首页
社区
课程
招聘
[推荐]【每日资讯】 | 曝通用汽车受黑客攻击 用户信息遭泄露 | 2022年5月31日 星期二
发表于: 2022-5-5 09:25 6803

[推荐]【每日资讯】 | 曝通用汽车受黑客攻击 用户信息遭泄露 | 2022年5月31日 星期二

2022-5-5 09:25
6803

2022年5月31日 星期二

今日资讯速览:

1、曝通用汽车受黑客攻击 用户信息遭泄露


2、美国准备强制 iPhone 支持侧载,苹果称新法案将危害用户隐私和安全


3、Meta公司更新隐私政策 让用户更容易了解用户数据如何被使用



1、曝通用汽车受黑客攻击 用户信息遭泄露


【太平洋汽车网 行业频道】近日,我们从通用汽车获悉,在2022年4月11日至29日期间,在线客户的账户出现了可疑登录,导致在未经授权的情况下使用了客户的奖励积分兑换礼品。在通告中显示,通用汽车一旦检测到黑客攻击,就会立即禁用该功能。

  此外,黑客仍从客户的在线移动应用程序中访问了详细信息,其中包括姓名、邮箱地址、邮寄地址、绑定账户的姓名、电话、兴趣点收藏等。


  通用汽车对此表示,尽管会有访问了大量的数据信息,但其更重要的信息仍未遭到泄漏,因为它们未被储存在客户的通用汽车账户中。这些信息包括出生日期、社保卡号、驾照号、信用卡及银行账户等。

  目前,通用汽车已通知受到影响的客户,要求其重设密码,同时向相关的执法部门提交了报告。(文:太平洋汽车网 崖雍)

【阅读原文】



2、美国准备强制 iPhone 支持侧载,苹果称新法案将危害用户隐私和安全


【阅读原文】



3、Meta公司更新隐私政策 让用户更容易了解用户数据如何被使用


Facebook、WhatsApp和Instagram的母公司Meta宣布,其隐私政策将有一系列新变化。据Meta公司称,这些变化旨在更清楚地向用户传达该公司如何使用其收集的信息。


Meta公司强调,更新后的隐私政策并没有为该公司带来任何收集、使用或分享用户数据的新方式。相反,它只是简化了措辞,并对政策和其他数据做法提供了更详细和更清晰的解释。新的隐私政策以前被称为数据政策,将于7月26日生效。这项政策涵盖Facebook、Messenger、Instagram和其他Meta产品。然而,WhatsApp、Workplace、Free Basics和Messenger Kids并不包括在内。该公司也已经开始向用户发送关于新政策的通知。用户可以点击通知,查看变化并阅读更多细节。


更新的Meta隐私政策是为了让人们更容易理解。Meta已经重写和重新设计了隐私政策,使其更容易理解,更清楚地让用户了解如何使用相关信息。Meta还加入了更多Meta与之共享和接收信息的第三方细节,并解释了用户信息如何以及为什么在Meta产品中共享,以及其他变化。


此外,Meta也在更新其服务条款。在某些国家,用户将可以选择不接受新的隐私政策和服务条款。在印度,用户可以接受或不接受更新的隐私政策和服务条款,对用户访问Meta产品没有任何影响。Meta还推出了一个新的隐私设置,允许用户控制谁可以默认看到他们在Facebook上的帖子。

【阅读原文】



2022年5月30日 星期一

今日资讯速览:

1、印度第二大航司遭勒索软件攻击,大量乘客滞留在机场


2、FBI发现有美国高校的网络通信证书在俄罗斯网络犯罪论坛上被出售


3、淘宝宣布禁止销售修改/代理/伪造IP的软件与服务



1、印度第二大航司遭勒索软件攻击,大量乘客滞留在机场


安全内参5月26日消息,印度香料航空公司(SpiceJet)表示,由于系统在周二(5月24日)受“勒索软件攻击”影响,已有多次航班延误,大量乘客滞留机场。


目前香料航空官网只有主页能够正常访问,大部分底层系统和网页均无法加载。


但航班状态表仍然正常显示,可以看到其中有大量航班发生了延误,时间从两小时到五小时不等。


官方声称已解决问题,但仍有大量乘客被困机场


5月25日,数个航班仍然延误,乘客们也因服务不到位而牢骚满腹。


大量乘客在推特发布照片和视频,抱怨登机后已经枯等几个小时,但香料航空方面未做任何回应。


香料航空后来在一份声明中指出,问题已经得到解决。

该公司在推文中写道,“我们的IT团队控制并解决了当前问题,现在航班运行已恢复正常。”


但就在推文发布之后,不少乘客在社交媒体上表示自己仍被困在各地机场,已经在饥渴难耐下等待了好几个小时,而期间地勤人员几乎未做任何沟通。


其中一名乘客Mudit Shejwar在推特上提到,他飞往达兰萨拉镇的航班已经延误了三个多小时。


“我们已经登机80分钟了,还是没有起飞。机组人员传达的唯一消息就是有服务器宕机,另外跟燃油相关的文书手续存在问题。真是这样吗?”

有其他乘客在推文中@香料航空,向他们询问航班状态信息。也有人抱怨“登机口那边的地勤人员不知道哪去了”。


还有人提到运营并未恢复,而且工作人员自己也不了解情况。

一位乘客在推文中写道,“我们这边有老人、有孩子,大家被困在没吃没喝的地方。舱门那边没人,也得不到任何新消息。”另有乘客抱怨打不通航空公司的客服热线。


东部西孟加拉邦机场的一名乘客还发出他妻子脚部骨折的照片,同样提到他们的航班延误达数小时。


香料航空经营出现问题,遇到严重的财务困境


根据公开数据,香料航空是印度第二大航空公司,运营着总计102架飞机组成的机队,航班覆盖60多个目的地。香料航空员工超过14000名,在印度国内拥有约15%的市场份额。


因此,这次对香料航空运营体系的网络攻击,直接影响到飞往印度及海外各国的众多乘客。几个小时的延误,将转化为巨大的经济损失。


2020年1月,香料航空就曾经确认过一起数据泄露事件。该公司某个未受妥善保护的服务器遭到未授权个人访问,数据库备份文件意外流出。


这个备份文件包含过去一个月中,曾使用香料航空服务的120万乘客的未加密信息,包括乘客全名、航班信息、电话号码、邮件地址和出生日期。


自2020年以来,管理印度各地机场的印度机场管理局就明确将香料航空划入“现结现付”模式,即取消该公司的信用资格,理由是香料航空根本无力结清机场使用费。


2021年,香料航空因新冠抗疫政策而遭遇严重的财务困境。疫情直接导致机队停飞,年收入大跌28%,进而威胁到了公司业务的可持续运营。


不难想象,糟糕的财务状况自然也挤压了网络安全与事件响应的投资预算。本次攻击中的恶意黑客也许正是看准时机,才决定向香料航空果断发难。

【阅读原文】



2、FBI发现有美国高校的网络通信证书在俄罗斯网络犯罪论坛上被出售


FBI发现有美国大学的VPN证书在俄罗斯网络犯罪论坛上被出售,被盗的大学网络和服务器的登录凭证可能被用于勒索软件、鱼叉式钓鱼、加密劫持或间谍活动。即使是通常成功率低于1%的凭证填充攻击,在谈到数以万计的被盗密码时也会成为一个严重的问题。


根据联邦调查局的一份新报告,网络犯罪分子正在窃取美国高校网络的登录凭证。这些凭证随后被卖给其他犯罪分子或用于凭证填充攻击,即攻击者利用受害者在多个网站上重复使用相同的凭证,特别是银行服务。


2017年,该机构发现网络犯罪分子克隆了大学的登录页面,并在钓鱼邮件中嵌入了一个凭证收集工具的链接。然后,收集到的凭证通过自动电子邮件从他们的服务器发送给黑客。凭证收集也可能是其他网络攻击的副产品,如鱼叉式网络钓鱼或勒索软件。


今年早些时候,美国多所大学的网络凭证和虚拟私人网络访问权在俄罗斯网络犯罪论坛上被出售。列出的价格高达数千美元。


去年,在一个公开的即时通讯平台上发现了超过36000个使用.edu顶级域名的电子邮件地址及其相关密码。此前一年,该机构在暗网上发现了大约2000个证书对,卖家要求向其比特币钱包付款。


该文件还概述了学院和大学可以采取的一些策略,以减少此类攻击的可能性。

图片.png

【阅读原文】



3、淘宝宣布禁止销售修改/代理/伪造IP的软件与服务


前不久,微博、知乎、抖音等平台陆续上线了显示用户IP属地功能,在个人主页、评论上都会标注当前属地,定位到省/直辖市。据报道,这也让付费IP代理的生意红火了起来,然而这本就一个黑灰产业。在一些电商平台上,已经出现了付费IP代理的业务,有的目的性非常明显,直接指明可以更改微博、抖音的IP归属地。


日前,淘宝平台发布《淘宝平台违禁信息管理规则》,明确禁止销售IP修改/代理/伪造的软件及服务。

此次规则变更于2022年5月27日公示,将于2022年6月3日正式生效。


据此前报道,有电商平台卖家称,最近找IP代理的人确实增多,自己出售的服务,可更改手机或电脑的IP地址,并且支持所有的平台,所有品牌的手机。

在一些平台上,有商家标榜批发走量国内静态IP,独享IP,5元一条。


不过,目前一些平台上“IP代理”等关键词搜索结果已经被屏蔽。


有二手电商平台客服表示,虚拟商品属于一些有风险的商品,特别是关于这种IP属地代理,更改一些它本身用途的网络虚拟商品,平台是不建议售卖的,且平台每天都会处理大量违规的商品和账号。

【阅读原文】



2022年5月27日 星期五

今日资讯速览:

1、推特被罚10亿元 和解美司法部隐私诉讼


2、微软警告Linux木马XorDdos攻击激增,主要针对云、物联网


3、抖音通过算法识别用户是否是未成年人 若被识别出来则会被限制看直播和消费



1、推特被罚10亿元 和解美司法部隐私诉讼



凤凰网科技讯 北京时间5月26日消息,推特将支付1.5亿美元(约合10亿元人民币)罚款,以便与美国司法部、美国联邦贸易委员会(FTC)和解隐私诉讼。此前,推特被指控欺骗性地使用用户的电子邮件地址和电话号码投放定向广告。除罚款外,推特还必须接受对其数据隐私计划的审计以及其他限制。


诉讼称,推特在2013年至2019年期间向用户虚假陈述了其政策,既违反了《联邦贸易委员会法》,也违反了2011年一项和解协议的命令。推特鼓励用户添加电话号码或电子邮件地址,以启用双重认证等安全措施。但实际上,推特也将这些信息纳入了广告定位数据。推特在2019年为这一做法道歉。


“1.5亿美元的罚款反映了对推特指控的严重性。根据今天提出的和解方案,许多新合规措施将得到实施,这将有助于防止威胁用户隐私的更多误导性策略,”美司法部助理部长瓦尼塔·古普塔(Vanita Gupta)在一份声明中称。2019年,FTC也针对Facebook类似做法提起诉讼,对其处以50亿美元的罚款。(作者/箫雨)

【阅读原文】



2、微软警告Linux木马XorDdos攻击激增,主要针对云、物联网



微软发现,被称为XorDdos的Linux木马的网络犯罪活动正在增加,该报告发现,在过去六个月中,针对 Linux 端点使用该恶意软件的恶意活动增加了 254%,主要针对云、物联网。


该木马由安全研究组织 MalwareMustDie 于2014年首次发现,以其使用基于XOR的加密以及聚集僵尸网络执行分布式拒绝服务攻击的事实而得名。“XorDdos 描绘了恶意软件越来越多地针对基于Linux的操作系统的趋势,这些操作系统通常部署在云基础设施和物联网 (IoT) 设备上,”Redmond警告说。


为了说明这一趋势,Redmond 指出,在XorDdos恶意软件长达8年的恐怖统治过程中,它已经达到了惊人的水平,感染了无法估量设备。博客没有说。它也没有为 254% 的增长提供任何基线,微软表示要到下周中旬才会拥有它们。 


Microsoft 365 Defender 研究团队写道:“由于多种原因,DDoS 攻击本身可能存在很大问题,但此类攻击也可以用作隐藏进一步恶意活动的掩护,例如部署恶意软件和渗透目标系统。”  


与Linux僵尸网络同样危险的Windows 僵尸网络


以 Windows 设备为目标的 Purple Fox 恶意软件为例,该恶意软件也在 2018 年被发现。


Guardicore 安全研究人员最近写了一篇关于这个僵尸网络的恶意活动如何自 2020 年 5 月以来跃升 600%,仅在过去一年就感染了 90,000 多台设备的文章。但微软并没有在博客中提到这一点。


本周微软的安全情报团队确实警告过针对Linux和Windows系统的Sysrv moreno-mining僵尸网络的新变种。


XorDdos 如何逃避检测


微软指出该恶意软件使用安全外壳 (SSH) 暴力攻击来控制目标设备。一旦成功找到正确的根凭证组合,它就会使用两种方法之一进行初始访问,这两种方法都会导致运行恶意 ELF 文件——XorDdos 恶意软件。


据研究团队称,该二进制文件是用 C/C++ 编写的,其代码是模块化的。它使用特定的功能来逃避检测。


如上所述,其中之一是基于 XOR 的加密来混淆数据。此外,XorDdos 使用守护进程(这些是在后台运行的进程)来破坏基于进程树的分析。该恶意软件还使用其内核 rootkit 组件隐藏其进程和端口,从而帮助其逃避基于规则的检测。


此外,隐形恶意软件使用多种持久性机制来支持不同的 Linux 发行版,因此它擅长感染一系列不同的系统。


XorDdos和其他针对Linux设备的威胁强调了拥有涵盖众多Linux操作系统发行版的全面功能和完整可见性的安全解决方案的重要性。

【阅读原文】



3、抖音通过算法识别用户是否是未成年人 若被识别出来则会被限制看直播和消费



据抖音发布的产品公告,在落实青少年模式无法观看直播、充值以及消费的基础上,抖音继续增强拦截能力。

若用户未开启青少年模式则抖音会根据用户行为进行数据分析,若识别用户可能是未成年人则弹出验证窗口。

除非用户确实是成年人或者在借用他人账号的情况完成验证,否则依然无法继续观看直播、充值以及消费等。



主要打击借用账号看直播:


