和宇宸认识差不多一年,但也只在去年CIS 2019大会上见过一面,而且只是简单打了个招呼。觉着他应该是个有故事的人,所以一直想找个机会聊聊。

都说30岁是职业生涯的一个坎,基本在此之后都会有一个相对稳定的工作节奏。而宇宸32岁那年,正式离开东北老家去了杭州,用他的话说就是「从头开始」。

未标题-2_画板 1.png

捧了快十年的金饭碗

2007年大学毕业,通过校招进入一家国营企业从事网络管理工作,在编人员。这种条件大概是那个时候大多数父母都苦心念叨的吧,要么是考个公务员要么挤进事业单位,就有了比较靠谱的金饭碗。

也许是刚毕业的迷茫,加之父母传统观念的熏陶,宇宸职业生涯前五年都是在这里度过的。

和他聊起自己的工作经历,宇宸简单几个字「在国企待了十年」来概括正式踏入安全圈之前的工作经历。依稀感觉得到,对于职业生涯前十年,更多的是觉得有点惋惜。

宇宸简单带过的「十年」里,经历了前后三次踏入国企,也在一家香港上市公司待过,也有待业在家逗猫一年多,档案袋里却越来越厚了:

软考网络工程师

网络规划设计师证书

副高级工程师证明

CISM

ISO 27001

ITIL

Prince2

这些证书看起来有点虚,但宇宸本人工作经验、阅历的积累更加充实。尤其是第三次踏入国企,是一家省级评测中心。这是宇宸第一次接触信息安全工作,等保、风险评估、安全检查等,一份份标准文件、一份份报告,即便是薪资较低,也在这里磨练了一年的时间,具备了初步合规以及报告撰写能力。

不是说自己现在有多成功,但一路走来到今天这样的结果,自己还是比较满意的。虽然很苦,但没有那段经历,也没办法走到今天这个地步。

这段经历大概是职业生涯前十年里,宇宸至今仍然觉得珍贵的吧。包括现在热心于关注国内外新兴趋势技术及合规标准,与这段经历也有不少关系。离开那里之后,宇宸毅然离开了东北老家,直奔杭州。

彼时,宇宸已经32岁。

年过三旬的「从头开始」

初到杭州,他就喜欢上了这里的城市和风景,没有亲戚朋友,第二天就开始了求职之路。跟初入社会的年轻小生一样,跑各种小作坊、中小企业,也遇到几家公司面试谈好薪资、入职砍价,一番折腾下来,来杭州的前一个月依然没有找到合适的落脚点。

不是没想过放弃,家里人一开始就不支持辞职跑去一线城市,毕竟也年过三十,多数人已经成家立业过着安稳日子。但想着孑然一人,没有伴侣没有房贷,便不甘心就此打道回府,因为他也不知道回去了要如何选择。

即便已经工作十年,深知在这样的新环境里姿态不宜摆的太高,宇宸需要一杆秤来看下自己究竟有几斤几两。

在杭州的第一家企业便是一家传统老牌安全厂商,按理说应该是一个不错的环境,司职安服项目经理,想着用三年的时间来锻炼自己,也算是适应新的环境。然而不到一年时间,公司重组,不得不面临新一轮的就业选择,但宇宸内心已经按下决定,绝不再做项目经理这类的岗位。

一年的时间虽然有些仓促且突然,索性还是结识到了一些志同道合的朋友,于是就这样被「拽」到了一家创业型安全公司,正式开启了自己的咨询顾问之路,也迎来了职业生涯成长黄金期。

乙方、创业型,这两个关键词放在一起,经历过的人大概都懂得其中的滋味。

尽管有一些技术基础,此前的工作经历中也接触过一些关于信息安全的法律法规、合规的内容,但真正负责安全公司的合规业务,还是需要接触大量新的内容,包括企业服务资质、企业安全体系建设、攻防技术、等保合规、SDL、云计算等等,基本一个人撑起了当时公司的大部分合规业务,而且还需要协助售前的同事。

压力很大,也会因为工作上、业务上的一些事情产生负面情绪。但还是坚持了下来,而且反而已经习惯了这种在工作中不断学习的节奏,也开始主动去关注新兴的技术趋势,比如Gartner发布的年度十大技术趋势之类的文章,宇宸投稿到FreeBuf第一篇文章就是《Gartner 2018年中趋势汇总:我们真的能跟上趋势的发展吗?》。

严格意义上来说,在经历了前十年的一波三折,来到杭州的宇宸更像是抱着「求稳发育」的心态去应对工作的。在第一家传统安全公司,他定下了三年的目标,在这家创业公司,他打算用五年的时间去给自己成长,所以接触新事物以及工作上的压力,他都可以承担下来。毕竟,假如承受不住的话,回老家可是没有百万家产可以继承。

在杭州的第三年,宇宸开始有了一些不一样的感悟:

工作是工作,公司不是我的,工作是生活的一部分,是一种生活(或者享受)而不应该是一种压力,这也是我现在的工作原则。

回看自己来到杭州之后,除了换了一份工作,其它的好像都没有什么印象。因此,他开始下决心要开始做一点有用的事情。考虑到自己主要关注的安全合规工作以及对新兴技术、理念的热衷,决定通过文字的形式输出一些内。

他想做些有用的事情

2019年关注度最高的是等保2.0,于是宇宸开始在FreeBuf更新《等保是个啥》系列文章,包括后续的一些等保2.0相关的解读文章,这种节奏基本持续了一整年,期间我有关于等保2.0相关的问题也会去咨询宇宸,甚至直接约稿,他也都欣然接受。

有时候很惭愧,一早起来看到他把稿件发给我的微信消息,基本又是熬夜在写了。

这个阶段,宇宸依然是在之前提到的创业公司工作,所有的等保2.0相关文章更新也都是利用空余时间来完成,这也是他之前所说的「一些有用的事情」,可以把学习到的东西总结分享出来,这个过程本身也是一种提升自我的方式。

宇宸在FreeBuf上发布的等保2.0成为不少业内同行的参考资料,经常会有私信或者评论向他咨询、讨论问题;甚至自己所结识的朋友也会把他的内容作为工作中参考资料,这些也让宇宸觉得自己的时间并没有白费,也因此成为CIS 2019大会等保2.0专场分论坛的演讲嘉宾之一,这也是他第一次在这样的舞台上演讲。

回想2019年的经历,不再像2018年一样空白。在工作之余,也达成了自己认为还不错的成就:

1.等保2.0系列内容输出

2.第一次登台演讲,观众1000人+

3.《发展网络安全能力》中文译版完成,原英文版300多页,翻译成中文200多页。

在这些背后,宇宸在这一年里的收获和成长可能远远不止于此,所付出的时间和汗水也是我无法预想的。

当他跟我说要离开杭州,去某家大型互联网企业,我还是有些惊讶的,他原本的计划会在那家创业公司待5年的。真要选择离开肯定是不合适了,从2019年开始,宇宸主动关注新兴技术趋势和安全合规的新动向,和公司原本的业务需求出现了偏差,于是在出现合适的机会后,还是选择了「和平分手」。

最近微信上聊的少了,不过还是能感觉到他还是比较适应甚至享受当前的工作状态,工作上依然是安全合规方向的研究,可以尽情去学习新的技术趋势、关注热点法规动向……

我之前问他,每次接触新的理念、技术不会觉得是折磨么?似乎每次都需要去摸索一个新的领域。对他而言,这已经成为了一种习惯,持续学习的习惯。

总结

从头再来分很多种,有的人从0开始,有的人从1开始……

如果跟他谈及工作经历,他依然只会重点去说来杭州之后的三年,但职业生涯的前十年带给他的更多是心性上的磨练,不再浮躁,能够沉下心去不断学习;年过三十毅然决定出去闯荡,意味着他明白自己想要什么样的生活,也就做好了接受一切挑战的准备。

从头开始,他的开始就是1。十年沉淀下来的,除了经验、技能证书,我觉得更重要的是心态上的变化,这也让他在安全圈的三年成长快过很多人;也可能是像他自己认为的那样,浪费的前十年的时间,之后的每一分每一秒都无比珍贵,甚至连谈恋爱的时间都没有留给自己。

最后,征婚!

