2022年04月09日
2019年一千多万条数据遭泄露,而且这个数字还在上涨……
似乎每周我们都能看到大量有关私人数据泄露的新闻。2019年即将结束,然而关于违规记录的报道还在源源不断地涌现。到目前为止,美国国防部已经统计了10,331,579,614项违规记录,而且这个数字还在不断上涨。
从2017年到2018年,信息泄漏的趋势似乎呈下降趋势,然而2019年的形式却十分严峻,超过54%的增长已成为残酷的现实。根据美国安全情报供应商Risk Based Security (RBS) 的报
2022年04月09日
自2017年一场全球性互联网灾难——WannaCry爆发,勒索病毒正式进入人们的视野,如同打开了潘多拉的盒子。近年来,勒索病毒无论是传播方式,还是代码结构,都一直在“进化”。
但今天,我们不谈技术,单单从经济角度,谈一谈勒索病毒在交易过程中的演变。交易过程即支付赎金的过程,从另外一个角度探索,勒索病毒为何会如此“繁荣”?
为了更好回答这个问题,我们不急于直入主题,先来谈谈历史背景。
Tor洋葱网络(暗网)
1995年,美国海
2022年04月09日
今天,国际权威研究分析机构Gartner公布了2019全球《超融合基础设施魔力象限》报告。报告显示国内仅有三家云计算厂商进入2019超融合基础设施魔力象限,分别是深信服、华为、华云数据。深信服超融合(sangfor aCloud)凭借技术优势、技术服务、广泛用户实践和全球市场表现成功入围,对比2018年的魔力象限,成为榜单上仅有新增的超融合厂商,华云数据则收购Maxta之后进入本次魔力象限。
随着云计算技术的逐步落地,超融合在概念、技术、产品和市场方面有着越来越成熟的发展态势,如今已成为非常
2022年04月09日
【51CTO.com原创稿件】近日,由展会机构Informa Markets主办的INSEC WORLD 成都·世界信息安全大会在蓉城成功举行。Informa Markets 在全球信息安全领域拥有Black Hat、Dark Reading等知名品牌,此次在“天府之国”成都,Informa Markets 想要重新打造一场全球性信息安全盛会。
大会以“信息时代、安全发声”为理念,由主论坛、分论坛、技术展示、科技孵化与专题培训等多
2022年04月09日
【51CTO.com快译】许多公司明白,漏洞悬赏计划只是做好安全工作的一方面。
软件漏洞悬赏是一门大生意,越来越多的公司向在其操作系统、代码或应用程序中发现错误的研究人员、开发人员和黑客给予大量奖金。好处很明显:抢在恶意组织或公众之前发现漏洞,并进行适当的修复。
整个夏天,苹果宣布向发现iPhone安全漏洞的研究人员提供最高100万美元的赏金。以前,苹果仅向试图找出电话和云备份漏洞的受邀研究人员提供奖励,而现在人人可以参与。
现在许多大公司设有漏洞悬赏计划,包括苹果、谷歌、Facebook、雅
2022年04月09日
Kubernetes镜像扫描
Anchore
主页:https://anchore.com/
许可证:免费(Apache)和商业服务
Anchore引擎分析容器镜像并应用用户定义的策略来实现自定义安全检查。
除了针对CVE数据库上已知漏洞的常规容器镜像扫描之外,还有许多附加条件可以配置为使用Anchore扫描策略的一部分:Dockerfile检查、凭证泄漏、特定于语言的包(npm、maven等)、软件许可证等等。
Clair
主页:https://coreos.com/clair
许可证:免费
2022年04月09日
近年来,随着云计算市场的发展,不少企业都开始选择业务上云,并且企业并不只是采用一种云,而是采用多种云相互结合的方式,例如,公有云、私有云、混合云等等。企业采用多云方式已发展为主流趋势。
然而,业务上云之后也并非一劳永逸。由于云安全策略的制定总是滞后于云服务的使用,存储在云中的客户数据的泄露风险也相应增加。国内外的类似安全事件也层出不穷,例如今年,AWS托管的Capital One美国和加拿大1.06亿客户的个人数据发生泄露。下图比较形象地展示出,云计算还面临多账号权限管理、可视化问题以及一系
2022年04月09日
有很多小伙伴还搞不清 Cookie、Session、Token 他们的区别,今天我就带大家彻底搞懂他们。
图片来自 Pexels
Cookie
夏洛:大爷,楼上322住的是马冬梅家吧?
大爷:马都什么?
夏洛:马冬梅。
大爷:什么都没啊?
夏洛:马冬梅啊。
大爷:马什么没?
夏洛:行,大爷你先凉快着吧。
在了解这三个概念之前我们先要了解 HTTP 是无状态的 Web 服务器,什么是无状态呢?
就像上面夏洛特烦恼中经典的一幕对话一样,一次对话完成后下一次对话完全不知道上一次对话发生了什么。
如果
2022年04月09日
随着移动应用使用率的大幅增长,其被攻击的风险也在增加。根据Gartner的一项研究,“75%的移动应用程序将无法通过基本的安全测试”。大多数企业主认为移动应用不容易受到网络攻击。然而,对于移动APP黑客已经总结出方便有效的攻击方法与工具脚本,保护移动应用已经成为迫在眉睫的首要任务。
根据大数据资讯机构HPE(慧与)的一项研究中,对600多家公司的2000多个移动应用进行了测试,结果如下:
35%的应用程序通过HTTP发送用户名和密码, 18%通过SSL/HTTP
2022年04月09日
今天我们来关注一下来自网络外部的数字威胁,它具有一个主要风险:来自网络本身的威胁。
“内部威胁”是什么样子?它们是什么类型,它们的增长方式以及组织如何防御它们。我们还将查看一些最近的示例,以帮助我们更好地了解内部威胁如何发挥作用。
威胁" title="内部威胁">
什么是内部威胁?
用最简单的术语来说,内部威胁是来自组织内部的安全风险。此威胁可能来自事件发生时的员工,管理人员或与组织直接相关的其他人员。它也可以来自顾问,前雇员,业务合