普普安全資訊一周概覽(0408-0414)

作者:

時間:
2023-04-14
1、基于等級保護思路的應用軟件開發(fā)安全關鍵要素探討

隨著網(wǎng)絡安全等級保護制度的全面推廣,網(wǎng)絡層和系統(tǒng)層的安全問題在部署防護設備、配置安全策略、升級補丁等措施的實施下日趨減少,但應用層安全問題仍然較為突出。由于“內生”于軟件開發(fā)過程,限于事后補救的手段以及成本因素,應用軟件安全已經(jīng)成為網(wǎng)絡安全整體防護體系的最后一塊短板。若要補上這塊短板,就需要我們把安全視角由外部轉向內部,聚焦軟件開發(fā)安全,從“源頭”上尋找解決問題的思路。

首先,軟件安全的實現(xiàn)離不開各類載體的基礎保障,即,人、制度、工具、環(huán)境等方面,通過制定并完善各類管理制度、關注開發(fā)過程中各類開發(fā)工具的安全、建設和維護各類環(huán)境、規(guī)范人員操作各類開發(fā)行為等,從而支撐軟件開發(fā)安全有序進行。其次,根據(jù)目前主流的軟件安全開發(fā)生命周期模型,軟件開發(fā)生命周期主要包括需求分析、設計、實現(xiàn)、測試、發(fā)布、交付等活動。不同的開發(fā)活動對于一款應用軟件的“安全生成”都起著貫穿前后的重要作用。因此確保各個開發(fā)活動的安全開展是保障軟件安全的關鍵。


普普點評

軟件開發(fā)安全可從載體安全和活動安全兩個維度進行考慮。載體安全主要關注貫穿軟件安全開發(fā)生命周期所涉及的安全管理制度、人員安全、環(huán)境安全和開發(fā)工具安全等4個要素;活動安全主要安全需求分析、安全設計、安全實現(xiàn)、安全測試、安全發(fā)布、安全交付等6個要素。載體安全是支撐各開發(fā)活動安全實現(xiàn)的必要條件。

2、數(shù)以百萬計的滲透測試顯示公司的安全狀況越來越差

缺乏網(wǎng)站保護、發(fā)件人策略框架(SPF)記錄和 DNSSEC 配置使公司容易受到網(wǎng)絡釣魚和數(shù)據(jù)泄露攻擊。到 2022年,公司的有效數(shù)據(jù)泄露風險從上一年的平均得分30增加到100分中的44分(其中100分表示風險最大),這表明數(shù)據(jù)泄露的總體風險有所增加。這是根據(jù) Cymulate 的排名得出的,該排名處理了100萬次滲透測試的數(shù)據(jù),其中包括在其生產(chǎn)環(huán)境中進行的170萬小時的攻擊性網(wǎng)絡安全測試。

該公司在3月28日發(fā)布的“2022年網(wǎng)絡安全有效性狀況”報告中指出,存在各種持續(xù)存在的問題導致風險增加。報告指出,一方面,雖然許多公司正在提高網(wǎng)絡和組策略的采用率和嚴格性,但攻擊者正在適應規(guī)避此類保護措施。

而且基礎知識仍然滯后:該公司發(fā)現(xiàn),在客戶環(huán)境中發(fā)現(xiàn)的前10個 CVE 中,有四個已存在超過兩年。其中包括可允許惡意可執(zhí)行文件通過安全檢查的高危 WinVerifyTrust 簽名驗證漏洞 (CVE-2013-2900),以及 Microsoft Office 中的內存損壞漏洞 (CVE-2018-0798 )。


普普點評

網(wǎng)絡安全需要成為一個像對待任何其他業(yè)務流程一樣的流程,要有制衡和定期審查。保護整個攻擊面、提高對網(wǎng)絡攻擊的彈性以及防止信息系統(tǒng)中斷,降低復雜性的網(wǎng)絡安全服務和產(chǎn)品變得更受歡迎。

3、將AI技術嵌入數(shù)字風險防護與安全運營迫在眉睫

人工智能(AI)的崛起給所有行業(yè)帶來翻天覆地的變化。從醫(yī)療到金融行業(yè)的眾多企業(yè)都在使用AI工具實現(xiàn)流程自動化、改進決策以取得競爭優(yōu)勢。在信息技術(IT)行業(yè),AI正在改變企業(yè)治理、風險與合規(guī)工作(GRC)以及安全運營的方式。

AI工具可以通過實現(xiàn)上述流程的自動化和提高速度,協(xié)助團隊快速準確地識別并應對潛在的風險和問題。團隊可訓練機器學習算法識別數(shù)據(jù)模式、檢測數(shù)據(jù)異常,也可利用自然語言處理分析電子郵件和社交媒體資料等非結構化數(shù)據(jù)源,從而更好地管理日益復雜龐大的數(shù)據(jù)、改善風險和合規(guī)管理、加強組織的整體安全態(tài)勢。

