Continuity Software的最新研究显示,企业存储和数据保护设备在信息安全方面往往被忽视,成为企业数据安全的薄弱环节,使公司数据面临严重威胁。
这一安全盲点意味着,企业依赖作为抵御勒索软件或数据泄露等攻击最后防线的设备,反而可能成为攻击者的易攻目标。
该厂商调查了300个环境中超过10,000台存储和备份设备,发现企业存储和数据保护设备平均存在10个漏洞,其中一半属于高风险漏洞,可能导致严重的安全妥协。这一数字较前一年的研究略有上升。
最常见的漏洞涉及身份验证和身份管理,以及未修复的CVE漏洞。其他主要漏洞与网络和协议问题、加密和密钥管理、访问控制和授权相关。
虽然不太常见,但更令人担忧的是,调查发现勒索软件防护和其他安全功能未被使用或配置错误的情况。
"即使启用并使用这些功能,也经常未遵循供应商的关键最佳实践——例如,保留的不可变副本未被锁定,时间服务未被加固(可能允许攻击者操纵保留期限),删除操作的双重授权配置不当或完全缺失。"
调查还发现"相当数量"的系统已达到支持终止期,但仍在生产环境中使用。
Continuity公司首席技术官Doron Pinhas表示,在整个样本中,他们识别出约6000个安全配置错误。
"令人担忧但与往年一致的是,存储和数据保护设备的安全事件数量非常非常高,远高于IT其他领域。"他说。
**错误认知导致配置失误**
企业似乎存在一种误解,认为现有的漏洞管理和风险态势工具涵盖了存储和数据保护设备,但情况并非如此。
许多问题都非常基础,比如设备仍使用出厂默认密码或配置。在实施多因素身份验证策略时,数据设备经常被遗漏。
同样,Pinhas指出,虽然存储和备份供应商可能积极发布CVE,但这些信息可能不会被企业现有的扫描和更新工具获取。
"结果是,当我们分析环境时,通常会发现大量CVE漏洞,其中一些已经存在很长时间了。"他说。
"这很可怕,因为这些漏洞就在那里,一旦被攻破,就可以删除快照,删除备份。"
Pinhas表示:"有专门攻击主要备份供应商、块设备、NAS设备的rootkit,漏洞就在那里,错误配置也没有得到加固。所以这些设备很容易受到攻击。"
好文章,需要你的鼓励
OpenAI明确表示要成为互联网一切事物的主导界面。AI智能体正在改变用户的数字习惯,从健康记录分析到购物指导,ChatGPT已经在多个领域扩展影响力。用户快速采用AI工具,但企业和生态系统的适应速度滞后。电商领域的权力分配尚不明确,用户偏好AI驱动的答案优先体验,品牌则推动生成式引擎优化。研究旨在了解用户与企业在AI变革中的适应差异。
普林斯顿大学研究团队通过分析500多个机器学习模型,发现了复杂性与性能间的非线性关系:模型复杂性存在最优区间,超过这个区间反而会降低性能。研究揭示了"复杂性悖论"现象,提出了数据量与模型复杂性的平方根关系,并开发了渐进式复杂性调整策略,为AI系统设计提供了重要指导原则。
微软亚洲研究院开发出革命性的认知启发学习框架,让AI能够像人类一样思考和学习。该技术通过模仿人类的注意力分配、记忆整合和类比推理等认知机制,使AI在面对新情况时能快速适应,无需大量数据重新训练。实验显示这种AI在图像识别、语言理解和决策制定方面表现卓越,为教育、医疗、商业等领域的智能化应用开辟了新前景。