美国网络安全巨头派拓网络（Palo Alto Networks）近日在加州圣克拉拉总部举办了“点燃巡回”（Ignite on Tour）系列活动，公司创始人兼首席技术官Nir Zuk发表了对2025年网络安全行业发展趋势的预测洞见。 在网络安全领域，Nir Zuk以直言不讳著称，拥有众多追随者。他曾大胆地称端点检测与响应（EDR）为“过时技术”，并评论某主要竞争对手为“收购失败的集中营”。 面对复杂的网络安全形势，组织必须解决其安全运营中心（SOC）效率低下的问题，同时为应对新兴威胁做好准备。Zuk认为，2025年将是行业转型的关键节点。他提出了通过现代化战略和先进技术重塑安全运营的愿景，并分享了对未来网络安全趋势的几点重要预测。 度量并缩短检测与响应时间 Zuk预测，安全行业的一项重大转变将是广泛采用平均检测时间（MTTD）和平均响应时间（MTTR）等指标，作为衡量安全绩效的核心标准。目前，大多数组织尚未建立针对这些指标的测量流程，导致表现令人堪忧。许多情况下，检测往往需要数周时间，响应则需要数天。这种低效使得网络犯罪分子有充足时间利用漏洞，窃取敏感数据、破坏运营并发动后续攻击。 Zuk表示：“对手已经高度自动化，他们可以轻松尝试数千种方法渗透你的基础设施，只要成功一次即可。一旦你错失任何环节，他们就会完成入侵，局势就会突然失控。2025年，组织必须开始认真衡量MTTD和MTTR。” 这一预测引人深思。长期以来，网络安全行业缺乏有效性评估的明确指标，而指标对于资源的合理分配至关重要。尽管企业在网络安全上的投入屡创新高，但漏洞发生的速度依然在加快。如果缺乏清晰的指标，企业很难决定资源投向。因此，Zuk的观点具有重要意义，企业应优先追踪MTTD和MTTR。 如果这些指标能够成为衡量网络安全成效的行业标准，SOC将更有针对性地减少导致检测和响应延迟的低效环节。此外，组织需要投资于工具、流程和策略，以提升这些指标。 AI驱动SOC架构兴起 Zuk的第二个预测是，SOC架构将迎来全面革新，缩短MTTD和MTTR至理想的几分钟内。传统的网络安全运营模式依赖人类分析师，使用多种工具检测并响应威胁，已经无法满足需求。未来的SOC将主要依靠AI处理常规检测和响应，而人类则专注于解决更复杂的案例。 为实现这一转型，企业需要逐步淘汰传统工具，如SIEM、EDR和SOAR。这一过程不会一蹴而就，2025年也难以实现完全基于AI的SOC，但许多组织将采用这些技术来逐步实现现代化的安全运营。 Zuk指出：“我们需要彻底改变SOC的架构，从以分析师为核心、技术辅助分析师的模式，转变为以机器学习或AI驱动、人类辅助的架构。” 业界有观点认为，SIEM技术已经走到了尽头。虽然其“整合告警并提供统一管理面板”的理念合理，但现实情况却是，SIEM输出过多数据且误报率高，难以真正满足需求。相比之下，企业应关注人工智能驱动的安全工具，以自动完成繁重任务，使安全团队将精力集中于解决问题。 数据整合：迈向统一数据湖 Zuk的第三个预测是，组织将更多地采用统一数据湖，作为网络安全运营的基础。如今，数据分散在多个系统中，导致效率低下且成本高昂。而统一的数据湖可以从网络、端点、云服务和应用程序等所有基础设施中收集信息，为AI驱动的SOC提供全面、准确的数据集。 这一趋势不仅会改变SOC，还将影响DNS安全、物联网安全及云安全等其他网络安全领域。与多个独立的数据存储系统相比，管理统一数据湖不仅更高效，也更具成本优势。通过在单一实例中完成数据的收集、处理和分析，组织能够显著减少冗余并降低能耗。 Zuk解释道：“正是因为这些原因，网络安全和许多需要大量数据支持的功能将逐步迁移至统一的数据湖，首先从SOC和云安全开始，随后扩展至更多的网络安全应用。” 统一数据湖的兴起对AI在网络安全中的成功至关重要。数据科学领域有一句话：“好数据带来好见解。”分散的数据只会带来片面的见解。如果企业使用几十个安全供应商，每家都有各自的数据集，AI的效能将大打折扣。因此，平台化是一条正确的道路，统一数据湖不仅能增强AI能力，还能提高网络安全水平。 为量子计算威胁做好准备 作为补充预测，Zuk还谈到量子计算机的威胁。他指出，尽管量子计算在2025年尚不足以对现有加密技术构成直接威胁，但组织必须考虑长期风险。