自動化是GRC工作運用AI工具的一大主要好處。GRC工作往往耗時漫長、繁重復雜,需要企業(yè)與不斷變化的法律法規(guī)保持同步。而AI工具就可以幫助團隊自動化處理許多任務,確保企業(yè)始終合規(guī)。


普普點評

總而言之,AI工具的出現(xiàn)為IT行業(yè)帶來新的挑戰(zhàn),需要企業(yè)自動化GRC工作和安全操作來提高競爭力。AI工具帶來的益處不言而喻,但企業(yè)需要意識到其中的挑戰(zhàn),投資于專業(yè)知識和數(shù)據(jù),從而有效使用AI工具。隨著AI技術不斷升級,積極使用AI工具、能夠適應不斷變化的環(huán)境的企業(yè)將更能取得成功。雖然不太可能完全取代人類,但AI工具無疑會改變人類的工作方式和業(yè)務模式。

4、南亞APT組織Bitter正在針對中國的核能機構進行網(wǎng)絡攻擊

Bitter(蔓靈花)是一個長期活躍的南亞網(wǎng)絡間諜組織,主要針對能源和政府部門實施敏感資料竊取等惡意行為,過去曾攻擊過巴基斯坦、中國、孟加拉、沙特阿拉伯等國,具有明顯的政治背景。

該APT組織主要采用魚叉釣魚等攻擊方式,通常會向攻擊目標單位的個人發(fā)送嵌入攻擊誘餌的釣魚郵件。在其最近的攻擊中,網(wǎng)絡安全公司Intezer發(fā)現(xiàn)了七封偽裝成來自吉爾吉斯斯坦大使館的電子郵件,這些電子郵件被發(fā)送給了中國核能行業(yè)相關人員,另外還有部分核能學術界的人員也收到了這類郵件。

攻擊者在這些作為誘餌的郵件上向收件人發(fā)送了參與核能相關主題會議的邀請,實則是在誘騙收件人下載并打開其RAR附件。這些附件解壓后看似是與主題相關的常見的excel、word、jpg等文件,但在受害者運行后,受害者以為自己打開的是普通文檔,實則已暗地里執(zhí)行了惡意文件,被攻擊者接手了設備控制權。


普普點評

Bitter APT多年來一直在使用包括網(wǎng)絡釣魚在內的多種策略進行間諜活動,政府、能源、軍工領域的實體應對此保持警惕。同時其他行業(yè)的公司員工也需要對網(wǎng)絡釣魚郵件持有良好的安全意識。為防范釣魚郵件,不點開、不下載來源不明的電子郵件,特別是包含了鏈接、圖片、附件的電子郵件等,建議與發(fā)件方溝通確認后再進行點擊或下載等操作。

5、快速識別釣魚網(wǎng)址鏈接的四種方法

據(jù)統(tǒng)計,在網(wǎng)絡安全信息泄露事件中,很多員工是因為點擊了黑客發(fā)來的虛假釣魚網(wǎng)址鏈接而中招。不少釣魚網(wǎng)站顯示頁面跟真網(wǎng)站頁面幾乎一模一樣,該如何識破虛假的釣魚網(wǎng)址鏈接呢?

域名網(wǎng)址識別:官方網(wǎng)站的域名地址大多非常容易辨認,一般采用漢語拼音、英文縮寫或者官方服務電話作為域名網(wǎng)址。黑客為了規(guī)避文字識別和封堵,會采用亂序的字母和數(shù)字組合作為域名網(wǎng)址,看起來像亂碼一樣。

查詢域名備案:官方網(wǎng)站的地址都需要嚴格備案,通常在官方網(wǎng)站的最下面就有備案信息,我們可以到工信部政務服務平臺的域名信息備案管理系統(tǒng)進行查詢,判斷網(wǎng)站的可信程度。

在查詢備案信息時,切記還要核對網(wǎng)站內容與備案主體是否一致。

域名收錄搜索:正規(guī)的網(wǎng)址鏈接,都會顯示大量的收錄頁面,而虛假的網(wǎng)址鏈接都會屏蔽搜索引擎的收錄,查不到任何信息。

反詐APP鏈接檢測:下載“國家反詐中心”APP,使用主頁面“風險查詢”功能,可以對疑似涉詐的虛假網(wǎng)址鏈接進行查詢檢測。


普普點評

釣魚網(wǎng)站內容多從正常網(wǎng)站復制,生存周期很短,從事違法犯罪的成本非常低廉。這些釣魚網(wǎng)站的目標大多是上網(wǎng)沖浪的用戶,威脅我國網(wǎng)民安全上網(wǎng)的最大風險之一就是釣魚網(wǎng)站。網(wǎng)站發(fā)送假的調查問卷(實際為病毒***)給對方,程序劫持瀏覽器會話,強制訪問釣魚欺詐網(wǎng)站,再令對方上當。鼎普安全專家建議網(wǎng)民在任何情況下都不要輕易接收任何來歷不明的程序、文檔、壓縮文件,以免上當受騙。

