普普安全資訊一周概覽(0121-0127)

作者:

時(shí)間:
2023-01-27
01
2023年的數(shù)據(jù)中心的安全風(fēng)險(xiǎn)


如今的網(wǎng)絡(luò)安全形勢(shì)發(fā)展迅速,并且不斷出現(xiàn)新的威脅類(lèi)別,網(wǎng)絡(luò)攻擊者還在不斷學(xué)習(xí)和采用發(fā)起和隱藏網(wǎng)絡(luò)攻擊的新方法。本文揭示了2023年影響數(shù)據(jù)中心的主要安全風(fēng)險(xiǎn)。

1、網(wǎng)絡(luò)攻擊者避開(kāi)傳統(tǒng)的數(shù)據(jù)中心安全保護(hù)措施。

分析人士的普遍共識(shí)是,威脅行為者越來(lái)越善于規(guī)避傳統(tǒng)的安全保護(hù)措施。網(wǎng)絡(luò)犯罪分子將更具體地將目光投向多因素身份驗(yàn)證(MFA)和端點(diǎn)檢測(cè)和響應(yīng)(EDR)技術(shù)。

2、不斷增長(zhǎng)的數(shù)據(jù)中心合規(guī)性挑戰(zhàn)。新的法規(guī)遵循框架(如CPRA)已經(jīng)上線(xiàn),現(xiàn)有的框架(如PCIDSS)正在進(jìn)行全面檢查。掌握不斷變化的合規(guī)性規(guī)則,以及部署必要的專(zhuān)業(yè)技術(shù)來(lái)符合這些規(guī)則,并將其轉(zhuǎn)化為可以在數(shù)據(jù)中心內(nèi)部實(shí)現(xiàn)的安全控制。根據(jù)業(yè)務(wù)需要遵守的合規(guī)性要求而有所不同,但它們的范圍可以從設(shè)置特定的物理訪(fǎng)問(wèn)控制,到確?;A(chǔ)設(shè)施得到適當(dāng)?shù)膫浞?,再到?shí)現(xiàn)網(wǎng)絡(luò)級(jí)別的安全控制等。

3、勒索軟件事件,因?yàn)榫W(wǎng)絡(luò)攻擊者發(fā)起更復(fù)雜且有目的的攻擊,勒索軟件攻擊有更高的成功幾率,更難防范。

DIANPING
普普點(diǎn)評(píng)

目前的趨勢(shì)是網(wǎng)絡(luò)攻擊變得更加復(fù)雜,而能夠抵御網(wǎng)絡(luò)攻擊的網(wǎng)絡(luò)安全人員卻越來(lái)越少。不斷變化的合規(guī)性規(guī)則為現(xiàn)代數(shù)據(jù)中心安全性增加了另一層復(fù)雜性,并且針對(duì)運(yùn)營(yíng)技術(shù)的網(wǎng)絡(luò)攻擊也很普遍。當(dāng)網(wǎng)絡(luò)攻擊者無(wú)法通過(guò)數(shù)字手段侵入服務(wù)器或應(yīng)用程序時(shí),他們可能會(huì)攻擊空調(diào)系統(tǒng)、電源和其他關(guān)鍵設(shè)施,以破壞數(shù)據(jù)中心的運(yùn)行。




普普安全資訊一周概覽(0121-0127)



02
英國(guó)多所學(xué)校數(shù)據(jù)遭大規(guī)模泄露,教育行業(yè)成勒索軟件的主目標(biāo)

在 2022 年發(fā)生高校攻擊事件后,來(lái)自 14 所英國(guó)學(xué)校的數(shù)據(jù)被黑客在線(xiàn)泄露。泄露的文件包括學(xué)生的 SEN 信息、學(xué)生護(hù)照掃描件、員工工資表和合同細(xì)節(jié)。在被攻擊的學(xué)校拒絕支付贖金要求后,信息被泄露。

據(jù)報(bào),攻擊和泄露事件是由黑客組織 Vice Society 實(shí)施的,該組織針對(duì)英國(guó)和美國(guó)的教育機(jī)構(gòu)進(jìn)行了多次勒索攻擊。

