咨询热线:400-010-1233在线销售咨询
不方便打电话?让科腾联系您:

首页 > 公司动态 亚洲城

FreeBuf企业安全月报2018一月刊

  去年年底,FreeBuf研究院发布了《2017企业安全统一应对指南》,帮助企业了解 2017 年安全行业的动态和企业能够实际采取的应对方案,有助于帮助企业做出许多重要决策。

  自2018年1月起,我们将持续为大家提供关于企业安全方面的资讯。资讯以月报形式发出,帮助企业在防范安全漏洞的同时掌握安全市场的最新动态,让企业能够及时地做出应对措施。

  漏洞会造成CPU运作机制上的信息泄露,低权级的者可以通过漏洞来远程泄露用户信息或本地泄露更高权级的内存信息。更多信息可以查看“芯片底层漏洞专题”。

  通过获取泄露的信息,可以绕过内核(Kernel), 虚拟机超级管理器(HyperVisor)的隔离防护;

  通过获取泄露的信息,可以绕过内核(Kernel), 虚拟机超级管理器(HyperVisor)的隔离防护;

  KillDisk 最初主要是主要感染后期部署的磁盘擦除恶意软件,可用于入侵并隐藏者踪迹。由俄罗斯的网络间谍组织 Telebots 开发和使用。这个团队创造了袭击美国工业设备的 Sandworm 恶意软件,用于乌克兰电网的 BlackEnergy 恶意软件,以及 2017 年 6 月袭击许多公司的 NotPetya 软件。

  2016 年底,KillDisk 伪装成软件乌克兰银行,其 Linux 变种也在不久之后被发现并用于相同目标。而近日,新版本的 KillDisk 出现,保留了其磁盘擦除特性,并依然伪装成软件,针对拉丁美洲的金融机构发起。一旦 KillDisk 感染计算机,就会自动加载进内存,从磁盘中删除文件并重命名进行伪装。随后,它会重写每个储存设备 MBR 中前 20 个部分,并重写每个固定或可移动内存设备中每个文件的前 2800 个字节,最后开始 15 分钟计时,删除多个重要的操作系统相程。系统重启后,如果不修复受损的 MBR 记录,用户就无法使用计算机。

  1 月 11 日星期四,有黑客入侵了美国印第安纳州当地的一家医院网络(Hancock Health),使用 SamSam 软件加密文件,并将相关文件重命名为“I’m sorry”。随后,医院的运营受到影响。 IT 人员介入并暂停了整个网络,要求员工关闭所有计算机,以避免软件到其他计算机。在此情况下,医护人员利用笔和纸来代替电脑继续工作,尽力照顾患者。

  而在医院方面,尽管文件都有备份,他们还是选择支付了黑客要求的 4 比特币赎金(支付时价值约为 5.5 万美元)。医院表示,从备份中恢复文件很麻烦,因为要把所有的系统投入运行需要几天甚至几周的时间。 因此,他们决定支付赎金,以便尽快恢复正常运营。

  本次中使用的 SamSam 软件在两年前就已经出现过。主要通过的 RDP 端口。不过医院表示,此次被入侵并非是由于员工偶然点击恶意邮件造成的。具体感染原因目前尚不清楚。

  Lazarus Group的日趋以经济利益为目的,似乎对当前价格疯涨的加密货币表现出了极大兴趣。我们在大量的多级中发现了感染相关组织和个人的,以加密货币为目的的各种复杂控制后门和恶意软件,除此之外,者为实现比特币和其它电子货币窃取,还使用Gh0st远控木马来收集者加密货币钱包和交易数据。

  众所周知,Lazarus Group曾成功对几家知名电子货币公司和交易所实施了数据窃取,根据这些行为,相关执法机构判断Lazarus Group目前估计积累了价值近1亿美元的加密货币资产。在2016年底和2017年初,Lazarus Group针对几家银行和金融机构的入侵中,其第一阶段下载植入恶意软件名为Ratankba,它被者主要用于前期渗透侦察,趋势科技公司甚至把它形容为“地形测绘工具”。而在该报告中,我们详细分析了一种基于PowerShell,与Ratankba相似且名为PowerRatankba的新型恶意植入软件。我们认为,基于Ratankba在今年早些时候被公开披露,而PowerRatankba很可能会成为Lazarus Group继续以经济利益为目标的升级迭代利用工具。

  Forever 21 总部位于,在 57 个国家开设了 815 店,虽然在通告中并未指明具体哪些门店的用户信息遭泄露,但 Forever 21 表示,在 2017 年 3 月到 10 月之间消费的用户都有可能受影响。