网络犯罪分子可能会在今天录制加密数据，并在未来利用量子技术解密。这强调了部署抗量子加密策略的重要性。 Zuk建议：“如果你的组织对此有所关注，现在是时候计算何时部署抗量子加密技术了。这种加密方法能够抵御已知的加密攻击。你需要思考何时是最佳部署时机，以确保未来的数据安全。” 抗量子加密的部署时间表因组织情况而异。处理高敏感数据的企业可能需要立即行动，而其他企业可以选择在量子计算威胁更明确时再采取措施。 目前，抗量子算法的实际有效性尚存一定不确定性。尽管这些算法旨在应对量子攻击，但它们是否能抵御未来的新型解密方法仍需验证。组织应根据技术发展动态及时调整加密策略。 派拓网络的这些预测是否会成为现实，仍需时间验证。然而，笔者与众多安全专业人士的交流中不难发现，网络安全领域必须不断演进和现代化。正如笔者多次提到的，尽管企业在安全工具上的投资屡创新高，但安全能力依然滞后。维持现状无法解决问题，每个组织都应致力于建立以安全平台为核心、AI驱动的SOC，并以明确的指标指导团队行动。     转自安全内参，原文链接：https://www.secrss.com/articles/73139 封面来源于网络，如有侵权请联系删除

欧盟刑警组织近日宣布，在一项代号为“Passionflower”的国际联合行动中，法国和荷兰警方成功捣毁了一个名为Matrix的非法加密通信服务。该服务被犯罪分子用于国际毒品走私、军火交易及洗钱等重大犯罪活动。 犯罪网络的“隐秘枢纽” Matrix（别称Mactrix、Totalsec、Q-safe）是一款需邀请注册的加密通信服务，与开源去中心化通信平台Matrix.org无关。这款服务因其极高的匿名性和复杂技术被犯罪分子广泛使用，全球注册用户超过8000人。用户需支付1360至1700美元的加密货币购买预装了Matrix应用的Google Pixel手机，以及为期六个月的订阅服务。 Matrix不仅支持加密消息和视频通话，还提供匿名浏览和交易追踪功能，其技术架构复杂程度远超此前被捣毁的Sky ECC和EncroChat等服务。Matrix服务由超过40台服务器支撑，主要分布在法国和德国。 三年调查终告捷：破获超230万条犯罪信息 Matrix的调查始于2021年，当时荷兰警方在一起谋杀案中发现了一部装有该加密通信服务的手机。受害者为知名记者彼得·德弗里斯（Peter R. de Vries）。记者谋杀案引发众怒，促使执法机构启动对犯罪加密通信网络的深入调查。 在随后的三个月内，警方成功拦截了通过Matrix发送的超过230万条加密消息，涉及33种语言。这些信息揭露了跨国毒品和军火交易、洗钱等重大犯罪活动的细节，沉重打击了全球网络犯罪活动。 2024年12月3日，法国和西班牙警方展开协调抓捕行动，逮捕了包括Matrix主要运营者在内的三名嫌疑人，并在法国、德国、西班牙和立陶宛等地搜查了13处住宅。警方共查获： 14.5万欧元现金 价值50万欧元的加密货币 970余部移动设备 4辆车辆 最终，警方成功查封了Matrix的核心服务器，切断了该通信网络的运营能力。 非法加密通信服务的“碎片化”挑战 近年来，非法加密通信服务层出不穷，以下是被捣毁的主要加密服务的统计和特点分析： 随着EncroChat、Sky ECC等加密通信平台的相继关闭，犯罪分子转向了较小规模或定制化的通信工具。这些新工具功能分散，技术架构各异，对执法机构的侦破工作提出了新的挑战。此外，知名加密通信软件Telegram也是犯罪分子热衷使用的通信工具之一，联合国毒品和犯罪问题办公室的报告指出，东南亚的犯罪网络广泛滥用Telegram进行非法活动，包括交易被盗数据、销售恶意软件和提供洗钱服务。尽管Telegram声称对非法内容进行监控，但其平台上仍存在大量非法交易和犯罪活动。 欧洲警方重拳出击捣毁Matrix再次表明，加密通信技术在犯罪活动中扮演了重要角色。各国执法机构需进一步加强国际合作，研发更先进的技术工具以追踪和打击犯罪网络。同时，如何在隐私保护与打击犯罪之间取得平衡，仍是未来法治与技术发展的重要课题。     转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/ba3o7T_oNsx6_geqDGuubQ 封面来源于网络，如有侵权请联系删除

