2024北京网络安全大会(BCS)开幕;思科将与谷歌加强在零信任技术应用推广领域合作 | 牛览
日期:2024年06月06日 阅:55
新闻速览
ㆍ2024北京网络安全大会(BCS)开幕
ㆍ《数据安全技术 二手电子产品信息清除技术要求》标准公开征集参编单位
ㆍ美国参议院认为Change Healthcare在应对勒索攻击中的存在低级疏忽
ㆍ美国国家安全局建议:智能手机每周至少应该重启一次
ㆍ账户接管攻击成为当前企业组织面临的首要安全问题
ㆍMicrosoft Azure安全缺陷或使攻击者绕过防火墙检测
ㆍDarkGate恶意软件已升级攻击负载投放策略,可绕过检测
ㆍCox调制解调器被曝存在多个缺陷,数百万台设备或受影响
ㆍ暗网上发现一种可窃取数据的新兴Android 远程木马——Viper RAT
ㆍTikTok表示已紧急修复一个账号接管安全缺陷
ㆍ思科将与谷歌公司加强在零信任领域合作
ㆍCloudflare收购零信任公司BastionZero
特别关注
2024年6月5日,以“AI驱动安全”为主题的2024全球数字经济大会数字安全高层论坛暨北京网络安全大会战略峰会(以下简称“BCS大会”)在北京国家会议中心开幕。
在BCS大会开幕式上,全国工商联副主席、中国民间商会副会长汪鸿雁,中国友谊促进会理事长、国家网信办原副主任陈智敏,中国职业技术教育学会会长、教育部原副部长鲁昕,北京市政府副秘书长许心超,中央网信办网络安全协调局副局长王营康,中国电子信息产业集团有限公司总经理李立功致开幕辞。
全国政协委员、全国工商联副主席、奇安信集团董事长齐向东在主旨演讲时表示:“AI驱动安全是大势所趋,未来网络攻防就是得AI者得天下。谁能提前抓住AI变革的机遇,谁就能掌握网络空间安全的主动权。”齐向东判断,当前网络安全格局正在被颠覆重构,但这种颠覆重构不仅带来新的安全挑战,也为网络安全行业带来前所未有的战略机遇。
本次大会将历时两天,共举办2场峰会、20多场分论坛,2场大赛,邀请了来自10多个国家和地区的上百位专家学者、10多个行业领域的200多家企业的代表,分享人工智能发展的研究、实践或建议,并就AI驱动安全在数据、能源、金融、交通、制造等领域的情况展开广泛讨论,预计吸引6000余人参会。
https://mp.weixin.qq.com/s/6u7_uaTbEHVrhN7CYWK-qw
《数据安全技术 二手电子产品信息清除技术要求》标准公开征集参编单位
日前,为切实做好网络安全国家标准编制工作,鼓励更多单位切实参加到标准编制过程中,提高标准编制工作的开放性、公正性、透明性,提升标准的适用性和质量,中国科学院信息工程研究所作为《数据安全技术 二手电子产品信息清除技术要求》标准制定的牵头单位,按照《全国网络安全标准化技术委员会标准参与单位管理办法(暂行)》要求,公开征集相关标准参编单位。
https://mp.weixin.qq.com/s/bINfWFrS-Sh7POcEZujiOQ
热点观察
美国参议院认为Change Healthcare在应对勒索攻击中的存在低级疏忽
日前,美国参议院财政委员会主席罗恩·怀登(Ron Wyden)指责Change Healthcare在应对勒索软件攻击中存在”低级疏忽”和”经验不足”。这次攻击扰乱了全美范围内的医疗付款和理赔处理。怀登呼吁拜登政府追究联合健康集团(UHG)在这起事件中的责任,并指这次攻击”是完全可以预防的,是由于公司的低级疏忽所致”。
UHG首席执行官安德鲁·威蒂(Andrew Witty)在美国国会听证会上的证词指出,黑客通过未启用多因素认证(MFA)的远程访问服务器进入了Change Healthcare的网络,并窃取了数千万份机密文件,随后部署了ALPHV/BlackCat勒索软件。怀登认为,UHG任命的首席信息安全官史蒂文·马丁在此之前从未担任过全职的网络安全工作,这可能成为此次事件发生的一个重要原因。怀登还批评了UHG董事会在此次事件中的责任。此外,Wyden还指出UHG在备灾计划方面存在不足,这导致Change Healthcare的系统需要从头重建,其服务中断长达数周。
原文链接:
美国国家安全局建议:智能手机每周至少应该重启一次
日前,国家安全局(NSA)发出建议,智能手机用户每周至少需要重启一次手机,原因在于:定期关机和重启手机可以帮助防止针对手机的一些安全威胁,如钓鱼攻击、恶意软件和间谍软件。尽管只是一项简单的操作,但是重启能大大增加手机的安全性;诸如鱼叉式钓鱼攻击和零点击缺陷都能在不知情的情况下感染设备。
不过NSA也表示,通过重启收集可以使黑客更难窃取用户的隐私信息,但这并不能完全预防攻击,其他移动设备安全威胁包括恶意应用程序、恶意Wi-Fi网络、间谍软件和黑客远程访问设备来收集通话或短信数据。此外,一旦手机被攻击者短暂接触,就可能被安装恶意软件或间谍软件。
