2022年04月03日
在过去的一年中,人们看到越来越多的企业加快数字化转型,这反映了他们可能实施多年的技术路线图正在加速交付。调研机构麦肯锡公司表示,企业如今已经到了一个需要调整业务运营的临界点。使用基于微服务、容器和Kubernetes的多云环境和云原生架构是数字化转型的核心。虽然这些方法无疑有助于DevOps团队推动数字敏捷性和更快的上市时间,但它们也带来了新的应用程序安全挑战,并将面临严重的风险。
云平台是企业构建基于DevOps的数字化转型计划的基础层,云计算环境提高了成本效率和IT灵活性,并使企业能够快速
2022年04月03日
上个月,一名安全研究人员意外发现了一个名为PrintNightmare的0day漏洞,利用此漏洞,黑客可以在补丁完善的Windows Print Spooler设备上获得完整的远程代码执行能力,此漏洞被微软追踪为CVE-2021-34527。
在6月补丁星期二活动日中,微软发布的安全累积更新中修复了一个类似的Print Spooler漏洞。但是对于已经打过补丁的Windows Server 2019设备,PrintNightmare漏洞依然有效,并允许攻击者远程执行代码。
由于修复不完整,
2022年04月03日
CI/CD是应用程序开发周期的重要组成部分。然而,犯罪分子正在利用CI(持续集成)/CD(持续交付)管道中的漏洞,窃取敏感信息,挖掘加密货币,并交付恶意代码。
最近的网络攻击利用了持续集成/持续交付(CI/CD)管道和开发人员工具中的漏洞,这说明了提高开发人员基础设施的安全性迫在眉睫。最典型的案例则是Codecov供应链攻击,这也提醒了用户,无论环境多么安全都不要在CI/CD环境变量中存储私密信息。
Codecov攻击者入侵了数千名开发人员使用的Bash上传器,成功地从客户环境中窃取了凭证、密
2022年04月03日
据外媒报道,巴西已经创建了一个网络攻击响应网络,旨在通过联邦政府机构之间的协调促进对网络威胁和漏洞的更快响应。根据7月16日签署的总统令,该国的联邦网络事件管理网络将包括总统机构安全办公室及联邦政府管理下的所有机构和实体。
上市公司和混合资本公司及其子公司可以自愿成为该网络的成员。
据悉,该网络将由巴西总统机构安全办公室的信息安全部门通过政府的网络安全事件预防、处理和响应中心进行协调。
隶属经济部管理和数字政府特别秘书处的数字政府秘书处(DGS)将在该网络的形成中发挥战略作用。DGS是SISP
2022年04月03日
法释〔2021〕15号
2021年6月8日最高人民法院审判委员会第1841次会议通过,自2021年8月1日起施行
法规全文
为正确审理使用人脸识别技术处理个人信息相关民事案件,保护当事人合法权益,促进数字经济健康发展,根据《中华人民共和国民法典》《中华人民共和国网络安全法》《中华人民共和国消费者权益保护法》《中华人民共和国电子商务法》《中华人民共和国民事诉讼法》等法律的规定,结合审判实践,制定本规定。
第一条 因信息处理者违反法律、行政法规的规定或者双方的约定使用人脸识别技术处理人脸信息、
2022年04月03日
根据黑莓研究与情报团队周一发布的一份新报告,近期 Go(Golang)、D(DLang)、Nim 和 Rust 编程语言的使用率迎来了较大的增幅。背后的原因,则是恶意软件开发者正试图借助冷门的编程语言来躲避安全社区的分析检测、或解决开发过程中遇到的某些痛点。
(来自:Blackberry)
特点是,恶意软件开发者正在试图利用冷门编程语言来便携加载器和释放器。通过这套组合拳,主流安全分析手段或难以察觉初步和进阶的恶意软件部署。
黑莓团队表示,为避免在目的端点上被揪出,一阶释放器与加
2022年04月03日
福昕软件(Foxit Software)本周发布了福昕PDF阅读器和PDF编辑器的安全更新,用于解决导致远程代码执行的多个漏洞。
这些远程代码执行漏洞被跟踪为CVE-2021-21831、CVE-2021-21870 和CVE-2021-21893,由Cisco Talos研究人员发现。
其中CVSS的严重性评分为8.8。由于某些JavaScript代码或注释对象的处理方式,恶意制作的PDF文件可能会导致重复使用以前空闲的内存和任意代码执行。
攻击者可以通过欺骗目标用户打开恶意PDF文件来利
2022年04月03日
物联网应用的增长速度超出人们的想象,有市场研究机构预测,到 2025 年将有 252 亿物联网设备连接。这一令人兴奋的预测意味着连接设备将收集和交换的数据也随着暴增,在这样的物联网发展趋势下,建立信任的最关键要素之一是物联网安全。
缺乏信任阻碍物联网的采用
对于希望部署物联网解决方案的公司来说,安全性仍然是首要关注的问题。 根据 Beecham 研究报告《为什么物联网项目失败》,62% 的组织将安全问题列为使工业物联网 (IIoT) 计划通过概念验证阶段的关键点,因为网络安全和数据隐私风险
2022年04月03日
身份是新的边界
企业结合了企业内部和云托管的应用程序。员工从不同的地点使用多种设备类型访问企业资源。你不能简单地把人带到办公室,并相信网络周边会保护你的信息。 对于现代企业网络,身份是新的边界。
在整个混合云网络中,身份是可以保护或暴露你宝贵信息的共同环节。以下关于数据泄露和企业安全的统计数据为管理用户访问企业资源的重要性提供了重要背景。
Verizon 2021年数据泄露调查报告发现,在61%的数据泄露事件中,涉及到了被盗的凭证。
根据泰利斯2021年数据威胁报告,只有17%的企业对其存储
2022年04月03日
随着越来越多的公司开始使用云,数据泄露的威胁以及随之而来的规则和罚款只会增加。因此,公司和机构需要预测并适应不断变化的数据和 IT 环境。为此,数据安全和隐私的零信任方法可能是理想的框架。看看将它与数据发现和分类相结合如何可以缩小您的壁垒并同时帮助您更有效地工作。
为什么是零信任?
一个 零信任模型进行操作基础上的想法,任何用户都可以构成威胁,不能被信任。零信任原则要求对用户和进程进行持续的信任检查。反过来,这些是基于上下文的。没有它们,您就无法通知用户访问控制和管理。这种实时、上下文感知