Crypto.com，一家全球领先的加密货币平台，拥有超过1亿用户，近日宣布与HackerOne合作，对其漏洞赏金计划进行重大升级。这一举措加强了该公司在不断发展数字资产领域中，对安全和客户保护的承诺。 升级后的计划拥有创纪录的200万美元奖励池，使其成为HackerOne平台上所有行业中提供的最大赏金。这一前所未有的金额凸显了Crypto.com在发现和解决潜在漏洞方面的承诺，以防被恶意行为者利用。 Crypto.com首席执行官Kris Marszalek表示：“安全和合规是我们Crypto.com一切工作的基石。随着我们业务和行业的不断发展，我们必须要专注于我们的核心原则，而这个新的赏金计划正是通过设定新标准来做到这一点。” 通过激励安全研究人员识别和报告漏洞，Crypto.com旨在积极加强其平台的防御能力，并确保用户资产的安全。 HackerOne首席执行官Kara Sprague表示：“当你运营一个服务于超过1亿客户的全球应用程序时，在恶意行为者之前发现关键安全漏洞对于系统完整性和客户信任至关重要。” C rypto.com的首席信息安全官Jason Lau强调了公司在持续改进安全保证方面的承诺。Lau说：“我们一直尊重并与道德黑客社区合作，作为我们安全团队的一部分。通过这一里程碑深化与HackerOne的关系，并设立这一标志性的赏金，凸显了我们致力于增强保障和消费者保护的承诺。” Crypto.com在安全和合规方面的最新举措，建立在其已经令人印象深刻的业绩记录之上。该平台已获得包括SOC2 Type 2、PCI DSS 4.0、ISO 27017和ISO 27019在内的多项认证，展示了其遵循最高行业标准的承诺。 这个200万美元的漏洞赏金计划是Crypto.com主动安全方法的明确信号，表明其致力于为用户提供一个安全可靠的平台。通过与道德黑客社区的互动，该公司在建立一个更安全的加密货币生态系统方面迈出了重要一步。 要了解有关Crypto.com漏洞赏金计划的更多信息以及如何参与，请访问hackerone.com/crypto。     转自安全客，原文链接：https://www.anquanke.com/post/id/302482 封面来源于网络，如有侵权请联系删除

研究人员发现了Palo Alto Networks（CVE-2024-5921）和SonicWall（CVE-2024-29014）企业VPN客户端更新过程中的漏洞，这些漏洞可能被利用来远程执行代码。 CVE-2024-5921 CVE-2024-5921影响Palo Alto的GlobalProtect App在Windows、macOS和Linux上的多个版本，起因是认证验证不足。 该公司确认，这使得攻击者能够将GlobalProtect应用连接到任意服务器，并且指出这可能导致攻击者在终端安装恶意根证书，随后安装由这些证书签名的恶意软件。 AmberWolf研究人员Richard Warren和David Cash解释说：“GlobalProtect VPN客户端的Windows和macOS版本都容易受到远程代码执行（RCE）和权限提升的影响，这是通过自动更新机制实现的。虽然更新过程要求MSI文件必须签名，但攻击者可以利用PanGPS服务安装一个恶意信任的根证书，从而实现RCE和权限提升。更新执行时具有服务组件的权限级别（Windows上的SYSTEM和macOS上的root）。” “默认情况下，用户可以在VPN客户端的用户界面组件（PanGPA）中指定任意端点。这种行为可以被利用于社交工程攻击中，攻击者诱骗用户连接到恶意VPN服务器。这些服务器可以捕获登录凭证，并通过恶意客户端更新破坏系统。” Palo Alto表示：“这个问题在GlobalProtect应用6.2.6及所有后续的6.2版本中已修复。”该公司还引入了一个额外的配置参数（FULLCHAINCERTVERIFY），应该启用以加强对系统信任证书库的证书验证。 根据PAN的安全咨询，目前还没有针对macOS或Linux版本的应用的修复。 不过，有一个权宜之计/缓解措施，即在端点上为GlobalProtect应用启用FIPS-CC模式（并在GlobalProtect门户/网关上启用FIPS-CC模式）。 