- 综合排序
- 最热优先
- 最新优先
- 来自专栏绿盟科技研究通讯
Serverless安全研究 — Serverless安全风险
安全架构介绍出发,对目前Serverless面临的安全风险进行分析解读,并针对每种风险提供相应的攻击实例,希望可以引发各位读者更多的思考。 ,重点放在开发者侧面临的安全风险上。 通过近期的调研,笔者总结并绘制了一幅Serverless安全风险脑图,如下所示: ? 图2. Serverless安全风险脑图 笔者将Serverless开发者测的安全风险简单分为五类,以下笔者会针对每一类进行分析说明。 的安全风险进行了介绍,Serverless技术的探索还将继续进行,下一篇笔者会根据本文提出的Serverless安全风险分享相应的防护思路,希望可以给各位读者带来更多思考。
4.1K20发布于 2020-11-11 - 来自专栏用户8715145的专栏
服务器主机安全风险有哪些?如何防止安全风险?
无论是各大网站或者各大公司,都非常在乎服务器主机安全风险有哪些以及该如何处理。因为服务器主机安全风险如果存在的话,对于服务器和网络安全性存在隐患。 服务器主机安全风险有哪些? 服务器主机安全风险有哪些呢?常见的服务器主机安全风险有一些系统漏洞,这些系统漏洞会导致电脑系统容易受到攻击。还有一些风险是来自安全证书,没有正确设置。 如何防止安全风险? 了解了服务器主机安全风险有哪些?那该如何防止这些风险呢?首先应该给服务器主机安装一些功能强大的系统防护软件以及病毒查杀软件。 只有做到万无一失,才会防止安全风险给系统带来的危险。 以上就是服务器主机安全风险有哪些的相关内容,也介绍了防止安全风险的办法。 互联网一直是一个存在安全风险的地方,因此使用计算机和服务器是应当做好安全防范。
2.9K10编辑于 2021-12-29 - 来自专栏网站漏洞修补
网站安全公司-数据安全风险分析
现代信息化系统越来越普遍,但对于数据安全方面却有很多问题,数据完整性风险不仅影响信息的有效性,还影响信息正确性的保证。一些政府条例特别注重确保数据的准确性。 如果没有安全预警、授权或审计跟踪就可以更改信息,则无法确保信息的完整性。 1.错误 计算机和存储故障可能损害数据和损害数据完整性。 关于残余风险技术失败的数据可能导致操作或合规风险(特别是对于萨班斯-奥克斯利法案要求上市公司确保其财务数据的完整性)。 2.数据删除和数据丢失 数据可能被计算机系统故障或误操作故意或无意毁坏。 关于残余风险损害或破坏的数据可能会造成重大问题,因为有效和可靠的数据是任何计算系统的基石。 如果已经出现了数据被篡改的问题,那么可以向网站安全公司求救来解决,国内像SINESAFE,绿盟,启明星辰,鹰盾安全,等等都是解决数据被篡改的安全公司。
2.1K30发布于 2020-08-04 - 来自专栏用户5637037的专栏
一种动态风险敏感顺序决策方案
原文标题:A Scheme for Dynamic Risk-Sensitive Sequential Decision Making 摘要:提出了一种动态环境下具有风险敏感目标和约束的序贯决策方案。 将神经网络训练成具有风险敏感约束的参数空间到风险空间和策略映射的逼近器。对于目标和约束是或可以用收益均值和方差函数估计的风险敏感问题,我们生成一个综合数据集作为训练数据。 我们证明:大多数风险度量可以使用收益差异来估计;利用状态增强变换,在风险敏感的情况下,可以求解具有随机报酬的马尔可夫决策过程建模的实际问题;通过数值实验验证了该方案的有效性。
45630发布于 2019-07-17 - 来自专栏绿盟科技安全情报
【风险预警】Absolute公司防盗追踪软件安全风险
