普普安全資訊一周概覽(0212-0218)

作者:

時間:
2022-02-18
01

教育行業(yè)成2021年網(wǎng)絡(luò)攻擊重災(zāi)區(qū)

Check Point Software Technologies的調(diào)查研究顯示,教育和研究領(lǐng)域是2021年網(wǎng)絡(luò)攻擊者的首要目標,每家機構(gòu)每周平均遭受1605次攻擊,比2020年增加了75%。新冠肺炎疫情促使企業(yè)和教育行業(yè)的員工紛紛居家辦公,由此催生了對數(shù)字技術(shù)和在線課程的需求,推動了數(shù)字教育市場大幅發(fā)展,但同時也給學(xué)習(xí)和網(wǎng)絡(luò)威脅都創(chuàng)造了條件和機會。

Check Point數(shù)據(jù)研究經(jīng)理Omer Dembinsky表示,由于轉(zhuǎn)向遠程學(xué)習(xí)和大量非員工需要遠程訪問在線教育機構(gòu)的各個系統(tǒng),數(shù)字資產(chǎn)暴露面不斷擴大,網(wǎng)絡(luò)攻擊風(fēng)險也上升了。

政府及軍事部門緊隨教育行業(yè)之后,2021年每個機構(gòu)每周遭受1136次攻擊,比上一年增加47%。由于所涉事務(wù)的敏感性,政府一直是此類攻擊的主要目標。世界各國政府轉(zhuǎn)向在線為公民提供各項服務(wù)的事實,也為網(wǎng)絡(luò)攻擊者打開了又一扇方便之門。

通信行業(yè)在遭攻擊最多的行業(yè)中列第三,2021年每個企業(yè)每周遭遇1079次攻擊,比上一年增加了51%。

普普安全資訊一周概覽(0212-0218)
普普點評

由于不重視網(wǎng)絡(luò)安全,教育行業(yè)很容易成為黑客攻擊的目標;同時,新冠疫情迫使教育工作者偶爾化身首席信息官,幫助教職員工和學(xué)生轉(zhuǎn)向居家學(xué)習(xí)的新技術(shù)。面對日益頻繁的攻擊,最好建立起可交付統(tǒng)一防護基礎(chǔ)設(shè)施的安全架構(gòu),提供全面快速的安全保護。此外,還應(yīng)該保持適當(dāng)?shù)陌踩l(wèi)生,實施漏洞修復(fù)、網(wǎng)絡(luò)分隔、員工教育等安全防范措施,并實現(xiàn)先進的安全保護技術(shù)。

普普安全資訊一周概覽(0212-0218)

普普安全資訊一周概覽(0212-0218)


普普安全資訊一周概覽(0212-0218)

02

加密強度不足缺陷漏洞

大多數(shù)密碼系統(tǒng)都需要足夠的密鑰大小來抵御暴力攻擊。軟件使用理論上合理的加密方案存儲或傳輸敏感數(shù)據(jù),但強度不足以達到所需的保護級別。

RSA是目前最有影響力和最常用的公鑰加密算法,它能夠抵抗到目前為止已知的絕大多數(shù)密碼攻擊,已被ISO推薦為公鑰數(shù)據(jù)加密標準。只有短的RSA鑰匙才可能被強力方式解破。只要當(dāng)鑰匙的長度足夠長時,用RSA加密的信息實際上是難以被解破。

RSA的安全性依賴于大數(shù)的因子分解,但并沒有從理論上證明破譯RSA的難度與大數(shù)分解難度等價,而且密碼學(xué)界多數(shù)人士傾向于因子分解不是NP問題。

人們已能分解140多個十進制位的大素數(shù),這就要求使用更長的密鑰,帶來的問題是速度減慢;另外,人們正在積極尋找攻擊RSA的方法,如選擇密文攻擊,一般攻擊者是將某一信息作一下偽裝(Blind),讓擁有私鑰的實體簽署。然后,經(jīng)過計算可得到它所想要的信息。

普普安全資訊一周概覽(0212-0218)
普普點評

加密強度不足的程序可能會受到暴力攻擊,如果暴力攻擊成功,惡意攻擊者則進入系統(tǒng)進行破壞。使用本領(lǐng)域?qū)<夷壳罢J為比較強的加密方案。例如使用RSA算法,密鑰越長,它就越難破解。目前被破解的最長RSA密鑰是768個二進制位。也就是說,長度超過768位的密鑰,還無法破解。因此,1024位的RSA密鑰基本安全,2048位的密鑰極其安全,建議使用2048位的密鑰。

