教育行業(yè)成2021年網(wǎng)絡(luò)攻擊重災(zāi)區(qū)

Check Point Software Technologies的調(diào)查研究顯示，教育和研究領(lǐng)域是2021年網(wǎng)絡(luò)攻擊者的首要目標(biāo)，每家機構(gòu)每周平均遭受1605次攻擊，比2020年增加了75%。新冠肺炎疫情促使企業(yè)和教育行業(yè)的員工紛紛居家辦公，由此催生了對數(shù)字技術(shù)和在線課程的需求，推動了數(shù)字教育市場大幅發(fā)展，但同時也給學(xué)習(xí)和網(wǎng)絡(luò)威脅都創(chuàng)造了條件和機會。

Check Point數(shù)據(jù)研究經(jīng)理Omer Dembinsky表示，由于轉(zhuǎn)向遠程學(xué)習(xí)和大量非員工需要遠程訪問在線教育機構(gòu)的各個系統(tǒng)，數(shù)字資產(chǎn)暴露面不斷擴大，網(wǎng)絡(luò)攻擊風(fēng)險也上升了。

政府及軍事部門緊隨教育行業(yè)之后，2021年每個機構(gòu)每周遭受1136次攻擊，比上一年增加47%。由于所涉事務(wù)的敏感性，政府一直是此類攻擊的主要目標(biāo)。世界各國政府轉(zhuǎn)向在線為公民提供各項服務(wù)的事實，也為網(wǎng)絡(luò)攻擊者打開了又一扇方便之門。

通信行業(yè)在遭攻擊最多的行業(yè)中列第三，2021年每個企業(yè)每周遭遇1079次攻擊，比上一年增加了51%。

普普點評

由于不重視網(wǎng)絡(luò)安全，教育行業(yè)很容易成為黑客攻擊的目標(biāo);同時，新冠疫情迫使教育工作者偶爾化身首席信息官，幫助教職員工和學(xué)生轉(zhuǎn)向居家學(xué)習(xí)的新技術(shù)。面對日益頻繁的攻擊，最好建立起可交付統(tǒng)一防護基礎(chǔ)設(shè)施的安全架構(gòu)，提供全面快速的安全保護。此外，還應(yīng)該保持適當(dāng)?shù)陌踩l(wèi)生，實施漏洞修復(fù)、網(wǎng)絡(luò)分隔、員工教育等安全防范措施，并實現(xiàn)先進的安全保護技術(shù)。

加密強度不足缺陷漏洞

大多數(shù)密碼系統(tǒng)都需要足夠的密鑰大小來抵御暴力攻擊。軟件使用理論上合理的加密方案存儲或傳輸敏感數(shù)據(jù)，但強度不足以達到所需的保護級別。

RSA是目前最有影響力和最常用的公鑰加密算法，它能夠抵抗到目前為止已知的絕大多數(shù)密碼攻擊，已被ISO推薦為公鑰數(shù)據(jù)加密標(biāo)準(zhǔn)。只有短的RSA鑰匙才可能被強力方式解破。只要當(dāng)鑰匙的長度足夠長時，用RSA加密的信息實際上是難以被解破。

RSA的安全性依賴于大數(shù)的因子分解，但并沒有從理論上證明破譯RSA的難度與大數(shù)分解難度等價，而且密碼學(xué)界多數(shù)人士傾向于因子分解不是NP問題。

人們已能分解140多個十進制位的大素數(shù)，這就要求使用更長的密鑰，帶來的問題是速度減慢;另外，人們正在積極尋找攻擊RSA的方法，如選擇密文攻擊，一般攻擊者是將某一信息作一下偽裝(Blind)，讓擁有私鑰的實體簽署。然后，經(jīng)過計算可得到它所想要的信息。

