FreeBuf 2018年企业安全月报(一月刊) – 作者:Sphinx

去年年底,FreeBuf研究院发布了《2017企业安全威胁统一应对指南》,帮助企业了解 2017 年安全行业的威胁动态和企业能够实际采取的应对方案,有助于帮助企业做出许多重要决策。

自2018年1月起,我们将持续为大家提供关于企业安全方面的资讯。资讯以月报形式发出,帮助企业在防范安全漏洞的同时掌握安全市场的最新动态,让企业能够及时地做出应对措施。

security_statistics.jpg

安全漏洞预警

15160953075562.jpg

2018年1月4日,Jann Horn等安全研究者披露了”Meltdown”(CVE-2017-5754)和”Spectre”(CVE-2017-5753 & CVE-2017-5715)两组CPU特性漏洞。

漏洞会造成CPU运作机制上的信息泄露,低权级的攻击者可以通过漏洞来远程泄露用户信息或本地泄露更高权级的内存信息。更多信息可以查看“芯片底层漏洞专题”。

实际攻击场景中,攻击者在一定条件下可以做到:

泄露出本地操作系统底层运作信息,秘钥信息等;

通过获取泄露的信息,可以绕过内核(Kernel), 虚拟机超级管理器(HyperVisor)的隔离防护;

云服务中,可能可以泄露到其它租户隐私信息;

通过浏览器泄露受害者的帐号,密码,内容,邮箱,cookie等用户隐私信息;

截至目前相关的平台,厂商,软件提供商提供了解决方案应对该漏洞。

[更多详情]

【企业安全威胁播报】

拉美地区金融机构遭受新版本 KillDisk 恶意软件的攻击

趋势科技报道,KillDisk 磁盘擦除恶意软件出现新版本,拉丁美洲金融公司遭受攻击。

KillDisk 最初主要是主要感染后期部署的磁盘擦除恶意软件,可用于破坏入侵证据并隐藏攻击者踪迹。由俄罗斯的网络间谍组织 Telebots 开发和使用。这个团队创造了袭击美国工业设备的 Sandworm 恶意软件,用于攻击乌克兰电网的 BlackEnergy 恶意软件,以及 2017 年 6 月袭击许多公司的 NotPetya 勒索软件。

KillDisk.png

2016 年底,KillDisk 伪装成勒索软件攻击乌克兰银行,其 Linux 变种也在不久之后被发现并用于相同目标。而近日,新版本的  KillDisk 出现,保留了其磁盘擦除特性,并依然伪装成勒索软件,针对拉丁美洲的金融机构发起攻击。一旦 KillDisk 感染计算机,就会自动加载进内存,从磁盘中删除文件并重命名进行伪装。随后,它会重写每个储存设备 MBR 中前 20 个部分,并重写每个固定或可移动内存设备中每个文件的前 2800 个字节,最后开始 15 分钟计时,删除多个重要的操作系统相关进程。系统重启后,如果不修复受损的 MBR 记录,用户就无法使用计算机。

[来源:bleepingcomputer]

美国一医院向黑客支付 5.5 万美元赎金

1 月 11 日星期四,有黑客入侵了美国印第安纳州当地的一家医院网络(Hancock Health),使用 SamSam 勒索软件加密文件,并将相关文件重命名为“I’m sorry”。随后,医院的运营受到影响。 IT 人员介入并暂停了整个网络,要求员工关闭所有计算机,以避免勒索软件传播到其他计算机。在此情况下,医护人员利用笔和纸来代替电脑继续工作,尽力照顾患者。

而在医院方面,尽管文件都有备份,他们还是选择支付了黑客要求的 4 比特币赎金(支付时价值约为 5.5 万美元)。医院表示,从备份中恢复文件很麻烦,因为要把所有的系统投入运行需要几天甚至几周的时间。 因此,他们决定支付赎金,以便尽快恢复正常运营。

医院.jpg

本次攻击中使用的 SamSam 勒索软件在两年前就已经出现过。主要通过开放的 RDP 端口传播。不过医院表示,此次被入侵并非是由于员工偶然点击恶意邮件造成的。具体感染原因目前尚不清楚。

[来源:bleepingcomputer]

