一周安全头条(20201116-1122)
11月17日,多家企业在《深圳特区报》发布联合声明,深圳市智信新信息技术有限公司已与华为投资控股有限公司签署了收购协议,完成对荣耀品牌相关业务资产的全面收购。
标签:政策法规, 数据泄露, 网络攻击
特朗普“甩锅”网络安全
负责美国总统大选安全工作的美国高级网络安全官员,CISA(国土安全部网络安全和基础设施安全局)的首任和现任局长克里斯托弗·克雷布斯近日表示,他预期在完成2020年总统选举安全保障工作后,将会被白宫解雇。
标签:特朗普, 网络安全, 美国大选
web之父的创业选择:网络安全
与大多数人一样,Web(WC3、万维网)之父伯纳斯·李(Tim Berners-Lee)爵士对当今的数据隐私灾难和互联网巨头的恣意妄为早已义愤填膺。最终,伯纳斯·李爵士选择亲自下场创办了一家网络安全公司Inrupt。
标签:Web之父, 网络安全
美安全专家认为Oracle-沃尔玛-TikTok交易不够安全
近日网络安全专家Jimmy Tom撰文指出,Oracle-沃尔玛-TikTok三方交易并没有看起来那么安全,甚至制造了虚假的安全感。
标签:TikTok, 数据安全
产业化:勒索软件集体发力RaaS
近半年来,RaaS(勒索软件即服务)正在成为勒索软件的一个热门趋势。大量勒索软件团伙正在积极拓展RaaS业务,寻找“加盟机构”,分工协作并分享勒索软件攻击获得的利润。
标签:RaaS, 勒索软件
一周安全头条(20201116-1122)
11月17日,多家企业在《深圳特区报》发布联合声明,深圳市智信新信息技术有限公司已与华为投资控股有限公司签署了收购协议,完成对荣耀品牌相关业务资产的全面收购。
标签:政策法规, 数据泄露, 网络攻击
用算法打击恶意软件,网络安全公司Menlo Security融资1亿美元
Menlo Security是保护组织免受网络威胁的无端点云解决方案提供商,今天以8亿美元的估值筹集了1亿美元。该公司表示,这些资金将用于上市、销售和全球扩张。
标签:恶意软件, 融资并购
全球网络安全人才缺口首次缩小
网络行业培训和认证机构ISC²昨日(11月12日)发布的《2020年网络安全人才研究报告》显示,全球网络安全员工总数已增长至350万,安全人才缺口首次缩小。
标签:网络安全人才, 网络攻击
勒索软件Ryuk的十五步攻击链
近日,分析来自事件响应参与的攻击流程后,Kremez注意到Ryuk团伙“仅”花了15个步骤就找到网络上的可用主机,窃取管理员级别的凭据并成功部署Ryuk勒索软件。
标签:Ryuk, 勒索软件
戴尔Linux电脑实现硬件隐私控制
戴尔最新发布的隐私驱动程序支持其最新的Linux笔记本电脑,提供硬件控制隐私选项,例如通过组合键关闭笔记本电脑的内置麦克风和摄像头,防止任何程序后台访问。
标签:硬件隐私控制, 隐私保护
头号任务:CIO面临的十大挑战预测
IDC最新的全球CIO日程预测报告显示,CIO正面临前所未有的挑战,包括CIO在内的高级IT领导者必须采取具体行动来打造安全的韧性企业,帮助企业在疫情和动荡局势中浴火重生,并确保未来的持续增长和成功。
标签:CIO, 人工智能运营, 自动化
一周安全头条(20201026-1101)
本周二,距离美国总统大选只有一周的时间,一个突发事件让大选安全人员的神经立刻紧绷了起来:美国总统特朗普的竞选网站遭到黑客入侵篡改!
