4006-967-446
沃通数字证书商店-
2022-09-27
网络和通信安全中的SSL/TLS国密改造New
2021年3月,国家市场监管总局、国家标准化管理委员会发布公告,国家密码应用与安全性评估的关键标准GB/T39786—2021《信息安全技术信息系统密码应用基本要求》(以下简称“GB/T39786”)正式发布。
-
2022-09-16
网信办发布修改《网络安全法》征求意见稿,新版处罚力度加强!New
近日,国家网信办发布了关于公开征求《关于修改〈中华人民共和国网络安全法〉的决定(征求意见稿)》意见的通知。通知指出,为做好《网络安全法》与新实施的法律之间衔接协调,完善法律责任制度,进一步保障网络安全,征求意见稿主要内容如下。
-
2022-09-07
谷歌浏览器漏洞,让网站静默覆盖剪贴板内容New
谷歌Chrome网络浏览器以及基于Chromium的浏览器中存在“重大”问题,可能允许恶意网页自动覆盖剪贴板内容,只要访问网站,无需任何用户许可或交互。
-
2022-09-06
《医疗卫生机构网络安全管理办法》发布, 首部垂直行业领域管理办法New
自2016年《网络安全法》颁布后,各行业纷纷出台适用于垂直行业领域的网络安全管理办法。据不完全统计,目前已有电力、水利、金融、医疗等十余个行业发布网络安全专项管理办法。
-
2022-08-26
美国再将7家中国实体列入实体清单
美国商务部星期二(8月23日)以国家安全和外交政策考量为由,再将七家中国实体列入出口管制清单,这些实体主要涉及航空航天领域。
-
2022-08-26
黑客使用虚假 DDoS 保护页面分发恶意软件
WordPress 网站被黑客入侵后显示欺诈性 Cloudflare DDoS 保护页面,这些页面被用于分发恶意软件(例如 NetSupport RAT 和 Raccoon Stealer)。
-
2022-08-19
密评FAQ:如何确定网络和通信安全层面的测评对象?
信息系统一般通过网络技术来实现与外界的互联互通,GB/T 39786-2021《信息安全技术信息系统密码应用基本要求》规定了信息系统在网络和通信安全层面的密码应用技术要求,这些要求涉及到通信的主体(通信双方)、信息系统与网络边界外建立的网络通信信道,以及提供通信保护功能的设备、组件和产品。
-
2022-08-18
Gartner发布2022年新兴技术成熟度曲线
Gartner 2022年新兴技术成熟度曲线列出了25项值得关注的新兴技术,这些技术正在推动沉浸式体验的发展和扩展、加速人工智能(AI)自动化并优化技术人员交付。
-
2022-08-17
Zeppelin勒索软件重出水面,采用新的入侵和加密策略
根据国外媒体报道,Zeppelin 勒索软件重新浮出水面,并与近期针对各种垂直行业,尤其是医疗保健行业以及关键基础设施组织攻击,在攻击活动中采用新的入侵和加密策略。
-
2022-08-10
《云计算安全责任共担模型》行业标准正式发布
云计算作为一种持续运营、动态变化的基础设施,具有服务链纵深长、服务关系多级嵌套的情况。为避免安全风险依附于服务链不断渗透,控制影响范围与危害程度,应全面识别云计算相关方安全责任,落实责任承担机制。
-
2022-08-10
IDC最新数据:中国政务云市场增长势头强劲,2021年达427亿
IDC近日发布《中国智慧城市半年度数据跟踪报告:政务云部分》显示,2021年政务云整体市场规模为427.16亿元人民币,同比增长21.47%。
-
2022-08-10
DMARC电子邮件安全协议设置指南
据统计,全球范围内被投递的钓鱼邮件每天约达到1亿封,无孔不入的钓鱼邮件、诈骗邮件,威胁着用户的信息和财产安全。
-
2022-07-07
NIST发布新算法应对量子攻击,可支持下一代加密标准
7月5日,美国国家标准与技术研究所(NIST)正式发布四种新的加密算法,用于保护联邦政府计算机和应用系统应对新型量子计算的网络攻击。
-
2022-07-06
国家漏洞库CNNVD:关于OpenSSL安全漏洞的通报
近日,国家信息安全漏洞库(CNNVD)收到关于OpenSSL 安全漏洞(CNNVD-202207-242、CVE-2022-2274)情况的报送。
-
2022-06-16
物联网勒索软件攻击或成为关键基础设施安全保护的噩梦
勒索软件攻击仍然是关键基础设施部门和运营技术 (OT) 环境的噩梦。近日,一种称为物联网勒索软件或R4IoT方法的新攻击浮出水面。概念验证(PoC)揭示了网络犯罪分子日益复杂的行为,因为他们将 IT、物联网和OT环境串联在一起,形成了一个巨大的攻击视图。
-
2022-06-16
2022上半年中国信创产业政策梳理及解读(附各地信创专项奖补政策)
信创产业发展的本质在于从无到有的建立起中国独立自主的IT底层架构、技术标准及产业生态,提高芯片、操作系统等关键基础软硬件的自主创新性。
