【普普每周安全資訊】【8月第四周】
北京鼎普

作者:

時間:
2019-08-28

谷歌爆出郵箱漏洞

2019.08.22?周四

清空Gmail你的購物記錄依然存在谷歌和其他科技公司最近因各種問題飽受批評,其中包括未能保護用戶數(shù)據(jù),未能披露其收集和使用的數(shù)據(jù),以及未能管理其所提供服務(wù)上發(fā)布的內(nèi)容。近日有用戶在谷歌的賬戶管理頁面上發(fā)現(xiàn)一些奇怪的東西,如果在交易的任何部分使用了Gmail或Gmail地址,谷歌會使用Gmail來保存一份清單,記錄你購買的一切東西。包括再清空Gmail之后,依舊可以看到我?guī)啄昵暗馁徫锸論?jù)。谷歌似乎是將這些個人信息緩存或保存在其他位置,而這個位置不只是與用戶Gmail賬戶綁定。

普普評述:

最大的隱患就是不能完全清除。



?普普安全資訊-2019/8/25

2019.08.23 周五

Facebook 的隱私和安全跟蹤記錄算不上好,尤其是考慮到其很多重大過失都是本可避免的情況下。但要守護數(shù)億用戶和巨大的平臺,要從該公司上億行代碼中找出每個漏洞真不是件容易的事。因此,F(xiàn)acebook 的工程師從四年前就開始構(gòu)建定制評估工具,不僅檢查已知漏洞類型,還可在 30 分鐘內(nèi)完全掃描整個代碼庫,幫助工程師在正式上線前找出各種調(diào)整、修改或主要新功能中的問題。

該平臺名為 Zoncolan,是一款靜態(tài)分析工具,能夠映射代碼庫行為與函數(shù),查找單個分支及程序不同路徑互操作中的潛在問題。這么大規(guī)模的代碼庫,純靠人工審查那無盡的代碼修改是不現(xiàn)實的。但靜態(tài)分析伸縮性絕佳,因為其能設(shè)置關(guān)于不良架構(gòu)或代碼行為的 “規(guī)則”,自動掃描系統(tǒng)以找出此類漏洞。堪稱一勞永逸。理想狀態(tài)下,該系統(tǒng)不僅標(biāo)記潛在問題,還能為工程師提供實時反饋,幫助他們學(xué)習(xí)如何消除隱患。

普普評述:

這是迄今為止已知暴露識別中最有價值的東西。



網(wǎng)絡(luò)安全發(fā)展(技術(shù)或行業(yè))趨勢是什么?

2019.08.24? ?周六

互聯(lián)網(wǎng)安全這個行業(yè)的發(fā)展其實與網(wǎng)絡(luò)IT基礎(chǔ)設(shè)施架構(gòu)是密切相關(guān)的,例如傳統(tǒng)PC需要終端殺毒軟件、防火墻之類的產(chǎn)品,移動端興起時候也有移動端安全的防護軟件。雖然云化、虛擬化肯定是一種趨勢,在新的IT架構(gòu)設(shè)置下,它也一定有一些新的安全需求,但是傳統(tǒng)的基礎(chǔ)防護方式還是需要的。對于大型企業(yè)而言,云的業(yè)務(wù)體量是非常大的,如果從建設(shè)和成本角度而言,傳統(tǒng)基礎(chǔ)防護方式的性價比還是很高的,而且本質(zhì)上來講,安全防護在產(chǎn)品形態(tài)上沒有質(zhì)的改變。所以,一方面新的IT架構(gòu)設(shè)置下會有新的機會,另一方面原來的傳統(tǒng)基礎(chǔ)產(chǎn)品,像防火墻之類的產(chǎn)品還是需要的。

另外,我覺得人工智能會對各個行業(yè)都有改變,它也是將改變網(wǎng)絡(luò)安全這個行業(yè)。其實人工智能這種方式就是把一些原來需要人去判斷的情況,通過信息和數(shù)據(jù)的積累和學(xué)習(xí),用機器來替代掉人的很多工作,他其實不是能夠真正的智能化,只是利用歷史經(jīng)驗數(shù)據(jù)判斷未來。

