普普安全资讯一周概览(0121-0127)

作者:

时间:
2023-01-27
01
2023年的数据中心的安全风险


如今的网络安全形势发展迅速,并且不断出现新的威胁类别,网络攻击者还在不断学习和采用发起和隐藏网络攻击的新方法。本文揭示了2023年影响数据中心的主要安全风险。

1、网络攻击者避开传统的数据中心安全保护措施。

分析人士的普遍共识是,威胁行为者越来越善于规避传统的安全保护措施。网络犯罪分子将更具体地将目光投向多因素身份验证(MFA)和端点检测和响应(EDR)技术。

2、不断增长的数据中心合规性挑战。新的法规遵循框架(如CPRA)已经上线,现有的框架(如PCIDSS)正在进行全面检查。掌握不断变化的合规性规则,以及部署必要的专业技术来符合这些规则,并将其转化为可以在数据中心内部实现的安全控制。根据业务需要遵守的合规性要求而有所不同,但它们的范围可以从设置特定的物理访问控制,到确保基础设施得到适当的备份,再到实现网络级别的安全控制等。

3、勒索软件事件,因为网络攻击者发起更复杂且有目的的攻击,勒索软件攻击有更高的成功几率,更难防范。

DIANPING
普普点评

目前的趋势是网络攻击变得更加复杂,而能够抵御网络攻击的网络安全人员却越来越少。不断变化的合规性规则为现代数据中心安全性增加了另一层复杂性,并且针对运营技术的网络攻击也很普遍。当网络攻击者无法通过数字手段侵入服务器或应用程序时,他们可能会攻击空调系统、电源和其他关键设施,以破坏数据中心的运行。




普普安全资讯一周概览(0121-0127)



02
英国多所学校数据遭大规模泄露,教育行业成勒索软件的主目标

在 2022 年发生高校攻击事件后,来自 14 所英国学校的数据被黑客在线泄露。泄露的文件包括学生的 SEN 信息、学生护照扫描件、员工工资表和合同细节。在被攻击的学校拒绝支付赎金要求后,信息被泄露。

据报,攻击和泄露事件是由黑客组织 Vice Society 实施的,该组织针对英国和美国的教育机构进行了多次勒索攻击。

2022 年 10 月,洛杉矶联合学区 (LAUSD)警告称,Vice Society已开始发布从该机构窃取的数据。此前,LAUSD 宣布不会向勒索者付款。

在过去几年中,教育行业一直是勒索软件的主要目标。Sophos 于 2022 年 7 月发布的一份报告发现,56% 的低等教育机构和 64% 的高等教育机构在过去一年受到了勒索软件的攻击。为确保教育的连续性,尤其是在远程学习的背景下,政府需要投资教育部门的网络安全,加强教育部门端点安全,以应对勒索软件威胁。

DIANPING
普普点评

由于缺乏网络安全投资以及大量设备等因素,学校和大学已经被网络犯罪分子视为“软目标” ,敏感的个人和研究数据面临风险。学校和大学系统中存储了大量敏感数据,教育部门是恶意网络犯罪分子有利可图的目标。因此,勒索软件攻击是一个必然问题,而不是偶然问题,这就要求教育机构要准备好预防和应对这些攻击,否则他们就有文件被盗和泄露的风险。




普普安全资讯一周概览(0121-0127)



03
巴尔干地区紧张局势下,塞尔维亚政府机构遭DDoS攻击

塞尔维亚政府宣布其内政部网站和 IT 基础设施遭遇了几次“大规模 ”分布式拒绝服务(DDoS)攻击。

目前,巴尔干地区紧张局势加剧,科索沃北部的塞族人与阿尔巴尼亚族当局发生了暴力冲突。科索沃总理阿尔宾·库尔蒂曾指责外部势力试图煽动族裔,制造紧张局势。

值得一提的是,不同于以往网络攻击事件发生后,立刻会有黑客组织“站出来”为此负责,但目前还没任何黑客团体站出来对塞尔维亚内政部 DDoS 攻击事件负责。众所周知,DDoS 攻击是短时间内通过向目标网站注入大量垃圾流量,使其无法访问。在俄乌冲突中,俄罗斯和乌克兰双方支持的黑客团体之间,进行了一系列的 DDoS 攻击活动。

DDoS 攻击事件背后的政治环境。塞尔维亚领导人武契奇曾表示,北约领导的维和科索沃部队(KFOR)拒绝允许其根据联合国安理会决议赋予的权力,向该领土部署 1000 名军事和警察人员以应对最近的冲突。

DIANPING
普普点评

塞尔维亚首都贝尔格莱德在声明中表示,政府安全专家和塞尔维亚电信公海710(Telekom Srbija)的工作人员有能力对抗此次网络攻击,旨在使内政部 IT 基础设施瘫痪的五次大型 DDoS 攻击目前已经被“击退”。此外,塞尔维亚政府补充强调,强化的安全协议已经启动,虽然此举可能会导致某些服务间歇性中断,政府工作效率降低,但这一切都是为了保护内政部的数据安全。




普普安全资讯一周概览(0121-0127)



04
Web安全之CSRF及防护方法

基于浏览器的工作机制原因,形成一种WEB攻击形式,即CSRF攻击;是一种对网站的恶意利用,是挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。

CSRF简称:跨站请求伪造,跟XSS攻击一样,存在巨大的危害性。在CSRF的攻击场景中,攻击者会伪造一个请求然后欺骗目标用户进行点击,用户一旦点击了这个请求,整个攻击就完成了,所以CSRF攻击也称为one-click attack。攻击者盗用了用户的身份,以用户的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者期望的操作,比如以用户的名义发送邮件,甚至于购买商品、虚拟货币转账等。

