蓝队取证审计网络安全

随着计算能力的进步，后量子威胁正变得愈发现实。一些安全专家认为，“Q日”将在未来十年内出现，届时在当前的加密协议下，所有数字信息都可能受到攻击。 因此，随着安全社区致力于理解、构建和实现能够抵御未来后量子威胁和攻击的密码加密，后量子加密（Post-quantum cryptography，PQC）在议程上的重要性日益凸显。 以下是今年推出的11个值得注意的计划、项目、标准和资源，以帮助创建/开发PQC并迁移到PQC。 1. IETF成立工作组协调抗量子加密协议 今年1月，互联网工程任务组（IETF）启动了后量子协议使用（PQUIP）工作组，以协调不受大型量子计算机影响的加密协议的使用。PQUI联合主席Sofia Celi表示，工作组的想法是成为从运营和工程方面讨论PQC的常设场所。这也是讨论IETF协议中与PQC相关问题的最终场所。 IESG表示，该工作组是在试验性的基础上成立的，并打算在两年内对其进行审查，以决定是否继续重新租用或关闭。今年8月，该小组发表了《针对工程师的后量子密码学（Post-Quantum Cryptography for Engineers）》论文，概述了当前的威胁形势，以及旨在帮助预防这些威胁的相关算法。 2. 英国发布国家量子战略以引导技术标准 今年3月，英国政府发布了一项新的国家量子战略，详细介绍了引领量子经济的“10年计划”，并深刻认识到量子技术对英国安全的重要性。 该战略概述了英国将与相关全球机构合作，确保全球量子技术标准，促进其繁荣并保障其安全利益，包括加速量子技术的商业化以及支持英国本地的相关企业。 …

随着收益和玩家数量（超过30亿）的增加，游戏行业也成为攻击者的目标，尤其是玩家们期待已久的热门游戏经常被用作恶意活动的诱饵。截至2022年，近四分之一的玩家是未成年人，他们更容易成为攻击者的猎物。 分析方法 为了深入了解当前与游戏相关的网络安全风险，卡巴斯基对针对游戏社区的普遍威胁进行了全方位研究。从伪装成游戏应用、mod和作弊的威胁到对该领域最活跃的恶意软件家族的功能分析。他们还分析了使用各种游戏名称和游戏平台作为诱饵的网络钓鱼页面。 本文的分析利用了来自卡巴斯基安全网络(KSN)的数据，这是一个处理卡巴斯基用户自愿分享的匿名网络威胁相关数据的系统。分析时间段从2022年7月1日到2023年7月1日。 研究人员除了选择在流媒体平台(如Origin和Steam)上下载或准备发布的排名前14款游戏，还分析了与平台无关的游戏进行研究。 游戏列表是基于互联网上最受欢迎游戏的几个排名。他们重点分析了手机版和桌面版《我的世界》《Roblox》《反恐精英:全球进攻》(CS:GO)、《绝地求生》(PUBG)，《霍格沃茨遗产》《远古防御2》(DOTA 2)，《英雄联盟》《魔兽世界》《Apex传奇》《暗黑破坏神4》《星球大战绝地求生》《塞尔达传说》《博德之门3》和《最终幻想XVI》相关的威胁。 威胁分析 在过去的一年里（2022年7月1日至2023年7月1日），卡巴斯基总共检测到4076530次与游戏相关的桌面感染，影响着全球192456名玩家。 最常见的威胁是下载程序(89.70%)，其次是广告软件(5.25%)和特洛伊木马(2.39%)。 作为诱饵，使…

我们预计 2024 年工业网络安全格局不会快速发生变化，然而，其中一些趋势已经达到了临界值，也有可能会导致网络威胁格局发生质的变化。 勒索软件 到 2024 年，勒索软件仍将是工业企业的第一大威胁。 2023年，勒索软件攻击占据工业企业信息安全威胁排行榜首位。从 2023 年上半年受网络事件影响的企业官方声明中可以看出，至少六分之一的勒索软件攻击导致产品生产或交付停止。在某些情况下，攻击造成的损失达数亿美元。 目前，似乎没有理由相信威胁会在不久的将来减少。针对大型组织、独特产品（设备、材料）供应商或大型物流和运输公司的勒索软件攻击依旧会造成严重的经济和社会后果。 针对工业公司的勒索软件攻击中不少于 18% 会导致生产或产品交付中断。此外，网络犯罪分子在选择受害者时显然瞄准了“高端市场”，更倾向于能够支付大量赎金的大型企业。总部位于迪拜的国际集装箱码头和供应链运营商——迪拜环球港务集团(DP World) 最近遭受攻击，导致墨尔本、悉尼、布里斯班和弗里曼特尔港口的工作陷入停顿，约 30000 个集装箱无法交付。 勒索软件市场庞大，潜在的受害者不太可能很快就免受攻击。但是，他们可以学会更有效地减轻影响。例如，通过更多手段保护最机密的数据，并制定适当的备份和事件响应计划。 当受害者只需要支付少量的钱时，网络犯罪分子就不得不寻找新的目标来继续获利。例如，对物流和运输公司的攻击可能不再是针对支持运营的 IT 基础设施，而是针对车辆本身（汽车、船舶）。 乍一看，种类繁多的车辆似乎阻碍了此类攻击的实施，大大增加了攻击者的开发成本。然而，攻击可以针对具有…