未來我相信人工智能的算法或模型都會共享的,只要有信息、有數(shù)據(jù),只要有場景、有需求,很多企業(yè)都可以做這個事。但是我還是會看這項技術(shù)能不能站在一個to B企業(yè)的角度,幫助實行一個完善的綜合性的企業(yè)解決方案。

普普評述:

人工智能針對to B這個行業(yè),實際上只是單一的技術(shù),雖然整個未來企業(yè)的發(fā)展走向受他影響,但是對于to B行業(yè)沒有更大顯現(xiàn),在to B行業(yè)的產(chǎn)品設(shè)計、方案設(shè)計、客戶拓展或者是綜合架構(gòu)設(shè)計可能還是需要人來設(shè)計。



普普安全資訊-2019/8/25

2019.08.25??周日

目前,世界各地的政府機構(gòu)都在加緊研究和關(guān)注各類惡意黑客組織,2019 年 2 月 19 日,美國網(wǎng)絡(luò)安全技術(shù)公司 CrowdStrike 發(fā)布了《2019年全球網(wǎng)絡(luò)安全威脅報告》,其中重點提到了一個關(guān)鍵概念——突破時間 (Breakout Time),是指入侵者發(fā)起攻擊到成功獲得系統(tǒng)權(quán)限的時間。該報告顯示,俄羅斯政府支持黑客組織的平均突破時間僅為 19 分鐘,也就是說,在漏洞被曝出之后,黑客最快在不到 20 分鐘的時間里就能夠?qū)嵤┬袆印?/p>

從初始妥協(xié)到在目標(biāo)網(wǎng)絡(luò)中橫向移動僅需要 19 分鐘!這無疑給首席安全官們施加了額外的壓力,以敦促他們實施有效的檢測和應(yīng)對措施。

鑒于網(wǎng)絡(luò)攻擊者正在不斷調(diào)整其攻擊技術(shù),以適應(yīng)不同目標(biāo)地區(qū)的相對脆弱性特征,這種壓力還會進一步加劇。

例如,惡意軟件、注冊表運行密鑰和命令行界面攻擊是印度太平洋地區(qū)最常見的攻擊媒介。相比之下,在針對拉丁美洲目標(biāo)的攻擊活動中,惡意軟件的使用率超過了 75%;而在針對 EMEA(歐洲、中東、非洲三地區(qū)的合稱)組織的攻擊活動中,超過一半都使用了腳本。

普普評述:

這種多樣性意味著根本不存在一種通用的解決方案,可以用來檢測和管理此類攻擊。而一旦目標(biāo)受到攻擊,人類攻擊者就可以采取控制措施來探索和定位需要獲取的數(shù)據(jù)等信息。



互聯(lián)網(wǎng)連接設(shè)備中存在的遠程可利用漏洞,使攻擊者有能力在廣泛的工業(yè)環(huán)境中造成破壞和損害。

2019.08.26??周一

安全研究人員在企業(yè)、醫(yī)院、工廠和其他組織所廣泛使用的樓宇綜合管理系統(tǒng) (BMS) 中發(fā)現(xiàn)了一個遠程可利用的關(guān)鍵漏洞,可被惡意行為者用于控制通風(fēng)、溫度、濕度、氣壓、照明以及安全門等裝置。據(jù)悉,該系統(tǒng)供應(yīng)商已經(jīng)發(fā)布了固件更新程序,但數(shù)百個這些系統(tǒng)仍然公開暴露在互聯(lián)網(wǎng)上,凸顯了遠程管理 ICS(工業(yè)控制系統(tǒng))設(shè)備的風(fēng)險。

