微软计划重新设计反恶意软件产品与 Windows 内核交互的方式，以直接应对 7 月份由 CrowdStrike 更新错误导致的全球 IT 中断。 微软表示，它正在对 Windows 进行改进，以允许端点安全解决方案在操作系统内核之外有效运行，目的是为了防止未来出现类似 CrowdStrike 的大规模中断。 微软响应了客户和供应商的呼吁，同时指出，这些新功能要想满足需求，还必须克服许多挑战。 内核模式之外的性能需求和防篡改保护是需要关注的问题之一。微软表示，它将考虑安全传感器要求和安全设计，并试图改进 Windows 的架构，以允许防病毒工具在较低权限的空间或环境中运行时安全地检查系统。 在微软与 EDR 供应商举行为期一天的峰会后，微软副总裁 David Weston 表示，对操作系统的调整是实现弹性和安全目标的长期措施的一部分。 “我们探索了微软计划在 Windows 中提供的新平台功能，以我们在 Windows 11 中所做的安全投资为基础。Windows 11 改进的安全态势和安全默认值使该平台能够为内核模式之外的解决方案提供商提供更多的安全功能。”Weston 在EDR 峰会后的一份说明中表示。 重新设计是为了避免重演CrowdStrike 软件更新事故，该事故导致Windows 系统瘫痪并造成全球数十亿美元的损失。 Weston 提到了 CrowdStrike 事件，强调 EDR 供应商在向大型 Windows 生态系统推出更新时采用微软所谓的安全部署实践 (SDP) 的紧迫性。 Weston 表示，SDP 的核心原则包括“向客户逐步、分阶段部署更新”、使用“具有多样化端点的有节制的推出”以及在必要时暂停或回滚更新的能力。 Weston 补充道：“我们讨论了微软和合作伙伴如何增加关键组件的测试，改进跨不同配置的联合兼容性测试，推动有关开发中和市场中产品健康状况的更好的信息共享，并通过更严格的协调和恢复程序提高事件响应的有效性。” Weston 在峰会上表示，微软与合作伙伴讨论了内核模式之外运行的性能需求和挑战、安全产品的防篡改保护问题、安全传感器要求以及未来平台的安全设计目标。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/aQvmvilT5wo-C37nuuAZ0g 封面来源于网络，如有侵权请联系删除

近日，网络安全公司watchTowr创始人本杰明·哈里斯撰文透露他仅花了几分钟时间就成功生成伪造HTTPS证书、能够追踪电子邮件活动，甚至还可以在全球成千上万台服务器上执行任意代码。 仅花20美元即可控制全球海量服务器 哈里斯是在花费20美元购买过期域名dotmobiregistry.net时意外发现了这个惊天漏洞。 该域名曾是用于管理.mobi顶级域名的WHOIS服务器，然而，.mobi的域名管理员不知何时将服务器迁移到新网址whois.nic.mobi，却未通知任何人，全球大量服务器仍然引用旧域名。 哈里斯在购买并重新启用该域名后，惊讶地发现，短短数小时内，他的服务器就接收到来自超过7.6万个独立IP地址的查询请求。更令人震惊的是，在接下来的五天里，他的服务器收到了约250万次查询请求，来自全球的政府机构、域名注册商、安全工具提供商和证书颁发机构等。 WHOIS系统自互联网早期以来就一直在域名注册和管理中扮演着关键角色。然而，随着时间的推移，许多系统依旧信任旧的WHOIS服务器，未能及时更新其记录。这意味着，当哈里斯接管这个过期域名时，他不仅能够拦截对.mobi域名的所有查询，还能通过伪造的WHOIS信息操控证书颁发流程。例如，哈里斯尝试为“microsoft.mobi”生成证书请求，并顺利收到了证书颁发机构GlobalSign发来的验证邮件。 虽然出于道德原因，哈里斯并没有进一步生成伪造证书，但他指出，这一漏洞意味着攻击者完全可以利用伪造的HTTPS证书拦截网络流量或冒充目标服务器。这对于依赖HTTPS协议保护敏感数据的网站来说，无异于“游戏结束”。 