绿盟科技技术博客

【公益译文】如何平衡软件安全领域中的安全开发与安全运营

2017-02-23绿盟科技公益译文, 安全领域中的安全开发与安全运营, 平衡软件安全, 攻击步骤技术, 软件安全安全开发安全运营, 软件安全领域

软件安全涉及的是如何降低软件带给使用者或软件影响人群的风险。这要求在各方面、各阶段周密考虑，积极行动，而不仅仅是在开发或使用时。这种情况下，需要一个更为全面的方案，能平衡安全开发与安全运营。糟糕的是，这两个重要领域很少互动，鲜有沟通。好消息是，人们正在积极努力，着手缩小两个领域之间的这道鸿沟。

【公益译文】TAXII 服务规范

2017-02-23绿盟科技TAXII 服务, TAXII 服务规范, TAXII 消息交换, 公益译文, 嵌套与加密

TAXII 服务指用以支持一个或多个TAXII 功能的一整套机制。一个TAXII 实现可支持多个或所有定义的TAXII 服务，也可以不支持任何此类服务。（后一种情况下，用户无需运行TAXII 后台用以支持TAXII 服务，而仍可使用TAXII 的某些功能。）

【威胁通告】Java和Python应用的FTP命令注入漏洞

2017-02-22绿盟科技FTP 漏洞, FTP命令注入漏洞, Java 漏洞, Java和Python应用的FTP命令注入漏洞, Oracle, Python 漏洞, Python应用

2017年2月20日，blog.blindspotsecurity.com发布文章称，由Java开发的应用，存在潜在的FTP命令注入。攻击者可以利用该漏洞借助XXE或SSRF等其他漏洞发送未授权的电子邮件。攻击者也可以利用该漏洞绕过防火墙，从而打开并连接一个TCP端口。

RSAC 2017抗DDoS面面观

2017-02-19刘文懋Amazon, Arbor Networks Spectrum, Box, DDoS, DDoS清洗, NSFOCUS CLOUD, Radware, RSAC 2017, Twitter, 安全威胁信息管理

2016年10月21日，Mirai botnet对域名服务商Dyn发动了大规模的DdoS攻击，造成了如Twitter、Amazon、Box等知名应用无法提供正常服务。这只是去年DdoS攻击的一个案例，近两年来，随着越来越多的公共网络基础设施被利用来进行反射放大攻击流量和最近成为热点的IoT行业安全漏洞的暴露，发起大流量DDoS攻击的成本大大降低，以至于DDoS攻击的趋势逐渐向大流量型攻击倾斜。

【威胁通告】OpenSSL拒绝服务漏洞

2017-02-18苏少博openssl, OpenSSL 漏洞, OpenSSL拒绝服务漏洞, 拒绝服务漏洞, 绿盟科技, 规避方案

2017年2月16日，OpenSSL官网发布安全通告，公布了编号为CVE-2017-3733的漏洞。在1.1.0e之前版本的OpenSSL握手阶段的重协商过程中，如果协商使用Encrypt-Then-Mac扩展，会导致OpenSSL崩溃。OpenSSL的服务端和客户端都受该漏洞的影响。

【威胁通告】dotCMS SQL注入漏洞

2017-02-18苏少博dotCMS, DotCMS SQL injection vulnerability, dotCMS SQL注入漏洞, dotCMS version, 绿盟科技, 规避方案

2017年2月15日，seclists.org网站发布了关于dotCMS存在SQL注入漏洞的消息。文章称，dotCMS 3.6.1及其之前的部分版本，在“/categoriesServlet”的q和inode参数上存在SQL注入，未经身份认证的攻击者可以利用该漏洞获取敏感数据。

RSA2017见闻-不见盒子只见平台情报

2017-02-18肖岩军business-driven security业务驱动安全, flow分析, NGIPS, Ransomware, RSA2017, 威胁情报, 平台情报, 绿盟科技

虽然连续3年来,新锐厂商zscale都在砸硬件盒子。但是今年显然不能再吸引眼球，随着这几年威胁情报的兴起，通过威胁情报把各个盒子连接起来，已经成为业界的共识。今年除了Fortinet等少数厂家外，整个会场没有了盒子展示，全部是大屏平台。随着盒子逐渐变成一个情报源，这几年创新的重点转为大数据，机器学习，可视化。

IOT IN RSA2017

2017-02-17赵波DevOps模式, IoT会议剖析, IOT设备, RSA 2017, SandBox, 共建生态, 机会的力量

RSA会议2017主题为“机会的力量”。RSA大会2017总监、总经理Linda Gray，诠释的核心思想是：拥抱机会，共建生态（安全产业链）。其中共建生态的前提就是互联。考虑到各安全厂商都在自己专攻领域深入研究多年，为形成全面解决方案或”生态系统“额外投入研发资源在陌生领域与陌生领域的佼佼者一较高下，绝非为最佳的公司战略。

RSA2017 安全趋势预测

2017-02-17叶建伟Mcafee 网络攻击, Mirai, RSA2017, RSA2017 安全趋势预测, 勒索软件, 工控攻击, 绿盟科技, 绿盟科技企业安全解决方案, 绿盟科技智慧安全2.0

网络犯罪因其低投入高回报和技术便捷性，正逐年高速增长。回顾2016年，勒索软件、mirai、工控平台攻击等安全事件频现，给广大用户造成巨大损失的同时，也一次次刷新着安全从业者的认知。

RSA2017浅谈下一代应用及IT基础设施的安全管理模式——DevSecOps

2017-02-17王延华DevSecOps, DevSecOps 内容, DevSecOps 应用, DevSecOps 核心理念, RSA2017, 下一代应用, 下一代应用及IT基础设施的安全管理模式

DevSecOps是2017年美国RSA大会新出现的一个概念，大会甚至专门为这个概念和方向设置的议题和讨论会。DecSecOps是一种全新的安全理念与模式，从DecOps的概念延伸和演变而来，其核心理念安全是整个IT团队（包括开发、运维及安全团队）每个人的责任，需要贯穿从开发和运营整个业务生命周期每一个环节才能提供有效保障。

RSA2017创新沙盒冠军unifyid 安全又易用，老树开新花

2017-02-16李群RSA2017创新沙盒, RSA2017创新沙盒冠军unifyid, 冠军unifyid, 机器学习算法 SaaS 云计算, 身份认证

2017年RSA大会的创新沙盒在选出的十家短名单的基础上，经过激烈的演讲问答环节，选出了最后的获胜者 UNIFYID。下面一起看看他们的创新点，有哪些可以学习借鉴的。

RSA2017火爆的勒索软件Ransomware防御领域

2017-02-16万, 慧星Ransomware, Ransomware事件, Ransomware防御领域, RSA2017, 勒索软件, 勒索软件防护, 勒索软件Ransomware防御领域, 钓鱼网站

DATA，2017年USA RSA会议最热门词（参见下图）。每年RSA会议的热门词会由组委会根据参会组织所属领域、发言人提报议题内容，包含最多的领域提炼出来。DATA、CLOUD、THREAT、INTELLIGENCE等一直是近几年的热点领域，今年DATA一跃成为最热门领域。提到DATA，既有利用大数据的SIEM，又有数据的安全防护，还有进行广泛数据分析的INTELLGENCE,而今年最重要的是多了一大热点——Ransomware（勒索软件）。