分类: 网络安全

45% 的网络安全从业者因压力过大,考虑退出该行业

Help Net Security 网站披露了 Deep Instinct 发布的第三版年度 SecOps 报告,报告重点关注了 1000 名高管和高级网络安全专业人员日益增长的压力。 研究发现,45% 的受访者因压力过大,从而考虑退出该行业,压力主要来自勒索软件的无情威胁和需要随时待命。 该研究强调,是否支付赎金依然是一个备受争议的话题。 38% 的受访者承认支付了赎金,44% 的人表示支付赎金后也无法恢复所有数据。 从业者压力巨大 根据报告的结果来看,网络安全从业者每天面临的安全问题日益增多,46% 的受访者认为自身承受的压力在过去 12 个月中显著增加,对于一些在关键基础设施中工作的人来说,这种情况更为严重。 这些不断增加的压力导致网络安全专业人士考虑彻底离开这个行业,加入“大辞职”浪潮中,部分人表示不会在寻找其他网络安全相关工作。 受访者中,45% 的从业者承认至少考虑了一两次是否退出该行业, 46% 的人表示在过去一年,认识的朋友中至少有一个因压力过大,彻底离开了网络安全行业。 谁在承受压力,压力从何而来? 从报告来看,不仅仅是 SOC 团队和前线的网络安全工作人员能够切身感受到压力,高管团队也会承担巨大压力 。 压力产生的罪魁祸首:勒索软件 45% 的受访者表示,勒索软件是公司高管最大的担忧。调查发现,38% 的受访者承认为获得加密密钥而付费。 在许多情况下,支付赎金不能保证网络攻击问题得以解决。在支付赎金的人群中,46% 的人声称他们的数据仍然被黑客曝光,44% 的人无法恢复所有的数据,只有16% 的人声称到目前为止没有其他问题。 关于之后遇到勒索软件是否支付赎金的问题,73% 的受访者声称以后将不会支付赎金,但是也有部分受访者因为各种原因选择继续支付赎金。 选择支付赎金的理由包括以下几点: 54% 的人担心犯罪分子仍会将数据外流的情况公之于众; 52% 的人担心攻击者会安装一个后门并返回。 Deep Instinct 首席执行官 Guy Caspi 表示,随着社会向前发展,不断出现的网络攻击浪潮可能会变得更加普遍和隐蔽,因此确保那些将自己的职业和生命奉献给保卫企业和国家的人不会过度紧张至关重要。 人工智能是新的 “压力球 “吗? 越来越多的人承认,支持人工智能(AI)的工具在打击诸如勒索软件等复杂攻击方面非常有效。 许多人认为人工智能具有减少关键生产力挑战的潜力,例如减少误报,这使团队能够将更多的时间和资源集中在更关键的网络防御问题上。 53% 的受访者承认自身需要通过 AI/ML 实现更大的自动化,以改善安全操作; 82% 的人愿意依靠人工智能替代人类来寻找威胁; 仅仅有 6% 的人声称不相信人工智能。 最后,报告结果显示,27% 的受访者声称,遇到的误报率在过去一年中有所增加,26% 的受访者因不堪重负,完全关闭了警报,这些操作可能导致组织存在严重的安全漏洞。   转自 FreeBuf,原文链接:https://www.freebuf.com/news/336142.html 封面来源于网络,如有侵权请联系删除

