普普每日安全咨詢一周概覽(05.04-05.10)

作者:

時間:
2020-05-15

2020.05.04 周一



01

?從RSAC看DevSecOps的進(jìn)化與落地思考


隨著云計算、微服務(wù)和容器技術(shù)的快速普及,不僅IT基礎(chǔ)架構(gòu)發(fā)生了巨大的變化,政企組織的業(yè)務(wù)交付模式也迎來巨大變遷。DevSecOps通過一套全新的方法論及配套工具鏈將安全能力嵌入到整個DevOps體系中,在保證業(yè)務(wù)快速發(fā)展的情況下實現(xiàn)安全內(nèi)生和自成長。

DevSecOps的廣泛應(yīng)用將標(biāo)志著軟件供應(yīng)鏈的安全保障進(jìn)入到一個全新的時代,將安全作為管理對象的一種屬性,從軟件供應(yīng)鏈開發(fā)早期開始進(jìn)行全生命周期的安全管理,將徹底改善企業(yè)和機構(gòu)在軟件和IT基礎(chǔ)設(shè)施的安全現(xiàn)狀。



普普評述

融入DevSecOps實踐的發(fā)展成果,將一些好落地的新興工具鏈技術(shù)及配套效率度量機制逐步柔和地嵌入現(xiàn)有IT體系中,逐步摸索出甲方自己的安全能力體系。


2020.05.05 周二


01

?如何逃離弱密碼黑洞?


全球遠(yuǎn)程辦公大潮中,一些企業(yè)安全的脆弱性問題被放大,全球數(shù)據(jù)泄露事件的頻率和規(guī)模以肉眼可見的速度逐年遞增,如果說身份與訪問管理是數(shù)據(jù)安全的“重災(zāi)區(qū)”,那么“弱密碼”則無疑是“震中”。

根據(jù)Verizon的《數(shù)據(jù)違規(guī)調(diào)查報告》,有81%與黑客相關(guān)的違規(guī)行為都利用了被盜密碼或弱密碼,只需一名員工的弱密碼就可以撬開重兵把守、重金打造的企業(yè)網(wǎng)絡(luò)安全防御體系。

以上調(diào)查是針對安全行業(yè)人士進(jìn)行,普通企業(yè)員工的密碼違規(guī)情況要比上面的數(shù)據(jù)嚴(yán)重得多!



普普評述

NIST新規(guī)則強調(diào)密碼長度的重要性,另外不需定期更改密碼,可以采用特殊字符和表情符在內(nèi)的多種字符,密碼找回不采用安用問題,避免使用已暴露的密碼等。


2020.05.06?周三


01

?暗網(wǎng)流行數(shù)據(jù)報告,個人數(shù)據(jù)只值1美元


隨著時間的流逝,網(wǎng)絡(luò)犯罪分子已經(jīng)改變了暗網(wǎng)市場的運營結(jié)構(gòu),目前主要是開始模仿大型零售商,比如亞馬遜和eBay,提供搜索功能、電子商務(wù)和賣家評級等服務(wù)。

根據(jù)調(diào)查結(jié)果,欺詐指南是最常出售的數(shù)據(jù)類別(49%),其次是個人數(shù)據(jù)(15.6%),非金融賬戶和憑證(12.2%),金融帳戶和憑據(jù)(8.2%),欺詐工具和模板(8%)和支付卡(7%)。一方面,網(wǎng)絡(luò)犯罪分子可以物有所值的事實加劇了企業(yè)面臨的風(fēng)險。另一方面,組織經(jīng)常忽視欺詐指南的負(fù)面影響,也給企業(yè)帶來更大的數(shù)字風(fēng)險。



普普評述

對于組織來說,盡早檢測并響應(yīng)被盜數(shù)據(jù)(原始材料階段)非常重要,這樣可以減少損害并防止數(shù)據(jù)被網(wǎng)絡(luò)攻擊者購買并被有效地用作網(wǎng)絡(luò)犯罪武器。


2020.05.07 周四


01

?網(wǎng)絡(luò)犯罪將成為第三大“經(jīng)濟(jì)”?


