虽然导致Equifax(艾可飞)信息泄露事件的原因尚没有最终定论,但有一点十分清楚:各大公司和机构必须引以为鉴,提高自身的威胁防护能力。本次事件共导致1.455亿美国用户(几乎占全国人口的一半)和近40万英国用户的高度敏感性信息遭到泄露,而这一切原本可以通过有效的安全分层机制加以避免,例如漏洞补丁修复和Web应用防火墙(WAF)。Equifax在泄露事件发生后的应对措施也不尽人意。
前车之鉴
美国三大信用报告机构之一Equifax(艾可飞)披露,大量用户的个人识别信息(PII)遭到泄露,包括用户姓名、出生日期、邮件地址、社保账号和驾照号码、电话号码以及个别用户的信用卡信息。近期,Equifax发布了有关事件的更多信息,似乎表明是因缺乏有效的漏洞补丁才使得黑客趁虚而入。
黑客攻击利用的是一种名为Apache Struts的网络服务器漏洞,该漏洞于2017年3月初被美国计算机应急响应小组(CERT)发现并披露。
该公司在一份声明中表示:“Equifax的安全部门当时已经意识到这一漏洞,对其进行了识别,并修补了公司IT基础架构中所有易受攻击的系统。”
然而,这一措施似乎并未奏效,因为Equifax在7月底被迫再次进行了修补。当时,公司发现了可疑的网络流量,怀疑存在网络入侵者,并将受影响的门户网站应用程序下线。声明还补充道:
“公司对该事件的内部审查仍在继续。在最初发现黑客利用Apache Struts网络应用程序框架中的漏洞展开攻击后,Equifax便修补了受影响的网络应用程序,然后才重新上线。”
补丁管理不容忽视
有效的补丁管理是网络安全防护的基础性措施。只要公司具备适合自身风险偏好的健全策略,自动化工具就可以承担大量的日益耗时耗力的安全维护任务。
当然,安全策略行之有效的前提是您必须运行相应的支持系统。针对过时的甚至是厂商不再支持的系统,应采取有效的措施加强监测及防御;并且必要的升级和维护将是刻不容缓的。前段时间Wanna-Cry(想哭)勒索软件在国内部分行业及用户处的横行,主要沦陷的就是大量Windows XP系统及未及时补丁更新的其它Windows 系统,加上针对各类潜在威胁的安全防御缺失或不足,导致短时间内爆发。
另外,补丁修补仅在作为安全分层方法的一部分时才能发挥作用。另外一项重要建议是投资Web应用防火墙技术。它能够为易受攻击的系统提供防护,使其免受所有已知和未知威胁的侵害,直到系统已经准备好进行修补。随着自动化攻击在利用系统弱点方面的有效性日益提高,而且IT管理员也因补丁过载而不堪重负时,梭子鱼Web应用防火墙可以提供颇具价值的安全保障。正确的部署和管理Web应用防火墙可有效的抵御针对网络服务器上的应用程序及其访问的敏感数据或机密数据的基于网络的入侵和攻击,防止数据丢失或泄漏,同时可确保应用系统的安全稳定运行。
随着国内对个人信息保护的不断加强,特别是《网络安全法》的正式施行,维护信息系统及数据安全势在必行,同时健全的事件响应计划及演练也十分关键。越来越多的国内企业和机构已开始关注个人信息、企业敏感数据的防泄漏保护,并着手准备相关预案和实施相关措施,加强对相关网络及应用系统的安全防护。
时至今日,没有任何一家公司或机构能够承受忽视数据安全的经济和法律代价。
好文章,需要你的鼓励
这项由浙江大学与阿里巴巴通义实验室联合开展的研究,通过创新的半在线强化学习方法,显著提升了AI界面助手在多步骤任务中的表现。UI-S1-7B模型在多个基准测试中创造了7B参数规模的新纪录,为GUI自动化代理的发展开辟了新的技术路径。
阿里巴巴联合浙江大学开发的OmniThink框架让AI学会像人类一样慢思考写作。通过信息树和概念池的双重架构,系统能够动态检索信息、持续反思,突破了传统AI写作内容浅薄重复的局限。实验显示该方法在文章质量各维度均显著超越现有最强基线,知识密度提升明显,为长文本生成研究开辟了新方向。
新加坡国立大学研究人员开发出名为AiSee的可穿戴辅助设备,利用Meta的Llama模型帮助视障人士"看见"周围世界。该设备采用耳机形态,配备摄像头作为AI伴侣处理视觉信息。通过集成大语言模型,设备从简单物体识别升级为对话助手,用户可进行追问。设备运行代理AI框架,使用量化技术将Llama模型压缩至10-30亿参数在安卓设备上高效运行,支持离线处理敏感文档,保护用户隐私。
腾讯混元3D 2.0是一个革命性的3D生成系统,能够从单张图片生成高质量的带纹理3D模型。该系统包含形状生成模块Hunyuan3D-DiT和纹理合成模块Hunyuan3D-Paint,采用创新的重要性采样和多视角一致性技术,在多项评估指标上超越现有技术,并提供用户友好的制作平台。作为开源项目,它将大大降低3D内容创作门槛,推动3D技术的普及应用。