AmberWolf研究人员表示，还可以实施基于主机的防火墙规则，以防止用户连接到恶意VPN服务器。 CVE-2024-29014 CVE-2024-29014影响SonicWall的NetExtender VPN客户端在Windows版本10.2.339及更早版本，当处理端点控制（EPC）客户端更新时，允许攻击者以SYSTEM权限执行代码。该漏洞源于签名验证不足。 有几种利用场景可能导致这种情况。例如，用户可能被诱骗将他们的NetExtender客户端连接到恶意VPN服务器，并安装假冒的（恶意的）EPC客户端更新。 AmberWolf研究人员解释了另一种方法：“当安装了SMA Connect代理时，攻击者可以利用自定义URI处理程序强制NetExtender客户端连接到他们的服务器。用户只需要访问恶意网站并接受浏览器提示，或打开恶意文档，攻击就可以成功。” SonicWall在今年早些时候已经在NetExtender Windows（32位和64位）10.2.341及更高版本中修补了这个漏洞，并敦促用户升级。 AmberWolf建议：“如果立即升级不可行，考虑使用客户端防火墙限制对已知合法VPN端点的访问，以防止用户无意中连接到恶意服务器。” VPN在许多场景下被视为不可或缺的工具，它提供了加密通道，使得用户可以在公共网络上安全地传输数据，同时也能绕过地理限制访问被封锁的内容。例如对于需要远程工作的员工，VPN提供了安全访问公司内部网络的能力，确保了数据传输的保密性和完整性。 但不可否认的是，VPN的存在也给企业带来了更多的攻击面，并且成为黑客攻击的跳板。     转自Freebuf，原文链接：https://www.freebuf.com/news/416278.html 封面来源于网络，如有侵权请联系删除

虽然网络安全行业裁员降薪一片哀嚎，但是网络犯罪组织却“求贤若渴”。 根据Cato Networks发布的《2024年第三季度SASE威胁报告》，网络犯罪趋于“专业化”，开始积极招募渗透测试员来优化勒索软件性能。同时，未授权的人工智能（影子AI）的流行正威胁企业数据安全和合规性。 报告总结了2024年网络安全领域的四大新趋势，如下： 1 勒索软件“研发升级”：积极招募渗透测试员 Cato Networks的报告揭示，勒索软件团伙正在积极招募渗透测试员，以测试和提高其勒索软件的可靠性。通过模拟攻击，渗透测试员可以大大提高勒索软件在企业环境中部署的成功率。 “勒索软件是当今网络安全领域最普遍的威胁之一，几乎所有企业和消费者都可能受到影响，”Cato Networks首席安全策略师Etay Maor指出，“我们观察到这些团伙正在努力通过招募渗透测试员来优化他们的攻击手段，为未来的攻击做好准备。” 这一趋势反映出勒索软件正在走向“企业化”和“专业化”，试图通过技术手段提升攻击成功率，这对企业网络安全防御提出了更高的要求。 2 数据隐私的头号威胁：影子AI 所谓影子AI，是指未经IT部门或安全团队批准的AI工具和应用程序在企业内部的私自使用。这种行为通常绕过正式的审查流程，给企业的安全合规性带来隐患。 Cato Networks监控的数百种AI应用中，有10款被企业用户广泛采用（如Bodygram、Craiyon、Otter.ai、Writesonic等）存在数据泄漏风险。报告指出，这些应用最主要的风险在于数据隐私问题。员工通过影子AI工具处理敏感信息，可能无意间导致信息泄露。 “影子AI是2024年浮现的一大安全威胁，”Maor表示，“企业必须警惕未授权AI工具的使用，并教育员工避免无意中暴露敏感数据。” 3 打击隐蔽威胁的关键：TLS流量检视 传输层安全（TLS）流量的加密使得恶意活动更难被检测到，但许多企业由于担心影响正常业务，选择不启用TLS流量的检视或只对部分流量进行检查。据Cato Networks的研究，只有45%的企业启用了TLS检视，其中仅有3%的企业对所有TLS加密会话进行全面检测。 报告显示，在启用TLS检视的企业中，阻止的恶意流量比未启用TLS检视的企业高出52%。此外，企业在TLS流量中成功拦截了60%的已知漏洞利用行为（包括Log4j、SolarWinds和ConnectWise相关的CVE漏洞）。 