?微軟開源持續(xù)開發(fā)模糊測試工具OneFuzz

近日，微軟開源了OneFuzz——一個微軟內(nèi)部使用的，由開發(fā)人員驅(qū)動的持續(xù)開發(fā)模糊測試平臺。開源后，世界各地的開發(fā)人員都可以通過OneFuzz直接從其開發(fā)系統(tǒng)接收模糊測試結(jié)果。模糊測試是一種自動化的軟件測試技術(shù)，將隨機(jī)、意外、畸形和/或無效數(shù)據(jù)輸入計(jì)算機(jī)程序，試圖發(fā)現(xiàn)可能影響程序安全性和性能的異常（例如崩潰、內(nèi)存泄漏等）和意外行為。OneFuzz項(xiàng)目是Azure的可擴(kuò)展、自托管的Fuzzing即服務(wù)平臺，該平臺聚集了多個現(xiàn)有的Fuzzer，并可（通過自動化）整合崩潰檢測、覆蓋范圍跟蹤和輸入控制等功能。

Microsoft內(nèi)部團(tuán)隊(duì)使用OneFuzz來加強(qiáng)Windows、Microsoft Edge和其他軟件產(chǎn)品的安全性開發(fā)。

?湖南警方公布開展互聯(lián)網(wǎng)安全監(jiān)督檢查典型案例

2020年以來，株洲市公安局為貫徹落實(shí)中央網(wǎng)絡(luò)信息安全和信息化的戰(zhàn)略部署，結(jié)合正在開展的國家網(wǎng)絡(luò)安全宣傳周活動，整治網(wǎng)絡(luò)秩序，治理網(wǎng)絡(luò)亂象，查處了一批違反網(wǎng)絡(luò)安全法律法規(guī)的案件，對未來深入開展網(wǎng)絡(luò)安全宣傳具有重要的現(xiàn)實(shí)意義。

一、荷塘區(qū)某電子網(wǎng)站不履行網(wǎng)絡(luò)安全保護(hù)義務(wù)案

二、醴陵市某市民擅自建立、使用非法定性道進(jìn)行國際聯(lián)網(wǎng)案

三、茶陵縣某網(wǎng)吧非法改變計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)和應(yīng)用程序案

四、攸縣某APP非法獲取個人信息案

五、天元區(qū)某網(wǎng)絡(luò)科技有限公司未履行個人信息保護(hù)義務(wù)案

六、蘆淞區(qū)某醫(yī)院未履行網(wǎng)絡(luò)安全保護(hù)義務(wù)案

七、淥口區(qū)某家政公司未履行備案職責(zé)案

八、醴陵市某服飾公司不履行國際聯(lián)網(wǎng)備案指責(zé)案

九、茶陵縣某市民網(wǎng)上發(fā)布虛假信息擾亂公共秩序案

十、蘆淞區(qū)某網(wǎng)吧違規(guī)增設(shè)計(jì)算機(jī)系統(tǒng)案。

?云原生安全模型與實(shí)踐

在傳統(tǒng)的研發(fā)中，我們經(jīng)常關(guān)注的「安全」包括代碼安全、機(jī)器(運(yùn)行環(huán)境)安全、網(wǎng)絡(luò)運(yùn)維安全，而隨著云原生時(shí)代的到來，如果還按原有的幾個維度切分的話，顯然容易忽略很多云原生環(huán)境引入的新挑戰(zhàn)，我們需要基于網(wǎng)絡(luò)安全最佳實(shí)踐——縱深防御原則，來逐步剖析「云原生的安全」，并且對不同層次的防御手段有所了解，從而建立自己的云原生安全理念，真正搭建一個內(nèi)核安全的云原生系統(tǒng)。

