Java Development Team VS “Trendy Technologies” in Legacy Projects

在一個不斷發展的技術世界中,您的Java開發團隊在為遺留產品提供了多年支持之後是否過時了?我們必須首先了解遺留代碼是什麼才能完全回答這個問題。根據Wikipedia,遺留代碼是源代碼與長期支持或製造的操作系統或其他計算機技術有關。這個定義並不像人們期望的那麼清晰。 實際上,這些“關係”或換句話說,依賴關係經常導致腐敗,功能失敗,發佈時間短以及市場交付時間差。或者,更簡單地說,在包含遺留代碼的產品中運行將花費比他們需要的時間更長的時間。如上所述,上述事件是遺留軟件項目中的常客,但“持久”與“始終”是不同的,這意味著我們仍然沒有一個明確的定義。 這就是為什麼我們的工程師為遺留代碼設計自己的自定義定義的原因。只有在仔細檢查後才能對其進行評估,並且可以認為這是一種痛苦或益處。 所以這個JavaVS。現在怎麼辦 假設您有一個帶有舊代碼的產品。並且,與此同時,您正在使用新技術。這將引起一個悖論,即您想在產品中實施新技術,提高其交付速度,解決新問題和WhatsApp。 使用遺留代碼更好嗎? 新技術是否更適合該產品的選擇可能並不基於新技術,無論它們的能力如何。此選項應基於產品的初始體系結構。從理論上講,如果最初將其設計為可擴展為您,則永遠不需要新技術。 您可能仍然喜歡新框架和編程語言的外觀,但是您的項目永遠不會絕望。 確實存在著這樣的事實,即正在進行的業務決策沒有紮實的背景。 如果最初設計正確,並且可以承受當今的巨大負載和壓力,那麼使用遺留代碼將是一件輕而易舉的事情。類似於微服務架構的可伸縮產品中採用的新功能,在樂高塔上放置了更多的障礙。 可悲的是,這是一種罕見的情況。 對於較舊的項目,通常會發生這樣的事實,即企業主只是他們以前的體系結構選擇的人質。 QArea的Java專家已經指出了一種模式-遺留代碼通常既不是靜態的也不是可伸縮的。我們在這裡所做的是,我們進行詳細的審查,分析和結構化數據,以顯示產品的哪些區域存在缺陷以及如何修復它們。您已經投入了一筆小錢的項目毫無用處,並且需要總投資,甚至還需要過度投資,這簡直令人痛苦。 堅持使用Java? 當且僅當該產品不符合可擴展性和/或性能的預期標準時,才該更改舊代碼。從這裡開始,我們有兩種開發模式-考慮到整個架構將被重新設計的事實,我們可以使用Java或完全切換到另一種技術。 該選項取決於您和您的業務目標,但是我們仍然建議您使用Java。從長遠來看,它將是簡單且廉價的,並且如果使用得當,該語言仍然具有相當的可擴展性。Oracle員工每年發布帶有更新或補丁的新版本,而其中兩個無意停止。這是Java語言的一大優勢。 選擇群集! 做出決定後,無論您要使用哪種語言或技術來創建產品,合適的體系結構選擇都非常重要。在QArea,我們建議採用模塊化體系結構,因為它帶來了一系列顯著的好處。使用此模型,功能的每個元素都被視為一個單獨的群集,並且在其中進行的所有更改都不會影響整個系統。 我們在開發內部項目管理平台Timeguard時使用了這種方法,該平台可為我們的經理和客戶提供透明的,數據驅動的團隊績效分析。集群大小的功能還有另一個好處-您可以一次與多個供應商一起開發項目。我們的客戶通常在一個團隊開發核心功能而另一個團隊使用附加功能來支持它時實踐80/20模型。

Why AI chat bots are dumb (and how to make them smart)

