不论是安全教父周鸿祎,还是国内外的科技大佬以及先知们,在关于未来的趋势上均有两点共识:所有企业都会成为互联网企业;所有设备都会成为互联网设备。Internet of Things(IOT)时代之后,人类正在进入Internet of Everything(IoE)。无处不在的计算和连接设备正在满足人类的贪婪和懒惰,让人类生活更加舒适的同时却带来的前所未有的安全挑战。正如周鸿祎在2014年互联网安全大会上所描绘的,互联网安全已进入Security of Things(SoT)时代,大数据安全、云端安全、隐私安
2017年,包含WannaCry、Petya的勒索病毒攻击事件已爆发过多次,这些勒索软件攻击皆是在全球范围内爆发的大规模攻击。勒索软件攻击下,部分企业计算机、服务器均遭到破坏,致使企业数据丢失或业务中断。暴利驱使下,黑客操控的勒索软件攻击事件迅速蔓延。面对日益猖獗的勒索软件攻击,企业网络安全已无法保证。据360互联网安全中心发布的《2017年勒索软件威胁形势报告》(以下简称:报告)显示,针对中小企业网络服务器的攻击急剧增长,已成为2017年勒索软件攻击的一大鲜明特征。 15%勒索软件定向攻击中小企业服务器
浓缩观点 大数据时代的来临会让互联网走到一个奇点,在未来两三年里,随着各种移动智能设备接入,安全问题也会变得越来越严重。 用户信息安全的三原则:1. 用户的信息是用户的个人资产;2. 用户的信息和厂商之间,应该遵循平等交换的原则;3. 任何互联网公司一定要对存在服务器上的用户数据进行相应的加密,进行安全存储和安全传输。 什么是奇点?奇点是宇宙大爆炸时候的那个点,美国未来学家雷·库兹韦尔定义了“奇点”理论,他认为人类文明经过这么多年发展,在本世纪的中叶会经过奇点,奇点是一个拐点。 奇点是由量变到质变过程中出现
大数据时代的来临会让互联网走到一个奇点,在未来两三年里,随着各种移动智能设备接入,安全问题也会变得越来越严重。 用户信息安全的三原则:1. 用户的信息是用户的个人资产;2. 用户的信息和厂商之间,应该遵循平等交换的原则;3. 任何互联网公司一定要对存在服务器上的用户数据进行相应的加密,进行安全存储和安全传输。 什么是奇点?奇点是宇宙大爆炸时候的那个点,美国未来学家雷·库兹韦尔定义了“奇点”理论,他认为人类文明经过这么多年发展,在本世纪的中叶会经过奇点,奇点是一个拐点。 奇点是
4月21日消息,奇虎360董事长兼CEO周鸿祎在今天的奇点大会上表示,可穿戴设备让每个人都变得无比透明,很多数据会被厂商拿到,带来最大的问题就是安全问题。 周鸿祎表示,安全事故的核心是用户信息的安全,比如汽车的远程控制技术一旦开放,用户开着车可能就被遥控了。 周鸿祎称,今天智能硬件、车联网、物联网概念刚刚兴起,但是未来这些设备的数量可能是手机的10倍,各种数据都被记录下来,在这样一个时代,行业里的人有责任给用户建立一个安全基础。对很多创业者来讲,在如何利用云计算、大数据产生效益之前,应该制定一个保护用户数
速度对于防御DDoS攻击起着至关重要的作用。大量“突发性洪水”攻击会在一瞬间突然出现,并在几秒钟内增加至数百千兆字节。起初应用可能看起来工作正常,但之后会突然无法使用,而且找不到明显的原因。当用户已经意识到受到攻击时,可能已经对业务产生了严重的损害。
根据调研机构TMR的预测显示,到2022年,全球云安全的市场规模将增长到118亿美元。随着初创公司和应用越来越多,云端软件安全市场也变成了一个大蛋糕。
近日,2017贵阳大数据及网络安全攻防演练在贵阳经开区成功举行。本次演练活动以“共建安全生态,共享数据未来”为主题,八天时间里,来自全国各地的21支检测队伍、14支应急响应队伍以及36支防守队伍齐聚贵阳大数据安全产业示范区,各方以代码作刀戟,展开激烈角逐,上演了一场“真枪实战”的网络攻击防卫战役。 去年,贵阳市成功举办第一届大数据及网络安全攻防演练。这是全国首次以大城市为范围、在真实网络环境中针对真实目标开展大数据与网络安全攻防演练。直面网络安全问题、摸底网络安全现状,贵阳的创举在全国引起广泛关注。跟去年相