WiFi 探测正在跟踪、泄露隐私

德国汉堡大学的研究人员进行了一项现场实验,捕获了数十万路人的WiFi连接探测请求,以此探究哪些隐私信息是在用户无法察觉的情况下泄露出去的。 众所周知,WiFi探测是智能手机和调制解调器/路由器之间建立连接所需的双边通信的一部分。在日常生活中,智能手机会一直搜索可用的WiFi网络并自动连接那些可连接的信号。 目前,许多商场和商店都在使用WiFi探测来跟踪客户的位置和移动。由于此跟踪仅在探测中使用匿名 MAC 地址,因此被认为符合GDPR隐私保护政策。 研究人员决定分析这些探测器以查看它们可能包含的其他内容,结果显示,23.2%的AP广播了这些设备过去连接过的网络SSID。 实验结果 2021年11月,研究人员在德国市中心一个繁华的步行街开展了这个实验,在三个小时内所有共捕获了252242个探测请求,其中 46.4% 在 2.4GHz 频谱中,53.6% 在 5GHz 频谱中。 随后,研究人员从中获得了 58489 个 SSID,其中包含 16 位或更多位的数字字符串,这些字符串可能是来自 FritzBox 或 Telekom 的德国家用路由器的“初始密码”。 在捕获的 SSID 的其他子集中,研究人员还发现了与106个不同名称的商超WiFi网络、三个电子邮件地址和 92 个以前添加为可信赖网络的度假酒店的字符串。 在三个小时内,还有不少用户反复进行探测,其中一些敏感的字符串被广播了数十次、数百次,在某些情况下甚至达到数千次。 来自同一设备的三个探针(汉堡大学) 隐私泄露和跟踪 每台设备的MAC地址是固定且不变的,通过在后台的大数据数据库进行比对,从用户的MAC地址可以顺藤摸瓜显示用户的手机号、最近消费记录、年龄、兴趣爱好、常用app等,形成一个用户画像。商家通过用户画像,对不同用户推送不同的广告促销信息,从而达到所谓的精准营销目的。 除此之外,WiFi探测还可以实现持续跟踪。尽管 Android 和 iOS系统都已经让MAC 地址随机变化,这让隐私泄露和跟踪变的更加困难。虽然不能完全杜绝隐私泄露,但这已经是一个非常明显的进步。 实验结果表明,较新的操作系统版本在探测请求中具有更多的随机性和更少的信息,但是当与信号强度、序列号、网络能力等数据集参数结合使用时,仍然可以对单个设备进行指纹识别。 下面概述了每个操作系统版本的隐私功能。 每个操作系统版本上与 WiFi 探测相关的隐私功能(汉堡大学) 很明显,操作系统版本越新,隐私保护功能越强,但更新版本的可用性并不意味着立即采用。 在现场实验时,Android 8 及更早版本大约占 Android 智能手机的四分之一。在 iOS 中,由于 Apple 更严格的软件更新政策和长期支持,使得旧版本的隐私保护程度要好上不少。 以前的研究也反映了从逐步升级到更安全的操作系统的改进。例如,在 2014 年的一项研究中,46.7% 的记录探测请求包含 SSID,而在 2016 年进行的另外两项研究中,该百分比介于29.9% 和 36.4% 之间。 如何保护隐私 对于智能手机来说,第一步要做的,也是最简单的就是升级他们的操作系统,并在后续使用中及时更新更新、更安全的版本。其次,删除不再使用或不需要的SSID,在不使用WiFi时尽量关闭。 Android 和 iOS 也都提供了快速禁用自动加入网络的方法,这使得热点攻击无法成功。最后,用户可以完全静默探测请求,这可以通过高级网络设置来完成。然而,这种方法有几个实际的缺点,例如连接建立速度较慢、无法发现隐藏网络以及更高的电池消耗。   转自 FreeBuf,原文链接:https://www.freebuf.com/news/336129.html 封面来源于网络,如有侵权请联系删除

美国网络安全官员在 RSA 会议上警告说:俄罗斯网络攻击威胁很高

据悉,俄罗斯和乌克兰将顿巴斯视为决定性的战场。网络攻击是俄罗斯的“力量倍增器”。美国官员警告说,来自俄罗斯的网络威胁仍然在持续加码。 美国网络安全官员Jen Easterly 在旧金山举行的 RSA 会议上发表讲话,“我认为我们目前还没有摆脱威胁。我们知道使用恶意网络活动是俄罗斯活动的一部分,无论是通过国家支持的实体,还是通过犯罪集团,俄罗斯针对乌克兰进行了大量网络活动。” NSA 的网络安全主管 Rob Joyce 对此表示赞同:“我能说的是,从情报来看,威胁过去和现在都是真实的。我们需要谨慎对待。”据悉,Easterly和国家网络安全总监Chris Inglis本周在CyberScoop 上发表的文章也强调了俄罗斯网络行动的持续威胁。 就俄罗斯而言,网络空间的侵略在很大程度上是一种美国现象。《华盛顿邮报》的一项分析总结了莫斯科最近的声明,警告美国如果继续克里姆林宫所说的针对俄罗斯的网络行动,就必须面对后果。“我们不建议美国挑起俄罗斯采取报复措施。“国家之间的直接网络冲突中不会有赢家。 美国国家安全部助理总检察长 Matt Olsen 在 RSAC 上说:“我们知道他们非常专注于能够建立对美国关键基础设施的持久访问,并且他们拥有一组非常成熟的参与者在他们的外国情报部门中,他们在打击犯罪集团的方式上也有一个力量倍增器。” 西方科技公司,尤其是 Palantir、谷歌、微软和 SpaceX,在当前战争的网络阶段为乌克兰提供支持方面发挥了重要作用。他们的角色是公开的。 此外,Forescout 的威胁防御副总裁 Sean Taylor 在 2022 年 RSA 会议期间提供了对近期网络威胁活动的见解。他强调了俄罗斯国家支持的袭击者在入侵之前对乌克兰进行的袭击。在2021年底和2022年1月,主要包括在乌克兰政府网站,到2月中旬,事件主要包括对乌克兰银行和政府网站的 DDoS 攻击。最后,在2月23日,入侵前夕,针对乌克兰政府和关键基础设施组织发起了多个Wiper 恶意软件活动。其中包括WhisperGate和 Hermetic Wiper。 Taylor 还强调了黑客活动和网络犯罪集团活动与俄罗斯-乌克兰冲突的关系。这包括 Conti 勒索软件团伙,他们迅速与俄罗斯结盟并威胁任何支持乌克兰的国家。同样,支持俄罗斯的黑客活动团伙 Killnet 一直针对支持乌克兰的欧洲国家。   转自 E安全,原文链接:https://mp.weixin.qq.com/s/caVRpu391k3j-EqWcMM_sQ 封面来源于网络,如有侵权请联系删除