普普安全資訊一周概覽(0212-0218)

普普安全資訊一周概覽(0212-0218)
普普安全資訊一周概覽(0212-0218)

03

企業(yè)法務(wù)合規(guī)的四大新風(fēng)險趨勢

日前,Gartner公司列出了企業(yè)法務(wù)合規(guī)部門在今后兩年會遇到的四個新興風(fēng)險趨勢。這些趨勢將決定法務(wù)、合規(guī)和隱私風(fēng)險對組織目標實現(xiàn)的重要性以及對新法務(wù)合規(guī)服務(wù)的需求。

一是技術(shù)監(jiān)管的新領(lǐng)域,法務(wù)監(jiān)管體系正在適應(yīng)日益受數(shù)據(jù)、平臺和自主決策驅(qū)動的企業(yè)運營環(huán)境。二是不斷變化的社會期望。利益相關(guān)者的影響力越來越大,他們的期望也發(fā)生了變化,而且在一些地方與企業(yè)目標的新愿景趨同。如果組織跟不上這種變化,將面臨政府、客戶、供應(yīng)鏈合作伙伴、員工及其他利益相關(guān)者的懲罰性反應(yīng)。三是新的勞資關(guān)系,這場疫情促使許多人重新評估工作生活,并促使企業(yè)從不的角度思考如何完成工作。這個持續(xù)的現(xiàn)象正在帶來就業(yè)新政,這與疫情暴發(fā)前的常態(tài)大不相同。四是地緣政治競爭,公眾期望與政府業(yè)績之間的差距越來越大,正在加劇社會內(nèi)部的緊張局勢。

普普安全資訊一周概覽(0212-0218)
普普點評

從根本上說,企業(yè)的社會角色在發(fā)生變化,新冠疫情已對大多數(shù)組織帶來了巨大沖擊。組織生存是過去兩年的主題,直到現(xiàn)在,法律、監(jiān)管和社會系統(tǒng)才趕上新形勢和已發(fā)生的重大技術(shù)變革。如果組織跟不上這種變化,將面臨政府、客戶、供應(yīng)鏈合作伙伴、員工及其他利益相關(guān)者的懲罰性反應(yīng)。且隨著地緣政治環(huán)境對貿(mào)易、關(guān)稅、勒索軟件、網(wǎng)絡(luò)安全和并購的影響越來越大,企業(yè)彈性或?qū)⒊蔀橐粋€關(guān)鍵的競爭優(yōu)勢。

普普安全資訊一周概覽(0212-0218)

普普安全資訊一周概覽(0212-0218)
普普安全資訊一周概覽(0212-0218)

04

Windows 11更新要小心了 惡意軟件已經(jīng)盯上它

2022年年初,在Windows 11系統(tǒng)廣泛部署階段,RedLine惡意軟件團伙已經(jīng)悄悄盯上了這波更新,已經(jīng)做好了充足的攻擊前準備。

攻擊者使用看似合法的“windows-upgraded.com”域來分發(fā)惡意軟件。如果訪問者單擊“立即下載”,他們會收到一個1.5M的名為“Windows11InstallationAssistant.zip”的zip文件, 隨后,解壓縮文件會生成一個大小為 753MB 的文件夾,其高達99.8%的壓縮率令安全研究人員印象深刻。而當(dāng)受害者啟動文件夾中的可執(zhí)行文件時,一個帶有編碼參數(shù)的 PowerShell 進程就會啟動。并且還會啟動一個 cmd.exe 進程,在經(jīng)過約21秒的超時時間后,它會從遠程 Web 服務(wù)器獲取一個 .jpg 文件。該文件包含一個DLL,其內(nèi)容以相反的形式排列,其目的或許是為了逃避檢測和分析。最后,初始進程加載 DLL 并用它替換當(dāng)前線程上下文,通過TCP 連接到命令和控制服務(wù)器,這樣它就可以在新感染的系統(tǒng)上獲取接下來需要運行的惡意指令。

