-
再也别用弱密码 小心家中路由和设备成肉鸡
所属栏目:[安全] 日期:2022-04-25 热度:168
现在家庭中接入互联网的设备越来越多,手机、平板、电脑、电视、摄像头、智能音箱等都需要网络接入,家庭中20+的上网设备已经不是什么新鲜事。如此一来,家庭网络的安全就尤为重要,想想自己家中的WiFi密码和路由器管理密码,是不是过于简单了呢? 网络安[详细]
-
七个常见的Java应用安全陷阱及应对
所属栏目:[安全] 日期:2022-04-25 热度:95
Java应用程序已经成为黑客经常攻击的目标,毕竟,它涉及的组件太多:服务器端逻辑、客户端逻辑、数据存储、数据传输、API及其他组件,确保所有组件安全无疑困难重重。实际上,23%的.NET应用程序存在严重漏洞,而44%的Java应用程序存在严重漏洞。 Java应用[详细]
-
初探零信任创建的破局之路
所属栏目:[安全] 日期:2022-04-25 热度:135
零信任以持续验证、永不信任的理念彻底颠覆了基于边界的传统安全防御模型,能够有效帮助企业在数字化转型中解决曾经难以解决的难题,而现在越来越多的政府和企业都在用零信任框架模式来实施网络安全措施,一时之间,各路英雄齐聚零信任江湖,争相探索破局[详细]
-
#8203;如何有效实施云安全?Gartner提出三大提议
所属栏目:[安全] 日期:2022-04-25 热度:83
随着数字经济的高速发展,企业数字化转型持续加速,针对云环境的攻击日益频发,攻击技术和方式也在不断升级。伴随着云服务模式的深化应用,细分领域和场景的安全实践带来了云安全市场需求的水涨船高。 据Gartner 2022年CIO技术执行调查的结果显示,有52%的[详细]
-
甲骨文复原 Java 年度加密漏洞 ,影响 Java 15 及以上版本
所属栏目:[安全] 日期:2022-04-25 热度:131
甲骨文于昨日推送了安全更新修复了一个漏洞,该漏洞允许攻击者伪造某些种类的 SSL 证书和握手、双因素认证信息,以及由一系列广泛使用的开放标准产生的授权凭证。这使得攻击者可以轻松地对文件和其他数据进行数字签名。 该漏洞影响了 Java 15 及以上版本中[详细]
-
API密钥与JWT授权比较详解
所属栏目:[安全] 日期:2022-04-25 热度:124
对于某些用例,API密钥就足够了。但另一些情况下,出于安全和灵活的考虑,还需要JSON Web令牌(JWT)授权。所以要比较API密钥和JWT授权两个方案,具体方案还需具体分析。 所有API调用都需要一定程度的安全性和访问控制 具有合理ACL的API密钥可以在不增加太多[详细]
-
应对DVR设备的新BotenaGo恶意软件变种
所属栏目:[安全] 日期:2022-04-25 热度:194
近期,威胁分析人员发现了BotenaGo僵尸网络恶意软件的一种新变种,它是迄今为止最隐秘的变种,任何反病毒引擎都无法检测到它的运行。BotenaGo是一种相对较新的恶意软件,它是用Google的开源编程语言Golang编写。虽然该僵尸网络的源代码自2021年10月被泄露[详细]
-
黑客正利用虚假Windows 11升级引诱受害者上当
所属栏目:[安全] 日期:2022-04-25 热度:126
Bleeping Computer 报道称,已有黑客在利用伪造的 Windows 11 升级安装包,来引诱毫无戒心的受害者上钩。为了将戏演得更真一些,当前正在活跃的恶意软件活动甚至会利用中毒后的搜索结果,来推送一个模仿微软 Windows 11 促销页面的网站。若不幸入套,或被[详细]
-
2022年物联网安全的发展趋向
所属栏目:[安全] 日期:2022-04-25 热度:76
企业的员工开展远程工作带来了全新水平的安全威胁,同时物联网可能进一步放大这些挑战。 在家远程工作带来的问题和挑战严重削弱企业安全防御的能力,物联网的广泛应用将会可能带来更多的问题。 由于勒索软件的损害,物联网安全现在可能不是企业首要考虑的[详细]
-
实现容器安全管理的优秀实践
所属栏目:[安全] 日期:2022-04-25 热度:110
随着Docker、Kubernetes技术的成熟,容器也成为时下最火的开发理念之一。它是云原生概念的重要组成部分,正迅速成为云原生生态系统中部署计算和工作负载的不二选择。云原生计算基金会(CNCF)最新的云原生调查显示,96%的组织在积极使用或评估容器和Kubernet[详细]
-
如何建立零信任边缘
所属栏目:[安全] 日期:2022-04-25 热度:146
数字化是一把双刃剑。企业面临的最大安全挑战之一是在其不断扩大的网络边缘提供一致的保护。每一个新的优势都扩大了潜在的攻击面,网络犯罪分子很快就会将这些新的攻击载体作为攻击目标。在过去两年中,人们看到袭击事件急剧增加,尤其是勒索软件。其中很[详细]
-
CISA 发出警告,攻击者正在运用 Windows 漏洞
所属栏目:[安全] 日期:2022-04-25 热度:196
Bleeping Computer 消息称,美国网络安全和基础设施安全局(CISA)在其积极利用漏洞列表中新增三个安全漏洞,其中包括 Windows Print Spooler 中的本地权限提升漏洞。 从微软发布的公告来看,此高严重性漏洞(被追踪为 CVE-2022-22718)会影响所有 Windows 版[详细]
-
加强企业云安全的三个优秀实践
所属栏目:[安全] 日期:2022-04-16 热度:170
在过去的几年,云计算采用率一直加速增长,并且没有放缓的迹象。事实上,2021年的一项研究发现,93%的企业采用多云战略,87%的企业采用混合云战略。 然而,采用这种方式会增加网络安全威胁的风险。企业需要了解和解决云迁移和战略可能存在的安全漏洞,以便[详细]
-
如何达成更有效的特权访问管理 PAM
所属栏目:[安全] 日期:2022-04-16 热度:80
特权账号的滥用,可能会使基础设施即服务(IaaS)等系统面临更大的风险。特权访问管理(Privileged Access Management,简称PAM)可以对特权账号的访问行为进行统一的管理审计,由此成为一项高优先级的网络防御功能。但有效的PAM需要全面技术策略的支撑,包括[详细]
-
Go 怎样减少供应链攻击?
