-
SaaS的好处和坏处 可见性是SaaS安全的关键
所属栏目:[安全] 日期:2022-04-25 热度:196
云的好处是弹性、易用,因而也更具成本效益。软件即服务(SaaS)是未来,通过这种订阅式的在线服务,用户可以节省管理、更新和保护应用程序所需的时间、精力和资源。然而,SaaS有个明显的坏处,安全风险。 事实上,基于云的服务现在是恶意软件最常见的交付方式[详细]
-
再也别用弱密码 小心家中路由和设备成肉鸡
所属栏目:[安全] 日期:2022-04-25 热度:57
现在家庭中接入互联网的设备越来越多,手机、平板、电脑、电视、摄像头、智能音箱等都需要网络接入,家庭中20+的上网设备已经不是什么新鲜事。如此一来,家庭网络的安全就尤为重要,想想自己家中的WiFi密码和路由器管理密码,是不是过于简单了呢? 网络安全[详细]
-
七个常见的Java应用安全陷阱及应对
所属栏目:[安全] 日期:2022-04-25 热度:175
Java应用程序已经成为黑客经常攻击的目标,毕竟,它涉及的组件太多:服务器端逻辑、客户端逻辑、数据存储、数据传输、API及其他组件,确保所有组件安全无疑困难重重。实际上,23%的.NET应用程序存在严重漏洞,而44%的Java应用程序存在严重漏洞。 Java应用安[详细]
-
ESET发出警告,联想三个漏洞影响数百万台电脑
所属栏目:[安全] 日期:2022-04-25 热度:149
联想发布安全公告通报了旗下电脑存在的统一可扩展固件接口 (UEFI) 漏洞,分别是CVE-2021-3970、CVE-2021-3971和CVE-2021-3972,具体漏洞信息如下: CVE-2021-3970:LenovoVariable SMI 处理程序中的一个潜在漏洞,由于在某些联想笔记本型号中验证不足,可能[详细]
-
实现容器安全管理的优秀实践
所属栏目:[安全] 日期:2022-04-25 热度:134
随着Docker、Kubernetes技术的成熟,容器也成为时下最火的开发理念之一。它是云原生概念的重要组成部分,正迅速成为云原生生态系统中部署计算和工作负载的不二选择。云原生计算基金会(CNCF)最新的云原生调查显示,96%的组织在积极使用或评估容器和Kubernetes[详细]
-
如何建立零信任边缘
所属栏目:[安全] 日期:2022-04-25 热度:70
数字化是一把双刃剑。企业面临的最大安全挑战之一是在其不断扩大的网络边缘提供一致的保护。每一个新的优势都扩大了潜在的攻击面,网络犯罪分子很快就会将这些新的攻击载体作为攻击目标。在过去两年中,人们看到袭击事件急剧增加,尤其是勒索软件。其中很多[详细]
-
业务连续性策划 威胁管理的主动方法
所属栏目:[安全] 日期:2022-04-18 热度:146
业务连续性是CIO和CTO规划流程的重要组成部分。黑天鹅事件(极不可能发生,实际却又发生的事件)会对业务产生重大影响。虽然其中一些事件是无法预料的但有些却是可以提前预知的,甚至是完全可以做好防备的。业务连续性就是评估威胁形势并制定计划,以应对可预[详细]
-
Mock在渗透测验中的通与变
所属栏目:[安全] 日期:2022-04-18 热度:110
Mock 简述 Mock 这个词在软件测试行业较为常用。Mock方法是单元测试中常见的一种技术, 它的主要作用是模拟一些在应用中不容易构造或者比较复杂的对象,例如模拟某个接口在特殊情况下的返回值。亦或者前/后端测试团队用于检验数据返回和展示数据是否满足期望值[详细]
-
Wireshark抓包,丢包解析?
所属栏目:[安全] 日期:2022-04-18 热度:161
我们都知道,一般流量分析设备都支持pcap回放离线分析的功能,但如果抓的pcap丢了包,会影响最终安全测试的效果。比如说竞测现场需要提供pcap包测试恶意文件的检测功能,如果pcap中丢包,可能会导致文件还原失败,最终恶意文件检测功能实效。 那问题来了,我[详细]
-
黑客利用木马化的加密货币应用传播恶意软件
所属栏目:[安全] 日期:2022-04-18 热度:142
朝鲜黑客组织Lazarus使用木马化的DeFi APP传播恶意软件。 Lazarus是知名的朝鲜黑客组织,经济利益是其首要目标,尤其是加密货币相关的业务。随着NFT和Defi的不断发展,Lazarus黑客组织在经济领域的攻击目标也在不断地发展。 近日,研究人员发现一款朝鲜黑客[详细]
-
常用的云安全保护措施盘查
所属栏目:[安全] 日期:2022-04-18 热度:63
云计算技术的出现,改变了数据计算和存储的方式,它解决了在海量数据之下,传统数据存储技术的性能瓶颈,越来越受到企业的青睐,并得以快速普及。随着越来越多的敏感信息在线存储于云上,人们对业务和数据安全性的担忧也进一步加大。 幸运的是,在云时代,企[详细]
-
暗网市场 RaidForums被整锅端了
所属栏目:[安全] 日期:2022-04-18 热度:86
根据美国司法部4月12日发布的新闻,由美国主导方面主导、欧洲刑警组织-欧洲网络犯罪中心协调,英国、瑞典、葡萄牙和罗马尼亚的执法机构联合参与进行的国际执法行动 TOURNIQUET,在近期正式取缔非法暗网市场 RaidForums,并没收了相关基础设施资产。 在行动中[详细]
-
零信任从践行到落地应用的观察与思考
所属栏目:[安全] 日期:2022-04-18 热度:108
作为一种新兴安全理念和技术,零信任经过近十年的发展,正在从实践迈向落地应用。随着零信任从理念架构到落地实践的不断突破,如何加速构建零信任安全体系,用零信任解决方案保障千行百业的数字化转型成为目前行业普遍关注的焦点,在安全牛近期的研究中,我[详细]
-
物联网安全和可能淡忘的物联网设备
所属栏目:[安全] 日期:2022-04-18 热度:72
研究表明,2017年物联网设备的数量超过了全球人口数量,并开始得以广泛普及。但是,其中许多物联网设备都没有考虑到安全性。网络攻击者很快就利用了物联网设备的漏洞。 在2016年的一个案例中,网络威胁攻击者中断了Dyn公司的服务,Dyn公司是一家为Twitter、S[详细]
-
Imperva最新报告,消费者之于数据泄露风险日益麻木
所属栏目:[安全] 日期:2022-04-18 热度:70
根据Imperva的最新研究,消费者对与他们开展业务的组织的信任处于最低点,导致许多人放弃安全性。 近段时间,Imperva分别对美国、新加坡、英国和澳大利亚的6773 名消费者(18 岁以上)进行线上调查,并根据调查结果编制了最新的报告《没有一线希望》。该调查揭[详细]
-
智能建筑是网络进攻的下一个目标吗?
