思科安全管理器曝出大量严重漏洞

近日,威胁情报和渗透测试公司Code White的安全研究员Florian Hauser在思科安全管理器中共发现了十二个漏洞,其中包括关键路径遍历漏洞、高风险的静态凭证错误和多个严重的Java反序列化漏洞,其中大多数可直接导致远程代码执行。

作者:星期四, 十一月 19, 2020899
标签:,

【牛人访谈】安全管理中“人的因素”

在整个安全管理中,人是最核心的因素,而人的安全意识水平决定着安全管理的效果。安全牛有幸邀请到了东方航空王振东,从“大安全”的本体出发,解读安全管理背后的“安全”与“意识”。

作者:星期三, 五月 27, 20201,240
标签:,

为抗击疫情助力 ‖ 远程办公要提倡,数据安全我保障

春节至今,新型冠状病毒感染的肺炎疫情来势汹汹,全国上下万众一心共同抗击疫情。广……

作者:星期五, 二月 7, 2020756
标签:, ,

互联网金融的信息安全(二)安全需求

未来互联网安全需求的八大方面 1、 基于风险的自适应身份认证 基于风险自适应识别和……

作者:星期二, 九月 24, 20195,480
标签:, ,

2019北京网络安全大会议题前瞻:揭秘提升安全运营效率的“法宝”

下一代安全管理平台(NGSOC)应运而生,已经成为政企网络安全的热点话题。即将于8月21日开幕的2019北京网络安全大会上,奇安信专家将在国家会议中心现场分享分布式流式关联分析引擎-Sabre在NGSOC中的应用。

作者:星期二, 八月 6, 20191,833
标签:, , , ,

企业信息化安全管理现状

信息化的高速发展,极大的改变了人们工作和生活的方式,可以说我们的工作和生活,已……

作者:星期四, 六月 27, 20199,601
标签:,

奇安信的工业互联网安全“三板斧”

工业互联网要发展,企业不能仅仅“查缺补漏”,需要从“系统规划”开始做起,在新技术环境下应采用数据技术解决工业互联网的安全问题。

作者:星期三, 五月 8, 20192,880
标签:, , , ,

浏览器已成新的终端 安全管理方式需要更新

鉴于浏览器如今在公司业务处理中的中心地位,围绕浏览器的种种安全布置都需重新考虑。浏览器不仅仅是又一个应用,而是公司协作、通信和业务运营的中心。因此,浏览器已经进化成了终端,需要施以等同于硬件终端的安全管理。

作者:星期四, 十一月 8, 20182,233
标签:, ,

等保2.0时代,如何保障关键信息基础设施安全

等级保护2.0在对关键基础设施进行安全测评上增加了4个大类,在所有5个类别中物理和环境安全是建设基石,网络和通信安全是传输通道,设备和计算安全是能力保障,每一个安全层面都相互关联、互相影响、互相传导、层级递进最终决定了数据的可用性、保密性、完整性。

作者:星期四, 八月 9, 20185,878
标签:, , , ,

访谈|威努特创始人谈工控安全的价值与未来

工控安全似乎已经进入了一个快车道,而国内工控安全市场上的玩家也已经多达数十家。安全牛曾在2016年采访了威努特的创始人龙国东,那么经过两年的发展之后,工控安全行业的现状是怎样的,未来又将走向何方?

作者:星期二, 四月 17, 20185,141
标签:, , , ,

工业4.0、数字化转型与下一代SOC——记Fortinet2017安全研讨会

Fortinet的产品路径演变,遵循的是NIST的IPDRR安全框架,安全防御理念已经从传统的以边界为中心,转变到以检测和响应为中心,体现了积极防御、自适应安全的实现目标。

作者:星期三, 十一月 22, 20173,287
标签:, , ,

信息安全在哪里都一样

信息安全管理围绕三个基本点展开即可,它们是原理、标准和实践。管理者与其以监管为中心不如以原理为中心,去构建分层次的、弹性的信息安全体系。而且,这个体系应当是一套而不是多套。

作者:星期六, 九月 2, 20173,100
标签:, ,

匡恩网络助力常德市烟草公司构建六重安全保障

随着“数字烟草”的发展,客户通过网络向省烟草公司订货成为新常态,物流配送借助网络技术的发展成为了常德烟草公司的整体业务流程核心,物流分拣系统成为订单处理和数据保护的关键。

作者:星期五, 四月 7, 20171,231
标签:, , ,

割裂:安全管理中的沉默杀手

为对抗不断进化的攻击,每个团队都分层部署了不同的工具和过程,却造成了协同缺乏和数据情报的过剩。复杂的分层导致了割裂,系统中的漏洞暴露无遗。

作者:星期三, 三月 29, 20171,640
标签:, ,

【安全课堂】10步改善企业的分层防御策略

将网络的所有部分——所有硬件、软件和用户组,打散嵌入到每日、每周、每两周或每月一次的任务计划表中。这样一来,所有部分至少每90天就能被扫描一遍,给最新的漏洞打上补丁。

作者:星期四, 四月 16, 20151,677
标签:,

云计算让安全从业人员下岗?

