普普安全资讯一周概览(0212-0218)

作者:

时间:
2022-02-18
01

教育行业成2021年网络攻击重灾区

Check Point Software Technologies的调查研究显示,教育和研究领域是2021年网络攻击者的首要目标,每家机构每周平均遭受1605次攻击,比2020年增加了75%。新冠肺炎疫情促使企业和教育行业的员工纷纷居家办公,由此催生了对数字技术和在线课程的需求,推动了数字教育市场大幅发展,但同时也给学习和网络威胁都创造了条件和机会。

Check Point数据研究经理Omer Dembinsky表示,由于转向远程学习和大量非员工需要远程访问在线教育机构的各个系统,数字资产暴露面不断扩大,网络攻击风险也上升了。

政府及军事部门紧随教育行业之后,2021年每个机构每周遭受1136次攻击,比上一年增加47%。由于所涉事务的敏感性,政府一直是此类攻击的主要目标。世界各国政府转向在线为公民提供各项服务的事实,也为网络攻击者打开了又一扇方便之门。

通信行业在遭攻击最多的行业中列第三,2021年每个企业每周遭遇1079次攻击,比上一年增加了51%。

普普安全资讯一周概览(0212-0218)
普普点评

由于不重视网络安全,教育行业很容易成为黑客攻击的目标;同时,新冠疫情迫使教育工作者偶尔化身首席信息官,帮助教职员工和学生转向居家学习的新技术。面对日益频繁的攻击,最好建立起可交付统一防护基础设施的安全架构,提供全面快速的安全保护。此外,还应该保持适当的安全卫生,实施漏洞修复、网络分隔、员工教育等安全防范措施,并实现先进的安全保护技术。

普普安全资讯一周概览(0212-0218)

普普安全资讯一周概览(0212-0218)


普普安全资讯一周概览(0212-0218)

02

加密强度不足缺陷漏洞

大多数密码系统都需要足够的密钥大小来抵御暴力攻击。软件使用理论上合理的加密方案存储或传输敏感数据,但强度不足以达到所需的保护级别。

RSA是目前最有影响力和最常用的公钥加密算法,它能够抵抗到目前为止已知的绝大多数密码攻击,已被ISO推荐为公钥数据加密标准。只有短的RSA钥匙才可能被强力方式解破。只要当钥匙的长度足够长时,用RSA加密的信息实际上是难以被解破。

RSA的安全性依赖于大数的因子分解,但并没有从理论上证明破译RSA的难度与大数分解难度等价,而且密码学界多数人士倾向于因子分解不是NP问题。

人们已能分解140多个十进制位的大素数,这就要求使用更长的密钥,带来的问题是速度减慢;另外,人们正在积极寻找攻击RSA的方法,如选择密文攻击,一般攻击者是将某一信息作一下伪装(Blind),让拥有私钥的实体签署。然后,经过计算可得到它所想要的信息。

普普安全资讯一周概览(0212-0218)
普普点评

加密强度不足的程序可能会受到暴力攻击,如果暴力攻击成功,恶意攻击者则进入系统进行破坏。使用本领域专家目前认为比较强的加密方案。例如使用RSA算法,密钥越长,它就越难破解。目前被破解的最长RSA密钥是768个二进制位。也就是说,长度超过768位的密钥,还无法破解。因此,1024位的RSA密钥基本安全,2048位的密钥极其安全,建议使用2048位的密钥。

普普安全资讯一周概览(0212-0218)

普普安全资讯一周概览(0212-0218)
普普安全资讯一周概览(0212-0218)

03

企业法务合规的四大新风险趋势

日前,Gartner公海710列出了企业法务合规部门在今后两年会遇到的四个新兴风险趋势。这些趋势将决定法务、合规和隐私风险对组织目标实现的重要性以及对新法务合规服务的需求。