77% 的高管将增加对零信任安全建设的支出

2022年时间6月6日,RSA Conference 2022在旧金山召开。本届RSAC的主题为“Transform(转型)”,被认为是RSAC 2021年主题“弹性”的进一步延伸和拓展。转型在当下,是很多企业不得不面对的问题,像云计算、物联网、移动办公等新技术与业务的加速融合,让传统网络边界逐渐变得模糊,小至企业之弹性,大至行业之转型,网络安全产业正处于变革之中,传统边界防护手段已不足以有效应对新时代的威胁与挑战。 在此背景下,以“从不信任、始终验证”为核心原则的零信任概念应运而生,并迅速成为热门话题。很多企业高管将考虑开展零信任安全策略,因为他们希望零信任安全策略的实施可以让企业的安全建设取得明显进展。根据云安全联盟(CSA)的一项新调查,对80%的CxO技术领导者来说,零信任是企业的重要事项,77%的高管表示他们将增加对零信任安全建设的支出。 增加对零信任的投入对很多企业来说具有重大意义,超过五分之二的高管称企业在零信任安全建设方面的预算增加了至少26%。 根据对来自对全球800多名IT和安全专业人士的调研,以及包括200多名C级高管的回答,随着数字化转型的推进、疫情期间劳动力的转移以及美国网络安全行政命令的宣布,零信任已成为保护企业的一道盾牌。该研究表明,对于大多数企业来说,零信任策略仍然是一个相对较新的网络安全路线图,53% 的企业表示他们开始实施零信任策略的时间还不到两年。他们用来指导战略规划的标准五花八门,比如CISA、Forrester ZTX、IEEE、NIST和CSA等。其中的领跑者要数CISA标准,有33%的企业报告说他们使用的正是CISA的标注作为他们的零信任战略指导。 零信任是一种不断发展的安全模型,它将许多长期运行的安全概念(最小特权、基于风险因素的有条件访问和隔离)联系在一起——不仅在网络级别,而且在应用程序和工作负载级别。其核心概念是消除IT长期以来在用户和设备使用密码登录后对网络的无条件信任。 实施零信任的目的是用一种更具适应性和持续评估的授予访问权限的模式来代替它,该模式提供有限的访问权限,并且不仅基于身份,还基于操作和威胁环境。执行此操作需要很多部分,包括强大的身份和访问管理 (IAM)、有效的网络策略执行、强大的数据安全性和有效的安全分析。很多企业在过去的安全建设中其实已经有过对这些部分投入,而零信任策略只是重新整合和利用这些已经投入过的资源。 因此,尽管许多企业表示他们开始零信任之旅才一两年,但这项调查的受访者表示,他们在终端/设备成熟度、应用安全、IAM、数据流管理、网络安全管理、用户行为和资产管理等核心零信任领域已经有一些经验了。 在执行零信任策略时,基本策略、架构和集成工作会将冒牌者与竞争者区分开来。RackTop系统公司的首席执行官兼国防和金融领域的长期安全和技术从业者Eric Bednash表示,组织要想开展零信任之旅,他们必须先了解IT和安全堆栈如何结合。“这是关于从对企业整体架构和业务流程的深入了解开始,你需要了解它们如何联系在一起。它超越了任何单一元素。而且你还要记住,零信任不是一件具象化的东西,而是一种理念,“ 他说。“它更像是一种指导方针。而不是说,’这东西是零信任,这东西不是零信任。’ 简单来说,零信任是一种方法论,它没有捷径可走,这就是为什么它如此难以实施的原因。” 实施零信任策略需要高管的充分支持、足够的专业知识和人员配备,以及明智的变革管理。根据CSA调查,40%的企业表示缺乏专业知识,34%的企业表示他们没有内部协调或得到支持,23%的企业表示抵制变革阻碍了前进的道路。专家表示要克服这些业务和流程障碍需要外交和有纪律的沟通。“为了有效地管理变化,你需要开展行动并逐步的实施。你可能知道你想去哪里,你甚至可能已经为你的网络解决方案签订了合同,但不要一次实施所有事情”,Perimeter 81首席执行官兼联合创始人Amit Bareket说,“变革管理的艺术在于知道要实施多少——所以不要一次改变太多,但也不要无限期地拖延这个过程。”   转自 FreeBuf,原文链接:https://www.freebuf.com/news/335698.html 封面来源于网络,如有侵权请联系删除

