2022年04月03日
对于企业内部的安全负责人来说,漏洞管理就像一个无底洞。新的应用不断上线,老系统更新版本,让漏洞源源不断。长久下来,好像漏洞无穷无尽,怎么都修不完。漏洞挖掘和漏洞管理就像一个无底洞,是一个永远不能填平的坑。
漏洞管理这个概念业界提出来也是有很久了,但是一直没有特别好的实践案例。总结起来导致这样的情况的原因主要有以下5个方面:
1. 漏洞来源多
安全管理工作最重要的一点,就是不断的发现自身弱点并加强自身,所以用各种手段发现自身网络的弱点,是至关重要的一环。
随着企业安全建设的不断深入,漏洞发现的渠
2022年04月03日
近日,Link11发布了一份针对DDoS的研究报告,报告显示:
2021年上半年DDoS攻击次数创下历史新高,与去年同期相比,攻击数量增加了33%;
2021年第一季度和2021年第二季度之间,DDoS活动量增加了19%;
总体攻击带宽仍然很高:最大攻击量为555Gbps;
攻击带宽急剧增加:与H1/2020相比,H1/2021增加了37%;
2021年上半年超过100Gbps的大容量攻击数量为28。
犯罪分子的目标是在全球新冠肺炎大流行期间访问量很
2022年04月03日
Cloudflare 已修复其免费开源 CDNJS 中的一个严重漏洞,该漏洞可能影响互联网上 12.7% 的网站。
CDNJS为数百万网站提供超过4000个JavaScript和CSS库,这些库公开存储在GitHub上,使其成为第二大JavaScript CDN。
该漏洞利用包括使用 GitHub 和 npm 将数据包发布到 Cloudflare 的 CDNJS,以触发路径遍历漏洞,并最终远程执行代码。
如果被利用,该漏洞将导致 CDNJS 基础设施的完全攻击。
从“ZIP Sl
2022年04月03日
福昕软件(Foxit Software)本周发布了福昕PDF阅读器和PDF编辑器的安全更新,用于解决导致远程代码执行的多个漏洞。
这些远程代码执行漏洞被跟踪为CVE-2021-21831、CVE-2021-21870 和CVE-2021-21893,由Cisco Talos研究人员发现。
其中CVSS的严重性评分为8.8。由于某些JavaScript代码或注释对象的处理方式,恶意制作的PDF文件可能会导致重复使用以前空闲的内存和任意代码执行。
攻击者可以通过欺骗目标用户打开恶意PDF文件来利
2022年04月03日
下述观点可能会颠覆关于密码卫生最佳实践的共同信念。
无可否认,在互联网安全问题日益明显的今天,人们越来越期盼一种无需密码、安全便捷的方式。甚至安全专家长期以来也一直坚持“消灭密码”的观点,他们对这种世界上最古老的身份验证技术所存在的种种问题感到头疼。但事实上,密码不仅是有效的,而且仍然是企业设置中的主要登录凭据。数据显示,全球大约70%的组织仍在依赖“以密码为中心”的身份验证方法。
虽然组织绝对应该尝试提高多因素身份验证 (MFA) 和无密码身
2022年04月03日
ISC名誉主席,中国工程院院士,中国互联网协会咨询委员会主任邬贺铨在大会也表示,随着新一代信息基础设施更广泛和深入服务于社会经济,网络安全是涉及业务、管理、流程、团队等各方面的系统工程,带来的安全问题更为严峻,因此亟需采用新的战略思路来全面增强网络安全的防护能力。
数字化催生网络安全面临拐点
“不能再把网络安全当作信息化的附庸,依靠堆砌碎片化产品试图解决不断变化的安全问题,而是应该直面安全挑战,以‘作战、对抗、攻防思维’为指导,体系化建设安全能力。&rdqu
2022年04月03日
坊间不乏零信任的定义。你会听到诸如原则、支柱、基本原理和宗旨等术语。虽然没有单一的零信任定义,但对一个概念有一个共同的理解是有帮助的。为此,美国国家标准与技术研究所(NIST)发布了NIST SP 800-207零信任架构,其中描述了零信任的以下七个原则。
1. 所有数据源和计算服务都被视为资源。
只将终端用户设备或服务器视为资源的时代已经过去了。今天的网络由一系列动态的设备组成,从传统的项目,如服务器和端点,到更动态的云计算服务,如功能即服务(FaaS),它们可能以特定的权限来执行你环境中
2022年04月03日
关于CamOver
CamOver是一款功能强大的摄像头漏洞利用工具,在该工具的帮助下,广大研究人员可以轻松破解掉你家网络摄像头的管理员密码,并接管你的摄像头。
功能介绍
该工具能够发现并利用大多数主流型号网络摄像头中的安全漏洞,例如CCTV、GoAhead和Netwave等。
经过优化,支持多线程同时攻击多个摄像头。
简单的命令行接口和API用法。
工具安装
由于CamOver使用Python3开发,因此首先需要在本地设备上安装并配置好Python3环境。接下来,
2022年04月03日
密码安全对一个组织来说是至关重要的。访问凭证,包括密码,是进入你的网络的门户。然而,密码仍然是一个安全热点。员工通常是凭证失效的薄弱环节。但是,这可能是由于对威胁者如何实际获取密码信息缺乏认识。一旦这些关于密码的神话被质疑,企业就可以改进围绕密码卫生的安全意识培训。
误区一:永远不要写下你的密码
事实:几十年来,围绕密码安全最常见的建议是永远不要写下密码。虽然你不想把密码贴在电脑屏幕上,然后在社交媒体上分享照片,但写下密码并将其存储在一个安全的地方是可以的。威胁者使用更复杂的方法,如键盘记录或
2022年04月03日
近年来一系列震惊世界的网络攻击加速了对网络安全初创公司的投资。2021 年刚刚过去七个月,投资者已经向网络安全公司投入了 122 亿美元,这比 2020 年全年还多 20 亿美元以上。
云安全初创公司 Netskope 的 CEO Sanjay Beri 在上半年接到一个又一个电话,一封又一封电子邮件。这些信息都来自于想要投资 Netskope 的投资人和基金,由于近期勒索软件攻击和国家支持的黑客都十分活跃,投资方认为安全公司比以往拥有更广阔的市场前景和国家使命。
2012 年 创立 Ne