樓宇綜合管理系統(tǒng) (BMS) 立足于各個維護建筑運行的自動控制系統(tǒng),集成它們的信息,為建筑的管理、運營提供服務(wù)。同時它還能提供有限的硬件系統(tǒng)控制層功能,為集成系統(tǒng)的集中監(jiān)控、值班提供必要的服務(wù)。其目標(biāo)是要對大廈內(nèi)所有建筑設(shè)備采用現(xiàn)代化技術(shù)進行全面有效的監(jiān)控和管理,確保大廈內(nèi)所有設(shè)備處于高效、節(jié)能、最佳運行狀態(tài),提供一個安全、舒適、快捷的工作環(huán)境。

普普評述:

設(shè)備可以通過互聯(lián)網(wǎng)進行攻擊并且這種控制系統(tǒng)暴露在遠程管理中并不罕見。



微軟警告用戶,應(yīng)立即更新 Windows 10 操作系統(tǒng),以免受關(guān)鍵漏洞危害。

2019.08.27??周二

該公司表示,未受保護的服務(wù)器可在網(wǎng)絡(luò)上自發(fā)傳播病毒和惡意軟件,無需用戶授意。開啟自動更新功能的 Windows 10 設(shè)備已受到保護。

受影響 Windows 版本包括 Windows 7 SP1、Windows Server 2008 R2 SP1、Windows Server 2012、Windows 8.1、Windows Server 2012 R2 等。但 Windows XP 反而沒事。

Windows 10 是世界上最流行的桌面操作系統(tǒng)。當(dāng)前全球約有 8 億臺設(shè)備安裝了 Windows 10 操作系統(tǒng),也就是說,上億設(shè)備面臨風(fēng)險。

微軟安全響應(yīng)中心 (MSRC) 事件響應(yīng)主管 Simon Pope 表示:沒有跡象表明第三方注意到了這些漏洞,但 “受影響系統(tǒng)最好盡快打上補丁,因為這種可變?nèi)湎x的漏洞可能導(dǎo)致風(fēng)險。

微軟網(wǎng)站上已發(fā)布更新包。

另外,Windows 10 用戶應(yīng)安裝可靠的殺毒軟件,定期掃描設(shè)備,并使用可信 VPN 以保護在線隱私。

普普評述:

未受保護的服務(wù)器無需用戶互動即可在網(wǎng)絡(luò)上傳播病毒與惡意軟件。



想有效保護網(wǎng)絡(luò)安全,就得像網(wǎng)絡(luò)罪犯一樣思考。

2019.08.28??周三

馬薩諸塞州終端安全專業(yè)公司 Carbon Black 稱,應(yīng)該重新考慮要不要再用洛克希德馬丁的網(wǎng)絡(luò)殺傷鏈 (Cyber Kill Chain) 作為理解攻擊周期的網(wǎng)絡(luò)安全行業(yè)事實標(biāo)準(zhǔn)。

7 月底,Carbon Black 提出了新的 “認知攻擊循環(huán)” (Cognitive Attack Loop) 方法,稱 “線性處理網(wǎng)絡(luò)安全問題不再有效”。該公司的主旨是:殺傷鏈如今需專注行為理解和戰(zhàn)術(shù)、技術(shù)與流程 (TTP),而不是入侵指標(biāo) (IoC);預(yù)防、檢測與響應(yīng)需在無盡循環(huán)中相互反饋補充。

Carbon Black 在題為《網(wǎng)絡(luò)犯罪認知》的論文中提出了該模型。論文指出,洛克希德馬丁的殺傷鏈模型太過注重盡可能在攻擊周期早期掐滅攻擊。(殺傷鏈模型將黑客攻擊周期劃分成七個階段,從前期偵察、攻擊載荷投放,一直到命令與控制及其他操作。)

雖然該模型這些年來受到一些安全專家的推崇,有些專家卻也批評稱,偵察和武器化等該模型中的早期階段,因為發(fā)生在 IT 團隊的影響范圍之外,是很難防御的。而且,該模型還強化了傳統(tǒng)邊界防御,對阻止內(nèi)部人攻擊毫無作用。

普普評述:

想要有效防衛(wèi)網(wǎng)絡(luò)安全,就得窺探他們的思維,了解促使他們做出攻擊行為的動機。