所属栏目:[安全] 日期:2022-04-16 热度:75
无论采用何种过程或技术手段,每个依赖性都必然存在着相互信任的关系。但是,Go 的工具和设计帮助降低了所有阶段的风险。 所有构建都已锁定 外部世界的变化,例如发布依赖性的新版本,并不会影响 Go 的构建。 与大多数软件包管理器文件不同,Go 模块没有单[详细]
-
惠普 Teradici PCoIP 遭漏洞影响, 波及1500万个端点
所属栏目:[安全] 日期:2022-04-16 热度:139
Bleeping Computer 网站披露,用于 Windows、Linux 和 macOS 的 Teradici PCoIP 客户端和代理中存在一个安全漏洞,影响到 1500 万个端点。 Teradici PCoIP(PC over IP)是一个授权给虚拟化产品供应商的专有远程桌面协议,2021 年被惠普收购,此后一直在其产[详细]
-
一篇带你了解 Thanos Ruler 组件的利用
所属栏目:[安全] 日期:2022-04-16 热度:128
Thano Ruler 组件是用于评估 Prometheus 的记录规则和报警规则的组件,其本身不会抓取 metrics 接口数据,而是通过 Query API 从 query 组件定期地获取指标数据,如果配置了多个 query 地址,则会采用轮询方式获[详细]
-
企业该如何无缝保护其云工作负载?
所属栏目:[安全] 日期:2022-04-16 热度:159
企业为了保护自己的云环境,可能已经采取了保护云身份,强化云安全态势,配置强大的云访问控制等措施,然而,除此之外还需要做一件事:云工作负载保护平台,即CWPP。 云工作负载保护平台会保护在企业的云上运行的工作负载,这些工作负载与构成云环境基础的[详细]
-
Splunk 2022年网络攻击上涨 安全人才仍稀缺
所属栏目:[安全] 日期:2022-04-16 热度:92
近日,Splunk与企业战略集团(Enterprise Strategy Group)合作,发布了《2022全球网络安全态势报告》(State of Security 2022),这一年度全球性调研报告旨在调查现代企业所面临的安全问题。1200多名安全行业的领导者参与了这项调查,他们发现网络攻击有所增[详细]
-
调研 开发安全从左开始而并非安全左移
所属栏目:[安全] 日期:2022-04-16 热度:54
在安全成为软件开发的有机组成之前,软件公司和开发团队还有很长的路要走,但已经有明显的迹象表明,程序员和他们的公司都在更认真地对待安全问题。 安全培训公司Secure Code Warrior和市场调研公司Evans Data,调查了1200名活跃的软件开发者,调查发现只[详细]
-
大数据时代下,兼顾安全和效率是一道没有答案的难题吗?
所属栏目:[安全] 日期:2022-04-16 热度:85
随着云计算、大数据、物联网、移动互联网等新技术的广泛应用,使得我们对海量数据处理和分析的能力大幅提高,一个全新的数据驱动的数字化社会已经加速到来。与此同时,大数据的快速发展也带来了新的安全问题,给社会带来了新的挑战。 一、大数据时代对安全[详细]
-
专家警示汽车制造商更重视技术而非网络安全
所属栏目:[安全] 日期:2022-04-16 热度:161
虽然最近在汽车制造链系统中发现的漏洞似乎不能被视为真正的风险,但是有关专家警告称:随着汽车智能技术的广泛采用,汽车公司对网络安全缺乏关注的问题可能会在未来几年困扰智能汽车、电动汽车系统的发展以及其用户的拓展。 日前技术人员在本田汽车和Acur[详细]
-
企业网站如何预防勒索网站攻击?
所属栏目:[安全] 日期:2022-04-16 热度:114
什么是勒索软件? 勒索软件的本质是感染计算机并限制用户对计算机及其文件访问的恶意软件。勒索软件是通过网络勒索金钱的常用方法,它是一种网络攻击行为,可以立即锁定目标用户的文件、应用程序、数据库信息和业务系统相关的重要信息,直到受害者支付赎金[详细]
-
企业数据泄漏路径与风险
所属栏目:[安全] 日期:2022-04-16 热度:192
互联网时代,企业很难在没有网络的情况下开展业务,保持网站的安全也应是重中之重。 1.数据泄漏途径与风险 企业核心数据一旦泄密将无法估算,数据安全问题危害主体涉及到政府、企业、服务业甚至个人。 随着计算机信息时代的发展泄密方式越来越多,如邮件、[详细]
-
如何建立强大的事件响应过程
所属栏目:[安全] 日期:2022-04-16 热度:115
在构建事件响应流程时,很容易被各种事件所淹没。因此少即是多:首先关注建立可以随着时间的推移而发展的坚实基[详细]
