2022年04月08日
在过去几年中,DevOps文化的出现从根本上改变了软件开发的方式,使企业可以更快地推送代码,并自动扩展支持新功能和创新所需的基础设施。而将DevSecOps投入到开发和运营渠道中的安全性日益增强,现在正在改变应用程序安全性的状态,但是一份最新发布的行业调查报告表明,这种差距仍然存在。
安全测试所有权
调研机构Enterprise Strategy Group(ESG)公司最近发布的一份调查报告对北美地区的378位应用程序开发人员和应用程序安全专业人员进行了调查,发现尽管许多组织认为自己的应用
2022年04月08日
属于Digital Point网站管理员论坛的一个数据库泄露了超过80万用户的记录。
总部位于加利福尼亚州圣地亚哥的Digital Point自称是“世界上最大的网站管理员社区”,汇集了自由职业者、营销人员、编码人员和其他创意专业人士。
7月1日,网站行星研究小组和网络安全研究员杰里米·福勒发现了一个不安全的Elasticsearch数据库,其中包含超过6200万条记录。总的来说,属于863412数字点用户的数据被包括在泄漏中。
据该小组称,姓名、电子邮
2022年04月08日
日志记录和日志分析对于保护基础设施安全来说至关重要,尤其是当我们考虑到通用漏洞的时候。这篇文章基于我在 FOSDEM'19 上的闪电秀《 Let's use centralized log collection to make incident response teams happy 》,目的是提高大家对日志匮乏这种安全问题的重视,提供一种避免风险的方法,并且倡议更多的安全实践(利益声明: 我为 NXLog 工作)。
为什么要收集日志?为什么要集中日志记录?
确切的说,日志是写入磁盘的仅
2022年04月08日
研究人员发现了一个属于View Media的不安全数据桶,其中包含近3900万美国公民记录。
赛博新闻研究小组发现了一个属于在线营销公司View Media的不安全数据桶。这个存储桶包含近3900万美国公民记录,包括他们的全名、电子邮件和街道地址、电话号码和邮政编码。
数据库保留在一个可公开访问的amazonwebservices(AWS)服务器上,允许任何人访问和下载数据。继8月早些时候CyberNews报道的3.5亿封电子邮件泄露事件之后,这是今年夏天我们第二次遇到包含如此大量用户数据的无
2022年04月08日
据FCW网站9月2日报道,美国管理和预算办公室(OMB)和网络安全和基础设施安全局(CISA)分别发布了备忘录和约束性操作指令《制定和发布漏洞披露政策》,指导联邦机构如何设置其漏洞研究和披露程序。
根据CISA指令,在六个月内,各联邦机构必须发布漏洞披露政策,概述所涵盖的系统,外部安全研究人员如何报告,机构将如何以及何时进行响应,以及明确承诺不会针对遵守规则的主体采取法律行动。
而且,这些机构不能要求安全研究人员提供个人身份信息,需允许匿名提交,并且在“合理的时间限制”
2022年04月08日
2017 2008年6月1日,《中华人民共和国网络安全法》正式实施,等级保护工作正式进入法律。随着我国信息化进程的全面加快,全社会,特别是重要产业和领域,越来越依赖基础信息网络和重要信息系统。国家制定了网络安全等级保护 2.0 标准(简称等保2.0),并于2019年5月13日正式发布,于2019年12月1日开始实施。现在距离等保2.0实施落地也有一段时间了,尽管等保2.0话题热度逐渐升高“冷却”,但是,企业如何过等保,过等保的成本是大家津津乐道的话题之一。“
2022年04月08日
BLE(Bluetooth Low Energy,蓝牙低功耗协议4.0该规范的一部分具有低功耗、低延迟、低吞吐量等特点。由于其省电的特点,BLE在过去的10年里,它被广泛应用于几乎所有带电池的设备中。但与此同时,研究人员也发现了许多安全漏洞,其中大部分关注BLE 协议的配对过程,而忽略了其他许多非常重要的部分。近日,普渡大学的研究人员发现蓝牙重连接过程中存在安全漏洞,数十亿使用蓝牙软件栈的智能手机、笔记本电脑和IoT影响设备。BLESA攻击普渡大学的研究人员BLE分析了协议重连接过程的安全性
2022年04月08日
根据卡巴斯基的数据,今年东南亚中小企业勒索软件攻击数量急剧下降。数据显示,2019年1月至6月,东南亚发现和阻止019年1月至6月的140万次下降到2020年上半年的50万次左右,下降了64%以上。新加坡检测量降幅最大(89.79%),其次是马来西亚(87.65%)和印尼(68.17%)。此外,菲律宾、泰国和越南的攻击量也大幅下降。尽管如此,2020年第二季度,印尼和越南的勒索软件攻击在世界上仍然排名第四和第八,而中国、巴西和俄罗斯在卡巴斯基的勒索软件攻击中排名第一。费多尔·西尼辛
2022年04月08日
是的,与本地系统相比,云具有许多安全优势,特别是对于小型机构,但前提是避免在云配置、监控和安装补丁程序方面出现错误。新闻中经常充斥着这样的内容,即错误配置的云服务器受到攻击,罪犯从云服务器中获取泄露数据。当云服务器投入使用时,我们可能会设置相对宽松的(或没有)凭证,忘记设置严格的凭证。或者当我们发现漏洞时,我们没有及时更新软件,或者没有让步IT人员参与审核最终的应用程序以确保其尽可能安全。这种情况太常见了。Accurics调研机构和Orca Security云安全公司的研究发现,各种云实践中存
2022年04月08日
英国国家网络安全中心(NCSC)发布指南——“漏洞披露工具包”,帮助公司实施漏洞披露流程或改进已建立的漏洞披露流程。该指南强调,各种规模的组织都需要披露来鼓励负责任的漏洞。这一指南并非使漏洞披露更容易,而是提供了更好的流程建议和必要的信息。如今,大多数网络攻击继续发生,研究人员不断发现新的安全漏洞风险,因此漏洞披露程序非常必要。然而,目前的情况是,披露这些问题可能特别困难。因为在大多数情况下,找到可以采取相关措施的联系人需要花费大量的精力。NCSC