-
微软计划加大office宏的开启难度,以阻止恶意软件传播
所属栏目:[安全] 日期:2022-03-17 热度:66
在恶意office文档中嵌入VBA宏是在钓鱼攻击中分发恶意软件的一种非常主流的方式,包括Emotet、TrickBot、Qbot和 Dridex。 微软宣布将在4月开始将启用从互联网下载的VBA宏的方式变难,旨在应对利用VBA宏来分发恶意软件。这一变化将从2203版本开始应用,只影[详细]
-
隐私计算的硬件方案 可信执行环境TEE 兼顾数据安全、隐私保护
所属栏目:[安全] 日期:2022-03-17 热度:160
随着移动互联网和云计算技术的迅猛发展,越来越多的数据在云环境下进行存储、共享和计算,云环境下的数据安全与隐私保护也逐渐成为学术界以及工业界关注的热点问题。目前阶段,隐私保护技术主要基于密码算法及协议(如安全多方计算、同态加密等)完成场景[详细]
-
供应链攻击是什么?以及如何处理
所属栏目:[安全] 日期:2022-03-17 热度:56
过去两年对供应链造成了重大破坏。新冠大流行将供应链攻击问题推向了前沿,2020 年中断率上升了 67%,随着全球市场适应新常态运营,问题预计将持续存在。 然而,对数字供应解决方案的日益依赖也为供应链攻击的增加奠定了基础,预计未来有增无减。2021年美[详细]
-
修Bug哪家强?谷歌 Linux,比我都修得好
所属栏目:[安全] 日期:2022-03-17 热度:75
过去三年内,谁家程序员修Bug最强? 谷歌如是说。因为在他们最新发布的安全漏洞修复报告中,Linux修一个Bug平均只要15天,所用时间最少: 上述数据来源于谷歌在2014年开展的零计划(Project Zero)项目,由谷歌内部的顶级安全大佬参与,群专门对全世界的移[详细]
-
聊聊了解数字签名,你知道了吗?
所属栏目:[安全] 日期:2022-03-17 热度:83
什么是数字签名? 数字签名(一种电子签名)是一种数学算法,通常用于验证消息(例如,电子邮件、信用卡交易或数字文档)的真实性和完整性。数字签名创建个人或实体独有的虚拟指纹,用于识别用户并保护数字消息或文档中的信息。在电子邮件中,电子邮件内容本身[详细]
-
网络安全犯罪正朝向利用0day漏洞方向发展
所属栏目:[安全] 日期:2022-03-17 热度:106
据外媒,Kroll公司的最新威胁景观报告显示,CVE/零日漏洞利用现在已经占到安全事件案例的26.9%,表明攻击者越来越善于利用漏洞,在某些情况下,甚至在概念验证漏洞出现的同一天就利用了这些漏洞。 第四季度的勒索软件攻击数量略有下降,但它仍然是最受欢迎[详细]
-
Second Order 一款功能强大的子域名接管漏洞安全扫描工具
所属栏目:[安全] 日期:2022-03-17 热度:65
关于Second Order Second Order是一款功能强大的子域名接管漏洞安全扫描工具,该工具可以通过网络爬虫爬取App,并收集匹配特定规则或以特定形式响应数据的URL地址以及其他数据,以期帮助广大研究人员扫描Web应用程序并发现其中潜在的二级子域名接管问题。[详细]
-
数据泄露后信息会怎样?
所属栏目:[安全] 日期:2022-03-17 热度:76
我们现在已经听习惯了这里有几百万个账户被入侵,那里还有一个亿。公司数据泄露后,所有数据会怎样?去哪里了?这对漏洞分析有何影响? 2020 年 6 月,被盗的 Facebook 用户数据突然出现在一个在线论坛上出售。到 2021 年 4 月,包含 5 亿多个 Facebook 个人[详细]
-
Gartner IAM技术发展六大趋势
所属栏目:[安全] 日期:2022-03-17 热度:193
由于数字业务依赖IAM赋能的数字信任,安全和身份管理成为企业业务生态系统的重要基[详细]
-
聘请经过认证的道德黑客的 12 个好处
所属栏目:[安全] 日期:2022-03-17 热度:144
你应该听说过你不知道你不知道什么这句话。 这是大多数人在某个时间或其他时间发现自己所处的学习阶段。在网络安全方面,黑客通过找到遗漏的安全漏洞和漏洞而取得成功。恶意攻击者也是如此。但这也适用于身边的等价物:经过认证的道德黑客。 经过认证的道[详细]
-
五大类渗透测试的区别
所属栏目:[安全] 日期:2022-03-17 热度:192
渗透测试已经成为安全体系的评估、运营和改进的基础常规工作,是现代组织用来加强网络安全态势和防止数据泄露的有效方法。但渗透测试根据不同的应用场景有着不同的工作内容,了解它们之间的区别才能够更好地定义渗透测试项目的实施范围,采用匹配的安全专[详细]
-
三个值得关注的2022年云安全趋势
所属栏目:[安全] 日期:2022-03-17 热度:188
数字化的稳步推进、海量数据的处理,让企业越来越依赖于云计算提供的支持。随着云计算服务使用的增加,多云策略会导致企业云计算环境、云计算管理变得复杂,面对不断变化的云计算趋势,企业应该如何适应呢? 以下是三个值得企业关注的2022年云安全趋势,帮[详细]
-
最新发布的WordPress插件漏洞已影响300万个站点
所属栏目:[安全] 日期:2022-03-17 热度:100
近日,已发布的补丁包含 UpdraftPlus 中的严重安全漏洞,这是一个安装量超过300 万的 WordPress 插件,可以武器化以使用易受攻击站点上的帐户下载站点的私人数据。 从2019年3月起,UpdraftPlus的所有版本都包含一个由缺少权限级别检查导致的漏洞,允许不受[详细]
-
数据安全 数据活动监控如何防范勒索软件
所属栏目:[安全] 日期:2022-03-17 热度:139
勒索软件是对数据的攻击。您能否说您预防勒索软件的方法侧重于数据?根据《2021 年数据泄露成本报告》,组织越来越意识到勒索软件可能造成的混乱升级、通知、业务损失和响应成本高达 462 万美元。为了对抗勒索软件,数据保护解决方案需要在整体数据安全和网[详细]
-
5 个问题帮你找到 2022 DevOps 最佳人选
所属栏目:[安全] 日期:2022-03-17 热度:93
DevOps 在当今的业务环境中扮演着至关重要的角色,在企业数字化转型过程中,DevOps能够帮助企业迅速实现自动化和创新。不过,DevOps的好处只有在考虑相关的安全风险缓解并嵌入到DevOps流程中时才能发挥作用。 本着这种精神,作为 CISO 我会向 DevOps 求职[详细]
-
最新报告称传统备份等方式应对勒索攻击不再那么有效
所属栏目:[安全] 日期:2022-03-17 热度:70
机器识别专家 Venafi 的一份最新报告中指出,鉴于双重甚至是三重勒索软件攻击的增长,传统的、常见的缓解勒索软件攻击的方法(例如维护良好的备份)不再变得有效。 该报告对全球范围内 IT 和安全决策者进行了调查,显示 83% 的成功勒索软件攻击涉及到其他勒[详细]
-
通过几行JavaScript就可以读取电脑上的所有数据?
