普普每日安全資訊一周概覽(12.26—01.01)

作者:

時間:
2021-01-02

2020.12.26? 周六



01
如何管控好數(shù)據(jù)保護(hù)好隱私?

人工智能應(yīng)用需要以海量的個人信息數(shù)據(jù)作支撐。人工智能如同一把“雙刃劍”,如果應(yīng)用不當(dāng),就可能帶來隱私泄露的倫理風(fēng)險。

與傳統(tǒng)口令可以隨時更改不同,不可再生性數(shù)據(jù)是永遠(yuǎn)無法更改的,比如人臉、指紋、DNA等生物特征數(shù)據(jù),以及個人醫(yī)療檔案數(shù)據(jù)等,這些數(shù)據(jù)具有唯一性且無法更改。嚴(yán)格管控大數(shù)據(jù)的使用場景,在大力支持人工智能技術(shù)發(fā)展的同時,對唯一性、不可再生性的重要數(shù)據(jù)必須提前設(shè)防,在生物識別等技術(shù)使用規(guī)范上要制定更加嚴(yán)格的要求,防范相關(guān)各類風(fēng)險。

建議設(shè)立“數(shù)據(jù)銀行”,由國家成立專門機構(gòu)來統(tǒng)一管控、存儲和應(yīng)用不可再生性大數(shù)據(jù),限制企業(yè)自行采集收集和壟斷,并運用區(qū)塊鏈技術(shù)分布式存儲,運用密碼技術(shù)嚴(yán)格保護(hù)數(shù)據(jù)。

普普每日安全資訊一周概覽(12.26—01.01)

普普評述

普普每日安全資訊一周概覽(12.26—01.01)

需要根據(jù)數(shù)據(jù)的屬性特點建立數(shù)據(jù)產(chǎn)權(quán)制度,化解“個人數(shù)據(jù)與企業(yè)產(chǎn)權(quán)”之間的矛盾,平衡“數(shù)據(jù)安全與數(shù)據(jù)利用”之間的關(guān)系,對各種類型數(shù)據(jù)合理確權(quán),解決好數(shù)據(jù)屬誰所有、如何使用、收益歸誰等問題。



2020.12.27? 周日


02
變革轉(zhuǎn)型:企業(yè)如何在數(shù)字化轉(zhuǎn)型中為軟件安全賦能?

隨著多國疫情得到有效抑制,企業(yè)復(fù)工復(fù)產(chǎn)被提上日程,在這樣特殊的時期,各行各業(yè)加速轉(zhuǎn)型升級、降低人力密度、提升生產(chǎn)效率的必要性愈加凸顯。

事實上,企業(yè)對于轉(zhuǎn)型的需求并非僅僅在特殊時期,數(shù)字化、網(wǎng)絡(luò)化、智能化的轉(zhuǎn)型早已體現(xiàn)在近些年的國家政策和企業(yè)行動中,包括從產(chǎn)品開發(fā)到供應(yīng)鏈管理,從市場營銷到客戶體驗。

在這個數(shù)字化轉(zhuǎn)型和萬物互聯(lián)的時代,隨著云計算技術(shù)、大數(shù)據(jù)技術(shù)、5G技術(shù)、人工智能和區(qū)塊鏈技術(shù)的快速發(fā)展和落地實踐,人、數(shù)據(jù)、機器、網(wǎng)絡(luò)緊密結(jié)合在一起,推動企業(yè)數(shù)字化轉(zhuǎn)型的腳步不斷加快。

與此同時,新的業(yè)務(wù)和運營模式伴隨著互聯(lián)網(wǎng)應(yīng)用、移動互聯(lián)應(yīng)用、物聯(lián)感知應(yīng)用、企業(yè)辦公應(yīng)用等一系列應(yīng)用系統(tǒng)的快速開發(fā)與迭代,系統(tǒng)和軟件作為重要的載體,其安全性、可靠性面臨著比以往任何時候都更嚴(yán)峻的挑戰(zhàn)。

在系統(tǒng)和軟件開發(fā)過程中,企業(yè)根據(jù)用戶的需求和系統(tǒng)產(chǎn)品的特性,不論采用哪種模型,均需面對系統(tǒng)自身的安全漏洞風(fēng)險(產(chǎn)品風(fēng)險)以及系統(tǒng)開發(fā)項目中的各類技術(shù)和管理風(fēng)險(項目風(fēng)險),應(yīng)用開發(fā)的安全問題逐漸成為企業(yè)迫切需要解決的問題。

