2022年04月06日
本文转载自微信公众号“数世咨询”(dwconcn)。高漏洞赏金引人注目,但并未缓解应用安全缺陷。Zoom最近,众包安全项目发放的漏洞赏金单价提高到最高5万美元。高赏金已成为媒体头条新闻,吸引安全人才投资挖洞和欣赏,但也提出了一个问题:漏洞值多少钱?前渗透测试员和Bugcrowd Top10研究员,CDL现任首席信息安全官Alex Haynes与您分享他对漏洞价值几何的看法。几年前,Zoom当众包安全项目刚刚成立时,我在Zoom在产品中发现了几个漏洞。其之前发现了三个漏
2022年04月06日
组织需要很多安全技能,而且还在增加。专家表示,网络攻击的发展正在促进安全技能的需求。Netflix公司DVD业务安全负责人,美国信息系统安全协会(ISSA)旧金山分会会长Jimmy Sanders他说,该公司网络安全方面有很多工作要做,所以他希望领导的安全团队能够处理未来的许多任务,从促进零信任安全战略到保护其云服务部署,再到部署机器学习解决方案。安全团队成员必须能够随着业务需求、技术和安全风险的变化,快速调整和升级技能。实际上,Sanders认为“适应变化”它是202
2022年04月06日
Android是一种基于Linux自由、开源的操作系统。主要用于智能手机、平板电脑等移动设备,由Google开发公司和开放手机联盟。Android系统架构可分为应用程序层、应用程序框架层、系统运行库层和内核层,如图1所示。图1 Android系统结构Android应用层允许开发者在不修改底层代码的情况下扩展设备的功能,Android应用程序框架层为开发应用程序框架层API来访问Android的设备。Android 应用和Android 框架都用 Java 语言开发并在 中运行DalvikVM 中
2022年04月06日
根据NCC Group在过去的12个月里,对网络安全决策者的最新研究,IT减少预算、裁员、延迟网络弹性项目和增加远程工作可能会增加组织遭受网络攻击的风险。调查显示,2020年,40%的受访企业暂停网上招聘,29%裁员,20%负责网络韧性计划的人员被休假。30%的网络弹性项目被推迟或取消,其中27%的受访企业的网络弹性预算被削减。然而,数据显示,这些措施可能对安全产生负面影响:70%以上的削减、裁员或延迟。取消其网络项目的企业表示,网络攻击增加。同时,有一半的企业网络安全决策者报告说远程工作有所
2022年04月06日
最近,安全公司MalwareHunterTeam发现网络钓鱼假冒网站正在使用JavaScript检查访问是来自虚拟机还是来自虚拟机“无头设备”(无显示器)并屏蔽此类访问以避免安全检测。因为网络安全公司通常使用无头设备或虚拟机来确定一个网站是否是钓鱼网站。为绕过检测,使用网络钓鱼套件JavaScript检查浏览器是在虚拟机下运行还是在不连接监视器的情况下运行。如果发现任何安全分析尝试的迹象,钓鱼网站将显示空白页面,而不是在线钓鱼页面。MalwareHunterTeam脚本将
2022年04月06日
行业专家指出,面对安全威胁,企业高管和董事会成员需要更加关注网络安全。首席信息安全官(CISO)需要通过SolarWinds安全事件等危机将安全转化为商业战略。Abacus公司首席信息安全官Bill Brown指出,像SolarWinds如此引人注目的网络安全漏洞事件应引起企业高管和董事会成员的关注。他曾担任三家公司的信息安全负责人。他说,任何公司的高管通常在听到最新的安全漏洞后都会打电话给他寻求安全保障。他们会说,“这种事件会发生在我们公司吗?我们该怎么办?”但现在很
2022年04月06日
消息人士称,微软将从美国政府获得1.51亿美元的网络安全基金占新冠肺炎网络安全基金的近四分之一。然而,一些立法者对此感到不满,不希望美国政府为软件公司提供资金。黑客攻击对国家安全构成了重大威胁,这让美国立法者深感沮丧。因此,美国国会在周四签署的新冠肺炎救助法案中分配了网络安全援助资金。俄勒冈州参议员罗恩·怀登(Ron Wyden)他说:“微软长期忽视了软件设计的缺陷,造成了重大漏洞,重大漏洞。解决这个问题的唯一办法就是给微软更多的钱,政府需要重新评估对公司的依赖。&r
2022年04月06日
对于越来越多的企业来说,企业网络“边缘”日益成为IT投资的重点。它们旨在增强边缘的数据存储、处理和分析功能,网络设备和系统收集的数据中获得业务洞察力。光学和光子产品制造商Lumentum本地计算和存储阵列已经采用了一种边缘策略来处理制造和测试过程中生成的大量数据。高级副总裁兼首席技术官Ralph Loura说:“边缘计算使我们能够实时处理和存储生产线下的数据。我们还采用了将数据流传输到公共云平台的聚合策略,以便数据聚合、处理、长期存储和合作伙伴的安全访问。&r
2022年04月06日
在过去的一年里,大小安全制造商逐渐投资XDR(eXtended Detection and Response)在这一领域:一些制造商从终端安全开始,而另一些制造商则从网络层面开始。这是一个很好的切入点,毕竟,XDR价值在于将安全从一系列终端产品转移到一个独立的平台,从而实现企业威胁的可视化能力。数据将从不同的执行点获取,然后进行分析,使企业能够更快地发现威胁,并根据威胁的辐射半径进行响应。像EDR这种传统的安全工具往往只能发现威胁,很难真正理解威胁——特别是威胁来自那些
2022年04月06日
本周初,中美两国对加密通信的应用不约而同。美国司法部周一起诉加拿大加密通信公司Sky Global首席执行官Jean-Francois Eap及分销商Thomas Herdman。起诉书指控Sky Global为全球贩毒和洗钱跨国犯罪集团提供加密通信服务(Sky ECC)逃避执法部门的监控,获得数亿美元的收入。Sky Global首席执行官则辩称该公司开发的是隐私保护应用。主流加密通信应用Signal,则在中国“失联”。近日,据Threatpost报到端加密通信应用报