微软推出了一套安全DNS框架——零信任DNS(ZTDNS)，企业可在Windows网络内部锁定域名解析。 微软的零信任DNS能否破除困扰企业数十年的DNS安全悖论？它会给企业带来新的麻烦吗？ 长期以来，将人类可读的域名网址转换为数字IP地址的DNS服务存在着巨大安全风险，因为域名解析过程很少采用端到端加密。提供域名解析的服务器会为几乎任何IP地址（即使是已知的恶意地址）进行解析。许多终端用户设备的DNS配置也很容易被篡改成恶意服务器。 为了治理DNS顽疾，上周五微软推出了一套安全DNS框架——零信任DNS(ZTDNS)，企业可在Windows网络内部锁定域名解析。该框架的两个主要功能是： 终端用户客户端和DNS服务器之间采用加密和密码身份验证的连接。 管理员可以严格限制这些服务器所能解析的域名。 破解 DNS 安全悖论 DNS之所以成为网络安全最顽固雷区之一，主要原因之一是存在一个安全悖论：在DNS解析中实施加密和身份验证会降低管理员的可见性，（无法看到和组织用户设备连接恶意域名或检测网络内异常行为）。因此，DNS流量要么以明文形式发送，要么以允许管理员在传输过程中解密的方式进行加密，这实质上是一种中间人攻击。 管理员经常面临以下两难选择： 要么以明文形式路由DNS流量，服务器和客户端设备之间无法相互进行身份验证，因此恶意域名可以被屏蔽，并且网络监控成为可能。 要么加密和验证DNS流量，并放弃对域名的控制和网络可见性。 微软的ZTDNS通过将Windows DNS引擎与Windows筛选平台（Windows防火墙的核心组件）直接集成到客户端设备中来解决这个存在了数十年的互联网安全问题（矛盾）。 咨询公司Hunter Strategy的研究和开发副总裁Jake Williams表示，这种引擎结合可以对Windows防火墙进行以域名为基础的更新。这产生一种机制，可让企业系统管理员将客户端DNS配置为：“只使用我们的DNS服务器，该服务器使用TLS，并且只解析某些域名”。微软将这种DNS服务器称为“保护性DNS服务器”。 默认情况下，防火墙会拒绝解析允许列表（白名单）中列出的域名之外的其他所有域名的解析。单独的允许列表将包含客户端运行授权软件所需的IP地址子网。网络安全专家Royce Williams将其称为“防火墙层的一种双向API，用户可以同时触发防火墙操作（通过输入‘到防火墙’），并根据防火墙状态触发外部操作（输出‘来自防火墙’）。因此，如果您是防病毒供应商或其他任何供应商，就不必重新发明防火墙，只需连接到WFP即可。” ZTDNS 的工作原理 微软公布了一个ZTDNS的概念图（下图），展示ZTDNS如何融入微软的移动设备管理平台（该平台可帮助管理员保护和控制获准联网的远程设备）以及与从家庭或其他远程位置连接的设备进行交互。 微软表示，除了连接到保护性DNS服务器、DHCP、DHCPv6和NDP服务器（用于网络发现）的连接，ZTDNS会阻止客户端设备到所有其他IPv4或IPv6 IP地址的出站连接。 微软指出： 当应用程序和服务尝试将IPv4或IPv6流量发送到未通过ZTDNS发现的IP地址（并且不在手动例外列表中）时，该流量将被阻止。这使ZTDNS成为一种很有价值的零信任工具：它对流量是“零信任”的，管理员可使用策略感知的保护性DNS服务器定义基于域名的锁定。或者，可以使用客户端证书向服务器提供影响策略的客户端标识，而不是依赖客户端IP地址，后者既不是安全的信号，也不太适用于“随时随地工作”的设备。 通过使用ZTDNS增强零信任部署，管理员可以实现所有出站IPv4和IPv6流量的名称标记，而无需依赖拦截明文DNS流量、卷入识别和阻止来自应用程序或恶意软件的加密DNS流量的技术军备竞赛、检查即将加密的SNI，或依赖于特定供应商的网络协议。相反，管理员可以阻止无法识别关联域名或命名异常的所有流量。这意味着企业不再依赖硬编码IP地址或加密DNS服务器，也不必牺牲端到端加密的安全优势。 对于用作ZTDNS锁定的保护性DNS服务器，最低要求是支持DNS over HTTPS (DoH)或DNS over TLS (DoT)，因为ZTDNS将阻止Windows使用明文DNS。此外，在加密DNS连接上使用mTLS可支持对每个客户端配置细粒度的DNS解析策略。最后，ZTDNS没有引入任何新的网络协议，这使其成为基于域名锁定的一种有前景的可互操作方法。 Peculiar Ventures首席执行官瑞安·赫斯特(Ryan Hurst)表示，网络内部大规模采用加密连接给一些大型组织带来了困难，因为管理员使用的许多安全工具都依赖于其检查和监控明文流量的能力。Hurst指出： 微软的零信任DNS解决方案的重点是：通过将DNS转变为所谓的网络策略执行点，部分恢复可见性；在不获取明文流量的情况下可靠地控制和审核所解析的域名。当企业将ZTDNS其与出口网络过滤相结合时，可创建一个闭环，使企业可以对流量的去向和时间有一定的掌控。当发生网络攻击时，零信任DNS还有可能被用作一种迟滞或阻止攻击者在网络中横向移动的方法，在某些情况下可让数据泄露变得更加困难。 但是安全专家警告说，ZTDNS引入了一种新颖的DNS方法，除非管理员对其当前的设计进行重大更改，冒然部署可能会破坏关键的网络运营。企业在部署ZTDNS前需要指定一个团队来处理升级，进行严格测试和文化转变。“为了从ZTDNS获得最大的安全价值，系统管理员需要枚举他们希望客户端连接到的域名和/或IP范围，”Jake Williams指出：“不然将导致（自我造成的）拒绝服务。” 微软官方发布了一篇文章专门介绍了部署ZTDNS的注意事项。目前，ZTDNS的开发已经进入内部预览版，但微软没有透露内部人士何时可以对其进行评估以及何时推广使用。   转自GoUpSec，原文链接：https://www.goupsec.com/news/16262.html 封面来源于网络，如有侵权请联系删除  

