信息安全-企业安全-数据安全

Spring Cloud Function SpEL远程命令执行漏洞分析与修复

尽力缩小攻击面是减少风险暴露、降低安全事件发生的关键。

1、偷偷修复漏洞 苹果要求研究员噤声此前公布苹果0day漏洞PoC的研究员，如今伤口又被撒盐：前两天更新的iOS 15.0.2又“偷偷”修复了他之前提交的漏洞，而且和往常一样没有致谢。（见往期）在iOS 15.0.2发布后，他再次向苹果发邮件质问为什么又偷偷修了漏洞还没有致谢，苹果却说希望对我们沟通的内容进行保密。可能是被伤得太深，他发帖说：“至少这次的态度比以前强了，我的质问没有石沉大海，他们也没有对我撒谎。”此事件后他获得了众多安全研究员的声援，不少人都声称这种情况也发生在自己身上过，苹果罪大恶.

人工智能(AI)在过去几年中有过各式各样的场景式用途，比如自动驾驶。最近加州改变了之前的法律，无人驾驶汽车可以获取安全驾驶员资格。现在人工智能越来越好，已经能够独立的工作，但是其接下来会怎么样改善患者健康患者通过移动设备和可穿戴设备生成大量健康数据，医疗机构通过电子健康记录来生成聚合大量医用信息。人工智能将利用来自患者和医疗机构的信息来主动识别两份数据的交叉比对，直到发现患者以后可能会发生现在未被检测到的健康问题。更快的速度AI能改善自动驾驶的使用，取消驾驶员要求意味着驾驶汽车将会比以往行驶更远。这

首席安全官和其他高层一样，都面临着被离职的风险。由于他负责保护公司最有价值的资产，所以风险更高。如果没有为这些风险做充分的清除或者严格的管控，首席安全官可能会被解雇，最近重大的安全事件都说明了这种情况。以下的行动或不作为均有可能导致被离职。1、未能防止巨额的财产损失或者大规模的数据泄露。正如最近发生的Equifax和雅虎数据泄露事件那样，公司可能会因此类泄露事件导致声誉受到影响。当严重的安全漏洞导致公司财产损失和严重的负面宣传时，首席安全官难辞其疚，并很有可能被用来平息事件的受过者。如果能证明首席.

2017年出现了一些严重的网络攻击，数百万消费者和成千上万的企业受到蠕虫攻击，如Equifax和Uber数据泄露事件的影响。Gartner报告说，到2017年底，全球信息安全支出将达到864亿美元，预计到2021年，网络犯罪规模将达到6万亿美元。那么，企业如何保护免受网络攻击？以下五个预测的网络安全威胁，将极有可能会不断的演变攻击路径。1、数字货币将受更多的关注随着数字货币的价值升级，这种以支付数字货币赎回数据的攻击活动将会有增加的趋势。将会产生更多的矿机来挖掘数字货币，直接转化为黑客的收入。而数字.

越来越多企业数据和应用程序正在转向于云计算，这造成了云上面临更多的安全挑战。以下是使用云服务时，所要面对的12个顶级安全威胁。云计算不断改变企业在使用、存储和共享数据的方式，并改善着应用程序和网络负载的方式。它还引入了一系列新的安全威胁和挑战。有了许多的数据接入云计算，特别是接入公共云服务，这些资源自然会成为黑客的目标。安全专家认为：公有云利用量快速增长，不可避免的会导致更多的潜在的风险。与许多人认为的相反，云计算中保护公司数据主要责任不在于服务提供商，而在于企业自身。当前许多企业正处在一个云安全过渡

企业说，“你不能把它带走”。但是你会惊讶地发现，在员工离职之后很长的一段时间里，他们仍然可以继续访问敏感的数据源。统一身份访问控制平台可以很好的解决这个难题。如果师傅来你家里修理冰箱，你会让他带着钥匙离开房子吗？当然不会。如果你离婚了，你是会回收钥匙，还是会换把锁？一般来说，大多人会选择换锁。现在的企业所面临的同样问题是：员工离职后企业如何保护数据的安全。根据安全机构的最新调研报告：当企业与合作方、第三方、员工停止合作时，76%的企业无法确认自身的系统和数据是否依旧被人使用。员工在工作中使用应.