大规模 Facebook 网络钓鱼活动,预计产生数百万美元收益

据 Bleeping Computer 网站披露,研究人员发现了一项大规模网络钓鱼活动。攻击者滥用 Facebook 和 Messenger 引诱数百万用户访问网络钓鱼页面,诱骗用户输入帐户凭据。 经研究人员分析,钓鱼活动背后的操作者可以利用这些被盗账户,向用户的朋友进一步发送钓鱼信息,通过在线广告佣金获得了大量收入。 根据一家专注于人工智能的网络安全公司 PIXM 称,钓鱼活动至少从 2021年 9 月就开始活跃,在 2022 年 4 月至 5 月达到顶峰。 PIXM 通过追踪威胁攻击者,绘制了钓鱼活动地图,发现其中一个被识别出的钓鱼网页承载了一个流量监控应用程序(whos.amung.us)的链接,该应用程序无需认证即可公开访问。 大规模的滥用 目前,尚不清楚钓鱼活动最初是如何开始的,但 PIXM 表示,受害者是通过一系列源自 Facebook 、Messenger 的重定向到达钓鱼登陆页面的,在更多的 Facebook 账户被盗后,威胁攻击者使用自动化工具向被盗账户好友进一步发送钓鱼链接,造成了被盗账户大规模增长。 另外,虽然 Facebook 有自身保护措施,可以阻止钓鱼网站 URL 的传播,但威胁攻击者使用某个技巧,绕过了这些保护措施。 再加上,钓鱼信息使用了 litch.me、famous.co、amaze.co 和 funnel-preview.com 等合法的 URL 生成服务,当合法的应用程序使用这些服务时,阻止这些服务成为了一个很难解决的问题。 网络钓鱼活动中使用的一些 URL(PIXM) 值得注意的是,研究人员未经身份验证,成功访问了网络钓鱼活动统计页面,经过对数据信息分析后发现,在 2021 年,有 270 万用户访问了其中一个网络钓鱼门户,这个数字在 2022 年上升到 850 万,侧面反映了钓鱼活动在大规模增长。 通过深入研究,研究人员确定了 405 个用作钓鱼活动标识符的独特用户名,每个用户名都有一个单独的 Facebook 网络钓鱼页面,这些钓鱼网页的页面浏览量从只有 4000 次到数百万次不等,其中一个页面浏览量更是高达 600 万次。研究人员认为,这 405 个用户名仅仅占钓鱼活动所用账户的一小部分。 已识别的传播用户样本 (PIXM) 另外,研究人员披露,当受害者在钓鱼网站的登陆页面上输入凭证后,新一轮重定向就会开始,立刻将用户带到广告页面、调查表等。 一个向钓鱼用户展示的广告 (PIXM) 威胁攻击者能够从这些重定向中获得推荐收入,在这种如此大规模的钓鱼活动中,估计能有数百万美元的利益。 追踪威胁攻击者 值得一提的是,PIXM 在所有登陆页面上都发现了一个通用代码片段,其中包含一个是对已被查封网站的引用,该代码片段是对名为 Rafael Dorado 的哥伦比亚男子调查的一部分。 目前尚不清楚是谁查封了该域名并在网站上发布了通知。通过反向 whois 查询,指向了伦比亚一家合法的网络开发公司和提供 Facebook “like bots” 和黑客服务的旧网站链接。 PIXM 已经和哥伦比亚警方与国际刑警组织分享了调查结果,同时强调尽管许多已识别的 URL 已下线,但钓鱼活动仍在进行中。   转自 FreeBuf,原文链接:https://www.freebuf.com/news/335701.html 封面来源于网络,如有侵权请联系删除