此次抖音的青少年保护功能升级的核心就是打击未成年人登录家长账号或者使用家长身份信息完成实名认证。

通常情况下如果未成年人使用家长账号或家长信息认证,那可以绕过青少年模式包括观看直播以及消费等等。

这算是个漏洞,此次抖音则是升级系统按照用户基本信息、投稿内容、评论等进行自动识别是否为未成年人。

若出现识别方面的问题那就弹出验证窗口,验证可能包括人脸识别,拒绝认证或认证失败则判定为未成年人。

然后接下来直播、充值和消费就会被锁定,当然用户能看到的内容也仅限于青少年模式内容池里的认证内容。

抖音称新系统已经在本月初上线,通过持续迭代升级后 ,现在每天能拦截的疑似未成年人账号超过 12 万个。

抖音通过算法识别用户是否是未成年人 若被识别出来则会被限制看直播和消费

【阅读原文】



2022年5月26日 星期四

今日资讯速览:

1、俄最大银行遭到最严重DDoS攻击,普京称正经历“信息空间战争”


2、奇特的GoodWill勒索软件:要做三件善事才能解锁你的数据


3、周鸿祎谈邮件诈骗:你拦不住邮件 就会有恶意攻击



1、俄最大银行遭到最严重DDoS攻击,普京称正经历“信息空间战争”



安全内参消息,5月19日,俄罗斯最大银行Sberbank(联邦储蓄银行)官网披露,在5月6日成功击退了有史以来规模最大的DDoS攻击,峰值流量高达450 GB/秒。


次日,普京召开俄罗斯联邦安全会议,称正经历“信息空间战争”。他提出了三项关键任务,以确保俄关键信息基础设施安全。


Sberbank遭最严重DDoS攻击


此次攻击Sberbank主要网站的恶意流量是由一个僵尸网络所生成,该网络包含来自美国、英国、日本和中国台湾的27000台被感染设备。

Sberbank副总裁兼网络安全主管Sergei Lebed称,网络犯罪分子利用各种策略实施网络攻击,包括将代码注入广告脚本、恶意Chrome扩展程序,以及被DDoS工具武器化的Docker容器等。


Lebed表示,他们在过去几个月内检测到超过10万名网络犯罪分子对其展开攻击。仅在3月,他们就记录到46次针对Sberbank不同服务同步发动的攻击活动,其中相当一部分攻击利用到在线流媒体与观影网站的流量。


这类行动策略和亲俄黑客组织攻击乌克兰主要网站的手法相类似。一旦有人访问这些受感染网站,用户的网络浏览器就会被注入恶意脚本的特制代码,进而发出大量指向被攻击URL的请求。具体到此次攻击,指向的自然是Sberbank域名下的各URL。


Lebed表示,“当前,Sberbank仍在遭受全天候网络攻击。我们的安全运营中心也在24/7随时分析网络威胁,并迅速做出反应。”


Lebed警告称,“一旦攻势蔓延到其他行业企业时,由于他们大多从未经历过这类网络冲击,所以很可能会遭受损失。”


普京称正经历“信息空间战争”,提出三项关键保障任务


俄罗斯总统普京表示,俄乌冲突期间,俄罗斯遭遇了西方世界发动的一系列网络攻击,但均已被成功化解。


5月20日(上周五),普京对俄罗斯安全委员会成员发表讲话时指出,“这一领域的挑战正变得愈发紧迫、严重且广泛。”


他指责,“俄罗斯正经历一场彻底侵略,一场爆发于信息领域的战争。”


普京补充道,“针对我们的这场网络攻击,就如同针对俄罗斯的种种制裁一样,都失败了。”


他要求各级官员“完善和加强直接关系到俄国国防能力及经济社会领域稳定发展的重大工业设施的信息安全保障机制。”


对于会议讨论的确保俄关键信息基础设施安全的国家政策基本原则草案,普京提出三个关键任务。


一是不断完善、调整与国防能力、经济和社会稳定发展直接相关的关键设施领域的信息安全保障机制。


二是提高国家机构信息系统和通信网络的安全性。“2021年进行的检查表明,在那里运营的大部分资源容易受到外部大规模攻击和破坏性影响,尤其是采用最新一代外国技术部分。”要加强对国内数字空间的防御,减少公民信息和个人数据泄露的风险。他提议就建立国家信息保护制度的问题进行讨论。


三是从根本上降低采用外国程序、计算机技术和电信设备所带来的风险。他指出,应尽可能保护俄近年来推动的公共管理系统和经济领域数字化进程免受外部任何潜在负面影响,“而完成这项任务的方法很明显就是转向国产设备、技术、程序和产品”。

【阅读原文】



2、奇特的GoodWill勒索软件:要做三件善事才能解锁你的数据



在很多人的印象中,一旦设备感染勒索软件都需要支付高昂的赎金才能取回自己的数据。不过现在出现了一种新型的赎回方式,那就是做善事。CloudSEK 的威胁情报研究团队最近发现了一个名为“GoodWill”的勒索软件,受害者如果想要获得密钥,就必须做一些善事:给不幸的人提供食物、毛毯,或者向病人捐钱。总的来说,受害者必须参与三项活动才能恢复数据。

如下所示,第一个活动要求您为路边有需要的人提供衣服和毯子,并制作自己这样做的视频。该视频还必须发布到社交媒体上以鼓励他人。然后必须将此信息通过电子邮件发送给攻击者作为完成的证据。

第二个活动要求您从快餐连锁店喂养五个孩子,并在这样做的同时善待他们。受害者还必须与他们自拍,并再次在社交媒体上发布这些照片和视频。然后必须将餐厅账单的图像以及指向社交媒体帖子的链接发送给攻击者。

第三个活动迫使您去医院并为需要经济援助的人支付医疗费用。这些人也必须自拍,并且必须记录音频对话作为证据。然后,必须在社交媒体上发布一篇关于援助的“漂亮文章”,并且您必须向人们解释如何成为 GoodWill 的勒索软件基本上是发生在您身上的最好的事情。

一旦攻击者验证了所有信息,他们将发送一个解密工具,以便您可以恢复您的文件。


CloudSEK 能够将 IP 地址和电子邮件地址追溯到印度一家据称管理端到端安全性的 IT 公司。 GoodWill 与 HiddenTear 勒索软件有相似之处,但 CloudSEK 也能够在用 Hinglish 编写的代码中找到字符串,例如“error hai bhaiya”,翻译为“有一个错误,兄弟”。

【阅读原文】



3、周鸿祎谈邮件诈骗:你拦不住邮件 就会有恶意攻击



5月25日消息,360集团创始人周鸿祎发微博称,之所以大量攻击防火墙难以防范,是因为拦不住邮件,尤其是假借单位名义等看似很正常的邮件,点开就可能遭受恶意的网络攻击。

周鸿祎微博截图


周鸿祎称,比如邮件标示“今年加薪名单”“今年要提拔人的名单”等,再做成Excel表格或PDF、Word文档,就会让人忍不住点开。


近日,#搜狐全体员工遭遇工资补助诈骗# 登上微博热搜,网传微信群聊记录显示,搜狐全体员工收到一封发送域名属于公司、名为《5月份员工工资补助通知》的邮件,大量员工按照附件要求扫码,并填写了银行账号等信息,最终不但没有等到所谓的补助,工资卡内的余额也被划走。


搜狐CEO张朝阳回应称,事情并不像大家想象那么严重,发现后技术部门做了紧急处理,被盗金额总额少于5万元且不涉及对公共服务的个人邮箱。


随后搜狐官方回应,表示公司某员工使用邮件时被意外钓鱼,从而导致密码泄露,被冒充财务部盗发邮件,目前正在等待警方的调查进展和处理结果。

【阅读原文】



2022年5月25日 星期三

今日资讯速览:

1、网安标准筑起网络安全“度量衡”, 密码应用医疗行业有例可依


2、Version安全报告:2021年勒索软件依然是网络攻击的主角


3、谷歌检测到外星人恶意软件家族 乃是面向安卓用户的商业间谍软件



1、网安标准筑起网络安全“度量衡”, 密码应用医疗行业有例可依



【环球网科技报道 记者 林梦雪】随着《网络安全法》、《密码法》等法律法规的正式实施,相关网络安全国家标准、行业标准也陆续发布, 网络安全标准化正式进入全面提升时代。


数字化当前进入深度发展期,而伴随"互联网+"医疗模式的快速发展,健康医疗信息面临着越来越多的网络安全挑战。



数字认证董事长詹榜华表示,“当前,基于互联网的国家疾病预防控制系统、各地免疫规划系统等信息化手段在疫情防控各个阶段得到高强度、高频度的使用,安全需求也随之而来。”


迎合医疗信息化安全需求,网安标准发挥保障作用


随着我国网络强国战略的持续深化和网络安全规范逐渐增加,网络安全标准作为我国网络空间安全建设与治理的有力抓手,在多个领域都发挥了作用。


在信安标委启动的“网络安全国家标准20周年优秀实践案例评选”活动中。由中国疾病预防控制中心、北京协和医院、中日友好医院、首都医科大学宣武医院、北京数字认证股份有限公司联合申报的《商用密码系列标准在疫情防控网络安全防护中的应用》案例充分运用网络安全标准,取得了一等奖的成绩。这是我国网络安全标准推进应用20年来在医疗卫生领域应用的“首金”,也是网络安全标准推动行业创新应用的厚积薄发。


据了解,面向医疗信息领域,数字认证联合多家医疗卫生机构探索商用密码系列标准在疫情防控网络安全防护中的应用,基于GB/T 39786、GB/T 32918、GB/T 20518、GB/T37092等国密算法、密码产品与应用系列网络安全国家标准,建立医疗卫生领域网络信任体系与信息保护体系,建立了标准实施保障机制。

数字认证公司为疾控机构及医疗机构提供的服务所采用的密码和网络安全标准


詹榜华介绍称,该体系的应用范围涉及多个业务场景,通过采用密码标准对医疗人员、终端设备等进行数字身份签名认证以及敏感疾控数据的加密保护;基于公钥基础设施相关标准建立多源多级的证书服务模式,支撑全数字身份管理;依据电子签章等密码产品及应用标准对医疗信息管理系统进行规范化集成与业务应用推广。


“标准实施应用可解决疫情防控期间疾控数据上报、疫苗追溯、医院门诊、住院、检查检验、病例归档等各个重要环节实体真实性、数据机密性和完整性、行为不可否认性及可追溯性等网络信任及数据安全问题。”他说道。


作为密码行业标准化技术委员会副主任委员单位、全国信息安全标准化技术委员会(简称:信安标委)会员单位,数字认证公司成立20多年来前后参与了180+项国家及行业标准制定以及众多科技前沿性质的战略性研究任务。


詹榜华认为,“数据报送”“在线诊疗”“免疫规划”作为当前疫情防控的三驾“信息化”马车,其所面临的安全性需求主要包括三个方面,一是医护患及相关人员身份的真实性需求,二是医疗数据与个人信息保护的机密性和完整性需求,三是操作行为的不可抵赖性以及行为责任的可追溯性需求。


“因此,保障疫情防控医疗卫生领域的网络空间安全,有两个主要发力点:一是构建以身份认证、授权管理和责任认定为主要内容的网络信任体系,确保医护患等相关人员及设备身份可信、操作行为可追溯;二是构建以数据加密、完整性保护和安全传输等为主要内容的信息保护体系,防止敏感医疗数据被篡改、破坏和泄露。”他说道。


密码技术支撑网安标准 应用成效显著


密码技术是网络安全的核心技术和基础支撑,在网络信任体系和信息保护体系的构建中,密码技术、产品和电子认证服务等相关标准是基础性核心规范。


据数字认证方面介绍,在《商用密码系列标准在疫情防控网络安全防护中的应用》案例中,遵循以密码为关键技术的网络安全国家标准构建疫情防控网络安全标准支撑体系,应用了基于密码算法类、密码设备类、密码基础设施类、网络信任类、信息保护类、密码应用安全性评估等30多项网络安全国家标准,并且采用符合标准的密码产品和服务,应用成效显著。


詹榜华介绍称,首先,标准应用可提升疾控数据网络直报的效率与传输安全。“通过采用符合国家标准要求的电子认证服务、电子签名技术等,为疫情直报系统提供可信身份认证和数据机密性、完整性保护等安全保障,不仅提高了疾控数据上报的安全性,也大大提高了运营效率。”


此外,还可以支撑互联网诊疗新模式加速发展。“疫情期间,互联网就诊模式成为患者就医的便捷方式,北京协和医院、中日友好医院、首都医科大学宣武医院在互联网诊疗建设过程中,充分按照网络安全国家标准,建设智慧医疗平台,保障了医患身份真实性,保障了数据在互联网传输过程中防篡改,实现了电子处方的可靠电子签名,加强了检验报告等医疗文书的可信管理,为医师患者互联网就诊提供了便捷、安全、高效的新型互联网医疗服务。”


标准落地赋能医疗数据安全密码应用有例可依


在医疗卫生领域,医疗健康数据广泛应用于各大场景中,健康管理、远程医疗、病因溯源、基因分析等都需要大数据手段。医疗数据安全也随之越发被重视,2016年至今,国家也相继出台了多个医疗健康数据安全政策进行规范。


詹榜华认为,将网安标准落地在医疗数据安全领域意义重大。“以《商用密码系列标准在疫情防控网络安全防护中的应用》案例为例,首先,通过有效地把国家相关信息安全标准落实到疫情防控实际应用中,既促进国家网络安全标准落地,又解决了疫情防控安全中面临的网络安全实际问题,最终有效保障了国家网络安全和人民群众健康安全,具有极大的社会意义。”


“其次,以密码为关键技术的网络安全保障体系,为行业提升密码应用意识、加强密码科学规范使用等方面均起到了示范作用:医疗机构在进行信息系统建设时,应以国家密码应用与安全性评估的关键标准GB/T 39786—2021作为顶层依据开展同步规划、同步建设、同步运行密码保障系统并定期进行评估。在“三同步一评估”中,同步规划的核心是密码应用方案编制。密码应用方案编制是至关重要的环节,好的方案需要对业务进行仔细梳理、从系统架构、功能模块、业务流、数据流等各个环节都参照国家标准进行设计和实施,对密码应用需求的详细分析,使得业务和安全达到有机统一,而不是直接生搬硬套密码应用措施和产品。只有正确、合规、有效地使用密码技术,才能更好地保护网络安全和数据安全。”他提到。


詹榜华表示,未来,随着《国家标准化发展纲要》的贯彻落实、随着密码应用安全性评估工作逐步推进,依据国家标准,科学严谨的使用密码,也将开创整个医疗卫生行业密码技术应用的新局面。

【阅读原文】



2、Version安全报告:2021年勒索软件依然是网络攻击的主角



【环球网科技报道 记者 林梦雪】随着《网络安全法》、《密码法》等法律法规的正式实施,相关网络安全国家标准、行业标准也陆续发布, 网络安全标准化正式进入全面提升时代。


数字化当前进入深度发展期,而伴随"互联网+"医疗模式的快速发展,健康医疗信息面临着越来越多的网络安全挑战。


数字认证董事长詹榜华表示,“当前,基于互联网的国家疾病预防控制系统、各地免疫规划系统等信息化手段在疫情防控各个阶段得到高强度、高频度的使用,安全需求也随之而来。”