-
2022-06-16
RSA 2022:密码技术永不过时 NFT被嘲笑 AI安全是未来
安全419近期与国内某密码行业一线厂商交流时发现,密码行业是最近几年并不被广泛观察到,但发展又十分迅猛的行业,其表现为整个产业面对密码技术已不可或缺,同时在广泛的数字化转型过程中,以及安全生态、信创生态发展方面,其价值都在进一步凸显。
-
2022-06-16
2022 年恶意软件趋势与安全最佳实践
“即使拥有最好的安全产品,也不意味着 100% 受到保护。”Check Point 恶意软件研究和保护团队负责人科比.艾森卡夫日前在接受采访时表示。这是一位拥有十多年经验的网络安全专家和恶意软件分析师,在采访中,科比讨论了最新的恶意软件趋势、安全最佳实践等。
-
2022-06-08
《移动金融客户端应用软件安全管理规范》技术解读
移动客户端(移动APP)主要面临的威胁包括反编译、调试、篡改/重打包、输入记录、组件安全、注入和Hook、本地敏感数据泄露等。为贯彻落实《中华人民共和国国家网络安全法》,加强移动金融客户端应用软件安全管理,构建覆盖生命周期的管理机制,切实保障客户端软件安全,中国人民银行2019年发布《移动金融客户端应用软件安全管理规范》(JR/T0092-2019)(以下简称“规范”)。
-
2022-06-08
信创观察 | “信创+GIS”构建国家基础地理信息应用新基石
近年来,全球数字技术创新和迭代速度明显加快,显著提升了社会生产力与资源优化配置效率。但中美“战略竞争对手”关系必然在科技、经济、贸易等领域形成持续竞争。互联网技术更成为中美博弈焦点。
-
2022-06-08
信创内参 | 2022年中国信创行业发展研究:行业概况、产业全景、企业排行、未来趋势
数据显示,2021年中国数字经济规模已达47.6万亿元,占GDP比重为43.5%。得益于中国数字经济的迅猛发展,2021年中国信创产业规模达13758.8亿元,2027年有望达到37011.3亿元,中国信创市场释放出前所未有的活力。
-
2022-06-06
《电力可靠性管理办法(暂行)》今日正式施行,专章强调网络安全
由国家发改委依据电力行业相关法律法规制定的《电力可靠性管理办法(暂行)》于6月1日正式施行,专章强调网络安全。
-
2022-06-06
《网络安全法》五周年:网络安全为人民 网络安全靠人民
央视网消息:2022年6月1日,《中华人民共和国网络安全法》(以下简称《网络安全法》)正式实施五周年。
-
2022-06-06
Windows 中的代码执行零日漏洞已被人大肆利用了 7 周
安全公司的研究人员近日发现了一个新的微软Office 零日漏洞,该漏洞利用微软诊断工具(MSDT)来运行恶意的PowerShell命令,只需打开Word文档。
-
2022-06-06
为人民 靠人民 习近平要求共筑网络安全防线
网络安全为人民,网络安全靠人民。今年是《中华人民共和国网络安全法》施行五周年,五年来,我国网络安全领域各类政策法规日益完善,依法治网、依法办网、依法上网深入人心。习近平总书记始终高度重视网络安全工作,要求共筑网络安全防线。
-
2022-06-06
行业报告 | 2022年网络安全趋势报告
2021年是行业人士应该反思的一年。2020年我们的工作转向远程办公,基础设施、应用程序和访问控制几乎在一夜之间发生了迅速的变化,而网络安全团队仍在忙于防御一系列的攻击。
-
2022-05-30
中共中央办公厅 国务院办公厅印发《关于推进实施国家文化数字化战略的意见》
近日,中共中央办公厅、国务院办公厅印发了《关于推进实施国家文化数字化战略的意见》(以下简称《意见》),并发出通知,要求各地区各部门结合实际认真贯彻落实。
-
2022-05-30
搜狐员工遇工资补助诈骗 官方:24名员工被骗取4万余元
今日,针对“员工遭遇工资补助诈骗”的情况,搜狐官方回应换成,经调查,实为某员工使用邮件时被意外钓鱼导致密码泄露,进而被冒充财务部盗发邮件。
-
2022-05-30
请注意,PDF正在传播恶意软件
据Bleeping Computer消息,安全研究人员发现了一种新型的恶意软件传播活动,攻击者通过使用PDF附件夹带恶意的Word文档,从而使用户感染恶意软件。
-
2022-05-30
证监会发监管通告,直指多家证券基金机构信息系统安全事件
前言:在日前证监会机构部下发的《机构监管情况通报》中,将近期发生的多起信息系统安全事件案例作为重点进行了专门通报。
-
2022-05-20
黑客瞄准Tatsu WordPress插件漏洞,发起数百万次攻击
据悉,黑客正在大规模利用WordPress网站Tatsu Builder插件中的远程代码执行漏洞 CVE-2021-25094发起攻击。
-
2022-05-20
热门NFT项目被冒充,小心中招!