  此前,Forever 21 曾生成自己在 2015 年就采取了加密措施并使用基于 token 的认证系统来 POS 终端的交易数据。但此次入侵事件表明,这些手段并未奏效,黑客还是通过未授权访问获取到了用户的支付卡信息。目前相关调查正在进行,受影响的门店、用户数目都都不明确。Forever 21 所有用户密切关注支付卡动态,一旦发生未授权的交易,就立刻联系发卡银行处理。

  经,PayPal的一家子公司TIO Networks曝出严重安全漏洞,者入侵了存储重要用户信息的服务器,受影响人数约160万人。

  TIO Networks是一家基于云的多渠道支付和会计管理提供商,为大型电信、无线网络、电视以及公共事业发行商提供服务。去年7月份,Paypal为进一步扩大业务范围,斥资2.33亿美元收购TIO Networks。

  TIO Networks是一家基于云的多渠道支付和会计管理提供商,为大型电信、无线网络、电视以及公共事业发行商提供服务。去年7月份,Paypal为进一步扩大业务范围,斥资2.33亿美元收购TIO Networks。

  受数据泄露事故影响,TIO Networks已于11月10日暂停运营,着手调查泄露事件。该公司尚未透露哪些数据遭到泄露,但根据其支付系统的特性推断,者获取用户个人信息以及财务信息并非难事。

  事故发生后,其母公司PayPal当即声明,由于TIO Networks系立运行,因此PayPal用户账户并未受到影响。

  据悉,TIO Networks公司已公开表达了歉意,并表示会加强TIO系统安全性、用户信息安全。在事故调查的同时,PayPal已经与消费者信用报告机构展开合作,为客户免费提供信用监测资格。

  目前为止,全球设置漏洞励计划的公司越来越多,企业逐渐开始重视安全。但是,按照福布斯 2000 的排行榜,仍有 94% 的企业尚未设置公开的漏洞披露政策。结果导致每 4 个黑客中就有 1 个因为找不到企业通报渠道而无法将自己发现的漏洞。

  调查结果显示,2017 年,有 38.4% 的公司对于漏洞报告的态度一定程度上更加,而 33.8% 的程度更高,16.5% 的态度与之前一样,只有不到 10% 的公司比以前更保守。

  这项调查来源于HackerOne,调查还发现, 虽然有 37% 的白帽子表示自己是业余爱好者,但大约有 12% 的白帽子每年能赚取高达 2 万美元(甚至更高)的励金。其中,超过 3% 的白帽子每年漏洞金收入超过 10 万美元;1.1% 每年收入超过 35 万美元。四分之一的黑客年收入的 50% 来自漏洞金,而 13.7% 的白帽子表示漏洞金占他们全年收入的 100% 。

  腾讯云正式发布《腾讯云数据安全》(以下简称),作出腾讯云绝不主动触碰客户数据的承诺,还首次揭晓了腾讯云践行云端数据承诺的六大基本原则和三大举措,为用户用云注入强心剂。

  开篇便承诺,在腾讯云,客户对其托管于云端的数据拥有完全的控制权,腾讯云绝不主动触碰客户数据。

  客户不但可以如同传统数据中心一样对数据采取访问控制、加密存储等数据措施,而且可以充分利用腾讯云提供的多层次全方位的数据安全保障,为云端数据保驾护航。

  在此数据承诺的基础上,腾讯云将数据安全的融入产品生命周期的各个环节,通过有效的隔离手段,同一资源池内客户数据互不可见,从技术上租户不能访问、获取或其他租户的数据,以打造用户更加信赖的云服务。

  严峻的事实是,全球58%的企业承认在过去的12个月里至少遇到过一次数据泄露事件,而其中一半的企业表示,它们至少了一次内部事件。超过三分之一的企业至少遭受了一次涉及商业伙伴或第三方供应商的。

  而关键在于,根据Forrester Research的2017年全球安全调查报告显示,已知的软件漏洞为41%的外部打开了大门。

  这意味着什么?举个例子,美国局的“之蓝”漏洞发生之后的一系列事件,就是针对微软这几十年来,在每个Windows操作系统上默认启用的服务器消息块(SMBv1)服务。尽管微软采取了紧急补救措施,但这个漏洞仍然被大规模用于WannaCry和NotPetya软件。在WannaCry爆发后的24小时内,超过150个国家的23万多台电脑被感染,总损失估计高达40亿美元。大约一个月后,NotPetya病毒又造成了约3亿美元的损失。

