金融行业安全月刊201701期
绿盟科技发布金融行业安全月刊201701期,该月刊为绿盟科技金融事业部主办的面向金融行业客户的信息安全类刊物。安全月刊分政策解读、行业研究、漏洞聚焦以及产品动态4个栏目,主要介绍最新安全动态、国家及行业政策(要求)落地指导、前沿技术以及安全解决方案等内容。
【公益译文】STIX Profile概览白皮书
在之前的文章中,小编介绍到 STIX是一种描述网络威胁信息的结构化语言 ,也介绍了 网络威胁情报信息怎么统一格式 用STIX结构化威胁信息表达 ,其中用9个维度来定义网络威胁信息,这包括可观察物、指标、安全事件、TTP(策略、技术与过程)、行动、威胁源起方、利用目标、行动方案(COA)、数据标记,那么具体这些维度在数据存储上都包括哪些字段,又是如何使用的呢?这篇文档主要是讨论这个方面的问题。
【公益译文】运用MAEC和STIX描述恶意软件特征
前面给大家介绍了 STIX是一种描述网络威胁信息的结构化语言 ,那么怎么用这种语言来描述网络威胁信息呢?在遇到恶意软件的时候用,它与恶意软件描述语言MAEC又有怎样的区别和配合呢?
【公益译文】STIX介绍讲义
上次,给大家介绍了 网络威胁情报信息怎么统一格式 用STIX结构化威胁信息表达 ,好多人在问STIX到底是什么?STIX其实就是结构化威胁信息表达的英文缩写,STIX是由多人群策群力共同定义和开发的描述网络威胁信息的结构化语言,用于描述各种潜在网络威胁信息,表达准确、灵活,具有可扩展性,可自动化,并易于理解。
【公益译文】使用STIX规范网络威胁情报信息
对组织来说,获得网络威胁情报能力越来越必要,而成功获取该等能力的关键要素是与合作伙伴、友商及所信任的其他人进行信息共享。网络威胁情报和信息共享可帮助组织聚焦庞杂的网络安全信息,并对数据的使用进行优先级排序,组织要处理此类信息,就必然需要标准化的、结构化的信息表达。
【威胁通告】OpenSSH远程代码执行漏洞
2016年12月19日,OpenSSH官网发布了一个OpenSSH的版本更新,在新版本中修复了编号为CVE-2016-10009的漏洞。该漏洞允许攻击者在运行ssh-agent(该程序通常运行在客户端)的机器上加载一个恶意模块PKCS#11从而使攻击者有机会执行远程代码。
加强敏感数据泄露防护
近两年,产业信息化、数字化、网络化进程加速,互联网、云计算、大数据带来更新式革命,“互联网+金融”成为传统金融行业转型“触电”的新模式,然后新形式下的数据安全状况变得越发严重,金融行业已经沦为数据泄密的重灾区,再次给人们敲响数据安全的警钟。
【威胁通告】Firefox跨域设置cookie漏洞
2016年12月6日,insert-script.blogspot.gr网站发布了一条关于Firefox跨域设置cookie的消息,该漏洞的成因是火狐浏览器允许元标签对浏览器cookie进行设置。
2016年第三季度DDoS态势报告
据绿盟科技全球DDoS态势感知平台监控数据分析显示,Q3发生DDoS攻击次数增加,小流量攻击占比增加,攻击手段呈现复杂化,总体攻击态势依然严峻。
2016 年上半年中国网站安全报告
2016年11月16日,中国电信股份有限公司北京研究院(以下简称“中国电信北研院”)联合绿盟科技等,在北京发布“2016年上半年网站安全报告”,本文对报告内容进行生动解读,大家可以当段子看。报告全文下载见文末。
【漏洞通告】Apache HTTPD拒绝服务漏洞
2016年12月5日(当地时间),seclists.org网站发布了一条关于Apache网页服务器拒绝服务漏洞的消息,漏洞编号为CNNVD-201612-069。该漏洞存在于mod_http2模块中,这是从Apache HTTPD 2.4.17版本开始引入的关于HTTP/2协议的模块。