2022年04月03日
毕马威(KPMG)最近发布《企业数据责任:弥合消费者信任鸿沟》报告,量化了客户对企业的信任度,并指出了哪些因素导致了信任度的加速恶化。该调查对2000名美国消费者和250名总监级及更高级别的安全和数据隐私专业人士进行了采访,86%的受访客户表示数据隐私是一个原因,68%的客户表示公司的数据收集水平令人担忧,缩小日益扩大的信任差距并非易事。
虽然62%的安全和数据隐私管理者表示他们的组织应该采取更多措施来加强数据保护,但还有33%表示客户应该关注企业是如何使用他们的数据的。此外这些负责数据隐私管
2022年04月03日
一、前言
本文将针对开发过程中依旧经常出现的SQL编码缺陷,讲解其背后原理及形成原因。并以几个常见漏洞存在形式,提醒技术同学注意相关问题。最后会根据原理,提供解决或缓解方案。
二、SQL注入漏洞的原理、形成原因
SQL注入漏洞,根本上讲,是由于错把外部输入当作SQL代码去执行。目前最佳的解决方案就是预编译的方式。
SQL语句在执行过程中,需要经过以下三大基本步骤:
代码语义分析
制定执行计划
获得返回结果
而一个SQL语句是由代码和数据两部分,如:
SELECTid
2022年04月03日
上个月,强大僵尸网络“新秀”发起一系列基于每秒请求数的超大型分布式拒绝服务(DDoS)攻击,以“一展身手”的方式显示自身实力。
该僵尸网络被命名为Mēris(拉脱维亚语中意为“瘟疫”),是截至目前最大型应用层DDoS攻击的背后黑手,在一周前的攻击中曾达到过2180万请求每秒(RPS)的峰值。
该僵尸网络至少自2021年6月起就活跃在互联网上,造成数万台以太网连接设备沦陷。截至目前,该僵尸网络尚未显露出其真正规模,但Qrat
2022年04月03日
未能有效管理网络漏洞的后果从未如此严重。一次数据泄露可能导致严重的声誉和财务损失,而且泄露的数量每年都在不断增加,而且没有失败。确实,漏洞管理已经不再只是另一种 IT 支出——它应该是一个关键的业务目标。
疫情给信息安全专业人员带来了巨大压力。随着网络安全预算紧张,数以百万计的员工已经全职或兼职转向远程办公,现在越来越复杂的威胁形势对未来提出了更加可怕的挑战。
组织在漏洞管理方面哪里出了问题?
从一开始,太多组织对漏洞管理的含义就已经过时了。不仅仅是扫描您的网络是否存
2022年04月03日
震惊全球的“9.11”恐怖袭击事件已经过去了20年,在数字化应用不断发展的今天,恐怖组织是否会发动网络911事件开始备受行业关注。BreachQuest首席技术官Jake Williams指出:“虽然过去了20年,但是我们仍然清晰地记得911事件发生时恐怖。然而,大多数人可能对WannaCry或NotPetya等网络安全事件缺乏关注。”
但越来越多的线索表明,现代互联网技术正在被恐怖组织掌握并用于增强他们的能力,例如影响潜在的恐怖分子,以及资助
2022年04月03日
想象一下没有翻译的联合国大会——人们会说几十种不同的语言。这就是安全团队与其组织的董事会共享指标和数据时发生的情况。
沟通鸿沟让许多 CISO 难以解释安全投资的价值——如果安全专业人员无法传达该价值,他们就有可能与业务优先事项不同步,或给领导者一种关于安全准备的错误信心。
好消息是,在网络安全方面,董事会认识到参与网络安全问题的重要性,并且在该主题上变得更加复杂。据 Gartner 称,到 2025 年,40% 的董事会将拥有一个由合格董事会
2022年04月03日
前情提要
世界各地的政府组织都面临各种网络安全的风险。 在这个数字化时代,网络犯罪分子比以往任何时候都更有威胁可以让全球各国政府站不住脚。全球政府实体已成为威胁行为者中最受欢迎的目标之一。出于不同的经济和政治动机,网络犯罪分子在过去几年中瞄准了多个政府机构。从国家支持的网络攻击到对国家关键基础设施的攻击,这里列出了全球政府实体最近遭受的8 大网络攻击。
具体内容
1.伊朗交通和城市化部遭到袭击
2021 年 7 月 9 日:伊朗交通和城市化部的计算机系统遭遇网络中断,网站停止服务。事件发
2022年04月03日
在2021年,随着恶意行为者将欺诈重点从金融服务转移到旅游和休闲等行业,针对企业和消费者的数字欺诈(指非法用户有意冒充合法用户接受或发送数据,欺骗、干扰、破坏软硬件的正常运行或获取交互数据)比率在持续上升。
这些是美国的一家公司TransUnion(环联)季度数字欺诈分析的发现之一,该分析发现,与2020年第二季度相比,2021年第二季度全球范围内涉嫌数字欺诈的比率上升了16.5%。
就疑似数字欺诈企图率而言,游戏、旅游休闲是全球受影响最严重的两个行业,去年分别增长了393%和156%。在美国
2022年04月03日
根据Imperva一项为期五年的新研究,全球46%的本地数据库包含安全漏洞,其中大多数是严重或者高危漏洞。Imperva在五年内扫描了全球2.7万个数据库,发现平均每个数据库包含26个漏洞,其中约56%都是严重或者高危漏洞。这意味着一旦被利用,会导致严重的危害。
数据库安全地区排行
报告根据国家和地区的调查结果列出了数据库安全排行榜(下图),法国、澳大利亚、新加坡、英国和中国排在前五位。
报告指出,很多国家的数据库都存在超过全球平均水平的漏洞,无论是在易受攻击的数据库百分比方面,还是在每个数
2022年04月03日
根据Sonatype最新发布的《2021年软件供应链状况报告》,全球对开源代码的旺盛需求导致软件供应链攻击同比增长650%。
报告显示,全球的开发商累计从第三方开源生态系统“借用”超过2.2万亿个开源软件包或组件,以加快上市时间。这包括从Maven中央存储库下载的 Java、从PyPi下载的Python包、从npmjs和.NET NuGet包下载的JavaScript等。这些共享代码包通常包含公开披露的漏洞,攻击者可以利用这些漏洞。然而,Sonatype警告说,越来