  Forrester高级研究员Josh Zelonis表示,对于首席信息安全官员和网络安全专业人士来说,真正令人感到的是,这些是在微软发布修复漏洞的60到90天之后进行的。这就是为什么他将无效漏洞管理列为2018年数据安全面临的最严重。

  1月14日,腾讯在香格里拉酒店召开主题为“共享 携手共治”的2018年守护者计划大会,副部长侍俊、最高审判委员会副部级专职委员胡云腾、最高人民检察院检察委员会副部级专职委员陈国庆、工业和信息化部总工程师张峰、中国人民银行科技司司长李伟、腾讯公司董事会兼首席执行官马化腾、中国银联CFO陈雷、顺丰控股股份有限公司副总裁李忠斌、中国联通集团信息副总经理杨永平等领导出席。

  腾讯的“守护者计划”最早是腾讯的一个反欺诈公益平台,但发展到现在已经逐步成为一种式的协同打击犯罪的公共平台。2018会议上由腾讯提出的“守护者计划”号召社会打击网络黑产,需要从“社会共治”模式走入构建“网络安全共同体”的,携手各方才能更加全面地守护网络安全。而加强技术预防与打击,采取联合治理模式,成为与会五大部委、腾讯及相关企业之间的共识,也成为构建“网络安全共同体”的基础。

  网络安全共同体是互联网时代从到企业以及的共同,将进一步推动中国网络安全治理,也体现了腾讯的企业社会责任。我们期望‘守护者计划’能够探索完善“共治模式”,未来成为全球网络安全治理的一个‘中国方案’。

  网络安全共同体是互联网时代从到企业以及的共同,将进一步推动中国网络安全治理,也体现了腾讯的企业社会责任。我们期望‘守护者计划’能够探索完善“共治模式”,未来成为全球网络安全治理的一个‘中国方案’。

  360企业安全集团单位“网神信息技术()股份有限公司”通过专家评审,成为获得“中国网络空间安全协会大数据安全人才培养A(国家级)合作支撑单位”资格。

  本次“合作支撑单位”评选工作由中国网络空间安全协会大数据安全人才培养面向全国征集。2017年11月1日,秘书处发布了《大数据安全人才培养面向全国征集2018年度合作支撑单位的通知》。12月中旬,秘书处对参选单位提交的申请材料进行了初评,共17家单位通过初审。2018年1月25日,秘书处召开了专家评审会,11位来自国内顶尖高校、科研院所以及网络空间安全协会的安全人才培养领域专家组成了专家评审委员会,对通过初审的17家单位进行了专家评审。经过申报、初审、现场答辩和最终评议四个环节,360企业安全集团正式成为“中国网络空间安全协会大数据安全人才培养国家级(A)合作支撑单位”。

  中国互联网协会22日成立个人信息工作委员会,近期将开展法律法规研究、个人信息领域监督、个人信息领域行业自律、相关课题研究等工作,并为部门执法及行业监管提供支撑。

  在22日成立大会上,审议通过了《中国互联网协会个人信息工作委员会工作规则》和《中国互联网协会个人信息工作委员会第一届委员会领导机构选举办法》,选举产生了工作委员会主任委员1名、副主任委员13名、秘书长1名、副秘书长3名。中国社会科学院所研究员周汉华当选主任委员。来自相关部门、高校、科研机关、、电信和互联网企业等相关机构、组织的100余位代表出席了大会。

  Google母公司Alphabet宣布成立一家公司专门从事网络安全。这家新公司名为Chronicle,之前出现在Google的X部门中,建立Chronicle的初衷是要通过分析大量的数据来用户数据。

  Gillett称,新的公司会由两部分部分组成,一是新的网络安全情报分析平台,我们希望借此帮助企业更好地管理理解自身安全数据;二是VirusTotal,这是一个病毒情报服务,2012年由Google收购,这一部分会继续经营。

  “由于获取和分析安全信号变得更加简单快速高效,我们希望安全团队的速度和效果能够增加10倍,我们正在建造自己的情报和分析平台用来解决问题。”Gillett提到。Gillett是赛门铁克、百思买和星巴克的前执行官。

  “由于获取和分析安全信号变得更加简单快速高效,我们希望安全团队的速度和效果能够增加10倍,我们正在建造自己的情报和分析平台用来解决问题。”Gillett提到。Gillett是赛门铁克、百思买和星巴克的前执行官。

  很多人感到好奇的是Chronicle的平台会带来哪些改变,企业又会如何部署。事实上,Google一直对于自己的内部安全工具非常具有创新。因此新公司能做什么值得期待。

