银行安全做得好,这个秘诀你必须知道! 安全闲碎

银行安全做得好,这个秘诀你必须知道!

★行业现状1、网络攻击高发,威胁感知迟滞;以银行为代表的金融行业一直是网络攻击的高发之地,加之金融行业数字化、信息化程度非常高,承载的又是高价值的信息,所以银行网络对于各种威胁的感知要求也非常高。传统边界防护产品显然已经无法满足其安全需求,已有威胁感知产品对真实业务流量进行分析来发现攻击事件,而此时攻击已经发生,如果遭遇勒索病毒这类威胁,则严重后果已经产生,只能亡羊补牢,所以对于银行客户而言,及时的发现攻击并进行处置与响应至关重要。2、网络环境复杂,行业监管严格;银行客户网络在区域划分上非常严格,生产环境、测试环境及实际应用环境等区分严格,且需要面对法律、行政法规、央行、银保监会、证监会和公安机关等多层面的监管,所以就要求网络威胁感知必须覆盖足够全面,尽量保证重要业务系统的安全。且银行用户存储的尽是数据安全中的“重要数据”,《数据安全法》的颁布,无疑让银行用户对于安全防护的要求变得更高,对于内部的误操作或者蓄意窃取行为容忍度更低。3、网络攻击无孔不入,安全防护是刚需;针对金融行业的网络攻击主要有:DDos攻击造成服务中止,获取数据中心权限窃取高价值数据,渗透入内网,进行勒索病毒攻击并进行勒索等。面对这些手段不同、目的不同的网络攻击,单纯的被动防护不足以确保网络的安全,必须采取主动:主动诱导攻击,控制攻击目标;主动牵制攻击者,保护真实资产;主动反制攻击者,起到震慑作用。★安全需求1、全面感知攻击威胁,及时报警响应;正因为网络攻击无孔不入,且攻击形式多样,所以必须要全面感知攻击,并能进行及时的响应,争取处置时间。内网中要可以做到全面覆盖,及时告警。2、覆盖复杂网络环境,保护真实资产;因为网络环境比较复杂,且敏感数据,重要信息分散,所以防护必须覆盖所有重要的数据及业务系统,针对重要资产进行保护,达到隐藏和保护真实资产的目的。3、牵制攻击者精力,争取对抗时间;诱导攻击必须能够集中吸引攻击火力,牵制攻击者时间和精力的目的,以真正实现避实击虚,保护真实资产的目的。同时可以发现真实资产的隐藏管理、系统漏洞,赢得响应处置时间。4、联动防护体系,生成高价值威胁情报。可以将攻击者信息及攻击路径等信息进行整合和导出,生成针对性强、高价值的威胁情报,供整个系统共享, 以提升整个网络防护体系的防护能力。★设计原则★方案实现1、蜜罐部署覆盖所有网域及重要业务系统:客户最终采用的创宇蜜罐解决方案采用私有化部署的方式,采用双机热备方式部署在主备机房,蜜罐覆盖了整个内网核心区域,并将DMZ区的高仿真蜜罐的内网IP通过NAT转换映射到公网IP向互联网开放,再将空域名解析到公网IP,来增加攻击诱捕的效果和感知范围。蜜罐设备、客户端安装配置好后,后续操作管理都在蜜罐控制中心进行,涵盖蜜罐部署、攻击日志查看、攻击者画像、蜜罐态势大屏、风险大盘等功能模块。图1 方案拓扑表1 典型蜜罐列表2、联动方案打造立体化联动联防安全体系:创宇蜜罐还进一步和客户原有态势感知平台、资产测绘、防火墙等实现了数据联动,通过创宇安全智脑实现了威胁情报的打通和再利用,真正实现了打造立体化联动联防安全体系的目标。图2 整体联动示意★方案效果1、全面感知安全威胁,攻击态势“一目了然”;客户采用的蜜罐最终部署方案,使得蜜罐既可以在内网被访问,也可以在互联网侧被访问,扩大了攻击诱捕面。并且着意覆盖了银行官网、邮箱、直销系统等,互联网侧访问较多的业务系统,在攻击者进行早期阶段互联网渗透时就捕获了大量攻击者。图3 创宇蜜罐攻击日志图4 创宇蜜罐捕获到的安全事件 搭配创宇蜜罐的态势大屏,将攻击态势进行评分,蜜罐拓扑直接展示,被攻击过程及资产也是直观可视,最大程度实现了攻击态势的可视化。2、及早攻击发现并报警,应对挖矿木马,保护重要核心资产;勒索病毒、挖矿木马等依靠传统流量检测产品发现,存在明显滞后性,蜜罐应用效果更加明显。以创宇蜜罐系统在客户内网发现挖矿木马的实际案例可以得到证实:部署蜜罐后,管理员发现一高占用蜜罐,通过攻击回放发现攻击者在蜜罐系统中植入了挖矿病毒。客户对内网进行排查,发现内网完全没有受到影响,而蜜罐通过重置操作,即刻释放资源。图5 攻击回放图6 链接追溯为挖矿木马资源点3、记录攻击信息,进行攻击者画像,并生成自身威胁情报;创宇蜜罐通过与攻击者的高交互和虚假数据的提供,极大延长攻击者停留在其中的时间,也更为详尽的记录了攻击者的信息,同时这些攻击信息足够详实,攻击画像足够立体,创宇蜜罐支持这些信息的导出,客户可以根据这些信息进行进一步归并分析,形成自身针对性强,高价值的威胁情报。图7 攻击者列表图8 攻击者画像4、更全面的威胁感知及自身安全性保障,满足合规性要求。《关键信息基础设施安全保护条例》及《数据安全法》现已颁布实施,《网络安全等级保护制度》2.0版本中对于攻击及威胁检测又有明确的要求,创宇蜜罐作为重要的威胁感知系统,不但可以满足客户系统合规的要求,自身安全也获得产品及国家认证,可以为企业合规提供多重保障。 本文始发于微信公众号(知道创宇):银行安全做得好,这个秘诀你必须知道!
阅读全文
STRIDE模型应用于信息安全威胁分析 安全闲碎

