全球动态
1. 证监会发布《证券期货业信息安全运营管理指南》等 9 项金融行业标准
《证券期货业信息安全运营管理指南》金融行业标准给出了信息安全运营管理过程中基础安全、信息资产、漏洞、开发安全、数据安全等方面的管理思路和方法,并给出了各管理域的度量指标以及行业最佳实践。【阅读原文】
2. Pwn2Own 大会落幕,三星多次被攻破,苹果和谷歌躲过一劫
Pwn2Own 多伦多 2023 黑客大赛落下帷幕,参赛团队在为期 3 天的比赛时间里,针对消费类产品进行了 58 次零日漏洞利用(以及多次漏洞碰撞),共获得了 103.85 万美元的奖金。【外刊-阅读原文】
3. CISO 的噩梦:影子 AI
影子 IT,即员工使用未授权 IT 工具的现象,在职场中已经存在了几十年。目前,随着生成式 AI 的野蛮生长,CISO 开始意识到,他们正面临比影子 IT 更加可怕的内部威胁:影子 AI。【阅读原文】
4. 研究发现基于 XMPP 协议的社交软件面临严重窃听风险
一名安全研究人员声称他发现有人试图利用托管在德国 Hetzner和Linode(Akamai 的子公司)的服务器,秘密拦截来自基于 XMPP 的即时消息服务 jabber[.]ru(又名xmpp[.]ru)的流量。【外刊-阅读原文】
5. 工业自动化巨头罗克韦尔收购工控安全厂商 Verve
工业自动化和控制系统制造商不断收购工业网络安全公司,为客户的工厂和设施提供更多保护。本周,罗克韦尔自动化同意收购网络安全软件和服务公司 Verve Industrial Protection,该公司将成为罗克韦尔生命周期服务部门的一部分。【阅读原文】
6. 奥地利海盗 IPTV 网络被摧毁,174 万美元被没收
奥地利警方在全国范围内逮捕了 20 人,据称他们与一个非法 IPTV 网络有关,该网络在 2016 年至 2023 年期间解密了受版权保护的广播节目,并将其重新分配给成千上万的客户。【外刊-阅读原文】
安全事件
1. Lazarus 集团利用已知漏洞攻击软件供应商
Lazarus 集团被认为是一场新活动的幕后黑手,在该活动中,一家未透露姓名的软件供应商通过利用另一款备受瞩目的软件中的已知安全漏洞而受到损害。【阅读原文】
2. HackerOne 已向白帽支付了超 3 亿美元漏洞赏金
知名网络安全公司 HackerOne 宣布,自 2012 年成立以来,其漏洞赏金计划已向白帽和漏洞研究人员发放了超 3 亿美元的奖励。【外刊-阅读原文】
3. 数据安全服务资质正式发布
信息安全服务资质是对信息系统安全服务的提供者的技术、资源、法律、管理等方面的资质和能力,以及其稳定性、可靠性进行评估,并依据公开的标准和程序,对其安全服务保障能力进行认定的过程。【阅读原文】
4. F5 修复了 BIG-IP 身份验证绕过漏洞,允许远程代码执行攻击
F5 BIG-IP 配置实用程序中存在一个严重漏洞(编号为 CVE-2023-46747),允许远程访问配置实用程序的攻击者执行未经身份验证的远程代码执行。【外刊-阅读原文】
5. 斯坦福大学在勒索软件索赔后调查网络攻击
Akira 勒索软件团伙声称它袭击了斯坦福大学并窃取了 430 GB 的数据。自今年 3 月出现以来,该团伙已经对美国大学和义务教育内的学校发动了几次袭击。【阅读原文】
6. 谷歌扩大其漏洞赏金计划
谷歌宣布扩大其漏洞奖励计划(VRP),以补偿研究人员发现针对生成人工智能(AI)系统的攻击场景,以增强人工智能的安全性。【外刊-阅读原文】
优质文章
1. 2024 年开源安全趋势和预测
开源安全的基本形式是确保扫描软件项目中使用的开源包,以查找安全漏洞。除此之外,开源安全还包括开发和维护这些项目的社区及其运行的生态系统,这包括从保护开发工具和平台到管理代码库贡献和变更的实践,再到将软件分发给最终用户的方法。【阅读原文】
2. SpringWeb 常见鉴权措施与垂直越权检测
越权漏洞是日常开发中比较常见的一个缺陷,要进行越权检测,一般需要明确定义和管理系统中的权限。这可能包括用户角色、资源和操作的细粒度权限控制。维护这些权限定义并确保它们与实际业务操作一致本身就是是一项复杂的任务。【阅读原文】
3. WatchDog 挖矿组织近期活动分析
研究人员捕获了一批活跃的 WatchDog 挖矿组织样本,该组织主要利用暴露的 Docker Engine API 端点和 Redis 服务器发起攻击,并且可以快速的从一台受感染的机器转向整个网络。WatchDog 挖矿组织自 2019 年1月开始被发现,至今仍然活跃。【阅读原文】
*本文内容收集自全球范围内的媒体与刊物,制作者对其完整性负责,但不对其真实性和有效性负责。
*标明为【外刊】的内容主要来源为英语国家的媒体与刊物,部分内容需要注册免费账号后方可阅读。
如有侵权请联系:admin#unsafe.sh