安全快讯Top News

工业互联网联盟(IIC)发布新型物联网安全成熟度模型(SMM)

外媒 4 月 11 日消息,工业互联网联盟(IIC)基于其自身的安全框架和参考架构开发了一种新型物联网安全成熟度模型(SMM),有助于企业利用现有的安全框架达到他们自己定义的物联网安全成熟度目标级别。本周 IIC 发布了两篇报告中的第一篇 — 《物联网安全成熟度模型:描述和预期用途》,该篇主要是针对较少技术的物联网利益相关者的高级概述。微软物联网标准首席策略师 Ron Zahavi 预计第二篇为安全从业人员提供更多技术观点的白皮书将会在夏季发布。 根据 Ron Zahavi 的说法,《物联网安全成熟度模型:描述和预期用途》是为商人准备的,因为可以帮助他们了解安全所需要的东西,并帮助他们将其转化为自己业务所需的成熟度等级(所需的成熟度级别成为目标成熟度级别)。 Zahavi 表示,这种新型物联网安全成熟度模型的目的是为所有行业部门提供单一的物联网 SMM 和所有与物联网实施相关的,无论个人安全需求如何,也无论是家庭、办公室还是工厂。IIC 的指导原则是开发一种适用于所有行业的新模式,涵盖流程和技术、合理利用 NIST 和 ISA-62443 等现有框架,而不是试图去替代它们、简单和可扩展的、并且可供所有现有的安全评估公司使用等方面。 该模式从成熟度建立在三个主要维度上的基础开始:治理、支持和强化。每个维度包含不同的领域,Zahavi 解释说: “治理涵盖战略、实践和流程的运作和管理,如威胁建模和风险评估以及供应链管理。支持包括传统安全技术的操作和管理,如身份和访问管理、数据保护、资产管理、物理管理等。强化则是关于漏洞和补丁管理的运营方面,以及事件响应和审计等。” 然后在两个轴线上(“综合性”和“范围”)对每个领域和实践进行评估。 综合性是关于将安全措施应用于维度、领域和实践的深度和一致性的程度。分为四个等级(如果包含’没有’,则为五个): –   最低限度; –  临时性(安全性往往是对被宣传的事件或问题的反应); –  一致(使用最佳做法和标准,可能集中而不是现场解决方案); –  形式化(包括一个定义明确的流程,用于管理一切随着时间的推移并将其持续改进) 范围被定义为适合行业或系统需求的程度,分为三种层次: * 一般(没有具体评估与物联网部门的相关性); * 针对特定行业(如果针对行业特定要求实施安全 , 医疗保健可能与制造业不同); * 和系统特定的(安全实施与特定组织中特定系统的特定需求和风险相一致)。对于系统特定的范围,Zahavi 评论说,零售组织可能希望在其 PoS 传感器和其供应链传感器之间进行划分。 将不同实践的综合性和范围相结合,使组织能够在实际和目标级别以及安全实施级别上精细地定义其物联网安全成熟度。 成熟的目标水平几乎是风险偏好的体现,这是一个业务功能,而不是安全功能。多年来,安全团队一直盲目运营,以致业务和安全之间的沟通很少。目前这种情况正在改变,并且工业数字化和操作技术(物联网设备的主要发源地)与信息技术的融合以及将物联网设备在互联网上的曝光正在改变安全失效的底线。 虽然信息的损失可能会造成会损害品牌或者造成惨痛的代价,但是制造业的损失可能是灾难性的。而使用 IIC SMM 则可以帮助更好地将安全性与业务优先级结合起来,并有助于业务和安全性的结合。 IIC 给出的具体建议是: 让业务负责人指定成熟度目标,而安全团队则进行当前的成熟度评估。两个级别之间的差异可以通过差距分析来评估,从中可以制定弥合差距的路线图。路线图可以让任何所需的安全性增强 ,从而引起成熟度级别的重新评估以及流程的重复。 这个过程的一个辅助工具是成熟度模板,当然 IIC 采用这种新的物联网安全成熟度模型的意图是增强而不是替代现有的安全框架,并且 IIC 也希望不同行业的不同公司开发和发布可供其他组织使用的高级 IIC SMM 成熟度模型。 消息来源:securityweek,编译:榆榆,审核:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