STRIDE模型应用于信息安全威胁分析

1.引言功能安全风险分析是对系统的系统性失效和随机性失效进行风险评估,对于网络安全风险,需要通过威胁分析识别系统的威胁场景,用于形成有对应威胁的控制措施和有效的分层防御,威胁分析是信息安全风险分析的重要组成部分。2.威胁分析的步骤威胁分析一般分为四个步骤:确定分析范围,收集系统信息和划定系统边界;架构分解,识别系统组件,确定数据流动,划分出信任边界;威胁识别,识别威胁向量和威胁事件;建立攻击模型,绘制攻击序列图,描述战术、技术和程序,并生成威胁场景。2.1 步骤1:范围确定首先收集系统架构相关的各种信息,技术规格,架构组成,网络拓扑,与系统设计者、管理维护者进行交流以获取信息;根据已有的网络架构图,确定威胁分析的边界,分界线可以是设定的非军事区DMZ,系统安全组件如防火墙、入侵检测系统IDS、入侵防护系统IPS,系统功能相关的组件如数据库、服务器、主机等。2.2 步骤2:架构分解将一个系统分解为不同组件,通过了解组件之间的数据流,用户可以构建一个数据流图。用户应确定容易受到攻击的系统组件,即潜在攻击者可能感兴趣的组件,对系统的业务任务至关重要的数据或功能;以及攻击者特别感兴趣的数据或功能。一旦确定了系统的组成,就需要确定组件之间的数据交互过程。2.3 步骤3:威胁识别威胁识别有不同的办法,如STRIDE模型、攻击树、Kill Chain等。STRIDE在软件安全分析领域应用较多,是微软开发的用于威胁识别的工具,它把威胁分成如下6个维度来考察:1.Snoofing(欺骗)2.Tampering(篡改)3.Repudiation(否认)4.Information disclosure(信息披露)5.Denial of Service(拒绝服务)6.Elevation of Privilege(权限提升)微软将STRIDE应用于软件的威胁识别,这6个维度也可以扩展到系统层面。第3节将介绍STRIDE模型。2.4 步骤4:攻击模型在确定与系统相关的威胁事件后,将这些情况连接到可能的攻击序列中。攻击模型描述了攻击者的入侵方式,以便用户能够确定保护系统所需的缓解控制措施,并确定其实施的优先次序。这些方法绘制攻击者利用组织资源实现其恶意意图的可能的攻击序列,同时,该模型允许用户了解一个威胁成功所需的一系列条件。3.STRIDE模型微软的STRIDE模型把安全威胁可以分为6类,分别用Snoofing、Tampering、Repudiation、Information disclosure、Denial of Service、Elevation of Privilege的首字母表示,合起来简称"STRIDE"。3.1 Snoofing(欺骗)指违背用户的认证信息。攻击者获得了用户的个人信息或使他能够重放认证过程的东西。Snoofing威胁能够冒充有效的系统用户或资源以访问系统从而危及系统安全。示例:恶意冒充者(中间人)伪造IP(互联网供应商)数据包,劫持与服务器的连接。这里的漏洞是,通信协议没有考虑保密性和完整性设计;使用密码而不对其进行加密的认证协议会向窃听者透露凭证信息,然后窃听者可以利用这些信息来冒充用户。这里的漏洞是,凭证信息没有被正确加密;“特洛伊木马”攻击是典型的欺骗。例如,在浏览器上,一个网页可能设法构建一个完全视觉化的系统登录副本,并欺骗用户输入他们的姓名和密码,而不怀疑他们实际上是在向一个网站提供信息;伪造电子邮件。这种情况下的漏洞是缺乏电子邮件信息的保密性和完整性。3.2 Tampering(篡改)指在发现或未发现的情况下修改系统或用户数据。对存储或传输中的信息进行未经授权的更改,对硬盘进行格式化,恶意入侵者在通信中引入一个无法检测的网络数据包,以及对敏感文件进行无法检测的更改,都是篡改威胁。示例:数据包注入攻击,即线路上的数据被修改。这种威胁的漏洞是在链路上发送的数据缺乏完整性;在没有授权检查的情况下修改文件数据。这种威胁的漏洞是缺少访问检查、缓冲区溢出、没有完整性检查等;由于执行错误的代码导致的数据损坏。漏洞包括未处理的内存分配失败,未初始化的内存,使用释放的内存资源,以及除以零等错误计算;数据被木马和病毒破坏或修改。漏洞是指软件对木马病毒的易感性。3.3 Repudiation(否认)指一个不受信任的用户在进行非法操作时没有被追踪的能力。可抵赖性威胁与用户(恶意的或其他的)有关,他们可以否认错误的行为,而没有任何方法可以证明。示例:未被发现的攻击者闯入用户账户的尝试。缺少失败的登录审计的漏洞。用户无意中或恶意地删除了敏感文件。缺少对对象访问的成功审计的漏洞。恶意用户有能力拒绝发送消息。在接受信息之前缺乏信息签名和签名验证的漏洞。3.4 Information disclosure(信息披露)指破坏用户的私人或关键业务信息。信息泄露威胁使信息暴露在不应该看到它的人面前。用户能够阅读他没有被授予访问权的文件,以及入侵者能够在两台计算机之间的传输过程中阅读数据,都是信息泄露威胁。注意,与欺骗威胁不同,在这里,攻击者直接获得信息,而不是通过欺骗合法用户来获得。示例:缓冲区溢出攻击导致的数据泄漏。复杂的攻击,在有漏洞的系统调用(对操作系统或特权服务器的调用)上放置手工制作的调用堆栈,可导致特权代码返回信息,如内核内存转储,返回给未授权用户。这里的漏洞是系统服务中的缓冲区溢出。由于中间人攻击导致的数据窥探,以及简单的攻击,即未加密的数据包被嗅探。还有复杂的攻击,即有缺陷的认证协议使窃听者能够计算或破解会话密钥,从而使窃听者能够解密所有加密和签名的数据。这些漏洞都是网络协议的安全缺陷。未经授权获取数据。漏掉冒充客户端的服务器或不进行访问检查就返回数据的服务器(即使他们进行了冒充)就是例子。漏洞包括漏掉的冒充(即客户端获得对服务器所能访问的任何东西的访问权)或漏掉的访问检查。3.5 Denial of Service(拒绝服务)指使系统暂时不可用或无法使用,例如那些可以强制重启或重新启动用户机器的攻击。当攻击者能够暂时使系统资源(处理时间、存储等)不可用或无法使用时,就存在拒绝服务的威胁。示例:SYN攻击和数据包炸弹,利用各种网络协议漏洞,导致服务器崩溃;复杂的缓冲区溢出问题,如没有长度的参数,可以导致服务器追逐一个不存在的内存位置而崩溃。同样地,GetAdmin式的手工堆栈可以导致特权指令关闭系统;常见的编码错误,如未处理的内存分配失败(引用无效的指针)、未初始化的内存(使用的数据不好)、使用释放的内存和资源(引用无效的内存),以及计算错误(除以0),都会引起异常,使软件崩溃;薄弱的软件设计(设计中固有的或由于错误的配置),如一个进程占用了所有的CPU时间。3.6 Elevation of Privilege(权限提升)指一个没有特权的用户获得了特权访问权,从而有足够的权限来损害和破坏整个系统。这类威胁更危险的方面是以不被发现的方式破坏系统,从而使用户能够在系统管理员不知情的情况下利用特权。特权提升的威胁包括那些允许攻击者拥有超过应有权限的情况,完全破坏了整个系统的安全,并造成极端的系统破坏。示例:缓冲区超限,如GetAdmin攻击中的手工堆栈,导致用户代码以高权限执行,从而危及整个操作系统的可信计算基础;在未经授权用户同意的情况下运行可执行文件的能力,可以使犯罪者进行特权操作,例如使自己成为特权用户;安全子系统本身的访问检查缺失或不当,会导致权限提升。例如,如果管理员的组成员资格在没有访问检查的情况下被更新,就会使一个未经授权的用户成为系统管理员。4.轨道交通领域威胁示例在轨道交通通信和信号系统的信息安全威胁分析时,STRIDE模型可以应用于系统级分析,确定系统的威胁场景,列举一些常见的威胁示例如下:Snoofing欺骗中间人攻击,拦截ATS与列车之间发送的信息,使用第三方工具,两个系统之间监听、拦截、改变、注入或替换信息,向控制中心报告虚假的列车位置,列车报警信息导致调度员做出错误的判断;钓鱼邮件,工作人员打开来自网络钓鱼电子邮件的文档,并在暗中安装了后门程序,允许攻击者访问办公系统。Tampering(篡改)修改ATS系统的数据、配置文件,导致服务降级或中止,安装应用程序用于破坏或占用系统的存储空间,导致影响安全功能;利用缓冲区溢出攻击导致ATS服务器程序持续崩溃、重启。Repudiation(否认)内部人员删除了系统日志导致事故场景无法重现,破坏了有不利行为影响的证据。Information disclosure(信息披露)通过维护工具(端口扫描、网络抓包等工具)或使用附加硬件(窃听、监视传输信号)侦听通信信道或收集系统的信息。Denial of Service(拒绝服务)使用第三方工具,向列车控制网发送大量的无用流量淹没系统而使其正常服务瘫痪,通过假数据使网络超载和堵塞,通信渠道可能会影响列车控制的正常的通信传输导致停车;错误配置导致日志文件不能正确覆盖导致迅速填满磁盘空间,占用CPU资源导致服务中断;同频无线干扰导致车地无线传输受到干扰,列车控制功能中断,功能降级。Elevation of Privilege(权限提升)由于存在漏洞,普通用户逃脱受限shell并获得主机的root权限,允许他执行特权命令。5.结语近年来,勒索攻击和信息泄露是关键基础设备信息安全的最大威胁,但由于轨道交通互联互通、数据共享的需求以及IT网络和OT网络互通的发展,以上六个方面的系统安全威胁都客观存在。从系统软件开发角度,很多威胁是利用了软件设计时未考虑或欠考虑的缺陷,这些缺陷隐藏在系统中,也会成为攻击者利用的潜在漏洞。因此,在新系统研发时,从顶层设计就进行安全威胁分析和安全需求设计,降低系统安全风险和后期补充对抗措施的成本感言:这篇文章花的时间比较长,轨道交通网络安全可查的资料比较少,在轨道交通领域,信息安全领域一般由信息安全部门负责,是属于IT,而生产设施属于OT,两者从专业领域来看存在一定的鸿沟。如何从系统层面入手,进行信息安全的顶层设计,应该投入多大的成本来做这件事,也是笔者一直思考的。在这篇文章刚完成时,看到一篇来自新华网的新闻报道“伊朗交通部门连续遭到网络攻击”,下面是链接:http://www.xinhuanet.com/world/2021-07/12/c_1211236201.htm其中网络攻击有勒索病毒和网络欺骗手段破坏列车追踪显示系统,看来国际局势并不太平,提高轨道交通基础设施的网络安全防护能力势在必行。参考资料:"The STRIDE Threat model". MicrosoftKohnfelder, Loren; Garg, Parerit. The threat to our products. Microsoft Interface. 本文始发于微信公众号(薄说安全):STRIDE模型应用于信息安全威胁分析
阅读全文
网络安全攻防:威胁情报 安全闲碎

