胡鑫宇事件新闻发布会:那只高举的手

百思不得其解,为什么要让胡鑫宇的家属签保密承诺书?

母子乱伦:和儿子做了,我该怎么办?

叶家松:建议授予铁链女“英雄母亲”称号

去泰国看了一场“成人秀”,画面尴尬到让人窒息.....

自由微信安卓APP发布,立即下载! | 提交文章网址

代码卫士

VMware Workstation中存在高危的提权漏洞

报告的。该安全公司指出,漏洞可被攻击者将权限提升至系统权限,并提到将在不久发布技术详情。虽然该漏洞可能永远不会遭在野利用,但最近该公司修复的多个vRealize
2月6日 下午 7:50

Jira 服务管理中存在严重漏洞

修复多个严重漏洞原文链接https://thehackernews.com/2023/02/atlassians-jira-software-found.html题图:Pixabay
2月6日 下午 7:50

几乎所有企业都与受陷第三方之间存在关联

库中存在严重漏洞命令注入漏洞可导致思科设备遭接管,引发供应链攻击命令注入漏洞可导致思科设备遭接管,引发供应链攻击PyTorch
2月6日 下午 7:50

F5 BIG-IP 高危漏洞可导致拒绝服务和代码执行

版本13.1.5、14.1.4.6到14.1.5、15.1.5.1到15.1.8、16.1.2.2到16.1.3和17.0.0版本。目前该漏洞尚无补丁,不过F5
2月3日 下午 6:13

美国CISA将设立供应链风险管理办公室

计划设立专门帮助公私营行业保护软件和IT供应链安全的办公室。该办公室将帮助组织机构执行最近发布的与管理网络安全供应链风险相关的CISA策略和指南,如与恶意功能、伪造组件或开源软件
2月3日 下午 6:13

热门开源Dompdf PHP 库中存在严重漏洞

2.1即用PHP编写的HTML层和渲染引擎。它是一款式样驱动的渲染器,将下载并读取外部的单个HTML元素的样式表、内联样式标记和样式属性。它还支持多数表示性HTML属性。在
2月3日 下午 6:13

热门开源软件ImageMagick中出现多个新漏洞

将恶意图像上传到网站才能远程利用这些漏洞。特殊构造的图像可通过插入指定攻击者所选的某些元数据文本块的方式创建。研究员在报告中指出,“如果特定的文件名是’-‘(单个短横),则ImageMagick
2月2日 下午 6:41

命令注入漏洞可导致思科设备遭接管,引发供应链攻击

管道的供应链攻击五眼联盟:管理服务提供商遭受的供应链攻击不断增多趁机买走热门包唯一维护人员的邮件域名,我差点发动npm
2月2日 下午 6:41

AMI MegaRAC BMC软件再曝2个供应链漏洞

软件中又出现两个供应链漏洞,而在两个月前,该产品中就被指存在三个漏洞。固件安全公司
2月1日 下午 7:17

GitHub Desktop和Atom用户的代码签名证书被盗

所拥有的组织机构。这些组织机构的仓库据称是由与某机器账号存在关联的受陷个人访问令牌在事件发生一天前克隆的。这些仓库中均未包含客户数据,而受陷凭据已被撤销。GitHub
2月1日 下午 7:17

Realtek 漏洞遭利用:物联网设备受攻击次数超过1.34亿次

42团队指出,正在发生的攻击活动自2022年12月起就已达到创纪录的1.34亿次利用尝试,而97%的攻击活动发生在过去的四个月里。其中近50%的攻击活动源自美国
1月31日 下午 6:48

俄罗斯版“谷歌”Yandex源代码遭泄露

Metrika(互联网分析)Shestakov还在GitHub上共享了被泄露文件的目录列表,他提到,“其中至少存在一些API密钥,但可能仅用于测试开发。”Yandex
1月29日 下午 5:30

奇安信入选全球《软件成分分析全景图》代表厂商

2023奇安信“科技冬奥”项目成果亮相国家科技计划成果路演行动奇安信“科技冬奥”项目成果亮相国家科技计划成果路演行动奇安信代码安全实验室研究成果入选Black
1月28日 上午 10:45
1月22日 下午 4:10

GitHub Codespaces 可被滥用于托管和传播恶意软件

中的“开发容器”是一个预配置容器,包含特定项目所需的所有必要依赖和工具。攻击者可通过该容器进行快速部署,和他人分享或者通过VCS进行连接。攻击者可使用脚本转发端口、运行Python
1月20日 下午 1:11

Juniper 一月安全更新修复200多个漏洞

公司的安全公告并采取必要措施。代码卫士试用地址:https://codesafe.qianxin.com开源卫士试用地址:https://oss.qianxin.com推荐阅读Juniper
1月16日 下午 6:05

CircleCI、LastPass、Okta和Slack安全事件:攻击者正瞄准核心企业工具

立即判断事件影响范围、限制攻击者修改软件项目的能力并判断哪些开发机密受陷。与此同时,CircleCI更改了认证令牌、修改了配置变量、和其它提供商携手处理密钥过期事件并继续开展调查。CircleCI
1月16日 下午 6:05

思科不打算修复SMB路由器中严重的认证绕过漏洞

exploit,思科仍然不打算修复。漏洞如遭成功利用,可导致攻击者窃听或劫持VPN和会话流量,在企业网络中进行横向移动站稳脚跟或者运行密币挖矿僵尸网络客户端或其它恶意软件。Bugcrowd
1月13日 下午 5:50