人工智能作为辅助类应用程序对网络安全技术产生越来越大的影响，然并不是作为一个新的产品出现？却天生带着一种颠覆者的姿态而来。01关于人工智能在本周发生了一件关于人工智能（AI）和网络安全方面的事情。谷哥母公司Alphabe宣布成立网络安全公司Chronicle，将专注于建设网络安全情报平台。通过分析和存储大型企业内的相关安全数据，从而探测、发现来自网络上的潜在威胁。在基于谷歌的基础架构上，Chronicle能够比现有系统更快地、更广泛地检测到网络安全威胁，尽早阻止黑客攻击的关...

云计算不断改变企业在使用、存储和共享数据的方式，并改善着应用程序和网络负载的方式。它还引入了一系列新的安全威胁和挑战。有了许多的数据接入云计算，特别是接入公共云服务，这些资源自然会成为黑客的目标。安全专家认为：公有云利用量快速增长，不可避免的会导致更多的潜在的风险。与许多人认为的相反，云计算中保护公司数据主要责任不在于服务提供商，而在于企业自身。当前许多企业正处在一个云安全过渡期，安全的重点正从供应商转向客户。而企业花费大量时间来判断某个特定的云服务提供商是否'安全'，几乎没有任何意义可言...

在企业高管密切关注的信息网络中，有两个关键趋势正在发生变化。首先IT团队正在努力跟上互联网转型的需求，包括向公有云和服务的转移，快速的采用物联网设备等。其次是自动化攻击的惊人增长，这类攻击始终如一地瞄准已知的设备，应用程序和网络漏洞。2017年影响最大的攻击，从Petya到Equifax的被突破，在补丁已经可用几个星期或者几个月后，依然没有被修复。事实上，约有90%的公司或者组织至少有三年以上的漏洞没有被修复。这意味着良好的网络基础安全仍然需要重视。我们来看看从哪里开始，最重要的步骤会是什...

首席安全官和其他高层一样，都面临着被离职的风险。由于他负责保护公司最有价值的资产，所以风险更高。如果没有为这些风险做充分的清除或者严格的管控，首席安全官可能会被解雇，最近重大的安全事件都说明了这种情况。以下的行动或不作为均有可能导致被离职。1、未能防止巨额的财产损失或者大规模的数据泄露。正如最近发生的Equifax和雅虎数据泄露事件那样，公司可能会因此类泄露事件导致声誉受到影响。当严重的安全漏洞导致公司财产损失和严重的负面宣传时，首席安全官难辞其疚，并很有可能被用来平息事件的受过者...

互联网的发展，促使网络犯罪迅速成功全球企业、各国政府和网民所面临的严峻问题。电子商务的迅猛发展，更是产生了更多的各类方式的攻击案例。尽管人们对多元的的网络犯罪有了许多新的认识和更严厉的打击手段，但就网络安全而言，我们仍然犯同样的错，掉入同样的坑。以下是普通人最容易犯的五个最简单的安全错误，需要注意：1、电子邮件诈骗，并不新鲜。社会工程学的攻击策略和太阳一样古老，但是人们却一直在为此受到困扰。今天，通过电子邮件进行网络钓鱼攻击变得非常普遍。虽然网络犯罪分子正在一天天的改进这些电子邮件的...

如果要从最近发生的大规模安全漏洞，特别是涉及勒索软件的事件中吸取教训，哪绝对就是：对企业员工进行适当的培训可以大大降低被入侵渗透的机率。不幸的是，正如最近通告中所证实的那样，企业一直未能充分的培训员工的安全意识。大多数互联网企业忽视安全培训这样一个关键组成部分而导致业务上灾难性的事件，在往往令人不可理解。有效的安全往往需要统一的方法。合适的技术和较好的保护策略至关重要。但是，它们往往不能提供全面完整的解决方案。最近安全机构的研究表，大多数安全事件的核心是人为因素。人为因素是信息安全方面最薄...

企业面临的大量的网络威胁攻击，网络钓鱼攻击是最为常见和一旦成功又是最为严重的一种。韩国某银行曾遭受到此类的攻击。互联网企业如何远离网络钓鱼攻击？以下是我们针对员工和社交活动，预防网络钓鱼攻击的最佳实践。1、邮件URL安全扫描许多的攻击者会在邮件中附上一个伪装过的攻击URL,当用户点击它时，它将链接到一个攻击的场景上。还有一种攻击是在邮件网址传递后将恶意代码直接注入网站，来攻击用户。对于这种情况，安装一个URL链接安全扫描的产品，是很有必要的。在用户点击邮件前，即时阻断恶意URL的攻击。...

