普普每日安全資訊一周概覽(01.23—01.29)
?數(shù)字化轉(zhuǎn)型下的網(wǎng)絡(luò)安全與彈性在疫情肆虐的背景下����,網(wǎng)絡(luò)攻擊活動日益猖獗。2020年底曝出的年度供應(yīng)鏈APT攻擊事件中,美國眾多政府機(jī)構(gòu)����、安全和IT公司淪陷�。在日益復(fù)雜的網(wǎng)絡(luò)攻擊面前,沒有任何機(jī)構(gòu)可以幸免����。增強(qiáng)網(wǎng)絡(luò)彈性,打造快速的恢復(fù)能力日益受到關(guān)注�����。網(wǎng)絡(luò)安全策略的重點(diǎn)從攻擊預(yù)防轉(zhuǎn)變?yōu)樵鰪?qiáng)網(wǎng)絡(luò)彈性:既然入侵不能避免�,考慮維持業(yè)務(wù)正常運(yùn)營,從攻擊中快速恢復(fù)過來才是更現(xiàn)實(shí)的選擇���。作為網(wǎng)絡(luò)安全行業(yè)的風(fēng)向標(biāo)�����,將于5月份舉辦的RSAC峰會宣布以“彈性(RESILIENCE)”作為今年大會的主題��。這表明網(wǎng)絡(luò)彈性已得到網(wǎng)絡(luò)安全產(chǎn)業(yè)界的共同關(guān)注�����,將對網(wǎng)絡(luò)安全創(chuàng)新乃至信息化帶來越來越重要的影響�。由于網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的多樣性��、復(fù)雜性和不可預(yù)見性����,保證網(wǎng)絡(luò)空間絕對的安全是不現(xiàn)實(shí)的。因此���,網(wǎng)絡(luò)安全的工作重點(diǎn)逐漸從阻止網(wǎng)絡(luò)事故的發(fā)生轉(zhuǎn)向緩解事故帶來的危害����,網(wǎng)絡(luò)彈性的概念就出現(xiàn)了����。NIST SP 800-160(卷2)將網(wǎng)絡(luò)彈性定義為:預(yù)防���、抵御、恢復(fù)和適應(yīng)施加于含有網(wǎng)絡(luò)資源的系統(tǒng)的不利條件�、壓力、攻擊或損害的能力���。網(wǎng)絡(luò)彈性的目的是使系統(tǒng)具有預(yù)防����、抵御網(wǎng)絡(luò)攻擊的能力�����,以及在遭受網(wǎng)絡(luò)攻擊后能夠恢復(fù)和適應(yīng)的能力�。實(shí)現(xiàn)網(wǎng)絡(luò)彈性的五個步驟:
1)了解資產(chǎn);2)了解供應(yīng)鏈���;3)保持良好安全習(xí)慣��;4)制定恢復(fù)計(jì)劃����;5)開展網(wǎng)絡(luò)攻擊演習(xí)����。
?2021年網(wǎng)絡(luò)安全預(yù)測:汽車黑客將成熱點(diǎn)網(wǎng)絡(luò)安全是難以預(yù)測的領(lǐng)域之一�����,我們能做的是洞察攻擊方法的趨勢、威脅態(tài)勢的變化�、了解新技術(shù)以及暗流涌動的“網(wǎng)絡(luò)犯罪經(jīng)濟(jì)”、提供關(guān)于未來的最佳“猜測”�。是的,雖然標(biāo)題是預(yù)測�����,但以下更多只是猜測和“拋磚”����。我們整理了業(yè)界對2021年的幾個有代表性的預(yù)測:1、勒索軟件“勇猛精進(jìn)”:根據(jù)預(yù)測��,到2021年����,企業(yè)將每11秒遭受一次勒索軟件攻擊,每年所有加密貨幣交易中的70%以上將用于非法活動�����;持續(xù)攻擊醫(yī)療基礎(chǔ)設(shè)施可能會導(dǎo)致嚴(yán)重后果,2020年��,勒索軟件攻擊已經(jīng)制造了數(shù)個命案�,2021年,更多人可能會因網(wǎng)絡(luò)攻擊死亡����。2、零日攻擊與加密貨幣:針對流行操作系統(tǒng)和應(yīng)用程序的零日攻擊仍會是一個大麻煩�。