未來就在眼前-智能AI聊天機器人開始了新時代。或不?快來學習如何為全球變化做好業務準備。 從未來的小說中解脫出來?作為2017年5月突發新聞的標題。經過1年的學習,Google的AI Alpha Go在與世界上最著名的遊戲玩家的比賽中贏得了3:1的勝利。請注意,該機器沒有預裝算法。這是從頭開始學習的。 深度神經網絡各個級別的所有節點每秒處理數百萬種可能的動作組合。 他的記憶存儲了數千場比賽,並幫助他預測了自己執行的每個動作的後果。他學得很辛苦。他贏了。 他可以在其他任何活動中擊敗人類。。目前。 如今,神經網絡允許機器使用強化學習,神經反向傳播和其他復雜算法來達到人類無法達到的最高效率。 但是,為什麼在與人工智能聊天機器人交談時不這麼認為呢?他們大多數人回答像啞巴。 這是因為我們-人類-不遵循這種模式。用戶可以向機器人詢問佛羅里達州的天氣情況,然後問他如何忘記自己的前任,然後人們可以向機器人訂購意大利辣香腸,但不像前一個那樣咸。是酒吧。 有什麼問題? 雖然AI聊天機器人可以分析文本,但他們不理解文本。即使是最聰明的人,也將其反應基於關鍵字組合。人們使用數百個同義詞和數千個同義詞的單詞組合,但情感譜的陰影不同。這些感覺和色彩的缺乏是機器學習聊天機器人看起來很愚蠢的主要原因。 另一個原因甚至更簡單。人工智能無法知道我們的短語中哪個單詞比其他單詞更重要。例如,我們要訂購披薩。我們要求自學聊天機器人添加一雙奶酪。人工智能不知道他是否應該點披薩,如果他不能照顧雙重問題,或者他不應該忘記那該死的東西,反正還是要用優質的意大利辣香腸來。 人工智能是人類語音如何處理Siri的最佳示例。它可以預訂機票,打電話,提醒您您的計劃。但是它不能解決問題,或者對您來說更重要。 2016年3月,首次成功嘗試使用人工交互式機器人解決該問題。Google推出了AlphaGo。它(他或她?)可以了解他的哪些行為幫助他實現了目標。然後,AlphaGo為未來做出結論。不用擔心,您不會帶著雙奶酪意大利辣香腸來檢查自己是否幸福。 現代的AIS通過了圖靈測試,並愚弄了90%的普通人和30%的專業心理學家和語言學家。大衛·D·拉克斯頓(David D. Laxton)描述了他的《行為和心理保健中的人工智能》一書,其中AI模擬了偏執型精神分裂症的行為,並使33%的專家相信結果是由有病的人產生的。 建築 現代的神經網絡具有多層感知器。雖然典型的低級編程僅涉及1和0,但是多個級聯的半導體神經元允許在1和0之間改變輸出信號強度。這緊密地模仿了人類大腦的工作方式。有。 工作記憶(我們稍後再討論)也是一個源自自然大腦的想法。它模擬動物如何收集不同的經驗並發展某些行為方式。 多麼聰明 […]

Is it time to test your business card payment processes?

9月初,英國航空公司宣布面臨大規模數據洩露事件。他們的網站和移動應用程序遭到破壞,約38萬客戶的個人和財務數據被盜。令人擔憂的是,Ticketmaster面臨這樣的攻擊。據稱,這兩種攻擊都是由Majekaart進行的,Majekaart是一個黑客團體,臭名昭著的是從網站上不安全的付款形式中竊取卡中的詳細信息。 如果像BA和Ticketmaster這樣的大公司都在努力保護其信用卡處理系統,這是否意味著每家企業都面臨風險?不一定是這種情況,但這確實凸顯了公司必須非常重視其卡支付流程的安全性。在這裡,我們看一下可以從這些攻擊中學到什麼。 這些違規是什麼意思? 這些違規行為表明黑客想要破壞組織的支付卡流程的一般方式,該技術被稱為跨站點腳本(XXS)。在Ticketmaster和BA攻擊的示例中,據信黑客修改了兩家公司網站上運行的第三方服務的代碼,以在處理客戶卡付款時中斷它們。  通知服務,Feedify。 數據安全合規性是否下降? 這些卡足以應對數據洩露,但它們也符合趨勢,而不是趨勢。2017年六年來首次完全符合支付卡行業數據安全標準的企業數量。 這可能是由於某些企業認為在實現PCI DSS合規性之後,他們會努力工作。實際上,保持合規性是一個不斷發展的過程,企業需要保持最新狀態。網絡犯罪分子正在不斷發展自己的策略和技術,組織需要確保相應地定制防禦措施。 現在是確保合規的時候了 請記住,這種合規性不僅僅是在您的網站上擁有認證徽標-這對於您的業務持續取得成功至關重要。處理攻擊的結果將意味著消除問題,並面臨潛在的損失。此外,不遵守這些規則可能會對您的企業處以高額罰款。 不遵循PCI DSS可能會導致組織面臨增加的交易費用,在某些情況下會導致銀行服務的退出。不遵守《通用數據保護條例》(GDPR)的情況可能會更加嚴重,對組織的罰款將超過2000萬美元(2000萬歐元)或全球營業額的4%(以較高者為準)。 從來沒有比現在更加重要的時刻了,認真對待網絡安全並確保不僅擁有適當的安全控制措施和程序來保護您的業務,而且也勢在必行。 Web應用程序測試的重要性 Web應用程序測試是一種滲透測試,專門用於識別Web應用程序中的漏洞,包括對XXS和其他類型的代碼注入攻擊的敏感性。 Web應用程序筆測試通常只需幾天即可完成,並且可以在工作時間之外完成,以最大程度地減少業務中斷。建議與能夠進行獨立評估以識別和檢測安全支出的網絡安全專家合作。 Web應用程序測試的重要性 考慮到當前的安全方案,現在是公司認真對待安全性和合規性的時候了。否則,不僅會產生大量成本,而且會對業務的長期生存能力產生深遠影響。GlobalSign的團隊隨時準備幫助我們提供全面的身份和安全解決方案,以保護企業和大型企業。

