-
修Bug哪家强?谷歌 Linux,比我都修得好
所属栏目:[安全] 日期:2022-03-17 热度:85
过去三年内,谁家程序员修Bug最强? 谷歌如是说。因为在他们最新发布的安全漏洞修复报告中,Linux修一个Bug平均只要15天,所用时间最少: 上述数据来源于谷歌在2014年开展的零计划(Project Zero)项目,由谷歌内部的顶级安全大佬参与,群专门对全世界的移[详细]
-
聊聊了解数字签名,你知道了吗?
所属栏目:[安全] 日期:2022-03-17 热度:197
什么是数字签名? 数字签名(一种电子签名)是一种数学算法,通常用于验证消息(例如,电子邮件、信用卡交易或数字文档)的真实性和完整性。数字签名创建个人或实体独有的虚拟指纹,用于识别用户并保护数字消息或文档中的信息。在电子邮件中,电子邮件内容本身[详细]
-
微软计划加大office宏的开启难度,以阻止恶意软件传播
所属栏目:[安全] 日期:2022-03-17 热度:127
在恶意office文档中嵌入VBA宏是在钓鱼攻击中分发恶意软件的一种非常主流的方式,包括Emotet、TrickBot、Qbot和 Dridex。 微软宣布将在4月开始将启用从互联网下载的VBA宏的方式变难,旨在应对利用VBA宏来分发恶意软件。这一变化将从2203版本开始应用,只影[详细]
-
保护 SSH 的三个技巧
所属栏目:[安全] 日期:2022-03-17 热度:175
SSH(安全 Shell)是一个协议,它使你能够创建一个经过验证的私人连接,并使用加密密钥保护通道,在另一台机器上启动一个远程 Shell。使用这种连接,你可以执行远程命令,启动安全文件传输,转发套接字、显示和服务,等等。 在 SSH 出现之前,大多数远程管理[详细]
-
如何避免Web应用程序安全测试中的API盲区?
所属栏目:[安全] 日期:2022-03-17 热度:184
应用编程接口(API)是现代Web应用程序开发的一个重要部分,它们在整个Web攻击面中占有相当大的比重。在现实世界中,企业进行Web应用程序安全测试时覆盖整个攻击面,同时又满足测试准确性和工作流高效集成之类的需求,是一项艰巨的任务。现代应用程序远不止[详细]
-
云计算时代下,企业面临的五个混合云安全困境
所属栏目:[安全] 日期:2022-03-17 热度:155
自云计算出现至今,它已经帮助很多企业实现数字化、智能化、自动化,尽管有很多文章在唱衰云计算,但近年来,边缘计算、物联网、AI等新兴技术正在推动云计算往更高的方向走。为了让云计算更具灵活性,很多企业会选择多种云来实现他们的业务目标,这也让云[详细]
-
谷歌研究 Linux 在修补漏洞方面比苹果、谷歌和微软做得更好
所属栏目:[安全] 日期:2022-03-17 热度:105
来自谷歌安全研究团队 Project Zero 的研究表明,Linux 开发者在修复安全漏洞方面比其他任何人(包括谷歌)都要更加迅速。 从 2019 年到 2021 年,Project Zero 在标准的 90 天期限内共向供应商报告了 376 个问题。这些 bug 中的 351 个 (93.4%) 已被修复、1[详细]
-
中小型企业常见网络安全错误盘点与应对
所属栏目:[安全] 日期:2022-03-17 热度:96
中小型企业应如何生存下去?通常我们的关注点主要聚焦在业务规划、营销策略、吸引额外投资等方面,但很少有人提及建立稳固的网络安全系统。然而,缺乏对网络威胁的清晰理解可能会使中小型企业丧失成功的机会,本文讨论了一些典型的网络安全错误,以及应对措[详细]
