记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

行业标杆!天地和兴成为全球首家获得IEC62443 CB国际标准认证的工业网络安全企业

IEC62443是国际公认的工控安全领域的黄金标准,由IEC国际电工委员会和ISA国际标准化协会联合制定,正逐步被越来越多的国际制造商、系统集成商、运维商、业主、设计单位所采用,以确保其产品、系统在整个生命周期中的网络安全。近日,经过国际知名检测认证机构德国DEKRA集团的检测与评估,天地和兴凭借贯穿整个产品安全开发生命周期的专业管理流程,顺利通过IEC62443-4-1工业网络安全产品开发生命周期的审核并成功取得了CB及DEKRA SEAL国际双认证。作为我国专业从事工业网络安全的领军企业,天地和兴是全球首家且国内目前唯一获得该项国际标准CB认证的工业网络安全企业。
发布时间:2022-01-19 18:39 | 阅读:342 | 评论:0 | 标签:网络安全 安全 工业 工业网络 网络 认证

活动预告丨第九届安天网络安全冬训营将于1月24日启幕

网络空间威胁对抗与防御技术研讨会暨第九届安天网络安全冬训营将于2022年1月24日-25日在线上召开,届时将通过中央新闻网站光明网,网络门户媒体网易,安全牛、数世咨询、安全419、嘶吼、雷锋网等专业媒体同步直播,哔哩哔哩安天科技官方账号和安天官方视频号也将同步直播,敬请期待。围绕实战运营,打造网安研讨平台从2014年开始,安天在国家主管部门指导下以“直面实际威胁,形成价值落地”为导向,已连续举办八届网络安全冬训营(可通过安天集团公众号-安天动态板块查看“安天冬训营专题”)。
发布时间:2022-01-19 18:39 | 阅读:407 | 评论:0 | 标签:网络安全 安全 网络

时尚巨头确认遭遇勒索攻击、1100万部手机已感染木马|1月19日全球网络安全热点

安全资讯报告ESET深入研究了前两年Donot Team对南亚国家的攻击Donot Team(也称为APT-C-35、肚脑虫和SectorE02)是至少从2016年开始运营的威胁行为者,并以使用Windows和Android恶意软件针对南亚的组织和个人而闻名。一份报告将该组织的恶意软件与一家印度网络安全公司联系起来,该公司可能正在向该地区的政府出售间谍软件或提供黑客出租服务。ESET的调查认为,该组织非常顽固,至少在过去两年中一直针对相同的组织。Donot Team的活动受到间谍活动的推动,使用他们的签名恶意软件:“yty”恶意软件框架,其主要目的是收集和泄露数据。
发布时间:2022-01-19 18:33 | 阅读:419 | 评论:0 | 标签:攻击 勒索 网络安全 安全 木马 网络 手机

【网络安全干货分享】渗透测试的完整流程!

  相信大家对网络安全中的渗透测试都或多或少听说过吧,渗透测试对于网络安全来说是十分重要的,简单来说,就是对网站和服务器进行安全检测,专业人员通过模拟不法分子的手段,来检测我们的网站及服务器是否存在漏洞,那具体流程是怎样的呢?请看下文:   第一步:明确目标   1. 确定范围:也就是测试的范围,如:IP、域名、内外网、整个网站还是部分模块;   2. 确定规则:渗透到的程序,比如是发现漏洞为止,还是继续利用漏洞、时间限制、能否修改上传,能否提权。
发布时间:2022-01-19 15:06 | 阅读:903 | 评论:0 | 标签:渗透 网络安全 安全 网络

沃尔玛因违反我国《网络安全法》受处罚 漏洞或为数字安全最大隐患

近日,一条漏洞行政处罚刷遍数字安全圈。世界连锁百货公司沃尔玛因网络系统存在可利用的网络安全漏洞共19项,未及时处置系统漏洞,根据《中华人民共和国网络安全法》第二十五条“网络运营者应当制定网络安全事件应急预案,及时处置系统漏洞”、第五十九条“网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告”之规定,给予沃尔玛(中国)投资有限公司警告的行政处罚,并责令整改。三六零(股票代码:601360.SH,以下简称360)创始人、董事长周鸿祎曾表示,数字化时代,一切皆可编程,就意味着漏洞无处不在。
发布时间:2022-01-19 13:18 | 阅读:1006 | 评论:0 | 标签:漏洞 网络安全 安全 网络

