普普每日安全資訊一周概覽(12.19—12.25)

作者:

時間:
2020-12-26

2020.12.19? 周六



01
共享充電寶可能會實(shí)時監(jiān)聽,專家提醒這個操作要謹(jǐn)慎
據(jù)國內(nèi)媒體報道,出門在外,使用共享充電寶進(jìn)行充電時,也要小心謹(jǐn)慎,因?yàn)橛行┕蚕沓潆妼毎挡仉[私泄露的風(fēng)險。
那么充電寶是如何竊取個人隱私的呢?技術(shù)人員做了一次實(shí)驗(yàn),先拍攝4張照片存在手機(jī)相冊中,然后使用一條不帶數(shù)據(jù)傳輸功能的充電線連接充電寶,后臺未能讀取手機(jī)信息。
但是,如果使用一根能夠傳輸手機(jī)數(shù)據(jù)的充電線,充電寶就能將其內(nèi)部的惡意程序上傳至手機(jī),后臺立馬就能顯示出剛剛拍攝的4張照片。
斷開連接后,攻擊者依然能控制這部手機(jī)。使用攻擊程序,通訊錄能被實(shí)時讀取,在鎖屏?xí)r,前后攝像頭能被輕易調(diào)用,甚至還能實(shí)時監(jiān)聽。
技術(shù)人員介紹,取走充電寶中的幾塊電池,換上一塊芯片,就能將各種惡意程序植入用戶手機(jī)。
普普每日安全資訊一周概覽(12.19—12.25)

普普評述

普普每日安全資訊一周概覽(12.19—12.25)

使用外來充電寶,若手機(jī)上出現(xiàn)需要用戶授權(quán)、打開調(diào)試模式等提醒,務(wù)必謹(jǐn)慎。



2020.12.20? 周日


02
勒索軟件:改寫網(wǎng)安格局,進(jìn)入突變元年
21世紀(jì)初以來,勒索軟件一直是大型企業(yè)、中小商家及個人的突出網(wǎng)絡(luò)威脅。
勒索軟件是一種惡意軟件,它能夠獲取文件或系統(tǒng)的控制權(quán)限,并阻止用戶控制這些文件或系統(tǒng)。惡意軟件和病毒軟件與生物疾病有相似之處。正是由于這些相似性,仿照流行病學(xué)界對有害病原體的載體使用的術(shù)語,我們稱入口點(diǎn)為''載體''。從技術(shù)上講,攻擊或感染載體是勒索軟件獲得控制權(quán)的手段。
勒索軟件的載體類型包括:電子郵件、遠(yuǎn)程桌面協(xié)議(RDP)、網(wǎng)站木馬傳播、社交網(wǎng)絡(luò)、彈窗等。勒索軟件的攻擊載體一直在變化,但總體保持大致相同,就像釣魚郵件攻擊,不斷利用曝出的各種技術(shù)漏洞,以及人的漏洞。
勒索軟件的最新攻擊趨勢:雙重勒索成為新常態(tài)、IoT成為勒索軟件攻擊新突破口、關(guān)鍵基礎(chǔ)設(shè)施成勒索軟件攻擊的重要目標(biāo)、勒索攻擊更加定向、復(fù)雜。一夜之間激增的遠(yuǎn)程辦公給網(wǎng)絡(luò)犯罪分子提供了有吸引力的新攻擊目標(biāo)。數(shù)以百萬計的人在家工作,感染勒索軟件的機(jī)會比以往任何時候都高。
普普每日安全資訊一周概覽(12.19—12.25)

普普評述

普普每日安全資訊一周概覽(12.19—12.25)

勒索軟件在2020年最瘋狂,攻擊規(guī)模和頻率以驚人的速度增長,同時也是給企業(yè)造成損失最大的攻擊手段,甚至造成全球首例勒索軟件致死事故。國際刑警組織也宣稱,勒索軟件構(gòu)成網(wǎng)絡(luò)安全的最大威脅因素。