企业抵御网络风险 应关注安全平台

随着组织机构在高度互联的数字生态系统中不断深入,如何应对来自四面八方的网络攻击是每一个首席信息安全官们不得不面对的难题。或许,孤立的单点安全产品仍是许多人的第一选择,但这些产品只能起到减速带的作用,它们已脱离时代的潮流。与此同时,安全团队也正变得日益捉襟见肘、筋疲力尽。 当然,也完全没必要过分悲观,一个得力的帮手可能正在路上。在RSAC 2022大会上,新的安全框架和先进的、以云为中心的安全技术已成为人们关注的焦点。本次大会的核心主题之一就是帮助首席信息官们清晰地了解所有网络资产,并对风险进行科学的分类,从而能够迅速地对不可避免的违规行为做出补救。 就这个问题,趋势科技(Trend Micro)产品营销总监 Lori Smith在其社交平台上分享了一些自己的心得体会。 脱离单点产品 就在短短几年前,自带设备办公(BYOD)和影子IT(Shadow IT)曝光还是RSAC的热门话题。员工们用他们自己的智能手机上传酷炫的新应用程序,这对安全团队来说就是一场噩梦。 然而到了今天,企业正在朝着一个规模巨大、相互联系日益紧密的数字生态系统前进。公司网络的攻击面呈指数级扩大,新的安全漏洞无处不在。 更重要的是,自新冠疫情爆发以来,远程劳动力的迅速崛起到了加速云迁移的作用,并扩大了随之而来的网络风险。不受管理的智能手机和笔记本电脑、错误配置的软件即服务 (SaaS) 应用程序、不安全的互联网接入等,比以往任何时候都会给企业带来更多风险。 “这些网络资产数量的增加意味着有更多的网络资产可能受到攻击”,Smith说,“这打开了一个更大、更有利可图的攻击面,网络犯罪分子对此觊觎已久。” Smith表示,在这种高度动态的环境中,一个本已备受困扰的首席信息官还需要将风险在一个高水准中可视化——就好像它在慢动作一样——然后再做出明智的战略决策。目前没有单一的安全解决方案可以做到这一点,灵丹妙药还没有出现。常用的安全工具集合——防火墙、端点检测、入侵检测、SIEM 等——通常被安排为孤立的层来保护本地网络。 检测、评估、缓释 在生活中,面对任何复杂的挑战往往需要回归其根本。在网络安全方面,企业可以采取几种可行的方式来开始实现这一点。趋势科技主张通过确保三种基本能力来实现更全面的安全态势。 首先是能洞察一切的能力。Smith说,企业需要对本地、私有云和公共云IT基础设施的每个组件都有一个清晰的认识。这不是一个简单的大致印象,这更像是一个不断发现、不断发展工具、服务和行为的过程。 Smith解释:“这是为了获得所有网络资产的可见度,无论是内部还是外部的,并对以下问题了如指掌,‘我的攻击面是什么?’;‘我能在多大程度上看到我环境中的所有资产?’;‘我有多少资产?;’什么类型的资产?’;‘我的资产有哪些配置文件?随着时间的推移,这些配置文件又是如何何变化的?’” 知晓并持续监控所有网络资产可以实现第二个基本能力:进行战略风险评估,以深入了解其网络风险和安全态势状况。需要绘制产品路线图?首席信息安全官只需遵循财产和意外伤害保险行业在过去200年中磨练出来的原则就可以轻易做到。 Smith表示,这归结于采取一种明智的方法对网络暴露进行分类。组织机构需要更好的洞察力,以便优先采取那些将帮助他们最大限度地降低风险的行动。这也有助于针对不同的网络资产采取适当的安全控制措施。例如,强身份验证和最低权限访问对于敏感资产而言是必不可少的,但对于良性资产而言可能必要性就没有那么强了。 第三个能力与降低风险有关。数据分析和自动化可以非常有效地用于大规模实现安全性和灵活性的最佳组合。“无论是使用安全手册的自动补救措施,还是优先考虑并主动实施推荐措施以降低风险”,Smith说,“这都是非常正确的控制方法”。 向整体安全迈进 企业如果要在当下如此复杂的网络环境下生存,企业的发展与网络架构和威胁环境的发展应该保持同步。然而,事实却好像非常残酷,因为攻击者似乎总会比安全团队领先那么几步。 “为了有效的安全性,你必须建立适当的保护、检测和响机制”,Smith说。 “而且必须拥有持续的攻击面检测和风险评估机制,这样你才能在行动中先发制人并适时地优化安全控制。这就是为什么我们看到安全平台总体越来越受欢迎的原因,因为当前的网络环境就是需要这种整体而全面的方法。” 为现代网络优化而生的安全平台正在兴起无疑是一个令人振奋鼓舞的趋势,而这或许仅仅只是一个开始……   转自 FreeBuf,原文链接:https://www.freebuf.com/articles/335630.html 封面来源于网络,如有侵权请联系删除

