来自欧洲各地的网络安全专家，刚刚完成了迄今为止全球规模最大的网络危机模拟之一。 在Cyber Europe 2022上，来自欧盟29个国家、欧洲自由贸易区（EFTA）以及欧盟各机构与部门的800多名网络安全专家齐聚一堂。 今年的演习场景，涉及对欧洲医疗基础设施的模拟攻击。 场景升级 第一天演习内容包括篡改实验室结果等虚假宣传活动，以及对欧洲医院网络发动攻击。 第二天演习的安全事件进一步升级为欧盟范围内。有攻击者威胁将发布个人医疗数据，而另一个团伙则在网上散布植入式医疗设备存在漏洞的谣言。 此次演习测试了各参与方的事件响应能力，以及欧盟各机构与欧洲计算机应急响应小组（CERT-EU）、欧盟网络与信息安全局（ENISA）合作提高态势感知能力的成效。此次演习中吸取的经验教训，将在ENISA发布的事后报告中正式公布。 ENISA执行理事Juhan Lepassaar在一份新闻稿中表示，“为了保护我们的卫生服务与基础设施，并最终保护全体欧盟公民的健康权益，加强网络安全弹性将是唯一可行的道路。” Cyber Europe演习通常每两年举办一次。但由于COVID-19疫情的突然爆发，2020年演习未能如期举行。 Red Goat Cyber Security合伙人、网络危机演习专家Lisa Forte表示，“这些演习对于评估和发展网络安全弹性起到了至关重要的作用。” “Cyber Europe演习表现良好，也让我们看到了欧盟整体要如何应对大规模网络攻击。根据我个人的演习经验，战略与战术团队在沟通层面永远存在可以改进的空间。通常，演习会暴露出所制定计划中的缺陷。如果不解决这些缺陷，那么无论在纸面上看起来何等完善的计划，都无法在高压力场景下发挥作用。”   转自 安全内参，原文链接：https://www.secrss.com/articles/44303 封面来源于网络，如有侵权请联系删除

数据安全提供商 Titaniam Inc. 今天发布了《数据渗透和勒索状况报告》。报告显示，虽然超过 70% 的企业拥有一套现有的预防、检测和回溯解决方案，但近 40% 的企业在过去一年中仍然受到了勒索软件攻击。 研究结果表明，传统的数据安全工具，如安全备份和恢复工具、提供静态和传输中加密的解决方案、标记化和数据屏蔽等，在 60% 的时间里未能保护企业的数据免受勒索软件威胁。 最重要的是，该研究强调，企业不能仅仅依靠传统的数据安全工具来抵御数据渗透和双重勒索勒索软件攻击，他们需要能够对使用中的数据进行加密，以阻止恶意行为者的行为。 传统数据安全工具的问题不在于它们没有强大的安全措施，而在于攻击者可以通过窃取凭证来实现对关键数据资产的特权访问，从而避开这些控制。 Titaniam 的创始人兼 CEO Arti Raman 表示：“这些传统工具对勒索软件和勒索行为无效，因为最常见的攻击不是攻击者‘入侵’，而是攻击者使用偷来的凭证‘登录’。当这种情况发生时，传统的安全工具会像看待有效用户一样看待攻击者”。 Raman 继续说道：“在这种情况下，当攻击者在网络中移动时，他们可以像合法用户或管理员在进行日常工作时那样，使用他们的凭证来解密、拆解和揭开数据。一旦数据被解密，攻击者就会将其渗出，并将其作为敲诈的筹码”。 抵御现代勒索软件攻击中典型的入侵行为的唯一方法是，企业部署具有使用中加密（Encryption-in-use）功能的数据安全解决方案。Encryption-in-use 可以帮助掩盖数据，使其无法被获得企业资源特权访问权的攻击者渗出。 对加强数据保护的需求促进了数据加密市场的大幅增长，研究人员在2020年对该市场的估值为94.3亿美元，预计到2030年将达到423亿美元，因为越来越多的企业寻求阻止未经授权的用户。   转自 cnBeta，原文链接：https://www.cnbeta.com/articles/tech/1288629.htm 封面来源于网络，如有侵权请联系删除