Forrester近日发布《2024年网络安全威胁预测报告》指出，人工智能正重塑网络安全格局，武器化大语言模型正成为首选攻击工具，安全团队在应对武器化人工智能攻击方面将面临日益严峻的挑战。此外，Forrester还预测2024年网络安全行业将面临诸多新兴威胁，热点包括深度伪造、APT组织和网络犯罪团伙兜售的“勒索软件即服务”、FraudGPT恶意大模型、物联网攻击服务，以及无痕攻击（无法被网络安全系统检测到的定制化恶意软件攻击）。 根据CrowdStrike最新发布的《2024年全球威胁报告》显示，无痕攻击在所有攻击事件中的占比从2022年的71%上升到2023年的75%。 数据泄露平均成本高达218万美元 2024年企业网络安全态势空前严峻。Forrester最近针对安全和风险管理专业人士的调查发现，近八成(78%)的受访者表示其组织的敏感数据在过去12个月中至少被泄露或入侵过一次。报告指出：“一次成功的网络攻击会成为未来攻击的信号弹。” 对比2022年和2023年的安全调查数据，过去12个月内经历过6到10次攻击的受访者比例增加了13%。48%的受访者曾遭遇过损失超过100万美元的网络攻击或数据泄露事件。其中大多数数据泄露事件的修复成本在200万至500万美元之间(27%)，还有3%的事件的修复成本超过1000万美元。 数据泄露的平均预估成本为218万美元。接受采访的每3位安全和风险管理专业人士中就有1位遭受过总损失额在200万至1000万美元以上的数据泄露事件。——Forrester Forrester评选的2024年五大安全威胁 利用虚假信息操纵舆论、日益增长的深度造假风险、生成式人工智能数据泄露、人工智能软件供应链漏洞以及太空安全是Forrester今年警告的五大安全威胁。下面将逐一进行概述。 1 大选年的叙事（舆论）操控攻击 舆论操控攻击通过操纵信息、破坏其可信度来抹黑或扭曲叙事的真实含义。Forrester的报告写道：“新技术使传播复杂的虚假信息和错误信息变得更加轻松快捷。2024年将有64个国家举行选举，因此旨在塑造舆论和影响行为的叙事操控攻击将尤为盛行。”Forrester指出，俄罗斯国家攻击者就曾利用舆论操控攻击试图在美国和墨西哥边境争论问题上挑动政治分歧。美国情报界最近发布的《2024年年度威胁评估》详细解释了国家攻击者如何利用舆论操控攻击和其他技术扰乱外交政策和选举。 2 深度伪造引发身份安全危机 深度造假是快速增长的威胁之一，其背后的推动力包括易于获取的廉价计算能力、生成式人工智能算法（包括生成对抗网络(GAN)和自动编码器）以及用于转换人物图像（例如换脸）的移动应用程序激增。其目标是创建具有高度音视频可信度的逼真人物形象。深度伪造通常用于创建用于欺诈、实施勒索软件攻击、窃取数据和知识产权(IP)的合成身份。Forrester指出，一些深度伪造案例被用于操纵股价、损害企业声誉和品牌、降低员工和客户体验以及放大错误信息。识别和阻止深度伪造威胁需要能够检测音频和图像篡改的算法。 Forrester建议IT和安全团队研究如何使用身份验证器应用程序来控制媒体源，并通过额外的验证和保护层封装面部和语音生物识别技术，包括行为生物识别、设备ID指纹识别/信誉、机器人管理和检测、数字技术欺诈管理和无密码身份验证。 3 生成式人工智能数据泄露 对于许多CISO来说，防御生成式人工智能泄露敏感数据的重点是提示工程、提示注入和重复提示攻击。随着越来越多的企业引入基于生成人工智能的应用程序，数据泄露风险正不断累积。鉴于微软Copilot、Salesforce Einstein GPT、Anthropic的Claude或Perplexity等大语言模型工具带来的生产力提升，CISO并不愿意完全禁止使用这些工具。Forrester指出，目前已经涌现出一些用于内容分析和过滤的新技术，包括PrivateAI、Prompt Security、ProtectAI和数据泄露防护(DLP)供应商，这些供应商正试图重新定位或转向提供此领域的安全控制。此外，思科、CradlePoint的Ericom生成人工智能数据泄露防护、Menlo Security、Nightfall A.I、Wiz和Zscaler是市场上提供此类安全方案的代表性厂商。 其中，CradlePoint的独特之处在于它依赖于无客户端方法，该方法在Ericom云平台内的虚拟浏览器中执行用户与生成人工智能网站的交互。CradlePoint表示，这种方法能够在其云平台中部署数据丢失防护和访问策略控制。通过将所有流量路由到专有云平台，可以防止将个人身份信息(PII)或其他敏感数据提交到ChatGPT等生成式人工智能网站。 4 人工智能软件供应链攻击 在人工智能软件供应链的源代码中嵌入恶意可执行程序是一种特别难以防范的威胁。攻击软件供应链并制造混乱是勒索软件攻击者偏爱的策略。国家黑客攻击者、网络犯罪集团和高级持续威胁(APT)组织也经常攻击软件供应链，因为它们从来都是软件公司或企业防御最薄弱的环节。