关键基础设施安全资讯周报20200907期 admin 103212文章 87评论 2020年9月7日15:04:23评论150 views字数 8687阅读28分57秒阅读模式 目录 技术标准规范 重磅国标 |《网络数据处理安全规范》征求意见稿发布 行业发展动态 原创 | 人机协作工业机器人安全测试 美国网络安全 | NIST身份和访问管理(IAM) 美国电力网络安全态势感知方案的启示 DSMM助力数据的分类分级管理,保障数据的应用安全 国内外网络安全现状与存在的问题 大咖谈安全 | 零信任架构2.0的进化:基于身份的自动行为识别 基于开源项目构建SIEM 设备指纹指南:上篇 设备指纹指南:下篇 落实“两个制度”,合力保卫网络安全 “五眼联盟”发布网络安全原则 为提高用户隐私谷歌Chrome浏览器推出了安全DNS 一种高性能可信平台控制模块的设计和实现 智能车联网系统未来展望 安全威胁分析 水坑攻击的原理和预防措施 模仿朝鲜黑客?伊朗黑客冒充新闻记者联系受害者并共享网络钓鱼页面 暗网市场Empire由于DDos攻击关闭数日 【云原生攻防研究】容器环境相关的内核漏洞缓解技术 API的五个常见漏洞 IoT设备入口:亚马逊Alexa漏洞分析 物联网安全之MQTT渗透实战 Ruckus 路由器多个漏洞分析 QNAP NAS在野漏洞攻击事件披露 Operation PowerFall攻击活动中的IE和Windows 0day漏洞 CVE-2020-11107漏洞复现:向XAMPP任意命令执行说不 对ICS和SCADA工控设备的漏洞挖掘和分析研究 安全技术方案 智慧机场网络安全运营能力体系建设研究 基于大数据的电力安全监测系统设计与研究 SDN网络抗DDoS动态纵深防御体系设计 技术标准规范 1. 重磅国标 |《网络数据处理安全规范》征求意见稿发布 目前,数据安全成为热点,国际国内均希望通过法律手段加强数据安全保障,一方面要保障国家安全,另一方面要保障公众权益,同时还要推动数据的应用,保障组织的权益,相关的法律法规也相继出台,或即将出台。已经出台的法律主要是《民法典》、《网络安全法》,即将出台的《数据安全法》、《个人信息保护法》,《数据安全管理办法》等,尽管没有专门的强制性标准,但通过法规和等级保护制度对数据安全提出了明确的要求。 《网络数据处理安全规范》结合当前数据安全相关标准与法规的要求,规定 了网络运营者利用网络开展数据处理活动应遵循的安全规范。本标准适用于网络运营者规范数据处理活动,提高数据安全管理和个人信息保护水平,主管监管部 门对网络运营者数据处理活动进行监督管理,以及第三方评价机构开展相关评价 工作。具体内容包括:从数据识别、分级分类、风险防控、审计追溯等方面提出数据处理总体要求;对数据收集、传输和存储、加工、公开、定向推送及信息合成、个人信息查阅/更正/删除及用户账号注销、私人信息和可转发信息的处理方式、投诉、举报受理处置、访问控制与审计、向他人提供、数据删除和匿名化处 理、数据出境、第三方应用等方面提出数据处理具体要求。 以下是《网络数据处理安全规范》全文 https://mp.weixin.qq.com/s/s_62FxBwq4DkiEmGrMUZLw 行业发展动态 2. 原创 | 人机协作工业机器人安全测试 随着网络技术与智能控制技术的发展,一些简单的工作逐步被机器人所代替,伴随而来的网络攻击也是不容忽视的,这里以ABB的人机协作双臂机器人Yumi为目标,描述一下机器人的安全评估过程。 https://mp.weixin.qq.com/s/jbr1ehIPsPQx5lBgFP_aoQ 3. 美国网络安全 | NIST身份和访问管理(IAM) 笔者一直对身份和访问管理(IAM)念念不忘。IAM的目标是实现“三个恰当”或“三个任意”,IAM是实现访问自由的基础。笔者认为它既是基础,也是未来。而且它与零信任架构(ZTA)的成熟度息息相关。 之前介绍过NIST(美国国家标准与技术研究所)的NCCoE(国家网络安全卓越中心)的网络安全实践项目(参见《美国网络安全 | NIST网络安全实践指南系列》),包括与技术相关的积木(BuildingBlocks)项目和与行业相关的用例(Use Cases)项目。其中就包含了身份和访问管理(IAM)相关项目。 念念不忘,必有回响。