云计算的本质在于通过集中供应式的弹性计算,降低计算成本。与水厂、电厂不同的是,云计算使用者需要把数据交给云计算厂商,这让一些厂商对云计算心存芥蒂,宁愿使用一些昂贵的计算方式或者服务较差的云计算服务比如运营商。不过近日一个事件表明,云计算安全已经不再是问题。 一、民生网站获权威安全评级,为云计算正名 近日部署于阿里云的中国药品电子监管网正式通过信息安全等级保护三级测评。这是全国首例部署在“云端”的部委级应用系统,通过国家权威机构测评,进一步证明阿里云的数据安全性。 中国药品电子监管网隶属于药品食品监督管理局。
本文介绍了单点架构和多点架构的概念、优势和劣势,并通过两个例子来帮助读者理解这两种架构。单点架构成本较低,但故障率较高,不容易扩展;多点架构成本较高,但稳定性较高,易于扩展。
近日,美国联邦调查局(FBI)表示,俄罗斯政府支持的黑客组织正积极利用错误配置的默认多因素认证(MFA)协议,将自己的设备注册到机构组织的Duo MFA后,从而进入一些非政府组织的云端。
随着企业数字化转型的深入,网络接入模式也更加多元化,移动办公、远程接入、云服务等场景在后疫情时代成为新常态!各家企业的网络结构日趋复杂并且向云转化,以往基于边界的网关型身份和访问控制体系难以应对新型威胁;当企业以传统安全防护理念应对安全风险暴露出越来越多问题时,零信任理念提供了新的安全思路。
指每个用户只能访问其工作所需的访问权限。通过限制每个用户的访问权限,可以有效防止黑客进入内部后的横向攻击。这种精细的授权策略一般来说是由数据所有者来管理权限,并定期审核访问权限和成员身份。
这几年,云计算在IT技术领域大放异彩,成为引领技术潮流的新技术。不过云计算的发展并不是一帆风顺,也面临着不少严峻问题,尤其是安全问题,安全问题已经严重影响到了云计算的普及,不少人对云计算持怀疑态度,不愿将隐私数据信息交由云计算来处理。的确,云计算的到来,给IT系统尤其是数据中心带来了极大挑战,在不同层面都要面临新的安全问题。那么,云计算面临着哪些安全威胁呢?本文就来详细说一说,只有正视这些问题,才能解决这些问题,让云计算不再是襁褓中的婴儿,变得强壮起来。云计算技术面临着四个方面层次的安全威胁: 认证层
云计算,就是你把自己的业务给实现成了软件(你管它叫“信息化”也行、“数位化”也行),然后“租赁”了第三方的硬件与网络资源去运行这些软件,以服务你的客户、合作伙伴。也就是说,把自己的代码化数字内容资产,托管、运行在第三方空间里。
什么是web渗透测试?一般是指通过模拟黑客的攻击手法,对计算机网络系统进行安全评估测试,如果发现系统中存在漏洞,向被测试系统的所有者提交渗透报告,并提出补救措施。这一章将通过渗透测试Web应用和服务器,向大家介绍渗透测试的方法和技巧。
2014中国互联网安全大会9月24日上午在北京举行,2013年周鸿祎提出了泛安全的概念,要让用户用手机和电脑用得更爽,这一次周鸿祎讲了什么?且看实录。 非常感谢这么多人来参加中国互联网大会,我虽然经常在台上表演节目,但今天现场有五、六千人,对我来说也是第一次。去年我们办了第一次大会,今天我们办了第二次,我希望这个会议规模能够越办越大,最好能够超过ChinaJoy,我觉得安全也可以做得不那么严肃,也可以做得很逗比对不对。 其实前一段我干了很多和安全没有关的事情,因为最近有很多企业都得了一种病,特别是很多传统
介绍 黑盒渗透测试意味着白帽子对目标网络一无所知。模拟黑客攻击网络,并获取敏感信息。进一步,探索内网,识别内网中的漏洞,通过漏洞访问网络里的重要资源。 目的 在这篇文章中,我们假设白帽子不知道目标网络的任何信息。目的是获取目标网络的敏感信息,获取整个域,并攻破目标网络里的重要资源。让们开始吧。 条件 在开始审计之前,我们不知道目标网络里的任何信息,只能物理访问目标网络的宾客区。 开始攻击 我们检测可用的网络连接。没有可供我们连接的有线网接口。所以我们把注意力转向了无线连接。 为了进行无线网络侦查,我们