LazarusAPT组织攻击英国加密货币企业

Lazarus Group的攻击日趋以经济利益为目的,似乎对当前价格疯涨的加密货币表现出了极大兴趣。我们在大量的多级攻击中发现了感染相关组织和个人的,以加密货币攻击为目的的各种复杂控制后门和恶意软件,除此之外,攻击者为实现比特币和其它电子货币窃取,还使用Gh0st远控木马来收集受害者加密货币钱包和交易数据。

众所周知,Lazarus Group曾成功对几家知名电子货币公司和交易所实施了数据窃取,根据这些攻击行为,相关执法机构判断Lazarus Group目前估计积累了价值近1亿美元的加密货币资产。在2016年底和2017年初,Lazarus Group针对几家银行和金融机构的入侵中,其第一阶段下载植入恶意软件名为Ratankba,它被攻击者主要用于前期渗透侦察,趋势科技公司甚至把它形容为“地形测绘工具”。而在该报告中,我们详细分析了一种基于PowerShell,与Ratankba相似且名为PowerRatankba的新型恶意植入软件。我们认为,基于Ratankba在今年早些时候被公开曝光披露,而PowerRatankba很可能会成为Lazarus Group继续以经济利益为攻击目标的升级迭代利用工具。

揭秘朝鲜黑客组织 Lazarus Group 对加密货币的窃取手段

[详情请见详细报告]

美国服饰零售商 Forever 21 遭入侵,用户支付卡信息泄露

Forever 21 总部位于洛杉矶,在 57 个国家开设了 815 家门店,虽然在通告中并未指明具体哪些门店的用户信息遭泄露,但 Forever 21 表示,在 2017 年 3 月到 10 月之间消费的用户都有可能受影响。

Forever 21.png

此前,Forever 21 曾生成自己在 2015 年就采取了加密措施并使用基于 token 的认证系统来保护 POS 终端的交易数据。但此次入侵事件表明,这些手段并未奏效,黑客还是通过未授权访问获取到了用户的支付卡信息。目前相关调查正在进行,受影响的门店、用户数目都都不明确。Forever 21 建议所有用户密切关注支付卡动态,一旦发生未授权的交易,就立刻联系发卡银行处理。

[来源:TheHackerNews ]

PayPal子公司TIO Networks被曝数据泄露,约160万名用户受害

Tio.png

经证实,PayPal的一家加拿大子公司TIO Networks曝出严重安全漏洞,攻击者入侵了存储重要用户信息的服务器,受影响人数约160万人。

TIO Networks是一家基于云的多渠道支付和会计管理提供商,为北美大型电信、无线网络、有线电视以及公共事业发行商提供服务。去年7月份,Paypal为进一步扩大业务范围,斥资2.33亿美元收购TIO Networks。

受数据泄露事故影响,TIO Networks已于11月10日暂停运营,着手调查泄露事件。该公司尚未透露哪些数据遭到泄露,但根据其支付系统的特性推断,攻击者获取用户个人信息以及财务信息并非难事。

事故发生后,其母公司PayPal当即声明,由于TIO Networks系统独立运行,因此PayPal用户账户并未受到影响。

据悉,TIO Networks公司已公开表达了歉意,并表示会加强TIO系统安全性、保护用户信息安全。在事故调查的同时,PayPal已经与消费者信用报告机构展开合作,为客户免费提供信用监测成员资格。

[Freebuf]

行业观点

企业对于漏洞报告持更开放的态度

目前为止,全球设置漏洞奖励计划的公司越来越多,企业逐渐开始重视安全。但是,按照福布斯 2000 的排行榜,仍有 94% 的企业尚未设置公开的漏洞披露政策。结果导致每 4 个黑客中就有 1 个因为找不到企业通报渠道而无法将自己发现的漏洞上报。

企业对漏洞报告持更开放的态度.png

企业对于漏洞报告的态度

调查结果显示,2017 年,有 38.4% 的公司对于漏洞报告的态度一定程度上更加开放,而 33.8% 的开放程度更高,16.5% 的态度与之前一样,只有不到 10% 的公司比以前更保守。

这项调查来源于HackerOne,调查还发现, 虽然有 37% 的白帽子表示自己是业余爱好者,但大约有 12% 的白帽子每年能赚取高达 2 万美元(甚至更高)的奖励金。其中,超过 3% 的白帽子每年漏洞奖金收入超过 10 万美元;1.1% 每年收入超过 35 万美元。四分之一的黑客年收入的 50% 来自漏洞奖金,而 13.7% 的白帽子表示漏洞奖金占他们全年收入的 100% 。