他说他要等先买了房在考虑结婚的事情,据我调查,目标快达成了,坐标深圳!有意者可以私聊:@宇宸(男的或许也可以试试~)

*本文作者:shidongqi,转载请注明来自FreeBuf.COM

【全球动态】

1.微软赢得英国国防部1775万英镑合同

微软刚刚获得了一份价值1775万英镑的合同,为英国国防部提供云支持,原因是目前行业成员无法提供和微软相同的服务。在一份欧盟透明度报告中写道:“…提供主要的支持、维护和咨询服务,为期23个月,从2022年6月1日到2022年4月30日。”[阅读原文]

2.多个国家的在线商店遭黑客入侵,SQL数据库正在出售

黑客正在出售从多个国家的在线商店窃取的SQL数据库。该数据库总共包含1620000行,公开的记录包括了电子邮件地址、名称、哈希密码(例如bcrypt、MD5)、邮政地址、性别、出生日期等。[阅读原文]

3.隐私倡导人士开始质疑爱尔兰部门在GDPR上的执行能力

据外媒报道,随着欧洲的《通用数据保护条例(GDPR)》进入第二个年头,隐私倡导人士表示担心,该条例没有达到欧盟委员会承诺的效果。由于在一家资金不足的爱尔兰机构的监督下,调查进展太慢,一些人开始质疑这种方法的缺陷。[阅读原文]

4.研究:71%全球大公司网络可被新手黑客攻破,最短仅需30分钟

Positive Technologies公司基于2019年对28家公司信息系统做的保护性资料统计和渗透测试,发表研究结果称,低水平黑客能侵入71%被研究的全球大公司内网,且只需要半小时。[阅读原文]

5.新冠病毒电信诈骗令美国人损失3900万美元 骗子甚至伪造国税局网站

今年已有近5.25万美国人向美国联邦贸易委员会(Federal Trade Commission)投诉与新型冠状病毒有关的欺诈行为,报告的损失总计超过3860万美元。截至5月21日,约45%的投诉者表示自己受到了资金上的损失,平均损失约470美元。[阅读原文]

6.StrandHogg 2.0 Android漏洞影响超过10亿台设备

研究人员披露了一个影响Android操作系统的新的严重漏洞(CVE-2020-0096,也称为StrandHogg 2.0),该漏洞可能允许攻击者执行Strandhogg攻击的复杂版本。该漏洞位于Android的多任务处理系统中,可被设备上安装的流氓应用程序利用,从而构成合法应用程序,以试图从受害者那里获得更高的权限。[外刊-阅读原文]

【安全事件】

1.三星宣布SE S3FV9RR安全芯片 致力保障移动设备数据安全

三星推出了基于新一代 Secure Element S3FV9RR 芯片的认证解决方案,致力于保障手机中存储的个人数据的安全。在 2 月份宣布的首个安全解决方案的基础上,SE S3FV9RR 芯片引入了大量的更新,获得了 CC EAL 的 6+ 级认证,安全性与电子护照、硬件钱包、以及护照等产品相当。[阅读原文]

2.黑客组织窃取杀毒软件日志观察它的恶意程序有没有检测出

安全公司 ESET 的研究人员披露了俄罗斯国家支持黑客组织 Turla 发动的最新攻击。攻击发生在今年 1 月,三个目标分别是国家议会和外交部,黑客部署了新版的 ComRAT 恶意程序。旧版的 ComRAT 曾在 2008 年用于从五角大楼网络窃取数据。ComRAT 的最新版本是 v4,研究人员观察到了 ComRAT v4 的新变种包含了两项新功能:收集杀毒软件的日志和使用 Gmail 收件箱控制恶意程序。安全研究人员认为,黑客收集杀毒软件日志是为了更好的理解对其恶意程序的检测。如果程序被检测出来,他们可以进行调整以躲避检测。[阅读原文]

3.政协委员建议建立网络游戏分级制

全国政协委员、民进中央副主席朱永新呼吁建立网络游戏分级制度,通过人脸识别等技术实行未成年人登入网游时段、时长监管分级,防止青少年沉迷网络游戏。IT之家获悉,朱永新建议,从网络游戏类别、认证、时长、充值方面建立网络游戏强制分级制度,并由相关政府部门审核监管。[阅读原文]

5.Google 从应用商店下架三款阴谋论应用

Google 上周从官方应用商店 Play Store 下架了三款与 QAnon 阴谋论相关的应用:QMAP、Q Alerts! 和 Q Alerts LITE。Google 给出的理由是它们违反了与传播有害信息相关的政策。QAnon 阴谋论在特朗普的支持者中间很盛行,比如声称名人参与了拐骗儿童从事色情活动,以及坚信特朗普正在拆除所谓的 Deep State——操纵和控制政府政策的秘密网络。阴谋论中的 Q 指的是最早在 4chan 上开始写阴谋论的匿名用户。[阅读原文]

6.陶桂芳委员:建议严格监管互联网弹窗广告

全国政协委员、民建辽宁省委副主委陶桂芳建言,建议加大互联网弹窗广告的监管力度。当前在经济利益驱使下,部分网站、App客户端、软件利用弹出式广告,发布具有色情暴力、诱导消费、内容虚假、欺诈行为的垃圾有害信息。[阅读原文]

【优质文章】

1.话题讨论 | 聊聊即将实施的《网络安全审查办法》

从《网络产品和服务安全审查办法(试行)》到《网络安全审查办法(征求意见稿)》,再到《办法》正式实施在即,和大家再度盘点一下《办法》里的重点内容,同时,一起看看网络安全从业人员和FreeBuf的作者们是怎么说的……[阅读原文]

2.多维解读我国网络综合治理体系构建

对于网络综合治理体系,可以从不同的维度和视角理解和解读,尤其是从法学、技术、话语权研究和社会符号学相结合的多角度来探讨依法治理、技术治理、话语治理和社会治理的多元共治体系。[阅读原文]

3.Modbus PLC攻击分析:Smod渗透框架研究

随着工业现代化的发展,产生了Modbus TCP协议,即通过与TCP协议相结合来发送和接收Modbus Serial数据。Modbus的出现是为了使工业现场设备实时地接收和发送相关命令和数据,然后最重要的安全措施在Modbus的设计之初并没有被考虑进去。[阅读原文]

*本文内容收集自全球范围内的媒体与刊物,制作者对其完整性负责,但不对其真实性和有效性负责。

*标注为【外刊】的内容主要来源为英语国家的媒体与刊物,部分内容需要注册免费账号后方可阅读。

【全球动态】

1.乌克兰逮捕黑客 Sanix

乌克兰安全部门宣布逮捕黑客 Sanix(a.k.a.“Sanixer“),称他们在其计算机上找到的记录显示他出售各种数据库,包括登陆凭证、电邮收件箱、银行卡的 PIN 码,数字货币钱包,PayPal 账号和漏洞信息。Sanix 因在去年一月出售容量超过 87GB 的数据库 Collection #1 为闻名,其中包含了 7.73 亿电子邮件地址和 2122 万个唯一密码。[阅读原文]

2.布隆迪在选举日屏蔽社交媒体

5 月 20 日是非洲国家布隆迪的选举日,社交媒体在当天受到了广泛限制。受到影响的社交网站和消息应用包括 Twitter、Facebook、Instagram 和 WhatsApp,YouTube 和 Google 视频服务也部分受限。总统顾问 Willy Nyamitwe 否认该国的互联网被切断。但当地网民表示他们只能通过 VPN 等工具访问社交媒体。[阅读原文]