在每一年的演习中,我们都会处置好几十起产品安全事件,虽然绝大多数都是已知的漏洞,但仍然有记录和总结的价值。另外身处应急响应大厅,还会得到来自几千同事传来的一手情报,他们犹如探针一样驻扎在客户侧进行防守,又或是攻击队员,在演习期间不间断的上报情报,可以帮助提升公司网络安全(安全部做出相应排查、加固和检测动作)和产品安全能力(产品线依据情报详情编写检测规则)。回顾历年写下的笔记,提炼出八个典型场景进行分享:
这几天,网友们都被一则新闻揪心了:《华住集团约5亿条用户隐私信息疑遭售卖》,华住旗下的汉庭等酒店的数据全部被“脱裤”。类似于的新闻,几乎每天都会见诸报端,比如同时期就有《超出想象!谷歌在安卓平台上收集用户数据,每小时上传14次》《子弹短信隐私保护条款引争议:信息泄露为何不担责》等类似新闻。
一年一度大型活动刚刚过去,对于BT来说,能在这一期间坐在电脑前点点鼠标,业务安然无恙是极好的,本文为BT视角对今年大型活动中的RT打法思考与观感,重点观察思考了今年主流攻击思路,以及今年攻击姿势重点方向发生的转变。
现在的汽车变得越来越聪明了,启用泊车系统则汽车可以自主寻找停车位,启用自适应巡航系统则汽车可自动调速跟车行驶,然而我们在享受汽车智能化带给我们便捷和舒适的同时,也面临智能汽车所带来的安全问题,那么智能
客户端状态保持是一个老生常谈的问题了,归根结底追踪浏览器的用户身份及其相关数据无非就是以下四种方式:session,cookie,sessionStorage,localStorage
作者:Hoda Naghibijouybari、Ajaya Neupane、Zhiyun Qian、Nael Abu-Ghazaleh
拖拉机制造商约翰迪尔(John Deere)公司的系统中被曝含有安全漏洞,攻击者可以借此破坏农作物、损害财产安全、影响收成甚至破坏农田。
云计算是一种新的计算方式,它依托于互联网,以网络技术、分布式计算为基础,实现按需自服务、快速弹性构建、服务可测量等特点的新一代计算方式。然而,任何以互联网为基础的应用都存在着一定危险性,云计算也不
MongoDB数据库叕被攻击了。就在上周末,三个黑客团伙劫持了MongoDB逾26000多台服务器,其中规模最大的一组超过22000台。 “MongoDB启示录”再临? 此次攻击由安全专家Dylan
近年来,随着防御手段的多样化,专业组织根据攻击目标的具体环境发动混合攻击的事件频发。
近年来,直播行业获得高速发展。数据表明,截至 2021 年底,我国网络直播用户规模已达 7.03 亿。以电商为例,直播已成为电商运营的“标配”且用户量可观。据益普索发布的《2021 直播电商趋势报告》表明,2021 年直播电商用户平均年消费超过 2500 元,平均增长为 12%。除了直播行业,短视频、AR/VR、 电竞和视频会议等音视频应用也步入快速发展阶段。 一方面,音视频技术的发展和 5G 商用奠定了坚实的技术基础;另一方面,近两年新冠疫情的出现和发展,让原有的生活工作场景线上化,远程办公、线上教育和线
“小博客站点没有攻击价值”这个观点,是个很害人的观点,特别是对很多小白站长们来说,因为现在的互联网环境下攻击你的服务器已经不需要“价值”了,攻击你想要的是你的服务器资源,比如:端口、IP、CPU、硬盘、内存这些,用来当做“肉鸡”出售给需要的人、用来当做“挖矿(可以理解为是赚取比特币行为)”客户端等等。甚至可以说攻击你服务器或者网站的仅仅是个自动执行的爬虫代码而已,无人值守型的还是。所以,不要再抱着“小博客站点没有攻击价值”这个观点来蒙蔽自己了,否则那就真的是“麻木不仁”了!
