行为分析:被误解的人工智能带来的安全风险 安全闲碎

行为分析:被误解的人工智能带来的安全风险

如果你相信炒作,那人工智能(AI)和机器学习(ML)已经在保护现代IT基础设施安全方面发挥了重大作用。但真相是,这两种技术是强大却常被误解的工具,某些情况下,如果未能正确实现,甚至还会破坏公司的数据安全。很多实例表明,“AI”是个过度使用的营销行话,无法准确描述这项与真正的人工智能相去甚远的现有技术。所谓的“AI平台”可能会让首席信息官们挠头,想知道到底是怎么能从庞大且不断增长的客户数据库中了解每位客户的行为的,或者平台到底有没有基于算法做出有根据的猜测。区分真正的AI和标准固定逻辑太难了。对于Microsoft Teams、SharePoint、Microsoft 365、Google Drive等云应用,有权定义谁能访问文件和文件夹的是最终用户而非管理员。这种做法尽管对最终用户来说非常方便,却导致几乎无法以遵从策略的标准方式来控制公司的数据访问:因为每个人都可以修改许可。真正解决这一问题的唯一方法可能是某种形式的自动化解决方案,或者将访问权限审查外包出去。大多数企业的环境中流转着大量数据,因而很多企业试图将AI用作自动化解决方案来查找和审核敏感数据的访问权限。这些解决方案仅显示应控制访问权限的文件子集(可能仍有成千上万),可避免用户被与其权限相关的数百万份文件的审查工作狂轰滥炸。看起来很明智,对吧?但实际上,这种方式忽略了不遵循算法所查找模式的数据,还常常引发误报。用AI执行行为分析的三个问题当前行为分析市场上没有真正的AI解决方案。真正的AI创建随机生成的算法,并用大量“正确”答案测试这些算法,再从中挑出最有效的。这就给使用AI进行行为分析带来了三个重大问题。1. 没有哪家公司拥有足够大的客户数据集供算法训练使用。即使假设有公司拥有这种体量的数据集,他们也不会想透露给别人知道,因为这有可能将自己树成黑客集火的巨大标靶。2. 每位客户都是独特的,所以即便公司可以用客户数据训练算法,却未必适用于他们的具体业务。3. 如果在逐个客户的基础上训练算法,那就是在当前系统上训练。这种情况下,如果当前系统已经处于理想状态,训练结果会相当不错;如果当前系统并不理想,会反而固化现有安全问题。云和远程办公增添挑战从安全的角度来看,采用云会带来各种各样的数据挑战,员工在家办公还会增加这样的挑战。居家办公的员工代表着不断壮大的最终用户群体,而且还是突然之间获得大量数据访问权的最终用户。大多数没有经过专门培训的员工并不清楚云从哪里开始和结束,给非故意违反公司安全策略留下了空间。这正成为公司非常常见的内部安全威胁,尤其是在数据库被编程为用AI来削减数据访问时。只要使用不当,此类访问常会存在严重的安全漏洞。很多公司宣称使用AI监测和改善其数据访问。许多人认为AI可以排序或分发数据,但实际上,AI通常不用来处理这样的事务。AI最常规的用法是实现数据库访问控制。盲目信任AI很危险数据治理和保护一直都很重要,尤其是在远程办公和混合办公趋势延续的情况下。尽管AI和ML是功能强大的工具,公司仍需了解自己利用的是真正的技术,还是无法胜任安全任务的绣花枕头。这些技术不可能在真空中实现,企业需采取果断措施缓解关键安全风险,比如设置员工培训和实现受监管的访问来确保数据安全。最终,AI与你搬运数据的任何其他计算机程序无异,都是“坏数据进坏数据出”。客户数据库如此庞大,员工非故意安全违规如此常见,设置人工过程检查这些结果真的很重要,因为风险就存在于盲目信任AI上。参考阅读谷歌使用机器学习阻止DDoS攻击人工智能与机器学习对网络安全的正面和负面影响针对AI的攻击呈上升趋势自动化网络安全防御:AI是把双刃剑 本文始发于微信公众号(数世咨询):行为分析:被误解的人工智能带来的安全风险
阅读全文
风险管理之系统驱动的风险管理 安全闲碎

风险管理之系统驱动的风险管理

本文探讨的是系统驱动风险分析中涉及的核心概念,这些技术可以增加什么价值,以及它们在哪些方面不太有用。这篇文章的目的不是为组织提供实现这些技术的蓝图。一旦组织了解了这些基础知识,就应该能够使用系统驱动的标准或框架(因为它们基于类似的风险视角)并了解它们与组件驱动方法的不同之处。如果组织还没有这样做,请在阅读昨日《风险管理之引入组件驱动和系统驱动的风险评估》。其实,组织并不总是需要使用系统驱动的方法,可能非常耗时且占用大量资源,尤其是在开发简单的 IT 基础架构(或使用已知的开发模式)时,因为这些技术几乎没有增加任何价值。所以,需要因地制宜、因时制宜的考虑问题。系统驱动的风险分析有什么用?系统驱动的风险分析最适合识别由系统所有组件相互作用产生的风险。这些风险可以在没有任何单个组件损坏或受到损害的情况下发生,因此它们可以识别组件驱动方法无法识别的风险。在小型、简单的系统中,无需任何特别正式的方法即可识别这些交互风险。然而,这对于更大、更复杂的系统来说变得不可行,而这正是系统驱动方法增加真正价值的地方。这种技术的最终产品是正在分析的系统的一组安全要求。系统驱动的风险管理技术应该使组织能够将这些需求追溯到试图避免的特定结果,这有助于将潜在的安全改进与其他类型的需求以及其他类型的需求进行优先级排序。什么是系统?就这类的“系统”一词是指旨在实现特定功能的事物。这一功能可以通过技术来实现,但同样一个“系统”可以是一群人、一座建筑物或一种自然发生的天气模式。出于这个原因,谈论“系统”而不提及它们的功能或目的是没有意义的。使用此定义,在分析系统时,由(利益相关者)在分析之前定义正在查看的系统的功能。例如,组织可以在组织的网站上执行风险评估。站点所在的服务器将是该系统的重要组成部分,但它并不代表全部。允许组织托管网站的系统将包括一系列其他内容,包括(但不限于):互联网连接维护网站的人将客户记录保存为站点一部分的数据库管理网站管理方式的组织政策在这个例子中,个人感兴趣的系统不仅仅是网站,允许客户和合作伙伴通过 Internet 了解组织的系统。定义系统功能是进行系统驱动风险分析的核心部分。定义“函数”如果在谈论系统来说是必不可少的,应先申明的功能,你要分析。否则,最终可能只分析单个系统组件(例如上面示例中的网站服务器)而忽略其余部分。系统功能的例子可能是:使客户能够使用互联网购买我们的产品使人们能够在一小时内从伦敦前往伯明翰使组织的员工能够协作生成和共享文档系统驱动的风险管理方法的定义特征之一是,需要在开发的早期阶段明确说明系统的功能。这个阶段的一个常见错误是将系统的功能与系统有助于解决的问题的陈述混淆。例如,可能会说在线销售网站的功能是“提高组织的销售数据”。严格来说,网站的功能最好描述为“让客户在线识别和购买您的产品,让您的物流部门及时发货”。该功能将有助于解决“提高销售”的问题,但不会完全解决,其他解决方案也会影响解决该问题。一个好的功能陈述需要是可实现的,并且必须可以验证你是否已经实现了它。获得正确的功能声明是进行系统驱动的风险分析的重要组成部分。定义系统的“损失”在介绍系统和部件的驱动技术,我们学会了如何在高层次的目的,系统应该没有达到(或有助于实现)被称为损失。为了执行系统驱动的风险分析,需要列举不希望在系统运行中发生的高级结果。在这种情况下,我们只关心损失的实际结果。在这里,我们谈论的是组织非常关心的顶级损失。如果识别出少量非常显着的损失,而不是大量相对较小的损失,则此方法最有效。损失的例子包括:受伤或丧生针对组织的大规模欺诈触犯法律关键组织流程被打乱任何系统驱动的风险分析的一个重要部分是正在操作或设计的系统的背景下明确定义组织关注的损失。重要的是,我们不是在谈论实现损失的方式,而是在谈论结果本身。此阶段的结果应该是确定与组织系统相关的损失清单。实践原则在网络安全领域,系统驱动的风险分析技术远不如组件驱动的技术成熟。因此,用于实现这些原则的形式化技术较少,并且它们之间存在较大差异。任何系统驱动的风险分析技术都应首先阐明功能以及希望避免的损失。通过将其分解为子系统,每个子系统都有自己的功能,并通过演示这些子系统如何控制和相互通信,通常会期望看到一个迭代过程,为该功能声明增加复杂性。在每个迭代阶段,将探索任何可能的损失风险,并在此过程中制定安全要求以避免这些风险。最后要注意的一点是:团队在过去几年中对不同的系统驱动风险分析技术进行了大量现场试验。在任何情况下,从高层损失的角度谈论技术系统的网络风险都存在巨大的文化障碍。在正确分析系统级别之前,讨论很快就会转移到组件级别的漏洞上。常用的系统驱动网络风险管理方法和框架简要介绍一些系统驱动的网络风险管理方法和框架。为每种技术提供特定指南。提供有关每种技术如何工作以及它们如何增加价值的更多详细信息。还有更多应用这些原则的技术(此处未列出)。下面的三个(我们相信)最能说明这些类型的技术之间的差异。STAMPSTAMP(系统理论事故模型和过程)是一组用于模拟事故原因的技术。由美国麻省理工学院的 Nancy Leveson 教授和她的同事开发。虽然 STAMP 最初侧重于安全,但 STAMP 概念已适应许多其他环境,其中一些适应网络安全要求。英国国家网络安全中心的部分关于系统驱动风险评估原则的文章中引入的许多语言和概念都来自 STAMP 框架。TOGAFTOGAF(The Open Group Architectural Framework)是由 The Open Group 开发的商用架构框架。是一种企业架构标准,旨在提高业务效率和管理风险,例如寻求提供更好的投资回报、减少管理费用和改进采购流程。该框架基于迭代过程模型,该模型可以在整个组织的不同级别单独实施或与其他框架集成。TOGAF 支持我们指南中描述的自上而下(系统驱动)方法和自下而上(组件)风险管理方法。SABSASABSA是一个业务驱动的安全架构框架,高度关注组织如何为利益相关者创造价值。从组织对其价值链的独特配置开始,SABSA 框架可帮助分析师将流程分解为多个业务架构层。这些层通过业务能力、业务流程、业务服务向下发展,然后再向下发展到技术服务。SABSA 要求分析师在每一层解决风险,以便在“堆栈”顶部定义的需求通过分层向下继承并在每一层解决。任何较低层都可能会损害高级别、创造价值的机会,但这种逐层分析可确保考虑一系列不同的网络风险观点。参考来源:英国国家网络安全中心官网网络安全的 10 个步骤之供应链安全网络安全之供应链安全(一)网络安全之供应链安全(二)网络安全之供应链安全(三)网络安全之供应链安全:第三方软件供应商网络安全之供应链安全:水坑攻击网络安全之供应链安全:评估供应链安全网络安全之供应链安全:第三方数据存储网络安全之供应链安全:评估供应链管理实践网络安全的 10 个步骤之安全培训网络安全的 10 个步骤之日志记录和监控分析网络安全的 10 个步骤之架构和配置网络安全的 10 个步骤之供应链安全网络安全的 10 个步骤之数据安全网络安全的10个步骤之事件管理网络安全的 10 个步骤之身份鉴别和访问控制网络安全的 10 个步骤之风险管理网络安全的 10 个步骤之资产管理网络安全的 10 个步骤之漏洞管理 原文始发于微信公众号(祺印说信安):风险管理之系统驱动的风险管理
阅读全文
Windows Print Spooler(打印服务)远程代码执行漏洞风险通告,目前暂无补丁 安全漏洞