網(wǎng)絡(luò)犯罪正在經(jīng)歷一次全球范圍的工業(yè)化“革命”,網(wǎng)絡(luò)犯罪組織們開始提供“正規(guī)”公司所做的一切:產(chǎn)品開發(fā),技術(shù)支持,分銷,質(zhì)量保證甚至客戶服務(wù)。網(wǎng)絡(luò)犯罪分子搶劫然后出售新技術(shù)或秘密戰(zhàn)略計劃,這將使他們的買家在競爭者中占優(yōu)勢。黑客竊取軍事機密,可再生能源創(chuàng)新知識產(chǎn)權(quán)等高價值信息。

有組織的網(wǎng)絡(luò)犯罪分子通過分工合作來實現(xiàn)平穩(wěn)運營。有“團(tuán)隊負(fù)責(zé)人”負(fù)責(zé)協(xié)調(diào)工作,并負(fù)責(zé)保持法律上領(lǐng)先一步。他們擁有大數(shù)據(jù)專家來處理被盜數(shù)據(jù),開發(fā)者負(fù)責(zé)編寫和更改惡意代碼,以及“入侵專家”負(fù)責(zé)感染并滲透目標(biāo)公司。



普普評述

世界經(jīng)濟(jì)論壇指出,面對網(wǎng)絡(luò)犯罪經(jīng)濟(jì)的“蓬勃發(fā)展“,組織的網(wǎng)絡(luò)安全支出大大落后于網(wǎng)絡(luò)威脅的增長速度。


2020.05.08?周五


01

?RainbowMiner,Linux挖礦病毒


RainbowMiner一個“求生欲“極強的Linux挖礦病毒家族,為了躲避DDG及安全人員的查殺,其采用了多種方式進(jìn)行隱藏及持久化攻擊。該挖礦病毒對系統(tǒng)命令進(jìn)行劫持,隱藏自身,中毒的主機出現(xiàn)了奇怪現(xiàn)象,CPU占用率很高,卻找不到可疑的進(jìn)程。定時任務(wù)是惡意軟件慣用的持久化攻擊技巧,但該病毒沒有采用定時任務(wù)的方式駐留,而是創(chuàng)建了一個ssh公鑰后門,躲避了通過檢查定時任務(wù)排除惡意軟件的安全檢查方法。



普普評述

定期檢查系統(tǒng)程序運行情況,針對可疑程序定向分析及時更新系統(tǒng)漏洞是防御病毒攻擊行之有效的手段。


2020.05.09?周六


01

?用計算機電源竊取機密數(shù)據(jù)


以色列蓋夫本古里安大學(xué)研究出了一種讓電源發(fā)聲泄露數(shù)據(jù)的新型惡意軟件,這種讓電源說話的惡意軟件,會通過啟動和停止CPU工作負(fù)載,影響電源的開關(guān)頻率,從而讓電源中的變壓器和電容器發(fā)出聲音信號,這種特殊的“噪音”,一旦被聲波接收設(shè)備捕獲,稍加提取處理,就能復(fù)原成原始信息,也就是目標(biāo)電腦設(shè)備上的高敏感數(shù)據(jù)。變化的電流一定會有對應(yīng)變化的電磁場,而惡意軟件就是將電磁變化轉(zhuǎn)為音頻,以便竊取數(shù)據(jù)。這種利用電源電流的惡意軟件,并不需要任何特殊的系統(tǒng)權(quán)限、訪問硬件資源或是root權(quán)限,大大降低了惡意軟件攻擊過程中被安全軟件發(fā)現(xiàn)的可能性。



普普評述

物理上隔絕移動電子設(shè)備進(jìn)入敏感區(qū);

技術(shù)上,增設(shè)硬件信號檢測器和干擾器,提防此類攻擊,也都能起到一定效果。


2020.05.10?周日


01

?4400萬巴基斯坦移動用戶信息泄露


根據(jù)ZDNet消息4400萬巴基斯坦移動用戶的詳細(xì)信息遭泄露,而這只是是1.15億用戶的一部分。ZDNet對泄露文件的分析,該軟件包數(shù)據(jù)包含個人可識別信息、電話相關(guān)信息、家庭用戶和本地公司的詳細(xì)信息。其中包括:客戶全名、家庭住址(城市,地區(qū),街道名稱)、國家身份證號(CNIC)、手機號碼、座機號碼。




普普評述

互聯(lián)網(wǎng)技術(shù)的發(fā)展需要與使用者的安全線并駕齊驅(qū),只有把好安全關(guān),筑牢人們可信賴的個人信息防護(hù)“堤壩”,才能讓公眾敢于將個人信息交付在新技術(shù)之上,才能讓新技術(shù)真正給公眾帶來快捷便利、安心舒心的生活。