The Hacker News 网站披露， 2021 年 9 月至 2022 年 1 月期间，中国 TikTok 工程师访问了美国用户数据引起的担忧加剧后，该公司正在试图安抚美国立法者，并表示正在采取措施 ，加强数据安全保护。 据悉，在发给九位美国参议员的信中，TikTok 承认一些中国员工可以访问美国用户的信息，信中还进一步指出了，访问数据时要求这些员工必须通过许多内部安全协议。值得注意的是，TikTok 在信中着重强调，它从未被要求向中国当局提供数据。 《纽约时报》首先报道了这封信的内容，信中还分享了关于 TikTok 计划通过代号为 “德克萨斯项目”的举措，来解决数据安全问题的一些细节。 TikTok 高管承认员工可以访问美国用户数据 TikTok 首席执行官 Shou Zi Chew 表示，美国以外的员工，包括在中国的员工，可以访问 TikTok 的美国用户数据，但必须遵守美国安全团队监督的一系列强大的网络安全控制和授权批准协议， 另外，能够访问的数据仅仅包括一小部分非敏感的 TikTok 美国用户数据，如公共视频和评论，以满足互操作性要求。同时强调这种访问的范围将是 “非常有限的”，符合与美国政府合作制定的协议。 众所周知，TikTok 是北京字节跳动公司推出的一项流行社交视频共享服务，因数据安全问题，长期以来一直是美国立法者关注的焦点。 TikTok 进一步重申，100% 的美国用户数据被路由到位于美国的甲骨文云基础设施，而且它正在与这家企业软件公司合作进行更先进的数据安全控制，希望在不久的将来能够最终完成。 除此之外，这家字节跳动旗下的公司表示，它正在计划从其在新加坡和美国的备份服务器中删除美国数据，并完全切换到位于美国的甲骨文云服务器。 在对 TikTok 进行最新一波审查之前，BuzzFeed News 的一份报告称字节跳动的员工经常访问 TikTok 。据悉，该报告引用了某些匿名员工说的话，称在中国可以看到一切，并提到了一个可以访问一切的 “主管理员”。 对于这些无理的“指控”和“映射”，TikTok 表示这些是不正确的，并没有事实支持，并指出从事这些项目的人“无法了解全貌”。   转自 FreeBuf，原文链接：https://www.freebuf.com/news/338129.html 封面来源于网络，如有侵权请联系删除

据Bleeping Computer网站7月2日消息，微软最近在来自各个行业的数百家组织网络中发现了蠕虫病毒——Raspberry Robin（树莓知更鸟）。 Raspberry Robin主要针对Windows系统，通过受感染的 USB 设备传播。Red Canary 情报分析师于 2021 年 9 月首次发现该恶意软件，而此次微软的发现与Red Canary几乎一致，该团队还在多个客户的网络上检测到了这种蠕虫病毒，其中一些客户来自技术和制造业。 尽管微软观察到恶意软件连接到 Tor 网络地址，但攻击者尚未利用他们所获得的受害者网络访问权限对其发动实质性攻击，由于Raspberry Robin可以使用合法的 Windows 工具绕过受感染系统上的用户帐户控制 (UAC)，要进行攻击可谓轻而易举。 对于具体的攻击进程，Raspberry Robin 通过包含恶意 .LNK 文件的受感染 USB设备传播至其他Windows系统设备，用户一旦连接了USB设备，该蠕虫病毒就会使用 cmd.exe 生成一个 msiexec 进程来启动存储在受感染设备上的恶意文件。在感染新的设备之后，Raspberry Robin会与命令和控制服务器 (C2) 通信，并利用几个合法的 Windows 实用程序执行恶意负载，如fodhelper、msiexec和odbcconf，其中msiexec被用于下载并执行合法的安装程序包。 介于攻击者可以在受害者的网络中下载和部署额外的恶意软件并随时提升其的权限，微软已经将 Raspberry Robin的相关活动标记为高风险行为。   转自 FreeBuf，原文链接：https://www.freebuf.com/news/338069.html 封面来源于网络，如有侵权请联系删除

