多层次纵深防御下失守案例的有效改善对策

游戏大厂EA被骇,被盗的资料在暗网贩售。

破解层层防护的方法是,弄到被盗的cookie获得EA使用的Slack频道的许可权,并伪冒他人身份请IT重发登入内网认证,在登入内网後畅行无阻~~~

改善建议:
1. 内网认证重发应启用签核程序,确保申请人为本人。
2. 内对内服务应依据员工职掌设置适当权限。
3. 关键核心资讯存取控制,应加强身份识别(如:OTP)及资料保护机制。

努力做好一件事跟假装做好(敷衍)一件事的时间成本几乎一样,差别在於结果不会陪你演戏。

漏洞不补好的结果就是组织布署多层次纵深防御系统中,持续存在着可被利用的脆弱点,漏洞补完以後更要再次弱扫确认漏洞修补程序是否产生新弱点。

传说内网比外网安全...其实真正有效的是使用者自身的资安意识提昇,唯有使用者可独立辨别异常,教育训练要求的防护措施才有派上用场的时侯。

IT狗的防具

资料来源:
EA的程序码是怎麽被盗的?骇客解答:先入侵他们的Slack,然後在聊天室直接要登入密码
血的教训(上) 国内重大资安事件十大启示
血的教训(下) 国内重大资安事件十大启示
IT狗的日常


<<:  Django + MariaDB + RESTful API + ARC-Day 06

>>:  Innodb资料页结构-Part1(使用者纪录、空闲空间、页面中最小与最大的纪录)

Day 19: SOLID 设计原则 — LSP (待改进中... )

「在物件导向革命的最初几年,我们将 LSP 视为指导『继承的使用』的一种方式。然而,LSP 可以扩...

Day18 - 如何在页面中预先载入其他的页面 (prefetch)

前言 在前面的章节已经介绍了 Next.js 是 file-based routing 的架构,在路...

智慧财产的角度-保护生产参数应该思考的最关键问题

知识产权具有所有者,否则它将属於公共领域。“商业秘密是指可以出售或许可的机密信息的知识产权(IP)。...

Day_17 : 让 Vite 来开启你的Vue 之 取得 模板元素 ref

Hi Dai Gei Ho~ 我是Winnie~ 突然想来说说: 其实这篇应该要与上篇的 资料定义 ...

JavaScript学习日记 : Day27 - 重做原生方法 -- Object

测试范例: const cat = { name : "Toby", color...