迎合医疗信息化安全需求,网安标准发挥保障作用


随着我国网络强国战略的持续深化和网络安全规范逐渐增加,网络安全标准作为我国网络空间安全建设与治理的有力抓手,在多个领域都发挥了作用。


在信安标委启动的“网络安全国家标准20周年优秀实践案例评选”活动中。由中国疾病预防控制中心、北京协和医院、中日友好医院、首都医科大学宣武医院、北京数字认证股份有限公司联合申报的《商用密码系列标准在疫情防控网络安全防护中的应用》案例充分运用网络安全标准,取得了一等奖的成绩。这是我国网络安全标准推进应用20年来在医疗卫生领域应用的“首金”,也是网络安全标准推动行业创新应用的厚积薄发。


据了解,面向医疗信息领域,数字认证联合多家医疗卫生机构探索商用密码系列标准在疫情防控网络安全防护中的应用,基于GB/T 39786、GB/T 32918、GB/T 20518、GB/T37092等国密算法、密码产品与应用系列网络安全国家标准,建立医疗卫生领域网络信任体系与信息保护体系,建立了标准实施保障机制。


数字认证公司为疾控机构及医疗机构提供的服务所采用的密码和网络安全标准


詹榜华介绍称,该体系的应用范围涉及多个业务场景,通过采用密码标准对医疗人员、终端设备等进行数字身份签名认证以及敏感疾控数据的加密保护;基于公钥基础设施相关标准建立多源多级的证书服务模式,支撑全数字身份管理;依据电子签章等密码产品及应用标准对医疗信息管理系统进行规范化集成与业务应用推广。


“标准实施应用可解决疫情防控期间疾控数据上报、疫苗追溯、医院门诊、住院、检查检验、病例归档等各个重要环节实体真实性、数据机密性和完整性、行为不可否认性及可追溯性等网络信任及数据安全问题。”他说道。


作为密码行业标准化技术委员会副主任委员单位、全国信息安全标准化技术委员会(简称:信安标委)会员单位,数字认证公司成立20多年来前后参与了180+项国家及行业标准制定以及众多科技前沿性质的战略性研究任务。


詹榜华认为,“数据报送”“在线诊疗”“免疫规划”作为当前疫情防控的三驾“信息化”马车,其所面临的安全性需求主要包括三个方面,一是医护患及相关人员身份的真实性需求,二是医疗数据与个人信息保护的机密性和完整性需求,三是操作行为的不可抵赖性以及行为责任的可追溯性需求。


“因此,保障疫情防控医疗卫生领域的网络空间安全,有两个主要发力点:一是构建以身份认证、授权管理和责任认定为主要内容的网络信任体系,确保医护患等相关人员及设备身份可信、操作行为可追溯;二是构建以数据加密、完整性保护和安全传输等为主要内容的信息保护体系,防止敏感医疗数据被篡改、破坏和泄露。”他说道。


密码技术支撑网安标准 应用成效显著


密码技术是网络安全的核心技术和基础支撑,在网络信任体系和信息保护体系的构建中,密码技术、产品和电子认证服务等相关标准是基础性核心规范。


据数字认证方面介绍,在《商用密码系列标准在疫情防控网络安全防护中的应用》案例中,遵循以密码为关键技术的网络安全国家标准构建疫情防控网络安全标准支撑体系,应用了基于密码算法类、密码设备类、密码基础设施类、网络信任类、信息保护类、密码应用安全性评估等30多项网络安全国家标准,并且采用符合标准的密码产品和服务,应用成效显著。


詹榜华介绍称,首先,标准应用可提升疾控数据网络直报的效率与传输安全。“通过采用符合国家标准要求的电子认证服务、电子签名技术等,为疫情直报系统提供可信身份认证和数据机密性、完整性保护等安全保障,不仅提高了疾控数据上报的安全性,也大大提高了运营效率。”


此外,还可以支撑互联网诊疗新模式加速发展。“疫情期间,互联网就诊模式成为患者就医的便捷方式,北京协和医院、中日友好医院、首都医科大学宣武医院在互联网诊疗建设过程中,充分按照网络安全国家标准,建设智慧医疗平台,保障了医患身份真实性,保障了数据在互联网传输过程中防篡改,实现了电子处方的可靠电子签名,加强了检验报告等医疗文书的可信管理,为医师患者互联网就诊提供了便捷、安全、高效的新型互联网医疗服务。”


标准落地赋能医疗数据安全密码应用有例可依


在医疗卫生领域,医疗健康数据广泛应用于各大场景中,健康管理、远程医疗、病因溯源、基因分析等都需要大数据手段。医疗数据安全也随之越发被重视,2016年至今,国家也相继出台了多个医疗健康数据安全政策进行规范。


詹榜华认为,将网安标准落地在医疗数据安全领域意义重大。“以《商用密码系列标准在疫情防控网络安全防护中的应用》案例为例,首先,通过有效地把国家相关信息安全标准落实到疫情防控实际应用中,既促进国家网络安全标准落地,又解决了疫情防控安全中面临的网络安全实际问题,最终有效保障了国家网络安全和人民群众健康安全,具有极大的社会意义。”


“其次,以密码为关键技术的网络安全保障体系,为行业提升密码应用意识、加强密码科学规范使用等方面均起到了示范作用:医疗机构在进行信息系统建设时,应以国家密码应用与安全性评估的关键标准GB/T 39786—2021作为顶层依据开展同步规划、同步建设、同步运行密码保障系统并定期进行评估。在“三同步一评估”中,同步规划的核心是密码应用方案编制。密码应用方案编制是至关重要的环节,好的方案需要对业务进行仔细梳理、从系统架构、功能模块、业务流、数据流等各个环节都参照国家标准进行设计和实施,对密码应用需求的详细分析,使得业务和安全达到有机统一,而不是直接生搬硬套密码应用措施和产品。只有正确、合规、有效地使用密码技术,才能更好地保护网络安全和数据安全。”他提到。


詹榜华表示,未来,随着《国家标准化发展纲要》的贯彻落实、随着密码应用安全性评估工作逐步推进,依据国家标准,科学严谨的使用密码,也将开创整个医疗卫生行业密码技术应用的新局面。

【阅读原文】



3、谷歌检测到外星人恶意软件家族 乃是面向安卓用户的商业间谍软件



世界各地的安卓用户正在成为外星人(Alien)恶意软件家族的攻击目标 , 这个恶意软件家族乃是商业间谍软件。


追踪显示该恶意软件家族是东南欧巴尔干半岛的北马其顿共和国的Cytrox科技公司开发的高级恶意软件家族。


该公司主要将其出售给某些国家政府机构或这些政府机构支持的团体,目的是用来入侵和监视目标安卓用户。


本质上这与以色列商业间谍软件公司NSO推出的飞马间谍软件并没有不同 , 只不过外星人系列是面向安卓的。


谷歌检测到外星人恶意软件家族 乃是面向安卓用户的商业间谍软件


利用漏洞感染目标用户:


分析显示外星人恶意软件家族主要利用零日漏洞和某些已知的过时漏洞展开攻击,主要通过电子邮件去传播。


例如在已知目标用户的电子邮件后,发送钓鱼邮件诱导用户点击链接 , 点击后就可以自动装载Predator病毒。


发起攻击的机构使用短链接系统,用户点击时初次会加载病毒,然后才会跳转钓鱼邮件提到的网站迷惑用户。


目前谷歌威胁分析小组发现的3个活跃目标都属于外星人恶意软件家族 ,受攻击的安卓用户目前约有几十个。


显然这也是个具有针对性的攻击活动,攻击者在选定攻击目标后才会进行针对性的攻击,所以不是广泛撒网。


漏洞不太好修复:


分析显示外星人恶意软件家族具有音频录制、隐藏应用程序等功能,可窃取用户数据并开启麦克风进行监控。


已经被谷歌发现的零日漏洞很快就会得到修复,然而对大多数安卓用户来说压根没法及时更新系统没法修复。


尤其是此次恶意软件利用的不少漏洞是过时的漏洞,也就是早就被谷歌修复但 OEM 并没有向用户发送更新。


这导致安卓系统的安全性非常弱鸡,因为很多过时的漏洞早就被公布了,事实上任何攻击者都可以利用漏洞。


谷歌提醒称建议用户不要点击不明邮件中的链接,点击链接前用户也应该仔细检查发件人确保邮件是安全的。

【阅读原文】



2022年5月24日 星期二

今日资讯速览:

1、美国联合37家科技巨头共同发布《开源软件安全动员计划白皮书》


2、Mozilla Firefox 100.0.2版本发布 包含两个关键安全修复


3、2022年SaaS安全调查报告:七个关键发现



1、美国联合37家科技巨头共同发布《开源软件安全动员计划白皮书》


为解决开源软件安全这项特殊的挑战,近期,科技大厂、开源社群与美政府持续商讨,如今已有具体行动,在两次峰会举办之后,《开源软件安全动员计划白皮书》正式发布,首年投入经费将达6,840万美元,次年为7,950万美元。


面对开源软件安全的议题,全球都在关注,如今美国政府与科技巨头正积极采取行动,希望能改善相关风险。今年1月,美国白宫曾举行开源软件安全峰会,邀请多家科技巨头,商讨这个独特的安全挑战,近期,5月中旬二度举办开源软件安全峰会,这场会议,由Linux基金会与开源安全基金会(OpenSSF)召开,集结37家科技巨头的高层主管,以及美国白宫等多个联邦机关官员,共90人参会,这次会议不仅达成很多的共识,并具体指出将解决开源软件的十大挑战,同时这些科技巨头也承诺,在未来两年内,将投入1.5亿元经费解决相关问题。



值得一提的是,这次会议的召开时间可以说是别具意义,去年同一时间,美国总统拜登签署了一份改善国家网路安全的行政命令EO 14028中,就包括了提高开源软件供应链的安全。



参与这次会议的成员,来自多个重量级行业从业者,包括亚马逊、谷歌、微软、威睿、戴尔、英特尔、摩根大通、GitHub等,同时也有多个美国政府机关的官员出席,包括来自美国白宫、美国国家安全委员会(NSC)、美国网路安全及基础设施安全局(CISA)、美国国家标准暨技术研究院(NIST)、白宫网路主任办公室(ONCD)、能源部(DOE)与美国行销管理和预算局(OMB)的官员。这样的组合,其实也显现出开源社群、科技巨头,以及美国联邦政府之间加强合作的态势与重要性。



面对开源软件安全议题,聚焦解决10大问题



该如何改善开源软件安全?Linux基金会与开源安全基金会在收集多方意见后,现已发布首个广泛解决开源软件安全的计划项目,名为"开源软件安全动员计划"(The Open Source Software Security Mobilization Plan),当中最受关注的焦点就是,不仅详细说明解决开源软件的3大议题与10大问题,也公布解决各项问题将投入的经费。



基本上,在首次开源软件安全峰会上,当时讨论了3个主要目标,包括:首先,确保开源软件生产的安全,重点放在防止程式码与开放原始码套件(Open Source package)的缺陷与漏洞;其次,改善漏洞发现与修补;最后,缩短整个生态体系的修补应变时间。



如今,随着第二次开源软件安全峰会的召开,现已进一步总结出开源软件十大问题,分别是:(一)安全教育、(二)风险评估、(三)数位签章、(四)记忆体安全、(五)资安应变、(六)强化扫描能力、(七)程式码稽核、(八)资料分享、(九)软件物料清单SBOM,以及(十)供应链改善。


具体而言,以确保开源软件生产安全的目标而言,在安全教育面向,透过教育与认证让所有人提升安全软件开发的水准;在风险评估面向上,为最热门的1万个或更多开源软件元件建立一个公开、中立且基于客观指标的风险评估仪表板;在数位签章方面,加速软件发布采用数位签章;在记忆体安全方面,透过替换「不具记忆体安全(non-memory-safe)」的程式语言,来消除许多漏洞的根源。



针对改善漏洞发现与修补的目标而言,在网安应变方面,强调建立OpenSSF开源安全事件回应小组,网安专家可在应对漏洞了解关键时刻介入协助开源项目;在强化扫描能力面向,透过进阶的安全工具与专家指引,加速开源项目维护者与专家对新漏洞的发现;在程式码稽核方面,每年将针对两百多个关键的开源软件元件,进行一次第三方程式码审查以及必要的修补工作;在资料分享方面,将协调所有产业共享相关资料,帮助确定出最关键的开源软件元件并改善研究。



以缩短整个生态体系的修补应变时间的目标而言,在软件物料清单方面,将改善SBOM工具,并且推动这类工具的培训与采用;在供应链改善方面,将运用更好的供应链安全工具与最佳实践,来强化10个最关键的开源软件开发系统、套件管理器与部署系统。



特别的是,这次计划已确定改善这十大问题的投入经费,其中,对于「强化扫描能力」一项的首年投入金费最高,达1,500万美元,后续每年投入1,100万美元,「程式码稽核」的首年投入金额也达1,100万美元,后续每年将投入更多,达4,200万美元。



整体而言,为解决这十大问题,这项计划的首年投入经费将达到6,840万美元,次年将为7,950万美元。



目前,在这1.5亿美元的经费中,已由亚马逊、爱立信、谷歌、微软、威睿共同认捐超过3,000万美元,作为此计划的前期资金。







图片



图片






自今年一月白宫召开开源软件安全峰会后,近日Linux基金会与开源安全基金会(OpenSSF)二度召开此会议,同时发布了开源安全动员计划白皮书,具体商讨出强化开源软件安全需解决10大问题。


美国解决开源软件安全十大问题的经费配置




图片




Linux基金会,iThome整理,2022年5月




图片




在开源软件安全动员计划白皮书中,针对解决开源软件安全的10大问题,都提供了详细的说明。以第一项安全教育而言,当中指出,从历史上看,传统的软件工程课程很少关注、强调,或是通过良好的网络安全教育与安全Coding技术的重要性。因此,OpenSSF提出了以下多管齐下的方法来解决这个问题,包括:收集与策划内容、扩大培训,以及并奖励与激励开发者。同时,白皮书中也具体拟定出各项问题所需花费的预算。这十项内容均值得国内思考。





【阅读原文】



2、Mozilla Firefox 100.0.2版本发布 包含两个关键安全修复



Mozilla刚刚发布了一个新的Firefox浏览器版本,这次的小改版在安全方面却并不小。新的更新使浏览器达到了100.0.2版本,包括两个关键的安全修复。Mozilla已经将这两个安全修复标记为严重等级,它们是由趋势科技的零日计划的研究员Manfred Paul报告的,建议大家尽快安装。