全美警局已普遍拥有破解 iPhone 的能力

来自 Motherboard 的报道称,目前全美范围内的当地警署以及联邦机构都可以很轻易的获取到解锁 iPhone 的专用工具,绕过加密手段轻松解锁嫌疑人的 iPhone,即使设备更新至最新版的操作系统也没有问题。尽管执法机关在公开场表示仍在寻找破解安装最新的 iOS 系统的较新的 iPhone 的方法,但这显然不是事实。 约翰霍普金斯信息安全学院的助理教授和密码专家 Matthew Green 向 Motherboard 透露,目前看来,即使州或者当地警署也能在各种情况下访问这些数据。这与 FBI 表示的无法访问这些 iPhone 的说法大相径庭。 执法机关使用的是一种被称作 GrayKey 的解密工具,据称可以在数小时内解锁 4 位 iPhone 密码,不过 6 位密码可能需要花上两三天时间。GrayKey 是由一家称作 Grayshift 的初创公司开发的,其创始人 Braden Thomas 是前苹果安全工程师,据称其在苹果五个专利中都有署名。 稿源:cnBeta,封面源自网络;

Verizon 发布《 2018 年数据泄露调查报告》:勒索软件已成为最流行的恶意软件

据外媒报道,美国电信巨头 Verizon 于本周二在其 2018 年数据泄露调查报告 (DBIR)中称,勒索软件攻击事件数量在过去一年中翻了一倍,成为最流行的恶意软件,这是因为黑客组织想通过锁定关键的业务系统来要求支付赎金,从而获取巨大的利益。 Verizon 执行董事安全专业服务部门的 Bryan Sartin 在一份声明中表示:“勒索软件是目前最流行的恶意软件攻击形式。近年来它的使用量大幅增加,因为现在企业仍然没有投资合适的安全策略来打击勒索软件,这意味着他们在面对勒索攻击时别无选择,只能向网络犯罪分子支付赎金”。 Verizon 在分析了 53,000 多起安全事件(其中包括 2,215 起违规事件)后表示,勒索软件攻击占特定恶意软件事件的 39%。 推动勒索软件攻击的一个趋势是针对关键业务系统(非台式机)的能力,这些系统可能对公司造成更多损害,并且很可能黑客组织试图将其作为勒索目标从中获取更多的利益。目前随着时间的推移,勒索软件事件中的资产类别已经从用户设备走向服务器,Verizon 说这是因为黑客意识到加密文件服务器或数据库比单个用户的设备更具破坏性。 Verizon 表示,横向移动和其他威胁活动经常会卷入其他可用于感染和遮挡的系统中。这些勒索软件攻击对黑客组织来说很有吸引力,因为黑客本身几乎不需要承担任何风险或成本,并且也不需要违反保密条款来实现其目标。 Verizon 在其报告中称,目前许多黑客已将钱财视为其首要任务,根据调查,有 76% 的违规行为都是出于财务动机。 例如 2017 年勒索软件最突出的例子 —  5 月份的 WannaCry 和 NotPetya 攻击。WannaCry 勒索软件通过感染 150 个国家 30 多万个系统,要求支付 300 美元的赎金才能解密密钥。与此同时,NotPetya 加密了主引导记录,并要求以比特币作为赎金支付的主要形式。 10 月份,另一宗勒索软件活动 BadRabbit 震动了安全行业 ,这项与俄罗斯 Telebots 有关的活动是在俄罗斯、乌克兰和东欧的网站上使用恶意软件发起的。在该事件中,攻击者瞄准基础设施(不仅仅只是桌面系统)并造成了巨大损害,其中乌克兰遭受了关键网络资产和基础设施的最大破坏。 最近,在 2018 年 3 月,亚特兰大市成为勒索软件攻击的目标。该起事件影响了几个部门,并瘫痪了处理付款和传递法院信息的政府网站。随后,亚特兰大市被要求支付 51,000 美元以换取密钥来解密系统。 为减轻勒索软件攻击的可能性,Verizon 在其报告中建议用户应确保有常规备份,并且隔离那些很重要的资产,以及将其放在业务连续性的优先级上。 Verizon 发现,总体而言,黑客、恶意软件和社交攻击(如网络钓鱼)等是过去一年中最多的安全违规事件。 除此之外,分布式拒绝服务(DDoS)攻击是 Verizon 2018 年报告强调的另一个重大威胁。Verizon 表示:“ DDoS 攻击可能会对任何人造成影响,因为它经常会被用作伪装启动或者停止后重新启动,以隐藏正在进行的其他违规行为。 目前来说,大多数网络犯罪分子具有经济动机,因此,他们针对金融、保险和零售行业发起的攻击不足为奇。Corero Network Security 的产品管理总监 Sean Newman 认为对于能够希望实现 100% 正常运行的在线公司而言,实时检测并自动减轻攻击的 DDoS 技术应该是必备的要求。 消息来源:threatpost,编译:榆榆,审核:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

