网络安全 关键字列表
零信任网络访问如何从根本上消除隐性信任

零信任网络访问如何从根本上消除隐性信任

在远程办公与云服务普及的背景下,许多访问系统仍存在隐式信任问题——用户一旦通过初始验证,便可获得广泛权限。零信任网络访问(ZTNA)通过每次请求时验证身份、设备状态和上下文信息,彻底打破这一假设。它以身份为核心,实施最小权限原则,结合设备健康度、位置等上下文因素动态授权,有效防止横向移动攻击,同时提升日志可追溯性,助力合规审计与事件响应。

Microsoft 365遭大规模密码喷射攻击,逾78个账户沦陷

Microsoft 365遭大规模密码喷射攻击,逾78个账户沦陷

近期,Microsoft 365用户遭受大规模自动化密码喷洒攻击。安全公司Huntress报告,攻击者在6月12日至26日期间对其客户账户发起8100万次登录尝试,至少78个账户被成功入侵。攻击源自互联网服务商LSHIY LLC控制的IPv6地址段,该服务商已终止相关IP访问权限。攻击者利用OAuth ROPC流程重放凭证,成功绕过多因素认证(MFA)防护,主要原因是部分企业未将MFA策略覆盖至"所有云应用",或仅对特定用户群体启用MFA。

AI智能体遭间接提示注入攻击,多款主流模型被测试攻破

AI智能体遭间接提示注入攻击,多款主流模型被测试攻破

Zscaler测试发现,多款主流大语言模型驱动的自主AI智能体存在间接提示注入(IPI)漏洞。测试涵盖26个LLM,其中Llama3和Gemini部分版本被列为"易受攻击",而低版本模型有时表现优于高端版本。专家指出,攻击面源于Transformer架构本身,无法有效区分可信指令与不可信内容。若该漏洞被利用于采购、支付等企业流程,损失规模将远超测试场景中的小额欺诈。

AI推理模型"过度思考"漏洞或引发拒绝服务攻击风险

AI推理模型"过度思考"漏洞或引发拒绝服务攻击风险

最新研究表明,具备逐步推理能力的大型语言模型存在严重安全漏洞。来自浙江大学和阿里巴巴的研究人员发现,通过向模型输入逻辑矛盾的提示词,可诱发模型陷入"过度思考"循环,产生长达正常响应26倍的输出内容,从而对商业AI服务实施拒绝服务攻击。该攻击无需访问模型内部参数,对DeepSeek-R1、Qwen3、GPT-o3及Gemini 2.5等主流推理模型均有效。研究人员强调,此举旨在揭示漏洞以促进防御,而非发动实际攻击。

首个全自主勒索软件攻击JadePuffer令安全研究人员彻夜难眠

首个全自主勒索软件攻击JadePuffer令安全研究人员彻夜难眠

云安全公司Sysdig发现了名为JadePuffer的勒索软件攻击活动,被称为"首个有据可查的自主代理勒索软件案例"。该攻击利用Langflow平台的RCE漏洞(CVE-2025-3248)获取初始访问权限,由大语言模型全程自主驱动,无需人工干预,可窃取凭证、建立持久化,并最终部署勒索软件。安全专家警告,AI能够自主完成整个攻击链并实时调整战术,大幅压缩防御方的响应窗口,传统人工事件响应模式或将面临淘汰。

网络安全风险沟通:如何让董事会真正理解业务影响

网络安全风险沟通:如何让董事会真正理解业务影响

董事会成员普遍理解网络风险代价高昂,但往往缺乏清晰的业务框架来判断哪些风险需优先应对。Verizon 2025年数据泄露报告显示,44%的泄露涉及勒索软件,30%涉及第三方,漏洞利用同比增长34%。然而,83%的CISO参与董事会会议,却只有29%的董事会有网络安全专家。网络风险应以财务损失、运营中断、法律合规等业务语言呈现,而非单纯的技术细节,方能推动有效治理决策。

