蓝队取证审计网络安全

文章来源：工业和信息化部科技司

三星为其移动设备推出了一项新的漏洞赏金计划，将对展示关键攻击场景的报告提供高达 1,000,000 美元的奖励。 新的“重要场景漏洞计划（ISVP）”计划重点关注与任意代码执行、设备解锁、数据提取、任意应用程序安装和绕过设备保护相关的漏洞。 重点支出 Knox Vault 是三星的独立安全环境，用于在移动设备上存储敏感的生物特征信息和加密密钥。报告在三星设备上实现本地任意执行将获得 300,000 美元的奖励，而报告远程代码执行 (RCE) 将获得 1,000,000 美元的奖励。 TEEGRIS OS 是三星的可信执行环境 (TEE) 操作系统，它提供了一个与主操作系统安全隔离的环境，以执行敏感代码并处理关键数据，例如支付和身份验证。 TEEGRIS OS 上的本地任意代码执行可获 20 万美元，而 RCE 漏洞可获最高 40 万美元。Rich OS（三星设备的主要操作系统）上的本地代码执行可获 15 万美元，而 RCE 漏洞最高可获 30 万美元。 ISVP 中的最高支出 设备解锁加上完整的用户数据提取将支付 400,000 美元，如果在第一次解锁后实现则支付一半的金额。 另一项值得关注的奖励是，如果从非官方市场或攻击者的服务器实现远程任意应用程序安装，则可获得 100,000 美元，如果从 Galaxy Store 安装应用程序，则可获得 60,000 美元。本地任意安装分别可获得 50,000 美元和 30,000 美元。 要领取奖励，漏洞报告必须包含可构建的漏洞利用程序，该漏洞利用程序必须在 Galaxy S 和 Z 系列等旗…

上千个Docker hub镜像泄露认证密钥和私钥。 Docker Hub 是Docker社区的基于云的仓库，用于保存、分享和分发Docker镜像。这些容器创建的模板中包含在Docker中部署应用所有必要的软件代码、运行状态、库和环境变量、配置文件。 镜像密钥泄露 近日，德国亚琛工业大学(RWTH-Aachen University)研究人员发现上千个Docker Hub上的镜像暴露了机密密钥、软件、在线平台和用户。研究人员分析了Docker Hub中337171个镜像，聚集了1647300层的数据集，发现有8.5%的镜像（28621个Docker镜像）中包含敏感数据，包括52107个有效的私有密钥、3158个不同API秘密信息。 注：以上数据不包括测试密钥、示例API秘密和无效的匹配 图 暴露的密钥信息 暴露的密钥中95%是私钥，90%是API秘密，表明这可能是无意间泄露的。 受影响最大的是Docker Hub，秘密暴露的是9.0%，来自私有注册的进行暴露了6.3%的秘密。这一差异表明Docker hub用户对容器安全的理解不如搭建私有仓库的用户。 泄露密钥的使用 然后，研究人员利用泄露的密钥可以进行下一步攻击活动。研究人员根据暴露的私钥发现了22082个被入侵的证书，其中包括7546个私有CA签发的证书和1060个公有CA签发的证书。而这些CA签发的证书被大量用户使用，并且被广泛接受。截止论文发布，仍有141个CA签名的证书状态是有效的。 为进一步确定暴露的密钥的影响，研究人员通过Censys数据库分析发现有275269个主机使…

自2000年代第一款自动吸尘器进入市场以来就发展迅猛，它们可以快速地清扫房间的角角落落，最新版本甚至可以自动避开线缆和鞋带。 然而便捷的一切都是有代价的，我们说的不仅仅是花钱。为了应对障碍物，现代自动吸尘器配备了传感器和GPS，甚至配备了摄像头！但智能吸尘器在使用功能强大的工具收集灰尘的同时，也在收集别的东西：你的个人数据。  像女子坐在马桶上的照片泄露这样的案例引发了人们的质疑：自动吸尘器对用户了解多少？更重要的是，它把什么信息发送给了别人？ 吸尘器对用户到底了解多少？ 有几个知名的案例可能会给我们一些提示。  2022年初，《麻省理工科技评论》杂志获得了家庭生活私人照片和从低角度拍摄的私密照片。据这份杂志声称，这些照片是由iRobot的Roomba J7系列的开发版拍摄的。 iRobot是全球最著名的自动吸尘器供应商之一，该公司证实，这些照片是由其Roombas在2020年拍摄的，这是产品开发过程的一部分。 这些照片由Roomba拍摄，然后发送给Scale AI，Scale AI将这些照片用于人工智能开发，并最终通过识别更多的物体和障碍物来帮助iRobot改进产品。在这个案例中，Scale AI的许多零工人员没有尊重隐私协议，在社交媒体的私人群组中分享了吸尘器拍摄的照片。 让我看看你的房子，就能告诉你需要什么 2022年8月，亚马逊宣布有意收购iRobot，在监管机构对市场竞争和隐私的担忧加剧之际，这笔交易引发了人们对亚马逊可能收集哪些数据以及如何使用这些数据的忧虑。2023年7月，欧盟委员会宣布对这笔交易进行正式调查，以了解这笔交…

