普普安全資訊一周概覽(0401-0407)

作者:

時(shí)間:
2023-04-07
微軟推出AI工具Security Copilot,幫助網(wǎng)絡(luò)安全人員應(yīng)對(duì)威脅

01


網(wǎng)絡(luò)安全人員往往要管理很多工具,和來自多個(gè)來源的海量數(shù)據(jù)。近日微軟宣布推出了Security Copilot,這款新工具旨在通過AI助手簡(jiǎn)化網(wǎng)絡(luò)安全人員的工作,幫助他們應(yīng)對(duì)安全威脅。

Copilot利用基于OpenAI的GPT-4最新技術(shù),讓網(wǎng)絡(luò)安全人員能夠就當(dāng)前影響環(huán)境的安全問題提問并獲得答案,甚至可以直接整合公司內(nèi)部的知識(shí),為團(tuán)隊(duì)提供有用的信息,從現(xiàn)有信息中進(jìn)行學(xué)習(xí),將當(dāng)前威脅活動(dòng)與其他工具數(shù)據(jù)相關(guān)聯(lián),提供最新的信息。

微軟在這款工具中結(jié)合了OpenAI大型語言模型的強(qiáng)大功能,使其能夠理解提出的問題,總結(jié)出由公司網(wǎng)絡(luò)安全團(tuán)隊(duì)和外部數(shù)據(jù)生成的威脅報(bào)告,以及微軟自己的威脅分析。微軟表示,模型是由100多個(gè)不同的數(shù)據(jù)源提供信息的,每天接收超過65萬億個(gè)威脅信號(hào)。

專業(yè)人員借助Security Copilot可以利用AI助手,使用自然語言深入研究數(shù)據(jù),從而快速調(diào)查重大事件。該工具可以利用其理解會(huì)話語言的能力來總結(jié)流程和事件,提供快速報(bào)告,使團(tuán)隊(duì)成員更快地跟上進(jìn)度。


普普點(diǎn)評(píng)

盡管這對(duì)于安全專業(yè)人員來說是一個(gè)非常有用的工具,但并非沒有缺陷。由于所有的Copilot工具都集成了GPT-4,該工具并不能“總是把所有事情都做對(duì)”。





網(wǎng)絡(luò)物理系統(tǒng)安全之CPS的特點(diǎn)

02

CPS體現(xiàn)了嵌入式系統(tǒng),實(shí)時(shí)系統(tǒng),(有線和無線)網(wǎng)絡(luò)和控制理論的幾個(gè)方面。

嵌入式系統(tǒng):CPS最一般的特征之一是,由于與物理世界直接接口的幾臺(tái)計(jì)算機(jī)(傳感器,控制器或執(zhí)行器)僅執(zhí)行很少有具體的行動(dòng),它們不需要經(jīng)典計(jì)算機(jī)(甚至移動(dòng)系統(tǒng))的一般計(jì)算能力,因此它們往往資源有限。

實(shí)時(shí)系統(tǒng):對(duì)于安全關(guān)鍵系統(tǒng),執(zhí)行計(jì)算的時(shí)間對(duì)于確保系統(tǒng)的正確性非常重要。

網(wǎng)絡(luò)協(xié)議:CPS的另一個(gè)特征是這些嵌入式系統(tǒng)相互通信,越來越多地通過IP兼容網(wǎng)絡(luò)進(jìn)行通信。雖然電力系統(tǒng)等許多關(guān)鍵基礎(chǔ)設(shè)施都使用串行通信來監(jiān)控其SCADA系統(tǒng)中的遠(yuǎn)程操作,但直到最近二十年,系統(tǒng)不同部分之間的信息交換已從串行通信遷移到IP兼容網(wǎng)絡(luò)。

無線:雖然大多數(shù)長途通信是通過有線網(wǎng)絡(luò)完成的,但無線網(wǎng)絡(luò)也是CPS的共同特征。嵌入式系統(tǒng)的無線通信在2000年代初以傳感器網(wǎng)絡(luò)的形式引起了研究界的極大關(guān)注。

控制:最后,大多數(shù)CPS觀察并嘗試控制物理世界中的變量。反饋控制系統(tǒng)已經(jīng)存在了兩個(gè)多世紀(jì),包括1788年推出的蒸汽調(diào)速器等技術(shù)??刂评碚撝械拇蠖鄶?shù)文獻(xiàn)都試圖用微分方程對(duì)物理過程進(jìn)行建模,然后設(shè)計(jì)一個(gè)滿足一組所需屬性(如穩(wěn)定性和效率)的控制器。


普普點(diǎn)評(píng)

在討論了CPS的這些一般特征之后,需要注意的是,CPS是多種多樣的,它們包括現(xiàn)代車輛、醫(yī)療設(shè)備和工業(yè)系統(tǒng),所有這些都具有不同的標(biāo)準(zhǔn)、要求、通信技術(shù)和時(shí)間限制。因此,我們與CPS相關(guān)的一般特征可能不適用于所有系統(tǒng)或?qū)崿F(xiàn)。





除了AIGC,2023年還要面臨哪些技術(shù)“雙刃劍”?