下载地址:

http://ftp.mozilla.org/pub/firefox/releases/100.0.2/


第一个漏洞涉及顶级审计实施中的一个原型污染。


Mozilla说:"如果攻击者能够通过原型污染破坏JavaScript中Array对象的方法,他们就可以实现在特权环境下执行攻击者控制的JavaScript代码。"


第二个漏洞被记录在CVE-2022-1529中,是一个用于Javascript对象索引的不可信任的输入,Mozilla说它也导致了原型污染。


"该公司说:"攻击者可能向父进程发送一条消息,其中的内容被用来对一个JavaScript对象进行双重索引,导致原型污染,最终在有特权的父进程中执行攻击者控制的JavaScript。"


如前所述,建议所有用户尽快更新到最新的Firefox版本,特别是考虑到安全问题。


第三方统计数据显示,Google Chrome浏览器是市场上的头号选择,市场份额接近70%,亚军目前是由微软Edge拥有,而Firefox浏览器是市场上唯一的具有较大影响力的非Chromium浏览器。

【阅读原文】



3、2022年SaaS安全调查报告:七个关键发现



报告收集了来自340位CSA会员的匿名回复,不仅分析了SaaS安全领域不断上升的风险,还呈现了各个组织当前如何保护自身的情况。


统计数据


绝大多数受访者(71%)位于美国,11%来自亚洲,13%出自欧洲、中东和非洲(EMEA)地区。参与本次调查访问的人员中,49%能够影响决策过程,39%直接负责决策。调查涉及电信(25%)、金融(22%)和政府(9%)等多个行业。


调查收集整理了很多有用的信息,此处仅列举最值得关注的七点。


1、SaaS错误配置导致发生安全事件


自2019年起,错误配置就成为了组织机构最担忧的事,至少43%的组织报告称,至少处理了一个或多个由SaaS错误配置引起的安全事件。然而,由于很多其他组织声称并不清楚自身是否遭遇过安全事件,SaaS错误配置相关事件占比可能高达63%。相较于IaaS错误配置所致安全事件占比仅17%,SaaS安全事件的比例可谓非常惊人。


图片

经历SaaS错误配置所致安全事件的公司


2、缺乏可见性和太多部门具有访问权限成SaaS错误配置首要原因


于是,这些SaaS错误配置的确切原因到底是什么?尽管可供参考的因素有很多,调查受访人员将之缩窄到了两大主要原因:一是太多部门具有安全设置权限(35%),二是缺乏对SaaS安全设置修改情况的可见性(34%)。这是两个互相关联的问题。考虑到SaaS应用程序采用的首要问题就是缺乏可见性,且普通组织都存在多个部门能够访问安全设置的问题,这两个问题位列SaaS错误配置两大首要原因毫不令人惊讶。缺乏可见性的主要原因之一是太多部门拥有安全配置访问权限,而且其中很多部门并未经过适当的培训,也不重视安全。


图片

SaaS错误配置主要原因


3、业务关键型SaaS应用程序方面的投资超过了SaaS安全工具与人员方面的投资


企业采用越来越多的应用程序是个不争的事实,仅去年一年,就有81%的受访者表示增加了在业务关键型应用程序方面的投资。另一方面,在SaaS安全工具(73%)和安全人员(55%)方面的投资则没那么多。这种不协调代表着现有安全团队的SaaS安全监测负担越来越重。


图片


企业对SaaS应用、安全工具和人员的投入


4、人工检测和缓解SaaS错误配置令组织持续暴露


人工监测其SaaS安全的组织中,46%每个月或更长时间才执行一次检查,5%甚至根本不执行检查。发现错误配置后,安全团队还需要额外的时间进行处理。如果人工缓解,四分之一的组织需要一周或更长时间才能修复错误配置。过长的修复耗时令组织面临遭攻击风险。


图片

企业人工检查自身SaaS错误配置的频率


图片

企业人工修复SaaS错误配置所耗时长


5、采用SaaS安全配置管理(SSPM)缩短检测和修复SaaS错误配置的时间


上面第4条的另一面是,实现SSPM的组织能够更快速、更准确地检测和修复自身SaaS错误配置。大部分这类组织(78%)利用SSPM检查其SaaS安全配置的频次为每周至少一次。在修复错误配置方面,使用SSPM的组织81%都能够在一天到一周时间内解决。


图片

SaaS安全配置检查频率


图片

SaaS错误配置修复时长


6、第三方应用程序权限引关注


第三方应用程序也称为无代码或低代码平台,可以提高生产力,实现混合工作,推动公司工作流程的构建和扩展。然而,很多用户快速连接第三方应用程序时,并没有考虑这些应用程序要求了哪些权限。一旦接受,授予这些第三方应用程序的权限和后续访问,既可能是无害的,也可能跟可执行文件一样恶意满满。如果缺乏SaaS到SaaS供应链可见性,员工就会连接到所在组织的业务关键型应用程序,安全团队也会对很多潜在威胁两眼一抹黑。随着组织继续推进SaaS应用程序采用步伐,可见性缺乏问题也愈发凸显,尤其是第三方应用程序访问核心SaaS栈的问题(56%)。


图片

企业采用SaaS应用的首要顾虑


未雨绸缪,实现SSPM


尽管SSPM两年前才引入市场,但这一领域发展迅速。在评估四种云安全解决方案时,大多数人对SSPM给出了“有所了解”的评价。此外,62%的受访者表示自己已经开始使用SSPM,或计划在未来24个月内实现SSPM。


图片

目前在用或计划采用SSPM的公司占比


结语


《2022年SaaS安全调查报告》呈现了组织如何使用和保护其SaaS应用程序的状况。毫无疑问,随着公司逐步采用更多的业务关键型SaaS应用程序,其所面临的风险也越来越大。为面对这一挑战,公司应该开始通过以下两个最佳实践来保护自身:


  • 首先是使安全团队能够全面了解所有SaaS应用程序安全设置,包括第三方应用程序访问和用户权限,这么做反过来还能令各部门维护好自身访问权限,免去不当更改致使组织易遭攻击的风险。


  • 其次,公司应利用自动化工具(例如SSPM)持续监测并快速修复SaaS安全错误配置。采用自动化工具,安全团队能够近乎实时地识别和修复问题,从而减少组织暴露在风险中的时长,或者防止问题发生。


这两方的改变能够为安全团队提供支持,同时不会妨碍其他部门继续自己的工作。


《2022年SaaS安全调查报告》:

https://www.adaptive-shield.com/2022-saas-security-survey-report?utm_source=TheHackerNews&utm_medium=content_syndication&utm_campaign=thn_saassurvey1


【阅读原文】



2022年5月23日 星期一

今日资讯速览:

1、意大利邮政通讯警察局:多个政府机构网站遭俄罗斯黑客攻击


2、年收入1000亿 微软改革网络安全部门任命新产品官


3、Pwn2Own 2022黑客大赛继续拿下特斯拉、微软和Ubuntu



1、意大利邮政通讯警察局:多个政府机构网站遭俄罗斯黑客攻击



意大利邮政通讯警察局证实,当地时间19日晚10时起,意大利多个政府机构网站遭受俄罗斯黑客的持续攻击。目前警方正在对相关网站进行保护。


据悉,发起此次网络攻击的可能是俄罗斯黑客组织KillNet,根据其在社交媒体Telegram上发布的信息,此次攻击的目标是意大利最高司法委员会、海关、外交部、教育部和文化遗产部等多个政府机构网站。(总台记者 殷欣)

【阅读原文】



2、年收入1000亿 微软改革网络安全部门任命新产品官



凤凰网科技讯 北京时间5月20日消息,随着微软公司安全主管查理·贝尔(Charlie Bell)开始对公司的网络安全产品部门进行改革,该软件巨头为部分安全和管理产品聘请了一位新的首席产品官。


微软称,杰森·罗斯扎克(Jason Roszak)将担任微软企业管理体验业务的首席产品官,负责监督移动设备管理程序Intune和帮助企业管理和监控Windows服务器网络的系统中心等产品。此前,罗斯扎克在VMware工作了八年多,曾担任该公司的副总裁,他预计将于6月开始工作。


微软在今年1月表示,公司2021年安全软件销售额达到150亿美元(约合1000亿元),同比增长近45%。微软正在努力扩大和改善安全业务,以更好地保护客户免受破坏性入侵,并吸引更多客户使用其程序。安全主管贝尔曾在亚马逊公司的云计算部门工作多年,在2021年加入微软。(作者/箫雨)

【阅读原文】



3、Pwn2Own 2022黑客大赛继续拿下特斯拉、微软和Ubuntu



本周在温哥华举行的为期三天的Pwn2Own黑客大会上,微软、Ubuntu和Tesla产品的几个漏洞被持续发现并被利用。该会议由趋势科技的零日计划组织,为黑客提供了一个赚钱的机会,为主流科技厂商们换取发现和利用流行产品的漏洞。

图片.png

到星期四第二天结束时,会议已经支付了94.5万美元的奖励,其中包括7.5万美元给攻击性安全公司Synacktiv的黑客,他们在特斯拉Model 3信息娱乐系统中发现了两个独特的漏洞。这些漏洞使黑客能够接管汽车的一些系统。零日计划最后还购买了特斯拉Model 3诊断以太网的一个漏洞,并将其披露给汽车制造商。


Sea Security Response的安全工程师Bien Pham和美国西北大学的一个团队展示了Ubuntu台式机上的两个"Use After Free"的特权提升漏洞。这种类型的漏洞是由于应用程序管理内存不善而发生的漏洞。内存损坏的漏洞通常被用来攻击和利用浏览器。


在比赛的第三天,在Ubuntu中发现了另一个Use After Free漏洞,同时还有其他微软Windows 11漏洞。


在活动的第一天,有16个零日漏洞在Ubuntu桌面、苹果Safari、甲骨文Virtualbox、Mozilla Firefox,以及微软的Windows 11和Teams中被利用。

TUTELARY.jpeg

上述被利用的16个零日漏洞获得了超过80万美元的奖励。


今年是该比赛举办15周年,来自几十家网络安全公司的17名参赛者针对21种不同的产品进行了多类比赛。STAR实验室在第二天结束时以27万美元的总收入领先。


供应商有90天的时间对比赛期间披露的所有漏洞进行修复。

【阅读原文】



2022年5月20日 星期五

今日资讯速览:

1、Pwn2Own 2022大赛第一天 Windows 11和Teams被黑了好几次


2、拜登总统签署《国家网络安全防范联盟法案》,加大网安培训力度


3、最新动作!欧美发布联合申明,网络关系更加紧密



1、Pwn2Own 2022大赛第一天 Windows 11和Teams被黑了好几次


在Pwn2Own一年一度的计算机黑客大赛活动中,参赛者和网络安全专家展示他们利用漏洞、零日漏洞和其他问题合法破解各种软件的技能,并获得奖励和认可。今年,在2022年温哥华Pwn2Own活动期间,参赛者在第一天就成功破解了微软Teams和Windows 11。

Pwn2Own-2021.jpg

Hector"p3rro"Peralta是第一个黑掉Microsoft Teams的人。他展示了针对微软企业信使的不当配置,并因其发现而获得15万美元。后来,当Masato Kinugawa执行了一个由感染、错误配置和沙盒逃逸组成的3个漏洞链时,这一次Teams再次成为受害者。Daniel Lim Wee Soong、Poh Jia Hao、Li Jiantao和Ngo Wei Lin展示了对两个漏洞的零点击利用,并且更多针对Teams应用的漏洞发掘依然在继续。


Windows 11也未能幸免于黑客攻击。尽管微软在其最新的操作系统中大力强调安全,但马辛·维昂佐夫斯基还是在Windows 11中执行了一次越界写入的权限升级。为此,马辛获得了40000美元和微软的高度赞扬。

_manfp Firefox zero-days.webp

在2022年温哥华Pwn2Own比赛的第一天,微软的产品并不是黑客们唯一破解的软件。参赛者通过破解甲骨文Virtualbox、Mozilla Firefox、Ubuntu Desktop和苹果Safari,成功赚取积分和金钱。这样的活动有助于微软和其他公司提高其产品的安全性,并激励熟练的黑客保持在网络法律的正确一边。


在第一天,黑客们通过利用多个产品中的16个零日漏洞,总共获得了80万美元的收入。在第二和第三天,参赛者可以通过入侵其他软件、小工具和汽车(特斯拉Model 3和Model S)赚取超过100万美元的奖励。

【阅读原文】



2、拜登总统签署《国家网络安全防范联盟法案》,加大网安培训力度


5月12日,美国总统拜登签署了《国家网络安全防范联盟法案》。


该法案将使国土安全部能够与非营利实体合作,开发、更新和主办网络安全培训,以支持防御和应对网络安全风险。


参议员约翰·科尔尼和帕特里克·莱希在周四发表的一份声明中说,新法律的目的是确保关键基础设施免受网络攻击,网络准备就绪。


国土安全部和由德克萨斯大学圣安东尼奥分校、德克萨斯农工大学工程推广服务中心、阿肯色大学、孟菲斯大学、诺维奇大学和其他大学培训组织组成的国家网络安全防范联盟(NCPC)将合作,对州及地方政府的响应责任人(first responders)和官员进行网络安全培训,支持创建信息共享计划,并帮助扩大州和地方应急计划的网络安全风险和事件预防及响应。


除州和地方政府外,他们还将为私营企业和关键基础设施所有者和经营者提供技术援助并举办模拟演习。


"有了这项新的法律,国土安全部和NCPC将能够通过多年的工作,来提高他们所帮助的人的网络技能,"莱希参议员说。

【阅读原文】



3、最新动作!欧美发布联合申明,网络关系更加紧密


【阅读原文】



2022年5月19日 星期四

今日资讯速览:

1、哥斯达黎加新总统宣布向Conti网络犯罪团伙“开战”


2、特斯拉进入系统被黑客攻破:窃贼可偷走你的汽车


3、热门NFT项目被冒充,小心中招!