声明：以下示例均以相对写实/纪实类电影为主，什么神盾局特工、007系列以及纯科幻类电影均不予评论。 0x01 电话窃听 商业反窃密/隐私保护/通信监听相关 在已知的技术监控史上，电话窃听，一直扮演着非常重要的角色。这里必须提及杨叔很喜欢的一部奥斯卡获奖电影《窃听风暴》。 在电影《窃听风暴》里，一位前东德安全机构斯塔西STASI的情报员，奉命对东德作家德瑞曼展开了长期的全面监听。 专业+1：如上图所示，斯塔西监控小组的部署行动非常专业，从进门时的对表计时，到器材走线，再到房间壁纸的恢复，最终完成对各个房间及电话的全面监听，观众们完全可以从中窥探到STASI作为当年全球最强大情报机构之一的能力一隅。 0x02 微型窃听器 商业反窃密/隐私保护/企业办公室及会议安全相关 先从早点的电影说起吧，之前出国参会，杨叔刚好在飞机上温习了一遍香港经典电影《英雄本色2》，时光荏苒，杨叔也从一块小鲜肉变成了......唉，不提也罢。 在电影里，有这么一段：小哥给女友父亲送了一个船模，然后顺手在模型背面贴上窃听器。 错误+1：如上图，从现代角度看这款窃听器材，这是典型的基于SIM卡的窃听器材，技术上肯定是OK的，尤其是小哥可以从随身带的接收设备（比如手机）上轻松听取实时传音。 不过遗憾的是，这部电影是在1987年上映的，作为那个还在使用大哥大电话的时代，这款小型器材只可能是基于无线电频段的。 翻下老照片：1987年，广东广州江南大道，一位女士在用“大哥大”打电话。 但若是无线电器材，这么小巧的接收设备（甚至没有天线），还能…

嘶吼新增业务板块——创意制造三厂，正式营业！ 凭借我们对安全行业的深度了解与深刻洞察，为你提供：整合营销、品牌活动策划与执行、文案&视觉创意执行……等定制化服务内容。 用我们的创意，为你的品牌声量、产品销量、KPI质量……添砖加瓦！ 深刻行业洞察+100%定制创意+媒体级执行力，比4A公司，更懂安全厂商！ 欢迎各位同志临厂视察！ 具体内容详见下图：

近日，知名软硬件公司American Megatrends International（安迈，简称AMI）开发的MegaRAC基带管理控制器（BMC）软件曝出了两个新的严重漏洞。BMC是一种微型计算机，焊接到了服务器的主板上，使云中心及其客户可以简化远程管理大批计算机的任务。这使管理员们能够远程重装操作系统、安装和卸载应用程序，以及控制整个系统的几乎其他各个方面，甚至在关闭时也能控制。 MegaRAC BMC为管理员们提供了“带外”和“无人值守”远程系统管理功能，从而使管理员能够对服务器进行故障排除，就好像人在设备跟前一样。 该固件被业内十多家服务器制造商所使用，这些制造商为许多云服务和数据中心提供商提供设备。受影响的供应商包括AMD、华硕、ARM、Dell EMC、技嘉、联想、英伟达、高通、HPE、华为、Ampere Computing和华擎科技等更多厂商。 Eclypsium安全公司的安全研究人员在分析了RansomEXX勒索软件团伙窃取的AMI源代码后，发现了这两个漏洞（编号为CVE-2023-34329和CVE-2023-34330）。RansomEXX勒索软件团伙入侵了AMI的商业合作伙伴之一：计算机硬件巨头技嘉兴的网络，从而窃取了AMI源代码。 据安全外媒报道，RansomEXX团伙的攻击者于2021年8月在其暗网数据泄露网站上公布了窃取的文件。 这两个安全漏洞使攻击者能够通过暴露在远程访问者面前的Redfish远程管理接口，绕过身份验证或注入恶意代码： • CVE-2023-34329——通过HTTP报头欺骗手段绕过身份验证…

