普普每日安全資訊一周概覽(12.19—12.25)
共享充電寶可能會實時監(jiān)聽����,專家提醒這個操作要謹慎據(jù)國內(nèi)媒體報道�,出門在外�����,使用共享充電寶進行充電時�����,也要小心謹慎��,因為有些共享充電寶暗藏隱私泄露的風險��。那么充電寶是如何竊取個人隱私的呢?技術人員做了一次實驗�,先拍攝4張照片存在手機相冊中����,然后使用一條不帶數(shù)據(jù)傳輸功能的充電線連接充電寶,后臺未能讀取手機信息�����。但是�,如果使用一根能夠傳輸手機數(shù)據(jù)的充電線,充電寶就能將其內(nèi)部的惡意程序上傳至手機�����,后臺立馬就能顯示出剛剛拍攝的4張照片。斷開連接后�����,攻擊者依然能控制這部手機���。使用攻擊程序��,通訊錄能被實時讀取��,在鎖屏時�����,前后攝像頭能被輕易調(diào)用�,甚至還能實時監(jiān)聽�。技術人員介紹,取走充電寶中的幾塊電池�,換上一塊芯片,就能將各種惡意程序植入用戶手機��。使用外來充電寶�����,若手機上出現(xiàn)需要用戶授權、打開調(diào)試模式等提醒�,務必謹慎。
勒索軟件:改寫網(wǎng)安格局�����,進入突變元年自21世紀初以來����,勒索軟件一直是大型企業(yè)���、中小商家及個人的突出網(wǎng)絡威脅�。勒索軟件是一種惡意軟件����,它能夠獲取文件或系統(tǒng)的控制權限,并阻止用戶控制這些文件或系統(tǒng)�。惡意軟件和病毒軟件與生物疾病有相似之處。正是由于這些相似性�,仿照流行病學界對有害病原體的載體使用的術語,我們稱入口點為''載體''����。從技術上講��,攻擊或感染載體是勒索軟件獲得控制權的手段�。勒索軟件的載體類型包括:電子郵件����、遠程桌面協(xié)議(RDP)、網(wǎng)站木馬傳播�、社交網(wǎng)絡、彈窗等��。勒索軟件的攻擊載體一直在變化����,但總體保持大致相同,就像釣魚郵件攻擊��,不斷利用曝出的各種技術漏洞���,以及人的漏洞����。勒索軟件的最新攻擊趨勢:雙重勒索成為新常態(tài)�、IoT成為勒索軟件攻擊新突破口���、關鍵基礎設施成勒索軟件攻擊的重要目標、勒索攻擊更加定向����、復雜。一夜之間激增的遠程辦公給網(wǎng)絡犯罪分子提供了有吸引力的新攻擊目標�����。數(shù)以百萬計的人在家工作����,感染勒索軟件的機會比以往任何時候都高���。勒索軟件在2020年最瘋狂��,攻擊規(guī)模和頻率以驚人的速度增長����,同時也是給企業(yè)造成損失最大的攻擊手段��,甚至造成全球首例勒索軟件致死事故�。國際刑警組織也宣稱����,勒索軟件構(gòu)成網(wǎng)絡安全的最大威脅因素�。
疫情環(huán)境下的網(wǎng)絡安全趨勢和解決方案在過去的幾個月中,FortiGuard實驗室一直在積極跟蹤與疫情相關的全球威脅問題和攻擊活動��,包括信息竊取者���,特洛伊木馬����,勒索軟件以及社會工程誘餌的有效性���。利用情感謀取經(jīng)濟利益——網(wǎng)絡犯罪分子正在最大限度地利用這次疫情的恐慌心理����;魚叉式網(wǎng)絡釣魚攻擊也在增加——在醫(yī)療供應短缺的情況下��,針對性較強的攻擊活動也在增加��;遠程工作引入了新的攻擊媒介——為了確保業(yè)務連續(xù)性�����,諸如安全協(xié)議之類的東西可能會被忽略或擱置。因為個人設備甚至無需直接受到攻擊即可被破壞���。它們還連接到不安全的家庭網(wǎng)絡�,這使攻擊者可以利用其他攻擊媒介��,包括利用連接到家庭網(wǎng)絡的易受攻擊的物聯(lián)網(wǎng)設備或游戲機���。