2022年网络安全测评机构工作会议顺利召开

1月18日,由公安部第三研究所和中关村信息安全测评联盟(以下简称“联盟”)联合主办的“2022年网络安全测评机构工作会议暨第二届第五次全体会员大会”以线上视频会议形式召开。公安部第三研究所所长黄胜华致开幕辞。公安部网络安全保卫局副局长、一级巡视员、总工程师郭启全出席本次大会并讲话。会议由联盟秘书长刘静主持,全国224家测评机构有关负责同志远程参会。会上,郭启全副局长以《测评机构如何在新时代国家网络安全保障工作中发挥更大作用》为主题,深入分析了当前的网络安全形势,阐明了新时代我国网络安全工作应坚持的基本原则和工作目标,并对测评机构在新时代国家网络安全保障工作中进一步发挥更大作用提出了要求。
发布时间:2022-01-19 01:58 | 阅读:1665 | 评论:0 | 标签:网络安全 安全 网络

去年针对 Linux 发行版本的恶意软件数量同比增加 35%

根据 CrowdStrike 的威胁遥测数据,在 2021 年针对 Linux 发行版本(被物联网设备广泛部署)的恶意软件数量比 2020 年增加了 35%。其中 XorDDoS、Mirai 和 Mozi 这前三个恶意软件家族在 2021 年占所有基于 Linux 的 IoT 恶意软件的 22%。 与 2020 年相比,Mozi 在 2021 年的野外样本数量大幅增加了 10 倍。这些恶意软件家族的主要目的是破坏脆弱的互联网连接设备,将它们聚集成僵尸网络,并利用它们来进行分布式拒绝服务(DDoS)攻击。 当今大多数的云基础设施和网络服务器都运行 Linux,但它也为移动和物联网设备提供动力。
发布时间:2022-01-18 12:29 | 阅读:1810 | 评论:0 | 标签:恶意软件 网络安全 Linux linux

盘点2021年十大网络安全事件

在网络安全领域,2021年注定是不平静的一年。世界各地频发网络安全事件,诸如数据泄漏、勒索软件、黑客攻击等层出不穷,有组织、有目的的网络攻击形势愈加明显,网络安全风险持续增加。另外,我国也颁布了多项网络安全相关法律法规,为我国互联网安全领域法律法规的完善之路拉开了序幕。本文以“创宇资讯”视角出发,筛选并总结出了2021年最受关注的十大网络安全事件。事件一:《中华人民共和国数据安全法》《关键信息基础设施安全保护条例》《中华人民共和国个人信息保护法》等网络安全相关法律施行。
发布时间:2022-01-17 13:19 | 阅读:2848 | 评论:0 | 标签:网络安全 安全 网络

新的跨平台 “SysJoker” 后门同时影响 macOS、Windows、Linux

据报道,新的”SysJoker”后门可以攻击多个操作系统,包括macOS、Windows和Linux。来自Intezer的研究人员透露,他们发现了SysJoker,这个后门最初被发现是攻击Linux的。不久之后,同一后门的变种被发现,它们可以扩展出对Windows和macOS进行攻击。 这一发现是不寻常的,因为发现可以同时攻击多个平台的恶意代码是很罕见的。通常情况下,恶意软件只为攻击一个平台的特定漏洞而生成,而不是以类似的方式同时为多个平台开发。根据研究人员的技术分析,SysJoker被认为是在2021年下半年的一次攻击中启动的。
发布时间:2022-01-17 12:29 | 阅读:2135 | 评论:0 | 标签:网络安全 网络攻击 SysJoker 后门 linux windows mac

《网络安全产业人才岗位能力要求》标准正式发布

2022年1月12日,由工业和信息化部网络安全产业发展中心(工业和信息化部信息中心)与部人才交流中心联合牵头组织编制的《网络安全产业人才岗位能力要求》标准正式发布。标准正文内容分为六个部分,包括标准的适用范围、规范性引用文件、涉及的术语和定义、主要方向及岗位、能力要素和要求等,涵盖网络安全规划与设计、网络安全建设与实施、网络安全运行与维护、网络安全应急与防御、网络安全合规与管理等五大类38个岗位的通用标准和细分标准,为各相关单位开展网络安全产业人才招聘引进、培训评测、能力提升等工作提供了依据和参考。
发布时间:2022-01-16 17:49 | 阅读:5440 | 评论:0 | 标签:网络安全 安全 网络

【网络安全入门必看】防守篇专业术语之软硬件!