随着工作中聊天机器人的广泛使用，使员工无意中就会共享敏感数据，人为因素对数据安全的影响变得愈加严重。值得注意的是，亚马逊、苹果和 Spotify 等大公司正在采取措施来防止数据泄露。 目前没有看到 2023 年个人对隐私保险的需求出现任何激增。然而，保险公司已经将数据泄露风险纳入个人网络保险保单中，该市场预计到 2025 年将出现显著增长。下面，将介绍一些2024年在线隐私的重要发展。 私有数据的概念将拓展 虽然网络攻击中私人数据的传统理解主要包括个人信息和身份信息，但照片、视频和语音数据却不一定是这个概念的一部分。到 2024 年，这将有所改观。制作语音伪造品诈骗者越来越多地利用生物识别数据进行欺诈，加强保护此类信息的紧迫性越来越高。 基于这种不断变化的形势，欧盟正在密切制定立法框架，专门针对面部处理技术以加强数据保护。 支持人工智能的可穿戴设备可能会引发关于隐私的新辩论 大多数人已经接受了口袋里一直存在的跟踪设备（智能手机）和家中的跟踪设备（例如带有智能助手的扬声器）。然而，智能眼镜等可穿戴设备，尤其是配备摄像头的设备，往往会引起更多质疑。例如，关于带有摄像头的智能眼镜对隐私的影响引起了激烈的争论。 随着人工智能发展的快速步伐，一些公司，例如Rabbit和Humane，一直在努力将这些功能引入可穿戴设备。“ AI pin”等设备的含义之一是指有一个摄像头始终盯着您的脸，并且有一个麦克风可能正在监听您的命令。虽然这与智能手机相比并没有很大的差距，但这些设备的明显特征可能会严重影响到周围的人，尤其是那些关心自己隐私的人。 2024 年或…

卡巴斯基发布的关于 2024 年移动恶意软件演变的最新报告显示，针对移动设备的网络威胁显著增加。 这一年，该安全公司的产品成功阻止了多达 3330 万次涉及恶意软件、广告软件或有害移动软件的攻击。 移动恶意软件格局正随着新的传播方案发生变化 广告软件依旧在移动威胁领域占据主导地位，在总检测数量中占比 35%。卡巴斯基安全网络发现了 110 万个恶意以及潜在有害的安装包，其中近 69,000 个与手机银行木马相关。 这份报告着重指出了移动恶意软件几个新出现且令人担忧的趋势。比如，发现了 Mamont 银行木马针对俄罗斯安卓用户的一种新型传播方案。攻击者运用社会工程手段，以折扣产品吸引受害者，随后发送伪装成货运追踪应用程序的恶意软件。 研究人员还在捷克共和国发现了一种新的 NFC 银行诈骗手段。网络犯罪分子利用钓鱼网站，传播合法 NFCGate 应用程序的恶意修改版本。从诈骗者的聊天记录中，能看到相关的钓鱼链接。这种诈骗手段通过 NFC 连接，诱骗用户泄露银行卡详细信息，让欺诈者得以进行未经授权的交易。 新兴威胁和复杂的攻击媒介 有一个重大发现是 SparkCat SDK 植入程序，它从 2024 年 3 月开始传播。该恶意软件存在于多个 Google Play 应用里，目的是窃取设备图库中的图像，尤其针对加密货币钱包的恢复短语。值得注意的是，这个植入程序的变种还成功渗透进了苹果的 App Store，成为已知首个绕过苹果严格安全措施的 OCR 恶意软件。 在移动威胁态势下，预装恶意应用程序的情况有所增多，比如在安卓电视机顶盒上检测到了 L…

近期，Gartner 预测 2024 年全球安全和风险管理支出将增长14.3%，这一增长使得人们重新关注具有成本效益的网络安全投资。 低效的网络安全支出随着预算的增加，变得愈加引发关注，低效的支出通常会导致购买不同的安全工具，这可能会造成更多的安全漏洞并增加违规风险。 简而言之，随着 2024 年网络安全支出的增加，企业必须进行不仅具有成本效益、而且能够切实加强防御的投资。 接下来，本文将深入探讨 2024 年智能网络安全支出的三项基本策略。 进行彻底的需求分析 如果不仔细分析真正需要什么商品或服务，企业可能会陷入“工具蔓延”的陷阱，即积累过多的网络安全工具。 但安全防御目标应该是根据实际需求定制网络安全投资，避免使用不必要的技术。例如，小型企业可能不太需要复杂的企业级入侵检测系统，而大型企业可能也不需要基本的消费级安全解决方案。 仓促选择多个网络安全供应商可能会适得其反。兼顾多个供应商通常会使支持流程变得复杂，由于各种系统而增加培训负担，并对无缝工具集成提出挑战。 选择集成安全解决方案 为了避免浪费开支，请投资将多种保护措施合二为一的安全平台。这不仅更具成本效益，实际上还改善了安全状况。 公司购买的每一个安全工具都需要自己的一套配置、更新和管理协议，最终会导致响应时间更长、工作流程效率低下，并且无法对威胁态势有统一的看法。 选择集成安全解决方案可以在有针对性的精益网络安全支出方法方面更加便捷。通过将多个安全功能整合到一个平台中，这些集成降低了与硬件、维护和管理相关的间接成本。 强调附加值 想象一下你饿了，花费20元吃碗面可能会饱，但仅…