如果你以为除了电脑和手机之外就安全的话,那你就还是低估硬件漏洞的危害了。此前,在英特尔CPU曝光出安全漏洞之后,很多人就将目光看向了英伟达这家世界上最大的GPU厂商。
日前安全研究人员表示,黑客在伪装加密货币挖掘恶意软件,并将其作为合法的Windows安装包传递出去。这种恶意软件,通常被称为Coinminer,使用了一系列混淆方法,使其攻击特别难以检测。一旦安装,恶意软件目录包含充当诱饵的各种文件。除此之外,安装程序还附带了一个脚本,可以杀掉在受害者电脑上运行的任何反恶意软件进程,以及受害者自己的加密货币挖掘模块。同时,恶意软件具有内置的自毁机制,使检测和分析更加困难。
物联网漏洞挖掘主要关注两个方面,一个是网络协议的漏洞挖掘,一个是嵌入式操作系统的漏洞挖掘。分别对应网络层和感知层,应用层大多采用云平台,属于云安全的范畴,可应用已有的云安全防护措施。 物联网安全的六个研究点 (1)物联网安全网关 物联网设备缺乏认证和授权标准,有些甚至没有相关设计,对于连接到公网的设备,这将导致可通过公网直接对其进行访问。另外,也很难保证设备的认证和授权实现没有问题,所有设备都进行完备的认证未必现实(设备的功耗等),可考虑额外加一层认证环节,只有认证通过,才能够对其进行访问。结合大数据分
作为数字化一代的我们,都希望有一辆像《霹雳游侠》里的基特那样懂思考、能说话,甚至还会打抱不平的汽车。在万物互联的强大推力下,被喻为“轮子上的计算机”的智能汽车正快速向我们驶来,在不远的将来,这一梦想也许会照进现实。 然而,机遇越大风险也越高。智能汽车更大限度地解放驾驶者的手脚的同时,也悄然将许多犹未可知的安全因素安插在其中。病毒、恶意攻击、隐私泄露等都只是我们可预见的安全风险,有安全公司分析,智能汽车很可能是继智能手机后黑客攻击的下一个热点。 电影《速度与激情8》中,反派塞弗为了截停俄罗斯国防部
提供不同网络的设备接入方案,例如2/3/4G、NB-IoT、LoRa等,解决企业异构网络设备接入管理的痛点
云上服务器如存在高危系统组件漏洞、关键系统配置不当,很容易被黑客攻击进而可能导致服务器资源被抢占、敏感信息泄露、对外攻击等严重后果。“主机安全”作为保卫服务器安全的最后一道防线,目前建立了一套事前事中事后的全生命周期防护体系:“预防→防御→检测→响应”。
2022年RSAC会议上,云安全厂商Mitiga的CTO Ofer Maor带来了题为It’s Getting Real & Hitting the Fan! Real World Cloud Attacks的主题演讲。该演讲回顾了五个真实的云安全事件,并提出了针对性的防护策略。本文将对该演讲进行解读。
企业级 WPA 总是自带不可攻破的光环。多数网络管理员认为它对于无线安全问题是个银弹。在这一章中,我们会看到这个真理不再正确了。
随着云计算的深入发展,边缘计算得到产、学、研以及政府部门的高度关注,尤其是和边缘计算节点相关的云边缘、边缘云、计算安全等问题。从边缘计算环境中潜在的攻击窗口角度分析来看,边缘接入(云-边接入,边-端接入),边缘服务器(硬件、软件、数据),边缘管理(账号、管理/服务接口、管理人员)等层面,是边缘安全的最大挑战。日前发布的《边缘计算安全白皮书》显示,当前边缘计算正面临着12个最重要的安全挑战。