WHOIS为何如此“危险”？ 自互联网治理初期（当时还被称为 ARPANET）以来，WHOIS就发挥着关键作用。1974年，增强研究中心的信息科学家Elizabeth Feinler成为NIC（网络信息中心项目的简称）的首席研究员。在Feinler的监督下，NIC开发了顶级域名系统和官方主机表，并发布了ARPANET目录，该目录充当了所有网络用户的电话号码和电子邮件地址的目录。最终，该目录演变为WHOIS系统，这是一个基于查询的服务器，提供所有互联网主机名及其注册实体的完整列表。 尽管WHOIS看起来已经过时，但它如今仍然是具有重大影响力的重要资源。起诉版权或诽谤的律师会使用它来确定域名或IP地址所有者。反垃圾邮件服务则依靠它来确定电子邮件服务器的真正所有者。此外，证书颁发机构依靠它来确定域名的官方管理电子邮件地址。 废弃WHOIS服务器域名一旦落入黑客，则会变成杀伤力巨大的流氓WHOIS服务器。其最危险的用途之一就是能够指定电子邮件地址证书颁发机构GlobalSign用来确定申请TLS证书的一方是否是该证书所适用域名的合法所有者。 与绝大多数竞争对手一样，GlobalSign使用自动化流程。例如，针对example.com的申请将提示证书颁发机构向该域名的权威WHOIS中列出的管理电子邮件地址发送电子邮件。如果另一端的一方点击链接，证书将自动获得批准。 除了伪造证书外，哈里斯还发现，许多政府机构、企业和反垃圾邮件服务在接收到来自.mobi域名的电子邮件时，依然会向他的伪造服务器发送查询请求。这意味着，他能够通过长期追踪这些查询，间接推测出相关通信的发件人和收件人，潜在地获取敏感信息。 此外，一些查询流氓WHOIS服务器的安全服务和WHOIS客户端本身存在漏洞，攻击者可以利用这些漏洞在查询设备上执行恶意代码。这使得本应受信任的WHOIS服务器变成了潜在的攻击源。 结论：信任是互联网最可怕的安全债 哈里斯的安全测试揭示了一个更深层次的问题：互联网的某些关键基础设施依赖于过时且脆弱的域名管理系统，容易被忽视或滥用。由于WHOIS服务器的命名和管理缺乏统一标准，许多第三方服务仍然错误地将过期的dotmobiregistry.net视为.mobi域名的官方服务器。 这类问题不仅限于WHOIS服务器。哈里斯指出，类似的漏洞也存在于S3存储桶等云基础设施中，当这些资源被废弃时，仍有可能被其他人重新注册并利用。 哈里斯的研究提醒我们，网络世界中的信任链条往往比我们想象的更加脆弱，而“过期信任”和“隐式信任”可能会带来无法预料的灾难性风险。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/EGP-0nJamnCoJwbNnIwxGQ 封面来源于网络，如有侵权请联系删除

乌克兰安全局（SBU）拘留了一名当地公民，他涉嫌在关键基础设施附近安装监控摄像头，据称允许俄罗斯情报部门监视这些地点。 乌克兰安全局周一在一份声明中表示，据报道，这名嫌疑人居住在乌克兰东北部城市哈尔科夫，俄罗斯军事情报局 (GRU) 通过社交消息应用程序 Telegram 招募了他，并承诺给他“轻松”的钱。 乌克兰执法部门在基辅逮捕了这名涉嫌俄罗斯间谍的人，他在基辅租了几套可以俯瞰当地能源设施的高层建筑中的公寓。 据乌克兰安全局称，嫌疑人利用这些公寓安装了带有远程访问软件的摄像头，据称可以让俄罗斯人实时监控关键基础设施。 俄罗斯可能利用这些录像来评估其最近对基辅地区空袭的影响，并确定乌克兰防空系统的位置。 乌克兰安全局称，嫌疑人在基辅设立这些“观察站”后，以探望父母为幌子返回哈尔科夫，但实际上是为了纵火焚烧战略铁路线上的继电器柜。 安全部门表示，他们记录了他的一举一动，并最终将他拘留在基辅的一间出租公寓中。被捕时，嫌疑人正在安装一台新的闭路电视 (CCTV) 摄像机，以记录对该市的空袭。 在搜查过程中，执法人员缴获了他的手机和摄像机，其中包含俄罗斯“情报和颠覆活动”的证据。 