FreeBSD has disclosed a critical remote code execution (RCE) vulnerability affecting its bhyve hypervisor. This vulnerability, CVE-2024-41721, could allow attackers to execute malicious code on the host system. The advisory, which was announced on September 19, 2024, credits Synacktiv with discovering the flaw. CVE-2024-41721 – Vulnerability Details As per a report by FreeBSD, the vulnerability […]
The post FreeBSD RCE Vulnerability Let Attackers Execute Malicious Code appeared first on GBHackers Security | #1 Globally Trusted Cyber Security News Platform.
一、客户背景
某互联网公司是一家银行IT解决方案提供商,专注于金融服务的互联网化和数字化转型,向以银行为主的金融机构提供包括移动银行、网络银行、开放银行、交易银行等一体化的整体解决方案,包括业务创新、架构设计、软件开发、测试及运行维护等,着力推动银行的业务以更高的效率、更好的深度和广度持续发展。
二、安全挑战与需求痛点
1、垃圾邮件泛滥
根据Coremail邮件安全人工智能实验室数据显示,2024年第二季度,国内企业邮箱用户共收到9.1亿封垃圾邮件,总量无论是环比还是同比均呈大幅度增长态势。
该互联网公司在使用CACTER邮件安全网关之前,经常遭受补贴诈骗邮件和内部钓鱼邮件的侵扰,这些安全问题不仅影响了内部沟通效率,也带来了潜在的安全隐患。
2、员工安全意识参差不齐
公司内部员工众多,安全意识参差不齐,难以统一管理。即使进行定期安全培训,但部分员工仍使用弱密码或长期不更换密码,增加了邮箱账号被盗的风险。
3、邮件系统安全维护压力
该互联网公司的IT团队承担着维护整个公司邮件系统安全的重任,但传统的邮件系统往往缺乏有效的安全防护措施,导致邮件安全存在严重的安全隐患,给IT团队带来了巨大的工作压力。
三、解决方案
作为Coremail的老客户,该互联网公司选择了CACTER邮件安全硬件网关V7作为邮件安全防护方案。CACTER邮件安全硬件网关V7以其高效的过滤机制和精准的识别能力,为该互联网公司的邮件系统提供了全方位的安全保障。
“选择邮件安全网关时,(我们)最注重的是产品的安全防护效果,尤其是关键字检测和对垃圾邮件和钓鱼邮件的拦截率。CACTER网关的拦截效果非常显著。”
——该互联网公司IT运维人员段老师
1、安全防护:高效过滤恶意邮件
CACTER邮件安全硬件网关具备强大的垃圾邮件过滤能力,反垃圾准确率高达99.8%。CACTER邮件安全硬件网关基于Coremail邮件安全大数据中心,对每封进出站的邮件进行层层过滤,多角度全方位检测,包括发信行为分析、恶意URL检测、邮件内容特征检测、附件检测等。
针对链接型钓鱼邮件,CACTER邮件安全硬件网关提供了恶意链接保护功能,对投往邮件系统的每一封邮件的链接进行检测保护,首次过滤+二次检测防护,事前拦截、事中提醒、事后追溯结合,为邮件系统的邮件安全进行全方位保护。
2、快速交付:硬件网关部署优势
CACTER邮件安全硬件网关事先预装了操作系统和网关系统,使得设备上架后只需配置好IP和域名等即可使用,无需安装。大大缩短了部署时间,提高了运维效率。
3、方便运维:数据统计与分析
此外,CACTER邮件安全秉承极简运维设计理念,致力于打造流畅、高效的管理体验。CACTER邮件安全硬件网关可对不同时间周期邮件流量进行统计分析,如邮件过滤结果统计分析,垃圾邮件类型统计分析,IP连接情况统计分析等,并提供直观的统计报告。
同时,CACTER邮件安全硬件网关还保留了全量邮件日志,便于管理员进行事后分析,并详细记录威胁邮件的特征信息,以便管理员快速定位威胁情况,制定相应防御措施。
四、客户评价
部署CACTER邮件安全硬件网关后,该互联网公司的邮件系统安全性得到了有效保障,垃圾邮件和钓鱼邮件的拦截率大幅提高。该互联网公司的IT运维人员段老师对CACTER邮件安全网关的安全防护性和高效性给予了高度评价,并给出了9分的高分好评。
“就我而言,CACTER网关中的过滤规则是很有用的。例如内容、发信人、IP频率限制等。”
——该互联网公司IT运维人员段老师
