普普安全資訊一周概覽(0730-0805)

作者:

時(shí)間:
2022-08-05
01

安全云架構(gòu)有哪些關(guān)鍵步驟?

配置錯(cuò)誤的興起始于2018年,主要是由沒有適當(dāng)訪問控制權(quán)力的云數(shù)據(jù)存儲(chǔ)實(shí)現(xiàn)驅(qū)動(dòng)的……盡管主要云計(jì)算提供商努力使默認(rèn)配置更安全,但這些錯(cuò)誤仍然存在。

云計(jì)算網(wǎng)絡(luò)攻擊并不像人們想像的那樣驚心動(dòng)魄,現(xiàn)實(shí)生活中的劇本更加平淡無奇。網(wǎng)絡(luò)攻擊者部署自動(dòng)化技術(shù)來掃描互聯(lián)網(wǎng)以尋找可利用的漏洞。他們得到的是一個(gè)可供選擇的目標(biāo)虛擬“購物清單”,一旦進(jìn)入云計(jì)算環(huán)境,他們就會(huì)利用其架構(gòu)上的弱點(diǎn)來查找敏感數(shù)據(jù),例如個(gè)人身份信息(PII)可以在幾分鐘內(nèi)提取出來,通常是從對(duì)象存儲(chǔ)服務(wù)或數(shù)據(jù)庫快照。

網(wǎng)絡(luò)攻擊者不會(huì)遍歷安全團(tuán)隊(duì)使用傳統(tǒng)入侵檢測(cè)和預(yù)防解決方案和流程監(jiān)控的傳統(tǒng)網(wǎng)絡(luò)。企業(yè)正試圖用以往的數(shù)據(jù)中心安全技術(shù)挫敗當(dāng)今的云計(jì)算攻擊者,并且對(duì)云計(jì)算威脅形勢(shì)沒有完全了解。

普普點(diǎn)評(píng)

讓企業(yè)的安全團(tuán)隊(duì)了解云計(jì)算應(yīng)用程序的工作原理,以幫助確保云計(jì)算基礎(chǔ)設(shè)施支持應(yīng)用程序而不會(huì)引入不必要的風(fēng)險(xiǎn)。他們還需要知道如何利用策略即代碼(PaC)檢查環(huán)境中是否存在更深層次的多資源漏洞,并幫助指導(dǎo)開發(fā)人員設(shè)計(jì)和構(gòu)建本質(zhì)上安全的環(huán)境。


02

物聯(lián)網(wǎng)碎片化帶來了哪些挑戰(zhàn)?

隨著全球物聯(lián)網(wǎng)設(shè)備的數(shù)量遠(yuǎn)遠(yuǎn)超過 200 億,很明顯,該行業(yè)的受歡迎程度繼續(xù)增長(zhǎng)。將設(shè)備連接到互聯(lián)網(wǎng)的 能力允許遠(yuǎn)程操作和與其他設(shè)備合作。如果物聯(lián)網(wǎng)和人工智能技術(shù)繼續(xù)發(fā)展,用不了多久就會(huì)出現(xiàn)第一個(gè)真正的智能家居,即家中的設(shè)備由人工智能管家智能控制,可以預(yù)測(cè)居住者的需求,節(jié)約能源,提高整體效率。

但是,盡管物聯(lián)網(wǎng)技術(shù)帶來了許多優(yōu)勢(shì),但它們?nèi)匀淮嬖谠S多問題。其中之一是早期設(shè)備缺乏安全措施;第一代物聯(lián)網(wǎng)設(shè)備問世之際,物聯(lián)網(wǎng)設(shè)備易受攻擊的想法還沒有被構(gòu)想出來。當(dāng)時(shí)的許多工程師認(rèn)為, 單個(gè)物聯(lián)網(wǎng)設(shè)備對(duì)黑客來說會(huì)顯得無趣,而黑客會(huì)將他們的精力投入到攻擊服務(wù)器和主流 PC 上。?