原文链接:
账户接管攻击成为当前企业组织面临的首要安全问题
据Abnormal Security公司发布的《2024年云账户接管攻击现状报告》,83%的组织在过去一年中至少遭受过一次账户接管攻击。报告基于来自全球不同行业和规模组织的300多名安全专业人士的反馈。77%的安全主管将账户接管攻击列为他们最关注的四大网络威胁之一,超过了勒索软件和鱼叉式网络钓鱼;近一半的受访组织在过去一年中遭遇过5次以上此类攻击;近20%面临过10次以上重大事件。
报告还指出,安全利益相关方特别担心文件存储和共享服务(如Dropbox和Box)、云基础设施服务(如AWS、微软Azure和谷歌云平台)以及商业电子邮件账户(如微软Outlook和Gmail)遭到入侵,文档和合同管理软件(如DocuSign)也面临重大风险。尽管如此,大多数安全专业人士认为自己无法有效应对账户接管攻击。
常见的应对措施包括多因素身份验证(MFA)和强密码政策,但63%的受访者对MFA的有效性表示怀疑,65%对单点登录(SSO)解决方案持谨慎态度。其他措施如身份和访问管理(IAM)、云访问安全代理(CASB)和Web应用防火墙(WAF)也被提及,但这些都不是专门针对账户接管威胁的。87%的参与者希望云服务提供商能提供针对账户接管的原生保护措施。然而,大多数应用程序提供商更关注针对错误配置或提权的防护,而不是针对实时账户接管的防御。因此,市场急需可以检测和自动修复受损账户的解决方案,99%的受访者认为这样的解决方案将显著增强他们的安全态势。
原文链接:
https://www.infosecurity-magazine.com/news/ato-outpace-ransomware-top/
网络攻击
Microsoft Azure安全缺陷或使攻击者绕过防火墙检测
近期,Tenable Research发现了微软Azure云平台中的一个严重安全缺陷,可让恶意攻击者通过伪造来自受信任服务的请求绕过防火墙规则。这个缺陷影响到Azure上的多项关键服务,包括Application Insights、DevOps、Machine Learning、Logic Apps等。
Tenable将这个缺陷归类为”安全功能绕过”问题,评估其危害级别为高风险。微软安全响应中心(MSRC)也确认了这个问题,并将其归类为”特权提升”,评级为”重要”。尽管微软决定通过更新客户文档的方式来解决这个问题,但该缺陷仍然存在于客户的部署环境中。Tenable建议Azure用户应该在网络控制之上添加身份验证和授权层,以进一步加强资产防护。
原文链接:
DarkGate恶意软件已升级攻击负载投放策略,可绕过检测
近日,网络攻击组织DarkGate恶意软件服务(MaaS)将攻击手段从AutoIt脚本转向使用AutoHotkey机制来传播最后阶段的负载。这一变化被观察到在DarkGate 2024年3月发布的第6版本中,该版本由开发者RastaFarEye所售,目前有30多名客户订阅。DarkGate从2018年就开始活跃,是一款功能全面的远程访问木马,具有命令控制和根目录工具包功能,集成了多种模块,如凭证窃取、键盘记录、屏幕捕捉和远程桌面等。
Trellix的安全研究员表示,DarkGate攻击活动变化迅速,不断修改组件试图规避安全检测。这是首次发现DarkGate使用AutoHotkey这种不太常见的脚本解释器来启动自身。DarkGate转向AutoHotkey最初是由McAfee Labs于2024年4月底记录,其攻击链利用如CVE-2023-36025和CVE-2024-21412等缺陷,通过微软Excel或HTML附件的钓鱼邮件绕过微软Defender SmartScreen防护。此外,攻击者还利用Docusign提供的可定制化合法外观的钓鱼模板,在地下论坛出售,用于窃取凭证并实施网络钓鱼和商业电子邮件欺诈。
原文链接:
https://thehackernews.com/2024/06/darkgate-malware-replaces-autoit-with.html
Cox调制解调器被曝存在多个缺陷,数百万台设备或受影响
日前,安全研究员 Sam Curry 发现 Cox 调制解调器存在多个安全问题,可被利用来修改调制解调器设置并在其上运行恶意命令。Curry 描述了一种潜在的攻击场景,攻击者可以利用暴露的 API 针对 Cox 企业客户进行攻击。该攻击涉及使用目标的可识别信息(如姓名、电话号码、电子邮件地址或账号)来搜索目标,然后利用返回的 UUID 查询 API 获取目标的全部个人信息,包括设备 MAC 地址、电子邮件、电话号码和物理地址。有了硬件 MAC 地址,攻击者可以检索 WiFi 密码和连接设备列表,从而执行任意命令、更新设备属性,最终获取受害者账户的控制权,危及目标网络的安全并威胁其个人和商业数据。