该软件预置在多款型号的计算机BIOS芯片中,Computrace软件提供可用于远程控制的网络协议,无任何加密措施或认证就可以被远程服务器控制,该功能随开机启动,常驻用户计算机,有较大的安全风险。 在System32目录下分别新建以上四个文件,文件内容为空,并在每个文件的安全属性中将所有用户/组设置为拒绝“完全控制”。 ? 除此之外,用户还可以通过修改host文件,拒绝访问部分域名。
1K10发布于 2019-10-24 - 来自专栏API安全
WebSocket API安全风险解读
WebSocket API安全风险WebSocket API的安全风险主要分为两大类:常规攻击风险和特有攻击风险。以下是这两大类风险的详细解读。 ,因此WebSocket API同样面临着OWASP API 2023十大安全风险中的API2:身份认证失效风险。 WebSocket API也会存在和传统Web应用相同的安全风险,如:垂直越权、水平越权、未授权访问等等安全风险。 所以WebSocket API同样面临OWASP API 2023十大安全风险中API1:对象级别授权失效、API3:对象属性级别授权失效、API5:功能级别授权失效的安全风险。 4.3 安全风险总结实际上,几乎所有的Web漏洞都有可能出现在WebSocket中。
1.3K10编辑于 2023-07-03 - 来自专栏从救火到防火:大模型赋能云原生安全
第 5 期:AI × 云原生安全:如何用大模型打造企业级“风险决策引擎”
为什么风险决策是大模型最适合落地的安全场景?大模型天生适合三件事:模式识别复杂信息归因多维信号融合而风险决策正是:大模型的能力与风险决策天然匹配。 )四、未来趋势:安全团队将从“工具使用者”升级为“风险运营者”AI带来三件事:安全能力产品化风险决策自动化攻防模拟智能化安全团队的角色正在变成:企业风险运营决策中心。 安全团队最核心的能力是风险决策,即在海量安全信号中,运用业务上下文、威胁情报和治理成本,精准识别、优先处理并自动化缓解真正可能导致业务损失的少数关键风险。 安全的真正职责不是扫描,而是风险决策。第2期(已发布):介绍核心能力资产画像,演示如何将数百万漏洞压缩成数十个必须修的风险,实现精准打击。 第5期(本期):展望未来,讲解AI×云原生安全,即如何用大模型打造企业级的“风险决策引擎”,实现智能防火。
18710编辑于 2026-01-01 - 来自专栏ChaMd5安全团队
webpack带来的安全风险
segmentfault.com/a/1190000008961395 https://www.cnblogs.com/liemei/p/7826202.html(修复建议) 【 本文来自 ChaMd5安全团队 如需转载,请先联系ChaMd5安全团队授权。 未经授权请勿转载。 】
4.3K50发布于 2019-03-07 - 来自专栏数据安全观察
数据安全风险监测方案
是否明确数据安全风险监测、风险评估、应急响应及报告,事件处置的组织架构和管理流程;是否开展对数据安全威胁的有效监测,并实施监督检查和主动评估,防止数据篡改、破坏、泄露、非法利用等安全事件。 在通知中,风险监测、评估、应急处置被多次强调,反映出监管对数据安全“运行效果”的高度关注。 监管不再仅以事后事件作为判断依据,而是更关注金融机构是否具备持续发现风险、提前干预、闭环处置的数据安全运行能力。 基于原点安全一体化数据安全平台uDSP的敏感数据识别能力和一体化数据安全审计日志,提供全量洞察数据资产、全域追踪数据流转、全面感知数据风险能力,高效支撑数据风险处置、数据安全运营、数据安全合规内审、数据安全应急演练等活动 内置数据安全运营指标实时看板,从数据安全管理范围、数据安全措施执行情况、数据安全合规风险处置情况等维度,以指标方式和报告形式进行集中呈现和定期总结,即时掌握数据安全态势,实现持续数据安全运营。