标签:政策法规, 行业动态
2020年赏金最高的十大漏洞类型
根据HackerOne周四发布的十大漏洞列表,跨站点脚本(XSS)仍然是影响力最大的漏洞,因此该漏洞在2020年连续第二年为白帽子黑客获得了最高的回报。
标签:SQL注入, 漏洞赏金
勒索软件REvil发布“财报”,年利润超1亿美元
近日,REvil勒索软件开发商已经公布“财报”:通过勒索全世界各行各业的大型企业,该勒索软件犯罪团伙一年赚了超过1亿美元,其财务目标是通过勒索软件服务赚取20亿美元。
标签:勒索软件, 网络犯罪
一周安全头条(20201019-1025)
据外媒报道,近日英国数据安全监管部门信息专员办公室对英国航空公司因2018年客户数据泄露事件罚款2000万英镑(约合人民币1.7亿元)。
标签:报告调研, 行业动态
美国财政部禁止企业支付勒索软件赎金
本月初,美国财政部外国资产控制办公室(OFAC)发布咨文警告组织不要向勒索软件支付赎金,并声称此举存在违反政府对网络犯罪集团或国家黑客施加的经济制裁的法律风险。
标签:勒索软件, 网络犯罪
看门狗即将发布的游戏大作被勒索软件窃取源码
本月才崭露头角的勒索软件犯罪团伙Egregor声称已经入侵了看门狗(Watch Dogs)并窃取了即将推出的游戏大作《军团再临》(Legion)的源代码。
标签:勒索软件, 网络攻击
2020年生物识别设备市场收入暴跌22%
根据ABI Research的最新报告,在新冠病毒大流行之后,2020年全球生物识别设备收入预计将下降22%,降至66亿美元。
标签:多因素身份验证, 生物识别
微软启动针对Chromium的零日漏洞计划
在2020年1月份宣布使用开源代码库重建Edge浏览器之后,微软近日宣布启动了针对Chromium的类似Google Project Zero风格的零日漏洞安全研究计划。
标签:开源代码, 零日漏洞
一周安全头条(20201012-1018)
为了促进互联网用户公众账号信息服务健康有序发展,保障公民、法人和其他组织的合法权益,维护良好网络生态,营造清朗网络空间,国家互联网信息办公室对2017年10月8日正式施行的《互联网用户公众账号信息服务管理规定》进行了修订,现向社会公开征求意见。
标签:政策法规, 漏洞补丁
不堪重负:企业安全合规成本平均高达350万美元
Telos最近开展了一项企业合规成本调查,于2020年7月至8月间对300名IT安全专业人员进行了调查,结果显示,平均每家企业必须遵守13个不同的IT安全和/或隐私法规,并且每年在合规性活动上花费高达350万美元,同时合规性审核每季度需要58个工作日。
标签:IT安全, 企业安全合规成本
调查:新冠疫情下全球七成企业渴望“零信任架构”
根据Forrester周三发布的最新报告《领导者现在致力于零信任》在新冠疫情全球大流行期间,超过一半的全球组织遭受了数据泄露,更多的企业表达了强烈愿望和需要转向零信任架构来增强安全性。
标签:数据安全, 零信任架构
五眼联盟与印度、日本发布联合声明,要求科技公司在产品中植入后门
近日,五眼安全联盟国家——澳大利亚、加拿大、新西兰、美国、英国以及日本和印度,上周发布联合声明,呼吁科技公司在其产品设计中,出于公共安全的考虑,为政府和执法部门访问加密内容预留“后门”。
标签:网络加密, 隐私安全
新加坡推出智能家居网络安全标签,将全球推广
近日,新加坡启动了一个新的智能家居设备网络安全标签计划(CLS),以标明家用电器和智能家居设备的网络安全级别,并计划在国际范围内推广该标准。
标签:智能家居, 网络安全
调查:网络安全是数字化转型的重中之重
企业数字化转型大会DTX:NOW对600名参会IT领导者的调查显示:适应新的远程办公数字文化是他们在未来12个月中需要克服的第一大挑战。
标签:网络安全, 远程办公
2020年二季度点块式DDoS攻击增长了570%
根据Nexusguard的最新报告,DDoS攻击者在2020年第二季度改变了攻击策略,点块式(Bit-and-piece) DDoS攻击与去年同期相比增加了570%。
标签:DDoS攻击, 网络攻击
工控安全年度悬案:“变压器门”事件
据Motherboard报道,今年5月特朗普政府没收了一台的中国产高压变压器,当时这台变压器正被运往科罗拉多州,由于未知原因,这台被“截获”的变压器被带到了新墨西哥州的桑迪亚国家实验室。
标签:工控安全, 电力安全
安全扫描使勒索软件网络保险索赔减少了65%
在今年的RSA安全会议上,FBI特工Joel DeCapua指出,70-80%网络攻击事件的是由攻击者侵入互联网上公开暴露的远程桌面服务器引起的。
标签:勒索软件, 网络保险
Gartner:2020-2021十大热门网络安全项目
近日,Gartner发布了2020-2021年的十大热门网络安全项目、八大安全技术趋势预测,并对未来十年网络安全产业变革的关键驱动力进行了研判。
标签:安全技术, 网络安全项目
过去10年中,滥用机器身份的恶意软件攻击增长了8倍
根据Venafi最新发布的威胁分析报告,利用机器身份的恶意软件活动正在极速增加。总体而言,在过去十年中,利用机器身份进行的恶意软件攻击增长了八倍,其中最近五年的增长更快。
标签:恶意软件, 机器身份
硅谷最神秘的大数据安全公司将“净身”上市