网络资产攻击面管理(CAASM)成安全新解法

2022年6月6-9日,被誉为安全行业“奥林匹克”的RSA Conference2022在旧金山召开。作为全球顶级的网络安全大会,RSAC2022吸引全球网络安全企业、专家、大咖共聚一堂,探讨当下热门网络安全技术理念,共同寻求抵御安全风险的新解法。 近年来,网络攻击事件频频发生,其中黑客“炫技”已经越来越少,取而代之的是作战思维更加明确,趋利性更加明显的专业化网络攻击组织,包括各种勒索软件团伙,合作链条紧密的地下黑产等等。 在这样的情况下,以攻击者视角对企业数字资产攻击面进行检测发现和持续监控的网络资产攻击面管理(CAASM)已经受到越来越多人的认可。 而如何通过CAASM帮助企业全面盘点网络资产,不断提高资产可见性和云配置,减少安全漏洞风险成为RSAC2022的焦点之一。为了更好地了解CAASM是如何减少攻击面,会后,security boulevard记者邀请JupiterOne 创始人兼首席执行官Erkang Zheng进行分享。 协调已经成为新的难题 众所周知,漏洞修复工作需要多部门共同协调完成,然而企业内部负责特定网络资产的技术和团队倾向于各自为政,漏洞管理人员的职责不明确,直接导致协调组织中的人员、策略和基础设施已经成为一项无法及时完成的工作,也让安全漏洞管理沦为纸上谈兵。 随着企业数字化转型、加速上云和IoT、5G、云原生等技术的应用,更多的业务转至线上,一方面使得内部数字资产结构和复杂性迅速增加,另一方面也让暴露在互联网上的攻击面呈指数级拓展,安全漏洞数量成倍增加,最终让本就艰难的安全漏洞修复朝着更加糟糕的方向发展。 倘若无法有效解决这一问题,那么企业数字化转型将面临停滞不前的风险。此时,CAASM应运而生。 作为是一种新兴技术,CAASM倾向于以智能化的手段更高效的识别组织内部的资产和漏洞。2021年7月,Gartner发布《2021 安全运营技术成熟度曲线》,首次提出CAASM概念,并指出“它使组织能够通过API与现有工具的集成、对合并后的数据进行查询、识别安全控制中的漏洞和差距的范围,以及修复问题,来查看所有资产的风险。” 换句话说,CAASM通过利用API可以让安全团队全面、快速了解IT基础架构的所有组件,无论它们是在本地还是在私有云、公共云或混合云中。在此基础上,安全团队可以大规模实施细粒度策略,全面提升各个组织的安全性,且不会对敏捷性有任何影响。 Erkang Zheng表示,这在大规模分布、快速变化的操作环境中实现并非一件容易的事情,因为安全团队既要尽可能地直接防止网络攻击,还要持续监控资产所有者,防止出现违规操作,并在发生安全事件时快速进行安全响应。 破除资产孤岛效应 采访中,Erkang Zheng表示,我们每个人小时候都玩过“连线画图”的游戏,让每个人将纸上的那些点全部连起来,就可以得到相同的答案。回到网络安全领域,如果那些点都特别清楚,目前云托管、数据分析等技术都可以随时智能地、大规模找出网络安全问题,并得到一个可行的答案。 但事实并非如此,上述操作听起来似乎很简单,执行起来却困难重重。 首先是存在底层技术障碍,企业网络基础设施组件不可能来自同一个供应商,大多时候供应商数量十分庞大,且每个供应商都有自己的技术和标准,彼此之间无法互通。其次,企业内部各个系统之间数据无法自由流通,完整的业务链上孤岛效应十分明显。而这些问题导致那些“点”最终无法连成图案。 因此,安全团队迫切需要一个新的解决方案,可以有效规范、整合企业网络资产信息,并快速查询、发现这些信息,包括有哪些资产,具体是什么,谁可以访问它等等。此时,安全团队就可以像“连线画图”那样直接、简单地提出问题,解决问题。 事实上,能否清楚掌握企业内部网络资产是安全体系的重要基础,也是安全团队能否改变传统工作流程,并跟上快速变化的数字化转型的关键点。Erkang Zheng表认为,安全团队并不仅仅是企业的看门人,还必须是一名审计者和建议者,而CAASM也不仅仅是一个数据平台,还是一个分析平台,一个协作平台。 缩小攻击面是企业的当务之急 随着零日漏洞披露、利用的时间间隔越来越短,零日攻击正成为多数企业的灾难,通过内部协作快速消除已披露的零日漏洞,已经成为安全团队的必备能力之一。 未来,随着CAASM技术的广泛应用,将进一步缩短漏洞的修复时间。作为新安全架构的一部分,CAASM可为漏洞修复提供支撑能力,助力安全团队系统地发现和修复安全漏洞,甚至是主动寻找新的安全漏洞。 Erkang Zheng举了一个例子。 假设企业拥有一个内部资源,其本身并没有向公众开放,但是这里面有一个直接暴露在互联网上的工作负载,且具有为其提供 API 级别访问权限的身份验证策略,此时,这个内部资源毫无疑问已经暴露在互联网上。 这恰恰是安全团队极其容易忽略的点,从Amazon Web Services 租用的云资源在实际混合和匹配中产生了新的安全漏洞。此时,这个被忽视的新漏洞将会成为企业安全的严重威胁。类似的案例还有很多,这个例子也解释了为何数字化之后,企业暴露的攻击面如此之多。 因此,企业迫切需要一个全新的解决方法,可以大规模地、及时地找到企业内部隐藏的漏洞并进行修复。 CAASM或许可以解决这一问题。而快速消除暴露的攻击面也是企业安全团队目前的首要任务。毕竟,暴露的攻击面越少,企业就越安全。   转自 FreeBuf,原文链接:https://www.freebuf.com/news/335615.html 封面来源于网络,如有侵权请联系删除

美国家情报局局长称网络安全越来越难了

美国国家情报局局长表示,网络空间对手和商业间谍软件公司的创新,是令美国情报界越来越难以有效管理数字安全的关键因素之一。 6月6日,在RSAC 2022上,美国国家情报局局长Avril Haines发表主题演讲时表示:“我认为网络安全越来越难了。” 这一悲观评估是在因俄乌战争而激增的在线攻击以及国家恶意行为者的数字盗版或攻击的持续威胁的背景下,美国联邦政府和私营部门需要保持高度警惕的情况下做出的。 Haines承认,美国 “还没有想出如何防止应对复杂网络入侵……我认为这是一个挑战,我们将与之共存,从情报界的角度来看,现实就是如此。” 她特别提到复杂攻击性工具的商业化程度增加,”使我们更难管理,也使其他行为者更容易获得工具,允许他们以各种方式进行非常复杂的攻击。” 除了朝鲜和伊朗等长期敌对国家构成的威胁外,美国情报界还观察到跨国犯罪组织扩大其行动,特别是勒索软件攻击。 Haines说,网络安全的另一个方面被证明更具挑战性,那就是情报收集与在线隐私、公民自由之间的关系越来越紧张。 新冠疫情大流行是一个“通过接触者追踪和其他医学发展获得更多日常生活数据的完美例子”,这些信息随后可以被数据经纪人使用。 这位间谍大师还说,情报界还没有掌握从莫斯科入侵乌克兰的网络安全方面获得的所谓 “经验教训”。 她告诉听众:“我们还不知道冲突是否还在继续。关于冲突是如何发展的,还有更多的章节需要揭示。” Haines表示,一个潜在的收获是,去年年底在现在长达数月时间里,信息共享得到了加强。 “她说:”起初我们在人们中间遇到了相当多的怀疑。 因此,拜登总统敦促情报官员,”走出去,尽可能多地分享,确保人们看到你们所看到的东西。” Haines说:”我们在这个领域与合作伙伴和盟友进行了大量共享。在这个过程中,我们从他们那里学到了很多。   转自 安全内参,原文链接:https://www.secrss.com/articles/43275 封面来源于网络,如有侵权请联系删除