CACTER邮件安全网关将继续以客户的认可为动力,不断追求卓越,通过技术创新,为更多企业提供全面和有效的邮件安全防护解决方案,助力企业构建更加安全可靠的数字化环境。
本文将先对《安全要求》提到的敏感个人信息界定方法进行解读,并对《安全要求》的“6.3 告知同意”分析举例。
一、敏感个人信息界定
《安全要求》对“敏感个人信息”这一词进行了定义,即“一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息。”并且,《安全要求》还列举了敏感个人信息类别,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。
1、敏感个人信息识别
《安全要求》中将符合以下任一属性的,识别为敏感个人信息:
1) 个人信息遭到泄露或者非法使用,容易导致自然人的人格尊严受到侵害;
示例 1:用户的特定身份、犯罪记录、宗教信仰、性取向、特定疾病和健康状况等信息泄露后,可能会遭遇歧视性待遇。
2) 个人信息遭到泄露或者非法使用,容易导致自然人的人身安全受到危害;
示例 2:用户的实时精准定位信息、GPS车辆轨迹信息、航班车票信息以及特定住宿信息等一旦泄露,可能会对用户的人身安全构成威胁。
3) 个人信息遭到泄露或者非法使用,容易导致自然人的财产安全受到危害;
示例 3:泄露、非法使用金融账户信息及其相关的鉴别信息(如支付口令),可能会造成用户的财产损失。
2、常见敏感个人信息类别
常见敏感个人信息包括以下类别:
a) 生物识别信息:对自然人的物理、生物或行为特征进行技术处理得到的、能够单独或者与其他信息结合识别该自然人身份的个人信息。
b) 宗教信仰信息:与信仰的宗教、宗教组织、宗教活动相关的信息。
c) 特定身份信息:对个人人格尊严和社会评价有重大影响的身份信息,特别是那些可能导致社会歧视的特定身份信息。
d) 医疗健康信息:与自然人的健康状况以及医疗就诊相关的信息。
e) 金融账户信息:与银行、证券等账户和交易相关的信息。
f) 行踪轨迹信息:与个人所处地理位置、活动地点和活动轨迹等相关的信息。
g) 身份鉴别信息:用于验证主体是否具有访问或使用权限的信息。例如登陆密码、支付密码、动态口令、口令保护答案等。
h) 未成年人个人信息:不满十四周岁未成年人的个人信息。
i) 其他敏感个人信息:除以上信息外,应作为敏感个人信息保护的信息。
每一类敏感个人信息的具体示例如下:
二、敏感个人信息处理基本要求
1、告知
2、同意
三、常见敏感个人信息举例
1、生物识别信息
a) 人脸
App在进行收集或处理人脸识别信息前,应当采用增强形式向用户进行告知,并取得用户的单独同意。例如:采用转至单独提示界面方式告知用户,并采用用户勾选的肯定性动作进行同意表示。示例如下(左图为App,右图为小程序):
申请收集或处理人脸识别信息图(左图为App,右图为小程序)
b) 指纹
App在进行收集或处理指纹识别信息前,应当采用增强形式向用户进行告知,并取得用户的单独同意。例如:采用转至单独提示界面方式(左图)、通过单独弹窗(右图)告知用户,并采用用户勾选的肯定性动作进行同意表示。示例如下:
申请收集或处理指纹信息图(左图为单独提示界面,右图为弹窗)
c) 声纹
App在进行收集或处理声纹识别信息前,应当采用增强形式向用户进行告知,并取得用户的单独同意。例如:采用转至单独提示界面方式(左图)、通过单独弹窗(右图)告知用户,并采用用户勾选的肯定性动作进行同意表示。示例如下:
申请收集或处理声纹信息图(左图为单独提示界面,右图为弹窗)
2、特定身份信息
a) 身份证件号码
App在进行收集或处理身份证件号码前,应当采用增强形式向用户进行告知,并取得用户的单独同意。例如:采用转至单独提示界面方式告知用户,并采用用户勾选的肯定性动作进行同意表示。示例如下:
申请收集或处理身份证件号码信息图
3、行踪轨迹信息
a) GPS车辆轨迹信息
App在进行收集或处理GPS车辆轨迹信息前,应当采用增强形式向用户进行告知,并取得用户的单独同意。例如:采用转至单独提示界面方式(左图)、通过单独弹窗(右图)告知用户,并采用用户勾选的肯定性动作进行同意表示。示例如下:
申请收集或处理GPS车辆轨迹信息图(左图为单独提示界面,右图为弹窗)
四、总结
本文通过对《安全要求》中的敏感个人信息中的界定方法和敏感个人信息处理安全要求(告知和同意)进行解析,并详细介绍常见的敏感个人信息类别和典型示例,帮助个人信息处理者更全面地掌握敏感个人信息的特殊性质,同时辅助个人信息处理者在进行敏感个人信息的收集和处理之前,深入了解《安全要求》中的关于“告知同意”的要求,确保移动应用开发者、运营者的操作符合保护用户敏感个人信息权益的标准。进而提升个人信息处理的规范性、增强用户对其信息安全的信任感,从而实现对用户敏感个人信息的全面保护。