值得注意的是，在短短一年内，91%的企业成为软件供应链事件的受害者，这凸显了对持续集成/持续部署(CI/CD)管道采取更好保护措施的必要性。 GitHub和Hugging Face是最受欢迎的开源模型和框架之一。在人工智能软件供应链入侵尝试中，攻击者还会寻找利用供应链和框架的机会。Forrester援引了OpenAI的ChatGPT被泄露的事件，该事件是由于恶意行为者利用了Redis开源库中的漏洞造成的。大语言模型只是高度复杂的AI生态系统的一小部分。 5 太空成为安全战略高点 间谍卫星和先进技术是各国攻击武器库的核心组成部分。美国外交关系委员会发现，2022年78%的国家网络攻击的目的是间谍活动，到2023年这一比例上升到82%。卫星正成为越来越需要保护的关键威胁面。2023年4月，网络空间日光委员会敦促白宫将太空设施纳入关键基础设施范畴，此前俄罗斯在入侵乌克兰期间攻击了Viasat的卫星网络。2023年晚些时候，德国研究人员披露了卫星技术中发现的巨大漏洞。鉴于不断变化的地缘政治格局，卫星供应链正受到更严格的审查。 构建更具网络弹性的卫星离不开强大的安全网络为卫星供应链（包括地面和航天器）提供保护。截至2022年底，共有6718颗活跃卫星环绕地球运行，预计到2030年还将发射5.8万颗卫星。美国国防情报局在其2022年《太空安全挑战》报告中写道：“太空正变得越来越军事化。一些国家已经开发、测试和部署了各种卫星和反太空武器。中国和俄罗斯正在开发新的太空系统以提高其军事能力并减少对美国太空系统的依赖。”   转自会GoUpSec，原文链接：https://mp.weixin.qq.com/s/fLC-BdeFZ90YmsPrqc9DCg 封面来源于网络，如有侵权请联系删除

网络安全公司Securonix近日发现了一个名为“Dev Popper”的新型网络攻击活动，该活动针对软件开发人员，利用虚假的面试流程诱使受害者安装恶意软件，进而窃取受害者供职企业的机密信息。 攻击者会伪装成企业招聘人员，通过邮件或社交媒体联系目标开发者，提供虚假的软件开发职位。在面试过程中，攻击者会要求受害者下载并运行声称来自GitHub的“标准编码任务”，以此让整个过程看起来合法合规。 然而，该代码实际上是一个恶意压缩文件，其中包含一个恶意NPM软件包。这个软件包内嵌了一个名为“imageDetails.js”的混淆JavaScript文件，该文件会通过Node.js进程执行“curl”命令，从外部服务器下载另一个恶意存档“p.zi”。 “p.zi”存档中包含下一个阶段的攻击载荷，也就是一个混淆的Python脚本，充当远程访问木马(RAT)。 一旦RAT在受害者的系统上激活，它就会收集并发送基本系统信息到攻击者的控制服务器，这些信息包括操作系统类型、主机名和网络数据。 Securonix报告称，此RAT具备以下功能： 长期驻留，供攻击者持续控制受害者系统。 执行文件系统命令，以搜索并窃取特定文件或数据。 远程执行命令，用于实施额外的漏洞利用或部署恶意软件。 直接从“文档”和“下载”等重要文件夹窃取数据，通过FTP传输到攻击者服务器。 记录剪贴板内容和按键记录，以监控用户活动并可能窃取凭证。 虽然目前尚无法确定“DevPopper”攻击的幕后黑手，但利用虚假工作机会作为诱饵传播恶意软件的做法仍然屡见不鲜。软件开发人员在求职过程中应该保持警惕，不要轻易下载或运行来历不明的代码，以免遭受网络攻击。 值得注意的是，攻击者正是利用了软件开发人员（包括网络安全专业人士）的职业操守及其对招聘流程的信任。求职者担心拒绝面试官的要求会影响求职机会，因此更容易落入陷阱。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/EqwMS6e489XDpCEY_FEd6A 封面来源于网络，如有侵权请联系删除

作为后量子时代的标志性产品，谷歌首个抗量子加密浏览器Chrome 124的发布意外引发了网络安全业界的骚乱。 该Chrome版本默认启用全新的抗量子安全传输层安全(TLS)密钥封装机制X25519Kyber768，用于保护用户免受即将到来的量子破解威胁。然而，这项新技术却由于兼容性问题导致TLS连接中断，很多用户无法正常连接访问网站、服务器和多家安全厂商的防火墙。 “先存储，后解密”攻击 早在去年8月，谷歌就开始测试代号“Kyber768”的抗量子密钥协商算法，并计划将其整合至最新的Chrome版本中。理论上，Kyber768可以保护基于TLS 1.3和QUIC连接的Chrome流量，使其免遭未来量子计算机的破解。经过数月的兼容性和性能影响测试，我们决定在Chrome 124桌面版本中启用混合式抗量子TLS密钥交换，”谷歌Chrome安全团队解释道：“这项技术可以保护用户流量免受‘先存储，后解密’（黑客大量收集囤积加密的网络流量数据，等未来量子计算机成熟后进行解密）攻击的威胁。” “先存储，后解密”攻击是数据安全面临的一个巨大潜在威胁。为了防范此类攻击，许多企业已经开始在其网络架构中加入抗量子加密技术。苹果、Signal和谷歌等科技巨头均已率先采用了抗量子算法。 大量防火墙、服务器、网络设备产生兼容问题 然而，根据系统管理员们的反馈，自上周Google Chrome 124和微软Edge 124桌面版推出以来，一些网络应用、防火墙和服务器产品在执行Client Hello TLS握手时会断开连接。 “该问题似乎影响了服务器处理客户端问候消息中的额外数据的能力，”一位管理员表示：“同样的问题也出现在了新版Edge浏览器上，似乎与派拓网络（Palo Alto Networks）防火墙产品的的SSL解密功能存在冲突。” 据报道，该兼容性问题的影响面非常大，多个供应商（例如Fortinet、SonicWall、Palo Alto Networks、AWS）的安全设备、防火墙、网络中间件和各种网络设备都遭遇了类似的兼容性问题。 值得注意的是，这些错误并非源于Google Chrome本身的漏洞，而是由于部分网站服务器和网络设备未能正确实现传输层安全(TLS)协议，无法处理用于抗量子加密的更大ClientHello消息。 这些不支持X25519Kyber768算法的网络设备，不会尝试降级至经典加密方案，而是直接拒绝使用Kyber768算法建立的连接。 TLS连接中断问题的解决方法 一个名为tldr.fail的网站专门分享了有关抗量子ClientHello消息如何导致服务器连接错误的信息，并为开发者提供了修复漏洞的指南。 网站管理员也可以通过在Chrome浏览器中启用“chrome://flags/#enable-tls13-kyber”标记来手动测试服务器的兼容性。启用后，管理员可以尝试连接到自己的服务器，并查看是否会产生“ERR_CONNECTION_RESET”错误。 受影响的Google Chrome用户可以访问“chrome://flags/#enable-tls13-kyber”并禁用混合式Kyber支持来暂时规避该问题。 系统管理员还可以通过以下方式进行修复：在“软件>策略>Google>Chrome”路径下禁用“PostQuantumKeyAgreementEnabled”企业策略；或者联系网络设备供应商，获取适用于其服务器或中间件的更新补丁，以使其兼容抗量子加密标准。 微软也发布了相关信息，指导用户如何通过Edge浏览器组策略控制此功能。 需要注意的是，从长远来看，TLS协议终究需要采用抗量子安全密码。谷歌未来也将移除Chrome企业策略中禁用混合式Kyber支持的选项。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/gAIVGiENWMgkqyUJQefHRg 封面来源于网络，如有侵权请联系删除

美国网络安全和基础设施安全局(CISA)本周四发布了关键基础设施企业如何向政府报告网络攻击的规定草案。 新规基于拜登2022年3月15日签署的美国《关键基础设施网络事件报告法案》(简称CIRCIA)。这是美国联邦政府首次提出一套跨关键基础设施部门的全面网络安全规则。CISA正在就规则草案征求公众意见，为期60天。 CISA估计，未来11年该规定的合规成本将达到26亿美元，即每年约2.3亿美元，其中行业成本为14亿美元，联邦政府成本为12亿美元。 白宫官员们希望该法案和执行规则能让各行业关键基础设施企业及时提交网络安全事件报告，从而更好地识别攻击模式，确定网络犯罪分子和国家黑客使用的攻击策略，改进防御手段。 “72小时新规”遭企业强烈反对 根据新规，拥有和运营关键基础设施的公司需要在72小时内报告重大网络攻击，并在24小时内报告勒索软件支付情况。 该规定一经发布就遭到大量公司反对，这些公司称早期评估攻击很困难。他们还担心披露太多细节可能会泄露事件响应过程和网络防御的细节，这有利于攻击者。 企业还指出，他们必须遵守各个联邦机构多如牛毛（数十个）报告要求，以及州数据泄露法律。 谁需要遵守新规？ CISA表示，该规定适用于任何拥有或运营美国政府归类为关键基础设施的系统的所有者，例如医疗、能源、制造业和金融服务业。该规定还将适用于那些不运营关键基础设施，但其系统可能对特定行业关键基础设施造成影响的企业，例如服务提供商。 CISA估计，将有超过31.6万个实体受到新规监管，“在未来十年内将总共提交约21万份CIRCIA报告”。 CISA在其长达447页的草案中表示：“来自广泛实体的报告对于提供关键基础设施领域网络环境的充分可见性至关重要，这也是CIRCIA旨在促进的。” 根据美国小企业管理局(SBA)标准，收入和员工人数达标的小型组织将获得豁免。 曾领导CISA的新冠病毒特别工作组两年的网络安全专家JoshCorman对CISA的监管范围划分提出质疑。他指出，新规仅关注大型组织，忽视了小公司在许多行业中发挥的关键作用。例如，美国许多医院和医疗器械公司的规模都低于CIRCIA规定的规模。按照新规，只有100张以上床位的医院才需要遵守新规，这将排除绝大多数医疗机构。 什么是“重大”网络安全事件？ 新规要求企业在72小时内报告“重大”网络攻击，并在24小时内报告勒索软件支付情况。 对于“重大”网络安全事件的界定，CISA认为，涉及非法访问系统并导致停机或运营严重受损的攻击将触发报告要求的门槛。 例如，暂时阻止客户访问公司公共网站的分布式拒绝服务(DDoS)攻击不会被视为重大攻击，成功但被迅速阻止且未造成影响的网络钓鱼攻击也不会被视为重大攻击。然而，针对关键功能/业务造成重大停机的DDoS攻击，或者通过第三方提供商凭证未经授权访问公司系统的情况将符合标准。 但CISA表示，并非所有网络安全事件都会触发报告义务。这包括由第三方服务提供商在服务器配置中出现的一些错误，如果没有造成严重停机，则无需报告。另一个例外是公司明确批准的外部承包商（例如渗透测试人员）对网络防御进行的测试。 