安全研究
全部分类

关键信息基础设施安全动态周报【2020年第8期】

  • 分类:威胁情报研究
  • 作者:
  • 来源:
  • 发布时间:2020-02-28 13:24
  • 访问量:

【概要描述】《知晓天下安全事》—关键信息基础设施安全动态周报【2020年第8期】天地和兴播报。

关键信息基础设施安全动态周报【2020年第8期】

【概要描述】《知晓天下安全事》—关键信息基础设施安全动态周报【2020年第8期】天地和兴播报。

  • 分类:威胁情报研究
  • 作者:
  • 来源:
  • 发布时间:2020-02-28 13:24
  • 访问量:
详情

  目 录

  第一章 国内关键信息基础设施安全动态

  (一)国家能源局发布2020年电力安全监管重点任务

  (二)Moxa网络设备中的漏洞使工业环境容易受到攻击

  第二章 国外关键信息基础设施安全动态

  (一)美国马萨诸塞州电力公司RMLD遭受勒索软件攻击

  (二)克罗地亚最大连锁加油站INA遭受网络攻击

  (三)勒索软件对工业安全的威胁日益增强

  (四)Wi-Fi加密漏洞Kr00k影响超过十亿台设备

  (五)网络安全成为石油和天然气公司投资的重点

  (六)RSA大会产品信息汇总

  (七)特朗普签署PNT行政令以保护依赖GPS的关键基础设施

  (八)联网医疗设备的网络安全和漏洞披露面临新挑战

  (九)澳大利亚金融组织遭受DDoS攻击并勒索赎金

  (十)英国金融监管机构发生数据泄漏事件

  (十一)美国国防信息统计局DISA发生数据泄漏事件

  (十二)丹麦设施服务公司ISS World遭到恶意软件攻击

  (十三)过去六年受害者共向勒索软件支付1.4亿美元

  

       第一章 国内关键信息基础设施安全动态

  (一)国家能源局发布2020年电力安全监管重点任务

  2020年2月20日,国家能源局印发2020年电力安全监管重点任务,任务重提出2020年将做好加强网络安全监管、电网安全监管、发电安全监管等15项重点工作。

  其中重点任务指出,要加强发电安全监管。鼓励开展安全性评价,督促强化机组并网安全性评价,准确评估机组安全状态,提升设备设施检修维护工作水平。持续推进安全生产标准化工作,落实“二十五项”反措,加强班组安全建设与外包项目管理,加大作业现场巡查检查力度,严肃查处“三违”行为。

  要加强电网安全监管。督促企业开展电力系统运行方式分析,系统排查电网运行隐患,有效管控电网风险。协调解决涉网安全重大问题,提升涉网安全管理水平。重点关注特高压输变电设备安全,防范化解特高压输电安全隐患。

  要加强网络安全监管。推动落实电力行业网络安全三年行动计划。研究制定《电力行业关键信息基础设施认定规则》。组织开展电力监控系统安全防护专项监管。推动实施电力行业网络安全“零报告”制度。组建电力行业网络安全监督管理支撑队伍,成立电力行业网络安全专家组,推进组建国家能源电力行业网络安全重点实验室。推进网络安全军民融合深度发展。

  要加强应急能力建设。落实《电力行业应急能力建设行动计划(2018-2020年)》。推进地市级政府大面积停电事件应急预案编制和演练,提高预案编制完成率,各省级政府至少开展一次地市级应急演练。建立国家级电力应急培训演练基地,组建国家级电力应急抢修救援队伍和专家库。出台《电力企业应急能力建设评估管理办法》,督促企业完善应急预案体系,加强评估监管。

  要做好重大活动保电和突发事件应对工作。制定《重大活动电力保障工作规定》,进一步规范保电工作。强化重要时间节点安全风险防控,做好全国“两会”、第三届中国国际进口博览会等重大活动保电工作。提升电力系统防灾减灾能力,加强电力安全信息报送,做好自然灾害等影响电力安全的突发事件应对处置工作。

  本文版权归原作者所有,参考来源:国家能源局 https://dwz.cn/5D0t1MqG

 

  (二)Moxa网络设备中的漏洞使工业环境容易受到攻击

  思科Talos情报和研究小组的研究人员发现,台湾工业网络、计算和自动化解决方案供应商Moxa制造的一种无线网络设备存在12个漏洞。根据Moxa和Talos周一发布的公告,AWK-3131A工业AP /网桥/客户端设备受到12个漏洞的影响,这些漏洞可以被用来在针对组织工业系统的攻击中进行恶意活动。

  所有的漏洞都被归类为严重或高度严重。攻击者可以利用它们将特权提升为root用户,使用硬编码的加密密钥解密流量,插入命令并远程控制设备,在设备上运行自定义诊断脚本,远程执行任意代码,导致拒绝服务(DoS)状况,并获得对设备的远程Shell访问。

  

 

  虽然在大多数情况下,攻击者需要使用低特权进行身份验证,但未经身份验证的攻击者可能会利用其中的一些弱点。该漏洞已于2019年10月和11月报告给Moxa,供应商于2月24日宣布提供补丁。

  尽管Moxa很快修补了这些漏洞,但该公司在解决漏洞方面并不总是那么快。去年12月,在一位研究人员发现 awk-3121系列 ap 的14个缺陷后,该公司敦促消费者更换该产品。然而,该公司自2018年以来就知道了这些漏洞,发现这些安全漏洞的研究人员在2019年6月发布了漏洞利用程序。

  这不是思科Talos研究人员第一次在Moxa的AWK-3131A设备中发现漏洞。早在2017年,他们就报告发现发现了允许攻击者完全访问Moxa AP的硬编码凭据,并分别披露了影响同一产品的十几个漏洞。

  天地和兴工控安全研究院翻译整理,参考来源:SecutiryWeek https://dwz.cn/gGKjnaXd

 

  第二章 国外关键信息基础设施安全动态

  (一)美国马萨诸塞州电力公司RMLD遭受勒索软件攻击

  美国马萨诸塞州电力公司雷丁市政照明部(RMLD)2020年2月24日通知其客户,其系统上周遭到勒索软件攻击,该勒索软件攻击对电力供应没有影响,也没有发现存储在第三方系统中的客户财务数据因此事件而受到破坏。

  RMLD告诉其客户,他们在2月21日发现了此漏洞,其IT团队一直在努力隔离受感染的系统并删除恶意软件,还聘请了外部IT顾问来协助其工作。此外没有提供任何关于勒索软件类型的信息,也没有说明它是如何出现在 RMLD系统上的。该公司在其网站上发布的警报中称:“RMLD非常重视这种网络渗透,员工们正在不懈地努力纠正此问题,并尽快恢复正常的业务运营。”RMLD表示客户可以通过电话提出新的服务请求,并报告停机和服务问题。网上支付没有受到事件的影响。