网络安全攻防:威胁情报

01 什么是威胁情报网络空间的安全对抗日趋激烈,传统的安全技术不能全面满足安全防护的需要。当前,安全业界普遍认同的一个理念是:仅仅防御是不够的,更需要持续地检测与响应。然而要做到持续有效的检测与快速的响应,安全漏洞、安全情报必不可少。2013年,Gartner 首次提出关于威胁情报的定义:威胁情报是关于现有或即将出现的针对资产有威胁的知识,包括场景、机制、指标、启示和可操作建议等,且这些知识可为主体提供威胁的应对策略。简单来讲,威胁情报就是通过各种来源获取环境所面临的威胁的相关知识,主要描述现存的、即将出现的针对资产的威胁或危险。Forrester 认为威胁情报是针对内部和外部威胁源的动机、意图和能力的详细叙述,可以帮助企业和组织快速了解到敌对方对自己的威胁信息,从而帮助提前威胁防范、攻击检测与响应、事后攻击溯源等能力。威胁情报颠覆了传统的安全防御思路,它以威胁情报为核心,通过多维度、全方位的情报感知,安全合作、协同处理的情报共享,以及情报信息的深度挖掘与分析,帮助信息系统安全管理人员及时了解系统的安全态势,并对威胁动向做出合理的预判,从而将传统的“被动防御”转变为积极的“主动防御”,提高信息系统的安全应急响应能力。如果说了解漏洞信息是“知己”,那么掌握安全威胁则是“知彼”。02 威胁情报的用途1. 安全模式突破和完善基于威胁情报的防御思路是以威胁为中心的,因此,需要对关键设施面临的威胁做全面的了解,建立一种新型高效的安全防御体系。这样的安全防御体系往往需要安全人员对攻击战术、方法和行为模式等有深入的理解,全面了解潜在的安全风险,并做到有的放矢。2. 应急检测和主动防御基于威胁情报数据,可以不断创建恶意代码或行为特征的签名,或者生成NFT(网络取证工具)、SIEM/SOC(安全信息与事件管理/安全管理中心)、ETDR(终端威胁检测及响应)等产品的规则,实现对攻击的应急检测。如果威胁情报是 IP、域名、URL等具体上网属性信息,则还可应用于各类在线安全设备对既有攻击进行实时的阻截与防御。3. 安全分析和事件响应安全威胁情报可以让安全分析和事件响应工作处理变得更简单、更高效。例如,可依赖威胁情报区分不同类型的攻击,识别出潜在的APT高危级别攻击,从而实现对攻击的及时响应;可利用威胁情报预测既有的攻击线索可能造成的恶意行为,从而实现对攻击范围的快速划定;可建立威胁情报的检索,从而实现对安全线索的精准挖掘。03 威胁情报的发展以威胁情报为中心的信息安全保障框架对于生活和生产关键基础设施的稳定运行、军事作战指挥能力保障及国际社会的和平稳定具有重大意义,它受到了来自各国政府、学术界以及全球大型互联网企业的高度重视。近几年,威胁情报行业增长迅速,如 CrowdStrike、Flashpoint、iSight Partners等威胁情报厂商通过建立的威胁情报中心可从网络犯罪、信誉库、漏洞、恶意软件等多个角度满足不同用户的特定需求。随着网络安全态势日趋复杂化,威胁情报的研究越显重要。参与威胁情报感知、共享和分析的各方结合自身业务流程与安全需求,针对核心资产增强威胁情报感知能力,积极融合云计算、大数据等前沿技术,建立威胁情报深度分析系统,在深度挖掘与关联融合的基础上做好安全态势评估及风险预警,动态调整安全策略,部署快速可行的安全响应战术,确保关键资产的信息安全。威胁情报要发挥价值,一个关键问题在于实现情报信息的共享。只有建立起一套威胁情报共享的机制,让有价值的威胁情报有效流通,才能真正建立起威胁情报的生态系统。当然,威胁情报的生态系统包括两个方面,即威胁情报的生产和威胁情报的消费。威胁情报的生产就是通过对原始数据的采集、交换、分析、追踪等,产生和共享有价值的威胁情报信息的过程;威胁情报的消费则是指将监测到的安全数据与威胁情报进行比对、验证、关联,并利用威胁情报进行分析的过程。因此,一个先进的防御系统应本着“和平利用、利益均衡”的原则开展安全协同共享,努力构筑和谐、健康、成熟的威胁情报生态圈,而威胁情报的生产和消费过程则可更有利构筑一个安全情报生态系统的闭环。04 威胁情报的数据采集威胁情报是从多种渠道获得用以保护系统核心资产的安全线索的总和,在大数据和“互联网+”应用背景下,威胁情报的采集范畴极大扩展,其获取来源、媒体形态、内容类型也得到了极大的丰富,如防火墙、IDS、IPS等传统安全设备产生的与非法接入、未授权访问、身份认证、非常规操作等事件相关的安全日志等都是威胁情报的数据来源,还包括沙盒执行、端点侦测、深度分组检测(DPI)、深度流量检测(DFI)、恶意代码检测、蜜罐技术等系统输出结果,及安全服务厂商(如FireEye)、漏洞发布平台(如 CVE)、威胁情报专业机构(如CERT)等提供的安全预警信息。05 威胁情报的分析方法威胁情报本来只是一种客观存在的数据形态,只有通过先进的智能分析才能被安全防御者感知和利用。关联融合、时间序列、流数据技术等可应用于从海量的网络信息中提取威胁特征,有助于威胁情报的横向和纵向关联分析;聚类分析、协同推荐、跨界数据融合等技术可用于深度挖掘多维线索之间隐藏的内在联系,进而实现对系统的整体威胁态势进行行为建模与精准描述。大数据分析、深度学习、人工智能 2.0 等新技术则可用于协助构建威胁情报的智能研判与综合预警平台。06 威胁情报的服务平台1. IBM-X-ForceX-Force Exchange能够为全球提供对IBM及第三方威胁数据资源的访问,包括实时的攻击数据。它整合了IBM的威胁研究数据和技术,包括Qradar安全情报平台、IBM客户安全管理服务分析平台。IBM声称该平台集聚了超过700 TB的原始数据,并在不断更新。X-Force Exchange的用户可以共享利用多种数据资源,包括:世界上最大的漏洞目录之一、基于每天150亿起安全事件监控的威胁情报、来自2700万终端网络的恶意威胁情报、基于250亿网页和图片的威胁信息、超过 800万封垃圾邮件和钓鱼攻击的深度情报、接近 100万恶意 IP地址的信誉数据等。X-Force 平台还包括帮助整理和注释内容的工具,以及在平台、设备和应用程序之间方便查询的API库,允许企业处理威胁情报并采取行动。IBM表示,该平台还将提供对STIX和TAXII的支持,以及自动化威胁情报共享和安全方案整合新标准的支持。2. 360威胁情报中心360威胁情报基础信息查询平台向业界开放免费查询服务,这是国内首个向公众开放的威胁情报数据查询服务平台。360威胁情报基础信息查询平台的上线标志着国内安全威胁情报共享进入新阶段,所有安全厂商、政企用户的安全研究与分析人员在经过线上注册审核后,都可以免费进行查询。360威胁情报中心具有关联分析和海量数据两大特色。互联网安全的数据是多种多样且相互关联的,但依靠孤立的数据无法进行未知威胁的分析和定性,只有将信息关联起来才能看清整体的威胁态势。平台可以将用户所提交的查询信息关联起来,协助用户进行线索拓展,对安全分析工作提供有力帮助。360 公司基于多年的互联网安全大数据积累,拥有全球独有的安全样本库,总样本量超过95亿,包括互联网域名信息库(50亿条DNS解析记录),还包括众多第三方海量数据源。基于情报中心大数据,可有效帮助用户进行多维关联分析,挖掘出在企业自身或组织内部分析中无法发现的更多安全隐患线索。3. 阿里云盾态势感知阿里云盾态势感知是全球唯一能感知“渗透测试”的安全威胁服务平台,如可以区分脚本小子和高级黑客、识别零日应用攻击、捕捉高隐蔽性的入侵行为、溯源追踪黑客身份等。云盾平台利用大数据,可对高级攻击者使用的零日漏洞攻击进行动态防御,如可以采用新型病毒查杀,并通过爬取互联网泄露的员工信息,实时告警、杜绝黑客“社工”;能够对各种潜在威胁及时识别和汇总分析;能够实现基于行为特征的Webshell检测、基于沙箱的恶意病毒精确查杀等。07 威胁情报的开源项目1. 安全威胁情报共享框架OpenIOCMANDIANT 公司基于多年的数字取证技术积累,将使用多年的情报规范开源后形成OpenIOC(Open Indicator of Compromise)框架,它是一个开放灵活的安全情报共享框架。利用OpenIOC,重要的安全情报可以在多个组织间迅速传递,极大缩短检测到响应的时间延迟,提升紧急安全事件响应与安全防范的能力。OpenIOC本身是一个记录、定义以及共享安全情报的格式,以机器可读的形式实现不同类型威胁情报的快速共享。OpenIOC本身是开放、灵活的框架,因此可以方便添加新的情报,完善威胁情报指标IOC。OpenIOC的工作流程如下。(1)获取初始证据:根据主机或网络的异常行为获取最初的数据。(2)建立IOC:分析初步获得的数据,根据可能的技术特征建立IOC。(3)部署IOC:在企业的主机或网络中部署IOC,并执行检测。(4)检测发现更多的可疑主机。(5)IOC优化:通过初步检测可获取的新证据进行分析,优化已有的IOC。OpenIOC推出了IOCeditor和Redline两款工具。IOCeditor用来建立IOC,Redline负责将IOC部署到主机并收集信息进行分析。2. CIFCIF(Collective Intelligence Framework)是一个网络威胁情报管理系统,它结合了多个威胁情报来源获取已知的恶意威胁信息,如IP地址、域名和网址信息等,并利用这些信息进行事件识别、入侵检测和路由缓解等。3. OSTrICaOSTrICa 是一个免费的开源框架,采用基于插架的架构。OSTrICa 自身并不依赖外部的库,但安装的插件需要依赖库。OSTrICa可以实现自动从公开的、内部的、商业的数据源中收集信息,并可视化各种类型的威胁情报数据,最终由专家来分析收集的情报,并显示成图形格式,还可基于远程连接、文件名、mutex等,显示多个恶意软件的关联信息。4. CRITsCRITs 也是一个网络威胁数据库,不仅可作为攻击和恶意软件库的数据分析引擎,还提供了恶意软件分析能力。CRITs 采用简单实用的层次结构来存储网络威胁信息,这种结构具备分析关键元数据的能力,可以发现未知的恶意内容。微信公众号:计算机与网络安全ID:Computer-network一如既往的学习,一如既往的整理,一如即往的分享。感谢支持“如侵权请私聊公众号删文”扫描关注LemonSec觉得不错点个“赞”、“在看”哦 本文始发于微信公众号(LemonSec):网络安全攻防:威胁情报
阅读全文
腾讯安全防守队武器库系列(四):指挥中枢篇 安全文章

腾讯安全防守队武器库系列(四):指挥中枢篇

长按二维码关注腾讯安全威胁情报中心前面我们已经谈了腾讯安全系列产品的雷达·高级威胁检测系统、导弹防御系统·网络入侵防护系统,以及与恶意入侵行为帖身近战的入侵检测网·腾讯零信任iOA系统。基本介绍了企业应对黑客攻击由远及近的防护体系,如何将企业各个独立运行的防护子系统构成一个完整统一的体系,发挥1+1>2的效能,企业安全运维团队迫切需要一个指挥中枢系统,腾讯安全运营中心(SOC)承担了这一角色。腾讯安全防御武器库系列·腾讯安全运营中心(SOC)腾讯安全运营中心(SOC)是为企业客户提供统一的安全管理平台,通过这个平台,协调管理企业现有的安全防护产品和团队,结合腾讯威胁情报数据,实现对威胁事件日志收集、威胁检测事件告警、威胁事件关联分析、对威胁事件及时处置等一系列安全响应活动的有效管理调度,输出3D可视化的管理界面,为企业安全管理层提供决策参考。简单一句话,腾讯安全运营中心(SOC),就是承担企业网络安全战役的指挥中枢系统。腾讯SOC典型应用场景腾讯安全运营中心(SOC)实战案例1资产安全现状调查腾讯安全专家团队服务于某重保客户,通过腾讯安全运营中心(SOC)对全网资产进行摸底调查,结果盘点出若干台未落实到人不知具体归属的服务器资源,而因为无人管理,该服务器上检测到多个高危漏洞。在重保实战开场前,腾讯SOC已立下头功。2捕获处置钓鱼邮件攻击事件在某重保客户使用场景,腾讯零信任iOA捕获到有针对性的钓鱼邮件攻击活动,零信任iOA的相关进程告警数据会上报至腾讯SOC数据中心,SOC会汇总全网各个节点的威胁告警数据并对数据进行分析处理,最终这起钓鱼邮件攻击事件的完整脉络会呈现在SOC管理界面。告警信息显示某台电脑通过outlook启动了一个7zfm.exe进程解压出一个可疑exe运行,随后该可疑exe有外链行为。安全运维人员判断这是一起高风险的疑似攻击活动,相关可疑文件被迅速提交腾讯安全驻场专家分析鉴定,结果判定为某个远控后门程序。管理员随后通过腾讯SOC联动腾讯天幕(NIPS)处置,将危险外联IP全网封禁,腾讯零信任iOA也顺利完成恶意程序清除。事件通过腾讯SOC的指挥调度,完成威胁发现、检测、鉴定、处置闭环。31其他应用场景重保客户安全运维管理团队通过安全运营中心可视化大屏轮播的企业资产现状、脆弱性态势、威胁态势、攻击态势、流量态势、租户态势等数据输出时刻掌握战场整体状况。根据现场展示的漏洞态势和攻击事件列表,采取必要的处置措施修复漏洞,调查处置威胁事件。在该重保单位,腾讯安全各个安全子系列在腾讯安全运营中心平台集中管控下各司其职,协同工作,整个体系的能力顺利打通。腾讯高级威胁检测系统(NTA,御界)、腾讯零信任iOA、腾讯天幕(NIPS),分别从流量检测分析、终端安全保护、网络边界封堵,以腾讯安全威胁情报为安全服务中台,各产品有机衔接,在极短时间内响应最新威胁,对重点事件深入分析进行威胁溯源,打造重保企业安全威胁事件响应处置闭环。重保服务期间,腾讯安全上线TSRC威胁信息共享计划,联合100+以上的企业共享最新威胁情报数据,累计共享可封禁IOC 10066个,情报侧漏洞共享84个,拦截攻击超10亿次,完成超过3万个IP的去误报服务,受到共享情报参与单位的一致好评。腾讯安全运营中心(SOC)的核心能力1.安全信息数据协作统管SOC为客户提供安全数据和信息集中统一管理平台,包含安全设备告警日志、系统日志、网络流量,并从以上数据中发现潜在风险资产、未被监管资产。系统预制近300种主流设备解析策略,同时支持个性化数据自定义解析策略。帮助用户高效地与各类型安全设备协同,集中进行安全监测、分析和处置响应,实战过程all in one。2.多源数据关联分析能力内置400余条安全告警关联分析规则,并支持用户基于业务场景自定义规则。支持将多源事件关联分析,并可关联资产信息找的高价值告警。支持引用其他规则结果实现复杂场景的关联。3.用户实体行为分析(UEBA)UEBA行为异常分析引擎,对组织人员、实体进行持续学习分析获得行为基线,来发现其偏离个体或群体正常基线的异常、风险行为。通过对异常、风险行为分析,对用户和实体进行画像,累计获得风险得分,针对高风险行为用户或实体优先进行处置,提升安全运营人员分析研判效率。SOC预定义9大场景、26个细分子类异常检测场景。4.安全编排自动化与响应(SOAR)SOAR是一系列技术的合集,能够帮助企业收集安全运营团队监控到的各种信息(包括各种安全系统产生的告警),并对这些信息进行事件分析和告警处置,可以将SOAR理解成处置特定威胁事件的一系列检查、恢复流程清单。SOAR 通过编排和执行安全剧本的方式,完成原来需要多人力多系统多界面协同才能处置的安全任务,可大幅节约响应时间,降低人员依赖,提高工作效率,保障应急处置质量。5.通过腾讯天幕(NIPS)联动处置威胁依靠旁路部署实现旁路阻断封禁威胁IP,提供阻断API与腾讯天幕(NIPS)进行联动,实现安全威胁的闭环处置,帮助客户在不影响业务的情况下快速封禁和阻断。6. 风险量化安全态势可视SOC的安全BI能力(商业智能)支持安全分析人员创建监测仪表板,针对特定安全数据、场景进行可视化实时监控。SOC报表为安全管理人员提供统计分析工具,周期性输出安全运营各维度指标,为其对安全人员、运营和流程的管理优化提供支撑。SOC的态势大屏为安全管理领导层宏观呈现全局安全态势,为其对业务安全的持续改进和决策提供全局视角。点击阅读原文,了解腾讯安全运营中心(SOC)的更多信息。参考链接:腾讯安全防守队武器库系列(一):雷达篇腾讯安全防守队武器库系列(二):陆基导弹防御系统篇腾讯安全防守队武器库系列(三):入侵检测网篇关于腾讯安全威胁情报中心腾讯安全威胁情报中心是一个涵盖全球多维数据的情报分析、威胁预警分析平台。依托顶尖安全专家团队支撑,帮助安全分析人员、安全运维人员快速、准确地对可疑威胁事件进行预警、处置和溯源分析。长按二维码关注腾讯安全威胁情报中心 本文始发于微信公众号(腾讯安全威胁情报中心):腾讯安全防守队武器库系列(四):指挥中枢篇
阅读全文
“十四五”网络安全领域发展的五个特点 云安全

