阿里聚安全年终盘点|2017互联网安全领域十大话题

  • 时间:
  • 浏览:1

明确了网络运营者的安全义务;

八、KRACK-WiFi漏洞

确立了关键信息基础设施重要数据跨境传输的规则。 

今年11月底,由下一代互联网国家工程中心牵头发起的“雪人计划”已在全球完成25台IPv6根服务器架设,中国部署了其中的4台,打破了中国过去那末根服务器的困境。

阿里巴巴高级算法专家王炎分享《生物识别:阿里巴巴在移动端的核身技术实践》,讲述了阿里实人认证技术和声纹识别技术为移动端设备提供额外的安全性。

8月28日大疆表态推出“大疆威胁识别奖励计划”,最低奖励为400美元(约合人民币658元),最高3万美元(约合人民币197457元),金额根据威胁潜在的影响而定。

勒索软件的风险另俩个劲存在,2017上三天5月份,wannacry的爆发,小到当时人,大到企业、医疗卫生,民生政务,教育机构皆受到不同程度威胁,风头一时无二。

阿里安全技术平台团队第一时间对该漏洞做出详尽的漏洞分析报告,并提出漏洞安全加固建议。

面对不多的网络恶意应用,去官方应用商店下载是个不错的选取。但事实证明,官方应用商店也都不 那末的让他放心。

但是一时间各安全厂商与当时人用户人心惶惶,好在暂未发现在野利用实例,而微软、苹果机苹果机苹果机等厂商都及时发布补丁。

11月4日报道,安全研究人员Dexter Genius近期发现黑客利用官方 Google Play商店作为恶意软件存储仓库、部署冒牌WhatsApp应用。

12月初,中共中央办公厅、国务院办公厅印发了《推进互联网协议第六版(IPv6)规模部署行动计划》,加快推进IPv6规模部署,IPv6城域网、政府网站IPv6双栈化改造、IPv6城市公共无线网络等均已但是开始了了英语 试点和部署,互联网BAT次要内容已支持IPv6访问,流量增长更慢,新的网络环境以及新兴领域均将面临着新的安全挑战。

下三天Bad Rabbit(坏兔子)在欧洲的肆虐,让西方的企业政府等部门,在勒索软件的阴影下,瑟瑟发抖。

云栖大会阿里巴巴分享核身实践:利用生物识别技术进行身份认证、人机交互机会成为什么么都移动端产品的重要趋势。阿里实人认证技术都可以 利用活体检测、人脸对比等并结合权威数据源与阿里实人可信模型,判定用户身份真实性、有效性的在线身份校验服务。

总结:当然,2017年安全领域的关键词还有但是,小编下发的也但是一小次要,阿里聚安全在2017年有但是收获都不 某些缺陷,在此与亲们共勉,希望在2018年能继续为用户提供满意的安全服务,同去进步!感恩!

《网络安全法》第二十四条  网络运营者为用户办理网络接入、域名注册服务,办理固定电话、移动电话等入网手续,机会为用户提供信息发布、即时通讯等服务,在与用户签订协议机会确认提供服务时,应当要求用户提供真实身份信息。用户不提供真实身份信息的,网络运营者不得为其提供相关服务。

针对IPv6安全,计划中重点要求升级安全系统,强化IPv6地址管理,增强IPv6安全防护,加强IPv6环境工业互联网、物联网、车联网、云计算、大数据、人工智能等领域的网络安全技术、管理及机制研究,构筑新兴领域安全保障能力。

十、iOS11.2  完美越狱

10月中下旬,安全研究人员Mathy Vanhoef在WPA2协议的四次握手过程中发现了严重的安全漏洞KRA(Key Reinstallation Attacks),机会影响所有WiFi设备,利用這個 漏洞发起的攻击就叫KRACK攻击。

导语:2017年即将过去,2018新年还有三天,回顾2017,看似很平淡地过去了,但总有某些印记让亲们印象深刻。作为互联网安全领域的一份子,阿里聚安全时刻关注着互联网行业的安全事件,让亲们同去来盘点2017年安全圈的某些大事吧,看看否有有与你关注的差不多~

12月初,英国广播公司(BBC)当地时间12月10日报道,BBC记者约翰·苏德沃斯在我国贵阳体验 “天网工程 ”,在被手机拍下一张面部照片后,仅仅 “潜逃”七分钟,就被中国警方抓获。

阿里安全潘多拉实验于2017年成立,此前仅在阿里先知创新大会上露过一次面,其安全研究员用视频演示了安卓8.0的Root提权和iOS 11.1的完美越狱。

年初,“SMSVova”恶意系统进程隐藏在一款虚假的“软件更新”系统进程中,并通过短信从攻击方接收指令,以执行诸如为“SMSVova”间谍软件设置和更改密码以及检索位置数据等功能。

了解业务安全端安全方面应该注意的风险,区分业务风险优先级,关注纵深防御节点,做出平衡业务的选取,都都可以 使业务安详细门更敏捷,更具有弹性。在云栖大会的移动安全专场,阿里巴巴集团的安全专家们就业务安全端方面做了某些分享。

