关键基础设施安全资讯周报20201026期

  • A+
所属分类:安全新闻

目录

关键基础设施安全资讯周报20201026期 技术标准规范

  • 【新法速递】《中华人民共和国生物安全法》全文
  • 关注!|《个人信息保护法(草案)》全文公开征求意见
  • 《中华人民共和国个人信息保护法(草案)》解读

关键基础设施安全资讯周报20201026期 行业发展动态

  • 收款音箱安全性初探
  • 对中东石油和天然气供应链产业的APT攻击
  • 加密技术四大创新领域
  • 零信任架构2.0的进化:软件定义重新构造资产和边界
  • 石油化工的工业互联网:不自造,就没出路
  • 5G 时代IOT与互联汽车的未来
  • 产业与政策丨关于加快构建我国数字基础设施建设体系的思考
  • 美发布报告分析5G技术带来的安全问题

关键基础设施安全资讯周报20201026期 安全威胁分析

  • 按“等保 2.0”用主动免疫可信计算 筑牢“新基建”网络安全防线
  • 防勒索软件最关键指标:驻留时间
  • 2020年云安全的九大关键趋势
  • 美军网络安全 | 2020年底国防部将提供零信任架构
  • nginx配置错误导致的漏洞
  • Windows TCP/IP 远程代码执行漏洞分析(CVE-2020-16898)
  • 云计算面临的11大安全威胁
  • “数字新基建”安全态势分析与技术应对
  • 蔓灵花APT组织利用恶意CHM文档针对国内研究机构的攻击活动分析
  • 关于数据脱敏
  • 通过HackerOne漏洞报告学习PostMessage漏洞实战场景中的利用与绕过
  • WebLogic Blind XXE漏洞通告(CVE-2020-14820)
  • NSA公布国内被高频利用的25个漏洞
  • 原创 | 天地和兴:2020年工业网络安全调查
  • 最新消息!微软已关闭了Trickbot僵尸网络94%的关键基础设施
  • Apache ShardingShpere漏洞分析与复现
  • CVE-2020-15999:Chrome Freetype字体库堆溢出漏洞通告