  众所周知,网络安全涉及的知识面比较广泛、理论知识繁多,而且有很多的专业性术语;如果我们想要学习好网络安全,就需要投入很多的时间和精力来学习。当然,想要学好网络安全,我们就必须了解网络安全的专业术语,那么你对网络安全的专业术语知多少呢?本篇文章为大家总结了一些防守篇-软硬件的专业术语,希望对你们有用。   加密机:主机加密设备,加密机和主机之间使用TCP/IP协议通信,所以加密机对主机的类型和主机操作系统无任何特殊的要求。   CA证书:为实现双方安全通信提供了电子认证。在因特网、公司内部网或外部网中,使用数字证书实现身份识别和电子信息加密。
发布时间:2022-01-16 15:09 | 阅读:4185 | 评论:0 | 标签:网络安全 安全 网络

《安全机器学习算法报告》:将机器学习特性融入网络安全弹性

2021年12月,欧盟网络与信息安全局(ENISA)发布了题为《安全机器学习算法》(Securing Machine Learning Algorithms)的报告,这是ENISA在2020年发布《人工智能网络安全威胁图谱》之后又一人工智能安全领域报告。报告详细分析了当前机器学习算法的分类,针对机器学习系统的攻击和威胁,具体的威胁包括数据投毒、对抗攻击、数据窃取。报告给出了安全框架、标准等方面的具体和可操作性的安全控制。
发布时间:2022-01-16 02:00 | 阅读:6244 | 评论:0 | 标签:学习 网络安全 安全 网络

用全面发展辩证的眼光看待《网络安全审查办法》

文 | 中国信息安全测评中心助理研究员 桂畅旎近日,国家网信办等十三部门联合修订发布《网络安全审查办法》(以下简称《办法》),针对2017年开始试行、2020年正式实施的网络安全审查制度进行完善升级,提出了网络安全审查的新内容,体现了依法治网的新进展,开启网络安全审查的新篇章,修订恰逢其时意义重大,需要正确认识和把握。
发布时间:2022-01-14 23:17 | 阅读:6873 | 评论:0 | 标签:网络安全 安全 网络

2021 年物联网设备 CVE 天梯榜

2021年CVE回顾: 时间飞逝,转眼间来到了2022年。新的一年即将开始,让我们来回顾一下2021年的物联网设备CVE情况。 2021年CVSSV3平均值为5.5,2020年CVSSV3平均值为6.1,同比去年下降0.6。 通过平均值的对比,我们可以清楚的看到各大厂商在2021年对物联网安全的重视性越来越高,产品也越来越安全。 物联网与我们的生活息息相关,看到物联网的安全性的不断的提高,作为用户对我们自己的隐私等有了更安全的保证。 我们作为一家专注于物联网安全的公司,统计了以下品牌部分评分较高的CVE编号以及描述等。
发布时间:2022-01-14 20:33 | 阅读:6642 | 评论:0 | 标签:推荐阅读 网络安全 CVE 物联网

从委内瑞拉再次断电看关键信息基础设施网络安全

#网安智库 348个 2020年5月,委内瑞拉国家电网干线遭到攻击,造成全国大面积停电,这是时隔10个月后委内瑞拉再次遭受攻击而断电。该国电力系统成为最新一轮“网络攻击”的目标,一方面是本国水电等关键信息基础设施系统老旧,另一方面,黑客也在不断挖掘电力系统安全漏洞,开发出更适用于攻击电力系统的恶意软件。无独有偶,4月,伊朗利用美国服务器对以色列的供水命令和控制系统展开破坏,以色列安全内阁确认这是一次非常不寻常的网络攻击,直指以色列的关键信息基础设施供水系统,这场基础设施网络攻击背后是国与国的军事对垒。这一系列网络安全事件给我们敲响了警钟,必须提升国家关键基础设施的网络攻防能力。
发布时间:2022-01-14 17:45 | 阅读:6226 | 评论:0 | 标签:网络安全 安全 网络