3.谷歌云与美国防部签署合约:帮助检测和应对网络威胁

谷歌云(Google Cloud)5月20日宣布,已经与美国国防部达成协议,帮助检测和应对网络威胁。据路透社报道,该交易使美国国防部国防创新部门(DIU)可以在包括谷歌云、亚马逊AWS、微软Azure在内的各种云服务平台上跨平台运行应用程序,同时通过谷歌云控制台(Google Cloud Console)进行管理。[阅读原文]

4.伊朗港口遭网络攻击疑为以色列军事报复

2020年5月18日美国《华盛顿邮报》披露,伊朗的阿巴斯港市的 Shahid Rajaei港口于本月初计算机系统遭受的攻击似乎是以色列发起的“报复”。[阅读原文]

5.日本调查三菱黑客事件中原型导弹数据的潜在泄漏

在三菱电机公司遭到网络攻击后,日本已对机密导弹数据的潜在暴露展开调查。网络攻击发生在 2019 年 6 月 28 日,但今年才公开。这家日本科技巨头表示,大约200MB的文件被盗,但据信这主要与员工有关。[外刊-阅读原文]

6.数以万计的以色列网站遭到破坏

一场大规模的黑客攻击破坏了数千个以色列网站,攻击者在他们的主页上发布了一条反以色列的信息,并试图注入恶意软件,以获取访问访问者网络摄像头的许可。[外刊-阅读原文]

【安全事件】

1.Xbox和Windows NT 3.5源代码被泄漏到网上

微软初代Xbox游戏机的源代码已经在网上泄露,同时泄露的还有Windows NT 3.5的代码。Xbox的源代码包括了该游戏机上的操作系统内核,是Windows 2000的定制版本,可以确认泄露的代码是真的,本月早些时候就已经出现在网上。[阅读原文]

2.黑客叫卖Wishbone 4000万注册用户的数据

一名黑客正在叫卖 Wishbone 4000 万注册用户的详细信息,且宣称这批数据是在今年早些时候的黑客攻击活动中窃取的。作为一款流行的移动 App,其允许用户通过简单的投票调查,在两个物品之间展开比较。然而 ZDNet 指出,Wishbone 的大量注册用户信息正在多个黑客论坛上挂牌叫卖,价格仅为 0.85 个比特币(约 8000 美元)。[阅读原文]

3.新内核漏洞利用曝光:unc0ver预告iOS 13.5越狱方案发布在即

去年 checkm8 公布了可在几乎所有 iOS 设备上实现的越狱方案,给苹果移动设备用户带来了天大的惊喜。现在,unc0ver 团队也预告了一款全新的工具,有望为包括 iPhone 11、iPhone SE 2、2020 款 iPad Pro 在内的 iOS 13.5 设备提供越狱解决方案。据悉,新预告的 unc0ver 5.0 工具,正是基于 Pwn20wnd 发现的内核漏洞而开发的。[阅读原文]

4.Vivaldi和Startpage达成合作:为用户提供最佳搜索结果和隐私保护

Vivaldi公司近日宣布:专注于隐私保护的欧洲搜索引擎Startpage已加入其浏览器中的搜索引擎选项中。根据双方的新协议,那些注重隐私保护的Vivaldi用户可以切换到Startpage搜索引擎,获得“最佳的搜索结果和无与伦比的隐私保护”。[阅读原文]

5.建行员工出卖客户信息年入30万,称不知道这是违法的

近日,江苏淮安警方破获了一起特大贩卖公民个人信息案,共抓获26名嫌疑人,涉案金额2000多万元。淮安警方称,犯罪团伙通过现有的技术手段无法获取到如此大规模的公民个人信息,这些案件就可能有银行内部的工作人员参与其中。[阅读原文]

6.从啤酒评分 app 中竟能找到情报人员和军人的敏感信息

Untapped app 的用户人数超过800万名,其中多数是欧洲和北美用户。研究人员通过其功能发现了遍布全球各地军事和情报位置的上述用户的敏感信息。Bellingcat 公司的研究员 Foeke Postma 撰写了如何利用该app追踪目标人物的指南。[阅读原文]

【优质文章】

1.两会盘点 | 聚焦网络安全,大佬们带来了哪些提案?

互联网企业家们已然成为两会的话题之一,作为企业群体的代表,他们的发声值得关注。比如马化腾到今年为止的8年内就提出了40多个提案,周鸿祎、李彦宏等人同样是两会的老面孔。聚焦两会,和笔者一起盘点今年大佬们都带来了哪些网络安全相关提案。[阅读原文]

2.从AST到100个某知名OA前台注入

有一阵子某知名OA漏洞爆发, 于是参考了Cobra的PHP Parser尝试实现一个通过遍历Java AST(抽象语法树)进行漏洞挖掘的工具, 没想到效果出奇的好, 筛选出160个前台注入点, 手工编写了约50个前台注入EXP。[阅读原文]

3.疫情下数据安全与个人信息保护经受考验

在疫情时期下,公众在使用互联网线上服务应用和配合复工复产人员信息排查中,仍然面临着较高的个人信息滥用与泄露风险,数据安全保护的相关议题也在持续引发社会热议。为此,疫情下数据安全与个人信息保护工作仍需引起各方足够重视,坚持高位推动,紧抓风险防控。[阅读原文]

*本文内容收集自全球范围内的媒体与刊物,制作者对其完整性负责,但不对其真实性和有效性负责。

*标注为【外刊】的内容主要来源为英语国家的媒体与刊物,部分内容需要注册免费账号后方可阅读。

【全球动态】

1.FBI破解罪犯iPhone 揭开彭萨科拉枪手与基地组织的联系

FBI调查发现,彭萨科拉枪击案的枪手与 “基地”组织有关联,据称细节来自于政府在没有苹果公司协助下解锁的iPhone手机。FBI已经确定,Mohammed Saeed Alshamrani中尉是一名在美国军方训练的沙特空军学员,也是12月佛罗里达州彭萨科拉枪击案的枪手之一,他与恐怖组织 “基地 “组织有联系。[阅读原文]

2.欧洲五眼情报联盟帮助英国破解阿根廷密码

今年 2 月,《华盛顿邮报》和德国 ZDF 披露瑞士加密设备公司 Crypto AG 在冷战的大部分时间里被 CIA 和西德的情报机构秘密控制,情报机构纂改了加密设备使他们能更容易的破解加密信息。现在,又一篇学术论文披露了类似五眼的欧洲情报联盟 Maximator。Maximator 成立于 1976 年,成员包括丹麦、法国、德国、瑞典和荷兰。荷兰间谍机构 TIVC 是 Maximator 的关键成员,在 1982 年的英国和阿根廷之间的马岛战争中扮演了重要角色。TIVC 向英国情报机构 GCHQ 详细解释了阿根廷使用的 HC500 Crypto AG 设备,并提供了密码破解方案。[阅读原文]

3.欧盟产业主管谈互联网治理:Facebook或面临更多监管

欧盟产业主管蒂埃里·布雷顿(Thierry Breton)表示,如果马克·扎克伯格(Mark Zuckerberg)不能平息人们对Facebook商业行为的担忧,那么这家公司将面临更多的监管,此前两人在一场直播中进行了针锋相对的辩论。[阅读原文]

4.Mirai 和 Hoaxcalls 僵尸网络瞄准旧版赛门铁克 Web 网关

作为Unit 42主动监控野外传播威胁工作的一部分,我最近发现了新的Hoaxcalls和Mirai僵尸网络活动,是针对赛门铁克安全Web网关5.0.2.8中的身份验证后的远程执行代码漏洞。该产品已逐渐淘汰,于2015年到期,产品支持于2019年到期。目前还没证据表明其他版本的固件易受攻击,我已与赛门铁克共享这些发现。[阅读原文]