最后，CISA鼓励企业报告所有网络安全事件，无论是否达到监管标准。 新规与其他报告要求有何不同？ CISA新规的72小时的报告时限要求远高于美国证券交易委员会(SEC)的“四日新规”。SEC要求公司在确定网络攻击将对其运营产生重大影响后，最迟在四个工作日内进行报告，并且这些报告将通过监管文件公开。 CISA给出的时间窗口窄很多，但与SEC的公开流程不同，CISA将对安全事件报告进行保密处理，并按季度发布汇总的匿名统计数据。 CISA表示正在采取措施使其监管要求与其他要求保持一致，并且在某些情况下允许企业用CIRCIA报告替代其他报告。其他规定在实质上必须相似，CISA必须执行跨机构协议才能做到这一点。 不遵守规定会受到处罚吗？ CISA可以追究行政处罚。如果CISA认为一家公司遭受了网络攻击或支付了赎金却没有报告，它可以发出信息请求，然后在必要时发出传票强制披露。如果一家公司无视传票，CISA还可将此事提交给司法部长进行民事诉讼。 故意向联邦政府提供虚假陈述可能会导致罚款和监禁。CISA表示，他们不会将网络攻击开始时出于善意提供的，此后被证明不准确的信息视为虚假陈述。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/w5sbRM60YpEkEFP0dZq8DA 封面来源于网络，如有侵权请联系删除

过去多年，苹果的iOS生态系统都因技术和商业模式更封闭、（已知）漏洞和恶意软件更少，以及较为严格的应用审核而给人“更安全”的印象，但是近日美国司法部打破了“苹果更安全”的神话，在对苹果公司提起的反垄断诉讼中，司法部的调查结果显示iPhone的垄断已经威胁到了用户的隐私和信息安全。 美国司法部反垄断局近日提起诉讼，指控科技巨头苹果公司违反谢尔曼法第二条，涉嫌从事反竞争行为。该诉讼由来自16个州和地区的总检察长联合提起，于周四提交给新泽西州地方法院。诉状的核心是苹果通过其封闭的iPhone“生态系统”非法维持智能手机垄断地位，损害了开发者创新、消费者选择权和隐私安全。 阻止安全创新的“巨魔” 长期以来，苹果一直坚称对第三方（包括iOS应用和浏览器的开发者）的要求是必要的，可以维护其“业内最佳”的安全和隐私标准。但是，美国司法部引用调查结果和内部苹果文件中的内容，指控苹果通过限制开发人员的功能，阻止他们跨平台（非iPhone和iOS系统）运行程序，以此将竞争对手拒之门外。美国司法部声称，苹果对第三方的诸多限制会抑制用户使用更私密、更安全的第三方选项，从而削弱用户安全和隐私。诉状还指出，苹果故意不为iPhone发送到安卓手机的短信提供加密功能，部分原因是为了阻止用户转向安卓阵营。“（由于iPhone的垄断）智能手机用户正在错失创新的安全功能，这些功能可以降低对昂贵硬件的需求，解锁重大技术进步，并实现更安全的通信，”美国司法部助理部长JonathanKanter在诉讼提交后的新闻发布会上表示。 一个显著的例证是，本月《欧盟数字市场法案》（DMA）生效对欧盟区iPhone浏览器市场产生了显著影响。在iOS17.4中，苹果为了合规增加了第三方浏览器选择屏幕，欧盟用户可从随机列出的浏览器列表中选择默认网络浏览器，仅这一点变化就导致Opera和Brave等安全性和功能出色的第三方浏览器下载量暴增（法国苹果用户的Opera下载激增402%）。 第三方应用商店战火烧到美国本土 本月初，苹果宣布遵守欧盟DMA法案启动欧盟市场的第三方应用商店计划，这标志着苹果密不透风的垄断生态系统在欧盟被打开缺口。但苹果警告称，DMA法案要求苹果允许（第三方应用商店）应用侧载会削弱用户保护并给网络犯罪分子更多可乘之机。事实上，苹果以安全为由，对欧盟区的第三方应用商店的用户和开发者设置了很多“黑手党条款”，不但限制用户的全球漫游（时间），而且新的佣金条款还“恐吓”流行应用的开发者不要贸然转移到第三方应用商店。苹果对欧盟DMA法案的阳奉阴违策略是为了维持其高利润的垄断应用生态，但是越来越多的国家开始加入欧盟对苹果应用商店的“围剿”，美国司法部也不例外。 除了指控苹果故意阻止iPhone用户向安卓用户发送安全短信之外，美国司法部也将矛头对准了苹果应用商店。诉状指出，苹果通过强制第三方应用和服务开发者使用苹果自己的数字钱包和应用商店，进而削弱了隐私保护。 美国司法部声称，这使苹果能够收集用户财务和个人数据，以便用户使用这些应用或服务，并限制公众寻求更注重隐私和精选的替代应用商店。 司法部诉状认为，苹果将安全和隐私作为“挡箭牌”来为自己辩护，同时又将这些价值观置于一边，以“维持其垄断地位”。 “苹果标准”面临全球监管挑战 “司法部诉讼强调了苹果设定安全标准的角色与开发者选择独立、潜在的更灵活和更具成本效益的安全和支付解决方案的权利之间的平衡，”移动安全公司Approov的首席执行官Ted Miracco评论道。Miracco认为，随着美国、欧盟和英国都对苹果提起反垄断诉讼，全球监管机构正在传递一个信息，即苹果认为“只有他们自己才能为移动生态系统提供安全”的想法是不现实的，这会让苹果用户产生“虚假的安全感”。 “过去一年，苹果修补的零日漏洞数量惊人，这表明苹果用户对高级威胁行为者（例如飞马软件和APT组织）而言极具吸引力，”Miracco说道：“所有移动用户都应该认识到，苹果设备过去曾遭到恶意软件和其他网络攻击，未来也将会继续被攻击和利用，因为如今没有任何一款设备或应用程序是真正不可破解的。”   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/xLzgkr300xdIOApLnG5yjg 封面来源于网络，如有侵权请联系删除

