普普安全资讯一周概览(1016-1022)

作者:

时间:
2021-10-22
NO.1

一种新型电磁攻击 用以太网线作为“天线”窃取敏感数据

近日,以色列内盖夫本古里安大学网络安全研究中心验证了一种新的数据泄露机制,称为LANTENNA Attack,该机制利用以太网电缆作为“传输天线”,从物理隔离系统中窃取敏感数据。

该研究中心负责人Mordechai Guri博士进一步解释说,LANTENNA是一种新型电磁攻击,其工作原理是通过物理隔离计算机中的恶意代码收集敏感数据,然后通过以太网电缆发出的无线电波编码,附近的软件定义无线电(SDR)接收器以无线方式拦截信号,解码数据,并将其发送给相邻房间的攻击者。

研究人员在测试时发现,以太网电缆在125MHz频段产生电磁辐射,附近的无线电接收器可以拦截这些电磁辐射;从物理隔离计算机泄露的数据通过以太网电缆传输,可以在相距200厘米的距离处被接收;在此种攻击场景中,前提是攻击者必须物理访问系统,例如利用恶意内部人员或诱骗有权访问系统的人员连接受感染USB驱动器。

研究人员指出:“值得注意的是,恶意代码可以在普通用户模式进程中运行,并在虚拟机内成功运行。”

PUPUDIANPING
普普点评

电磁泄漏是信息系统的设备在工作时经过地线、电源线、信号线、寄生电磁信号或谐波等辐射出去,产生的信息泄漏。在工作过程中,模拟与数字信号处理中电流的变化将产生电磁发射,这些电磁发射如被接收分析即可能还原相关信息,从而造成信息泄密。这些电磁信号如果被接收下来,经过提取处理,就可恢复出原信息,造成信息失密。具有保密要求的计算机信息系统必须加强防止电磁泄漏。


NO.2

俄罗斯“壮士断腕” 构建自身网络安全

俄罗斯结合国内环境、外部威胁,终于出台新版的《国家安全战略》。

俄罗斯智库,媒体等机构结合现有信息安全状况,总结了本国所面临的主要信息安全威胁对未来5年甚至更长时间的国家安全范畴进行了重新评估和定位。

媒体称,政府机构已将信息安全列为国家安全战略优先发展,结合各方优势,大力培养信息安全人才,构筑信息安全的基础框架,将信息安全纳入国家安全体系,总体提升俄罗斯防卫能力。相比较于2015年的《国家安全战略》,新版本结合近些年外部局势,对俄罗斯在国家安全领域以及优先发展方向制定了详细目标,是俄罗斯未来发展的指导性纲领。

此次颁布的国家安全战略中明确提出了联邦优先发展战略方向,信息安全权成为新的优先级。在《国家安全战略》中首次单独提出信息安全章节,明确要构筑国家信息安全防线,防止其他国家使用互联网技术对俄罗斯实施网络攻击、情报窃取、基础设施破坏等,加强人才体系建设、培养优秀的网络安全人才,切实保护俄罗斯的网络环境。

PUPUDIANPING
普普点评

现今信息安全领域形式不容乐观,近些年各种安全事件层出不穷,从2010年伊朗“震网”事件、2013年“斯诺登”事件、勒索病毒肆虐,再到近期的华为“5G”事件,网络信息安全以及工控安全现已上升到了战略安全的地位。世界各国皆是如此,未来发展自主可控的信息安全技术是关系国家安全的战略目标,构建网络安全是信息技术的重中之重也已成为共识。

NO.3

全球超九成大中型企业面临供应链威胁

根据BlueVoyant最新发布的报告,过去一年,供应链风险陡增,全球大约93%的大中型企业组织由于供应链薄弱而遭受直接破坏。特别是SolarWinds漏洞和勒索软件攻击等活动,更加凸显了企业组织面临的供应链攻击风险。