笔者欣喜地发现,NIST竟然有一个身份和访问管理(IAM)资源中心(Identity and Access Management Resource Center),集中展示了NIST关于IAM的项目和路线图。本文特意对此进行介绍。 在本文中,笔者只是简单罗列这些项目和路线图的摘要内容,展示一下概貌。对于更详细具体的内容,可能会有选择性地在后期进行介绍。敬请关注。 https://mp.weixin.qq.com/s/c6SgMV_L5WpFCE0JhRsgWQ 4. 美国电力网络安全态势感知方案的启示 2019年8月,美国NIST(国家标准与技术研究所)下属NCCoE(国家网络安全卓越中心)发布了NIST.SP.1800-7 电力设施态势感知。NCCoE在NIST.SP.1800-7中针对美国电力行业的需求,采用商业产品搭建了一套电力行业网络安全态势感知方案,作为样例提供给美国电力企业参考。分析这套电力行业网络安全态势感知方案,对我国工业企业,尤其是电力企业的网络安全态势感知建设具有一定的借鉴意义。 https://mp.weixin.qq.com/s/zkWeYIp7P6xGgzqN8BKoUQ 5. DSMM助力数据的分类分级管理,保障数据的应用安全 大数据的广泛应用,带来便捷的同时也伴随着隐患,如何确保数据和隐私的安全,国家已立法:《中华人民共和国数据安全法(草案)》,该法案规定了应对数据进行分级分类管理和保护,那么如何管控防护呢?请看数据能力成熟度模型DSMM的规定吧! https://mp.weixin.qq.com/s/CBHHA8ro8bTZzZUYiJxbRA 6. 国内外网络安全现状与存在的问题 国家互联网应急中心发布的《2019年上半年我国互联网网络安全态势》显示,2019年上半年,我国互联网网络安全状况具有四大特点:个人信息和重要数据泄露风险严峻;多个高危漏洞曝出给我国网络安全造成严重安全隐患;针对我国重要网站的DDoS攻击事件高发;利用钓鱼邮件发起有针对性的攻击频发。 国家互联网应急中心从恶意程序、漏洞隐患、移动互联网安全、网站安全以及云平台安全、工业系统安全、互联网金融安全等方面,对我国互联网网络安全环境开展宏观监测。数据显示,与 2018 年上半年数据比较,2019 年上半年我国境内通用型“零日”漏洞收录数量,涉及关键信息基础设施的事件型漏洞通报数量,遭篡改、植入后门、仿冒网站数量等有所上升,其他各类监测数据有所降低或基本持平。 企业面临的网络风险或者网络威胁主要有以下几种形式: https://mp.weixin.qq.com/s/8JodcHUmIBBPhdR9I0dMGg 7. 大咖谈安全 | 零信任架构2.0的进化:基于身份的自动行为识别 零信任架构是美创数据安全实践的核心遵循思想。美创从数据不应该自动信任任何人的基本观点开始,从2010年开始实践,在2015年左右正式形成了零信任架构1.0版本,并在美创科技的每个数据安全产品中无缝落地。美创科技根据市场需求的变化不断地发展着零信任架构,在经过5年的成熟实践之后,近期美创科技零信任架构1.0即将升级为2.0版本,以更好的满足数据安全和网络安全的诉求。 https://mp.weixin.qq.com/s/qRl41W5q3R4vjlQK0Ae5sQ 8. 基于开源项目构建SIEM Gartner的定义:安全信息和事件管理( Security InformationEvent Management)技术通过对来自各种事件和上下文数据源的安全事件的实时收集和历史分析来支持威胁检测和安全事件响应。它还通过分析来自这些来源的历史数据来支持合规报告和事件调查。SIEM技术的核心功能是广泛的事件收集,以及跨不同来源关联和分析事件的能力。 https://mp.weixin.qq.com/s/JPjR_HkR-Ec3x2GcPu9zgg 9. 设备指纹指南:上篇 设备指纹在安全上主要用来识别用户,增强认证能力。参考业界普遍实践和学术探索,我们对常见的29种方法进行了比较,本文对这些方法根据稳定性、可重复性、资源消耗、用户端被动、绕过难度和可区分性进行了比较,用以在实践中选择。 https://mp.weixin.qq.com/s/kTcuaI7T-rytMciYW2V7bg 10. 