点击上方蓝色文字关注我们

今日全球网安资讯摘要

特别关注

美国国家安全局发布网络和环境组件零信任指南

美国处方药市场中断超10天，受害企业疑支付1.5亿赎金

苹果紧急安全更新修复两个新的 IOS 0day 漏洞

特别关注

美国国家安全局发布网络和环境组件零信任指南

标签：零信任

近日，美国国家安全局发布了新的零信任指南，旨在帮助企业通过零信任框架原则来抵御外部网络攻击。零信任安全架构要求对网络资源的访问进行严格控制，无论是在物理边界内外，以最大限度地减少漏洞的影响。

一般情况下，传统的 IT 安全模式会以默认可信的模式来运行，但零信任一般直接会默认假定威胁已经存在，不允许任何人在网络内自由行动。零信任的成熟度是通过解决威胁行为者在攻击中可以利用的各种组件或支柱逐步实现的。

零信任架构的七大支柱

昨天（3月5日），美国国家安全局发布了网络和环境组件的零信任指南，其中包括所有硬件和软件资产、非人实体以及相互通信协议。

零信任模式通过数据流映射、宏观和微观分段以及软件定义网络提供深入的网络安全。对于其中的每一项，企业都必须达到特定的成熟度，才能继续按照零信任原则进行建设。

“网络和环境支柱通过定义网络访问、控制网络和数据流、划分应用程序和工作负载以及使用端到端加密，将关键资源与未经授权的访问隔离开来”–国家安全局

数据流映射首先要确定数据存储和处理的位置和方式。当企业对数据流有了全面的清点和可视性，并能减少所有当前的、新的或异常的路径时，就达到了高级成熟度。

通过宏观划分，企业可以为每个部门的用户创建网络区域，从而限制网络上的横向移动。比如，除非有明确要求，否则会计人员不需要访问人力资源专用网段，因此威胁行为者可利用的攻击面有限。

通过微分段，网络管理被分解成更小的组成部分，并实施严格的访问策略来限制横向数据流。

美国国家安全局解释说，”微分段涉及将用户、应用程序或工作流程隔离到单个网段中，以进一步减少攻击面，并限制发生入侵时的影响”。

通过软件定义网络（SDN）组件，可以对微分段进行更细粒度的控制，从而提供可定制的安全监控和警报。SDN 允许从集中控制中心控制数据包路由，提供更好的网络可见性，并允许对所有网段执行策略。

对于零信任架构中网络和环境支柱的四个组成部分，美国国家安全局描述了四个成熟度等级，从准备阶段到高级阶段，在高级阶段实施广泛的控制和管理系统，以实现最佳的可见性和监控，并确保网络的增长。

设计和构建零信任环境是一项复杂的任务，需要系统地经历各个成熟阶段。如果方法得当，企业架构就能抵御、识别和应对试图利用弱点的威胁。

美国国家安全局于 2021 年 2 月发布了第一份零信任框架指南《拥抱零信任安全模型》，该指南介绍了该模型及其背后原则的优势。

2023 年 4 月，该机构发布了达到零信任框架中用户组件成熟度的指南《在整个用户支柱中推进零信任成熟度》。

信源：https://www.freebuf.com/news/393427.html

安全资讯

美国处方药市场中断超10天受害企业疑支付1.5亿赎金

标签：勒索攻击

这笔交易在比特币的链上可见，表明近年来全球最严重的勒索攻击事件之一的受害者，已经支付了巨额赎金，但是攻击组织似乎没有履约就跑路了。

安全内参3月6日消息，针对美国医疗IT公司Change Healthcare的勒索软件攻击是近年来最具破坏性的一次。这次攻击使得美国各地药店陷入瘫痪，就连医院内部药店也未能幸免，并对美国境内的处方药供应造成了严重困扰，已经持续了超过10天。