5.黑客出售1.29亿俄罗斯车主敏感记录

一个包含莫斯科1.29亿条车主记录的数据库正在一个黑暗的网络论坛上出售。卖方泄露了一些数据,供潜在买家验证其准确性。这是匿名的,包含供应商声称的交警登记处中存在的所有车辆详细信息。[外刊-阅读原文]

【安全事件】

1.Grayshift新间谍软件已可更快地窃取iPhone密码

一份新报告称,移动设备取证公司 Grayshift 正在销售一款软件工具,可在不破解设备的情况下显示用户的 iPhone 密码。此前,该公司的 GreyKey 数字取证工具已引发了极大的争议,因其能够被执法部门用于绕过 iPhone 上的加密措施 —— 即便在最新款 iPhone 上的测试表明,GrayKey 需要几天甚至几周的时间才能完成破解。[阅读原文]

2.任天堂起诉Switch破解工具零售商 每单索赔一万八

上周晚些时候,美国的任天堂公司对销售破解Switch游戏机并能够运行盗版游戏的零售商提起了两起诉讼。第一起诉讼涉针对网络零售商UberChips,而第二起诉讼针对的是几个网站上的匿名被告。任天堂在诉讼中称,这种破解工具为“未经授权的操作系统以及安装该软件的破解工具”。使用该破解工具的用户能够绕过任天堂的技术保护措施,进行未经授权的访问和复制。任天堂的律师指出,禁用这些保护措施能让玩家下载未经授权的操作系统,并运行盗版游戏。[阅读原文]

3.梅赛德斯奔驰OLU源代码在网上曝光

梅赛德斯-奔驰货车上安装的“智能汽车”零部件源代码上周末在网上泄露。而在泄密事件发生之前,瑞士软件工程师Till Kottmann发现了一个属于戴姆勒公司(Daimler AG)的Git门户网站。戴姆勒是一家德国汽车公司,旗下拥有梅赛德斯-奔驰汽车品牌。[阅读原文]

4.《人脸识别与公共卫生调研报告》发布 公众关注隐私保护

日前,《人脸识别与公共卫生调研报告》发布。报告聚焦了人脸识别与公共卫生,通过问卷调查与分析反映了公众对这一主题的关注与思考,促进人脸识别在公共卫生领域相关研发、应用、部署和使用。[阅读原文]

5.最高法:未成年人网络打赏可以退还

据央视新闻报道,最高法新出台的《关于依法妥善审理涉新冠肺炎疫情民事案件若干问题的指导意见(二)》明确:限制民事行为能力人未经其监护人同意,参与网络付费游戏或者网络直播平台“打赏”等方式支出与其年龄、智力不相适应的款项,监护人请求网络服务提供者返还该款项的,人民法院应予支持。[阅读原文]

6.周鸿祎全国两会提四份提案 聚焦新基建网络安全

2020年全国两会在即。今年,全国政协委员、360集团董事长兼CEO周鸿祎将向两会提交四份提案,聚焦新基建的网络安全。“网络安全是我的‘老话题’,但是随着国家新基建战略的提出和实施,今年又有了不少‘新内容’”,周鸿祎表示。[阅读原文]

7.苹果蓝牙协议的源代码质量都这么差了吗?!研究员找到10个 0day

德国达姆斯塔特工业大学的研究人员查看了 MagicPairing 协议后发现它在 iOS、macOS 和 PTKit 中的三个实现之间存在10个未披露缺陷且尚未修复。[阅读原文]

【优质文章】

1.实战中应急响应溯源思路

每次工作中遇到的应急,我会把每个应急看成一个目的地,而抵达目的地的路径则是应急过程中的思路,抵达目的地的路径有很多,而最短路径则是工作经验。[阅读原文]

2.关于APP渗透测试的实践与思考

移动互联网应用程序(Mobile APP,以下简称“APP”或“移动APP”)安全早已成为信息安全领域中广受关注的热点话题。作为安全检测人员,在日常测试工作中经常涉及移动APP的安全检测,在此结合相关移动APP检测标准和工作经验,从渗透测试角度,对移动APP的检测进行概要性总结说明。[阅读原文]

3.WEB“三员”中常见越权漏洞产生原因及渗透测试方式分析

本文以WEB“三员”系统为例,对WEB“三员”中常见越权漏洞的产生原因以及渗透测试方式进行分析,以增加社会对于该类漏洞的了解,及时发现漏洞,完善系统安全的防范措施。[阅读原文]

*本文内容收集自全球范围内的媒体与刊物,制作者对其完整性负责,但不对其真实性和有效性负责。

*标注为【外刊】的内容主要来源为英语国家的媒体与刊物,部分内容需要注册免费账号后方可阅读。

【全球动态】

1.美特勤局证实有海外黑客团队骗取失业救助金 已损失数亿美元

新冠疫情期间,美国各州发放了失业救助金。不过根据美国特勤局(U.S. Secret Service)最新发布的警告,有海外诈骗团伙利用此前窃取的身份资料申请救助金,导致数百万美元的资金外流。[阅读原文]

2.黑客控制多台超算挖门罗币

英国、德国和瑞士的多台超级计算机感染了挖掘门罗币的挖矿程序,管理者关闭了这些超算对入侵事关展开调查。这些研究机构尚未公布入侵细节,但初步报告显示黑客利用了窃取到的 SSH 登陆凭证访问超算集群,利用已知漏洞提权获得 root 权限,然后安装挖矿程序挖掘门罗币。被窃取的登陆凭证属于加拿大、中国和波兰的大学。[阅读原文]

3.蔡英文办公室电脑遭黑客入侵 “蔡苏会”资料遭窜改流出

据台湾“中时电子报”报道,台湾地区领导人蔡英文办公室电脑惊传遭黑客入侵,4月间蔡英文与台当局“行政院长”苏贞昌会面时幕僚帮忙准备的资料,遭变造、伪造,并以黑函方式散布。蔡办称已向警方报案,相关单位已经启动调查。[阅读原文]

4.巴西的数据隐私意识日益增强

最新研究显示,巴西对在线数据隐私的认识水平和关注程度正在提高,越来越多的用户希望加强对数据处理方式的控制。[外刊-阅读原文]

5.微软分享了COVID-19网络攻击威胁的签名数据

尽管许多行业都在努力共同抗击 COVID-19 疫病危机,但仍有一些不道德的攻击者在浑水摸鱼。好消息是,微软已决定分享与 COVID-19 网络攻击相关的威胁签名数据。为保护企业和个人用户免受威胁,微软汇总了跨云端、个人节点、应用程序和电子邮件的无数线索信号。作为一个开源项目,这份签名数据旨在帮助全行业提升识别和应对此类攻击的能力。[阅读原文]

6.国际电联秘书长赵厚麟:确保人们享受安全可信的网络

国际电信联盟秘书长赵厚麟在致辞中呼吁所有人同他一道推进国际电联的“连通目标2030议程”,这一全球的共同愿景旨在弥合数字鸿沟和利用信息通信技术的力量,支持《2030年可持续发展议程》的实现。[阅读原文]

【安全事件】

1.开源让软件更加安全了吗?