“十四五”网络安全领域发展的五个特点

今年是“十四五”的开局之年,网络安全领域“十四五”期间面临三个重大的历史任务:系统重塑网络空间国防和国家安全能力;全面提升关键信息基础设施安全防护水平,有效保障国民经济体系的数字化转型;充分满足公民个人信息和隐私的安全保障需求。从具体的发展趋势上,将呈现出五个特点:一、增量同步建设和存量能力补课并举。信息化增量新场景安全防护同步规划建设运营,存量系统的全面改善暴露面、漏洞、补丁、配置、身份账户等方面安全治理能力。二、威胁对抗驱动防护能力升级。在原有的捕获响应、以攻验防等基本动作的基础上,全面感知跟踪网络威胁行为体和威胁活动,基于威胁框架完成威胁技战术情报的形式化运营,并以此驱动产品防御能力的功能升级,牵引防御指标体系演进、推动全生命周期安全运营的落地。三、安全防御支点重新向系统安全侧回归。随着广泛加密和资产云化和攻击者突防能力提升,传统网关边界安全作用被明显虚弱,系统安全层面作用凸显。无论是传统桌面端点、专用工作站、服务器主机、云和虚拟化节点、容器,还是新型的BYOD、IoT场景,都需要在底层构建防御能力,同时实现统一管理运营。四、安全管理要求深化整合。密码安全一体化,保密安全一体化的融合都在全面加速。五、网络安全企业实现自我数字化转型。安全产品支撑能力和服务形态与模式全面重构。把握重大发展机遇,顺应发展趋势,将为网络安全产业带来深远影响,特别是关键信息基础设施安全防护的要求强化,将带来空前产业机遇。《关键信息基础设施安全保护条例》(以下简称“条例”)的颁布施行,从政策法规层面,创造了系统、深度、刚性的安全需求,是网络安全需求侧改革的重要举措。2020 年 12 月 11 日召开的中共中央政治局会议提出:“要扭住供给侧结构性改革,同时注重需求侧改革”,这是中央文件中首提需求侧改革,而这一点对网络安全能力建设和产业发展非常关键。《条例》使关键信息基础设施安全问题不再只是单纯的建设运营机构自身安全防护问题,其建构在关键信息基础设施安全与国家安全、社会安全、政企机构安全以及人的安全,从这4个层面相关的维度形成了需求导向和指引。从网络安全需求侧改革角度来看,既有增量性需求,亦有结构性需求,是一次整体、多维的需求变革,必将进一步激发网络安全市场规模与活力。《条例》中“建立健全本行业、本领域的关键信息基础设施网络安全监测预警制度,及时掌握本行业、本领域关键信息基础设施运行状况、安全态势,预警通报网络安全威胁和隐患”“对关键信息基础设施每年至少进行一次网络安全检测和风险评估”“国家网信部门统筹协调有关部门建立网络安全信息共享机制,及时汇总、研判、共享、发布网络安全威胁、漏洞、事件等信息,促进有关部门、保护工作部门、运营者以及网络安全服务机构等之间的网络安全信息共享”等系列细项条目,将进一步释放行业、领域的安全态势与通报预警类平台项目的建设需求,对保护工作部门、运营者等相关方体系化安全防护能力建设、常态化安全监测与检测以及风险后果视角的分析评估等提出了更高的要求,对相关方针对威胁事件的快速响应、深度分析、高价值威胁情报的生产与规则分发,运营者消费威胁情报检测、分析、猎杀、溯源等能力有了更高的要求,同时这也是对安全服务机构供给解决方案与创新产品提出的更高要求。从供给侧变革的角度来看,网络安全服务机构应具备相应能力,一方面应能够协助运营者从网空攻击对抗视角梳理业务资产、内外部环境并评估资产价值,通过遍历技术框架认知威胁行为,立足实际可承担后果分析评估安全能力建设需求,作为安全规划和持续改进的起点;另一方面,能够供给端点统一安全管理和响应、欺骗式防御、流量监测与响应、文件动态沙箱分析、应急处置和威胁猎杀工具以及安全监测分析、威胁猎杀、重要敏感时期安全保护等优秀产品解决方案,形成全场景的有效防御覆盖与可信场景构造能力、深度的威胁监测与检测能力,并通过深度威胁分析与欺骗式防御能力供给,驱动客户完成从威胁情报消费到自主安全能力生产的智能化安全运营变革,从而达到综合安全防护能力不断优化提升的目标。原文来源:中国信息安全“投稿联系方式:孙中豪 010-82992251   [email protected]” 原文始发于微信公众号(关键基础设施安全应急响应中心):“十四五”网络安全领域发展的五个特点
阅读全文
威胁情报共享之野望 安全闲碎