How PKI helps ease some of today’s biggest security challenges

都有安全隱患點。這是當今各種規模企業的現實。全球IT智囊團451 Alliance最近進行了研究。該組織是451 Research的一個部門,向其成員詢問了他們最大的安全隱患。前兩個包括用戶行為和網絡釣魚,如下所示。受訪者還稱端點安全,物聯網和合規性相關成本為安全挑戰。 釣魚 毫不奇怪,網絡釣魚幾乎是調查參與者關注的首要問題。網絡釣魚是一種影響每個部門和經濟的全球性現象,因此,應非常密切地監視員工的電子郵件活動。一項又一項的研究表明,網絡釣魚是如何發生的。其中一位來自云安全提供商Avanan,發現每99封電子郵件中有一封是網絡釣魚攻擊,在五天的工作周中,每位員工平均有4.8封電子郵件。 這意味著員工每天都將收到網絡釣魚電子郵件。該研究還顯示,2018年全球83%的人遭受了網絡釣魚攻擊,導致瓦解和破壞。這包括生產力損失(67%),所有權數據損失(54%)和聲譽損失(50%)。 合規成本 451聯盟的研究還發現,合規成本在IT領導者的腦海中。控制這些成本的一種方法是正確解決組織的網絡安全風險。在當今的環境中,公司需要積極主動地保護數據隱私和網絡安全。採用這種方法可以減少對昂貴的客戶的需求,並在事後減少監管信息,最終減少了公司的合規成本。 因此,美國越來越多的法規要求企業遵守,尤其是在歐洲。美國一些最重要的法規包括Sarbanes Oxley,CFR 21 Part 11,FDA ESG以及歐洲的EIDAS和GDPR。這樣一來,您將得到幫助,以確保公司因不遵守規定而陷入昂貴的和解之中。 多因素和兩因素身份驗證 這項研究的參與者還表示,他們計劃增加對多參與者認證的關注。與多形式驗證類似,GlobalSign提供兩因素驗證。這對於保護組織的敏感數據和應用程序很有必要。託管PKI為用戶和設備身份提供低成本,簡便的管理和審核,從而控制對您的服務,數據和數字資產的訪問。 端點保護 端點安全性很重要,因為黑客可以輕鬆中斷網絡與設備(“端點”)(例如手機,筆記本電腦,服務器等)之間的連接。沒有單一類型的設備,自然需要對其進行保護。 GlobalSign的自動註冊網關(AEG)在確保端點安全方面大有幫助。 AEG是一種完全自動化的託管公鑰基礎結構(PKI)解決方案,可解決現代混合企業環境中的可伸縮性。導致業務流程中斷。EEG用戶還可以提高電子郵件和麵向公眾的Web服務器的安全性。此外,GlobalSign的AEG允許為在Active Directory中註冊的所有Apple機器和設備自動配置。 物聯網安全與識別 […]