16110编辑于 2026-02-27 启信慧眼AI驱动供应链风险决策,助力中国半导体企业安全出海
该方案以“世界风险地图”与“AI风险解读”为双引擎,让风险不仅可见,更可解,助力企业实现从风险预警、风险识别到风险决策的全链路智能闭环。 穿透历史事件与关联信息,AI输出风险决策建议值得一提的是,在本次论坛上,启信慧眼宣布针对风控模块的“AI风险解读”功能正式上线。 该功能通过大模型深度分析风险可能产生的影响,提供可落地的决策建议,帮助企业告别知道有风险,不知怎么办的困境。 以地震风险为例,启信慧眼能够实时推送震中、震级、受影响供应商等关键信息,标出预计影响时长,并结合历史地震数据与专业评估模型,预测对供应链的潜在冲击,给出具体决策建议。 50km内关键供应商开展设备安全评估等决策建议。
16810编辑于 2025-10-15- 来自专栏网络安全技术点滴分享
网络安全风险评估指南:CISO如何通过风险评估提升安全防护
安全负责人经常被问及当前最大的网络风险,但企业面临的具体风险程度究竟如何?CISO应当能够回答这个问题。通过网络安全风险评估,CISO不仅能识别企业具体风险,还能直观展示工作成果。 这种方式能早期发现风险并采取应对措施,网络安全领域同样如此:定期风险评估能帮助安全团队识别漏洞和优化潜力,但此类评估尚未全面普及。 网络安全风险评估的四大优势CISO将风险评估纳入工作后可获得以下收益:识别漏洞undefined评估帮助企业发现IT基础设施、网络和系统中的安全漏洞,从而在漏洞被利用前及时修复。 智能决策与成本控制undefined评估让企业全面了解网络风险,既能制定精准的风险缓解策略,又能实现更有针对性的安全投资。聚焦数据风险企业数据是网络攻击的主要目标。 评估过程还可能暴露其他安全问题,例如:进行中的网络攻击已使用15年的Kerberos密码定期开展风险评估不仅能推动数据安全进步,还能为管理层提供直观的改进证明,使CISO的安全工作成果具象化。
35710编辑于 2025-09-28 - 来自专栏FreeBuf
智能门铃背后的安全风险
改善物理安全不应以网络安全和隐私泄露为代价。对此,网络安全研究人员、立法者和网络隐私倡导者关于智能门铃的安全性发现了一些问题。 参议员写道:“那些美国客户选择在房屋内外安装Ring产品是因为他们相信Ring摄像头能使社区更加安全。因此,他们有权知道谁在查看他们提供给Ring的数据,以及该数据是否安全。” 网络安全问题 智能门铃的防护性与隐私性是有点矛盾的。当智能门铃不会潜在地侵犯隐私时,它们可能也缺乏必要的网络安全防护,无法按承诺工作。 在2016年,一家测试安全漏洞的公司发现Ring设备存在一个漏洞,该漏洞可能使黑客窃取WiFi密码。 对于许多用户来说,他们认为智能门铃可以帮助防止社区盗窃或为保障孩子安全。这是一项让人安心的技术。但是,网络安全漏洞、隐私侵犯以及试图使公务人员代言产品这些问题反而违背了客户初衷。
99910发布于 2020-02-12 - 来自专栏FreeBuf
物联网安全风险威胁报告
物联网安全的威胁风险也主要来自于这四部分。 二.物联网安全威胁现状及预防 惠普安全研究院调查的10个最流行的物联网智能设备后发现几乎所有设备都存在高危漏洞,主要有五大安全隐患,一些关键数据如下: 80%的IOT设备存在隐私泄露或滥用风险; 80% 预防: 经调研,大部分云端的威胁风险都来自于云服务提供商自身的平台漏洞,但云服务使用者过于简单的应用部署以及对敏感数据保护的不重视,也是导致威胁风险的重要原因。 ? 2).在攻防对抗中占据主动地位 能够掌握企业整体的安全态势,可主动发现潜在安全风险,及时知道谁、什么时间、做过什么样的攻击、攻击是否成功、目标系统受影响程度,并且在第一时间内解决遇到的安全问题。 3).保障业务安全、连续、可用 尽可能降低因网络攻击造成业务系统受影响的安全风险,比如最常见的DDOS、CC 攻击。 3.3.如何做好安全? 1).树立正确的安全观 安全是相对的。
