微软开源持续开发模糊测试工具OneFuzz

近日，微软开源了OneFuzz——一个微软内部使用的，由开发人员驱动的持续开发模糊测试平台。开源后，世界各地的开发人员都可以通过OneFuzz直接从其开发系统接收模糊测试结果。模糊测试是一种自动化的软件测试技术，将随机、意外、畸形和/或无效数据输入计算机程序，试图发现可能影响程序安全性和性能的异常（例如崩溃、内存泄漏等）和意外行为。OneFuzz项目是Azure的可扩展、自托管的Fuzzing即服务平台，该平台聚集了多个现有的Fuzzer，并可（通过自动化）整合崩溃检测、覆盖范围跟踪和输入控制等功能。

Microsoft内部团队使用OneFuzz来加强Windows、Microsoft Edge和其他软件产品的安全性开发。

 湖南警方公布开展互联网安全监督检查典型案例

2020年以来，株洲市公安局为贯彻落实中央网络信息安全和信息化的战略部署，结合正在开展的国家网络安全宣传周活动，整治网络秩序，治理网络乱象，查处了一批违反网络安全法律法规的案件，对未来深入开展网络安全宣传具有重要的现实意义。

一、荷塘区某电子网站不履行网络安全保护义务案

二、醴陵市某市民擅自建立、使用非法定性道进行国际联网案

三、茶陵县某网吧非法改变计算机信息系统数据和应用程序案

四、攸县某APP非法获取个人信息案

五、天元区某网络科技有限公司未履行个人信息保护义务案

六、芦淞区某医院未履行网络安全保护义务案

七、渌口区某家政公司未履行备案职责案

八、醴陵市某服饰公司不履行国际联网备案指责案

九、茶陵县某市民网上发布虚假信息扰乱公共秩序案

十、芦淞区某网吧违规增设计算机系统案。

 云原生安全模型与实践

在传统的研发中，我们经常关注的「安全」包括代码安全、机器(运行环境)安全、网络运维安全，而随着云原生时代的到来，如果还按原有的几个维度切分的话，显然容易忽略很多云原生环境引入的新挑战，我们需要基于网络安全最佳实践——纵深防御原则，来逐步剖析「云原生的安全」，并且对不同层次的防御手段有所了解，从而建立自己的云原生安全理念，真正搭建一个内核安全的云原生系统。

以某IDaaS系统为例，我们把一个云原生系统安全模型分为 4 个层面，由外至内分别是：云/数据中心/网络层、集群层、容器层、代码层。对于这里安全模型的每一层，都是单向依赖于外层的。也就是说，外层的云、集群、容器安全如果做得好，代码层的安全就可以受益，而反过来，我们是无法通过提高代码层的安全性来弥补外层中存在的安全漏洞或问题。

 海通证券SD-WAN网络应用与实践

SD-WAN（软件定义广域网）的出现，以低成本的互联网宽带在一定程度上代替了较低流量、价格昂贵的专线来完成企业站点互联，加上安装运维管理的简易性、全局流量调度和可视分析等特性，极大地降低了企业IT投入开支。

SD-WAN是将SDN技术应用到广域网场景中所形成的一种服务，这种服务用于连接广阔地理范围的企业网络、数据中心、互联网应用及云服务，可以帮助用户降低广域网（WAN）的成本开支并提高网络连接的灵活性。

近两年，SD-WAN已经成为网络领域的新风向。根据近期IDC针对SD-WAN的相关调研，95%的企业已经或将在两年内使用SD-WAN技术，而42%的企业已经完成部署。

 英国政府发布工具包，帮助公司改进漏洞披露流程

英国国家网络安全中心(NCSC)发布了一项指南——“漏洞披露工具包”，以帮助公司实施漏洞披露流程或在已建立漏洞披露流程的情况下进行改进。该指南强调，各种规模的组织都需要为鼓励负责任的漏洞披露。

这份指南并不是让漏洞披露更容易，而是提供了更好的流程建议及必要信息。

如今，大多数网络攻击持续发生，同时研究人员也在不断发现新的安全漏洞风险，所以，漏洞披露程序非常有必要。

不过，现状是，披露这些问题可能特别困难。因为在多数情况下，需要花费大量精力来寻找可以采取相关措施的联系人。NCSC表示，人们希望能够直接向负责的主体报告发现的漏洞。

2020.09.24  周四

 过去10年中，滥用机器身份的恶意软件攻击增长了8倍

根据Venafi最新发布的威胁分析报告，利用机器身份的恶意软件活动正在极速增加。例如，从2018年到2019年，使用机器身份进行的恶意软件攻击增加了一倍，其中包括备受瞩目的攻击活动，例如TrickBot、Skidmap、Kerberods和CryptoSink。研究人员通过分析公共领域中的安全事件和第三方报告，收集了有关滥用机器身份的数据。

总体而言，在过去十年中，利用机器身份进行的恶意软件攻击增长了八倍，其中最近五年的增长更快。Venafi安全策略和威胁情报副总裁Kevin Bocek说：“随着数字化转型渗透到几乎所有基本服务，很明显，以人为中心的安全模型不再有效。”