[Freebuf]

腾讯云发布《数据安全白皮书》,建设云端数据安全保护标准

腾讯云正式发布《腾讯云数据安全白皮书》(以下简称白皮书),郑重作出腾讯云绝不主动触碰客户数据的承诺,还首次揭晓了腾讯云践行云端数据保护承诺的六大基本原则和三大举措,为用户安心用云注入强心剂。

白皮书开篇便郑重承诺,在腾讯云,客户对其托管于云端的数据拥有完全的控制权,腾讯云绝不主动触碰客户数据。

图片2.png

客户不但可以如同传统数据中心一样对数据采取访问控制、加密存储等数据保护措施,而且可以充分利用腾讯云提供的多层次全方位的数据安全保障,为云端数据保驾护航。

在此数据保护承诺的基础上,腾讯云将数据安全的理念融入产品生命周期的各个环节,通过有效的隔离手段,保证同一资源池内客户数据互不可见,从技术上保证租户不能访问、获取或篡改其他租户的数据,以打造用户更加信赖的云服务。

[FreeBuf]

2018年,供应商预计将面临新的网络安全威胁

严峻的事实是,全球58%的企业承认在过去的12个月里至少遇到过一次数据泄露事件,而其中一半的企业表示,它们至少遭遇了一次内部事件。超过三分之一的企业至少遭受了一次涉及商业伙伴或第三方供应商的攻击。

而关键在于,根据Forrester Research的2017年全球安全调查报告显示,已知的软件漏洞为41%的外部攻击打开了大门。

下载.jpg

这意味着什么?举个例子,美国国家安全局的“永恒之蓝”漏洞发生之后的一系列事件,就是针对微软这几十年来,在每个Windows操作系统上默认启用的服务器消息块(SMBv1)服务。尽管微软采取了紧急补救措施,但这个漏洞仍然被大规模用于WannaCry和NotPetya勒索软件攻击。在WannaCry爆发后的24小时内,超过150个国家的23万多台电脑被感染,总损失估计高达40亿美元。大约一个月后,NotPetya病毒又造成了约3亿美元的损失。

Forrester高级研究员Josh Zelonis表示,对于首席信息安全官员和网络安全专业人士来说,真正令人感到震惊的是,这些攻击是在微软发布修复漏洞的60到90天之后进行的。这就是为什么他将无效漏洞管理列为2018年数据安全面临的最严重威胁。

[FreeBuf]

构建网络安全共同体 腾讯全面深化企业社会责任

1月14日,腾讯在北京香格里拉酒店召开主题为“开放共享 携手共治”的2018年守护者计划大会,公安部副部长侍俊、最高人民法院审判委员会副部级专职委员胡云腾、最高人民检察院检察委员会副部级专职委员陈国庆、工业和信息化部总工程师张峰、中国人民银行科技司司长李伟、腾讯公司董事会主席兼首席执行官马化腾、中国银联CFO陈雷、顺丰控股股份有限公司副总裁李忠斌、中国联通集团信息安全部副总经理杨永平等领导出席。

腾讯的“守护者计划”最早是腾讯的一个反欺诈公益平台,但发展到现在已经逐步成为一种开放式的协同打击犯罪的公共平台。2018会议上由腾讯提出的“守护者计划”号召社会各界打击网络黑产,需要从“社会共治”模式走入构建“网络安全共同体”的倡议,携手各方才能更加全面地守护网络安全。而加强技术预防与打击,采取联合治理模式,成为与会五大部委、腾讯及相关企业之间的共识,也成为构建“网络安全共同体”的基础。

屏幕快照 2018-01-14 下午4.16.37.png

腾讯公司董事会主席兼首席执行官马化腾

马化腾在会议开场致辞中表示,

网络安全共同体是互联网时代从政府到企业以及民众的共同诉求,将进一步推动中国网络安全治理,也体现了腾讯的企业社会责任。我们期望‘守护者计划’能够探索完善“共治模式”,未来成为全球网络安全治理的一个‘中国方案’。

[Freebuf]