设备指纹指南:下篇 设备指纹在安全上主要用来识别用户,增强认证能力。参考业界普遍实践和学术探索,我们对常见的29种方法进行了比较,本文对这些方法根据稳定性、可重复性、资源消耗、用户端被动、绕过难度和可区分性进行了比较,用以在实践中选择。 https://mp.weixin.qq.com/s/zUmX0s6AsJ6AHA0ywUnuyQ 11. 落实“两个制度”,合力保卫网络安全 2020年9月2日,网络安全等级保护和关键信息基础设施安全保护工作宣贯大会在北京顺利召开,大会对公网安〔2020〕1960号《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》(简称“指导意见”)进行了宣贯。明确指出指导意见是引领重要行业及全社会落实“网络安全等级保护制度和关键信息基础设施保护制度”(简称“两个制度”)的纲领性文件。本场宣贯大会也正式意味着以贯彻“两个制度”为基础,以保护关键信息基础设施、重要网络和数据安全为重点,切实加强保卫、保护和保障的“双保”时代来临。 https://mp.weixin.qq.com/s/eaiecX_834FMxmH1_ND4Iw 12. “五眼联盟”发布网络安全原则 五眼联盟国家(包括澳大利亚,加拿大,新西兰,英国和美国)对网络原则进行了广泛的联合研究,最终为扩展的合作伙伴和网络管理员社区编写了事件响应手册。 该手册阐述了在违反和采取事件响应措施时应采用的最佳实践,包括收集和删除相关工件,日志和数据,以及如何避免一旦事件结束就可能造成其他危害的残留问题。 该公告指出:“事件响应过程需要多种技术手段来发现恶意活动。” https://mp.weixin.qq.com/s/nbuFP0PKfALFMZ8fw1hwbg 13. 为提高用户隐私谷歌Chrome浏览器推出了安全DNS E安全9月4日讯 谷歌浏览器是最常用的浏览器之一,近日,谷歌表示,Android系统中的Chrome浏览器将很快支持dns -over- https (DoH),该协议可加密和保护DNS查询以提高用户隐私。 https://mp.weixin.qq.com/s/IDj98zj_pacCTEoGOeMywQ 14. 一种高性能可信平台控制模块的设计和实现 针对可信平台控制模块主要技术主动度量的实现过程中改造工作量大,不易适配,启动时间长、性能偏低等问题,提出了一种优化设计方法,将可信BIOS与TPCM进行一体化设计,增强了BIOS固件的安全性,提升了BIOS固件代码认证速度,减少了主板修改工作量。同时在实现中使用了基于PCIe总线接口的可信安全芯片,具备较高的运算性能。经过测试一体化TPCM的功能和性能有较大的提升,达到了优化设计的目的和要求,具有性能高、适配快、改动小等优点。 https://mp.weixin.qq.com/s/pd7ImULuVRz4JS-cncJMJg 15. 智能车联网系统未来展望 针对车联网在交通强国与新基建背景下的发展趋势,从智能终端、网联通信、边缘服务、云端管控等多个角度指出了智能车联网系统的发展方向,并探讨了智能车联网系统的发展在海量数据处理、通信与计算协同、边缘服务安全、大规模测试验证方面所面临的问题及相应的发展对策。 https://mp.weixin.qq.com/s/z0QJ4eLB2BjGrFjijgooOA 安全威胁分析 16. 水坑攻击的原理和预防措施 “水坑攻击(Watering hole))”是攻击者常见的攻击方式之一,顾名思义,是在受害者必经之路设置了一个“水坑(陷阱)”。最常见的做法是,攻击者分析攻击目标的上网活动规律,寻找攻击目标经常访问的网站的弱点,先将此网站“攻破”并植入攻击代码,一旦攻击目标访问该网站就会“中招”。 本文我们将介绍水坑攻击的原理并结合一些真实的示例来说明攻击过程,以及对应的缓解措施。 https://mp.weixin.qq.com/s/grSGWG9K1WZ7iHU2MBNNtA 17. 模仿朝鲜黑客?伊朗黑客冒充新闻记者联系受害者并共享网络钓鱼页面 近日,伊朗政府黑客伪装成记者,通过LinkedIn联系目标,并用WhatsApp进行通话,以赢得他们的信任,然后分享钓鱼网页和受恶意软件感染的文件的链接。 https://mp.weixin.qq.com/s/ZhH917mRP4pO2IHAWorlrA 18. 