嫌疑人目前已被拘留。乌克兰安全局表示，他将面临终身监禁和没收财产。 流行的间谍工具 俄罗斯和乌克兰都广泛使用监控摄像头进行间谍活动。它们通常安装在关键基础设施附近，或用于识别部队、防空系统或军事装备的位置。 今年8月，俄罗斯当局警告乌克兰攻击风险地区的居民停止使用监控摄像头，担心它们可能被用于情报收集。 根据俄罗斯内务部（MVD）的声明，乌克兰军队正在远程连接不受保护的闭路电视摄像机，“监视从私人庭院到具有战略意义的道路和高速公路的一切”。 今年 1 月，乌克兰安全官员称，他们关闭了两台在线监控摄像头，据称这些摄像头遭到俄罗斯黑客攻击，用于监视基辅的防空部队和关键基础设施。 这些摄像头安装在基辅的居民楼上，最初供居民监控周边地区和停车场。据称，俄罗斯情报部门在入侵这些摄像头后，获得了远程访问权限，改变了摄像头的视角，并将其连接到 YouTube 以播放敏感视频。 这些画面可能帮助俄罗斯在对乌克兰进行大规模导弹袭击期间向基辅发射无人机和导弹。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/sRU6TCWNfy9m0WwFKG25AA 封面来源于网络，如有侵权请联系删除

全球最大代码托管平台GitHub发生了全球性宕机事件，Copilot也一并瘫痪。据最新报道，此次宕机影响了GitHub网站及其多项服务，包括pull requests、GitHub Pages和GitHub API等。 但目前系统已经回归正常，根据美国东部时间昨晚 8：26 的状态消息，该公司已经回滚了导致此番事故的数据库基础设施变更，并表示服务现已“全面恢复运行”。 根据当时的访问情况来看，前往 GitHub 主网站后页面会显示一条错误消息，提示“当前没有可用于响应您请求的服务器”。但不久之后，GitHub 网站恢复运行。在后续事件报告当中，GitHub 一一罗列了 pull requests、GitHub Pages 以及 GitHub API 等受影响服务。 而且事件的扩散速度也相当夸张。GitHub 的首条状态消息公布于美东时间晚 7：11，而几分钟后其再次报告多项服务发生问题。这些问题的影响范围似乎也相当普遍，Downdetector 显示有超 1 万名用户表示受到牵连。另外问题发生得也相当突然。当天晚 7：13，互联网监控服务 BetBlocks 亦发布消息称 GitHub“正经历一波跨国服务中断”。 随后没多久，GitHub 发布状态称 Copilot 也崩了！有人在 Hacker News 上调侃称：“这下所有 AI 原生应用开发者可以正当光明摸鱼了，因为 Copilot 已经瘫痪了”。 8 月 14 日，GitHub 发布更新称在经历重大中断后，其服务现已恢复正常。 微软在 2018 年 10 月以 75 亿美元的价格收购了代码存储库 GitHub，在微软的管理下 GitHub 表现出了强劲的增长势头，从购买时的不到 4000 万用户增长到现在的 7300 多万的开发者用户，他们依靠该服务通过 Git 进行版本控制，并为软件开发提供托管服务。 GitHub 是一个大型的代码库，在开发者和公司在该服务上托管整个项目和代码时非常流行。苹果、亚马逊、Google、Facebook 和许多其他大型科技公司都使用 GitHub。 但一些用户称，自此以后，该服务平台变得更加不可靠。虽然被微软收购后 GitHub 的知名度不断提高， 但其在开发者中心中的地位却逐渐下滑。 GitHub的宕机不仅仅是一个平台的问题，它实际上影响了整个全球开发者社区。超过一万名用户报告了访问问题，这个数字仅仅是冰山一角。作为开源世界的中枢神经，GitHub的瘫痪意味着无数项目的开发进程被迫中断，突显了对单一平台依赖的风险。   转自Freebuf，原文链接：https://www.freebuf.com/news/408688.html 封面来源于网络，如有侵权请联系删除