2022 年 10 月,洛杉磯聯(lián)合學(xué)區(qū) (LAUSD)警告稱(chēng),Vice Society已開(kāi)始發(fā)布從該機(jī)構(gòu)竊取的數(shù)據(jù)。此前,LAUSD 宣布不會(huì)向勒索者付款。

在過(guò)去幾年中,教育行業(yè)一直是勒索軟件的主要目標(biāo)。Sophos 于 2022 年 7 月發(fā)布的一份報(bào)告發(fā)現(xiàn),56% 的低等教育機(jī)構(gòu)和 64% 的高等教育機(jī)構(gòu)在過(guò)去一年受到了勒索軟件的攻擊。為確保教育的連續(xù)性,尤其是在遠(yuǎn)程學(xué)習(xí)的背景下,政府需要投資教育部門(mén)的網(wǎng)絡(luò)安全,加強(qiáng)教育部門(mén)端點(diǎn)安全,以應(yīng)對(duì)勒索軟件威脅。

DIANPING
普普點(diǎn)評(píng)

由于缺乏網(wǎng)絡(luò)安全投資以及大量設(shè)備等因素,學(xué)校和大學(xué)已經(jīng)被網(wǎng)絡(luò)犯罪分子視為“軟目標(biāo)” ,敏感的個(gè)人和研究數(shù)據(jù)面臨風(fēng)險(xiǎn)。學(xué)校和大學(xué)系統(tǒng)中存儲(chǔ)了大量敏感數(shù)據(jù),教育部門(mén)是惡意網(wǎng)絡(luò)犯罪分子有利可圖的目標(biāo)。因此,勒索軟件攻擊是一個(gè)必然問(wèn)題,而不是偶然問(wèn)題,這就要求教育機(jī)構(gòu)要準(zhǔn)備好預(yù)防和應(yīng)對(duì)這些攻擊,否則他們就有文件被盜和泄露的風(fēng)險(xiǎn)。




普普安全資訊一周概覽(0121-0127)



03
巴爾干地區(qū)緊張局勢(shì)下,塞爾維亞政府機(jī)構(gòu)遭DDoS攻擊

塞爾維亞政府宣布其內(nèi)政部網(wǎng)站和 IT 基礎(chǔ)設(shè)施遭遇了幾次“大規(guī)模 ”分布式拒絕服務(wù)(DDoS)攻擊。

目前,巴爾干地區(qū)緊張局勢(shì)加劇,科索沃北部的塞族人與阿爾巴尼亞族當(dāng)局發(fā)生了暴力沖突??扑魑挚偫戆栙e·庫(kù)爾蒂曾指責(zé)外部勢(shì)力試圖煽動(dòng)族裔,制造緊張局勢(shì)。

值得一提的是,不同于以往網(wǎng)絡(luò)攻擊事件發(fā)生后,立刻會(huì)有黑客組織“站出來(lái)”為此負(fù)責(zé),但目前還沒(méi)任何黑客團(tuán)體站出來(lái)對(duì)塞爾維亞內(nèi)政部 DDoS 攻擊事件負(fù)責(zé)。眾所周知,DDoS 攻擊是短時(shí)間內(nèi)通過(guò)向目標(biāo)網(wǎng)站注入大量垃圾流量,使其無(wú)法訪(fǎng)問(wèn)。在俄烏沖突中,俄羅斯和烏克蘭雙方支持的黑客團(tuán)體之間,進(jìn)行了一系列的 DDoS 攻擊活動(dòng)。

DDoS 攻擊事件背后的政治環(huán)境。塞爾維亞領(lǐng)導(dǎo)人武契奇曾表示,北約領(lǐng)導(dǎo)的維和科索沃部隊(duì)(KFOR)拒絕允許其根據(jù)聯(lián)合國(guó)安理會(huì)決議賦予的權(quán)力,向該領(lǐng)土部署 1000 名軍事和警察人員以應(yīng)對(duì)最近的沖突。

