普普每日安全資訊一周概覽(01.23—01.29)
?數(shù)字化轉(zhuǎn)型下的網(wǎng)絡(luò)安全與彈性在疫情肆虐的背景下,網(wǎng)絡(luò)攻擊活動(dòng)日益猖獗�����。2020年底曝出的年度供應(yīng)鏈APT攻擊事件中,美國(guó)眾多政府機(jī)構(gòu)���、安全和IT公司淪陷�。在日益復(fù)雜的網(wǎng)絡(luò)攻擊面前,沒(méi)有任何機(jī)構(gòu)可以幸免����。增強(qiáng)網(wǎng)絡(luò)彈性,打造快速的恢復(fù)能力日益受到關(guān)注����。網(wǎng)絡(luò)安全策略的重點(diǎn)從攻擊預(yù)防轉(zhuǎn)變?yōu)樵鰪?qiáng)網(wǎng)絡(luò)彈性:既然入侵不能避免,考慮維持業(yè)務(wù)正常運(yùn)營(yíng)����,從攻擊中快速恢復(fù)過(guò)來(lái)才是更現(xiàn)實(shí)的選擇。作為網(wǎng)絡(luò)安全行業(yè)的風(fēng)向標(biāo)�����,將于5月份舉辦的RSAC峰會(huì)宣布以“彈性(RESILIENCE)”作為今年大會(huì)的主題��。這表明網(wǎng)絡(luò)彈性已得到網(wǎng)絡(luò)安全產(chǎn)業(yè)界的共同關(guān)注����,將對(duì)網(wǎng)絡(luò)安全創(chuàng)新乃至信息化帶來(lái)越來(lái)越重要的影響。由于網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的多樣性���、復(fù)雜性和不可預(yù)見(jiàn)性���,保證網(wǎng)絡(luò)空間絕對(duì)的安全是不現(xiàn)實(shí)的��。因此�,網(wǎng)絡(luò)安全的工作重點(diǎn)逐漸從阻止網(wǎng)絡(luò)事故的發(fā)生轉(zhuǎn)向緩解事故帶來(lái)的危害�,網(wǎng)絡(luò)彈性的概念就出現(xiàn)了。NIST SP 800-160(卷2)將網(wǎng)絡(luò)彈性定義為:預(yù)防��、抵御�����、恢復(fù)和適應(yīng)施加于含有網(wǎng)絡(luò)資源的系統(tǒng)的不利條件����、壓力�����、攻擊或損害的能力�����。網(wǎng)絡(luò)彈性的目的是使系統(tǒng)具有預(yù)防、抵御網(wǎng)絡(luò)攻擊的能力��,以及在遭受網(wǎng)絡(luò)攻擊后能夠恢復(fù)和適應(yīng)的能力�����。實(shí)現(xiàn)網(wǎng)絡(luò)彈性的五個(gè)步驟:
1)了解資產(chǎn)�����;2)了解供應(yīng)鏈���;3)保持良好安全習(xí)慣��;4)制定恢復(fù)計(jì)劃�;5)開(kāi)展網(wǎng)絡(luò)攻擊演習(xí)����。
?2021年網(wǎng)絡(luò)安全預(yù)測(cè):汽車黑客將成熱點(diǎn)網(wǎng)絡(luò)安全是難以預(yù)測(cè)的領(lǐng)域之一,我們能做的是洞察攻擊方法的趨勢(shì)��、威脅態(tài)勢(shì)的變化���、了解新技術(shù)以及暗流涌動(dòng)的“網(wǎng)絡(luò)犯罪經(jīng)濟(jì)”���、提供關(guān)于未來(lái)的最佳“猜測(cè)”�。是的��,雖然標(biāo)題是預(yù)測(cè)�����,但以下更多只是猜測(cè)和“拋磚”�。我們整理了業(yè)界對(duì)2021年的幾個(gè)有代表性的預(yù)測(cè):1、勒索軟件“勇猛精進(jìn)”:根據(jù)預(yù)測(cè)�����,到2021年����,企業(yè)將每11秒遭受一次勒索軟件攻擊,每年所有加密貨幣交易中的70%以上將用于非法活動(dòng)��;持續(xù)攻擊醫(yī)療基礎(chǔ)設(shè)施可能會(huì)導(dǎo)致嚴(yán)重后果���,2020年,勒索軟件攻擊已經(jīng)制造了數(shù)個(gè)命案,2021年��,更多人可能會(huì)因網(wǎng)絡(luò)攻擊死亡�����。2�����、零日攻擊與加密貨幣:針對(duì)流行操作系統(tǒng)和應(yīng)用程序的零日攻擊仍會(huì)是一個(gè)大麻煩�。惡意行為者將故技重施,出售漏洞利用程序的犯罪團(tuán)伙將獲得高額回報(bào)�。