然而,黑客很快就想到了將物聯(lián)網(wǎng)設(shè)備用作能夠執(zhí)行大規(guī)模拒絕服務(wù)攻擊的僵尸設(shè)備。黑客們還注意到,入侵物聯(lián)網(wǎng)設(shè)備也可以進(jìn)入可用于發(fā)起攻擊的本地網(wǎng)絡(luò),并且還認(rèn)識(shí)到物聯(lián)網(wǎng)設(shè)備可用于間諜活動(dòng)。

普普點(diǎn)評(píng)

物聯(lián)網(wǎng)設(shè)備遭受的另一個(gè)問題是:碎片化。簡(jiǎn)而言之,一家制造商的物聯(lián)網(wǎng)設(shè)備不太可能與另一家制造商的設(shè)備一起使用。因此,嘗試使用多個(gè)制造商創(chuàng)建智能家居幾乎是不可能的。缺乏所有物聯(lián)網(wǎng)設(shè)備都能理解的統(tǒng)一通信協(xié)議也意味著沒有一種軟件解決方案可以控制所有物聯(lián)網(wǎng)設(shè)備。

03

如何防范 Deepfake 攻擊和勒索

2021 年初,聯(lián)邦調(diào)查局發(fā)布了關(guān)于合成內(nèi)容(包括深度偽造)威脅日益增加的警告,將其描述為“生成或操縱的廣泛數(shù)字內(nèi)容,包括圖像、視頻、音頻和文本”。人們可以使用 Photoshop 等軟件創(chuàng)建最簡(jiǎn)單類型的合成內(nèi)容。Deepfake 攻擊者使用人工智能 (AI) 和機(jī)器學(xué)習(xí) (ML) 等技術(shù)變得越來越老練?,F(xiàn)在,這些可以創(chuàng)建逼真的圖像和視頻。

請(qǐng)記住,攻擊者從事網(wǎng)絡(luò)盜竊業(yè)務(wù)是為了賺錢。勒索軟件往往會(huì)成功。因此,他們將 deepfakes 用作新的勒索軟件工具是合乎邏輯的舉措。在共享勒索軟件的傳統(tǒng)方式中,攻擊者通過嵌入誘人的 deepfake 視頻的惡意軟件發(fā)起網(wǎng)絡(luò)釣魚攻擊。還有一種利用深度偽造的新方法。攻擊者可以向人們或企業(yè)展示各種非法(但虛假)的行為,如果圖像公開,這些行為可能會(huì)損害他們的聲譽(yù)。支付贖金,視頻將保持私密。

除了勒索軟件,威脅行為者可能會(huì)將數(shù)據(jù)和圖像武器化以散布謊言并欺騙員工、客戶和其他人,或勒索他們。

普普點(diǎn)評(píng)

攻擊者可能會(huì)同時(shí)或單獨(dú)使用所有這三種攻擊方式。請(qǐng)記住,騙局已經(jīng)存在很長(zhǎng)時(shí)間了。網(wǎng)絡(luò)釣魚攻擊已經(jīng)非常無情地試圖欺騙用戶。然而,防御者并沒有對(duì) AI/ML 的興起給予足夠的關(guān)注,以傳播錯(cuò)誤信息和勒索策略。如今,攻擊者甚至可以使用旨在從真實(shí)照片和視頻中創(chuàng)建色情圖片的應(yīng)用程序。

04

了解網(wǎng)絡(luò)犯罪的演變以預(yù)測(cè)其未來

對(duì)網(wǎng)絡(luò)犯罪從 1990 年代開始發(fā)展到今天的數(shù)十億美元的發(fā)展進(jìn)行分析有一個(gè)壓倒一切的主題:網(wǎng)絡(luò)犯罪作為一項(xiàng)業(yè)務(wù)的發(fā)展密切模仿合法業(yè)務(wù)的發(fā)展,并將繼續(xù)發(fā)展以提高其自身的投資回報(bào)率.