这场灾难性事件仍在不断发展，黑客组织内部的纷争揭示了最新的进展：攻击者背后的一个合作伙伴指出，发动攻击的AlphV或BlackCat黑客组织收到了一笔疑似赎金的巨额款项，金额高达2200万美元（约合人民币1.58亿元）。

勒索组织已收到超1.5亿元赎金

3月1日，与AlphV组织相关联的一个比特币地址收到了一笔交易，单笔交易金额达到了350比特币。按照当时的汇率，这笔金额接近2200万美元。两天后，一名自称隶属于AlphV组织、曾与该组织合作侵入受害者网络的黑客，在地下论坛RAMP上发布了帖子，声称AlphV组织欺骗了他们，未按约支付在Change Healthcare勒索事件中应得的份额。该黑客引用了比特币区块链上公开可见的2200万美元交易作为证据。

威胁情报公司Recorded Future研究员Dmitry Smilyanets首先注意到这篇帖子。他认为，Change Healthcare很可能向AlphV组织支付了赎金。Smilyanets说：“有很多比特币进入了账户，这种交易十分罕见。有证据表明，大量资金流入了AlphV组织控制的比特币钱包。而相关黑客将这个地址与对Change Healthcare的攻击联系在一起。因此，受害者很可能已经支付了赎金。”

美国联合健康集团旗下Change Healthcare公司发言人在接受采访时，拒绝回答是否向AlphV组织支付了赎金，仅回复称“我们现在专注于调查。”

Recorded Future和区块链分析公司TRM Labs都认为，接收到2200万美元款项的比特币地址与AlphV组织黑客有联系。TRM Labs表示，这个地址与1月的另外两个AlphV组织受害者的付款也有关联。

安全公司Emsisoft的勒索软件专家Brett Callow认为，如果Change Healthcare确实支付了2200万美元赎金，这不仅代表AlphV组织获得了巨额收入，也为医疗保健行业树立了危险的先例。他说，每一笔勒索软件赎金都会被黑客组织用来资助未来攻击，这也向其他勒索软件捕食者暗示他们应该尝试相同的策略——比如像这次事件一样，攻击患者依赖的医疗保健服务。

Callow表示：“如果Change确实付了赎金，会带来很多问题。这说明攻击医疗保健行业可以获得丰厚的利润。勒索软件团伙的行为很容易预测：一旦他们发现某个特定行业非常有利可图，他们将会发起一次又一次的攻击，反复如此。”

附属团队指责AlphV卷钱跑路，受害企业数据仍处危险中

自称隶属于AlphV组织的黑客在RAMP论坛上发布了支付证据，并以用户名“notchy”抱怨说，AlphV组织显然从Change Healthcare那里收取了2200万美元赎金，然后将整笔款项私吞，而不是按照约定与黑客合作伙伴分享利润。notchy写道，“大家要小心，不要再与ALPHV组织打交道了。”

这位黑客还写道，在他们侵入Change Healthcare网络的过程中，他们已经访问了与该公司合作的众多其他医疗保健公司的数据。Recorded Future研究员Smilyanets指出，如果这一说法属实，这位黑客有可能仍然持有敏感医疗信息，造成额外风险。即使Change Healthcare确实向AlphV组织支付了赎金，这位黑客仍可能要求支付额外的赎金，否则将自行泄露数据。

Smilyanets说：“相关黑客仍然拥有这些数据，他们因为没有收到这笔钱感到愤怒。这给了我们每个人一个很好的教训。不能信任犯罪分子，他们的话一文不值。”

Emsisoft公司勒索软件专家Callow认为，就勒索软件赎金而言，2200万美元意味着AlphV组织获取了极为丰厚的利润。在勒索软件历史上，只有很少的几笔赎金达到如此规模，比如金融公司CNA向被称为Evil Corp黑客支付的4000万美元。这并非没有先例，但确实非常罕见。”