4 网络犯罪分子的首选策略：品牌滥用 网络犯罪分子也在积极利用知名品牌的影响力实施网络攻击。通过域名抢注（Cybersquatting），他们冒用知名品牌的域名，进行网络钓鱼、传播恶意软件、托管盗版软件，甚至实施欺诈。 攻击者冒充知名品牌不仅能增强攻击的可信度，还能绕过许多传统的安全检测手段，给企业和消费者带来巨大风险。企业需要加强品牌保护策略，同时通过安全教育提高用户对域名和网络钓鱼攻击的警惕性。       转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/_pNLKfPKFQDvWFfUzYePPg 封面来源于网络，如有侵权请联系删除

Python 软件包索引（PyPI）软件仓库的管理员已经隔离了 “aiocpa ”软件包，因为该软件包在新的更新中包含了通过 Telegram 外泄私钥的恶意代码。 该软件包被描述为同步和异步 Crypto Pay API 客户端。该软件包最初于 2024 年 9 月发布，迄今已被下载 12100 次。 将 Python 库隔离后，客户端就无法继续安装，其维护者也无法对其进行修改。 网络安全机构Phylum上周分享了软件供应链攻击的细节，该机构称，软件包的作者在PyPI上发布了恶意更新，同时在GitHub的库中保持清洁，试图逃避检测。 目前还不清楚最初的开发者是恶意更新的幕后黑手，还是他们的证书被其他威胁行为者泄露。 恶意活动的迹象首次出现在 0.1.13 版本的库中，其中包括对 Python 脚本 “sync.py ”的修改，该脚本的目的是在安装软件包后立即解码并运行一段混淆代码。 Phylum说：“这个特殊的blob被递归编码并压缩了50次，”Phylum补充说，它被用来使用Telegram机器人捕获并传输受害者的Crypto Pay API令牌。 值得注意的是，Crypto Pay 被宣传为基于 Crypto Bot（@CryptoBot）的支付系统，允许用户接受加密货币支付，并使用 API 向用户转账。 这一事件意义重大，尤其是因为它凸显了在下载软件包之前扫描其源代码的重要性，而不仅仅是检查其相关的软件仓库。 “正如这里所证明的那样，攻击者可以在向生态系统分发恶意软件包的同时，故意维护干净的源代码库，”该公司表示，并补充说，“这次攻击提醒我们，软件包之前的安全记录并不能保证其持续的安全性。” 软件包 aiocpa 已正式从 PyPI 软件源中删除。     转自安全客，原文链接：https://www.anquanke.com/post/id/302189 封面来源于网络，如有侵权请联系删除

昨天（11月25日），微软的多项核心服务（包括 365、Exchange Online、Teams 和 Outlook）再次遭遇全球性的大规模中断，用户随后在社交媒体上报告了一系列问题，如无法发送邮件、网站崩溃及出现错误页面。在事故发生的6小时内，Downdetector已经收到了数千份报告，受影响的用户表示他们还遇到了连接其他服务的问题，包括OneDrive、Purview、Copilot以及Outlook Web和Desktop。 微软承认确实存在该问题，并在 X 平台发布声明称，正在回滚相关变更并调查其他可能的缓解措施。微软同时指出，部分用户在访问 Exchange Online 和 Microsoft Teams 日历功能时遇到障碍，并已在状态页面上列出受影响的服务和使用场景。 这不禁让很多用户再次回忆起“微软全球蓝屏”事件，虽然此次服务中断事件影响远小于“蓝屏事件”，但涉及的服务依然对用户的日常工作和通信产生重大干扰。微软表示，将继续努力解决问题，并确保服务尽快恢复正常。 微软表示，“虽然我们继续努力缓解问题，但已经在更多信息部分添加了受影响的服务和场景的综合列表。” 在管理中心的事件报告中，微软确认该中断阻止客户通过网页版Outlook、Outlook桌面客户端、具象状态传输（REST）和Exchange ActiveSync（EAS）访问Exchange Online。该公司还表示，一些客户可能在Microsoft Fabric、Microsoft Bookings和Microsoft Defender for Office 365中执行操作时遇到问题。 