据悉,一个假冒的Pixelmon NFT网站正用免费代币和收藏品吸引粉丝,并用窃取加密货币钱包的恶意软件对其进行感染。
-
2022-05-20
10秒破解一辆特斯拉?网安人员再曝低级漏洞,软硬件成本仅1000块
特斯拉又被曝出安全隐患?这次出问题的是“无钥匙进入系统”。一位网安人员发现,通过中继攻击,只需10秒就能解锁一辆Model 3或Model Y。
-
2022-05-20
HTML附件在网络钓鱼攻击中至今仍很流行
根据2022年第一季度的调研表明,HTML文件仍然是网络钓鱼攻击中最流行的附件之一,面对此类攻击手段,不管是反垃圾邮件引擎还是用户都很难辨别。HTML(超文本标记语言)是一种定义Web内容的含义和结构的语言。HTML文件是专为在 Web 浏览器中进行数字查看而设计的交互式内容文档。
-
2022-05-20
赞比亚央行遭勒索软件攻击,部分系统中断服务|一带一路网络安全
因受到的损失很少,赞比亚银行拒绝向Hive勒索软件团伙支付赎金,这是近几年少有的针对勒索软件的强硬派;银行的部分信息技术应用中断服务,包括外汇管理局监控系统和网站,部分测试数据也可能被泄露;自2021年6月首次亮相以来,Hive勒索软件的攻击态势凶猛,已成为头部团伙之一。
-
2022-05-12
密码技术在车联网安全中的应用与挑战
随着智慧交通和无人驾驶的快速发展,车联网产业呈现蓬勃发展态势,车与云、车与车、车与路、车与人等综合网络链接的融合程度越来越高,随之而来的安全挑战也更加严峻。解决车联网的安全问题需要一个整体的防护体系,而密码技术凭借技术成熟度高、破解难度大、管控强度高等特性,将在车联网安全中获得较广泛应用。
-
2022-05-12
《药品监管网络安全与信息化建设“十四五”规划》发布 提出这些目标
人民网北京5月11日电 (记者孙红丽)优化升级国家局和省局两级药监云平台、推进药品全生命周期数字化管理、提高“两品一械”智慧监管能力……国家药监局日前印发《药品监管网络安全与信息化建设“十四五”规划》(以下简称《规划》),对药品监管网络安全与信息化建设在“十四五”期间的建设目标、重点任务、保障措施等进行了明确。
-
2022-05-12
被Conti攻击后,哥斯达黎加宣布进入紧急状态
在多个政府机构遭到Conti勒索组织的网络攻击后,哥斯达黎加总统罗德里戈·查韦斯(Rodrigo Chaves)宣布全国进入紧急状态。该国上一次宣布进入紧急状态,还是在2020年应对新冠肺炎肆虐的时候。
-
2022-05-12
ASRC 2022年第一季度电子邮件安全观察
根据ASRC (Asia Spam-message Research Center) 研究中心与守内安的观察,2022年第一季度,很多企业能明显感觉到邮件威胁在增加,特别是以Emotet为代表的攻击再度现身,迫使企业开始重新思考是否改变邮件保密数据的传递方式,并采取相应的保护措施。
-
2022-05-06
什么是零信任网络架构?
零信任网络架构 (ZTNA) 是一种安全模型,它在授予对数据和应用程序的访问权限之前对每个用户、设备和进程使用多层精细访问控制、强大的攻击预防和持续验证。使用 ZTNA 方法,信任永远不会被隐式授予,必须不断评估。ZTNA - 也称为零信任网络访问、软件定义边界 (SDP) 或动态安全边界 (DSP) - 不依赖于预定义的信任级别。
-
2022-05-06
网络攻击致使汽车租赁巨头全球系统中断,业务陷入混乱
国际汽车租赁巨头Sixt遭到网络攻击,部分业务系统被迫中断,运营出现大量技术问题;公司的客户服务中心和部分分支机构受影响较大,大多数汽车预定都是通过笔和纸进行的,服务热线短时离线后恢复,业务陷入混乱;据猜测,此次攻击可能属于勒索软件攻击,目前暂时没有相关组织表示负责。
-
2022-05-06
小心:勒索软件Magniber伪装成Windows更新传播
在最新活动中,恶意软件 Magniber 利用虚假的 Windows 10 更新实现传播。这款恶意软件非常善于紧跟最新时事进行传播,在 2021 年使用 PrintNightmare 漏洞来感染受害者;在 2022 年 1 月,它再次通过 Edge 和 Chrome 浏览器进行传播。
-
2022-05-06
攻击者劫持英国NHS电子邮件帐户以窃取Microsoft登录信息
据调查,在近半年的时间里,英国国家卫生系统(NHS)的100多名员工的工作电子邮件帐户被多次用于网络钓鱼活动,其中一些活动旨在窃取Microsoft登录信息。
-
2022-05-06
预警:量子勒索软件出现,攻势迅速
近日,The DFIR Report安全研究人员分析了一款量子勒索软件攻击活动,攻击活动从初始感染到完成加密受害者设备只用了3小时44分钟。
-
2022-05-06
一图读懂广东省电子印章管理暂行办法
《广东省电子印章管理暂行办法》(以下简称《办法》)已于近日印发,在全省统一电子印章规划和管理,推动电子印章系统互联互通。
-
2022-04-27
Java加密漏洞PoC代码公开,受影响的版本需尽快升级
据Security affairs网站消息,4月21日,安全研究人员Khaled Nassar在Github上公开了Java 中新披露的数字签名绕过漏洞的PoC代码,该漏洞被追踪为CVE-2022-21449(CVSS 分数:7.5)。
-
2022-04-27
卡巴斯基从勒索软件阎罗王里发现算法漏洞 现推出免费版的解密工具
阎罗王 (Yanluowang) 是赛门铁克威胁追踪团队发现的勒索软件,该勒索软件的目标是某些特定的大型企业。也就是黑客目标是具有针对性的并非广泛撒网面向家庭消费者,毕竟对黑客来说家庭消费者中招都直接重装。目前安全公司对阎罗王背后的团伙知之甚少,但该勒索软件已经袭击中国、美国、土耳其和巴西的多家公司。幸运的是卡巴斯基实验室在阎罗王使用的加密算法中发现了个漏洞,借助该漏洞卡巴斯基推出免费解密工具。
-
2022-04-27
北美国家财政系统遭勒索攻击:税务海关停摆,已危及国家稳定?