普普每日安全資訊一周概覽(12.26—01.01)

普普評述

普普每日安全資訊一周概覽(12.26—01.01)

在數(shù)字化轉(zhuǎn)型的浪潮中,軟件作為萬物互聯(lián)的重要載體,如何識別、應(yīng)對其安全需求是企業(yè)無法回避的問題,以客戶為中心和客戶關(guān)系為驅(qū)動的戰(zhàn)略主動性,從傳統(tǒng)的“流程、風(fēng)險、控制”框架,實現(xiàn)到連接業(yè)務(wù)的安全原生。



2020.12.28? 周一


03
攻擊者可以利用5G網(wǎng)絡(luò)中的漏洞竊取用戶數(shù)據(jù)

正電科技發(fā)布了“5G獨立核心安全評估”。報告討論了用戶和移動網(wǎng)絡(luò)運營商的漏洞和威脅,這些漏洞和威脅源于新的獨立5G網(wǎng)絡(luò)核心的使用。獨立5G網(wǎng)絡(luò)使用的HTTP/2和PFCP協(xié)議中存在的漏洞包括竊取用戶配置文件數(shù)據(jù)、模擬攻擊和偽造用戶身份驗證。

5G中的一系列技術(shù)可能會讓用戶和運營商的網(wǎng)絡(luò)受到攻擊。此類攻擊可以從國際漫游網(wǎng)絡(luò)、運營商的網(wǎng)絡(luò)或提供服務(wù)訪問的合作伙伴網(wǎng)絡(luò)執(zhí)行。

用于建立用戶連接的包轉(zhuǎn)發(fā)控制協(xié)議(PFCP)具有多個潛在的漏洞,例如拒絕服務(wù)、切斷用戶對互聯(lián)網(wǎng)的訪問以及將流量重定向到攻擊者,從而允許他們下行鏈路用戶的數(shù)據(jù)。在這種情況下,用戶將無法對潛伏在網(wǎng)絡(luò)上的威脅采取行動,因此運營商需要有足夠的可見性來防范這些攻擊。

普普每日安全資訊一周概覽(12.26—01.01)

普普評述

普普每日安全資訊一周概覽(12.26—01.01)

5G獨立網(wǎng)絡(luò)安全問題在CNI、IoT和互聯(lián)城市方面的影響將更加深遠(yuǎn),這將使醫(yī)院、交通和公用事業(yè)等關(guān)鍵基礎(chǔ)設(shè)施面臨風(fēng)險。為了實現(xiàn)對流量和消息的完全可見性,運營商需要定期進(jìn)行安全審計,以檢測網(wǎng)絡(luò)核心組件配置中的錯誤,以保護(hù)自己和他們的用戶。



2020.12.29? 周二


?
04
黑客找到繞過多因素認(rèn)證的巧妙方法

近日,APT黑客組織通過“日爆攻擊”(SUNBURST)SolarWinds的網(wǎng)絡(luò)管理軟件,滲透到了包括五角大樓和白宮在內(nèi)的1.8萬家企業(yè)和政府機構(gòu),在網(wǎng)絡(luò)安全業(yè)界掀起軒然大波。

實施“日爆攻擊”的APT組織已經(jīng)設(shè)計出一種巧妙的方法,能夠繞過目標(biāo)網(wǎng)絡(luò)的多因素身份驗證系統(tǒng)。在雙因素認(rèn)證中,密碼驗證成功后,服務(wù)器會評估duo-sid cookie,并確定其是否有效。Volexity的調(diào)查發(fā)現(xiàn),攻擊者從OWA服務(wù)器訪問了Duo集成密鑰(akey)。

然后,該密鑰使攻擊者可以在duo-sid cookie中設(shè)置預(yù)先計算的值。這使攻擊者僅需獲取用戶帳戶和密碼就能完全繞過帳戶的MFA驗證機制。此事件強調(diào)了確保與密鑰集成關(guān)聯(lián)的所有機密(例如與MFA提供者的機密)應(yīng)在發(fā)生泄露后進(jìn)行更改的必要性。