How to avoid Doxxed

在許多情況下,其意圖是導致該人騷擾或打擾他人。催眠有許多危險,但是有很多方法可以防止這種惡意活動。催眠通常是有針對性的攻擊。某人的社交媒體帖子可能會風靡一時,或者在特定的興趣小組或社交圈中廣為人知。也許他有一個不同於舞者的觀點,例如敏感或政治主題。而且可能發生的破壞是廣泛的。 最相關的稱為“拍打”。 一個人就暴力罪犯或類似人物致電執法部門,導致警察將特殊單位帶到該地點。騷擾的目標不知道發生了什麼,這種誤解可能會帶來嚴重的後果。 根據暴力和破壞的程度,可能會迫使用戶更改電子郵件地址和電話號碼。如果知道他們的工作場所,則可能是由於工作中斷和虛假舉報而終止工作的結果。 Doxxing怎麼樣? 有很多方法可以在線獲取個人信息。當發布有關他們的生活,工作,休閒活動和其他個人信息時,一個人可能沒有意識到他們提供了多少線索。向公眾開放的社交媒體資料是數據的金礦。第三方數據收集器還具有大量信息,可以與已經知道的人關聯。 黑客社區中的數據庫漫遊使闖入個人帳戶並獲得更多知識成為可能。如果某人在訪問它們的所有站點上使用相同的用戶名和密碼,而其中一個帳戶被盜,則獲取其餘信息很簡單。這就是為什麼強大的加密密碼如此重要-包括使用多重身份驗證的原因。 人們為什麼要做別人 對接背後的動機有多種形式。一個人可能會覺得自己被攻擊侮辱或侮辱了。他們想為這一事件報仇。如果一個人在互聯網上直言不諱並持有有爭議的觀點,那麼他們可以將自己擺在某人的十字準線上,而不是一個人的觀點。通常,此類反饋是由熱鍵問題引起的,而不是由常規問題引起的。 使用Twitch和其他直播服務的人如果應該禁止該人進行不當行為,則會惹惱粉絲。追隨者有時會以為自己比實際擁有更多的人際關係。儘管Doxxing背後有許多動機,但它會使人們處於不舒適甚至潛在的致命境地。 如何避免被困擾 限制對接造成的損壞的最佳方法是完全避免這種情況。以下是幾種防止在軌道上進行對接的潛在方法: 使用VPN 虛擬專用網絡通過暴露個人的IP地址和物理地址來提供出色的安全性。VPN接收用戶的Internet通信,對其進行加密,然後通過服務的服務器之一將其發送,然後再將其發送到公共Internet。在以前的博客中,我們概述了許多非常重視隱私和安全性的VPN。 在線限制個人信息 對於不親自在線共享信息的人,人們應該竭盡全力。社交媒體網站通常會提出許多挑釁性的問題,從而使攻擊者對其目標了解得更多。通過使此信息完全脫機,文件製作者通常會轉移到其他人。 審核社交媒體帖子 多年來,社交媒體資料填充了有關該人及其過去的各種數據。即使您不直接發布它,也請提防可能會意外共享此類數據的評論。 要求Google刪除信息 如果個人信息出現在Google搜索結果中,則該人可能會要求將其從搜索引擎中刪除。許多數據經紀人通常將此類數據在線上,以獲取背景調查或犯罪檢查信息。 避免在線測驗 一些測驗會提出很多看似隨機的問題,實際上是對常見安全問題的解答。此外,它還使攻擊者可以使用更多數據。提供與結果一起使用的電子郵件地址或名稱,可以輕鬆添加來自其他數據源的信息。 […]