3K50发布于 2018-02-24 - 来自专栏渗透云笔记
基于数据安全的风险评估(三):风险分析与评估
综合安全事件作用资产价值及脆弱性的严重程度,判断事件造成的损失及对组织的影响,即安全风险。 ? 风险分析原理 本篇将从风险计算、风险结果判定、风险处置、风险评估四个方面进行介绍。 风险计算三个关键环节: 安全事件发生的可能性=L(威胁频率,资产脆弱性)=L(T,V); 安全事件发生后的损失=F(资产价值,脆弱性严重程度)=F(Ia,Va); 风险值=R(安全事件发生的可能性 自评估:由组织发起,以发现系统现有弱点,实施安全管理为目的。适用于对自身进行安全风险识别和评价,并选择合适的风险处置措施,降低评估资产的安全风险,定期性的评估可纳入数据安全管理规范及管理办法中。 数据生命周期内数据审计、脱敏检查; 五 总结 数据安全风险评估与信息系统的风险评估应是子与父的关系,数据安全风险评估可融合其中也可独立与已有风险评估体系之外运转。 风险评估流程示例图 基于数据安全的风险评估分四个部分已全部介绍完毕,写该系列文章其意义是发现业界没有针对数据层面进行风险评估体系化文章,所以利用自身数据安全经验,查阅了相关标准完成了以数据为中心的风险识别框架
3.5K41发布于 2020-03-12 - 来自专栏SDNLAB
云计算时代的安全风险
这些事件再次向供应链专业人员敲响了确保数据安全的警钟。以下几个变量将会发挥作用:如果数据以电子方式存储在内部服务器上,网络基础设施是否提供了分层级的安全性? 超过30%的人表示他们仍然在文件柜中存储合同,这些方式都会使企业面临巨大的风险。 除了明显的安全问题之外,数据泄露不仅危及这些数据来源的保密性和可访问性,而且可能损害CSP和用户的声誉。 但是,通过适当的提供商,您的数据在长期来看将会更加安全。 许多第三方平台提供强大的安全层,但如果代码不好,没有正式的程序显示他们在应用程序安全性方面很强,用户应该重新评估他们的云。 ☘ 频繁的软件升级,它提供一个良好的机制,以确保安全和风险缓解。
2.4K30发布于 2018-03-30 - 来自专栏云计算D1net
云计算安全风险:你的行业安全吗?
信息安全解决方案并非万能,在制定计划前,你需要将行业特性考虑在内。 涉及到企业云部署带来的安全风险及危险时,更是如此。 正因如此,CloudLock的第四季度网络安全报告中提到了八个不同行业的云计算威胁以及预防措施。 首先,让我们看下共同的趋势。 这些行业的暴露风险也相当高。平均而言,1%的员工拥有71%的的企业数据以及74%的客户数据。 仔细分析研究,问题就开始不断发散。让我们先看看零售业。 确定了最大的隐忧后,CloudLock报告建议企业对员工进行培训并根据新威胁来重新审查安全策略。 潜在的法律风险非常巨大,年轻的用户群让情况变得更加复杂起来。 高等教育 高等教育云计算中,保护学生信息及内容是最优先考虑的事。PII是最大隐忧,PCI紧随其后,分别占77%和61%。
2.9K81发布于 2018-03-23 - 来自专栏网络安全攻防
【SDL实践指南】安全风险评估实施
