安全焦点

包含1.76亿巴基斯坦手机用户的数据库被在线销售

黑客正在出售一个据称包含超过1.76亿巴基斯坦公民个人详细信息的数据库。显然，该数据库是该国不同电信公司的数据的汇总，并全部被出售以获取利润。该数据库包含的个人数据中包括全名，实际地址和电话号码。

Fidelis、Mimecast、Palo Alto Networks亦遭受SolarWinds攻击事件影响

这些供应商证实安装了受污染的SolarWinds Orion应用程序更新。

TikTok 漏洞可能暴露用户的个人资料数据和电话号码

网络安全研究人员披露了TikTok中现已修复的安全漏洞，该漏洞可能使攻击者能够建立该应用程序的用户及其关联电话号码的数据库，用于将来的恶意活动。

万锦地产公司遭网络攻击 客户个人资料恐泄露

总部位于万锦市的地产经纪公司Living Realty近日警告客户，由于去年11月遭遇网络攻击，客户的个人信息可能已经被盗。

安全风险

2020年五大漏洞之三

CVE-2020-9850/ZDI-20-672：Apple Safari JIT模式下的类型混淆远程代码执行漏洞

这个漏洞是由乔治亚理工系统软件与安全实验室的团队在春季Pwn2Own竞赛中报告的，该漏洞同时也是一条有趣漏洞利用链（与Webkit的类型混淆问题有关）的一部分。由于这个漏洞，Safari将具备执行“.app”符号链接的能力，这是由OpenGL的CVM（核心虚拟机）中的堆溢出漏洞所导致的。此外，由于竞争条件的存在，将有可能在cfprefsd和kextload中实现root访问或权限提升。研究人员在Pwn2Own上成功演示了该漏洞，并赢得了七万美金的漏洞奖励。这个漏洞的利用场景比较可怕，因为当一个毫无防备的受害者在访问一个简单的网页时，这一切他都是毫不知情，因为浏览网页10秒后，恶意代码将会在目标用户的设备上运行，一切都是在后台悄悄完成的。

企业安全

企业安全有哪些事？（4）

针对互联网业务比重较大行业安全包括哪些内容，可以概括为：

信息安全管理（设计流程、整体策略等）：这部分工作约占总量的10%，比较整体，跨度大，但工作量不多。

基础架构与网络安全：IDC、生产网络的各种链路和设备、服务器、大量的服务端程序和中间件，数据库等，偏运维侧，跟漏洞扫描，打补丁，ACL，安全配置，网络和主机入侵检测等这些事情相关性比较大，约占不到30%的工作量。

应用与交付安全：对各BG，事业部，业务线自研的产品进行应用层面的安全评估，代码审计，渗透测试，代码框架的安全功能，应用层的防火墙，应用层的入侵检测等，属于有点“繁琐”的工程，“撇不掉、理还乱”，大部分甲方团队都没有足够的人力去应付产品线交付的数量庞大的代码，没有能力去实践完整的SDL，这部分是当下比较有挑战的安全业务，整体比重30%+，还在持续增长中。

业务安全：包括账号安全、交易风控、征信、反价格爬虫，反作弊反bot程序、反欺诈、反钓鱼、反垃圾信息、舆情监控（内容信息安全）、防游戏外挂、打击黑色产业链、安全情报等，是在“吃饱饭”之后“思淫欲”的进阶需求，在基础安全问题解决之后，越来越受到重视的领域。整体约占30%左右的工作量，有的甚至大过50%。这里也已经纷纷出现乙方的创业型公司试图解决这些痛点。

文/上海蓝盟 IT外包专家

• 上一篇: 中小企业喜获“上海市质量金奖” ，蓝盟IT外包以匠心品质树立行业标杆
  下一篇: 蓝盟IT外包观点，企业如何选择合适的IT外包方式，哪些内容适合外包？哪些需要自己把控，是一个动态的过程

• 分享到：