?微軟開源持續(xù)開發(fā)模糊測試工具OneFuzz

近日，微軟開源了OneFuzz——一個微軟內(nèi)部使用的，由開發(fā)人員驅(qū)動的持續(xù)開發(fā)模糊測試平臺。開源后，世界各地的開發(fā)人員都可以通過OneFuzz直接從其開發(fā)系統(tǒng)接收模糊測試結(jié)果。模糊測試是一種自動化的軟件測試技術(shù)，將隨機、意外、畸形和/或無效數(shù)據(jù)輸入計算機程序，試圖發(fā)現(xiàn)可能影響程序安全性和性能的異常（例如崩潰、內(nèi)存泄漏等）和意外行為。OneFuzz項目是Azure的可擴展、自托管的Fuzzing即服務平臺，該平臺聚集了多個現(xiàn)有的Fuzzer，并可（通過自動化）整合崩潰檢測、覆蓋范圍跟蹤和輸入控制等功能。

Microsoft內(nèi)部團隊使用OneFuzz來加強Windows、Microsoft Edge和其他軟件產(chǎn)品的安全性開發(fā)。

?湖南警方公布開展互聯(lián)網(wǎng)安全監(jiān)督檢查典型案例

2020年以來，株洲市公安局為貫徹落實中央網(wǎng)絡信息安全和信息化的戰(zhàn)略部署，結(jié)合正在開展的國家網(wǎng)絡安全宣傳周活動，整治網(wǎng)絡秩序，治理網(wǎng)絡亂象，查處了一批違反網(wǎng)絡安全法律法規(guī)的案件，對未來深入開展網(wǎng)絡安全宣傳具有重要的現(xiàn)實意義。

一、荷塘區(qū)某電子網(wǎng)站不履行網(wǎng)絡安全保護義務案

二、醴陵市某市民擅自建立、使用非法定性道進行國際聯(lián)網(wǎng)案

三、茶陵縣某網(wǎng)吧非法改變計算機信息系統(tǒng)數(shù)據(jù)和應用程序案

四、攸縣某APP非法獲取個人信息案

五、天元區(qū)某網(wǎng)絡科技有限公司未履行個人信息保護義務案

六、蘆淞區(qū)某醫(yī)院未履行網(wǎng)絡安全保護義務案

七、淥口區(qū)某家政公司未履行備案職責案

八、醴陵市某服飾公司不履行國際聯(lián)網(wǎng)備案指責案

九、茶陵縣某市民網(wǎng)上發(fā)布虛假信息擾亂公共秩序案

十、蘆淞區(qū)某網(wǎng)吧違規(guī)增設(shè)計算機系統(tǒng)案。

?云原生安全模型與實踐

在傳統(tǒng)的研發(fā)中，我們經(jīng)常關(guān)注的「安全」包括代碼安全、機器(運行環(huán)境)安全、網(wǎng)絡運維安全，而隨著云原生時代的到來，如果還按原有的幾個維度切分的話，顯然容易忽略很多云原生環(huán)境引入的新挑戰(zhàn)，我們需要基于網(wǎng)絡安全最佳實踐——縱深防御原則，來逐步剖析「云原生的安全」，并且對不同層次的防御手段有所了解，從而建立自己的云原生安全理念，真正搭建一個內(nèi)核安全的云原生系統(tǒng)。

以某IDaaS系統(tǒng)為例，我們把一個云原生系統(tǒng)安全模型分為 4 個層面，由外至內(nèi)分別是：云/數(shù)據(jù)中心/網(wǎng)絡層、集群層、容器層、代碼層。對于這里安全模型的每一層，都是單向依賴于外層的。也就是說，外層的云、集群、容器安全如果做得好，代碼層的安全就可以受益，而反過來，我們是無法通過提高代碼層的安全性來彌補外層中存在的安全漏洞或問題。

?海通證券SD-WAN網(wǎng)絡應用與實踐

SD-WAN（軟件定義廣域網(wǎng)）的出現(xiàn)，以低成本的互聯(lián)網(wǎng)寬帶在一定程度上代替了較低流量、價格昂貴的專線來完成企業(yè)站點互聯(lián)，加上安裝運維管理的簡易性、全局流量調(diào)度和可視分析等特性，極大地降低了企業(yè)IT投入開支。

SD-WAN是將SDN技術(shù)應用到廣域網(wǎng)場景中所形成的一種服務，這種服務用于連接廣闊地理范圍的企業(yè)網(wǎng)絡、數(shù)據(jù)中心、互聯(lián)網(wǎng)應用及云服務，可以幫助用戶降低廣域網(wǎng)（WAN）的成本開支并提高網(wǎng)絡連接的靈活性。

近兩年，SD-WAN已經(jīng)成為網(wǎng)絡領(lǐng)域的新風向。根據(jù)近期IDC針對SD-WAN的相關(guān)調(diào)研，95%的企業(yè)已經(jīng)或?qū)⒃趦赡陜?nèi)使用SD-WAN技術(shù)，而42%的企業(yè)已經(jīng)完成部署。

?英國政府發(fā)布工具包，幫助公司改進漏洞披露流程

英國國家網(wǎng)絡安全中心(NCSC)發(fā)布了一項指南——“漏洞披露工具包”，以幫助公司實施漏洞披露流程或在已建立漏洞披露流程的情況下進行改進。該指南強調(diào)，各種規(guī)模的組織都需要為鼓勵負責任的漏洞披露。

這份指南并不是讓漏洞披露更容易，而是提供了更好的流程建議及必要信息。

如今，大多數(shù)網(wǎng)絡攻擊持續(xù)發(fā)生，同時研究人員也在不斷發(fā)現(xiàn)新的安全漏洞風險，所以，漏洞披露程序非常有必要。

不過，現(xiàn)狀是，披露這些問題可能特別困難。因為在多數(shù)情況下，需要花費大量精力來尋找可以采取相關(guān)措施的聯(lián)系人。NCSC表示，人們希望能夠直接向負責的主體報告發(fā)現(xiàn)的漏洞。

2020.09.24??周四

?過去10年中，濫用機器身份的惡意軟件攻擊增長了8倍

根據(jù)Venafi最新發(fā)布的威脅分析報告，利用機器身份的惡意軟件活動正在極速增加。例如，從2018年到2019年，使用機器身份進行的惡意軟件攻擊增加了一倍，其中包括備受矚目的攻擊活動，例如TrickBot、Skidmap、Kerberods和CryptoSink。研究人員通過分析公共領(lǐng)域中的安全事件和第三方報告，收集了有關(guān)濫用機器身份的數(shù)據(jù)。

總體而言，在過去十年中，利用機器身份進行的惡意軟件攻擊增長了八倍，其中最近五年的增長更快。Venafi安全策略和威脅情報副總裁Kevin Bocek說：“隨著數(shù)字化轉(zhuǎn)型滲透到幾乎所有基本服務，很明顯，以人為中心的安全模型不再有效?！?/span>