-
隐私计算的硬件方案 可信执行环境TEE 兼顾数据安全、隐私保护
所属栏目:[安全] 日期:2022-03-17 热度:110
随着移动互联网和云计算技术的迅猛发展,越来越多的数据在云环境下进行存储、共享和计算,云环境下的数据安全与隐私保护也逐渐成为学术界以及工业界关注的热点问题。目前阶段,隐私保护技术主要基于密码算法及协议(如安全多方计算、同态加密等)完成场景[详细]
-
浅淡隐私增强技术的类型和用途
所属栏目:[安全] 日期:2022-03-17 热度:142
现在,许多企业会收集越来越多的敏感数据,不可避免地会遭遇数据泄露的问题,隐私成为当下科技界备受关注的一个热门话题。隐私是指个人有权利控制或影响其信息如何被收集、使用和存储,以及谁可以披露这些信息、如何披露。第三方不得通过某人提供的数据直[详细]
-
零信任的九个优秀实践
所属栏目:[安全] 日期:2022-03-17 热度:122
采用零信任对于企业来说似乎是一项艰巨的任务,但其付出将获得更多的回报。 公共会计、咨询和技术商Crowe公司的网络安全管理顾问Michael Salihoglu指出,原有的安全模式就像是一座堡垒,有围墙、护城河和吊桥。 他说,人们在堡垒中就可以做任何想做的事情[详细]
-
#8203;全面阻断威胁 零信任边缘战略 落地刻不容缓
所属栏目:[安全] 日期:2022-03-17 热度:120
随着混合办公模式的兴起,远程办公用户需要随时随地快速访问数据中心、多云环境以及SaaS等平台之上的分布式应用程序。全球数字化转型的加速,要求企业组织主动拥抱并部署新技术和新解决方案,以提高业务响应速度及员工的生产力。随着需求的不断扩大,网络[详细]
-
5 个问题帮你找到 2022 DevOps 最佳人选
所属栏目:[安全] 日期:2022-03-17 热度:173
DevOps 在当今的业务环境中扮演着至关重要的角色,在企业数字化转型过程中,DevOps能够帮助企业迅速实现自动化和创新。不过,DevOps的好处只有在考虑相关的安全风险缓解并嵌入到DevOps流程中时才能发挥作用。 本着这种精神,作为 CISO 我会向 DevOps 求职[详细]
-
奇安信发布2021漏洞态势报告 重点漏洞数量急剧上涨
所属栏目:[安全] 日期:2022-03-17 热度:127
近日,奇安信CERT正式对外发布了《2021年度漏洞态势观察报告》(简称《报告》),围绕漏洞监测、漏洞分析与研判、漏洞情报获[详细]
-
工业互联网安全备受关注,防御体系该如何建设?
所属栏目:[安全] 日期:2022-03-17 热度:95
工业互联网概述 随着工业4.0的提出,全球越来越多的制造企业在云计算、大数据、人工智能和5G等技术的共同作用下开展工业4.0的实践。以新一代信息技术与先进制造技术深度融合为基本特征的智能制造,已成为这次新工业革命的核心驱动力。 工业互联网作为智能[详细]
-
2022年,产业互联网如何重建安全边界?
所属栏目:[安全] 日期:2022-03-17 热度:135
当人类真正进入到数字化时代,数字化浪潮为全球产业发展变革带来了巨大的变化,数据交换已经成为全球普遍的态势,且快速产业化。 任何数字化创新创造,都有可能发生跨行业、跨领域的级联效应(由一个动作影响系统而导致一系列意外事件发生的效应)。 尤其是[详细]
-
通过几行JavaScript就可以读取电脑上的所有数据?