最近，我买了一台新的路由器，由于有更多的设备需要连接，而旧的TP Link不再满足我的需求。四台电脑，三台手机，游戏机，电视机，立体音箱，智能灯，恒温器，智能手表..有15台设备需要保持连接Wi-Fi。经过几次的技术参数比对，分析了许多路由器的功能，我决定买个Google的OnHub路由器，理由是它允许超过30多台的设备连接，也是目前行业中最安全的产品之一。事实上，路由器是家里需要连接互联网需要保护的第一个物理设备，因为它不仅可以控制网络的各种接入，还可获取所有的流量和信息。如今，大多数路由器具有...

对于美国国家安全局来说，其中的一种方式就是通过一份份漂亮的安全海报来宣贯它们的思考，它旨在引起民众的广泛的关注和合适大众的欣赏习惯。美国国家安全局长期以来一直使用安全海报来提高相关人员的安全意识。从20世纪50年代到60年代，这些漂亮又复古风格的海报最近通过了解密，面向大众开放，我们可下载来细细评味。其中很多的观点很新颖，至今适用。让我们来领略一下美国国家安全局出品的复古漂亮、风格不一的安全海报，看成您会不会惊艳到，每一幅都很用心的说哇...面向哪些需要一点点努力培养安全意识

渗透测试之移动端，对于安卓，一般使用如下方法进行安全分析，如下表所示：# Adb# https://developer.android.com/studio/command-line/adb?hl=es-419adb connect IP:PORT/IDadb devicesadb shelladb pushadb install# Analyze URLs in apk:# https://github.com/shivsahni/APKEnumpython APKEnum.py

渗透测试之移动端的常用工具，主要有Frida、Objection、MobSF等，如表所示：Fridahttps://github.com/frida/frida/releasesadb push C:\Users\axff\Downloads\frida-server-12.8.11-android-arm /data/local/tmp/.Objectionhttps://github.com/sensepost/objectionMobSFdocker pull opensecur

在渗透测试之信息收集中，域名的集中梳理和分类是至关重要的。可以通过爆破的方式来完成。一般会使用到dnsrecon和dig 这两款软件，如图所示# DNSRecondnsrecon -d www.example.com -adnsrecon -d www.example.com -t axfrdnsrecon -ddnsrecon -d www.example.com -D -t brt# Digdig www.example.com + shortdig www.examp

渗透测试之信息收集，一般使用nmap来收集信息，主要的命令有：# Fast simple scannmap 10.11.1.111# Nmap ultra fastnmap 10.11.1.111 --max-retries 1 --min-rate 1000# Full complete slow scan with outputnmap -v -A -p- -Pn --script vuln -oA full 10.11.1.111# Scan for UDPnmap 10.1

八年来，黑客一直将D-Link NVR（网络录像机）和NAS（网络硬盘）设备悄悄劫持到一个僵尸网络中，该僵尸网络的唯一目的是连接到在线网站并下载动漫视频。这个名为Cereals僵尸程序于2012年首次发现，该僵尸网络在2015年达到了顶峰，当时它收集了10,000多个僵尸网络。但是，尽管僵尸网络规模很大，但它的运行并未受到大多数网络安全公司的检测和报告。目前，Cereals僵尸程序正在慢慢消失，因为多年来一直使用的易受攻击的D-Link设备已经开始老化，并已被其淘汰。此外，当名为Cr1p

随着信息化的高速发展，新技术的快速应用，混合云的大规模部署，基础设施变得更加复杂多变，网络世界日新月异。与此同时，网络安全事故频发，甚至严重威胁了人们的生产生活秩序，促使人们加强对网络安全的重视。在国家相关安全法规密集出台，网络安全被提升到了前所未有的高度，这对国家安全，企业数据保护，个人隐私保护具有极大的积极作用。产业界和安全行业都在不断探索实践安全运营的理念，以此来保护人们的网络安全。安全运营就是调动一切的积极因素，把网络安全平台，设备，队伍，流程等统筹起来，并不断的运用、持续改进的动态过...