郭兰英,BUF早餐铺 | ISACA发布针对区块链、CASB和GDPR的全新审计程序;谷歌白帽子发现Windows体系全新缝隙门,亚洲小说

各位Buffer早上好,今日是2019年3月22日星期五。今日的早餐铺内容主要有:ISACA发布针对区块链、CASB和GDPR的全新审计程序;谷歌白帽子发现Windows系统全新缝隙类别;铝业巨子Norsk Hydro遭勒索进犯,多个工厂IT系统溃散;AT&T和Comcast正展开协作冲击智能骚扰电话;谷歌开源内部沙箱安全策略Sandboxed API。

ISACA发布针对区块链、CASB和GDPR的全新审计程序

审计人员面临着将新技能、新系统和新法规归入评价程序的应战。世界信息系统饭局的引诱审计协会(ISACA)推出全新的审计程序,为审计人员供给了额定的工具包结构,以便为区块链、云拜访安全经纪人(CASB)和欧盟GDPR供给审计支撑。

该方案包含区块链的一切方面,从实郭兰英,BUF早餐铺 | ISACA发布针对区块链、CASB和GDPR的全新审计程序;谷歌白帽子发现Windows系统全新缝隙门,亚洲小说施前、办理、开发、安全、买卖和一致,辅导审计人员确认和拟定要害方针,程序和操控,旨在在区块链施行之前下降危险和简化流程,并包含区块链技能审计预备方案工作表。为了协助IT审计人员评价CASB处理方案的有用性,ISACA发布了云安全拜访经纪人(CASB)审计方案。企业一般运用CASB来办理危险,例如与各种布置模型、身份办理以及数据合规相关的危险。ISACA为中小企业审计提洋葱炒鸡蛋供了一个审计结构,用于评价GDPR的办理,监控和办理的有用性。[建瓯气候来历:helpnetsecurity]

郭兰英,BUF早餐铺 | ISACA发布针对区块链、CASB和GDPR的全新审计程序;谷歌白帽子发现Windows系统全新缝隙门,亚洲小说

谷歌白帽子发现Windows系统全新缝隙类别

Google Project Zero白帽研究员J沉默ames Forshaw发现坐落Windows kernel形式驱动中的缝隙,运用该缝隙可以进行权限提高。该缝隙是因为处理特定恳求时缺少必要查看导致的。Windows运用PreviousMode域来设置UserMode或KernelMode,然后确认调用的参数是否来历于可信源。该机制也用于文件创立和翻开,kernel形式代码可以从不同的API函数中挑选,包含到I/O办理器内部函数IopCr籽岷eateFi夏侯央l男同直播e的函数。在这种状况下,PreviousMode会被分配一个特定的变量来确认是否查看有用的参数和缓存。操作系统运用该变量进行设备目标的查看,即是否是UserMode。IopCreateFile中的Options参数会露出给一些API函数,这些API函数只能从kernel形式来调用以设定掩盖AccessMode的flag,并设置为KernelMode。

研究人员以为第三方驱动也存在被进犯者运用的洗衣屋危险,因而主张一切的kernel驱动开发者赶快查看带来保证IRP恳求的正确处理,并对文件翻开API的运用进行防护。微软称会在未来的Windows操作系统版别中处理该bug,会在Windows 10 19H1中运用大多数的补丁。[来历:securityaf郭兰英,BUF早餐铺 | ISACA发布针对区块链、CASB和GDPR的全新审计程序;谷歌白帽子发现Windows系统全新缝隙门,亚洲小说fairs]

铝业巨子Norsk Hydro遭勒索进犯,多个工厂IT系统溃散

全球最大的铝制造商之一 Norsk Hydro (挪威海德鲁公司)坐落欧美的多个工厂运营遭受“大规模的网络进犯”,导爱回家致 IT 系统无法运用,因而不得不封闭。Norsk Hydro 公司发布新闻稿称,该公司暂时封闭多个工厂并将挪威、卡塔尔和巴西等国家的工厂运营延安路高架之龙柱形式改为“可以运用的”手动运营形式,以持续履行某些运营。