关键基础设施安全资讯周报20201026期 安全技术方案

  • 传递哈希攻击的原理介绍
  • 网络钓鱼:工作场所保护电子邮件安全的五个步骤
  • 基于欺骗式防御理念的高甜度春秋云阵蜜罐系统
  • 软件无线电在智能硬件漏洞挖掘中的应用
  • 现代城轨列车通信网络安全性仿真研究
技术标准规范
1. 【新法速递】《中华人民共和国生物安全法》全文
生物安全法共计十章八十八条,聚焦生物安全领域主要风险,完善生物安全风险防控体制机制,着力提高国家生物安全治理能力。
全国人大常委会法工委行政法室主任袁杰介绍,生物安全法是生物安全领域的基础性、综合性、系统性、统领性法律,其颁布和实施有利于保障人民生命安全和身体健康,有利于维护国家安全,有利于提升国家生物安全治理能力,有利于完善生物安全法律体系。
https://mp.weixin.qq.com/s/ilFf1s7aClRHIVIJ1obgPg
2. 关注!|《个人信息保护法(草案)》全文公开征求意见
随着信息化与经济社会持续深度融合,网络已成为生产生活的新空间、经济发展的新引擎、交流合作的新纽带。截至2020年3月,我国互联网用户已达9亿,互联网网站超过400万个、应用程序数量超过300万个,个人信息的收集、使用更为广泛。虽然近年来我国个人信息保护力度不断加大,但在现实生活中,一些企业、机构甚至个人,从商业利益等出发,随意收集、违法获取、过度使用、非法买卖个人信息,利用个人信息侵扰人民群众生活安宁、危害人民群众生命健康和财产安全等问题仍十分突出。
https://mp.weixin.qq.com/s/N3mmHozTS4v2YHLyGyn0Rg
3.《中华人民共和国个人信息保护法(草案)》解读
第十三届全国人大常委会第二十二次会议对《中华人民共和国个人信息保护法(草案)》进行了审议。现将《中华人民共和国个人信息保护法(草案)》在中国人大网公布,社会公众可以直接登录中国人大网(www.npc.gov.cn)提出意见,也可以将意见寄送全国人大常委会法制工作委员会(北京市西城区前门西大街1号,邮编:100805。信封上请注明个人信息保护法草案征求意见)。征求意见截止日期:2020年11月19日。
https://mp.weixin.qq.com/s/dCQaGZk6Xi62MVYQ28AOeA
行业发展动态
4. 收款音箱安全性初探
收款音箱接收收款端付款信息,并将交易情况以语音的形式播报出来,播报声音清晰、笔笔播报、即时播报,能缩短商家确认收款的时间,减少少付、逃单、漏单等情况出现,同时也能避免消费者提供虚假付款截图而造成商户的经济损失。因此收款音箱极大方便了商家收款体验,受到小微商户的青睐。
https://mp.weixin.qq.com/s/NBYeSQOBcaBeqBm9zoT4yQ
5. 对中东石油和天然气供应链产业的APT攻击
APT攻击者会关注时事,使他们的攻击活动更具吸引力,并对毫无戒心的受害者进行攻击。这些事件并不是全球性的,通常仅是本地或区域名性的,这有助于攻击者缩小目标范围,以期获得更大的攻击成果。
因此,当阿布扎比国家石油公司(ADNOC)终止其之前签订的工程,采购和建筑(EPC)合同时,细心的攻击者为攻击方案提供了新的思路。
https://mp.weixin.qq.com/s/5eEmF9US7NnKY-hzPAHJRg
6. 加密技术四大创新领域
从数据安全层面来看,“谁拥有数据”以及“谁可以读取哪些数据”这两个问题尤为重要。在这一系列的问题当中,需要加密算法将所有的东西结合到一起。这些都是复杂的数学问题,甚至对于一些专家而言都难以理解。但是,反欺诈、隐私保护、确保信息准确性都或多或少离不开这些算法的正确使用。
https://mp.weixin.qq.com/s/8yxbpIvHj6f9YDx95445Rg
7. 零信任架构2.0的进化:软件定义重新构造资产和边界
零信任架构是美创数据安全实践的核心遵循思想。美创从数据不应该自动信任任何人的基本观点开始,从2010年开始实践,在2015年左右正式形成了零信任架构1.0版本,并在美创科技的每个数据安全产品中无缝落地。美创科技根据市场需求的变化不断地发展着零信任架构,在经过5年的成熟实践之后,近期美创科技零信任架构1.0即将升级为2.0版本,以更好的满足数据安全和网络安全的诉求。