一是技术监管的新领域,法务监管体系正在适应日益受数据、平台和自主决策驱动的企业运营环境。二是不断变化的社会期望。利益相关者的影响力越来越大,他们的期望也发生了变化,而且在一些地方与企业目标的新愿景趋同。如果组织跟不上这种变化,将面临政府、客户、供应链合作伙伴、员工及其他利益相关者的惩罚性反应。三是新的劳资关系,这场疫情促使许多人重新评估工作生活,并促使企业从不的角度思考如何完成工作。这个持续的现象正在带来就业新政,这与疫情暴发前的常态大不相同。四是地缘政治竞争,公众期望与政府业绩之间的差距越来越大,正在加剧社会内部的紧张局势。

普普安全资讯一周概览(0212-0218)
普普点评

从根本上说,企业的社会角色在发生变化,新冠疫情已对大多数组织带来了巨大冲击。组织生存是过去两年的主题,直到现在,法律、监管和社会系统才赶上新形势和已发生的重大技术变革。如果组织跟不上这种变化,将面临政府、客户、供应链合作伙伴、员工及其他利益相关者的惩罚性反应。且随着地缘政治环境对贸易、关税、勒索软件、网络安全和并购的影响越来越大,企业弹性或将成为一个关键的竞争优势。

普普安全资讯一周概览(0212-0218)

普普安全资讯一周概览(0212-0218)
普普安全资讯一周概览(0212-0218)

04

Windows 11更新要小心了 恶意软件已经盯上它

2022年年初,在Windows 11系统广泛部署阶段,RedLine恶意软件团伙已经悄悄盯上了这波更新,已经做好了充足的攻击前准备。

攻击者使用看似合法的“windows-upgraded.com”域来分发恶意软件。如果访问者单击“立即下载”,他们会收到一个1.5M的名为“Windows11InstallationAssistant.zip”的zip文件, 随后,解压缩文件会生成一个大小为 753MB 的文件夹,其高达99.8%的压缩率令安全研究人员印象深刻。而当受害者启动文件夹中的可执行文件时,一个带有编码参数的 PowerShell 进程就会启动。并且还会启动一个 cmd.exe 进程,在经过约21秒的超时时间后,它会从远程 Web 服务器获取一个 .jpg 文件。该文件包含一个DLL,其内容以相反的形式排列,其目的或许是为了逃避检测和分析。最后,初始进程加载 DLL 并用它替换当前线程上下文,通过TCP 连接到命令和控制服务器,这样它就可以在新感染的系统上获取接下来需要运行的恶意指令。

普普安全资讯一周概览(0212-0218)
普普点评

截止到目前,安全研究人员发现的这个分发站点已经被关闭,但是却无法阻止攻击者设置新的分发站点,并重新开启新一轮的、虚假的Windows 11升级安装程序。事实上,这样的情形已经在不断发生。因此,用户在更新Windows 11系统时一定要选择官方渠道,如果Windows 10用户由于硬件不兼容而无法从官方分发渠道获得,那么在进行更新时应尽量提高警惕,避免陷入攻击者预设好的陷进之中。

普普安全资讯一周概览(0212-0218)

普普安全资讯一周概览(0212-0218)
普普安全资讯一周概览(0212-0218)

05

网络安全自动化:评估产品和服务的自动化潜力

随着安全自动化的推广,安全产品与服务将不可避免地将自身与自动化相互结合,但现有的产品和服务并不能完全支持自动化改造。产生这一问题的主要原因是:通过应用程序编程接口(API)获得的功能和信息可能与通过用户界面获得的功能和信息不同。因此,评估产品和服务的自动化潜力对于如今安全自动化的实行是十分重要的。

首先,产品或服务必须具有供用户大规模使用的API。在安全编排、自动化和响应(SOAR)市场出现之前,并不是所有的产品都为用户提供了直接的API访问。预期的设想是:用户将与仪表板或控制台交互,应用程序将在内部处理所有API请求。但当用户开始从几十个产品中接收到数千个警报时,这种方法就不再是可行的网络防御了。现在,大多数产品都期望并支持用户某种程度的自动化,但是用户通过产品或服务提供的图形界面手动与应用程序交互的最初设计原则,导致了不同程度的自动化支持。