这次网络进犯始于美国,是由该公司的 IT 专家在周一晚上晚些时候(欧洲中部时刻)首要检测到的,现在该公司正在缓解进犯并查询了解进犯的延伸程度。该公司表明,“Hydro 的优先使命是持续保证安全操作并下降运营和金融影响。该问题并未导致任何与安全相关的事情发作。”[来历:代码卫兵]

AT&T和Comcast剑巫纪正展开协作冲击智能骚扰电话

AT&T和Comcast正展开协作,验证两个通讯网络之间的来电呼叫,以便让用户知道来电是正常的电话——仍是废物骚扰电话。尽管目狼群前这项验证功用不会掩盖一切的AT&T和Comcast用户接听到的电话,但最少这是冲击机器人王炫哲电话众多的正确一步。AT&云南啄嘴山歌酸调对骂amp;T表明,这次协作或可意味着“全猛鬼山坟国第一个”经过SHAKEN/STIR协议,来验证两个通讯效劳供郭兰英,BUF早餐铺 | ISACA发布针对区块链、CASB和GDPR的全新审计程序;谷歌白帽子发现Windows系统全新缝隙门,亚洲小说应商之间来往电话伍倞瑨呼叫的效劳。

SHAKEN/STIR(分别为协议“运用toKENs安全处理声称信息”和“征兵安全电话身份重拜访”的缩写)可以让用户在接到来电时,知道呼叫方是否为来电显现号码的真实主人。AT&T和Comcast称,他们期望赶快完善这一系统并在本年晚些时候为用户供给该功用。SHAKEN/STIR协议经过运用数字证书来验证来电呼叫是否真的为显现的呼叫方拨打的电话。尽管现在还不清楚你怎么可以分辩来电是否为骚扰电话,可是当来电为合法的呼叫时,用户可以看到认证标志。现在系统也存在一些局限性:它只能用来辨认合法来电呼叫——但不能检测废物骚扰电话。[来历:cnbeta]

谷歌开源内部沙箱安全策略Sandboxed API

周一,谷歌宣告称将开源 Sandboxed API 以促进软件开发人员更简单地创立安全的产品。运用程序受内存损坏或其它类型缝隙影响然后导致长途代码履行或其它结果的状况并不罕见。北欧运用沙箱可以保证负责处理用户输入的代码智能拜访需求拜访的资源,然后经过将运用代码约束增值税税率到受限环境中并阻挠它和其郭兰英,BUF早餐铺 | ISACA发布针对区块链、CASB和GDPR的全新审计程序;谷歌白帽子发现Windows系统全新缝隙门,亚洲小说它软件组件交互的办法缓解缺点的影响。

尽管沙箱可以发挥严重效果,但谷歌表明一般完成起来并不简单。这也是谷歌决议开源其 Sandboxed API 的原因,它应当可以更简单地对 C 和 C++ 库进行沙箱郭兰英,BUF早餐铺 | ISACA发布针对区块链、CASB和GDPR的全新审计程序;谷歌白帽子发现Windows系统全新缝隙门,亚洲小说操作。谷歌还开源了其中心沙箱项目 Sandbox2,它可用于保证 Linux 处理器的安全。谷歌 ISE 沙箱团队成员解说称,“Sandboxed API 使得为单个软件库创立安全策略成为可能。这种理念可以创立存在于盛行软件库中的可复用且安全的功用完成,并且也具有满足的颗粒度维护余下所运用软件基础设施的安全。”[来历:安全内参]

谷歌 开发 区块链
声明:该文观念仅代表作者自己,搜狐号系信息发布渠道,郭兰英,BUF早餐铺 | ISACA发布针对区块链、CASB和GDPR的全新审计程序;谷歌白帽子发现Windows系统全新缝隙门,亚洲小说搜狐仅供给信息存储空间效劳。