【公益译文】网络安全滑动标尺模型–SANS分析师白皮书

网络安全滑动标尺模型对组织在威胁防御方面的措施、能力以及所做的资源投资进行分类,详细探讨了网络安全的方方面面。该模型可作为了解网络安全措施的框架。模型的标尺用途广泛,如向非技术人员解释安全技术事宜,对资源和各项技能投资进行优先级排序和追踪、评估安全态势以及确保事件根本原因分析准确无误。

绿盟科技互联网安全威胁周报NSFOCUS-18-47

绿盟科技发布了本周安全通告,周报编号NSFOCUS-18-47, 绿盟科技漏洞库 本周新增59条,其中高危39条。本次周报建议大家关注Apache Spark 任意代码执行漏洞等,攻Apache Spark在单机资源管理器实现中存在安全漏洞。攻击者可通过发送特制的请求利用该漏洞在‘master’主机上执行代码。目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本。

【安全意识】从信息泄露事件分析各类信用卡的安全性

2018年10月24日,国泰航空对外披露,940万用户的乘客数据遭到外泄,其中包括:乘客姓名、出生日期、电话号码、护照及身份证号码、信用卡信息、历史飞行记录等资料。这次的信息泄露事件,被香港立法会议员林卓廷形容为“本港历来最大的个人资料外泄事件”。无独有偶,就在该事件发生的一个月前,恶意组织MageCart成功窃取英国航空公司38万用户数据,其中包含7.7万条信用卡数据。信息泄露的危害想必不言而喻,但其中还存在一个问题,黑客为什么还要窃取信用卡信息呢?难道获得信用卡信息后,他们就真的能使用吗?

网络安全等级保护基本要求之云计算扩展要求要点梳理

目前,云计算技术在国家关键信息基础设施领域的应用日益广泛。原有信息安全等级保护标准体系中标准的适用性提出挑战,防护措施、实现方法和测评方法都将有所不同。因此,根据云计算环境中的新增安全威胁和主要防范手段,在《信息安全技术 网络安全等级保护基本要求 第1部分:安全通用要求》进行了扩展,形成了云计算安全扩展要求(以下简称“云等保”)。

【公益译文】安全意识专题 | 无线网络安全管理建议

保持网络安全至关重要。网络负责用户、各部门、分支机构以及客户之间的数据传输,可谓公司的命脉。若公司的网络处于不安全,也就无法保证公司的安全,置公司于危险境地。值得注意的是,如今几乎每个公司都有某种类型的无线网络,部署和采用无线网络已是一种趋势,而且这种趋势在全球范围内日益突出。

绿盟科技互联网安全威胁周报NSFOCUS-18-46

绿盟科技发布了本周安全通告,周报编号NSFOCUS-18-46, 绿盟科技漏洞库 本周新增68条,其中高危32条。本次周报建议大家关注Microsoft Windows Kernel ‘Win32k.sys’权限提升漏洞等,攻击者可通过登录系统并运行特制的应用程序,利用该漏洞在内核模式下执行任意代码。目前Microsoft已经为此发布了一个安全公告(November 2018 Security Updates)以及相应补丁,请用户及时下载补丁修复这个安全问题。

绿盟科技SDL实践–ADSL

安全开发生命周期(Security Development Lifecycle,SDL),将安全的考虑集成在软件开发的每一个阶段,利用威胁模型改进安全流程。基于对各厂商的SDL实践研究,绿盟科技以安全厂商的视角,凭借自身在安全评估、渗透测试、代码审计等领域的积累,推出绿盟SDL解决方案-ADSL,为客户的安全开发落地实践提供有力支撑。

如何做好漏洞管理的漏洞修复工作

漏洞管理工作是企业安全建设必不可少的一环,在风险管理工作中,漏洞管理能够防患于未然,企业对漏洞管理有着广泛的基础建设和实践经验。但随着攻防技术的发展,传统漏洞管理的安全技术和管理过程,开始面对越来越多的挑战。怎样提高企业的漏洞管理水平成了安全管理人员需要去思考的问题。