为营造喜庆祥和的春节网上氛围，中央网信办决定自1月29日起开展为期1个月的“清朗·2024年春节网络环境整治”专项行动。 一、工作目标 坚持以人民为中心的发展思想，聚焦春节期间网民常用的平台环节和服务类型，集中整治人民群众反映强烈的网络生态突出问题，切实净化网络环境，为广大网民营造积极向上、文明健康的春节网上氛围。 二、工作任务 专项行动重点整治以下6方面问题： （一）宣扬猎奇行为、违背公序良俗问题。一是借春节旅游高峰期，发布误导性旅游攻略，诱导网民前往存在安全隐患的“野景点”，违规进入封闭管理区域等。二是进行恶俗和具有自虐、自残倾向的直播PK，自导自演有违公序良俗的离奇剧情视频。三是利用怪异猎奇食材、大量添加刺激性调料等，变相发布暴饮暴食、畸形饮食信息，浪费食品、危害身体健康。 （二）散播网络戾气、煽动群体对立问题。一是借春节晚会、春节档影视作品、明星网红等话题，挑起互撕谩骂、刷分控评行为，煽动对立情绪。二是将春节传统习俗、突发案件事件与地域、职业等特征相关联，污名化特定群体，打负面标签。三是蹭炒春节期间热点话题，通过拼音、谐音、指代词等方式，编造恶俗低俗烂梗，污染网络风气。 （三）炮制虚假信息、恶意营销炒作问题。一是利用年终盘点、返乡见闻等形式编造不实内容，渲染极端情绪。二是炮制传播涉公共政策、社会民生、交通出行等领域谣言信息，扰乱社会秩序。三是虚构夫妻、婆媳、师生等矛盾冲突剧情，无底线博取流量，传递不良价值观。 （四）色情赌博引流、网络诈骗问题。一是借猜数字、比大小等名义或者利用棋牌类小游戏变相从事网络赌博。二是利用二维码、水印图…

本周，ZeroSevenGroup（泄露被盗数据的威胁者）表示，他们入侵了美国一家分公司，窃取了 240GB 的文件，其中包含有关丰田员工和客户的信息，以及合同和财务信息。 他们还声称已经使用开源 ADRecon 工具收集了网络基础设施信息，包括凭证，该工具可帮助从 Active Directory 环境中提取大量信息。 威胁者在黑客论坛上称已拿到包括联系人、财务、客户、员工、计划、照片、数据库、网络基础设施、电子邮件等内容的大量数据。除此之外，威胁者还可提供带有密码的所有目标网络的 AD-Recon。 目前，丰田已证实其网络遭到入侵。 当被要求验证该威胁者的说法时，丰田称：该问题范围有限，不是系统范围内的问题。 随后该公司补充说，它“正在与受影响的人接触，并将在需要时提供帮助”，但尚未提供有关何时发现入侵、攻击者如何获得访问权限以及有多少人的数据在事件中被泄露的信息。 丰田数据泄露 虽然丰田尚未透露泄密事件的日期，但相关媒体发现这些文件已被盗，或者至少是在 2022 年 12 月 25 日创建的。这个日期可能表明威胁分子获得了存储数据的备份服务器的访问权限。 去年 12 月，丰田子公司丰田金融服务公司 (TFS) 就曾警告客户，他们的敏感个人和财务数据在一次数据泄露中被暴露，该数据泄露是由 11 月的 Medusa 勒索软件攻击造成的，该攻击影响了这家日本汽车制造商的欧洲和非洲分部。 今年 5 月份，丰田披露了另一起数据泄露事件，由于公司云环境中的数据库配置错误，215 万客户的车辆位置信息在 2013 年 11 月 6 日至 2…

如今，勒索软件团伙正越来越多地利用合法的远程监控和管理 (RMM) 工具来实施网络攻击。 RMM 软件（例如 AnyDesk、Atera 和 Splashtop）对于 IT 管理员远程访问和管理其网络内的设备至关重要。但勒索软件团伙也可以利用这些工具渗透公司网络并窃取数据。 在这篇文章中，我们将深入研究勒索软件团伙如何使用 RMM 工具，识别最常被利用的 RMM 工具，并讨论如何使用应用程序阻止端点检测和响应 (EDR) 检测以防止可疑的 RMM 工具活动。 勒索软件团伙如何利用 RMM 工具 勒索软件团伙主要通过以下三种主要策略来利用远程监控和管理 (RMM) 工具： 通过预先存在的 RMM 工具获得初始访问权限：由于 RMM 工具通常需要系统访问凭据，因此攻击者可以利用弱或默认的 RMM 凭据和漏洞来获得对网络的未经授权的访问。 感染后安装 RMM 工具：一旦进入网络，勒索软件攻击者就可以安装自己的 RMM 工具来维持访问和控制，从而为勒索软件攻击奠定基础。例如，ThreatDown Intelligence 团队注意到勒索软件攻击者利用未修补的 VMWare Horizon 服务器来安装 Atera 的案例。 混合方法：攻击者可以使用一系列不同的社会工程诈骗（例如技术支持诈骗或恶意广告）来诱骗员工将 RMM 工具安装到自己的计算机上，从而实现初始访问和勒索软件部署机制。 勒索软件团伙利用的顶级 RMM 工具 勒索软件团伙通常使用以下 RMM 工具来远程监督和控制 IT 基础设施。 Splashtop：专为企业、MSP 和教育机构量身…

