2019Q3 – 长亭季度漏洞观察报告
安全是一个长期、动态的博弈过程,谋求改进则是攻守双方永恒的主题。漏洞挖掘、技术演进、策略升级每天都在发生,因此企业安全建设者需要时常了解外界环境,审视内部需求,然后才能形成当前场景下最适配的决策。
许多组织采纳防火墙、流量分析、态势感知、主机防护等各种各样的监控防御设备,希望达成多位一体的纵深防御效果。万事“佩奇”的时候,一个有意思的现象出现了:弱口令成为了本季度高危web漏洞中占比最大的类型。人,依旧是防御体系中的变数。
不安全的开发框架、中间件、第三方JAR包,疏于管理的内部上传接口,被忽视的废弃、老旧、测试资产,这些导致网络边界被突破的原因背后,往往是人的盲区。如何了解最新的企业安全现状,看到更多风险点?本期长亭科技《季度漏洞观察报告》继续从漏洞出发,以金融、互联网、能源等多个行业百余家企业为研究对象,向读者展现季度安全特征,希望借此帮助有效安全策略的形成。
