?微軟開(kāi)源持續開(kāi)發(fā)模糊測試工具OneFuzz

近日，微軟開(kāi)源了OneFuzz——一個(gè)微軟內部使用的，由開(kāi)發(fā)人員驅動(dòng)的持續開(kāi)發(fā)模糊測試平臺。開(kāi)源后，世界各地的開(kāi)發(fā)人員都可以通過(guò)OneFuzz直接從其開(kāi)發(fā)系統接收模糊測試結果。模糊測試是一種自動(dòng)化的軟件測試技術(shù)，將隨機、意外、畸形和/或無(wú)效數據輸入計算機程序，試圖發(fā)現可能影響程序安全性和性能的異常（例如崩潰、內存泄漏等）和意外行為。OneFuzz項目是Azure的可擴展、自托管的Fuzzing即服務(wù)平臺，該平臺聚集了多個(gè)現有的Fuzzer，并可（通過(guò)自動(dòng)化）整合崩潰檢測、覆蓋范圍跟蹤和輸入控制等功能。

Microsoft內部團隊使用OneFuzz來(lái)加強Windows、Microsoft Edge和其他軟件產(chǎn)品的安全性開(kāi)發(fā)。

?湖南警方公布開(kāi)展互聯(lián)網(wǎng)安全監督檢查典型案例

2020年以來(lái)，株洲市公安局為貫徹落實(shí)中央網(wǎng)絡(luò )信息安全和信息化的戰略部署，結合正在開(kāi)展的國家網(wǎng)絡(luò )安全宣傳周活動(dòng)，整治網(wǎng)絡(luò )秩序，治理網(wǎng)絡(luò )亂象，查處了一批違反網(wǎng)絡(luò )安全法律法規的案件，對未來(lái)深入開(kāi)展網(wǎng)絡(luò )安全宣傳具有重要的現實(shí)意義。

一、荷塘區某電子網(wǎng)站不履行網(wǎng)絡(luò )安全保護義務(wù)案

二、醴陵市某市民擅自建立、使用非法定性道進(jìn)行國際聯(lián)網(wǎng)案

三、茶陵縣某網(wǎng)吧非法改變計算機信息系統數據和應用程序案

四、攸縣某APP非法獲取個(gè)人信息案

五、天元區某網(wǎng)絡(luò )科技有限公司未履行個(gè)人信息保護義務(wù)案

六、蘆淞區某醫院未履行網(wǎng)絡(luò )安全保護義務(wù)案

七、淥口區某家政公司未履行備案職責案

八、醴陵市某服飾公司不履行國際聯(lián)網(wǎng)備案指責案

九、茶陵縣某市民網(wǎng)上發(fā)布虛假信息擾亂公共秩序案

十、蘆淞區某網(wǎng)吧違規增設計算機系統案。

?云原生安全模型與實(shí)踐

在傳統的研發(fā)中，我們經(jīng)常關(guān)注的「安全」包括代碼安全、機器(運行環(huán)境)安全、網(wǎng)絡(luò )運維安全，而隨著(zhù)云原生時(shí)代的到來(lái)，如果還按原有的幾個(gè)維度切分的話(huà)，顯然容易忽略很多云原生環(huán)境引入的新挑戰，我們需要基于網(wǎng)絡(luò )安全最佳實(shí)踐——縱深防御原則，來(lái)逐步剖析「云原生的安全」，并且對不同層次的防御手段有所了解，從而建立自己的云原生安全理念，真正搭建一個(gè)內核安全的云原生系統。

以某IDaaS系統為例，我們把一個(gè)云原生系統安全模型分為 4 個(gè)層面，由外至內分別是：云/數據中心/網(wǎng)絡(luò )層、集群層、容器層、代碼層。對于這里安全模型的每一層，都是單向依賴(lài)于外層的。也就是說(shuō)，外層的云、集群、容器安全如果做得好，代碼層的安全就可以受益，而反過(guò)來(lái)，我們是無(wú)法通過(guò)提高代碼層的安全性來(lái)彌補外層中存在的安全漏洞或問(wèn)題。

?海通證券SD-WAN網(wǎng)絡(luò )應用與實(shí)踐

SD-WAN（軟件定義廣域網(wǎng)）的出現，以低成本的互聯(lián)網(wǎng)寬帶在一定程度上代替了較低流量、價(jià)格昂貴的專(zhuān)線(xiàn)來(lái)完成企業(yè)站點(diǎn)互聯(lián)，加上安裝運維管理的簡(jiǎn)易性、全局流量調度和可視分析等特性，極大地降低了企業(yè)IT投入開(kāi)支。

SD-WAN是將SDN技術(shù)應用到廣域網(wǎng)場(chǎng)景中所形成的一種服務(wù)，這種服務(wù)用于連接廣闊地理范圍的企業(yè)網(wǎng)絡(luò )、數據中心、互聯(lián)網(wǎng)應用及云服務(wù)，可以幫助用戶(hù)降低廣域網(wǎng)（WAN）的成本開(kāi)支并提高網(wǎng)絡(luò )連接的靈活性。

近兩年，SD-WAN已經(jīng)成為網(wǎng)絡(luò )領(lǐng)域的新風(fēng)向。根據近期IDC針對SD-WAN的相關(guān)調研，95%的企業(yè)已經(jīng)或將在兩年內使用SD-WAN技術(shù)，而42%的企業(yè)已經(jīng)完成部署。

?英國政府發(fā)布工具包，幫助公司改進(jìn)漏洞披露流程

英國國家網(wǎng)絡(luò )安全中心(NCSC)發(fā)布了一項指南——“漏洞披露工具包”，以幫助公司實(shí)施漏洞披露流程或在已建立漏洞披露流程的情況下進(jìn)行改進(jìn)。該指南強調，各種規模的組織都需要為鼓勵負責任的漏洞披露。

這份指南并不是讓漏洞披露更容易，而是提供了更好的流程建議及必要信息。

如今，大多數網(wǎng)絡(luò )攻擊持續發(fā)生，同時(shí)研究人員也在不斷發(fā)現新的安全漏洞風(fēng)險，所以，漏洞披露程序非常有必要。

不過(guò)，現狀是，披露這些問(wèn)題可能特別困難。因為在多數情況下，需要花費大量精力來(lái)尋找可以采取相關(guān)措施的聯(lián)系人。NCSC表示，人們希望能夠直接向負責的主體報告發(fā)現的漏洞。

2020.09.24??周四

?過(guò)去10年中，濫用機器身份的惡意軟件攻擊增長(cháng)了8倍

根據Venafi最新發(fā)布的威脅分析報告，利用機器身份的惡意軟件活動(dòng)正在極速增加。例如，從2018年到2019年，使用機器身份進(jìn)行的惡意軟件攻擊增加了一倍，其中包括備受矚目的攻擊活動(dòng)，例如TrickBot、Skidmap、Kerberods和CryptoSink。研究人員通過(guò)分析公共領(lǐng)域中的安全事件和第三方報告，收集了有關(guān)濫用機器身份的數據。

總體而言，在過(guò)去十年中，利用機器身份進(jìn)行的惡意軟件攻擊增長(cháng)了八倍，其中最近五年的增長(cháng)更快。Venafi安全策略和威脅情報副總裁Kevin Bocek說(shuō)：“隨著(zhù)數字化轉型滲透到幾乎所有基本服務(wù)，很明顯，以人為中心的安全模型不再有效?！?/span>