数字化转型网信息安全研习社关注网络攻击与防御、网络协议安全、数据存储安全、数据加密、数据传输安全、数据备份与恢复策略、数据完整性保护、软件漏洞与补丁管理、身份认证与授权、设备物理访问控制、环境安全与灾难恢复、安全策略框架、安全审计与合规性、安全事件管理与应急响应、设备安全、数据隐私和管理、数据存储和隔离、加密算法安全、云计算安全等多个方面。
据安全内参12月25日消息,2024年,零日漏洞的数量再次显著增加。由于缺乏可用的补丁,这些漏洞使攻击者可以先于网络防御团队采取行动,成为攻陷企业系统的核心武器。
尽管所有零日漏洞都是首席信息安全官(CISO)及其团队必须了解的,也是供应商必须尽快修复的,但某些零日漏洞特别重要,因为它们揭示了攻击者试图通过哪些产品获得对企业网络和数据的访问权限。
以下总结了2024年零日漏洞利用激增的背景下,CISO及其企业安全团队应密切关注的一些重要趋势。这些趋势因其重要性、创新性或对企业资产的直接影响而意义重大。数字化转型网www.szhzxw.cn
随着组织竞相测试和整合AI聊天机器人及机器学习模型到业务工作流中,它们在云基础设施上部署了各种AI相关框架、库和平台。数字化转型网www.szhzxw.cn
然而,这些平台不仅配置不安全,还可能存在漏洞。攻击者利用这些漏洞可以访问敏感的知识产权(如定制的AI模型和训练数据),甚至还可能获得对底层服务器的控制权限。
Jupyter Notebooks是一种广泛用于数据可视化和机器学习的基于Web的交互式计算平台,其实例经常被僵尸网络攻击,用于感染服务器并运行加密货币挖矿程序。
今年在Windows版本中发现的一个漏洞(CVE-2024-35178)允许未经身份验证的攻击者泄露服务器运行用户的NTLMv2密码哈希。如果破解成功,攻击者可以利用该密码在同一网络中的其他机器上进行横向移动。
此外,11月,JFrog研究人员披露了对机器学习工具生态系统的分析结果,发现了15个不同机器学习(ML)项目中的22个漏洞,涵盖服务器端和客户端组件。今年10月,Protect AI通过其漏洞奖励计划报告了34个存在于开源AI/ML供应链中的漏洞。数字化转型网www.szhzxw.cn
这些研究表明,作为较新的领域,许多AI/ML框架在安全性方面尚不成熟,或者未受到与其他类型软件同等水平的安全审查。数字化转型网www.szhzxw.cn
尽管研究人员正在加强对这些工具的审查,但恶意攻击者也在积极研究这些工具,而仍有大量未被发现的漏洞为他们提供了可乘之机。
声明:本文来自网络,版权归作者所有。文章内容仅代表作者独立观点,不代表数字化转型网立场,转载目的在于传递更多信息。如有侵权,请联系我们。数字化转型网www.szhzxw.cn
数字化转型网数据专题包含哪些内容
数字化转型网信息安全研习社关注网络攻击与防御、网络协议安全、数据存储安全、数据加密、数据传输安全、数据备份与恢复策略、数据完整性保护、软件漏洞与补丁管理、身份认证与授权、设备物理访问控制、环境安全与灾难恢复、安全策略框架、安全审计与合规性、安全事件管理与应急响应、设备安全、数据隐私和管理、数据存储和隔离、加密算法安全、云计算安全等多个方面。
本文由数字化转型网(www.szhzxw.cn)转载而成,来源于深圳可信计算机;编辑/翻译:数字化转型网Jerry。