行业动态

360企业安全获批大数据安全人才培养国家级支撑单位

sanliuling.jpg

360企业安全集团成员单位“网神信息技术(北京)股份有限公司”通过专家评审,成为获得“中国网络空间安全协会大数据安全人才培养基地AA级(国家级)合作支撑单位”资格。

本次“基地合作支撑单位”评选工作由中国网络空间安全协会大数据安全人才培养基地面向全国征集。2017年11月1日,秘书处发布了《大数据安全人才培养基地面向全国征集2018年度合作支撑单位的通知》。12月中旬,基地秘书处对参选单位提交的申请材料进行了初评,共17家单位通过初审。2018年1月25日,基地秘书处召开了专家评审会,11位来自国内顶尖高校、科研院所以及网络空间安全协会的安全人才培养领域专家组成了专家评审委员会,对通过初审的17家单位进行了专家评审。经过申报、初审、现场答辩和最终评议四个环节,360企业安全集团正式成为“中国网络空间安全协会大数据安全人才培养基地国家级(AA级)合作支撑单位”。

[中新网]

中国互联网协会成立个人信息保护工作委员会

1478760175346891_480_320.jpg

中国互联网协会22日成立个人信息保护工作委员会,近期将开展法律法规研究、个人信息保护领域公众监督、个人信息保护领域行业自律、相关课题研究等工作,并为政府部门执法及行业监管提供支撑。

在22日成立大会上,审议通过了《中国互联网协会个人信息保护工作委员会工作规则》和《中国互联网协会个人信息保护工作委员会第一届委员会领导机构选举办法》,选举产生了工作委员会主任委员1名、副主任委员13名、秘书长1名、副秘书长3名。中国社会科学院法学所研究员周汉华当选主任委员。来自政府相关部门、高校、科研机关、媒体、电信和互联网企业等相关机构、组织的100余位代表出席了大会。

[中新网]

谷歌母公司Alphabet宣布成立新的独立信息安全公司Chronicle

15168716633493.jpg

Google母公司Alphabet宣布成立一家独立公司专门从事网络安全。这家新公司名为Chronicle,之前出现在Google的X部门中,建立Chronicle的初衷是要通过分析大量的数据来保护用户数据。

“X部门在过去两年一直是我们的家,我们在那找到了解决安全问题的方法。”

Gillett称,新的公司会由两部分部分组成,一是新的网络安全情报分析平台,我们希望借此帮助企业更好地管理理解自身安全数据;二是VirusTotal,这是一个病毒情报服务,2012年由Google收购,这一部分会继续经营。

“由于获取和分析安全信号变得更加简单快速高效,我们希望安全团队的速度和效果能够增加10倍,我们正在建造自己的情报和分析平台用来解决问题。”Gillett提到。Gillett是赛门铁克、百思买和星巴克的前执行官。

很多人感到好奇的是Chronicle的平台会带来哪些改变,企业又会如何部署。事实上,Google一直对于自己的内部安全工具非常具有创新精神。因此新公司能做什么值得期待。

[Freebuf]

亚马逊欲收购网络安全软件公司Sprrl

BUF 早餐铺 | Windows 10 系统预装密码管理器,可能被利用获取用户密码;1900万加州选民数据被攻击者勒索;俄罗斯管道巨头Transneft感染门罗挖矿程序;Avast 开源其反编译器RetDec

根据外媒Axios的消息,亚马逊正在与Sqrrl商谈收购事宜。Sqrrl是美国马萨诸州的一家网络安全软件公司,其创始人曾为NSA工作。Sqrrl通过分析大数据来追踪网络安全威胁,让企业能够更快识别和定位这些威胁。有消息称,这笔交易的价格会比4千万美元还稍高一点。

Sqrrl已经获得了将近3千万美元的风险投资,投资方包括Accomplice、Matrix Partners、Rally Ventures 和 Spring Lake Equity Partners,Sqrrl和亚马逊目前都还未对此事作出评论。

[新浪科技]

Facebook确认收购身份认证技术公司Confirm.io

Mobile-ID-Authentication-Confirm-io.jpg

经外媒TechCrunch证实,Facebook已经确认收购初创企业Confirm.io。后者所提供的API能够让其他公司迅速识别政府颁发的身份证明(例如驾驶证)是否真实。在收购之后,这家公司位于波士顿的办公场所将会关闭,团队和技术将会纳入Facebook中。

