導(dǎo)讀:2018年還沒過完,但已經(jīng)爆發(fā)的網(wǎng)絡(luò)安全事件夠做一個Top 10盤點了。 ▽ 作者:數(shù)據(jù)叔 來源:大數(shù)據(jù)(hzdashuju) 8月底,有人在暗網(wǎng)論壇出售華住旗下所有酒店的數(shù)據(jù),包括漢庭、桔子、全季、宜必思等所有你能想到的連鎖酒店。數(shù)據(jù)內(nèi)容包括華住官網(wǎng)注冊資料,姓名、手機(jī)號、郵箱、身份證號、登錄密碼等信息全都有。數(shù)據(jù)共53G,1.23億條記錄。 7月30日,豆瓣網(wǎng)友“獨釣寒江雪”發(fā)現(xiàn),凌晨她的手機(jī)收到了100多條驗證碼,她的京東、支付寶等賬戶,被他人用于預(yù)定房間、給加油卡充值,總計被盜刷了1萬多元。“這下一無所有了”,這是她的帖子標(biāo)題,也是可怕的現(xiàn)實。經(jīng)調(diào)查,她很可能是“GSM劫持+短信嗅探”的受害者。 6月13日凌晨,AcFun在其官網(wǎng)發(fā)布《關(guān)于 AcFun受黑客攻擊致用戶數(shù)據(jù)外泄的公告》,稱AcFun受黑客攻擊,近千萬條用戶數(shù)據(jù)外泄,包含用戶ID、用戶昵稱、加密存儲的密碼等信息。 5月,區(qū)塊鏈平臺EOS被爆出一系列高危安全漏洞。經(jīng)驗證,其中部分漏洞可以在EOS節(jié)點上遠(yuǎn)程執(zhí)行任意代碼,即可以通過遠(yuǎn)程攻擊,直接控制和接管EOS上運(yùn)行的所有節(jié)點。數(shù)字貨幣自身攜帶的金融屬性,這樣的漏洞會直接威脅用戶的財產(chǎn)安全。 4月10日至11日,西裝革履的扎克伯格在美國國會參加了長達(dá)10小時的聽證會,接受參眾兩院議員的質(zhì)詢,解釋Facebook如何處理用戶隱私數(shù)據(jù)和其他問題。除“通俄門”和“劍橋分析”等美國大選話題外,議員也提問質(zhì)疑了Facebook普通用戶的數(shù)據(jù)安全問題。 Facebook事件細(xì)思恐極的是,我們在社交網(wǎng)絡(luò)上產(chǎn)生的數(shù)據(jù),都被什么人采集、分析了?又都用于做哪些事情了?我們收到的廣告及新聞推送,是我們想要看到的,還是某些人希望我們看到的? 以上只是今年4月到8月期間的幾起引發(fā)廣泛關(guān)注的網(wǎng)絡(luò)安全事件,它們可能只是冰山一角。根據(jù)騰訊安全發(fā)布的《2018上半年互聯(lián)網(wǎng)黑產(chǎn)研究報告》,每天互聯(lián)網(wǎng)上約新增2750個左右的新病毒變種,威脅數(shù)百萬用戶,掠奪話費金額數(shù)千萬。 所以,無論是你計算機(jī)、互聯(lián)網(wǎng)行業(yè)的從業(yè)者,還是相關(guān)專業(yè)的在校學(xué)生,哪怕只是一個普通互聯(lián)網(wǎng)用戶,安全都是一個繞不開的大問題。這個大問題或許很難在短時間內(nèi)解決,但我們可以付出一點點努力,讓我們的網(wǎng)絡(luò)環(huán)境變得更美好。本周是“國家網(wǎng)絡(luò)宣傳周”,今天介紹8本安全類新書,助你跑贏利用技術(shù)作惡的黑客們。 1 《網(wǎng)絡(luò)安全態(tài)勢感知:提取、理解和預(yù)測》 作者:杜嘉薇 周穎 郭榮華 索國偉 系統(tǒng)介紹網(wǎng)絡(luò)安全態(tài)勢感知的原理、技術(shù)、實施過程。 本書按照網(wǎng)絡(luò)空間安全態(tài)勢感知的工作過程——提取、理解和預(yù)測,介紹了如何通過獲取海量數(shù)據(jù)與事件,直觀、動態(tài)、全面、細(xì)粒度地提取出各類網(wǎng)絡(luò)攻擊行為,并對其進(jìn)行理解、分析、預(yù)測以及可視化,從而實現(xiàn)態(tài)勢感知。本書有助于幫助安全團(tuán)隊發(fā)現(xiàn)傳統(tǒng)安全平臺和設(shè)備未能發(fā)現(xiàn)的事件,并將網(wǎng)絡(luò)上似乎無關(guān)的事件關(guān)聯(lián)起來,從而更有效地對安全事件做出響應(yīng)。 2 《Kali Linux高級滲透測試》(原書第2版) 作者:維杰·庫馬爾·維盧 網(wǎng)絡(luò)安全專家撰寫,全面、系統(tǒng)闡釋Kali Linuux網(wǎng)絡(luò)滲透測試工具、方法和佳實踐;從攻擊者的角度來審視網(wǎng)絡(luò)框架,詳細(xì)介紹攻擊者“殺鏈”采取的具體步驟,包含大量實例。 KaliLinux面向?qū)I(yè)的滲透測試和安全審計,集成了大量精心挑選的安全檢測工具。本書在KaliLinux平臺上從一個攻擊者的角度來審視網(wǎng)絡(luò)框架,詳細(xì)介紹了攻擊者“殺鏈”采取的具體步驟。通過閱讀本書讀者能快速學(xué)習(xí)并掌握滲透測試方法和工具。 3 《企業(yè)安全建設(shè)入門》 作者:劉焱 百度安全專家撰寫,零基礎(chǔ)、低成本搭建企業(yè)安全防御系統(tǒng),多位業(yè)界專家聯(lián)袂推薦。 互聯(lián)網(wǎng)公司的防護(hù)體系的建立,涉及WAF、抗D和服務(wù)器主機(jī)安全等;業(yè)務(wù)網(wǎng)的基礎(chǔ)安全加固,包括資產(chǎn)管理、補(bǔ)丁管理、操作系統(tǒng)加固等;常見的幾種威脅情報源的獲取方式;包括如何使用Kong保護(hù)API接口;如何使用RIPS做PHP代碼審計;幾種常見的開源蜜罐的使用方法,如Glastopf、Kippo、Elasticpot和Beeswarm等;如何使用開源軟件做漏洞掃描、入侵檢測;如何使用開源軟件建設(shè)SOC系統(tǒng);如何使用DBProxy充當(dāng)數(shù)據(jù)庫防火墻、使用mysql-audit進(jìn)行主機(jī)端數(shù)據(jù)庫審計、使用MySQL Sniffer進(jìn)行數(shù)據(jù)庫流量審計;如何基于開源軟件開發(fā)辦公網(wǎng)的準(zhǔn)入系統(tǒng)。 4 《物聯(lián)網(wǎng)安全》 作者:布萊恩·羅素 德魯·范·杜倫 |
|