报告中,BlueVoyant对规模超过1000名员工的全球公海710负责供应链和网络风险管理的1200名IT和采购负责人进行调查。调查显示,过去12个月,企业的平均违规次数从2020年的2.7次增加到2021年的3.7次,同比增长37%。

尽管不重视第三方风险的公海710比例从去年的31%降到2021年的13%,但承认无法感知其供应链是否发生事故的人数从31%增加到38%。此外,91%的受访者表示,今年的安全预算有所增加,但投资似乎没有产生效果。

报告指出:安全预算增加表明,公海710意识到需要投资于网络安全和供应商风险管理。然而,广泛而一致的痛点表明,安全投资并没有达到应有的效果,这与缺乏可见性、监控和高层报告有关。BlueVoyant认为,企业组织必须将其第三方风险管理,从静态调查问卷转变为持续监控和快速行动,以解决关键的新漏洞。

PUPUDIANPING
普普点评

近年来数据泄露事件被披露的数据不断上升,原因大部分都是网站安全防护不到位而导致的。在如今的互联网时代,企业很难在没有网络的情况下开展业务,因此保持网站的安全应该说是企业IT运维的重中之重。为了保护用户的信息安全,各大网络平台应该要提升安全防护,尤其是需要与用户进行信息交换的平台,更需要加强网站的安全防护。

NO.4

云资源被窃成趋势 3万云账户在暗网泛滥

现今,全球的网络犯罪分子仍在积极寻找各种各样的新技术和新方式,来渗透各个领域的企业和组织。

IBM Security X-Force在近期发布的一份最新报告中,详细阐述了网络犯罪分子当前所采用的各种顶尖渗透策略,以及如何在暗网市场上窃取云资源,而后者对于网络犯罪领域来说则是一个新兴市场。

数据带来的最大好处是,在云安全方面,企业仍然可以掌控自己的全局。IBM在今年的调查过程中观察到,跨应用程序、数据库和策略的错误配置已经成为导致云环境发生数据泄露的主要原因。

IBM的《2021 X-Force云安全威胁形势报告》包含了更多新的和更可靠的数据,这份报告涵盖了2020年Q2至2021年Q2的云安全威胁形势详情。

研究人员所使用的数据集包括暗网分析、IBM安全X-Force红色渗透测试数据、IBM安全服务指标、X-Force事件响应分析和X-Force威胁情报研究。这些扩展数据集可以为我们提供一个涵盖整个网络安全技术领域的广阔视图,以帮助广大研究人员在各个安全元素之间建立连接以提升各组件的安全性。

PUPUDIANPING
普普点评

企业上云已经是大势所趋。在过去的十年中,云服务的使用持续增长,尤其在发生疫情后,许多企业加速数字化转型,以便让员工能够在家中工作。不过,上云以后,许多安全问题也暴露出来。云上配置非常复杂,对于上云的企业而言,仅仅依靠云平台厂商所提供的安全服务是不够的,还需要依靠一些补充的安全能力和服务,如依靠专业第三方安全厂商来帮助企业保障其业务上云安全。

NO.5

案例警示 不可忽视的API安全

前几日,在2021国家网络安全周线上主题晚会“网安在行动”环节,展示了1个由API导致的数据泄漏警示案例。

2021年9月,某监管部门进行网络安全巡检,在使用全知科技知影-API风险监测系统对医疗领域在互联网上的一些数据接口进行巡检时,发现告警平台上报出一条高风险告警事件,

对这条风险告警进行技术分析,发现是一家医院系统在互联网上开放的一个数据暴露API,用来给患者提供查询自身报告数据。然而,技术人员仅需通过一些简单的操作,就能随意获取病人的全部报告数据,包括姓名、手机号、身份证号、年龄、病例信息,尤其是心电图、X光片等敏感信息数据,这些是《个人信息保护法》里典型的敏感个人信息,一旦泄露对用户危害巨大。全知科技技术人员分析,这种数据泄露正是由API自身的安全隐患所引起的,由于医院开放的数据查询接口没有做严格的身份校验、访问控制,任何人都可以通过一串报告的数字或者患者手机号等信息,直接查询到患者的个人医疗数据信息。