在恶意软件、供应链攻击呈上升趋势下,企业需重新考虑安全策略

作为全球网络安全行业一年一度的盛宴,RSA Conference 2022于6月6-9日正在美国旧金山召开,RSAC大会不仅被誉为安全界的“奥林匹克”,更是网络安全的重要风向标之一。自1991年举办首届大会以来,RSAC大会就吸引着全球网安企业、大咖、极客和优秀创业者共聚一堂。思科作为全球领先的网络解决方案供应商也出席了此次会议。 安全领导者需重新考虑企业安全策略 在今年RSAC开幕主题演讲里,思科执行副总裁兼安全与协作总经理 Jeetu Patel发表了关于安全战略的讲话,在会议上,patel表示企业安全负责人可能需要重新考虑他们的安全策略,包括内部以及与客户、供应商、合作伙伴甚至竞争对手的关系。 Patel表示随着攻击者在不断利用新的漏洞,我们需要做的是确保采取一种更加基于风险的方法来管理漏洞。安全团队必须学会解决漏洞,不是基于它们发生的时间,而是基于它们构成的风险的大小。这种风险应该从所有类型的业务关系的角度进行评估,因为当出现问题时,它们都会受到影响。 安全策略应考虑整个业务生态系统 Patel说:“企业是作为一个整体的生态系统在竞争,而不是作为单独的组织在竞争。这意味着,根据生态系统中其他成员的情况,你自己的生产线、供应链和需求周期的运作方式可能会受到重大影响。而业务关系的相互联系现在要求更加关注访问和身份管理。你不再只有员工了。你有员工和承包商,但你有供应商、客户和合作伙伴。可以影响您的安全态势的人数越来越多。” 破坏性恶意软件的使用正变得异常普遍 除了业务生态系统带来的安全威胁,破坏性恶意软件的使用也变得越来越普遍,这种现象在未来一段时间里可能会变为常态。这是思科的外联负责人Nick Biasini和事件响应高级经理 Pierre Cadieux在会议中发表的观点,他们详细介绍了当前的威胁形势,并为企业自卫提供了可行的步骤。其中的关键要点包括保护凭证的重要性以及供应链威胁、破坏性攻击和零日漏洞利用的增加。 随着漏洞武器化的市场也越来越普遍,很少有企业能够及时的修复漏洞,这就导致通过部署破坏性恶意软件实时破坏性攻击的黑客数量在逐步增加,对此,Cadieux也表示出了担忧。 并且通过购买某些黑客软件,任何人无须挖掘某些系统漏洞就可以发动非常复杂的网络攻击,Biasini说,对手的广度在增加,这也导致了软件供应链风险也在增加。他说技术供应链更像是一个网络,正成为一个越来越大的问题,对手可以利用包括开源库和供应商交换数据在内的一系列途径。Biasini引用CCleaner作为一个主要的案例,这是一个在2017年被威胁行为者破坏的实用程序。攻击者将恶意代码注入到CCleaner中,这些代码最终被安装在数百万个系统上。 威胁行为者的变化 随着工作环境的变化,攻击者开发了新的方法来获取访问权限,例如设计恶意软件来破坏家庭路由器。Cyclops Blink是最近的一个例子,它归因于俄罗斯并感染了超过 500,000 台设备。Biasini说,家庭路由器为攻击者部署各种攻击提供了立足点,而家庭网络的检测能力有限,这增加了问题。而目前还没有很好的办法来区分家庭用户合法登录和黑客通过路由器登录。对他而言,你家的网络和你在当地咖啡馆连接的网络甚至没有区别。 另一个对威胁行为者有吸引力的目标是安全断言标记语言(SAML) 令牌,这是 SolarWinds 供应链攻击期间存在的向量。它们允许访问本地和云环境,而且它们还能绕过多因素身份验证 (MFA),虽然它告诉你MFA有效,Biasini 在会议期间说。“MFA也确实减缓了他们入侵的脚步,然后我们就会看到他们试图滥用信任来获取资源。” 零日漏洞利用也造成了更广泛的损害。例如,在Kaseya供应链攻击中,REvil 勒索软件攻击者使用供应商的软件访问托管服务提供商 (MSP),然后感染他们的客户,这些客户是资源有限的小型企业。Biasni 将其描述为基于服务的供应链攻击,“如果你在15年前告诉我,一个犯罪组织会使用多个零日对 MSP 客户发起供应链攻击,我可能不信,然而,我们现在遇到的黑客组织多数都是受资助的组织。” 尽管 MFA 已成为攻击者的目标,但思科还是建议为所有帐户实施MFA,包括限制Windows工具的可信帐户,网络分割,集中日志和保持最新的补丁。Cadieux强调访问日志的良好计划至关重要。他说,当涉及到被泄露的凭据和针对Active Directory (AD) 环境的目标时,唯一可以提供帮助的是密码重置。然而,这不是一蹴而就的事情。如果你没有在大型环境中完成它,你应该考虑如何做到这一点以及如何测试它。此外,企业需要了解他们的备份基础设施是如何工作的,如果发生勒索软件攻击,这一点至关重要。   转自 FreeBuf,原文链接:https://www.freebuf.com/news/335600.html 封面来源于网络,如有侵权请联系删除