2023 Pwn2Own 温哥华大赛公布目标和奖金

Workstation,奖金分别为15万美元和8万美元。微软也回归,将为成功的Hyper-V客户端guest-to-host提权提供25万美元的奖励,是虚拟机类的最高奖金额。OracleBox
1月13日 下午 5:50

硬件漏洞无法修复,西门子PLCs易遭攻击

(PLCs)。该漏洞是CVE-2022-38773,可导致攻击者绕过受保护的启动特性并可能修改控制器的操作代码和数据。研究人员指出,漏洞是由于西门子Simatic和Siplus
1月12日 下午 5:47

黑客正在利用严重的Control Web Panel RCE漏洞

(CVE-2022-44877)。该漏洞可导致在可疑服务器上提升权限和执行未认证的远程代码。该漏洞的CVSS评分为9.8,影响CWP
1月12日 下午 5:47

Python 中存在原型污染漏洞变体

中执行的路径遍历防御,从而导致本地文件披露和包含。攻击者无需被限制到模板目录,即可从任意本地目录中加载文件。远程命令执行:通过覆写COMSPEC或PATH环境变量。Khaled
1月11日 下午 5:28

Zoom 修复Windows 和 MacOS 平台上的多个高危漏洞

安装程序中的本地提权漏洞(CVSS评分8.2),影响早于5.13.0的版本,本地低权限用户可利用该漏洞将权限提升至系统用户权限。CVE-2022-36929是位于Zoom
1月11日 下午 5:28

2023年1月微软补丁星期二值得关注的漏洞

升级操作。微软还说明了详细操作。CVE-2023-21763/CVE-2023-21764是位于微软Exchange
1月11日 下午 5:28

热门开源库 JsonWebToken 存在RCE漏洞,可引发供应链攻击

所开发和维护,在NPM包仓库上的周下载量已超过900万次,已有超过2.2万个项目在使用它。成功利用该漏洞可导致攻击者绕过认证机制、访问机密信息以及窃取或修改数据。然而,发现该漏洞的Palo
1月10日 下午 5:57

攻击者已利用ChatGPT编写恶意代码

在2022年11月发布ChatGPT以来,安全研究人员就预测称,网络犯罪分子开始利用这个AI聊天机器人编写恶意软件和执行其它恶意活动就只是时间问题。就在几周后,貌似这个时间已到。Check
1月10日 下午 5:57

Slack 的GitHub 私有仓库被盗

在另外一起安全事件中不慎泄露密码哈希后重置了用户密码。丝毫不令人惊奇的是,那次公告也被打上了”noindex”的标记(美国和国际版均如此)。2019年,Slack
1月6日 下午 6:51

丰田、奔驰、宝马等API漏洞暴露车主个人信息

疑遭勒索攻击,被威胁泄露商业机密因供应商遭不明网络攻击,丰田汽车宣布停产金融服务业遭受的
1月5日 下午 6:13

Fortinet 两款产品FortiTester和FortiADC中存在高危命令注入漏洞

公司并未提到这些漏洞已遭利用。代码卫士试用地址:https://codesafe.qianxin.com开源卫士试用地址:https://oss.qianxin.com推荐阅读Fortinet
1月5日 下午 6:13

研究人员发现Google 智能扬声器中的多个漏洞,获奖超10万美元

Home设备,发送非认证数据包,断开设备连接,之后连接到设备自身网络来请求设备信息。接着,攻击者可通过所获取信息,通过互联网将账户连接到设备。Kunze
1月4日 下午 5:38

Synology 修复严重的VPN路由器漏洞,CVSS评分10分

是一款虚拟的私有网络服务器,可使管理员将Synology路由器设置为VPN服务器,从而远程访问路由器背后的资源。该漏洞可用于低复杂度的攻击活动中,无需目标路由器的权限或用户交互。Synology
1月4日 下午 5:38

PyTorch 披露恶意依赖链攻陷事件

索引会采取优先级,该恶意包而非官方仓库中的包被安装。这种设计使得有人可以注册与第三方索引中名称一样的包,而pip会默认安装恶意版本。”在本文成稿时,该恶意
1月3日 下午 6:27

