普普每日安全資訊一周概覽(12.19—12.25)

作者:

時(shí)間:
2020-12-26

2020.12.19? 周六



01
共享充電寶可能會(huì)實(shí)時(shí)監(jiān)聽(tīng),專家提醒這個(gè)操作要謹(jǐn)慎
據(jù)國(guó)內(nèi)媒體報(bào)道,出門(mén)在外,使用共享充電寶進(jìn)行充電時(shí),也要小心謹(jǐn)慎,因?yàn)橛行┕蚕沓潆妼毎挡仉[私泄露的風(fēng)險(xiǎn)。
那么充電寶是如何竊取個(gè)人隱私的呢?技術(shù)人員做了一次實(shí)驗(yàn)先拍攝4張照片存在手機(jī)相冊(cè)中,然后使用一條不帶數(shù)據(jù)傳輸功能的充電線連接充電寶,后臺(tái)未能讀取手機(jī)信息。
但是,如果使用一根能夠傳輸手機(jī)數(shù)據(jù)的充電線,充電寶就能將其內(nèi)部的惡意程序上傳至手機(jī),后臺(tái)立馬就能顯示出剛剛拍攝的4張照片。
斷開(kāi)連接后,攻擊者依然能控制這部手機(jī)。使用攻擊程序,通訊錄能被實(shí)時(shí)讀取,在鎖屏?xí)r,前后攝像頭能被輕易調(diào)用,甚至還能實(shí)時(shí)監(jiān)聽(tīng)。
技術(shù)人員介紹,取走充電寶中的幾塊電池,換上一塊芯片,就能將各種惡意程序植入用戶手機(jī)。
普普每日安全資訊一周概覽(12.19—12.25)

普普評(píng)述

普普每日安全資訊一周概覽(12.19—12.25)

使用外來(lái)充電寶,若手機(jī)上出現(xiàn)需要用戶授權(quán)、打開(kāi)調(diào)試模式等提醒,務(wù)必謹(jǐn)慎。



2020.12.20? 周日


02
勒索軟件:改寫(xiě)網(wǎng)安格局,進(jìn)入突變?cè)?/span>
21世紀(jì)初以來(lái),勒索軟件一直是大型企業(yè)、中小商家及個(gè)人的突出網(wǎng)絡(luò)威脅。
勒索軟件是一種惡意軟件,它能夠獲取文件或系統(tǒng)的控制權(quán)限,并阻止用戶控制這些文件或系統(tǒng)。惡意軟件和病毒軟件與生物疾病有相似之處。正是由于這些相似性,仿照流行病學(xué)界對(duì)有害病原體的載體使用的術(shù)語(yǔ),我們稱入口點(diǎn)為''載體''。從技術(shù)上講,攻擊或感染載體是勒索軟件獲得控制權(quán)的手段。
勒索軟件的載體類型包括:電子郵件、遠(yuǎn)程桌面協(xié)議(RDP)、網(wǎng)站木馬傳播、社交網(wǎng)絡(luò)、彈窗等。勒索軟件的攻擊載體一直在變化,但總體保持大致相同,就像釣魚(yú)郵件攻擊,不斷利用曝出的各種技術(shù)漏洞,以及人的漏洞。
勒索軟件的最新攻擊趨勢(shì):雙重勒索成為新常態(tài)、IoT成為勒索軟件攻擊新突破口、關(guān)鍵基礎(chǔ)設(shè)施成勒索軟件攻擊的重要目標(biāo)、勒索攻擊更加定向、復(fù)雜。一夜之間激增的遠(yuǎn)程辦公給網(wǎng)絡(luò)犯罪分子提供了有吸引力的新攻擊目標(biāo)。數(shù)以百萬(wàn)計(jì)的人在家工作,感染勒索軟件的機(jī)會(huì)比以往任何時(shí)候都高。
普普每日安全資訊一周概覽(12.19—12.25)

普普評(píng)述

普普每日安全資訊一周概覽(12.19—12.25)

勒索軟件在2020年最瘋狂,攻擊規(guī)模和頻率以驚人的速度增長(zhǎng),同時(shí)也是給企業(yè)造成損失最大的攻擊手段,甚至造成全球首例勒索軟件致死事故。國(guó)際刑警組織也宣稱,勒索軟件構(gòu)成網(wǎng)絡(luò)安全的最大威脅因素