  尽管这可能是利益驱动的网络犯罪分子发动的攻击,但在过去几年中,北美的电力公司越来越多地受到政府支持的威胁组织的攻击。勒索软件攻击可能会对大型和小型组织构成严重威胁。在过去的一年里,有几家大公司报告被勒索软件攻击,包括挪威金属和能源巨头海德鲁公司,澳大利亚航运巨头 toll公司,飞机零部件制造商 asco,墨西哥石油公司 pemex,以及测试服务提供商 eurofins scientific。

  RMLD是一家为Reading、North Reading、Wilmington和Lynnfield Center镇的6.8万多名居民提供电力服务的公司。

  天地和兴工控安全研究院翻译整理,参考来源:安全周刊 https://dwz.cn/Hzt9AVMR

 

  (二)克罗地亚最大连锁加油站INA遭受网络攻击

  当地时间2020年2月14日晚,克罗地亚最大石油公司及最大连锁加油站INA集团遭受勒索软件攻击,先感染后加密了该公司的某些后端服务器,致使某些运营业务瘫痪。

  INA也是克罗地亚的天然气提供商,该攻击事件并未影响INA向其客户提供汽油燃料,也没有影响其处理付款业务,但是影响了其开具发票、注册会员卡、发行新的移动凭证、发行新电子插图以及客户支付煤气费等业务。该公司正在努力恢复所有系统,并向客户道歉。

  据悉,该事件使用的勒索软件为CLOP。在INA报告受到感染的几个小时之前,Sophos研究人员报告了一个新的恶意软件命令与控制服务器上线并参与了CLOP相关的操作。CLOP被安全研究人员称作“大型游戏勒索软件”,指专门针对公司感染网络,加密数据并要求极大勒索需求的犯罪集团。

  INA集团是MOL集团的一部分,克罗地亚政府是其最大股东。

  天地和兴工控安全研究院翻译整理,参考来源:ZDNet https://dwz.cn/yYSZ0m2p

 

  (三)勒索软件对工业安全的威胁日益增强

  在2020年RSA大会上,Waterfall Security的首席执行官兼联合创始人Lior Frenkel描述了运营技术OT与信息技术IT融合及改变的前沿,并讨论了工业、制造业和关键基础设施行业面临的主要网络安全威胁。

  Frenkel认为,随着越来越多的公司(包括中小型企业)对智能设备、业务自动化和互联设备的使用数量激增,他们还需要考虑不断扩大的威胁态势。在Frenkel的排名中,勒索软件对ICS企业的威胁排名第一。本月初,美国一家天然气压缩设施公司因遭受勒索软件攻击而中断了两天。

  Frenkel表示,当今的OT系统越来越趋于计算机化和网络化。对OT网络的那些攻击是基于犯罪的,而不是基于恐怖的。攻击者不在乎企业大小,也不在乎企业是否重要,攻击者只关心受害者什么时候支付赎金。

  Waterfall Security的解决方案包括一系列单向网关,以提供针对远程攻击的保护。解决方案策略包括客户工具,这些工具可用于通过服务器复制、OT网络监视以及严格遵守计划的更新来查看操作。

  天地和兴工控安全研究院翻译整理,参考来源:threat post https://dwz.cn/fComWdKj

 

  (四)Wi-Fi加密漏洞Kr00k影响超过十亿台设备

  网络安全公司ESET的研究人员发现了一个名为Kr00k的新型高危硬件漏洞,该漏洞存在于Broadcom和Cypress制造的的Wi-Fi芯片中,在超过10亿个设备中广泛使用,包括智能手机、平板电脑、笔记本电脑、路由器和IoT小工具。该漏洞的编号为CVE-2019-15126,该漏洞可能被附近的远程攻击者利用,以拦截和解密易受攻击的设备通过无线传输的一些无线网络数据包。

  该漏洞与 2017年10月发现的密钥重新安装攻击KRACK有关,并且可用于所有WPA2 Wi-Fi网络。攻击者甚至可以利用Kr00k漏洞来攻击没有连接到无线网络的受害者,此漏洞可用于使用WPA2-Personal或WPA2-Enterprise协议并带有AES-CCMP加密的易受攻击的设备。攻击者在迫使设备断开与Wi-Fi网络的连接后可能会利用Kr00k漏洞。ESET的研究人员表示,该漏洞并不存在于Wi-Fi加密协议中,而是与某些芯片实施加密的方式有关。受TLS保护的通信无法通过利用此漏洞进行恢复。该漏洞不会影响使用WPA3协议的现代设备。

  

 

  当攻击者强制断开设备与无线网络的连接时,Wi-Fi芯片会清除内存中的会话密钥并将其设置为零,然后该芯片会使用全零加密密钥传输缓冲区中剩余的所有数据帧甚至在分离之后。靠近易受攻击的设备的攻击者可以通过空中发送数据包来捕获更多数据帧,从而强制重复解除关联。

  ESET去年向Broadcom和Cypress以及使用有缺陷的芯片的设备制造商都报告了此问题,包括Apple、小米、Raspberry、Samsung。苹果已经使用上述芯片为其设备发布了安全更新。

  天地和兴工控安全研究院翻译整理,参考来源:Security Affairs https://dwz.cn/csj0Upof

 

  (五)网络安全成为石油和天然气公司投资的重点

  埃森哲的一份报告显示,网络安全已成为上游石油和天然气公司数字投资的重点。该报告对255位行业专业人士进行了全球性调查,其中包括高级管理人员、职能领导者和工程师。

  

 

  

  增加对网络安全的投资

  当被问及组织今天在投资哪种数字技术时,61%的受访者表示是网络安全,该比例是2017年这一数字(12%)的五倍。该报告表明,随着石油公司寻求保护其资产和声誉的方法时,他们对网络安全的关注正在急剧提升。被问到哪种数据解决方案对业务绩效产生最大影响时,网络安全被更多的受访者(16%)提到,高于2017年的9%。如今,随着对网络安全投资的增加,有5%的受访者将网络攻击导致的脆弱性增加看作数字化投资的最大风险,不到2017年这一数据(18%)的三分之一。这可能是由于只有35%的受访者计划在未来三到五年内投资于网络安全。埃森哲董事总经理Rich Holsman表示:随着石油公司的运营受到越来越大的威胁,网络弹性对于利益相关者、消费者和政府而言变得越来越重要。管理攻击不仅是保护声誉,股价和运营的问题,而且是对国家服务和安全更大责任的一部分。上游企业必须继续深思熟虑地对网络安全措施进行大量投资,因为它们常常低估了遭受此类攻击的可能性,而这些攻击的技术复杂性也在增加。

