2015年11月20日 星期五

11/20 晨摘

  • 資訊安全:
1.亚信安全分析近十年信息外泄事件 揭露黑客盗取信息的一般特征 by ZD至顶网安全频道

虽然每个行业泄露的信息类型都有所不同,但一般来说,个人身份信息(包括姓名、地址、身份证号码、出生日期、电话号码等)是过去十年泄露最多的信息类型。其危险性在于,如果个人身份信息已被外泄,那么用户金融记录被窃取的概率达到22%,医疗记录被窃取的概率则达到23%,这些信息可以被黑客用于做很多危险的事情。

个人身份信息在网络犯罪地下市场的价格近来已经显著下降,因为供给超过了需求。平均来说,个人身份信息价格从去年的25元降至2015年的6元,但是还是有许多网络犯罪分子青睐这些信息,并将这些信息用于身份诈骗、申请贷款或信用卡、注册假账号进行垃圾邮件和网络钓鱼攻击,或是出售给营销公司及诈骗集团。

此外,信用卡信息也已经供大于求,这都是因为过去一年信息外泄事件的规模和次数都在不断增长,所以卖家更倾向于通过大规模打包的方式将这些信息二次出售。

2.移动应用程序泄漏后端凭证,数以百万计的敏感记录 by 360安全播报

研究人员观察开发者使用应用编程接口的方式之后发现,包括巴斯人员在内的很多人都可以进入应用程序内部。这种做法是非常危险的,因为这些程序很容易被人修改从而窃取用户凭据,访问后端服务,尤其是移动设备上的应用程序。

研究人员甚至发现了一个利用巴斯服务进行攻击的手机木马,这个木马可以感染设备,然后根据攻击者的命令和计划任务来窃取数据和短信。

应用程序里的巴斯凭据不仅对所有人公开数据,也允许任何操作和修改。也就是说攻击者们可以以真实账户所有者的身份利用巴斯凭据来窃取数据库里的相关数据,而用户们甚至都不会发现。

3.为什么由恐怖分子发起的网络攻击活动并不多见? by 51CTO

将互联网本身作为武器加以运用方面,恐怖组织的表现则显得“比较温和”,通常仅仅是以企业身份注册Twitter账户。

这很可能是因为大多数恐怖组织还没有决定将自己的主要精力放在网络攻击层面,或者尚不具备发动此类破坏性行动的能力,现任美国大学公共事务学院助理教授的Bacon给出了自己的解释。

周末刚刚犯下巴黎恐怖袭击罪行的ISIS则仍在使用基本处于离散状态的网络力量。这套网络技术体系由该组织 的个人支持者所建立,但支持者与组织成员本身却并无直接接触。有鉴于此,其只能进行大量水平较低的骚扰型攻击,但却无法真正聚集力量搞出什么大动作

  • 自我成長:
1.為何顧客感謝比顧客忠誠重要 by Mark Bonchek

(1)忠誠必須是互相的
(2)忠誠是先講情感,再講行為
(3)先贏得感謝,忠誠隨後而至

2.啟動專案前,先討論範疇 by Raymond Sheen

在專案進行過程中,不同的利害關係人,會要求團隊做出更多成果,卻不了解這樣做會對專案時程與預算有什麼影響。

因此你需要在啟動專案之前,先與利害關係人就範疇達成共識。如果你能讓他們了解專案目標,就能與他們一同擬出範疇內應包括(與不該包括)的工作。不能直接支援專案目標的事,或缺乏足夠時間財力完成的事,都不該列入範疇。

同時列出「範疇內」與「範疇外」的清單,這樣一旦專案啟動,你就知道應該把重點放在那裡,未來若有新的需求,你也曉得應如何依照輕重緩急排程。

3.讓一對一會議更有成效 by Margaret Moore

(1)全神貫注
(2)建立真誠的關係
(3)正向的態度
(4)了解對方的目標
(5)保持輕鬆氣氛

如欲閱讀更多文章摘要,請見 每日晨摘

沒有留言:

張貼留言