2024 年网络攻击、数据泄露事件、新威胁团体及零日漏洞不断出现，以下是对2024 年最具影响力的网络安全故事盘点，并对每个故事进行了简单概述。 13. 互联网档案馆被黑 10 月 9 日，互联网档案馆同时遭受两次不同的攻击：一次是数据泄露，该网站 3300 万用户的用户数据被盗；另一次是由一个名为 SN_BlackMeta 的涉嫌亲巴勒斯坦组织发起的 DDoS 攻击。虽然两次攻击发生在同一时期，但它们是由不同的威胁者发起。 互联网档案馆上的 JavaScript 警报警告有关违规行为 破坏互联网档案馆的威胁者表示，他们可以通过包含身份验证令牌的公开 GitLab 配置文件来实现这一目的，从而允许他们下载互联网档案馆源代码。 该源代码包含额外的凭据和身份验证令牌，包括互联网档案馆数据库管理系统的凭据。这使得威胁者能够下载用户数据库、源代码并修改站点。 12. 错误的 CrowdStrike 更新导致 850 万台 Windows 设备崩溃 2024 年 7 月 19 日，一个有漏洞的 CrowdStrike Falcon 更新在凌晨被推送到 Windows PC，导致网络安全软件的内核驱动程序导致操作系统崩溃。 该错误造成了严重的全球性中断，影响了大约 850 万个 Windows 系统。人们发现自己的设备崩溃，除了启动到安全模式之外，没有简单的方法可以返回操作系统来删除错误的更新。 该错误源于 CrowdStrike 内容验证过程中的漏洞，该过程未能检测到有漏洞更新。此错误更新引发了一系列系统崩溃，包括影响 Windows 设备和 …

新颖创新技术的兴起和迅速采用已极大地改变了各行各业的全球网络安全和合规格局，比如生成式人工智能、无代码应用程序、自动化和物联网等新技术。 网络犯罪分子正转而采用新的技术、工具和软件来发动攻击，并造成更大的破坏。因此，《2023年网络安全风险投资网络犯罪报告》预测，与网络犯罪相关的危害成本将迅速增加——预计到2024年底，全球损失将达到10.5万亿美元。该报告将数据泄露、资金被盗、知识产权盗窃、运营中断和攻击后恢复等方面的成本列为组织在这种趋势下面临的主要支出。 另一方面，谷歌的《2024年云网络安全预测》报告强调，未来一年，人工智能日益被用于扩大恶意活动的规模，政府撑腰的网络犯罪团伙、零日漏洞和现代网络钓鱼将是三种主要的攻击途径。 为了保持领先一步，IT和安全领导者应该致力于分层安全解决方案和零信任，以保护公司的数据远离勒索软件和网络钓鱼等主要的网络安全威胁。 1. 勒索软件 勒索软件指破坏关键业务系统和资产，企图对其进行加密并勒索赎金，在2024年将继续困扰所有行业的组织。新老网络犯罪团伙将利用勒索软件即服务，因此比以往任何时候更容易发动复杂的攻击。他们还将采用层出不穷的勒索手法，比如双重和三重勒索，通过威胁泄露数据向受害者施压。 2023年11月ALPHV/BlackCat勒索软件组织对MeridianLink的勒索软件攻击证明，勒索软件团伙还愿意利用法规做文章。在这次攻击中，BlackCat报告了自己的罪行，利用美国证券交易委员会（SEC）的新法规向MeridianLink施压。 医疗保健、政府和关键基础设施将尤其成为勒索软件的攻击…

1 概述 勒索攻击目前已成为全球组织机构主要的网络安全威胁之一，被攻击者作为牟取非法经济利益的犯罪工具。为了增加受害方支付勒索赎金的概率并提升赎金金额，攻击者已从单纯的恶意加密数据演变为采用“窃取文件+加密数据”的双重勒索策略。更有甚者，在双重勒索的基础上，增加DDoS攻击以及骚扰与受害方有关的第三方等手段，进一步演变为“多重勒索”。近年来，勒索攻击的主流威胁形态已从勒索团伙广泛传播勒索软件收取赎金，逐渐转化为“RaaS（勒索软件即服务）+定向攻击”收取高额赎金的模式。这种模式针对高价值目标，RaaS的附属成员通过购买0Day漏洞、研发高级恶意代码、收买企业内鬼和情报等手段，提高突防能力并提升勒索载荷落地成功率。这种“定向勒索+窃密+曝光+售卖”的组合链条，通过胁迫受害者支付赎金从而实现获利。为有效应对勒索风险，防御者需要改变对勒索攻击这一威胁的认知，并且更深入地了解定向勒索攻击的运行机理，才能构建有效的敌情想定，针对性的改善防御和响应能力。 2024年中，勒索攻击事件频繁发生，攻击者通过广撒网式的非定向模式和有针对性的定向模式开展勒索攻击。勒索攻击持续活跃的因素之一是RaaS商业模式的不断更新。RaaS是勒索攻击组织开发和运营的基础设施，包括定制的破坏性勒索软件、窃密组件、勒索话术和收费通道等。各种攻击组织和个人可以租用RaaS攻击基础设施，完成攻击后与RaaS组织按比例分赃。这一商业模式的兴起和成熟，使得勒索攻击的门槛大幅降低，攻击者甚至无需勒索软件开发技能，也能对目标进行定向攻击。另一重要因素是初始访问经纪人（Initial Acc…