在當前日益嚴峻的威脅形勢下�,我們不能放松警惕�。以下是您組織中需要加強的三個方面:加強網(wǎng)絡安全衛(wèi)生、更新關鍵安全技術��、用戶培訓��。
由于當前的疫情環(huán)境�,網(wǎng)絡犯罪迅速過度到遠程辦公,再加上網(wǎng)絡犯罪分子利用恐懼�,不確定性和懷疑的傾向����,安全研究人員觀察到了網(wǎng)絡安全問題激增。網(wǎng)絡罪犯分子很快就會利用新的手段和設備���,接入新手遠程工作者���、易受攻擊的家用計算機和網(wǎng)絡�,以及過度勞累的IT團隊����。
零信任的概念對國防部而言已經(jīng)不是新鮮事物。對于某些內(nèi)部敏感信息����,他們已經(jīng)采取類似的分區(qū)配置,但目前大部分業(yè)務網(wǎng)絡架構(gòu)仍然依靠強密碼保護等傳統(tǒng)的外圍防御策略�����。國防部領導層提到����,此次在全軍范圍內(nèi)推行的零信任架構(gòu)將與其他以往計劃有所不同。進一步解釋稱�����,這代表著國防部網(wǎng)絡架構(gòu)的全面轉(zhuǎn)變,事實上網(wǎng)絡架構(gòu)也必須隨時間推移而不斷變化����。由馬里蘭州創(chuàng)新與安全研究所(MISI)運營的私營網(wǎng)絡安全實驗室DreamPort一直在各級政府機構(gòu)與私營部門間的合作中發(fā)揮著關鍵作用,在此次參考指南的制定過程中同樣助力頗多����。該組織還在所在地馬里蘭州哥倫比亞市郊專門建立了零信任實驗室,著力推動與NSA���、網(wǎng)絡司令部以及其他高度關注安全工作的政府機構(gòu)間的合作�。為美國國防機構(gòu)及IT部門提供一份指導性藍圖���,推動網(wǎng)絡體系過渡到新的模式�����,嘗試對所有人采取相同的安全控制級別�。換言之���,新的安全體系將對所有用戶都實施“零信任”策略����。
數(shù)據(jù)安全領域�,加密技術相對穩(wěn)定,加密技術有望迎來重大變革�,以下我們列出2021年值得關注的六大加密趨勢。一���、云計算將扮演更重要的角色��,尤其是在金融服務領域:云計算服務商正在提供更強大�����、更靈活的安全服務��,以滿足那些希望保留密鑰控制權�,同時避免被云服務商鎖定的企業(yè)的需求�����。二�、同態(tài)加密將成為“新常態(tài)”:面對隱私泄露和監(jiān)管力度的雙重壓力,同態(tài)加密作為最優(yōu)秀的隱私增強技術之一���,對數(shù)據(jù)進行處理和操作時能夠保持加密狀態(tài)�,可用于保護存儲在云中或傳輸中的數(shù)據(jù)的安全。三���、BYOE將開始流行:云安全(營銷)模型��,也是企業(yè)云安全的一次重要變革�,企業(yè)鞏固自己掌控和管理數(shù)據(jù)安全策略所需的控制級別���。四�、加密+密鑰管理��,對于縮短的證書生命周期至關重要:企業(yè)需要比以往更嚴格的加密和密鑰管理�����,跟蹤證書失效日期非常重要�����,自動化將發(fā)揮重要作用�。五、加密技術對DevSecOps很重要��,尤其是代碼簽名:DevOps團隊提供所需的集成安全性以及快速識別和排除故障區(qū)域的能力�。六�、長周期設備制造商將開始擁抱加密敏捷性:敏捷的加密解決方案可能需要實現(xiàn)混合證書����,使用常規(guī)非對稱加密進行簽名的同時�,要具備足夠的靈活性,以便今后向抗量子加密平穩(wěn)過渡��,以應對量子計算的威脅����。無論是云服務商還是采用BYOE和同態(tài)加密的企業(yè),亦或采用混合證書來實現(xiàn)加密敏捷性的DevSecOps團隊�,都需要注意以下亮點:加密和密鑰管理二者缺一不可;較短的證書生命周期意味著企業(yè)需要比以往更加關注密鑰管理��。