微软正式停止支持 Windows 10 一周年更新

在“周二更新补丁日”,微软今天宣布停止支持 Windows 10 version 1607,也就是 Windows 10一周年更新 14393 版本,包括 Windows 10 家庭版和 Windows 10 专业版用户。如果你还停留在 Win10 一周年更新上,那么此后将不会收到微软推送的月度安全补丁和更新等。 微软在一份关于 Windows 10 1607 版本周二更新补丁说明中表示: Windows 10 version 1607 将在 2018 年 4 月 10 日停止支持,运行 Windows 10 家庭版或专业版的设备将不会收到月度安全和质量更新,这些更新包含了对最新威胁的保护处理。要继续接收安全和质量更新,微软建议升级到最新版本的 Windows 10。 本次 Win10 一周年更新停止服务支持,家庭版和专业版用户受到直接影响,但 Windows 10 教育版将延长 6 个月的支持,也就是在 2018 年 10 月 9 日之前还会继续更新。今天 Windows 10 1511 企业版和教育版的额外支持服务也停止支持。 这是微软 Windows 即服务(WaaS)模型的一部分内容,该公司认为将进行频繁更新,但每个 Windows 大版本支持的周期会缩短,微软希望用户可以及时升级到最新的 Windows 10 系统版本,提供最新和最安全的服务。 稿源:新浪科技,封面源自网络;

加勒比岛屿圣马丁岛政府遭黑客攻击,全部公共服务关停

网络攻击关闭了加勒比岛屿圣马丁岛的整个政府基础设施,公共服务全部中断。一场大规模的网络攻击使加勒比海岛屿圣马丁岛的整个政府基础设施掉线。这个小岛隶属荷兰王国。袭击发生后,政府大楼大门紧闭。 “总务部特此通知公众,圣马丁岛信息通信技术网络的恢复进程正在稳步进行,并本周末继续进行”媒体报道提到。 据当地媒体报道,《每日先驱报》4 月 2 日网络袭击袭击该国,好消息是昨天除民事登记部门外,其他政府服务部门都恢复了工作。 当局称系统在复活节星期一遭到黑客攻击,这是一年多来的第三次袭击,但没有公布有关袭击的详细信息。 当局表示感谢圣马丁人民在此期间的耐心等待”。政府的网络安全至关重要,黑客往往可以关闭政府网络,甚至入侵政府系统,对第三方国家发动网络攻击。 稿源:freebuf,封面源自网络;