所属栏目:[安全] 日期:2022-03-17 热度:140
大家好,我是 ConardLi,我在之前曾经为大家分析过浏览器的策略: 《HTTP 缓存别再乱用了!推荐一个缓存设置的最佳姿势!》 好多同学看了这篇文章后表示看的云里雾里的,其实这些策略里面都提到了一个漏洞:Spectre 漏洞,这个漏洞究竟有啥魔力,让浏览器频[详细]
-
2022年,产业互联网如何重建安全边界?
所属栏目:[安全] 日期:2022-03-17 热度:138
当人类真正进入到数字化时代,数字化浪潮为全球产业发展变革带来了巨大的变化,数据交换已经成为全球普遍的态势,且快速产业化。 任何数字化创新创造,都有可能发生跨行业、跨领域的级联效应(由一个动作影响系统而导致一系列意外事件发生的效应)。 尤其是[详细]
-
工业互联网安全备受关注,防御体系该如何建设?
所属栏目:[安全] 日期:2022-03-17 热度:58
工业互联网概述 随着工业4.0的提出,全球越来越多的制造企业在云计算、大数据、人工智能和5G等技术的共同作用下开展工业4.0的实践。以新一代信息技术与先进制造技术深度融合为基本特征的智能制造,已成为这次新工业革命的核心驱动力。 工业互联网作为智能[详细]
-
奇安信发布2021漏洞态势报告 重点漏洞数量急剧上涨
所属栏目:[安全] 日期:2022-03-17 热度:98
近日,奇安信CERT正式对外发布了《2021年度漏洞态势观察报告》(简称《报告》),围绕漏洞监测、漏洞分析与研判、漏洞情报获[详细]
-
#8203;全面阻断威胁 零信任边缘战略 落地刻不容缓
所属栏目:[安全] 日期:2022-03-17 热度:92
随着混合办公模式的兴起,远程办公用户需要随时随地快速访问数据中心、多云环境以及SaaS等平台之上的分布式应用程序。全球数字化转型的加速,要求企业组织主动拥抱并部署新技术和新解决方案,以提高业务响应速度及员工的生产力。随着需求的不断扩大,网络[详细]
-
零信任的九个优秀实践
所属栏目:[安全] 日期:2022-03-17 热度:123
采用零信任对于企业来说似乎是一项艰巨的任务,但其付出将获得更多的回报。 公共会计、咨询和技术商Crowe公司的网络安全管理顾问Michael Salihoglu指出,原有的安全模式就像是一座堡垒,有围墙、护城河和吊桥。 他说,人们在堡垒中就可以做任何想做的事情[详细]
-
浅淡隐私增强技术的类型和用途
所属栏目:[安全] 日期:2022-03-17 热度:188
现在,许多企业会收集越来越多的敏感数据,不可避免地会遭遇数据泄露的问题,隐私成为当下科技界备受关注的一个热门话题。隐私是指个人有权利控制或影响其信息如何被收集、使用和存储,以及谁可以披露这些信息、如何披露。第三方不得通过某人提供的数据直[详细]
-
为啥DevOps管道受到网络攻击以及如何反击
所属栏目:[安全] 日期:2022-03-17 热度:189
在2017年,网络攻击者在一个金融软件包中植入了NotPetya恶意蠕虫。当很多企业更新他们的软件时,就会被感染。NotPetya蠕虫病毒因此迅速传播,并为全球各地的企业带来数十亿美元的损失。美国政府称其为史上最具破坏性和代价最高的网络攻击。 在三年后,网络[详细]
-
恶意软件Emotet 的新攻击方式
所属栏目:[安全] 日期:2022-03-17 热度:119
Emotet 曾经是恶意软件领域的霸主,经常变换攻击模式。在 2021 年年底,研究人员就发现 Emotet 启用了一种新的攻击方法。 攻击通过带有恶意 Excel 文件的鱼叉邮件发起,Excel 文档中包含混淆的 Excel 4.0 宏。激活宏代码后,样本会下载并执行一个 HTML 应[详细]