1、哥斯达黎加新总统宣布向Conti网络犯罪团伙“开战”



本周一,刚刚上任 10 天的哥斯达黎加新总统罗德里戈·查韦斯(Rodrigo Chaves)宣布向 Conti 网络犯罪团伙“开战”。今年 4 月,该团伙的勒索软件攻击使整个政府机构瘫痪。

5torrnba.webp

在5月16日向媒体发表的一份强有力的声明中,查韦斯总统还表示 Conti 在国内还有同伙,呼吁国际盟友能提供帮助。


在接受当地媒体采访的时候,查韦斯总统表示:“毫不夸张的说,我们正处于战争之中。这场战争是针对一个国际恐怖组织的,该组织显然在哥斯达黎加有特工人员。有非常明显的迹象表明,国内的人正在与 Conti 合作”。


查韦斯总统对 Conti 的宣战是在该勒索软件集团异常好战的情况下进行的,该集团表示其意图是“通过网络攻击推翻政府”。在发布在 Conti 网站上的一条信息中,该勒索软件集团敦促哥斯达黎加公民向他们的政府施压,以支付赎金,赎金已经从最初的1000 万美元翻倍到 2000 万美元。


在攻击期间,美国政府还提供了高达 1000 万美元的赏金,以获得能够识别或找到 Conti 集团行动的主要协调人的信息,如果帮助逮捕任何 Conti 成员可以获得 500 万美元。

Conti对哥斯达黎加政府的攻击所造成的严重影响表明,最大的勒索软件集团继续有能力以能够对民族国家构成威胁的规模运作,并利用资金储备,通过贿赂有权限的人,使他们能够买到一些最敏感的计算机系统。


随着哥斯达黎加危机的持续,更多的连锁反应正在影响该国公民。查韦斯发表的声明指出,受到冲击的政府机构数量为27个,包括财政部和劳动和社会保障部。查韦斯说,其中一个影响是政府无法通过传统手段收税。

【阅读原文】



2、特斯拉进入系统被黑客攻破:窃贼可偷走你的汽车



凤凰网科技讯 北京时间5月17日消息,特斯拉公司的客户可能会喜欢该汽车制造商方便的无钥匙进入系统,但一位网络安全研究人员已经证明,该技术可以让窃贼偷走某些型号的电动汽车。


英国曼彻斯特安全公司NCC Group的首席安全顾问苏丹·卡西姆·汗(Sultan Qasim Khan)表示,对特斯拉Model 3和Model Y有效入侵将允许窃贼解锁汽车、启动汽车并加速离开。通过重定向车主的手机或key fob遥控钥匙与汽车之间的通信,外人可以欺骗特斯拉进入系统,使其认为车主就在汽车附近。


卡西姆·汗称,虽然他是在一款特斯拉车型上演示了这项技术,但是该入侵技术并不是专门针对特斯拉的。相反,这是他对特斯拉的无钥匙进入系统进行修补的结果,该系统依赖于所谓的低能耗蓝牙(BLE)协议。没有证据表明窃贼利用这一入侵技术不正当地进入特斯拉汽车。特斯拉尚未置评。

【阅读原文】



3、热门NFT项目被冒充,小心中招!



据悉,一个假冒的Pixelmon NFT网站正用免费代币和收藏品吸引粉丝,并用窃取加密货币钱包的恶意软件对其进行感染。


Pixelmon是一个热门的NFT项目,它的目标包括创建一个元宇宙游戏,用户可以在其中使用Pixelmon宠物进行收集、训练以及与其他玩家战斗。该项目在Twitter上有近20万名粉丝和超过2.5万名Discord成员,引起了广泛的关注。





冒充Pixelmon项目











为了利用这种兴趣,威胁参与者复制了合法的pixelmon.club网站,并在pixelmon[.]pw上创建了一个虚假版本来分发恶意软件。


该恶意站点几乎是合法站点的复制品,它提供在设备上安装密码窃取恶意软件的可执行文件,而不是该项目的游戏演示。


图片



假的Pixelmon网站


该网站提供了一个名为Installer.zip的文件,其中包含一个看似已损坏且不会以任何恶意软件感染用户的可执行文件。


然而,首先发现这个恶意站点的MalwareHunterTeam还发现了该站点分发的其他恶意文件。


此恶意站点分发的文件之一是setup.zip,其中包含setup.lnk文件。Setup.lnk是一个Windows快捷方式,它将执行PowerShell命令以从pixelmon[.]pw下载system32.hta文件。


图片



Setup.lnk内容


在测试这些恶意有效载荷时,System32.hta文件下载了Vidar,这是一种密码窃取恶意软件,不像过去那样常用。安全研究员Fumik0_证实了这一点 ,他之前曾分析过这个恶意软件家族。


在执行时,威胁参与者的Vidar样本将连接到Telegram频道并检索恶意软件命令和控制服务器的IP地址。


图片

包含C2 IP地址的Telegram频道


恶意软件从C2中检索配置命令,并下载更多模块,用于从受感染设备中窃取数据。


Vidar恶意软件可以从浏览器和应用程序中窃取密码,并在计算机中搜索与特定名称匹配的文件,然后将这些文件上传给威胁参与者。


从下面的恶意软件配置中可以看出,C2指示恶意软件搜索和窃取各种文件,包括文本文件、加密货币钱包、备份、代码、密码文件和身份验证文件。


图片

从C2服务器检索的配置命令


这是一个NFT网站,预计访问者将在其计算机上安装加密货币钱包,因此,威胁参与者强调搜索和窃取与加密货币相关的文件。


虽然该站点目前没有分发有效的有效载荷,但已有证据表明威胁参与者在过去几天继续修改该站点,因为两天前可用的有效载荷已经不复存在。凭借该网站上的活动可以预计,此活动将继续活跃,并且威胁会很快增加。


随着NFT项目被旨在窃取加密货币的骗局所淹没,用户应该再三检查正在访问的URL是否与感兴趣的项目相关。此外,在未使用防病毒软件或使用VirusTotal进行扫描之前,切勿执行来自未知网站的任何可执行文件。


【阅读原文】



2022年5月18日 星期三

今日资讯速览:

1、俄黑客组织发视频向美乌等10国政府“宣战”,国际黑客组织“匿名者”转发回应


2、谷歌正在想办法解决安卓后台应用被杀问题 OEM不应以省电为由狂杀后台应用


3、郭明錤继续发布消息称后续苹果耳机盒/键盘/鼠标/触控板等也换成USB-C接口



1、俄黑客组织发视频向美乌等10国政府“宣战”,国际黑客组织“匿名者”转发回应



在俄黑客组织KillNet当地时间16日发布视频,向美英乌等10国政府正式“宣战”后,国际黑客组织“匿名者”(Anonymous)的推特账号上转发了KillNet的“宣战”声明,并写道“祝你们好运”。

“匿名者”推特账号“Anonymous Operations”截图

“匿名者”推特账号“Anonymous Operations”截图


推特自述为发布关于“匿名者”及其相关信息的账号“Anonymous Operations”16日晚发表推文转发俄黑客组织KillNet的“宣战”视频,并声称:“普京的粉丝团Killnet宣布对美国、英国、德国、意大利、拉脱维亚、罗马尼亚、立陶宛、爱沙尼亚、波兰和乌克兰发起全球网络攻击……是的,很棒的视频,但你们的网络延时都超过1200毫秒了,祝你们好运。”推文还附带一个“捂嘴笑”的表情。


对于黑客组织实施的网络攻击而言,1200毫秒意味着网络质量稍差。


国际黑客组织“回应”俄黑客组织的推文很快引发一些网友围观,不少人拱火并撺掇“匿名者”。


有支持乌克兰、并对俄实施制裁的网友喊话“匿名者”组织:“他们试图模仿你,‘匿名者’。我想,模仿也是一种欣赏。再接再厉!”↓

还有人说,“阻止他们!如果失败了,就拿下他们。”↓

但也有人读出俄黑客组织声明的更多意味,“像很多时候一样,这种宣传更多的是为了俄罗斯人民的利益,他们知道我们知道他们不再是威胁了。”↓

还有人抱着纯粹看热闹的心态围观。↓

“这会很有趣的,匿名者 vs Killnet,2个全球级别的黑客。”


据报道,俄黑客组织KillNet成员当地时间16日在即时通信软件Telegram发布视频,向包括美国、英国、德国在内10个国家的政府正式“宣战”。该黑客组织认为,这些西方国家正支持“反俄运动”。KillNet组织一名成员当天在视频中称,“今天我们正式宣布向10个国家发起网络战争。从现在开始,美国、英国、德国、意大利、拉脱维亚、罗马尼亚、立陶宛、爱沙尼亚、波兰和乌克兰将受到我们的攻击。”该组织说,这10个国家的政府将被“清算”,但其民众不会受到任何威胁。

【阅读原文】



2、谷歌正在想办法解决安卓后台应用被杀问题 OEM不应以省电为由狂杀后台应用



安卓系统早期因为后台应用和高耗电饱受诟病,结果没想到现在想要安稳的运行后台应用竟然变成难事儿了。


原因在于越来越多的安卓设备制造商会想方设法限制应用后台运行,并称限制后台应用提高流畅性也更省电。


续航无疑是智能手机的卖点之一,只是没想到通过杀后台应用提高续航也能变成主流,这让安卓用户很难受。


目前这类问题谷歌已经知晓,在开发者大会上,谷歌明确表示该公司正在努力从多个角度尝试解决这个问题。


开发者被OEM围剿:


在后台工作最佳实践讨论中,安卓系统框架软件工程师提到目前开发者面临的困境 --- 想要后台运行不容易。


不少制造商希望以安卓系统无法解决的方式来优化电池寿命,为达到该目的这些制造商不择手段的限制后台。


该工程师称我们已经注意到这类限制很多都是没有根据的,这会让很多应用程序无法实现后台运行影响体验。


谷歌提到该公司致力于与制造商合作促进后台应用程序限制的一致性,包括尝试建立标准化系统级电池管理。


希望以此能够解决制造商关心的应用程序后台运行耗电问题,最终解决开发者的问题以及用户使用体验问题。



谷歌在Android 13中的工作:


谷歌称在 Android 13 里电池管理功能已经得到优化,包括追踪每个应用程序的电池消耗,前后台分别计算。


用户可以更加清晰的看到应用程序在前台运行多久、后台运行多久,后台运行消耗多少电量方便自主管理等。


如果制造商愿意采纳新的电源管理功能那没必要再去单独开发限制功能,让开发者们也可以更好的进行适配。


当然这只是谷歌的理想状态,实际上谷歌并没有对制造商的这些改动进行任何限制,谷歌对此只有建议而已。


所以有多少制造商会放弃自己开发电源管理功能还是个未知数,蓝点网觉得短期内这个问题应该没办法解决。

【阅读原文】



3、郭明錤继续发布消息称后续苹果耳机盒/键盘/鼠标/触控板等也换成USB-C接口



早些时候天风国际分析师郭明錤发布消息称苹果将在明年发布的iPhone 15系列里改用更通用的USB-C接口。


随后彭博社也援引知情人士称苹果其实已经测试了一段时间,只不过秋季发布的iPhone 14系列暂时不会改。


现在郭老师继续就苹果接口方面的内容发布消息,郭老师称后续苹果其他产品配件也都陆续改成USB-C接口。


郭明錤继续发布消息称后续苹果耳机盒/键盘/鼠标/触控板等也换成USB-C接口


Lightning接口要消失的节奏:


作为苹果专用接口 Lightning 在很多产品中使用 ,  但当苹果决定要切换的USB-C后Lightning自然也会消失。


郭明錤称未来苹果将把AirPods 系列无线耳机的充电盒、MagSafe电池组、妙控键盘/鼠标/触控板也换接口。


不过短时间内苹果应该不会迅速切换,这需要更多时间过渡 ,就像iPad和Mac等设备逐渐换成 USB-C 那样。


目前就苹果更换接口的原因更多猜测还是欧盟要求导致的,欧盟准备颁发法案强制要求制造商使用通用接口。


在数码产品领域通用接口就是USB-C所以苹果自然也得遵守,尽管此前苹果已就此事与欧盟隔空对线好多年。


然而换成USB-C接口不是终点:


苹果此前已在研究没有数据线接口的 iPhone ,这主要是专利带来的消息,但目前并没有更多消息可以佐证。


没有接口的 iPhone 难点在于如果设备需要恢复怎么办,现在遇到黑白苹果都可以使用iTunes线刷恢复固件。


要是没有接口那没法线刷指望无线恢复固件难度较大,所以苹果甚至想通过实体SIM卡的触点当做刷机途径。


郭明錤称当前由于无线技术的限制以及 MagSafe 无线配件生态系统的不成熟,现在谈无接口设计为时尚早。


当然如果苹果最终目标是删除接口那iPhone USB-C可能也只会过渡几年 ,  但苹果其他设备应该还会继续用。

【阅读原文】



2022年5月17日 星期二

今日资讯速览:

1、游戏巨头暴雪再遭DDoS攻击,多款热门游戏掉线


2、美国NIST发布《零信任架构实施规划指南》


3、链家程序员“删库”9TB数据被判7年,二审维持原判



1、游戏巨头暴雪再遭DDoS攻击,多款热门游戏掉线



美国东部时间 5月11日晚上7点11分,全球最大的游戏开发商和发行商动视暴雪在推特上表示,其战网服务正遭受DDoS攻击,“可能会导致某些玩家出现高延迟和连接中断的情况”。8:29分,在推文发出一个多小时后,该公司宣布恶意攻击已经结束。

根据Downdetector的用户报告,玩家在《守望先锋》《魔兽世界》《使命召唤》和《暗黑破坏神III》等游戏中都遇到了问题。目前已有24,971份报告,其中报告最多的问题是服务器连接(63%),其次是登录(34%)和更新(3%)问题。



此类事件时常发生,开发商很难为任何潜在的攻击做好充分的准备。动视暴雪所能做的就是尽快控制局势。


去年11月遭受的DDoS攻击


2021年11月,动视暴雪也遭到了来自外部的DDoS攻击,导致其服务器运行缓慢,玩家难以进入到游戏之中。期间尝试登录的玩家,也能够PC战网客户端上看到“突发新闻”相关条目。


攻击发生后,在服务器检测网站DownDetector上,动视暴雪的许多服务和产品都发布了服务中断公告。有数千位玩家报告称排不上队,也有数百位玩家报告部分暴雪游戏掉线。


经过调查发现,黑客选择了该公司旗下经过验证的客服推特账号作为突破口,发起持续大约一个小时的DDoS攻击。


据悉,2021年11月的攻击事件是一个名为Poodle Corp的黑客组织所为,该组织在2021年8月也曾对战网发起过DDoS攻击。Poodle Corp通过Twitter表示,在暴雪刚发布《魔兽世界》的最新资料片时,就盯上了暴雪的服务器,将在转推数量超过2000之后停止对战网的攻击。


Poodle Corp是LizardSquad黑客组织的分支,后者曾多次攻击过微软的Xbox平台、索尼的PS平台以及暴雪的战网(Battle.net)平台。Poodle Corp主要针对游戏服务器发起攻击,因为游戏是受到DDoS攻击影响最大的行业。相关数据显示,在2021年,有近一半的DDoS攻击是针对游戏行业发起的,即使是微软、索尼、暴雪等巨头公司,也无法避免遭到此类攻击。

【阅读原文】



2、美国NIST发布《零信任架构实施规划指南》



近日,美国国家标准与技术研究院为联邦管理人员发布了一份规划指南,概述了如何将 NIST 风险管理框架应用于实施零信任架构。RMF 提出了一种方法,其中包括一组集成到企业风险分析、规划、开发和运营中的步骤和任务。这些步骤分为七个行动:准备、分类、选择、实施、评估、授权和监控。