2020.12.21? 周一


03
疫情環(huán)境下的網(wǎng)絡(luò)安全趨勢和解決方案
在過去的幾個月中,FortiGuard實(shí)驗(yàn)室一直在積極跟蹤與疫情相關(guān)的全球威脅問題和攻擊活動,包括信息竊取者,特洛伊木馬,勒索軟件以及社會工程誘餌的有效性。
這揭示了以下最新趨勢:
利用情感謀取經(jīng)濟(jì)利益——網(wǎng)絡(luò)犯罪分子正在最大限度地利用這次疫情的恐慌心理;
魚叉式網(wǎng)絡(luò)釣魚攻擊也在增加——在醫(yī)療供應(yīng)短缺的情況下,針對性較強(qiáng)的攻擊活動也在增加;
遠(yuǎn)程工作引入了新的攻擊媒介——為了確保業(yè)務(wù)連續(xù)性,諸如安全協(xié)議之類的東西可能會被忽略或擱置。
因?yàn)閭€人設(shè)備甚至無需直接受到攻擊即可被破壞。它們還連接到不安全的家庭網(wǎng)絡(luò),這使攻擊者可以利用其他攻擊媒介,包括利用連接到家庭網(wǎng)絡(luò)的易受攻擊的物聯(lián)網(wǎng)設(shè)備或游戲機(jī)。
普普每日安全資訊一周概覽(12.19—12.25)

普普評述

普普每日安全資訊一周概覽(12.19—12.25)

在當(dāng)前日益嚴(yán)峻的威脅形勢下,我們不能放松警惕。以下是您組織中需要加強(qiáng)的三個方面:加強(qiáng)網(wǎng)絡(luò)安全衛(wèi)生、更新關(guān)鍵安全技術(shù)、用戶培訓(xùn)。

由于當(dāng)前的疫情環(huán)境,網(wǎng)絡(luò)犯罪迅速過度到遠(yuǎn)程辦公,再加上網(wǎng)絡(luò)犯罪分子利用恐懼,不確定性和懷疑的傾向,安全研究人員觀察到了網(wǎng)絡(luò)安全問題激增。網(wǎng)絡(luò)罪犯分子很快就會利用新的手段和設(shè)備,接入新手遠(yuǎn)程工作者、易受攻擊的家用計算機(jī)和網(wǎng)絡(luò),以及過度勞累的IT團(tuán)隊(duì)。



2020.12.22? 周二


?
04
美國防部2021年全面推行零信任架構(gòu)
零信任的概念對國防部而言已經(jīng)不是新鮮事物。對于某些內(nèi)部敏感信息,他們已經(jīng)采取類似的分區(qū)配置,但目前大部分業(yè)務(wù)網(wǎng)絡(luò)架構(gòu)仍然依靠強(qiáng)密碼保護(hù)等傳統(tǒng)的外圍防御策略。
國防部領(lǐng)導(dǎo)層提到,此次在全軍范圍內(nèi)推行的零信任架構(gòu)將與其他以往計劃有所不同。進(jìn)一步解釋稱,這代表著國防部網(wǎng)絡(luò)架構(gòu)的全面轉(zhuǎn)變,事實(shí)上網(wǎng)絡(luò)架構(gòu)也必須隨時間推移而不斷變化。
由馬里蘭州創(chuàng)新與安全研究所(MISI)運(yùn)營的私營網(wǎng)絡(luò)安全實(shí)驗(yàn)室DreamPort一直在各級政府機(jī)構(gòu)與私營部門間的合作中發(fā)揮著關(guān)鍵作用,在此次參考指南的制定過程中同樣助力頗多。該組織還在所在地馬里蘭州哥倫比亞市郊專門建立了零信任實(shí)驗(yàn)室,著力推動與NSA、網(wǎng)絡(luò)司令部以及其他高度關(guān)注安全工作的政府機(jī)構(gòu)間的合作。
普普每日安全資訊一周概覽(12.19—12.25)