https://mp.weixin.qq.com/s/IJzh6OKfWDD-vOj8JUvZ9Q
8. 石油化工的工业互联网:不自造,就没出路
我们知道,工业的“血液”——石油不仅提供了汽车、飞机所用的燃料,还能加工成机械润滑油、服装材料合成纤维、口罩核心材料熔喷布等,在工业体系中有着至关重要的作用。
而后者的工业互联网,作为“新基建”的核心要素,除了有西门子、SAP、施耐德电气等国际巨头在盘踞其中,还吸引了十大“双跨”平台(2019年工信部评选的)为首的一众本土力量的广泛参与。仅平台这一项,2014年,国内的工业互联网平台数量还不足50个,到了2020年已增至500个以上。
https://mp.weixin.qq.com/s/MGKC0mkUDPeQlRYEXyeI_g
9. 5G 时代IOT与互联汽车的未来
随着车载技术的进步、物联网创新和高速网络的部署,汽车应用中的5G技术正处于上升轨道,5G在车辆联网领域的应用主要体现在道路环境感知、远程驾驶、编队驾驶等方面,车辆联网系统的实现需要依靠强大的通信能力来依赖和支持,5G时代的到来为车辆联网提供了低延迟、高可靠性和大容量的通信设备,使车辆联网的发展和应用更加可靠和迅速。
https://mp.weixin.qq.com/s/eAuz8rPYvvMMdF-QhYC2RA
10. 产业与政策丨关于加快构建我国数字基础设施建设体系的思考
近年来,随着我国经济下行压力增大以及传统基建投资的日益饱和,为顺应新一轮科技革命和产业变革发展趋势,中央提出加快新型基础设施建设。2020年4月,国家发展和改革委员会首次给出新型基础设施概念的初步界定,其中基于新一代信息技术的数字基础设施是新型基础设施的重要内容。数字基础设施具有与传统基础设施不同的特点,因此不能完全套用传统基础设施的发展策略和建设模式。
https://mp.weixin.qq.com/s/infShrN34KZ6Mt9NOS2nUw
11. 美发布报告分析5G技术带来的安全问题
10月8日,美国会研究服务处发布《5G移动通信技术对国家安全的影响》报告。报告认为,5G技术有着更快的数据传输速度,在军事、商业和日常生活中都具有广泛的应用空间和前景。在军事领域,5G技术可以进一步改善情报、监视和侦察(ISR)系统,有助于启用新的指挥和控制方法,精简后勤系统等。随着5G技术的不断发展,美国国会需要考虑5G技术的频谱管理政策,5G带来的国家安全问题以及对军事行动的影响。
https://mp.weixin.qq.com/s/AoUJiwD23OVotCxU77eRog
安全威胁分析
12. 按“等保 2.0”用主动免疫可信计算 筑牢“新基建”网络安全防线
在全球各国激烈角逐制网权的网络空间新格局下,网络安全在保障数字社会建设、保障高质量可持续发展中的基础性和战略性地位更加突出。我国网络安全等级保护制度2.0标准(简称“等保2.0”)于2019年12月1日开始实施,新标准中强化了可信计算技术使用的要求,把可信验证列入各个级别并逐级提出各个环节的主要可信验证要求。落实“等保2.0”,用主动免疫可信计算筑牢“新基建”网络安全防线,既是制度的要求也是历史的使命。
https://mp.weixin.qq.com/s/3NLsIa67p8hCX9REKx6XWg
13.防勒索软件最关键指标:驻留时间
勒索软件是企业当今面临的最普遍、最隐蔽、最危险的安全威胁之一。仅在2020年,从本田、佳能、佳明(Garmin)到Jack Daniels的数十个知名品牌遭遇了勒索软件团伙的洗劫,支付高昂赎金的同时,企业还要接受业务停摆和品牌受损的双重打击。
https://mp.weixin.qq.com/s/DIOIdHbRVtPkrK6isAF7NQ
14. 2020年云安全的九大关键趋势