极限挑战 极致突破——奇安信的2022

2022年,终于要说再见了。这一年,现实世界波澜壮阔。从无与伦比的北京冬奥会,到精彩绝伦的卡塔尔世界杯;从阴霾不散的经济危机,到焦灼反复的新冠疫情;从神舟十四的成功返航,到党的二十大胜利召开……这一年,有太多历史值得铭记。这一年,网络世界暗流汹涌。元宇宙不再只是少数人的理论,俄乌冲突将虚拟世界嵌入现实;全域复合战争已经发生,虚拟货币全球崩盘;漏洞超越“核武”成为最强军备,勒索走进企业成为经营常态;数据泄露风波未平,供应链攻击卷土重来……这一年,有太多问题需要面对。这一年,安全成为全社会的共识。党的二十大报告中,91次提及安全,29次提及国家安全。面对百年未有之大变局加速演进,我国国家安全内涵和外延比历史上任何时候都要丰富,时空领域比历史上任何时候都要宽广,内外因素比历史上任何时候都要复杂。这一年,网络安全已成为发展的先决条件。当传统安全威胁与新型网络安全威胁相互交织,当网络空间对抗成为大国博弈的常态化手段,没有网络安全就没有国家安全,也就没有社会安全,没有人民安全。这一年,我国加快推进网络安全领域顶层设计。实施了5年多的《网络安全法》迎来了首次修改,进一步压实网络安全责任;《网络安全审查办法》发布,网络安全风险防范能力不断强化;对网络安全违规事件的审查和处罚力度也不断加强,国家、企业、个人各类网络行为得到规范。图:奇安信集团董事长齐向东当选全国工商联副主席(来源:央视《新闻联播》)这一年,奇安信集团的领头人齐向东,作为优秀企业家代表,成功当选了全国工商联副主席,抒写着网安人的荣耀和传奇;这一年,10000+奇安信人在顺境中御风而行、乘风破浪,在逆境中迎难而上、奋勇前行,创造了北京冬奥“零事故”的世界纪录,驶入了国际化的万亿蓝海。站在年终岁末,我们写下5个故事,致敬这不平凡的2022。故事1:高质量发展的22个亿元军团,由他们组成“又是一个亿元大单!而且还是海外某国家首都城市网络安全指挥中心建设项目,这是奇安信军团战略落实以来,又一次重大突破!”作为军团总负责人,奇安信集团总裁吴云坤显然对今年军团模式的连战连捷,颇为自信。在吴云坤看来,2022年,是奇安信集团实施高质量发展战略的关键一年。从年初成立军团委,面向22个重点领域和重点行业组建了22个军团,以小切口带动大突破,并构建满足客户复杂需求的一体化生产管理组织,深耕重点领域,由此拉开了营销体系变革的序幕,吹响了加速高质量发展的号角。图:奇安信集团总裁吴云坤参加2022世界互联网大会发表演讲“效果是显著的,2022年我们拿下了多个亿元大单,这在以往是难以想象的。尤其是在2000万美元的海外项目中,我们集中的最优秀的销售专家、规划设计专家、产品专家和平台专家克服疫情影响,一起出差到客户本地,确保了项目顺利进行,赢得了客户认可。这就是军团模式的优势体现”。何为军团模式?吴云坤认为,军团的本质是围绕关基领域的重点行业和重点客户,深挖客户的个性需求,从规划网络安全体系建设入手,利用公司冬奥零事故的经验优势,打通销售、产品、研发、服务等内部多环节,合理高效地调配资源,同时充分利用研发平台量产的优势,为客户提供全面的具有攻防能力的个性化网络安全产品和服务,更好的解决客户的痛点和难点,深受行业客户认可。从供给侧看,军团模式提升了公司满足数字化时代客户对网络安全需求的综合能力。随着数字化转型的深入,客户复杂业务场景的安全需求越来越高,之前的标准化的产品和服务已无法满足。奇安信充分汲取冬奥项目的“零事故”成功经验,尤其对冬奥这种军团作战模式进行打法升华、复制推广,最终面向22个重点行业组建了22个军团,大大提升了满足这些行业网络安全需求的综合能力,22个军团500万以上大项目订单数量比2021年同期增长了103%。从需求侧看,军团模式引导客户从合规导向的标品购买,走向结果导向的体系建设运行。军团从之前的销售驱动模式向技术驱动型模式转变,通过主动把握和引导客户需求,为客户提供定制方案,帮助客户在体系化建设的同时建立实战化运行体系,使得整个安全系统有效运行起来,发挥应有的价值。比如,抓住客户攻防演习和二十大重保需求,将冬奥保障方案定制形成“小冬奥重保方案”,在2022年的攻防演习和二十大重保中,有超过200家关基客户选择了奇安信的“小冬奥重保方案”,确保了这些客户圆满完成了演习和保障任务。吴云坤认为,军团模式不仅极大提升公司对大型客户的项目实施能力,支撑了公司高质量发展目标的实现,更重要的价值是形成了从客户视角看问题,为公司营销体系变革,探索了路径,积累了经验。可以说,军团委全体战士在宏观环境和诸多客观因素影响的同时,为公司乃至整个行业发展模式变革都做出了有益的创新和探索。对于ICT行业而言,军团模式并不是新鲜事物,谷歌、华为和中国联通都已经进行了成功实践,但在网络安全领域奇安信是第一个“吃螃蟹者”。