Top 5 ways to keep your workplace safe online

在全球範圍內,網絡攻擊的數量和頻率正在迅速增加。儘管媒體關注大型跨國公司的違規行為,但現實情況是,很大一部分惡意活動都針對中小企業市場。由於小型組織的安全流程和系統本來就薄弱,所以許多是黑客的主要目標。 這些後果可能很嚴重。研究表明,在嚴重數據洩露後的6個月內,將有60%的中小型公司倒閉。對於大多數小型企業而言,IT都是其運營的中心,因此重要的是,它們必須採取強有力的安全措施。對於剛開始進入網絡空間的人們,這裡有一些重要提示。 確定當前的網絡安全狀態 您必須接受存在的問題才能面對問題。大多數中小型企業仍然不知道其數據在哪裡,誰可以訪問它以及數據的安全性。 確定您的網絡安全狀態的第一件事是進行非正式審核。程序是否已經到位?有沒有特別的弱點?聚集高級領導者和其他員工,並開始評估這些關鍵數據集。 庫存處理 無論是客戶數據,知識產權還是其他。啟動每個數字資產和基礎架構的完整列表。只有這樣,您才能確定它們的價值並確定它們的優先級。 採用模式 一旦了解了數據,資產和潛在的弱點,就可以構建成為網絡安全策略基礎的流程了。 對於小型企業來說,這可能是最令人生畏的步驟。幸運的是,NIST網絡空間框架可幫助各種規模的企業更好地了解,管理和緩解網絡安全風險,從而保護網絡和數據。該框架是一個很好的起點,它概述了最佳實踐,以幫助公司決定將最大的時間和金錢放在哪裡,以保護網絡安全。 使用所有設備作為處置 IT的消費化和雲服務(SaaS)的普及意味著現在可以使用曾經價格過高的安全設備。中小型企業應該利用這一機會,現在就使用整個鏈條。 例如,移動設備管理工具使公司可以正確管理設備及其使用的數據-即使員工使用他們的設備。結合多因素身份驗證的生物識別技術可能在幾年前是不可想像的-但現在可用於各種筆記本電腦,手機和平板電腦。虛擬專用網絡(VPN)的使用還可以擴展公司網絡,確保用戶可以在遠程或公共熱點工作-訪問數字資產-但只能通過安全的加密隧道進行。現在,任何規模的組織都可以輕鬆使用這些設備中的每一個。 受過教育,受過教育,受過教育 當涉及網絡空間時,人為錯誤幾乎始終是最薄弱的環節。這就是為什麼始終以強大的培訓策略退還網絡安全設備很重要的原因。為了使工作場所安全,對所有員工進行各種可能危害的良好教育非常重要。 員工敬業度越高,培訓就會越有效-因此請想辦法吸引他們的注意力。例如,嘗試使員工面臨日益複雜且難以引起注意的模擬攻擊並使他們參與其中。這種類型的教育會導致員工在攻擊現場很熟練-包括可疑電子郵件,其中包含基本主題行,偽造的計費附件以及旨在欺騙員工的其他社會工程手段。 資源資源 有興趣了解更多有關在日益危險的網絡空間中保持安全的信息嗎?請參閱下面的GlobalSign資源的完整列表。

