普普每日安全资讯一周概览(12.26—01.01)

作者:

时间:
2021-01-02

2020.12.26  周六



01
如何管控好数据保护好隐私?

人工智能应用需要以海量的个人信息数据作支撑。人工智能如同一把“双刃剑”,如果应用不当,就可能带来隐私泄露的伦理风险。

与传统口令可以随时更改不同,不可再生性数据是永远无法更改的,比如人脸、指纹、DNA等生物特征数据,以及个人医疗档案数据等,这些数据具有唯一性且无法更改。严格管控大数据的使用场景,在大力支持人工智能技术发展的同时,对唯一性、不可再生性的重要数据必须提前设防,在生物识别等技术使用规范上要制定更加严格的要求,防范相关各类风险。

建议设立“数据银行”,由国家成立专门机构来统一管控、存储和应用不可再生性大数据,限制企业自行采集收集和垄断,并运用区块链技术分布式存储,运用密码技术严格保护数据。

普普每日安全资讯一周概览(12.26—01.01)

普普评述

普普每日安全资讯一周概览(12.26—01.01)

需要根据数据的属性特点建立数据产权制度,化解“个人数据与企业产权”之间的矛盾,平衡“数据安全与数据利用”之间的关系,对各种类型数据合理确权,解决好数据属谁所有、如何使用、收益归谁等问题。



2020.12.27  周日


02
变革转型:企业如何在数字化转型中为软件安全赋能?

随着多国疫情得到有效抑制,企业复工复产被提上日程,在这样特殊的时期,各行各业加速转型升级、降低人力密度、提升生产效率的必要性愈加凸显。

事实上,企业对于转型的需求并非仅仅在特殊时期,数字化、网络化、智能化的转型早已体现在近些年的国家政策和企业行动中,包括从产品开发到供应链管理,从市场营销到客户体验。

在这个数字化转型和万物互联的时代,随着云计算技术、大数据技术、5G技术、人工智能和区块链技术的快速发展和落地实践,人、数据、机器、网络紧密结合在一起,推动企业数字化转型的脚步不断加快。

与此同时,新的业务和运营模式伴随着互联网应用、移动互联应用、物联感知应用、企业办公应用等一系列应用系统的快速开发与迭代,系统和软件作为重要的载体,其安全性、可靠性面临着比以往任何时候都更严峻的挑战。

在系统和软件开发过程中,企业根据用户的需求和系统产品的特性,不论采用哪种模型,均需面对系统自身的安全漏洞风险(产品风险)以及系统开发项目中的各类技术和管理风险(项目风险),应用开发的安全问题逐渐成为企业迫切需要解决的问题。

普普每日安全资讯一周概览(12.26—01.01)

普普评述

普普每日安全资讯一周概览(12.26—01.01)

在数字化转型的浪潮中,软件作为万物互联的重要载体,如何识别、应对其安全需求是企业无法回避的问题,以客户为中心和客户关系为驱动的战略主动性,从传统的“流程、风险、控制”框架,实现到连接业务的安全原生。



2020.12.28  周一


03
攻击者可以利用5G网络中的漏洞窃取用户数据

正电科技发布了“5G独立核心安全评估”。报告讨论了用户和移动网络运营商的漏洞和威胁,这些漏洞和威胁源于新的独立5G网络核心的使用。独立5G网络使用的HTTP/2和PFCP协议中存在的漏洞包括窃取用户配置文件数据、模拟攻击和伪造用户身份验证。

5G中的一系列技术可能会让用户和运营商的网络受到攻击。此类攻击可以从国际漫游网络、运营商的网络或提供服务访问的合作伙伴网络执行。

用于建立用户连接的包转发控制协议(PFCP)具有多个潜在的漏洞,例如拒绝服务、切断用户对互联网的访问以及将流量重定向到攻击者,从而允许他们下行链路用户的数据。在这种情况下,用户将无法对潜伏在网络上的威胁采取行动,因此运营商需要有足够的可见性来防范这些攻击。

普普每日安全资讯一周概览(12.26—01.01)

普普评述

普普每日安全资讯一周概览(12.26—01.01)

5G独立网络安全问题在CNI、IoT和互联城市方面的影响将更加深远,这将使医院、交通和公用事业等关键基础设施面临风险。为了实现对流量和消息的完全可见性,运营商需要定期进行安全审计,以检测网络核心组件配置中的错误,以保护自己和他们的用户。



2020.12.29  周二


 
04
黑客找到绕过多因素认证的巧妙方法

近日,APT黑客组织通过“日爆攻击”(SUNBURST)SolarWinds的网络管理软件,渗透到了包括五角大楼和白宫在内的1.8万家企业和政府机构,在网络安全业界掀起轩然大波。

实施“日爆攻击”的APT组织已经设计出一种巧妙的方法,能够绕过目标网络的多因素身份验证系统。在双因素认证中,密码验证成功后,服务器会评估duo-sid cookie,并确定其是否有效。Volexity的调查发现,攻击者从OWA服务器访问了Duo集成密钥(akey)。

然后,该密钥使攻击者可以在duo-sid cookie中设置预先计算的值。这使攻击者仅需获取用户帐户和密码就能完全绕过帐户的MFA验证机制。此事件强调了确保与密钥集成关联的所有机密(例如与MFA提供者的机密)应在发生泄露后进行更改的必要性。

此外,重要的是,修改密码时不要使用与旧密码类似的新密码(例如,把旧密码Summer2020!改成Spring2020!)。

事件的根源不是Duo产品中存在任何漏洞。而是攻击者从现有的受感染客户环境(例如电子邮件服务器)中获得了对集成凭据的特权访问,这些集成凭据对于Duo服务的管理是必不可少的。