AlphV组织有着极为恶劣的前科

无论Change Healthcare究竟有没有赎金，这次攻击都表明AlphV组织已经令人不安地复出。

在去年12月，FBI对AlphV组织展开行动，查封了他们的暗网网站，并发布了解密密钥，导致这家组织未能成功攻击数百个受害者。但是，仅仅两个月后，AlphV组织就对Change Healthcare发动网络攻击。攻击不仅瘫痪了Change Healthcare，还引发停机事件，对药店和患者产生严重影响，影响已经远远超过了一个星期。截至上周二，AlphV组织在其用来勒索受害者的暗网网站上列出了28家公司，其中并不包括Change Healthcare。

AlphV暗网网站现在已经下线。截至本周二上午，网站显示的内容似乎是执法查封通知。但安全研究员Fabian Wosar指出，这份通知似乎是从AlphV组织上一次关闭网站时使用的通知中复制而来。目前尚不清楚这家组织消失的原因，或许是遭到另一次执法行动打击，亦或是试图躲避其欺骗的黑客。勒索软件跟踪者表示，AlphV组织曾消失并多次重组。安全研究人员指出，以BlackCat、BlackMatter、Darkside等名号反复出现的组织本质上就是AlphV组织。

其实，打着Darkside名号的黑客，曾在2021年发动过Colonial Pipeline勒索软攻击，中断了美国东海岸的燃气运输，并导致部分东海岸城市出现短暂的燃料短缺。当时，受害者也向黑客支付了赎金。Colonial的首席执行官Joseph Blount后来在美国国会听证会上说，“这是我做过的最艰难的决定。”

现在，同一批黑客可能已经迫使另一家公司做出了同样艰难的决定。

信源：https://www.secrss.com/articles/64202

苹果紧急安全更新修复两个新的 IOS 0day 漏洞

标签：Oday漏洞

Apple 发布了紧急安全更新，以解决两个 iOS 0day漏洞，分别为 CVE-2024-23225 和 CVE-2024-23296，这些漏洞在针对 iPhone 设备的攻击中被利用。

CVE-2024-23225 是一个内核内存损坏漏洞，该公司通过改进验证来解决该漏洞。

“具有任意内核读写能力的攻击者可能能够绕过内核内存保护。苹果公司获悉有报告称该问题可能已被利用。”

CVE-2024-23225 是一个 RTKit 内存损坏漏洞，该公司通过改进验证来解决该缺陷。

“具有任意内核读写能力的攻击者可能能够绕过内核内存保护。苹果公司获悉有报告称该问题可能已被利用。”

苹果证实这两个漏洞都被积极利用。该公司表示：“苹果公司已获悉有关此问题可能已被利用的报告。”

受影响的设备包括 iPhone XS 及更新机型、iPad Pro 12.9 英寸第 2 代及更新机型、iPad Pro 10.5 英寸、iPad Pro 11 英寸第 1 代及更新机型、iPad Air 第 3 代及更新机型、iPad 第 6 代及更新机型以及 iPad mini第五代及以后。

苹果通过发布iOS 17.4、  iPadOS 17.4、  iOS 16.76和 iPad 16.7.6解决了这两个漏洞。

iPhone 漏洞通常被商业间谍软件供应商或民族国家行为者利用，在许多情况下，目标是持不同政见者和记者。

普通用户通常勿须过度担心，苹果系统的0day漏洞攻击往往针对那些特殊目标。普通用户只须在苹果发布安全更新后及时升级系统即可降低风险。

信源：https://hackernews.cc/archives/50445

资讯来自全球范围内媒体报道

版权归作者所有
文章内容仅代表作者独立观点

不代表网络盾牌立场
转载目的在于传递更多信息

如有侵权，请公众号后台联系 

一键四连

原文始发于微信公众号（网络盾牌）：0307-美国家安全局发布网络和环境组件零信任指南-美国处方药市场中断超10天-苹果更新两个新的 0day 漏洞