普普評述

普普每日安全資訊一周概覽(12.19—12.25)

為美國國防機(jī)構(gòu)及IT部門提供一份指導(dǎo)性藍(lán)圖,推動網(wǎng)絡(luò)體系過渡到新的模式,嘗試對所有人采取相同的安全控制級別。換言之,新的安全體系將對所有用戶都實(shí)施“零信任”策略。



2020.12.23? ?周三


05
2021年數(shù)據(jù)加密的六大趨勢
數(shù)據(jù)安全領(lǐng)域,加密技術(shù)相對穩(wěn)定,加密技術(shù)有望迎來重大變革,以下我們列出2021年值得關(guān)注的六大加密趨勢。
一、云計算將扮演更重要的角色,尤其是在金融服務(wù)領(lǐng)域:云計算服務(wù)商正在提供更強(qiáng)大、更靈活的安全服務(wù),以滿足那些希望保留密鑰控制權(quán),同時避免被云服務(wù)商鎖定的企業(yè)的需求。
二、同態(tài)加密將成為“新常態(tài)”:面對隱私泄露和監(jiān)管力度的雙重壓力,同態(tài)加密作為最優(yōu)秀的隱私增強(qiáng)技術(shù)之一,對數(shù)據(jù)進(jìn)行處理和操作時能夠保持加密狀態(tài),可用于保護(hù)存儲在云中或傳輸中的數(shù)據(jù)的安全。
三、BYOE將開始流行:云安全(營銷)模型,也是企業(yè)云安全的一次重要變革,企業(yè)鞏固自己掌控和管理數(shù)據(jù)安全策略所需的控制級別。
四、加密+密鑰管理,對于縮短的證書生命周期至關(guān)重要:企業(yè)需要比以往更嚴(yán)格的加密和密鑰管理,跟蹤證書失效日期非常重要,自動化將發(fā)揮重要作用。
五、加密技術(shù)對DevSecOps很重要,尤其是代碼簽名:DevOps團(tuán)隊(duì)提供所需的集成安全性以及快速識別和排除故障區(qū)域的能力。
六、長周期設(shè)備制造商將開始擁抱加密敏捷性:敏捷的加密解決方案可能需要實(shí)現(xiàn)混合證書,使用常規(guī)非對稱加密進(jìn)行簽名的同時,要具備足夠的靈活性,以便今后向抗量子加密平穩(wěn)過渡,以應(yīng)對量子計算的威脅。
普普每日安全資訊一周概覽(12.19—12.25)

普普評述

普普每日安全資訊一周概覽(12.19—12.25)

無論是云服務(wù)商還是采用BYOE和同態(tài)加密的企業(yè),亦或采用混合證書來實(shí)現(xiàn)加密敏捷性的DevSecOps團(tuán)隊(duì),都需要注意下亮點(diǎn):加密和密鑰管理二者缺一不可;較短的證書生命周期意味著企業(yè)需要比以往更加關(guān)注密鑰管理。