威胁情报共享之野望

2021年的RSAC大会上,网络威胁联盟(CTA,Cyber Threat Alliance)分享了《错误的假设:为什么情报共享失败》的议题,讨论了美国情报分享业务开展多年,但是到目前威胁情报共享依旧挫折不断,CTA认为在情报共享中一直存在三个错误的假设: (1)认为威胁信息就是技术型的数据,如文件Hash、IP信誉等内容,其实还包括战术、操作、战略情报的内容; (2)认为所有组织都应该共享技术型数据,而事实是很多企业没有情报分析和生产的能力,彼此之间的情报共享价值很不确认; (3)认为建立共享通道后情报共享就很容易,而实际情况是获取共享情报后依旧需要投入信任、金钱、时间和关注力。美国的情报共享机制开展了很多年,为应对定向攻击/APT攻击,早在2015年,美国政府层面就成立了由国家情总监办公室管辖的CTIIC网络威胁与情报整合中心,补充国土安全部下属的NCCIC网络安全和通信整合中心的整合推动能力,负责分析和整合国土安全部、联邦调查局、中央情报局、国家安全局等部门收集到的网络威胁信息。美国还建立了多个跨行业的信息共享中心(ISACs),以促进私营行业与关键技术设施部门之间实施共享威胁情报,截止到2021年3月,美国已成立26家信息共享中心。由Check Point、Cisco、Fortinet、Paloalto等安全厂商牵头共建的独立非盈利会员组织 -- 网络威胁联盟CTA,致力于在公司和组织之间实现实时、高质量的网络威胁信息共享,并与计算机应急响应小组CERT、信息共享和分析组织ISAC、非盈利组织建立合作伙伴关系,目前拥有33个企业成员。另外,在美国安全企业之间,还存在通过社区合作来进行情报共享的情况,社区中企业在规模和业务方面存在较大的差异,期望通过情报共享能够有效地推动能力互补。而国内也设立了一些威胁情报共享的组织和平台,包括由中国科学院信息工程研究所牵头、联合国内11家单位共建的国家威胁情报共享平台CNTIC,以及旨在以安全威胁情报为核心、打造平等互惠的新生态圈模式的烽火台安全威胁情报联盟等组织,都在尝试推动国内的威胁情报共享工作。但目前看来,这威胁情报共享工作进展依旧不通畅。 从理论层面,TAXII威胁情报交换规范中定义了三类共享机制:P2P共享模式、单向订阅模式、Hub共享模式,这三类情报共享机制几乎覆盖了所有的情报共享场景。既然理论的共享机制相对完善,而现实情况下整个共享过程却不通畅,在笔者看来,主要是共享场景和共享内容方面的问题。 在共享场景方面,目前主要是IOC Feeds的共享和下发,对于参与共享的安全厂商而言,我共享的是我的核心IOC数据,但是获取到的IOC Feeds信息的准确性和及时性,却难以判断,甚至是没有用的,导致参与共享的厂商都认为自己共享的多,获得的收益少,进而陷入恶性循环。这是因为,对于安全厂商生产的IOC,本质上是基于自身业务在网络环境中的观测,结合自身的安全检测和分析能力进行生产和沉淀的,自己认为是“高价值的”;但是不同厂商在整个网络环境中的观测都是片面的、重合度少的,A厂商基于自己业务观测和分析生产出来的“高价值”IOC情报,在B厂商看来是“难以确认的”,并不敢直接用于自身的安全检测和阻断业务中,最多只是当作另一类“观测数据”,需要进行二次分析和确认才能进行使用。这导致在A厂商和B厂商看来,都是“不值当的”。更别说个别安全厂商为了避免自身的威胁情报被二次使用和出售,故意在情报数据中参杂了一些“标记假数据”。 而在共享内容方面,目前共享的内容以IOC情报、样本为主,缺失攻击相关的上下文信息,对于参与威胁情报共享成员,看到的共享情报信息都是知其然但不知其所以然,并且目前尚缺乏中立的威胁情报质量的评估机构和较准确的评估体系,就更不敢在产品中直接使用共享的威胁情报了。 针对这种情况,笔者在情报共享场景和共享内容方面,提出的一些意见如下: 首先是情报共享场景,笔者认为,情报共享困难本质上是由于不同安全厂商部署的安全设备,所观测到的网络攻击和威胁是不一样的,都是互联网中的一个角落,彼此观测到的数据都不一样,共享过来的内容就更加难以信任了,A厂商观测到某IP发动的是DDoS攻击,B厂商看到的某IP实施SQL注入攻击,可能两家厂商的观测都是准确的,但是很难说服两家厂商信任彼此的情报内容,因为缺乏相同的观测数据。这种情况下,索性就对不同厂商的观测能力进行开放和共享,将观测到的结果和上下文分发共享到有需求的厂商。不同部门和厂商都有网络数据观测的需求,可能是用于攻击组织追踪,也可能是对可疑的观测数据进行判断和评估,这时,该部门只需要将观测数据需求提交给共享中心,由共享中心将观测需求的任务下发到接入的成员单位,成员单位则基于自身构建的SOC进行观测,将原始的观测结果进行匿名化、隐私化、统计化处理后,返回给观测需求的提出部门,根据更多的观测结果,提交需求的厂商就可以对观测数据进行进一步的判断和评估。 其次,在情报共享的内容方面,建议将原先IOC情报维度的情报共享,换成攻击事件维度共享,IOC情报在实际的应用中需要结合实际场景和上下文开展检测或阻断服务,泛泛的IOC情报指标共享由于准确度、上下文的因素,使用起来存在较大的不确定性。这时,针对安全事件的线索收集、分析、判断、处置建议等信息的共享,内容更加丰富和饱满。在STIX2.1中围绕威胁信息的表达,较完备的定义了威胁相关的18个元素,通过这18个元素详情和元素之间的关联关系,可以较完备的描述一个安全事件。典型的,在某次安全事件的分析过程中,关注的内容主要包括: (1)攻击战役信息,即攻击事件背景描述; (2)攻击模式信息,攻击者使用到的攻击手法; (3)分析和追溯到的攻击者信息和身份信息,如攻击者的ID、QQ号、邮箱、手机号等; (4)基础设施信息,攻击者攻陷或利用的IP、域名等; (5)位置信息,攻击者和被攻击者的位置; (6)恶意样本,攻击者使用的恶意样本; (7)恶意软件分析信息,即恶意软件动静态分析信息的打包,包括IDA和OD等; (8)分析报告信息,收集关于攻击的其他分析报告,可以不断补充; (9)工具,攻击者攻击过程中使用的工具软件、Payload等; (10)脆弱性信息,攻击者使用的漏洞分析信息、PoC等; (11)可观测数据,包括攻击过程中收集到的IP、域名、Hash、URL、加密钱包、互斥体、注册表键值、邮箱、邮件信息、目录名、AS、MAC、网络流量、进程、用户账户、证书等内容; (12)攻击指标信息,攻击过程中可以用于检测和阻断的攻击指标,包括IP、域名、Hash、URL、YARA、IPS、Sigma、Playbook、分析规则等内容; (13)应对措施信息,针对此次攻击,相应的响应处置和缓解措施; (14)意见,即不同的分析人员在对事件分析过程中,根据自身经验补充的判断。 通过对该次安全事件的较完整上下文信息进行共享,成员均可以拿到丰富的事件信息进行分析和补充,再进行二次共享,参与共享的安全厂商就能获得更多的“增益”情报信息。 当然,情报共享过程中的激励机制和计费机制,也是需要重点考虑的,但是笔者认为这并不是制约当前情报共享困境的核心问题,在此就不讨论了。参考资料 360政企安全,直击RSAC 2021丨从“向前防御”探究情报共享必要性,https://mp.weixin.qq.com/s/WoFekjTMfszeGQkbaHHhqQ  金湘宇,网络安全情报体系介绍  Cyber Threat Alliance,https://cyberthreatalliance.org/  Aviram Zrahia,Threat intelligence sharing between cybersecurity vendors: Network, dyadic, and agent views,Journal of Cybersecurity.  The Trusted Automated eXchange of Indicator Information (TAXII™) ,https://taxiiproject.github.io/getting-started/whitepaper/最后,小小的吸粉一波,关注公众号获取笔者持续更新的文章和搜集整理的相关资料,欢迎随时交流和讨论! 本文始发于微信公众号(小强说):威胁情报共享之野望
阅读全文
勒索病毒对关键信息基础设施威胁的预警 云安全

勒索病毒对关键信息基础设施威胁的预警

5月7日,美国最大燃油运输管道商“科洛尼尔”(Colonial Pipeline)公司遭遇勒索软件攻击,被迫暂停石油输送业务,对美国东海岸燃油供应造成了严重影响。勒索病毒是泛指一切通过锁定被感染者计算机系统或文件并施以敲诈勒索的新型计算机病毒,被勒索病毒感染后,将导致重要文件无法读取、关键数据被损坏、计算机被锁死无法正常使用等情况,为了指引被感染者缴纳赎金,勒索病毒还会在桌面等明显位置生成勒索提示文件,被感染者需要通过缴纳高额赎金才能获取解密密钥恢复计算机系统和数据文件的正常使用,有时即使缴纳了高额的赎金也未必能正常恢复数据。因此,勒索病毒具有数据恢复代价大和数据恢复可能性极低的特点。近几年,关键信息基础设施一直是黑客利用勒索病毒攻击的重点目标,一旦感染将给企业和用户带来无法估量的损失。各单位应引起高度警惕,组织做好相关防范工作。勒索病毒传播途径(一)网站挂马用户浏览挂有木马病毒的网站,上网终端计算机系统极可能被植入木马并感染上勒索病毒。(二)邮件传播邮件传播是目前互联网上常见的病毒传播方式。攻击者通过利用当前热门字样,在互联网上撒网式发送垃圾邮件、钓鱼邮件,一旦收件人点开带有勒索病毒的链接或附件,勒索病毒就会在计算机后台静默运行,实施勒索。(三)漏洞传播通过计算机操作系统和应用软件的漏洞攻击并植入病毒是近年来流行的病毒传播方式。最典型的案例是2017年在国内泛滥的WannaCry大规模勒索事件,攻击者正是利用微软445端口协议漏洞,进行感染传播网内计算机。(四)捆绑传播攻击者将勒索病毒与其他软件尤其是盗版软件、非法破解软件、激活工具进行捆绑,从而诱导用户点击下载安装,并随着宿主文件的捆绑安装进而感染用户的计算机系统。(五)介质传播攻击者通过提前植入或通过交叉使用感染等方式将携有勒索病毒的U盘、光盘等介质进行勒索病毒的移动式传播。此种传播途径往往发生在文印店、公共办公区域等高频交叉使用可移动存储介质的场所,也可能通过广告活动派发、街区丢弃等方式实现诱导用户使用携带勒索病毒的U盘、光盘。携带勒索病毒的光盘、U盘一旦接入计算机,勒索病毒即可能随着其自动运行或用户点击运行导致计算机被感染。防护建议(一)定期做好重要数据、文件的异地/异机容灾备份工作,重要系统应采取双活容灾备份;(二)采取必要措施加强计算机系统安全防护,定期开展漏洞扫描和风险评估。(三)及时更新升级系统和应用,修复存在的中高危漏洞;(四)安装主流杀毒软件并及时升级病毒库,定期进行全面病毒扫描查杀;(五)在系统中禁用U盘、移动硬盘、光盘的自动运行功能,不要使用/打开来路不明的U盘、光盘、电子邮件、网址链接、文件;(六)在电脑及服务器等终端上关闭445、135、137、138、139、3389、5900等端口;(七)避免使用弱口令,为每台服务器和终端设置不同口令,且采用大小写字母、数字、特殊字符混合的高复杂度组合结构,口令位数应8位以上。(八)不要在网上下载安装盗版软件、非法破解软件以及激活工具;(九)关闭不必要的文件共享权限;(十)尽量避免直接对外网映射RDP服务及使用默认端口。  美国最大燃油运输管道商“科洛尼尔”7日遭到网络攻击暂停运营,美国政府9日就宣布国家进入紧急状态,可见此次网络攻击的影响范围非常广也非常严重。接着,当地时间14日,爱尔兰卫生服务执行局(HSE)宣布遭受“重大勒索软件攻击”,攻击者要求HSE支付赎金,否则将要永久封锁一个系统或公开受害者的数据。事发后,HSE随即关闭了其计算机系统,并接受网络安全专家、警方、国防军和政府等多方支持协助调查。一时间,网络威胁的阴云再次硝烟四起。这是发生在其他国家,如果是发生在我国的关键信息基础设施上后果会如何?如果是真正的网络战,关键信息基础设施必将成为敌人攻击的首要目标。所以相关关键信息基础设施单位一定要提高政治站位,加强网络安全建设,提高网络安全防护能力,时刻掌握自己的网络安全风险状况,将网络安全风险控制在可控范围内。 本文始发于微信公众号(信息安全国家工程研究中心):勒索病毒对关键信息基础设施威胁的预警
阅读全文
网络安全威胁信息共享的基石|威胁情报标准 云安全