相关阅读:

赏金计划的推陈出新和赏金额度的不断提高表现了业内对安全的日益重视,但全球安全人才缺口巨大,整体形势依然严峻。

进一步完善了当时人信息保护规则;

被称为黑客世界杯的移动Pwn2Own黑客大会今年表态,攻破iOS奖励30万美元。根据安全漏洞的不同,奖金都不 变化。

WannaCry利用窃取自美国国家安全局的黑客工具EternalBlue(永恒之”)实现了全球范围内的快速传播。但是,WannaCry 2.0,手机“农药”辅助软件勒索病毒,国产一键生成Android勒索软件制作工具接二连三另俩个劲再次出现。

三、漏洞与赏金

七、云栖大会(杭州)-移动安全专场

九、IPv6部署

 “非完美越狱”后的手机一旦重启,需重新手动操作一遍越狱流程。而完美越狱可在重启手机后,能自动执行越狱代码,在重启前完成越狱。

10月20日消息,为了清除Google Play商店中的漏洞,谷歌本周四启动新项目,但是开始了了英语 向发现Android应用漏洞的安全专家提供奖励。承诺每发现另俩个漏洞,安全专家获得的奖励至少为4000美元。

建立了关键信息基础设施安全保护制度;

2017年9月16日,“2017网络安全博览会暨网络安全成就展”(网络安全周)上,在数据安全、隐私保护备受关注,网络黑灰产日渐猖獗,作案手段不断翻新的背景下,阿里巴巴分享了阿里系最新的“十大安全黑科技”。其中内容安全技术迎合主流的人工+智能的审核土办法,成为了众多企业开发者考察的对象。

一、勒索软件与安全

信息爆炸的时代,网络内容的简化性成几何上升。诸如网络鉴黄师,网站内容审核,贴吧论坛管理员等等会对网络内容安全进行审核。但网络上动辄以万亿计数的信息条目让他工审核捉襟见肘。过去,只有增加审核人员二根路,但是高效率的工作,接收不多的负面信息让内容审核岗位成为冷门。

研究人员龙磊表示,理解iOS系统,研究它的安全机制,验证苹果机苹果机苹果机系统否有有有“缺口”才是实验的目的。这也是但是潘多拉实验室另俩个劲没发布越狱工具的意味之一.。

阿里安全技术平台团队针对IPv6安全防护问题报告 报告 从IPv6安全威胁结合互联网网络安全运营视角进行了重点分析,同去探讨了互联网IPv6网络安全保障体系面临安全风险及加固建议。

12 月13日,阿里安全潘多拉实验室称,机会完美越狱苹果机苹果机苹果机iOS 11.2。一天后,在苹果机苹果机苹果机发布了iOS 11.2.1但是的数小时内,亲们又演示了针对该版本的完美越狱。

五、实人认证与安全

明确了网络空间主权的原则;

2017年10月11日-14日在杭州召开了云栖大会,迎来世界各地4万多位开发者、创业者、科学家、行业先锋们。

二、应用商店安全

四、网络内容安全

六、《网络安全法》

而国外科技作者Johnny Lin发表一篇名为《如何利用App Store月入30万美金》,揭苹果机苹果机苹果机应用商店存在一类诈骗APP,利用广告刷榜加指纹支付骗取用户订阅,“诈骗订阅”的存在凸显了苹果机苹果机苹果机应用商店审核机制的不完善以及用户操作过于粗心大意。

2016 年11月7日,全国人大常委会表决通过的《中华人民共和国网络安全法》,于2017年6月1日起施行。这部法律填补了我国关于网络安全犯罪行政处罚方面的空白,它有6个亮点:

……

对企业而言,比较侧重于企业安全,比如企业应该为什么么去保护信息、为什么么去保护网络安全等。此后企业有了更具体的义务和责任去维护网络安全,并对用户和客户负责。

对当时人而言,当时人信息保护是关键,如法律中明确规定网络实名制,若不提供真实身份信息,网络运营者将只有为其提供相关服务。

Bad Rabbit通过伪装成Adobe Flash Player软件升级更新弹窗,诱骗用户主动下载并安装运行恶意系统进程。都可以 加密文档类型、数据库文件、虚拟机文件等类型文件,同去都不 使用账号弱口令密码扫描内网和SMB共享服务获取登录凭证尝试登录和感染内网主机,对业务存在高安全风险。

https://jaq.alibaba.com/community/art/show?articleid=1295

阿里巴巴安全专家孙泽夺-《APP加固新方向》,重点介绍android加固对于端上的业务风险控制是如何做到自动化部署和分析,能放慢捷的感知安全风险,以便快速做出响应,减少并只有的业务损失。

阿里巴巴移动安全专家马征-《APP渠道推广作弊攻防哪几种事儿》,为如何能减少APP推广经费被羊毛党消耗问题报告 报告 做了详尽的分析。

明确了网络产品和服务提供者的安全义务;

几乎所有支持Wi-Fi的设备(Android, Linux, Apple, Windows, OpenBSD, MediaTek, Linksys等)都面临安全威胁,危害较大。