近一周来,一次勒索软件攻击致使北美洲国家(位于美洲中部)哥斯达黎加共和国政府(以下简称“哥国”)的计算机系统陷入瘫痪。哥国政府拒绝支付赎金,面对恶意黑客开始公布被盗数据的情况,正努力为潜在后果做好准备。位于俄罗斯的勒索软件团伙Conti已经宣布对此次攻击负责,但哥斯达黎加政府尚未发表相关细节的公告。
-
2022-04-27
微软0 day蠕虫漏洞引发关注
微软已经在其2022年4月的月度计划更新中发布了128个安全漏洞的补丁,这其中有10个被评为高危(包括三个不需要用户互动就能利用的可蠕虫式代码执行漏洞)。
-
2022-04-21
工信部:增强新基建 适度超前推进网络、平台、安全三大体系建设
4月19日国新办举行新闻发布会,工业和信息化部新闻发言人、信息通信管理局局长赵志国表示,总的来看,我国工业互联网仍处于发展的关键期,产业发展还面临一系列真难题、新课题,亟需发挥政产学研用各方力量去突破。
-
2022-04-21
美国中央情报局(CIA)“蜂巢”恶意代码攻击控制武器平台分析报告
近日,国家计算机病毒应急处理中心对“蜂巢”(Hive)恶意代码攻击控制武器平台(以下简称“蜂巢平台”)进行了分析,蜂巢平台由美国中央情报局(CIA)数字创新中心(DDI)下属的信息作战中心工程开发组(EDG,以下简称“美中情局工程开发组”)和美国著名军工企业诺斯罗普·格鲁曼(NOC)旗下XETRON公司联合研发,由美国中央情报局(CIA)专用。
-
2022-04-21
工信部印发《工业互联网专项工作组2022年工作计划》
《计划》鼓励大型企业打造符合中小企业特点的数字化平台,开展数字化服务,推进中小企业数字化改造。支持符合条件的工业互联网企业首次公开发行证券并上市,在全国股转系统基础层和创新层挂牌,以及通过增发、配股、可转债等方式再融资。
-
2022-04-21
CNNVD 关于Apache Struts2安全漏洞的通报
近日,国家信息安全漏洞库(CNNVD)收到关于Apache Struts2安全漏洞(CNNVD-202204-3223、CVE-2021-31805)情况的报送。成功利用此漏洞的攻击者,可在目标服务器远程执行恶意代码,进而控制目标服务器。Apache Struts2 2.0.0版本至2.5.29版本均受漏洞影响。目前,Apache官方已发布新版本修复了漏洞,请用户及时确认是否受到漏洞影响,尽快采取修补措施。
-
2022-04-21
黑客正利用虚假Windows 11升级引诱受害者上钩
Bleeping Computer 报道称,已有黑客在利用伪造的 Windows 11 升级安装包,来引诱毫无戒心的受害者上钩。为了将戏演得更真一些,当前正在活跃的恶意软件活动甚至会利用中毒后的搜索结果,来推送一个模仿微软 Windows 11 促销页面的网站。若不幸入套,或被恶意软件窃取浏览器数据和加密货币钱包中的资产。
-
2022-04-14
2022年攻击路径研究:94%的网络攻击仅需4步即可完成!
日前,XM Cyber研究团队针对200万个本地、多云和混合环境中的端点、文件、文件夹和云资源进行分析,形成了《2022年攻击路径管理影响报告》(Attack Path Management Impact Report 2022,以下简称“报告”),揭示了在当前企业网络及云环境中危害企业关键资产的攻击技术、攻击路径和影响。
-
2022-04-14
工信部等五部门印发《关于进一步加强新能源汽车企业安全体系建设的指导意见》
为贯彻落实《新能源汽车产业发展规划(2021-2035年)》(国办发〔2020〕39号),进一步压实新能源汽车企业安全主体责任,指导企业建立健全安全保障体系,现提出以下意见
-
2022-04-14
黑客利用Spring4Shell漏洞部署Mirai恶意软件
3月底,安全人员公开了Spring Core Java框架中的一个0 day安全漏洞——Spring4Shell。该漏洞是由于传递的参数的不安全反序列化引发的,攻击者利用该漏洞可以在应用中实现远程代码执行,从而使攻击者能够完全控制受感染的设备。
-
2022-04-14
构建云原生安全的6个重要能力
云计算因其与生俱来的可扩展性和灵活性,以及高性能计算能力,获得了大量企业用户的青睐,成为企业关键任务负载的首选项。云原生安全作为一种新兴的安全理念,不仅解决云计算普及带来的安全问题,更强调以原生的思维构建云上安全建设、部署与应用,推动安全与云计算深度融合。
-
2022-04-08
黑客通过Azure静态页面来冒充微软
据悉,钓鱼攻击正在滥用微软 Azure 静态 Web 应用服务,窃取微软、Office 365、Outlook 和 OneDrive 的凭证。
-
2022-04-08
亚马逊、微软等60家高知名度公司遭受恶意软件攻击
研究人员警告说,网络攻击者正在用TrickBot恶意软件攻击60家不同的高知名度公司,其中许多公司分布在美国。根据Check Point Research(CPR)的说法,其目的是攻击这些公司的客户。
-
2022-04-08
解读网络安全国标需求清单,2022安防新风口?