软件和芯片设计公司 Synopsys 发布《2020年开源安全和风险分析报告》,指出不安全的开源软件已无处不在。一方面,99%的审计代码库中至少包含一个开源组件,另一方面,经过审核的代码库中有75%包含具有已知安全漏洞的开源组件,老化和废弃的开源组件也无处不在。[阅读原文]

2.黑客通过多个交易所尝试洗掉窃取的以太坊

去年 11 月 27 日,Upbit 交易所遭入侵,34.2 万以太坊被盗走。黑客之后在 12 月和 1 月通过多个数字货币交易所洗掉了超过 23.6 万以太坊。剩余的以太坊一直留在黑客的钱包里。跟踪数字货币交易的 Clain 报告,黑客最近开始尝试通过多个交易所洗掉剩余的以太坊。黑客利用了多个知名的交易所,其中包括币安(Binance)、火币和 OKex。[阅读原文]

3.微软从Edge附加组件商店下架恶意扩展

开发者联系到了微软公司,分享了关于恶意扩展的信息,以及如何快速分析代码并删除扩展的方法。微软公司随后已经跟进处理此事,昨晚该开发者确认已经从插件商店中删除了各种假冒和恶意扩展。[阅读原文]

4.全球首款5G量子手机问世,防黑客防破译

2020年5月14日,三星和SK Telecom推出了全球首款Galaxy A Quantum量子随机数发生器(QRNG)智能手机。据SK Telecom的开发人员称,今天没有技术可以破解这样的系统。这使Galaxy A Quantum成为市场上最安全的手机之一。[阅读原文]

5.因违法违规收集个人信息192个App被责令改正

今年第一季度,全国公安机关网安部门充分发挥职能作用,加大公民个人信息保护力度,依法查处违法违规收集公民个人信息App服务单位386个,涉及信息咨询、辅助学习、文学小说、新闻资讯、娱乐播报等多个类型。其中,97个App被予以行政处罚,192个App被依法责令改正违法行为,51个App被下架、停运,有效保护了公民个人信息。[阅读原文]

6.“虚拟定位”破解考勤打卡,专家警告高风险易致隐私泄露

调查发现,钉钉打卡的破解软件充斥网络,下载破解软件后按照操作教程的指引,即可任意设定位置并成功打卡。多名商家称,此类软件对用户没有任何风险,但网络安全专家告诉新京报记者商家私自开发的“虚拟定位”软件大多未经专业技术检测,使用者的个人信息处于极大的风险之中。[阅读原文]

【优质文章】

1.美国组建“太空靶场”,太空领域网络安全登上大国博弈舞台

近日,美国防信息安全技术服务提供商美泰科技(ManTech)宣布正式推出可重复使用的“太空靶场”(Space Range)虚拟作战体系,以保护美国政府机构和卫星运营商的网络安全。[阅读原文]

2.关于软件供应链安全的几点思考

信息技术供应链的竞争和保障,不仅影响着企业的生存和发展,同时也成为大国之间相互竞争与制约的重要手段。由于软件供应链是信息技术供应链中的重要一环,如何在新的发展阶段保障软件供应链安全,对于我国营造安全、可控的网络空间环境具有重要作用。[阅读原文]

3.数字新基建成本优化:从谷歌DeepMind实践我们体会到了什么?

随着网络技术的飞速发展,从传统网络到虚拟化,再到云计算、IoT、边缘计算以及5G技术的逐步应用,需要能够处理和承载海量数据的算力以及存储,这就必然会让人联想到IDC。这不过是目前我们所处的场景,随着边缘计算(IoT、5G、云边缘)的需求不断增加,未来的场景可能会发生变化。[阅读原文]

*本文内容收集自全球范围内的媒体与刊物,制作者对其完整性负责,但不对其真实性和有效性负责。

*标注为【外刊】的内容主要来源为英语国家的媒体与刊物,部分内容需要注册免费账号后方可阅读。

2020年上半年,基本一直深陷疫情的阴霾,各行各业都受到了不同程度的影响。网络安全形势也变得更加严峻,随着远程办公所产生的安全风险,各组织企业加大了对于隐私问题的考虑,以及严防死守潜藏在暗处持续不断发起骚扰的攻击者。

绝大多数安全事件都具备很强的随机性或者突发性,如近期某些企业的数据泄露或删库事件等等,对于平台的用户和企业本身都造成了严重影响,甚至在很长的时间内都无法抹除。

作为F5中国区技术总监,陈亮在接近20年的IT生涯中,历经负载均衡、应用交付、应用安全到当前基于云计算、大数据、人工智能等技术的演变,积累了丰富的理论与实践相结合的经验。在他看来,应用安全高一切。多数企业目前正处于数字化转型的关键阶段,其中会涉及大量的安全问题,应用直接关系着企业核心业务。

image001.png

F5中国区技术总监 陈亮

根据F5最近发布的《2020年应用服务状况报告(亚太版)》(以下简称《报告》),有大量企业部署超过1000个应用程序,这正是互联网发展所带来的巨大变化。企业所部属的应用数量也在随着业务的需求不断递增,过程中也可能产生诸多新问题,例如API经济。当很多API接口打开之后,从以前的唯一端口变成「千疮百孔」,现阶段如何去防护?这对于企业而言可能是当下最大的挑战。

报告中这一组数据能直接看清目前的应用形势:

亚太地区82%的企业(全球:80%)正在实施数字化转型,而且日益注重加快上市速度;

亚太地区86%的企业(全球:87%)采用多云,其中大多数企业仍在努力提高安全性;

亚太地区71%的企业(全球:73%)通过网络自动化提高效率;

亚太地区68%的企业(全球:69%)使用10种以上的应用服务;

亚太地区63%的企业(全球:63%)仍将应用服务的主要职责交给IT运营团队,但在接受调查的企业中,有一半以上也将这项职责转移给具有DevOps能力的团队。

全球接近87%的企业采用多云模式,69%的企业使用十种以上的应用服务,多数企业倾向于将应用服务的职责交给IT运营团队。从这种趋势上来看,IT运营团队需要逐步提升对于安全性的关注,在企业核心业务正常运转过程中,安全和运营需要协同合作,根据实际需求作出相应的调整。

在应用安全防护策略上,陈亮提出全数据通路的保护思路。从代码的生成、测试、验证,发布,持续集成、持续发布之后,对应的安全设备就要做安全的防护、策略的调整,这是一条整体的全数据通路保护通道。

作为国际性安全企业,F5拥有自己的优势——专注于WAF或者传统网络层攻击,已经成为连续10年以上应用交付领域中首屈一指的厂商,并跟随近几年云环境的变化,致力于多云应用服务。

在去年3月份,F5斥资6.7亿美元收购全球第二大最流行的 web 服务器软件 Nginx。在硬件领域里,多云环境下F5和Nginx的联合,使得F5和Nginx真正可以做到从代码到客户全通路的安全保证。

同年12月份,F5用10亿美金开启了对Shape Security的收购,后者是专注基于人工智能与云计算的在线反欺诈和反网络攻击解决方案。F5将Shape Security的多项技术能力整合到已有的安全服务产品序列中,进一步提升全数据通路的保护效果。

这两次收购对于F5而言都有着重大战略意义,Nginx 赋予了F5真正的云原生的应用安全能力,Shape Security给F5带来的更多地是未来的安全能力价值,基于人工智能、大数据分析,对业务产生更多、更好的帮助。

从代码到用户,这也正是F5在华二十周年之际所推出的全新理念,在5月20日的线上峰会上会对此理念进行更加细致的阐述。这里可以提前剧透一个彩蛋,F5打算把Nginx的社区引入到中国,这也是未来本土化发展的重大策略之一。

陈亮透露,F5对中国市场一直表现出高度重视,2020年正是F5在华20周年,F5此前提出了「凤凰计划」,在新的一年会继续加大本地品牌的投入,建设本地化的研发团队、服务团队、开发团队,来帮助客户,或者满足国内客户更多灵捷性、可靠性、安全性的要求。

对于近期正式出台的《网络安全审查办法》,陈亮表示,F5非常认同国家在安全上的重视程度和拥护法律法规的出台,在实施过程中一定会积极的配合国家,配合法律法规相应的部门,也会为最终用户提供一些材料,或提供一些说明。至少目前来看,《网络安全审查办法》对于当前业务并不会有什么影响。

此外,在5月20日的在华二十周年峰会上,F5会正式将Nginx社区引入中国,满足国内用户Nginx的客户的个性化的需求,来真正的实现他们的自主可控、安全可控等目的和需求。

