普普每日安全资讯一周概览(12.19—12.25)
据国内媒体报道,出门在外,使用共享充电宝进行充电时,也要小心谨慎,因为有些共享充电宝暗藏隐私泄露的风险。那么充电宝是如何窃取个人隐私的呢?技术人员做了一次实验,先拍摄4张照片存在手机相册中,然后使用一条不带数据传输功能的充电线连接充电宝,后台未能读取手机信息。但是,如果使用一根能够传输手机数据的充电线,充电宝就能将其内部的恶意程序上传至手机,后台立马就能显示出刚刚拍摄的4张照片。断开连接后,攻击者依然能控制这部手机。使用攻击程序,通讯录能被实时读取,在锁屏时,前后摄像头能被轻易调用,甚至还能实时监听。技术人员介绍,取走充电宝中的几块电池,换上一块芯片,就能将各种恶意程序植入用户手机。使用外来充电宝,若手机上出现需要用户授权、打开调试模式等提醒,务必谨慎。
自21世纪初以来,勒索软件一直是大型企业、中小商家及个人的突出网络威胁。勒索软件是一种恶意软件,它能够获取文件或系统的控制权限,并阻止用户控制这些文件或系统。恶意软件和病毒软件与生物疾病有相似之处。正是由于这些相似性,仿照流行病学界对有害病原体的载体使用的术语,我们称入口点为''载体''。从技术上讲,攻击或感染载体是勒索软件获得控制权的手段。勒索软件的载体类型包括:电子邮件、远程桌面协议(RDP)、网站木马传播、社交网络、弹窗等。勒索软件的攻击载体一直在变化,但总体保持大致相同,就像钓鱼邮件攻击,不断利用曝出的各种技术漏洞,以及人的漏洞。勒索软件的最新攻击趋势:双重勒索成为新常态、IoT成为勒索软件攻击新突破口、关键基础设施成勒索软件攻击的重要目标、勒索攻击更加定向、复杂。一夜之间激增的远程办公给网络犯罪分子提供了有吸引力的新攻击目标。数以百万计的人在家工作,感染勒索软件的机会比以往任何时候都高。勒索软件在2020年最疯狂,攻击规模和频率以惊人的速度增长,同时也是给企业造成损失最大的攻击手段,甚至造成全球首例勒索软件致死事故。国际刑警组织也宣称,勒索软件构成网络安全的最大威胁因素。
在过去的几个月中,FortiGuard实验室一直在积极跟踪与疫情相关的全球威胁问题和攻击活动,包括信息窃取者,特洛伊木马,勒索软件以及社会工程诱饵的有效性。利用情感谋取经济利益——网络犯罪分子正在最大限度地利用这次疫情的恐慌心理;鱼叉式网络钓鱼攻击也在增加——在医疗供应短缺的情况下,针对性较强的攻击活动也在增加;远程工作引入了新的攻击媒介——为了确保业务连续性,诸如安全协议之类的东西可能会被忽略或搁置。因为个人设备甚至无需直接受到攻击即可被破坏。它们还连接到不安全的家庭网络,这使攻击者可以利用其他攻击媒介,包括利用连接到家庭网络的易受攻击的物联网设备或游戏机。
在当前日益严峻的威胁形势下,我们不能放松警惕。以下是您组织中需要加强的三个方面:加强网络安全卫生、更新关键安全技术、用户培训。
由于当前的疫情环境,网络犯罪迅速过度到远程办公,再加上网络犯罪分子利用恐惧,不确定性和怀疑的倾向,安全研究人员观察到了网络安全问题激增。网络罪犯分子很快就会利用新的手段和设备,接入新手远程工作者、易受攻击的家用计算机和网络,以及过度劳累的IT团队。
零信任的概念对国防部而言已经不是新鲜事物。对于某些内部敏感信息,他们已经采取类似的分区配置,但目前大部分业务网络架构仍然依靠强密码保护等传统的外围防御策略。国防部领导层提到,此次在全军范围内推行的零信任架构将与其他以往计划有所不同。进一步解释称,这代表着国防部网络架构的全面转变,事实上网络架构也必须随时间推移而不断变化。由马里兰州创新与安全研究所(MISI)运营的私营网络安全实验室DreamPort一直在各级政府机构与私营部门间的合作中发挥着关键作用,在此次参考指南的制定过程中同样助力颇多。该组织还在所在地马里兰州哥伦比亚市郊专门建立了零信任实验室,着力推动与NSA、网络司令部以及其他高度关注安全工作的政府机构间的合作。为美国国防机构及IT部门提供一份指导性蓝图,推动网络体系过渡到新的模式,尝试对所有人采取相同的安全控制级别。换言之,新的安全体系将对所有用户都实施“零信任”策略。