一个很好的例子就是2014年的亚马逊网站服务(AWS)。当时,破壳漏洞爆发。据传,AWS在几天之内就补上了他们所有的负载均衡设备上的漏洞。

作者:星期四, 四月 16, 20151,435
标签:,

采用类军事化方法保卫网络安全

军事化网络安全是一副360度无死角的安全视图,包括了威胁、攻击方法、漏洞、防御策略,以及人员教育和培训。其宗旨是“监测、评估、获取数据、分析数据,并尽快将分析结果反馈到系统和流程中,如同军事作战过程。

作者:星期五, 三月 27, 20151,947
标签:, ,

“互联网+”时代的开发安全管理

将漏洞管理融入企业的开发流程,通过自动化的检测工具,专业的技术团队,丰富的漏洞处理知识库,来迅速发现和修补漏洞,只需要很少的安全漏洞技术团队,来支撑数千人甚至上万人的开发团队。

作者:星期二, 三月 24, 20152,148
标签:,

企业安全黑洞:安全软件误报每年给企业造成130万美元损失

今天的企业级安全产品每天产生的威胁警报数量已经大大超出企业安全团队的处理能力,结果安全人才的紧缺成了企业面临的最大安全威胁。

作者:星期六, 一月 24, 20151,601
标签:, , , ,

企业员工安全意识培训正蓬勃发展

研究公司Gartner这个月发布了第一个安全意识培训供应商魔力象限,该报告分析了来自19个最大安全意识培训供应商的产品。重量级供应商Wombat Security Technologies、FishNet Security和SANS Institute都榜上有名,还有令人惊讶的大批初创培训机构。总而言之,该Gartner报告中的供应商的总体年收入约为6.5亿美元。

作者:星期五, 十一月 14, 20141,732
标签:, , ,

Check Point 粗心员工是移动安全的最大威胁

Check Point日前发布第三份移动安全报告,结果显示95%的受访者在保护和支持随身携带设备(BYOD)方面面临挑战,由此可见连接公司网络的个人设备需要更稳定的安全解决方案。

作者:星期五, 十一月 7, 20141,682
标签:, , , ,

谷歌为Android Lollipop增加多项安全特性

上周谷歌针对旗下最新的Android 5.0 Lollipop操作系统增加了几项关于安全性的新改进,包括默认启用系统数据加密、全新的锁屏界面等,在安全性和方便性上都要比以往更全面。下面让我们一来看看Android Lollipop究竟增加了哪些新的安全特性。

作者:星期二, 十一月 4, 20141,220
标签:, , ,

神秘黑客成功入侵美国白宫计算机网络

美国白宫今天证实,总统奥巴马高级员工使用的非机密计算机网络已被神秘黑客入侵。纽约时报报道表示,目前还不清楚黑客为什么攻击白宫非机密计算机网络,白宫也没有透露攻击的具体细节,只是表示,攻击“并未着眼于破坏数据或硬件,或接管白宫的其他系统。”

作者:星期四, 十月 30, 20143,058
标签:, ,

国信办将出APP管理办法:治病毒、窃取信息乱象

记者从全国网信办主任座谈会上获悉,国家网信办将出台APP应用程序发展管理办法。

作者:星期三, 十月 29, 20141,213
标签:, ,

黑客赚钱新招:侵入企业固话网络拨打收费电话

据《纽约时报》报道,黑客已经找到了一种新的方法来从企业那里窃取资金,他们会利用归属于企业的固线电话网络来获取巨额非法收入。

作者:星期四, 十月 23, 20141,218
标签:, ,

奥巴马签署命令:美国将提升政府机构银行卡系统安全性

据《纽约时报》报道:在接连发生多起零售商客户银行卡信息失窃案之后,美国总统奥巴马终于在上周五签署了一项行政命令,旨在提升政府所使用的信用卡支付系统的安全性。在命令签署前,奥巴马表示:“(消费者)不应该在买东西的时候,还要担心自己的身份被盗用、信用评级受影响、甚至账户资产有损失”。