2020.12.21? 周一


03
疫情環(huán)境下的網(wǎng)絡(luò)安全趨勢(shì)和解決方案
在過(guò)去的幾個(gè)月中,FortiGuard實(shí)驗(yàn)室一直在積極跟蹤與疫情相關(guān)的全球威脅問(wèn)題和攻擊活動(dòng),包括信息竊取者,特洛伊木馬,勒索軟件以及社會(huì)工程誘餌的有效性。
這揭示了以下最新趨勢(shì):
利用情感謀取經(jīng)濟(jì)利益——網(wǎng)絡(luò)犯罪分子正在最大限度地利用這次疫情的恐慌心理;
魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)攻擊也在增加——在醫(yī)療供應(yīng)短缺的情況下,針對(duì)性較強(qiáng)的攻擊活動(dòng)也在增加;
遠(yuǎn)程工作引入了新的攻擊媒介——為了確保業(yè)務(wù)連續(xù)性,諸如安全協(xié)議之類的東西可能會(huì)被忽略或擱置。
因?yàn)閭€(gè)人設(shè)備甚至無(wú)需直接受到攻擊即可被破壞。它們還連接到不安全的家庭網(wǎng)絡(luò),這使攻擊者可以利用其他攻擊媒介,包括利用連接到家庭網(wǎng)絡(luò)的易受攻擊的物聯(lián)網(wǎng)設(shè)備或游戲機(jī)。
普普每日安全資訊一周概覽(12.19—12.25)

普普評(píng)述

普普每日安全資訊一周概覽(12.19—12.25)

在當(dāng)前日益嚴(yán)峻的威脅形勢(shì)下,我們不能放松警惕。以下是您組織中需要加強(qiáng)的三個(gè)方面:加強(qiáng)網(wǎng)絡(luò)安全衛(wèi)生、更新關(guān)鍵安全技術(shù)、用戶培訓(xùn)。

由于當(dāng)前的疫情環(huán)境,網(wǎng)絡(luò)犯罪迅速過(guò)度到遠(yuǎn)程辦公,再加上網(wǎng)絡(luò)犯罪分子利用恐懼,不確定性和懷疑的傾向,安全研究人員觀察到了網(wǎng)絡(luò)安全問(wèn)題激增。網(wǎng)絡(luò)罪犯分子很快就會(huì)利用新的手段和設(shè)備,接入新手遠(yuǎn)程工作者、易受攻擊的家用計(jì)算機(jī)和網(wǎng)絡(luò),以及過(guò)度勞累的IT團(tuán)隊(duì)。



2020.12.22? 周二


?
04
美國(guó)防部2021年全面推行零信任架構(gòu)
零信任的概念對(duì)國(guó)防部而言已經(jīng)不是新鮮事物。對(duì)于某些內(nèi)部敏感信息,他們已經(jīng)采取類似的分區(qū)配置,但目前大部分業(yè)務(wù)網(wǎng)絡(luò)架構(gòu)仍然依靠強(qiáng)密碼保護(hù)等傳統(tǒng)的外圍防御策略。
國(guó)防部領(lǐng)導(dǎo)層提到,此次在全軍范圍內(nèi)推行的零信任架構(gòu)將與其他以往計(jì)劃有所不同。進(jìn)一步解釋稱,這代表著國(guó)防部網(wǎng)絡(luò)架構(gòu)的全面轉(zhuǎn)變,事實(shí)上網(wǎng)絡(luò)架構(gòu)也必須隨時(shí)間推移而不斷變化。
由馬里蘭州創(chuàng)新與安全研究所(MISI)運(yùn)營(yíng)的私營(yíng)網(wǎng)絡(luò)安全實(shí)驗(yàn)室DreamPort一直在各級(jí)政府機(jī)構(gòu)與私營(yíng)部門(mén)間的合作中發(fā)揮著關(guān)鍵作用,在此次參考指南的制定過(guò)程中同樣助力頗多。該組織還在所在地馬里蘭州哥倫比亞市郊專門(mén)建立了零信任實(shí)驗(yàn)室,著力推動(dòng)與NSA、網(wǎng)絡(luò)司令部以及其他高度關(guān)注安全工作的政府機(jī)構(gòu)間的合作。
普普每日安全資訊一周概覽(12.19—12.25)

普普評(píng)述

普普每日安全資訊一周概覽(12.19—12.25)