网络安全威胁信息共享的基石|威胁情报标准

01 写在前面 近期,各行业在践行威胁情报产品赋能时,奇安信威胁情报中心参与了较多威胁情报标准制定相关工作,经过多番了解与沟通,总结该需求情况,汇总并分享威胁情报标准现阶段发展内容与目标。02 为什么需要威胁情报标准 首先,我们明确威胁情报标准的定义:即给出一种结构化方法,描述网络安全威胁信息,旨在实现各组织间网络安全威胁信息的共享和应用。其次,究其一开始推动标准的产生,主要有两方面的原因:2.1 机读情报的生产大数据时代,网络世界每时每刻都产生海量的数据,这些数据虽然具备隐形关联的特性,但是非常零散,且碎片化。大数据技术与人工智能的发展很好的将安全数据自动化关联,形成威胁信息。由此可见,统一的威胁情报标准便成为了机器交换威胁信息最好的“沟通语言”,它使机器在威胁信息范式、交换格式、共享内容等方面达成共识。2.2 威胁情报的共享随着攻击者频繁得逞,恶意攻击造成大面积损失的事件越来越多,但其实被报道出来的都只是冰山一角,更多的还藏在“水面下”,甚至很多APT攻击早已入侵目标,并潜伏多年都未被发现。作为信息安全从业者,需要从防御方的角度考虑如何进行反击。在全国乃至全球范围内,因为生产网络威胁情报的组织单凭一己之力无法获取到足够多的相关信息,感知威胁存在着局限性。于是,威胁情报共享的概念被提出,并在国外被广泛采纳。据实践证明,标准能自动化处理威胁信息,减少沟通中的误解,大大提升安全研究人员共享威胁情报的效率和准确率。通过威胁情报标准将不同组织所拥有的情报信息汇聚起来,实现组织间的情报共享,可以有效地提高网络空间的安全防御能力,打破组织数据单一、信息不全的僵局,这一“语言”的发布也标志着行业进入情报共享的新时代。03 国外主流标准简介 在威胁情报信息共享方面,美国发展迅速,MITRE(美国政府赞助的一个非盈利研发机构,向美国政府提供系统工程、研究开发和信息技术支持)提出了众多威胁情报共享、交换标准,如:STIX、TAXII、CybOX、MAEC、OVAL、CAPEC等一系列主流标准。这里挑几个简单阐述下各自区别与使用场景。3.1 CybOXCybOX描述所有可以从计算系统和操作上观察到的内容,比如IP地址。这种可观察对象由于具有某个特定值,通常作为判断威胁是否存在的指标,如:IP地址通常作为判断恶意企图的指标。因此,CybOX大多用于描述威胁的词汇。3.2 STIXSTIX基于XML/JSON的语法,指定各个实体中包含的数据项的格式,描述威胁情报多方面的特征,如:攻击模式、攻击活动、行动方针等。同时,STIX支持使用CybOX格式去描述威胁内容。因此,STIX大多用作威胁情报描述。3.2 TAXIITAXII定义了交换协议,提供多种共享模型。包括hub-and-spoke,peer-to-peer,subscription,在提供安全传输的同时,无需考虑拓扑结构、信任问题、授权管理等策略,支持多种格式传输数据。因此,TAXII大多用来传输数据。04 国内情况分析 相比之下,国内的威胁情报体系起步较晚,进入市场缓慢。4.1 发展缓慢2018年,我国的威胁信息标准(GB/T 36643-2018 网络安全威胁信息格式规范)才正式发布,该标准定义了一个通用的网络安全威胁信息模型,从可观测数据、攻击指标、安全事件、攻击活动、威胁主体、攻击目标、攻击方法、应对措施八个组件进行描述。国标的发布意味着我国网络安全领域又向标准化、规范化前进了一步。然而早在国标发布之前,各大安全厂商已经使用主流标准或自定义的标准描述、使用威胁情报,所采用的标准都与国标有着不同程度的差异。且经过多年的使用和积累,修改、映射字段需要耗费大量的资源,如人力、物力、财力等。因此,若无足够的项目金额支撑,是不会轻易做出改变的。4.2 威胁情报商业化除此之外,国内安全厂商将各自拥有的情报数据商业化,介于各厂商在威胁情报领域的水平层次良莠不齐,不同质量的威胁情报体现了科研水平与专业能力的高低,也是商业情报数据的核心卖点。标准的统一意味着需要与合作伙伴或团体进行网络威胁信息共享,共享的结果必然会导致厂商的商业利益优势不突出。因此,在国内要构建情报共享的生态环境是个较高难度的挑战。05 现阶段标准需求热潮 基于上述原因,安全厂商报送的情报信息格式多样,导致用户在购买后无法统一消费,产生很大的困扰。在该背景的驱使下,围绕着威胁情报标准制定的需求又一次成为国内业界的热潮。现阶段,用户通过将威胁情报信息的获取、封装与消费的项目成果融合成规范,形成标准并发布,以此推动自身体系内威胁情报共享的发展。于是,各行各业纷纷召集知名安全厂商,商讨、制定一套适用于自己的威胁情报标准,要求安全厂商后续严格按照标准格式来提供情报数据。5.1 需求类别总结不同行业的前场需求反馈后发现,用户对威胁情报标准的制定有着比较大的差异,主要从以下几个点出发:生产运营标准:该类标准要求基于威胁情报运营体系,研究威胁情报分类方法、组织流程、生命周期等。结合行业对威胁情报的运用情况与目标,定义出一份适用于某行业的威胁情报运营标准规范,如:通信行业的威胁情报运营标准规范。建模通用标准:该类标准类似于国标,采用模型或框架的方式,对内部所需的全部数据与信息进行标准制定,定义一个描述所有数据元素的通用本体,适用于体制化建设单位,如:某军方网络安全威胁信息标准。业务层面标准:该类标准将业界已有的、完整的、通用的情报分类体系打乱,再结合自身业务,将零散的类别进行重组、划分与扩充。定义该类标准要求用户对情报的分类需求与业务有着强相关,适用于监管单位,如:公安网络安全威胁情报标准。5.2 需求难点其实不论哪种需求类别,既然是制定标准,核心要素是尽可能全面,并具有行业或领域普适性。因此,第一个难点浮出水面,即标准涵盖情报类型是否齐全。“生产运营类标准”容易忽略事件情报、分析报告等人读类情报;“建模通用类标准”无法保证对象域、方法域等域内子集的枚举全;“业务层面类标准”是最难的,不仅需要非常专业的知识储备去应对零散的情报分类,还需要结合业务场景重新定义新的情报分类。这里就自然而然的引出了第二个难点,即定义各类情报,明晰划分边界。国内威胁情报类别存在重合的现象是一种常态,甚至很多做情报的安全厂商及人员都并不清楚之间的细微区别,更没有在标准上进行深究。因此,要解决第二个难点须通过多人、多组织经过多轮的沟通与磨合,才能勉强达成一致。在分类完成之后,还需要对情报所覆盖字段枚举并说明。我们都知道,安全是动态的,某个阶段的枚举只能说明符合现阶段的需求。随着科技的进步与发展,一定有扩展字段集合的需求,第三个难点在这里就体现出来,即定义字段集合的可扩展性。在标准制定时提前预判后续可扩展字段集合的命名方式及定义,并对机器处理扩展字段的性能有着非常高的要求,这涉及到深层技术,在本文就不多说了。5.3 需求总结从上面我们可以看到在制定标准时有着非常多的阻碍,疑点多、难度大,但开放共享的安全威胁情报生态是信息安全行业发展的必然趋势。并且我们坚信,有标准制定的需求,就伴随着情报产品的需求。即使前期的投入巨大,也许短期内看不到明显的效益,但对于推动未来生态的发展,有着不可估量的意义。06 CEATI联盟 奇安信威胁情报中心支持情报共享的新生态圈模式与应用,联合国内众多著名安全公司,发起、共建威胁情报行业的联盟机构——CEATI联盟(网络安全威胁情报生态联盟,英文全称:Cybersecurity Ecology Alliance of Threat Intelligence),旨在以应用威胁情报能力为核心,打造共享生态模式,实现情报使能、共谋共策、开放合作、共赢未来。奇安信威胁情报中心致力于降低行业威胁情报利用门槛、提升威胁情报使用效果以及体现客户侧的威胁情报价值,进而在整体上提升国内安全防护水位。目前,CEATI联盟共有10家成员单位,联盟成员公司能力涵盖情报运营、APT跟踪、样本对抗、Web安全、数据安全、大数据分析、云安全、等保合规、安全硬件等多项关键技术。部分成员信息如下:奇安信:成立于2014年,专注于网络空间安全市场,向政府、企业用户提供新一代企业级网络安全产品和服务。凭借持续的研发创新和以实战攻防为核心的安全能力,已发展成为国内领先的基于大数据、人工智能和安全运营技术的网络安全供应商。同时,奇安信是2022年冬奥会和冬残奥会网络安全服务与杀毒软件的官方赞助商。此外,公司已在印度尼西亚、新加坡、加拿大、中国香港等国家和地区开展网络安全业务。天际友盟:在北京、西安、石家庄三地设有研发中心,技术骨干均为国内安全行业的专家人才,有着超过10年的安全从业经验,对安全情报、数字风险、大数据分析等领域有着深入的了解和丰富的实践经验。盘古团队:因连续多次发布iOS完美越狱工具而闻名,是国内首个自主实现苹果iOS完美越狱的团队,团队成员兼具高水平学术理论研究和丰富的工业研发能力,在主流操作系统和重要应用程序中曾发现过数百个0day安全漏洞,研究成果多次发表在极具影响力的工业安全峰会和顶级学术会议上。网宿科技:在美国、俄罗斯、韩国、中国厦门和中国深圳设立五大研发中心,拥有顶级的技术研发团队,研发人员数量占比超过65%,每年研发投入占公司营业收入10%左右,以智能网络连接智慧未来。奇安信威胁情报中心计划开放轻量级免费包,提供下载开源数据包的入口,外部用户可在CEATI联盟官网上自行下载、导入、使用,欢迎大家的加入!官网地址:https://www.ceati.org.cn联系邮箱:[email protected]点击 阅读原文可至官网了解更多 本文始发于微信公众号(奇安信威胁情报中心):网络安全威胁信息共享的基石|威胁情报标准
阅读全文
2021年网络安全威胁和趋势 云安全