强密码是保护用户帐户的关键——即使是已经忘记的帐户。黑客也会寻找任何方法来访问用户的环境或窃取数据，甚至利用早已被遗忘的陈旧或不活跃的帐户。 旧账户很容易被忽视，但它们仍然可以为黑客提供初始访问路线，并为他们提供扩大活动的平台。每个有权访问用户基础设施的账户都很重要。 保护测试账户 测试环境（例如在创建新软件或网站功能时生成的环境）是黑客的首要目标。犯罪分子可以利用这些帐户轻松访问数据：例如，用于开发测试环境的真实客户信息。他们甚至可以利用这些环境作为跳板，访问其他更具特权的帐户。黑客可以利用管理员或特权帐户造成更大的破坏。 当熟练的攻击者获得具有登录凭据的任何用户帐户的访问权限（即使是具有非常低访问权限的旧测试帐户）时，他们可以将其用作扩展访问权限和提升权限的平台。 例如，他们可以在具有相似权限级别的帐户之间水平移动，或者垂直跳转到具有更多权限的帐户，例如 IT 团队帐户或管理员帐户。 微软漏洞利用测试账户 今年 1 月，微软表示其公司网络遭到俄罗斯黑客的攻击。名为 Midnight Blizzard 的攻击者窃取了电子邮件和附加文件。 微软表示，只有“极小一部分”公司电子邮件账户遭到入侵，但其中确实包括高层领导以及网络安全和法律团队的员工。 攻击者使用“密码喷洒攻击”入侵，这是一种暴力破解技术，涉及对多个账户尝试相同的密码。这次攻击没有利用微软系统或产品的漏洞。 相反，这就像猜测未使用的测试帐户上的弱密码或已知被破解的密码一样简单。用该软件巨头的话来说，攻击者“使用密码喷洒攻击来破坏传统的非生产测试租户帐户并获得立足点”。 这就强调了…

人们普遍认为macOS比Windows更安全，于是乎很多中小企业就利用macOS来追求安全性，但对于完全依赖macOS来保证安全的中小型企业来说，这是非常危险的。比如，用户将找不到macOS中内置的类似Defender的安全中心。 在这篇文章中，我们将从三方面介绍macOS安全性，这对于目前没有在macOS设备上部署额外终端保护的企业来说是至关重要的。 苹果的平台安全策略 苹果关于在macOS上防范恶意软件介绍的最近一次更新是在2022年5月，最新公开文件指出，其恶意软件防御分为三方面： 防止恶意软件启动或执行：App Store或Gatekeeper与Notarisation的结合； 阻止恶意软件在客户系统上运行：Gatekeeper、Notarisation和XProtect； 修复已执行的恶意软件：XProtect，macOS 内建了称为 XProtect 的防病毒技术，可基于签名检测和移除恶意软件。系统使用由 Apple 定期更新的 YARA 签名，YARA 是一款用来基于签名检测恶意软件的工具。你可以认为它是 macOS 系统中的“Defender”。 不过这些技术的透明性和可做作性都不是太好，例如，不可能允许或排除用户或设备之间的特定应用程序或代码。在单个设备上，用户可以制定非常广泛的系统策略决策，例如允许或拒绝来自App Store外部的所有应用程序，但即便如此，除非系统由移动设备管理平台(MDM)解决方案管理，否则本地用户在没有管理员权限的情况下也可以覆盖该策略。 从企业安全的角度来看，更令人担忧的是，几乎看不到哪些代码被…