3月上旬,全国信息安全标准化技术委员会在调研国家网络安全重点工作和技术产业发展需求的基础上,研究形成并印发《2022年网络安全国家标准需求清单》(简称“清单”),明确清单申报截止日期为3月31日,其中清单共包含34项标准,其中制定标准20项,修订标准14项。
-
2022-04-08
2022年的网络安全预测:需要做好更坏的准备
2021年对任何人来说都不是轻松的一年。随着对网络威胁的许多担忧成为现实,从云安全威胁到深度伪造,很多人担心2022年可能会带来什么。自动化零部件供应商EU Automation公司的欧洲、中东和非洲地区负责人Neil Ballinger对2022年的网络安全发展趋势进行了预测和分析。
-
2022-03-31
Spring框架被曝0 day漏洞
Spring Java框架0 day远程代码执行漏洞PoC公布。Spring框架是一个开源的J2EE应用程序框架,Spring解决了开发者在J2EE开发中遇到的许多常见的问题,提供了功能强大IOC、AOP及Web MVC等功能。Spring框架可以帮助软件开发人员快速开发具备企业级特征的Java 应用。
-
2022-03-31
美国政府2023财年继续大幅提高网安预算:六大要点解析
美国总统拜登发布2023财年预算提案,为非国防联邦机构提供了109亿美元的网络安全支出,较上一年的98亿美元大幅增长11%;其中,有4.25亿美元用于持续诊断与缓解计划(CDM),1.75亿美元用于“通过风险管理及与关键基础设施社区的合作,努力保障并提高私有关键基础设施的弹性”,3亿美元用于支持技术现代化基金相关项目等。
-
2022-03-31
广东省通信管理局关于开展2022年电信和互联网行业网络与数据安全检查的通知
为深入贯彻习近平总书记关于网络安全的系列重要讲话精神,进一步提升我省电信和互联网行业网络与数据安全防护水平,切实做好党的二十大网络安全保障工作,按照工业和信息化部、省委省政府对相关专项工作部署精神及要求,依据《网络安全法》《数据安全法》《个人信息保护法》等相关法律法规及文件要求,结合我局工作职责,我局决定组织开展2022年电信和互联网行业网络与数据安全检查工作。
-
2022-03-31
黑客利用金山WPS漏洞攻击境外非法博彩网站 还冒充工行和腾讯
目前几乎可以肯定发起攻击的黑客是使用中文的黑客,至于这使用中文的黑客是不是国内的黑客还无法确定。另外黑客的攻击目标是境外非法博彩网站,至于目的暂时不清楚,不知道是为了搞破坏还是想截留非法资金。
-
2022-03-24
美国国安局最强大互联网攻击工具曝光!全球网民遭无差别攻击
22日,360政企安全集团首次对外界完全披露美国国家安全局(NSA)针对中国境内目标所使用的代表性网络武器——Quantum(量子)攻击平台的技术特点,同时证明美国的网络攻击属于无差别攻击,其可以劫持全世界任意地区任意上网用户的正常网页浏览流量。
-
2022-03-24
2022年各地数字政府建设工作重点
目前,全国各省政府工作报告已经全部出炉,数字政府建设成为各地政府工作报告的重要组成部分,“一网通办”、“跨省通办”、“一件事一次办”、“证照分离”、“免审即享”等热词亮点频出,政务服务从网上掌上“可办”转向“好办易办”的趋势明显......