PUPUDIANPING
普普点评

API作为影响数据安全和个人信息保护的重要风险来源,一旦发生安全问题,泄露的将是海量的数据,影响面不可估量;更甚之,若API被攻击的情况发生在一些重要行业,例如金融行业、医疗行业、政务行业等,导致个人的医疗信息、金融信息等隐私数据被不法分子利用,不仅会给个人带来权益的损失,还会引发恶劣的社会影响,甚至影响国家安全。

NO.6

澳大利亚或首创全球“最严手段” 情报机构可强制进入企业计算机系统

澳大利亚正在拟定一项“全球首创”的网络安全法律,赋予情报机构——澳大利亚信号局(ASD)接管国内任何关键基础设施(企业)计算机系统的权力,一旦个人或企业拒绝联邦机构的要求,将遭到逮捕或罚款等严厉惩罚。虽然全球各国对于关键基础设的安全问题从未放松警惕,但攻击依旧不可避免,来自地缘政治的目的性攻击和勒索犯罪团伙的攻击,使得多个国家对关键基础设施相关战略性工作不断推进。

网络威胁下,新的法律将容许澳政府动用“非同寻常的最后手段”,也被视作全球各国网络监管“最严厉的手段”。新法律将授权情报机构——澳大利亚信号局(ASD)强制进入一家企业,如果个人没有对ASD关于如何应对网络攻击的命令作出回应,则将被逮捕并被判处两年监禁以及26640澳元罚款,相关公海710也会面临数额高达13.32万澳元的罚款。这项措施不仅针对公海710首席执行官,也可能针对负责管理网络安全的员工(如公海710首席信息安全官)。

PUPUDIANPING
普普点评

关键信息基础设施是经济社会运行的神经中枢,是网络安全的重中之重。保障关键信息基础设施安全,对于维护国家网络空间主权和国家安全、保障经济社会健康发展、维护公共利益和公民合法权益具有重大意义。当前,关键信息基础设施面临的网络安全形势日趋严峻,网络攻击威胁上升,如何有效应对当前网络安全威胁,是各个国家都需要面对的问题。

NO.7

iPhone频现“杀猪盘” 诈骗者敛获至少140万美元

索福斯实验室研究人员最近发现了一个新骗局,加密货币诈骗者利用苹果企业开发者计划和企业签名来躲过应用程序审查流程,将虚假交易应用程序安装到iPhone后实施诈骗。截至目前,这一骗局至少敛获了140万美元不义之财。据可靠消息,该骗局仍在四处传播。施骗者通过一些第三方交友平台与受害者建立联系,取得信任后,诱导他们在iPhone上安装带有虚假交易模块的应用程序,以“盈利”为诱饵吸引用户购买各种金融产品、已经涉及加密货币交易的投资交易活动。

为了伪装合法性,骗子提供了一个看似得到苹果批准的“官方”iPhone应用程序。苹果App Store并不会通过恶意软件安装申请,尤其是完全虚假的加密货币交易程序,那骗子是如何躲过苹果的审查流程实施诈骗呢?

事实上,诈骗者利用了苹果企业应用分发的机制。苹果允许企业移动设备管理 (MDM) 分发企业应用,这一机制可以完全绕开APP Store的监管,让一些未经审核甚至带有安全隐患的应用安装到手机。

PUPUDIANPING
普普点评

我国有句俗话,“只有千日做贼,哪有千日防贼。”对于一些心怀不轨之人,我们不可能时时刻刻都小心谨慎,可一旦松懈,便是“贼人”趁虚而入之时。加密货币是由纯粹的共识价值来支撑的,当抛去这个共识价值后,它就是一串毫无任何价值属性,且浪费存储空间的代码。这种特点,让加密货币十分容易受到人们情绪的影响,而操纵情绪,正是诈骗者、资本家最擅长的手段。