根据数字阴影(Digital Shadows)的研究,超过150亿个被盗账户凭据在网络犯罪论坛上被抢购一空,其中50亿个账户信息属于“首次上架”,此前没有被出售过。Digital Shadows在网络犯罪市场(尤其是暗网)发现的用户名和密码来自超过10万个单独的数据泄露源,包括财务账户和流媒体服务的访问凭据,甚至包括可访问组织关键系统的管理员账户。研究人员花了一年半时间分析犯罪分子利用窃取的账户信息的策略,发现自2018年以来,盗用凭据数量增加了300%。暗网泄露账户信息分类...
Read More >
近日,Hackone公布了2020年十大漏洞赏金项目TOP10榜单,该列表基于HackerOne项目目录中的公共信息,排名依据每家企业在2020年4月(包括之前)向黑客支付的累计赏金总额。榜单排名具体如下(红色字体为单项最高或最低数值):第一名:Verizon Media行业:数字媒体总支付赏金:940.8万美元最高赏金:7万美元答谢黑客:1315名解决报告问题:5928个初次响应时间:8小时奖金支付平均账期:13天第二名:Paypal行业:互联网金融、支付总支付赏金:279...
Read More >
在现代企业的网络安全防御体系中,人员是最薄弱的环节,同时也是最不受重视的环节。换而言之,人员是黑客最容易突破和利用的“漏洞”,同时也是企业安全投入最少,提升最慢的短板。GoSecurity公司2020年全球企业安全调查结果直观地反映了这个问题:长期以来,那些手套上镶着半打零日漏洞宝石,头上顶着三个博士帽的的国家级黑客,被认为是网络空间最为危险的物种,而企业界也热衷于采购最先进的网络安全技术和方案,并试图提高安全工具集成度和自动化水平。但现实情况正如上述调查数据:最有效的网络安...
Read More >
近期全国各地不少各网络安全主管部门都在开展不同形式的网络安全行动,特别是网络安全攻防行动,该行动是以网络安全实战形式,以白客渗透攻击等方式,旨在发现各单位各系统的网络安全潜在风险,同时可以检验各单位的安全防护和应急处置能力,提高各单位网络安全事件应急处置及实战水平。面对此类网络安全攻防行动,首先我们了解下目前防守方普遍存在的一些问题。从过去的网络安全攻防行动来看,防守方普遍存在以下问题。防守方普遍存在的问题:1、互联网资产暴露面过多,对外的各类服务太多,缺乏有效维护和管理;2...
Read More >
一、2020年上半年我国互联网网络安全监测数据分析(一)2020年上半年威胁监测情况综述1. 威胁类型分布2020年上半年,平台共收集威胁约616万个,其中恶意网络资源数量约601万个,占比为97.57%;安全事件数量约12.5万起;安全隐患数量约1.6万个;恶意程序数量为8492个。2020年上半年威胁类型分布情况如图1所示。图1 2020年上半年威胁类型分布2、威胁地域分布情况2020年上半年,广东省、江苏省、浙江省、河南省和北京市等区域的威胁数量较大,占比总量达到60%...
Read More >
CNCERT发布《2019年中国互联网网络安全报告》,其中专门对我国境内数据库隐患排查及处置情况进行公布,据安全内参分析:CNCERT针对境内的MongoDB、ElasticSearch、MySQL及Redis等数据库进行排查,发现大量存在数据泄露隐患,共涉及20720个数据表、1330.3TB数据量、1.78万亿余条数据。其中,因未授权访问漏洞存在泄露风险的数据有1.77万亿余条,因弱口令漏洞存在泄露风险的数据有96亿余条。存在未授权访问漏洞的数据库中,数据条目超百亿的有3...
Read More >
01、前言近期国家出台了《中华人民共和国数据安全法》草案篇,其中,从国家法律层面强调对数据要进行分级分类保护,那到底如何进行数据的分级分类保护呢?目前国家层面的文章除了在今年2月27日发布的《工业数据分类分级指南(试行)》,并无其他国家层面的指导文件,但是分级分类这个词对于所有做安全的同仁们并不陌生,国际上的ISO27001和NIST等规范皆有提及,国内的地方和行业上也有相应的指南发出,如贵州省的《政府数据 数据分类分级指南》、金融行业的《金融数据安全 数据安全分级指南(送审...
Read More >