*本文作者:shidongqi,转载请注明来自FreeBuf.COM

【全球动态】

1.美FTC证实正在调查视频会议软件公司Zoom侵犯隐私问题

美国联邦贸易委员会(FTC)主席约瑟夫·西蒙斯(Joseph Simons)表示,该机构正在调查有关Zoom的隐私投诉问题。除了隐私问题外,Zoom还存在一些其它的负面新闻,比如,谷歌以担心安全性为由,禁止员工在电脑上安装和使用Zoom,超50万Zoom账户信息在暗网售卖等等。[阅读原文]

2.德克萨斯法院遭到勒索软件攻击

德克萨斯州公布了针对其法院系统的勒索软件攻击,但坚称不会支付赎金。恶意软件通过了OCA的分支网络,一旦发现勒索软件,链接的服务器和网站就会被禁用,以限制损害。[外刊-阅读原文]

3.伊朗报告称,对霍尔木兹海峡港口的网络攻击失败

伊朗官员周日表示,黑客在对霍尔木兹海峡最大港口班达尔阿巴斯港(Bandar Abbas)发动的一次失败的网络攻击中,损坏了一小部分电脑。[外刊-阅读原文]

4.美国政府曝光朝鲜新的恶意软件、网络钓鱼攻击

根据联邦调查局(FBI)、网络安全与基础设施安全局(CISA)和国防部(DoD)公布的信息,新的恶意软件正被“朝鲜网络行为体用于钓鱼和远程访问,以进行非法活动、窃取资金和逃避制裁”。[外刊-阅读原文]

5.哈萨克斯坦部分国家机关官网遭黑客攻击

eGov.kz电子政府门户网站、Elicense.kz电子许可网站和电子政务部分网站在内的多个国家机关官网12日遭黑客攻击。 国家安全委员会国家技术工作和国家信息技术股份公司开展联合调查,并确定了外国黑客进行了此次大规模Ddos网络攻击。[阅读原文]

6.外交部回应美方称中国黑客试图窃取美新冠疫苗成果

美国有线电视新闻网记者问:根据《纽约时报》报道,美国政府准备近期发布一项警告,指责中国黑客试图通过非法手段获取美国新冠病毒疫苗治疗和测试的知识产权及相关公共卫生数据。外交部发言人赵立坚表示,中国是网络安全的坚定维护者,也是黑客攻击的受害国。我们历来坚决反对并依法打击一切形式的网络黑客攻击行为。中国在新冠疫苗研究和治疗方法方面均走在世界前列。任何人如果拿不出证据,一味诬陷造谣,是不道德的。[阅读原文]

【安全事件】

1.雷电3接口漏洞影响数百万计算机:5分钟解锁设备,无法修复

雷电3(Thunderbolt)接口存在缺陷,2019 年之前生产、出货的配备雷电3的设备都容易受到攻击。而自2019 年后已交付的提供内核DMA保护的设备,也在一定程度上易受攻击。并且该漏洞不能在软件中修复,这可能直接影响未来的 USB 4 和Thunderbolt 4 等标准,需要对芯片进行重新设计。[阅读原文]

2.工信部组织多地通信管理局查处关停违规1069短信端口

据工信部微信公众号消息,为切实保护人民群众财产安全,为复工复产保驾护航,工业和信息化部积极配合公安部开展打击网络贷款类电信网络诈骗犯罪集群战役,指导组织北京、河北、上海、江苏、河南、陕西等地通信管理局联合出击,对涉案的1069短信端口予以关停,并依法查处相关企业违规行为。[阅读原文]

3.黑客的私人聊天在被盗的WeLeakData数据库中泄露

WeLeakData.com是一个黑客论坛和市场,主要专注于讨论、交易和销售在数据泄露期间被盗的数据库以及用于凭据填充攻击的组合。目前该网站已经停用,但数据库却开始在暗网上出售,包含大量私人聊天信息。[外刊-阅读原文]

4.世界最大在线沙盒《Roblox》遭黑客攻击

《Roblox》作为世界上最大的大型多人在线游戏平台,在全球范围深受孩童玩家们的喜爱。然而还是有黑客专门挑了这么一个玩家群体非常敏感的游戏下手,他并没有依靠高技术力撬开《Roblox》公司的服务器,仅凭借层层贿赂就得以拿到海量的玩家个人信息。[阅读原文] 

5.开源论坛程序 vBulletin 被曝严重且详情不明的漏洞

vBulletin 项目的维护人员最近发布了一个重要的补丁更新但并未披露任何关于该底层安全漏洞 (CVE-2020-12720) 的信息。鉴于vBulletin 同时也是黑客的最爱之一,因此不披露漏洞详情有助于很多网站、服务器和用户数据遭攻陷之前可以应用补丁。[阅读原文]

6.研究人员发现有1236个网站感染了信用卡窃贼

一名安全研究人员在几周内收集了1000多个感染了支付卡浏览器的域名,结果显示,MageCart仍然是一种普遍的威胁,在不安全的网上商店中成为猎物。[外刊-阅读原文]

【优质文章】

1.经典写配置漏洞与几种变形

刚好今天看到奇安信发表的一篇文章《这是一篇“不一样”的真实渗透测试案例分析文章》提到一个Discuz后台getshell漏洞,也涉及了相关知识,我们来总结一下吧。[阅读原文]

2.美国防部:《5G生态系统: 对美国国防部的风险与机遇》报告

随着5G商用不断加速,美国对于争夺5G领先地位的焦虑感和紧迫感日益强烈。2019年4月3日,美国国防部国防创新委员会发布了《5G生态系统:对美国国防部的风险与机遇》(《THE 5G ECOSYSTEM: RISKS & OPPORTUNITIES FOR DoD》)报告(以下简称报告),该报告重点分析了5G发展历程、目前全球竞争态势以及5G技术对国防部的影响与挑战,重点分析了中国在5G领域的发展情况以及未来对国防安全的影响,并在频谱政策、供应链和基础设施安全等方面提出了等方面建议。[阅读原文]

3.基于机器学习的用户实体行为分析技术在账号异常检测中的应用

当前,用户实体行为分析(User and Entity Behavior Analytics,UEBA)系统正作为一种新兴的异常用户检测体系在逐步颠覆传统防御手段,开启网络安全保卫从“被动防御”到“主动出击”的新篇章。因此,将主要介绍UEBA在企业异常用户检测中的应用情况。[阅读原文]

*本文内容收集自全球范围内的媒体与刊物,制作者对其完整性负责,但不对其真实性和有效性负责。

*标注为【外刊】的内容主要来源为英语国家的媒体与刊物,部分内容需要注册免费账号后方可阅读。

【全球动态】

1.时隔10个月委内瑞拉又断电?攻击致使全国大面积停电

委内瑞拉副总统罗德里格斯宣布:5月5日委内瑞拉国家电网干线遭到攻击,造成全国大面积停电。委国家电力公司正组织人力全力抢修,部分地区已经恢复供电。[阅读原文]

2.黑客操纵一物联网僵尸网络8年,只为下载动漫视频

近8年来,一名黑客一直在悄无声息地将D-Link NVRs(网络录像机)和NAS(网络附加存储)设备劫持到一个僵尸网络中,其唯一目的是连接到在线网站并下载动漫视频。[阅读原文]

3.欧盟正试图修正其糟糕的Cookie同意政策

对于许多互联网用户而言,欧盟的Cookie同意政策在浏览网络时是一种令人沮丧且不可避免的体验,它于2018年作为《一般数据保护条例》(GDPR)的一部分而出台,它要求用户在首次访问网站时同意被跟踪,但其中措辞往往有误导性,或者无法拒绝。为了让cookie同意更符合用户的意愿,欧盟本周发布了最新的指导方针,禁止对这些政策进行最糟糕的解释。[阅读原文]

4.台湾两大石化企业遭黑客攻击

台湾两大石化公司台湾中油以及台塑集团,近日先后遭黑客攻击入侵电脑系统。台湾的国防部通资次长曹进平中将6日表示,随着蔡英文5月20号的第二任期就职日逼近,黑客攻击情势将会越来越严峻。[外刊-阅读原文]