Cox是美国最大的私有宽带服务提供商、第三大有线电视提供商、第七大电话运营商,拥有数百万客户。研究人员于2024年3月4日通过公司的负责披露计划报告了这些缺陷,Cox目前已经快速解决了这些问题,同时未发现之前有人利用这些缺陷进行实际攻击。
原文链接:
暗网上发现一种可窃取数据的新兴Android 远程木马——Viper RAT
网络安全研究人员近日在监测暗网时发现,出现了一款名为”Viper RAT”的新型Android远程木马(RAT),该恶意软件针对Android设备,其功能包括窃取凭证、电子邮件、2FA代码、钱包以及密钥,还具有键盘记录功能,窃取用户各类敏感数据。
2024 年 5 月 31 日,在 CrackingX 和 OnniForums 论坛上出现了宣传名为“VIPER RAT”的全新 Android 远程木马访问 (RAT) 的信息公开。根据该帖子,Viper RAT 的租用价格仅为 499 美元,具有基于Android 操作系统的瞄准和渗透设备的能力。
据介绍,Viper RAT提供了600多个全球性注入点、手机解锁、VNC远程控制,以及音频和视频录制功能来辅助网络钓鱼诈骗。由于这些功能,威胁行为者能够无限制地访问个人信息,从而实施破坏性和隐秘的行为。Viper RAT还拥有一系列专门针对Android设备的其他功能,无论它们使用何种硬件,比如实时键盘记录、网络钓鱼重定向、多功能抓取功能,以及无缝的屏幕控制。通过地下论坛租用Viper RAT,价格低廉且提供安装支持,很可能会加剧该类威胁在Android生态系统中的蔓延。
原文链接:
产业动态
TikTok表示已紧急修复一个账号接管安全缺陷
近日,攻击者利用TikTok直接消息(DM)功能中的一个零日漏洞,成功入侵并接管了多个知名公司和名人的TikTok账号。这个缺陷只需要目标用户打开恶意消息,就可以被攻击者控制账户,无需其他操作。受影响的账号包括索尼、CNN和巴黎希尔顿等,为了防止滥用,这些账号被临时关停。
TikTok表示已采取措施阻止此次攻击,并与受影响账户所有者合作恢复访问权限。该公司正在努力修复这个缺陷,但目前尚未透露受影响账户的具体数量,也没有在修复之前披露缺陷的细节。这并非TikTok第一次出现允许账号被接管的安全问题,之前曾出现过利用安卓应用程序和绕过隐私保护的缺陷。
原文链接:
思科将与谷歌公司加强在零信任领域合作
日前,思科宣布加强与谷歌在零信任访问领域的合作。两家公司将把基于浏览器的威胁和数据保护从Chrome Enterprise引入到受思科安全访问保护的Web应用程序,这有助于组织在提高用户工作效率的同时,也能更好地降低安全风险。
思科安全接入是基于思科安全云构建的人工智能优先安全服务边缘(SSE)解决方案,提供一组融合的云安全服务,包括零信任访问、安全Web网关、云访问安全代理、浏览器隔离等。而谷歌的Chrome Enterprise则提供基于浏览器的威胁和数据防护、政策和访问控制以及关键安全洞察。两家公司的解决方案结合,为企业带来了基于云和基于浏览器的端到端安全优势,包括设备信任、强授权以及托管和非托管设备的安全应用程序访问。除了在零信任访问领域,思科和谷歌还在其他关键安全领域进行了广泛合作。
原文链接:
https://blogs.cisco.com/security/cisco-enhances-zero-trust-access-with-google/
Cloudflare收购零信任公司BastionZero
根据SDxCentral的报道,Cloudflare收购了零信任基础设施访问平台提供商BastionZero,以增强其零信任网络访问(ZTNA)和安全访问服务边缘(SASE)功能。此次收购的主要目的是将BastionZero的技术整合到Cloudflare One SASE平台中,以扩展Cloudflare的ZTNA能力。BastionZero提供了对服务器、Kubernetes集群和数据库的无密码访问管理,利用客户现有的身份提供商,免去了对密码、VPN和SSH密钥的需求。
BastionZero将专注于将他们的控制功能融入Cloudflare One平台,该平台已经包括了安全Web网关、云访问安全代理和ZTNA等功能。基于这次收购,Cloudflare计划在今年年底前推出新的零信任基础设施访问功能。Cloudflare表示,这次收购将为其SASE平台带来新功能,如现代化的凭证管理、增强的SSH安全性和无客户端远程桌面访问协议,从而帮助组织摆脱VPN、堡垒机和特权访问管理等传统解决方案。
原文链接:
https://www.scmagazine.com/brief/cloudflare-acquires-zero-trust-firm-bastionzero