攻击者经常找到新的方法来破坏网络，但成功的攻击却并非总是那么简单或快速。然而，由于网络犯罪即服务（CaaS）市场的增长，以及生成式人工智能的兴起，网络犯罪分子已比之前能更简单、快速的实施攻击。如此一来，攻击者将通过大量工具箱中的新功能来扩展其“巧干而非苦干型”网络犯罪方法。 FortiGuard实验室（Fortinet的精英网络安全威胁情报和研究机构）发布的《2024年威胁预测报告》分享了2024年值得关注的新趋势。 以下是FortiGuard实验室对威胁形势发展的预测，以及安全实践建议。 2023年预测回顾 多年来，FortiGuard实验室一直在探讨许多攻击趋势，其在《2023年威胁预测报告》中指出，预计攻击者最喜欢的策略将在未来发生演变；高级持续性网络犯罪将变得越来越复杂和有针对性；网络犯罪团伙间的地盘争夺战愈演愈烈；人工智能用于支持攻击的方式也将发生转变等。以下是其对2023年一些关键预测的回顾，以及对2024年及以后威胁形势的预测。 高级持续性网络犯罪的新时代 在过去的几年里，新型漏洞的增长，加上对手之间更多的攻击前（pre-attack）活动，将为网络犯罪即服务（CaaS）市场的扩张铺平道路。如今，随着网络犯罪分子和高级持续性威胁（APT）组织继续合作（暗网上的APT组织比以往任何时候都多），可以肯定地说，2023年的预测成真了。 对于安全从业者来说，这只是冰山一角。APT活动呈上升趋势：在2023年上半年，APT活动显著增加，MITRE跟踪的138个组织中有41个（约30%）在此期间处于活跃状态，其中Turla、Strong…

在数字化时代，随着人工智能技术的不断发展，AI换脸技术已经成为了一个备受关注的话题。近期的3·15曝光事件再次引发了人们对于这一技术的关注和思考。这一技术在带来趣味性的同时，也给数字身份带来了新的挑战和可能的风险。 央视3.15栏目记者调查到的真实事件： · 一位女士睡着觉突然接到了女儿被绑架的电话。电话中一开始传来的是女儿的哭声，然后女儿说自己被绑架了。这位女士还没来得及回答，电话就被另一个人抢走，这个人说要她准备80万元，女儿在他手上。报警后，警方最终确认女儿并未被绑架。结果证明，这通电话是由诈骗分子借用虚拟号码，再通过AI拟声技术进行的诈骗行为。 · 一位男士接到国外好友的求助，说是买机票遇到了难题，由于国际漫游限制，让他帮忙转账给航空公司。当然，一开始因为涉及钱财，这位男士并不信任对方，但这位朋友打了视频电话过来，视频中竟然是“朋友本人”，所以他就相信了。随后朋友以国外网络不好迅速挂断了电话，发来了相关转账信息，最终骗走了这位男士的49000多元。后来这位男士跟朋友本人聊天才发现自己被骗了。 · 一个公司职员收到了老板的视频电话，让她立刻转账186万元到一个指定账号，由于声音、图像都跟老板本人一样，所以这位职员就相信并将款项转了过去。但随后当这位职员上传凭证给财务时，才发现老板根本既没有跟她视频通话，也没有下达过转账的指示。报警后，警方对接反诈中心，联系相关银行紧急止付，最终追回了156万元。 以上三个案件可以看出，随着AI技术的不断发展和普及，诈骗分子已经开始利用这些先进技术来进行更加隐蔽和具有迷惑性的欺诈活动。虚拟号码…

在数字时代，网络安全问题日益凸显，而随着技术的不断进步，黑灰产业链也在网络世界中肆意蔓延。近日，3·15曝光了一起令人震惊的事件：利用“手机换新废旧主板”组装的主板机设备。这种设备一个人就能控制20部手机，不仅违法，还可能导致信息泄露。 厂家宣称，他们的产品可以将20块手机主板安装在同一个主板机箱内，从而组装成一台主板机，一台机子就可以控制20部手机。这些广告甚至宣称：通过不断叠加他们制造的主板机，可以构建一个由成千上万台手机组成的网络矩阵。拥有这样的设备，意味着可以操纵游戏、控制发帖数量，以及操控网络投票，成为“网络世界中的王者”。 在一位知情人士的指引下，315晚会的记者来到了云机侠（深圳）科技有限公司。公司的机房负责人董经理表示，他们之所以使用主板机，是因为这种设备可以轻松地更改账户的IP地址，“无论是号码、IP、硬件还是脚本，这些都不是问题”。 这一事件的曝光揭露了网络水军利用主板机随意更改IP地址的手段，从而逃避监管的行径。这种利用主板机进行IP地址变更的操作，不仅使得网络水军能够在监管之外自由活动，还给网络安全带来了新的挑战。主板机黑灰产业链的揭秘，涉及到一个庞大而复杂的网络生态系统，其背后隐藏着许多技术和商业交易的细节。首先，让我们深入了解主板机在这一黑灰产业链中扮演的角色。 主板机作为计算机系统的核心组件之一，不仅负责连接各种硬件设备，更重要的是承载着操作系统和应用程序的运行。在网络环境下，主板机的IP地址是其与外部网络进行通讯的关键。而网络水军利用主板机进行IP地址变更，实际上是在利用主板机的网络设置和硬件特性，通过…