所属栏目:[安全] 日期:2022-04-18 热度:51
智能建筑和物联网传感器和设备彻底改变了传统的生活方式。能源效率、降低成本以及提高租户舒适度和安全性等智能建筑的好处刺激了全球需求的增长到 2028 年,智能建筑的数量预计将增加 9.9%。 今天的智能建筑依靠成百上千的物联网传感器和连接到本地服务器和[详细]
-
Go 怎样减少供应链攻击?
所属栏目:[安全] 日期:2022-04-18 热度:189
无论采用何种过程或技术手段,每个依赖性都必然存在着相互信任的关系。但是,Go 的工具和设计帮助降低了所有阶段的风险。 所有构建都已锁定 外部世界的变化,例如发布依赖性的新版本,并不会影响 Go 的构建。 与大多数软件包管理器文件不同,Go 模块没有单独[详细]
-
惠普 Teradici PCoIP 遭漏洞影响, 波及1500万个端点
所属栏目:[安全] 日期:2022-04-18 热度:127
Bleeping Computer 网站披露,用于 Windows、Linux 和 macOS 的 Teradici PCoIP 客户端和代理中存在一个安全漏洞,影响到 1500 万个端点。 Teradici PCoIP(PC over IP)是一个授权给虚拟化产品供应商的专有远程桌面协议,2021 年被惠普收购,此后一直在其产品[详细]
-
一篇带你了解 Thanos Ruler 组件的利用
所属栏目:[安全] 日期:2022-04-18 热度:199
Thano Ruler 组件是用于评估 Prometheus 的记录规则和报警规则的组件,其本身不会抓取 metrics 接口数据,而是通过 Query API 从 query 组件定期地获取指标数据,如果配置了多个 query 地址,则会采用轮询方式获[详细]
-
企业该如何无缝保护其云工作负载?
所属栏目:[安全] 日期:2022-04-18 热度:197
企业为了保护自己的云环境,可能已经采取了保护云身份,强化云安全态势,配置强大的云访问控制等措施,然而,除此之外还需要做一件事:云工作负载保护平台,即CWPP。 云工作负载保护平台会保护在企业的云上运行的工作负载,这些工作负载与构成云环境基础的基[详细]
-
Splunk 2022年网络攻击上涨 安全人才仍稀缺
所属栏目:[安全] 日期:2022-04-18 热度:117
近日,Splunk与企业战略集团(Enterprise Strategy Group)合作,发布了《2022全球网络安全态势报告》(State of Security 2022),这一年度全球性调研报告旨在调查现代企业所面临的安全问题。1200多名安全行业的领导者参与了这项调查,他们发现网络攻击有所增加[详细]
-
调研 开发安全从左开始而并非安全左移
所属栏目:[安全] 日期:2022-04-18 热度:186
在安全成为软件开发的有机组成之前,软件公司和开发团队还有很长的路要走,但已经有明显的迹象表明,程序员和他们的公司都在更认真地对待安全问题。 安全培训公司Secure Code Warrior和市场调研公司Evans Data,调查了1200名活跃的软件开发者,调查发现只有1[详细]
-
大数据时代下,兼顾安全和效率是一道没有答案的难题吗?
所属栏目:[安全] 日期:2022-04-18 热度:121
随着云计算、大数据、物联网、移动互联网等新技术的广泛应用,使得我们对海量数据处理和分析的能力大幅提高,一个全新的数据驱动的数字化社会已经加速到来。与此同时,大数据的快速发展也带来了新的安全问题,给社会带来了新的挑战。 一、大数据时代对安全的[详细]
-
专家警示汽车制造商更重视技术而非网络安全
所属栏目:[安全] 日期:2022-04-18 热度:90
虽然最近在汽车制造链系统中发现的漏洞似乎不能被视为真正的风险,但是有关专家警告称:随着汽车智能技术的广泛采用,汽车公司对网络安全缺乏关注的问题可能会在未来几年困扰智能汽车、电动汽车系统的发展以及其用户的拓展。 日前技术人员在本田汽车和Acura[详细]
-
如何达成更有效的特权访问管理 PAM
所属栏目:[安全] 日期:2022-04-18 热度:63
特权账号的滥用,可能会使基础设施即服务(IaaS)等系统面临更大的风险。特权访问管理(Privileged Access Management,简称PAM)可以对特权账号的访问行为进行统一的管理审计,由此成为一项高优先级的网络防御功能。但有效的PAM需要全面技术策略的支撑,包括对[详细]