加密貨幣仍然是一種“流通性”和隱蔽性很強(qiáng)的支付手段。3����、汽車黑客“崛起”:以電動(dòng)汽車、自動(dòng)駕駛和聯(lián)網(wǎng)汽車為代表的汽車數(shù)字化時(shí)代已經(jīng)到來(lái)��。2021新年�,特斯拉Model Y在中國(guó)市場(chǎng)10小時(shí)售出10萬(wàn)臺(tái)。但很少有人注意到���,特斯拉也是安全漏洞賞金支出最高的汽車企業(yè)�。汽車產(chǎn)業(yè)數(shù)字化和智能化面臨的最大威脅是黑客攻擊。與家用WiFi路由器和空調(diào)傳感器相比�����,汽車堪稱高動(dòng)量的“大規(guī)模殺傷性武器”�,由數(shù)百萬(wàn)聯(lián)網(wǎng)冰箱和攝像頭組成的僵尸網(wǎng)絡(luò),可以癱瘓半個(gè)美國(guó)的互聯(lián)網(wǎng)�����,但卻無(wú)法傷及一條人命�。但是大量聯(lián)網(wǎng)電動(dòng)汽車一旦成為網(wǎng)絡(luò)犯罪分子的獵物,其后果不堪設(shè)想��。我們討論的將不再是物聯(lián)網(wǎng)安全或者消費(fèi)者隱私問(wèn)題�,而是大規(guī)模的恐怖襲擊和創(chuàng)紀(jì)錄的勒索贖金。2021年�����,我們很可能看到針對(duì)自動(dòng)駕駛系統(tǒng)的多種形式的攻擊����。4、內(nèi)部威脅風(fēng)險(xiǎn)加大:無(wú)論是“刪庫(kù)跑路”還是接受賄賂或泄露賬戶信息�,內(nèi)部威脅風(fēng)險(xiǎn)將加大��。這里所說(shuō)的內(nèi)部,還包括那些能夠訪問(wèn)內(nèi)部系統(tǒng)的合作伙伴��。因?yàn)樵絹?lái)越多的攻擊者開(kāi)始選擇從供應(yīng)鏈中的薄弱環(huán)節(jié)�����,例如規(guī)模較小安全能力不成熟的企業(yè)入手����,進(jìn)而攻擊上游或下游企業(yè)。5���、5G打開(kāi)安全威脅的潘多拉盒子:5G網(wǎng)絡(luò)引入的新的網(wǎng)絡(luò)關(guān)鍵技術(shù)�����,一定程度上帶來(lái)了新的安全威脅和風(fēng)險(xiǎn)�。就汽車安全而言����,我們討論的將不再是物聯(lián)網(wǎng)安全或者消費(fèi)者隱私問(wèn)題,而是大規(guī)模的恐怖襲擊和創(chuàng)紀(jì)錄的勒索贖金����。
?QQ讀取瀏覽器歷史記錄 這個(gè)鍋就不要再甩了1月17日�����,某論壇流出消息:“QQ會(huì)讀取網(wǎng)頁(yè)瀏覽器的歷史記錄”���。隨后,該內(nèi)容被鏈接到知乎上提問(wèn)�����,引發(fā)廣泛關(guān)注���。事情曝出后���,騰訊QQ在其知乎官方號(hào)上做出回應(yīng):近日,我們收到外部反饋稱PC QQ掃描讀取瀏覽器歷史記錄�����。對(duì)此����,QQ安全團(tuán)隊(duì)高度重視并展開(kāi)調(diào)查���,發(fā)現(xiàn)PC QQ存在讀取瀏覽器歷史用以判斷用戶登錄安全風(fēng)險(xiǎn)的情況,讀取的數(shù)據(jù)用于在PC QQ的本地客戶端中判斷是否惡意登錄�����。所有相關(guān)數(shù)據(jù)不會(huì)上傳至云端��,不會(huì)儲(chǔ)存����,也不會(huì)用于任何其他用途��。同時(shí)騰訊做出道歉:對(duì)本次事件��,我們深表歉意���,內(nèi)部正梳理歷史問(wèn)題并強(qiáng)化用戶數(shù)據(jù)訪問(wèn)規(guī)范�。目前����,已經(jīng)更換了檢測(cè)惡意和異常請(qǐng)求的技術(shù)邏輯去解決上述安全風(fēng)險(xiǎn)問(wèn)題,并發(fā)布全新的PC QQ版本����。事件爆出后�����,陸續(xù)也有程序員進(jìn)行復(fù)現(xiàn)�,發(fā)現(xiàn)QQ讀取瀏覽器歷史的行為包括:讀取瀏覽器瀏覽歷史�����,對(duì)讀取到的url進(jìn)行md5�,并在本地進(jìn)行比較,在md5匹配的情況下�����,上傳相應(yīng)分組ID���。其實(shí)���,很多App都存在越權(quán)訪問(wèn)的問(wèn)題,而大數(shù)據(jù)時(shí)代下的安全問(wèn)題也非一朝一夕可以攻克的��。不過(guò)�,我們還是希望企業(yè)可以重視隱私保護(hù)問(wèn)題�����,為中國(guó)創(chuàng)造大數(shù)據(jù)時(shí)代下的一片凈土���。
