-
[站外广告]业务列表介绍和一般分类
业务列表介绍和一般分类:类别:攻击入侵破解开发1:攻击业务订单:暂时取消所有此类业务订单[仅销售常规IDC流量]2:入侵业务清单:包括网站源代码,办公系统,黑色系统,教育系统等。[接受授权的业务] ...
-
30美元即可攻破英特尔SGX
近日,伯明翰大学的研究人员制作了一个成本仅为30美元的设备来控制CPU电压,成功攻破了机密计算底层技术——IntelSGX(一种由英特尔处理器使用的安全功能)。这项工作是2019年一个项目的延续,该项目中一个国际研究团队演示了如何使用软件欠压破坏英特尔的安全防护。这种称为“Plundervo...
-
微软:短信是最不安全的MFA验证方法
近日微软身份安全总监AlexWeinert认为,应避免依赖SMS和语音呼叫传递身份验证因素的多因素身份验证(MFA)。但这并不是说应该避免MFA,而是应该选择更安全、更可靠的方法来实现多因素身份验证。为什么基于SMS短信和语音的MFA是最不安全的选择去年,Weinert指出,使用任何形式的M...
-
2021年数据加密的六大趋势
2020年是网络安全技术“变革”的一年,是应对新挑战和概念落地的一年。但是在最为关键的数据安全领域,加密技术相对稳定。到2021年,加密技术有望迎来重大变革,以下我们列出2021年值得关注的六大加密趋势。云计算将扮演更重要的角色,尤其是在金融服务领域随着越来越多的组件融合在一起,基于云的加密和...
-
五项检查有效避免SaaS安全配置错误
SaaS安全配置错误可能引发损失惨重的灾难性数据泄露。可通过超级用户强制MFA、杜绝共享邮箱、定义明确外部用户协作规则、启用审计、禁止未知匿名外部访问等措施强化SaaS应用安全。企业依赖SaaS应用执行无数功能,例如协作、市场营销、文件共享等等。但问题是,企业往往缺乏配置这些应用的资源,无法阻...
-
华为、LG、小米手机无线文件传输曝出严重漏洞
在一项对华为、LG和小米制造的安卓手机的点对点(P2P)文件共享功能的研究中,Doyensec应用程序安全工程师洛伦佐·斯特拉发现,这些手机厂商的文件共享设计程序存在严重的安全漏洞,恶意应用程序可以轻易劫持传输会话。文件共享服务被滥用安全业界先前对WiFiDirect协议的研究侧重于网络架构...
-
欺诈即服务Classiscam:一年掘金650万美元
在美国和多个欧洲国家运营的约40个网络犯罪团伙共同组成“Classiscam”欺诈即服务运营网络。Classiscam受害者分布图俄罗斯网络罪犯再曝新操作,分类广告骗子从美国、欧洲和前苏联成员国买家手中骗得650万美元。在1月14日发布的报告中,网络安全公司Group-IB深入追寻此网络犯罪...
-
安全团队不可错过的七个云安全开源工具
开源工具是网络安全团队武器库中必不可少的利器,在云计算普及的今天,虽然云安全厂商们大多提供了本机安全工具套件,但是随着云应用和云负载的不断增加,IT团队经常会发现云计算平台的安全开发、合规性和管理工作负载的能力与实际需求存在差距,而很多开源云安全工具则能弥补这个空白。以下,我们推荐七个2021年值...
-
物理安全事件增长加重IT安全压力
新研究表明,为应对新冠肺炎疫情爆发以来的新威胁,很多公司企业已改变了物理安全策略。新冠肺炎疫情伊始,物理安全事件随之增多,许多公司企业的IT安全团队压力骤增。远程视频监控服务提供商Pro-Vigil最近发布调查研究报告,称124位受访业务运营主管中近20%表示自家企业遭遇的物理安全事件比上一年更...
-
工业远程访问真得风险巨大令人恐惧吗?
正常运行时间增加?没错。更方便获得外部专业知识?对的。第一时间修复率提升?正是如此。说到工业远程访问,这些不过是诸多好处当中的几个例子而已。但仍有许多客户不愿意采纳远程访问。不仅如此,近期奥尔兹马供水设施遭遇网络攻击之类的事件,可能也加重了公司企业对远程访问的抗拒心理。▶以奥尔兹马供水设施遭入...