超 15 亿敏感文件被曝光 快检查你的信息安全

据 digital shadows 报道,在三个月的时间内有超过 15 亿个敏感文件被公开在网上,其中包括专利申请、工资单、纳税申报单、患者名单、版权申请和源代码等。这些文件并不是被黑客违法曝光的,而是由配置错误的云存储、文件交换协议和文件共享服务导致的。 此次被曝光数据量高达 12,000 TB,这些数据在公开的 Amazon S3 Bucket、Rsync、SMB、FTP 服务器、配置错误的网站或网络附加存储(NAS)驱动器上就可以轻易获得。 其中来源于 Amazon S3 Bucket 的占了 7%,SMB 占了 33%,Rsync 占了 28%,FTP 占 26%。 更加震惊的是,这些数据中有一些高度敏感的信息,例如安全审计报告、网络基础架构详细信息,甚至是渗透测试报告!Digital Shadows 称:“对这些被公开的文件进行分析表明,组织和个人在无意中暴露了大量的信息,这些数据会使具有恶意的攻击者受益,包括间谍和经济罪犯。”不论是个人还是组织,都应该尽快检查自己的信息安全状况。 稿源:cnBeta、开源中国,封面源自网络;

Reddit 清除 944 个跟俄罗斯“巨魔”相关联账号

据外媒报道,当地时间周二,Reddit 表示他们已经确认并清除了上百个涉嫌跟俄罗斯在社交媒体上散布虚假消息活动有关的账号。该网站在年度透明度报告中指出,他们删除了 944 个被怀疑由互联网研究机构( IRA )创建的账号。 有在关注相关新闻的读者一定不会对 IRA 感到陌生,这是一个跟俄罗斯政府存有关联的机构。 而在这份透明度报告之前,Reddit CEO Steve Huffman 曾表示正在配合国会对其网站是否在 2016 年美总统大选中成为一个误导信息源头的调查工作。 Huffman 表示,被禁的绝大多数与俄罗斯关联账号基本不会对网站产生任何影响,获悉当中70%在 Reddit 上的 karma 都是零级–该网站用来衡量用户贡献价值的一种方式。另外他还指出,在 2016 年大选前他们通过常规信任与安全( Trust and Safety )审查清除了上百个账号。 不过有7个账号却在网站上拥有不错的 karma 分,这意味着它们受到了 Reddit 其他用户的好评。 虽然俄罗斯巨魔们(  troll )在 Facebook 和 Twitter 发布了跟选举相关的广告,但 Huffman 表示,Reddit 并未沦为他们的阵地。“我还想澄清的是这 944 名用户中没有一个人在 Reddit 上发布任何广告。我们也没发现任何有效利用这些账号进行投票操纵的行为。” 为进一步提高公司透明度,Reddit 还分享了一个被清除 944 个账号的链接。 稿源:cnBeta,封面源自网络;

四月补丁增强了 AMD CPU 抵御幽灵漏洞的能力

四月的第二个星期二,微软通过自家 Windows Update 更新通道,为 AMD CPU 带来了增强的 Spectre(幽灵)漏洞防御能力。这一轮的系统级修补,主要针对幽灵 2 号变种(CVE-2017-5715),其至少影响到了部分运行 Windows 10 操作系统的 AMD 处理器,本次更新揭示了对间接分支预测壁垒(IBPB)的接管控制。 根据 AMD 最新的安全白皮书,运用 IBPB 是该公司针对幽灵 2 号变种的推荐措施: 尽管此前其 CPU 支持其它控制分值预测器行为的方法(一个指向间接分支限制预测的特殊比特位 / 简称 IBRS)、以及作为对处理器上兄弟线程的响应(一个指向单线程间接分值预测器的比特位 / 简称 STIBP),但 AMD 并不建议将这些方法作为针对幽灵漏洞的“性能缓解措施”。 当然,光是下载系统操作系统更新,还不足以保护受影响的系统。AMD 表示,产品用户请检查 OEM 或主板制造商网站来获得更新,以减缓漏洞带来的影响。 我们可以借助这种方式来完成对 Ryzen 平台的完整修补,快速的基准测试表示,其对各方面性能的影响都微乎其微 —— 比如作为日常使用参考的 Javacsript 性能影响只在 3% 左右。 需要指出的是,本月的“星期二补丁”并不意味着微软带来了更多的英特尔微代码更新,后者可能与过去几周保持着一样的情况。使用 Skylake 等老旧 CPU 的用户,仍需等待 OEM 或主板厂商发布固件更新。 稿源:cnBeta,封面源自网络;

