信息安全最新文章 思科安全管理器曝出大量严重漏洞 近日,威胁情报和渗透测试公司Code White的安全研究员Florian Hauser在思科安全管理器中共发现了十二个漏洞,其中包括关键路径遍历漏洞、高风险的静态凭证错误和多个严重的Java反序列化漏洞,其中大多数可直接导致远程代码执行(RCE)。 發(fā)表于:2020/11/19 绕过VPN和防火墙?苹果给自家APP留后门 近日,苹果公司新推出的macOS操作系统版本Big Sur的一项“新功能”引起了安全人士的关注和担忧。该功能允许某些(约50个)Apple应用程序绕过内容过滤器和VPN。安全专家们认为这是一种危险的做法,攻击者可以利用这项新功能来绕过防火墙,访问人们的系统并暴露其敏感数据。 發(fā)表于:2020/11/19 基于零信任架构的IoT设备身份认证机制研究 随着物联网技术与互联网经济的发展,新技术态势下的网络安全威胁和风险不断涌现与扩散,新型应用场景致使网络安全边界模糊、增加新的暴露面,安全风险不容忽视。提出基于零信任技术,利用区块链、设备指纹、PKI/DPKI、人工智能、轻量化安全协议和算法等技术作为身份安全基础设施,重点对身份安全基础设施、物联网安全网关、感知网关节点设备等身份认证方案进行设计和优化。最后通过实验与分析,验证方案的实际效果。 發(fā)表于:2020/11/19 用算法打击恶意软件,网络安全公司Menlo Security融资1亿美元 Menlo Security是保护组织免受网络威胁的无端点云解决方案提供商,今天以8亿美元的估值筹集了1亿美元。该公司表示,这些资金将用于上市、销售和全球扩张。 發(fā)表于:2020/11/18 西门子发布能源基础设施事件响应手册 近日西门子公司发布了《模拟能源行业的网络攻击:事件响应手册》,该手册模拟了能源行业的网络攻击,以教育监管者、公用事业以及IT和OT安全专家。 發(fā)表于:2020/11/18 网络安全意识培训的八大新策略 网络安全意识培训的重要性已经无需多言,但是很多企业在实践中面临两难境地,力度小了员工敷衍了事,而力度大了,如果方式不对,有时候也会起到反作用,甚至会让安全意识培训在企业内部落下“不讲武德”的坏名声。 發(fā)表于:2020/11/18 ATT&CK完整覆盖“杀链”模型,未来将面临两大挑战 ATT&CK框架公开发布于2015年,从最初的一个内部人员分享的Excel电子表格工具,到如今已经发展成为威胁活动、技术和模型的全球知识库,成为在企业、政府和安全厂商中广为流行的安全工具。 ATT&CK框架提供了关于野外网络攻击活动最全面及时的社区知识集合,这有助于企业划分安全威胁的优先级,并用于评估安全方法、产品和服务。 發(fā)表于:2020/11/18 2020年度盘点:勒索软件即服务 (RaaS) 犯罪团伙 随着全球新冠病毒大流行,世界各地的经济处于崩溃的边缘,失业率攀升。然而,勒索软件由于其匿名性和暴力性,导致一些使用勒索软件进行分发敛财的团队愈发增多。 發(fā)表于:2020/11/18 圆通多位“内鬼”有偿租借员工账号,1300余万条个人信息被泄露 针对圆通多位“内鬼”有偿租借员工账号,泄露公民信息一事,圆通速递方面11月17日回应称,已报案,相关嫌疑人于9月落网,对此案件暴露的问题深表歉意,坚决配合打击非法售卖和使用快递用户信息的行为。 發(fā)表于:2020/11/18 12月1日起,网络安全将成为美国防部采购合同的必要合规项 随着新一代网络安全成熟度模型认证(CMMC)授权的15份合同的截止日期临近,美国五角大楼方面明确表示,这仅是个开始,未来他们计划对至少1500家承包商及分包商进行网络安全成熟度认证。 發(fā)表于:2020/11/18 为了安全,微软做了一颗芯片 在您的计算机中,最敏感的部分是一个被称为“安全区域”(secure enclave)的独特硬件组件。这些芯片的设计不仅可以防止黑客访问您系统的皇冠上的宝石,还可以建立“信任根”,运行加密检查以确保没有黑客恶意修改过它们。 發(fā)表于:2020/11/18 基于关联规则的网络异常检测系统设计与实现 入侵检测技术是网络安全防御的核心技术之一。由于网络承载的带宽流量日益增多,入侵检测系统需要提供快速的检测能力。Snort入侵检测系统依靠将抓取的数据与规则匹配来判断是否受到攻击,因此规则的好坏决定了系统性能的高低。结合数据挖掘技术,设计实现一种基于关联规则的关联分析器插件来增强Snort对入侵的识别能力。首先利用Apriori对Snort产生的告警日志进行数据挖掘,搜索隐藏的攻击模式;然后,将关联规则转化为相应的Snort规则。最后,利用SYN Flood攻击测试规则增强的Snort系统的性能,结果表明,改进后的Snort能够提高对SYN Flood攻击的检测效率。 發(fā)表于:2020/11/18 【零信任】零信任的终端安全闭环 零信任理念有一个基本假设——威胁是始终存在的。所以,在零信任架构中,没有默认的信任。任何东西都默认存在威胁,在经过持续验证,达到一定可信等级前,不能接触企业资源。 發(fā)表于:2020/11/17 密码深度融合成为新方向 【摘 要】密码是经严格科学证明的网络空间安全的根本性核心技术,也是赋能数字经济发展的核心支撑。面对网络空间安全的严峻挑战,适应数字经济的快速发展,必须加紧构建以密码为基石的新的网络空间安全体系,必须加紧推动密码与数字化生态的深度融合。做强做优商用密码产业,构建现代密码产业体系,提升密码高质量供给显得尤为重要。 發(fā)表于:2020/11/17 6种常见网络钓鱼攻击的防范 【编者按】网络钓鱼攻击是个人和公司在保护其信息安全方面面临的最常见的安全挑战之一。无论是获取密码、信用卡还是其他敏感信息,黑客都在使用电子邮件、社交媒体、电话和任何可能的通信方式窃取有价值的数据。当然,企业更是一个特别值得关注的目标。根据Verizon Enterprise的2020年数据泄露调查报告,网络钓鱼是安全事件中第二大威胁类型,也是数据泄露中最大的威胁类型。网络钓鱼攻击继续在数字威胁格局中占据主导地位。 發(fā)表于:2020/11/17 <…325326327328329330331332333334…>