2020.12.24? 周四


06
AMNESIA33:物聯(lián)網(wǎng)打開潘多拉盒子
據(jù)Forescout的研究人員估計,目前發(fā)現(xiàn)的數(shù)百萬個消費(fèi)級和工業(yè)級設(shè)備受到他們發(fā)現(xiàn)的33個安全漏洞(其中四個是高危漏洞)的影響,幾乎你能想到的所有聯(lián)網(wǎng)/物聯(lián)網(wǎng)設(shè)備都有可能中招:包括智能手機(jī)、游戲機(jī)、傳感器、片上系統(tǒng)(SOC)板、HVAC系統(tǒng)、打印機(jī)、路由器、交換機(jī)、IP攝像機(jī)、自助結(jié)賬亭、RFID資產(chǎn)跟蹤器、證章讀取器、不間斷電源和各種工業(yè)設(shè)備。
Bug駐留在四個開源TCP/IP堆棧中,漏洞將使攻擊者可以實(shí)施廣泛的攻擊。例如:遠(yuǎn)程代碼執(zhí)行(RCE)以控制目標(biāo)設(shè)備;拒絕服務(wù)(DoS)會削弱功能并影響業(yè)務(wù)運(yùn)營;信息泄漏(infoleak)以獲取潛在的敏感信息;DNS緩存中毒攻擊,用于將設(shè)備指向惡意網(wǎng)站。
在某些情況下(例如智能手機(jī)或網(wǎng)絡(luò)設(shè)備)設(shè)備自帶無線更新機(jī)制,漏洞的修補(bǔ)可能很容易,但是許多其他易受攻擊的設(shè)備甚至都沒有提供更新固件的功能,這意味著某些設(shè)備很可能在剩余的產(chǎn)品生命周期內(nèi)仍然很脆弱。公司可能需要替換設(shè)備,或采取對策以防御利用漏洞的攻擊。
普普每日安全資訊一周概覽(12.19—12.25)

普普評述

普普每日安全資訊一周概覽(12.19—12.25)

檢測漏洞本身也是一項(xiàng)艱巨的工作,因?yàn)楫?dāng)今許多設(shè)備都未附帶軟件物料清單,很多公司甚至都不知道他們正在運(yùn)行的系統(tǒng)是否使用了四個TCP/IP堆棧中的一個。智能設(shè)備和物聯(lián)網(wǎng)的生態(tài)系統(tǒng)仍然是一團(tuán)亂麻,并且很可能在未來幾年仍將是一場安全災(zāi)難。



2020.12.25??周五


07
物聯(lián)網(wǎng)安全:信任與信任管理
信任是信息安全的基石,是交互雙方進(jìn)行身份認(rèn)證的基礎(chǔ)。信任涉及假設(shè)、期望和行為。信任是與風(fēng)險相聯(lián)系的,并且信任關(guān)系的建立不可能總是全自動的,這意味著信任的定量測量是比較困難的,但信任可以通過級別進(jìn)行度量和使用,以決定身份和訪問控制級別。
信任通常分為基于身份的信任(IdentityTrust)和基于行為的信任(BehaviorTrust)兩類?;谏矸莸男湃尾捎渺o態(tài)的控制機(jī)制,即在用戶對目標(biāo)對象實(shí)施訪問前就對其訪問權(quán)限進(jìn)行了限制?;谛袨榈男湃瓮ㄟ^實(shí)體的行為歷史記錄和當(dāng)前行為的特征來動態(tài)判斷目標(biāo)實(shí)體的可信任度。基于行為的信任包括直接信任(DirectTrust)和反饋信任(IndirectTrust)。反饋信任又可稱為推薦信任、間接信任或者聲譽(yù)(Reputation)。
信任的屬性包括信任的動態(tài)性、不對稱性、傳遞性和衰減性,為解決互聯(lián)網(wǎng)上網(wǎng)絡(luò)服務(wù)的安全問題,提出了信任管理(TrustManagement)的概念,并首次將信任管理機(jī)制引入分布式系統(tǒng)之中。隨著以互聯(lián)網(wǎng)為基礎(chǔ)的各種大規(guī)模開放應(yīng)用系統(tǒng)(如網(wǎng)格、普適計算、P2P、Adhoc、Web服務(wù)、Cloud、物聯(lián)網(wǎng)等)相繼出現(xiàn)并被應(yīng)用,信任關(guān)系、信任模型和信任管理的研究逐漸成為了信息安全領(lǐng)域的研究熱點(diǎn)。
普普每日安全資訊一周概覽(12.19—12.25)

普普評述

普普每日安全資訊一周概覽(12.19—12.25)

信任管理系統(tǒng)的核心內(nèi)容是,用于描述安全策略和安全憑證的安全策略描述語言和用于對請求、安全憑證和安全策略進(jìn)行一致性證明-驗(yàn)證的信任管理引擎。