6、金融行業(yè)如何加強終端的安全管理,抵御外來攻擊,確保數(shù)據(jù)得到有效保護

終端作為金融行業(yè)日常辦公、業(yè)務處理、系統(tǒng)維護的設備,承載著重要的金融數(shù)據(jù)。終端是企業(yè)外部與內部系統(tǒng)連接的切入點,在嚴峻的外部網(wǎng)絡環(huán)境下面臨非法訪問、病毒入侵、信息泄露等安全風險。隨著移動辦公、遠程辦公需求的不斷增長,終端安全面臨更大的挑戰(zhàn)。如何加強終端的安全管理,抵御外來攻擊,確保數(shù)據(jù)得到有效保護是金融行業(yè)面臨的重要課題。

金融行業(yè)經(jīng)過多年的探索和建設,已逐步建立了適合自身業(yè)務發(fā)展的終端安全管理體系。但隨著計算機技術的發(fā)展及攻擊手段的提高,終端安全面臨著嚴峻的挑戰(zhàn)。

傳統(tǒng)終端使用范圍廣、終端環(huán)境復雜,是外部攻擊的重點對象。傳統(tǒng)終端安全管理大體上包括行為安全、數(shù)據(jù)安全、邊界安全、系統(tǒng)安全四大方面,內容涵蓋非授權軟件管理、互聯(lián)網(wǎng)訪問控制、行為監(jiān)控與處置、敏感信息掃描、文檔加密、數(shù)據(jù)外發(fā)管控、防火墻、漏洞防護、病毒查殺、網(wǎng)絡準入、外聯(lián)及移動存儲管控等。然而,目前金融行業(yè)仍存在游離于傳統(tǒng)安全防護體系之外的諸多信息泄露問題。


普普點評

終端安全沒有絕對的安全、永久的安全。傳統(tǒng)的網(wǎng)絡接入訪問控制、外部入侵防御、信息防泄露管理,隨著時間推移和環(huán)境變化,已無法滿足當前安全管理需求。面對復雜的生態(tài)環(huán)境,鼎普安全專家建議金融行業(yè)結合監(jiān)管的要求、自身業(yè)務的發(fā)展以及外部安全威脅的變化,與時俱進,打造可持續(xù)發(fā)展的終端安全體系,確保金融系統(tǒng)穩(wěn)定運行、確保金融信息安全流轉和存儲。

7、全球首個反黑客國家!對黑客攻擊“say no”

你被人欺負了,第一反應可能是還手,那在網(wǎng)絡世界中,被攻擊的受害者能夠采取同樣的反制措施嗎?答案是否定的。目前絕大多數(shù)國家尚未制定相關法律,來支持企業(yè)或組織對黑客發(fā)起反擊?!敖谷魏稳嗽谖传@得授權的情況下侵入別人的電腦”幾乎是所有國家法律的共識,這意味著,反擊黑客就如同黑客入侵一樣,同樣是違法行為。換句話說,你可以關門,但不能去開別人家的門,不論門后面是否藏著犯罪組織。聽起來是不是很玄幻?現(xiàn)實生活中,只要手續(xù)合法,警察可以選擇破門而入抓捕犯罪分子,但是網(wǎng)絡空間卻萬萬不行?!绊樦W(wǎng)線去抓你”實現(xiàn)的難點在于合法性,而非技術性。

或許正因為攻防處于不對稱的地位,導致全球網(wǎng)絡攻擊愈演愈烈。僅2022年一年,全球網(wǎng)絡攻擊數(shù)量就增長了38%,造成大量業(yè)務損失,其中包括財務和聲譽損失。勒索攻擊更是如此。

隨著近年來網(wǎng)絡攻擊越發(fā)猖獗,反擊黑客合法化的呼聲日益強烈。近期,深受網(wǎng)絡攻擊困擾的澳大利亞宣布將通過政府層面的舉措,對以該國組織為攻擊目標的黑客進行反擊,引發(fā)了行業(yè)擔憂,這一做法究竟是能真正打擊并震懾黑客,還是給網(wǎng)絡空間帶來更多風險和混亂?


普普點評

在網(wǎng)絡進攻能力建設方面,將支持塑造威懾和應對的能力,通過制定標準和加強工業(yè)伙伴關系來塑造網(wǎng)絡安全環(huán)境,通過提高對手活動的可見性來提高威懾能力,通過加強網(wǎng)絡安全態(tài)勢監(jiān)測和限制對手網(wǎng)絡活動來強化應對能力。