虽然Remond只分享了中断是由“最近的更改”引起的，但微软在故障11个小时后，选择在受影响的基础设施上部署了修复程序，重新启动了受影响的系统。 微软称，“我们已经开始部署修复程序，目前正在受影响的环境中推进。在此过程中，我们开始对一部分处于不健康状态的机器进行手动重启。我们正在监控修复程序的进展，该修复程序已部署到大约60%的受影响环境中。我们正在继续对剩余受影响的机器进行手动重启。” 截止到25日12点33分（ EST ），根据微软的说法，部署的修复程序尚未导致完全的服务恢复。“修复程序已部署90%，根据遥测数据，服务可用性正在恢复。完成修复的预计时间尚不清楚。正在进行目标服务器重启，以解决路由服务问题，优先考虑当前处于工作时间或开始工作日的客户。 ” 18点25分（ EST ），微软分享了此次事件的更多信息，称事故是由“一个导致通过服务器路由的重试请求数量激增的更改引起的，影响了服务可用性。我们的团队正在积极执行后续行动，并将根据需要启动额外的工作流，以完全解决问题。感谢您的耐心，我们将努力恢复全部功能。 ”     转自Freebuf，原文链接：https://www.freebuf.com/news/416161.html 封面来源于网络，如有侵权请联系删除

MITRE收集、分析了2023年6月至2024年6月之间披露3.1万个漏洞，并发布了2024年最危险的软件漏洞TOP 25名单。 该名单可以帮助企业评估企业基础设施的安全情况，MITRE表示：“如果企业的基础设施涉及相关的漏洞弱点，就可能受到未知黑客的攻击，包括全完接管系统、窃取数据或系统无法运行。” MITRE对3.1万个漏洞进行了详细地分析，并根据每个漏洞的严重性和利用频率进行评分，其中会重点关注添加到CISA已知利用漏洞（KEV）目录中的安全漏洞。MITRE强调，强烈建议审查列表上的漏洞类型，并指导其软件安全策略，防止软件生命周期中可能出现的严重漏洞。 以下是2022年CWE前25个最危险的软件漏洞列表：       转自Freebuf，原文链接：https://www.freebuf.com/news/415862.html 封面来源于网络，如有侵权请联系删除

据The Hacker News消息，攻击面管理公司 Censys 的分析发现，有多达14.5万个工业控制系统 （ICS） 暴露于公开的互联网络中，涉及175 个国家和地区，仅美国就占总暴露量的三分之一以上。 这些暴露指标来自几种常用工控系统协议，包括Modbus、IEC 60870-5-104、CODESYS、OPC UA 等。 Censys发现，38% 的ICS暴露位于北美，35.4% 位于欧洲，22.9% 位于亚洲，1.7% 位于大洋洲，1.2% 位于南美洲，0.5% 位于非洲。其中，Modbus、S7 和 IEC 60870-5-104 在欧洲更广泛，而 Fox、BACnet、ATG 和 C-more 在北美更常见。这两个区域使用的一些工控系统服务包括 EIP、FINS 和 WDBRPC。 Censys 联合创始人兼首席科学家 Zakir Durumeric 在一份声明中表示，许多暴露的工控协议其历史可以追溯到上世纪70年代，但目前仍然是工业流程的基础，且没有像其他领域一样得到相应的安全改进。 Censys 也发现，用于监控和与工控系统交互的人机界面（HMI）也越来越多地通过互联网支持远程访问。 大部分暴露的人机界面位于美国，其次是德国、加拿大、法国、奥地利、意大利、英国、澳大利亚、西班牙和波兰。 有趣的是，大多数已识别的人机界面和 ICS 服务都位于移动或商业级互联网服务提供商 (ISP)，如 Verizon、Deutsche Telekom 、Magenta Telekom 和 Turkcell 等。人机界面通常包含公司徽标或工厂名称，这有助于识别所有者和行业，但工控协议很少提供相同的信息，因此几乎无法识别和通知暴露的所有者。 要解决这个问题，可能需要与托管这些服务的主要电信公司合作。 暴露的工控系统和 OT 网络为攻击者提供了广泛的攻击面，因此企业组织需要采取措施来识别并加以保护，包括更新默认凭证并监控网络是否存在恶意活动。 