惡意行為者將故技重施,出售漏洞利用程序的犯罪團(tuán)伙將獲得高額回報(bào)��。加密貨幣仍然是一種“流通性”和隱蔽性很強(qiáng)的支付手段��。3�、汽車黑客“崛起”:以電動汽車、自動駕駛和聯(lián)網(wǎng)汽車為代表的汽車數(shù)字化時代已經(jīng)到來����。2021新年,特斯拉Model Y在中國市場10小時售出10萬臺�。但很少有人注意到,特斯拉也是安全漏洞賞金支出最高的汽車企業(yè)�����。汽車產(chǎn)業(yè)數(shù)字化和智能化面臨的最大威脅是黑客攻擊。與家用WiFi路由器和空調(diào)傳感器相比�,汽車堪稱高動量的“大規(guī)模殺傷性武器”,由數(shù)百萬聯(lián)網(wǎng)冰箱和攝像頭組成的僵尸網(wǎng)絡(luò)����,可以癱瘓半個美國的互聯(lián)網(wǎng)�,但卻無法傷及一條人命。但是大量聯(lián)網(wǎng)電動汽車一旦成為網(wǎng)絡(luò)犯罪分子的獵物����,其后果不堪設(shè)想。我們討論的將不再是物聯(lián)網(wǎng)安全或者消費(fèi)者隱私問題���,而是大規(guī)模的恐怖襲擊和創(chuàng)紀(jì)錄的勒索贖金����。2021年���,我們很可能看到針對自動駕駛系統(tǒng)的多種形式的攻擊�。4��、內(nèi)部威脅風(fēng)險(xiǎn)加大:無論是“刪庫跑路”還是接受賄賂或泄露賬戶信息,內(nèi)部威脅風(fēng)險(xiǎn)將加大���。這里所說的內(nèi)部����,還包括那些能夠訪問內(nèi)部系統(tǒng)的合作伙伴�。因?yàn)樵絹碓蕉嗟墓粽唛_始選擇從供應(yīng)鏈中的薄弱環(huán)節(jié),例如規(guī)模較小安全能力不成熟的企業(yè)入手��,進(jìn)而攻擊上游或下游企業(yè)��。5���、5G打開安全威脅的潘多拉盒子:5G網(wǎng)絡(luò)引入的新的網(wǎng)絡(luò)關(guān)鍵技術(shù)����,一定程度上帶來了新的安全威脅和風(fēng)險(xiǎn)�。就汽車安全而言,我們討論的將不再是物聯(lián)網(wǎng)安全或者消費(fèi)者隱私問題�,而是大規(guī)模的恐怖襲擊和創(chuàng)紀(jì)錄的勒索贖金。
1月17日��,某論壇流出消息:“QQ會讀取網(wǎng)頁瀏覽器的歷史記錄”。隨后����,該內(nèi)容被鏈接到知乎上提問,引發(fā)廣泛關(guān)注����。事情曝出后,騰訊QQ在其知乎官方號上做出回應(yīng):近日�����,我們收到外部反饋稱PC QQ掃描讀取瀏覽器歷史記錄����。對此���,QQ安全團(tuán)隊(duì)高度重視并展開調(diào)查����,發(fā)現(xiàn)PC QQ存在讀取瀏覽器歷史用以判斷用戶登錄安全風(fēng)險(xiǎn)的情況�,讀取的數(shù)據(jù)用于在PC QQ的本地客戶端中判斷是否惡意登錄。所有相關(guān)數(shù)據(jù)不會上傳至云端�����,不會儲存,也不會用于任何其他用途���。同時騰訊做出道歉:對本次事件�����,我們深表歉意�����,內(nèi)部正梳理歷史問題并強(qiáng)化用戶數(shù)據(jù)訪問規(guī)范����。目前��,已經(jīng)更換了檢測惡意和異常請求的技術(shù)邏輯去解決上述安全風(fēng)險(xiǎn)問題����,并發(fā)布全新的PC QQ版本。事件爆出后����,陸續(xù)也有程序員進(jìn)行復(fù)現(xiàn),發(fā)現(xiàn)QQ讀取瀏覽器歷史的行為包括:讀取瀏覽器瀏覽歷史,對讀取到的url進(jìn)行md5����,并在本地進(jìn)行比較,在md5匹配的情況下��,上傳相應(yīng)分組ID����。其實(shí),很多App都存在越權(quán)訪問的問題��,而大數(shù)據(jù)時代下的安全問題也非一朝一夕可以攻克的��。不過�,我們還是希望企業(yè)可以重視隱私保護(hù)問題,為中國創(chuàng)造大數(shù)據(jù)時代下的一片凈土��。