普普點評

加密強度不足的程序可能會受到暴力攻擊，如果暴力攻擊成功，惡意攻擊者則進入系統(tǒng)進行破壞。使用本領(lǐng)域?qū)＜夷壳罢J為比較強的加密方案。例如使用RSA算法，密鑰越長，它就越難破解。目前被破解的最長RSA密鑰是768個二進制位。也就是說，長度超過768位的密鑰，還無法破解。因此，1024位的RSA密鑰基本安全，2048位的密鑰極其安全，建議使用2048位的密鑰。

企業(yè)法務(wù)合規(guī)的四大新風(fēng)險趨勢

日前，Gartner公司列出了企業(yè)法務(wù)合規(guī)部門在今后兩年會遇到的四個新興風(fēng)險趨勢。這些趨勢將決定法務(wù)、合規(guī)和隱私風(fēng)險對組織目標(biāo)實現(xiàn)的重要性以及對新法務(wù)合規(guī)服務(wù)的需求。

一是技術(shù)監(jiān)管的新領(lǐng)域，法務(wù)監(jiān)管體系正在適應(yīng)日益受數(shù)據(jù)、平臺和自主決策驅(qū)動的企業(yè)運營環(huán)境。二是不斷變化的社會期望。利益相關(guān)者的影響力越來越大，他們的期望也發(fā)生了變化，而且在一些地方與企業(yè)目標(biāo)的新愿景趨同。如果組織跟不上這種變化，將面臨政府、客戶、供應(yīng)鏈合作伙伴、員工及其他利益相關(guān)者的懲罰性反應(yīng)。三是新的勞資關(guān)系，這場疫情促使許多人重新評估工作生活，并促使企業(yè)從不的角度思考如何完成工作。這個持續(xù)的現(xiàn)象正在帶來就業(yè)新政，這與疫情暴發(fā)前的常態(tài)大不相同。四是地緣政治競爭，公眾期望與政府業(yè)績之間的差距越來越大，正在加劇社會內(nèi)部的緊張局勢。

普普點評

從根本上說，企業(yè)的社會角色在發(fā)生變化，新冠疫情已對大多數(shù)組織帶來了巨大沖擊。組織生存是過去兩年的主題，直到現(xiàn)在，法律、監(jiān)管和社會系統(tǒng)才趕上新形勢和已發(fā)生的重大技術(shù)變革。如果組織跟不上這種變化，將面臨政府、客戶、供應(yīng)鏈合作伙伴、員工及其他利益相關(guān)者的懲罰性反應(yīng)。且隨著地緣政治環(huán)境對貿(mào)易、關(guān)稅、勒索軟件、網(wǎng)絡(luò)安全和并購的影響越來越大，企業(yè)彈性或?qū)⒊蔀橐粋€關(guān)鍵的競爭優(yōu)勢。

Windows 11更新要小心了 惡意軟件已經(jīng)盯上它

2022年年初，在Windows 11系統(tǒng)廣泛部署階段，RedLine惡意軟件團伙已經(jīng)悄悄盯上了這波更新，已經(jīng)做好了充足的攻擊前準(zhǔn)備。

攻擊者使用看似合法的“windows-upgraded.com”域來分發(fā)惡意軟件。如果訪問者單擊“立即下載”，他們會收到一個1.5M的名為“Windows11InstallationAssistant.zip”的zip文件， 隨后，解壓縮文件會生成一個大小為 753MB 的文件夾，其高達99.8%的壓縮率令安全研究人員印象深刻。而當(dāng)受害者啟動文件夾中的可執(zhí)行文件時，一個帶有編碼參數(shù)的 PowerShell 進程就會啟動。并且還會啟動一個 cmd.exe 進程，在經(jīng)過約21秒的超時時間后，它會從遠程 Web 服務(wù)器獲取一個 .jpg 文件。該文件包含一個DLL，其內(nèi)容以相反的形式排列，其目的或許是為了逃避檢測和分析。最后，初始進程加載 DLL 并用它替換當(dāng)前線程上下文，通過TCP 連接到命令和控制服務(wù)器，這樣它就可以在新感染的系統(tǒng)上獲取接下來需要運行的惡意指令。

