普普安全资讯一周概览(0730-0805)

作者:

时间:
2022-08-05
01

安全云架构有哪些关键步骤?

配置错误的兴起始于2018年,主要是由没有适当访问控制权力的云数据存储实现驱动的……尽管主要云计算提供商努力使默认配置更安全,但这些错误仍然存在。

云计算网络攻击并不像人们想像的那样惊心动魄,现实生活中的剧本更加平淡无奇。网络攻击者部署自动化技术来扫描互联网以寻找可利用的漏洞。他们得到的是一个可供选择的目标虚拟“购物清单”,一旦进入云计算环境,他们就会利用其架构上的弱点来查找敏感数据,例如个人身份信息(PII)可以在几分钟内提取出来,通常是从对象存储服务或数据库快照。

网络攻击者不会遍历安全团队使用传统入侵检测和预防解决方案和流程监控的传统网络。企业正试图用以往的数据中心安全技术挫败当今的云计算攻击者,并且对云计算威胁形势没有完全了解。

普普点评

让企业的安全团队了解云计算应用程序的工作原理,以帮助确保云计算基础设施支持应用程序而不会引入不必要的风险。他们还需要知道如何利用策略即代码(PaC)检查环境中是否存在更深层次的多资源漏洞,并帮助指导开发人员设计和构建本质上安全的环境。


02

物联网碎片化带来了哪些挑战?

随着全球物联网设备的数量远远超过 200 亿,很明显,该行业的受欢迎程度继续增长。将设备连接到互联网的 能力允许远程操作和与其他设备合作。如果物联网和人工智能技术继续发展,用不了多久就会出现第一个真正的智能家居,即家中的设备由人工智能管家智能控制,可以预测居住者的需求,节约能源,提高整体效率。

但是,尽管物联网技术带来了许多优势,但它们仍然存在许多问题。其中之一是早期设备缺乏安全措施;第一代物联网设备问世之际,物联网设备易受攻击的想法还没有被构想出来。当时的许多工程师认为, 单个物联网设备对黑客来说会显得无趣,而黑客会将他们的精力投入到攻击服务器和主流 PC 上。 

然而,黑客很快就想到了将物联网设备用作能够执行大规模拒绝服务攻击的僵尸设备。黑客们还注意到,入侵物联网设备也可以进入可用于发起攻击的本地网络,并且还认识到物联网设备可用于间谍活动。

普普点评

物联网设备遭受的另一个问题是:碎片化。简而言之,一家制造商的物联网设备不太可能与另一家制造商的设备一起使用。因此,尝试使用多个制造商创建智能家居几乎是不可能的。缺乏所有物联网设备都能理解的统一通信协议也意味着没有一种软件解决方案可以控制所有物联网设备。

03

如何防范 Deepfake 攻击和勒索

2021 年初,联邦调查局发布了关于合成内容(包括深度伪造)威胁日益增加的警告,将其描述为“生成或操纵的广泛数字内容,包括图像、视频、音频和文本”。人们可以使用 Photoshop 等软件创建最简单类型的合成内容。Deepfake 攻击者使用人工智能 (AI) 和机器学习 (ML) 等技术变得越来越老练。现在,这些可以创建逼真的图像和视频。

请记住,攻击者从事网络盗窃业务是为了赚钱。勒索软件往往会成功。因此,他们将 deepfakes 用作新的勒索软件工具是合乎逻辑的举措。在共享勒索软件的传统方式中,攻击者通过嵌入诱人的 deepfake 视频的恶意软件发起网络钓鱼攻击。还有一种利用深度伪造的新方法。攻击者可以向人们或企业展示各种非法(但虚假)的行为,如果图像公开,这些行为可能会损害他们的声誉。支付赎金,视频将保持私密。

除了勒索软件,威胁行为者可能会将数据和图像武器化以散布谎言并欺骗员工、客户和其他人,或勒索他们。

普普点评

攻击者可能会同时或单独使用所有这三种攻击方式。请记住,骗局已经存在很长时间了。网络钓鱼攻击已经非常无情地试图欺骗用户。然而,防御者并没有对 AI/ML 的兴起给予足够的关注,以传播错误信息和勒索策略。如今,攻击者甚至可以使用旨在从真实照片和视频中创建色情图片的应用程序。

04

了解网络犯罪的演变以预测其未来

对网络犯罪从 1990 年代开始发展到今天的数十亿美元的发展进行分析有一个压倒一切的主题:网络犯罪作为一项业务的发展密切模仿合法业务的发展,并将继续发展以提高其自身的投资回报率.