03

最近兩個(gè)月,人們驚嘆于AIGC的“超能力”,但也對(duì)AIGC帶來的潛在風(fēng)險(xiǎn)表示擔(dān)憂。ChatGPT之父Sam Altman在最近的一次訪談中表示,AI在為人類的聰明才智提供力量倍增器的同時(shí),也可能帶來技術(shù)濫用、事故等安全風(fēng)險(xiǎn)。他重點(diǎn)指出「惡意人員運(yùn)用AIGC技術(shù)編寫計(jì)算機(jī)代碼模型可以用于賦能網(wǎng)絡(luò)攻擊」。

除了AIGC,勒索攻擊的威脅有增無減、供應(yīng)鏈已成為企業(yè)數(shù)據(jù)保護(hù)的薄弱環(huán)節(jié)、反欺詐應(yīng)由體驗(yàn)優(yōu)先轉(zhuǎn)向動(dòng)態(tài)治理等安全問題的爆發(fā),無一不在給產(chǎn)業(yè)數(shù)字化提出更多的挑戰(zhàn)。

IT工業(yè)化的發(fā)展,企業(yè)的軟件和應(yīng)用開發(fā)效率得到極大提升,但對(duì)第三方軟件和開源組件的依賴也引入了更多安全風(fēng)險(xiǎn)。供應(yīng)鏈攻擊事件連年攀升,已經(jīng)成為世界性難題。作為連通架構(gòu)的產(chǎn)業(yè)互聯(lián)網(wǎng),其安全脆弱性前所未有,需要網(wǎng)絡(luò)安全產(chǎn)業(yè)齊心協(xié)力,打破技術(shù)、行業(yè)之間的壁壘,共同構(gòu)建產(chǎn)業(yè)互聯(lián)網(wǎng)安全生態(tài)。


普普點(diǎn)評(píng)

產(chǎn)業(yè)各界需攜手共識(shí),建立產(chǎn)業(yè)發(fā)展安全觀,建設(shè)涵蓋企業(yè)人才、技術(shù)、管理、生產(chǎn)、服務(wù)等全鏈路數(shù)字化協(xié)同的安全防御能力,打造貫穿企業(yè)生命周期的安全免疫體系。企業(yè)參與數(shù)字化時(shí)代的市場(chǎng)競(jìng)爭(zhēng)、謀求新階段的高質(zhì)量發(fā)展,企業(yè)家需要樹立正確的安全觀念,了解并研判產(chǎn)業(yè)安全發(fā)展趨勢(shì),在戰(zhàn)略上以一把手工程的視角看待安全,統(tǒng)籌發(fā)展與安全,既要基于安全謀發(fā)展,又要以發(fā)展促安全。





IT一般安全控制已經(jīng)過時(shí)了嗎?

04

在審計(jì)IT一般安全控制以確保信息系統(tǒng)在財(cái)務(wù)報(bào)告中的可靠性時(shí),數(shù)據(jù)的完整性是很重要的,但機(jī)密性是否同樣重要,則值得商榷。如果強(qiáng)大的身份驗(yàn)證控制已經(jīng)到位,并且對(duì)數(shù)據(jù)的直接訪問被嚴(yán)格限制在適當(dāng)?shù)膫€(gè)人身上,那么新的控制是否有必要?在這種情況下,未經(jīng)授權(quán)的個(gè)人獲取和修改數(shù)據(jù)的風(fēng)險(xiǎn)似乎很低。為了了解這些控制措施的相關(guān)性,需要仔細(xì)研究欺詐和缺乏數(shù)據(jù)完整性的風(fēng)險(xiǎn)。