2021年网络安全威胁和趋势

根据ISACA(信息系统审计和控制协会,Inc.)《关于2021年网络安全状况:劳动力、资源和预算的全球近况更新》的报告,网络安全预算每年都在减少。在网络安全方面,人力资本库存严重短缺。尽管许多企业、政府和组织都意识到世界各地都在发生网络犯罪,但许多人仍然认为他们非常安全,因为他们已经安装了足够的网络安全协议来阻止黑客攻击。每个人都应该意识到勒索软件、网络钓鱼、数据泄露、黑客攻击和内部威胁等威胁将一直存在。网络犯罪团伙总能发现漏洞,尤其是在全球疫情大流行、远程工作环境、技术使用的转变和软件存在大量漏洞的今天。危机意识很重要,网络安全平台的实施将为您的企业提供所需的保护,从您的网站到API和所有类型的数据存储等等。当前组织面临的各种威胁令人震惊的是,尽管采用了先进的网络安全技术,但网络犯罪团伙仍然通过利用各种安全系统中的漏洞,不断敲诈着数百万人,并且他们一直在快速地开发出新的黑客策略。以下是当今大多数组织面临的网络威胁。社会工程学这种威胁取决于操纵心理和情感的技能。一旦他们确定了目标,他们通常会发送引起恐惧或害怕的信息,引导目标为他们提供网络访问权限。常见的社会工程威胁包括信任攻击、好感攻击、诱饵攻击和网络钓鱼。 DDoS攻击许多企业紧跟新兴技术的发展,但其中的一些企业未能就网络威胁和网络安全监控的重要性对其员工进行充分的培训。新设备的使用使组织更容易受到分布式拒绝服务(DDoS)的攻击,这可能对组织的整个工作系统产生不利影响。通常,一旦遭受DDoS攻击,组织就将被迫支付赎金以恢复运营。勒索软件网络犯罪分子使用数据加密程序或勒索软件,威胁受感染的企业,要想恢复运营必须支付赎金。虽然政府和其他安全部门提醒大家不要支付任何赎金,但还是有大约40%的被攻击组织因为种种原因向犯罪分子支付了金钱。例如,2020年6月1日加州大学旧金山分校医学院遭受勒索软件的攻击,医学院必须支付价值114万美元的比特币作为协商付款,才能恢复/保护他们在学校各种研究中拥有的关键数据。这次袭击是由一个名为Netwalker的团伙实施的。2020年,美国比特币和其他加密货币的赎金需求达到约14亿美元。据估计,2021年勒索软件对全球企业造成的损失约为210亿美元。最近的勒索软件攻击:2021年5月7日对Colonial Pipeline的勒索软件网络攻击影响了该公司的计算机设备,此次攻击也再次展示了企业和组织基础设施的脆弱性。虽然Colonial Pipeline停止了运营以阻止攻击的影响,但黑客在前一天已经窃取了大约100 GB的数据。最糟糕的是,Colonial Pipeline必须向黑客支付75比特币的赎金,相当于440万美元。但谁都不确定系统被侵入的程度有多严重,也不确定需要多长时间来恢复管道运营。联邦调查局将此次攻击的幕后黑手确定为位于东欧的黑客组织“黑暗面”(Darkside)。此次攻击中,黑客使用了Colonial Pipeline员工才能使用的VPN帐户和密码进入网络。据调查,该组账户和密码曾在暗网遭到泄露。紧随其后的是JBS公司在美国的业务遭受勒索软件的攻击,这也影响了他们在加拿大和澳大利亚的业务。攻击发生在2021年5月30日。JBS, SA的总部位于巴西,是全球销量最大的猪肉、鸡肉和牛肉生产商。这次袭击影响了JBS USA的所有基础设施,包括内布拉斯加州、威斯康星州、德克萨斯州和犹他州的屠宰场都因此次袭击而暂时无法运作。此外,他们也关闭了在宾夕法尼亚州苏德顿的牛肉工厂。6月2日,他们在澳大利亚的大约7,000名员工无法正常工作。据报道,这次袭击大概率来自俄罗斯,很可能是REvil的作用。目前FBI仍在调查中。内部威胁内部威胁很容易被忽视,因为人们大部分的重点是采取措施防止外部人员进入。但通常受信任的内部人员拥有网络访问权限,他们很可能滥用其特权出售信息。许多组织正在通过持续验证用户身份来防止这种威胁的发生,并且只允许那些需要特权来执行其任务的人访问网络。第三方和第四方供应商组织必须调查他们用来升级系统和业务运营的软件供应商。大多数供应商在部署他们的程序时都需要访问您的资产,这不仅会危及您的业务流程,还会危及您的敏感数据。建立广泛的第三方风险管理计划可以确保您所有供应商的网络健康。新兴的网络安全趋势当前的全球疫情危机加剧了个人、行业和政府对技术的依赖。随着新的工作指南、限制和健康法规的实施,改变了人们的生产和生活方式。这对网络安全产生了影响,也带来了新的趋势。1. 远程办公为了不完全中断业务运营,公司被迫购买IT服务和产品,为远程工作环境做好准备。对于大多数企业而言,向云计算和存储的迁移是毫无计划的。其他公司要么回避,要么是匆忙地采取了安全措施,这就带来了新的威胁和风险。公司应评估其新的安全基础设施,以检查弱点并改进其远程安全策略。2. 勒索软件带来新挑战网络犯罪分子瑜伽猖獗大胆,正在逐步攻击很多面向消费者的行业。许多行业和公司IT部门依赖VPN来访问他们公司的内部网络,但是实践证明VPN也容易受到攻击,因此现在最好的办法是转向零信任网络访问(ZTNA)。3. 使用多重身份验证越来越多的公司将使用多因素身份验证(MFA)和强密码来防御恶意攻击和数据泄露。MFA的一个示例是为用户提供一次性密码。2021年及以后的其他网络安全趋势包括:· 人工智能驱动的安全系统的实施。· 数据隐私将是一个独立的程序,而不仅仅是安全程序的一个组成部分。· 云服务也将成为网络犯罪分子的目标,因此在将工作payload迁移到云之前,请确保您有适当的安全措施。· 为每个人实施全公司的网络安全培训。· 聘请更多网络安全专业人员和首席安全官。· 引入实时数据可见性和安全自动化。什么是网络安全卫生?过去两年的许多网络安全趋势都因全球疫情大流行而加速。就像健康危机一样,组织应该认真对待网络安全风险,积极主动地加以应对,并接受这样的观念,即安全不能被视为任何组织的可选投资,而是一项长期的必须投资。网络安全卫生意味着制定适当的安全协议,例如增加组织的工作人员。同样,组织应开始投资网络安全自动化,以实时收集和分析网络活动。在IBM2020年的一份报告中,该公司发现,在具有安全自动化的组织和没有安全自动化的组织之间,数据泄露成本的平均差异为358万美元。即使发生数据泄露,拥有完全部署的自动化安全性的公司也能节省更多资金。公司必须营造一种网络安全教育和意识文化,以便员工能够识别威胁。随着公司继续面临网络安全挑战,提供持续培训变得越来越重要。管理层应强调网络安全意识的紧迫性,每个人都有责任保护公司数据,保护公司免受网络安全风险。更新员工网络安全意识培训大多数新员工可能接受过安全培训,也可能没有接受过,因为公司有IT部门以确保组织安全。然而,随着网络威胁的加剧,回归最基础的层面,更新员工的网络安全意识是非常重要的。组织应就基本安全协议和新问题对他们进行再次培训。· 网络钓鱼攻击在今天非常普遍,许多团体已将 COVID-19 作为其诈骗的主题。他们应该意识到欺诈网站、据称来自疾病控制与预防中心(CDC)和世界卫生组织的网络钓鱼电子邮件。· 培训他们如何保护和使用可移动媒体,如CD、智能手机、SD卡和U盘。这样员工就应该知道如何使用随机密码来代替普通密码。· 所有员工都应该实行桌面清洁政策。他们不应该让计算机处于无人看管的状态,计算机应该受到密码的保护;文件也应该被锁上,而不是被随意放置、被复制或被盗。此外,必须教会使用其设备工作的员工使用生物识别身份验证或加密来保护敏感数据。· 许多场所都有免费Wi-Fi接入,员工必须学习如何安全使用公共Wi-Fi并将风险降至最低。尽管确保网络安全非常具有挑战性,但组织可以采取许多措施来增强其安全性以防止大范围破坏。考虑到现在大多数攻击都是出于经济动机,可以预见这将是一场艰苦的战斗。因此,与其花费数百万美元来修复漏洞,不如将其用于升级您的网络安全系统、聘请安全主管和有能力的IT人员,并培训每位员工了解网络安全的重要性以及他们在保护数据安全方面的责任。参考及来源:https://gbhackers.com/cyber-security-threats-and-trends-2021-what-you-should-know/ 本文始发于微信公众号(嘶吼专业版):2021年网络安全威胁和趋势
阅读全文
原创 | 制药行业面临的远程网络威胁 云安全

原创 | 制药行业面临的远程网络威胁

作者 | 绿盟科技格物实验室 田泽夏 [email protected] 背景在疫情带来的所有变化中,远程工作作为一种标准商业模式可能是最具变革性的。对一些人来说,其结果是改善了工作与生活的平衡,90分钟的通勤时间可以用于带孩子或者吃早餐。但这种大规模的转变,包括从可信计算到不可信网络的转变,也带来了新的网络安全威胁。随着许多员工不再受到公司防火墙和安全协议的保护,新的风险被引入,特别是围绕云迁移和终端设备的扩散性使用。保护涵盖数据、数据中心、运营商、用户、关键基础设施和生态系统的整个网络物理环境,包括合作伙伴、制造工厂、研发中心、办公室,以及最近的远程工作者。制药行业也不能幸免于这些新的挑战,大大小小的制药公司都有可能成为威胁行为者的目标。由于制药业内越来越多地启用远程和分布式工作,制药业也面临着重大的网络安全挑战。 目标攻击者正在利用扩大的攻击面和“反向”网络,部分原因是制药行业远程工作者数量的增加。由于每个人都被远程工作分心,攻击者看到了攻击和窃取有价值的研究和知识产权的机会。他们最著名的策略之一是散布勒索软件,目的是冻结组织、中断或窃取研究和开发成果。 挑战最近,制药行业的数据泄露已经导致数亿美元的专利信息和药物研究损失。越来越多的终端与远程工作一起出现,这为潜在的安全攻击打开了大门,特别是随着云迁移和设备激增。此外,不断扩大的伙伴关系,包括研发合作伙伴,是恶意行为者的一个潜入点,因为他们通过更广泛的生态系统中较弱的接入点,瞄准更大的制药企业。如果没有一个整体的端到端安全解决方案,它成为目标可能只是时间问题。尽管这种充满风险的环境是现实的,但对于寻求实施先进安全措施的制药公司来说,仍存在许多挑战。也许最大的挑战和威胁是实现分布式远程工作,在全球范围内快速进行,因为它增加了风险,并对安全系统提出了巨大的要求。大规模远程工作可能已经成为许多制药工人的义务,但整合脆弱的遗留操作技术的需要,以及制药知识产权价值的上升,使制药行业被视为一个脆弱而有利可图的目标。最后,运营面临的挑战是对风险的不一致态度和认知,以及这两个因素如何影响领导层保护脆弱遗留运营技术的意愿。日益数字化的制药价值链需要一个更广泛的安全框架来保护有价值的数据,因为这些数据在使用不同的网络、云、应用程序和移动环境的远程工作人员和合作伙伴的复杂网络之间移动。“劳动力动员极大地扩大了威胁范围,要求组织评估和实施零信任,以保护整个医疗生命科学网络边缘的所有用户和设备。”Troy Ament, Fortinet Field医疗生命科学部首席信息官说道。 解决方案数字转型和软件定义企业的兴起,在不断扩大的网络物理环境中创造了持续增长的风险。制药公司专注于在越来越多的远程工作环境中保持完整性。对于远程工作者来说,完整性的关键是保护端点和对分布式计算资源的访问。无论设备还是网络,通过数据可见性和凭据控制来保护这个日益虚拟和协作的生态系统是至关重要的。多因素认证和可操作的智能是远程工作安全的必要条件。下一代端点安全提供实时自动端点保护、检测和响应,同时平台和防火墙的能力使IP公开可识别信息的安全吞吐量和处理成为可能。除了通过VPN提供传输中数据的加密外,还有许多其他功能可以帮助制药公司保护远程工作人员。使用数据丢失预防(DLP)对于经常访问重要和敏感客户和运营数据的远程办公高管来说是必不可少的高级威胁保护,包括在沙箱环境中,在恶意软件和其他可疑内容到达目的地之前就进行分析,以防止入侵。对于制药公司来说,通过全面集成和配置管理在远程工作地点提供安全的无线连接和访问至关重要。 总结与展望“疫情对敏感供应链、研发和OT网络的更多基于互联网的连接产生了更高的需求,创造了IT和OT基础设施协作的需求。OT网络安全已经开始依赖更传统的IT设施,如补丁、基于云的威胁情报、保护机制、VPN和远程访问;这是一个明确的信号,表明组织需要开始将OT网络安全纳入日常网络安全考虑。” NTT有限公司OT/IoT全球业务主管Zhanwei Chan提到。制药行业只有通过在复杂的、不断发展的生态系统中,在互联的IT和OT环境中确保数据安全地流动才能取得成功和发展。由于对云迁移的日益重视以及最近远程工作人员的增加,网络犯罪分子正瞄准制药行业。这些知识工作者确实是有利可图的目标,他们经常处理价值数十亿美元的知识产权。在全球品牌声誉和突破性研发的背景下,速度和不受干扰的压力不能以牺牲安全为代价。这些挑战不应该仅仅由IT部门来承担。参考链接:https://www.fortinet.com/solutions/enterprise-midsize-business/network-access/teleworker-work-remote.html?utm_source=blog&utm_campaign=teleworkhttps://www.fortinet.com/solutions/enterprise-midsize-business/endpoint-security.html?utm_source=blog&utm_campaign=endpointhttps://www.fortinet.com/solutions/industries/pharma?utm_source=blog&utm_campaign=pharmahttps://www.fortinet.com/blog/industry-trends/cybersecurity-threats-to-remote-workers-within-the-pharmaceutical-industry转载请注明来源:关键基础设施安全应急响应中心“投稿联系方式:010-82992251   [email protected]” 本文始发于微信公众号(关键基础设施安全应急响应中心):原创 | 制药行业面临的远程网络威胁
阅读全文
DOMAINTOOLS:2020年度威胁狩猎报告 安全新闻