此外,重要的是,修改密碼時不要使用與舊密碼類似的新密碼(例如,把舊密碼Summer2020!改成Spring2020?。?/span>

事件的根源不是Duo產(chǎn)品中存在任何漏洞。而是攻擊者從現(xiàn)有的受感染客戶環(huán)境(例如電子郵件服務(wù)器)中獲得了對集成憑據(jù)的特權(quán)訪問,這些集成憑據(jù)對于Duo服務(wù)的管理是必不可少的。

普普每日安全資訊一周概覽(12.26—01.01)

普普評述

普普每日安全資訊一周概覽(12.26—01.01)

為了減少發(fā)生此類事件的可能性,當(dāng)務(wù)之急是保護(hù)集成秘密以防組織內(nèi)暴露,并在懷疑有攻擊的情況下輪換密鑰。與MFA集成的服務(wù)被入侵,也能導(dǎo)致集成秘密的泄露,以及對MFA保護(hù)的系統(tǒng)和數(shù)據(jù)的非法訪問。



2020.12.30? ?周三


05
物聯(lián)網(wǎng)安全:訪問控制

在物聯(lián)網(wǎng)系統(tǒng)中,訪問控制(Access Control)是對用戶合法使用資源的認(rèn)證和控制,簡單說就是根據(jù)相關(guān)授權(quán),控制對特定資源的訪問,從而防止一些非法用戶的非法訪問或者合法用戶的不正當(dāng)使用,以確保整個系統(tǒng)資源能夠被合理正當(dāng)?shù)乩?。由于物?lián)網(wǎng)應(yīng)用系統(tǒng)是多用戶、多任務(wù)的工作環(huán)境,這為非法使用系統(tǒng)資源打開了方便之門,因此,迫切要求我們對計算機及其網(wǎng)絡(luò)系統(tǒng)采取有效的安全防范措施,以防止非法用戶進(jìn)入系統(tǒng)以及合法用戶對系統(tǒng)資源的非法使用。這就需要采用訪問控制系統(tǒng)。

訪問控制包含3方面的含義:

① 合法性:阻止沒有得到正式授權(quán)的用戶違法訪問以及非法用戶的違法訪問;② 完整性:在包含收集數(shù)據(jù)、傳輸信息、儲存信息等一系列的步驟中,保證數(shù)據(jù)信息的完好無損,不可以隨意增刪與改動;③ 時效性:在一定時效內(nèi),保證系統(tǒng)資源不能被非法用戶篡改使用,保障系統(tǒng)在時效內(nèi)的完整。

訪問控制應(yīng)具備身份認(rèn)證、授權(quán)、文件保護(hù)和審計等主要功能。通過訪問控制,系統(tǒng)可以預(yù)防和阻礙未經(jīng)授權(quán)的非法用戶訪問和操作系統(tǒng)資源。

普普每日安全資訊一周概覽(12.26—01.01)

普普評述

普普每日安全資訊一周概覽(12.26—01.01)

在物聯(lián)網(wǎng)系統(tǒng)中,訪問控制(Access Control)是對用戶合法使用資源的認(rèn)證和控制,簡單說就是根據(jù)相關(guān)授權(quán),控制對特定資源的訪問,從而防止一些非法用戶的非法訪問或者合法用戶的不正當(dāng)使用。



2020.12.31? 周四


06
《2020網(wǎng)絡(luò)安全態(tài)勢感知應(yīng)用指南》發(fā)布

2021年,企業(yè)和政府面對的網(wǎng)絡(luò)安全威脅將更加難以防御,網(wǎng)絡(luò)安全呈現(xiàn)如下五大趨勢:

1、Cybersecurity Ventures預(yù)計,到2021年,企業(yè)將每11秒遭受一次勒索軟件攻擊;

2、網(wǎng)絡(luò)犯罪造成的損失預(yù)計每年將達(dá)到6萬億美元;

3、APT和國家黑客攻擊范圍和影響力持續(xù)擴大,供應(yīng)鏈安全威脅等級上升;

4、網(wǎng)絡(luò)安全市場規(guī)模將超過1萬億美元;

