>> 作為全世界矚目的安全公司以及安全會議的主辦者——RSA,
最近在自己的RSA2018大會上出了個大烏龍。
一個叫svbl的安全專家在RSA大會的專用app的某個API上發現了一個漏洞:任何一個有RSA會議帳號的人都能利用這個API獲取所有參會者的名字。
svbl表示自己只拿了114名參會者的名字,
並且沒有其他人發現這個漏洞,
而RSA也緊急修復了這個漏洞。
這還不是RSA第一次出現烏龍事件,
早在2014年的時候,
就有人發現RSA的會議app寫得太爛了以至於駭客可以通過中間人攻擊竊取憑證和個人資訊。
>> 近日,
美國食品與藥物管理局督促全球範圍內,
從Abbot Laboratories進行心臟植入的患者,
儘快前往附近的醫療中心進行一次固件升級——原因之一就是現有的固件有一個漏洞。
該漏洞會讓攻擊者發現並利用,
從而對患者的設備發送遠端指令,
造成潛在的電量加速流失隱患。
而這次的固件升級會增加一層安全保護,
禁止未授權的設備進行連接。
>> 一個很有意思的現象:公司讓安全專家加班、願意付更高的薪水、投資更昂貴的技術、甚至訓練非IT人員去進行安全工作——這些都比深造他們自己已有的安全人員優先度高。
近日由Booz Allen和KRC研究的報告指出,
在250名IT決策人員當中,
83%的人表示公司在安全方面有空缺職位,
72%的人表示很難找到高級安全技術人才,
比如漏洞捕手和惡意軟體逆向工程師。
Booz Allen的副總裁Anil Markose說,
由於技術越來越先進,
對技術人員的要求也越來越高,
而公司寧可去雇傭短期合同工來解決技術難題——這實際上造成了更大的安全問題。
從調查結果來看,
受訪者對自己針對安全的優先解決方案主要為使用工具軟體(56%)、訓練非安全人員(52%)以及加班(45%)。
而為了在競爭安全人才中更具競爭力,
受訪者的首選方式為高薪(54%)、不斷投資新技術(51%);而和員工發展相關的學徒機會以及培訓機會則只有35%和34%。
#牛道消息20180426