在對(duì)信息系統(tǒng)執(zhí)行IT審計(jì)時(shí),關(guān)鍵的風(fēng)險(xiǎn)因素是數(shù)據(jù)不安全和欺詐。2016年,美國國家標(biāo)準(zhǔn)與技術(shù)研究所(NIST)描述了三種可能導(dǎo)致數(shù)據(jù)完整性問題的網(wǎng)絡(luò)攻擊場(chǎng)景:勒索軟件、數(shù)據(jù)破壞和數(shù)據(jù)操縱(內(nèi)部威脅)。最近的另一項(xiàng)研究描述了云中的多種攻擊,可能導(dǎo)致數(shù)據(jù)完整性問題。在連接到互聯(lián)網(wǎng)或云的信息系統(tǒng)中,攻擊面要大得多,因此,數(shù)據(jù)安全是一個(gè)重要問題。

云平臺(tái)使用的增加以及與之相關(guān)的風(fēng)險(xiǎn)因素的增加,反映在所實(shí)施的欺詐數(shù)量上。在最近的一項(xiàng)調(diào)查中,“近70%的遭遇欺詐的組織報(bào)告說,最具破壞性的事件來自外部攻擊或內(nèi)外的勾結(jié)?!蓖徽{(diào)查表明,網(wǎng)絡(luò)欺詐比資產(chǎn)挪用更常見。


普普點(diǎn)評(píng)

IT一般安全控制指南已經(jīng)過時(shí)了。隨著IT環(huán)境的不斷變化,對(duì)數(shù)據(jù)保護(hù)的要求也需要不斷發(fā)展。在測(cè)試IT一般安全控制時(shí),應(yīng)考慮對(duì)IT環(huán)境中的相關(guān)應(yīng)用、數(shù)據(jù)庫、操作系統(tǒng)和網(wǎng)絡(luò)組件進(jìn)行與安全評(píng)估、數(shù)據(jù)資產(chǎn)保護(hù)、安全數(shù)據(jù)傳輸、端點(diǎn)保護(hù)、漏洞監(jiān)測(cè)、安全監(jiān)測(cè)和安全處置有關(guān)的額外控制措施。





澳大利亞再發(fā)嚴(yán)重?cái)?shù)據(jù)泄露事件,涉及800萬用戶個(gè)人信息

05

三月初,澳大利亞非銀行貸款機(jī)構(gòu) Latitude Financial 遭遇了一次網(wǎng)絡(luò)攻擊,最新情況表明,其后果可能比先前預(yù)估的更加嚴(yán)重。該公司于 3 月 16 日首次透露了這起攻擊事件,稱有33萬客戶的數(shù)據(jù)遭到泄露,而最近,該公司承認(rèn)受影響的客戶數(shù)量可能達(dá)到了800萬之多。

美國廣播公司新聞報(bào)道稱,黑客已經(jīng)獲取了客戶的姓名、地址、出生日期、電話號(hào)碼、護(hù)照號(hào)碼,甚至還獲取了月度財(cái)務(wù)報(bào)表。此外,有大約570萬條數(shù)據(jù)來源于2013年之前的歷史數(shù)據(jù),最早可以追溯到2005年。該公司仍在評(píng)估可能涉及重復(fù)統(tǒng)計(jì)的數(shù)據(jù),并確定受影響客戶的真實(shí)數(shù)量。

有Latitude 客戶表示,由于個(gè)人可供識(shí)別身份的照片在攻擊中被盜,讓他們感到“受到了侵犯”。Latitude 表示,它將補(bǔ)償客戶更換任何被盜身份證件的費(fèi)用。外交和貿(mào)易部還證實(shí),受影響的護(hù)照仍然可以安全使用。


普普點(diǎn)評(píng)

外部入侵和人為因素是造成數(shù)據(jù)泄露的兩大主要原因。

為防止內(nèi)部員工的不當(dāng)操作泄露企業(yè)數(shù)據(jù),企業(yè)應(yīng)該定期為員工進(jìn)行相關(guān)培訓(xùn)來提高安全意識(shí)。而憑證竊取、漏洞利用等外部攻擊導(dǎo)致的數(shù)據(jù)泄露,往往歸因于企業(yè)安全防護(hù)建設(shè)不到位,系統(tǒng)存在讓攻擊者有機(jī)可乘的薄弱環(huán)節(jié),主動(dòng)防御才是抵擋攻擊者腳步的最佳選擇。





軍事基地航拍照片泄露,俄語論壇黑客售賣美國法警局?jǐn)?shù)百GB敏感數(shù)據(jù)