DOMAINTOOLS:2020年度威胁狩猎报告

越来越多的组织将威胁狩猎作为安全运营的一部分,主动地狩猎威胁可以降低威胁的风险和影响,提高抵御新威胁的能力。威胁狩猎目标超过一半(51%)的组织应用威胁狩猎主要为了减少内部威胁的暴露,其次45%的组织是为了减少恶意感染与数据泄露事件发生的次数,而43%的组织为了减少攻击面。关键安全挑战调查显示,网络安全从业人员认为安全运营中面临最要紧的问题是要及时检测高级威胁(55%),其次是对专业人员的缺乏(52%)。另外有 37% 的人表示对现有自动化威胁狩猎工具缺乏信心,36% 的人表示现在有太多精力浪费在了误报上。带来的好处威胁狩猎平台为安全分析人员提供了能够更早检测威胁、缩短处置时间、改进未来攻击防御的强大工具。68% 的组织认为威胁狩猎提高了对高级威胁的检测,55% 的组织认为减少了分析调查的时间。同样有 55% 的组织认为节省了手动关联事件的时间。对待态度尽管威胁狩猎仍然是新兴的门类,但绝多数组织(88%)都强烈同意“威胁狩猎应该是顶级安全方案”。威胁管理成熟度安全运营中心(SOC)应该具有快速应变的能力,但只有 12% 的组织声称拥有成熟的尖端 SOC 来应对新出现的威胁。专业人员技能根据组织的反馈,防范安全威胁对数据分析和推理分析的能力要求很高。例如模式识别(76%)、数据分析(70%)和演绎推理(67%)是在雇佣时优先被考虑的。投入预算相比往年,为威胁狩猎投入预算的模式没有太大变化。36% 的组织将会增加威胁狩猎上的支出,而 53% 的企业会维持预算的稳定投入。协同增效更多的教育培训(45%)、更好的端点检测和响应(43%)、更好的网络检测和响应(43%)、更好的SIEM(40%)都可以大幅度地提升威胁检测的能力。威胁频率每年都只有极少部分组织能够找到降低组织面临威胁的方法,今年是 5%。常见攻击最常见的攻击仍然是恶意软件(76%),其次是钓鱼(71%)与网络入侵(46%)。值得注意的是勒索软件(41%)也在快速攀升,另外供应链安全(2%)虽然比例不高,但是危害很大。攻击者洞察有 68% 的组织至少会偶尔深入了解对手的攻击基础设施,70% 的组织发现了 IoC 会立即进行响应与处置。数据来源防火墙日志不再是数据的首要来源,数据来源被端点活动、系统日志所取代。最有价值的数据来源被认为是最有价值的数据来源是活动日志(31%)、威胁情报源(24%)和网络数据(21%),其次是端点数据(18%)。侦察活动侦察活动中仍然是端口扫描占大头,对活动目录和主机的探测也越来越多。活动目录威胁狩猎中最关注的活动目录事件是:尝试重置管理员和敏感帐户密码(67%)、登录失败(61%)和域策略更改(48%)。威胁狩猎技术EDR 位列榜首,其次是 SIEM(56%)。从业人员2021 年 2 月对网络安全专业人员进行的全面的在线调查。原文来源:FreeBuf 本文始发于微信公众号(关键基础设施安全应急响应中心):DOMAINTOOLS:2020年度威胁狩猎报告
阅读全文
小议安全威胁情报 安全闲碎

小议安全威胁情报

网络安全中的情报,可以将其分为安全情报(狭义)和威胁情报两个大类。对于具体用户来说,安全情报就是指自己有什么,自己能够防什么;威胁情报就是,对方有什么,攻击者能够实施什么。也即是知己与知彼。安全情报的来源主要就是系统的配置信息和漏洞扫描软件的输出,为安全人员提供了对已有系统的最基础的认识途径。目前大家更关心的还是威胁情报,因为人们总是关注别人比自己更多。威胁情报实际上才是人们印象中传统的情报,那么从时间线上来看,又可分为攻击之前的预警与攻击完成之后的证据。预警用来指导安全人员部署防护,证据用来溯源定位。再进一步,对于APT攻击来说,前面一系列攻击的证据又是后续到来的攻击预警,反之亦然。安全态势感知中关于情报的主要内容包括搜集与分析。那么情报从哪里来?对于安全情报,实际上就是尽可能多的从各大漏洞披露站点获取最新漏洞信息以及尽可能的对自己进行扫描检测,用来判断自己的系统是否存在漏洞或是否达到相应的安全标准。而对于威胁情报,搜集就需要除了从你的IDS、IPS、防火墙、anti-DDoS设备获取足够多的报告、日志以外,还要求你“主动”地去寻找一些有用的信息,这里其实就是扩充情报来源的问题,目前来看,各厂商还没有太多的渠道,因此,情报的共享就显得非常重要,在未来将大有可为。当然,虽然情报获取的原则是多多益善,但千万不能像Norse-corp那样采用蜜罐数据。情报分析是搜集的目的,并且由于需要将分析结果直接提供给用户,因此要求我们从海量数据中提炼出真正有价值的东西。目前业内大多实现的其实还是情报内容的可视化,把用户系统中存在的安全漏洞和已发生的攻击通过图表的形式呈现出来。还有一些厂商通过某种算法模型,可以直接对黑客进行识别和定位,甚至对未来可能发起的攻击进行预测。这其实是态势感知系统的一个重要目标——预测未来的发展趋势。不过功能的实现还是只简单的把一些强相关的日志信息按照时间顺序进行罗列,或者使用简单算法对攻击者进行识别,那么如果黑客的行为有反复,或者故意采用一些“愚蠢”操作来进行误导,这些功能就得不到理想的结果。因此在目前结果准确率并不高的情况下,较中庸的做法,我们可以适当提出一个“线索”的概念。这个就是源于我们生活中经常用到的词汇,警察破案需要寻找线索,作家写作也埋藏着几条线索,那么对于情报的处理我们也需要找到线索。这个线索的依据除了至少是目标IP、攻击IP和攻击时间等的综合因素,还需要加上更高维度的攻击者动机、行为习惯等等各种能够协助溯源的要素,这就要从技术上依靠大数据和神经网络来实现。这个线索功能的定位是弱于预测和攻击者识别,相较于预测等激进的概念更容易使用户接受,反而会受到更大的关注,得到更大的发展。从后视镜来看,所有的攻击都是有预兆的,我们拿着结果往前推,一切都是理所当然。那么抛弃这种马后炮的思维,安全态势感知需要在攻击发动之前从海量数据当中探寻出蛛丝马迹,这就要依赖于开发者的强有效的算法来实现。并且,情报需求的原则就是宁可误报不能漏报,用户点开这个功能,需要看到你问一答十而不是自作聪明的忽略一些信息。当然,后期更高级的实现就是用户自己要能添加过滤规则甚至自定义算法。对于单个机构或公司来说情报的价值关键在于情报的连接,对于全社会来说,则在于共享,因此促进情报数据共享的相关标准规范也需要逐步完善。除了知名的CVE、CVSS等,CybOX、 STIX和TAXII目前也正在被大力推广和广泛关注,希望国内厂商也能在这方面有所作为。情报共享的方式也需要由安全界所有厂商共同努力,我们希望有公司牵头组建一个安全界的“opendata”社区,秉承着“相信他人更聪明”的理念,把一些统计数据、典型安全事件有组织有规范的发布出来,供业内所有人员使用,也是帮助你分析,以达到共同提高的目的。更进一步的,我们还需要用欣赏的眼光去看待攻击者,因此甚至可以在安全界上线类似分答之类的问答产品,你可以针对你的系统现状提出一些安全问题,匿名黑客们因贡献出他们的智慧而被打赏,这将会极大的提高黑客们分享的积极性。这种方式实际上是攻防大赛的延伸,但却能够更快速更有针对性的给我们带来启发。相较于传统的谍报行业,网络安全情报不仅十分重要,也根正苗红,方兴未艾,已经足够引起国家的重视。如果能够做得好,既能为国家的信息安全战略添砖加瓦,也会引来各路资本追逐,企业自然也不会差钱,更能促进其为全社会造福。希望中国的网络安全情报行业能够健康发展,走在世界前列。 本文始发于微信公众号(飓风网络安全):小议安全威胁情报
阅读全文