FB 泄露影响 31 万澳洲人 但实际只有 53 人用了测试 App

Cambridge Analytica 曾经利用个性测试 App 收集 Facebook 用户数据,不过只有 53 名澳大利亚人使用该 App,而受影响的澳大利亚人有 31 万,也就是说绝大多数人并没有直接同意 Cambridge Analytica 收集自己的个人数据。周一时,Facebook 开始联系全球受影响的用户,数量高达 8700 万,当中有些人来自澳大利亚。 Facebook 告诉受影响的用户,说他们的个人数据被分享给 Cambridge Analytica。大规模数据泄露的罪魁祸首是一个不知名的个性测试 App,名叫“ thisisyourdigitallife ”,它收集参与者及其朋友的个人信息。 《卫报》澳大利亚版报道称,只有 53 名澳大利亚人使用该 App,而受影响的澳大利亚人有 311127 人,也就是说当中绝大多数只是 App 用户的朋友,他们有的在澳大利亚,有的在国外,根本没有同意 App 收集自己的数据。这一数字让安全专家感到吃惊。 新西兰的情况也一样。在本次泄露事故中,有 6.4 万个新西兰帐户受到影响,但是下载个性测试 App 的新西兰人只有 10 位。 澳大利亚隐私基金会主席大卫·维勒(David Vaile)认为,即使有 53 人使用 App,他们也有可能是在极为可疑的情况下允许 App 收集数据的。维勒认为,用户的许可不健全,开发者给出的条款和条件随时可以改变,一旦同意不能取消,而且这种同意是根据不公平条款制定的,App 开发者先用大量迷惑难解的信息和法律概念淹没用户,然后再让用户签约。维勒还认为,个性测试 App 的用户可以代表其它人同意开发者收集数据,这样的许可根本没有任何意义。 稿源:cnBeta,封面源自网络;

Cyber​​Ark 企业密码保险库现高危远程代码执行漏洞

据外媒 4 月 9 日消息,德国网络安全公司 RedTeam Pentesting GmbH 发现 CyberArk Enterprise Password Vault (企业密码保险库)应用程序中存在严重的远程代码执行漏洞(CVE-2018-9843),可以允许攻击者利用 Web 应用程序的特权对系统进行未经授权的访问。 企业密码保险库(EPV)解决方案可帮助组织安全管理其敏感密码,控制各种客户端/服务器和大型机操作系统、交换机、数据库中的特权帐户密码,并使其免受外部攻击者以及恶意内部人员的威胁。 RedTeam Pentesting GmbH 安全公司发现该漏洞驻留在 CyberArk 密码保险库的 Web 访问中,它是由于 Web 服务器不安全地处理反序列化操作的方式造成的,可能允许攻击者在处理反序列化数据的服务器上执行代码。 当用户登录到账户时,CyberArk Enterprise Password Vault 应用程序使用 REST API 向服务器发送一个认证请求,其中包括一个包含以 base64 编码序列化的 . net 对象的授权头。这个序列化的 .net 对象保存了关于用户会话的信息,但是研究人员发现“序列化数据的完整性没有得到保护”。 由于服务器不验证序列化数据的完整性,并且不安全地处理反序列化操作,所以攻击者只能操纵身份验证令牌,将他们的恶意代码注入授权头中,从而获得“在 Web 服务器上未经验证的远程代码执行”。 研究人员强烈建议使用 CyberArk 密码保险库 Web 访问的企业将其软件升级到 9.9.5,9.10 或 10.2 版本。如果无法立即升级软件,那么缓解此漏洞的可能解决方法是禁用对 route / PasswordVault / WebServices 上 API 的任何访问。 消息来源:thehackernews,编译:榆榆,审核:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。