前不久和小伙伴们讨论了一个基础的安全问题:一个朋友开的公司的服务器集群被黑了,攻击者在机器上安装了远程操作程序——被肉鸡了。但经过讨论后发现,机器的最基本的防护都没有。这无异于大姑娘在街上裸奔——就算
早在2000年左右,一些大中型企业为了集中运维人员的远程登录管理,会在机房部署一台跳板服务器,所有运维人员需要先远程登录本设备,再从跳转服务器登录其他服务器进行运维操作。
上周结束的Hackpwn上,黑客们脑洞大开,破解了比亚迪汽车、小米手环、乐小宝、长虹电视、TCL洗衣机和九阳豆浆机等一系列最新的智能硬件。 据黑客介绍,TCL是一家把家门“砌死”的企业,由于得到了将要被现场破解的消息,在HackPwn前一天,TCL就已经关闭了云服务器,在黑客童鞋以消费者身份苦苦哀求了一晚上以后,终于恢复服务,但是在Hackpwn当天又关闭了,又关闭了…… TCL的洗衣机在云端可以相互识别。但正常来说,一台洗衣机是无法给另一台洗衣机下命令的。不过,黑客团队发现了一招制敌妙计,那就是:把命令中
1、2021年1月,微软CEO宣布微软在2020年的安全业务收入达到100亿美元,年增长率超过40%。一时之间,安全行业纷纷热议“原来微软才是全球最大的网安厂商”!
随着云技术的快速发展和迭代更新,各行各业都在“云”中快速成长,安全性显得尤为重要。而云时代软硬件的“云交互”,对安全来说也意味着新的挑战。 近日,腾讯Blade Team团队在针对云上虚拟化安全研究中,发现了主流虚拟化平台QEMU-KVM的严重漏洞,攻击者利用该漏洞在一定条件下可通过子机使母机崩溃,导致拒绝服务,甚至完全控制母机和母机上其他商户虚拟机。这个漏洞很可能将影响到Google、Amazon等国际公司及国内众多知名厂商。 这是发生在云上的一场“越狱”。虚拟机相当于母机上的一个隔离进程,黑客通过漏洞
这是一个线上真实的事情,黑客已经攻破网站,并主动给我们上报了问题的根源以及解决方案还是不错的。1.前数据库
腾讯Blade团队现场演示了如何黑入亚马逊Echo音箱——窃听、录音,甚至将录音文件通过网络发送给远程服务器。
自动驾驶技术为人们勾勒出了一副美好的未来出行的画面:坐上没有方向盘的汽车,一觉睡到公司门口;甚至我们可能不再拥有一辆汽车,需要出门时共享自动驾驶汽车会自己到来,送到目的地时会自行离开…… 不过自动驾驶和车联网也会带来不那么美好的未来,比如《速8》中描绘的画面,黑客随意在键盘上敲几行代码,停在停车场中的汽车就一齐出动,横尸街头沦为大佬们飙车战的炮灰。 不过我们最害怕的还是,后一种坏未来,要比美好未来到来的更快。 AI还在路测,黑客们的自动驾驶已经成熟了 这一点并不是危言耸听,在自动驾驶汽车还处在路测阶段时
各位 Buffer 周末好,以下是本周「FreeBuf周报」,我们总结推荐了本周的热点资讯、安全事件、一周好文和省心工具,保证大家不错过本周的每一个重点!
据Cybernews 1月18日消息,亲俄罗斯的黑客组织Genesis Day称,因不满韩国与北约合作而攻破了三星集团的内部服务器。
领取专属 10元无门槛券
手把手带您无忧上云