普普點評

截止到目前，安全研究人員發(fā)現(xiàn)的這個分發(fā)站點已經(jīng)被關(guān)閉，但是卻無法阻止攻擊者設(shè)置新的分發(fā)站點，并重新開啟新一輪的、虛假的Windows 11升級安裝程序。事實上，這樣的情形已經(jīng)在不斷發(fā)生。因此，用戶在更新Windows 11系統(tǒng)時一定要選擇官方渠道，如果Windows 10用戶由于硬件不兼容而無法從官方分發(fā)渠道獲得，那么在進行更新時應(yīng)盡量提高警惕，避免陷入攻擊者預(yù)設(shè)好的陷進之中。

網(wǎng)絡(luò)安全自動化:評估產(chǎn)品和服務(wù)的自動化潛力

隨著安全自動化的推廣，安全產(chǎn)品與服務(wù)將不可避免地將自身與自動化相互結(jié)合，但現(xiàn)有的產(chǎn)品和服務(wù)并不能完全支持自動化改造。產(chǎn)生這一問題的主要原因是：通過應(yīng)用程序編程接口(API)獲得的功能和信息可能與通過用戶界面獲得的功能和信息不同。因此，評估產(chǎn)品和服務(wù)的自動化潛力對于如今安全自動化的實行是十分重要的。

首先，產(chǎn)品或服務(wù)必須具有供用戶大規(guī)模使用的API。在安全編排、自動化和響應(yīng)(SOAR)市場出現(xiàn)之前，并不是所有的產(chǎn)品都為用戶提供了直接的API訪問。預(yù)期的設(shè)想是：用戶將與儀表板或控制臺交互，應(yīng)用程序?qū)⒃趦?nèi)部處理所有API請求。但當(dāng)用戶開始從幾十個產(chǎn)品中接收到數(shù)千個警報時，這種方法就不再是可行的網(wǎng)絡(luò)防御了?，F(xiàn)在，大多數(shù)產(chǎn)品都期望并支持用戶某種程度的自動化，但是用戶通過產(chǎn)品或服務(wù)提供的圖形界面手動與應(yīng)用程序交互的最初設(shè)計原則，導(dǎo)致了不同程度的自動化支持。

普普點評

在網(wǎng)絡(luò)安全分析中，傳統(tǒng)的網(wǎng)絡(luò)安全在當(dāng)今時代背景下是十分局限的，這也造就了網(wǎng)絡(luò)安全自動化的興起。網(wǎng)絡(luò)安全自動化即，通過流程自動化的產(chǎn)品和服務(wù)實現(xiàn)整個網(wǎng)絡(luò)安全分析過程自動化，使安全分析師能快速地關(guān)注與最大風(fēng)險相關(guān)的信息、事件。安全產(chǎn)品與服務(wù)將不可避免地要順應(yīng)自動化的潮流，將自身與自動化思想相互結(jié)合。但現(xiàn)有的產(chǎn)品和服務(wù)并不能完全支持自動化改造，因此評估產(chǎn)品和服務(wù)的自動化潛力是十分有必要的。

物理隔離內(nèi)網(wǎng)面臨的安全威脅

網(wǎng)絡(luò)隔離技術(shù)分為物理隔離和邏輯隔離，物理隔離就是將兩個網(wǎng)絡(luò)物理上互不連接，物理隔離需要做兩套或者幾套網(wǎng)絡(luò)，一般分為內(nèi)、外網(wǎng)。

物理隔離的網(wǎng)絡(luò)通常出現(xiàn)在政府機構(gòu)、大型企業(yè)以及軍事部門中，它們通常存儲著保密的文件或重要隱私及數(shù)據(jù)。攻克物理隔離網(wǎng)絡(luò)通常被視為安全漏洞的圣杯，因為破壞或滲透物理隔離系統(tǒng)的難度極大。