为了规范个人信息出境活动，保护个人信息权益，促进个人信息跨境安全、自由流动，近日，国家网信办公布《个人信息出境标准合同规定（征求意见稿）》（以下简称《征求意见稿》）。《征求意见稿》共计13条，文末附件为《个人信息出境标准合同》。 《征求意见稿》指出，个人信息处理者依据《中华人民共和国个人信息保护法》第三十八条第一款第（三）项，与境外接收方订立合同向中华人民共和国境外提供个人信息的，应当按照本规定签订个人信息出境标准合同（以下简称“标准合同”）。 个人信息处理者与境外接收方签订与个人信息出境活动相关的其他合同，不得与标准合同相冲突。依据标准合同开展个人信息出境活动，应坚持自主缔约与备案管理相结合，防范个人信息出境安全风险，保障个人信息依法有序自由流动。 《征求意见稿》明确，个人信息处理者同时符合下列情形的，可以通过签订标准合同的方式向境外提供个人信息： 非关键信息基础设施运营者； 处理个人信息不满100万人的； 自上年1月1日起累计向境外提供未达到10万人个人信息的； 自上年1月1日起累计向境外提供未达到1万人敏感个人信息的。 《征求意见稿》要求，个人信息处理者向境外提供个人信息前，应当事前开展个人信息保护影响评估，重点评估以下内容： 个人信息处理者和境外接收方处理个人信息的目的、范围、方式等的合法性、正当性、必要性； 出境个人信息的数量、范围、类型、敏感程度，个人信息出境可能对个人信息权益带来的风险； 境外接收方承诺承担的责任义务，以及履行责任义务的管理和技术措施、能力等能否保障出境个人信息的安全； 个人信息出境后泄露、损毁、篡改、滥用等的风险，个人维护个人信息权益的渠道是否通畅等； 境外接收方所在国家或者地区的个人信息保护政策法规对标准合同履行的影响； 其他可能影响个人信息出境安全的事项。 《征求意见稿》明确，标准合同包括以下主要内容： 个人信息处理者和境外接收方的基本信息，包括但不限于名称、地址、联系人姓名、联系方式等； 个人信息出境的目的、范围、类型、敏感程度、数量、方式、保存期限、存储地点等； 个人信息处理者和境外接收方保护个人信息的责任与义务，以及为防范个人信息出境可能带来安全风险所采取的技术和管理措施等； 境外接收方所在国家或者地区的个人信息保护政策法规对遵守本合同条款的影响； 个人信息主体的权利，以及保障个人信息主体权利的途径和方式； 救济、合同解除、违约责任、争议解决等。 附：《个人信息出境标准合同规定（征求意见稿）》全文   转自 安全内参，原文链接：https://www.freebuf.com/news/337867.html 封面来源于网络，如有侵权请联系删除

MITRE组织分享了2022年最常见和最危险的25个弱点名单，该名单可以帮助企业评估企业基础设施的安全情况，MITRE表示：“如果企业的基础设施涉及相关的漏洞弱点，就可能受到未知黑客的攻击。” “软件弱点往往都很容易被针对，并最终会导致可利用漏洞的产品，从而让对手完全接管系统、窃取数据或让业务停摆。”MITRE在发布的公告中写道。 据悉，MITRE综合过去NIST、NVD数据，结合CVE与NVD的数据库中的危害性评分，统计了名单列表。 以下是2022年CWE前25个最危险的软件弱点名单: 排名 ID 名称 得分 发现漏洞数 与2021年的排名变化 1 CWE-787 越界写入 64.2 62 0 2 CWE-79 网页生成过程中不正确地中和输入 （”跨站脚本”） 45.97 2 0 3 CWE-89 在SQL命令中使用的 特殊元素的不当中和（”SQL注入”） 22.11 7 +3 4 CWE-20 不当的输入验证 20.63 20 0 5 CWE-125 界外读取 17.67 1 -2 6 CWE-78 操作系统命令中使用的特殊元素的不当中和（”操作系统命令注入”） 17.53 32 -1 7 CWE-416 内存破坏漏洞 15.50 28 0 8 CWE-22 对受限目录路径名的不适当限制 （”路径穿越”） 14.08 19 0 9 CWE-352 跨站请求伪造(CSRF) 11.53 1 0 10 CWE-434 不受限上传危险类型的文件 9.56 6 0 11 CWE-476 空指针间接引用 7.15 0 +4 12 CWE-502 不可信数据的反序列化 6.68 7 +1 13 CWE-190 整数溢出或绕行 6.53 2 -1 14 CWE-287 危险认证 6.35 4 0 15 