奇安信基于北京冬奥会保障中的军团作战模式和经验基础上,充分吸收和借鉴了谷歌、华为在信息化领域的成功经验,从而形成了满足新时期客户需求的具备网络安全行业特色的奇安信军团模式,为长期落后于信息化发展,“小零同”问题(小规模、零散化、同质化)严重的网络安全行业,探索了一条新发展路径。故事2:奥运史上的“零事故”世界纪录,由他们创造提到世界纪录,我们总能联想到赛场上运动健儿们的英姿。比如创造了9秒58百米世界纪录的飞人博尔特;比如28次打破世界纪录的“撑杆跳女王”伊辛巴耶娃。世界纪录的背后,是“更快、更高、更强、更团结”的奥运精神。2022年3月13日晚,北京冬残奥会落下帷幕,奇安信作为奥运史上首家网络安全官方赞助服务商,交上了北京冬奥会、冬残奥会网络安全保障“零事故”的答卷。3500多位奇安信安全工程师,800多天的日夜坚守,他们创造了奥运史上网络安全“零事故”的世界纪录。图:奇安信年会迎接开创网络安全“零事故”奥运历史的冬奥将士凯旋“冬奥重保带给公司的最大收获是什么?我认为是在超高风险、超大难度、超强压力条件下,奇安信综合安全保障能力得到了全面实践和检验。”北京冬奥组委技术部高级专家、奇安信集团副总裁张翀斌表示。超高风险!北京冬奥会面临前所未有的网络攻击威胁。里约奥运会、平昌冬奥会、东京奥运会等历届重大赛事,都发生过网络攻击造成直播故障或数据泄露的情况,而对于万众瞩目的北京冬奥,一旦攻击得逞,其后果不堪设想。从冬奥会开始到冬残奥会结束,奇安信累计监测到各类网络攻击超3.8亿次(含社会面),发现上千个攻击者组织、数万起APT组织活动事件……尤其是开幕式、闭幕式和重要赛事期间,攻击频次更密、强度更烈。在这样严峻复杂的网络风险中,奇安信人经受住了最严苛的考验。超大难度!安全保障面对前所未有的复杂度和挑战阻力。跨越百余公里的三个赛区、38个场馆,近百个国家数千名运动员的交流沟通、场馆协作需要依赖于大量先进的技术。开放式5G网络、云计算、物联网、人工智能等技术,200多项科技应用,使奥运网络系统空前复杂,因此牵涉到的责任相关方非常多,关心问题千差万别。“赛前会遇到这种情况,别人质疑我们方案,比如要求部分产品异构,即必须引入国外安全设备,尤其是临近比赛前要完成。这需要我们一方面给他们树立信心,更重要的是找到质疑方的担心点,通过技术和管理方案去解决,比如借助更多资源、备份机制、应急预案等等,办法总比困难多。”张翀斌特别提到,超大难度还体现在敢于对自己动刀子。“打铁还需自身硬,为了确保万无一失,我们要求所有参与冬奥项目的产品部门,都要用最高标准来挖掘自身漏洞。这是很艰巨的任务,但实践证明,这是零事故的必要保障。”超强压力!我们作出前所未有的“零事故”承诺。作为奥运史上首家网络安全赞助商,奇安信对冬奥做出了网络安全“零事故”的承诺,承担“完全的、彻底的、端到端”的责任,即“托底责任”。承诺就是责任,责任就是压力,对于冬奥重保的总带头人张翀斌来说,这是无数个不眠之夜。“假设是一定会丢失某些点,用多长时间发现,多长时间恢复业务,多长时间处置堵漏完毕,越到赛前越是睡不好觉,反复的实战演练和沙盘推演,包括和不同的攻击队进行面对面对弈,发现问题就最快速度解决。”“技术方案没有经过实践和检验都是空中楼阁;服务是人提供的,背后隐藏着人员能力培养、流程设计、团队组织、指挥调度等多方面工作,如此大规模的保障凸显了作为一家公司的综合作战能力,更为整个行业带来了信心:以‘中国模式’‘中国框架’‘中国服务’‘中国产品’组成的网络安全‘中国方案’,被验证是成功的!”张翀斌如此总结冬奥带给行业的巨大价值。北京冬奥组委给奇安信发出了感谢函:“本届冬奥会是奥运历史上首次真正意义地对网络安全进行系统性、全局性的统筹谋划;也是近几年我国唯一的大型实战化网络安全考验”。整个2022年,奇安信陆续展开了数百场冬奥经验交流会,包含金融、通信、水利、电力、医疗等众多重点关基行业,推广冬奥成功经验,众多单位已开始利用冬奥“零事故”的中国方案,完善网络安全建设,向“网络强国”目标迈进。故事3:开辟万亿国际化新蓝海,由他们启航以“让网络更安全,让世界更美好”为使命,以“成为全球第一的网络安全公司”为愿景,在官网、展会活动等无数场合,总能看到奇安信的企业使命与愿景。加快国际化,为世界各国客户提供先进的网络安全产品与服务,成为公司的重要战略之一。据IDC预测,2025年全球网络安全产业规模将达到2114亿美元,折合人民币超13000亿。而同期中国网络安全总体市场规模将超214亿美元,约为全球的1/10。因此,要成为“全球第一”,拓展万亿规模的海外市场无疑是必经之路。对于刚当选全国工商联副主席的奇安信集团董事长齐向东来说,身为中国ICT行业和民营经济发展的见证者、亲历者、推动者,肩负着“弘扬企业家精神、加快建设世界一流企业”的政治责任感和使命感,需要充分发挥网安龙头企业的标杆带头作用,率先“出海”开疆扩土,履行企业使命和责任。从社会责任到家国情怀,从带领行业开拓蓝海到寻找企业增长的第二曲线,奇安信从2019年开始就将国际化列为公司重要战略。