為美國(guó)國(guó)防機(jī)構(gòu)及IT部門(mén)提供一份指導(dǎo)性藍(lán)圖,推動(dòng)網(wǎng)絡(luò)體系過(guò)渡到新的模式,嘗試對(duì)所有人采取相同的安全控制級(jí)別。換言之,新的安全體系將對(duì)所有用戶都實(shí)施“零信任”策略。



2020.12.23? ?周三


05
2021年數(shù)據(jù)加密的六大趨勢(shì)
數(shù)據(jù)安全領(lǐng)域,加密技術(shù)相對(duì)穩(wěn)定,加密技術(shù)有望迎來(lái)重大變革,以下我們列出2021年值得關(guān)注的六大加密趨勢(shì)。
一、云計(jì)算將扮演更重要的角色,尤其是在金融服務(wù)領(lǐng)域:云計(jì)算服務(wù)商正在提供更強(qiáng)大、更靈活的安全服務(wù),以滿足那些希望保留密鑰控制權(quán),同時(shí)避免被云服務(wù)商鎖定的企業(yè)的需求。
二、同態(tài)加密將成為“新常態(tài)”:面對(duì)隱私泄露和監(jiān)管力度的雙重壓力,同態(tài)加密作為最優(yōu)秀的隱私增強(qiáng)技術(shù)之一,對(duì)數(shù)據(jù)進(jìn)行處理和操作時(shí)能夠保持加密狀態(tài),可用于保護(hù)存儲(chǔ)在云中或傳輸中的數(shù)據(jù)的安全。
三、BYOE將開(kāi)始流行:云安全(營(yíng)銷)模型,也是企業(yè)云安全的一次重要變革,企業(yè)鞏固自己掌控和管理數(shù)據(jù)安全策略所需的控制級(jí)別。
四、加密+密鑰管理,對(duì)于縮短的證書(shū)生命周期至關(guān)重要:企業(yè)需要比以往更嚴(yán)格的加密和密鑰管理,跟蹤證書(shū)失效日期非常重要,自動(dòng)化將發(fā)揮重要作用。
五、加密技術(shù)對(duì)DevSecOps很重要,尤其是代碼簽名:DevOps團(tuán)隊(duì)提供所需的集成安全性以及快速識(shí)別和排除故障區(qū)域的能力。
六、長(zhǎng)周期設(shè)備制造商將開(kāi)始擁抱加密敏捷性:敏捷的加密解決方案可能需要實(shí)現(xiàn)混合證書(shū),使用常規(guī)非對(duì)稱加密進(jìn)行簽名的同時(shí),要具備足夠的靈活性,以便今后向抗量子加密平穩(wěn)過(guò)渡,以應(yīng)對(duì)量子計(jì)算的威脅。
普普每日安全資訊一周概覽(12.19—12.25)

普普評(píng)述

普普每日安全資訊一周概覽(12.19—12.25)

無(wú)論是云服務(wù)商還是采用BYOE和同態(tài)加密的企業(yè),亦或采用混合證書(shū)來(lái)實(shí)現(xiàn)加密敏捷性的DevSecOps團(tuán)隊(duì),都需要注意下亮點(diǎn):加密和密鑰管理二者缺一不可;較短的證書(shū)生命周期意味著企業(yè)需要比以往更加關(guān)注密鑰管理。