针对工控系统的网络攻击有所增加 专门针对工控系统的网络攻击相对较少，迄今为止仅发现了 9 种恶意软件。但自俄乌战争爆发以来，针对该系统的恶意软件攻击正有所增加。一些比较典型的僵尸网络恶意软件利用 OT 网络的默认凭证，不仅实施了分布式拒绝服务 （DDoS） 攻击，还擦除了其中的数据。 今年7月初，一家位于乌克兰的能源公司成为FrostyGoop恶意软件的目标，该恶意软件被发现利用 Modbus TCP 通信来破坏运营技术（OT）网络。FrostyGoop也称为 BUSTLEBERM，是一种用 Golang 编写的 Windows 命令行工具，可导致公开暴露的设备出现故障，并最终导致拒绝服务 （DoS）。 根据Censys 捕获的遥测数据，在 2024 年 9 月 2 日至 10 月 2 日的一个月内，就有 1088175 台 Modbus TCP 设备暴露在互联网中。 去年，美国宾夕法尼亚州阿利基帕市水务局也因为暴露的Unitronics可编程逻辑控制器（PLC）而被黑客组织攻击，导致相关系统下线并被迫改为手动操作。     转自Freebuf，原文链接：https://www.freebuf.com/news/415908.html 封面来源于网络，如有侵权请联系删除

谷歌透露，其基于人工智能的模糊工具OSS-Fuzz 已被用于帮助识别各种开源代码库中的26个漏洞，包括 OpenSSL 加密库中的一个中度漏洞。这一事件代表了自动化漏洞发现的一个里程碑：每个漏洞都是使用AI发现的，利用AI生成和增强的模糊测试目标。 提到的OpenSSL漏洞是CVE-2024-9143（CVSS评分：4.3），一个超出范围的内存写入缺陷，可能导致应用程序崩溃或远程代码执行。这个问题已经在OpenSSL的3.3.3、3.2.4、3.1.8、3.0.16、1.1.1zb和 1.0.2zl版本中得到了解决。 破题人类无法发现的漏洞 谷歌在2023年8月增加了利用大型语言模型（LLM）来提高OSS- Fuzz中模糊覆盖率的能力，并表示该漏洞可能在代码库中存在了20年，而且在现有的由人类编写的模糊目标中是无法发现的。此外，他们还指出，使用AI生成模糊测试目标已经提高了272个C/C++项目的代码覆盖率，新增了超过370,000行新代码。 谷歌解释说，这样的漏洞之所以能够长时间未被发现，一个原因是线覆盖率并不能保证函数没有漏洞。代码覆盖率作为一项指标，无法衡量所有可能的代码路径和状态，不同的标志和配置可能会触发不同的行为，从而暴露出不同的漏洞。这些人工智能辅助的漏洞发现也是可能的，因为LLMs被证明擅长模仿开发人员的模糊工作流程，从而允许更多的自动化。正如谷歌之前就提到过，其基于LLM的框架Big Sleep帮助发现SQLite开源数据库引擎中的一个零日漏洞。 C++代码安全性大幅提升 与此同时，谷歌一直在努力将自己的代码库转换为内存安全语言，如Rust，同时还对现有的C++项目（包括Chrome）中的空间内存安全漏洞（当代码可能访问超出其预定范围的内存时）进行改造。其中包括迁移到安全缓冲区和启用强化的libc ++，后者将边界检查添加到标准的 C ++数据结构中，以消除大量的空间安全缺陷。它进一步指出，纳入这一变化所产生的间接费用很小（即平均0.30%的绩效影响）。 谷歌表示，由开源贡献者最近添加的“hardened libc++”引入了一系列安全检查，旨在捕获生产中的越界访问等漏洞。虽然C++不会完全成为内存安全的语言，但这些改进降低了风险，从而使得软件更加可靠和安全。 具体来说，hardened libc++通过为标准C++数据结构添加边界检查来消除一大类空间安全漏洞。例如，hardened libc++确保对std::vector的每个元素的访问都保持在其分配的边界内，防止尝试读取或写入超出有效内存区域的尝试。同样，hardened libc++在允许访问之前检查std::optional是否为空，防止访问未初始化的内存。这种改进对于提高C++代码的安全性和可靠性具有重要意义。     转自Freebuf，原文链接：https://www.freebuf.com/news/415915.html 封面来源于网络，如有侵权请联系删除