日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

本周，我們不談Struts2補(bǔ)丁漏洞的繞過問題，無論度娘還是谷歌，類似的文章不要太多。我們從更廣泛的角度談?wù)剶?shù)據(jù)泄漏這個(gè)老話題。你知道嗎，黑闊對(duì)POS系統(tǒng)的入侵，51%是秒入。而防護(hù)一方，85%的響應(yīng)時(shí)間以周來計(jì)算。這還叫什么防護(hù)?

創(chuàng)新互聯(lián)公司長期為上千家客戶提供的網(wǎng)站建設(shè)服務(wù)，團(tuán)隊(duì)從業(yè)經(jīng)驗(yàn)10年，關(guān)注不同地域、不同群體，并針對(duì)不同對(duì)象提供差異化的產(chǎn)品和服務(wù)；打造開放共贏平臺(tái)，與合作伙伴共同營造健康的互聯(lián)網(wǎng)生態(tài)環(huán)境。為旅順口企業(yè)提供專業(yè)的網(wǎng)站設(shè)計(jì)、做網(wǎng)站，旅順口網(wǎng)站改版等技術(shù)服務(wù)。擁有十余年豐富建站經(jīng)驗(yàn)和眾多成功案例,為您定制開發(fā)。

Verizon 2014 Data Breach Investigations Report

也許是Target和Michaels距離我們很遠(yuǎn)的緣故，國內(nèi)真正關(guān)注和研究上述兩家公司在去年底和今年初發(fā)生的數(shù)據(jù)泄漏事件的資料并不多。然而，事實(shí)上這兩個(gè)公司發(fā)生的用戶信息泄露事件是非常嚴(yán)重的。Target用戶支付卡信息泄露涉及4000萬個(gè)卡和1.1億的用戶，而且這些卡信息還是在購物旺季丟失的，因此其價(jià)值不可估量。Michaels是美國第一大工藝品銷售連鎖商店，在美國和加拿大有超過1100家連鎖店。Michaels的用戶信息泄露規(guī)模到底有多大還沒有一個(gè)明確的結(jié)論。入侵很可能是來自跨國黑客組織。這和Target的事件很相像。在Target和Michaels數(shù)據(jù)泄漏事件發(fā)生的同時(shí)，另一家美國著名奢侈品商店——Neiman Marcus也發(fā)生了用戶信息泄露事件，據(jù)稱，受影響的用戶達(dá)到110萬。

在本周，美國運(yùn)營商Verizon發(fā)布了“2014 Data Breach Investigations Report ”(以下簡稱DBIR)。作為美國最大的本地電話和無線通信運(yùn)營商和市值已超過谷歌的巨無霸，其年度數(shù)據(jù)泄露調(diào)查報(bào)告在數(shù)據(jù)安全領(lǐng)域具有很重要的參考價(jià)值。

首先，看看DBIR的貢獻(xiàn)者列表就已經(jīng)非常震驚了：

毫無疑問，這是一個(gè)幾乎完美的全集：包括安全機(jī)構(gòu)在內(nèi)的政府部門，金融機(jī)構(gòu)、通信運(yùn)營商、大型企業(yè)、安全研究機(jī)構(gòu)、安全公司、商業(yè)咨詢公司。

從數(shù)據(jù)的來源看，DBIR這份報(bào)告更是貨真價(jià)實(shí)。報(bào)告收集的數(shù)據(jù)跨度長達(dá)10年，有來自全球的50家企業(yè)為報(bào)告提供數(shù)據(jù)資料。報(bào)告對(duì)1367起已確定的與數(shù)據(jù)泄露相關(guān)事件、63437起攻擊事件進(jìn)行了分析，事件涉及95個(gè)國家。

這份長達(dá)60頁的年度報(bào)告中最有價(jià)值的內(nèi)容，毫無疑問，是Verizon在分析重大的數(shù)據(jù)泄漏和攻擊事件后，根據(jù)攻擊模式把數(shù)據(jù)泄露威脅劃分為9大類：分別是：