在早期,黑客攻击更多的是为了个人声望和荣誉,而不是为了赚钱——但互联网让人们意识到互联网上可以赚钱。网络犯罪的第一阶段大致符合 1990 年至 2006 年的时期。

从这个简单的认识出发,HP Wolf Security对网络犯罪的演变的研究表明,一个地下业务遵循并模仿了地上业务生态系统——包括数字化转型。高级恶意软件分析师兼报告作者亚历克斯·霍兰德(Alex Holland)表示:“数字化转型加剧了攻防鸿沟的双方——例如,‘即服务’产品的日益普及表明了这一点。这已经使恶意活动民主化,以至于需要高水平知识和资源的复杂攻击——曾经是高级持续威胁 (APT) 组织的保留地——现在更容易被更广泛的威胁行为者访问。” 

普普点评

实际上,这些发展中的许多将结合起来确保网络犯罪的威胁将继续增长:“我们可能会看到攻击者使用人工智能和机器学习技术来实现大规模的有针对性的鱼叉式网络钓鱼攻击。攻击者可以部署攻击性工具,利用 AI 功能为组织中的关键个人定制网络钓鱼电子邮件,并在获得网络初步立足点后加快他们的利用后活动。

05

面对不断增长的攻击面,金融业该何去何从?

近年来,零日漏洞的不断加剧、勒索软件的越发猖獗以及各种安全威胁的持续升级,使网络安全形势变得愈加严峻。金融服务业作为前沿技术的最佳践行者,面临的网络安全问题更加严重复杂。尤其在新冠疫情期间,移动银行应用程序、移动客户服务以及其他数字工具迅速得到了普及。

根据思科 CISO 基准研究数据表明,2020 年有17% 的公司每天都会收到 10万 个或更多的安全警报,这一趋势在疫情发生后仍在继续。数据还显示,2021 年的常见漏洞和暴露数量创下历史新高,达到20141个,超过了 2020 年 18325 个的记录。

据Adobe 2022 年 FIS 趋势报告显示,在接受调查的金融服务和保险公司中,有超过一半的公司的移动用户在 2020 年上半年都出现了显著增长。此外,报告还发现,有十分之四的财务高管表示数字和移动渠道占其销售额的一半以上,并预计这种趋势将在未来几年内持续下去。

普普点评

随着数字化进程的加速,金融机构迎来了更多的机会以更好地为客户服务,但同时也更容易受到安全威胁。每个新工具都会增加新的攻击面,也会导致出现更多的潜在安全漏洞。金融业的数字化增长并没有因安全威胁的增加而停止。因此金融机构的网络安全团队需要一些有效方法来准确、实时地了解其攻击面,从而确定最容易被利用的漏洞并优先对其进行修补。

06

攻击面管理为何成为 2022 主流?

近期,美国网络安全审查委员会发布首份报告称,2021年年底曝光的Log4j漏洞成为难以消除的漏洞,其影响将会持续十年之久。

Log4j事件表明,我们对暴露的IT资产知之甚少。据统计,大型组织通常拥有数千、数万或更多面向互联网的资产,包括网站、敏感数据、员工凭证、云工作负载、云存储、源代码、SSL 证书等。 

如果要问“攻击者发现和利用Log4j等漏洞的频率和速度带来什么教训”,答案一定是应在攻击面管理和网络保护工具部署等方面做出积极主动的探索。

现代数字基础设施加速发展,容器化、SaaS应用以及混合工作环境急速增长,企业面临的攻击面也在随之扩大。为降低攻击风险,许多机构都在努力发现、分类和管理面向互联网的资产。

普普点评

攻击面管理指的是以攻击者的角度对企业数字资产攻击面进行检测发现、分析研判、情报预警、响应处置和持续监控的一种资产安全性管理方法,其最大特性就是以外部攻击者视角来审视企业所有资产可被利用的攻击可能性。

07

保护智慧城市安全始于网络基础设施

虽然智能城市的承诺为市政当局和居民提供了“智能”服务的效率和价值,但它也带来了网络安全挑战。每个连接的组件——从设备到网络基础设施——为黑客窃取数据、破坏系统和获取他们不应该拥有的信息提供了一个潜在的切入点。 

智慧城市生态系统可能充满了数以万计的物联网 (IoT) 设备,它们通过公共网络基础设施进行通信。为了让智慧城市取得成功,每个物联网设备都必须是低功耗、性能卓越、能够承受干扰并且可靠的。它们将在设备和连接它们的网络基础设施之间自由传输数据。

智慧城市设备制造商,从智能照明和供水系统到智能交通管理系统和交通系统,在安全方面充当第一道防线。每个设备可能具有许多协同工作的技术,例如芯片组、传感器、通信协议、固件和软件。这些技术组件的构建或采购必须考虑到安全性。

普普点评

当前,以物联网、云计算、人工智能以及5G等为代表智能技术继续改变人们的生活方式以及与周围城市的互动方式。虽然,利用人工智能和机器学习驱动的创新,每一个互联城市的全部价值仍在不断发展,但是,网络安全仍然是其最大的挑战之一。