普普安全資訊一周概覽(0806-0812)

作者:

時間:
2022-08-12
01

網(wǎng)絡(luò)安全:公用事業(yè)公司絕不能忽視的主題

首先,俄烏沖突將重新繪制了地緣政治版圖。在地緣政治上,本世紀(jì)的緊張局勢并未加劇。在烏克蘭,網(wǎng)絡(luò)攻擊與導(dǎo)彈襲擊、步兵推進(jìn)和炮火同時使用,并與它們分開使用。據(jù)稱,西方國家因向烏克蘭提供軍事和財政援助而成為俄羅斯的目標(biāo)。盡管可以理解,動能戰(zhàn)一直是今年的重點,但網(wǎng)絡(luò)攻擊無疑在入侵之后變得更具威脅性。?

首先,此次入侵重將新繪制了地緣政治版圖。地緣政治方面,本世紀(jì)的緊張局勢從未如此之高。在烏克蘭,除了導(dǎo)彈襲擊、步兵推進(jìn)和炮火襲擊外,甚至各方都還使用了網(wǎng)絡(luò)攻擊。由于西方國家向烏克蘭提供軍事和經(jīng)濟(jì)援助,可能成為攻擊目標(biāo)。雖然可以理解的是,動態(tài)性戰(zhàn)爭是今年的焦點,但網(wǎng)絡(luò)攻擊無疑在入侵之后成為了更大的威脅。

其次,我們看到了能源電力公司的重要性。隨著能源價格的上漲(主要是由石油和天然氣價格上漲推動),我們看到全球通貨膨脹嚴(yán)重,供應(yīng)鏈中斷,甚至行業(yè)衰退。然而,最糟糕的還沒有到來。

普普點評:

如今,在一個日益緊張和地緣政治復(fù)雜的世界中,網(wǎng)絡(luò)安全對于電力公司來說至關(guān)重要。如果他們之前沒有認(rèn)真對待,之前美國電力公司被攻擊以及當(dāng)前的俄烏沖突所引發(fā)的相關(guān)事件,已經(jīng)清楚地表明了為什么網(wǎng)絡(luò)安全對電力公司至關(guān)重要。


02

網(wǎng)絡(luò)安全漏洞管理的探索與實踐

對于如何化解風(fēng)險,習(xí)近平總書記在《關(guān)于〈中共中央關(guān)于制定國民經(jīng)濟(jì)和社會發(fā)展第十四個五年規(guī)劃和二〇三五年遠(yuǎn)景目標(biāo)的建議〉的說明》中指出,“我們必須堅持統(tǒng)籌發(fā)展和安全,增強(qiáng)機(jī)遇意識和風(fēng)險意識,樹立底線思維,把困難估計得更充分一些,把風(fēng)險思考得更深入一些,注重堵漏洞、強(qiáng)弱項,下好先手棋、打好主動仗,有效防范化解各類風(fēng)險挑戰(zhàn),確保社會主義現(xiàn)代化事業(yè)順利推進(jìn)。

對漏洞而言,有效的漏洞管理可以及早地發(fā)現(xiàn)漏洞并遏制漏洞利用事件的發(fā)生,能顯著降低企業(yè)面臨的風(fēng)險。近年來,國家網(wǎng)絡(luò)空間法律法規(guī)密集出臺,2021 年,《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》《網(wǎng)絡(luò)產(chǎn)品安全漏洞收集平臺備案管理辦法(征求意見稿)》相繼發(fā)布,對漏洞管理工作進(jìn)行了明確的規(guī)范。

普普點評:

明確各級網(wǎng)絡(luò)安全責(zé)任人。按照“誰主管誰負(fù)責(zé)、誰建設(shè)誰負(fù)責(zé)、誰運(yùn)行誰負(fù)責(zé)、誰使用誰負(fù)責(zé)、管業(yè)務(wù)必須管安全”的原則,設(shè)置專門安全管理機(jī)構(gòu)和安全管理人,明確各級單位的網(wǎng)絡(luò)安全主要負(fù)責(zé)人和直接責(zé)任人,對網(wǎng)絡(luò)安全關(guān)鍵崗位建立人員清單,定期對專門安全管理機(jī)構(gòu)負(fù)責(zé)人和關(guān)鍵崗位人員進(jìn)行安全背景審查。

03

測評機(jī)構(gòu)業(yè)務(wù)范圍和工作要求及風(fēng)險控制

從事等級測評工作的機(jī)構(gòu)及其人員應(yīng)當(dāng)遵守國家有關(guān)法律法規(guī),依據(jù)國家有關(guān)技術(shù)標(biāo)準(zhǔn)和《TRIMPS-SC13-001:2021 網(wǎng)絡(luò)安全等級測評與檢測評估機(jī)構(gòu)服務(wù)認(rèn)證實施規(guī)則》的相關(guān)規(guī)定,開展客觀、公正、安全的測評服務(wù),不得從事危害國家安全、社會秩序、公共利益及被測單位利益的活動。