5、70%的加密貨幣將用于網(wǎng)絡(luò)犯罪。

無論是網(wǎng)絡(luò)犯罪(勒索軟件)的組織化、規(guī)?;?/span>APT攻擊的復(fù)雜化和商業(yè)化,還是不斷累積的供應(yīng)鏈安全風(fēng)險,都是傳統(tǒng)網(wǎng)絡(luò)安全防御失效的必然癥狀,同時也意味著越來越多的企業(yè)開始重視網(wǎng)絡(luò)安全態(tài)勢感知能力的建設(shè),以應(yīng)對復(fù)雜化、規(guī)模化和定制化的網(wǎng)絡(luò)攻擊趨勢。

在態(tài)勢感知系統(tǒng)的實際應(yīng)用中,受限于對態(tài)勢感知理解、數(shù)據(jù)采集融合能力、服務(wù)保障人員等因素影響,很多企業(yè)在巨大投入之后發(fā)現(xiàn),態(tài)勢感知僅僅成為展示匯報的工具,缺乏有效運營,應(yīng)用效果與期望有很大的差距,沒有真正解決安全問題。

用戶認(rèn)為:數(shù)據(jù)采集、分析、檢測、追溯、響應(yīng)能力、日志統(tǒng)一收集、算法模型代替人員排查日志、展示呈現(xiàn)量化安全效果的能力是態(tài)勢感知在部署應(yīng)用后最有價值的功能點。

普普每日安全資訊一周概覽(12.26—01.01)

普普評述

普普每日安全資訊一周概覽(12.26—01.01)

態(tài)勢感知產(chǎn)品市場尚未成熟,還存在魚龍混雜的情況,不同廠商對態(tài)勢感知的理解和功能定位還有較大偏差,更需要實際驗證廠商的技術(shù)實力和售后服務(wù)水平。



2020.01.01??周五


07
風(fēng)口下的中國網(wǎng)絡(luò)安全如何破局?

安全產(chǎn)業(yè)是一個風(fēng)口產(chǎn)業(yè),市場前景廣闊,國內(nèi)上市的安全企業(yè)已經(jīng)達(dá)到20多家。與此同時,網(wǎng)絡(luò)安全領(lǐng)域的新概念、新理念層出不窮,聽起來都很好,但是落地卻很困難。有的涉及到整網(wǎng)改造,有的則存在投資高、技術(shù)不成熟等各種各樣的問題,導(dǎo)致客戶在猶疑中止步不前。

從網(wǎng)絡(luò)安全建設(shè)和日常運營的角度出發(fā),將國內(nèi)企事業(yè)單位分為了三大類:

第一類主要包括大的互聯(lián)網(wǎng)企業(yè)、五大國有銀行、領(lǐng)先的股份制銀行、華為等,這些單位對安全的重視是主動的、業(yè)務(wù)驅(qū)動的,因此投入大、能力強,在安全體系的建設(shè)中通常以我為主,安全廠商和服務(wù)商只是配角。

第二類包括大部分大型企事業(yè)單位和少量中型單位,規(guī)模有幾萬家,比如地市級以上政府委辦局、大型制造型企業(yè)、高速公路集團(tuán)、地鐵、大型醫(yī)院、高等院校等。安全投資以合規(guī)為導(dǎo)向,對安全廠商或集成商的依賴性較強,整體安全建設(shè)和運維水平存在很多問題,承受黑客攻擊的能力很弱。

第三類包括所有的小型和大部分中型企事業(yè)單位,如非三甲醫(yī)院、普通中小學(xué)、一般的制造企業(yè)、縣級政府單位等。安全投入少,缺乏持續(xù)運維力量,普通病毒就可能導(dǎo)致整個信息系統(tǒng)宕機。

目前華為云等領(lǐng)先的公有云運營商都擁有強大的安全能力和團(tuán)隊,可以通過某種方式向客戶提供專業(yè)的安全云服務(wù),因此租用公有云的企事業(yè)單位可以購買此類云服務(wù),保障其網(wǎng)絡(luò)空間的信息安全。

普普每日安全資訊一周概覽(12.26—01.01)

普普評述

普普每日安全資訊一周概覽(12.26—01.01)

我國企事業(yè)單位一直以“合規(guī)”為導(dǎo)向建設(shè)信息安全防護(hù)及運營體系,整個體系并不能很好地應(yīng)對當(dāng)前的市場環(huán)境。