A new tool for hackers – AI in cyberspace

不排除自動網絡釣魚攻擊的突然增加所造成的危機。由於人工智能(AI),機器學習和大數據,這種情況以更具體的內容和更高的準確性發生。當IT領導者將AI用於更高級別的安全性時,如果該技術落入壞人之手-壞蛋怎麼辦? 互聯網的興起和先進的計算技術意味著我們能夠觸發從天體物理學和生物系統到自動化和精確度等各個領域的複雜問題的精確解決方案。在這個快節奏的世界中,新的眨眼方式變得尤為重要,尤其是對於那些進行了數據豐富轉換的公司(例如,物聯網(IoT))而言,網絡安全是最重要的。 在很大程度上,檢測網絡異常的惡意軟件和檢測基於規則的系統的網絡簽名都依賴於文件簽名。安全性通常源於真實的病毒爆發-安全專家將惡意文件隔離開來並識別出獨特的簽名,從而幫助其他系統提高警覺和免疫力。對於基於規則的系統也是如此:根據潛在的惡意活動的經驗來設置規則,或者關閉系統以限制任何訪問以保持安全。這些方法的唯一問題是它們的反應性。黑客總是找到創新的方法來繞過已知規則。安全專家檢測到違規通常為時已晚。 人工智能撼動了網絡空間 傳統惡意軟件旨在在其發現其位置的每台設備上執行其有害功能。一個例子是noteti勒索軟件的爆發,其中立即感染了成千上萬台計算機。當攻擊者的目標是造成最大損失時,此方法有效。如果攻擊者有一個特定的目標,它就沒有效果。 但是,像人工智能這樣的破壞性技術的出現意味著我們的工具和應用程序對我們有了更好的了解。例如,iPhone X使用AI自動檢測面部。儘管這是一個主要功能,但它卻造成了一個複雜的難題,在此難題中,敏感數據更有可能落入錯誤的手中。如今,人們看到黑客使用相同的技術來開發可以查明數百萬用戶和目標的智能惡意軟件。 答:改變安全性的遊戲規則 隨著時間的流逝,攻擊變得越來越人性化,成功的機會也越來越大。黑客還開始使用AI來加速多態惡意軟件,從而導致代碼頻繁更改並使其不受歡迎。先進的策略允許黑客繞過安全措施來繞過面部防護和垃圾郵件過濾器,推廣偽造的語音命令以及異常檢測引擎。 好消息是,該情報還用於保護基礎架構。使AI網絡城市獨樹一幟的是它的適應性。智能網絡空間無需遵循特定規則。相反,它可以查看和學習模式。更好的是,AI可以直接集成到日常安全設備中,例如垃圾郵件過濾器,網絡入侵和欺詐檢測,多因素身份驗證以及事件響應。 人工智能已真正成為網絡空間的遊戲規則改變者。為了使網絡安全更加有效,人工智能可以在以下幾個特定領域提供幫助: 機器學習-人工智能和機器學習(ML)是兩個不同的世界;實際上,機器學習可視為AI的子集,主要用於提高智能。在提高網絡安全性時,它會自動填補技能差距以防止網絡攻擊。如果在網絡上檢測到任何惡意軟件,則會發送自動事件響應。此外,特定的AI機器人會完全阻止對網站的訪問。通過防止此類行為,AI可以提高Internet上組織或個人的安全性。 。人工智能能夠識別產生最佳結果的正確數據。  融合的技術和人道主義方法-最強大的安全方法結合了AI和人工干預的力量。機器學習就是一個很好的例子。人工智能有助於分解複雜的自動化流程,以進行檢測並適當應對攻擊。但是最終的挑戰是要以可預測和檢測攻擊的方式產生可測量的結果,然後再分析和阻止它們。

Why are you removing the identity of the website, Google and Mozilla?

沒有強大的網站標識就無法擁有消費者隱私 如今,在保護消費者隱私方面,掀起了一股巨大的熱潮-國會,GDPR等-但我們如何在不建立要求消費者身份的網站身份的情況下保護網絡上的用戶隱私密碼和信用卡號是嗎?擴展驗證(EV)證書可提供此信息,並且對消費者非常有用。  我們認為這是一個錯誤-希望Mozilla和Google提出使用EV數據的創新方法-而不是將其隱藏。 將近十年來,要向用戶顯示其已確認身份的網站從其證書頒發機構(CA)購買SSL / TLS證書時,已經經歷了擴展驗證(EV)流程。該過程涉及多個步驟,這些步驟是按照“了解您的客戶”規則設計的。 擴展驗證涉及確認控制證書域的組織是否適當參與並保持良好信譽,並採取措施確認其為“真實業務”,並通過其公司地址和電話號碼進行確認,並確認該人的權限訂購證書。然後,將已確認的身份信息插入到EV證書中,並進行加密簽名,以防止欺詐者更改或複制。 每個EV證書都包含有關網站背後組織的大量信息。例如,此處已向美國銀行頒發了EV證書: 該信息表明,美國銀行是特拉華州的美國公司,特拉華州公司註冊號為2927442,並已確認在芝加哥有業務。該信息清楚地標識了管理網站www.bankofamerica.com的組織,並在網站上發生任何不良事件甚至可能支持的情況下與世界(用戶,執法部門等)聯繫並聯繫信息。全球所有CA都遵循相同的EV驗證程序,並且以相同的方式在EV證書中包含身份信息。該過程已根據CA /瀏覽器論壇制定和維護的擴展驗證準則進行了標準化。 許多大型企業,包括銀行,金融機構,醫院中心等,都使用EV證書來保護其客戶和品牌,許多網絡釣魚者試圖模仿這些證書。 EV證書的主要選項是域驗證(DV)證書,其中不包含任何標識信息。 。在許多情況下,頒發CA的人不知道誰擁有該網站,並且通常無法聯繫所有者!以下是網站whoami.com的DV證書中的所有標識信息: 在過去的十年中,瀏覽器已使用具有特定EV用戶界面(UI)的特定網站的EV證書,因此用戶可以了解到該網站所有者的身份已由第三方CA確認。結果,具有EV證書的站點幾乎沒有網絡釣魚,而網絡釣魚者已遷移到使用匿名DV證書進行加密的過程,並且DV網站上的網絡釣魚激增。 Google Chrome和Mozilla Firefox即將淘汰當前的EV UI 不幸的是,谷歌瀏覽器Chrome宣布將通過其瀏覽器的下一版本Chrome 77終止特定的EV用戶界面,該版本將於2019年9月至9月生效; Mozilla將在十月這樣做。進行此更改後,用戶將僅看到用於DV站點的站點的URL。以下是用戶界面前後的示例-在這種情況下,適用於使用EV證書的美國參議院網站。 DV網站上的網絡釣魚激增。在具有EV證書的網站上保護用戶。 […]