2024年，18个非洲国家准备进行大选。与此同时，针对非洲的网络虚假信息攻击激增。遏制威胁的关键是加强网络安全工作。 安全内参3月27日消息，针对非洲国家和驻非洲国际组织的网络虚假信息攻击近年来急剧上升，网络安全专家们亟需寻求解决方案，来应对这一不断加剧的问题。 根据美国国防部下属学术机构国防大学非洲战略研究中心的数据，2023年，非洲至少发生了189起有记录的虚假信息攻击活动，这一数字是前一年的四倍。《经济学人》报道称，接下来的一年内，至少有18个非洲国家将举行大选。对于依赖经济稳定的现有政府和企业来说，虚假信息已经成为主要威胁。 非洲战略研究中心研究助理Mark Duerksen指出，随着这些威胁的扩散，网络安全专家需要探讨保护策略，但不能期望通过单一解决方案解决所有问题。 Duerksen表示：“虚假信息不仅是技术问题，更是社会和政治问题。我们需要采取多层次的应对措施来增强韧性。因此，网络专家的工作只能是解决方案的一部分。然而，虚假信息攻击活动正日趋复杂，它们利用网络攻击来放大、洗白和煽动虚假信息。” 今年，超过50个非洲国家在不同程度上继续改进其网络安全水平。例如，拉各斯大学和肯尼亚女性网络安全机构Shehacks Ke等组织致力于提升该地区的网络安全人才水平。然而，许多非洲国家在网络卫生方面仍然相对落后。 外国干预占主导地位 根据非洲战略研究中心的最新报告，虽然全球都面临虚假信息问题，但非洲同时面临来自外国和国内的虚假信息双重打击。报告显示，外国政府主导了大部分针对非洲的虚假信息攻击活动。2023年，约60%的攻击活动归咎于俄罗斯、阿联酋、沙特阿拉伯和卡塔尔。 大西洋理事会旗下的数字取证研究实验室（DFRLab）的一份报告显示，23起针对某个非洲国家的攻击活动中，有16起来自与俄罗斯有关的团体。特别是法国从马里和其他萨赫勒国家撤军后，非洲国家面临的189次攻击活动大多数得到了俄罗斯的幕后支持。 报告引用了俄乌战争作为例证。Duerksen表示，当时，一些尼日利亚记者的社交媒体账户被黑客攻击，用于传播亲普京的标签和虚假信息，制造出非洲支持俄罗斯的假象。 当前，非洲有6亿互联网用户，其中4亿是活跃的社交媒体用户。非洲公民是全球最热衷于社交媒体的用户之一，尤其是尼日利亚和肯尼亚的用户在社交媒体上花费的时间最长。根据大西洋理事会/DFRLab的报告，非洲国家的互联网普及率不同，中非共和国的普及率最低，仅为7%，而尼日利亚的普及率最高，达到了51%。 最近，卡内基国际和平基金会发布了题为《有效对抗虚假信息：基于证据的政策指南》的报告，指出要保护公民和企业免受虚假信息攻击，需要采取一系列措施，包括支持本地新闻和媒体素养、提高选举的网络安全，以及检测、报告和移除不真实的社交媒体用户。 以用户为中心的安全策略 尽管有些专家质疑虚假信息攻击是否属于网络安全专家的职责，但大多数人认为这是以人为中心的综合安全学科的一部分。专家需要为用户提供有效的安全警告，并加强员工对复杂网络钓鱼攻击的抵御能力。 Duerksen表示：“我们有一个重要的教训——需要培养通过分布式和可互操作的方法来追踪和分析虚假信息的能力，并建立信息分享和分析中心（ISACs）。ISACs这个概念直接来源于网络安全，将成为反虚假信息的核心。我们在创建标准化框架和定义方面已经取得了进展。研究人员可以分享数据集，共同分析虚假信息背后的行为者和策略。” 他强调，与政府机构合作的网络安全专家应当深入研究虚假信息的威胁。与网络钓鱼培训一样，提高媒体素养可以帮助提升员工抵御这些攻击的能力。 Duerksen进一步表示：“这意味着，我们需要积极开发对新兴数字信息空间的情境意识，而不是等待攻击事件发生。目前看来，制定预防虚假信息攻击的应对计划，例如编制战略通信手册、与社交媒体公司联系等，似乎显得过于谨慎。但是，许多大公司已经亲身体验到，这些攻击一旦发生，会迅速严重损害其声誉和财务状况。”   转自安全内参，原文链接：https://www.secrss.com/articles/64750 封面来源于网络，如有侵权请联系删除

近日，StrelaStealer 恶意软件发起了大规模的攻击行动，试图窃取电子邮件帐户凭据，行动波及到了美国和欧洲的一百多个组织。 2022 年 11 月，StrelaStealer 被首次披露，它是一种新型信息窃取恶意软件，可从 Outlook 和 Thunderbird 中窃取电子邮件帐户凭据。该恶意软件的一个显著特点是能够使用多文件感染方法来逃避安全软件的检测。当时，StrelaStealer 主要针对西班牙语用户。 但根据 Palo Alto Networks 的 Unit42 最近发布的一份报告显示，StrelaStealer 扩大了其攻击目标，现在以美国和欧洲的组织为目标。 StrelaStealer 是通过网络钓鱼活动传播的，据统计，去年 11 月该组织发起恶意活动的次数显著上升，其中有多次攻击是针对美国 250 多个组织发起的。 根据折线图，可见钓鱼邮件分发量的趋势上升一直持续到了今年年初，Unit42 分析师在 2024 年 1 月底至 2 月初又记录到了大规模的活动。 StrelaStealer 最新攻击数据统计 在此期间，美国遭遇的攻击次数超过了 500 次。 Unit42 表示已确认美国和欧洲至少曾发生了 100 次入侵事件。