  云技术:数字投资的第二大重点

  这项调查确定了云技术是数字投资的第二大重点,有53%的公司提到了该技术。实际上,有15%的受访者认为云技术是推动最大的业务绩效影响的数字解决方案。该报告表明,石油和天然气公司仍在对云技术进行大量投资,因为它们是其数字化转型历程和更高运营安全性的基础。此外,自2017年以来,认为人工智能(AI)推动最大业务绩效影响的受访者比例从4%增至9%,翻了一倍还多。因此,当被问及他们计划在未来三到五年内投资哪种数字技术时,51%的受访者提到了了AI /机器学习,高于2017年的30%;其次是大数据/分析(50%),物联网(43%)和移动/可穿戴技术(38%)。47%的受访者认为失去竞争优势是缺乏对数字技术投资的最大风险,而42%的受访者认为降低成本是数字技术可以帮助解决的最重大业务挑战。但是,在过去几年中,上游公司的数字投资率大致保持不变。例如,表示其公司计划在未来三到五年内对数字技术进行更多或更多投资的高管人数(占72%),与2017年调查中对同一问题做出类似回答的人数相对没有变化(71%)。

  扩展数字技术是从数字投资中创造价值的关键

  该报告显示,上游石油和天然气公司发现很难扩展数字计划。只有9%的受访者表示,他们的部门能够扩展过去两年来开发的数字概念证明(POC)的至少一半。此外,只有20%的受访者表示,在试点阶段之后能够扩展超过20%的POC。该报告还指出,尽管上游公司需要扩展数字技术以释放滞留的价值,即从其数字投资中创造增值,但这样做仍然存在很大障碍。例如,有34%的受访者表示,他们认为缺乏明确的战略和商业案例是最大的障碍,高于2017年的26%。此外,只有15%的受访者表示他们从数字化投资中看到超过5,000万美元的附加价值,而只有十分之一(5%)的受访者说数字化为上游业务增加了至少1亿美元的价值,比以前的12%有所下降。Holsman表示:“尽管上游公司继续增加其数字投资,但它们并未将这些投资有效的转化为有形价值。甚至它们从数字中创造价值的能力似乎正在下降。”这些公司面临组织瓶颈,并且很难扩展这些技术,从而阻碍了核心业务转型和资本释放。为了使石油公司变得敏捷并能够按规模扩展价值,需要重新调整数字投资并建立正确的运营模式和数字功能。这不仅需要领导层的更多支持,还需要更广泛的伙伴关系生态系统。

  天地和兴工控安全研究院翻译整理,参考来源:HelpNetSecurity https://dwz.cn/iETTqQ7N

 

  (六)RSA大会产品信息汇总

  RSA Conference 2020年2月24日在旧金山拉开帷幕,预计将有近700家参展商和40,000多名与会者本周聚集在Moscone中心参加此次活动。作为业内规模最大的会议,许多安全厂商都利用该活动推出了新产品,并推出了对其产品的更新和增强。

  思科发布了全新的云本地安全平台SecureX,旨在提高可见性,提供分析并自动执行常见的安全工作流。思科对《安全周刊》表示,除了统一现有的安全产品外,新平台还增加了一个行动协调器,以“构建自动化的行动手册,以加速威胁调查和补救等工作流程,并确保SecOps团队以及IT和NetOps团队之间更好的协作。”

  Fortinet宣布推出FortiAI,这是一种新的本地设备,该设备利用自学习的深度神经网络(DNN)来加快威胁补救,并处理耗时的手动安全分析任务。

  Checkmarx宣布为其软件安全平台提供一个新的编排模块(CxFlow),集成了应用程序发布编排和敏捷规划工具。该公司表示,CxFlow将帮助组织在不中断开发人员工作流程的情况下提高其软件的安全性,该公司表示,对其平台的增强将在开发和DevOps环境中提供更无缝的实施和应用程序安全测试(AST)的自动化。

  FireEye 宣布推出FireEye Mandiant hreat智能套件,由精心策划的威胁情报订阅和服务组成。智能产品组合中的捆绑产品通过增量层提供,使组织在寻求采用英特尔主导的安全方法时,可以轻松选择最适合其需求的选项。

  端点管理和安全解决方案提供商Adaptiva 宣布推出 Endpoint Health,这是一款面向客户端和服务器的自动运行状况和补救解决方案。该产品可在几分钟内在整个企业内进行111次“健康检查”,并自动修复问题。扫描会查找一系列广泛的问题,包括缺少安全补丁和配置问题。

  GreatHorn推出了“帐户接管保护”,这是一种生物识别技术,可以根据用户的输入模式识别被盗账户,并阻止接管企图。该解决方案使用机器学习来创建用户在桌面和移动设备上独特的打字模式的基线。它分析击键速度,压力以及按键和松开之间的时间,但不捕获实际数据。初始授权完成后,GreatHorne将使用预定的触发器(例如时间延迟或模式异常)重新验证用户。

  CrowdStrike 发布了 Endpoint Recovery Services,这是一项旨在帮助组织在遭到入侵后恢复业务运营的新服务。该服务应阻止攻击并加速事件恢复生命周期,以最大限度地减少中断。CrowdStrike端点恢复服务由该公司的Falcon平台和威胁情报提供支持。

  帕洛阿尔托网络公司(Palo Alto Networks)宣布推出 Cortex XSOAR,这是一个扩展的安全协调,自动化和响应(SOAR)平台。该公司去年收购了Demisto平台,对它进行了改进,Cortex XSOAR将威胁情报管理与SOAR功能集成在一起。该平台使客户能够通过行动手册实现数百个安全用例的自动化,这些行动手册协调了350多种第三方产品的响应行动。它还应提高SecOps效率,并通过统一警报、事件和指示器加快事件响应。

  Google正在通过新的规则语言YARA-L在Chronicle中展示新的威胁检测和时间轴功能,并引入了Chronicle的智能数据融合技术,该技术将新的数据模型与能够将多个事件自动链接到单个时间轴的功能结合在一起(Palo Alto带有Cortex XSOAR的Networks是与之集成的第一个合作伙伴。GOOGLE还宣布全面推出reCAPTCHA Enterprise(保护网站免受欺诈活动)和Web Risk API(使客户端应用程序能够根据谷歌的不安全网站列表检查URL)。

  F5 Networks 重点介绍了其应用程序安全产品组合中的几个新解决方案,包括Essential App Protect,Behavioral App Protect,NGINX App Protect和Aspen Mesh Secure Ingress。Essential App Protect针对常见的Web利用,恶意API和协同攻击提供保护。行为应用保护是一种云交付解决方案,可通过实时检测恶意行为来保护应用程序。NGINX App Protect将F5 WAF技术引入NGINX,而Aspen Mesh Secure Ingress则帮助保护进入Kubernetes集群的流量。