  根据外媒Axios的消息,亚马逊正在与Sqrrl商谈收购事宜。Sqrrl是美国马萨诸州的一家网络安全软件公司,其创始人曾为NSA工作。Sqrrl通过分析大数据来追踪网络安全,让企业能够更快识别和定位这些。有消息称,这笔交易的价格会比4千万美元还稍高一点。

  经外媒TechCrunch,Facebook已经确认收购初创企业Confirm.io。后者所提供的API能够让其他公司迅速识别颁发的身份证明(例如驾驶证)是否真实。在收购之后,这家公司位于的办公场所将会关闭,团队和技术将会纳入Facebook中。

  Confirm.io公司运营三年以来,已经至少成功融资400万美元。在2015年的种子轮中,利用高超的学从一张身份证上提取信息,并借助移动生物传感器和面部识别确认了个人身份。

  客户能够将这项识别技术整合到现有服务中,例如送餐服务Doordash使用Confirm.io来识别送餐人员,Notarize使用这项技术来识别正在查看文件的客户身份。

  现如今,移动办公和云计算已经打破了安全边界,而企业 VPN 也已成为传统的解决方案。这两者都已经无法应对越过边界或进入 VPN 的者。Google 很早以前就认识到了这个问题,并将 BeyondCorp 作为边界和 VPN 替代品。BeyondCorp 取代了企业对 VPN 的需求,专注于验证设备(提供、识别设备证书)及其用户,并在其应用程序周围实施分级验证。BeyondCor 消除了可信网络和不可信网络之间的区别,侧重于验证来自任意的认证访问。但是,BeyondCor 只能在谷歌内部使用。目前,Cloudflare 也推出了类似的服务 Cloudflare Access,相当于 BeyondCorp 模式的“化”。BeyondCorp 允许员工在公司网络之外工作,且无需使用 VPN。

  Cloudflare 的专家表示:“VPN 会减慢工作速度。因为每次页面加载都会增加 VPN 服务器的额外往返次数。此外,VPN 上的用户非常容易受到网络钓鱼、中间人和 SQL 注入。相比之下 Cloudflare Access 为遗留应用程序或云应用程序提供集中的应用程序访问控制,而且不论员工在哪里工作,都不会减慢连接速度。”

  Cloudflare Access 相当于在不同的身份验证包装中客户的应用程序。确切来说,它的不是员工的设备而是公司的应用程序。“即使者设法进入设备,公司网络的每个访问都被 Cloudflare 记录,客户(公司)可以异常情况。因此,在每个应用程序周围进行认证的模型不仅增加了阻力,还提供了一个中央存储库,让安全团队可以查看异常情况,不良行为并快速做出响应。Cloudflare 服务的客户管理员将拥有每个员工设备的单一视图 – 当它登录并使用每个不同的服务 – 以服务为基础,如果发生异常情况,管理员可以立即撤回用户的访问权限。

  不过,Cloudflare 不能为用户提供企业设备,用户仍然需要自主负责远程设备的安全,用户在所使用的设备上使用多重身份验证。

  黑莓将Jarvis描述为基于云的静态二进制代码分析软件即服务(SaaS)产品。该工具目前被包括英国最大的汽车制造商捷豹虎(Jaguar Land Rover)在内的汽车制造商使用,但同样可以应用到其他领域,例如医疗保健,航空航天,国防和工业自动化等。

  现代汽车使用数百个软件组件,其中许多是由第三方供应商提供的。虽然这种方法有一些优点,但也增加了漏洞进入供应链某处软件的可能性。

  Jarvis旨在通过扫描代码并在几分钟内提供可操作的信息来解决此问题。除了发现漏洞,该服务还有助于确保符合各种标准。

  黑莓声称,新产品的开发完成需要大量的专家和大量的时间,这应该可以帮助公司节省资金,同时该工具可以与现有的开发工具和API集成。

  1月,FreeBuf出品了大量企业安全相关文章,其中的指导文章为企业保障信息安全提供了参考:

<< 返回

         

亚洲城

  • 联系电话:   400-010-1233
  • 地 址:       广州市天河区黄埔大道西平云路163号 广电科技大厦803-804、12楼
  • 传 真:     (8620)3835 2000
关于亚洲城 | 联系亚洲城 | 责任申明 | 网站地图 | 人才招聘 | 友情链接
Copyright © 2010 Guangzhou Ke Teng Information Technology Co. Ltd.All Rights Reserved.鄂ICP备16007204号-1