普普安全資訊一周概覽(0212-0218)
普普點評

截止到目前,安全研究人員發(fā)現(xiàn)的這個分發(fā)站點已經(jīng)被關(guān)閉,但是卻無法阻止攻擊者設(shè)置新的分發(fā)站點,并重新開啟新一輪的、虛假的Windows 11升級安裝程序。事實上,這樣的情形已經(jīng)在不斷發(fā)生。因此,用戶在更新Windows 11系統(tǒng)時一定要選擇官方渠道,如果Windows 10用戶由于硬件不兼容而無法從官方分發(fā)渠道獲得,那么在進行更新時應(yīng)盡量提高警惕,避免陷入攻擊者預(yù)設(shè)好的陷進之中。

普普安全資訊一周概覽(0212-0218)

普普安全資訊一周概覽(0212-0218)
普普安全資訊一周概覽(0212-0218)

05

網(wǎng)絡(luò)安全自動化:評估產(chǎn)品和服務(wù)的自動化潛力

隨著安全自動化的推廣,安全產(chǎn)品與服務(wù)將不可避免地將自身與自動化相互結(jié)合,但現(xiàn)有的產(chǎn)品和服務(wù)并不能完全支持自動化改造。產(chǎn)生這一問題的主要原因是:通過應(yīng)用程序編程接口(API)獲得的功能和信息可能與通過用戶界面獲得的功能和信息不同。因此,評估產(chǎn)品和服務(wù)的自動化潛力對于如今安全自動化的實行是十分重要的。

首先,產(chǎn)品或服務(wù)必須具有供用戶大規(guī)模使用的API。在安全編排、自動化和響應(yīng)(SOAR)市場出現(xiàn)之前,并不是所有的產(chǎn)品都為用戶提供了直接的API訪問。預(yù)期的設(shè)想是:用戶將與儀表板或控制臺交互,應(yīng)用程序?qū)⒃趦?nèi)部處理所有API請求。但當(dāng)用戶開始從幾十個產(chǎn)品中接收到數(shù)千個警報時,這種方法就不再是可行的網(wǎng)絡(luò)防御了。現(xiàn)在,大多數(shù)產(chǎn)品都期望并支持用戶某種程度的自動化,但是用戶通過產(chǎn)品或服務(wù)提供的圖形界面手動與應(yīng)用程序交互的最初設(shè)計原則,導(dǎo)致了不同程度的自動化支持。

普普安全資訊一周概覽(0212-0218)
普普點評

在網(wǎng)絡(luò)安全分析中,傳統(tǒng)的網(wǎng)絡(luò)安全在當(dāng)今時代背景下是十分局限的,這也造就了網(wǎng)絡(luò)安全自動化的興起。網(wǎng)絡(luò)安全自動化即,通過流程自動化的產(chǎn)品和服務(wù)實現(xiàn)整個網(wǎng)絡(luò)安全分析過程自動化,使安全分析師能快速地關(guān)注與最大風(fēng)險相關(guān)的信息、事件。安全產(chǎn)品與服務(wù)將不可避免地要順應(yīng)自動化的潮流,將自身與自動化思想相互結(jié)合。但現(xiàn)有的產(chǎn)品和服務(wù)并不能完全支持自動化改造,因此評估產(chǎn)品和服務(wù)的自動化潛力是十分有必要的。

普普安全資訊一周概覽(0212-0218)

普普安全資訊一周概覽(0212-0218)
普普安全資訊一周概覽(0212-0218)

06

物理隔離內(nèi)網(wǎng)面臨的安全威脅

網(wǎng)絡(luò)隔離技術(shù)分為物理隔離和邏輯隔離,物理隔離就是將兩個網(wǎng)絡(luò)物理上互不連接,物理隔離需要做兩套或者幾套網(wǎng)絡(luò),一般分為內(nèi)、外網(wǎng)。

物理隔離的網(wǎng)絡(luò)通常出現(xiàn)在政府機構(gòu)、大型企業(yè)以及軍事部門中,它們通常存儲著保密的文件或重要隱私及數(shù)據(jù)。攻克物理隔離網(wǎng)絡(luò)通常被視為安全漏洞的圣杯,因為破壞或滲透物理隔離系統(tǒng)的難度極大。