恶意软件操作员使用英语和其他欧洲国家的语言，并根据需要调整其攻击。 用德语书写的发票主题电子邮件 据统计，该恶意软件的大多数攻击目标都锁定了 “高科技 “领域运营，其次是金融、法律服务、制造、政府、公用事业和能源、保险和建筑等行业。 攻击目标 新的感染方式 2022年年底，StrelaStealer 的原始感染机制开始演变，但该恶意软件仍使用恶意电子邮件作为主要感染载体。以前，电子邮件会附上包含 .lnk 快捷方式和 HTML 文件的 .ISO 文件，利用多语言调用 “rundll32.exe “并执行恶意软件有效载荷。 最新的感染链则使用了 ZIP 附件将 JScript 文件植入受害者系统。执行时，脚本会投放一个批处理文件和一个解码为 DLL 的 base64 编码文件。该 DLL 会再次通过 rundll32.exe 执行，以部署 StrelaStealer 有效载荷。 新旧感染链 此外，该恶意软件的最新版本在其包装中采用了控制流混淆技术，使分析复杂化，并删除了 PDB 字符串，以逃避依赖静态签名的工具的检测。 StrelaStealer 的主要功能保持不变：从常用的电子邮件客户端窃取电子邮件登录信息，并将其发送到攻击者的指挥和控制（C2）服务器。 所以如果用户收到声称涉及付款或发票的未经请求的电子邮件时应保持警惕，同时尽量避免下载来自未知发件人的附件。   转自Freebuf，原文链接：https://www.freebuf.com/news/395752.html 封面来源于网络，如有侵权请联系删除

近期， Imperva 发布的《2024 年 API 安全状况报告》中提到，2023 年的大部分互联网流量（71%）都是由 API 调用，通过 API 传输的大量互联网流量应该引起每一位网络安全专家的关注。 目前，尽管大部分企业已经尽最大努力采用了左移框架和 SDLC 流程，但 API 仍经常在编目、验证或审计之前就被嵌入到了业务流程中（企业在生产中平均拥有 613 个 API 端点），随着当下向客户更快、更高效地交付数字服务的压力不断增加，这一数字也在迅速扩大。 随着时间推移，API 可能会成为有风险、易受攻击的端点。 Imperva 在报告中指出，鉴于API 是访问敏感数据的直接途径，早已成为网络威胁攻击者的常见攻击载体。事实上，Marsh McLennan 网络风险分析中心的一项研究发现，与 API 相关的安全事件每年给全球企业造成的损失高达 750 亿美元。 API 调用量越高，会出现更多安全问题 值得一提的是，研究发现相比其他行业，银行业和在线零售业在 2023 年的 API 调用量最高，这两个行业都依赖大型 API 生态系统向客户提供数字服务。网络威胁攻击者使用各种”手段“攻击 API 端点，其中一个常见的攻击载体便是账户接管（ATO）。当网络威胁攻击者利用 API 身份验证流程中的安全漏洞，未经授权访问账户时，就会发动这种攻击。 2023 年，近一半（45.8%）的 ATO 攻击以 API 端点为目标，这些”企图“通常是以恶意机器人的形式通过自动化来实现（注:恶意机器人是指怀有恶意运行自动化任务的软件代理)。考虑到银行以及其他金融机构管理的客户数据信息价值，ATO 是一个非常令人担忧的业务风险。 这种攻击一旦成功，网络威胁攻击者就会立刻锁定受害者的账户，盗取敏感数据。不仅仅造成经济损失，还会增加违规风险。 为什么管理不善的 API 会带来安全威胁 目前来看，因为没有受到合理的监管，以及缺乏足够的身份验证控制，导致每 10 个应用程序接口中就有近一个容易受到网络攻击，降低 API 的安全风险具有很大挑战，即使最成熟的安全团队也会为此感到”棘手“。其中主要的问题源于软件开发的快节奏，以及缺乏成熟的工具和流程来帮助开发人员和安全团队更好地协同工作。 Imperva 在报告中指出了影子 API、废弃 API 和未认证 API三种常见的 API 端点管理不善类型，它们会给企业带来安全风险： 影子 API： 这些 API 也称为未记录或未发现的 API，它们不受监督、被遗忘和或不在安全团队的可见范围内。据 Imperva 估计，影子 API 占每个组织活动 API 集合的 4.7%。如果不对这些 API 端点进行适当的编目或管理，就会出现安全问题。 企业应该关注影子 API，它们通常可以访问到敏感信息，但没有人知道它们的存在位置或连接内容。一个影子 API 就可能导致合规违规和监管罚款，更有甚者，有动机的网络犯罪分子会滥用它来访问企业的敏感数据。 废弃的 API： 废弃 API 端点是软件生命周期中的一个自然过程。因此，随着软件的快速、持续更新，被废弃的 API 并不少见。 事实上，据 Imperva 估算，已废弃的 API 平均占企业活动 API 集合的 2.6%。当端点被废弃时，支持此类端点的服务就会更新，对废弃端点的请求就会失败。但是，如果服务没有更新，API 也没有删除，端点就会因为缺乏必要的补丁和软件更新而变得脆弱。 未经验证的 API： 未验证的 API 通常是由于配置错误、匆忙发布过程中的疏忽或为适应旧版本软件而放宽了严格的验证过程而引入的。这些应用程序接口平均占企业活动应用程序接口集合的 3.4%。未经身份验证的 API 的存在给企业带来了巨大的风险，因为它可能会将敏感数据或功能暴露给未经授权的用户，从而导致数据泄露或系统操纵。 为降低管理不善的 API 带来的各种安全风险，建议企业进行定期审计，以识别未监控或未经身份验证的 API 端点。