Windows Print Spooler(打印服务)远程代码执行漏洞风险通告,目前暂无补丁

微软发布CVE-2021-36958安全漏洞公告,当 Windows Print Spooler 服务不正确地执行特权文件操作时,存在远程执行代码漏洞。目前该漏洞暂无补丁,漏洞详情、POC(概念验证代码)已公开。1漏洞描述8月11日,微软发布CVE-2021-36958安全漏洞公告,当 Windows Print Spooler 服务不正确地执行特权文件操作时,存在远程执行代码漏洞。成功利用此漏洞的攻击者可以使用 SYSTEM 权限运行任意代码。然后攻击者可以安装程序;查看、更改或删除数据;或创建具有完全用户权限的新帐户。该漏洞影响较大,目前暂无补丁。漏洞细节、POC代码已在互联网上公开,这意味着该漏洞被黑灰产组织利用的可能性正在增加。腾讯安全专家建议受影响的用户参考微软官方建议,配置域安全策略,防止非管理用户从未授权的服务器中安装打印驱动程序。停止并禁用 Print Spooler 服务,也可缓解风险,但禁用后台打印程序服务将会禁用本地和远程打印功能。2漏洞编号CVE-2021-369583漏洞等级高危,CVSS评分7.34受影响的版本微软安全通告未列出具体受影响的版本,一般此类情况表示漏洞可能影响主流Windows系统。该漏洞暂无补丁,处于0day状态。5漏洞复现验证腾讯安全专家对该漏洞进行复现验证,证实漏洞利用可以获得System权限,危害严重。6漏洞缓解方案确定 Print Spooler 服务是否正在运行:在 Windows PowerShell 中运行以下命令:Get-Service -Name Spooler 如果 Print Spooler 正在运行或未禁用该服务,请执行以下步骤: 停止并禁用 Print Spooler 服务如果停止和禁用 Print Spooler 服务适合您的环境,请在 Windows PowerShell 中运行以下命令:Stop-Service -Name Spooler -ForceSet-Service -Name Spooler -StartupTypeDisabled 停止和禁用 Print Spooler 服务会禁用本地和远程打印功能。 或通过组策略配置仅允许从授权服务器安装打印机: 通过“指向并打印限制”配置组策略,防止非管理用户从未授权的服务器中安装打印驱动程序。 win+r输入gpedit.msc,启动本地组策略编辑器,选择用户配置->管理模板->控制面板->打印机->指向并打印限制。 启用指向并打印限制;勾选“用户只能指向并打印到这些服务器”,在服务器名称中输入受信服务器名称,若无受信服务器则可任意输入一个服务器名称来启用此策略。参考链接:https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36958关于腾讯安全威胁情报中心腾讯安全威胁情报中心是一个涵盖全球多维数据的情报分析、威胁预警分析平台。依托顶尖安全专家团队支撑,帮助安全分析人员、安全运维人员快速、准确地对可疑威胁事件进行预警、处置和溯源分析。长按二维码关注腾讯安全威胁情报中心 本文始发于微信公众号(腾讯安全威胁情报中心):Windows Print Spooler(打印服务)远程代码执行漏洞风险通告,目前暂无补丁
阅读全文
新时代下数据安全风险评估工作的思考 云安全

新时代下数据安全风险评估工作的思考

文│ 中国信息安全测评中心 宋璟 邸丽清 杨光 都婧随着《数据安全法》等一系列法律法规的颁布实施,我国网络空间的法律法规秩序体系逐步完善,网络安全工作迈入了新时代。在促进关键信息基础设施和数字经济发展的同时,需要进一步提升数据安全保障能力、风险发现能力,确保数据安全风险可控在控,对切实维护国家主权、国家安全和社会发展利益等方面具有重大意义。一、数据安全的理解与风险评估需求(一)数据安全的理解《数据安全法》第三条,给出了数据安全的明确定义,是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。结合定义,应该从广义和狭义两个角度理解数据安全概念内涵。广义地说,数据安全作为国家重要战略基础资源时的安全要义,主要是根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,确定数据安全定义。狭义地说,数据安全一是指数据本身及数据处理活动的安全性,主要包括数据本身保密性、完整性和可用性,以及围绕数据处理活动的收集、存储、使用、加工、传输、提供、公开等环节的安全性考虑。二是数据支撑环境以及防护措施的安全,主要包括数据载体、防护设备、加解密算法等主动防护措施。(二)数据面临的安全风险1. 数据合规安全风险数据安全合法合规已经成为企业对数据进行处理的原则和底线,但大部分企业的数据安全合规体系建设还处于起步状态,对违规所带来的风险缺乏相应的评估机制,可能存在潜在的数据泄露、数据丢失、数据篡改、数据滥用等安全风险。2. 关键信息基础设施数据安全风险目前,关键信息基础设施运营者(以下简称“运营者”)重要数据的全生命周期保护严重不足,未建立起有效的防护体系机制。尤其是个人信息保护方面,未采取有效的数据防篡改和防外泄手段 , 一旦攻击者成功获取服务器权限后,可随意窃取、篡改和删除重要数据,造成大面积敏感信息泄露。此外,运营者在供应链开发、运维等环节数据保护方面存在缺陷,导致系统“带病上线”的情况,形成攻击者窃取数据的重要突破口。3. 数据出境安全风险数据的跨境流动是数据价值最大化的必经之路,数据出境是必然趋势,其安全风险也是其派生的产物。数据出境的风险重点来源于数据出境的合规类风险。企业在出境业务稳定发展的前提下,要保证出境数据不存在违反国家法规标准要求的风险,尤其是数据在出境前、传输过程和数据落地的过程中是否存在违法风险,以及数据出境后接收方对数据的保护是否存在数据滥用风险等都是需要重点关注的问题。(三)数据安全风险评估需求为了了解目前国内关键信息基础设施行业对数据安全风险评估的理解以及需求,中国信息安全测评中心从数据安全面临的风险、重点关注数据安全方向、保护数据类型等方面,对国家水利、电力、能源等行业进行了实际调研,梳理形成以下共性需求。1. 数据安全法出台后的合法性评估需求《数据安全法》的出台使得数据不仅拥有了“价值”属性,也具备了“法律”属性。调研结果表明,各行业明确将数据安全的合法合规情况作为未来一段时间内的重点工作,企业管理者开始关注面临的数据安全风险以及如何实现数据安全合规。对于企业管理者来讲,目前最紧急的工作是需要全面开展数据安全风险评估,找出是否存在违法的情况以及和法律要求之间的差距,从而为数据安全建设和治理提供依据。2. 关键信息基础设施数据的评估需求关键信息基础设施运营者对数据安全评估的需求主要有以下几点。一是需要通过风险评估促进运营者开展数据分类分级制度体系建设和重点保护措施的落实,做到重要数据和核心数据重点保护,明确保护对象范围,厘清保护责任和保护主体;二是需要通过风险评估找出可能导致重要数据失窃、泄露、破坏的安全隐患,降低重要数据一旦遭受攻击后可能带来的恶劣影响,尤其是涉及国家政治安全、经济安全以及民生安全的重要数据和个人信息;三是需要通过风险评估促进数据安全防御体系的改进提升,检验当前的数据安全防护措施是否有效,防护体系是否可以满足当下的网络安全形势,最终达到“以评促建”,提升整体数据安全防御体系的目的。3. 数据出境传输的安全评估需求出境数据的主要评估需求点集中在:一是数据跨境传输安全评估,根据不同地区的监管要求、数据敏感度和数据使用情况,需要为数据传输、访问、监控、跟踪以及跨技术栈的存储等方面建立不同的技术控制措施,同时还需要具备报告和监测的能力,对其安全防护措施有效性进行评估;二是出境数据合规性评估,评估企业是否建立适当的控制措施,来应对跨境数据传输和数据本地化是否符合以上相关国内法律的要求,从而最终为数据出境业务保驾护航。二、数据安全风险评估整体框架(一)数据安全风险评估总体框架在新时代背景下,数据安全风险评估也应具备时代特性。数据安全风险评估的发展一定是以《数据安全法》为根本出发点,以网络安全风险评估的理论框架为准绳,且风险评估的内容和指标将围绕数据为核心对象,以发现数据安全风险为主要目的。数据安全风险评估不应该以某个标准作为基准来设置评估项,也无法固化出一个固定模式去开展,主要是由于数据是一类特殊的评估对象,是具备动态性的,随着数据在不同环境下的流动,其面临的安全风险也是不同的。应当围绕被评估的特定数据对象数据资产、数据所面临的威胁和脆弱性,综合开展风险评估找出其在特定威胁环境下所面临的风险。其风险评估方法理论和模式应该是多样性的,适用于不同环境和目标。本文提出的数据安全风险评估,有其独特的视角和思路,重点解决某一类安全需求,主要以发现国家关键信息基础设施行业数据安全方面的大风险、大隐患为主要目的,在数据识别、法律遵从、数据处理、支撑环境和特殊场景数据跨境流动安等方面开展风险评估。其主要思路为:首先对业务进行梳理、理清数据资产、确认数据资产范围及重要程度,这是风险评估的基础,因此数据识别安全重点是进行数据资产的识别摸底工作。其次在梳理数据处理活动风险时,首先考虑是否存在违法行为风险,依据已发布的法律法规进行法律遵从性评估。在满足合法性的基础上进而开展数据处理活动的风险评估工作,一方面,是数据自身的风险发现,另一方面,是承载数据所需环境的风险发现。在风险发现过程中,一旦涉及数据的跨境流动和数据主权风险,将以数据跨境流动为重点关注场景,开展数据跨境流转的风险评估工作,评估数据跨境流动过程中的数据安全风险。数据安全风险评估结果可作为数据安全治理、监督、审计和评价的重要参考依据。图 数据安全风险评估总体框架(二)数据安全风险评估核心内容1. 数据识别安全评估数据识别是数据安全评估的基础。通过对数据的识别,可以确定数据在业务系统的内部分布、确定数据是如何被访问的、当前的数据访问账号和授权状况。数据识别能够有效解决运营者对数据安全状况的摸底管理工作。基于国家、行业的法律法规及标准要求,数据识别通常包括业务流识别、数据流识别、数据安全责任识别和数据分类分级识别。2. 数据安全法律遵从性评估数据安全符合相关法律要求是开展一切数据处理活动的前提和基础,也是最受关注的安全保障能力之一。数据安全风险评估不能完全避免数据安全风险的发生,但可以减少违法违规行为的发生。本文中的数据安全法律遵从性评估核心在于依据国家、行业的法律法规及标准要求,重点评估运营者及其他数据处理者关于数据安全在相关法律法规中的落实情况,包括个人信息保护情况、重要数据出境安全情况、网络安全审查情况、密码技术落实情况、机构人员的落实情况、制度建设情况、分类分级情况、数据安全保障措施落实情况,以及其他法律法规、政策文件和标准规范落实情况等。法律遵从性评估的目的不仅在于应对风险,更多的是在于找出差距,驱动数据安全建设合法化,完善数据安全治理体系。3. 数据处理安全评估数据处理安全的评估是围绕数据处理活动的收集、存储、使用、加工、传输、提供、公开等环节开展。主要针对数据处理过程中收集的规范性、存储机制安全性、传输安全性、加工和提供的安全性、公开的规范性等开展评估。4. 数据环境安全评估数据环境安全是指数据全生命周期安全的环境支撑,可以在多个生命周期环节内复用,主要包括主机、网络、操作系统、数据库、存储介质等环境基础设施。针对数据支撑环境的安全评估主要包括通信环境安全、存储环境安全、计算环境安全、供应链安全和平台安全等方面。5. 重要数据出境安全评估重要数据出境是数据安全风险评估所重点关注的风险场景,如果被评估对象中包括数据出境的业务,需要按此部分开展专项评估,重点评估出境数据发送方的数据出境约束力、监管情况、救济途径,以及出境数据接收方的主体资格和承诺履约情况等。(三)数据安全风险评估综合判定风险分析的原理主要是通过资产识别、脆弱性识别及威胁识别,分别计算出威胁造成损失的严重程度以及该安全事件发生的可能性,然后利用损失严重程度与事件发生的可能性得到风险值,最后赋予风险等级。分析和确定数据全风险的方法是,考虑已知威胁利用数据资产已知脆弱性的可能性,以及如果发生这种利用所产生的后果或不利影响(即危害程度),使用威胁和脆弱性信息以及可能性和后果 /影响信息定性或定量地确定数据安全风险。在分析中重点要围绕“数据生命周期”或者“数据应用场景”,最终的评估结果是某个业务或威胁场景之下利用某个资产的某个脆弱性造成某种破坏,该破坏的可能性有多大,破坏后影响有多大,进而综合评价风险有多大。1. 可能性分析可能性是指攻击事件可能导致任务能力丧失的概率。可能性判定应该考虑威胁假设,即阐明数据资产以及支撑环境可能面临的威胁类型,如网络安全威胁、自然灾害或物理安全威胁;还要考虑实际基于业务场景的数据安全脆弱性信息,包括识别的系统、数据或支撑环境的脆弱性;可能性分析要综合考虑利用漏洞成功利用的难度并将其与威胁信息相结合,在其实际应用场景下确定风险评估过程中成功攻击的可能性。2. 影响分析影响分析是一个关联分析过程,由数据所涉及的系统、数据的价值以及数据被破坏后对组织的影响等因素综合考虑。影响分析很大程度上要结合脆弱性被威胁利用的可能性,以及被评估单位管理者基于业务角度对风险的决策的判断,最终决定对风险是否接受、避免、减轻、分担或转移。3. 风险结论数据安全风险评估的结论应涵盖三个层级的风险。一是根据被评估组织或行业的性质和重要程度,可形成国家组织或者行业层面的数据安全战略风险报告。二是根据关键信息基础设施业务使命和形式,形成各自企业层面的数据安全风险报告。三是依据数据本身的特点或场景,形成面向系统级别、数据级别或者供应链级别等重点关注方面的风险评估报告。风险评估的结论应包括潜在破坏数据安全的可能性和影响,特定场景和特定数据的风险发生的可能性以及目前现有的数据安全防护措施的有效性和差距性,进而为被评估单位数据安全系统建设、支撑环境建设以及数据安全整体规划做决策依据。三、数据安全风险评估的建议(一)数据安全风险评估相关标准体系存在空缺,需尽快建立完善提供依据当前,数据安全风险评估的通用方法论、标准体系尚未建立,亟需提出数据安全风险评估方法,制定数据安全风险评估标准来指导数据安全风险评估活动,以满足当前数据安全保护的迫切需求。建议在充分借鉴现有标准基础之上,聚焦国家关键信息基础设施重要行业、重点领域,在数据安全风险评估关键环节、关键业务场景、关键网络产品和服务等方面进一步细化规范,提出数据安全风险评估实施指南、提出数据安全风险评估指标,建设和完善数据安全风险评估体系,满足当前数据安全风险评估方法论和评估指标建设的迫切需求,进一步推进数据安全政策和法律法规落地实施。(二)数据资产识别和分类分级存在难度,急需行业主管部门及企业自身统筹解决很多企业数据资产类型呈多样化,数据载体分布广、数据源众多,这些都给数据识别和分类分级造成困难。数据资产未有效识别,数据未科学分类分级使得数据安全保护对象不明确,数据安全保护要求不清晰,进而影响数据安全风险评估的有效开展。因此,数据识别和分类分级是数据安全保护和风险评估工作的当务之急,应加快推动自上而下数据分类分级安全保护制度建设,结合行业重要数据特点和安全保护需求,对数据进行准确识别,明确各行业,尤其是关键信息基础设施所涉及行业的核心数据、重要数据、一般数据。与此同时,推动数据分类分级安全风险评估体系建设,以在数据安全保护措施建设初期给予安全风险防范指导,建设完成后用于检验成效,使得数据安全风险防范的思想贯穿数据安全治理的各个环节。(三)数据安全风险评估的健康生态尚未建立,需各方协作助力生态建设多年来对数据重要性以及数据安全的认知盲区使得很多企业在大肆采集个人信息和重要数据之后,对数据缺少必要的管理,对其所掌握的数据资产数量、敏感程度以及具体分布情况不够清晰准确,甚至是一无所知,而相应的数据安全防护能力建设更加滞后,数据安全有效治理的大环境远未形成,数据安全风险评估的健康生态也尚未建立。未来需要借助《数据安全法》出台的东风,深入推进数字基础设施建设,建立数据安全风险评估业界健康生态,建立健全适应人工智能、万物互联、跨行业、跨境数据规范和使用等支持大数据关键风险评估技术的基础性研究风险评估基础方法研究和技术攻关关键评估技术装备,建立适应数据安全风险评估发展需求的人才培养体系。把维护核心数据、重要数据安全、确保国家经济金融安全作为底线,形成数据安全风险发现、风险问题责任追究、整改效果考核评价相结合的工作机制,进一步强化数据安全风险评估工作闭环,为生态建设决策提供支撑。(本文刊登于《中国信息安全》杂志2021年第9期)文章来源:中国信息安全点击下方卡片关注我们,带你一起读懂网络安全 ↓ 原文始发于微信公众号(互联网安全内参):新时代下数据安全风险评估工作的思考
阅读全文
谈风险接受原则(risk acceptance principle) 安全闲碎

谈风险接受原则(risk acceptance principle)

在轨道交通独立安全评估中,基本的过程是围绕风险管理进行的,即识别风险、对风险进行评价、对不可接受的风险采取风险缓解措施、对风险管理的证据进行闭环跟踪,将整个风险管理过程进行记录。风险管理中经常让人感到困惑的是风险评价(risk evaluation),通常根据风险接受原则RAP(risk acceptance principle)用于判定。如何判定识别的风险是可接受的,在国际广泛应用的RAMS标准EN50126-1 2017版本中,定义了三种风险接受原则,分别是:the application of codes of practice Cop准则的应用a comparison with similar systems 相似系统的比较an explicit risk estimation 明确的风险评估上面就是三个可用于判定风险是否可接受的参考原则。风险评估过程(来自EN50126-1 2017)这里需要注意的是风险接受原则RAP与旧版EN50126发生了变化,1999版的EN50126中,RAP基于风险矩阵中风险发生的严重度和频度,即上面的第三个原则,常见的有:——ALARP(风险降到可行)原理(英国使用)——GAMAB(综合最优)原理(法国使用)——MEM(最小内源性死亡率)原理(德国使用)这三个概念听起来有点难以理解,这里暂且不做解释,后面再说。为什么新版标准中风险接受原则发生了变化,与原来的标准有什么区别,这个变化是来自于欧盟指令2016/798中定义的CSM-RA(common safety method - risk acceptance),即风险评估通用安全方法。CSM-RA的目的是建立一个通用的风险评估过程用来评估铁路系统技术、运营或组织上的变化,用来协调变更的系统在欧盟不同成员国之间的相互接受。在CSM-RA文件中,定义了它的风险管理流程图,可以看出,图中风险接受原则与EN50126是一致的,可见新版EN50126对风险接受原则的调整正是与CSM-RA保持一致。CSM-RA的风险管理流程图从EN50126标准与CSM-RA通用安全方法发展的时间线,也能发现,在EN50126-1999发布时,CSM-RA还未发布,在CSM-RA完善发布后,EN50126-2017新版发布,两个标准的发展历程是相辅相成的。EN50126与CSM-RA的发展时间线但是,EN50126的风险管理也不能等同于CSM-RA,它们之间也存在差异,简要来说有以下几点:CSM-RA主要关注变更的系统,EN50126适用于新系统和变更;CSM-RA只关注重大的变更,EN50126适用于所有变更;CSM-RA重点在于风险识别和控制,EN50126则是全生命周期。EN50126 V模型各阶段与CSM的关系下面来谈谈三种风险接受原则:Use of Code of Practice(应用CoP规则)根据特定的危害通过遵循标准规则(CoP)来控制,这种情况下风险可接受,不需要进一步分析。标准规则应该是在铁路领域得到广泛认可的,与所评估系统风险的控制相关,并且是公开可获取到的。例如在未受信的通信系统上实现安全相关的通信功能,EN50159可以作为CoP应用。注意应用CoP规则时,需要检查所评估的系统能否被CoP所覆盖,标准规则的范围与所评估的系统之间是否存在差异,系统的设计要求参数是否与标准规则中所要求的一致。如果存在偏差,则不完全能适用CoP规则。Use of a reference system(应用参考系统)通过与参考系统的对比进行风险接受,参考系统应满足以下4个要求:参考系统已经在实际应用中被证明是安全的,并且在将要引入该变化的国家中有资格被接受。参考系统具有与被评估系统类似的功能和接口。参考系统是在与被评估系统类似的操作条件下使用的。参考系统是在与被评估系统类似的环境条件下使用的。简单来说,就是用一个已经实际应用证明是安全的系统,与所评估的系统对比,通过分析相似系统的危害、风险、安全功能来判断新的系统风险是否可接受。Use of Explicit Risk Estimation(应用明确的风险估计)当CoP规则或参考系统不能用于将风险完全控制在可接受的水平时,通常这种情况下被评估的系统是全新的,或者与CoP规则或类似的参考系统有偏差的情况。或当选择的设计策略不允许使用CoP规则或类似的参考系统时,例如,希望产生一个以前没有尝试过的更有成本效益的设计。风险估计可以是定量或定性的,风险估计的可接受性应基于风险接受标准(Risk acceptance criteria),风险接受标准由所在国家法规规定,典型的风险接受标准也就是上面提到的ALARP(英国)、GAMAB(法国)、MEM(德国)。因此以上总结下:RAMS标准新的风险接受原则与CSM-RA保持一致,原来的以欧洲各国风险接受原则变成了其中一种方法,明确(定性或定量)的风险接受标准。下面是ALARP、GAMAB、MEM三种风险接受标准的对比对于不熟悉铁路安全标准的读者,可能还是难以理解,因为风险接受标准有着非常强的文化和地域特点,与各个国家的安全管理体制相关,不是一个技术性的概念。以上是对风险接受原则的解释,内容引自EN50126标准和CSM-RA相关的文件。我国城市轨道交通独立安全评估也是基于欧洲标准EN50126,应用较多的风险接受标准是ALARP,但在风险接受方面套用ALARP原则,缺少历史数据支持,依靠大量的主动判断,并不是很有效。从实际国情出发,对于风险的接受程度跟欧洲文化是不同的,就以疫情的控制来说,我国一直都将人民生命安全和身体健康放在第一位,采取最全面最严格最彻底的防控措施。而西方国家之所以疫情控制不利,个人猜想受其风险接受标准,要考虑成本效益的分析也是其中因素之一。那么我国是否有对应的风险接受原则,哪些可以认为是风险。根据笔者的了解,由于安全管理方式的不同,我国法规标准中并没有类似以上的风险接受原则。在交通运输部2019年发布的《城市轨道交通运营险性事件信息报告与分析管理办法》中,其中附录规定了城市轨道交通主要运营险性事件清单,包括16类,可以看作我国对运营风险类别的定义,具体为:      1.列车脱轨  注:脱轨是指车辆在正线、配线、车场线等线路运行时,车轮落下轨面(包括脱轨后又自行复轨)或车轮轮缘顶部高于轨面(因作业需要的除外)而脱离轨道。  2.列车冲突  注:冲突是指在正线、配线、车场线等线路,列车、机车车辆相互间或与工程车、设备设施(如车库、站台、车档等)发生冲撞。  3.列车撞击  注:撞击是指在正线、配线、车场线等线路,列车或机车车辆在运行过程中与行人、机动车、非机动车及其他障碍物发生碰、撞、轧。其他障碍物是指声屏障、防火门、人防门、防淹门等构筑物及射流风机、电缆、管线等吊挂构件或其他设备脱落侵入限界。  4.列车挤岔  注:挤岔是指在正线、配线、车场线等线路,由于道岔位置不正确、尖轨未能与基本轨密贴,导致列车通过道岔时将尖轨与基本轨挤开或挤坏过程,造成尖轨弯曲变形、转辙机损坏。  5.列车、车站公共区、区间、主要设备房、控制中心、主变电所、车辆基地等发生火灾  6.乘客踩踏  7.车站、轨行区淹水倒灌  注:车站、轨行区淹水倒灌是指雨水等通过出入口、风亭、过渡段洞口等倒灌车站和轨行区,导致车站公共区积水浸泡或漫过钢轨轨面。  8.桥隧结构严重变形、坍塌,路基塌陷  9.大面积停电  注:大面积停电是指单个及以上车站、变电所、控制中心或车辆基地范围全部停电。  10.通讯网络瘫痪  注:通讯网络瘫痪是指行车调度指挥通讯、车地无线通讯、通讯网络传输系统等中断30分钟(含)以上。  11.信号系统重大故障  注:信号系统重大故障是指中央和本地自动监控系统(ATS)均无法监控列车运行或联锁故障错误持续60分钟(含)以上。  12.接触网断裂或塌网  13.电梯和自动扶梯重大故障  注:电梯和自动扶梯重大故障是指载客电梯运行中发生冲顶、坠落,或电梯轿厢滞留人员90分钟(含)以上,自动扶梯发生逆行、溜梯。  14.夹人夹物动车造成乘客伤亡  注:夹人夹物动车是指乘客或物品夹在列车车门或站台门时动车,含乘客或物品夹在列车和站台门之间时动车。  15.网络安全事件  注:网络安全事件是指因系统漏洞、计算机病毒、网络攻击、网络侵入等对运营安全造成严重影响的事件。  16.造成人员死亡、重伤、3人(含)以上轻伤,以及正线连续中断行车1小时(含)以上的其他运营事件  注:中断行车是指线路中有2个及以上车站或区间发生单向行车中断。以上险性事件涉及行车安全、运营中断、人员伤亡、网络安全等各方面的险性事件,在范围上,运营险性事件比运营生产安全事故的内涵更加广泛。既包括了传统意义上的safety,也包括网络安全(cybersecurity),运营可用性问题(availability)。从涉及的系统方面,涵盖了轨道交通系统的车辆、通信、信号、机电设备、基础设施各个方面。      可见,不同国家、不用用户对于风险的定义,接受程度存在一些差异的 。可以结合我国城市轨道交通运营安全的实际要求,从用户的角度来制定适合的风险接受方法。 原文始发于微信公众号(薄说安全):谈风险接受原则(risk acceptance principle)
阅读全文
黑灰产情报周报|本周两家电商平台发生用户网购订单数据泄漏事件 安全新闻

黑灰产情报周报|本周两家电商平台发生用户网购订单数据泄漏事件

一、概述本周猎人君:在数据泄露风险情报发现两家电商平台发生用户网购订单数据泄漏事件;在黑产交易风险情报发现某买菜平台62数据交易事件;在黑产作恶工具风险情报发现某汽车社区平台注册机工具。本周业务安全情报分为如下8个部分,可点击跳转对应情报分析模块查看详细数据和分析:数据泄漏风险情报——两家电商平台发生用户网购订单数据泄漏事件黑产作恶工具风险情报——某汽车社区平台注册机工具分析黑产交易风险情报——某买菜平台62数据交易事件真人作恶风险情报API风险情报流量欺诈风险情报黑产作恶手机卡风险情报黑产作恶IP风险情报二、本周业务安全情报详情2.1 数据泄漏风险情报以下是对5月17日至5月23日,每日新增数据泄露产业人数规模和每日发生事件数量变化结果:图1-1 每日新增数据泄漏事件情况表根据数据泄漏针对的行业不同,进行如下统计划分:图1-2 数据泄漏行业分布情况两家电商平台发生用户网购订单数据泄漏事件猎人君本周发现两起电商平台用户网购订单数据泄漏事件,泄漏的数据包含店铺名称、订单生成时间、快递单号、收件人姓名、手机号、收件地址、购买商品名称、商品价格等信息。通过手机号和姓名对比、快递单号和收件信息对比,发现样本数据全部一致,证明数据可信度较高,此类信息泄漏可能会引发网购退款类的诈骗案件,平台应通知用户防范此类短信电话。从两份样本数据的商品信息和店铺信息来看,猎人君猜测此次事件泄漏渠道是平台店铺侧,平台应该从店铺侧排查事件原因,严防此类事件发生。图1-3 泄漏的部分样本数据截图2.2 黑产作恶工具风险情报以下是5月17日至5月23日,每日新增黑产作恶工具数量变化结果:以下是以MD5作为工具唯一ID统计而来的数据。图2-1 每日新增捕获工具数量某汽车社区平台注册机工具分析本周分析的注册机工具不是破解软件时候用到的工具,而是能快速批量注册账户的一类工具。该类工具攻击对象广,只要具有账号机制的平台都是它们的目标,尤其具有社区属性的平台。黑产通过注册机批量注册平台账号,再配合自动发帖工具可以实现论坛灌水发帖、评论、点赞等行为,严重破坏平台社区生态。该汽车社区平台注册机工具主要利用接码平台获取手机号实现账号注册,并带有IP代理切换功能、头像设置功能以及账号cookie导出功能,账号cookie导出功能猜测是为了方便后续的账号转卖以及配合发帖工具账号导入目的。基本信息:程序运行界面:工具攻击的部分接口:2.3 黑产交易风险情报以下是以行业纬度对5月17日至5月23日黑产交易商品数量变化统计结果:图3-1  本周黑产交易商品数Top10行业图某买菜平台62数据交易事件猎人君本周在某黑产交易网站发现售卖**买菜的62授权数据的事件(62数据是微信在登录时,解密某个文件后生成的全是以62开头的字符串数据)。买家购买此62数据后,通过搭配相关脚本将62数据导入到买家设备中,可直接跳过微信登录验证,实现微信授权登录**买菜。图3-2  某买菜平台62数据交易描述该类商品的出现可能对**买菜平台造成的影响:此类数据搭配自动化领券工具,可以实现批量领取优惠券。此类数据搭配自动化下单工具,可以实现特价商品的抢购。2.4 真人作恶风险情报以下是5月17日至5月23日,每日新增真人作恶任务数量变化结果:图4-1 每日新增真人作恶任务数根据真人作恶针对的行业不同,进行如下统计划分:图4-2 真人作恶在不同行业分布情况2.5 API风险情报:从5月17日到5月23日,共发现213个API被攻击,涉及60个公司。图5-1  5月17日到5月23日被攻击API类型占比在监控到的213个API中,被爬虫攻击的API有137个,占比64%;刷量攻击API有34个,占比16%;账号攻击API有32个,占比15%。2.6 流量欺诈风险情报以下是永安在线情报系统监控到的,5月17日至5月23日,流量欺诈TOP10欺诈类型及其占比:图6-1  流量欺诈TOP10欺诈类型及其占比2.7 黑产作恶手机卡风险情报5月17日至5月23日,拦截卡和传统黑手机卡日增趋势:图7-1 拦截卡和传统黑手机卡日增趋势5月17日至5月23日,国内外黑手机卡日增趋势:图7-2  国内外黑手机卡日增趋势2.8 黑产作恶IP风险情报5月17日至5月23日,国内IP来源省份数量占比:图8-1  IP来源省份数量占比5月17日至5月23日,国内外IP来源数量占比:图8-2  国内外IP来源数量占比 本文始发于微信公众号(永安在线情报平台):黑灰产情报周报|本周两家电商平台发生用户网购订单数据泄漏事件
阅读全文
【通告更新】Apache Dubbo多个高危漏洞安全风险通告 安全漏洞

【通告更新】Apache Dubbo多个高危漏洞安全风险通告

奇安信CERT致力于第一时间为企业级用户提供安全风险通告和有效解决方案。风险通告近日,奇安信CERT监测到国外安全研究人员发布了Apache Dubbo多个漏洞的相关细节,其中包含Apache Dubbo Hessian2 协议反序列化漏洞(CVE-2021-25641),Apache Dubbo Generic filter 远程代码执行漏洞(CVE-2021-30179), Apache Dubbo Telnet handler 远程代码执行漏洞(CVE-2021-32824),Apache Dubbo YAML反序列化漏洞(CVE-2021-30180),Apache Dubbo Nashorn 脚本远程代码执行漏洞(CVE-2021-30181),官方已有可更新版本,鉴于漏洞危害较大,建议用户及时安装更新补丁。本次更新内容:新增CVE-2021-25641 漏洞复现截图新增产品线解决方案当前漏洞状态细节是否公开PoC状态EXP状态在野利用是已公开未知未知漏洞描述Apache Dubbo 是一款高性能、轻量级的开源 Java 服务框架。Apache Dubbo提供了六大核心能力:面向接口代理的高性能RPC调用,智能容错和负载均衡,服务自动注册和发现,高度可扩展能力,运行期流量调度,可视化的服务治理与运维。近日,奇安信CERT监测到国外安全研究人员发布了Apache Dubbo多个漏洞的相关细节,其中包含:Apache Dubbo Hessian2 协议反序列化漏洞(CVE-2021-25641):Apache Dubbo 中存在反序列化漏洞,攻击者可在未授权的情况下,通过特制的数据包绕过Hessian2 协议黑名单限制,实现命令执行。奇安信 CERT 第一时间复现了CVE-2021-25641漏洞,复现截图如下: Apache Dubbo Generic filter 远程代码执行漏洞(CVE-2021-30179):Apache Dubbo 默认支持对程序接口公开的任意方法的泛型调用,这些调用由 GenericFilter 处理,由于其过滤不严,攻击者可构造恶意请求实现远程代码执行。Apache Dubbo Telnet handler 远程代码执行漏洞(CVE-2021-32824):Apache Dubbo 主服务端口允许访问Telnet handler,攻击者可以调用恶意方法实现远程代码执行。Apache Dubbo 反序列化漏洞YAML(CVE-2021-30180):Apache Dubbo 支持标签路由,客户能够将请求路由到正确的服务器,客户在发出请求为了找到正确的端点时会使用这些规则。在解析这些 YAML 规则时,Dubbo 客户可以启用调用任意构造函数。只有启用标签路由器的用户可能会受到影响。Apache Dubbo Nashorn 脚本远程代码执行漏洞(CVE-2021-30181): Apache Dubbo 存在远程代码执行漏洞,攻击者控制ZooKeeper注册中心后可构造恶意请求注入Nashorn脚本,造成任意代码执行。目前官方已有可更新版本,鉴于漏洞危害较大,建议用户及时安装更新补丁。风险等级奇安信 CERT风险评级为:高危风险等级:蓝色(一般事件)影响范围2.7.0 <= Dubbo <= 2.7.82.6.0 <= Dubbo <= 2.6.92.5.0 <= Dubbo <= 2.5.10(2.5.x官方不再维护)处置建议1、升级至2.7.10或者2.6.10以上版本:链接地址:https://github.com/apache/dubbo/releases/tag/dubbo-2.7.10https://github.com/apache/dubbo/releases/tag/dubbo-2.6.9处置建议奇安信网神网络数据传感器系统产品检测方案奇安信网神网络数据传感器(NDS5000/7000/9000系列)产品,已具备该漏洞的检测能力。规则ID为:52239,建议用户尽快升级检测规则库至2106242130以后版本并启用该检测规则。奇安信网神智慧防火墙产品防护方案奇安信新一代智慧防火墙(NSG3000/5000/7000/9000系列)和下一代极速防火墙(NSG3500/5500/7500/9500系列)产品系列,已通过更新IPS特征库完成了对该漏洞的防护。建议用户尽快将IPS特征库升级至” 2106242100” 及以上版本并启用规则ID: 1248601进行检测。奇安信开源卫士已支持奇安信开源卫士20210624.727版本已支持对Apache Dubbo Hessian2 协议反序列化漏洞(CVE-2021-25641)的检测。奇安信天眼检测方案奇安信天眼新一代安全感知系统已经能够有效检测针对该漏洞的攻击,请将规则版本升级到3.0.0623.12900或以上版本。规则ID及规则名称:0x5dbe,Apache Dubbo远程代码执行漏洞(CVE-2021-25641/CVE-2021-30181)。奇安信天眼流量探针规则升级方法:系统配置->设备升级->规则升级,选择“网络升级”或“本地升级”。奇安信网神统一服务器安全管理平台更新入侵防御规则库奇安信网神虚拟化安全轻代理版本将于6月25日发布入侵防御规则库2021.06.25版本,支持对Apache Dubbo Hessian2 协议反序列化漏洞(CVE-2021-25641)的防护,届时请用户联系技术支持人员获取规则升级包对轻代理版本进行升级。奇安信网神统一服务器安全管理平台将于6月25发布入侵防御规则库10382版本,支持对Apache Dubbo Hessian2 协议反序列化漏洞(CVE-2021-25641)的防护,届时请用户联系技术支持人员获取规则升级包对融合版本进行升级。参考资料https://securitylab.github.com/advisories/GHSL-2021-034_043-apache-dubbo/时间线2021年6月24日,奇安信 CERT发布安全风险通告2021年6月25日,奇安信 CERT发布安全风险通告第二次更新点击阅读原文到奇安信NOX-安全监测平台查询更多漏洞详情 本文始发于微信公众号(奇安信 CERT):【通告更新】Apache Dubbo多个高危漏洞安全风险通告
阅读全文
RSA创新沙盒盘点 |Deduce——数据驱动的身份欺诈风险分析平台 安全工具

RSA创新沙盒盘点 |Deduce——数据驱动的身份欺诈风险分析平台

全文共2870字,阅读大约需要6分钟。RSAConference2021将于旧金山时间5月17日召开,这将是RSA大会有史以来第一次采用网络虚拟会议的形式举办。大会的Innovation Sandbox(沙盒)大赛作为“安全圈的奥斯卡”,每年都备受瞩目,成为全球网络安全行业技术创新和投资的风向标。前不久,RSA官方宣布了最终入选创新沙盒的十强初创公司:WABBI、Satori、Abnormal Security、Apiiro、Axis Security、Cape Privacy、Deduce、Open Raven、STARATA、WIZ。绿盟君将通过背景介绍、产品特点、点评分析等,带大家了解入围的十强厂商。今天,我们要介绍的是厂商是:Deduce。一、公司介绍Deduce于2019年5月创立,总部位于美国纽约。公司创始人、现任CEO Ari Jacoby具有丰富的创业经验,是Circulate,Voicestar,Solve Media等技术服务类型公司的创始人之一。目前Deduce经过两轮融资,处于种子轮次的融资阶段,融资规模达730万美元。Deduce能够向不同规模的企业,提供成熟的行业级用户身份及行为分析接口,帮助企业构建身份认证风险分析、身份欺诈检测及用户告警能力,以辅助企业对抗潜在的攻击行为,满足合规要求以及提升客户的信任度。如果从本届RSAC的主题“Resilience”来看,Deduce公司通过打造身份智能,为企业及其客户提供基于数据与分析的身份安全弹性。二、背景介绍调查表明,2020年由用户身份失窃、滥用、欺诈等攻击造成的关联损失高达560亿美元,并已成为发展速度最快的网络空间威胁之一。企业的客户身份被窃取、盗用,带来的不止是由数据泄露、资产失陷、交易欺诈等攻击导致的直接经济损失,所产生的用户信任度降级,将给企业业务和信誉带来持久和深远的影响。为应对网络空间威胁的动态演进,Gartner提出的自适应风险和信任评估框架CARTA(Continuous Adaptive Risk and Trust Assessment),为业界带来系统的防御视角。其中,针对用户身份、设备的认证与访问,CARTA给出了自适应访问保护(Adaptive Access Protection)框架,如图1所示。图1 CARTA Adaptive Access Protection架构图该框架的核心在于,需要对用户身份、设备、应用、行为及关联信息,提供持续的可见性与核实,来适应业务的动态需求与网络环境变化。类似于针对攻击防护的“预测-预防-检测-响应”的PPDR循环,针对访问防护也需要构建需求发现(Discover requirements)-自适应访问(Adaptive access)-用途验证(Verify usage)-用途管理(Manage usage)的防护闭环,以提供持续的、可迭代的访问控制及防御能力。Deduce公司提供的产品及方案,正是针对身份欺诈这一主要业务领域,主要涵盖CARTA访问防护的用途验证(Verify usage)与用途管理(Manage usage)这两个阶段,为企业提供成熟的并且可适应企业业务流的客户身份及行为动态分析接口,能够有效降低中小型企业自建相关能力的成本。三、产品介绍Deduce官网目前主要提供了两款SaaS产品,分别是“Customer Alerts”和“Identity Risk Index”。Customer Alerts,即客户告警,能够检测用户登录行为的异常,并触发告警通知到客户,以供客户决策判断,是否是其个人行为。该产品功能目标,是在企业原有的认证流程之外,提供用户登录访问行为异常的告警。Deduce该产品的卖点在于,能够向中小型企业提供成熟的身份登录异常验证的接口,并只需按需付费。Deduce提供一个用于分析客户当前设备及地理位置信息的API,可无缝集成到企业的业务流程当中,如图2所示。图2 Deduce Customer Alerts工作流该API调用过程中,需企业采集用户的设备标识信息和地理位置信息。根据采集的数据样本,基于可配置的规则,Deduce分析用户关联设备及登录点地理位置的异常,进而触发告警,并以企业定制的模板发送给客户,请求客户确认。该API的结构如图3所示。图3 Deduce Customer Alerts API示例Identity Risk Index,该产品提供针对身份关联行为的风险分数计算。用来预防和检测由社交钓鱼或信息泄露引发的身份盗用、账户失窃、交易欺诈等恶意行为,同时帮助企业提升用户信任和满足合规需求。基本的功能如图4,选自官网展示的功能示意图。图4 Identity Risk Index功能示意Identity Risk Index产品即身份风险指标。可直观的理解为基于大数据的用户身份异常检测及风险评估。由于该功能公司未给出具体的技术细节介绍,我们无从得知其技术内核的实现方法。从当前业界类似产品及技术的层次来看,实现有效的基于身份的风险分析依赖两个关键条件,一个是大规模的用户身份行为数据及情报数据,另一个是以UEBA为代表的异常行为分析技术栈。从Deduce的宣传资料和相关报道来看,大规模收集的身份及行为数据集是支撑其Identity Risk Index产品技术的核心。Deduce通过持续的运营积累,打造了Identity Network身份及行为数据库。在满足GDPR和CCPA合规要求下,Deduce从超过15万网站和应用,收集了涉及超2亿个美国账号及其相关认证、访问、交易等行为的信息和数据。这些账号及身份数据在Identity Network以哈希的形式进行了匿名化,以保护用户的个人隐私。我们可以看到,Deduce通过这种搭建平台、提供服务的方式,在向企业提供客户身份行为分析能力的同时,也在授权下持续收集不同站点、应用的相关信息。这种大规模、多维度数据集的构建,能够为Deduce持续提供行业的影响力及技术核心竞争力基础。除了数据层面的机制,我们只在Deduce宣传中看到使用了机器学习方法来识别身份行为异常,并能够将账户窃取的伤害降低90%。我们尚未看到具体的分析方法及模型的介绍。总结身份的管理及关联行为的分析,已成为网络安全迈入主动防御和零信任时代后,威胁检测与响应的关键技术手段。Deduce提供的两款产品,针对身份风险分析,提供了不同的服务价值。Customer Alerts产品通过简洁的API,能够无缝的集成到企业已有的身份认证业务流中,提供信息收集、基于设备和位置的异常分析、用户告警通知和用户决策反馈收集服务。Identity Risk Index产品则基于Deduce的Identity Network数据集,提供具有更高维度、更深层次关联的深度身份及行为风险分析服务,能够与IAM系统打通,根据量化的身份及其行为风险值,来调用不同级别的认证方法,以增强对身份欺诈等攻击行为的防御能力。相较而言,Identity Risk Index产品更值得我们深入的关注。基于SaaS的运营模式,该产品能够为企业提供一个匿名化的身份及行为数据湖资源。基于该数据湖,Deduce有机会提供深度的身份风险评估能力,例如可实现通过单一身份不同应用、站点的多行为维度与长周期记录跨度,实现细粒度的身份行为特征画像,进而提供更精准的风险评分指标。更关键的,基于身份社交网络的学习,能够识别可疑的行为传播规律、异常社区行为以及欺诈团伙行为。如下图5所示,就是基于身份认证与访问行为数据的社区分析方法,该技术方案来源于同为身份欺诈检测领域的创业公司Silverfort。在身份行为数据湖的基础上,通过抽取身份(图中圆点)、服务端点(图中三角点)等实体的关联,以及访问行为的统计属性,构建图左侧的实体行为关联网络。进而,基于Louvain社区发现算法,能够将网络中的实体和行为划分为多个社区,如图右侧的颜色标注。最终,在该社区划分结果上,可得到更多维度的分析结论,如定位高度异常的特定类型社区活动、抽取有跨社区行为的高风险身份实体等等。尽管Deduce官网并未给出Identity Risk Index产品的详细技术方案,其Identity Network数据库的构建足以给我们带来更多的技术想象空间。图5 基于认证和访问行为的社区发现除了以上产品特性,能够进入RSAC创新沙盒十强,Deduce有其独特的“商业化”的技术理念。首先,通过SaaS模式向中小型企业提供简单易用的身份认证分析告警接口,减轻企业自建和维护成本的同时,能够提供足以匹敌FAANG(Facebook, Apple, Amazon, Netflix, Google)等大型企业类似功能的身份账户异常分析机制,这与Deduce“Democratize Cybersecurity”——民主化网络安全的企业愿景相契合;其次,提供服务的同时,Deduce在合法合规的策略下,构建了具备相当大规模及多样性的匿名化身份行为数据库,这能够让投资者看到Deduce当前所具备的“数据壁垒”。于此同时,通过可持续的服务提供与信息采集,Deduce的Identity Network能够为该公司提供亦可持续的技术演进和优化保障机制。可以预见,创新沙盒评委对Deduce可持续身份数据运营的商业模式的认可程度,以及对身份欺诈领域技术市场的期待度,将是决定Deduce本次创新沙盒能否进入前三的关键因素,让我们拭目以待。    ·    参考文献   ·      https://www.deduce.com/ https://www.crunchbase.com/organization/deduce/company_financials https://www.businesswire.com/news/home/20210323005370/en/Total-Identity-Fraud-Losses-Soar-to-56-Billion-in-2020 《Seven Imperatives to Adopt a CARTA Strategic Approach》 https://www.silverfort.com/blog/detecting-and-predicting-malicious-access-in-enterprise-networks-using-the-louvain-community-detection-algorithm本公众号原创文章仅代表作者观点,不代表绿盟科技立场。所有原创内容版权均属绿盟科技研究通讯。未经授权,严禁任何媒体以及微信公众号复制、转载、摘编或以其他方式使用,转载须注明来自绿盟科技研究通讯并附上本文链接。关于我们绿盟科技研究通讯由绿盟科技创新中心负责运营,绿盟科技创新中心是绿盟科技的前沿技术研究部门。包括云安全实验室、安全大数据分析实验室和物联网安全实验室。团队成员由来自清华、北大、哈工大、中科院、北邮等多所重点院校的博士和硕士组成。绿盟科技创新中心作为“中关村科技园区海淀园博士后工作站分站”的重要培养单位之一,与清华大学进行博士后联合培养,科研成果已涵盖各类国家课题项目、国家专利、国家标准、高水平学术论文、出版专业书籍等。我们持续探索信息安全领域的前沿学术方向,从实践出发,结合公司资源和先进技术,实现概念级的原型系统,进而交付产品线孵化产品并创造巨大的经济价值。长按上方二维码,即可关注我们 本文始发于微信公众号(绿盟科技研究通讯):RSA创新沙盒盘点 |Deduce——数据驱动的身份欺诈风险分析平台
阅读全文
天融信关于VMware vCenter Serve 远程代码执行漏洞风险提示 安全漏洞

天融信关于VMware vCenter Serve 远程代码执行漏洞风险提示

0x00背景介绍5月26日,天融信阿尔法实验室监测到VMware官方发布漏洞通告,公布了VMware vCenter Server远程代码执行漏洞,编号为CVE-2021-21985。0x01漏洞描述由于Virtual SAN Health Check运行状况检查插件中缺少输入验证,导致vSphere Client(HTML5)存在远程执行代码漏洞,该插件在vCenter Server中已默认启用,能通过443端口访问到vSphere Client(HTML5)的攻击者,可以构造特殊的请求包在目标机器上执行任意代码。0x02漏洞编号CVE-2021-219850x03漏洞等级严重0x04受影响版本VMware:vCenter Server:非7.0 U2b版本的7.0版本非6.7 U3n版本的6.7版本非6.5 U3p版本的6.5版本VMware:Cloud Foundation:低于4.2.1版本的4.x版本低于3.10.2.1版本的3.x版本0x05修复建议VMware官方已发布安全版本建议用户更新至安全版本,链接如下VMware:vCenter Server:7.0 U2b版本:https://docs.vmware.com/en/VMware-vSphere/7.0/rn/vsphere-vcenter-server-70u2b-release-notes.html6.7 U3n版本:https://docs.vmware.com/en/VMware-vSphere/6.7/rn/vsphere-vcenter-server-67u3n-release-notes.html6.5 U3p版本:https://docs.vmware.com/en/VMware-vSphere/6.5/rn/vsphere-vcenter-server-65u3p-release-notes.htmlVMware:Cloud Foundation:4.2.1版本:https://docs.vmware.com/en/VMware-Cloud-Foundation/4.2.1/rn/VMware-Cloud-Foundation-421-Release-Notes.html3.10.2.1版本:https://docs.vmware.com/en/VMware-Cloud-Foundation/3.10.2/rn/VMware-Cloud-Foundation-3102-Release-Notes.html#3.10.2.10x06临时修复建议禁用vCenter Server插件,具体操作步骤详见如下链接:https://kb.vmware.com/s/article/838290x07支持热线天融信公司后续将积极为用户提供技术支持,进行持续跟踪并及时通报进展,如有需要请拨打7 x 24小时客服联系电话:400-777-0777。0x08声明天融信阿尔法实验室拥有对此公告的修改和解释权,如欲转载,必须保证此公告的完整性。由于传播、利用此公告而造成的任何后果,均由使用者本人负责,天融信阿尔法实验室不为此承担任何责任。天融信阿尔法实验室成立于2011年,一直以来,阿尔法实验室秉承“攻防一体”的理念,汇聚众多专业技术研究人员,从事攻防技术研究,在安全领域前瞻性技术研究方向上不断前行。作为天融信的安全产品和服务支撑团队,阿尔法实验室精湛的专业技术水平、丰富的排异经验,为天融信产品的研发和升级、承担国家重大安全项目和客户服务提供强有力的技术支撑。天融信阿尔法实验室长按二维码关注我们 本文始发于微信公众号(天融信阿尔法实验室):天融信关于VMware vCenter Serve 远程代码执行漏洞风险提示
阅读全文
SolarWinds Serv-U 远程代码执行漏洞(CVE-2021-35211)风险通告 安全漏洞

SolarWinds Serv-U 远程代码执行漏洞(CVE-2021-35211)风险通告

2021年7月13日,SolarWinds对外发布漏洞公告,其产品Serv-U Managed File Transfer Server 及 Serv-U Secured FTP 在启用了SSH的情况下存在远程代码执行漏洞。腾讯安全专家建议受影响的用户及时更新到安全版本。1漏洞描述2021年7月13日,SolarWinds对外发布漏洞公告,其产品Serv-U Managed File Transfer Server 及 Serv-U Secured FTP 在启用了SSH的情况下存在远程代码执行漏洞。 该漏洞由微软发现并提交给SolarWinds,同时微软表示该漏洞已被在野利用,攻击者可利用该漏洞远程在目标机器上以特权执行任意代码,然后攻击者可以安装程序;查看、更改或删除数据;或在受影响的系统上运行程序。 漏洞细节和利用代码暂未公开,腾讯安全专家建议受影响的用户及时更新到安全版本。2漏洞编号CVE-2021-352113漏洞等级高危4受影响的版本Serv-U <= 15.2.3 HF15安全版本Serv-U 15.2.3 HF26漏洞修复建议腾讯安全专家建议升级到安全版本:Serv-U 15.2.3 HF2,不方便升级的环境可以暂时关闭SSH功能。软件版本升级方法Serv-U 15.2.3 HF1升级到Serv-U  15.2.3 HF2Serv-U 15.2.3先升级到Serv-U  15.2.3 HF1,再升级Serv-U  15.2.3 HF215.2.3 之前的所有 Serv-U 版本升级到Serv-U  15.2.3,再升级Serv-U  15.2.3  HF1 ,再升级到Serv-U  15.2.3 HF2详细升级方法参考:https://support.solarwinds.com/SuccessCenter/s/article/Serv-U-15-2-3-HotFix-2?language=en_US参考链接:https://www.solarwinds.com/trust-center/security-advisories/cve-2021-35211 本文始发于微信公众号(腾讯安全威胁情报中心):SolarWinds Serv-U 远程代码执行漏洞(CVE-2021-35211)风险通告
阅读全文
宝塔数据库未授权访问漏洞风险预警 安全漏洞

宝塔数据库未授权访问漏洞风险预警

点击蓝字  关注我们漏洞公告 宝塔Linux面板是提升运维效率的服务器管理软件,支持一键LAMP/LNMP/集群/监控/网站/FTP/数据库/JAVA等100多项服务器管理功能。近期发现宝塔7.4.2版本存在数据库未授权访问漏洞影响范围宝塔linux面板 7.4.2宝塔windows面板 6.8漏洞描叙ip:888/pma可以直接进入数据库,跳过验证操作数据库,从而拿到整站数据修复建议升级到宝塔最新版(7.4.3)或者关闭888端口 本文始发于微信公众号(IDLab):宝塔数据库未授权访问漏洞风险预警
阅读全文
人工智能对于核战争风险意味几何? 云安全

人工智能对于核战争风险意味几何?

      今世界的核平衡依赖于几个不可持久的条件计算能力和数据可用性的进步,让机器能够完成一度需要人类参与或被视为不可能的任务。这种人工智能 (AI) 也许会带来新的军事力量,从而引发军备竞赛,抑或增加国家在危机中有意或无意间动用核武的可能性。兰德公司召开了一系列研讨会,集众多人工智能与核安全领域的专家于一堂,共同探讨在2040年之前人工智能会如何演变成一股稳定或不稳定的力量。   人工智能对核战略的影响,既取决于敌方对其军事应用能力的认知,也同样取决于其实际能力。例如,一个国家要发展出定位和锁定敌方所有核武发射器的能力, 在技术上极具挑战性,但这项能力却能产生出巨大的战略优势。因此,各国都垂涎三尺,不顾一切技术困难追求这项能力,即使这样做有可能惊动对手,增加冲突的可能性。从技术上说,高级人工智能仍难以克服源自数据局限和信息论论证的障碍,但跟踪和瞄准系统只需要被视为具备这项能力,便可产生破坏稳定的作用。一种近乎实现的能力,也许比已经实现的能力更加危险。人工智能的发展轨迹,连同辅助信息技术和其他方面的进步,将对未来25年的核安全问题产生重大影响。人工智能技术或延续近年来快速进化的趋势,抑或在现有技术成熟后趋于稳定。一些理论家认为,机器在未来某个时候可能会发展出提高自身智力的能力,形成“超级智能”,具备人类无法理解或控制的能力,但对于人工智能的进化之路(包括形成超级智能的可能性)仍然众说纷纭。有人设想取得初步突破之后会遭遇挫折;有人则猜测会走循序渐进的道路。上述两种极端情况与核战争的前途关系不大。发展停滞(又称为人工智能的寒冬)只会导致当前核安全环境的微末变化。若超级智能成为现实,人工智能将令整个世界面目全非,在此过程中人类或将得到挽救或将走向毁灭。另外两种情况下,人工智能的发展取得巨大进步,实现许多新的功能,但至少在某些方面仍逊于人类、容易出错,这似乎得到专家群体的更多认可,但对于这些功能给国家安全带来的影响,专家们莫衷一是。有些“ 乐观派”倾向认为,要达到能够执行某些足以打破核平衡的任务的人工智能是非常困难的,不大可能实现。相反,“谨慎派”则认为,人工智能能够执行某些任务,但不应该用于核战争的任何领域。第三种属于“颠覆派”, 他们强调敌方篡改、误导、牵制或以其他方式欺骗人工智能的能力,这本身也可以起到稳定或打破稳定的作用。研讨会上讨论了一个例子:作为决策支持系统的人工智能。即使不直接连接到核武发射器上,但人工智能仍可以就冲突升级问题为人类提供意见。鉴于人工智能在日益复杂和不甚明确的任务中取得持续进步,我们有理由相信,这项能力——至少在决策过程中的某些环节能够在2040年前实现。谨慎派担心,这项能力可能在还不可靠或尚不清楚其局限性的情况下就派上用场。然而, 如果人工智能顾问经证实是有效的,则可以减小人为错误的可能性,做到彻底透明化,从而降低误判风险,提升稳定性。但许多专家担心,敌方会通过黑客攻击、破坏训练数据或操纵输入因素等手段,颠覆本领高强的人工智能。在未来几十年维持战略稳定,需要在多极世界背景下重新审视威慑理论的理论基础。要做到有效的威慑,即使不直接连接到核武发射器,人工智能仍可以就冲突升级问题为人类提供意见。 我们必须抗衡受人工智能进步所推动而快速迭代的各种能力。关键性的考量包括:实际能力的影响,相关能力的可预见潜能(不论是否存在),以及这些能力过早应用或出错性(特别是因敌对行动所致)。只要谨慎行事和一定的前瞻性思考,这些风险是有可能识别和减轻的。 未来核平衡重大变化的线索2015年11月,俄罗斯透露正在研发终极“杀手机器人”:核动力海底无人机,用于运载大型热核弹头。俄罗斯电视台在一次“意外”泄密中透露了这种可怕武器的存在, 而大多数西方观察家认定这是故意为之。电视镜头有一瞬间停留在一张给总统普京的看似保密的简报幻灯片上,内容描述“海洋多用途系统斯塔图斯- 6”。斯塔图斯-6外观像巨型鱼雷,由小型核反应堆提供动力(见第3 页的图片),其巡航速度和范围在海洋里几无敌手,能够突破敌人的防御(Sutyagin,2016年)。假设美国先发袭击克里姆林宫,这部无人机将从俄罗斯北极地区的潜艇发射,以大约100公里的时速穿越海洋,同时自动避开反潜防御系统,向美国海岸线投下致命的弹头。由于在水下通信困难,无人机需要具备一定程度的自主能力,而正是由于人工智能的进步,这直到最近才有可能实现。斯塔图斯-6不仅是人工智能的实际应用,还反映了人工智能对核威慑的潜在影响——利用报复威胁来阻拦对方攻击一个国家或其盟国。在美国的核打击瞄准能力和导弹防御系统面前,俄罗斯报复力量的切实有效性堪忧,因此,核武无人机是俄罗斯领导人心底忧虑的最新体现。现今的俄罗斯无法抗衡这些军事力量,因而希望利用人工智能确保其威慑力量的切实有效性。克里姆林宫持续探索将人工智能诉诸于军事用途的创新方式, 该计划有可能在2040年之前取得成功。这符合其数十年来推行的战略,即针对美国的优越军事力量发展“非对称性应对措施”。俄罗斯的海底“末日无人机”只是迄今为止这种现象最极端的例子。核威慑在2040年是否会被认可?斯塔图斯-6是一个严厉的警告,如果技术进步影响到核大国的安全感,它们可能会试图利用前所未见的新武器系统和军事姿态 全部内容在知识星球本期编辑:SXS如有侵权,请联系管理员删除通过“情报学院”知识星球可以阅读该资料的全都内容👇 本文始发于微信公众号(情报分析师):人工智能对于核战争风险意味几何?
阅读全文