享谷歌找通杀技巧。 Bypass最简单的技巧。原理今天要说的通杀漏洞主要是SQL注入,其次是遇到WAF以后,如何Bypass。 SQL注入的原理必须要熟记于心: 用户能够控制输入数据 。 能够将用户输入的数据拼接进去执行。
发布时间:2020-09-28 11:31 | 阅读:3627 | 评论:0 | 标签:攻防案例 安全狗 安全

研究:数据安全体系建设

作者丨Arthur出品丨北京一等一技术咨询有限公司随着信息安全的逐步发展,建设体系的逐渐完善,随之信息化速度飞速的发展,安全的广度和深度实现纵向横向双向并行发展,近期国家也发布了数据安全的相关制度草案,今天小编整理了部分和数据安全体系建设相关的数据安全能力成熟度模型、体系建设抓手、人员架构建设以及人员能力等几个方面内容和大家分享交流。
发布时间:2020-09-28 11:22 | 阅读:3994 | 评论:0 | 标签:数据安全 体系 安全

2020年信息网络安全行业最佳黑客书籍推荐

在今天的文章中,极度安全将推荐20本比较好的黑客书籍,如果您是一个初学者,而且想适当的学习一些黑客技术,那么,您必须要考虑我们在下面提到的这些书籍。即将介绍的这些网络安全书籍都将帮助您学习黑客的所有基本概念。(PS:一些书籍可以找到中文版。)众所周知,当今,黑客技术遍布世界各地,尤其是在年轻人中间。对于想自学成才的朋友来说,阅读书籍是一种很适合的方法。黑客技术的使用分为2个部分,既有黑暗的一面,也有好的一面。黑暗的一面也被称为黑帽黑客,他们通常利用漏洞谋取私利,毫无疑问这也是犯法的。
发布时间:2020-09-28 11:18 | 阅读:6914 | 评论:0 | 标签:黑客 网络安全 安全

我国大型企业走出国门需注意的数据安全问题

文│中国信息安全测评中心 曹伟 熊菲随着数字孪生世界的到来,数据驱动一切。特朗普上台以来美国政府进行全球性战略收缩,经济领域以频繁威胁退出世界贸易组织(WTO)为主要标志,科技领域则以“科技冷战”为名不断挥舞制裁大棒打压中国。在此背景下,地缘政治因素对我国“一带一路”推进的影响将进一步加大,以“国家安全”关切为核心的重要数据跨境流动将成为博弈重心。一、“一带一路”中面临的主要数据安全风险挑战2013年6月前中情局(CIA)雇员斯诺登曝光美国政府利用“棱镜”(PRISM)项目直接进入美国网际网路公司的中心服务器监听并挖掘全球数据,美国9家网络巨头皆参与其中。
发布时间:2020-09-27 22:33 | 阅读:6789 | 评论:0 | 标签:数据安全 安全

Soda项目智能合约安全漏洞分析

 北京时间9月21日,CertiK安全研究团队发现soda区块链项目中存在智能合约安全漏洞,该漏洞允许任意外部调用者通过调用智能合约函数,无视受害用户债务中的代币数目,强行结算受害用户的债务,并将通过结算操作所得的收益转入到自己的收款地址。soda项目官方现在已经提交修复补丁来修复这个安全漏洞,但由于soda项目采用了TimeLock来将所有的操作延迟48小时,修复补丁会在延迟事件之后生效,因此截止发稿时,该漏洞已完成修复。
发布时间:2020-09-27 18:07 | 阅读:6467 | 评论:0 | 标签:漏洞 智能合约 智能 安全

《2020网络安全人才发展白皮书》发布:技术服务人员最受宠

目前网络安全人才队伍呈现哪些特点?网络安全行业哪些岗位“最抢手”?网络空间安全学科建设与人才培养论坛发布《2020网络安全人才发展白皮书》,从多个维度对网络安全人才培养和职业发展的整体形势进行全面分析,为院校、企事业单位的人才培养提供借鉴。看点1:网络安全行业正吸引越来越多的年轻人《白皮书》显示,当前网络安全从业人员的年龄最多集中在25-30岁之间,其次是30-35岁。同时,25岁以下从业人员占比较去年略有提高,网络安全行业正吸引越来越多的年轻人就职。其中本科学历最多,占比为62.57%,硕士占比有所提高,为17.71%。
发布时间:2020-09-27 17:22 | 阅读:6507 | 评论:0 | 标签:网络安全 安全

ADS

标签云

本页关键词