此外，开发人员应定期更新和升级 API，以确保用更安全的替代品取代过时的端点。 如何最大程度降低 API 的安全风险 API 的安全风险与日俱增，严重影响了企业正常经营生产。对此，Imperva 提出了几项建议，以帮助企业改善 API 安全状况： 发现、分类和清查所有 API、端点、参数和有效载荷，使用持续发现来维护始终最新的 API 清单，并披露敏感数据的暴露情况； 识别并保护敏感和高风险 API，执行风险评估，特别是针对易受授权和身份验证漏洞以及过度数据暴露影响的 API 端点； 为 API 端点建立强大的监控系统，主动检测和分析可疑行为和访问模式； 采用 API 安全方法，将 Web 应用程序防火墙 (WAF)、API 保护、分布式拒绝服务 (DDoS) 防范和僵尸程序保护整合在一起。   转自Freebuf，原文链接：https://www.freebuf.com/news/395332.html 封面来源于网络，如有侵权请联系删除

安全内参3月14日消息，微软日前宣布，将于4月1日正式推出订阅式AI安全服务Copilot for Security（也称Security Copilot）。 为了展示微软对软件即生产力的承诺，该公司在周二邀请了数位记者参加媒体简报会。会议期间，记者们向参会员工和客户询问微软提供的自动化服务细节。 早在去年10月，微软就开放了Copilot for Security的预览版访问。Copilot for Security提供了两种模式，既可以作为独立门户与第三方产品集成，也可以嵌入微软安全产品如Sentinel、Defender XDR、Purview、Priva和Entra等。 基于GPT-4和微软专用安全模型，Copilot for Security能够接受来自人或脚本的输入内容，通过编排器层、上下文层和应用插件传递文本，然后由底层AI模型返回响应。期间会涉及文档总结、标记可疑交互，或者生成加强安全实践的建议等任务。 无论哪种情况，Copilot for Security都将通过与Azure云服务绑定的“按使用付费”许可来提供服务。微软已经创建了一个名为Security Compute Unit的新计费单元，预计将按月收费，费率为每小时4美元。 网络威胁态势日益恶化，亟需提升智能防御手段 微软负责安全、合规、身份与管理的副总裁Vasu Jakkal表示：“过去一年里，各类攻击的速度、规模和复杂性有了极大提升。” “身份验证仍然是安全主战场。据我们观察，每秒会发生4000次密码攻击。仅在两年前，每秒只有567次密码攻击。同期的身份验证攻击数量从30亿次增加到了300亿次，一年增长了10倍。” “攻击者获取数据的时间也在缩短。一旦用户点击了钓鱼链接，攻击者平均最多只需要72分钟即可获取用户数据、侵入用户收件箱。” Jakkal指出，除了上述困难，安全人才也存在严重短缺。 Jakkal表示，设计Copilot for Security“旨在帮助客户和用户以机器速度进行防御，捕捉到其他人可能忽略的问题，缓解我们面临的人才短缺，让每个人都得到想要的结果。” Jakkal解释说，Copilot for Security的设计初衷是保障安全运营、保护任务免受威胁，比如进行威胁调查、恶意软件逆向、事件报告和引导式事件响应计划。在去年10月，这项服务已扩展到与身份、数据安全和IT技能相关的任务。 最新版Copilot for Security包含以下功能：1.支持自定义提示手册，客户可以为常见任务制作并保存自己的提示；2.公司特定的知识库集成；3.支持八种语言的提示和响应，通过独立界面提供25种语言；4.与合作伙伴服务的第三方集成；提供显示团队如何使用Copilot的使用报告。 Jakkal说：“我坚信这将是我一生中最重要的技术。” Copilot在分析/总结场景提效佳，响应场景略不足 Copilot for Security的主要价值在于提高生产力。根据微软官方对Microsoft XDR的研究报告，与比没有AI辅助的用户相比，使用安全服务并得到Copilot for Security协助的用户在分析脚本、事件报告及总结事件等任务上平均快22%。 不过，并非所有工作都能实现生产力提升。对于响应任务，Copilot反而会让响应速度变慢约26%。研究报告称：“我们还注意到，Copilot目前往往需要20多秒才能打开。这必然会减慢Copilot用户的速度。后续通过产品改进需要减少等待时间，将进一步降低Copilot用户的时间成本。” 总体而言，微软的数据对Copilot for Security表示肯定，指出这一产品改进了准确性和质量，提高了员工积极性。 瑞士信诺工业集团安全运营中心经理Rui Correia告诉外媒The Register，他们自去年11月以来一直在使用Copilot for Security，主要用于恶意软件分析、事件响应和警报调查等任务。 他说：“每当公司发生可疑事件并生成警报时，我们都利用Copilot加速调查。” Correia表示，通过对比使用和不使用Copilot的调查过程，发现“每个步骤，Copilot都要快出20%到50%，因为人工操作需要访问并登陆多个门户，并等待所有内容加载。”   转自安全内参，原文链接：https://www.secrss.com/articles/64430 封面来源于网络，如有侵权请联系删除