2022年04月03日
如果只是为了回答标题问题,两个字就可以:不是。
但还是想顺便说说,零知识证明(ZKP)究竟是什么。
虽然零知识证明和零信任这两个词,都带有“零”,都与“信任”有关,但并不是一回事。两者本质上都要增强「信任」,但在增强「信任」的过程中,零知识证明强调不泄露知识;零信任强调不要过度授权。简单说,零知识是为了隐藏知识;零信任是为了控制信任。
零知识证明解决了信任与隐私的矛盾:既通过「证明」提升「信任」,又通过「零知识」保护「隐私」。是两全其美的方案。
2022年04月03日
Forescout研究实验室与JFrog安全研究人员发现了影响NicheStack TCP/IP栈的14个安全漏洞,这14个安全漏洞被命名为INFRA:HALT。攻击者利用这些漏洞可以实现远程代码执行、DoS、信息泄露、TCP欺骗以及DNS缓存投毒。
NicheStack是许多关键基础设施单元中常见的OT设备,因此大多数OT设备厂商收到这些漏洞的影响。
INFRA:HALT漏洞
这14个漏洞包括远程代码执行漏洞、DoS、信息泄露、TCP欺骗等,影响DNSv4、HTTP、TCP、ICMP等模
2022年04月03日
目前,一些中小企业以及初创公司,往往不太注重网络安全建设,认为自身企业与其他大公司甚至上市公司不同,对于黑客来说没有利用价值,因此不愿意花费过多的时间和成本投入在网络安全建设上。这种错误的想法往往会给企业带来危害,企业虽小,但不意味着你不在攻击范围内。
黑客随时随地扫描互联网,时刻寻找他们可以利用的漏洞,中小企业以及初创公司并不能免受网络攻击。
随着网络安全相关法律的颁布与实施,网络安全越来越被重视,很多企业也意识到网络安全的重要性,这意味着网络安全正成为一个重要推动环节。
一、关于网络安全评
2022年04月03日
7月5日,网络安全审查办公室宣布对“运满满”“货车帮”“BOSS直聘”实施网络安全审查。为配合网络安全审查工作,防范风险扩大,审查期间“运满满”“货车帮”“BOSS直聘”停止新用户注册。
7月10日,网信办发布关于《网络安全审查办法(修订草案征求意见稿)》公开征求意见的通知,征求意见稿增加了“掌握超过100万用户个人信息的运营者赴国外上市,
2022年04月03日
2021年8月4日,《人民日报》头版发布《中国共产党党内法规体系》一文。与此同时,《中国共产党党内法规汇编》由法律出版社公开出版发行,该书正式解密公开了《党委(党组)网络安全工作责任制实施办法》(以下简称“《实施办法》”)。
《实施办法》作为《中国共产党党内法规体系》唯一收录的网络安全领域的党内法规,它的公开发布将对厘清网络安全责任、落实保障措施、推动网信事业发展产生巨大影响。
《实施办法》从责任主体、责任范围、责任事项、问责主体、启动问责的条件、问责措施等角度对网络安
2022年04月03日
CVE-2021-20090是一个由Tenable发现并在2021年8月3日公布的漏洞。现在,研究人员发现了其正在被在野利用。
该漏洞是一个路径绕过漏洞,可导致认证绕过,攻击者可以利用其接管受影响设备的控制权。
根据 Tenable 的相关信息披露,CVE-2021-20090 漏洞被发现实际存在于 Arcadyan 固件中,这不仅影响了最初发现的 Buffalo 路由器,还影响了更多的设备。
影响范围如下所示:
在野利用
Juniper 威胁实验室近期也发现攻击者正在在野利用编号为
2022年04月03日
随着移动通信、云计算、大数据以及物联网技术的发展,新一代网络攻击技术也在持续演进,0day、无文件攻击等使今天的网络攻击变得更加隐蔽;不断更新的变种使木马、病毒、蠕虫等恶意文件难以识别和检测;而网络攻击即服务使高级攻击的门槛变得更低。
传统的安全防护能力正在不断减弱,勒索服务、供应链攻击成了当今网络安全威胁的新常态。高级威胁攻击就像一把高悬在头顶的“达摩克利斯之剑 ”,让很多企业在数字化转型中感到不安。
图 1 企业面临的高级威胁攻击
为了帮助我国企业用户更好地应对
2022年04月03日
所谓网络勒索,其实质是一种网络犯罪活动,网络勒索者通过勒索软件对企业造成攻击事实或攻击威胁,然后向企业提出金钱要求以避免或停止受到攻击行为。
勒索软件,又称勒索病毒,是一种恶意软件,其工作方式基本与计算机病毒类似。不过,与一般的计算机病毒不同的是,它通常不会直接破坏数据,而是将数据进行加密锁定,然后要求被勒索者支付赎金,否则不予解密或者威胁将数据公开或者销毁。
一场新的勒索行动正在实施
2021年5月,一个名为DarkSide的黑客团伙侵入美国最大的燃料管道运营商科洛尼尔公司。据悉,在这次网络
2022年04月03日
Check Point Research团队在今年对Kindle的研究中发现,受害者一旦打开一本恶意电子书便会触发漏洞利用链。如果不慎被利用,这些漏洞将支持攻击者完全控制用户的 Kindle,进而窃取 Amazon 设备令牌或设备上存储的其他敏感信息。CPR已经负责任地向 Amazon 披露了其调查结果,Amazon 随后部署了修复程序。据估计,自 2007 年问世以来,Kindle 已经售出数千万台。
CPR 计划在今年的拉斯维加斯 DEF CON 大会上演示这一漏洞利用手段。
电子书
2022年04月03日
自从Gartner将SASE定义为将网络安全功能和WAN结合在一起的新领域以来,SASE已经成为了一个热点话题。每个人都认同SASE从理论上很有价值,但当要将理论上的框架落到IT实践的时候,就会有各种误区。以下是三个甲方因为对SASE过于理想化而产生的误区。
误区一:SASE必须零菊花链
Gartner在2019年的企业网络成熟度曲线中的一个队虚拟机服务链(菊花链)的警告,有时候会误导人们:“软件架构和部署非常重要。需要注意厂商会通过(虚拟机)服务链连接大量的功能,尤其当产品来自不