2020年新冠疫情加速了“云计算与安全”、“网络与安全”的融合趋势。“云优先”时代,企业越来越依赖云计算。但是对于大多数企业来说,业务上云并不意味着安全上云,“靠山山倒”,要想确保云服务的安全,仅仅依靠或信赖云服务商是远远不够的。企业还需要完成传统网络安全思维的转变:“云安全始于云原生思维方式,这种思维方式不再面向网络,而更多地面向身份、数据和应用程序。”
https://mp.weixin.qq.com/s/4UO2z9sjFWd0EGzaAykH0A
15. 美军网络安全 | 2020年底国防部将提供零信任架构
美国海军中将、美国国防信息系统局(DISA)局长、联合部队总部国防部信息网络部(JFHD-DoDIN)司令 南希·诺顿(Nancy Norton)表示:美国国防部打算在2020日历年年底前发布初始零信任参考架构,以改善网络安全。
事实表明:零信任架构正在引领国防部下一代安全架构的发展,从“以网络为中心”转变到“以数据为中心”,从“允许所有”转变到“拒绝所有”,从“边界防护”转变到“零信任”。
https://mp.weixin.qq.com/s/jcIqCSnwUPZCo0z9daWP-g
16. nginx配置错误导致的漏洞
Nginx是一个高性能的HTTP和反向代理服务器,也是一个IMAP/POP3/SMTP服务器,经常被做为反向代理。而nginx的配置文件nginx.conf的一些错误配置可能会引发一些安全漏洞。
https://mp.weixin.qq.com/s/cGbbBMnfeM98sMCe58qPvA
17. Windows TCP/IP 远程代码执行漏洞分析(CVE-2020-16898)
该漏洞主要为 TCP/IP 堆栈处理 0x19 递归DNS服务器选项时对长度字段为偶数的ICMPv6的IPv6路由广播数据包时,处理逻辑存在漏洞因此可以绕过安全检查 导致堆栈溢出 通过”精心”构造的代码可以在目标主机上执行任意代码。
https://mp.weixin.qq.com/s/RWHVLcT5Kf2ReVpIjpPprA
18. 云计算面临的11大安全威胁
云安全是云时代企业数字化转型面临的最大挑战之一。随着云计算的快速普及,企业用户往往认为云安全的主要责任者是技术堆栈和实力更为雄厚的云服务商,这是一个常见的误区,企业过于依赖云服务商正在给企业带来更大的安全风险。
https://mp.weixin.qq.com/s/rggj8B-WSxFi3-cuMU-6Nw
19. “数字新基建”安全态势分析与技术应对
数据安全事件频发引发了全球各国对于数据安全与个人信息保护的重视,新技术新业务的数据安全、隐私保护与公众安全的理性平衡、疫情期间的隐私安全底线、数据跨境流动和出口管制政策成为全球数据安全治理的主要焦点。后疫情时代,随着数字新基建加速推进,企业要通过不断提升数据安全技术能力来面对复杂多变的数据安全风险。“零信任”“隐私计算”“联邦学习”助力企业打造覆盖数据全生命周期的安全能力体系。
https://mp.weixin.qq.com/s/gSmy27ASvCIf6l3XLYHCdg
20. 蔓灵花APT组织利用恶意CHM文档针对国内研究机构的攻击活动分析
近期,奇安信安全能力中心捕获到针对特定单位群体展开的定向攻击活动,通过分析发现其为“蔓灵花”APT组织。该组织最早在2016由美国安全公司Forcepoint进行了披露,并且命名为“BITTER”。
蔓灵花(T-APT-17、BITTER)APT组织是一个长期针对亚洲地区进行攻击活动的APT组织。主要针对目标区域的政府、军工业、电力、核工业等单位进行攻击,试图窃取敏感数据。
https://mp.weixin.qq.com/s/gW0zeyvMvpRCQ-YAJ5HhIg
21. 关于数据脱敏
数据安全正处于整个安全产业的风口,同时也是市场用户关注的焦点。数据脱敏,简单易用的技术领域,技术的强弱快慢也不在表面,其中价值差异大有不同。
随着我国信息化建设的持续推进,政府、企业乃至个人对数据安全的认知与重视程度不断提升。作为数据安全防护工作的重要一环,数据脱敏技术和产品已作为常规手段,在开发测试环境构建以及数据外发共享等典型场景中被广泛普及应用。