日前，Gartner 发布了最新的安全运营成熟度曲线报告（Gartner Hype Cycle for Security Operations, 2024），报告将与安全运营相关的 23 项热点技术按照新技术通往成熟必经的过程进行划分，为技术萌芽期、期望膨胀期、泡沫破裂低谷期、稳步爬升复苏期、生产成熟期五个阶段。 此次报告出现了像对抗性暴露面验证，暴露面评估平台这些新的技术热点，也有过去被认为大热的技术比如 SOAR，在达到成熟大面积应用之前就已过时。 Gartner Hype Cycle for Security Operations, 2024： 面对不断变化的威胁态势，企业率先采用新兴技术可能获得巨大收益，另一方面也可能承担更大的风险，因此识别技术投入的优先级变得尤为重要。 Gartner 根据对企业产生的价值以及技术的目标市场覆盖度，对这些技术进行了应用优先级评估，从而帮助企业安全或信息负责人制定安全战略路线，在恰当时间做出更明智的投资决策。 Gartner Hype Cycle for Security Operations, 2024： 优先级矩阵 新出的这份报告，有几点关键洞察值得关注： TEM、CPS 安全、CAASM 进入期望膨胀期（Peak of Inflated Expectations），需谨慎 Gartner 认为全球企业对于攻击面的关注达到了顶峰，企业利用威胁暴露面管理（TEM）、网络资产攻击面管理（CAASM）、网络物理系统安全（CPS），以及渗透测试即服务（Penetration Testing as a Service）等不同的技术，来提升对于不断扩大的攻击面的可见性，或者验证网络的弹性。 但是，对于这些正处在期望膨胀期的安全技术，Gartner 的建议是企业内部需要提前考虑清楚自身的需求，再开始寻找供应商，或向安全厂商提具体的需求，不然最后很可能受到对当前技术过高的期待影响，而产生一些不切实际的期待。 MDR、NDR、TI 及 CO-MMS 市场价值显著，稳步爬升 对于托管检测和响应服务（MDR）、网络检测和响应（NDR）、威胁情报（Threat Intelligence）以及共管监控服务（Co-Managed Monitoring Services）这几项技术，早期的采用者已经克服了此前的各种障碍，2024年开始为企业带来显著的价值和收益，焕发了新的生机。 例如，像威胁情报技术对企业属于高收益，目标用户市场渗透率已达到20%-50%，当前已进入成熟主流阶段。对于处在该阶段的安全技术，Gartner建议重点进行评估及应用，弥补企业自身在威胁检测以及情报应用上成熟度的不足。 XDR、SOAR 等进入泡沫破裂低谷期（Trough of Disillusionment），需重新评估 2024 年，安全负责人需要对这几项技术进行重新评估，例如数字取证与事件响应（Digital Forensics and Incident Response)，应用过这些技术的大多数企业都出现过被过度承诺结果的情况。 再比如外部攻击面管理（External Attack Surface Management)，身份威胁检测和响应（Identity Threat Detection and Response），在实际应用的过程中，甲方企业对这些技术进行消费和运营业务输出时，准备不足。 对于安全编排自动化响应（SOAR）以扩展检测和响应 (XDR)，面临的问题主要是采用的这些技术跟不上持续变化的需求。 Gartner 建议，企业既需要重新评估这些技术，也需要提升对预算分配与规划的合理性。 EDR、SIEM 进入生产成熟期（Plateau of Productivity） 报告指出，终端检测与响应（EDR）、安全信息与事件管理（SIEM)两项技术目前均已达到成熟阶段，其中 EDR 对于企业而言收益高，且目标用户市场渗透率达到了 50%；而SIEM目前的目标用户市场渗透率达到 20%-50%。 