Shed more light on the first US electric grid attack

在過去的幾周中,有關美國西部電網供應商的3月網絡蝙蝠的更多細節已被披露,這使我想起深入,及時的事件報告對我們批發電力系統的持續安全性具有多麼重要。尤其重要的是,網絡威脅的蔓延水平應針對不斷增長的互連網格。 明確地說,沒有停電,也沒有確定這是否是有針對性的攻擊。儘管如此,攻擊者還是能夠在3月5日上午9:12至6:57之間的10個小時內利用許多西美國電網運營商的防火牆漏洞,該事件導致電網提供商運營中出現週期性的“盲點” 。在加利福尼亞州克恩縣和懷俄明州匡威縣造成並破壞了電氣系統的運行。 應當指出,三月份的訪問是第一個已知事件,這是造成網格提供商的運營中斷的原因。但是,正如5月CNBC關於該事件的故事所暗示的那樣,“操作”並不指向消費者的配電,而是指公用事業內部使用的計算機系統,包括辦公功能或操作軟件。嗯 可以將其視為拒絕服務攻擊(這是預防性的)。 但是,由於這是一次比較成功的事件,它引起了人們的質疑,正如美國政府警告的那樣,公用事業公司是否為更複雜的攻擊做好了準備。 就像北美電氣可靠性公司(NERC)對未公開的美國西部電力公司的攻擊似乎表明的那樣,防火牆包含一個缺陷,可以通過更好的補丁程序管理來避免該缺陷。儘管如此,應該對NERC所發生的事件的方式表示讚賞,並且應該向網格社區提供有關所汲取的教訓的報告。 關於DDoS攻擊 在當今的網絡環境中,分佈式網絡服務(DDoS)攻擊很普遍。它們與其他類型的DoS攻擊相似,但主要區別是流量關閉了來自多個來源(而不是一個來源)的服務器或系統。攻擊在多個來源之間的分佈增加了潛在的破壞,使關閉更加困難;識別攻擊背後的惡意方也很困難。 當不同的來源通常通過殭屍網絡相互對齊時,DDoS攻擊就會起作用。殭屍網絡是被劫持的Internet連接的系統或設備的組合網絡,這些系統或設備可以作為一個組進行遠程控制。黑客經常使用它們來發送垃圾郵件或網絡釣魚電子郵件或發現銀行詳細信息。但是,它們是DDoS攻擊的重要組成部分。一些黑客還提供殭屍網絡供人租用,這可能會傷害不熟練的網絡罪犯。 借助DDoS攻擊,攻擊者通常會發現如何在無可挑剔的時間內造成最大的損失。 在過去的幾年中,從匯豐銀行和Xbox到PlayStation的所有內容都是針對性的,通常是在最糟糕的時間進行,例如重大假期。即使在更平凡的時間範圍內,也可以將其殺死,那時正是匯豐銀行受到影響的時候。 儘管以前的DDoS攻擊尚未影響關鍵基礎架構, 顯然可以達到的成功水平以及為什麼要對其進行監控。幸運的是,美國西部公用事業網絡的三月事件規模很小,並且沒有包括限制中斷的主要控制中心。 無論攻擊是否成功,散裝電氣系統(BES)運營商都必須提醒自己,他們有新的責任報告網絡安全事件,這些事件試圖破壞負責實體的電子安全範圍或監視系統。 CIP-008-6,它要求通過指定事件響應要求來降低由於網絡安全事件而導致BES可靠運行的風險, 彌補了先前事件報告要求中的重大空白。在CIP-008-6之前,僅需要報告真實的已損壞或中斷的可靠性功能。隨著我們的網格提供商的安全貨幣日趨成熟,持續的報告甚至是不成功的協議共享都只能增強BES生態系統。 隨著核心IT基礎架構中Cyber​​bat的數量和復雜性的增加,公司應不斷開發其網絡安全貨幣。現在就開始精通最新的威脅宇宙-以及它如何影響您。

What is phishing? Types, scams, attacks – and how to stop it.