2020.12.24? 周四


06
AMNESIA33:物聯(lián)網(wǎng)打開(kāi)潘多拉盒子
據(jù)Forescout的研究人員估計(jì),目前發(fā)現(xiàn)的數(shù)百萬(wàn)個(gè)消費(fèi)級(jí)和工業(yè)級(jí)設(shè)備受到他們發(fā)現(xiàn)的33個(gè)安全漏洞(其中四個(gè)是高危漏洞)的影響,幾乎你能想到的所有聯(lián)網(wǎng)/物聯(lián)網(wǎng)設(shè)備都有可能中招:包括智能手機(jī)、游戲機(jī)、傳感器、片上系統(tǒng)(SOC)板、HVAC系統(tǒng)、打印機(jī)、路由器、交換機(jī)、IP攝像機(jī)、自助結(jié)賬亭、RFID資產(chǎn)跟蹤器、證章讀取器、不間斷電源和各種工業(yè)設(shè)備。
Bug駐留在四個(gè)開(kāi)源TCP/IP堆棧中,漏洞將使攻擊者可以實(shí)施廣泛的攻擊例如:遠(yuǎn)程代碼執(zhí)行(RCE)以控制目標(biāo)設(shè)備;拒絕服務(wù)(DoS)會(huì)削弱功能并影響業(yè)務(wù)運(yùn)營(yíng);信息泄漏(infoleak)以獲取潛在的敏感信息;DNS緩存中毒攻擊,用于將設(shè)備指向惡意網(wǎng)站。
在某些情況下(例如智能手機(jī)或網(wǎng)絡(luò)設(shè)備)設(shè)備自帶無(wú)線更新機(jī)制,漏洞的修補(bǔ)可能很容易,但是許多其他易受攻擊的設(shè)備甚至都沒(méi)有提供更新固件的功能,這意味著某些設(shè)備很可能在剩余的產(chǎn)品生命周期內(nèi)仍然很脆弱。公司可能需要替換設(shè)備,或采取對(duì)策以防御利用漏洞的攻擊。
普普每日安全資訊一周概覽(12.19—12.25)

普普評(píng)述

普普每日安全資訊一周概覽(12.19—12.25)

檢測(cè)漏洞本身也是一項(xiàng)艱巨的工作,因?yàn)楫?dāng)今許多設(shè)備都未附帶軟件物料清單,很多公司甚至都不知道他們正在運(yùn)行的系統(tǒng)是否使用了四個(gè)TCP/IP堆棧中的一個(gè)。智能設(shè)備和物聯(lián)網(wǎng)的生態(tài)系統(tǒng)仍然是一團(tuán)亂麻,并且很可能在未來(lái)幾年仍將是一場(chǎng)安全災(zāi)難。



2020.12.25??周五


07
物聯(lián)網(wǎng)安全:信任與信任管理
信任是信息安全的基石,是交互雙方進(jìn)行身份認(rèn)證的基礎(chǔ)。信任涉及假設(shè)、期望和行為。信任是與風(fēng)險(xiǎn)相聯(lián)系的,并且信任關(guān)系的建立不可能總是全自動(dòng)的,這意味著信任的定量測(cè)量是比較困難的,但信任可以通過(guò)級(jí)別進(jìn)行度量和使用,以決定身份和訪問(wèn)控制級(jí)別。
信任通常分為基于身份的信任(IdentityTrust)和基于行為的信任(BehaviorTrust)兩類?;谏矸莸男湃尾捎渺o態(tài)的控制機(jī)制,即在用戶對(duì)目標(biāo)對(duì)象實(shí)施訪問(wèn)前就對(duì)其訪問(wèn)權(quán)限進(jìn)行了限制。基于行為的信任通過(guò)實(shí)體的行為歷史記錄和當(dāng)前行為的特征來(lái)動(dòng)態(tài)判斷目標(biāo)實(shí)體的可信任度?;谛袨榈男湃伟ㄖ苯有湃危―irectTrust)和反饋信任(IndirectTrust)。反饋信任又可稱為推薦信任、間接信任或者聲譽(yù)(Reputation)。
信任的屬性包括信任的動(dòng)態(tài)性、不對(duì)稱性、傳遞性和衰減性,為解決互聯(lián)網(wǎng)上網(wǎng)絡(luò)服務(wù)的安全問(wèn)題,提出了信任管理(TrustManagement)的概念,并首次將信任管理機(jī)制引入分布式系統(tǒng)之中。隨著以互聯(lián)網(wǎng)為基礎(chǔ)的各種大規(guī)模開(kāi)放應(yīng)用系統(tǒng)(如網(wǎng)格、普適計(jì)算、P2P、Adhoc、Web服務(wù)、Cloud、物聯(lián)網(wǎng)等)相繼出現(xiàn)并被應(yīng)用,信任關(guān)系、信任模型和信任管理的研究逐漸成為了信息安全領(lǐng)域的研究熱點(diǎn)。
普普每日安全資訊一周概覽(12.19—12.25)

普普評(píng)述

普普每日安全資訊一周概覽(12.19—12.25)

信任管理系統(tǒng)的核心內(nèi)容是,用于描述安全策略和安全憑證的安全策略描述語(yǔ)言和用于對(duì)請(qǐng)求、安全憑證和安全策略進(jìn)行一致性證明-驗(yàn)證的信任管理引擎。