DIANPING
普普點(diǎn)評(píng)

塞爾維亞首都貝爾格萊德在聲明中表示,政府安全專(zhuān)家和塞爾維亞電信公司(Telekom Srbija)的工作人員有能力對(duì)抗此次網(wǎng)絡(luò)攻擊,旨在使內(nèi)政部 IT 基礎(chǔ)設(shè)施癱瘓的五次大型 DDoS 攻擊目前已經(jīng)被“擊退”。此外,塞爾維亞政府補(bǔ)充強(qiáng)調(diào),強(qiáng)化的安全協(xié)議已經(jīng)啟動(dòng),雖然此舉可能會(huì)導(dǎo)致某些服務(wù)間歇性中斷,政府工作效率降低,但這一切都是為了保護(hù)內(nèi)政部的數(shù)據(jù)安全。




普普安全資訊一周概覽(0121-0127)



04
Web安全之CSRF及防護(hù)方法

基于瀏覽器的工作機(jī)制原因,形成一種WEB攻擊形式,即CSRF攻擊;是一種對(duì)網(wǎng)站的惡意利用,是挾制用戶(hù)在當(dāng)前已登錄的Web應(yīng)用程序上執(zhí)行非本意的操作的攻擊方法。

CSRF簡(jiǎn)稱(chēng):跨站請(qǐng)求偽造,跟XSS攻擊一樣,存在巨大的危害性。在CSRF的攻擊場(chǎng)景中,攻擊者會(huì)偽造一個(gè)請(qǐng)求然后欺騙目標(biāo)用戶(hù)進(jìn)行點(diǎn)擊,用戶(hù)一旦點(diǎn)擊了這個(gè)請(qǐng)求,整個(gè)攻擊就完成了,所以CSRF攻擊也稱(chēng)為one-click attack。攻擊者盜用了用戶(hù)的身份,以用戶(hù)的名義發(fā)送惡意請(qǐng)求,對(duì)服務(wù)器來(lái)說(shuō)這個(gè)請(qǐng)求是完全合法的,但是卻完成了攻擊者期望的操作,比如以用戶(hù)的名義發(fā)送郵件,甚至于購(gòu)買(mǎi)商品、虛擬貨幣轉(zhuǎn)賬等。

CSRF防護(hù)方法包括驗(yàn)證HTTP請(qǐng)求頭、Token機(jī)制、在請(qǐng)求頭中自定義屬性并驗(yàn)證、設(shè)置Cookie的SameSite屬性。CSRF攻擊就是利用了cookie中攜帶的用戶(hù)信息,想要防護(hù)Cookie不被第三方網(wǎng)站利用,可以通過(guò)設(shè)置Samesite屬性。SameSite最初設(shè)計(jì)的目的就是防CSRF,SameSite有三個(gè)值Strict/Lax/None。

DIANPING
普普點(diǎn)評(píng)

對(duì)于防范CSRF攻擊,我們可以針對(duì)實(shí)際情況將一些關(guān)鍵的Cookie設(shè)置為Strict或者Lax模式,這樣在跨站點(diǎn)請(qǐng)求時(shí),這些關(guān)鍵的Cookie就不會(huì)被發(fā)送到服務(wù)器,從而使得黑客的CSRF攻擊失效。除了技術(shù)層面的防護(hù)方法,常用的是驗(yàn)證HTTP請(qǐng)求頭和Token機(jī)制;使用WAF(Web應(yīng)用防火墻,如免費(fèi)的ShareWAF)可以抵御絕大多數(shù)的攻擊,極大的提高網(wǎng)站安全性。




普普安全資訊一周概覽(0121-0127)



05
構(gòu)建主動(dòng)安全防護(hù)能力的關(guān)鍵技術(shù)—安全態(tài)勢(shì)管理(SPM)

當(dāng)前,網(wǎng)絡(luò)安全形勢(shì)嚴(yán)峻,在企業(yè)安全防護(hù)更強(qiáng)調(diào)攻防對(duì)抗和有效性的背景下,構(gòu)建主動(dòng)安全防護(hù)能力體系,是有效應(yīng)對(duì)日益復(fù)雜的網(wǎng)絡(luò)攻擊手段,保障數(shù)字化轉(zhuǎn)型成功的必要路徑。