短短4年内,国际化接连奏凯,捷报频传,尤其在2022年,奇安信的海外新签订单相比去年同比增长100%,其中不乏过亿大单。图:国际化团队出征海外某国网络安全大型项目不过,在国际化业务负责人何瑞看来,订单与成绩只是表象,更深层次来看,国际化的收获还远不止此。第一份收获是通过与国际巨头同台竞技,打出了中国网络安全公司的口碑。国际市场是一个强手如林的大舞台,奇安信要取得一席之地,就必须有能与美国、俄罗斯、以色列等国际巨头公司相媲美的产品技术。经过数年短兵相接,奇安信领先的产品技术、集成、交付和服务能力,已获得充分验证。例如在总额达1.45亿的海外某国家首都城市网络安全指挥中心建设项目中,奇安信在与23家国际大厂的技术PK中最终胜出,一举中标。在亿级总额的海外某国家Tbps级超大网络流量威胁检测项目中,奇安历经11个月的努力,顺利完成项目交付,赢得客户认可。第二份收获是充分发挥头雁效应,为中国同行出海树立了标杆典范。2021年,奇安信当选北京市第一批“隐形冠军”企业。在CCIA发布的“中国网安产业竞争力50强”榜单中,奇安信连续2年蝉联第一。作为行业龙头企业,奇安信在国际化方面,也在积极发挥“头雁效应”,率先探索和开拓新市场,向世界一流企业迈进。从2020年开拓印尼等东南亚市场,到2021年深入参与阿尔及利亚、安哥拉、埃塞俄比亚等国家关键基础设施部门、重要政府单位的网络安全建设,再到2022年逐渐参与到欧洲和大洋洲个别发达国家的网络安全建设项目中,奇安信为中国同行企业探索出了一条出海之路。最后,也是最重要的收获是凝聚和吸引了一批敢打敢冲的小伙伴,淬炼出一支能征惯战的国际化团队。国际化团队出海征战的3年,恰恰是全球疫情蔓延的三年。他们从疫情之初就走出去,脚步一直没有停止,反复转战多个疫情最严重的国家地区,在三年中听令而行、逆行出征,克服困难、从未抱怨。最终,公司越来越多的业务线参与到国际化团队之中,他们用砥砺前行的担当冲破了重重荆棘,用精益求精的专业开疆拓土,书写了中国网络安全龙头企业的出海“传奇”。黄沙百战穿金甲,不破楼兰终不还。国际化团队用无数个日日夜夜的奋斗,让公司朝着“成为全球第一的网络安全公司”的愿景目标迈近了一大步。故事4:迎接未来数据安全风口,由他们布局“尽管今年整个行业面临着前所未有的挑战和压力,但我们依然克服了重重困难,预计可实现整个数据安全板块约50%的高速增长,预计主力数据安全产品可取得100%的增长。”奇安信集团副总裁、创新BG负责人孔德亮表示。数字时代,风起云涌。数据作为核心生产要素,关乎个人、企业甚至国家安全,数据安全成为数字经济发展的底板工程。加上国家“十四五”规划和2035年远景目标纲要政策加码,《数据安全法》等法律法规落地,数据安全迎来了超级风口。大风口就能带来大市场么?孔德亮认为,数据安全从热闹到热销,还有很长的路。“我们至少遇到两方面的压力,首先宏观层面,在数据安全上升到国家战略高度的情况下,作为‘网安一哥’,如何承担相应的国家责任和社会责任;其次在落地实施层面,奇安信作为综合的网络安全厂商,面对数据安全的巨大市场,如何拿出相应的解决方案和资源匹配,满足客户对数据安全的多场景细分需求”。整个2022年,孔德亮从年初挂帅数据安全负责人之后,就深刻意识到,要打好这场战役,既需要仰望星空,目光长远,掌控战略主动权;又需要脚踏实地,紧贴客户需求,低调务实。在他看来,奇安信能在数据安全这个战场上抢占先机,快速确立领先优势,得益于三个方面。首先在战略层面,集团决策果断、规划得当,兼顾了长远和眼前。早在2021年,奇安信就将数据安全定位为集团战略,举全公司之力来进行全面布局。到2022年3月,奇安信结合中国广大企业在数据安全的薄弱现状,制定出了“三步走”的数据安全建设整体思路,分别是第一步先理后治,补短固底;第二步系统治理,体系规划;第三步有序建设,持续运营。孔德亮认为,全行业85%以上的客户,都需要从第一步开始,最紧迫的任务是“补短板、防裸奔”,尤其2022年多次曝出的信息泄露事件如学习通等,充分表明了这一点。其次是战术层面,通过快速组建数据安全专班,抢占了市场先机。好的战略离不开强大的执行团队,集团在确立数据安全战略之后的第一件事,就是从战略规划中心等多个业务线抽调专家,形成数据安全专班,助力战略落地。从结果来看,这个数据安全专班发挥了巨大作用。“从4月开始,江苏、上海、广东、北京、重庆……数据安全专班可以说是频繁出差,转战大江南北,和千行百业的客户,以及合作伙伴深入交流,为快速打开局面、拓宽市场立下了汗马功劳。”最后是全集团高效协同,凸显规模效应和综合实力。数据安全是一个复杂度高、极其专业的领域,单个产品和技术只能解决某个细分场景的需求。孔德亮认为,奇安信的规模效应和综合实力,在数据安全领域体现得淋漓尽致,并发挥出1+1+1>3的效果。