  QuoLab Technologies 推出了一个以数据为中心的协作式安全操作平台,旨在将威胁数据和警报的接收,分析,跟踪,管理和调查结合在一起。该平台声称将数据和恶意软件处理时间缩短了一半,有助于专注于响应和恢复。

  数据隐私和保护提供商BigID宣布了用于管理整个生态系统中敏感的“皇冠珠宝”数据的新功能,例如发现暗数据,提供对重复数据和相似数据的概要分析,突出高风险数据,自动分析文件内容并识别文档类型,自动标记和修复。

  语音安全和身份验证解决方案提供商Pindrop 推出了 Deep Voice 3,这是其语音识别技术的最新版本,该技术现在可以用较少的语音更准确地识别来电者的声音。该公司声称,新版本可以在最短的三个音节内识别单个声音,从而可以根据话语的短小程度实现个性化(例如,“ OK Google”,“ Hi Bixby”和“ Alexa”)。

  FireMon 宣布将其安全策略管理解决方案与Microsoft Azure和Amazon Web Services(AWS)进行新的集成。集成将帮助客户通过一个单一的、策略驱动的平台来提高云可见性并降低复杂性,该平台旨在适用于多云和混合环境。

  CyberArk宣布了其Endpoint Privilege Manager的增强功能,该功能提供了基于特权的欺骗功能,旨在防止工作站和服务器上的证书被盗,并帮助防御者快速检测并主动关闭正在进行的攻击。

  Intertrust宣布推出用于Web的whiteCryption安全密钥箱(SKB),这是一种用于Web应用程序的白盒加密解决方案。该解决方案可防止黑客使用静态或动态方法将密钥提取到Web应用程序。SKB for Web 是以 javaScript可用API的形式发布的,即使在受攻击的主机上运行也可保护密钥,并通过确保密钥和凭据免受在浏览器内以及PC或设备上本地运行的攻击来保护密钥和凭据免受旁路攻击。

  Juniper Networks宣布,其Juniper高级威胁防护(ATP)云和SRX系列防火墙现在具有加密流量分析功能。新功能应该有助于组织检测经过加密以逃避检测的恶意流量。该公司表示,客户将对加密流量有更多的可见性和策略控制,而无需进行资源密集型SSL解密。

  Nozomi Networks发布了其产品的20.0版。最新版本增加了一项新的资产情报服务,旨在提高异常活动警报的准确性。它还允许客户在Microsoft Azure上部署中央管理控制台(CMC),并且CMC现在包括新的改进的漏洞和风险评估报告。在最新版本中,Nozomi还宣布了可保护多达500,000个节点的新型更快的物理设备,以及可用于分析远程站点的OT和IoT安全的新型便携式设备。

  迈克菲(McAfee)宣布扩展了MVISION平台,增加了保护整个生态系统中的企业数据(统一的Cloud Edge)和保护本机应用程序的整个基础架构和应用程序堆栈的功能(Cloud Native Infrastructure Security)。该公司还推出了一个全球托管检测和响应(MDR)平台,以DXC Technology作为其第一个战略MDR合作伙伴,提供威胁追踪、取证和调查等服务,以及全天候受管端点威胁检测和响应。

  PreEmptive发布了JSDefender,这是一个帮助软件开发人员保护JavaScript代码免受黑客攻击、逆向工程以及IP和数据窃取的工具。该解决方案支持所有类型的JavaScript代码(基于浏览器的,移动的,桌面的和服务器的)和文字脚本,并与webpack等流行的捆绑工具集成。

  Bishop Fox宣布推出其持续攻击表面测试(CAST)管理的安全服务。新产品是一项基于订阅的服务,它不断发现外围的潜在弱点,并将这些信息传递给专家渗透测试人员,然后由他们针对对组织构成最大威胁的高风险和关键漏洞提供经过充分验证的、可操作的结果。

  Imperva 发布了 Advanced Bot Protection,这是一个将其 BOT管理技术充分集成到 imperva 云应用安全解决方案中的新解决方案。该解决方案在单个堆栈模型中提供了BOT保护,保护网站、移动应用程序和API免受自动化威胁——包括Web抓取、账户接管、交易欺诈、分布式拒绝服务攻击、竞争性数据挖掘、未经授权的漏洞扫描、垃圾邮件、点击欺诈以及Web和移动API滥用。

  内部威胁管理工具提供商Code42宣布对其云数据安全解决方案进行更新,以帮助安全团队密切监视,检测和调查由高风险员工造成的数据威胁。

  VMware 宣布推出适用于云基础的Vmware高级安全,这将使客户能够替换传统的安全解决方案。VMware Advanced Security for Cloud Foundation包括Carbon Black技术,具有WAF功能的NSX Advanced Load Balancer和NSX Distributed IDS / IPS。VMware还宣布了对Carbon Black Cloud的增强功能,包括与MITER ATT&CK框架的自动关联,与Microsoft Windows反恶意软件扫描接口(AMSI)的集成,以及针对Linux设备的新恶意软件防护功能。最后,VMware宣布了新的安全状态自动修复功能,可跨云环境自动执行操作并降低风险。

  Proofpoint推出的解决方案旨在利用公司的安全电子邮件网关、威胁防护和响应、电子邮件身份验证、认知培训和云帐户保护,保护组织免受BEC和EAC攻击。该公司还宣布了对其Cloud App Security Broker(CASB)解决方案的改进,包括针对恶意应用程序的自动检测和修复,扩展Office 365的可疑文件活动检测,增强基于风险的访问、提高影子IT可见性以及增强实时数据丢失预防。

  Exabeam推出了Exabeam云平台,该平台扩展了公司的SIEM解决方案,例如UEBA和以对象为中心的工作区,以及云存储,数据绘图和与250种产品的集成。Exabeam宣布,其威胁情报服务和云档案应用程序将通过该公司的应用程序市场在云平台上提供,将来,该市场还将包括其他供应商的应用程序。Exabeam还推出了Cloud Platform on Cloud Platform,这是一款允许工程师快速开发新用例所需内容的工具。

  Valimail 宣布正式推出Valimail DMARC Monitor,这是一个免费的基于云的工具,让域名所有者可以全面查看从其域名发送电子邮件的服务。Valimail DMARC监视器提供了一个仪表板,可以提供电子邮件发送服务列表、每个服务的信息(例如,它发送了多少电子邮件,如果验证成功) ,以及显示合法和可疑电子邮件的地理来源的可视化地图。向Office 365用户提供了DMARC监视器的早期版本,目前已有超过10,000个域所有者使用它。