守护这个世界的安全,远远比我们想象的复杂

在科幻作品当中,无论题材如何,有一种角色的出镜率特别高:天才黑客。有时候他站在主角那边,那他就是一个非常重要的技术流配角;有时候他站在对立面,那他就是一个很难对付的中等BOSS(或大BOSS的助手)。天才黑客的主要职能是守住自己的网络安全、攻破对手的网络安全防线;他能否妥善履行职能,则取决于剧情需要。我最喜欢的天才黑客包括:《命运石之门》里的桥田至(桶子),《女神异闻录5》里的佐仓双叶,以及《黑客帝国》里家喻户晓的救世主尼莫。桥田至的形象较符合大众对“天才黑客”的刻板印象:宅男,毒舌,爱吃披萨,喜欢二次元,有严重的拖延症,却唯独在信息技术上执行力超强。
发布时间:2022-01-14 16:50 | 阅读:5928 | 评论:0 | 标签:攻防演练 网络安全 网络攻防演练 安全

9个最大的网络安全谎言

1. 依靠操作系统供应商能完全防止自身的网络安全漏洞依靠操作系统供应商来防止其自身的网络安全漏洞是不可能实现的,就好像Microsoft Defender号称它可以保护所有的微软终端一样。谁是网络安全世界中最大的安全供应商?毫无疑问,你会想到Windows,因为它既是操作系统供应商又是其安全软件供应商,微软的安全系统也称为“Microsoft Defender”、“Windows Defender”和现在的“Windows Security”。
发布时间:2022-01-14 13:18 | 阅读:5753 | 评论:0 | 标签:网络安全 安全 网络

白宫开源软件网络安全峰会集思广义,未来挑战依然艰巨

在爆炸性的Apache Log4j 漏洞席卷全球之后,白宫在当地时间1月13日如期举行的峰会上与来自科技界的领导人和联邦机构的负责人,共同讨论提高开源软件安全性的方法。本次会议由美国国家安全顾问杰克沙利文于2021年12月向主要科技公司发出邀请,由负责网络和新兴技术的国家安全副顾问安妮纽伯格主持。会后谷歌、RedHat、GitHub等科技巨头均高调表示对白宫峰会的支持及后续所采取的积极举措。截止北京时间14日6点30分,白宫尚未对峰会的成果发布任何消息和评论。
发布时间:2022-01-14 12:29 | 阅读:8168 | 评论:0 | 标签:网络安全 安全 网络

德国的一位青少年网络安全企业家发现特斯拉漏洞:拥有远程控制权限无需钥匙可开走

这位自称 IT 安全专家和黑客的  人通过他的 Twitter 帐户 @Davidcolombo 提出了这一声明。Colombo Technology的 19 岁创始人 Colombo表示,他可以在车主不知情的情况下对受损车辆远程运行命令。据称,他可以执行的操作包括禁用哨兵模式、打开车门和车窗、闪烁车灯,甚至开始无钥匙驾驶。这名少年还声称能够查询车辆的确切位置,检查司机是否在场,并在特斯拉的音响系统上播放音乐。科伦坡在推特上写道:“我认为,如果有人能够在你在高速公路上时远程播放全音量音乐或打开门窗,这是非常危险的。
发布时间:2022-01-14 12:19 | 阅读:6834 | 评论:0 | 标签:漏洞 远程 网络安全 安全 网络

安恒信息在CNCERT/CC“网络安全众测平台”安全竞赛中获双荣誉

近日,在国家计算机网络应急技术处理协调中心主办的“网络安全众测平台”国产计算机外设及信创产品安全竞赛活动中,安恒信息位列安全厂商漏洞总积分第二名,荣获主办方颁发的“优秀组织奖”荣誉证书;安恒信息海特实验室安全研究员“nocbtm”凭借出色表现获得测试人员漏洞总积分第二名。竞赛为期两周,共有9家打印机外设和3家信创企业的20台设备参与众测项目,邀请了50余名高水平白帽技术人员进行了测试工作,共发现69个安全漏洞,漏洞类型包含拒绝服务、敏感信息泄露、未授权访问、逻辑缺陷等多个类型。
发布时间:2022-01-14 12:19 | 阅读:6050 | 评论:0 | 标签:网络安全 安全 网络