3月15日是全国“消费者权益日”，这一天提醒我们关注消费者的权益和安全，其中个人信息安全是一个备受关注的话题。在数字化时代，我们的个人信息越来越容易被获取和滥用，因此提升个人信息安全意识变得至关重要。 信息泄露的危害 个人信息包括我们的姓名、地址、电话号码、银行卡信息、甚至是我们的日常活动轨迹等等，这些信息一旦泄露，可能会导致严重的后果。恶意分子可能会利用这些信息进行诈骗、盗窃身份、侵犯隐私甚至进行身份盗窃。此外，个人信息泄露还可能导致金融损失、信用记录受损，甚至会影响到我们的社交关系和职业生涯。 提升个人信息安全意识的重要性 提升个人信息安全意识，不仅是为了保护自己的权益，更是为了构建安全的数字生活环境。只有当每个人都意识到个人信息安全的重要性并采取相应的措施时，才能有效地减少信息泄露事件的发生，从而保障我们的数字生活安全。 如何提升个人信息安全意识 · 加强信息保护意识： 我们应该意识到个人信息就像是我们的财产一样宝贵，需要妥善保护。不要轻易将个人信息泄露给不可信的第三方，包括陌生网站、电话、短信等。 · 学习信息安全知识： 我们可以通过阅读相关的信息安全知识，了解常见的信息泄露手段和防范方法，从而提高我们的辨别能力和防范意识。 · 使用安全可靠的网络服务： 在线购物、支付、社交等活动中，选择使用安全可靠的网络服务平台，并及时更新软件和操作系统以修补已知的安全漏洞。 · 注意个人信息泄露风险： 在日常生活中，我们应该警惕各种可能导致个人信息泄露的风险，例如公共Wi-Fi、不安全的链接、假冒网站等。 · 保护好个人设备： 定期更新安全…

最近的数据分析显示，第三方应用程序与电子邮件平台的整合力度大幅增加。这一趋势凸显了网络犯罪分子正在利用新的漏洞途径迅速扩张，这也表明他们的攻击策略正在不断的演变。 在全球的企业中，软件即服务（SaaS）应用程序的存在数量不断增加。员工为外部应用程序提供权限，使其能够访问 Microsoft 365 (M365) 和 Google Workspace 等基本 SaaS 平台。 这一趋势也带来了很多的安全漏洞。同时，安全人员和组织也很难监控连接的应用程序的数量或评估这些应用程序所带来的安全威胁的程度。在 2023 年的最初的六个月（1 月至 6 月）中，第三方应用程序的整合力度呈稳步上升的趋势。 与此同时，Abnormal 还注意到企业电子邮件泄密 (BEC) 和供应商电子邮件泄密 (VEC) 攻击事件也在持续不断的升级。这种增长模式在过去的五年中一直在保持不变。Abnormal 的调查结果显示，目前企业的电子邮件系统平均集成了 379 个第三方应用程序。这表明，自 2020 年以来，第三方应用程序的数量大幅增加了 128%。 在员工人数超过 30,000 人的大型企业中，系统集成的第三方应用程序数量在急剧的增加，平均达到了3,973 个。这些应用程序涵盖了协作、生产力、开发、社交网络、安全和其他各种领域的各种功能。 在已集成的第三方应用程序中，约有37% 的程序的权限具有高风险。这些权限包括发送和删除电子邮件或用户，甚至是重置用户的密码。 供应商电子邮件攻击（VEC）属于商业电子邮件攻击（BEC）的范畴，是网络攻击的一个重要组成部分。这些攻…

遭遇数据泄露就像在街上遭遇抢劫一样。主要区别在于，您的企业的敏感数据泄露除了造成金钱损失外，还可能导致客户和声誉的损失。 防止数据泄露的第一步是识别可能的威胁。您的威胁列表主要取决于您的行业和您存储的数据类型。本文将让您了解各行业的网络安全威胁、数据泄露统计数据、已发生的现实事件，当然还有阻止您业务领域中的恶意行为者的方法。 金融、健康、知识和政府信息最有可能被窃取。这决定了哪些行业最容易受到网络攻击。关于排名的争论一直存在，但最受网络攻击者关注的五个行业是： 公共行政 医疗保健和制药 金融与保险 教育与研究 零售 其他行业，如能源和公用事业、住宿、农业、建筑、娱乐和媒体、管理、工业和制造、服务、技术和软件、交通和通信也面临着内部或外部攻击者破坏其重要数据的风险。它们都被列为报告中最受网络攻击目标的行业，我们的建议也适用于它们。 在本文中，您将了解最容易遭受网络犯罪的行业中常用的窃取数据的方法、攻击者的驱动因素以及最有可能受到损害的数据。我们还讨论了如何预防企业中最常见的事件。 让我们按行业观察网络攻击。 公共行政 公共管理是受网络攻击影响最严重的行业之一。政府数据通常最终会出于经济利益或间谍活动的目的而被盗。恶意行为者可以攻击政府数据库以获取战略信息。 与 2021 年同期相比，2022 年政府部门的安全事件大幅增加。但当局正在积极努力改善网络安全，并采取行动防止网络攻击，尤其是政府发起的网络攻击。例如，欧盟加强了其网络外交工具箱，以加强对针对欧盟机构的网络攻击的预防、阻止和响应。 医疗保健和制药 2021 年，医疗…