CWE-798 使用硬编码的凭证 5.66 0 +1 16 CWE-862 缺少授权 5.53 1 +2 17 CWE-77 “命令注入” 5.42 5 +8 18 CWE-306 关键功能的认证机制缺失 5.15 6 -7 19 CWE-119 对内存缓冲区范围内的操作限制不当 4.85 6 -2 20 CWE-276 默认权限不正确 4.84 0 -1 21 CWE-918 服务器端请求伪造(SSRF) 4.27 8 +3 22 CWE-362 使用共享资源的并发执行与不当的同步（”竞争条件”） 3.57 6 +11 23 CWE-400 不受控制的资源消耗 3.56 2 +4 24 CWE-611 对XML外部实体引用的不当限制 3.38 0 -1 25 CWE-94 “代码注入” 3.32 4 +3 具体来看该榜单的几个排名变化，有几个弱点掉出了榜单排名或首次出现在前25名的排名中。 首先榜单上最大的变动是： CWE-362（使用共享资源的并发执行与不当的同步（“竞争条件”））从第33位上升到第22位； CWE-94（“代码注入”）从第28位上升到第25位； CWE-400(不受控制的资源消耗)从第27位上升到第23位； CWE-77 （“命令注入”）从第25位上升到第17位; CWE-476（空指针间接引用）则从第15位上升到第11位。 而下降幅度最大的是： CWE-306（关键功能认证缺失）从第11位降低到第18位； CWE-200 （将敏感信息暴露给未经授权的行为者）从第20位降低到第33位； CWE-522（凭证保护不足）从第21位下降到第38位； 最后一个是CWE-732（关键资源的权限分配不正确）从第22名降低至第30名。 有三条新进入到前25名的条目，它们是： CWE-362 (使用共享资源的并发执行与不当的同步（“竞争条件”）)从第33位升至第22位： CWE-94 (“代码注入”)从第28名上升至第25名 CWE-400 (不受控制的资源消耗)则是从第27名上升到第23名 相对的也有三条条目跌出前25名，它们是： CWE-200（将敏感信息暴露给未经授权的行为者）从第20位降至第33位； CWE-522 (凭证保护不足)从第21位降至第38位； CWE-732（关键资源的不正确权限分配）从第22位到第30位。   转自 FreeBuf，原文链接：https://www.freebuf.com/news/337766.html 封面来源于网络，如有侵权请联系删除

近期，半导体巨头AMD表示，他们正在调查一起网络攻击事件，去年，RansomHouse团伙声称从该公司窃取了450gb的数据。RansomHouse是一个数据勒索组织，他们侵入公司网络，窃取数据，然后要求支付赎金，或出售给其他威胁行为者。过去一周，RansomHouse在Telegram上调侃称，他们将出售一家以字母a开头、由三个字母组成的知名公司的数据。然后就在昨天，该勒索团伙将AMD加入了他们的数据泄露网站，并声称他们窃取了高达450gb的数据。 据BleepingComputer了解，该组织的“伙伴”大约一年前就侵入了AMD的网络。虽然该网站称数据是在2022年1月5日被盗的，但威胁行为者表示，其实这时候黑客已经无法访问AMD网络了。虽然RansomHouse此前曾有过勒索操作，但他们表示，他们不会对设备进行加密，而且对AMD也没有使用勒索软件。威胁参与者表示，他们没有联系AMD索要赎金，因为把数据卖给其他实体或威胁参与者更有价值。RansomHouse的一名代表说，他们没有联系AMD，因为期间会牵扯各种交涉，比起这个，将数据出售给第三方更省时省力。 被盗数据包括一些研究数据和财务信息，RansomHouse表示正在对这些数据进行分析，以确定其价值。除了据称从AMD的Windows域收集的一些包含信息的文件外，威胁行为者没有提供任何证据来证明这些被盗数据。这些数据包括一份泄露的CSV文件，其中包含7万多台设备，似乎属于AMD的内部网络，以及一份所谓的AMD公司用户凭据清单，其中包括弱密码，如“password”，“P@ssw0rd”，“AMD !”23日”和“Welcome1。”