以某IDaaS系統(tǒng)為例，我們把一個云原生系統(tǒng)安全模型分為 4 個層面，由外至內(nèi)分別是：云/數(shù)據(jù)中心/網(wǎng)絡(luò)層、集群層、容器層、代碼層。對于這里安全模型的每一層，都是單向依賴于外層的。也就是說，外層的云、集群、容器安全如果做得好，代碼層的安全就可以受益，而反過來，我們是無法通過提高代碼層的安全性來彌補(bǔ)外層中存在的安全漏洞或問題。

?海通證券SD-WAN網(wǎng)絡(luò)應(yīng)用與實(shí)踐

SD-WAN（軟件定義廣域網(wǎng)）的出現(xiàn)，以低成本的互聯(lián)網(wǎng)寬帶在一定程度上代替了較低流量、價(jià)格昂貴的專線來完成企業(yè)站點(diǎn)互聯(lián)，加上安裝運(yùn)維管理的簡易性、全局流量調(diào)度和可視分析等特性，極大地降低了企業(yè)IT投入開支。

SD-WAN是將SDN技術(shù)應(yīng)用到廣域網(wǎng)場景中所形成的一種服務(wù)，這種服務(wù)用于連接廣闊地理范圍的企業(yè)網(wǎng)絡(luò)、數(shù)據(jù)中心、互聯(lián)網(wǎng)應(yīng)用及云服務(wù)，可以幫助用戶降低廣域網(wǎng)（WAN）的成本開支并提高網(wǎng)絡(luò)連接的靈活性。

近兩年，SD-WAN已經(jīng)成為網(wǎng)絡(luò)領(lǐng)域的新風(fēng)向。根據(jù)近期IDC針對SD-WAN的相關(guān)調(diào)研，95%的企業(yè)已經(jīng)或?qū)⒃趦赡陜?nèi)使用SD-WAN技術(shù)，而42%的企業(yè)已經(jīng)完成部署。

?英國政府發(fā)布工具包，幫助公司改進(jìn)漏洞披露流程

英國國家網(wǎng)絡(luò)安全中心(NCSC)發(fā)布了一項(xiàng)指南——“漏洞披露工具包”，以幫助公司實(shí)施漏洞披露流程或在已建立漏洞披露流程的情況下進(jìn)行改進(jìn)。該指南強(qiáng)調(diào)，各種規(guī)模的組織都需要為鼓勵負(fù)責(zé)任的漏洞披露。

這份指南并不是讓漏洞披露更容易，而是提供了更好的流程建議及必要信息。

如今，大多數(shù)網(wǎng)絡(luò)攻擊持續(xù)發(fā)生，同時(shí)研究人員也在不斷發(fā)現(xiàn)新的安全漏洞風(fēng)險(xiǎn)，所以，漏洞披露程序非常有必要。

不過，現(xiàn)狀是，披露這些問題可能特別困難。因?yàn)樵诙鄶?shù)情況下，需要花費(fèi)大量精力來尋找可以采取相關(guān)措施的聯(lián)系人。NCSC表示，人們希望能夠直接向負(fù)責(zé)的主體報(bào)告發(fā)現(xiàn)的漏洞。

2020.09.24??周四

?過去10年中，濫用機(jī)器身份的惡意軟件攻擊增長了8倍

根據(jù)Venafi最新發(fā)布的威脅分析報(bào)告，利用機(jī)器身份的惡意軟件活動正在極速增加。例如，從2018年到2019年，使用機(jī)器身份進(jìn)行的惡意軟件攻擊增加了一倍，其中包括備受矚目的攻擊活動，例如TrickBot、Skidmap、Kerberods和CryptoSink。研究人員通過分析公共領(lǐng)域中的安全事件和第三方報(bào)告，收集了有關(guān)濫用機(jī)器身份的數(shù)據(jù)。

總體而言，在過去十年中，利用機(jī)器身份進(jìn)行的惡意軟件攻擊增長了八倍，其中最近五年的增長更快。Venafi安全策略和威脅情報(bào)副總裁Kevin Bocek說：“隨著數(shù)字化轉(zhuǎn)型滲透到幾乎所有基本服務(wù)，很明顯，以人為中心的安全模型不再有效。”