  CrowdStrike宣布,所有希望为客户构建安全应用程序和服务的合作伙伴都可以使用Falcon平台上的新功能。一个新的CrowdStrike开发者门户网站为技术联盟合作伙伴,CrowdStrike商店合作伙伴和开发人员提供文档、用例和教程,以鼓励新的商店应用和集成。对于托管安全系统提供商(MSSP),Falcon平台提供了跨操作系统的改进保护,几乎不需要维护。该安全公司还推出了用于安全运营的Falcon Spotlight应用程序,该应用程序可将 Falcon Spotlight的实时端点漏洞数据集成到ServiceNow 漏洞响应解决方案中,以简化漏洞的管理,优先级和补救工作。

  FireMon宣布扩展其安全策略管理解决方案与ServiceNow,Cisco ACI和Swimlane的API集成功能,以帮助客户提高网络安全可见性、控制和效率。FireMon API为安全团队提供了更改管理工作流、提高跨工具和基础架构的可见性以及最大化资源的能力。昨天,该公司宣布了与微软 Azure和亚马逊网络服务(AWS)进行新的整合。

  CybelAngel宣布一个加强数字风险管理SaaS平台,具有数据泄漏检测和修复功能,可帮助客户避免欺诈、勒索软件攻击,合规违规,经济间谍活动和声誉损失。该解决方案提供了实时的全面外围扫描,使企业能够监视连接的存储、云应用程序、开放数据库、域名服务器、公共网络和暗网。

  随着CylanceOPTICSv2.4的发布,黑莓宣布增强了Spark平台的端点保护平台(EPP)和端点检测和响应(EDR)功能。更新后的解决方案旨在通过改进注册表自省、DNS可见性、Windows登录事件可见性、RFC1918地址空间可见性以及通过Windows API增强WMI和PowerShell自省来提供更快的事件响应。BlackBerry还引入了跨Windows,Mac和Linux发行版(例如RHEL,Ubuntu,CentOS和SUSE)的特性和功能对等。部分设备锁定功能和远程响应。

  Keysight技术公司宣布推出突破防御,这是一个旨在提高运营安全有效性的SecOps平台。该平台包括威胁模拟器入侵和攻击模拟解决方案,使网络和SecOps团队能够通过模拟对其网络的攻击和利用来衡量操作安全的有效性。它还包括ThreatARMOR,一个威胁情报网关。

  NSS实验室推出了一个新的网络安全产品评级系统。评级范围为从AAA(最高的总体评级)到D。评级为BB,B,CCC,CC或C的产品具有明显的风险特征,其中BB表示最低风险,C表示最高。该评级是根据管理、误报、对规避的抵抗,总拥有成本和冻结率计算的。

  英特尔宣布了四项新的安全功能,并提供了有关其先前宣布的“计算生命周期保障”供应链透明度计划的更多信息。英特尔认为,与过去50年相比,未来十年将会有更多的架构进步。这些功能包括应用程序隔离,虚拟机和容器隔离,全内存加密以及Intel平台固件弹性。

  SentinelOne宣布其容器和云本地工作负载保护(CWPP)产品将全面上市,该产品可为云工作负载提供全功能的自主运行时保护,检测和响应。该解决方案扩展了SentinelOne的XDR平台,为集装箱化的工作负载引入了全面的可见性、检测、响应和威胁搜索。

  SCYTHE推出了SCYTHE Marketplace,它允许受信任的第三方开发人员为公司的攻击仿真平台创建新功能。红色,蓝色和紫色团队可以使用创建的模块来模拟某些类型的攻击并测试其防御能力。

  Secureworks 推出了 Cloud Configuration Review,这是一个云配置评估解决方案,也是与VMware建立合作伙伴关系的一系列服务中的第一个。该平台提供公共云安全和合规监控功能,以帮助检测配置漏洞,了解关键风险的业务影响,以及应对与采用公共云相关的挑战。

  Google在Gmail中展示了新的扫描功能,这些功能已经帮助将恶意文档的检测率提高了10%。该技术旨在帮助检测通常是突发性的对抗性攻击,并且已经将检测率提高了150%。目前仅扫描Office文档,但该技术仍在开发中。

  Gurucul发布了一个云本地数据科学驱动平台,用于自动化安全控制,包括用户和实体行为分析(UEBA)、网络流量分析(NTA)、日志聚合、SIEM功能、SOAR和威胁搜索。利用机器学习和人工智能,Unified Security&Risk Analytics可帮助组织从网络,IT系统,云平台,应用程序,IoT等提取和分析数据,以实时检测威胁。

  Riskonnect和Compliance.ai合作为组织提供了简化合规流程和更快处理法规更新的能力。通过将Compliance.ai的法规内容和变更管理平台集成到Riskonnect的法规解决方案中,这两家公司的目标是为管理人员提供国内外的法规变更摘要,这些摘要来自720多种来源,110种文档类型和38种文档属性。

  天地和兴工控安全研究院翻译整理,参考来源:安全周刊 https://dwz.cn/ST9u2uVC

 

  (七)特朗普签署PNT行政令以保护依赖GPS的关键基础设施

  2020年2月12日,美国总统特朗普签署第13905号行政命令《通过负责任地使用定位、导航与授时服务来增强国家弹性》。行政令旨在确保定位、导航和授时服务(PNT)服务的中断或操纵不会破坏其关键基础设施的可靠性和有效运行。

  美国的国家和经济安全依赖于关键基础设施的高效可靠运行。自从美国在全球范围内提供全球定位系统以来,天基系统提供的定位、导航和授时服务(PNT)已经很大程度上成为了隐形技术工具,为包括电网、通信基础设施和移动设备、所有运输方式、精准农业、天气预报和应急响应等技术和基础设施提供服务。由于PNT服务的广泛应用,一旦此类服务中断或被操纵,将会对美国的国家安全和经济安全产生不利影响。因此,为了增强国家弹性,联邦政府必须促进关键基础设施的所有者和运营者负责任地使用PNT服务。

  美国的政策是确保PNT服务的中断或操纵不会破坏其关键基础设施的可靠性和有效运行。联邦政府必须提高国家对关键基础设施在多大程度上依赖PNT服务或由PNT服务得以增强的认识,并且必须确保关键基础设施能够抵御PNT服务的中断或操纵。为此,联邦政府应促进公共和私营部门的参与,以确定和促进PNT服务被负责任地使用。

  天地和兴工控安全研究院翻译整理,参考来源:whitehouse https://dwz.cn/mB8gxYCd

 