如果单纯从“使用效果”来看,数据脱敏所要实现的不过是将用户真实数据迁移至新环境中,并对敏感数据进行变形、遮蔽等处理,达到数据“敏感性降低、标识化消除”的目的。然而,上述貌似简单明确的需求,如果没有数据安全厂商专业、复杂的技术支撑,非但无法将安全和便捷带给客户,还会在项目交付实施等环节造成一系列问题和麻烦。
https://mp.weixin.qq.com/s/Bly6JnBBcs_9ndWISVwhIA
22. 通过HackerOne漏洞报告学习PostMessage漏洞实战场景中的利用与绕过
这是一篇关于postMessage漏洞分析的文章,主要通过hackerone平台披露的Bug Bounty报告,学习和分析postMessage漏洞如何在真实的场景中得到利用的。
https://mp.weixin.qq.com/s/Qv3hBcvn3iK3lKrNUlr1ig
23. WebLogic Blind XXE漏洞通告(CVE-2020-14820)
Oracle官方发布了10月份的安全补丁,补丁中包含启明星辰ADLab发现并第一时间提交给官方的漏洞,漏洞编号为CVE-2020-14820。通过该漏洞,攻击者可以在未授权的情况下将payload封装在T3或IIOP协议中,通过对协议中的payload进行反序列化,从而实现对存在漏洞的WebLogic组件进行远程Blind XXE攻击。
https://mp.weixin.qq.com/s/XYnNIl6HkV-Iuirfip91kw
24. NSA公布国内被高频利用的25个漏洞
美国国家安全局(NSA)发布了一份报告,并公布了25个“中国黑客”在野攻击中利用的漏洞,其中包括已经被修复的知名漏洞。
大部分在公布名单里的漏洞都是可以公开获取的,所以常被黑客利用。通过这些漏洞,黑客可以获得对目标网络的初始访问权限。从Internet直接访问的系统会受到很大影响,如防火墙和网关。
该报告除了对这一系列漏洞进行了详细描述,也提出了缓解措施建议。美国机构建议政府部门以及企业积极应对这些漏洞,以减小敏感信息丢失的风险。
https://mp.weixin.qq.com/s/dEvqwDQVAvf-2rOk1szf2w
25. 原创 | 天地和兴:2020年工业网络安全调查
每位安全人员都将与公司系统的远程连接视为潜在威胁。对于工业企业,尤其是关键基础设施的网络安全专家来说,这种威胁是真实存在的。对于工业企业来说,停机意味着数百万美元的损失,是各类网络犯罪分子的诱人目标。勒索软件运营商一直在寻找可用于感染工业系统的开放RDP连接。拥有公开电子邮件地址的员工经常会收到带有木马链接的网络钓鱼电子邮件,这些木马程序可为攻击者提供远程访问。网络犯罪分子还密切关注暖通空调操作员,他们有时会远程连接到工业环境中运行的供暖、通风和空调系统。
https://mp.weixin.qq.com/s/TJDUt9pMLBx6PpwA66vBpA
26. 最新消息!微软已关闭了Trickbot僵尸网络94%的关键基础设施
据外媒报道,上周,由微软主导的网络安全公司联盟策划了一场针对TrickBot的的全球打击行动,TrickBot是当今最大的恶意软件僵尸网络和网络犯罪行动之一。即使微软在最初的几天内摧毁了TrickBot的基础设施,但僵尸网络仍然存在,TrickBot的运营商上线新的命令控制(C&C)服务器,继续网络犯罪。
对此,微软承诺在未来几周内继续打击该组织。在日前发布的最新消息中,微软确认了对TrickBot的第二次打击行动。微软表示,在过去的一周里,他们已经慢慢地削减了TrickBot的基础设施,并且已经关闭了僵尸网络94%的命令控制服务器。
https://mp.weixin.qq.com/s/p0arTfTduLncsqw8g3x5TQ
27. Apache ShardingShpere漏洞分析与复现
在2020年3月9日,Apache官方公开了一个远程代码执行漏洞,编号CVE-2020-1947,攻击者可以利用此漏洞执行任意代码,甚至完全控制目标主机,借着POC已被公开的机会,本期美创安全实验室带大家一起分析一波这个漏洞的成因以及POC工作原理。