CrushFTP 服务器包含敏感数据并用于文件共享和存储，这使得它们经常成为黑客数据盗窃和勒索软件攻击的目标。 此外，CrushFTP服务器中的漏洞可能被用来未经授权地访问网络或向连接的系统分发恶意软件。 最近，Silent Push的研究人员发现，在版本10.7.1/11.1.0之前的CrushFTP中存在有严重的零日漏洞，标识为CVE-2024-4040，其CVSS评分为9.8。 技术分析 未经身份验证的漏洞允许攻击者通过Web界面逃离虚拟文件系统，获取管理员访问权限和远程代码执行功能。 CrushFTP强烈建议立即进行升级，即使是在DMZ（隔离区域）部署的情况下也是如此。 研究人员正在监控此漏洞，并利用易受攻击的域、托管服务的IP和基础设施填充数据源，并积极利用CVE-2024-4040进行早期检测。 Silent Push每天进行互联网范围内的扫描，利用SPQL对数据进行分类，以定位相关的基础设施和内容。 利用CVE-2024-4040的信息，已确定了暴露于互联网的CrushFTP Web界面可利用的情况。 由此产生的易受攻击的域和IP已经被聚集到两个批量数据源中，供企业客户分析受影响的基础设施。 下面，提到了这两个批量数据源： ·CrushFTP 易受攻击的域 ·CrushFTP 易受攻击的 IP SPQL的核心是一种跨越90多个类别的DNS数据分析工具。纵观全球范围内，CrushFTP接口容易受到CVE-2024-4040的攻击的国家，大多数位于美国和加拿大，但也有许多可以在南美洲、俄罗斯、亚洲和澳大利亚以及其他地方找到。…

据一项民意调查显示，60% 的小企业担心网络安全威胁，58% 的小企业担心供应链崩溃，专业服务行业的小企业比制造业的小企业更担心网络安全威胁。 其中，最担心网络安全威胁的小型企业包括拥有 20-500 名员工的企业 (74%) 和专业服务行业的企业 (71%)。最不担心的小型企业包括制造业企业 (61%)、女性拥有的企业 (68%) 和健康状况一般的企业 (64%)。” 服务企业的担忧是正确的。企业面临的最严重的网络威胁是勒索软件，在几乎任何国家/地区，服务业都是受勒索软件打击最严重的行业。 然而，虽然服务业比制造业遭受的攻击更多，但差距正在稳步缩小，几乎可以忽略不计。 2024 年 2 月按行业划分的已知勒索软件攻击 不过，面对网络威胁，小型企业大都不会无动于衷。49% 的受访者表示，他们在过去一年中对员工进行了网络安全措施培训，23% 的受访者认为他们已“做好充分准备”应对网络威胁，50% 的受访者认为“已做好一定准备”。 对于小型企业的担忧其实并不意外，它们的资源有限但却需要与大型企业一样打击复杂的犯罪团伙。 而且，网络犯罪分子也在不断发展策略。他们喜欢利用社会工程以及互联网连接设备和服务中的漏洞，而不是老式恶意软件来渗透系统和网络。一旦他们侵入公司网络，就会越来越多地利用合法工具而不是恶意软件来进行攻击，这种策略被称为“靠地生存”，这也时刻提醒着企业们需要迭代出能够应对这些威胁的不同方法和安全解决方案。

近年来，医院和诊所等医疗保健领域一直在与一系列的网络攻击作斗争，计算机中断和数据泄露导致重要文件的丢失，使它们甚至无法提供最基本的服务。 电子邮件安全公司Proofpoint周三发布的最新研究报告显示，大约有90%的医疗机构在过去的一年中至少遭遇过一次网络安全事件。 在过去的两年时间中，超过半数的医疗机构表示他们平均经历过四次勒索软件攻击，68%的受访机构指出，这些攻击对患者安全和护理造成了很大的负面影响。 Proofpoint公司的上述报告是通过对美国医疗保健行业的650多名IT和网络安全专业人员进行调查得出的结论，这个结论显现了医疗保健行业对常见攻击方法的持续易感性。网络安全和基础设施安全局（Cybersecurity and Infrastructure Security Agency）正致力于为那些资金不足、不断遭受网络攻击的小型乡村医院提供更多援助。 最近一些医疗机构在努力寻找过时技术的替代品以继续提供服务，但是这些努力也在耗费着越来越多的社会资源。在2022年至2023年期间，网络安全防护的时间成本上升了50%，从约66万美元增至100万美元。 医院内部系统遭受勒索软件攻击、计算机网络关闭的情况下，这样的影响是迅速而广泛的。 佛蒙特大学医疗中心总裁兼首席运营官斯蒂芬-勒夫勒（Stephen Leffler）在9月份的国会听证会上讲述了2020年10月勒索软件攻击如何给他的医院带来了灾难。在长达 28 天的时间里，资深医生不得不培训初级医生如何使用纸质病历，而国民警卫队则协助IT部门全天候清除和重新配置了网络中的每台计算机。 L…