作者:星期三, 十月 22, 20141,194
标签:, , ,

网络攻击导致美国大公司每年损失1270万美元

根据Ponemon Institute公布的网络犯罪报告显示,对美国大公司的网络攻击导致这些大公司今年损失1270万美元,同比增长9.7个百分点。该报告显示,网络犯罪给大公司造成的损失当中,业务中断和信息丢失占了近四分之三。

作者:星期一, 十月 20, 20141,227
标签:, ,

POS恶意软件再次发力,美国快餐连锁店DQ遭受攻击

这次DQ的POS系统遭受攻击表明,网络犯罪集团目前针对零售业的攻击依然很猖獗。 由于针对DQ的攻击是通过第三方供货商的账号发起,这给很多企业提了个醒,信息安全意识的培养,不能仅仅局限于本公司, 对第三方供应商的安全意识和安全管理同样重要。

作者:星期三, 十月 15, 20141,502
标签:, , , , , ,

信息安全史上最可怕的8位 “内鬼”

安全管理往往担心的是组织外部的坏人,但安全牛下面要介绍的真实事件全是坐在你旁边的同事所造成的。他们由于对老板心怀不满,最终导致了巨大的损失。

作者:星期六, 十月 11, 20143,316
标签:, ,

企业渗透测试自检的四项基本原则

如果把企业的信息安全比作牙齿护理,安全管理服务公司比作牙医,那么企业自己定期进行渗透测试自查就好比刷牙和使用牙线。

作者:星期六, 十月 4, 20142,152
标签:,

安全意识培训工作的万能配方

要让员工意识到,敏感信息的丢失会给企业的财政状况带来严重影响,而不仅仅是他们的工作。学习识别“内鬼”的不良行为和黑客攻击方法,对个人是一件非常有益的事。

作者:星期五, 九月 26, 20141,635
标签:,

FBI:越来越多员工攻击雇主网络窃取数据

美国联邦调查局(FBI)和国土安全部本周表示,一些心怀不满的员工正越来越多地利用互联网云计算服务和其他计算机工具来攻击现任雇主和前雇主。

作者:星期四, 九月 25, 20141,300
标签:, , ,

美国疲于招架黑客攻击 议员敦促改革网络安全法

近期美国政府机构及商业部门频频遭受网络攻击,根据美国联邦调查局说法,现在政府的每个部门有可能是黑客攻击对象,这就需要政府和私人部门建立“前所未有的”合作伙伴关系,以保护经济利益免受网络敌人的侵袭。

作者:星期一, 九月 22, 20141,057
标签:, ,

美国卫星地面控制系统发现大量漏洞 可能导致卫星失控

美国政府最近的一份审计报告发现,美国联合极地卫星系统(JPSS)的地面控制系统存在大量漏洞,部分漏洞甚至超过了两年。

作者:星期五, 九月 19, 20141,628
标签:, ,

汽车和航空制造业厂商正在遭受”水源地攻击”

根据安全公司AlienVault的安全研究人员James Blasco的研究, 汽车和航空制造业厂商所采用的工程软件中被植入了击键记录以及情报采集的恶意软件。

作者:星期四, 九月 11, 20141,945
标签:, , , , ,

高端市场被国外垄断,我国工控系统安全隐患普遍存在

当前,我国正处于工业转型升级的历史时期,信息化与工业化深度融合的智能化生产成为发展趋势。在工业信息化过程中,现有工业控制系统(以下简称工控系统)的软硬件、通信协议,以及管理环节往往都存在信息安全隐患风险。

作者:星期三, 九月 10, 20142,508
标签:, ,

调查显示:近1/5的企业PC存在恶意软件

根据网络安全公司Damballa表示,在安全政策宽松的企业,恶意软件可能肆意滋生,感染率达到18.5%。该公司在其对网络数据的分析中发现,有些企业允许承包商和第三方访问其网络的公司并没有限制移动设备,还允许用户拥有系统管理权限,这些企业的恶意软件感染率要比安全政策严格的企业更高。

作者:星期三, 九月 10, 20141,080
标签:,

Netflix开源自主开发的网络攻击和DDoS监测工具

Netflix的安全团队最近开源了他们用来监控互联网攻击的三个工具。 这三个工具分别是“Scumblr”“Sketchy”和 “Workflowable”。其中Scumblr可以根据预先设置的关键词, 通过监控论坛和社交媒体来搜索关于针对特定机构的网络入侵或者DDoS的讨论。 Sketchy则可以通过对网站截图或者文本截取的方式进行取证。