5.Zoom收购加密初创公司Keybase

“视频通信公司Zoom收购了Keybase,Keybase是端到端加密消息传递和云存储系统的制造商。借助Keybase,Zoom用户将能够在视频通话中添加端到端加密-这是Zoom 90天安全性推动中的一项重大改进。”[外刊-阅读原文]

6.欧洲主要私立医院运营商被勒索软件攻击

欧洲最大的私人医院运营商费森尤斯(Fresenius)证实,勒索软件攻击限制了部分业务。这家总部位于德国汉堡的组织告诉网络安全专家布莱恩·克雷布斯,“电脑病毒”已经造成了破坏,但对病人的护理没有影响。[外刊-阅读原文]

【安全事件】

1.特斯拉二手车被曝隐私问题 黑客获得大量个人信息

据外媒报道,特斯拉的车载计算机系统,可能没有大家想象的那么安全。根据某一网络安全研究员的说法,即便在完全恢复出厂设置后,黑客依旧可以从旧的特斯拉面板系统中恢复大量个人信息。[阅读原文]

2.存在于自2014年以来所有三星手机中的高危漏洞终于被修复

三星本周发布了一个安全更新,修复了自2014年以来一直存在于旗下所有智能手机中的关键漏洞。该漏洞最早可以追溯到2014年下半年,三星开始在所有发布的设备中引入了对自定义Qmage图像格式(.qmg)的支持,而三星的定制Android系统在处理该图像格式上存在漏洞。[阅读原文]

3.江苏无锡警方成功破获全国首起“暗网”平台案

无锡市公安局7日召开新闻通气会,对外发布该市警方破获的全国首起“暗网”平台案件详情。该案中,男子王某在“暗网”上搭建淫秽网站、传播淫秽物品牟利,被警方查获时,网站注册会员已达6万多名。[阅读原文]

4.26项网络安全国家标准获批发布

根据2020年4月28日国家市场监督管理总局、国家标准化管理委员会发布的中华人民共和国国家标准公告(2020年第8号),全国信息安全标准化技术委员会归口的GB/T 20281-2020《信息安全技术 防火墙安全技术要求和测试评价方法》等26项国家标准正式发布。[阅读原文]

5.工信部:新增物联网终端不再使用2G/3G网络 NB-IoT普遍覆盖

工信部办公厅发布了《关于深入推进移动物联网全面发展的通知》(以下简称《通知》)。《通知》提出了移动物联网全面发展的主要目标和重要任务,鼓励各地设立专项扶持和创新资金,支持NB-IoT和Cat1专用芯片、模组、设备等产品研发工作,提高芯片研发和生产制造能力,满足规模出货需求。[阅读原文]

6.Facebook iOS SDK 导致众多应用崩溃

开发者在 Facebook iOS SDK 的 Github 问题页面报告,多个版本的 SDK 导致了大量应用崩溃。Facebook SDK 被广泛用于身份验证和广告展示。开发者报告称,SDK 6.5.0、SDK 5.6.0、SDK CoreKit 6.0.0 等等都会导致应用崩溃。受影响的流行应用包括了 Spotify、TikTok、Pinterest、Winno 等等,还有中国开发者用中文爆粗口说 Facebook 的 SDK 应用导致了崩溃。暂时不清楚是什么导致了问题。[阅读原文]

【优质文章】

1.APP隐私合规介绍和实施方案

目前,大量的移动app在使用过程中,涉及个人隐私信息和敏感信息。在个人信息处理、共享、转让、公开披露过程中,管理流程和技术手段不规范造成个人信息泄露的安全事件层出不穷。[阅读原文]

2.看德当局如何“花式实锤”俄军事情报机构GRU黑客对其联邦议院的网络攻击

近日,德国联邦检查院一纸国际逮捕令轰动整个情报界。德当局指控有着俄罗斯军方背景的黑客德米特里·谢尔盖耶维奇·巴丁(DmitriySergeyevich Badin),一直从事“秘密服务活动”和“监视数据”活动,而且他正是2015年针对德联邦议院发动网络攻击的幕后真凶之一。[阅读原文]

3.技术人的修炼之道:从业余到专业

本文主要介绍了一些学习方法和个人入门安全领域的一点经验,更多是想强调基础知识的重要性,输出式的主动学习能够实现更高效的学习,也介绍了知识体系建设方法和研究过程中需要注意的三个点,最后提醒大家避免进入伪学习的坑。[阅读原文]

*本文内容收集自全球范围内的媒体与刊物,制作者对其完整性负责,但不对其真实性和有效性负责。

*标注为【外刊】的内容主要来源为英语国家的媒体与刊物,部分内容需要注册免费账号后方可阅读。

随着国内疫情渐渐平息,各行各业已经呈现出良好的复苏状态,关注重点也逐渐回归本行业的未来发展。对于网络安全领域而言,疫情期间暴露出了不少问题,包括数据安全、个人隐私、关键信息基础设施等等,在5G全面商用,新技术、新场景所面临的安全问题决不亚于新冠疫情所带来的影响。

在4月21日举行的亚信安全2020合作伙伴大会上,亚信安全提出「安全定义边界」的主张,在5G 云网环境里,传统的企业边界、业务边界都已不复存在,新的边界将由多层面、多维度、动态的安全防御体系来构筑。

在会后的采访环节,FreeBuf跟亚信安全亚信安全总裁陆光明做了深入沟通,了解亚信安全眼中的5G安全究竟是怎样的形态。

「安全定义边界」是5G时代必然趋势

“4G改变生活,5G改变社会”,5G时代社会的改变深入到各行各业,云网协同的新基础架构使产业发生深刻的变化。5G时代将会实现真正的三网融合,标准、封闭的通信协议和通信网络开放成软件定义的网络后,数据的入口和各种接入发生天翻地覆的变化,市场的参与者从只有通信设备厂商变成向所有IT人开放的新型蓝海。

2019年,亚信安全提出「无安全,不5G」,因为5G的低时延、大连接将给网络安全架构带来巨大的改变,以万亿级计算的设备连接在一起会出现各种安全问题和挑战。5G云网协同直接深入到生产、供应链、金融、自己内部运营管理环节,对企业安全边界的划分越来越模糊。

WechatIMG141.jpeg

陆光明强调,「安全定义边界」并非一个临时的想法,而是跟5G所驱动的产业互联网加速有强大的关联关系。安全定义边界对于亚信安全或者对于网络安全行业,是必然的趋势,对于亚信安全来讲是在自己的产品战略、技术战略和市场战略会坚定的未来的三五年去执行这个战略。

5G给安全行业带来的新契机

从5G概念出现以来,国内一直大力推动5G技术发展。在2020年,工信部、国家发展改革委等多个部门都出台过关于5G建设的相关通知及规范。4月20日,国家发改委首次明确「新基建」的范围,其中5G被纳入信息基础设施类核心要素,被视为加速赋能‘新基建’其他领域的基础支撑。

与此同时,工业互联网、车联网、智慧医疗等5G应用场景蓄势待发,各行各业对于5G时代的未来都充满期待。但无论未来如何,5G的发展始终绕不开安全问题,这对于网络安全产业来说,既是挑战也是新的契机。

陆光明表示,对于运营商而言,5G势必会产生庞大的新型市场,不管是边缘云还是5G核心网层都会出现大量新的安全挑战和机会;而在应用场景上,5G将带来数万亿行业应用投资,当杀手级行业应用出现,势必对更实时、更智能等基于5G云网能力的强烈需求,而这也将是亚信安全和合作伙伴共享的市场空间。

5G安全面临的挑战

5G对于各行业而言都是新的概念,对于安全攻防两端都会是一种新的体验,更多的在于其自身特性所带来网络架构、应用场景上的变化。亚信安全CTO薛辉认为,从安全运营的角度,面临的首要挑战是5G核心网和用户链,需要保证不管是上大网还是边缘云,始终保持高质量通路。很多人认为这是设备厂商应该考虑的问题,这种观点只限于运营商级别的网络。而应对一些5G专网,例如园区、工厂,专网的安全性往往处于更严峻的威胁形势之下。