-
2022-03-24
盗版有风险:谨防BitRAT恶意软件伪装成Windows 10激活工具传播
近段时间,一轮新的 BitRAT 恶意软件活动正在加速传播。手段是利用非官方的微软许可证激活器,来激活盗版 Windows 操作系统。Bleeping Computer 指出,BitRAT 是一款功能强大的远程访问木马。在网络犯罪论坛和暗网市场上,它正以 20 美元的买断价,向网络犯罪分子们兜售。
-
2022-03-24
ELTA 遭受勒索软件攻击,希腊公共邮政服务下线
据 Bleeping Computer 网站消息,希腊国有邮政服务供应商 ELTA 遭到勒索软件攻击,使其大部分服务处于离线状态。
-
2022-03-24
黑客组织lapsus$声称成功入侵微软,37GB的源代码泄露
黑客组织Lapsus$声称从微软内部的Azure DevOps服务器上窃取了Bing、Cortana和其他项目的源代码。
-
2022-03-17
3.15首设安全实验室应对信息安全:网安再成“社会性话题”
随着互联网逐渐渗透至生活的方方面面,网络安全问题也成为了3·15晚会常客,尤其是近几年,网络安全所占的比重越来越大,那些隐藏在互联网伪装下的违法、违规行为,赤裸裸地出现在观众的眼前。
-
2022-03-17
IDC:2025年中国网络安全市场规模将超214亿美元
IDC于近日发布了《2022年V1全球网络安全支出指南》(IDC Worldwide Security Spending Guide)。该指南从技术、垂直行业、终端用户企业规模等多个维度展现了市场的发展情况,同时根据市场动态对未来五年(2021-2025)全球网络安全(Cybersecurity)IT投资规模进行了预测。
-
2022-03-17
对Ragnar Locker勒索软件攻击美国关键基础设施的分析与思考
2022年3月8日,美国联邦调查局(FBI)、网络安全和基础设施安全局(CISA)联合发布警告称,Ragnar Locker勒索软件正大规模入侵美国关键基础设施。截至2022年1月,联邦调查局已在10个受该勒索软件影响的关键基础设施部门确定了至少52个实体,包括关键制造业、能源、金融服务、政府和信息技术部门的实体。该事件攻击者的攻击特点是什么,勒索软件在重拳打击之下为何依然活跃,为什么关键基础设施容易“失守”,可以采取哪些措施予以有效防范,这些势必引起深思。
-
2022-03-17
信安标委印发2022年度工作要点,研制重要数据保护、数据安全风险评估等关键标准
2022年3月15日,信安标委印发《全国信息安全标准化技术委员会2022年度工作要点》的通知。文件指出,信安标委将加快研制急需关键标准,着力提升标准实施应用效果,努力推动网络安全国家标准由数量规模型向质量效益型转变。
-
2022-03-14
两会 | 30份两会提案建言网络与数据安全
随着新一轮科技革命和产业变革的加速发展,数据正成为撬动经济增长的新杠杆,数字经济以数据资源为关键要素,成为改变全球竞争格局的关键引擎。发展和安全作为数字经济的一体之两翼、驱动之双轮,必须同步规划、同步建设、同步运行。
-
2022-03-14
俄罗斯创建国家CA机构:缓解互联网基础设施“断供”问题
俄罗斯已经建立本国的受信任TLS证书颁发(CA)机构,希望解决西方各国制裁下,国内网站因证书无法续订而引发的访问难题。
-
2022-03-14
非法买卖数字证书,这些人被抓了
数字证书是指在互联网通讯中标志通讯各方身份信息的一个数字认证,人们可以在网上用它来识别对方的身份。主要应用在电子邮件、可信网站等领域。
-
2022-03-09
英伟达数据被盗后续:黑客用证书将病毒伪装成显卡驱动
英伟达机密数据被盗,让广大网友吃了不少瓜。但从现在起,每个人都要小心了,别只顾着吃瓜了。因为黑客们正在用被盗数据制造能骗过系统的病毒。这次泄漏的数据中,包括英伟达开发人员用于签署驱动程序和可执行文件的两个签名证书。
-
2022-03-09
2021年网络钓鱼攻击中被冒充最多的品牌,Facebook位居榜首
安全公司Vade 公布了2021年度在网络钓鱼中被冒充最多的20个品牌排名。报告分析了去年全年间184977封钓鱼邮件中附带的欺诈性链接,其中,Facebook从2020年的第二位上升至2021年的第一位,占总数的14%,其次是微软,占13%。
-
2022-03-09
外交部:强烈要求美国停止针对中国和全球的网络窃密和攻击
3月3日,外交部发言人汪文斌主持例行记者会。有记者提问,据报道,3月2日,网络安全企业360公司发布《网络战序幕:美国国安局NSA(APT-C-40)对全球发起长达十余年无差别攻击》的报告,披露NSA利用网络武器对中国、英国、德国、法国、波兰、日本、印度、韩国、阿联酋、南非、巴西等全球47个国家及地区403个目标开展网络攻击。此前,360公司还发布过APT-C-39报告,曝光美国中央情报局对中国发动大规模网络攻击。请问,中方对此有何评论?
-
2022-03-07
网络空间冲突不断,沃通SSL证书、代码签名证书助力保障网络安全
近期,国际上俄乌网络冲突愈演愈烈,乌克兰副总理兼数字化转型部长Mykhailo Fedorov向负责管理全球互联网域名的非营利组织ICANN提出要求,要求撤销俄罗斯的顶级域名(TLD)及其关联的安全套接字层(SSL)证书,关闭俄罗斯DNS根服务器,并宣布相关的TLS / SSL证书无效,以回应俄罗斯入侵乌克兰。对此,ICANN首席执行官回应,ICANN无权按照Fedorov的要求去做,对于国家/地区代码顶级域名,他们的工作主要涉及验证来自相应国家或地区内授权方的请求,而根服务器系统由独立运营商维护,他们无法撤销上述 TLS/SSL 证书。
-
2022-03-04
多部门下发补贴?假的!诈骗型钓鱼邮件正在活跃!