作者:星期二, 九月 9, 20144,111
标签:, , , ,

钓鱼诈骗成功率高,80%企业用户未能识破诈骗伎俩

迈克菲今日公布了《迈克菲实验室威胁报告(2014 年 8 月)》。报告显示,钓鱼诈骗仍然是入侵企业网络的一种有效手段。通过旨在测试企业用户检测在线诈骗能力的“迈克菲钓鱼诈骗小测验”,迈克菲实验室发现,针对 7 封钓鱼诈骗邮件,80% 参与测验的企业用户至少有一封未能检测出来。结果还显示,财务和人力资源这类拥有企业最敏感数据的部门在欺诈检测方面表现最差,落后其他部门 4% 至 9%。

作者:星期二, 九月 9, 20141,274
标签:, , , ,

IBM报告提醒Heartbleed漏洞威胁仍在继续

IBM X-Force安全团队发表的最新威胁信息季报(Threat Intelligence Quarterly report)对今年4月在OpenSSL中发现的Heartbleed漏洞做了攻击分析,指出目前Heartbleed漏洞仍然是重大威胁。

作者:星期二, 九月 2, 2014981
标签:, ,

工信部: 关键软硬件采购要明确网络安全要求

日前,工业和信息化部发布《关于加强电信和互联网行业网络安全工作的指导意见》(工信部保〔2014〕368号),明确提出推进安全可控关键软硬件应用,在关键软硬件采购招标时统筹考虑网络安全需要,在招标文件中明确对关键软硬件的网络安全要求。

作者:星期二, 九月 2, 20141,232
标签:

企业SSH使用隐患多, NIST发布SSH安全使用白皮书

美国国家标准与技术研究院(NIST)最近对企业的SSH使用情况进行了调查。根据NIST最新发布的白皮书, 企业基于SSH的自动化网络管理中存在很多被忽视的安全隐患和漏洞。

作者:星期一, 九月 1, 20141,202
标签:, ,

安全与业务不存在平衡 证明价值是关键

安全人员所能做的就是尽力把安全“落地”的时间保持的长一点,否则另一头(业务)很快就会把安全跷起。但问题是,如何把安全保持的长一点呢?

作者:星期一, 九月 1, 20141,271
标签:,

美国连锁超市支付卡系统遭受攻击, 大量用户信用卡信息恐遭泄露

根据CNN消息, 两家美国最大的连锁超市之一 Albertson‘s 和 SuperValu在上周五(8月15号)发布声明, 声称由于黑客攻击而发生数据泄露事件。 这次黑客攻击影响不仅仅是Alberson's和SuperValu的本店, 还包括两个集团下的其他品牌连锁超市, 如Albertson's旗下的Albertson's Acme, Jewel-Osco, Shaw's 以及Star Market, 以及SuperValu旗下的 Cub Foods, Hombatcher's, Farm Fresh, Shop ’N Save 以及Shoppers Food & Pharmacy.

作者:星期四, 八月 21, 20142,489
标签:, , ,

德国要建全球第一加密大国 打造“数字强国”

“数字海啸”即将袭击德国,德国《商报》19日报道称,德国政府近日制定一份名为“数字议程”的草案,希望把德国打造成欧洲乃至世界的“数字强国”。这一草案有望在周四的德国联邦议院表决中通过。该议程重视“对社会和经济界的安全、保护及信赖”这类涉及数据安全和数据保护的话题。德媒称,德国将通过“可信赖的硬软件”打造为“全球第一加密大国”。

作者:星期四, 八月 21, 20142,036
标签:, , ,

IBM收购云安全提供商Lighthouse

IBM完成收购云托管安全服务提供商Lighthouse Security Group。交易的财务条款未有披露。Lighthouse是IBM的长期合作伙伴Lighthouse Computer Services的子公司。Lighthouse的旗舰平台为Gateway,用于保护IT环境的身份和数据;在时下典型的IT环境里,越来越多的公司信息被存储在云里以便于移动设备访问。

作者:星期五, 八月 15, 20141,263
标签:, , ,

极客发布基于Raspberry Pi 的蜜罐系统

蜜罐系统是企业用来检测黑客入侵的重要安全措施。 请参考安全牛的文章“企业设置蜜罐的五个路由”。 不久前, 亚利桑那大学的一个学生Nathan Yee在网上发布了一个基于廉价计算机“树莓派”的蜜罐系统。

作者:星期四, 八月 14, 20144,543
标签:, , ,

P2P平台遭遇“黑客劫” 暴露技术软肋

P2P(Peer To Peer)平台风生水起的同时,关注它们的不仅是投资者,还有一群神秘的黑客。网络黑客通过攻击P2P网站致平台崩溃然后再索要钱财,不少P2P平台因害怕攻击产生业务损失而花钱了事,甚至有P2P平台因黑客袭击而倒闭。为何P2P平台成了黑客的“摇钱树”?而P2P平台又为何如此容易受到攻击?这些平台该怎样应对?