数据安全领域,加密技术相对稳定,加密技术有望迎来重大变革,以下我们列出2021年值得关注的六大加密趋势。一、云计算将扮演更重要的角色,尤其是在金融服务领域:云计算服务商正在提供更强大、更灵活的安全服务,以满足那些希望保留密钥控制权,同时避免被云服务商锁定的企业的需求。二、同态加密将成为“新常态”:面对隐私泄露和监管力度的双重压力,同态加密作为最优秀的隐私增强技术之一,对数据进行处理和操作时能够保持加密状态,可用于保护存储在云中或传输中的数据的安全。三、BYOE将开始流行:云安全(营销)模型,也是企业云安全的一次重要变革,企业巩固自己掌控和管理数据安全策略所需的控制级别。四、加密+密钥管理,对于缩短的证书生命周期至关重要:企业需要比以往更严格的加密和密钥管理,跟踪证书失效日期非常重要,自动化将发挥重要作用。五、加密技术对DevSecOps很重要,尤其是代码签名:DevOps团队提供所需的集成安全性以及快速识别和排除故障区域的能力。六、长周期设备制造商将开始拥抱加密敏捷性:敏捷的加密解决方案可能需要实现混合证书,使用常规非对称加密进行签名的同时,要具备足够的灵活性,以便今后向抗量子加密平稳过渡,以应对量子计算的威胁。无论是云服务商还是采用BYOE和同态加密的企业,亦或采用混合证书来实现加密敏捷性的DevSecOps团队,都需要注意以下亮点:加密和密钥管理二者缺一不可;较短的证书生命周期意味着企业需要比以往更加关注密钥管理。
据Forescout的研究人员估计,目前发现的数百万个消费级和工业级设备受到他们发现的33个安全漏洞(其中四个是高危漏洞)的影响,几乎你能想到的所有联网/物联网设备都有可能中招:包括智能手机、游戏机、传感器、片上系统(SOC)板、HVAC系统、打印机、路由器、交换机、IP摄像机、自助结账亭、RFID资产跟踪器、证章读取器、不间断电源和各种工业设备。Bug驻留在四个开源TCP/IP堆栈中,漏洞将使攻击者可以实施广泛的攻击。例如:远程代码执行(RCE)以控制目标设备;拒绝服务(DoS)会削弱功能并影响业务运营;信息泄漏(infoleak)以获取潜在的敏感信息;DNS缓存中毒攻击,用于将设备指向恶意网站。在某些情况下(例如智能手机或网络设备)设备自带无线更新机制,漏洞的修补可能很容易,但是许多其他易受攻击的设备甚至都没有提供更新固件的功能,这意味着某些设备很可能在剩余的产品生命周期内仍然很脆弱。公司可能需要替换设备,或采取对策以防御利用漏洞的攻击。检测漏洞本身也是一项艰巨的工作,因为当今许多设备都未附带软件物料清单,很多公司甚至都不知道他们正在运行的系统是否使用了四个TCP/IP堆栈中的一个。智能设备和物联网的生态系统仍然是一团乱麻,并且很可能在未来几年仍将是一场安全灾难。
信任是信息安全的基石,是交互双方进行身份认证的基础。信任涉及假设、期望和行为。信任是与风险相联系的,并且信任关系的建立不可能总是全自动的,这意味着信任的定量测量是比较困难的,但信任可以通过级别进行度量和使用,以决定身份和访问控制级别。信任通常分为基于身份的信任(IdentityTrust)和基于行为的信任(BehaviorTrust)两类。基于身份的信任采用静态的控制机制,即在用户对目标对象实施访问前就对其访问权限进行了限制。基于行为的信任通过实体的行为历史记录和当前行为的特征来动态判断目标实体的可信任度。基于行为的信任包括直接信任(DirectTrust)和反馈信任(IndirectTrust)。反馈信任又可称为推荐信任、间接信任或者声誉(Reputation)。信任的属性包括信任的动态性、不对称性、传递性和衰减性,为解决互联网上网络服务的安全问题,提出了信任管理(TrustManagement)的概念,并首次将信任管理机制引入分布式系统之中。随着以互联网为基础的各种大规模开放应用系统(如网格、普适计算、P2P、Adhoc、Web服务、Cloud、物联网等)相继出现并被应用,信任关系、信任模型和信任管理的研究逐渐成为了信息安全领域的研究热点。信任管理系统的核心内容是,用于描述安全策略和安全凭证的安全策略描述语言和用于对请求、安全凭证和安全策略进行一致性证明-验证的信任管理引擎。