基本介绍 信息安全风险评估是信息安全保障工作的重要内容之一,它与信息系统等级保护、信息安全检查、信息安全建设等工作紧密相关并通过风险发现、分析、评价为上述相关工作提供支持 术语概念 识别(Identify 角色与职责划分 同时为确保风险评估工作的顺利有效进行,应采用合理的项目管理机制,主要相关成员角色与职责说明如下表所示: 风险评估领导小组 风险评估工作领导小组主要负责决策风险评估工作的目的、目标 ,具体包括: a) 帮助被评估组织和实施方规划风险评估项目的总体工作思路和方向 b) 对出现的关键性难点问题进行决策 c) 对风险评估结论进行确定 评估启动会议 为保障风险评估工作的顺利开展、确立工作目标 ,哪些资产存在脆弱性,一旦安全事件发生,那么造成的损失有多大 信息安全风险各识别要素的关系R=F(A,T,V),其中R表示安全风险计算函数,A表示资产,T表示威胁,V表示脆弱性 风险计算 组织或信息系统安全风险需要通过具体的计算方法实现风险值的计算 安全整改是风险处理中常用的风险消减方法风险评估需提出安全整改建议,安全整改建议需根据安全风险的严重程度、加固措施实施的难易程度、降低风险的时间紧迫程度所投入的人员力量及资金成本等因素综合考虑 对于非常严重
3.2K20编辑于 2023-03-29 - 来自专栏从救火到防火:大模型赋能云原生安全
安全的真正职责不是扫描,而是风险决策
真正的安全价值,不在于检测的技术深度,而在于风险决策的能力。为此,我们将推出系列连载《从救火到防火:LLM时代的云原生风险源头治理实战》。 安全的真正职责不是扫描,而是风险决策。•第2期:介绍核心能力资产画像,演示如何将数百万漏洞压缩成数十个必须修的风险,实现精准打击。 •第5期:展望未来,讲解AI×云原生安全,即如何用大模型打造企业级的“风险决策引擎”,实现智能防火。让我们从今天开始,停止无效的扫描,掌握风险决策权,将资源投入到最高价值的风险上。 安全的真正职责不是扫描,而是风险决策一、今天安全行业的最大误区把“查漏洞”当成价值,把“修漏洞”当成结果。 ,它让安全团队的角色从:“报警中心”→“风险治理的决策中心”。
16910编辑于 2025-12-07 - 来自专栏绿盟科技研究通讯
【云原生应用安全】云原生应用安全风险思考
的这一特征实际上降低了安全风险。 《Serverless安全研究 — Serverless安全风险》文章。 】微服务架构下API业务安全分析概述 关于星云实验室 星云实验室专注于云计算安全、解决方案研究与虚拟化网络安全问题研究。 基于IaaS环境的安全防护,利用SDN/NFV等新技术和新理念,提出了软件定义安全的云安全防护体系。承担并完成多个国家、省、市以及行业重点单位创新研究课题,已成功孵化落地绿盟科技云安全解决方案。 包括云安全实验室、安全大数据分析实验室和物联网安全实验室。团队成员由来自清华、北大、哈工大、中科院、北邮等多所重点院校的博士和硕士组成。
2.9K33发布于 2021-08-06 - 来自专栏CloudBest
Gartner发布云计算安全风险评估 列出7大风险
2008年7月3日消息,据国外媒体报道,研究机构Gartner近日发布一份名为《云计算安全风险评估》的报告,列出了云计算技术存在的7大风险。 Gartner表示,云计算需要进行安全风险评估的领域包括数据完整性、数据恢复及隐私等。此外,还需对电子检索、可监管性及审计问题进行法律方面的评价。以下是Gartner列出的云计算7大风险: ? 1.特权用户的接入 在公司外的场所处理敏感信息可能会带来风险,因为这将绕过企业IT部门对这些信息“物理、逻辑和人工的控制”。 2.可审查性 用户对自己数据的完整性和安全性负有最终的责任。传统服务提供商需要通过外部审计和安全认证,但一些云计算提供商却拒绝接受这样的审查。面对这样的提供商,用户只能用他们的服务做一些琐碎的工作。
2.1K30发布于 2019-08-02
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号