?Windows 10又現(xiàn)詭異Bug:使用Chrome瀏覽器訪問特定路徑立即藍(lán)屏這些年來Windows 10出現(xiàn)了很多的詭異Bug����。例如�����,就在前幾天,我們報(bào)道過一個可能會破壞硬盤驅(qū)動器的錯誤����。現(xiàn)在,一個導(dǎo)致Windows崩潰的bug的細(xì)節(jié)已經(jīng)出現(xiàn)����,但微軟似乎并不急于修復(fù)它。這個錯誤是由之前發(fā)現(xiàn)NTFS缺陷的同一位安全研究員Jonas Lykkegaard發(fā)現(xiàn)的����。他發(fā)現(xiàn)通過訪問Chrome瀏覽器中的某個路徑,Windows10會以BSoD(藍(lán)屏死機(jī))的方式崩潰�����。盡管Lykkegaard早在幾個月前就公開了該漏洞的細(xì)節(jié)����,但微軟仍未拿出修復(fù)方案。BSoD漏洞非常容易執(zhí)行�����,目前還不知道該漏洞的全部后果�����。Lykkegaard發(fā)現(xiàn),使用Chrome訪問路徑\.\globalroot\device\condrv\kernelconnect會導(dǎo)致Windows 10中的BSoD崩潰��。BleepingComputer進(jìn)行的測試顯示�,從Windows 10版本1709一直到20H2的每一個版本的Windows 10中都可以發(fā)現(xiàn)這個bug,很大可能也影響舊版本��。雖然像這樣簡單的崩潰可能看起來相當(dāng)無害����,但它是一些可以被攻擊者利用以掩蓋其他活動,或阻止受害者使用他們的計(jì)算機(jī)���。這個錯誤甚至可以通過簡單地給受害者發(fā)送一個指向問題路徑的快捷方式文件來觸發(fā)�����。在給BleepingComputer的一份聲明中����,微軟表示�����。'微軟有客戶承諾調(diào)查報(bào)告的安全問題��,我們將盡快為受影響的設(shè)備提供更新'�。盡管有這樣的承諾,但沒有跡象表明相當(dāng)何時可能提供修復(fù)�����。
生命中只有三件事無可避免:死亡����、稅收和云安全漏洞。如今整個世界都已經(jīng)開始往云端遷移�,但是云安全(包括公有云和混合云)的安全漏洞卻依然如牛皮癬廣告般頑固。事實(shí)上�����,云安全問題之所以持續(xù)發(fā)作���,自有其難言之隱��。在高度動態(tài)的云環(huán)境中管理風(fēng)險(xiǎn)和漏洞并不容易����。而企業(yè)加速遷移(尤其是疫情期間)到公共云,建立數(shù)字化競爭優(yōu)勢的迫切需求進(jìn)一步放大了這種風(fēng)險(xiǎn)�。更加糟糕的是,很多安全團(tuán)隊(duì)使用的實(shí)踐方法�����、政策和工具�����,尤其是漏洞管理�,通常是本地計(jì)算占主導(dǎo)地位的時代的產(chǎn)物,已經(jīng)無法適應(yīng)“云優(yōu)先”和“云原生”環(huán)境����。最根本的問題在于云環(huán)境中傳統(tǒng)漏洞管理方法的局限性是顯而易見的。云環(huán)境通常是高度動態(tài)且短暫的�,容器的平均壽命僅為數(shù)小時。通過諸如漏洞掃描之類的常規(guī)工具來保護(hù)容器是困難的����,有時甚至是不可能的。由于存在周期太短���,掃描程序通常無法識別容器�。更復(fù)雜的是�,即便掃描工具能夠識別正在運(yùn)行的容器,通常也無法提供任何評估方法��。如果沒有IP地址或SSG登錄�����,則無法運(yùn)行憑據(jù)掃描�����。如果我們想降低重大云安全事件的數(shù)量和損失��,就必須創(chuàng)建一個能夠真實(shí)反映組織所面臨的實(shí)際安全挑戰(zhàn)的漏洞管理流程�。選擇適當(dāng)?shù)墓ぞ咧皇菍?shí)現(xiàn)這一目標(biāo)的重要步驟之一。