測評機(jī)構(gòu)應(yīng)當(dāng)按照公安部統(tǒng)一制定的《網(wǎng)絡(luò)安全等級測評報告模版》規(guī)定的格式出具測評報告,根據(jù)網(wǎng)絡(luò)規(guī)模和所投入的成本合理收取測評服務(wù)費(fèi)用。

測評機(jī)構(gòu)應(yīng)嚴(yán)格按照網(wǎng)絡(luò)安全等級保護(hù)標(biāo)準(zhǔn)規(guī)范獨立開展等級測評工作,依據(jù)《網(wǎng)絡(luò)安全等級測評報告模版》出具網(wǎng)絡(luò)安全等級測評報告,確保測評質(zhì)量,全面、客觀地反映被測網(wǎng)絡(luò)的安全保護(hù)狀況。

測評機(jī)構(gòu)開展測評項目不受地域、行業(yè)限制。等級測評機(jī)構(gòu)應(yīng)在測評項目合同簽訂及項目完成后5個工作日內(nèi),向受理網(wǎng)絡(luò)備案的公安機(jī)關(guān)報告等級測評項目的有關(guān)情況。

普普點評:

測評項目實施過程中,等級測評機(jī)構(gòu)應(yīng)接受等保辦的監(jiān)督、檢查和指導(dǎo)。測評項目完成后,等級測評機(jī)構(gòu)應(yīng)請被測評網(wǎng)絡(luò)運(yùn)營者對測評服務(wù)情況進(jìn)行評價,評價情況由被測單位反饋至等保辦。等級測評機(jī)構(gòu)應(yīng)定期向等保辦報送測評工作開展情況。根據(jù)測評實踐,于每年年底編制并報送網(wǎng)絡(luò)安全狀況分析報告。

04

過去一年里,游戲行業(yè)的網(wǎng)絡(luò)攻擊爆增167%

根據(jù)網(wǎng)絡(luò)安全公司Akamai的一份最新的報告,過去一年,針對游戲行業(yè)的網(wǎng)絡(luò)攻擊增加了 167%。Akamai本次名為Gaming Respawned針對游戲行業(yè)的研究發(fā)現(xiàn)美國是攻擊者的主要目標(biāo),其次是瑞士、印度、日本、英國等歐洲和亞洲國家。

根據(jù)Akamai的數(shù)據(jù),游戲行業(yè)是全球遭受分布式拒絕服務(wù)(DDoS)攻擊最多的行業(yè),占全球所有DDoS攻擊的35%,對此,Akamai 媒體和娛樂行業(yè)高級策略師 Jonathan Singer說,“隨著游戲活動的增加和演變,通過網(wǎng)絡(luò)攻擊破壞游戲活動的價值也在增加。網(wǎng)絡(luò)犯罪分子通常會破壞實時服務(wù)并使用憑證來竊取游戲資產(chǎn)。此外,隨著該行業(yè)向云游戲領(lǐng)域的擴(kuò)張,新的威脅面已經(jīng)為攻擊者打開了大門,新玩家數(shù)量的增加更是成為了威脅行為者的主要目標(biāo)。”

普普點評:

云游戲雖然在持續(xù)增長,但游戲行業(yè)的整體攻擊面也在不斷增長,游戲行業(yè)其他有利可圖方面的增長將是吸引威脅行為者發(fā)起攻擊的誘因之一。例如,微交易對網(wǎng)絡(luò)犯罪分子具有巨大吸引力,他們可以利用游戲玩家的消費(fèi)能力和虛擬資產(chǎn)的可替代性?!熬W(wǎng)絡(luò)犯罪分子清楚游戲的價值,他們將繼續(xù)尋找獲取它或利用虛擬資金流動的方法?!?/span>

05

都說區(qū)塊鏈“安全”,為什么 DeFi 黑客如此猖獗?

區(qū)塊鏈?zhǔn)谴鎯Σ煌瑪?shù)據(jù)類型的分布式共享賬本。例如,我們可以使用區(qū)塊鏈來記錄非同質(zhì)代幣 (NFT) 的所有權(quán),當(dāng)然還有加密貨幣交易。

盡管傳統(tǒng)數(shù)據(jù)庫可以輕松存儲相同的信息,但區(qū)塊鏈的獨特之處在于沒有集中的權(quán)限。它永遠(yuǎn)不會由中心化管理員在一個位置進(jìn)行維護(hù),例如 Excel 電子表格,一個人可以在沒有監(jiān)督的情況下進(jìn)行更改。

大多數(shù)節(jié)點必須在將新數(shù)據(jù)塊添加到分類帳之前驗證新數(shù)據(jù)的合法性。因此,理論上,任何人都幾乎不可能進(jìn)行欺詐交易。這是因為威脅者必須侵入每個節(jié)點并更改分類帳的每個副本以避免被發(fā)現(xiàn)。