RSAC 2022 现场热议医疗设备安全:遗留技术是最大难题

图片来源:美国海军Flickr账号/CC BY 2.0 医疗设备基础设施复杂性和对传统技术的严重依赖,使得设备安全状态不断变化,很难找到解决方案; 高昂的价格使得医疗机构不可能仅因为“最新最好的安全功能”就下决心替换掉旧有设备; 美国国会和监管机构有望在降低医疗设备风险当中发挥关键作用。 业界正普遍达成共识,设备制造商、供应商及监管机构等角色正朝着正确方向推进改善医疗设备的安全性,但系统性挑战阻碍了这一进程。 在RSAC 2022现场,安全厂商Tenable运营技术安全副总裁Marty Edwards、医疗保险公司Humana业务信息安全官Ankit Patel以及健康信息共享与分析中心(Health-ISAC)首席安全官Errol Weiss,共同就医疗设备的安全现状和阻碍医疗保健行业安全提升的因素展开深入讨论。 Edwards表示,总体来看,医疗设备安全的延伸与教育工作仍有发展和改进的空间,但整个行业已经在为设备构建更多安全功能方面也取得了长足进步。 制造业社区的安全文化愈发向好。以往,研究人员在发现安全漏洞后,往往只能跟制造商的法律部门联系。Edwards提到,“过去制造商很少在官网上提供安全联络信息,只能通过法律部门回应相关漏洞披露。但现在,大多数制造商已经越来越成熟,开始朝着正确的方向靠拢。” 许多企业增设了首席产品安全官,专门负责管理产品安全问题。他补充道,虽然也有一些制造商做得还很不够,但“总体趋势正朝着积极的方向发展”。 Patel表示,“对于复杂的医疗设备或者物联网装置,我们部署的安全控制机制可能还不够全面……但至少过去五年来,行业已经取得了比以往多得多的进步。” 尽管在新设备保护方面表现积极,包括引入改进的身份验证机制等措施,但医疗设备基础设施的复杂性和对于传统技术的严重依赖,仍使得设备安全状态不断变化,很难找到解决方案。 医疗保健行业面临的最大安全问题:遗留技术 在Patel看来,真正的问题集中在遗留技术身上。例如,磁共振成像(MRI)设备和超声波设备的单台成本超过100万美元,高昂的价格使得医疗机构不可能仅因为“最新最好的安全功能”就下决心替换掉旧有设备。 新设备当然更加安全,但那些无处不在的传统设备和Windows XP系统也非常顽强。很多用户毫不犹豫地把这些设备接入网络,甚至认为“这有什么关系?哪来那么多人对医疗设备有想法?” Weiss称,“在医疗保健行业中,我们发现有大量磁共振成像系统在互联网上直接开放。网络上的每一台设备,都可能成为恶意黑客的突破口和恶意软件的传播起点。” 他强调,“这就是问题就在,最大的挑战就在这里。” Weiss还提到,过去几年来,医疗设备底层软件包也暴露出多个严重漏洞,如无线连接模块漏洞直接影响到数百万台设备。“漏洞似乎无穷无尽,总是不断涌现。” 而就在医疗保健努力解决这些长期遗留问题的同时,物联网趋势也在一刻不停地向前发展。 Patel表示,“家庭健康正在成为主流,许多卫生系统投入了大量技术资金,希望能持续监测患者体征。”另外,关于机器人远程手术的话题也得到广泛关注,“行业的创新成果和技术应用可谓进展迅速。” 降低医疗器械风险,监管与沟通将发挥重要作用 美国国会和监管机构有望在降低医疗设备风险当中发挥关键作用,同时也将在过程中持续助力各家供应商。目前,针对制造商、软件物料清单(SOMB)以及医疗保健行业多年来的种种安全诉求,已经有多项立法提案正积极酝酿。 从立法角度来看,Patel认为医疗设备安全已经有了不错的基础要素。但在制造商社区中,供应商和安全领导者需要开展更多对话,以就切实观点进行合作,并“确定更具体的实用性解决方案”。 在Weiss看来,如果能够改善医疗设备制造商和供应商间的沟通效果,那么设备的实用性乃至后续安全性的持续升级都将更有保证。 Patel说,目前看来,医疗保健行业自身也很清楚问题的存在。“但我们需要找到一种更加可行的解决方案设计思路,用分析解决问题,摒弃过去那些「人家供应商社区就是这么做的」、「操作人员根本不知道自己在干什么」之类既没意义、又没逻辑的托词。” Patel最后总结道,“制造商也面临着自己的挑战,但我们都在努力发现并解决问题。只要我们永远心系安全,并将安全视为流程中的固定组成部分,就一定能朝着正确的方向继续前进。”   转自 安全内参,原文链接:https://www.secrss.com/articles/43274 封面来源于网络,如有侵权请联系删除