其次,现有的一些安全方案会通过划分安全域,实现比较灵活、针对性的安全部署;其次,对于云网一体化,云随时可以作为网络而呈现,算力随时可以作为网络的提供者,云的算力又随时可能被网络投放到不同的地方,特别是边缘计算的节点,这个属于从很多角度都无法隶属。有数据表明,在某些边缘计算节点使用极少,产生的数据又不便于审计和擦除,这牵涉很多安全问题。从「安全定义边界」的角度。5G时代多数时候边界会外移,外移之后怎么有效管理才能让业务跑在足够安全的边界范围之内,这也是需要谨慎应对的问题。

最后,在5G的三大应用场景(eMBB、URLLC、mMTC)中,每个不同的切片场景对应不同的服务等级,需要通过怎样的手段进行安全能力头发以及安全管理如何进行,可能是还需深入研究的方向。

总结

当我们向往 5G 新时代、憧憬中国在 5G 时代走在前面的时候,云网一体的安全也必须跟上时代。

作为「最懂网+最懂云」的安全公司,亚信安全在运营商市场有着独特的优势和丰富的经验。陆光明预测,由于切片网络带来的产业应用对安全产生的刺激性需求,将会带动数万亿行业应用投资。综合观察未来五年内的 ICT 市场增速和机遇,亚信安全及其合作伙伴将有机会享受最大的行业爆发红利。

*本文作者:shidongqi,转载请注明来自FreeBuf.COM

【全球动态】

1.澳大利亚程序员逆向工程官方的接触者追踪应用

软件开发者 Matthew Robbins 发现,该应用能将数据安全地存储在用户手机上,仅记录来自同样安装了该应用的其他手机的信息,在 21 天后会自动删除所有记录,且仅在用户允许的情况下才会将数据上传给卫生部门。他认为该应用值得安装。 [阅读原文]

2.工信部、广电总局: Q3末全面完成网络基础设施IPv6改造

近日,工业和信息化部办公厅、国家广播电视总局办公厅联合发布了关于推进互联网电视业务IPv6改造的通知。通知做了三点要求,其中特别提到,2020年三季度末,运营商要全面完成网络基础设施IPv6改造。[阅读原文]

3.以色列政府称本国水处理公司已遭攻击,督促更改联网系统密码

以色列国家网络局 (INCD) 发布安全警告称,正在督促能源和水行业企业更改所有联网系统的密码。如密码无法修改,则建议关闭这些系统并等待恰当的安全系统到位。[阅读原文]

4.英国NHS拒绝部署苹果&谷歌的接触者追踪技术

英国国家医疗服务体系(NHS)表示,该机构将利用自己的集中式接触者追踪系统,而不是部署苹果和谷歌正在开发的曝光通知技术。与苹果/谷歌的合作方式不同,NHS的应用程序将看到iPhone和Android手机不断向英国政府维护的中央数据库报告。[阅读原文]

5.国务院常务会议部署加快推进信息网络等新型基础设施建设 推动产业和消费升级

国务院总理李克强4月28日主持召开国务院常务会议,听取2019年全国两会建议提案办理情况汇报,促进科学民主决策、提升政府治理效能;部署加快推进信息网络等新型基础设施建设,推动产业和消费升级。[阅读原文]

【安全事件】

1.6年勒索软件Shade公布75万个解密密钥

Shade首次出现大约在2014年底,主要针对运行 Microsoft Windows 的主机。近期该软件背后的黑客团队会声明结束Shade的运营,并且在 GitHub 平台发布75万个解密密钥。此外,在声明中他们还表达了对受害者的歉意,表示受影响的用户都可以通过解密密钥来恢复此前被该软件加密的文件等。[阅读原文]

2.B站知名up主遭勒索

4月27日晚,B站up主——机智的党妹(粉丝557万)发布了一条视频《我被勒索了!》。通过日志仅能查到IP位于北京的一家图书馆(但IP也很有可能是伪造的)。而此次攻击疑似利用Buran勒索病毒。[阅读原文]

3.两行代码构成的 npm 包影响到了数百万项目

一个 npm 小项目的更新给整个 npm 生态系统制造了一场混乱,影响到了数百万 JS 项目。名叫 is-promise 的库包含了两行代码,其它项目可通过一行代码调用使用该库。它的功能是让开发者测试一个 JS 对象是否是 Promise。尽管这个库只有两行代码,但它却是最流行的 npm 包之一,被超过 340 万个项目使用。[阅读原文]

4.谷歌Play Store新漏洞导致相同版本的应用重复更新

谷歌应用商店Google Play Store出现了一个新的bug,导致一些应用在Google Play Store当中反复显示有相同版本的可用更新。用户报告受影响的应用主要包括YouTube TV、Google Docs、Google Docs、Sheets、Slides、Gmail等第一方应用。[阅读原文]

5.亚马逊滥用商家数据 美议员要求司法部展开调查

据国外媒体报道,美国密苏里州共和党参议员乔希·霍利(Josh Hawley)今日敦促美国司法部对亚马逊展开刑事调查,因为后者正使用掠夺性和排他性的数据做法来打造和维持其垄断地位。[阅读原文]

6.CNNIC第45次调查报告:网站安全与漏洞

截至2019年12月,国家计算机网络应急技术处理协调中心监测发现我国境内被篡改网站185573个,较2018年底(7049个)增长较大;被植入后门的网站数量达到84850个,较2018年底(23608个)增长259.4%;国家信息安全漏洞共享平台收集整理信息系统安全漏洞16193个,较2018年(14201个)增长14.0%。[阅读原文]

7.WordPress插漏洞允许黑客创建恶意管理帐户

实时查找和替换 WordPress 插件中的一个错误可能允许黑客在超过 100,000 个站点上创建恶意管理员帐户。该漏洞是由 Wordfence 研究人员发现的,它是一个跨站点请求伪造缺陷,可能导致存储的跨站点脚本 (存储 XSS) 攻击。攻击者可以通过单击评论或电子邮件中的恶意链接,=诱使 WordPress 管理员将恶意 JavaScript 注入其网站的页面。[外刊-阅读原文]

【优质文章】

1.流量分析在安全攻防上的探索实践

网络流量分析既指特定用途的硬件设备(如绿盟的NTA),也指基于网络层的安全分析技术,在FW\IDS\IPS中很常见。相比于主机层、应用层是以日志、请求等为分析对象,流量分析面对的是更底层的网络数据包,所包含的信息元素更多,但是分析起来也更加生涩。流量分析已被应用于多个领域,如带宽资源的合理性管控、网络链路排障以及本文所要探索的安全攻防领域。[阅读原文]

2.传统岗位新挑战:信息安全之路

作为一个安全负责人同时要支持技术线,业务线,数据线等多条线,要面临太多太多的挑战,传统的安全模式和服务已经远不能满足现实的情况,这也是为什么很多互联网公司或甲方公司要建设自己的安全部门或团队的原因,自己的问题自己解决。[阅读原文]

3.新形势下更需加强网络安全应急管理

这场公共卫生领域的重大疫情事件给网络安全业界也敲响了警钟,业界在积极投入“抗疫”工作的同时,开始警醒我国网络安全领域的应急体系面对这样的重大考验时,是否能够做到从容不迫,及时处置。显然,建立健全网络安全风险应急工作机制,“防患于未然”,甚至做好“亡羊补牢”,是当前社会必须重视和加紧推进的工作。[阅读原文]

*本文内容收集自全球范围内的媒体与刊物,制作者对其完整性负责,但不对其真实性和有效性负责。

*标注为【外刊】的内容主要来源为英语国家的媒体与刊物,部分内容需要注册免费账号后方可阅读。