網絡犯罪分子使用數百種不同的攻擊策略。網絡釣魚是經典的欺詐手段之一。儘管這是一種古老的策略,但它仍被網絡罪犯成功地進行了新的更改。 網絡釣魚的主要來源是垃圾郵件。這些是精心設計的操縱性電子郵件,旨在挖掘您電子郵件帳戶的垃圾郵件過濾器並設法顯示在收件箱中。 網絡釣魚的主要目的是獲得機密和重要的個人和組織數據。您的銀行詳細信息和公司訪問密碼是網絡罪犯最想要的信息。網絡釣魚 的各種變體當前時代的騙子使用各種網絡釣魚技術。 1.捕鯨 顧名思義,鯨魚網絡釣魚是該組織攻擊大型魚類的網絡釣魚策略。企業主,董事和關鍵人員是此網絡釣魚工具的主要目標。攻擊者在發送電子郵件之前進行了深入研究。這些電子郵件以個人語氣寫,詳細說明了組織的基本要素。發件人使用與稅務部門或任何其他政府機構相同的電子郵件地址,並詢問一些重要信息或匯款。電子郵件的總體印像是非常專業的,但是由於它以高級智能人員為目標,因此成功率非常低。 2.令人困惑的網絡釣魚 它是傳統的網絡釣魚策略之一,已經使用了數十年。垃圾郵件發送者使用類似於真實網站和大型企業的電子郵件地址。地址只是略有變化,普通的互聯網用戶通常不會注意到。該電子郵件要求您單擊一個導致假冒網頁的鏈接或在您的設備上安裝惡意軟件。目的是破解您的數據並獲得對您的機密或機密私人信息的訪問權限。 3.聽證會 農業是另一種網絡釣魚策略,在這種策略中,欺詐郵件是從真實來源(例如銀行和社交媒體網站)發送的。這些電子郵件要求您對帳戶採取必要的措施。從更改密碼到採取一些安全措施,然後巧妙地將您重定向到偽造的網頁,這無所不包。農場不僅包括欺詐性電子郵件,還增加了DNS緩存。它使用與來源相同的網址,並且看起來像原始網站。 4.魚叉式網絡釣魚 魚叉式網絡釣魚是針對特定人群的有針對性的網絡釣魚策略。電子郵件被直接發送到接收者,以解決並實現一些可靠的來源,例如教育機構或銀行。即使使用原始徽標和簽名,接收者也不會懷疑其真實性。這些電子郵件的座右銘是通過將學生和客戶都連接到所有其他網絡釣魚策略來竊取登錄詳細信息。 5. Google文檔網上誘騙 幾乎每個互聯網用戶都依賴Google Play從Play商店訪問Gmail。Gmail帳戶可讓您使用一組Google服務。大多數人都使用Google文檔來存儲文檔和照片,因為它看起來如此方便和安全。這就是為什麼黑客入侵Google密碼是騙子的主要目標之一。他們將通過電子郵件發送並將其發送給Gmail用戶,後者會將他們定向到其Google登錄頁面。輸入密碼後,詐騙者即可訪問您的帳戶及其上存儲的所有文件。 如何停止釣魚 網絡釣魚是一種廣泛使用的欺詐手段,但不是非常強大的工具。停止網絡釣魚很容易。 1.仔細檢查內容 大多數欺詐性電子郵件的內容都有很多缺陷。儘管大多數網絡釣魚電子郵件都是直接向您發送郵件並使用個人信息來欺騙您的,但它們並沒有完整的信息。如果您仔細檢查這些電子郵件的內容,您將很容易了解其真實性。 詐騙者的主要騙局是,他們利用網絡釣魚電子郵件製造了一種緊迫感。只有急忙採取行動,您才會跌倒。因此,有必要保持鎮定並明智地行動。 2.保護您的身份 […]