CSRF防护方法包括验证HTTP请求头、Token机制、在请求头中自定义属性并验证、设置Cookie的SameSite属性。CSRF攻击就是利用了cookie中携带的用户信息,想要防护Cookie不被第三方网站利用,可以通过设置Samesite属性。SameSite最初设计的目的就是防CSRF,SameSite有三个值Strict/Lax/None。

DIANPING
普普点评

对于防范CSRF攻击,我们可以针对实际情况将一些关键的Cookie设置为Strict或者Lax模式,这样在跨站点请求时,这些关键的Cookie就不会被发送到服务器,从而使得黑客的CSRF攻击失效。除了技术层面的防护方法,常用的是验证HTTP请求头和Token机制;使用WAF(Web应用防火墙,如免费的ShareWAF)可以抵御绝大多数的攻击,极大的提高网站安全性。




普普安全资讯一周概览(0121-0127)



05
构建主动安全防护能力的关键技术—安全态势管理(SPM)

当前,网络安全形势严峻,在企业安全防护更强调攻防对抗和有效性的背景下,构建主动安全防护能力体系,是有效应对日益复杂的网络攻击手段,保障数字化转型成功的必要路径。

安全态势管理(SPM) 有多种类型,包括了专注于云基础设施(包括IaaS、SaaS和PaaS)的云安全态势管理,以及识别敏感数据并确保其安全的数据安全态势管理。

在2023年,最重要的SPM技术是SaaS安全态势管理(SSPM),用于检测和修复SaaS应用程序中的错误配置和其他问题。SSPM是云访问安全代理(CASB)技术发展以来SaaS安全领域最重要的创新之一。

云安全态势管理(CSPM)是SPM一个重要的细分应用,旨在识别云中的错误配置问题和合规风险。CSPM解决方案的一个重要目标是持续监控云基础设施,以发现安全策略执行方面的漏洞。

DIANPING
普普点评

被动式的响应安全事件,往往会耗费安全人员大量精力,同时又难以避免对企业财产和业务造成损失。而安全态势管理方案则可以自动识别和修复整个企业数字化环境中的风险,帮助企业安全管理者进行风险可视化、自动化事件响应和合规性监控。在2023年,需要重点关注并积极尝试较为成熟的主动安全防护技术/产品,推进组织新一代安全能力体系构建。




普普安全资讯一周概览(0121-0127)



06
构建主动安全防护能力的关键技术—攻击面管理(ASM)

当前,网络安全形势严峻,在企业安全防护更强调攻防对抗和有效性的背景下,构建主动安全防护能力体系,是有效应对日益复杂的网络攻击手段,保障数字化转型成功的必要路径。

攻击面管理(ASM)技术要求持续发现和监控企业所有的数字化资产,从应用程序、数字证书、代码到移动和物联网设备,以保持已知和未知资产的可见性。据最新调查数据显示,有52%的受访企业组织管理着超过10,000个数字资产,ASM将是一项重要且不断增长的技术。

安全专家认为,ASM是安全分析技术的进步,是传统威胁检测与响应类技术方案的能力延伸。ASM利用了威胁检测响应中恶意活动意识增强的趋势,并将其进一步扩展。它回答了很多问题,比如企业哪里可能成为目标,哪里缺乏可见性,组织的攻击面整体是什么样的?在哪些方面缺乏足够的监控措施;企业是否真正具备了应有的防御机制和能力。

DIANPING
普普点评

根据Gartner的描述,ASM技术需要超越传统资产的识别范围(如端点、服务器、设备或应用程序等),通过将发现的资源整合到资源库,使用户可以了解到传统威胁检测工具的覆盖缺口。ASM还可以通过API集成提供自动化的数据收集,取代传统手动和低效的资产收集分析模式,帮助安全团队实现对整体环境的安全控制、安全态势感知和资产风险修复,从而主动改善企业的数字化安全状况。




普普安全资讯一周概览(0121-0127)



07
构建主动安全防护能力的关键技术—入侵和攻击模拟(BAS)

当前,网络安全形势严峻,在企业安全防护更强调攻防对抗和有效性的背景下,构建主动安全防护能力体系,是有效应对日益复杂的网络攻击手段,保障数字化转型成功的必要路径。

入侵和攻击模拟(BAS)是由Gartner首先提出的概念,并将之归到了新兴技术行列。正如 Gartner 描述的,此类工具“可供安全团队以一致的方式持续测试安全控制措施,贯穿从预防到检测乃至响应的整个过程”。

入侵和攻击模拟(BAS)工具能够高效一致地衡量现有安全检测功能及运营的有效性。模拟结果可帮助指导产品投资及配置决策以堵上安全漏洞,还有助于补全企业领导的网络安全知识空缺,比如:攻击者能悄悄绕过我们的防御吗?我们适用的风险是什么?这些风险对我们能造成什么样的影响?这可以使安全人员处于影响短期投资决策、参与长期安全规划的位置上,还能从商业角度总结出安全运营上的改善。

DIANPING
普普点评

BAS与传统的渗透测试和漏洞管理工具有根本上的不同。后两种方法都需要大量的人工指导,实际上会为安全团队制造更多的工作和带来更多误报。相比之下,BAS完全自动化,并全面模拟数千种攻击,充分运营好所有的安全产品和工具,帮助企业识别各种类型的安全漏洞,并以合理的成本解决企业面临的安全问题。