-
2021网络安全公开课(第一期)
2020年,天融信在网安领域顶尖机构支持指导下,联合多家高校开设两期网络安全公开课,从不同安全视角讲授网络安全知识,提升网安爱好者的安全技术能力,共筑网络安全防线。公开课收到广大学员的积极报名和喜爱,5000余名学员报名参与学习,观看直播及回放视频巩固学习,累计学习时长40000小时。2021年,...
-
PCI安全软件生命周期(Secure SLC)标准1.1版本发布
近日,PCI安全标准委员会(PCISSC)发布了PCI安全软件生命周期(SecureSLC)标准1.1版本及其项目文档。PCISecureSLC标准是PCI软件安全框架(SSF)的两个标准之一。PCISecureSLC标准为软件供应商提供了安全要求和评估程序,可以集成到他们的软件开发生...
-
10种常见网站安全攻击手段及防御方法
在某种程度上,互联网上的每个网站都容易遭受安全攻击。从人为失误到网络罪犯团伙发起的复杂攻击均在威胁范围之内。网络攻击者最主要的动机是求财。无论你运营的是电子商务项目还是简单的小型商业网站,潜在攻击的风险就在那里。知己知彼百战不殆,当今网络时代,了解自己面对着何种威胁比以往任何时候都来得更为重要。...
-
GitHub删除概念验证漏洞利用代码引发争议
近日,GitHub删除了安全研究人员NguyenJang发布的概念验证(PoC)漏洞利用代码,该漏洞利用了最近成为业界焦点的微软Exchange软件漏洞。GitHub的决定立即引发了网络安全行业的争论,即安全研究人员何时应避免发布软件漏洞,以及GitHub之类的软件代码平台应如何管理其用户。...
-
调查:近半数公司禁止与专业社群共享威胁情报
卡巴斯基近期调查研究揭示,近半数公司企业禁止自家威胁情报分析师与专业社群共享分析成果。卡巴斯基最近的一项调查研究发现,超过三分之二(69%)的威胁情报分析师活跃于各个专业社群,但其中48%从事IT和网络安全职业的分析师不能共享通过社群发现的威胁情报成果。卡巴斯基长期倡导网络空间国际合作,致力...
-
PHP被植入恶意软件后门
本周一PHP项目宣布遭到黑客攻击,PHP的主Git服务器被非法访问,攻击者上载了两个恶意提交,其中包括后门,但在投入生产环境之前就被发现了。PHP是最流行的Web开发开源脚本语言之一,代码可嵌入HTML。恶意提交被推送到php-src存储库,从而为攻击者提供了一个供应链攻击机会,感染不知情的网站...
-
2020年全球云安全威胁榜单
近年来,网络犯罪组织和黑客对云服务的滥用与日俱增,不仅因为云服务提供了可靠的弹性托管基础架构,能够绕过传统的安全控制,另外一个不容忽视的诱因是:用户盲目地,或者过度信任云服务的安全性。这也导致越来越多的废弃软件(例如GuLoader或BazaarLoader)被采用(在最近的Ryuk勒索软件攻击浪...
-
谷歌和苹果(仍然)大规模采集用户隐私数据
谷歌和苹果公司近来在用户隐私保护和透明度方面高调行事,例如Google上月宣布停止Chrome第三方cookie,而苹果公司则在iOS14中禁止开发者不经用户同意采集IDFA(广告客户识别码),后者是广告行业跨应用追踪消费者,精准推送广告的关键数据。但是,近日爱尔兰三位一体学院的研究员道格拉斯·...
-
实施零信任网络的五个实用步骤
零信任的概念在10年前往往无人重视,2020年的疫情爆发将它推到企业安全重点关注的首要位置。COVID-19大流行推动了大规模的远程工作,在复杂多样的使用环境下,几乎是一夜之间将组织传统的基于系统的安全模型打破。在这种远程工作的新常态中,组织的网络不再是一个单一的位置和事物,它无时无刻地存在于...
-
幽灵漏洞新变种,威胁英特尔和AMD处理器预计影响数十亿电脑
3年前困扰英特尔和AMD处理器的幽灵漏洞又回来了。5月6日消息,一组弗吉尼亚大学和加州大学圣地亚哥分校的学者发现了幽灵漏洞新变种,它可以绕过当前处理器上所有针对幽灵漏洞的防护措施,几乎可以将所有设备一网打尽,包括台式机、笔记本电脑、云服务器和智能手机。Spectre和Meltdown的披露...