普普每日安全資訊一周概覽(12.19—12.25)

作者:

時(shí)間:
2020-12-26

2020.12.19? 周六



01
共享充電寶可能會(huì )實(shí)時(shí)監聽(tīng),專(zhuān)家提醒這個(gè)操作要謹慎
據國內媒體報道,出門(mén)在外,使用共享充電寶進(jìn)行充電時(shí),也要小心謹慎,因為有些共享充電寶暗藏隱私泄露的風(fēng)險。
那么充電寶是如何竊取個(gè)人隱私的呢?技術(shù)人員做了一次實(shí)驗,先拍攝4張照片存在手機相冊中,然后使用一條不帶數據傳輸功能的充電線(xiàn)連接充電寶,后臺未能讀取手機信息。
但是,如果使用一根能夠傳輸手機數據的充電線(xiàn),充電寶就能將其內部的惡意程序上傳至手機,后臺立馬就能顯示出剛剛拍攝的4張照片。
斷開(kāi)連接后,攻擊者依然能控制這部手機。使用攻擊程序,通訊錄能被實(shí)時(shí)讀取,在鎖屏時(shí),前后攝像頭能被輕易調用,甚至還能實(shí)時(shí)監聽(tīng)。
技術(shù)人員介紹,取走充電寶中的幾塊電池,換上一塊芯片,就能將各種惡意程序植入用戶(hù)手機。
普普每日安全資訊一周概覽(12.19—12.25)

普普評述

普普每日安全資訊一周概覽(12.19—12.25)

使用外來(lái)充電寶,若手機上出現需要用戶(hù)授權、打開(kāi)調試模式等提醒,務(wù)必謹慎。



2020.12.20? 周日


02
勒索軟件:改寫(xiě)網(wǎng)安格局,進(jìn)入突變元年
21世紀初以來(lái),勒索軟件一直是大型企業(yè)、中小商家及個(gè)人的突出網(wǎng)絡(luò )威脅。
勒索軟件是一種惡意軟件,它能夠獲取文件或系統的控制權限,并阻止用戶(hù)控制這些文件或系統。惡意軟件和病毒軟件與生物疾病有相似之處。正是由于這些相似性,仿照流行病學(xué)界對有害病原體的載體使用的術(shù)語(yǔ),我們稱(chēng)入口點(diǎn)為''載體''。從技術(shù)上講,攻擊或感染載體是勒索軟件獲得控制權的手段。
勒索軟件的載體類(lèi)型包括:電子郵件、遠程桌面協(xié)議(RDP)、網(wǎng)站木馬傳播、社交網(wǎng)絡(luò )、彈窗等。勒索軟件的攻擊載體一直在變化,但總體保持大致相同,就像釣魚(yú)郵件攻擊,不斷利用曝出的各種技術(shù)漏洞,以及人的漏洞。
勒索軟件的最新攻擊趨勢:雙重勒索成為新常態(tài)、IoT成為勒索軟件攻擊新突破口、關(guān)鍵基礎設施成勒索軟件攻擊的重要目標、勒索攻擊更加定向、復雜。一夜之間激增的遠程辦公給網(wǎng)絡(luò )犯罪分子提供了有吸引力的新攻擊目標。數以百萬(wàn)計的人在家工作,感染勒索軟件的機會(huì )比以往任何時(shí)候都高。
普普每日安全資訊一周概覽(12.19—12.25)

普普評述

普普每日安全資訊一周概覽(12.19—12.25)

勒索軟件在2020年最瘋狂,攻擊規模和頻率以驚人的速度增長(cháng),同時(shí)也是給企業(yè)造成損失最大的攻擊手段,甚至造成全球首例勒索軟件致死事故。國際刑警組織也宣稱(chēng),勒索軟件構成網(wǎng)絡(luò )安全的最大威脅因素。



2020.12.21? 周一


03
疫情環(huán)境下的網(wǎng)絡(luò )安全趨勢和解決方案
在過(guò)去的幾個(gè)月中,FortiGuard實(shí)驗室一直在積極跟蹤與疫情相關(guān)的全球威脅問(wèn)題和攻擊活動(dòng),包括信息竊取者,特洛伊木馬,勒索軟件以及社會(huì )工程誘餌的有效性。
這揭示了以下最新趨勢:
利用情感謀取經(jīng)濟利益——網(wǎng)絡(luò )犯罪分子正在最大限度地利用這次疫情的恐慌心理;
魚(yú)叉式網(wǎng)絡(luò )釣魚(yú)攻擊也在增加——在醫療供應短缺的情況下,針對性較強的攻擊活動(dòng)也在增加;
遠程工作引入了新的攻擊媒介——為了確保業(yè)務(wù)連續性,諸如安全協(xié)議之類(lèi)的東西可能會(huì )被忽略或擱置。
因為個(gè)人設備甚至無(wú)需直接受到攻擊即可被破壞。它們還連接到不安全的家庭網(wǎng)絡(luò ),這使攻擊者可以利用其他攻擊媒介,包括利用連接到家庭網(wǎng)絡(luò )的易受攻擊的物聯(lián)網(wǎng)設備或游戲機。
普普每日安全資訊一周概覽(12.19—12.25)

普普評述

普普每日安全資訊一周概覽(12.19—12.25)

在當前日益嚴峻的威脅形勢下,我們不能放松警惕。以下是您組織中需要加強的三個(gè)方面:加強網(wǎng)絡(luò )安全衛生、更新關(guān)鍵安全技術(shù)、用戶(hù)培訓。

由于當前的疫情環(huán)境,網(wǎng)絡(luò )犯罪迅速過(guò)度到遠程辦公,再加上網(wǎng)絡(luò )犯罪分子利用恐懼,不確定性和懷疑的傾向,安全研究人員觀(guān)察到了網(wǎng)絡(luò )安全問(wèn)題激增。網(wǎng)絡(luò )罪犯分子很快就會(huì )利用新的手段和設備,接入新手遠程工作者、易受攻擊的家用計算機和網(wǎng)絡(luò ),以及過(guò)度勞累的IT團隊。



2020.12.22? 周二


?
04
美國防部2021年全面推行零信任架構
零信任的概念對國防部而言已經(jīng)不是新鮮事物。對于某些內部敏感信息,他們已經(jīng)采取類(lèi)似的分區配置,但目前大部分業(yè)務(wù)網(wǎng)絡(luò )架構仍然依靠強密碼保護等傳統的外圍防御策略。
國防部領(lǐng)導層提到,此次在全軍范圍內推行的零信任架構將與其他以往計劃有所不同。進(jìn)一步解釋稱(chēng),這代表著(zhù)國防部網(wǎng)絡(luò )架構的全面轉變,事實(shí)上網(wǎng)絡(luò )架構也必須隨時(shí)間推移而不斷變化。
由馬里蘭州創(chuàng )新與安全研究所(MISI)運營(yíng)的私營(yíng)網(wǎng)絡(luò )安全實(shí)驗室DreamPort一直在各級政府機構與私營(yíng)部門(mén)間的合作中發(fā)揮著(zhù)關(guān)鍵作用,在此次參考指南的制定過(guò)程中同樣助力頗多。該組織還在所在地馬里蘭州哥倫比亞市郊專(zhuān)門(mén)建立了零信任實(shí)驗室,著(zhù)力推動(dòng)與NSA、網(wǎng)絡(luò )司令部以及其他高度關(guān)注安全工作的政府機構間的合作。
普普每日安全資訊一周概覽(12.19—12.25)

普普評述

普普每日安全資訊一周概覽(12.19—12.25)

為美國國防機構及IT部門(mén)提供一份指導性藍圖,推動(dòng)網(wǎng)絡(luò )體系過(guò)渡到新的模式,嘗試對所有人采取相同的安全控制級別。換言之,新的安全體系將對所有用戶(hù)都實(shí)施“零信任”策略。



2020.12.23? ?周三


05
2021年數據加密的六大趨勢
數據安全領(lǐng)域,加密技術(shù)相對穩定,加密技術(shù)有望迎來(lái)重大變革,以下我們列出2021年值得關(guān)注的六大加密趨勢。
一、云計算將扮演更重要的角色,尤其是在金融服務(wù)領(lǐng)域:云計算服務(wù)商正在提供更強大、更靈活的安全服務(wù),以滿(mǎn)足那些希望保留密鑰控制權,同時(shí)避免被云服務(wù)商鎖定的企業(yè)的需求。
二、同態(tài)加密將成為“新常態(tài)”:面對隱私泄露和監管力度的雙重壓力,同態(tài)加密作為最優(yōu)秀的隱私增強技術(shù)之一,對數據進(jìn)行處理和操作時(shí)能夠保持加密狀態(tài),可用于保護存儲在云中或傳輸中的數據的安全。
三、BYOE將開(kāi)始流行:云安全(營(yíng)銷(xiāo))模型,也是企業(yè)云安全的一次重要變革,企業(yè)鞏固自己掌控和管理數據安全策略所需的控制級別。
四、加密+密鑰管理,對于縮短的證書(shū)生命周期至關(guān)重要:企業(yè)需要比以往更嚴格的加密和密鑰管理,跟蹤證書(shū)失效日期非常重要,自動(dòng)化將發(fā)揮重要作用。
五、加密技術(shù)對DevSecOps很重要,尤其是代碼簽名:DevOps團隊提供所需的集成安全性以及快速識別和排除故障區域的能力。
六、長(cháng)周期設備制造商將開(kāi)始擁抱加密敏捷性:敏捷的加密解決方案可能需要實(shí)現混合證書(shū),使用常規非對稱(chēng)加密進(jìn)行簽名的同時(shí),要具備足夠的靈活性,以便今后向抗量子加密平穩過(guò)渡,以應對量子計算的威脅。
普普每日安全資訊一周概覽(12.19—12.25)

普普評述

普普每日安全資訊一周概覽(12.19—12.25)

無(wú)論是云服務(wù)商還是采用BYOE和同態(tài)加密的企業(yè),亦或采用混合證書(shū)來(lái)實(shí)現加密敏捷性的DevSecOps團隊,都需要注意下亮點(diǎn):加密和密鑰管理二者缺一不可;較短的證書(shū)生命周期意味著(zhù)企業(yè)需要比以往更加關(guān)注密鑰管理。



2020.12.24? 周四


06
AMNESIA33:物聯(lián)網(wǎng)打開(kāi)潘多拉盒子
Forescout的研究人員估計,目前發(fā)現的數百萬(wàn)個(gè)消費級和工業(yè)級設備受到他們發(fā)現的33個(gè)安全漏洞(其中四個(gè)是高危漏洞)的影響,幾乎你能想到的所有聯(lián)網(wǎng)/物聯(lián)網(wǎng)設備都有可能中招:包括智能手機、游戲機、傳感器、片上系統(SOC)板、HVAC系統、打印機、路由器、交換機、IP攝像機、自助結賬亭、RFID資產(chǎn)跟蹤器、證章讀取器、不間斷電源和各種工業(yè)設備。
Bug駐留在四個(gè)開(kāi)源TCP/IP堆棧中,漏洞將使攻擊者可以實(shí)施廣泛的攻擊。例如:遠程代碼執行(RCE)以控制目標設備;拒絕服務(wù)(DoS)會(huì )削弱功能并影響業(yè)務(wù)運營(yíng);信息泄漏(infoleak)以獲取潛在的敏感信息;DNS緩存中毒攻擊,用于將設備指向惡意網(wǎng)站。
在某些情況下(例如智能手機或網(wǎng)絡(luò )設備)設備自帶無(wú)線(xiàn)更新機制,漏洞的修補可能很容易,但是許多其他易受攻擊的設備甚至都沒(méi)有提供更新固件的功能,這意味著(zhù)某些設備很可能在剩余的產(chǎn)品生命周期內仍然很脆弱。公司可能需要替換設備,或采取對策以防御利用漏洞的攻擊。
普普每日安全資訊一周概覽(12.19—12.25)

普普評述

普普每日安全資訊一周概覽(12.19—12.25)

檢測漏洞本身也是一項艱巨的工作,因為當今許多設備都未附帶軟件物料清單,很多公司甚至都不知道他們正在運行的系統是否使用了四個(gè)TCP/IP堆棧中的一個(gè)。智能設備和物聯(lián)網(wǎng)的生態(tài)系統仍然是一團亂麻,并且很可能在未來(lái)幾年仍將是一場(chǎng)安全災難。



2020.12.25??周五


07
物聯(lián)網(wǎng)安全:信任與信任管理
信任是信息安全的基石,是交互雙方進(jìn)行身份認證的基礎。信任涉及假設、期望和行為。信任是與風(fēng)險相聯(lián)系的,并且信任關(guān)系的建立不可能總是全自動(dòng)的,這意味著(zhù)信任的定量測量是比較困難的,但信任可以通過(guò)級別進(jìn)行度量和使用,以決定身份和訪(fǎng)問(wèn)控制級別。
信任通常分為基于身份的信任(IdentityTrust)和基于行為的信任(BehaviorTrust)兩類(lèi)?;谏矸莸男湃尾捎渺o態(tài)的控制機制,即在用戶(hù)對目標對象實(shí)施訪(fǎng)問(wèn)前就對其訪(fǎng)問(wèn)權限進(jìn)行了限制?;谛袨榈男湃瓮ㄟ^(guò)實(shí)體的行為歷史記錄和當前行為的特征來(lái)動(dòng)態(tài)判斷目標實(shí)體的可信任度?;谛袨榈男湃伟ㄖ苯有湃危―irectTrust)和反饋信任(IndirectTrust)。反饋信任又可稱(chēng)為推薦信任、間接信任或者聲譽(yù)(Reputation)。
信任的屬性包括信任的動(dòng)態(tài)性、不對稱(chēng)性、傳遞性和衰減性,為解決互聯(lián)網(wǎng)上網(wǎng)絡(luò )服務(wù)的安全問(wèn)題,提出了信任管理(TrustManagement)的概念,并首次將信任管理機制引入分布式系統之中。隨著(zhù)以互聯(lián)網(wǎng)為基礎的各種大規模開(kāi)放應用系統(如網(wǎng)格、普適計算、P2P、Adhoc、Web服務(wù)、Cloud、物聯(lián)網(wǎng)等)相繼出現并被應用,信任關(guān)系、信任模型和信任管理的研究逐漸成為了信息安全領(lǐng)域的研究熱點(diǎn)。
普普每日安全資訊一周概覽(12.19—12.25)

普普評述

普普每日安全資訊一周概覽(12.19—12.25)

信任管理系統的核心內容是,用于描述安全策略和安全憑證的安全策略描述語(yǔ)言和用于對請求、安全憑證和安全策略進(jìn)行一致性證明-驗證的信任管理引擎。