>> 作為全世界矚目的安全公司以及安全會議的主辦者——RSA，最近在自己的RSA2018大會上出了個大烏龍。一個叫svbl的安全專家在RSA大會的專用app的某個API上發(fā)現(xiàn)了一個漏洞：任何一個有RSA會議賬號的人都能利用這個API獲取所有參會者的名字。svbl表示自己只拿了114名參會者的名字，并且沒有其他人發(fā)現(xiàn)這個漏洞，而RSA也緊急修復(fù)了這個漏洞。這還不是RSA第一次出現(xiàn)烏龍事件，早在2014年的時候，就有人發(fā)現(xiàn)RSA的會議app寫得太爛了以至于黑客可以通過中間人攻擊竊取憑證和個人信息。

>> 近日，美國食品與藥物管理局督促全球范圍內(nèi)，從Abbot Laboratories進(jìn)行心臟植入的患者，盡快前往附近的醫(yī)療中心進(jìn)行一次固件升級——原因之一就是現(xiàn)有的固件有一個漏洞。該漏洞會讓攻擊者發(fā)現(xiàn)并利用，從而對患者的設(shè)備發(fā)送遠(yuǎn)程指令，造成潛在的電量加速流失隱患。而這次的固件升級會增加一層安全保護(hù)，禁止未授權(quán)的設(shè)備進(jìn)行連接。

>> 一個很有意思的現(xiàn)象：公司讓安全專家加班、愿意付更高的薪水、投資更昂貴的技術(shù)、甚至訓(xùn)練非IT人員去進(jìn)行安全工作——這些都比深造他們自己已有的安全人員優(yōu)先度高。

近日由Booz Allen和KRC研究的報告指出，在250名IT決策人員當(dāng)中，83%的人表示公司在安全方面有空缺職位，72%的人表示很難找到高級安全技術(shù)人才，比如漏洞捕手和惡意軟件逆向工程師。Booz Allen的副總裁Anil Markose說，由于技術(shù)越來越先進(jìn)，對技術(shù)人員的要求也越來越高，而公司寧可去雇傭短期合同工來解決技術(shù)難題——這實(shí)際上造成了更大的安全問題。從調(diào)查結(jié)果來看，受訪者對自己針對安全的優(yōu)先解決方案主要為使用工具軟件（56%）、訓(xùn)練非安全人員（52%）以及加班（45%）。而為了在競爭安全人才中更具競爭力，受訪者的首選方式為高薪（54%）、不斷投資新技術(shù)（51%）；而和員工發(fā)展相關(guān)的學(xué)徒機(jī)會以及培訓(xùn)機(jī)會則只有35%和34%。