在早期,黑客攻擊更多的是為了個(gè)人聲望和榮譽(yù),而不是為了賺錢——但互聯(lián)網(wǎng)讓人們意識(shí)到互聯(lián)網(wǎng)上可以賺錢。網(wǎng)絡(luò)犯罪的第一階段大致符合 1990 年至 2006 年的時(shí)期。

從這個(gè)簡(jiǎn)單的認(rèn)識(shí)出發(fā),HP Wolf Security對(duì)網(wǎng)絡(luò)犯罪的演變的研究表明,一個(gè)地下業(yè)務(wù)遵循并模仿了地上業(yè)務(wù)生態(tài)系統(tǒng)——包括數(shù)字化轉(zhuǎn)型。高級(jí)惡意軟件分析師兼報(bào)告作者亞歷克斯·霍蘭德(Alex Holland)表示:“數(shù)字化轉(zhuǎn)型加劇了攻防鴻溝的雙方——例如,‘即服務(wù)’產(chǎn)品的日益普及表明了這一點(diǎn)。這已經(jīng)使惡意活動(dòng)民主化,以至于需要高水平知識(shí)和資源的復(fù)雜攻擊——曾經(jīng)是高級(jí)持續(xù)威脅 (APT) 組織的保留地——現(xiàn)在更容易被更廣泛的威脅行為者訪問?!?/span>?

普普點(diǎn)評(píng)

實(shí)際上,這些發(fā)展中的許多將結(jié)合起來確保網(wǎng)絡(luò)犯罪的威脅將繼續(xù)增長(zhǎng):“我們可能會(huì)看到攻擊者使用人工智能和機(jī)器學(xué)習(xí)技術(shù)來實(shí)現(xiàn)大規(guī)模的有針對(duì)性的魚叉式網(wǎng)絡(luò)釣魚攻擊。攻擊者可以部署攻擊性工具,利用 AI 功能為組織中的關(guān)鍵個(gè)人定制網(wǎng)絡(luò)釣魚電子郵件,并在獲得網(wǎng)絡(luò)初步立足點(diǎn)后加快他們的利用后活動(dòng)。

05

面對(duì)不斷增長(zhǎng)的攻擊面,金融業(yè)該何去何從?

近年來,零日漏洞的不斷加劇、勒索軟件的越發(fā)猖獗以及各種安全威脅的持續(xù)升級(jí),使網(wǎng)絡(luò)安全形勢(shì)變得愈加嚴(yán)峻。金融服務(wù)業(yè)作為前沿技術(shù)的最佳踐行者,面臨的網(wǎng)絡(luò)安全問題更加嚴(yán)重復(fù)雜。尤其在新冠疫情期間,移動(dòng)銀行應(yīng)用程序、移動(dòng)客戶服務(wù)以及其他數(shù)字工具迅速得到了普及。

根據(jù)思科 CISO 基準(zhǔn)研究數(shù)據(jù)表明,2020 年有17% 的公司每天都會(huì)收到 10萬 個(gè)或更多的安全警報(bào),這一趨勢(shì)在疫情發(fā)生后仍在繼續(xù)。數(shù)據(jù)還顯示,2021 年的常見漏洞和暴露數(shù)量創(chuàng)下歷史新高,達(dá)到20141個(gè),超過了 2020 年 18325 個(gè)的記錄。

據(jù)Adobe 2022 年 FIS 趨勢(shì)報(bào)告顯示,在接受調(diào)查的金融服務(wù)和保險(xiǎn)公司中,有超過一半的公司的移動(dòng)用戶在 2020 年上半年都出現(xiàn)了顯著增長(zhǎng)。此外,報(bào)告還發(fā)現(xiàn),有十分之四的財(cái)務(wù)高管表示數(shù)字和移動(dòng)渠道占其銷售額的一半以上,并預(yù)計(jì)這種趨勢(shì)將在未來幾年內(nèi)持續(xù)下去。

普普點(diǎn)評(píng)

隨著數(shù)字化進(jìn)程的加速,金融機(jī)構(gòu)迎來了更多的機(jī)會(huì)以更好地為客戶服務(wù),但同時(shí)也更容易受到安全威脅。每個(gè)新工具都會(huì)增加新的攻擊面,也會(huì)導(dǎo)致出現(xiàn)更多的潛在安全漏洞。金融業(yè)的數(shù)字化增長(zhǎng)并沒有因安全威脅的增加而停止。因此金融機(jī)構(gòu)的網(wǎng)絡(luò)安全團(tuán)隊(duì)需要一些有效方法來準(zhǔn)確、實(shí)時(shí)地了解其攻擊面,從而確定最容易被利用的漏洞并優(yōu)先對(duì)其進(jìn)行修補(bǔ)。

06

攻擊面管理為何成為 2022 主流?