AI加速网络攻击时代来临,苹果率先加快安全更新应对威胁

AI加速网络攻击时代来临,苹果率先加快安全更新应对威胁

苹果公司正在加快安全补丁的发布节奏,以应对AI辅助网络攻击带来的新威胁。AI技术使漏洞从被发现到被利用的时间大幅缩短,未及时更新的设备和系统成为攻击者的主要目标。制造业因遗留基础设施、供应链安全参差不齐等问题,已成为受攻击最严重的行业。企业IT团队须重新审视安全策略,加快补丁部署,并加速淘汰无法获得最新安全支持的老旧硬件。

杀毒软件已不够用?全面了解现代网络安全防护

杀毒软件已不够用?全面了解现代网络安全防护

曾经,安装杀毒软件就足以保护电脑安全。但如今网络威胁已今非昔比——勒索软件、间谍软件、钓鱼邮件、伪造网站等攻击手段层出不穷,许多攻击甚至无需植入病毒文件。杀毒软件虽仍是重要防线,但面对不断进化的网络犯罪手法,单一工具已难以应对。专家建议采用多层防护策略:定期更新系统、使用强密码、开启多因素认证,并配合VPN加密网络连接,尤其在使用公共Wi-Fi时尤为重要。

多云复杂性对安全可视化提出更高要求

多云复杂性对安全可视化提出更高要求

在本期快速访谈中,微软云防护产品负责人Yuri Diogenes深入探讨了多云安全面临的主要挑战,并分享了应对策略。微软同步推出多项参考资源,包括云原生应用保护平台(CNAPP)实施指南、2024年多云安全风险报告,以及由Forrester咨询公司开展的Microsoft Defender for Cloud总体经济影响研究报告,为企业构建多云安全体系提供全面支撑。

Y2K事件25周年:IT基础设施韧性的演变与挑战

Y2K事件25周年:IT基础设施韧性的演变与挑战

1999年,IT团队为解决Y2K千年虫问题全力备战,最终避免了数字灾难的发生。25年后的今天,云计算、边缘计算等新技术彻底改变了IT基础设施格局,但系统性风险并未消失。本文围绕CAST、JFrog、LevelBlue三位行业专家的对话,探讨Y2K时代的技术规范是否仍然适用、当年的大规模IT动员经验对现代基础设施问题的借鉴意义,以及网络攻击者是否从Y2K事件中汲取了发动系统级攻击的灵感。

自动化驱动创新与效率提升:企业应对挑战的关键路径

自动化驱动创新与效率提升:企业应对挑战的关键路径

本文整理自InformationWeek举办的线上活动主题演讲。Surescripts业务技术副总裁Rachel Lockett与Automox首席信息安全官Jason Kikta探讨了自动化如何帮助企业应对挑战。两位嘉宾重点分析了告警疲劳问题的严重性——2024年软件安全漏洞(CVE)数量高达4万个,远超预期。他们指出,依靠人力手动处理漏洞已难以为继,企业必须通过更智能的自动化流程来应对日益增长的安全压力。

2025年企业网络韧性面临的隐性威胁与应对策略

2025年企业网络韧性面临的隐性威胁与应对策略

面对云中断、勒索软件攻击、自然灾害及人为失误等持续威胁,企业如何维持运营、恢复系统并保护品牌声誉?eSentire首席网络韧性官Tia Hopkins在本次主题演讲中,深入剖析2025年企业将面临的最大网络韧性挑战,并提供切实可行的应对策略。本次演讲来自InformationWeek与ITPro Today于2025年3月27日联合举办的线上活动。

如何拯救一个陷入困境的DevSecOps项目

如何拯救一个陷入困境的DevSecOps项目

Contrast Security的DevSecOps转型架构师Larry Maccherone在一场虚拟峰会中分享了如何改善DevSecOps项目的实战经验。他指出,开发与安全团队之间长期存在文化差异,需要系统性方法来推动组织变革。他在Comcast的实践表明,经过该项目的157个团队漏洞数量降至原来的六分之一,安全管理人员也从40人缩减至10人,效率大幅提升。

