安芯网盾内存安全周报专栏,希望帮助企业更好地理解内存安全相关问题。让用户更好地认识、发现问题,防止外部入侵等威胁、有效地对系统进行安全设计,以实时防御并终止无文件攻击、0day /Nday攻击、缓冲区溢出攻击、基于内存的攻击等恶意行为。
美国、英国、加拿大、澳大利亚和新西兰的政府机构发布了关于软件制造商消除内存安全漏洞的指导文件。
这份文件名为《内存安全策略案例》,其建议采用内存安全编程语言(以下简称”MSLs“)来消除网络攻击中常被黑客利用的代码错误。尽管工程师们努力减少内存安全漏洞,但见效甚微,解决这类漏洞的一种方法就是向MSLs过渡。该文件鼓励软件制造商创建和发布内存安全策略,以展现他们对安全成果、透明度以及对自上而下的安全产品开发方法的承诺。采用MSLs是一种业务上的迫切需要,政府敦促企业高管们来领导这一转变,要求他们公开指派负责推动安全策略发布的高级员工,以及能根据需求进行资源重新分配的高级员工。
该文件还概述了一些减缓内存安全漏洞的方法,如:开发人员培训、代码覆盖、安全代码指导、模糊测试、静态和动态应用程序安全测试工具,以及使用更安全的语言子集。采用MSLs有望提高代码的可靠性,减少修补漏洞、紧急发布和紧急更新的需要,最终降低数据泄露的可能性。该指南强调MSLs能减少受攻击的范围,使黑客意识到利用一些漏洞会更具挑战性和资源密集性。该文件还概述了向MSLs过渡的优先顺序,以及选择合适的开发语言和培训开发人员的步骤。
详细情况
据报道,被盗数据包括Roblox和Twitch等知名公司的信息,而这两家公司都是Tipalti的客户。该勒索软件组织被称为黑猫,声称他们从2023年9月8日起就进入了Tipalti的网络系统,一直未被发现,并窃取了超过265GB的机密商业数据。Tipalti在一份声明中强调其对其系统和数据安全的承诺,并表示他们将严肃对待此事,他们目前手握强大的安全协议和工具。
Roblox是Tipalti的客户之一,正在与Tipalti合作调查数据被盗事件。ALPHV勒索软件团伙采取了不同寻常的做法,在提出赎金要求之前公开了受害者的姓名,并解释说Tipalti的网络保险条款中不包括敲诈勒索的赔偿,他们相信该公司不会支付赎金。该黑客组织已经宣布他们计划单独联系Tipalti的客户进行勒索。该情形引起了人们的关注,因为黑客声称已经获得了Twitch和Roblox的数据,并打算联系这些公司,这可能会暴露敏感信息。
参考链接
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...