安全態(tài)勢(shì)管理(SPM) 有多種類(lèi)型,包括了專(zhuān)注于云基礎(chǔ)設(shè)施(包括IaaS、SaaS和PaaS)的云安全態(tài)勢(shì)管理,以及識(shí)別敏感數(shù)據(jù)并確保其安全的數(shù)據(jù)安全態(tài)勢(shì)管理。

在2023年,最重要的SPM技術(shù)是SaaS安全態(tài)勢(shì)管理(SSPM),用于檢測(cè)和修復(fù)SaaS應(yīng)用程序中的錯(cuò)誤配置和其他問(wèn)題。SSPM是云訪(fǎng)問(wèn)安全代理(CASB)技術(shù)發(fā)展以來(lái)SaaS安全領(lǐng)域最重要的創(chuàng)新之一。

云安全態(tài)勢(shì)管理(CSPM)是SPM一個(gè)重要的細(xì)分應(yīng)用,旨在識(shí)別云中的錯(cuò)誤配置問(wèn)題和合規(guī)風(fēng)險(xiǎn)。CSPM解決方案的一個(gè)重要目標(biāo)是持續(xù)監(jiān)控云基礎(chǔ)設(shè)施,以發(fā)現(xiàn)安全策略執(zhí)行方面的漏洞。

DIANPING
普普點(diǎn)評(píng)

被動(dòng)式的響應(yīng)安全事件,往往會(huì)耗費(fèi)安全人員大量精力,同時(shí)又難以避免對(duì)企業(yè)財(cái)產(chǎn)和業(yè)務(wù)造成損失。而安全態(tài)勢(shì)管理方案則可以自動(dòng)識(shí)別和修復(fù)整個(gè)企業(yè)數(shù)字化環(huán)境中的風(fēng)險(xiǎn),幫助企業(yè)安全管理者進(jìn)行風(fēng)險(xiǎn)可視化、自動(dòng)化事件響應(yīng)和合規(guī)性監(jiān)控。在2023年,需要重點(diǎn)關(guān)注并積極嘗試較為成熟的主動(dòng)安全防護(hù)技術(shù)/產(chǎn)品,推進(jìn)組織新一代安全能力體系構(gòu)建。




普普安全資訊一周概覽(0121-0127)



06
構(gòu)建主動(dòng)安全防護(hù)能力的關(guān)鍵技術(shù)—攻擊面管理(ASM)

當(dāng)前,網(wǎng)絡(luò)安全形勢(shì)嚴(yán)峻,在企業(yè)安全防護(hù)更強(qiáng)調(diào)攻防對(duì)抗和有效性的背景下,構(gòu)建主動(dòng)安全防護(hù)能力體系,是有效應(yīng)對(duì)日益復(fù)雜的網(wǎng)絡(luò)攻擊手段,保障數(shù)字化轉(zhuǎn)型成功的必要路徑。

攻擊面管理(ASM)技術(shù)要求持續(xù)發(fā)現(xiàn)和監(jiān)控企業(yè)所有的數(shù)字化資產(chǎn),從應(yīng)用程序、數(shù)字證書(shū)、代碼到移動(dòng)和物聯(lián)網(wǎng)設(shè)備,以保持已知和未知資產(chǎn)的可見(jiàn)性。據(jù)最新調(diào)查數(shù)據(jù)顯示,有52%的受訪(fǎng)企業(yè)組織管理著超過(guò)10,000個(gè)數(shù)字資產(chǎn),ASM將是一項(xiàng)重要且不斷增長(zhǎng)的技術(shù)。