普普每日安全资讯一周概览(12.26—01.01)

普普评述

普普每日安全资讯一周概览(12.26—01.01)

为了减少发生此类事件的可能性,当务之急是保护集成秘密以防组织内暴露,并在怀疑有攻击的情况下轮换密钥。与MFA集成的服务被入侵,也能导致集成秘密的泄露,以及对MFA保护的系统和数据的非法访问。



2020.12.30   周三


05
物联网安全:访问控制

在物联网系统中,访问控制(Access Control)是对用户合法使用资源的认证和控制,简单说就是根据相关授权,控制对特定资源的访问,从而防止一些非法用户的非法访问或者合法用户的不正当使用,以确保整个系统资源能够被合理正当地利用。由于物联网应用系统是多用户、多任务的工作环境,这为非法使用系统资源打开了方便之门,因此,迫切要求我们对计算机及其网络系统采取有效的安全防范措施,以防止非法用户进入系统以及合法用户对系统资源的非法使用。这就需要采用访问控制系统。

访问控制包含3方面的含义:

① 合法性:阻止没有得到正式授权的用户违法访问以及非法用户的违法访问;② 完整性:在包含收集数据、传输信息、储存信息等一系列的步骤中,保证数据信息的完好无损,不可以随意增删与改动;③ 时效性:在一定时效内,保证系统资源不能被非法用户篡改使用,保障系统在时效内的完整。

访问控制应具备身份认证、授权、文件保护和审计等主要功能。通过访问控制,系统可以预防和阻碍未经授权的非法用户访问和操作系统资源。

普普每日安全资讯一周概览(12.26—01.01)

普普评述

普普每日安全资讯一周概览(12.26—01.01)

在物联网系统中,访问控制(Access Control)是对用户合法使用资源的认证和控制,简单说就是根据相关授权,控制对特定资源的访问,从而防止一些非法用户的非法访问或者合法用户的不正当使用。



2020.12.31  周四


06
《2020网络安全态势感知应用指南》发布

2021年,企业和政府面对的网络安全威胁将更加难以防御,网络安全呈现如下五大趋势:

1、Cybersecurity Ventures预计,到2021年,企业将每11秒遭受一次勒索软件攻击;

2、网络犯罪造成的损失预计每年将达到6万亿美元;

3、APT和国家黑客攻击范围和影响力持续扩大,供应链安全威胁等级上升;

4、网络安全市场规模将超过1万亿美元;

5、70%的加密货币将用于网络犯罪。

无论是网络犯罪(勒索软件)的组织化、规模化,APT攻击的复杂化和商业化,还是不断累积的供应链安全风险,都是传统网络安全防御失效的必然症状,同时也意味着越来越多的企业开始重视网络安全态势感知能力的建设,以应对复杂化、规模化和定制化的网络攻击趋势。

在态势感知系统的实际应用中,受限于对态势感知理解、数据采集融合能力、服务保障人员等因素影响,很多企业在巨大投入之后发现,态势感知仅仅成为展示汇报的工具,缺乏有效运营,应用效果与期望有很大的差距,没有真正解决安全问题。

用户认为:数据采集、分析、检测、追溯、响应能力、日志统一收集、算法模型代替人员排查日志、展示呈现量化安全效果的能力是态势感知在部署应用后最有价值的功能点。

普普每日安全资讯一周概览(12.26—01.01)

普普评述

普普每日安全资讯一周概览(12.26—01.01)

态势感知产品市场尚未成熟,还存在鱼龙混杂的情况,不同厂商对态势感知的理解和功能定位还有较大偏差,更需要实际验证厂商的技术实力和售后服务水平。



2020.01.01  周五


07
风口下的中国网络安全如何破局?

安全产业是一个风口产业,市场前景广阔,国内上市的安全企业已经达到20多家。与此同时,网络安全领域的新概念、新理念层出不穷,听起来都很好,但是落地却很困难。有的涉及到整网改造,有的则存在投资高、技术不成熟等各种各样的问题,导致客户在犹疑中止步不前。

从网络安全建设和日常运营的角度出发,将国内企事业单位分为了三大类:

第一类主要包括大的互联网企业、五大国有银行、领先的股份制银行、华为等,这些单位对安全的重视是主动的、业务驱动的,因此投入大、能力强,在安全体系的建设中通常以我为主,安全厂商和服务商只是配角。

第二类包括大部分大型企事业单位和少量中型单位,规模有几万家,比如地市级以上政府委办局、大型制造型企业、高速公路集团、地铁、大型医院、高等院校等。安全投资以合规为导向,对安全厂商或集成商的依赖性较强,整体安全建设和运维水平存在很多问题,承受黑客攻击的能力很弱。

第三类包括所有的小型和大部分中型企事业单位,如非三甲医院、普通中小学、一般的制造企业、县级政府单位等。安全投入少,缺乏持续运维力量,普通病毒就可能导致整个信息系统宕机。

目前华为云等领先的公有云运营商都拥有强大的安全能力和团队,可以通过某种方式向客户提供专业的安全云服务,因此租用公有云的企事业单位可以购买此类云服务,保障其网络空间的信息安全。

普普每日安全资讯一周概览(12.26—01.01)

普普评述

普普每日安全资讯一周概览(12.26—01.01)

我国企事业单位一直以“合规”为导向建设信息安全防护及运营体系,整个体系并不能很好地应对当前的市场环境。