零信任提供了一组概念,旨在最大限度地减少在信息系统和服务中执行准确的、最小权限的每项请求访问决定时的不确定性,面对一个被视为有争议的网络。零信任从根本上说是由一套原则组成的,信息技术架构的规划、部署和运行都基于这些原则。零信任采用整体观点,考虑到对特定任务或业务流程的潜在风险以及如何减轻这些风险。因此,没有单一的具体的零信任基础设施实施或架构。零信任解决方案取决于被分析的工作流程和执行该工作流程时使用的资源。零信任战略思想可用于规划和实施企业IT基础设施,该计划被称为零信任架构(ZTA)。


企业管理员和系统操作员需要参与规划和部署,以使ZTA获得成功。ZTA规划需要系统和工作流程所有者以及专业安全架构师的投入和分析。零信任不能简单地添加到现有的工作流程中,而是需要整合到企业的所有方面。本文件为正在向ZTA迁移的管理员和操作人员介绍了NIST风险管理框架(RMF)的概念。RMF规定了一种方法,包括一套步骤和任务,被整合到企业风险分析、规划、开发和运营中。通常不执行RMF中详述的步骤和任务的管理员可能会发现,当他们迁移到ZTA时,他们需要熟悉这些步骤和任务。


NIST特别出版物800-207提供了一个零信任的概念框架。虽然这个概念框架并不全面,但可以作为一个工具来理解和开发企业的ZTA。该指南还提供了一个抽象的逻辑架构,可以用来映射解决方案和差距。这个抽象的架构在下面的图1中得到了再现。

图1:核心零信任逻辑组件


在这张图中,组件是按逻辑功能来描述的,因此不一定代表作战系统中的能力构成。多个组件有可能以分布式的方式服务于一个逻辑功能,或者一个解决方案可以完成多个逻辑角色。


政策引擎(PE):ZTA实施的"大脑"和最终评估资源访问请求的组件。PE依赖于来自各种数据源的信息(访问日志、威胁情报、端点健康和网络ID认证等);

政策管理员(PA):PE的执行者功能。政策管理员的作用是在主体和资源之间的数据平面上建立、维护并最终终止会话。PA、PE和PEP在一组逻辑上(或物理上)独立的通道上进行通信,称为控制平面。控制平面用于建立和配置用于发送应用流量的数据平面通道;

政策执行点(PEP):应用程序、终端等将与之互动以获得对资源的访问许可的组件。PEP负责为PE收集信息,并遵循PA发出的指令,建立和终止通信会话。企业资源之间的所有数据面通信必须由PEP管理;

信息反馈(左边和右边):有时称为策略信息点(PIP)。这些不是"核心"功能的ZTA组件本身,而是用来支持PE的。这些馈送包括编纂的策略集、身份和终端属性、环境因素和历史数据,由PE用于生成资源访问决策。


1 零信任的信条


零信任可以被概括为一套用于规划和实施IT架构的原则。以下原则最初是在NISTSP800-207中定义的,但在这里被重复和扩展,并被分组为与网络身份、终端健康或数据流有关。其中包括对这些信条的一些讨论,以及规划者在开发零信任架构时应牢记的一些考虑。


1.1.1 处理网络身份治理的信条


所有的资源认证和授权都是动态的,并在允许访问之前严格执行。一个典型的企业拥有广泛的网络身份集合:终端用户、流程和服务使用的账户等。有些终端用户可能有多个网络身份,有些身份可能只被硬件/软件组件使用。企业需要有治理政策和结构,以便只有授权的操作才能执行,而且只有在身份正确认证后才能执行。企业需要考虑目前的身份治理政策是否足够成熟,以及目前在哪里和如何进行认证和授权检查。动态执行意味着其他因素,如端点和环境因素会影响认证和授权政策。


1.1.2 处理端点的信条


I.所有数据源和计算服务都被视为资源。一个企业依靠不同的资源来执行其任务:移动设备、数据存储、计算资源(包括虚拟)、远程传感器/执行器等。所有这些组件都是资源,需要在ZTA中加以考虑。一些组件(如物联网传感器)可能无法支持一些解决方案,如配置代理、应用程序沙盒等,因此可能需要补偿技术或替代缓解措施。如果资源缺乏某些安全能力,企业可能需要添加一个PEP组件来提供该功能。


II.企业监控和测量所有拥有的和相关的资源的完整性和安全态势。本宗旨涉及企业拥有的资源和那些可能不属于企业但在企业工作流程中使用的资源的网络卫生方面,如配置、补丁、应用程序加载等。应该对资源的状态进行监控,并在报告或观察到新的信息,如新的漏洞或攻击时采取适当的行动。资源上的数据的保密性和完整性应该得到保护。这就要求企业管理员知道资源是如何配置、维护和监控的。


1.1.3 适用于数据流的原则


I.所有通信都是安全的,无论网络位置如何。在零信任中,网络总是被认为是有争议的。在设计ZTA时,应假定网络上存在攻击者,并可能观察/修改通信。适当的保障措施应到位,以保护传输中的数据的保密性和完整性。如果一个资源不能提供这个功能,则需要一个单独的PEP组件;


II.对单个企业资源的访问是在每个会话的基础上授予的。在一个理想的零信任架构中,每一个独特的操作都会在执行操作之前经过认证和授权。例如,在对数据库进行读操作之后的删除操作应该触发额外的认证和授权检查。这种级别的细化可能并不总是可能的,可能需要其他缓解方案,如日志和备份,以检测和恢复未经授权的操作。企业管理员将需要计划如何在单个资源上执行细粒度的访问策略。如果企业使用的安全工具不允许这样做,其他解决方案,如日志、版本工具或备份可能有助于实现预期的访问控制结果和管理这种风险;


III.对资源的访问由动态策略决定,包括客户身份、应用/服务和请求资产的可观察状态,并可能包括其他行为和环境属性。在零信任中,所有资源的默认行为是拒绝所有连接,只接受策略明确允许的连接。那些被授权访问资源的人仍然必须验证自己,并证明他们符合企业政策,以获得会话。这可能包括满足诸如客户端软件版本、补丁级别、地理位置、历史请求模式等要求。请注意,可能无法在每次访问请求时执行所有检查,一些政策检查可能在独立的时间表上执行;


IV.企业应尽可能多地收集有关资产、网络基础设施和通信现状的信息,并利用这些信息来改善其安全态势。零信任增加了动态响应因素,这在以前基于周边的架构中通常是缺乏的(或不可能)。这就要求企业在可行的范围内,在政策、法规或法律要求的限制(或要求)下,监控所有的流量。系统日志和威胁情报被用来完善或改变政策,以应对新的信息。一个零信任的企业可以迅速采取行动,隔离受影响的资源,直到它们可以被修补或修改以减轻新发现的漏洞。管理员将需要为企业建立和维护一个全面的监控和补丁程序,并应考虑自动化工具如何协助应对新发现的威胁。


零信任旅程


转向零信任架构永远不会从头开始,而是会随着时间的推移涉及一系列的升级和变化。有些变化是简单的配置变化,有些则涉及购买和部署新的基础设施;这一切都取决于企业目前使用的和可用的工具。迁移到ZTA的过程并不是一个独特的过程,与其他网络安全的升级或改进类似,但在规划和实施中以零信任原则为指导。现有的框架,如NIST风险管理框架(RMF)和网络安全框架(CSF)可以帮助企业讨论、开发和实施ZTA。


NIST SP 800-37修订版,信息系统和组织的风险管理框架。安全和隐私的系统生命周期方法,描述了风险管理框架(RMF)方法及其七个步骤。

七个步骤

  1. 组织和系统准备(PREPARE步骤)

  2. 系统分类(CATEGORIZE步骤)

  3. 控制选择(SELECT步骤)

  4. 控制的实施(IMPLEMENT步骤)

  5. 控制评估(ASSESS步骤)

  6. 系统授权(AUTHORIZE步骤)

  7. 控制监控(MONITOR步骤)


虽然RMF步骤是按顺序描述的,但在最初实施后,它们可以按任何顺序进行或重新审视。构成这七个步骤的各个任务可以根据需要进行和重新审视,也可能与其他步骤和任务并行。各个步骤之间的过渡可以是流动的(见图2)。在制定和实施ZTA时也是如此,因为零信任的动态性质可能需要重新审视RMF步骤,以应对新的信息或技术变化。

对于最初的零信任迁移,这些步骤通常是按顺序进行的。RMF的步骤与JohnKindervag为零信任所开发的高级步骤非常相似,下面是部分映射。这个过程假设授权边界已经创建,工作流程中使用的系统组件也是已知的。在Kindervag的原始高层描述中,没有明确的CATEGORIZE步骤,因为它的开发没有考虑到联邦机构的政策。Kindervag的步骤是:

1.绘制资源的攻击面并确定可能被恶意行为者攻击的关键部分。这项活动将由"准备"和"选择"步骤中的任务涵盖。

2.从准备步骤开始,数据流应该被识别和映射。

3.实施步骤。重点是在资源和相关的PEP上实施SELECT阶段的控制。PEP可以是一个独立于资源本身的组件,用于满足认证/授权相关控制。底层网络不应该被认为是可信的,所以单个资源之间的链接必须通过一个PEP。

4.评估步骤。确保所有在实施步骤中制定并到位的访问策略都得到了实施,并按计划运行。这将以授权步骤结束,系统和工作流处于开始实际操作的状态。

5.监控步骤。实施对资源(及其安全状态)的监控和管理流程。



2.1.1 准备


RMF流程的第一步是准备。当开始零信任过渡时,这一步是基础性的,因为资源、网络身份和角色/特权的完整清单是零信任所必需的。PREPARE步骤包括适用于组织和任务/业务流程层面以及系统层面的任务。系统架构师、管理员和操作人员可能会专注于PREPARE步骤中基于系统级别的任务,但可能对组织和任务/业务流程级别的任务有宝贵的投入。业务流程所有者也可以向系统管理员提供关于如何在工作流程中利用资源的意见,这也可以帮助确定安全要求的范围。准备"步骤主要侧重于让组织准备好使用NISTRMF管理其安全和隐私风险,并在组织、任务和业务流程以及系统级别建立基本活动。


企业架构团队应专注于识别RMF任务/业务层面的相关业务流程(工作流)和系统。应该对每个工作流程进行风险分析,包括为拟议的ZTA增加的新操作或组件可能产生的影响。应确定参与工作流程的所有者和关键人员,并在分析中提供投入,因为他们可能有关于偏离现有工作流程或系统文件的工作流程的知识和经验。这与PREPARE步骤的组织和任务/业务流程级别的任务相对应。系统管理员和操作人员应着重于识别用于执行已确定的业务流程的资源。这一重点映射到准备步骤的系统级任务。


涉及每个工作流程的资源将是安全计划的主题。安全计划是"正式文件,它提供了信息系统安全要求的概述,并描述了为满足这些要求而实施或计划实施的安全控制"。这有可能涵盖。

  • 属于两个不同类别的资源。

    o用于直接支持特定工作流程的工作流程特定资源。例子包括单一用途的报告数据库和用于向该数据库提交报告的基于云的应用程序。

    o由几个(或所有)工作流程共享的一般基础设施资源。例子包括网络基础设施(交换机、无线网络接入点等),以及一般网络服务(DNS、电子邮件等)。

  • 组织内使用的网络身份和治理工具。这不仅仅是一个终端用户账户的列表,还包括软件组件使用的服务账户、终端ID等。

  • 组织内使用的任何数据分类方案和程序。

  • 企业资源监控的现状。零信任的基础之一是对企业中数据流的理解和监控。在实施ZTA之前,企业拥有一个坚实的持续监测计划和工具集是至关重要的,可以利用。


一旦完成了识别独特工作流程和企业资源的基础工作,就可以确定RMF授权边界(任务P-11)。授权官员根据其他利益相关者的意见确定授权边界,包括企业架构师、任务或业务所有者和系统所有者。授权边界包括所有系统组件,并可能包括任何提供安全功能的PEP组件。授权边界内的资源之间的连接也必须是安全的,而且不能隐含信任。零信任原则认为网络是有争议的,所以授权边界内的资源之间的连接要受到与跨越授权边界的连接相同的控制(例如从外部互联网到边界内,反之亦然)。如果相同的PEP解决方案被用于其他资源,那么PEP组件所涵盖的控制措施可能在其他系统中可以重复使用,例如一些云访问安全代理(CASB)或类似的解决方案被用于为多个不同资源提供PEP组件时。


2.1.2 归类


这一步在零信任的规划过程中并没有改变。FIPS199 和FIPS200用于根据工作流程中的保密性、完整性和可用性要求,将资源置于低、中或高类别。资源的所有者和使用该资源的工作流程可以成为这组任务的宝贵输入。与准备步骤一样,系统管理员可能对任务C-1至关重要。这是一项记录系统特征的任务,包括资源和相关工作流程。


2.1.3 选择


这个步骤在零信任规划过程中也不会改变。NISTSP800-53B中列出了低、中、高影响系统的基线控制。额外的控制可以作为控制调整的一部分被添加或删除,调整控制以管理资源的风险,它的已知攻击面,以及它在工作流程中的位置。使用控制叠加可能有助于此,但叠加不应被认为是不可改变的,应针对独特的资源、工作流程和拟议或增加的ZTA组件进行定制。规划者还应该考虑PEP将满足哪些控制,以及哪些可能需要在资源本身实施。与CATEGORIZE步骤一样,资源所有者和使用该资源的工作流所有者可以在这一步骤中提供宝贵的意见。由于零信任重视对安全态势的持续监控和更新,网络安全架构师和管理员需要开发一个全面的监控流程,以处理零信任的动态性质所需的数据量。


除了NISTSP 800-53和SP800-53B之外,企业架构师和管理员不妨根据需要查阅其他资源,如《联邦CIO手册》和TIC3.0文件以及其他要求的用例。TIC3.0用例文件可以为潜在的架构提供一个高层次的初始游戏手册。TIC3.0文件中的"信任区"概念可能会影响定义授权边界的过程。这些文件可能有助于为资源制定所需的一套要求和安全属性。系统管理员应该为相关任务提供必要的输入。任务S-4和S-5可能需要最多的输入,因为管理员和操作员对构成系统的资源有最多的了解。


2.1.4 实施


实施步骤,与前两个步骤相同,没有任何零信任的具体问题。然而,就像RMF和零信任一样,应该牢记未来的监控/维护操作。管理员可能希望避免涉及频繁的人类所需行动的解决方案,或者不容易适应拟议的或现有的监控系统。"零信任"鼓励自动化对不断变化的安全问题有动态的反应,而人工变化可能无法跟上频繁的变化。该步骤中的两项任务都涉及特定资源的管理员和操作员。