雖然這不一定是不可能的,但這對黑客來說是一個巨大的挑戰(zhàn)。此外,當(dāng)您將一層權(quán)益證明 (PoS) 或工作量證明 (PoW) 交易驗證方法添加到組合中時,欺騙系統(tǒng)變得極其困難。

普普點評:

盡管安全事件過去發(fā)生過,而且將來肯定會發(fā)生,但DeFi團(tuán)隊都應(yīng)該化被動為主動,永遠(yuǎn)將智能合約的安全性放在第一位,讓自己遠(yuǎn)離頭條新聞。唯有不斷進(jìn)步的安全性,才能穩(wěn)固DeFi在行業(yè)中的強(qiáng)大地位。

06

從近期村鎮(zhèn)銀行事件看村鎮(zhèn)銀行的金融科技安全

2022年7月10日許昌市公安局的警情通報:“...2011年以來,以犯罪嫌疑人呂奕為首的犯罪團(tuán)伙通過河南新財富集團(tuán)等公司,以關(guān)聯(lián)持股、交叉持股、增資擴(kuò)股、操控銀行高管等手段,實際控制禹州新民生等幾家村鎮(zhèn)銀行,利用第三方互聯(lián)網(wǎng)金融平臺和該犯罪團(tuán)伙設(shè)立的君正智達(dá)科技有限公司開發(fā)的自營平臺及一批資金掮客進(jìn)行攬儲和推銷金融產(chǎn)品,以虛構(gòu)貸款等方式非法轉(zhuǎn)移資金,專門設(shè)立宸鈺信息技術(shù)有限公司刪改數(shù)據(jù)、屏蔽瞞報...”

2022年7月18日據(jù)中國銀行保險報報道,公安機(jī)關(guān)已初步查明河南安徽5家村鎮(zhèn)銀行案件主要事實,河南新財富集團(tuán)操縱河南、安徽5家村鎮(zhèn)銀行,通過內(nèi)外勾結(jié)、利用第三方平臺以及資金掮客等方式非法吸收并占有公眾資金,篡改原始業(yè)務(wù)數(shù)據(jù),掩蓋非法行為。該案件中村鎮(zhèn)銀行通過三方平臺以及微信小程序,大量異地攬儲,資金高達(dá)400億元,其中線上攬儲約300億,而線下儲戶資金有100億。

普普點評:

此次事件不僅暴露了銀行內(nèi)部管理及外部監(jiān)管等方面的巨大漏洞,而且金融科技管理方面的缺陷也對此事件發(fā)展起到了推波助瀾的作用。本文從村鎮(zhèn)銀行的金融科技安全的角度來看村鎮(zhèn)銀行如何來進(jìn)行金融科技風(fēng)險管理。

07

如何應(yīng)對數(shù)字資產(chǎn)海嘯

互聯(lián)網(wǎng)協(xié)議(IP)地址及其背后的設(shè)備、網(wǎng)絡(luò)服務(wù)和云資產(chǎn)是現(xiàn)代企業(yè)的生命線。但公司經(jīng)常積累數(shù)千個數(shù)字資產(chǎn),無序的狀態(tài)給IT和安全團(tuán)隊造成了無法管理的混亂。如果不仔細(xì)地加以檢查,一個被遺忘、遺棄或未知的數(shù)字資產(chǎn)對于公司來說就是網(wǎng)絡(luò)安全定時炸彈。

這當(dāng)中存在一種可能:它們是您組織基礎(chǔ)設(shè)施中增長最快的部分。有效的數(shù)字資產(chǎn)管理——包括IP地址可見性——是您阻止攻擊者對網(wǎng)絡(luò)資產(chǎn)發(fā)動攻擊的最基礎(chǔ)也是最有效的途徑。

在過去的二十年里,安全團(tuán)隊一直專注于解決內(nèi)部資產(chǎn)風(fēng)險。面向公眾的數(shù)字資產(chǎn)和IP地址是“非軍事化區(qū)”的一部分,“非軍事化區(qū)”是一個防御的強(qiáng)化但非常有限的周邊地區(qū)。但在全球大流行和隨之而來的居家辦公趨勢的推動下,數(shù)字化轉(zhuǎn)型隨之而來,網(wǎng)絡(luò)邊界變得不再清晰,都需要讓位于當(dāng)今一切托管服務(wù)的現(xiàn)代架構(gòu)。

普普點評:

數(shù)據(jù)安全是頭等大事,我認(rèn)為,保護(hù)IP地址和連接資產(chǎn)應(yīng)該采取更現(xiàn)代的管理方法,這樣就可以在問題出現(xiàn)之前解決這些問題。在當(dāng)今復(fù)雜的企業(yè)中,系統(tǒng)管理員通常只能看到他們負(fù)責(zé)管理的設(shè)備子集。如果資產(chǎn)不在您的雷達(dá)屏幕上,您將無法真正地降低風(fēng)險。