所属栏目:[安全] 日期:2022-03-17 热度:146
大家好,我是 ConardLi,我在之前曾经为大家分析过浏览器的策略: 《HTTP 缓存别再乱用了!推荐一个缓存设置的最佳姿势!》 好多同学看了这篇文章后表示看的云里雾里的,其实这些策略里面都提到了一个漏洞:Spectre 漏洞,这个漏洞究竟有啥魔力,让浏览器频[详细]
-
最新报告称传统备份等方式应对勒索攻击不再那么有效
所属栏目:[安全] 日期:2022-03-17 热度:148
机器识别专家 Venafi 的一份最新报告中指出,鉴于双重甚至是三重勒索软件攻击的增长,传统的、常见的缓解勒索软件攻击的方法(例如维护良好的备份)不再变得有效。 该报告对全球范围内 IT 和安全决策者进行了调查,显示 83% 的成功勒索软件攻击涉及到其他勒[详细]
-
数据安全 数据活动监控如何防范勒索软件
所属栏目:[安全] 日期:2022-03-17 热度:154
勒索软件是对数据的攻击。您能否说您预防勒索软件的方法侧重于数据?根据《2021 年数据泄露成本报告》,组织越来越意识到勒索软件可能造成的混乱升级、通知、业务损失和响应成本高达 462 万美元。为了对抗勒索软件,数据保护解决方案需要在整体数据安全和网[详细]
-
区块链技术怎样保护数字身份?
所属栏目:[安全] 日期:2022-03-17 热度:137
当今的传统身份管理系统高度集中,导致多个第三方服务提供商控制您的数据。这个问题可以在多个现有的社交媒体和电子商务平台上清楚地看到,在这些平台上,用户不再能够单独控制他们的个人信息,导致他们的机密数据经常被泄露和滥用。 目前,每个在线平台都[详细]
-
网络弹性如何重造网络安全?
所属栏目:[安全] 日期:2022-03-17 热度:62
网络犯罪如今在数字化世界的两个方面都在迅速增长;复杂性和复发率。为了在运营环境中保持弹性,企业的网络安全部门必须使用最新技术进行更新,以保护IT资产和基础设施设置。传统的安全方法无法解决新时代复杂的网络犯罪问题。企业必须制定强有力的网络安全[详细]
-
数据中毒 下一个大危害
所属栏目:[安全] 日期:2022-03-17 热度:112
针对使用人工智能 (AI) 和机器学习 (ML) 的安全软件的数据中毒可能是下一个重大的网络安全风险。根据SANS 技术研究所研究主任 Johannes Ullrich在RSA 2021 的主题演讲中,这是一个大家都应该关注的威胁。 Ullrich 在 RSA 说在机器学习方面,最基本的威胁之[详细]
-
看准Windows的新兴僵尸网络 Kraken
所属栏目:[安全] 日期:2022-03-17 热度:122
2021 年 10 月,ZeroFox Intelligence 披露了名为 Kraken 的僵尸网络。Kraken 通过 SmokeLoader 进行传播,每次更新攻击基础设施时都会扩大规模。尽管与 2008 年发现的 Kraken 僵尸网络同名,但二者并没有其他共同点。 自从 2021 年 10 月以来,Kraken 僵[详细]
-
CASB和SASE 有啥区别?
所属栏目:[安全] 日期:2022-03-17 热度:56
在向云应用程序和数字化转型的大规模转变中,云访问安全代理 (CASB) 应运而生。当用户从企业外围内访问这些资产时,CASB旨在减轻围绕云资产的风险。 有时,我们很容易将CASB视为发现和保护数据访问的技术或功能的集合。有趣的是,当推出CASB时,他们的重点[详细]
-
CISA 已知被运用漏洞列表中,新增两个 Zabbix 漏洞
所属栏目:[安全] 日期:2022-03-17 热度:127
Security Affairs 资讯网站披露,美国网络安全基础设施和安全局(CISA) 在其已知被利用漏洞目录中,新增了两个 Zabbix 漏洞。据悉,漏洞会影响 Zabbix 基础设施监控工具。 漏洞详情如下表: 根据具有约束力的操作指令(BOD) 22-01要求:为了降低已知被利用漏[详细]