Gartner 认为处于这个阶段的技术已得到广泛应用，而且技术价值和优势也得到了充分证明，建议安全风险部门负责人充分利用该阶段技术降低风险，并将其功能整合应用到更大范围的安全运用生态体系中。 尽管这份报告可以看作是全球安全运营技术的风向标，但国内外在技术成熟度和实践上无疑仍存在一定“时间差”和“实践差”，并不完全同频。 例如国内终端安全管理平台更多以杀软、桌管包装成 EDR，真正的 EDR 技术在国内尚处于起步阶段，只有少数厂商聚焦在高精准度的 EDR 能力上；国内安全服务市场，更多以 MSS 安全托管服务为主，MDR 发展相对较为早期，企业需要更加务实地看待当前网络安全运营中不同技术市场的发展。   转自Freebuf，原文链接：https://www.freebuf.com/news/407888.html 封面来源于网络，如有侵权请联系删除

CrowdStrike 周三分享了其事后初步审查的信息，解释了为什么造成全球混乱的更新没有被内部测试发现。 这家网络安全巨头向其 Falcon 代理（传感器）提供了两种类型的安全内容配置更新：传感器内容和快速响应内容。 就传感器内容更新而言，它们提供了广泛的功能来帮助客户应对对手，并包括长期可重复使用的威胁检测功能。这些代码更新不是从云端动态获取的，而是经过严格测试的，客户可以选择将更新发布到其设备群的哪些部分。 另一方面，快速响应内容不是代码更新，而是一个专有的二进制文件，其中包含配置数据，可在无需更改代码的情况下提高设备上的可见性和检测能力。验证器组件会在内容发送给客户之前对其进行检查。 7 月 19 日推出的问题更新是一个快速响应内容更新，针对滥用命名管道的新型攻击技术。 根据自 3 月份以来进行的测试和部署，该内容验证器被信任能够识别任何问题。但是，该验证器包含一个错误，导致错误的更新通过了验证。 由于没有进行额外的测试，有问题的更新被推入生产环境，导致大约 850 万台运行 Windows 操作系统的设备进入蓝屏死机 (BSOD) 循环。 Windows 崩溃是由越界内存读取引发异常引起的。CrowdStrike表示，其内容解释器组件旨在“妥善处理可能存在问题的内容引发的异常”，但这次异常并未得到妥善处理。 CrowdStrike 计划改进快速响应内容测试，包括通过本地开发人员测试、内容更新和回滚测试、压力测试、模糊测试、稳定性测试和内容接口测试。内容验证器将为快速响应内容添加额外的检查，并增强错误处理。 此外，该安全公司表示正在实施快速响应内容的交错部署策略，客户将对这些更新的部署有更大的控制权。 CrowdStrike 周一宣布已经找到了一种加速修复受错误更新影响的系统的方法，并声称大量设备已经得到恢复。 该事件被描述为历史上最严重的 IT 故障之一，导致全球航空、金融、医疗保健和教育等领域出现严重中断。 美国众议院领导人要求 CrowdStrike 首席执行官乔治·库尔茨向国会作证，说明该公司在引发大规模停电事件中所扮演的角色。 与此同时，组织和用户已被警告，威胁组织正在利用这一事件进行网络钓鱼、诈骗和恶意软件传播。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/HHd5ICaCpHP3jsqxulsWoQ 封面来源于网络，如有侵权请联系删除

谷歌近日宣布将放弃在 Chrome 浏览器中逐步淘汰第三方 cookie 的长期计划。在经历了多年的拖延和行业动荡之后，谷歌的这一戏剧性转变标志着广告商的重大胜利和隐私权倡导者的潜在挫折。 谷歌现在将为用户提供保留或拒绝这些数字跟踪信标的选择，而不是取消这些信标。虽然此举将这家科技巨头定位为消费者控制权的拥护者，但有人认为，这是谷歌为保持其广告主导地位而采取的策略。 谷歌表示：我们将在 Chrome 浏览器中引入一种新的体验，让人们在浏览网页时做出明智的选择，并能够随时调整这种选择，而不是废弃第三方 cookies。 