AMNESIA33:物聯(lián)網(wǎng)打開潘多拉盒子據(jù)Forescout的研究人員估計���,目前發(fā)現(xiàn)的數(shù)百萬個消費級和工業(yè)級設備受到他們發(fā)現(xiàn)的33個安全漏洞(其中四個是高危漏洞)的影響�,幾乎你能想到的所有聯(lián)網(wǎng)/物聯(lián)網(wǎng)設備都有可能中招:包括智能手機�����、游戲機���、傳感器��、片上系統(tǒng)(SOC)板�、HVAC系統(tǒng)、打印機���、路由器�����、交換機�����、IP攝像機���、自助結(jié)賬亭、RFID資產(chǎn)跟蹤器�����、證章讀取器�����、不間斷電源和各種工業(yè)設備。Bug駐留在四個開源TCP/IP堆棧中����,漏洞將使攻擊者可以實施廣泛的攻擊。例如:遠程代碼執(zhí)行(RCE)以控制目標設備���;拒絕服務(DoS)會削弱功能并影響業(yè)務運營;信息泄漏(infoleak)以獲取潛在的敏感信息���;DNS緩存中毒攻擊�����,用于將設備指向惡意網(wǎng)站����。在某些情況下(例如智能手機或網(wǎng)絡設備)設備自帶無線更新機制���,漏洞的修補可能很容易�����,但是許多其他易受攻擊的設備甚至都沒有提供更新固件的功能����,這意味著某些設備很可能在剩余的產(chǎn)品生命周期內(nèi)仍然很脆弱。公司可能需要替換設備�,或采取對策以防御利用漏洞的攻擊。檢測漏洞本身也是一項艱巨的工作����,因為當今許多設備都未附帶軟件物料清單,很多公司甚至都不知道他們正在運行的系統(tǒng)是否使用了四個TCP/IP堆棧中的一個�。智能設備和物聯(lián)網(wǎng)的生態(tài)系統(tǒng)仍然是一團亂麻,并且很可能在未來幾年仍將是一場安全災難��。
物聯(lián)網(wǎng)安全:信任與信任管理信任是信息安全的基石�,是交互雙方進行身份認證的基礎。信任涉及假設�、期望和行為。信任是與風險相聯(lián)系的�,并且信任關系的建立不可能總是全自動的,這意味著信任的定量測量是比較困難的���,但信任可以通過級別進行度量和使用�����,以決定身份和訪問控制級別�����。信任通常分為基于身份的信任(IdentityTrust)和基于行為的信任(BehaviorTrust)兩類��?��;谏矸莸男湃尾捎渺o態(tài)的控制機制�����,即在用戶對目標對象實施訪問前就對其訪問權限進行了限制?�;谛袨榈男湃瓮ㄟ^實體的行為歷史記錄和當前行為的特征來動態(tài)判斷目標實體的可信任度���?��;谛袨榈男湃伟ㄖ苯有湃危―irectTrust)和反饋信任(IndirectTrust)。反饋信任又可稱為推薦信任�、間接信任或者聲譽(Reputation)。信任的屬性包括信任的動態(tài)性�、不對稱性、傳遞性和衰減性���,為解決互聯(lián)網(wǎng)上網(wǎng)絡服務的安全問題�,提出了信任管理(TrustManagement)的概念,并首次將信任管理機制引入分布式系統(tǒng)之中���。隨著以互聯(lián)網(wǎng)為基礎的各種大規(guī)模開放應用系統(tǒng)(如網(wǎng)格��、普適計算���、P2P、Adhoc�����、Web服務����、Cloud、物聯(lián)網(wǎng)等)相繼出現(xiàn)并被應用����,信任關系、信任模型和信任管理的研究逐漸成為了信息安全領域的研究熱點��。信任管理系統(tǒng)的核心內(nèi)容是,用于描述安全策略和安全憑證的安全策略描述語言和用于對請求����、安全憑證和安全策略進行一致性證明-驗證的信任管理引擎。