网络安全知识之看看老美如何保护选民登记数据

美国人认为选民登记数据库 (VRDB) 是丰富的目标,可能是计算机入侵的一个有吸引力的目标。这个问题在美国全国是普遍存在的情况。良好的网络安全的关键是意识和持续的警惕。 概述美国人认为选民登记数据库 (VRDB) 是丰富的目标,可能是计算机入侵的一个有吸引力的目标。这个问题在美国全国是普遍存在的情况。良好的网络安全的关键是意识和持续的警惕。哪些威胁可能会使选民数据面临风险?恶意行为者可能会使用多种方法来干扰选民登记网站和数据库。下面列出了一些攻击方法,并提供了适用于 VRDB 和许多其他计算机网络的指导。网络钓鱼尝试是伪造的电子邮件、文本和其他消息,用于操纵用户单击恶意链接或下载恶意文件附件。
发布时间:2022-01-14 09:52 | 阅读:5742 | 评论:0 | 标签:网络安全 安全 保护 网络

【网络安全学习教程】专业人士必知的渗透测试工具!

  俗话说得好:工欲善其事,必先利其器!为提高渗透测试工作人员的工作效率、节省不必要的时间,现如今也有了更为便捷、快速的渗透测试工具,那么渗透测试常用工具有哪些?这几个是专业人士必知的,快来看看吧。   1、Kali Linux   Kali的前身是BackTrackLinux,由进攻性安全部门的专业人员维护,它在各个方面都进行了优化,可以作为进攻性渗透测试器使用。虽然您可以在自己的硬件上运行Kali,但是在osX或Windows上看到pentester使用Kali虚拟机要常见得多。   2、Nmap   Nmap是端口扫描器的鼻祖,是一种久经考验的测试工具,很少有人能离开它。
发布时间:2022-01-14 04:39 | 阅读:5369 | 评论:0 | 标签:学习 渗透 网络安全 安全 网络

拜登政府网络安全体系四大架构分析

文│中国现代国际关系研究院网络空间安全治理研究中心主任、研究员 唐岚在美国总统拜登上任后,网络安全问题回归为国家要务,白宫当局在相应的理念、机制和举措等方面随之加以调整和改进,网络安全新政频出,整饬力度明显。拜登政府网络安全政策旨在增强统筹协同,理顺指挥链条,打造全方位能力,构建有效的网络安全防御体系,体现了整合所有国家权力工具、动员多方和全员参与的“全政府”“全国家”特点。现阶段,拜登政府网络安全体系基本上形成了包括网络威胁战略认知、网络防御重点、统筹协调机制和网络防御能力的四大架构。
发布时间:2022-01-13 23:17 | 阅读:6166 | 评论:0 | 标签:网络安全 体系 安全 网络 分析

海外及赴港上市企业影响:《网络安全审查办法》解读

《网络安全审查办法》(以下简称《办法》)在2020年4月发布版本的基础上修订,并于2022年1月4日发布。修订后的《办法》将于2022年2月15日起生效实施。划重点:1、不论网络平台运营者或关键信息基础设施运营者是否赴国外或香港上市,但凡其涉及影响或者可能影响国家安全,均需要进行网络安全审查。2、掌握超过100万用户个人信息的网络平台运营者赴国外上市,必须申报网络安全审查。3、重点1涵盖范围以外的企业,赴香港上市不需要进行网络安全审查。《网络安全审查办法》关注重点解读本次《办法》主要针对两大类主体进行要求,一类是网络平台运营者,另一类是关键信息基础设施运营者。
发布时间:2022-01-13 23:17 | 阅读:7709 | 评论:0 | 标签:网络安全 安全 网络

