美国能源部2019年Q1电力应急和故障报告解读
2019年4月,美国能源部(DOE)发布2019年Q1电力应急和故障报告,统计出2019年第一季度发生系统故障次数62次,产生的电力损失高达135019兆瓦,影响客户数超过250万。美国电力保障由北美电力可靠性公司(NERC)进行承担,其为一个非营利性国际监管机构,使命是确保有效和高效地降低电网可靠性和安全性的风险。
Istio系列一:Istio的认证授权机制分析
随着虚拟化技术的不断发展,以容器为核心的微服务概念被越来越多人认可,Istio因其轻量级、服务网格管理理念、兼容各大容器编排平台等优势在近两年脱颖而出,许多公司以Istio的架构设计理念作为模板来管理自己的微服务系统,但在其势头发展猛劲之时,也有许多专家针对Istio的安全机制提出了疑问,比如在Istio管理下,服务间的通信数据是否会泄露及被第三方劫持的风险;服务的访问控制是否做到相对安全;Istio如何做安全数据的管理等等,这些都是Istio目前面临的安全问题,而我们只有深入分析其机制才能明白Istio是如何做安全的。
区块链应用安全研究——Dice2win安全事件分析
区块链产业目前处于快速发展的阶段,越来越多新技术应用落地的同时,很多新的安全问题也随之而来。其中,智能合约安全问题最为常见、最为灵活,其造成的损失也最不可控。Dice2win是一款基于以太坊公有链,通过智能合约实现的去中心化博彩小游戏,自小游戏发布的4个月时间里,由于智能合约漏洞,就发生了多起不同类型的攻击事件,而且事件环环相扣,损失大且不可逆。众多区块链智能合约安全事件证明,区块链应用的安全防御尤为重要。
绿盟科技互联网安全威胁月报NSFOCUS-2019-04
2019年4月绿盟科技安全漏洞库共收录85漏洞, 其中高危漏洞24个,微软高危漏洞9个。微软高危漏洞数量和绿盟科技收录高危漏洞数量与前期相比均有下降。绿盟科技网络安全威胁周报及月报系列,旨在简单而快速有效的传递安全威胁态势,呈现重点安全漏洞、安全事件、安全技术。
SA-CORE-2019-004 Drupal内核从XSS到RCE漏洞分析及利用
3月20日,Drupal官方发布SA-CORE-2019-004漏洞预警,修复了一处文件名处理异常,当我们上传特殊文件名时可以绕过限制在服务器上创建“无后缀”文件,精心构造的文件经过浏览器解析后可以触发XSS漏洞,再进一步可以达到代码执行的目的。官方描述该漏洞为中危影响,因为该漏洞需要登录,并且需要作者权限来上传文件才能触发。
新形势下的数据保护
近年来,我国政府高度重视数据在新常态中推动国家现代化建设的基础性、战略性作用。2015年9月国务院印发的《促进大数据发展行动纲要》指出,“数据已成为国家基础性战略资源,大数据正日益对全球生产、流通、分配、消费活动以及经济运行机制、社会生活方式和国家治理能力产生重要影响。”2016年3月发布的“十三五规划纲要”还专章提出“实施国家大数据战略”,明确我国将“把大数据作为基础性战略资源,全面实施促进大数据发展行动,加快推动数据资源共享开放和开发应用,助力产业转型升级和社会治理创新。”2017年6月1日,正式实施《网络安全法》的网络安全法,对数据安全和个人数据保护也给予了足够的关注。
等保2.0来了,用户怎样才能不“挂科”?
根据《网络安全法》规定“国家实行网络安全等级保护制度”。等级保护作为我国在网络安全方面的基本制度将长期实行下去。等级保护2.0时代,行业单位未落实网络安全等级保护义务将有可能面临被有关部门责令整改、行政处罚、暂停注册、暂停运营的风险。
Rockwell Automation RSLinx Classic远程代码执行CVE-2019-6553技术分析与防护方案
RSLinx Classic为Rockwell Automation公司的一套工厂通信解决方案,支持通过Allen-Bradley可编程控制器访问RockwellSoftware和Allen-Bradley应用程序等,通过端口为44818转发相关的网络通讯数据。其中的dll组件中由于在获取数据时没有校验数据缓冲区大小,导致缓冲区溢出(CVE-2019-6553; CNNVD-201903-091;ICSA-19-064-01),远程攻击者可以利用此漏洞在目标设备上执行代码。