2.1.5 评估


在ZTA中,对控制的评估应该是持续的,以解决不断变化的环境。。管理员和操作人员在这一步骤中可能没有具体的任务,但可能需要提供关于系统中的资源或工作流程的信息。作为回应,评估步骤应该被认为包括两个评估过程:对系统的持续评估(也是下面MONITOR步骤的一部分),以及用于管理系统的过程。管理过程必须被评估,因为零信任的动态性质意味着系统本身的变化可能比人类执行的评估程序所能管理的规模还要快。这种评估将变化过程等因素考虑在内,以评估系统如何被修改。评估系统本身的SP800-53控制,最好是有一个利用监控程序的持续评估部分。应经常进行自动检查或扫描,以发现系统中的变化。日志数据应被用来检测需要进一步调查或补救的可能的恶意行为。这种评估也可以包括积极的过程,如对系统的红队测试,作为评估的输入。


2.1.6 授权


这一步的目标在任何架构中都是一样的,认为一个系统不仅仅是其当前的操作部署。ZTA应该是动态和流动的,以应对不断变化的网络条件。授权不应该被视为适用于静态系统的操作,而是适用于系统和它的变化或更新过程。


2.1.7 监控


如前所述,零信任要求企业监控用于执行其主要任务的资源。这包括端点卫生和用户行为以及网络流量。这与NISTSP 800-37r2 表8中的任务M-1相符。具体如何做到这一点,取决于企业的技术解决方案。然而,不管是哪种技术,企业都应该有相应的政策,以根据通过监控观察到的行为触发行动。这可能包括对安全事件作出反应,或与修改或改进系统的DevOps流程挂钩。除了监测企业资源的当前活动和状态外,网络安全规划者应考虑外部威胁情报如何有助于对新情况作出先发制人的反应。


2.1.8 RMF操作循环


零信任适合使用更加动态的开发和操作(DevOps)以及DevOps和安全(DevSecOps)风格的操作。安全更新和审查的周期可以被描述为涉及RMF流程的一个子集。例如,网络安全态势的DevOps循环可以表示为下图3。

图3:DevOps周期


在这个循环中,监控步骤中收集的数据会反馈到实施步骤中。随着改进和完善的实施,它们会被评估,并跟随持续的授权步骤进入操作。如果有必要,DevOps/DevSecOps团队甚至可以退回到SELECT步骤,如果新的信息导致新的控制被添加或现有的控制被删除。


即使在一个更静态的IT运营环境中,零信任模型也可以被看作是一个只有三个RMF步骤的循环。在这个循环中,没有DevOps组件,所以随着从系统日志、威胁情报等收集到的新信息,评估和授权步骤会不断循环。这可能会导致新的配置变化或政策更新。如果新的信息需要更大的改变,对操作的更大改变将不那么频繁,并且涉及更长的周期,因为如果新的信息需要更大的改变,就会执行循环之外的其他步骤。

图4:运营周期



结论



零信任不是一个单一的技术解决方案,而是一个更大的网络安全战略和操作实践。一个成功的零信任架构需要网络安全规划者、管理层和行政/运营部门的合作。零信任还需要系统、数据和流程所有者的参与,而这些所有者在传统上可能不会对其收费的风险提供投入。这种投入是至关重要的;零信任是企业网络安全的整体方法,需要管理人员、IT人员和一般企业用户的支持。NIST风险管理框架提供了一个整体的过程来管理系统和组织的网络安全和隐私风险。它还可以帮助管理员和操作员以及其他不主要关注网络安全的人。

【阅读原文】



3、链家程序员“删库”9TB数据被判7年,二审维持原判

鞭牛士 5月15日消息,据中国裁判文书网消息,原链家网(北京)科技有限公司数据库管理员韩冰,因犯破坏计算机信息系统罪一审被判处有期徒刑七年,二审维持原判。


据悉,在2018年6月4日,链家网(北京)科技有限公司数据库管理员韩冰利用其担任并掌握该公司财务系统“root”权限的便利,登录该公司财务系统,并将系统内的财务数据及相关应用程序删除,致使该公司财务系统彻底无法访问。


被破坏的服务器是公司专门用于EBS系统的2台数据库服务器和2台应用服务器,存放着公司成立以来所有的财务数据,直接影响公司人员的工资发放等,对公司整个运行有非常重要的意义。


该公司恢复数据及重新构建该系统共计花费人民币18万元。

【阅读原文】



2022年5月16日 星期一

今日资讯速览:

1、加拿大空军关键供应商遭勒索攻击,疑泄露44GB内部数据


2、Windows 11 5月更新与部分杀毒软件产生兼容性问题 直接导致蓝屏死机


3、惠普推送BIOS更新 解决影响200多个计算机型号的高危漏洞



1、加拿大空军关键供应商遭勒索攻击,疑泄露44GB内部数据


专门为空军提供战斗机培训服务的的加拿大公司Top Aces(顶级王牌)表示,已经遭到勒索软件攻击。


该公司在周三(5月11日)的一份声明中证实,正在对攻击事件开展调查。


Top Aces公司总部位于蒙特利尔,是“加拿大与德国武装部队的独家空中对抗演习供应商”,而它的名字已经出现在LockBit勒索软件团伙的泄密网站上。

图:LockBit受害者页面截屏。


Top Aces由一群前战斗机飞行员于2000年创立,号称拥有“全球规模最大的私营作战战斗机群”。


除了与加拿大、德国、以色列等国合作之外,该公司还在2019年同美国空军签署了一份利润丰厚的合同。合同中明确提到,Top Aces负责提供用于防御俄罗斯武器的训练工具。


安全厂商Emsisoft的威胁分析师Brett Callow指出,针对国防相关企业的攻击令人担忧,因为“无从得知被盗数据最终会落入哪里”。


Callow表示,“即使当前攻击背后只是一群以营利为目的的恶意黑客,他们仍有可能将数据以出售或其他形式提供给第三方,包括对手国家政府。”


“近年来,国防工业基础领域的企业已先后遭遇多次攻击,政府必须找出一种可行的供应链安全增强方法。”


Callow还提到,此前洛克希德马丁公司的零部件供应商Visser Precision,为美国民兵III洲际导弹等核威慑武器提供支持的军事承包商Westtech International,都遭遇过网络攻击。


LockBit勒索软件团伙给出的最后期限为5月15日,如果届时Top Aces仍未支付赎金,则泄露据称总计44 GB的失窃数据。


LockBit已成为最活跃勒索软件之一


LockBit是目前最为活跃的勒索软件团伙之一,仅在过去一年就发动了数百次攻击,并且愈发猖獗。据Recorded Future统计数据,2022年他们已经攻击了至少650个组织。

该团伙最近又犯下了两起轰动一时的大案,分别是一家流行的德国图书馆服务、巴西里约热内卢财政系统。


2021年8月,澳大利亚网络安全中心(ACSC)曾发布公告,警告称LockBit勒索软件攻击数量正在激增。


该团伙自2019年9月起一直保持运营,但一直处于边缘位置,直到后来开发出LockBit 2.0勒索软件即服务的全新平台版本。


随着Darkside、Avanddon、REvil等黑客团伙的消亡或退出,LockBit已经成为当下最为常见的勒索软件即服务平台之一。

【阅读原文】



2、Windows 11 5月更新与部分杀毒软件产生兼容性问题 直接导致蓝屏死机


Windows 11 5月更新即KB5013943目前已经引起不少问题 ,包括.NET Framework 3.5框架出现更多异常。


这些异常导致部分应用程序无法正常启动,不过实测用户自己动手重装框架程序目前是可以临时恢复使用的。


对使用域控的企业来说这个更新也是个大坑,安装更新后域控服务器会出现多种身份验证问题严重影响使用。


现在有用户发现安装更新后系统会频繁蓝屏死机,然后有开发商发现自己家的杀毒软件似乎出现兼容性错误。



安全公司Sophos发布的说明:


英国安全公司Sophos发布说明称 Windows 11 5 月更新安装后,重启系统就会出现蓝屏死机无法进入桌面。


受影响的主要是Sophos Home版用户 ,安全公司给出的解决办法也只有卸载更新并暂停更新避免再次安装。


至于问题发生的原因暂时还不清楚,微软也没有发布说明,对用户来说暂时可用的办法也只有卸载最新更新。


然而并不是只有安装该安全软件才会出现蓝屏死机,实际上还有些用户也反馈出现蓝屏死机且代码非常模糊。



部分用户出现蓝屏死机:


在微软官方论坛有用户称安装更新后玩Hitman 3,约 10~15 分钟系统就会蓝屏死机并且还看不到错误代码。


另有用户称在物理机和虚拟机上安装更新后都出现蓝屏死机,错误代码包含 APC_INDEX_MISMATCH 之类。


以蓝点网观察来看微软每次发布更新后总会导致部分用户的系统挂掉,这类问题通常情况不会影响所有用户。


所以遇到这类问题的最佳解决办法就是直接卸载更新并点击暂停更新,等待微软后续解决问题再更新也不迟。

【阅读原文】



3、惠普推送BIOS更新 解决影响200多个计算机型号的高危漏洞


你是否拥有一台惠普笔记本电脑、台式机或PoS PC?那么你可能需要确保其BIOS是最新的。该公司刚刚为200多个设备型号发布了更新,修复了UEFI固件中的两个高严重级别漏洞。据Bleeping Computer报道,惠普已经就潜在的安全漏洞发出警告,这些漏洞可能允许以内核权限执行任意代码,这将使黑客能够进入设备的BIOS并植入恶意软件,而这些恶意软件无法通过传统的杀毒软件或重新安装操作系统来清除。



这两个漏洞--CVE-2021-3808和CVE-2021-3809--的CVSS 3.1基本得分都是8.8分的高严重程度。


惠普公司没有透露关于这些漏洞的任何技术细节。这一点留给了安全研究员尼古拉斯-斯塔克,他发现了这些漏洞。


斯塔克写道:"这个漏洞可能允许攻击者以内核级权限(CPL==0)执行,将权限提升到系统管理模式(SMM)。在SMM模式下执行操作,攻击者就可以获得对主机的全部权限,从而进一步实施攻击。"

图片.png

Starke补充说,在一些惠普机型中,有一些缓解措施需要被绕过才能使漏洞发挥作用,包括惠普的Sure Start系统,该系统可以检测到固件运行时间被篡改的情况。


受该漏洞影响的设备相当广泛,包括商务笔记本电脑,如Elite Dragonfly、EliteBooks和ProBooks;商务台式电脑,包括EliteDesk和EliteOne;零售点专用电脑,如Engage;台式工作站电脑(Z1、Z2系列);还有四个瘦客户端电脑。


你可以在这里看到受影响的惠普设备和相应的SoftPaqs的完整列表,并非所有的设备都已收到更新:

https://support.hp.com/us-en/document/ish_6184733-6184761-16/hpsbhf03788


【阅读原文】



2022年5月13日 星期五

今日资讯速览:

1、公安部:三年来共侦办侵犯公民个人信息案件2.2万起


2、Google Chrome增加虚拟信用卡号码功能 保证真实卡片的安全


3、疑似伊朗行为,德国汽车行业遭到长达数年的网络攻击



1、公安部:三年来共侦办侵犯公民个人信息案件2.2万起


【阅读原文】



2、Google Chrome增加虚拟信用卡号码功能 保证真实卡片的安全



【阅读原文】



3、疑似伊朗行为,德国汽车行业遭到长达数年的网络攻击


【阅读原文】



2022年5月12日 星期四

今日资讯速览:

1、黑客正积极利用BIG-IP设备漏洞 配置错误引发危险等级9.8安全隐患


2、在遭遇勒索软件攻击后,美林肯学院宣布关闭


3、只是看个YouTube,数百万加密货币就被盗了?



1、黑客正积极利用BIG-IP设备漏洞 配置错误引发危险等级9.8安全隐患


上周,F5 披露并修补了一个严重等级达到 9.8 / 10 分的 BIG-IP 漏洞。由于 iControl REST 身份验证配置错误,黑客可借此以 root 权限运行系统命令。据悉,iControl REST 是一组用于配置和管理 BIG-IP 设备的基于 Web 的编程接口,而 BIG-IP 则是该组织用于负载均衡、防火墙、以及检查和加密进出网络数据的一系列设备。

1.png

ArsTechnica 指出:BIG-IP 涵盖了超过 16000 个可在线发现的设备实例,且官方宣称有被财富 50 强中的 48 家所采用。

2.png

然而让 Randori 安全研究主管 Aaron Portnoy 感到震惊的是:

由于身份验证的设施方法存在缺陷,该问题竟使得能够访问管理界面的攻击者伪装系统管理员身份,之后便可与应用程序提供的所有端点进行交互、甚至执行任意代码。

3.png

鉴于 BIG-IP 靠近网络边缘、且作为管理 Web 服务器流量的设备功能,它们通常处于查看受 HTTPS 保护的流量 / 解密内容的有利位置。

4.png

过去一整天,Twitter 上流传的大量图片,揭示了黑客是如何积极在野外利用 CVE-2022-1388 漏洞,来访问名为 bash 的 F5 应用程序端点的。

5.jpg

其功能是提供一个接口,用于将用户提供的输入,作为具有 root 权限的 bash 命令来运行。更让人感到震惊的是,虽然不少概念验证(PoC)用到了密码,但也有一些案例甚至可在不提供密码的情况下运作。

6.png

对于如此重要的设备命令竟然被这样松散地处置,许多业内人士都感到大为不解,此外有报告提到攻击者可利用 webshell 后门来维持对 BIG-IP 设备的控制(即便修补后也是如此)。

7.png

在其中一个案例中,有 IP 地址为 216.162.206.213 和 209.127.252.207 的攻击者将有效载荷置入了 /tmp/f5.sh 的文件路径、从而在 /usr/local/www/xui/common/css/ 中部署基于 PHP 的 webshell 后门。

8.png

当然,这并不是安全研究人员被如此离谱严重的漏洞给惊到。比如不少人都提到,这种情况与两年前的 CVE-2020-5902 实在太过相似。

不过随着大家对于 CVE-2022-1388(RCE)漏洞的易得性、强大功能、以及广泛性有了更深入的了解,相关风险也正笼罩到更多人的头上。

9.png

如果你所在的组织机构正在使用 F5 的 BIG-IP 设备,还请着重检查并修补该漏洞、以减轻任何可能遇到的潜在风险。

有需要的话,可参考 Randori 热心提供的漏洞详情分析 / 单行 bash 脚本,并抽空详阅 F5 给出的其它建议与指导(KB23605346)。

【阅读原文】



2、在遭遇勒索软件攻击后,美林肯学院宣布关闭


据悉,美国林肯学院定于周五关闭,这使其成为该国第一所部分因勒索软件攻击而关闭的高等教育机构。发布在该学校网站上的一封信件写道,虽然这所学校经历了两次世界大战、西班牙流感和大萧条,但却无法处理新冠大流和发生于去年12月的勒索软件攻击的组合。

学校在公告中写道:“林肯学院是2021年12月网络攻击的受害者,它挫败了招生活动、阻碍了对所有机构数据的访问并造成2022年秋季招生预测的情况不明确。招聘、维持和筹款工作所需的所有系统都无法运行。幸运的是,没有个人身份信息被暴露。在2022年3月完全恢复后,预测会显示出巨大的招生缺口,需要一个变革性的捐赠或合作来维持林肯学院在本学期之后的发展。”

这所伊利诺伊州的学校以亚伯拉罕·林肯总统的名字命名,该校在林肯总统于1865年的生日那天破土动工,是美国教育部认定的仅有的几所以黑人乡村的农村学院之一。

【阅读原文】



3、只是看个YouTube,数百万加密货币就被盗了?