例如在政策合规、标准制定方面,奇安信积极与国家相关主管部门、监管机构深入合作,率先参与到数据安全法律法规、标准规范等工作。在咨询规划方面,依托集团战略规划研究院的优势,为客户提供全局治理的体系化建设思路,以及更具实操的完整方法和工具。同时,奇安信强大的产品、研发团队,显著加快了产品创新和迭代速度,使得奇安信具备业内最齐全的产品谱系和强大的竞争力。天道酬勤,在2022年7月举行的“数据安全峰会2022”上,奇安信旗下多款数据安全产品通过了中国信通院的七大品类测评认证,成为首家获得全套数据安全产品测评资质证书的网络安全企业,也是迄今为止数量最多、品类最全、覆盖最广的网络安全企业。图:奇安信获中国信通院全部七大品类数据安全产品检验证书“目前数字经济浪潮尚在起步阶段,数据作为核心生产要素的战略价值刚刚凸显,数据安全的项目普遍周期长、复杂度高,急功近利是很难走到最后的。奇安信坚持不赚快钱、赚辛苦钱的长期战略,在这个数据安全新兴市场上,和客户共同成长。”孔德亮这样总结道。故事五:标杆项目全国领跑,由他们发力“2022年对于区域发展中心是实践的一年、突破的一年、创新的一年。这一年最大的收获,不仅是网络安全‘中国模式’——城市安全运营‘虎安天枢’,企业安全运营中心在各地、各行业实践开花的一年,更是从实践中得到滋养反向补充、丰富、优化我们的运营框架、方法、策略、方案和效果的一年。”奇安信副总裁、区域发展中心负责人张龙这样总结自己的2022。“零事故”冬奥网络安全保障的实战经验、技术产品和模式,形成大量的冬奥遗产,对于推动我国网络空间安全保障能发挥重要作用,更对探索适合中国国情的安全运营模式提供了宏观框架指导。2022年,区域发展中心传承冬奥经验,深化安全运营三大运营模式,即“城市安全运营”“综合安全运营”“托管安全运营”,为地方政府、大型企业、中小企业等不同类型不同规模的客户,建设体系化、实战化、常态化的网络安全运营体系。图:奇安信发布星城平台2.0引领城市网络安全运营中心建设在城市安全运营的落地方面,奇安信结合最新国家政策、数字政府建设指南等要求,梳理、整合、分析城市安全运营当今痛点和核心问题,并结合长沙安全运营成效,于7月21日正式发布了星城-城市网络安全运行平台2.0(简称星城平台2.0)。截至目前,星城平台2.0已在湖南、北京、广东、湖北、安徽、江苏等多省份得到落地,并得到广泛的应用和推广。在企业综合安全运营业务方面,奇安信在终端运营服务能力架构方面实现了重大研究与突破。以能源行业为代表,在奇安信终端准入、防病毒、防泄密、桌管、监测、管理制度、运营流程等七方面构建了终端统一化运营能力体系,着力于解决客户资产不清晰、监测能力弱、管理制度不明等方面难题,为10万量级且多级管理机构在终端综合运营能力的建设上提供服务标准。在安全托管业务方面,奇安信持续拓展新模式。为了深耕区域客户,开展了基于奇安信特色的区域运营中心;为了深耕行业客户,与广东电信、澳门天网、山东赛尔等战略合作伙伴开展了联合运营中心模式;为了更好开展多样化的运营中心业务,奇安信组建安全托管服务教练团队,满足运营中心团队组织搭建、服务流程设计、服务人员培训等工作。“以前我们经常有一种认知:‘经济不发达地区的客户不重视网络安全’,但这一年我们从南到北走了几十个三四线城市,我们可以看到,这些地方的客户非常清晰的认识到网络安全对于当地数字化经济的重要性。市场机会从来不缺,对我们考验的是对客户需求的洞察,安全运营工作就是要紧贴客户,从客户中来,到客户中去,我们的业务才会具备持续的生命力。”2022年,奇安信安全运营托管服务屡获国内外研究机构认可,其中包括Gartner、Forrester、IDC等权威机构,这也从侧面证明,在安全运营这个赛道上,奇安信继续稳居行业领跑地位。结束语:回望2022,奇安信是当之无愧的网安龙头:根据IDC、赛迪等机构的数据,奇安信在终端安全、云安全、数据安全、态势感知、安全管理、安全服务(含咨询和托管)等多个领域,均保持市场第一的地位。在中国网络安全产业联盟(CCIA)、安全牛等机构发布的网络安全企业排行榜中,奇安信已连续多年蝉联第一。展望2023,可以预见,后疫情时代,国际环境仍将“风高浪急”,国内发展面临机遇挑战;数字经济或将加速爆发,改革转型必将日益深入……贯彻落实党的二十大精神,统筹发展和安全变得愈发重要。展望2023,可以预见,网络威胁、网络战争将进入无常与反常的黑客战国时代,网络安全基础保障成为社会发展的基本前提。展望2023,可以预见,网络安全、数据安全将进入合规与合需的双轮驱动时代,网络安全技术自主创新成为行业发展主流趋势。展望2023,可以预见,以奇安信等为代表的网络安全企业,既是命运共同体,也是责任共同体,必将践行“网络安全为人民”的使命,以“看得见威胁”“打得赢攻击”为标准,全方位提升安全能力,为建设社会主义现代化国家保驾护航。踔厉奋发、笃行不怠。2023,属于奇安信的传奇,仍将继续!
1月1日 下午 12:00