隐私沙盒遭苹果抨击 为此，谷歌曾提出将隐私沙盒（Privacy Sandbox）作为Cookie 的替代方案，此前隐私沙盒的发展历程可谓一波三折，不仅历经了监管审查还有行业反弹，其应用程序接口（Topics API）能够对用户兴趣进行分类，同时不泄露个人数据，但却遭到了苹果公司的强烈批评，苹果公司称其为潜在的用户指纹识别和重新识别工具。 苹果 Webkit 团队本月早些时候表示：用户并不会被事先告知 Chrome 浏览器为他们标记了哪些话题，也不会被告知 Chrome 浏览器将哪些话题透露给了哪些人。这一切都是在后台默认情况下发生的。API的意图是帮助广告商根据每个用户的兴趣向他们投放广告，即使当前网站并不一定暗示他们有这些兴趣。 苹果方面还指出了其潜在的漏洞：这些漏洞可能会让数据经纪人积累大量有关用户上网行为的信息。数据经纪人已经能够读取你不断变化的兴趣，并将其存储在他们对你的永久档案中。现在想象一下，先进的机器学习和人工智能能根据各种兴趣信号组合推断出你的哪些信息。 当数据掮客和追踪者可以对大量人群进行比较和对比时，会出现什么样的模式呢？请记住，他们可以将 Topics API 的输出与他们所掌握的任何其他数据点结合起来，通过对所有数据的分析，为试图得出关于你的结论的算法提供依据。 第三方 Cookie 的决定受到隐私权倡导者的批评 此次谷歌决定保留 Cookie 的决定，是平衡隐私与定向广告经济引擎之间的巨大挑战。虽然谷歌声称会优先考虑用户的选择，但人们对该公司利用其市场力量塑造未来在线追踪的能力仍心存疑虑。 包括英国竞争与市场管理局（CMA）和信息专员办公室（ICO）在内的监管机构对谷歌的决定表示失望，并誓言要对该公司的新方法进行严格审查。 ICO 副专员 Stephen Bonner 表示：我们对谷歌改变计划，不再打算从 Chrome 浏览器中淘汰第三方 cookies 感到失望。从 2019 年谷歌沙盒项目启动之初，我们就认为屏蔽第三方 Cookie 对消费者来说是积极的一步。谷歌提出的新计划是一个重大变化，我们将在获得更多细节后对这一新的行动方案进行反思。 我们将一如既往地支持创建一个更加注重隐私保护的互联网。尽管谷歌做出了这样的决定，但我们仍将继续鼓励数字广告行业采用更私密的第三方 cookies 替代方案，而不是采用更不透明的跟踪形式。 我们将监督该行业如何应对，并在发现包括谷歌在内的所有公司存在系统性违规行为时考虑采取监管行动。 CMA 方面也持类似观点，CMA 现在将与 ICO 密切合作，正在仔细考虑谷歌对隐私沙盒采取的新方法。同时也欢迎大家就谷歌修订后的方法发表意见，包括对消费者和市场结果可能产生的影响。 目前，该行业正在努力应对这一影响深远的变革所带来的不确定性，迎接新时代的到来。   转自FreeBuf，原文链接：https://www.freebuf.com/news/406826.html 封面来源于网络，如有侵权请联系删除

CrowdStrike错误更新导致全球范围Windows蓝屏事件已经发酵数日，该事件被业内人士看作是“历史上最大规模系统崩溃事件”，震惊了整个世界。这次事件并非是某个国家级黑客组织或大师级黑客的杰作，而是CrowdStrike更新文件的一个错误，导致包括机场、银行、政府甚至紧急服务在内的大量关键基础设施系统因蓝屏死机而瘫痪。以下是安全专业人士从这次事件中可以汲取的五点重要教训。 无需幸灾乐祸，警惕害群之马 Crowdstrike大规模系统崩溃事件是过去几天最热门的聊天话题之一，IT和安全专业人士们热衷转发表情包嘲讽该公司犯下的愚蠢错误，但请记住，下一个出现在热搜的可能就是你供职的公司。随着平台化和云化的深入，网络安全市场的市场集中度不断提高，任何一次失误都可能引发全球性的连锁反应。公有云的几次重大停机事故已经引发了全球性的“下云运动”，网络安全行业需要反思如何缓解过度集中化的风险，避免单个企业的失误对整个行业造成毁灭性的打击。 网络攻击还是意外？ CrowdStrike的官方声明否认该事件是“网络安全事件”或者“网络攻击”。但是网络安全的一个关键原则是可用性，从手段和结果来看，对于CIO和CISO来说，这次事件显然与一次大规模的网络攻击没有什么区别（无需支付赎金，但恢复工作仍然极为痛苦）。“一遭被蛇咬十年怕井绳”，此次事件后，相信大量CIO都会对EDR终端代理感到紧张。网络安全行业的其他企业可能会是该事件的最大受害者，网络安全企业与客户之间的基本信任已经被击碎。现在，CISO们需要为服务器和终端上运行的每个安全解决方案重新辩护。接下来的几周和几个月里，CISO们和安全供应商之间将会有很多艰难的对话。 立即对威胁模型进行评估 过去几天经常会看到这样的肤浅言论：“我们用的是Macbook，所以躲过了一劫”或“我们不用CrowdStrike，谢天谢地！”“我们是中资企业，所以不受影响，哈哈哈。”要知道，今天出事的是网络安全巨头CrowdStrike，明天可能就是其他更拉垮的草台班子。现代IT环境是由各种软件代理和厂商产品混合而成，单点故障几乎不可避免。评估这种情况时，我们需要扪心自问：如果我的所有Windows服务器和终端都瘫痪了会怎样？我们能转向基于云的服务吗？我们有其他可用的终端代理吗？可以肯定的是，网络犯罪分子已经看到了这次停机事件造成惊人损失，并在思考如何从中获利（最常见的操作是冒充修复工具或漏洞补丁的网络钓鱼攻击）。 检查你的补丁管理流程 永远不要在周末前或周末期间打补丁。在打补丁时，分阶段进行，而不是批量更新。可以想象，全球数百万IT支持人员会无法理解CrowdStrike这种头部企业居然会忽视这些最基本的流程。即使微软和Crowdstrike发布了修复程序和指南，但手动修复方式对于管理成千上万台服务器/终端的IT团队来说依然是一场噩梦。再加上大多数使用CrowdStrike的公司已经加密了他们的服务器（例如Bitlocker），这让恢复工作的痛苦指数进一步上升。更不用说，基于云的服务器不能简单地进入安全模式进行修复；你必须分离存储，修复它，然后重新连接。这将是对公司灾难恢复流程的巨大考验。幸运的是，已经有许多可用的自动化脚本发布，大大提高恢复流程的效率。如果你所在的（网络安全）公司经常发布补丁，现在是重新评估补丁管理实践的好时机！永远不要在周末打补丁，如果必须这样做，请采用分阶段的灰度更新方法，确保能随时回滚到安全状态。 重新审视你的软件供应链 软件供应链是网络安全最大的盲点之一，业界对开源代码或网络安全企业自身的产品安全往往重视不足。事实上，没有任何软件是100%从头开始制作的，大多是各种软件代码库和依赖关系的混合体。即使你无法剔除这些依赖关系，至少可以深入了解你所拥有的代码资产及其风险状况。要知道，与监控并掌管全球数亿设备的EDR/XDR软件市场相比，Crowdstrike事件只是冰山一角。此外，开源供应链攻击和AI大模型数据泄漏的规模和损失可能会超出你的想象，任何企业，无论是软件供应链的上游还是下游企业，都需要为此类风险做好预案和防御措施。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/6DbH46fkk9Yc9s7dN64B9Q 封面来源于网络，如有侵权请联系删除

新加坡金融管理局（MAS）和新加坡银行协会（ABS）在2024年7月9日宣布，新加坡的零售银行机构在三个月内将逐步淘汰一次性密码（OTP）的使用，以减少网络钓鱼攻击的风险。根据MAS的说法，已经在自己的移动设备上激活了数字令牌的客户将使用这些数字令牌通过浏览器或移动银行应用程序登录银行账户。数字令牌验证客户的登录，无需使用一次性密码，这样就减少了骗子窃取或诱使客户披露一次性密码的风险。 MAS还敦促客户激活他们的数字令牌，以防范那些旨在窃取凭证并劫持客户账户进行金融欺诈的攻击。 新加坡银行协会（ABS）的主任Ong-Ang Ai Boon在声明中表示，新措施可以进一步保护客户免受未授权访问其银行账户的风险。尽管这些措施可能会带来一些不便，但它们对于预防诈骗和保护客户是必要的。 