暗网市场Empire由于DDos攻击关闭数日 暗网中的知名网站Empire Market已经关闭了数日,一些用户怀疑怀疑存在exit scam的问题,而另一些用户则在指责了网站出现的长时间分布式拒绝服务攻击(DDoS)。 https://mp.weixin.qq.com/s/Ev3A_XKvJ9oQu1K4Azn3jA 19. 【云原生攻防研究】容器环境相关的内核漏洞缓解技术 在容器逃逸技术概览一文中我们提到,由于容器与宿主机共享内核,内核漏洞成为容器逃逸的四大原因之一。由于潜在后果的严重性(提升至系统最高权限)和影响的广泛性(一个漏洞会影响相当多的计算机设备),系统开发者陆续在内核实现了一系列的漏洞缓解技术,以减小内核被攻破的可能性。 https://mp.weixin.qq.com/s/_qiWF2muXOZV5H_e0HY9mw 20. API的五个常见漏洞 API让天下没有难做的生意,黑客也是这么认为的。在企业数字化转型如火如荼的今天,API已经远远超出了技术范畴,互联网商业创新和传统企业数字化转型都离不开API经济或者API战略。API连接的不仅仅是系统和数据,还包括企业职能部门、客户和合作伙伴,甚至整个商业生态。与此同时,日益严峻的安全威胁,使得API正在成为网络安全的下一个前沿阵地。本文,我们整理了安全专家们给企业提出的五大API安全弱点和修补建议。 https://mp.weixin.qq.com/s/e2GlknNoVyMc33PF_Yex5g 21. IoT设备入口:亚马逊Alexa漏洞分析 Amazon Alexa,通常称为“ Alexa”,是由Amazon开发的AI虚拟助手,能够进行语音交互,音乐播放,设置警报和其他任务,可作为家庭自动化系统智能控制设备。预计到2020年底会售出超过2亿个支持Alexa的设备。 如今,虚拟助手已成为家用电器和设备控制器的桥梁入口,确保它的安全至关变得重要,保护用户隐私更是重中之重。研究发现,某些Amazon / Alexa子域易受跨域资源共享(CORS)配置错误和跨站点脚本攻击。 这些漏洞使攻击者能够: 1、在用户的Alexa帐户上静默安装应用skill 2、在用户的Alexa帐户中获取所有已安装skill列表 3、静默删除skill 4、获取受害者的语音记录 5、获取受害者的个人信息 https://mp.weixin.qq.com/s/Cqh5xCNmY1rL0yNXXwiblA 22. 物联网安全之MQTT渗透实战 大家好,我是银基Tiger Team的BaCde。上一篇 物联网安全之MQTT协议安全 主要介绍了MQTT安全的一些基础知识。今天将在上一篇基础上来说说实战中MQTT的利用。 在整个物联网或车联网架构中,MQTT的部分通常应用在移动端、管理端、Web端、设备端。而MQTT协议中的三种角色是发布者(PUBLISHER)、订阅者(SUBCRIBER)、代理(BROKER)。发布者(PUBLISHER)和订阅者(SUBCRIBER)通过代理(BROKER)来发布和订阅消息。这两个角色在实际场景中主要应用是移动端、Web端、设备端;代理(BROKER)一般是服务器,可以由activemq、hivemq、emqx等许多软件来搭建。在开发过程中,不同的设备,技术特点也有所不同。其使用的协议除了mqtt外,Web端通常使用websocket的方式来进行收发消息。 https://mp.weixin.qq.com/s/2JJQOSGT7PYLJd2l34ATvg 23. Ruckus 路由器多个漏洞分析 Ruckus公司面向全球移动运营商、宽带服务提供商和企业用户,销售、制造各种室内和室外型“智能Wi-Fi”产品。本文是针对于今年Ruckus品牌路由器的两个漏洞进行分析复现。 https://mp.weixin.qq.com/s/ZXH6YrdUKdSykp-N4cw23Q 24. QNAP NAS在野漏洞攻击事件披露 2020年4月21号开始,360Netlab未知威胁检测系统监测到有攻击者使用QNAP NAS设备漏洞,攻击我们的Anglerfish蜜罐节点。我们看到这个漏洞PoC并没有在互联网上公布,攻击者在漏洞利用过程中相对谨慎,互联网上也仍有一些未修复漏洞的QNAP NAS设备。