AMD方也表示他们已经意识到这一事件，并正在调查这一事件。 RansomHouse于2021年12月开始运营，它的第一个目标是萨斯喀彻温省酒类和博彩管理局(SLGA)。虽然该勒索组织声称在他们的攻击中不使用勒索软件，但一份有关白兔勒索软件的说明清楚地表明他们与勒索软件组织有关。 自去年12月以来，RansomHouse的数据泄露网站又增加了五名受害者，其中就有AMD公司，并且非洲最大的连锁超市Shoprite Holdings就是受害者之一，该公司于6月10日证实了一次网络攻击。   转自 FreeBuf，原文链接：https://www.freebuf.com/news/337630.html 封面来源于网络，如有侵权请联系删除

微软在周三分享的一篇网络战争早期研究报告中自出，自 2 月俄乌冲突爆发以来，俄罗斯已在 42 个国家或地区开展了数十次网络间谍行动。微软总裁 Brad Smith 在报告中指出，这些渗透遍布六大洲实体，尤其针对北约盟国和支持乌克兰的团体。此前这家总部位于雷德蒙德的科技巨头，还披露了俄罗斯在 4 月的网络行动细节。 微软在报告中提到：在乌克兰以外的 42 个地区观察到的涉俄活动中，有高达 63% 针对北约成员国。 其中美国一直是俄罗斯的头号目标，此外与乌克兰接壤的波罗的海国家（比如提供大量军事与人道主义援助的波兰）也有观察到大量的网络活动。 微软继续强调，最近申请加入被北约的芬兰和瑞典等国家、以及提出反对意见的土耳其，都有观察到网络攻击目标的增长。 这些网络攻击活动中有近一半瞄准了政府目标，另有 12% 的活动集中在向乌克兰提供外交政策建议、或提供人道主义援助的非政府组织。 至于针对 IT 企业、能源机构、以及国防实体发起的攻击，通常会被较为严格的防御系统给挡住。 微软给出的数据是，网络攻击的成功率仅在 29% 左右、但 1/4 的事件导致了数据泄露，因此建议加大网络防御工事的全方位投资。 此外报告提到了俄罗斯是如何开展网络传播行动的，比如将俄乌冲突定义为“特殊军事行动”。结果自开展以来，俄在乌网络传播率大涨 216%、在美也有增加 82% 。 不过对于此事，俄罗斯驻华盛顿大使馆并没有立即回应外媒的置评请求。   转自 cnBeta，原文链接：https://www.cnbeta.com/articles/tech/1284095.htm 封面来源于网络，如有侵权请联系删除

近日，一份关于一组56个漏洞的安全报告已发布，这些漏洞统称为 Icefall，会影响各种关键基础设施环境中使用的运营技术 (OT) 设备。 据悉，Icefall是由Forescout的Vedere实验室的安全研究人员发现，它影响了十家供应商的设备。包括安全漏洞类型允许远程代码执行、破坏凭证、固件和配置更改、身份验证绕过和逻辑操作。受影响的供应商包括 Honeywell、Motorola、Omron、Siemens、Emerson、JTEKT、Bentley Nevada、Phoenix Contract、ProConOS 和 Yokogawa。他们已在 Phoenix Contact、CERT VDE和美国网络安全和基础设施安全局 ( CISA ) 协调的负责任披露中得到通知。 在过去的几年里，受 Icefall 影响的系统类型已成为专门恶意软件 Industroyer 2 和 CaddyWiper 的更频繁目标，这两种恶意软件都是不久前由俄罗斯黑客针对乌克兰发电厂部署的。   漏 洞 概 述 Vedere Labs 发现的缺陷主要涉及凭证安全、固件操纵和远程代码执行，同时操纵配置和创建拒绝服务 (DoS) 状态帐户的数量较少。 Icefall漏洞的类型 （Forescout）  Forescout在其报告中指出，“许多漏洞是由于 OT 的设计不安全”，还补充说“许多身份验证方案被破坏”，这表明实施阶段的安全控制不足。 例如，研究人员指出，许多设备使用明文凭据、弱密码或损坏密码、硬编码密钥和客户端身份验证。 这些身份验证漏洞为威胁行为者实现远程代码执行 (RCE) 和 DoS 条件或安装恶意固件映像铺平了道路。通过在目标设备或其后面的设备上发出命令来直接操作操作是研究人员强调的另一个风险。   