網(wǎng)絡(luò)安全專家稱�����,SolarWinds Orion網(wǎng)絡(luò)管理平臺遭受的攻擊是針對美國政府網(wǎng)絡(luò)和很多大型公司數(shù)據(jù)基礎(chǔ)架構(gòu)的最嚴(yán)重黑客攻擊之一���。該攻擊于2020年12月發(fā)現(xiàn)�����,該供應(yīng)鏈攻擊影響著多個美國聯(lián)邦政府機(jī)構(gòu)��,包括商務(wù)部���、能源部和國土安全部門�����。此次攻擊的消息迫使思科和微軟等大型上市公司加強(qiáng)網(wǎng)絡(luò)分析活動�,以便及時識別和緩解異常情況����,避免中斷運(yùn)營。在此次攻擊曝光后�����,SolarWinds宣布對其Orion平臺進(jìn)行更新��,攻擊該平臺等惡意軟件名為Supernova�。根據(jù)SolarWinds的調(diào)查,攻擊者通過利用Orion平臺中的漏洞來部署惡意軟件��,大約有18,000個客戶受此攻擊影響。為了應(yīng)對SolarWinds的黑客攻擊�,這些公司需要部署Orion更新,并仔細(xì)檢查其網(wǎng)絡(luò)的各個方面��,以識別惡意軟件在何處啟動�。調(diào)查人員在研究該惡意軟件攻擊時���,發(fā)現(xiàn)稱為Sunburst的后門程序��,該后門程序使黑客能夠接收有關(guān)受感染計(jì)算機(jī)的報(bào)告�。然后����,黑客利用這些數(shù)據(jù)來確定要進(jìn)一步利用的系統(tǒng)。企業(yè)必須采取措施�����,以確保網(wǎng)絡(luò)外圍安全��、信息系統(tǒng)和數(shù)據(jù)安全���,并且�����,企業(yè)應(yīng)將網(wǎng)絡(luò)保護(hù)和網(wǎng)絡(luò)安全視為關(guān)鍵任務(wù)����。
?Sudo漏洞影響全球Unix/Linux系統(tǒng)近日,Qualys研究小組發(fā)現(xiàn)了sudo中一個隱藏了十年的堆溢出漏洞(CVE-2021-3156��,命名:Baron Samedit)���,包括Linux在內(nèi)的幾乎所有Unix主流操作系統(tǒng)都存在該漏洞���。通過利用此漏洞,任何沒有特權(quán)的用戶都可以使用默認(rèn)的sudo配置在易受攻擊的主機(jī)上獲得root特權(quán)(無需密碼)���。Sudo是一個功能強(qiáng)大的實(shí)用程序��,大多數(shù)(如果不是全部)基于Unix和Linux的操作系統(tǒng)都包含Sudo��。它允許用戶使用其他用戶的root權(quán)限運(yùn)行程序����。Qualys發(fā)現(xiàn)的這個sudo提權(quán)漏洞已經(jīng)隱藏了將近十年�����,它于2011年7月在一次提交中被引入(提交8255ed69),在默認(rèn)配置下會影響從1.8.2到1.8.31p2的所有舊版本�����,以及從1.9.0到1.9.5p1的所有穩(wěn)定版本��。通過利用該漏洞����,任何沒有特權(quán)的(本地)用戶都可以在易受攻擊的主機(jī)上獲得root特權(quán)�。Qualys安全研究人員已經(jīng)能夠獨(dú)立驗(yàn)證漏洞并開發(fā)多種利用形式,并在Ubuntu 20.04(Sudo 1.8.31)���、Debian 10(Sudo 1.8.27)和Fedora 33(Sudo 1.9.2)上獲得完整的root用戶特權(quán)�。其他操作系統(tǒng)和發(fā)行版也可能會被利用�����。該sudo漏洞于2011年的一次提交引入��,已達(dá)10年之久�,考慮到sudo的普遍性以及該漏洞容易被利用,該漏洞應(yīng)該屬于高危評級的,建議用戶盡快加載補(bǔ)丁����。