美国司法部对苹果智能手机市场垄断行为提起反垄断诉讼

美国司法部对苹果智能手机市场垄断行为提起反垄断诉讼

美国司法部(DOJ)正式对苹果公司提起反垄断诉讼,指控其垄断智能手机市场,通过压制竞争性应用、产品和服务来巩固iPhone生态系统的主导地位,使用户和开发者难以转向其他平台。苹果方面警告称,政府干预私营科技企业设计决策将带来危险先例。反垄断律师Henry Hauser指出,垄断本身并不违法,违法的是通过排他性行为维持垄断地位。

Larry Maccherone:将安全融入DevOps的多重优势探析

Larry Maccherone:将安全融入DevOps的多重优势探析

Contrast Security的DevSecOps转型架构师Larry Maccherone指出,传统应用安全模式已然失效——安全团队充当"守门人"的方式与现代DevOps开发节奏严重不符,造成摩擦与对抗。他提出一套文化转型方法,将安全责任内嵌到软件开发全生命周期。该方案曾在Comcast落地推广,覆盖600个团队,使生产环境漏洞数量降至原来的六分之一,且所需人力仅为传统模式的四分之一。

软件供应链安全:企业与行业能做什么?

软件供应链安全:企业与行业能做什么?

在Forrester安全与风险峰会上,分析师Janet Worthington将主持"从脆弱到敏捷:重塑软件供应链安全"主题讨论。会议探讨软件物料清单(SBOM)的现实作用,以及CISO、开发者和监管机构如何协作防范大规模安全事件。与会嘉宾来自美国总务署、施耐德电气及网络安全和基础设施安全局(CISA),共同探讨构建真正安全的软件供应链所需的系统性举措。

思科详解Live Protect实时威胁防护能力与技术原理

思科详解Live Protect实时威胁防护能力与技术原理

思科在Cisco Live活动上正式推出面向Nexus数据中心的Live Protect方案,利用eBPF技术在操作系统内核层实时拦截漏洞利用行为,无需重启或停机。该方案通过Cisco Nexus One和Nexus Dashboard统一编排,以细粒度策略替代传统补丁周期中的漫长等待窗口,实现漏洞即时缓解。目前支持Nexus 9000系列,园区与分支产品支持预计年内推出。

抵御AI驱动的数据融合攻击:芯片安全防护的关键挑战

抵御AI驱动的数据融合攻击:芯片安全防护的关键挑战

随着AI技术发展,攻击者可融合白市、灰市及黑市数据,构建个人及其环境的数字孪生体,使定向攻击更为便捷。专家指出,AI与网络安全的核心交汇点是数据本身。防御AI数据融合攻击需依赖硬件信任根、强加密、安全密钥存储及严格的数据匿名化措施。芯片架构师需将安全设计嵌入硬件层,确保数据完整性验证、隔离执行及认证数据流,以应对日益复杂的运行时攻击面。

Anthropic Claude模型解除出口限制,全球发布重启

Anthropic Claude模型解除出口限制,全球发布重启

美国商务部已解除对Anthropic旗下Claude Fable 5和Mythos 5模型的出口限制。此前,特朗普政府以国家安全为由对上述模型实施管控约三周。目前,Fable 5已恢复全球访问,Mythos 5则向特定国内外合作伙伴开放。Anthropic承诺加强与政府合作,包括预部署测试、信息共享及组建全天候监控越狱威胁的专属团队,并联合亚马逊、微软、谷歌等合作伙伴共同制定AI越狱风险评估框架。

Azul推出免费JVM漏洞风险评估服务,应对AI驱动的安全威胁

Azul推出免费JVM漏洞风险评估服务,应对AI驱动的安全威胁

Azul近日推出免费Java虚拟机(JVM)漏洞风险评估服务。面对Claude Mythos等AI模型能够自动发现漏洞并在披露前生成利用程序的威胁,Azul将JVM漏洞直接映射至稳定关键补丁更新(CPU),可在不影响生产环境的情况下即时部署。该评估服务提供安全仪表板、版本风险细分、AI驱动漏洞关键风险指标及优先修复路线图,帮助企业应对自主AI系统持续发现新漏洞的安全挑战。