根据《2023年网络钓鱼状况报告》显示，自2022年第四季度至2023年第三季度，网络钓鱼电子邮件数量激增了1265%。其中，利用ChatGPT等生成式人工智能工具和聊天机器人的形式尤为突出。 除了数量上的激增外，网络钓鱼攻击模式也在不断进化，变得愈发难以检测和防御。为了最大限度降低网络钓鱼的影响，组织有效的网络钓鱼模拟无疑是一项有效办法。而这其中，免费的网络钓鱼模拟器绝对是预算有限公司的首选。 一般来说，如果您正在为公司寻找一款免费的网络钓鱼模拟器，通常有以下三个选择： 1.简单的工具。允许您制作一个简单的电子邮件消息，并通过使用指定的邮件服务器将其发送给一个或多个收件人。它们通常不具备报告或活动管理等功能，更像是渗透测试工具，而不是网络钓鱼模拟器。 2.开源网络钓鱼平台。这个类别占据了此次榜单的大部分。您可以获得开源的所有一般性优势，例如功能丰富的免费版本和社区支持等。但是所有常见的缺点也都存在：像这样的工具通常需要一些重要的技术技能来安装、配置和运行。此外，它们大多数都是基于linux的。所以，技能有限的人可能对此并不感兴趣。 3.商业产品的演示版本。大多数商业网络钓鱼模拟器都以软件即服务（SaaS）的形式提供。它们的优势是易于使用，丰富的功能（包括报告），技术支持等。随着网络钓鱼成为网络安全的最大风险之一，商业网络钓鱼模拟器如雨后春笋般冒出来，找到一个免费的演示通常很容易，但仍需仔细甄别。 9款顶级网络钓鱼模拟器 1. Infosec IQ Infosec的Infosec IQ包括免费的网络钓鱼风险测试，允许自动启动模拟网络钓鱼活…

随着社会进入人工智能时代，机器几乎渗透到生活的方方面面，而攻击者能够在多大程度上滥用人工智能的可能性仍不为人知。 为了更好地理解攻击者如何利用生成人工智能，IBM X-Force团队进行了一个研究项目，揭示了一个关键问题：当前的生成式人工智能模型是否具备与人类思维相同的欺骗能力？ 想象一下这个场景：人工智能在一场网络钓鱼战中与人类较量。研究人员的目标是确定在针对组织的网络钓鱼模拟中，哪个竞争者可以获得更高的点击率？ 事实证明，只需要五个简单的提示，研究人员就能够欺骗一个生成式人工智能模型，在短短五分钟内开发出高度令人信服的网络钓鱼邮件。而研究团队通常需要大约16个小时来构建一个网络钓鱼邮件，这还没有考虑到基础设施的设置，因此，攻击者可以通过使用生成式人工智能模型节省近两天的工作。 人工智能生成的网络钓鱼非常令人信服，几乎击败了经验丰富的社会工程师制作的网络钓鱼，甚至可以说是处于同等水平，这是一个重要的进步。 接下来，我们将详细介绍如何创建AI提示，如何进行测试，以及这对当今和未来的社会工程攻击意味着什么。 第一轮：机器的崛起 一方面，研究人员用人工智能工具生成了一份网络钓鱼邮件，它带有非常狡猾和令人信服的叙述。 创建提示 通过一个系统的实验和改进过程，研究人员设计了一个只有五个提示的集合来指导ChatGPT生成针对特定行业部门的网络钓鱼邮件。 首先，研究人员要求ChatGPT详细说明这些行业中员工关心的主要领域。在优先考虑行业和员工的关注点后，研究人员促使ChatGPT在电子邮件中使用社会工程和营销技术做出战略选择。这些选择旨在优化更多员…

Common Crawl 非营利组织维护着一个庞大的开源存储库，其中存储了自 2008 年以来收集的数 PB 级网络数据，任何人都能免费使用这些数据。由于数据集规模巨大，许多人工智能项目，包括 OpenAI、DeepSeek、Google、Meta、Anthropic 和 Stability 等公司的大型语言模型（LLM）训练，可能至少部分依赖这一数字档案。 Truffle Security 公司（TruffleHog 敏感数据开源扫描器背后的公司）的研究人员对 Common Crawl 2024 年 12 月档案中 267 亿个网页的 400 TB 数据进行检查后，发现了 11,908 个成功验证的有效机密。这些机密均为开发人员硬编码，这意味着 LLM 存在在不安全代码上进行训练的可能性。 在这些机密中，有 Amazon Web Services（AWS）的根密钥、MailChimp API 密钥以及 WalkScore 服务的有效 API 密钥等。 前端 HTML 源代码中的 AWS 根密钥：Truffle Security TruffleHog 在 Common Crawl 数据集中总共识别出 219 种不同类型的秘密，其中最常见的是 MailChimp API 密钥，近 1,500 个独特的 Mailchimp API 密钥被硬编码在前端 HTML 和 JavaScript 中。 MailChimp API 密钥在前端 HTML 源 代码中泄露：Truffle Security 开发人员的失误在于将这些密钥硬编码到 HTML 表…

研究人员研发的人工智能算法，可检测到针对军用无人驾驶车辆的中间人攻击。 机器人操作系统（ROS）是高度网络化的，机器人之间需要协作，其中的传感器、控制器等需要通信并通过云服务交换信息，因此极易受到数据泄露和电磁劫持攻击等网络攻击。中间人攻击（MitM）是一种可以拦截和篡改两方通信数据的网络攻击，中间人攻击可破坏无人驾驶车辆的操作、修改传输的指令、甚至控制和指导机器人进行危险的动作。 机器人系统可以从不同层面进行攻击，包括核心系统、子系统、子组件，引发使机器人无法正常工作的操作问题。澳大利亚南澳大学（University of South Australia）和查尔斯特大学研究人员研发了一种可以检测和拦截针对军用无人机器人的中间人攻击的人工智能算法，使用机器学习技术检测中间人攻击，并在几秒钟内就可以阻断攻击。 图为中间人攻击可以攻击的不同节点 检测针对针对无人驾驶车辆和机器人的中间人攻击极其复杂，因此这些系统都在容错模式下运行，区分正常操作和错误条件非常困难。研究人员研发了一个机器学习系统，可以分析机器人的网络流量以检测尝试入侵机器人系统的恶意流量，系统使用基于节点的方法，仔细检查包数据，使用基于流统计的系统来从包头读取元数据，使用深度学习卷积神经网络（CNN）来增强检测结果的准确性。 图为测试中使用的机器人 研究人员使用GVR-BOT机器人进行了测试，实验表明可以成功阻断99%的中间人攻击，假阳性率小于2%。 图为传感器数据（攻击从300秒开始） 图为性能测试结果 研究人员称该系统经过改进可以用于其他机器人系统，如无人机系统。与…