2月下旬,CAC邮件安全大数据中心检测到大量冒充财务部、税务局、人力资源和社会保障服务平台及国家社会保险公共服务等部门下发的《关于发布2022最新补贴通知》邮件。
-
2022-03-01
工信部:推动建立工业互联网安全分类分级管理制度
2月23日,工信部总工程师、新闻发言人田玉龙在国务院政策例行吹风会上透露,要健全完善工业互联网的平台安全政策体系和保障体系,推动建立工业互联网企业网络安全分类分级管理制度。
-
2022-03-01
俄乌冲突凸显网络对抗加剧:“热战”之前网络战先行
2月28日,俄乌冲突进入第五天。在俄乌冲突“真正的热战”被触发时,网络战已经先行。在俄乌地面交火仍在继续,欧美进一步升级对俄经济制裁时,网络空间的对抗不断加剧。虽然在俄乌冲突中网络对抗的烈度远不及物理空间的武装冲突,也不比被踢出环球同业银行金融电讯协会(SWIFT)国际结算系统更有威力,但是,针对通信、银行、供水、电力、能源等关键基础设施的网络攻击,已经成为危害国家安全的重要手段。
-
2022-03-01
微软应用商店现“克隆”游戏,内涵恶意程序Electron Bot
据Bleeping Computer网站消息,一种名为 Electron Bot 的恶意程序已通过克隆《地铁跑酷》(Subway Surfer) 和《神庙逃亡》(Temple Run) 等流行游戏进入微软官方商店,导致瑞典、以色列、西班牙和百慕大地区约 5,000 台计算机受到感染。
-
2022-02-24
国办:推动电子证照扩大应用领域、全国互通互认
日前,国务院办公厅印发《关于加快推进电子证照扩大应用领域和全国互通互认的意见》(下称《意见》),就进一步加快推进电子证照扩大应用领域和全国互通互认,实现更多政务服务事项网上办、掌上办、一次办,进一步助力深化“放管服”改革和优化营商环境作出部署。
-
2022-02-23
三个含有相同漏洞的插件使84000个WordPress网站面临风险
最近研究人员发现有三个WordPress插件存在相同的漏洞,该漏洞允许攻击者在有漏洞的网站上更新任意网站选项,并完全接管它。不过,要想利用该漏洞,需要网站管理员进行一些操作。
-
2022-02-23
Log4Shell漏洞攻击分析,教育机构遭受攻击量最高
研究人员发现,网络攻击在2021年同比增长了50%,并且由于Log4j漏洞的大面积被利用,网络攻击次数在2021年12月达到了顶峰。
-
2022-02-23
中小型企业常见网络安全错误盘点与应对
中小型企业应如何生存下去?通常我们的关注点主要聚焦在业务规划、营销策略、吸引额外投资等方面,但很少有人提及建立稳固的网络安全系统。然而,缺乏对网络威胁的清晰理解可能会使中小型企业丧失成功的机会,本文讨论了一些典型的网络安全错误,以及应对措施。
-
2022-02-15
CA/B论坛新规:9月1日起弃用SSL证书中的 OU字段
CA/B论坛投票决定,从2022年9月1日开始,全球可信CA在颁发SSL/TLS证书时,将不再使用证书中的OU字段,详情参见最新版本的CA/B论坛SSL/TLS 基线要求 (1.8.1 )。OU字段为不常用字段,新规变化对大部分用户不会产生任何不利影响。
-
2022-02-15
修订后的《网络安全审查办法》2月15日施行,要点速览!
国家互联网信息办公室等十三部门联合修订发布的《网络安全审查办法》将于2022年2月15日正式施行。《办法》将网络平台运营者开展数据处理活动影响,或者可能影响国家安全等情形纳入网络安全审查,并明确掌握超过 100 万用户个人信息的网络平台运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查。同时,网络平台运营者应当在向国外证券监管机构提出上市申请之前,申报网络安全审查。
-
2022-02-15
专家解读|以网络关键设备安全认证和安全检测维护网络安全的基本盘
随着信息和通信技术的进化和全领域的数字化转型,公共机构、企业、个人使用的网络产品和信息服务日益增多,网络设备在政务、通信、卫生、能源、金融和运输等重要部门领域中发挥的核心作用也不断增强。
-
2022-02-15
2021年80%的关键基础设施遭受勒索软件攻击
Claroty最新发布的《2021年全球工控安全台式报告》显示,2021年80%的关键基础设施组织遭受了勒索软件攻击,同样比例的组织报告称其安全预算自2020年以来有所增加。
-
2022-02-11
数千工业组织的企业电子邮件账户失窃,被滥用进行下一次攻击
2021 年,卡巴斯基的工控安全专家注意到工控环境计算机上检出间谍软件的统计数据中存在部分异常。尽管这些攻击中使用的恶意软件都属于知名的商业间谍软件(如AgentTesla/Origin Logger、HawkEye、Noon/Formbook、Masslogger、Snake Keylogger、Azorult、Lokibot 等),但这些攻击的目标极其有限且每个样本的生命周期都非常短。
-
2022-02-11
警惕七大数据安全风险!工信部要求开展数据安全风险信息报送
据工业和信息化部官网消息,为加强工业和信息化领域数据安全风险信息获取、分析、研判和预警工作,及时掌握工业和信息化领域数据安全整体态势,提高数据安全风险处置能力,工业和信息化部近日研究起草《工业和信息化领域数据安全风险信息报送与共享工作指引(试行)》(以下简称《工作指引》),并面向社会公开征求意见。
-
2022-02-11
2021网安法规大盘点:重磅法规持续落地,数据安全迎新机遇