  (八)联网医疗设备的网络安全和漏洞披露面临新挑战

  近日,CyberMDX公司的技术研究负责人Elad Luz接受Help Net Security的主编米尔科·佐尔兹(Mirko Zorz)采访,就联网医疗设备的网络安全研究和漏洞披露的挑战回答了当前行业最为关注的问题。Elad Luz坦言,医疗卫生组织越来越多地遭到以物联网为中心的网络攻击。其研究人员发现的MDhex漏洞(CyberMDX发现的GE Medical的医疗设备中的6大安全漏洞)表明流行的患者监护设备家族中的许多产品极易受到网络破坏。由于医疗设备的供应和价值链复杂,因此始终不清楚谁应该对安全最佳实践负责。医院管理者倾向于认为设备制造商应对设备的安全性负责。对于大多数医疗卫生组织而言,网络安全仍然是一个相当陌生的领域。实际上,整个行业仍在努力解决问题,这也涉及国家监督机构和制度化的保障措施。该过程仍未完全标准化或非常精细地控制。

  作为CyberMDX的研究负责人,Elad Luz收集并分析了各种已连接的医疗卫生设备上的信息,以改进用于保护它们和/或向供应商报告其安全问题的技术。研究包括协议分析、工程软件逆向和漏洞测试等。

  医疗卫生组织越来越多地遭到以物联网为中心的网络攻击。关于此类攻击,最现实的最坏情况是什么?

  在医疗卫生行业,始终要牢记和防范的第一个也是最重要的风险始终是患者风险。在医院这样的地方,这可能会发生在不同的层次上。从安全角度来看,与输液泵、通风、麻醉、患者监护等直接与患者相连的关键护理设备显然代表了最关键的终端。损坏这些设备可能会导致严重的即时影响。

  在护理关键设备之后,另一个关键点就是应该在诊断设备(例如放射设备或实验室设备)周围划出防护线,这些设备也可能导致严重的短期负面影响。除此之外,您还必须考虑相邻设备的短期维护风险,例如连接的灭菌机和药品分配器。即使设备与医疗流程关系不大,但仍是医院运营所必需的设备,例如无线标签、访问控制、联网的洗衣机,可能会影响医护人员的反应能力,进而影响患者的健康。

  说到“ WannaCry”,确实令人气愤。这是有充分理由的,“ WannaCry”攻击多年之后仍然阴魂不散,这是一个非常令人毛骨悚然的例子,说明一旦管理设备遭到攻击就可能导致患者伤害。自2017年“WannaCry”出现以来,这种威胁在过去3年内并未消失。仅在2019年,就针对医疗卫生组织发起了一次真正令人震惊的759勒索软件攻击。其中,至少有10家医院因提供护理的能力受损而被迫拒绝患者。 实际上,即使医院不需要拒绝患者,对护理的影响也非常严重。

  当研究人员测量网络攻击对患者安全的影响时,他们发现操作连锁反应平均使医疗响应时间增加了2.7分钟。 在像心脏病发作这样的紧急医疗事件中,分钟通常是生与死之间的区别。 综上所述,该报告指出,最近遭受网络攻击的医院的心脏病死亡人数增加了3.6%。 换句话说,在其他所有条件都相同的情况下,从统计上看,每30例心脏病发作患者到一家被网络攻击的医院就诊,就会导致原本在其它医院可能幸存的患者失去生命。

  复杂的医疗设备供应和价值链最终如何影响医疗卫生行业中已连接设备的安全性?

  由于医疗设备的供应和价值链复杂,因此始终不清楚谁应该对安全最佳实践负责。医院管理者倾向于认为设备制造商应对设备的安全性负责。如果设计不当的话,就很难安全地运行。设备制造商认为,责任在于创建网络条件的医院,这些条件在很大程度上定义了攻击面。期望的差距使得保障有效的医疗设备安全性更加困难。

  重要的是应尽早考虑安全性,并将其内置到医疗技术研究、开发、采购、部署和管理过程中。这不仅意味着要考虑安全性,还要进行安全性测试,以便在潜在问题逐渐演变为现实问题之前就可以对其进行识别和解决。这同样适用于上市前和上市后的医疗设备利益相关方--制造商和医院。

  如今,市场做供需双方都严重忽视了所需的测试类型,只有9%的制造商和5%的用户表示他们至少每年测试一次医疗设备。

  医疗器械脆弱性研究的主要挑战是什么?

  从纯粹的研究角度来看,访问存在很多挑战。例如,设备采购成本可能过高,限制供应商向非医院出售的法律和政策,有时难以满足的设置所需空间的预设条件,以及安装、配置和校准的复杂性,甚至是网络相关性。

  从偏战术角度来看,更多地关注战略和更广阔的前景,这项研究能够推动改善该行业的网络安全,才会有价值。 在这一点上,有时供应商与研究人员之间的关系会面临挑战,如果这种关系成为对抗性的,那么双方将很难共同努力以真正提高安全性。当然,我们还需要考虑医院的实际情况。即使研究人员和供应商将一切都做对了,如果医院继续使用易受攻击的设备而不实施补丁或其他缓解措施,也无法保证取得积极的成果。

  因此,在三方关系(技术研究方、设备供应方、用户方)协调现实世界的积极影响方面肯定存在挑战。而且,对于我们行业而言,最坏的情况总是围绕着网络物理伤害的情况进行,而网络漏洞严重性评分系统(CVSS)却从根本上忽略了物理影响,因此该系统本身可能会在错误地陈述风险和对风险进行轻重缓急分级不适合这类场景。

  当务之急是,所有利益相关者都能够团结起来,分享清晰理解的参考框架和共同目标,以降低现实世界中的开放风险。

  这种研究需要什么?您对某些发现感到惊讶吗?

  我们的研究方法论涉及一些我无法讨论的专有技术和策略,但是我通常可以谈论的部分始于数据收集和良好的传统的探测工作。

  我们对医疗设备使用的通信协议进行分解和逆向工程分析,分析设备网络行为,爬网和抓取设备参考,挖掘MDS²文件,使用大量归纳推理,反复试验和在实验室中“四处寻找”以细粒度地跟踪并进行调查。

  当我们“破解”案件并发现以前未记录的安全问题时,我们常常会感到惊讶,例如缺少身份验证,硬编码的凭据以及其他漏洞,这些漏洞较少是由人为错误引起的,而更多是由不良或懒惰的设计所导致的。

  您对负责任的披露有何看法?如果供应商不响应漏洞报告,可以采取什么措施保护用户?