06

據(jù)外媒報(bào)道,一名黑客正在一個(gè)俄語論壇上出售據(jù)稱是從美國法警局(USMS)服務(wù)器中竊取的350 GB數(shù)據(jù)。USMS是美國司法部下屬的一個(gè)機(jī)構(gòu),通過執(zhí)行聯(lián)邦法院命令、確保證人及其家人的安全、查封非法所獲資產(chǎn)等職責(zé)為聯(lián)邦司法系統(tǒng)提供支持。

賣家在帖子中將該數(shù)據(jù)庫標(biāo)價(jià)15萬美元,據(jù)稱包含美國法警局文件服務(wù)器和工作電腦上從2021年到2023年2月的文件。這些文件包括具有精確坐標(biāo)的軍事基地和其他敏感區(qū)域的航拍視頻及照片、護(hù)照及身份證明的副本、以及有關(guān)竊聽和監(jiān)視公民的細(xì)節(jié),另外還有一些關(guān)于罪犯、黑幫頭目等的信息。賣家還聲稱,其中一些文件被標(biāo)記為機(jī)密和絕密,并且還包含證人保護(hù)計(jì)劃的細(xì)節(jié)。

除此之外,USMS還曾在2020年5月披露過另一起數(shù)據(jù)泄露事件,其曾于2019年12月泄露過超過38.7萬名前囚犯及現(xiàn)囚犯的詳細(xì)信息(包括姓名、出生日期、家庭地址和社會(huì)安全號(hào)碼)。


普普點(diǎn)評(píng)

可以看到,即使是政府機(jī)構(gòu)也無法避免遭受網(wǎng)絡(luò)攻擊的損失,現(xiàn)下敏感信息盜竊威脅日益嚴(yán)重,所有組織都有必要在其運(yùn)營中優(yōu)先考慮網(wǎng)絡(luò)安全措施,特別是那些涉及處理敏感信息的機(jī)構(gòu)。并且需要注意到,事前采取預(yù)防措施遠(yuǎn)比事后響應(yīng)更為妥當(dāng)。





調(diào)查:IRM計(jì)劃也擋不住內(nèi)部人造成數(shù)據(jù)泄露

07

Code42委托進(jìn)行的一項(xiàng)數(shù)據(jù)暴露調(diào)查研究表明,盡管已經(jīng)設(shè)置了專門的內(nèi)部人風(fēng)險(xiǎn)管理(IRM)計(jì)劃,大多數(shù)公司仍然難以阻止內(nèi)部人事件造成的數(shù)據(jù)丟失。

Gartner分析師Paul Furtado稱:“員工、合作伙伴和承包商都有不同級(jí)別的訪問權(quán)限,各具不同敏感性,但這些用戶的行為卻沒有得到有效監(jiān)控。IT安全開支基本上集中在防范外部威脅和保護(hù)邊界不受惡意侵入方面,未必會(huì)對(duì)受信內(nèi)部用戶施行相同等級(jí)的預(yù)防性數(shù)據(jù)保護(hù)控制措施,而且通常只在事后才會(huì)發(fā)現(xiàn)違規(guī)行為?!?/span>

Kubernetes實(shí)時(shí)監(jiān)控公司KSOC聯(lián)合創(chuàng)始人兼首席技術(shù)官Jimmy Mesta表示:“各個(gè)行業(yè)都普遍存在內(nèi)部人風(fēng)險(xiǎn),其潛在影響非常廣泛,從短暫宕機(jī)到數(shù)據(jù)完全丟失都有可能。企業(yè)內(nèi)部IT基礎(chǔ)設(shè)施的日漸復(fù)雜和云技術(shù)的采用,使得某些情況下幾乎不可能檢測(cè)內(nèi)部人風(fēng)險(xiǎn)。內(nèi)部人風(fēng)險(xiǎn)并非總是源自惡意,這可能會(huì)令檢測(cè)變得尤為困難?!?/span>


普普點(diǎn)評(píng)

通常情況下,內(nèi)部人(員工)只是想方便自己工作而已,只不過采取了未經(jīng)批準(zhǔn)的方式導(dǎo)出數(shù)據(jù),或?qū)⒅蚕斫o了錯(cuò)誤的人(無權(quán)查看數(shù)據(jù)的人)?,F(xiàn)有技術(shù)和計(jì)劃無法檢測(cè)和防止意外操作(相對(duì)于惡意或疏忽而言),事件進(jìn)一步增加。領(lǐng)導(dǎo)團(tuán)隊(duì)?wèi)?yīng)足夠重視內(nèi)部人員的安全保密意識(shí),提高他們的安全防護(hù)能力,積極推進(jìn)數(shù)據(jù)體系安全建設(shè)。