2024 年 6 月，大型计算公司 AMD 遭遇数据泄露。泄露的数据包括：未来的 AMD 产品、规格表、员工数据库、客户数据库、属性文件、ROM、源代码、固件和财务状况。 据报道，仅员工数据库中就包含了用户 ID、名字和姓氏、职务、公司电话号码、电子邮件地址和就业状况等多重信息。 目前，威胁者分享了一些被盗的 AMD 凭证的截图，但尚未透露他们将以多少钱出售这些凭证以及如何获得这些凭证。 黑客论坛帖子涉嫌出售 AMD 数据 据悉，此次 AMD 数据泄露事件出自网络威胁分子 IntelBroker 之手。IntelBroker 最出名的事件是 DC Health Link 的泄密事件，该事件在泄露美国众议院议员和工作人员的个人数据后引发了国会听证会。 最近，IntelBroker 还泄密了欧洲刑警组织专家平台 (EPE)，这是一个用于在国际执法机构之间共享信息的网络门户。 除此之外，2022 年 6 月，AMD 还遭到了 RansomHouse 勒索团伙的网络攻击，该团伙声称窃取了 450GB 的数据信息。

近期，谷歌宣布 Android 15 和 Google Play Protect 推出的新安全功能，有助于阻止用户设备上的诈骗、欺诈和恶意软件应用，还可以在应用程序被篡改时向开发人员发出提示。 防范间谍软件、银行恶意软件 谷歌在 Android 15 中引入了许多新功能，旨在阻止银行木马和间谍软件窃取用户的信息。 Android 银行木马用于通过显示虚假登录覆盖层、从通知/消息中窃取 MFA 代码以及允许威胁分子远程控制设备来窃取用户银行凭证。 多年来，研究人员已经阐明了 Android 恶意软件通常如何从消息和通知中窃取一次性密码。 去年，新版本的 Xenomorph Android 恶意软件允许从 Google Authenticator 窃取 MFA 代码。 谷歌宣布新的安全功能可以在通知中隐藏一次性密码，从而使恶意软件无法窃取它们。该公司还扩展了其受限设置功能，以包含用户必须明确授予应用程序的附加权限，以防止它们窃取数据。 谷歌表示，他们还推出了新功能，可以防止通过社交工程进行的屏幕共享攻击。 当 Android 处于屏幕共享模式时，操作系统会自动阻止敏感信息出现在通知中，以免被远程威胁分子窃取。在屏幕共享期间，私人通知内容将被隐藏，从而防止远程查看者看到用户通知中的详细信息。 当用户共享屏幕时，在通知中发布 OTP 的应用程序将自动受到远程查看者的保护，从而帮助阻止窃取敏感数据的企图。 这项新功能还可以防止攻击者在屏幕共享会话期间，输入凭据和信用卡信息时看到用户屏幕。今年晚些时候推出的功能还将在屏幕共享处于活动状态时显示更突出的…

仅去年一年就检测到了 88,500 个Android 银行木马，对用户构成严重威胁。它们善于伪装，在日常使用中很难被发现，是想要自动窃取在线资金的网络犯罪分子最喜欢的黑客工具之一。 什么是 Android 银行木马？ Android 银行木马（以及所有网络木马）背后的想法很简单：就像“特洛伊木马”一样，Android 银行木马伪装成良性、合法的移动应用程序，一旦安装在设备上，就会暴露出其恶意。通过伪装成二维码阅读器、健身追踪器以及摄影工具等日常移动应用程序，拦截用户的某个应用程序，然后提供一种恶意工具供网络犯罪分子滥用。 错误的移动应用程序下载可能会导致设备被完全控制或泄露详细的私人信息，例如您的电子邮件、社交媒体和银行登录信息。 Android 银行木马如此棘手的原因在于，一旦安装，它们就会呈现看似合法的权限屏幕，要求用户以改进功能的幌子，向新应用程序授予对其设备的各种访问权限。 以 SharkBot 银行木马为例，Android 银行木马将自己隐藏为名叫“RecoverFiles”的文件恢复工具。一旦安装在设备上，“RecoverFiles”就会要求访问“该设备上的照片、视频、音乐和音频”，以及访问文件、映射和与其他应用程序对话，甚至可以通过 Google Play 进行付款。 这些正是恶意软件想要窃取用户名、密码和其他重要信息所需的权限。 打开“RecoverFiles”时的介绍屏幕可以看见它要求用户提供的后续权限，而安装后，它在设备主屏幕上不可见。 该应用程序不仅是 Android 银行木马的巧妙包装，而且还可以被视为隐藏包装。…