据报道,硅谷最神秘的公司——Palantir Technologies将于9月29日“净身”上市,该公司为美国军方、政府执法和国家安全提供大数据预测分析平台服务,一直以来都隐藏在公众视线之外。
标签:网络安全, 预测分析
TikTok危害国家安全?美国网络安全专家表示“看不懂”
近日,Threatpost搞了个美国网络安全专家研讨会,邀请了多位大咖发声,是目前为止从技术层面对TikTok和Wechat相关的安全和隐私话题最为专业的探讨。
标签:TikTok, 隐私安全
五角大楼的人工智能网络战项目:IKE
从DARPA的X计划到五角大楼神秘面纱下的IKE项目,美国的人工智能网络战争技术平台已经发展到了一个危险的阶段,美国如何以及何时发动网络战的决策将越来越依赖计算机。
标签:人工智能, 网络战
一周安全头条(20200907-0913)
2020年9月8日上午,国务委员兼外长王毅在“抓住数字机遇,共谋合作发展”国际研讨会高级别会议上发表题为《坚守多边主义 倡导公平正义 携手合作共赢》的主旨讲话,提出《全球数据安全倡议》。
标签:政策法规, 漏洞补丁, 行业动态
与狼共舞:零信任与SASE如何重新定义网络安全
SASE和ZNTA两大架构之间有何关联?如何协同演进?依然是数字化转型企业当下最为关心的问题之一,本文尝试从几个方面进行解读。
标签:SASE, 零信任
思科安全管理器曝出大量严重漏洞
近日,威胁情报和渗透测试公司Code White的安全研究员Florian Hauser在思科安全管理器中共发现了十二个漏洞,其中包括关键路径遍历漏洞、高风险的静态凭证错误和多个严重的Java反序列化漏洞,其中大多数可直接导致远程代码执行。
标签:安全管理, 思科
The North Face遭遇撞库攻击
近日,户外服装巨头The North Face(北面)发布数据泄露通知,声称在官方网站上检测到撞库攻击后,The North Face已重置了数量不详的客户账户。
标签:撞库攻击, 数据泄露
三秒提权:微软Windows“满级漏洞”被利用
近日,安全公司Secura针对一个刚修补不久的Windows漏洞(CVE-2020-1472)开发了一个概念验证...
标签:windows漏洞, 勒索软件
黑客攻击的下一个热点:路由器和NAS漏洞
在近日举行的Pwn2Own东京2020黑客大赛上,参赛的漏洞赏金猎人们在第一天就成功入侵了NETGEAR路由器和西部数据的NAS存储设备。
标签:路由器安全, 黑客攻击
微软 “接管”了Trickbot僵尸网络
据知名安全博客KrebsonSecurity报道,微软公司近日发动一次有组织的法律偷袭,以破坏恶意软件即服务僵尸网络Trickbot,后者已经成为全球威胁,感染了数百万台计算机,并用于传播勒索软件。
标签:僵尸网络, 勒索软件
日拱一卒:全球首位漏洞赏金百万富翁的生财之道
近日,来自阿根廷的年仅19岁的圣地亚哥·洛佩兹(Santiago Lopez),成为首位官方报道获得漏洞奖金超过百万美元的漏洞猎手。
标签:漏洞赏金, 网络黑客
一次内部攻击的成本高达200万美元
Bitglass的最新调查显示,一次成功实施的内部攻击(例如内鬼投放勒索软件、数据泄露或者删库跑路),给企业造成的平均损失高达200万美元。
标签:企业安全, 网络攻击
2021安全市场热点:自动化安全运营工具
根据Micro Focus最新发布的企业调查,全球SOC安全运营团队最重视的安全能力是高级威胁检测,并且希望更多使用基于人工智能和机器学习技术的下一代自动化安全运营工具来构筑主动防御体系。
标签:MITRE ATT&CK, 自动化安全
GHunt:可嗅探Google账户的OSINT工具
一个新发布的开源情报OSINT工具——GHunt可让安全团队浏览由Google账户创建的数据,甚至仅根据电子邮件来分析目标Google的“足迹”。
标签:OSINT工具, 开源情报
开源工具Infection Monkey扩展ATT&CK测试技术
Infection Monkey是一种流行的开源漏洞和攻击模拟(BAS)工具,可映射到MITER ATT&CK知识库,并测试网络是否符合Forrester零信任框架。
标签:ATT&CK, Infection Monkey
PE Tree:一个恶意软件逆向工程分析开源工具
近日,由BlackBerry Research and Intelligence团队开发的PE Tree——一种恶意软件逆向工程开源工具,现已向网络安全社区免费提供。
标签:PE Tree, 开源工具, 恶意软件, 逆向工程分析
Fawkes:又一种可以击败人脸识别AI的照片伪装技术
近日,芝加哥大学的研究者在第29届USENIX安全研讨会发布了一个新的图像混淆技术,可以对人们发布的照片进行像素级的更改(肉眼无法察觉的图像伪装),实验证明,无论如何训练人脸识别深度学习模型,Fawkes都能提供95%以上的保护成功率(人像不被正确识别)。
标签:Fawkes, 图像混淆技术
DeimosC2:给红队省钱的C2开源工具
TEAMARES近日推出了DeimosC2,以满足市场对跨兼容的开源命令和控制(C2)工具的需求,该工具用于管理包括移动支持在内的受感染机器。
标签:DeimosC2, TEAMARES, 开源命令和控制