  对于大多数医疗卫生组织而言,网络安全仍然是一个相当陌生的领域。实际上,整个行业仍在努力解决问题,这也涉及国家监督机构和制度化的保障措施。该过程仍未完全标准化或非常精细地控制。可能没有正式的规则来规定谁被告知什么,对谁实施了什么控制,谁对底线决定具有影响力以及在过程的每个阶段可以向谁说什么。

  同样,控制披露时间表的因素可能有些不透明,从制度的角度来看,披露的指导逻辑并不总是很清楚。因此,如果您要与合作供应商打交道,您可能会希望国土安全部负责监督公共基础设施事项的CISA来披露。CISA的披露也需要等到针对该漏洞开发并发布补丁之后。然而,情况并非总是如此。我认为重要的是,不能只见树木不见森林,或者将漏洞管理的任务减少到静态清单上的项目上。我们需要保持使命感:使医疗保健更加安全。

  事实是,该流程通常按设计运行。并一直在进行改进。因此,我认为,总而言之,负责任的披露对于行业的长期安全健康至关重要。只有汲取了教训,并且CISA与其他机构如FDA(美国食品药品监督管理局)保持紧密的合作。

  对于您的第二个问题,我认为我们应该较少关注用户如何保护自己免受无响应的供应商的侵害,而应该关注公众,市场需求侧,研究人员和国家监督机构如何共同努力以施加压力。需要确保供应商始终对网络安全问题做出响应。

  您对想确保组织中使用的已连接设备尽可能安全的医疗CISO有何建议?

  显然,需要一种自动化工具来做到这一点。否则,我们谈论的是在医院内部(连接新资产,断开旧资产,断开连接)和外部不断变化的环境中(发布了新的威胁和漏洞),保护数千台设备,数十种不同模型和部署的安全性的不间断工作,每个设备都需要有自己的权限和规则。

  最好的选择是使用为医疗中心量身定制的解决方案,这是我们在CyberMDX所做的。我们的解决方案已经熟悉大量医疗设备及其独特的协议,并且我们的研究人员一直在努力锁定您甚至不知道的漏洞。在网络安全和临床连接方面,我们是专家。

  您如何看待物联网医疗设备的安全性在不久的将来发展?

  如物联网继续连接日常设备,我认为我们会发现,特别是在医疗领域,从安全角度来看,最基本和最依赖的设备将迅速成为我们最大的责任。我们可以在近期看到一些这种趋势的证据MDhex漏洞(CyberMDX发现的GE Medical的医疗设备中的6大安全漏洞)结果表明,流行的CARESCAPE患者监护设备家族中的许多产品极易受到网络破坏。

  问题在于,所有制造商都有望成为网络安全领域的专家,而到目前为止,他们几乎不需要考虑这些问题。对于制造商而言,这是具有挑战性的,因为种类最多、质量最高的基于代理的安全性解决方案驻留在基于Windows和Linux的设备上,并且需要经常进行更新才能使之相关。在物联网嵌入式设备中,满足这些要求通常是挑战。因此,我希望组织越来越多地依赖第三方提供的集中式无代理解决方案来监视网络流量并引入安全功能。

  天地和兴工控安全研究院翻译整理,参考来源:HelpNetSecurity https://dwz.cn/hHc6NAGf

 

  (九)澳大利亚金融组织遭受DDoS攻击并勒索赎金

  近日,澳大利亚网络安全中心ACSC提示,澳大利亚多家金融组织遭受勒索威胁,如果未支付门罗币作为赎金,攻击者将进行DDoS攻击。攻击者向金融组织发送电子邮件,并威胁说如果不支付赎金,就会进行DDoS攻击。该黑客组织自称叫做“ Silence Hacking Crew”。

  ACSC表示,根据目前的证据,攻击者并未对他们的任何威胁进行跟踪,也未观察到DDoS攻击,但建议组织为任何DDoS攻击做好准备。

  此次澳大利亚受到的威胁是从2019年10月开始的全球赎金拒绝服务RDoS运动的一部分,受害者涉及到全球数十个国家。该组织经常更改使用的名称,曾使用过Fancy Bear、Cozy Bear、Anonymous,Carbanak和Emotet。

  ACSC建议,如果遭受了DDoS攻击,请不要支付赎金,并立即联系服务提供商以采取响应措施,如:阻止有问题的IP地址;使用高速缓存非动态网站的高带宽和内容交付网络,把在线服务临时转移到基于云的托管;使用多个主要的云服务提供商来获得冗余;在事件持续时间内启用DoS攻击缓解服务。

  天地和兴工控安全研究院翻译整理,参考来源:澳大利亚网络安全中心ACSC https://dwz.cn/59kJpZAO

 

  (十)英国金融监管机构发生数据泄漏事件

  2020年2月25日,英国金融行为监管局(Financial Conduct Authority)承认发生了数据泄露事件,错误地公布了约1600名投诉监管机构的消费者的详细信息。

  FCA周二表示,其网站错误地允许访问者查看投诉者的姓名、地址和电话号码,以及他们在截至2019年7月中的18个月中所进行的投诉的详细信息。FCA在一份声明中表示:“在正常情况下,可访问信息的范围仅是提出投诉的人的名字,没有进一步的机密信息或投诉的具体信息。但是目前却能看到一些其他机密信息。”FCA补充说,该数据没有透露个人的财务细节。FCA表示,“当我们意识到了这一点就立刻从网站上删除了相关数据。我们的首要关注是确保对可能从数据中识别出来的个人进行保护和保障。”

  FCA是负责监督英国关键金融部门行为的监管机构,包括监管银行的所有数据泄露行为。FCA首席执行官安德鲁·贝利(Andrew Bailey)将于3月16日取代马克·卡尼(Mark Carney)担任英国银行行长。

  天地和兴工控安全研究院翻译整理,参考来源:securityweek https://dwz.cn/7TU5EQeP

 

  (十一)美国国防信息统计局DISA发生数据泄漏事件

  2020年2月11日,负责向美国政府及军事部队提供信息技术和通信支持的美国国防信息系统局DISA披露了数据泄漏事件。根据DISA发送给受影响员工的信息显示,DISA托管的系统受到安全漏洞的影响,该事件发生在2019年5月至2019年7月之间,泄漏了员工的个人信息,包括社会安全号,涉及约20万员工。目前尚未发现被泄漏的信息被滥用。

  DISA表示已为受影响的个人提供免费的信用监控服务,并采取其他安全措施以防止将来发生此类事件,并采用新协议以改善对个人信息对保护。

  

 

  Vectra的安全分析主管Chris Morales表示,被泄露的信息对于国防部的功能似乎并不重要(尽管对被泄露的人来说非常重要及私人),因此它可能存在一个外部数据库,没有与内部机密信息享有相同级别的控制,

  DISA是国防部的作战支持机构,拥有8,000多名军事和文职人员。该机构提供、操作并确保指挥、控制和信息共享功能以及可在全球访问的企业信息基础架构,以直接支持联合作战人员、国家级领导人以及其他各方面的联合特派团和联盟伙伴军事行动。

  天地和兴工控安全研究院翻译整理,参考来源:info security https://dwz.cn/tU9kU5w1

 