?Windows 10又現(xiàn)詭異Bug:使用Chrome瀏覽器訪問(wèn)特定路徑立即藍(lán)屏這些年來(lái)Windows 10出現(xiàn)了很多的詭異Bug。例如�����,就在前幾天�����,我們報(bào)道過(guò)一個(gè)可能會(huì)破壞硬盤驅(qū)動(dòng)器的錯(cuò)誤����。現(xiàn)在���,一個(gè)導(dǎo)致Windows崩潰的bug的細(xì)節(jié)已經(jīng)出現(xiàn)�����,但微軟似乎并不急于修復(fù)它����。這個(gè)錯(cuò)誤是由之前發(fā)現(xiàn)NTFS缺陷的同一位安全研究員Jonas Lykkegaard發(fā)現(xiàn)的。他發(fā)現(xiàn)通過(guò)訪問(wèn)Chrome瀏覽器中的某個(gè)路徑���,Windows10會(huì)以BSoD(藍(lán)屏死機(jī))的方式崩潰����。盡管Lykkegaard早在幾個(gè)月前就公開(kāi)了該漏洞的細(xì)節(jié)���,但微軟仍未拿出修復(fù)方案���。BSoD漏洞非常容易執(zhí)行,目前還不知道該漏洞的全部后果�。Lykkegaard發(fā)現(xiàn),使用Chrome訪問(wèn)路徑\.\globalroot\device\condrv\kernelconnect會(huì)導(dǎo)致Windows 10中的BSoD崩潰�。BleepingComputer進(jìn)行的測(cè)試顯示,從Windows 10版本1709一直到20H2的每一個(gè)版本的Windows 10中都可以發(fā)現(xiàn)這個(gè)bug��,很大可能也影響舊版本���。雖然像這樣簡(jiǎn)單的崩潰可能看起來(lái)相當(dāng)無(wú)害����,但它是一些可以被攻擊者利用以掩蓋其他活動(dòng),或阻止受害者使用他們的計(jì)算機(jī)�。這個(gè)錯(cuò)誤甚至可以通過(guò)簡(jiǎn)單地給受害者發(fā)送一個(gè)指向問(wèn)題路徑的快捷方式文件來(lái)觸發(fā)。在給BleepingComputer的一份聲明中���,微軟表示���。'微軟有客戶承諾調(diào)查報(bào)告的安全問(wèn)題,我們將盡快為受影響的設(shè)備提供更新'���。盡管有這樣的承諾�����,但沒(méi)有跡象表明相當(dāng)何時(shí)可能提供修復(fù)。
生命中只有三件事無(wú)可避免:死亡����、稅收和云安全漏洞。如今整個(gè)世界都已經(jīng)開(kāi)始往云端遷移�����,但是云安全(包括公有云和混合云)的安全漏洞卻依然如牛皮癬廣告般頑固。事實(shí)上�����,云安全問(wèn)題之所以持續(xù)發(fā)作����,自有其難言之隱。在高度動(dòng)態(tài)的云環(huán)境中管理風(fēng)險(xiǎn)和漏洞并不容易���。而企業(yè)加速遷移(尤其是疫情期間)到公共云�,建立數(shù)字化競(jìng)爭(zhēng)優(yōu)勢(shì)的迫切需求進(jìn)一步放大了這種風(fēng)險(xiǎn)����。更加糟糕的是,很多安全團(tuán)隊(duì)使用的實(shí)踐方法����、政策和工具,尤其是漏洞管理�,通常是本地計(jì)算占主導(dǎo)地位的時(shí)代的產(chǎn)物,已經(jīng)無(wú)法適應(yīng)“云優(yōu)先”和“云原生”環(huán)境���。最根本的問(wèn)題在于云環(huán)境中傳統(tǒng)漏洞管理方法的局限性是顯而易見(jiàn)的���。云環(huán)境通常是高度動(dòng)態(tài)且短暫的���,容器的平均壽命僅為數(shù)小時(shí)。通過(guò)諸如漏洞掃描之類的常規(guī)工具來(lái)保護(hù)容器是困難的����,有時(shí)甚至是不可能的。由于存在周期太短���,掃描程序通常無(wú)法識(shí)別容器�����。更復(fù)雜的是��,即便掃描工具能夠識(shí)別正在運(yùn)行的容器����,通常也無(wú)法提供任何評(píng)估方法�。如果沒(méi)有IP地址或SSG登錄����,則無(wú)法運(yùn)行憑據(jù)掃描。如果我們想降低重大云安全事件的數(shù)量和損失,就必須創(chuàng)建一個(gè)能夠真實(shí)反映組織所面臨的實(shí)際安全挑戰(zhàn)的漏洞管理流程�。選擇適當(dāng)?shù)墓ぞ咧皇菍?shí)現(xiàn)這一目標(biāo)的重要步驟之一。