2021年,我国数字化经济风起云涌,企业数字化转型如火如荼。2021年3月,《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》发布,并提出“要激活数据要素潜能,推进网络强国建设,加快建设数字经济、数字社会、数字政府,以数字化转型整体驱动生产方式、生活方式和治理方式变革。”
-
2022-01-20
从数据安全角度对《互联网信息服务算法推荐管理规定》的解读
2021年12月31日,国家互联网信息办公室、工业和信息化部、公安部、国家市场监督管理总局联合发布《互联网信息服务算法推荐管理规定》(以下简称《规定》),2022年3月1日起施行。作为互联网信息服务领域贯彻落实《网络安全法》《数据安全法》《个人信息保护法》的重要举措,《规定》旨在规范互联网信息服务算法推荐活动,维护国家安全和社会公共利益,保护公民、法人和其他组织的合法权益,促进互联网信息服务健康发展。
-
2022-01-20
新《网络安全审查办法》:有何亮点
2022年新年伊始,网信办等13个部门联合发布《网络安全审查办法(2021)》。该办法共二十三条,在《网络安全审查办法(2020)》的基础上,参照《中华人民共和国数据安全法》《关键信息基础设施安全保护条例》等新法规的要求,修订了网络安全审查的范围及审查程序、考虑因素等内容。
-
2022-01-20
全国信安标委征求国家标准《信息安全技术重要数据识别指南》(征求意见稿)发布
近日,全国信安标委发布了《信息安全技术重要数据识别指南》(征求意见稿)(以下简称《指南》),并公开征求意见。《指南》给出了识别重要数据的基本原则、考虑因素以及重要数据描述格式。
-
2022-01-20
沃尔玛因违反我国《网络安全法》受处罚 漏洞或为数字安全最大隐患
近日,一条漏洞行政处罚刷遍数字安全圈。世界连锁百货公司沃尔玛因网络系统存在可利用的网络安全漏洞共19项,未及时处置系统漏洞,根据《中华人民共和国网络安全法》第二十五条“网络运营者应当制定网络安全事件应急预案,及时处置系统漏洞”、第五十九条“网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告”之规定,给予沃尔玛(中国)投资有限公司警告的行政处罚,并责令整改。
-
2022-01-20
中小企业容易成为网络攻击的目标
Markel Direct一项调查显示,51%的中小企业经历过网络安全漏洞,由此带来的网络犯罪成为了亟待解决的问题。
-
2022-01-20
什么是SSL剥离攻击?
SSL剥离攻击(也叫SSL降级或HTTP降级攻击)是一种网络攻击,黑客攻击将Web连接从比较安全的HTTPS降级到不太.安全的HTTP。这使得所有的通信都不加密,并为中间人的攻击奠定了基础,即黑客在对话中间,监听或拦截信息。SSL剥离可能会导致安全风险,比如黑客窃听私人信息,甚至在合法用户不知情的情况下改变数据或通信。
-
2022-01-20
地缘政治引爆网络战!乌克兰多个政府系统又遭数据擦除“恐怖”袭击
微软公司发布警报称,新一波数据擦除恶意软件(代号DEV-0586)正在袭击乌克兰多个政府部门、信息技术机构等,目前已有数十个系统感染;就在前一天,乌克兰政府还遭遇了大规模网络攻击,大量政府网站内容被篡改为“数据窃取和泄露言论”,官方随后辟谣未发生数据泄露;乌克兰政府将此次网络攻击归咎为白俄罗斯威胁组织UNC1151,并认为该行动与俄罗斯有关联。
-
2022-01-20
超1200个网站使用MitM钓鱼工具包,允许网络犯罪分子绕过 2FA 身份验证
据The Record 12月27日消息,研究人员发现1200个站点被部署网络钓鱼工具包,这些工具包能够拦截双因素身份验证 (2FA) 安全代码,并允许网络犯罪分子绕过这一身份验证。这些工具包也称为MitM(中间人)网络钓鱼工具包。近年来,主流科技公司为其客户开通2FA 默认安全功能后,这些工具在网络犯罪黑社会中变得非常流行。
-
2022-01-14
黑客在ZLoader网络攻击中滥用微软代码签名验证
Malsmoke 黑客组织现在正在利用微软代码签名验证工具中的一个漏洞来部署恶意软件并窃取用户数据。
-
2022-01-12
2021年网络安全产业态势总结
2021年是“十四五”的开局之年。随着全社会数字化转型的加速,网络安全重要性的不断提升,我国网络安全产业迎来了发展的关键时刻。基于“十三五”打下的良好基础,网络安全相关法律法规陆续发布实施,国家层面正持续开展相关配套制度、标准体系的建设及完善,网络安全风险投资日趋活跃,网络安全创业蔚然成风,产业继续快速发展。
-
2022-01-12
2021网络攻击同比增长50%,因受Log4j漏洞影响
网络安全公司 Check Point Research 最新发布的一份 2021 年调查报告指出,从 2020 年中期到 2021 年,网络攻击的数量呈上升趋势。这一趋势在 2021 年年底达到了历史最高水平,在全球范围内达到每个组织每周遭受 925 次网络攻击的峰值。总体而言,与 2020 年相比,研究人员在 2021 年发现每周对企业网络的攻击增加了 50%。
-
2022-01-12
盘点 | 2021年全球重大网络安全事件
2021年12月9日公开的Log4j2漏洞迅速成为2021年影响最为广泛的安全威胁之一。但是,这并不是安全团队全年必须努力解决的唯一问题。与往年一样,2021年也发生了影响许多组织的大网络安全事件。本文盘点了2021年最具影响力的十起网络安全事件。