  (十二)丹麦设施服务公司ISS World遭到恶意软件攻击

  2月17日,总部位于丹麦的全球设施管理公司ISS World遭受了一次重大网络攻击,致其全球计算机系统关闭了几天,并中断了其全球员工网络的运营。ISS World在一份新闻声明中表示,在2月17日(周一)成为恶意软件攻击的目标后,ISS World切断了其全球客户站点和办公室对共享IT服务的访问。

  ISS能够在攻击中及早恢复某些系统,并表示最初没有发现任何客户数据泄露的证据。据报道,这次袭击仍然使该公司的43,000名员工无法访问电子邮件或其他在线服务。

  总部位于丹麦Soburg的ISS为70多个国家的客户提供整套设施管理服务,如清洁,餐饮和安全服务。它的全球员工网络通常不在办公室,而是在客户设施内工作,以确保日常运作高效率。

  尽管ISS World并未正式公布此次攻击细节,但一些报告表明,攻击者使用了勒索软件,并指出网络服务立即中断是网络勒索计划的典型标志。这类攻击的威胁参与者经常劫持公司的电脑系统,直到目标公司支付赎金。然而,攻击的具体细节仍然未知,ISS只会说正在调查中。

  这次攻击使人联想到大约在同一时间发生的另外两起勒索软件攻击,这两起攻击导致提供关键基础设施或服务的公司的计算机系统瘫痪,造成连锁反应,使全球业务陷入瘫痪。近期发生的一起事件发生在美国的一家天然气压缩设施,导致管道关闭两天,因为这名未透露姓名的受害者正在努力让系统从备份中恢复在线。另一起发生在2月14日,据报道,INA集团是克罗地亚最大的石油公司和最大的加油站连锁店,被勒索软件感染。根据一份已发布的报告,这次攻击感染了该公司的一些后端服务器,然后对其进行了加密。

  截至欧洲时间星期五上午,ISS World的网站恢复了正常工作,但目前尚不清楚该公司是否已将电子邮件和其他在线系统恢复到完全正常工作状态。网站主页上指向该公司关于攻击的声明的链接没有提供任何新的信息。

  达克林敦促ISS全球客户不要对ISS官员“火冒三丈”,而是要保持耐心,给公司时间“尽可能多地了解情况,尽可能准确地了解情况,然后再期望公司披露它所知道的情况,”

  天地和兴工控安全研究院翻译整理,参考来源:threatpost https://dwz.cn/cZjuFM2v

 

  (十三)过去六年受害者共向勒索软件支付1.4亿美元

  FBI通过对收集的勒索软件的比特币钱包和勒索票据的分析指出,受害者在过去六年中已向勒索软件运营商支付了超过1.4亿美元。

  在本周的RSA安全会议上,FBI特工Joel DeCapua解释了他如何使用FBI收集、私人合作伙伴共享或在VirusTotal上找到的比特币钱包和赎金记录,以计算在过去六年间支付赎金的总额。根据DeCapua的说法,在2013年1月10日年至2019年7月11日之间,大约有144,350,000美元的比特币作为赎金的一部分支付给了勒索软件运营者,这笔钱不包括与袭击有关的运营成本,仅包括赎金。

  

 

  勒索软件Ryuk共收到了6126万美元的赎金,排名第一。排名第二的是Crysis/Dharma,收到赎金2448万美元。Bitpaymer排名第三,赎金收入804万美元。

  由于FBI无法获得全部赎金票据和比特币钱包信息,并且很多公司将遭受勒索软件攻击保密以防止其影响股价,这六年来的实际付款金额可能会更大。

  DeCapua还提供了公司如何防御勒索软件的建议。

  1. RDP占网络违规的70-80%。DeCapua表示,Windows远程桌面协议(RDP)是勒索软件攻击者在部署勒索软件之前获得网络访问权限的最常用方法。RDP仍然占勒索软件参与者最初使用的70-80%。因此,如果您在组织中使用RDP,建议您使用网络级别身份验证(NLA),它要求客户端在实际连接到远程桌面服务器之前,先通过网络对自己进行身份验证。这提供了更高的安全性,因为在身份验证之前,攻击者无法访问RDP服务器,从而可以更好地防止预身份验证漏洞。还建议您为RDP帐户使用唯一且复杂的密码。

  2.注意网络钓鱼攻击。尽管在他的幻灯片中未显示,但DeCapua还提到,如果不是RDP攻击(允许不良行为者访问网络),则可能是网络钓鱼,其次是远程代码执行漏洞。所有用户都必须警惕带有附件的奇怪电子邮件,这些电子邮件要求您启用内容或启用编辑,除非与IT人员或系统管理员交谈,否则切勿这样做。网络钓鱼变得越来越难以检测,而且变得更加复杂,特别是由于行动者正在损害同事的账户并利用其来欺诈其他员工。始终警惕任何带有附件的电子邮件,如果您不能百分百确定附件是否合法,请在打开附件之前通过电话与发件人联系或与系统管理员联系。

  3.安装软件和操作系统更新。确保在发布后尽快安装操作系统和软件更新。微软每月第二个星期二发布其软件和Windows的安全更新,作为微软补丁星期二的一部分。漏洞利用程序在更新发布后不久就会发布,这非常普遍,这对于管理员和研究人员以及攻击者在攻击中使用都是有用的。因此,尽快安装这些更新很重要。对于面向公众的服务(例如RDP,Exchange等)尤其如此。

  4.使用复杂的密码。每个人都知道您需要使用复杂的密码,这些密码对于您每次登录均具有唯一性。不幸的是,许多人不注意这个建议,而只是在每个站点使用相同的密码。这意味着,如果这些站点之一被黑客入侵,则可以将您公开的凭据用于其他站点的凭据填充攻击,甚至可能用于网络登录。使用密码管理器来跟踪您的唯一密码,您将得到更大的保护。

  5.监控您的网络。DeCapua表示,您公司中的某人总是会以某种方式遭到钓鱼,黑客攻击或破坏,因此始终监视网络中的可疑活动非常重要。投资于网络监视工具和入侵检测系统,以检测网络中的可疑活动和流量。

  6.制定应急计划和备份。从技术上讲,事情只是发生了。因此,有一个应急计划和良好的备份。无论您多么努力保护计算机和网络,总会有人点击错误的东西,或者服务器以某种方式被暴露。因此,请始终确保每晚都有经过测试且可以正常使用的文件版本控制备份例程。这包括无法通过云访问的脱机备份。

  天地和兴工控安全研究院翻译整理,参考来源:BleepingComputer https://dwz.cn/LQG4VhC9

关键词:

扫二维码用手机看

天地和兴

公司总部:北京市海淀区中关村软件园8号华夏科技大厦三层

服务热线:400-810-8981 / 010-82896289

版权所有:北京天地和兴科技有限公司      京ICP备17065546号-1

扫一扫关注

天地和兴微信公众号