【阅读原文】



2022年5月11日 星期三

今日资讯速览:

1、机构:2021年中国网络安全服务市场规模同比增长41.7%


2、美国、英国和欧盟指责俄罗斯对Viasat卫星通信网络的攻击"不可接受"


3、Red Canary警告Raspberry Robin恶意软件会通过USB驱动器实现传播



1、机构:2021年中国网络安全服务市场规模同比增长41.7%


【环球网科技综合报道】5月9日消息,行业分析机构IDC发布的最新报告显示,2021年中国IT安全服务市场厂商整体收入约为28.61亿美元(约合192.28亿元人民币),厂商收入规模较去年同期实现快速增长,涨幅达到41.7%,2021年中国IT安全服务市场实现强势反弹。


聚焦安全服务市场未来的发展趋势,IDC认为最终用户和技术服务提供商需要共同关注以下几个重点:


在托管安全服务方面,2021年,中国托管安全服务市场规模实现了61.2%的同比增长,相较于2019年,实现了92%的高增长。当前除驻场类的托管安全服务之外,远程托管服务以其效率高、成本低的优势迅速发展,被众多中小企业接受和使用。对于大型企业来说,“驻场+远程”的云地结合模式成为了首选。未来,伴随企业上云节奏的进一步加快,远程托管和云托管将成为该市场实现长期高速增长的重要驱动力。


在数据安全服务市场方面,IDC认为,相关法律法规的颁布直接驱动了整体中国数据安全市场的发展。然而,由于数据与业务的耦合度较强,了解业务、梳理资产、分类分级成为了做好数据安全体系建设的前提。因此,未来三年,数据安全相关的体系建设规划咨询、分类分级等咨询服务将迎来发展的黄金期。


此外,IDC表示,实训演练将激发培训市场新需求。实训演练测试产品和服务以教育培训为基础,扩展了模拟演练、攻防竞赛、科学验证、产品测试等众多技术场景功能,受到了越来越多用户的认可,市场增速喜人。未来,实训演练测试市场将在用户需求的推动下逐步发展成为一个重要的企业级培训子市场。

【阅读原文】



2、美国、英国和欧盟指责俄罗斯对Viasat卫星通信网络的攻击"不可接受"


美国、英国和欧盟正式指责俄罗斯政府在2月份对卫星通信供应商Viasat进行的网络攻击,该攻击在俄罗斯发动对乌克兰的入侵前几个小时曾引发了整个中欧和东欧地区的故障。欧盟在联合声明中说:"欧盟及其成员国与国际伙伴一起,强烈谴责俄罗斯联邦对乌克兰进行的恶意网络活动,该活动以Viasat公司运营的KA-SAT卫星网络为目标。"


欧盟将这次攻击归咎于俄罗斯。虽然攻击的主要目标被认为是严重依赖卫星通信的乌克兰军方,但2月24日的攻击也影响了乌克兰成千上万的Viasat客户和欧洲各地成千上万的客户的互联网服务。攻击还切断了德国各地约5800台风力发电机的远程访问,它们主要依靠Viasat路由器进行远程监测和控制。


几个月后,对Viasat网络的攻击仍未完全解决。Viasat说,网络攻击还损坏了数万个无法修复的终端,并在其对该事件的最新分析中说,到目前为止,服务商已经向客户提供近3万台路由器,以努力使它们重新上线。


欧盟继续说:"这一不可接受的网络攻击是俄罗斯在网络空间持续不负责任的行为模式的又一个例子,这也构成了其非法和无理入侵乌克兰的一个组成部分,"欧盟补充说,该集团正在"考虑采取进一步措施,防止、阻止、遏制和应对这种恶意行为。"


英国国家网络安全中心在声明中说,军事情报显示"几乎可以肯定"俄罗斯是1月份乌克兰政府网站被破坏以及在入侵前部署Whispergate破坏性恶意软件的幕后黑手。


在正式确定Viasat网络攻击来源之前几周,SentinelOne研究人员表示,该事件很可能是俄罗斯一种名为"AcidRain"的新型刷写式恶意软件的结果,该软件旨在远程擦除易受攻击的调制解调器。Viasat证实,这些发现与它自己对攻击的分析"一致"。


SentinelLabs注意到AcidRain和VPNFilter恶意软件之间的相似之处,联邦调查局在2018年将其归于俄罗斯军事情报部门,被称为"Fancy Bear"- 或APT28 - 黑客组织。最近,美国国家安全局和CISA将该活动与Sandworm联系起来,Sandworm被指控在五年内进行了一系列攻击,包括针对全球数百家公司和医院的破坏性NotPetya网络攻击。APT28和Sandworm都与俄罗斯的军事情报机构GRU有关。

【阅读原文】



3、Red Canary警告Raspberry Robin恶意软件会通过USB驱动器实现传播


Red Canary 安全研究人员刚刚揭示了一款攻击企业的“Raspberry Robin”恶意软件,可知该蠕虫病毒会通过被感染的外部硬盘驱动器而感染 Windows PC 。其实早在 2021 年 11 月,网络安全情报公司 Sekoia 就已经曝光过被“Raspberry Robin”所利用的“QNAP 蠕虫”。但自 9 月以来,Red Canary 在某些技术与制造商客户的网络中对其展开了持续的跟踪。

1.png

(来自:Red Canary 官网)


除了潜藏旗下的恶意软件性质,我们尚不清楚“Raspberry Robin”恶意软件的后期实际工作目的。

2.jpg

攻击流程图


当用户将受感染的 USB 驱动器连接到他们的计算机时,Raspberry Robin 就会在暗地里开启传播。

3.jpg

利用 ROT13.lnk 文件来修改注册表


该蠕虫会将自己伪装成 .lnk 快捷方式文件,然后调用 Windows 命令提示符(cmd.exe)来启动恶意软件。

4.jpg

Raspberry Robin 的 cmd.exe 命令


接着它会利用微软标准安装程序(MSIexec.exe)连接到远程的命令与控制(C2)服务器 —— 通常是易受攻击的 QNAP 设备 —— 以通过后者的出口节点来洗清攻击者的确切网络痕迹。

5.jpg

引用设备名称的混合大小写命令

6.jpg

Red Canary 推测,Raspberry Robin 会通过从 C2 服务器安装恶意的动态链接库(DLL)文件,以维持长期潜伏状态。

7.jpg

Raspberry Robin 的恶意 msiexec.exe 命令


然后该恶意软件会利用 Windows 中包含的两个实用程序来调用 DLL —— 其中 Windows 设置管理器(fodhelper)旨在绕过用户账户控制(UAC),而 ODBC 驱动程序配置工具(odbcconf)则用于执行与配置 DLL 。

8.jpg

恶意 rundll32.exe 命令


不过安全研究人员承认这只是一个可行的假设,当前他们尚不明确相关 DLL 的作用、也未搞清楚该恶意软件是如何利用 USB 驱动器实现传播的。

【阅读原文】



2022年5月10日 星期二

今日资讯速览:

1、农业机械巨头爱科遭勒索攻击,美国种植季拖拉机供应受影响


2、英国NHS员工电子邮件被黑客挟持,用于发送钓鱼邮件


3、元宇宙时代的恐怖主义风险及应对



1、农业机械巨头爱科遭勒索攻击,美国种植季拖拉机供应受影响


美国知名农业机械生产商爱科(AGCO)宣布遭受勒索软件攻击,部分生产设施受到影响。


爱科经销商表示,拖拉机销售在美国最重要的种植季节停滞不前。


地区经销商B&G Equipment Inc总裁Tim Brannon表示,从周四(5月5日)起,他一直无法访问爱科网站来订购和查找零件。他表示,“我们正进入一年中最繁忙的时期,这将对我们的业务和客户造成了非常大的伤害。”


爱科部分生产设施运营受影响,可能持续多天


爱科公司没有提供任何关于业务中断的细节信息,但该公司可能会关闭部分IT系统,以阻断攻势蔓延。


“爱科仍在调查此次攻击的严重程度,预计未来几天内业务运营将受到负面影响,甚至可能需要更长时间才能完全恢复全部服务。恢复周期取决于公司的系统修复速度,我们将随情况进展发布更新。”——爱科


从官方新闻稿来看,调查工作仍在进行中,预计此次攻击的影响将持续较长时间。


爱科是农业机械制造行业的巨头之一,年收入超过90亿美元,拥有21000名员工,旗下有Fendt、Massey Ferguson、Challenger、Gleaner及Valtra等品牌。


因此,勒索软件攻击造成的任何生产中断,都可能给爱科的设备生产与交付造成重大的供应链影响。


勒索软件攻击发生时,美国农业机械制造还面临着持续的供应链中断和罢工,导致难以满足农民的设备需求。


外媒就此事与爱科联络,希望了解关于此次攻击的更多信息。但一位发言人表示,目前尚无更多消息可以披露。


爱科公司股价在周五收盘时下跌5.76%,为123.3美元。


农业逐渐成为勒索攻击重点目标


FBI在最近(2022年4月)再次警告称,勒索软件攻击正逐渐将矛头指向美国农业部门,并重点提及了2022年的两起重大案例。


此前在2021年9月,FBI首次发布类似警告。那次后不久,NEW Cooperative与Crystal Valley两家大型农业合作社就遭遇到重大勒索软件攻击。


目前,所有与美国粮食生产和供应直接相关的实体,均被视为关键基础设施。恶意黑客希望通过胁迫受害者就范获取巨额利润。


受到紧张国际政治局势的影响,部分网络攻击也可能具有报复性动机,旨在破坏美国关键基础设施企业的生产活动。


5月5日,爱科公司宣布向乌克兰受战争影响区域的农民捐赠资金和种子。因此,也不排除有俄罗斯黑客对此实施报复性攻击的可能性。

【阅读原文】



2、英国NHS员工电子邮件被黑客挟持,用于发送钓鱼邮件


据外媒报道,英国国家卫生系统(NHS)139名员工的电子邮件遭到盗用,已沦为大型网络钓鱼活动的受害者。


截至今年4月,在近半年的时间里,英国NHS的100多名员工的工作电子邮件帐户被多次用于网络钓鱼活动。据电子邮件安全研究人员称,检测发现攻击者已经从英格兰和苏格兰员工的NHS电子邮件帐户中发送出1157封欺诈性网络钓鱼邮件。

这些网络钓鱼邮件带有虚假链接,根据邮件提示需要点击链接才能执行下一步操作,而虚假链接则会跳转到伪造的虚假网站,要求用户填写microsoft凭据,目的是为了窃取用户的微软凭证。


攻击者为了获取受害者信任,钓鱼邮件还特意添加了公司徽标来冒充Adobe和Microsoft等品牌。除了窃取凭证,攻击者还利用获取巨款的方式诱导用户填写个人详细信息。


NHS员工邮箱被恶意利用,这说明该机构100多名员工的邮箱凭证被窃,或机构邮件系统被入侵所导致。


当前,远程工作增加了对电子邮件作为重要通信机制的依赖。因此就增加了员工成为网络钓鱼或垃圾邮件攻击目标的风险,从而也增加勒索软件和其他恶意软件感染的风险。


商务密邮建议,敏感行业人员应执行以下操作:


  • 不要轻信来源不明的电子邮件或下载软件;

  • 不要点击来自未知发件人的电子邮件中的链接或附件;

  • 不要通过电子邮件向任何人提供密码、个人或财务信息,敏感信息;

  • 备份重要文件,对邮件数据进行加密传存;

  • 使用防邮件泄露、反垃圾邮件和邮件安全归档等保护设备;

  • 如遇可疑电子邮件需立即向相应的安全机构或IT安全人员报告,减少和避免损失。


商务密邮作为专业的邮件安全服务提供商,采用高强度国密算法,对邮件数据进行先加密后发送,密文储存的形式,源头上堵住邮件数据在传输过程中,各环节可能存在的泄露,已解密的邮件还可进行二次复锁,即使服务器数据被窃取、账号、密码被盗,设备丢失,不法分子和黑客组织也无权看到真实数据,更无法篡改邮件,全方位杜绝因邮箱账号密码被盗,设备漏洞、系统漏洞、服务器被攻击等引发的邮件数据泄露。


商务密邮针对邮箱进行管控,企业可部署邮件防泄漏系统(DLP),可针对邮件正文、附加文件、文档、文本进行扫描,未经授权有任何涉密内容发出,将立刻进行阻断,并上报进行审批,避免员工失误或恶意泄露行为。同时邮件水印、邮件溯源跟踪、邮件加密审计归档等管理策略,保障企业数据传输及通信安全。

【阅读原文】



3、元宇宙时代的恐怖主义风险及应对


【阅读原文】



2022年5月9日 星期一

今日资讯速览:

1、IP属地代理产业火了,最低6元即可更改,警察叔叔:黑代理偷你的隐私数据比吃饭还简单


2、前沿 | 拜登政府网信政策走向分析


3、苹果、谷歌、微软联手,你再也不用记密码了?



1、IP属地代理产业火了,最低6元即可更改,警察叔叔:黑代理偷你的隐私数据比吃饭还简单


【阅读原文】



2、前沿 | 拜登政府网信政策走向分析


【阅读原文】




3、苹果、谷歌、微软联手,你再也不用记密码了?


【阅读原文】



[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

最后于 2022-5-31 09:30 被Editor编辑 ,原因:
收藏
免费 0
支持
分享
最新回复 (2)
雪    币: 2737
活跃值: (5054)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
2
量子计算机这玩意是不是开玩笑的,还是真的再搞
2022-5-6 22:28
0
雪    币: 29182
活跃值: (63621)
能力值: (RANK:135 )
在线值:
发帖
回帖
粉丝
3
今日资讯已更新~
2022-5-24 09:58
0
游客
登录 | 注册 方可回帖
返回
//