因此,我们需要披露这个漏洞攻击事件,并提醒安全社区和QNAPNAS用户,避免受到此类漏洞攻击。 https://mp.weixin.qq.com/s/jK9UXFUFXq2_U0APpXdPwg 25. Operation PowerFall攻击活动中的IE和Windows 0day漏洞 研究人员在Operation PowerFall攻击活动中发现了一个0 day漏洞——CVE-2020-1380。该漏洞是一个JS中的UAF漏洞,补丁已于2020年8月11日发布。 https://mp.weixin.qq.com/s/mmtq-LirtRChArdRyMk7tw 26. CVE-2020-11107漏洞复现:向XAMPP任意命令执行说不 知名建站软件集成包XAMPP于今年4月发布了新版本,该更新修复了CVE-2020-11107中的漏洞。在低于7.2.29、7.3.16、7.4.4的XAMPP Windows版本中,用户可以利用该漏洞实现任意命令执行。目前此问题不会对Linux和OS X系统造成影响。 https://mp.weixin.qq.com/s/6vPhZaV95prVlnicyb9bcQ 27. 对ICS和SCADA工控设备的漏洞挖掘和分析研究 不管挖掘的目标产品是什么,我的方法始终遵循相同的结构,我将生成一些畸形数据,例如基于文件的输入等,进行变异并将其馈送到带有调试器的应用程序中,在预定的时间后,我将终止目标过程并记录结果,crash将被记录些来,然后分析这些crash。 https://mp.weixin.qq.com/s/ow1fr8nj2ctnUxP4_vUm0A 安全技术方案 28. 智慧机场网络安全运营能力体系建设研究 智慧机场是综合运用物联网、大数据、云计算、移动互联网等新一代信息通信技术建设而成的现代化民航机场。它通过对机场运行、航班保障、商业推广等业务的精细化、协同化、可视化、智能化运行与管理,确保旅客出行过程中的安全性、高效性、便捷性和舒适性。智慧机场是我国智能综合交通运输管理的需要,也是假设我国民航智慧运行管理的需要,更是我国从民航大国迈向民航强国的必经之路。 众所周知,民航机场作为国家关键信息基础设施之一,其一旦遭遇网络攻击、恶意破坏,极有可能会导致重大财产损失,甚至人员伤亡,具有很大的破坏性和杀伤力。因此,全面保障民航机场安全是网络安全的物质基础和前提,我们必须给予高度重视。 https://mp.weixin.qq.com/s/8w9h4eX_sWGbFKT9qd1qdQ 29. 基于大数据的电力安全监测系统设计与研究 电力行业作为关乎国计民生的重要基础行业,也是技术、资金密集型行业,在注重信息化建设的同时,对网络安全工作也历来高度重视。放眼全球,从伊朗到乌克兰再到委内瑞拉,“电力战”从未消失,网络攻击的破坏程度越来越大,能源系统的安全备受关注。构建基于大数据的安全监测系统,利用大数据分析技术多维度分析系统的健康状态、网络流量等,依靠人工智能和神经元网络科学评价网络状态,并形成状态评价的自动学习、持续迭代以及自我完善的深度学习模型,对系统状态进行判断、预测、提示和预警,以协助维持生产网络空间内部环境稳定、健康、可控、安全与运行平衡。 https://mp.weixin.qq.com/s/9RQ8ZO6k1gQkeehPHmGu1g 30. SDN网络抗DDoS动态纵深防御体系设计 SDN技术由于其开放性、转发与控制分离、可编程的集中控制模式等特性,已经成为目前可见的也是最为可行的网络智能化解决方案,这其中SDN控制器扮演着重要角色,与此同时也是攻击者的重要目标。目前网络控制器面临的DDoS攻击是一种较难防御的网络攻击,它会呈现出基于时间、空间、强度等多维度攻击随机分布的特点,本文针对SDN控制面的DDoS攻击提出一种多维度多层次的动态纵深防护体系,具备纵深检测、态势感知、决策处置的闭环反馈特征。 https://mp.weixin.qq.com/s/GDBLezM2OoWJQNHd7nVICQ [本文资讯内容来源于互联网,版权归作者所有。由“关键基础设施安全应急响应中心”整理发布] 点赞 http://cn-sec.com/archives/121518.html 复制链接 复制链接 左青龙 微信扫一扫 右白虎 微信扫一扫
安全技术方案
评论