普普安全资讯一周概览(0212-0218)
普普点评

在网络安全分析中,传统的网络安全在当今时代背景下是十分局限的,这也造就了网络安全自动化的兴起。网络安全自动化即,通过流程自动化的产品和服务实现整个网络安全分析过程自动化,使安全分析师能快速地关注与最大风险相关的信息、事件。安全产品与服务将不可避免地要顺应自动化的潮流,将自身与自动化思想相互结合。但现有的产品和服务并不能完全支持自动化改造,因此评估产品和服务的自动化潜力是十分有必要的。

普普安全资讯一周概览(0212-0218)

普普安全资讯一周概览(0212-0218)
普普安全资讯一周概览(0212-0218)

06

物理隔离内网面临的安全威胁

网络隔离技术分为物理隔离和逻辑隔离,物理隔离就是将两个网络物理上互不连接,物理隔离需要做两套或者几套网络,一般分为内、外网。

物理隔离的网络通常出现在政府机构、大型企业以及军事部门中,它们通常存储着保密的文件或重要隐私及数据。攻克物理隔离网络通常被视为安全漏洞的圣杯,因为破坏或渗透物理隔离系统的难度极大。

物理隔离内网不可能不与外界交互数据, 因此隔离网络系统的建设注定要牺牲网络数据交换的便捷性。为了解决实际生产环境中的数据交换需求,经常会出现一些“不得已”的操作, 譬如搭建内网跳板机映射共享目录、使用可移动存储设备进行数据摆渡等,这些操作相当于间接打通了一条与外网通信的隧道,从而破坏其物理隔离的完整性。除此之外,物理隔离环境会导致隔离内网环境的安全更新(漏洞补丁、病毒库等)滞后。

普普安全资讯一周概览(0212-0218)
普普点评

物理隔离的网络通常出现在政府机构、大型企业以及军事部门中,它们通常存储着保密的文件或重要隐私及数据。构建了隔离内网安全防护体系并不意味着就安全了,根据Ramsay等恶意软件针对隔离网络环境的攻击,其目的是进行各种网络窃密活动,攻击者将收集到的情报直接写入移动存储介质的特定扇区,并不在该存储介质上创建容易查看的文件,可见攻击与收集行为极具隐蔽性,威胁性很大。

普普安全资讯一周概览(0212-0218)

普普安全资讯一周概览(0212-0218)
普普安全资讯一周概览(0212-0218)

07

企业上云后面临的安全威胁

网络恶意攻击,云计算的开放性让企业用户能够随时随地访问业务或数据,但这样的特性很容易让攻击者发现。

云资产管理混乱,云平台的管理与传统资产管理是不一样的,运维人员不仅要管理物理主机的基础硬件,同时也要对云计算的每一个应用、服务、应用的接口进行管理,如果运维人员没有进行培训,很容易造成云资产管理混乱。

系统漏洞,如果企业选择的云架构没有很好的隔离手段,这会导致云用户之间发生相互入侵、跨站脚本攻击等情况,会给企业带来更多潜在的安全和业务风险。

数据丢失、泄露,云资产管理混乱,或是部分刚刚接触云的用户缺乏对云平台的运维管理经验,出现越权、误操作等情况可能导致数据的丢失泄露。

缺乏审计工具,攻击者常常会利用非法获取接口访问密钥,然后发起接口漏洞类的攻击,由于缺乏可靠的合规审计工具或能力,这类攻击有时很难被企业客户所发现。

普普安全资讯一周概览(0212-0218)
普普点评

如今,随着云计算等新兴科技的发展,不同类型企业间的关联越来越多,它们之间的业务边界已被打破,企业上云成为了大势所趋。云计算应用帮助企业改变了IT资源不集中的状况,同时,数据中心内存储的大量数据信息,也成为了黑客的攻击目标。尽管企业上云能够带来很多便利,但云计算基础架构与业务云化之后,企业将会面临新的安全威胁。

普普安全资讯一周概览(0212-0218)

普普安全资讯一周概览(0212-0218)