【云安全等保】信息系统等级保护 云计算环境的变与不变
云计算信息系统如何通过等级保护测评工作,去检查和验证安全措施的合规性和有效性,已经成为云计算系统建设者、运营者、监管者以及使用者所关心的重要问题。公安部网络安全保卫局组织开展了大规模的等级保护系列标注修订工作,本文对其中的云计算安全部分进行解读。
个人防范勒索软件的6个办法及自测
从目前的案例来看,勒索软件主要传播渠道有两种:网络蠕虫病毒和恶意邮件。堵住这两种渠道后,对个人用户来说暂时可以不用怕勒索软件了。本文用5分钟告诉你这些防范小知识,然后用10道题目自测一下。
【软件安全设计】安全开发生命周期(SDL)
安全开发生命周期(SDL)是一个帮助开发人员构建更安全的软件和解决安全合规要求的同时降低开发成本的软件开发过程。 安全应用从安全设计开始,软件的安全问题很大一部分是由于不安全的设计而引入的,微软用多年的经验总结出了安全开发生命周期(SDL),并提出了攻击面最小化、STRIDE威胁建模等多种方法辅助安全人员对软件进行安全设计。安全设计对于软件安全的重要性尤为可见。
【勒索软件】深入剖析勒索软件传播方式
勒索软件年年有,一年更比一年高。企业在勒索软件防护的道路上是一刻也不能懈怠的。本文分析了近段时间勒索软件的传播功能,详细剖析其从借助漏洞植入后门,驻留维持,到复制传播的实现过程,并给出了对应的防护检测手段。随着勒索软件的不断发展,其在技术上也有了不断创新,危害更大,需要我们全社会不断持续关注并重视。
【威胁通告】Ubuntu最新Server版本本地提权漏洞
Ubuntu最新Server版本被曝出存在一个本地提权漏洞。这个漏洞(CVE-2017-16995)已经在之前的版本中进行了修复,但在最新版本中又重新出现,攻击者通过该漏洞可以直接获取root权限。
绿盟科技互联网安全威胁周报 NSFOCUS-18-11
绿盟科技漏洞库本周新增漏洞记录91条,其中高危漏洞数量14条,中危漏洞数量42条,低危漏洞数量35条。本次周报建议大家关注微软凭据安全支持提供协议(CredSSP)漏洞(CVE-2018-0886),攻击者可以通过中间人攻击(man-in-the-middle)来利用该漏洞,微软已经在3月份更新中解决了这个问题。建议用户及时更新。
【威胁通告】Oracle数据库版本更新升级声明
近日,Oracle在其官方支持站点(MOS)上发布了2篇声明,告知用户需在2019年4月前对Oracle数据库进行更新,并强调了所有11.2.0.3及以前版本的DB Links必须进行升级更新。
【预警通告】微软凭据安全支持提供协议(CredSSP)漏洞 (CVE-2018-0886)
微软的凭据安全支持提供协议(CredSSP)被曝存在一个漏洞(CVE-2018-0886),通过漏洞,攻击者可以控制域名服务器和网络上的其他系统。
【威胁通告】AMD芯片13个安全漏洞
以色列安全公司 CTS Labs 于当地时间周二发布了一份白皮书,其中指出 AMD 芯片中存在四类共计 13个关键安全漏洞,影响 EPYC,Ryzen,Ryzen Pro 和 Ryzen Mobile 系列处理器。
【威胁通告】ManageEngine Applications Manager 远程代码执行漏洞 (CVE-2018-7890)
ManageEngine Applications Manager中存在一个严重的远程代码执行漏洞,该漏洞源于可公开访问的testCredential.do端点,在验证用户提供的凭证时可能导致远程代码执行。目前官方还没有发布新版本进行修复。
简单四步加强Linux系统安全
随着Linux系统在服务器中的广泛应用,系统的安全问题也受到人们关注,特别是系统管理员;如果不做好系统的安全防护,就会存在被非法用户入侵的可能,下面分享在实际运维过程中的几点加强系统安全的方法。