Confirm.io公司运营三年以来,已经至少成功融资400万美元。在2015年的种子轮中,利用高超的法医学从一张身份证上提取信息,并借助移动生物传感器和面部识别确认了个人身份。

客户能够将这项识别技术整合到现有服务中,例如送餐服务Doordash使用Confirm.io来识别送餐人员,Notarize使用这项技术来识别正在查看文件的客户身份。

[PingWest]

Cloudfare 发布远程访问服务,替代 VPN 帮助企业解决安全问题

现如今,移动办公和云计算已经打破了安全边界,而企业 VPN 也已成为传统的解决方案。这两者都已经无法应对越过边界或进入 VPN 的攻击者。Google 很早以前就认识到了这个问题,并将 BeyondCorp 作为边界和 VPN 替代品。BeyondCorp 取代了企业对 VPN 的需求,专注于验证设备(提供、识别设备证书)及其用户,并在其应用程序周围实施分级验证。BeyondCor 消除了可信网络和不可信网络之间的区别,侧重于验证来自任意位置的认证访问。但是,BeyondCor 只能在谷歌内部使用。目前,Cloudflare 也推出了类似的服务 Cloudflare Access,相当于 BeyondCorp 模式的“民主化”。BeyondCorp 允许员工在公司网络之外工作,且无需使用 VPN。

CloudFlare.jpg

Cloudflare 的专家表示:“VPN 会减慢工作速度。因为每次页面加载都会增加 VPN 服务器的额外往返次数。此外,VPN 上的用户非常容易受到网络钓鱼、中间人攻击和 SQL 注入攻击。相比之下 Cloudflare Access 为遗留应用程序或云应用程序提供集中的应用程序访问控制,而且不论员工在哪里工作,都不会减慢连接速度。”

Cloudflare Access 相当于在不同的身份验证包装中保护客户的应用程序。确切来说,它保护的不是员工的设备而是公司的应用程序。“即使攻击者设法进入设备,公司网络的每个访问都被 Cloudflare 记录,客户(公司)可以监控异常情况。因此,在每个应用程序周围进行认证的模型不仅增加了攻击阻力,还提供了一个中央存储库,让安全团队可以查看异常情况,跟踪不良行为并快速做出响应。Cloudflare 服务的客户管理员将拥有每个员工设备的单一视图 – 当它登录并使用每个不同的服务 – 以服务为基础,如果发生异常情况,管理员可以立即撤回用户的访问权限。

不过,Cloudflare 不能为用户提供企业设备,用户仍然需要自主负责远程设备的安全,建议用户在所使用的设备上使用多重身份验证。

[来源:SecurityWeek]

黑莓布局安全,发布汽车等企业相关的安全产品

黑莓推出了一项新的网络安全服务Jarvis,旨在帮助汽车和其他行业的公司发现其软件的漏洞。

黑莓将Jarvis描述为基于云的静态二进制代码分析软件即服务(SaaS)产品。该工具目前被包括英国最大的汽车制造商捷豹路虎(Jaguar Land Rover)在内的汽车制造商使用,但同样可以应用到其他领域,例如医疗保健,航空航天,国防和工业自动化等。

5a5dcaf5a39e1.jpg

现代汽车使用数百个软件组件,其中许多是由第三方供应商提供的。虽然这种方法有一些优点,但也增加了漏洞进入供应链某处软件的可能性。

Jarvis旨在通过扫描代码并在几分钟内提供可操作的信息来解决此问题。除了发现漏洞,该服务还有助于确保符合各种标准。

黑莓声称,新产品的开发完成需要大量的专家和大量的时间,这应该可以帮助公司节省资金,同时该工具可以与现有的开发工具和API集成。

[FreeBuf]

推荐阅读

1月,FreeBuf出品了大量企业安全相关文章,其中的指导文章为企业保障信息安全提供了参考:

卡巴斯基应急响应指南分享

经验分享 | 如何做好基础安全设备运维

经验分享 | 企业如何做好安全基线配置

FreeBuf会持续关注企业安全相关资讯,敬请关注FreeBuf企业安全月报

来源:freebuf.com 2018-02-10 10:00:02 by: Sphinx

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论