安全專(zhuān)家認(rèn)為,ASM是安全分析技術(shù)的進(jìn)步,是傳統(tǒng)威脅檢測(cè)與響應(yīng)類(lèi)技術(shù)方案的能力延伸。ASM利用了威脅檢測(cè)響應(yīng)中惡意活動(dòng)意識(shí)增強(qiáng)的趨勢(shì),并將其進(jìn)一步擴(kuò)展。它回答了很多問(wèn)題,比如企業(yè)哪里可能成為目標(biāo),哪里缺乏可見(jiàn)性,組織的攻擊面整體是什么樣的?在哪些方面缺乏足夠的監(jiān)控措施;企業(yè)是否真正具備了應(yīng)有的防御機(jī)制和能力。

DIANPING
普普點(diǎn)評(píng)

根據(jù)Gartner的描述,ASM技術(shù)需要超越傳統(tǒng)資產(chǎn)的識(shí)別范圍(如端點(diǎn)、服務(wù)器、設(shè)備或應(yīng)用程序等),通過(guò)將發(fā)現(xiàn)的資源整合到資源庫(kù),使用戶(hù)可以了解到傳統(tǒng)威脅檢測(cè)工具的覆蓋缺口。ASM還可以通過(guò)API集成提供自動(dòng)化的數(shù)據(jù)收集,取代傳統(tǒng)手動(dòng)和低效的資產(chǎn)收集分析模式,幫助安全團(tuán)隊(duì)實(shí)現(xiàn)對(duì)整體環(huán)境的安全控制、安全態(tài)勢(shì)感知和資產(chǎn)風(fēng)險(xiǎn)修復(fù),從而主動(dòng)改善企業(yè)的數(shù)字化安全狀況。




普普安全資訊一周概覽(0121-0127)



07
構(gòu)建主動(dòng)安全防護(hù)能力的關(guān)鍵技術(shù)—入侵和攻擊模擬(BAS)

當(dāng)前,網(wǎng)絡(luò)安全形勢(shì)嚴(yán)峻,在企業(yè)安全防護(hù)更強(qiáng)調(diào)攻防對(duì)抗和有效性的背景下,構(gòu)建主動(dòng)安全防護(hù)能力體系,是有效應(yīng)對(duì)日益復(fù)雜的網(wǎng)絡(luò)攻擊手段,保障數(shù)字化轉(zhuǎn)型成功的必要路徑。

入侵和攻擊模擬(BAS)是由Gartner首先提出的概念,并將之歸到了新興技術(shù)行列。正如 Gartner 描述的,此類(lèi)工具“可供安全團(tuán)隊(duì)以一致的方式持續(xù)測(cè)試安全控制措施,貫穿從預(yù)防到檢測(cè)乃至響應(yīng)的整個(gè)過(guò)程”。

入侵和攻擊模擬(BAS)工具能夠高效一致地衡量現(xiàn)有安全檢測(cè)功能及運(yùn)營(yíng)的有效性。模擬結(jié)果可幫助指導(dǎo)產(chǎn)品投資及配置決策以堵上安全漏洞,還有助于補(bǔ)全企業(yè)領(lǐng)導(dǎo)的網(wǎng)絡(luò)安全知識(shí)空缺,比如:攻擊者能悄悄繞過(guò)我們的防御嗎?我們適用的風(fēng)險(xiǎn)是什么?這些風(fēng)險(xiǎn)對(duì)我們能造成什么樣的影響?這可以使安全人員處于影響短期投資決策、參與長(zhǎng)期安全規(guī)劃的位置上,還能從商業(yè)角度總結(jié)出安全運(yùn)營(yíng)上的改善。

DIANPING
普普點(diǎn)評(píng)

BAS與傳統(tǒng)的滲透測(cè)試和漏洞管理工具有根本上的不同。后兩種方法都需要大量的人工指導(dǎo),實(shí)際上會(huì)為安全團(tuán)隊(duì)制造更多的工作和帶來(lái)更多誤報(bào)。相比之下,BAS完全自動(dòng)化,并全面模擬數(shù)千種攻擊,充分運(yùn)營(yíng)好所有的安全產(chǎn)品和工具,幫助企業(yè)識(shí)別各種類(lèi)型的安全漏洞,并以合理的成本解決企業(yè)面臨的安全問(wèn)題。