奇安信“科技冬奥”项目成果亮相国家科技计划成果路演行动

12月9日,由科技部组织开展的国家科技计划成果路演行动——社会发展领域专场成功举办。此次路演活动围绕环境保护、冰雪体育产业和公共安全领域,共筛选了56项科技成果开展路演。奇安信集团“科技冬奥”项目成果——软件供应链安全预警工具(又名开源卫士),作为公共安全领域优质成果参与此次路演活动。开源软件作为现代软件开发最基础的“原材料”,在全球数字化转型中迎来了迅猛的发展期,但也伴随着大量安全隐患,并可能会随着供应链发展,直接给产业上下游带来更大的安全隐患。2020年底的SolarWinds安全事件,就波及了北美、欧洲等全球重要科技发达地区的敏感机构。面对日趋严重的开源软件供应链的安全风险,奇安信一直积极探索,推进开源生态安全平稳发展。开源卫士是奇安信开发的一款集开源软件识别与安全管控于一体的软件成分分析系统。通过智能化数据收集引擎,在全球范围内获取开源软件信息和漏洞信息,并能够及时获取开源软件漏洞情报,从而降低由开源软件带来的安全风险。对于政企机构来说,开源卫士可以让用户更加清晰的了解自身系统的开源组件应用情况、安全风险,以及漏洞情报。首先,让用户“看见”软件中的开源资产,做到“知家底”;其次,让用户“知道”开源组件中存在的安全风险,做到“知威胁”;再次,让用户“掌握”最新开源软件漏洞情报,从而做到“知变化”。在技术方面,开源卫士突破了三大关键技术,实现完全自主创新。其一是面向海量开源数据的领域知识库自动化构建技术,实现了高度自动化、高度精确的开源软件数据收集,为软件供应链安全分析打好了基础;其二是基于多级特征值的高效开源组件识别技术,大幅提升了开源组件识别的检出率、准确率与效率;其三是针对开源软件安全漏洞的精确识别与供应链影响分析技术,实现了开源组件和漏洞情报的准确对应,进而可有效分析软件供应链的漏洞影响。近年来,我国政府部门相继发布相关政策,引导开源公共资源的建设及优化。“十四五”规划中,开源被首次写入,其后,在工业和信息化部印发的《“十四五”软件和信息技术服务业发展规划》和人民银行联合五部委发布《关于规范金融业开源技术应用与发展的意见》中,均积极推动产业用户正确认识开源、推进开源生态发展。作为一款自主可控的国产安全工具,开源卫士是第一个通过信通院《开源治理工具能力评估》的国内产品。依托奇安信集团威胁情报信息库,建立了最全面的开源软件情报库,已在银行、保险、证券、运营商、能源等多个行业的几十家机构中取得应用,帮助企业掌握开源软件资产信息及相关风险,及时获取最新开源软件漏洞情报,降低由开源软件给企业带来的风险,保障企业交付更安全的软件。“国家科技计划成果路演行动”是科技部为促进国家科技计划成果转化而打造的路演行动品牌活动,目的是以路演行动为抓手,建立国家和各级科技计划成果的汇交机制,搭建优秀科技计划成果与金融资本、产业需求、地方经济社会发展需求对接的高水平平台,提升国家技术转移服务体系效能,促进高水平技术要素市场的形成。此次奇安信成果入选路演行动,将在行业内进一步推广“冬奥遗产”。作为奇安信集团“科技冬奥”项目的重要研究成果之一,该产品在北京冬奥会期间开展了开源软件安全检测服务,高效协助有关人员迅速定位并修复开源软件漏洞,有力支撑北京冬奥会网络安全“零事故”目标达成,并获得科技部致谢。开源卫士试用地址:https://oss.qianxin.com代码卫士试用地址:https://codesafe.qianxin.com推荐阅读奇安信开源卫士率先通过可信开源治理工具评估奇安信开源组件安全治理解决方案——开源卫士奇安信开源卫士免费提供开源组件安全检测服务奇安信代码安全实验室研究成果成功入选国际顶会USENIX
2022年12月30日

Zoom 修复 Whiteboard 中的XSS漏洞

API的宽度和深度。他指出,“从WebRTC到WebGL,除了弹出警告之外,可以在浏览器中做更多的事情,这就增加了攻击面和绕过潜力。”第二个是web和原生/桌面应用之间不断增多的重合之处。Lim
2022年12月30日

微软悄悄修复Azure跨租户数据访问高危漏洞

ExtraReplica,没有CVE编号微软修复严重的Azure漏洞,可用于泄露客户数据微软
2022年12月29日

【已复现】XStream 拒绝服务漏洞(CVE-2022-41966)安全风险通告

奇安信CERT致力于第一时间为企业级用户提供安全风险通告和有效解决方案。安全通告XStream是一个Java对象和XML相互转换的工具,用来将对象序列化成XML(JSON)或将XML反序列化为对象,并提供所有的基础类型、数组、集合等类型直接转换的支持。近日,奇安信CERT监测到XStream中存在拒绝服务漏洞(CVE-2022-41966),XStream在将XML反序列化为对象时存在堆栈溢出,未经身份验证的远程攻击者通过操纵输入流,使XStream在递归散列计算时触发堆栈溢出,导致拒绝服务。目前,此漏洞技术细节与POC已公开。鉴于此漏洞影响范围较大,建议客户尽快做好自查,及时更新至最新版本。漏洞名称XStream
2022年12月28日