https://mp.weixin.qq.com/s/Z8mRX1CkuAmvGrihpDrnwA
28. CVE-2020-15999:Chrome Freetype字体库堆溢出漏洞通告
2020年10月22日,360CERT监测发现 Google Chrome 发布了最新桌面版Chrome浏览器,版本86.0.4240.111,此次更新修复了5个安全漏洞,其中最为严重的为 CVE-2020-15999 ,漏洞等级:高危 ,漏洞评分:8.8 。
对此,360CERT建议广大用户及时将 Chrome 升级到最新版本。与此同时,请做好资产自查以及预防工作,以免遭受黑客攻击。
https://mp.weixin.qq.com/s/RhdgFl_5y5BvNgtNJkM4Vw
安全技术方案
29. 传递哈希攻击的原理介绍
在渗透测试期间,为了提高审核员对信息系统的权限,很多人都会选择横向移动方法。在这种情况下,称为Pass The Hash(传递哈希)的技术被广泛应用,使审核员成为计算机上的管理员。
https://mp.weixin.qq.com/s/p4FVgJx5jS1Pvb922Rc4qg
30. 网络钓鱼:工作场所保护电子邮件安全的五个步骤
Sophos电子邮件产品管理高级总监David Mitchell分享了他的主要技巧,以优化工作场所的电子邮件安全性。
尽管工作场所的聊天和即时通讯应用越来越多,但对许多人来说电子邮件仍继续在内部和外部业务通信中占主导地位。
不幸的是,电子邮件还是网络攻击的最常见切入点,攻击者会将恶意软件和漏洞传播到网络,并泄漏登录凭据和敏感数据。
https://mp.weixin.qq.com/s/PQ7sjKazPSfVl4FEdkZrTg
31. 基于欺骗式防御理念的高甜度春秋云阵蜜罐系统
基于欺骗式防御理念,运用平行仿真技术构建而成的蜜罐系统,具备高甜度诱捕、零误报发现、高处置防御的价值能力,为防御体系构建了一个全新的优势维度。通过构造与现实网络系统相对应的场景和访问环境,综合利用虚拟化、云计算、大数据分析、攻防对抗、行为仿真等技术,研发能够进行细粒度场景仿真、支持资源虚实结合、能够模拟仿真各类高逼真的典型网络场景,对攻击者具有强烈诱导和欺骗能力,在攻击者不知情的情况下发现其攻击行为并留存攻击证据,形成了比传统检测体系更强的主动防御能力。
https://mp.weixin.qq.com/s/f9eHdYjQlMzNQaW_i2ug-Q
32. 软件无线电在智能硬件漏洞挖掘中的应用
目前,市面上的智能硬件普遍使用WIFI、ZigBee&网关、蜂窝网络与云端服务器通信。
对于使用WIFI的设备而言,对相关设备进行测试相对容易,通过搭建WIFI热点将设备接入该热点,便可以对设备的通信流量进行拦截、嗅探分析。
ZigBee方面,借助于TI德州仪器的一些USB dongle、以及ApiMote等相关硬件可实现对设备无线数据包的嗅探抓取。
https://mp.weixin.qq.com/s/quovEw3ocGdFZBZL0BvJvg
33. 现代城轨列车通信网络安全性仿真研究
当前我国的城市化工程建设发展进程加快,城市轨道交通网络建设发展迅速。为了与城市社会生活紧密融合,列车通信网络不断提高其开放性与网络互联性,但无法保证其网络安全性。采用OPNET网络仿真软件对具备车地通信功能的以太列车通信网络进行网络层模型、节点层模型和进程层模型的搭建,为了测试其网络安全性,对该模型进行了一次网络攻击仿真。仿真结果表明,该模型具备网络防御能力,能够保障列车通信网络的安全性。
https://mp.weixin.qq.com/s/2jFb81c9FTjWCAnXRWoY4g

 


[本文资讯内容来源于互联网,版权归作者所有。由“关键基础设施安全应急响应中心”整理发布]

关键基础设施安全资讯周报20201026期

本文始发于微信公众号(关键基础设施安全应急响应中心):关键基础设施安全资讯周报20201026期

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: