![国家工程实验室安全资讯周报20201130期]( "国家工程实验室安全资讯周报20201130期")
技术标准规范
-
美国《2020年国家生物识别信息隐私法案》中译文
-
网络空间国际规则分论坛发布《网络主权:理论与实践》(2.0版)
-
《个人信息安全影响评估指南》(GB/T 39335-2020)正式发布
-
详解丨《政务信息系统密码应用与安全性评估工作指南》
![国家工程实验室安全资讯周报20201130期]( "国家工程实验室安全资讯周报20201130期")
行业发展动态
![国家工程实验室安全资讯周报20201130期]( "国家工程实验室安全资讯周报20201130期")
安全威胁分析
-
针对机器学习系统的网络攻击和新的对抗性ML威胁矩阵
-
ThreatGEN:Red vs. Blue--在游戏中学习网络安全技能
-
Cyberbit Range培训和模拟平台新功能New
-
-
-
-
-
-
-
-
-
如何黑掉特斯拉 Model X 钥匙扣并控制汽车?
-
-
「观点」网络靶场是网络空间安全科学研究、测量和分析的科学装置
-
模拟仿真|思科建模实验室Cisco Modeling Labs 浅析
-
-
-
-
HTTP、HTTPS、加密型webshell一网打尽
-
-
-
-
-
-
-
Windows打印机驱动程序本地提权漏洞分析(CVE-2019-19363)
-
-
-
-
-
原创 | 某SCADA的远程代码执行漏洞挖掘与利用
![国家工程实验室安全资讯周报20201130期]( "国家工程实验室安全资讯周报20201130期")
安全技术方案
-
-
-
-
-
-
-
面向电子政务的私有云架构多维度安全监控平台构建运用研究
1. 美国《2020年国家生物识别信息隐私法案》中译文
以伊利诺伊州的生物识别信息隐私(BIPA)为蓝本,由Sens. Jeff Merkley和Bernie Sanders提出的《国家生物识别信息隐私法》(National Biometric Information Privacy Act),包含三个关键条款。1. 要求在收集和披露个人生物识别符和信息之前,必须获得个人的同意。2. 对违反该法保护的实体的私人诉讼权,使受侵害的个人有权追回,除其他外,(i)1,000美元的违约赔偿金或(ii)实际赔偿金,以较大者为准,因为他们疏忽地违反了该法所赋予的保护。3. 有义务以类似于组织保护其他机密和敏感信息(如社会安全号码)的方式保护生物特征识别器或生物特征信息。
2. 网络空间国际规则分论坛发布《网络主权:理论与实践》(2.0版)
11月24日,世界互联网大会·互联网发展论坛“网络空间国际规则:实践与探索”分论坛举行,多家智库联合发布了《网络主权:理论与实践》(2.0版)等重要成果。中央网信办、国家网信办副主任赵泽良出席论坛。论坛讨论了“网络主权”议题,深入研讨了关于网络主权的最新理论、研究和实践,在去年成果文件基础上发布《网络主权:理论与实践》(2.0版)。
3. 《个人信息安全影响评估指南》(GB/T 39335-2020)正式发布
根据2020年11月19日国家市场监督管理总局、国家标准化管理委员会发布的中华人民共和国国家标准公告(2020年第26号),全国信息安全标准化技术委员会归口的GB/T 39335-2020《信息安全技术 个人信息安全影响评估指南》国家标准正式发布,并将于2021年6月1日正式实施。
4. 详解丨《政务信息系统密码应用与安全性评估工作指南》
根据《国家政务信息化项目建设管理办法》(以下简称《办法》)(国办发[2019]57号)密码应用与安全性评估要求,依据《中华人民共和国密码法》及商用密码管理规定,中国密码学会密评联委会组织编制的《政务信息系统密码应用与安全性评估工作指南》(以下简称《工作指南》)(2020版)在日前发布,随后,在《国家密码管理局关于请进一步加强国家政务信息系统密码应用与安全性评估工作的函》中,国家密码管理局函告相关单位,有关密码应用与安全性评估工作可参考《指南》。
当前网络空间安全威胁日益严峻,等保2.0和密码法等一系列法律法规的颁布促进加强密码应用,保障网络空间安全。今年国家发改委首次明确了“新基建”的范围,新型基础设施以网络和数据为核心,本质上是信息数字化的基础设施,对超大网络流量、超大数据规模的明确安全要求,急需超高速密码技术、产品的广泛支撑。超高速密码技术是一个不断探索的技术创新体系,促进在新基建中的全面应用、发展更是加强国家网络空间安全的重要行动。
6. 通知 | 2020年电力信息通信与网络安全国际发展论坛暨IEEE PES电力系统通信与网络安全技术委员会(中国)成立大会
国家互联网应急中心作为“信息与网络安全技术分委会”副主席单位,将由新业务研究室副主任李建强在“信息与网络安全技术分委会专题沙龙暨 2020 年度工作会”上做《我国工业互联网网络安全态势分析报告》。
等级保护2.0于2019年12月开始实施。等级保护2.0是国家网络安全的一次重大升级,是深入贯彻落实《中华人民共和国网络安全法》、实现国家网络强国战略目标的基础。等级保护2.0由单独的基本要求演变为通用安全要求+安全扩展要求,工业控制系统作为重点保护对象被纳入其中,由此,工业控制系统已上升至国家法律保护范畴。
对汽车信息安全从业人员来说,目前可参考的标准并不多,其中SAE J3061是一个,此外就是即将发布的ISO 21434,因为工作的原因,基本亲历了21434近两年来的版本变迁,也是一个脉络逐步清晰,定义更加精准到位的过程。今天我还是想基于ISO 21434的框架内容谈谈汽车信息安全流程。
9. 针对机器学习系统的网络攻击和新的对抗性ML威胁矩阵
随着针对机器学习(ML)系统的网络攻击的增加,Microsoft与MITER以及来自其他11个组织的贡献一起发布了Adversarial ML威胁矩阵。
Adversarial ML威胁矩阵是一个开放的ATT&CK样式的框架,可帮助安全分析人员检测,响应和补救针对ML系统的威胁。
10. ThreatGEN:Red vs. Blue--在游戏中学习网络安全技能
Derezzed Inc.(dbaThreatGEN)是一家美国小企业,位于休斯顿德克萨斯州,目前专注于新兴技术应用领域,从事网络安全(工控安全)培训、工控安全服务咨询及工控安全威胁监控的解决方案。在网络安全(工控安全)培训服务中,该公司使用先进的计算机游戏引擎构建了网络安全(工控安全)培训平台,使得该平台基于游戏化的规则结合开发的系列工控安全培训课程TGICS101、TGICS201和TGICS301进行工控安全培训。
11. Cyberbit Range培训和模拟平台新功能New
Cyberbit现目前提供的产品组合用于管理IT、OT和物联网系统趋同的从检测到响应的整个事件生命周期。使SOC团队、MSSP和关键基础架构组织能够检测并消除IT和OT网络中的高级攻击。Cyberbit的产品通过大数据、行为分析和机器学习,收集和分析TB级的数据,产生实时分析并大大加快响应速度。Cyberbit的端到端产品组合包括端点保护、SOC管理、ICS/SCADA安全解决方案和CyberRange平台。
随着5G时代的到来,物联网扮演的角色也越来越重要,同时也伴随更多的安全风险。IOT安全涉及内容广泛,本系列文章将从技术层面谈一谈笔者对IOT漏洞研究的理解。笔者将从固件、web、硬件、IOT协议、移动应用五个维度分别探讨,由于水平能力有限,不当或遗漏之处欢迎大家指正补充。
“永恒之蓝木马下载器”首次被发现于2018年12月份。木马团伙通过劫持驱动人生升级服务器下发该木马致使大量客户中招。此木马近年来一直处于活跃状态,攻击、传播手法持续更新。在进行客户侧应急时,我们经常会遇到该系列木马,有趣的是由于该木马使用的攻击与传播手段基本覆盖了常见的各种自动化方法,此木马在内网的流行程度反而在一定程度上反映了一个网络的安全性,甚至可以用来作为指标来评价内网的安全程度。
14. CrystalNet:超逼真地仿真大型生产网络
在第26届ACM年度操作系统和原理研讨会上,微软介绍了一种名为CrystalNet的新技术,这是一种高保真、云规模的网络仿真器。CrystalNet由微软花费两年时间构建,在公示时,其已在微软内部应用6个月时间。本论文为CrystalNet发表的学术研究成果中文翻译版,仅供学习研究之用。后续微软曾公开表示要将CrystalNet开源,并更名为Open Network Emulator(ONE),目前尚无正式开源的日程计划。
法国著名的网络靶场hns-platform项目基于开源的由MinDef/DGA/Celar(FR)资助的Hynesim项目(http://www.hynesim.org)演变而来。这个开源的项目最早可以追溯到02、08年,由著名的GuillaumePRIGENT担任项目负责人和架构师。这个人开发了许多著名的工具,比如netglub(http://www.netglub.org),后来的安全领域大家都经常使用的Maltego就是基于netglub的更新升级版本。
据Gartner预测,到2023年年底,全球超过80%的企业将面临至少一项隐私数据保护的法规(跨国企业面临多个国家或地区的多项隐私法规)。在法规监管不断强化的背景下,企业不得不重新审视数据安全与合规性的重要性与急迫性。与此同时,数据安全技术近年来发展十分迅速,创新技术不断涌现。本文将从国内外隐私合规视角切入,对数据安全技术进行梳理和总结,并对国内外数据安全技术发展趋势进行洞察和分析。
目前专用5G / LTE网络已经有了无数应用案例。蜂窝物联网的部署可以支持自动化的工业流程。专用5G/LTE网络可以为密集办公园区内的智能手机和其他设备提供更好的信号接收以及更快的连接速度。物联网车辆、远程医疗和智慧城市等应用都需要专用蜂窝连接。
有史以来最大规模(收集数据量)的公共互联网审查数据调查表明,即使是世界上最标榜自由的国家,公民也无法免受(越来越严厉的)互联网审查的影响。
密歇根大学的一个团队使用其开发的“审查星球”(Censored Planet)工具(2018年启动的自动审查跟踪系统),在过去的20个月中,从221个国家收集了超过210亿次测量数据。
随着新型基础设施建设的推进,其面临的安全风险和安全挑战亟待解决。内生安全技术与新型基础设施建设的结合可以提供安全技术基础和新型的安全保障解决方案。在探讨了新型基础设施建设的特点和安全挑战的基础上,对内生安全技术的应用进行了研究和分析。
20. 如何黑掉特斯拉 Model X 钥匙扣并控制汽车?
比利时鲁汶大学的研究人员在特斯拉 Model X 的无钥匙进入系统中发现了多个漏洞,可导致攻击者在几分钟内窃取价值10万美元的这款车型。
这些漏洞可导致钥匙扣遭完全控制,并通过特殊构造的固件,远程更新特斯拉 Model X 的 BLE 芯片,从而完全控制车辆。
21. 新形势下做好个人信息保护技能认证工作的思考
个人信息保护的重要性毋庸置疑。个人数据,如姓名、年龄、职业,健康等信息,属于个人隐私,关系到信息主体人身、财产安全,不能随意复制、发布和修改。公民基因等数据更是涉及国家安全,不可非法出境。CNCERT在2019年共监测到我国重要数据泄露风险与事件3,000余起。《中国互联网络发展状况统计报告》显示,截至2020年6月,我国20.4%的网民遭遇过个人信息泄露。从近年来国际竞争中出现的数据安全规则博弈,到国内外频发的个人信息泄露事件,再到疫情防控中个人信息的收集和利用,个人信息保护在国家、企业和个人层面受关注的程度越来越高。
22. 「观点」网络靶场是网络空间安全科学研究、测量和分析的科学装置
DARPA(美国国防部国防高级研究计划局)当初在对网络空间靶场进行定位和构想的时候,曾提出这样的观点和定位:网络空间靶场是网络空间安全科学研究、测量和分析的科学装置。作为先进技术的构想和研究者,DARPA在网络空间安全的问题上,认为和其他科学研究的问题一样,网络空间靶场应该是研究网络空间安全科学问题的科学研究装置,或者说应该这样来定位网络空间靶场的作用。
23. 模拟仿真|思科建模实验室Cisco Modeling Labs 浅析
在属于思科的黄金时代,全球的路由器、交换机等网络设备市场几乎都由思科公司控制。《浪潮之巅》一书中,曾经这样形容思科在内的传统科技公司:“近一百多年来,总有一些公司很幸运地、有意识或者无意识地站在技术革命的浪尖之上。即使不做任何事,也可以随着波浪顺顺当当地向前漂个十年甚至更长的时间。它们代表着科技的浪潮,都极度辉煌过,直到下一波浪潮的来临。”随着云的兴起,思科毫无疑问的跌落了,但是在思科的黄金十年中,很多技术人视思科CCIE的认证为职业生涯上的皇冠、荣耀与价值激励。
传统网络设备的安全防护功能较弱,往往采用分离部署的防护设备如防火墙等来实现网络安全防护功能。但是这种部署方式在防护时效性、网络精细化管理、动态策略联动等方面有所欠缺,并可能带来网络传输性能的下降等问题。研究内嵌分层次一体化安全防护功能的网络设备能够有效解决以上问题。
25. 面向5G+垂直行业的小颗粒业务承载技术研究
随着5G时代的到来,电信业商业模式将出现新的变化,5G+垂直行业应用模式已成为必然趋势。海量小颗粒业务作为垂直行业应用中一种重要的业务类型,备受行业用户、运营商及设备厂商的关注。结合行业用户的现状和未来发展趋势分析了5G承载网络中的小颗粒应用需求;对目前已经进入标准化和热门研究的小颗粒技术进行了梳理和介绍,并提出未来亟需解决的问题和发展的方向。
26. 5G时代利用人工智能提升运营商网络竞争力的研究
近年来,人工智能技术已被应用于通信网络智能化领域,以解决传统技术面对通信网络复杂化、用户体验多样化、业务场景多样化等新发展趋势所遇到的瓶颈问题。总结了中国联通在网络智能化应用方面取得的一些成果,对网络AI中台、网络智慧运营、网络服务智能化等方面的人工智能应用进行了深入分析,探讨了多种场景下的智能化应用。同时指出,中国联通在网络智能化应用方面仍有巨大潜力,未来需将网络AI应用在价值闭环、网络演进、组织变革等方面进行深度融合。
27. HTTP、HTTPS、加密型webshell一网打尽
webshell是黑客进行网站攻击的一种恶意脚本,识别出webshell文件或通信流量可以有效地阻止黑客进一步的攻击行为。目前webshell的检测方法主要分为三大类:静态检测、动态检测和日志检测。静态检测通过分析webshell文件并提取其编写规则来检测webshell文件,是目前最为常用的方法。
RFID隐私保护与成本是相互制约的,如何在低成本的被动标签上提供确保隐私安全的增强技术面临诸多挑战。现有的RFID隐私增强技术可以分为两大类:一类是通过物理方法阻止标签与阅读器通信的隐私增强技术,即物理安全机制;另一类是通过逻辑方法增加标签安全机制的隐私增强技术,即逻辑安全机制。RFID的逻辑机制主要通过基于Hash函数的安全认证协议来实现。
木马化的开源软件是很难发现的,因为它利用了合法的、非恶意的软件,因此对定向攻击非常有用。但是,进一步调研发现了暴露恶意意图的可疑行为。
研究人员在一次事件的分析中发现了一个名为notepad.exe 的文件。因为 Notepad 是一款知名的合法应用程序。因此,一些恶意软件作者通过使用合法软件的名字来对恶意文件进行伪装以绕过检测。
30. 全军覆没:亚马逊11款智能门铃全都存在安全漏洞
通过对在线电商平台(如亚马逊和eBay)出售的近十种廉价视频门铃的安全审查发现,每台设备都存在多个安全漏洞。其中最严重的是某些设备的做法,没有明显的理由将Wi-Fi名称、密码、位置信息、照片、视频、电子邮件和其他数据发送回制造商。
通过结合最初为越狱的iPhone开发的两个漏洞,安全研究人员声称他们已经可以越狱采用苹果最新T2安全芯片系列的Mac和MacBook设备。
尽管漏洞利用仍然相当复杂,但在过去的几周中,Twitter和Reddit上已经提到了将这两个漏洞利用结合在一起的技术,该技术已得到当今几位顶级苹果安全和越狱专家的测试和证实。
如果利用得当,此越狱技术可使用户/攻击者对其设备进行完全控制,以修改核心操作系统的行为或用于检索敏感或加密的数据,甚至植入恶意软件。
如果你的智能咖啡机被勒索软件控制了,你也许会觉得这是一个成本不高的恶作剧而已,但是想象一下,黑客以智能咖啡机为跳板,渗透进了工控系统或者企业内网,或者锁死了存有大量个人数据的家庭NAS设备,你还会认为这是一个人畜无害的恶作剧吗?
姜太公钓鱼,愿者上钩,18年网络钓鱼浪潮。钓鱼的手段是屡见不鲜,手段和方式也是层出不穷。据数据表明:Wandera的《2020年移动端威胁前景报告》表明每20秒就会有一个新的钓鱼网站上线。这意味着每分钟都会在互联网上弹出三个旨在针对用户的新的钓鱼网站。
34. Windows打印机驱动程序本地提权漏洞分析(CVE-2019-19363)
打印机制造商Ricoh已要求Pentagrid协调披露了一个提权漏洞,以缓解影响多种打印机的Windows打印机驱动程序的漏洞。由于在将打印机添加到Windows系统时安装的文件系统条目的文件权限设置不当,因此任何本地用户都可以使用自己的代码覆盖程序库文件(DLL)。
权限访问管理(PAM)的领先厂商BeyondTrust公司针对未来一年及之后的网络安全趋势做出年度预测。预测报告的作者包括BeyondTrust公司首席技术官兼首席信息安全官Morey J. Haber、产品管理总监Brian Chappell、解决方案工程总监Karl Lankford。相关预测结论主要基于技术分享、恶意攻击者倾向、文化以及过去数十年的综合经验。
对于一个企业,主张安全文化的建设要“将企业安全理念和安全价值观表现在决策者和管理者的态度和行动中,落实在企业的管理制度中,将安全管理溶入企业整个管理的实践中,将安全法规、制度落实在决策者、管理者和员工的行为方式中,将安全标准、技术、产品等落实在企业运营的业务、流程和应用中,由此构成一个良好的安全文化气氛。通过安全文化的建设,影响企业各级管理人员和员工的安全自觉性,以文化的力量保障企业安全制度和安全体系的持续运营。”这样才能抓住企业目前安全建设的实质和根本内涵。
美国《国家网络空间靶场》(NCR)项目前后合计共有70余家美国企业、科研院所及机构牵头参与了陆、海、空、天、电、磁各领域的项目建设研发。最后由美国洛克希德·马丁公司总集成和运营。本文旨在梳理和总结美国洛克希德·马丁公司在这个过程中,洛克希德﹒马丁公司在《国家网络空间靶场》(NCR)项目上所获取的资金。
随着公有云服务的广泛采用和移动工作者规模的增长,基于边界的安全模型已经过时。组织的应用程序和数据可能同时存在于传统防火墙内部和外部,而边界控件几乎无法阻止攻击者获得初始访问权限后在网络上横向活动,此时安全和IT团队需要的是向“无边界”安全的转变,这就是零信任。
39. 原创 | 某SCADA的远程代码执行漏洞挖掘与利用
近年来网络安全形势日渐严峻,国内外都开始对工控安全越来越重视,而工控领域由于常年来对安全的忽视,导致暴露出数量惊人的严重安全漏洞,更为严重的是,相当一部分厂商即使在漏洞披露出来后也没有能力去修复。从实战出发,以一个国产的SCADA软件作为例子,介绍对工控软件的漏洞挖掘方法,希望通过这篇文章能够让越来越多的安全研究员重视工控领域的安全。
40. Magspoof:一个模拟磁条卡设备的制作与测试
现在网上常见的设备大都是ID或是IC卡的研究设备,很少见到有关磁条卡的文章,其实磁条卡在我们日常中也是一种十分常见的卡,例如一些店的VIP卡·储值卡和一些门禁卡等。所以我们今天就来聊聊一个关于磁条卡安全的设备Magspoof
作为安全信息系统的基石,安全芯片对其自身安全性具有非常高的要求。在安全芯片中加入自毁电路,以物理方式彻底破坏芯片中的关键电路和敏感数据,可为安全芯片提供更高的安全性,因此提出了一种基于超高频频段的无线自毁电路。该电路采用循环空口认证方式检查安全芯片是否处于安全可控的工作环境,并在安全芯片失控时输出自毁信号引爆片上炸药对芯片进行物理销毁。电路采用CMOS工艺实现,可根据需要集成在安全芯片中使用,具有较好的实用性。
在工业上,各个设备仪器协同一起自动化完成产品生产的整个流程总称为工业控制系统。传统的工业系统在设计之初只局限于系统内部设备仪器之间通讯。但随着互联网信息化发展,工控系统设备与外部使用通用的协议进行信息交互愈加频繁,这也为工控系统埋下了安全隐患。为了排除这些安全隐患,在工业界最有效的方法是对通用协议进行模糊测试。
在本文中,我们将为读者介绍基于打印机跳板技术的新型C2及其检测方法。
在上一篇文章中,我们为读者详细介绍了基于打印作业的新型Command & Control(C2)的工作原理,以及基于C3的打印通道的实现方法。在本文中,我们将继续为读者介绍针对这种新型C2的各种检测方法。
我们曾经在LPC5460x系列芯片上用过非常类似的技巧,来禁用SWD/JTAG;同时,您还可以将设备设置为USB引导模式,以便通过USB读取固件。当我们遇到问题时,一定要多翻翻相应处理器的数据手册,说不定就能找到类似这里介绍的“隐藏”功能。
现代汽车中含有数以百计的传感器和机械装置,它们通过车载计算机进行相互通信,了解车况和周围环境。这些汽车部件能向驾驶员提供实时信息,远程连接网络,甚至自动驱动车辆。
就和任意一台电脑一样,车载电脑也容易遭受攻击从而导致驾驶员的安全受到威胁,比如软件中的漏洞、物理接触导致的非法接管、以及通过网络非法远程控车辆。
46. 面向电子政务的私有云架构多维度安全监控平台构建运用研究
随着信息化程度的逐步提高,云计算在各领域得到广泛应用,政府对私有云计算的需求也在不断增长。但由于政府电子政务的多层级服务、多部门关联的特点,使私有云平台资源具有多样性、复杂性,给系统安全维护带来了一定的困难。除平台自身安全外,如何动态监控资源、使管理人员掌握安全态势,成为电子政务安全领域重要的研究内容。因此,构建一套集预测、防御、监测和响应于一体,与政府自身特点相适应的多维度安全防护监控手段,是提升系统安全可靠和广泛应用的重要保障。
[本文资讯内容来源于互联网,版权归作者所有。由“网络安全应急技术国家工程实验室”整理发布]
![国家工程实验室安全资讯周报20201130期]( "国家工程实验室安全资讯周报20201130期")
本文始发于微信公众号(网络安全应急技术国家工程实验室):国家工程实验室安全资讯周报20201130期
安全技术方案
评论