物理隔離內(nèi)網(wǎng)不可能不與外界交互數(shù)據(jù), 因此隔離網(wǎng)絡(luò)系統(tǒng)的建設(shè)注定要犧牲網(wǎng)絡(luò)數(shù)據(jù)交換的便捷性。為了解決實際生產(chǎn)環(huán)境中的數(shù)據(jù)交換需求,經(jīng)常會出現(xiàn)一些“不得已”的操作, 譬如搭建內(nèi)網(wǎng)跳板機映射共享目錄、使用可移動存儲設(shè)備進行數(shù)據(jù)擺渡等,這些操作相當(dāng)于間接打通了一條與外網(wǎng)通信的隧道,從而破壞其物理隔離的完整性。除此之外,物理隔離環(huán)境會導(dǎo)致隔離內(nèi)網(wǎng)環(huán)境的安全更新(漏洞補丁、病毒庫等)滯后。

普普安全資訊一周概覽(0212-0218)
普普點評

物理隔離的網(wǎng)絡(luò)通常出現(xiàn)在政府機構(gòu)、大型企業(yè)以及軍事部門中,它們通常存儲著保密的文件或重要隱私及數(shù)據(jù)。構(gòu)建了隔離內(nèi)網(wǎng)安全防護體系并不意味著就安全了,根據(jù)Ramsay等惡意軟件針對隔離網(wǎng)絡(luò)環(huán)境的攻擊,其目的是進行各種網(wǎng)絡(luò)竊密活動,攻擊者將收集到的情報直接寫入移動存儲介質(zhì)的特定扇區(qū),并不在該存儲介質(zhì)上創(chuàng)建容易查看的文件,可見攻擊與收集行為極具隱蔽性,威脅性很大。

普普安全資訊一周概覽(0212-0218)

普普安全資訊一周概覽(0212-0218)
普普安全資訊一周概覽(0212-0218)

07

企業(yè)上云后面臨的安全威脅

網(wǎng)絡(luò)惡意攻擊,云計算的開放性讓企業(yè)用戶能夠隨時隨地訪問業(yè)務(wù)或數(shù)據(jù),但這樣的特性很容易讓攻擊者發(fā)現(xiàn)。

云資產(chǎn)管理混亂,云平臺的管理與傳統(tǒng)資產(chǎn)管理是不一樣的,運維人員不僅要管理物理主機的基礎(chǔ)硬件,同時也要對云計算的每一個應(yīng)用、服務(wù)、應(yīng)用的接口進行管理,如果運維人員沒有進行培訓(xùn),很容易造成云資產(chǎn)管理混亂。

系統(tǒng)漏洞,如果企業(yè)選擇的云架構(gòu)沒有很好的隔離手段,這會導(dǎo)致云用戶之間發(fā)生相互入侵、跨站腳本攻擊等情況,會給企業(yè)帶來更多潛在的安全和業(yè)務(wù)風(fēng)險。

數(shù)據(jù)丟失、泄露,云資產(chǎn)管理混亂,或是部分剛剛接觸云的用戶缺乏對云平臺的運維管理經(jīng)驗,出現(xiàn)越權(quán)、誤操作等情況可能導(dǎo)致數(shù)據(jù)的丟失泄露。

缺乏審計工具,攻擊者常常會利用非法獲取接口訪問密鑰,然后發(fā)起接口漏洞類的攻擊,由于缺乏可靠的合規(guī)審計工具或能力,這類攻擊有時很難被企業(yè)客戶所發(fā)現(xiàn)。

普普安全資訊一周概覽(0212-0218)
普普點評

如今,隨著云計算等新興科技的發(fā)展,不同類型企業(yè)間的關(guān)聯(lián)越來越多,它們之間的業(yè)務(wù)邊界已被打破,企業(yè)上云成為了大勢所趨。云計算應(yīng)用幫助企業(yè)改變了IT資源不集中的狀況,同時,數(shù)據(jù)中心內(nèi)存儲的大量數(shù)據(jù)信息,也成為了黑客的攻擊目標。盡管企業(yè)上云能夠帶來很多便利,但云計算基礎(chǔ)架構(gòu)與業(yè)務(wù)云化之后,企業(yè)將會面臨新的安全威脅。

普普安全資訊一周概覽(0212-0218)

普普安全資訊一周概覽(0212-0218)