奇安信入选2023年度工业信息安全监测应急支撑单位

近日,国家工业信息安全发展研究中心公布公示了2023年度工业信息安全监测应急支撑单位名单,凭借在工业信息安全领域的长期深耕和技术实力,奇安信集团成功入选。为进一步落实党的二十大精神,围绕建立大安全大应急框架的战略目标,更好地支撑国家工业信息安全监测预警与应急管理体系建设,国家工业信息安全发展研究中心整合现有的工业信息安全监测网络建设支撑机构、工业信息安全应急服务支撑单位为工业信息安全监测应急支撑单位。通过自主申报、材料初审、专家评审等环节,最终确定2023年度工业信息安全监测应急支撑单位90家。此次入选,是对奇安信在工业信息安全领域实力的充分肯定。作为网络安全行业的领军企业,基于多年来在大数据、威胁情报、漏洞、安全攻防、态势感知等方面的突出优势,奇安信已构建了层次清晰、定位明确、融合联动的工业互联网安全产品体系和解决方案,并成功应用于能源电力、轨道交通、智能制造、钢铁、水务等垂直行业,打造了多个行业标杆案例。在2022中国5G+工业互联网大会上,奇安信集团“电力行业5G网络安全接入能力建设”入选2022中国“5G+工业互联网”典型案例。在没有前例参考的情况下,该方案进行了创新性的设计。通过项目的部署和成功实施,不仅为电力行业进行5G无线通信安全建设提供参考,也使得目前行业的安全能力从少量的“样本规范”转变为可推广可复用的“解决方案”,为电力行业无线网络安全建设起到良好示范作用。针对工业领域勒索攻击防护需求,奇安信基于勒索病毒攻击特征和流程的工业领域防护典型案例入选2022年《两岸工业互联网创新发展案例集》。该解决方案提出勒索病毒攻击事件的事前防御、事中响应、事后溯源三大防护阶段,帮助工业企业做好基础安全防护措施,并已在智能制造、能源电力、钢铁和水务等垂直行业落地。在产品方面,奇安信已形成丰富且完整的产品矩阵,为工业企业提供防护。在首届“极盾”众测活动中,奇安信集团工业互联网安全领域7款产品通过审核及测试,被收录在网络安全软硬件产品推荐名录。入围产品覆盖了工业控制安全的安全防护、安全监测和安全检测三大方向。奇安信相关负责人表示,作为工业信息安全监测应急支撑单位,奇安信将在国家工业信息安全发展研究中心的指导下,充分发挥自身技术和平台优势,
2022年12月21日

微软发现macOS漏洞,可导致恶意软件安全检测被绕过

安全特性,可自动检查从互联网上下载的所有应用(前提是获得公正和开发人员签名),在发出应用不可信的警报之前请求用户进行确认。而这是通过检查一个扩展属性com.apple.quarantine
2022年12月20日

思科提醒:很多严重漏洞已遭利用

RV系列路由器中的高危任意命令执行漏洞。另外,思科还更新了关于多个中危漏洞的安全公告。虽然数月前,美国网络安全和基础设施安全局
2022年12月20日

NIST将弃用已存在27年之久的SHA-1加密算法

800-131A和其它标准以弃用SHA-1,并将创建和发布用于验证加密模块和算法的传递策略,作为加密模块验证计划的一部分。NIST的计算机科学家
2022年12月19日

Samba 修复多个高危漏洞

RC4-HMAC-MD5)和MS-PAC(权限属性证书数据结构标准)中的多个加密协议漏洞,绕过Windows
2022年12月19日

可导致RCE,微软更改CVE-2022-37958的评级

应用验证协议如SMB或RDP,访问NEGOEX协议,远程执行任意代码。受影响协议的清单并不完整,而且在启用SPNEGO验证协议的情况下(如和Kerberos或Net-NTLM
2022年12月19日

开源管理工具Cacti修复严重的IP欺骗漏洞

解释称,“近年来,我一直在说你永远都不应该信任用户输入,确保输入使合法的。它同样也适用于环境中的设置。例如,PHP在变量
2022年12月16日

通过Spring Boot 绕过Akamai WAF并触发RCE

很重要。”下一步是找到任意类的引用,以便使“直接方法调用或者基于反射的调用获取我们想要的方法。”研究人员使用反射型方法获得对Class.forName
2022年12月16日

Facebook 移动版零点击RCE 漏洞奖励最高30万美元

公司的漏洞奖励计划已设立11年。目前向全球的自由职业研究人员已支付1600万美元的奖励。这次指南更新是为了确保所提供的漏洞奖励和所涉及的产品仍然与不断演变的威胁相一致。Meta
2022年12月16日

苹果修复已遭利用的第10个0day

15.1之前的版本中。”虽然目前尚不清楚该攻击的确切性质,但可能牵涉攻击者通过浏览器访问恶意域名或合法但被攻陷域名时,感染设备的社工或水坑攻击。值得注意的是,按照苹果出台的限制条件,适用于iOS
2022年12月15日

开源仓库遭14.4万个钓鱼包洪水攻击

聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士未知攻击者在开源包仓库(包括NPM、PyPi
2022年12月15日

VMware 修复严重的ESXi和vRealize 漏洞

堆界外写漏洞,CVSS评分9.3,“在虚拟机上具有本地管理员权限的恶意人员可利用该漏洞,在虚拟机VMX进程于主机上运行时执行代码。在ESXi上,该利用包含在VMX沙箱上;而在Workstation
2022年12月15日

亚马逊ECR Public 严重漏洞可擦除或投毒任意镜像,引发供应链攻击

中下载次数最多的前六大容器镜像下载量已超过130亿次,因此任何恶意注入都可导致“无法控制的”感染发生。该公司指出,分析发现,26%的Kubernetes集群中至少有一个pod
2022年12月14日