物理隔離內(nèi)網(wǎng)不可能不與外界交互數(shù)據(jù)， 因此隔離網(wǎng)絡(luò)系統(tǒng)的建設(shè)注定要犧牲網(wǎng)絡(luò)數(shù)據(jù)交換的便捷性。為了解決實際生產(chǎn)環(huán)境中的數(shù)據(jù)交換需求，經(jīng)常會出現(xiàn)一些“不得已”的操作， 譬如搭建內(nèi)網(wǎng)跳板機映射共享目錄、使用可移動存儲設(shè)備進行數(shù)據(jù)擺渡等，這些操作相當(dāng)于間接打通了一條與外網(wǎng)通信的隧道，從而破壞其物理隔離的完整性。除此之外，物理隔離環(huán)境會導(dǎo)致隔離內(nèi)網(wǎng)環(huán)境的安全更新(漏洞補丁、病毒庫等)滯后。

普普點評

物理隔離的網(wǎng)絡(luò)通常出現(xiàn)在政府機構(gòu)、大型企業(yè)以及軍事部門中，它們通常存儲著保密的文件或重要隱私及數(shù)據(jù)。構(gòu)建了隔離內(nèi)網(wǎng)安全防護體系并不意味著就安全了，根據(jù)Ramsay等惡意軟件針對隔離網(wǎng)絡(luò)環(huán)境的攻擊，其目的是進行各種網(wǎng)絡(luò)竊密活動，攻擊者將收集到的情報直接寫入移動存儲介質(zhì)的特定扇區(qū)，并不在該存儲介質(zhì)上創(chuàng)建容易查看的文件，可見攻擊與收集行為極具隱蔽性，威脅性很大。

企業(yè)上云后面臨的安全威脅

網(wǎng)絡(luò)惡意攻擊，云計算的開放性讓企業(yè)用戶能夠隨時隨地訪問業(yè)務(wù)或數(shù)據(jù)，但這樣的特性很容易讓攻擊者發(fā)現(xiàn)。

云資產(chǎn)管理混亂，云平臺的管理與傳統(tǒng)資產(chǎn)管理是不一樣的，運維人員不僅要管理物理主機的基礎(chǔ)硬件，同時也要對云計算的每一個應(yīng)用、服務(wù)、應(yīng)用的接口進行管理，如果運維人員沒有進行培訓(xùn)，很容易造成云資產(chǎn)管理混亂。

系統(tǒng)漏洞，如果企業(yè)選擇的云架構(gòu)沒有很好的隔離手段，這會導(dǎo)致云用戶之間發(fā)生相互入侵、跨站腳本攻擊等情況，會給企業(yè)帶來更多潛在的安全和業(yè)務(wù)風(fēng)險。

數(shù)據(jù)丟失、泄露，云資產(chǎn)管理混亂，或是部分剛剛接觸云的用戶缺乏對云平臺的運維管理經(jīng)驗，出現(xiàn)越權(quán)、誤操作等情況可能導(dǎo)致數(shù)據(jù)的丟失泄露。

缺乏審計工具，攻擊者常常會利用非法獲取接口訪問密鑰，然后發(fā)起接口漏洞類的攻擊，由于缺乏可靠的合規(guī)審計工具或能力，這類攻擊有時很難被企業(yè)客戶所發(fā)現(xiàn)。

普普點評

如今，隨著云計算等新興科技的發(fā)展，不同類型企業(yè)間的關(guān)聯(lián)越來越多，它們之間的業(yè)務(wù)邊界已被打破，企業(yè)上云成為了大勢所趨。云計算應(yīng)用幫助企業(yè)改變了IT資源不集中的狀況，同時，數(shù)據(jù)中心內(nèi)存儲的大量數(shù)據(jù)信息，也成為了黑客的攻擊目標(biāo)。盡管企業(yè)上云能夠帶來很多便利，但云計算基礎(chǔ)架構(gòu)與業(yè)務(wù)云化之后，企業(yè)將會面臨新的安全威脅。