網(wǎng)絡(luò)安全專家稱�����,SolarWinds Orion網(wǎng)絡(luò)管理平臺(tái)遭受的攻擊是針對(duì)美國(guó)政府網(wǎng)絡(luò)和很多大型公司數(shù)據(jù)基礎(chǔ)架構(gòu)的最嚴(yán)重黑客攻擊之一�����。該攻擊于2020年12月發(fā)現(xiàn)�,該供應(yīng)鏈攻擊影響著多個(gè)美國(guó)聯(lián)邦政府機(jī)構(gòu),包括商務(wù)部����、能源部和國(guó)土安全部門。此次攻擊的消息迫使思科和微軟等大型上市公司加強(qiáng)網(wǎng)絡(luò)分析活動(dòng)�����,以便及時(shí)識(shí)別和緩解異常情況�����,避免中斷運(yùn)營(yíng)��。在此次攻擊曝光后,SolarWinds宣布對(duì)其Orion平臺(tái)進(jìn)行更新���,攻擊該平臺(tái)等惡意軟件名為Supernova���。根據(jù)SolarWinds的調(diào)查,攻擊者通過(guò)利用Orion平臺(tái)中的漏洞來(lái)部署惡意軟件�,大約有18,000個(gè)客戶受此攻擊影響。為了應(yīng)對(duì)SolarWinds的黑客攻擊��,這些公司需要部署Orion更新���,并仔細(xì)檢查其網(wǎng)絡(luò)的各個(gè)方面����,以識(shí)別惡意軟件在何處啟動(dòng)�����。調(diào)查人員在研究該惡意軟件攻擊時(shí)��,發(fā)現(xiàn)稱為Sunburst的后門程序��,該后門程序使黑客能夠接收有關(guān)受感染計(jì)算機(jī)的報(bào)告���。然后�,黑客利用這些數(shù)據(jù)來(lái)確定要進(jìn)一步利用的系統(tǒng)�����。企業(yè)必須采取措施��,以確保網(wǎng)絡(luò)外圍安全�、信息系統(tǒng)和數(shù)據(jù)安全,并且����,企業(yè)應(yīng)將網(wǎng)絡(luò)保護(hù)和網(wǎng)絡(luò)安全視為關(guān)鍵任務(wù)。
?Sudo漏洞影響全球Unix/Linux系統(tǒng)近日����,Qualys研究小組發(fā)現(xiàn)了sudo中一個(gè)隱藏了十年的堆溢出漏洞(CVE-2021-3156,命名:Baron Samedit)��,包括Linux在內(nèi)的幾乎所有Unix主流操作系統(tǒng)都存在該漏洞���。通過(guò)利用此漏洞��,任何沒(méi)有特權(quán)的用戶都可以使用默認(rèn)的sudo配置在易受攻擊的主機(jī)上獲得root特權(quán)(無(wú)需密碼)���。Sudo是一個(gè)功能強(qiáng)大的實(shí)用程序�����,大多數(shù)(如果不是全部)基于Unix和Linux的操作系統(tǒng)都包含Sudo�。它允許用戶使用其他用戶的root權(quán)限運(yùn)行程序����。Qualys發(fā)現(xiàn)的這個(gè)sudo提權(quán)漏洞已經(jīng)隱藏了將近十年,它于2011年7月在一次提交中被引入(提交8255ed69)���,在默認(rèn)配置下會(huì)影響從1.8.2到1.8.31p2的所有舊版本�,以及從1.9.0到1.9.5p1的所有穩(wěn)定版本��。通過(guò)利用該漏洞�,任何沒(méi)有特權(quán)的(本地)用戶都可以在易受攻擊的主機(jī)上獲得root特權(quán)。Qualys安全研究人員已經(jīng)能夠獨(dú)立驗(yàn)證漏洞并開(kāi)發(fā)多種利用形式�����,并在Ubuntu 20.04(Sudo 1.8.31)���、Debian 10(Sudo 1.8.27)和Fedora 33(Sudo 1.9.2)上獲得完整的root用戶特權(quán)�����。其他操作系統(tǒng)和發(fā)行版也可能會(huì)被利用�����。該sudo漏洞于2011年的一次提交引入��,已達(dá)10年之久����,考慮到sudo的普遍性以及該漏洞容易被利用�,該漏洞應(yīng)該屬于高危評(píng)級(jí)的,建議用戶盡快加載補(bǔ)丁��。