在 AD FS 中获取你的万能令牌

阅读:5一、背景微软的 AD FS(联合身份验证) 服务是一种跨边界的身份识别认证服务,旨在让 AD 域外的服务使用 AD 域账户进行认证,可以在多个不同实体或组织之间实现 SSO(单点登录),经常用来完成云应用程序的单点登录,作为单点登录系统,其重要性不言而喻。一个标准的 AD FS 部署拓扑如下图所示:AD FS 联合认证服务在域中一般需要至少两台服务器部署,一台位于 DMZ 区作为 Web 应用代理,代理来自域外的认证请求到另一台位于域内的 AD FS 服务器,域内的 AD FS 服务器验证用户的身份并且签名认证协议(如:SAML)中的令牌。
发布时间:2022-01-13 18:59 | 阅读:6488 | 评论:0 | 标签:安全分享 单点登录 网络安全 联合身份验证

研读网络安全法律法规,提升技术管理者 “法” 商

每部法规都有法律等级,从宪法到法律,到行政法规,再到地方性的条例和部门规章制度。那么,网络安全相关的法律法规分别对应什么法律等级?了解不同法律法规的等级层次,可以帮助我们更好的理解国家在立法过程中的目的。
发布时间:2022-01-13 18:36 | 阅读:7960 | 评论:0 | 标签:网络安全 安全 法规 网络

《“十四五”数字经济发展规划》,网络安全再被重点提及

近日,国务院发布了《“十四五”数字经济发展规划》(以下简称《规划》),并指出,数字经济是继农业经济、工业经济之后的主要经济形态,是以数据资源为关键要素,以现代信息网络为主要载体,以信息通信技术融合应用、全要素数字化转型为重要推动力,促进公平与效率更加统一的新经济形态。数字经济发展速度之快、辐射范围之广、影响程度之深前所未有,正推动生产方式、生活方式和治理方式深刻变革,成为重组全球要素资源、重塑全球经济结构、改变全球竞争格局的关键力量。
发布时间:2022-01-13 18:36 | 阅读:7515 | 评论:0 | 标签:网络安全 安全 网络

安全头条 | 《网络安全审查办法》正式发布;微软紧急修复FIP-FS中的 “Year 2022” 漏洞

上周安全热点回顾• 《网络安全审查办法》正式发布• 国家网信办发布《移动互联网应用程序信息服务管理规定(征求意见稿)》• 四部门联合发布?
发布时间:2022-01-13 16:50 | 阅读:8138 | 评论:0 | 标签:一周安全头条 漏洞 网络安全 安全 网络 头条 微软

从NIST 网络安全框架看企业SaaS应用安全合规

美国国家标准与技术研究所(NIST)的标准,由于具有专业性,加上外部专家帮助编制NIST文件,使得其在众多组织中发挥了关键作用——从最新的密码要求(NIST 800-63)到制造商物联网安全(NISTIR 8259),NIST始终是个起点。NIST网络安全框架(CSF)最初于2014年发布,上一次更新是在2018年。该框架使众多组织能够借助一套精心规划且易于使用的框架,提高关键基础设施的安全性和弹性。CSF 在 SaaS大行其道时编写和更新,如今伴随 SaaS 的持续发展以及工作环境因新冠疫情出现的重大变化带来了新的安全挑战。
发布时间:2022-01-13 16:50 | 阅读:7857 | 评论:0 | 标签:NIST saas 网络安全框架 网络安全 合规 安全 网络 SaaS

研究人员在广泛使用的 URL 解析器库中发现漏洞

日前,有研究人员对 16 个不同的统一资源定位符( URL )解析库进行调研后,发现了不一致和混乱的情形,它们可以被不法分子用来绕过验证机制,为众多攻击途径敞开大门。随后,两家网络安全公司 Claroty 和 Synk 联合开展了深入的分析工作,结果发现,用C 、JavaScript 、 PHP 、 Python 和 Ruby 等语言编写的许多第三方库存在 8 个安全漏洞,多个 Web 应用程序使用这些第三方库。
发布时间:2022-01-13 16:50 | 阅读:7724 | 评论:0 | 标签:漏洞 网络安全

公告

永久免费持续更新精选优质黑客技术文章Hackdig,帮你成为掌握黑客技术的英雄

求打赏·赞助·支持💖

标签云