近期,美國網(wǎng)絡(luò)安全審查委員會(huì)發(fā)布首份報(bào)告稱,2021年年底曝光的Log4j漏洞成為難以消除的漏洞,其影響將會(huì)持續(xù)十年之久。

Log4j事件表明,我們對(duì)暴露的IT資產(chǎn)知之甚少。據(jù)統(tǒng)計(jì),大型組織通常擁有數(shù)千、數(shù)萬或更多面向互聯(lián)網(wǎng)的資產(chǎn),包括網(wǎng)站、敏感數(shù)據(jù)、員工憑證、云工作負(fù)載、云存儲(chǔ)、源代碼、SSL 證書等。?

如果要問“攻擊者發(fā)現(xiàn)和利用Log4j等漏洞的頻率和速度帶來什么教訓(xùn)”,答案一定是應(yīng)在攻擊面管理和網(wǎng)絡(luò)保護(hù)工具部署等方面做出積極主動(dòng)的探索。

現(xiàn)代數(shù)字基礎(chǔ)設(shè)施加速發(fā)展,容器化、SaaS應(yīng)用以及混合工作環(huán)境急速增長(zhǎng),企業(yè)面臨的攻擊面也在隨之?dāng)U大。為降低攻擊風(fēng)險(xiǎn),許多機(jī)構(gòu)都在努力發(fā)現(xiàn)、分類和管理面向互聯(lián)網(wǎng)的資產(chǎn)。

普普點(diǎn)評(píng)

攻擊面管理指的是以攻擊者的角度對(duì)企業(yè)數(shù)字資產(chǎn)攻擊面進(jìn)行檢測(cè)發(fā)現(xiàn)、分析研判、情報(bào)預(yù)警、響應(yīng)處置和持續(xù)監(jiān)控的一種資產(chǎn)安全性管理方法,其最大特性就是以外部攻擊者視角來審視企業(yè)所有資產(chǎn)可被利用的攻擊可能性。

07

保護(hù)智慧城市安全始于網(wǎng)絡(luò)基礎(chǔ)設(shè)施

雖然智能城市的承諾為市政當(dāng)局和居民提供了“智能”服務(wù)的效率和價(jià)值,但它也帶來了網(wǎng)絡(luò)安全挑戰(zhàn)。每個(gè)連接的組件——從設(shè)備到網(wǎng)絡(luò)基礎(chǔ)設(shè)施——為黑客竊取數(shù)據(jù)、破壞系統(tǒng)和獲取他們不應(yīng)該擁有的信息提供了一個(gè)潛在的切入點(diǎn)。?

智慧城市生態(tài)系統(tǒng)可能充滿了數(shù)以萬計(jì)的物聯(lián)網(wǎng) (IoT) 設(shè)備,它們通過公共網(wǎng)絡(luò)基礎(chǔ)設(shè)施進(jìn)行通信。為了讓智慧城市取得成功,每個(gè)物聯(lián)網(wǎng)設(shè)備都必須是低功耗、性能卓越、能夠承受干擾并且可靠的。它們將在設(shè)備和連接它們的網(wǎng)絡(luò)基礎(chǔ)設(shè)施之間自由傳輸數(shù)據(jù)。

智慧城市設(shè)備制造商,從智能照明和供水系統(tǒng)到智能交通管理系統(tǒng)和交通系統(tǒng),在安全方面充當(dāng)?shù)谝坏婪谰€。每個(gè)設(shè)備可能具有許多協(xié)同工作的技術(shù),例如芯片組、傳感器、通信協(xié)議、固件和軟件。這些技術(shù)組件的構(gòu)建或采購必須考慮到安全性。

普普點(diǎn)評(píng)

當(dāng)前,以物聯(lián)網(wǎng)、云計(jì)算、人工智能以及5G等為代表智能技術(shù)繼續(xù)改變?nèi)藗兊纳罘绞揭约芭c周圍城市的互動(dòng)方式。雖然,利用人工智能和機(jī)器學(xué)習(xí)驅(qū)動(dòng)的創(chuàng)新,每一個(gè)互聯(lián)城市的全部?jī)r(jià)值仍在不斷發(fā)展,但是,網(wǎng)絡(luò)安全仍然是其最大的挑戰(zhàn)之一。