潜 在 后 果 Icefall 影响了众多工业部门使用的各种设备，使其极具吸引力，尤其是对国家支持的对手而言。Forescout 表示，一些可能来自利用 Icefall 的威胁参与者的场景包括创建误报、更改流量设定点、中断 SCADA 操作或禁用紧急关闭和消防安全系统。 为了证明他们的发现和潜在风险，研究人员使用了风力发电和天然气运输系统，显示了各种 Icefall 缺陷的位置以及如何将它们链接起来以实现更深层次的妥协。 （图注风力发电厂的冰瀑缺陷 （Forescout）） （天然气运输系统 （Forescout）  受影响的设备分布在世界各地。分析师使用 Shodan 扫描互联网以查找暴露的易受攻击的系统，并发现以下前六名： Honeywell Saia Burgess – 2924 台设备，遍布意大利、德国、瑞士、瑞典和法国。 Omron 控制器——西班牙、加拿大、法国、美国和匈牙利的 1305 台设备。 Phoenix Contact DDI – 意大利、德国、印度、西班牙和土耳其的 705 台设备。 ProConOS SOCOMM – 236 台设备，遍布中国、美国、德国、新加坡和香港。 霍尼韦尔趋势控制——法国、丹麦、意大利、西班牙和英国的 162 台设备。 Emerson Fanuc /PACSystems – 美国、加拿大、波兰、台湾和西班牙的 60 台设备。 值得注意的是，有 74% 的易受攻击产品系列已通过安全认证，这表明这些程序既不安全，也不够全面。   缓 解 办 法 主要的安全建议是应用供应商提供的最新固件更新。不过，目前并非所有提到的供应商都发布了 Icefall 的修复程序，也有下游供应商需要采取行动。在修复可用或可以安装之前，强烈建议系统管理员对网络进行分段并监控流量和设备活动。 使用“设计安全”的设备发现和替换易受攻击的产品以及安装物理交换机是降低妥协变化的好方法。 Forescout 通过对软件、固件和硬件组件的深入手动和自动分析发现了 Icefall 漏洞集。该公司发布了一份更详细的技术报告，描述了影响一个供应商的四个漏洞，但这些漏洞仍在披露中。 建议公司遵循每个供应商的安全建议，以了解有关每个漏洞对受影响产品的具体影响的更多详细信息。   转自 E安全，原文链接：https://mp.weixin.qq.com/s/IkDCLnwuBX25YzM3ka34PQ 封面来源于网络，如有侵权请联系删除

在欧洲刑警组织协调的执法行动后，造成数百万欧元损失的网络钓鱼团伙成员被逮捕。本周二，欧洲刑警组织对外宣布:“在欧洲刑警的支持下，比利时警察(联邦警察)和荷兰警察(警察)参与了一次跨境行动，粉碎了一个涉及网络钓鱼、诈骗、诈骗和洗钱的有组织犯罪集团。” 最终警方在荷兰搜查了24个场所，并缴获枪支弹药、珠宝首饰、电子设备、现金和加密货币若干，同时还逮捕了9名嫌疑人。据调查，该组织的成员利用银行凭证窃取了数百万欧元，这些凭证是大规模的钓鱼邮件、钓鱼短信中的一部分，“这些团伙成员会编辑发送钓鱼短信、钓鱼邮件等，其中包含指向虚假银行网站的网络钓鱼链接。受害者在无法分辨钓鱼网站的情况下，就会向这些钓鱼团伙提供他们的银行凭证。” 在这些网络犯罪分子中，有些还被发现与毒品和枪支走私有联系，他们使用钱骡来清空受害者银行账户上的所有资金，并将通过欺诈获得的资金套现。据欧洲刑警说，本次行动，三名专家被派往荷兰，为调查人员提供实时分析支持，以及取证和技术专业知识。而在月初时，欧洲刑警组织还取缔了FluBot，这是现存最大的Android恶意软件活动之一。和去年不同的是，在一些组织的关键成员被捕后，执法部门紧接着就控制了FluBot的基础设施，使其无法再用于针对Android用户。4月，欧洲刑警组织还协调开展了TOURNIQUET 行动，该行动导致RaidForums 黑客论坛于1月31日在英国被捕，其管理员和创始人Diogo Santos Coelho也一并被捕。   转自 Freebuf，原文链接：https://www.freebuf.com/news/336905.html 封面来源于网络，如有侵权请联系删除