作者:星期四, 八月 14, 20141,661
标签:, , , ,

调查显示:美国医疗机构供应商安全状况堪忧

安全研究公司CORL Technologies针对医疗健康领域供应商进行安全评分的Vendor Intelligence Report报告,大部分医疗健康供应商的缺乏基本的安全。

作者:星期一, 八月 11, 20141,469
标签:, , , ,

IBM移动业务或因苹果被政府采购名单除名受波及

美国彭博社,IBM原本希望通过与苹果公司的合作加强自身的移动业务,在企业市场展开更大范围的扩张。

作者:星期五, 八月 8, 20141,190
标签:, , , , ,

对DDoS攻击勒索说No!

什么是正确的应对DDoS攻击的方法呢?不要屈服。企业或机构无论如何也不要付钱给攻击者,否则就立下了一个危险的先例。

作者:星期五, 八月 8, 20141,926
标签:, , ,

网络安全立法再启程

接近决策层的消息人士透露,全国人大、最高法以及相关部门正在就“网络安全法”进行调研。根据2014年4月发布的全国人大常委会2014年立法工作计划,制定“网络安全法”已列入立法预备项目。这意味着,自1994年国务院颁布《计算机信息系统安全保护条例》后,长期备受关注的网络安全立法工作,再次提上议程。

作者:星期一, 八月 4, 2014998
标签:, , ,

为什么高管应该站在网络安全防御的第一线

当前,每个企业都意识到了日益严重的网络攻击风险, 然而,很少有公司真正对重要信息采取了足够的保护。

作者:星期五, 七月 25, 20141,176
标签:,

PCI DSS:为什么漏洞评估和渗透测试那么难?

2014年Verizon PCI合规报告对世界各地的PCI DSS合规状态进行了评估。该报告发现“要求11”的合规率最低。

作者:星期一, 七月 21, 20141,762
标签:, ,

大数据安全分析的6个要点

安全事件和数据泄露的新闻几乎每天都能够出现在报纸上, 即使企业已经开始采取手段防御APT, 传统的安全防御手段对于APT之类的攻击显得办法不多。 而利用大数据, 企业可以采取更为主动的防御措施, 使得安全防御的深度和广度都大为加强。

作者:星期四, 七月 17, 20142,369
标签:,

CNET数据库被盗, 黑客称无恶意

7月15日消息,据国外媒体报道,一个俄罗斯黑客组织称它在上周末入侵了著名科技网站CNET的服务器并窃取了一个注册用户数据库。这个黑客组织曾经袭击过多家超大型新闻和商业网站。

作者:星期四, 七月 17, 20141,823
标签:, ,

企业设置“蜜罐”的五大理由

企业采取蜜罐技术在遭到黑客攻击时可以提供报警。 这样的技术具有较低的误报率, 能够同时对内部人员和外部黑客的攻击进行报警, 更重要的是, 一旦设置好以后, 蜜罐基本不需要什么维护。

作者:星期三, 七月 2, 20143,601
标签:, ,

ERPScan发布SAP的3000个漏洞分析报告

ERP系统是很多大企业的核心系统, 而近年来, 针对ERP系统的漏洞发掘也越来越多。 最近, SAP在其网站上公布了与ERPScan合作的关于SAP的3000个漏洞的分析报告。

作者:星期三, 六月 25, 20142,215
标签:, ,

信息安全禁用win8还不够, 人的因素更重要

即使我们使用更安全的操作系统,安装了最先进的防火墙、防病毒和防间谍软件工具,使用最高端的加密技术发送和保存数据……似乎我们就可以松口气了,果真如此吗?答案是不。只有当我们“人”这一所有安全技术的主体拥有了高大上的信息安全意识,才能真正地提高信息安全的水平,否则,那只是虚假的安全罢了。

作者:星期三, 六月 25, 20141,122
标签:,

Paypal爆出漏洞, 黑客或可利用账户轻松赚钱

Paypal存在着一个漏洞, 利用这样漏洞, 不法分子可以轻松把已有账户的余额加倍

作者:星期五, 六月 20, 20147,132
标签:,

忘记密码