一次性密码（OTP）最初是作为第二因素认证（2FA）引入以增强账户安全的，但网络犯罪分子已经开发出了能够通过仿冒网站获取这些代码的银行木马、OTP机器人和钓鱼工具包。通过Telegram可获取的OTP机器人，通过打电话给用户并说服他们输入手机上的2FA代码，以帮助绕过账户保护。这些机器人主要是为了窃取受害者的OTP代码，这意味着骗子需要通过其他方式获取有效的凭证，例如数据泄露、在暗网上出售的数据集以及收集凭证的网页。 据卡巴斯基威胁研究员Olga Svistunova在最近的一份报告，OTP机器人的关键任务是拨打受害者的电话。诈骗者依赖这种方式，因为验证码（OTP）只在有限的时间内有效。这意味着，诈骗者需要在验证码过期之前迅速获取它。报告中还提到，与可能长时间未被回复的消息相比，打电话给用户可以增加获取验证码的机会。电话还可以让诈骗者通过语气对受害者产生预期的影响。这表明诈骗者可能会利用电话中的语气和说服力来操纵受害者，使他们更有可能提供验证码。   转自e安全，原文链接：https://mp.weixin.qq.com/s/OEHC_y_PRCMGaM5epZpDGA 封面来源于网络，如有侵权请联系删除

近日，谷歌对其高级保护计划（APP）进行了重大改进，专门针对高风险用户推出了通行密钥，为传统物理安全密钥提供了一个替代方案，从而提升账户的安全性。 此前，想要加入谷歌高级保护计划的用户都需要一个物理安全密钥。但如今这个密钥为用户保护账户安全提供了一种更灵活、更方便的选择，尤其是对那些无法立即拿到实体钥匙的人。 据高级保护计划产品负责人 Shuvo Chatterjee 和隐私安全与安全合作伙伴 Grace Hoyt 称，这一更新允许高风险用户选择通行密钥作为他们的验证方法，与实体钥匙一起使用或代替实体钥匙。 用于高级保护程序 (APP) 的 Google 密钥 来源：Google 谷歌 谷歌密钥采用 FIDO 身份验证标准，可确保强大的安全性，防止网络钓鱼和未经授权的访问尝试。与密码相比，它们的设计更快捷、更方便，可利用生物识别技术，如指纹或面部扫描或 PIN 码进行验证。这使它们不仅安全，而且方便用户，减少了对记忆或输入密码的依赖。 Shuvo 和 Grace 详细阐述了这次更新的意义，他们说：现在高风险用户均可以注册高级保护计划，使用密码匙来保护自己的账户安全，这无疑为他们提供了一种更简化、更便捷的方式。 高级保护计划本身是谷歌最安全的账户保护产品，专为容易受到复杂网络威胁的个人，如记者、政治活动家和人权工作者量身定制。它通过要求严格的身份验证措施来抵御网络钓鱼、恶意软件和欺诈性访问尝试等常见攻击。 如何使用谷歌通行证 要使用密匙注册，用户首先需要确保其设备和浏览器的兼容性。然后用户可以访问谷歌高级保护计划的注册页面，选择 “开始”，按照屏幕上的说明使用密码或物理安全密钥完成设置。注册时还需要提供电话号码或电子邮件等恢复选项，以便在必要时恢复账户。 除了加强用户安全，谷歌还宣布与 Internews 建立合作伙伴关系，旨在为全球记者和人权工作者提供额外的安全支持。这一举措将利用 Internews 遍布亚洲、拉丁美洲和欧洲 10 个国家的广泛安全合作伙伴和培训师网络。 谷歌通过此次合作践行了其扩大关键在线安全工具和资源的使用范围来支持高风险个人的承诺，也是对现有项目（如 “盾牌项目”）以及与 “保卫数字运动”（Defending Digital Campaigns）和 IFES 等组织合作开展的各种安全培训项目的补充。 谷歌在高级保护计划中引入密钥，这标志着谷歌在加强高风险用户的在线安全方面迈出了重要一步。通过提供物理安全密钥的多功能替代方案，谷歌的账户保护更加方便易用，同时也加强了其对面临网络风险的个人的保护。   转自FreeBuf，原文链接：https://www.freebuf.com/news/405698.html 封面来源于网络，如有侵权请联系删除