- PoS系統(tǒng)入侵(POINT-OF-SALE (POS) INTRUSIONS)
- Web應(yīng)用攻擊(WEB APP ATTACKS)
- 內(nèi)部人員/權(quán)限濫用(INSIDER AND PRIVILEGE MISUSE)
- 物理偷竊/丟失(PHYSICAL THEFT AND LOSS)
- 各種失誤(MISCELLANEOUS ERRORS)
- 犯罪軟件(CRIMEWARE)
- 支付卡信息竊取(PAYMENT CARD SKIMMERS)
- 網(wǎng)絡(luò)間諜(CYBER-ESPIONAGE)
- 拒絕服務(wù)攻擊(DENIAL OF SERVICE ATTACKS)

DBIR中對(duì)上述威脅分析的角度也是非常豐富的，包括內(nèi)外部因素、攻擊動(dòng)機(jī)、攻擊頻率、被攻擊的資產(chǎn)、數(shù)據(jù)類型等方面。下面列舉了部分分析和結(jié)論數(shù)據(jù)。

內(nèi)外部因素

攻擊動(dòng)機(jī)

攻擊事件分布頻率

被攻擊資產(chǎn)變化

在報(bào)告中，對(duì)于上述每一項(xiàng)威脅分類還有具體的分析和闡述，以POS系統(tǒng)入侵為例，下面列舉了主要的分析數(shù)據(jù)：

排名前10的攻擊方式

入侵手段

攻防時(shí)間窗

這里特別要說一下攻擊時(shí)間窗這個(gè)數(shù)據(jù)。從DBIR的分析來看，攻擊與防護(hù)的對(duì)抗，單純從時(shí)間這個(gè)角度來看，防護(hù)一方幾乎是完敗。對(duì)POS系統(tǒng)的入侵，51%是秒入(主要原因是密碼丟失或弱口令)，而防護(hù)一方，85%的響應(yīng)時(shí)間以周來計(jì)算。按照DBIR的解釋，當(dāng)攻擊一方在各個(gè)渠道公布或銷售獲取到的數(shù)據(jù)后，防護(hù)一方才意識(shí)到自己的數(shù)據(jù)被盜了。

總之，這是一份非常NB的報(bào)告。這是一份不可不讀的報(bào)告。

2014 Data Breach Investigations Report報(bào)告的下載鏈接：http://pan.baidu.com/s/1eQ7TNXo (無需注冊(cè)，直接下載)

其他

[希拉里批評(píng)斯諾登幫了恐怖分子的忙]希拉里在康涅狄格州大學(xué)(University of Connecticut )回答媒體的問題時(shí)，批評(píng)了斯諾登的泄密行為。她認(rèn)為斯諾登本可以在暴露NSA的眾多問題后獲得很好的幫助，而不是跑到XX和俄羅期去。更為嚴(yán)重的是，斯諾登泄露的很多絕密信息幫助了恐怖組織。因此，希拉里稱，就這樣一個(gè)人竟然獲得了俄羅斯的難民保護(hù)真是不可思議。

[NIST最終放棄了“NSA后門”]在微軟工程師Dan Shumow 和Niels Ferguson在2007年曝光 Dual_EC_DRBG 算法存在問題的8年后，NIST(National Institute of Standards and Technology，隸屬美國商務(wù)部)終于下定決心把Dual_EC_DRBG 從隨機(jī)數(shù)生成算法中拿掉。這個(gè)算法在去年斯諾登曝光美國NSA與RSA存在1千萬美元的桌下交易后，引起了整個(gè)安全行業(yè)的震驚和憤怒。為什么NIST決定放棄Dual_EC_DRBG花了這么多年。。。誰知道呢?

當(dāng)前標(biāo)題：一周海外安全事件回顧(2014.04.21-04.27)
分享URL：http://www.5511xx.com/article/djigejd.html