2022年04月08日
微软(Microsoft)在其团队的工作场所视频聊天和协作平台上修补了一个类似蠕虫的漏洞,攻击者通过发给受害者一个看似无害的图像,结果却是恶意链接,进而黑进一个团队全部账户。
点我呀!
这一影响桌面版和网络版应用程序的漏洞是由CyberArk的网络安全研究人员发现的。在3月23日负责任地披露了调查结果之后,微软在4月20日发布的更新中修补了这一漏洞。
“即使攻击者没有从一个团队的账户中收集到很多信息,他们仍然可以使用被黑的账户来窃取整个组织的信息(和蠕虫病毒一个性质),&rdquo
2022年04月08日
5月12日,美国国土安全部(DHS)网络安全和基础设施安全机构(CISA,Cybersecurity和Infrastructure Security Agency)和FBI联合发布了一份关于《2016年-2019年被利用最多的10个软件安全漏洞》的报告,督促相关机构应用必要的安全更新来预防当前常见的一些攻击方式。
被利用比较多的10个漏洞
报告指出过去4年里(2016年-2019年)被利用最多的10个安全漏洞是:
CVE-2017-11882:影响Microsoft Office
2022年04月08日
近日,国家互联网应急中心(CNCERT)发布了《2019年我国互联网网络安全态势综述》报告(以下简称“报告”),从DDoS攻击、APT攻击、安全漏洞多个方面总结了2019年我国互联网网络安全状况,并结合网络安全态势分析提出对策建议。
DDoS 攻击是常见的网络攻击中比较难以防范的手段之一,报告显示,2019年,DDoS攻击仍然呈现高发频发之势,攻击组织性和目的性更加凸显。
超80%的攻击都“颇具成效”
我国党政机关、关键信息基础设施运营单位的信
2022年04月08日
这些年来发生的重大用户隐私泄漏事件,就其根源,有一半的原因要归咎于用户本身,其中最常见的就是密码设置太简单。为此,很多供应商和机构都强制用户设置更复杂的密码。但即便如此,密码设置方面的漏洞还是攻击者最喜欢的攻击入口点,这其中最常见的问题就是密码重用。有用户觉得,对于不同的账户,我会将用过的密码进行一些细微的改变,这样是不是就安全了?经过实际测试,这些只经过细微更改的密码,都算是密码重用。
那问题就来了,既然密码管理器现在随手可用,那为什么密码重用问题还是如此突出呢?其原因在上面已经说了,对于不同
2022年04月08日
新冠疫情给企业漏洞管理带来哪些挑战和压力?近日,Ponemon Institute和Automox发布的两个漏洞报告给出了令人不安的数据。根据Ponemon针对全球3000家企业的调查,60%的数据泄露与尚未修复的安全漏洞有关,与2018年相比,今年企业修补漏洞的延迟导致企业在停机时间上的损失增加了30%。
而根据Automox的最新漏洞管理现状调查报告统计,不到50%的组织可以迅速修补易受攻击的系统,并有效防御严重威胁和零日攻击,高达81%的企业在过去两年中遭遇了至少一次数据泄露。
该研
2022年04月08日
据外媒,一名荷兰研究人员 Ruytenberg 展示了黑客如何通过 Thunderbolt 实施物理访问进而攻击电脑,并指出了 7 类漏洞 :固件验证方案不足、弱设备认证方案、未经验证的设备元数据的使用、使用向后兼容性降低攻击级别、未经验证的控制器配置的使用、SPI 闪存接口缺陷、在 Boot 营地没有雷电安全。
Thunderspy(图片来源:GHack.com)
研究者指出,这些漏洞适用于自 2011年以来所有装有 Thunderbolt 的计算机,并且允许拥有物理访问权限的攻击者从
2022年04月08日
“大量的网络安全检查伴随着问题的发现,问题发现了就要分析原因。所有的网络安全问题,最后都归到人的问题上,就事论事都只能起到短期的改进作用,长期的改进都需要加强网络安全队伍建设,加强管理层的网络安全意识,才有可能提高单位整体网络安全管理能力。”
本期牛人访谈安全牛有幸邀请到军工保密资格认证中心研究员黄次辉,站在单位的视角而不是国家的视角、行业的视角或者网络的视角,为我们谈谈单位网络安全管理能力、管理层网络安全意识和网络安全队伍建设这三点的思考与分析。
一、网络安全管理能力
2022年04月08日
随着网络环境的不断变化,入侵者总是在寻找新的方法来利用组织系统和应用程序中的弱点。因此,网络相关事件已经成为企业的最大风险之一,因为他们试图了解自己的网络弹性和面临的威胁。
因此,安全保障在帮助组织进行有效的网络风险管理、遵守监管和法律合规要求以及防范代价高昂的安全漏洞方面变得至关重要。许多机构已经意识到这一转变:根据MarketsandMarkets的研究显示,到2023年,全球安全保障市场预计将增长到54.8亿美元。
安全保障旨在通过各种方法(如基于证据的风险评估、控制差距分析和安全测试)
2022年04月08日
近年来,网络安全逐渐为人们重视,安全形势愈演愈烈,攻防交战持续推进。
今日,网络安全和基础架构安全局(CISA)和联邦调查局(FBI)发布2016年至2019年以来最常被利用的十大安全漏洞。CISA和FBI通过国家网络意识系统发布了AA20-133A警报,让公共和私营部门组织更容易确定企业内部补丁的优先级。
报告提及的十大漏洞包含:CVE-2017-11882,CVE-2017-0199,CVE-2017-5638,CVE-2012-0158 ,CVE-2019-0604,CVE-2017-
2022年04月08日
据外媒,国外某研究团队披露了一个新的漏洞,可以让攻击者欺骗现代蓝牙设备,使其与伪装成受信任的恶意设备配对。这个安全漏洞被团队称为蓝牙冒充攻击(BIAS),影响了一系列使用蓝牙的设备,包括iPhone、iPad和Mac。
新的蓝牙漏洞被发现
从本质上说,BIAS攻击利用了蓝牙设备如何处理长期连接的漏洞。当两台蓝牙设备配对后,它们在一个“链接密钥 ”上达成一致,这样它们就可以在不经过配对过程的情况下重新连接到对方。瑞士洛桑联邦理工学院的研究人员发现,他们能够在不知道这个链