CISA（网络安全和基础设施安全局）在暗网经纪网站上发现包含政府组织用户信息（包括元数据）的文件后，便发布了网络安全建议。 而这些文件的出现是由于攻击者利用该组织前雇员的帐户设法破坏了网络管理员凭据。攻击者设法对内部虚拟专用网络 (VPN)接入点进行身份验证，进一步导航攻击目标的本地环境，并对域控制器执行各种轻量级目录访问协议 (LDAP) 查询。 CISA 怀疑帐户详细信息是通过数据泄露落入攻击者手中的。如果员工离开时该帐户已被禁用，就不会造成问题；目前该帐户仍然可以通过管理权限访问两个虚拟化服务器，包括 SharePoint 和工作站。 在 SharePoint 服务器上，攻击者获取了存储在服务器本地的全局域管理员凭据。此帐户还为攻击者提供了对本地 Active Directory (AD) 和 Azure AD 的访问权限。攻击者执行 LDAP 查询来收集用户、主机和信任关系信息。 缓解建议 当员工离职时，应该尽快删除他们的权限并更改密码； 限制一名用户使用多个管理员帐户； 为本地和 Azure 环境创建单独的管理员帐户以分段访问； 实施最小权限原则，仅授予必要的访问权限，在完成所需的任务后撤销特权； 使用防网络钓鱼的多重身份验证 (MFA)； 建立强大且持续的用户管理流程，以确保离职员工的帐户被删除并且无法再访问网络； 通过全面的资产记录、跟踪当前版本信息以保持对过时软件的认识以及将资产映射到业务和关键功能，维护强大的资产管理策略； 如果没有漏洞和修补程序管理解决方案，请为所有操作系统、应用程序和软件建立例行修补周期； 密切关注环…

攻击者不断发展，不断开发他们在攻击中使用的工具、战术和程序（TTP）。在当今的网络安全格局中，各种规模和行业的企业都发现自己面临着专业网络犯罪组织、高级持续性威胁(APT)组织甚至有国家背景的攻击者，所有这些攻击者都在利用比以往更快的攻击方法。 除了复杂的TTP和有组织的网络犯罪即服务模式之外。企业还面临着活跃威胁迅速演变成全面事件的考验。在网络安全和网络攻击中，速度是需要注意的关键指标，因为它决定了攻击或防御是否成功。 本文讨论了现代攻击的速度指标、攻击方法，以及企业安全团队如何在自己的检测和响应过程中争分夺秒。 攻击时效性越来越快 在过去的几年里，攻击技术发生了巨大的变化，变得更智能、更快、更先进。当企业使用最新的软件和工具来推进他们的业务时，攻击者也在做同样的事情来改进他们的攻击方法。 勒索软件攻击 根据M-Trends报告，全球平均攻击时间，即攻击开始的时间到被检测到的时间正在逐年缩短。 2022年的平均时间仅为16天，因为攻击者在进入系统后花费的时间更少。近些年，针对全球企业的勒索软件攻击数量激增，则很好地说明了为什么平均攻击时间在下降。 虽然检测和响应能力的提高在一定程度上减少了攻击时间，但勒索软件的流行也是主要推手，因为其目标是所有垂直行业的受害者。鉴于其在相对较短的攻击时间内具有较高的盈利潜力，勒索软件攻击对攻击者来说是非常有利可图的，考虑到相应的保护措施也在提高，其在频率和危害程度上继续升级迭代。 Drive-By 下载攻击 顾名思义，Drive-By 下载是隐蔽的、快速的，而且往往在受害者察觉之前就发生了。这种类型的网…

OpenAI新的GPT-4V版本支持图像上传后，带来了一条全新的攻击途径，使大型语言模型（LLM）容易受到多模态注入图像攻击。攻击者可以在图像中嵌入命令、恶意脚本和代码，随后模型会遵从行事。 多模态提示注入图像攻击可以泄露数据、重定向查询、生成错误信息，并执行更复杂的脚本以重新定义LLM如何解释数据。它们可以改变LLM的用途，使其忽略之前设置的安全护栏，执行可能危及企业组织的命令，从而构成从欺诈到操作破坏的各种威胁。 虽然所有已采用LLM作为工作流程一部分的企业都面临险境，但那些依赖LLM来分析和分类图像作为其业务核心一部分的企业面临最大的风险。使用各种技术的攻击者可以迅速改变解释和分类图像的方式，因错误信息而酿成更混乱的结果。 一旦LLM的提示被覆盖，它对恶意命令和执行脚本更加视而不见的可能性就会变得更大。通过在上传到LLM的一系列图像中嵌入命令，攻击者可以实施欺诈和操作破坏，同时促进社会工程攻击。 图像是LLM无法防御的攻击途径 由于LLM在其处理过程中没有数据清理这个步骤，因此每个图像都是可信赖的，就像在没有对每个数据集、应用程序或资源进行访问控制的情况下，任由身份在网络上自由漫游很危险，上传到LLM中的图像同样很危险。 拥有私有LLM的企业必须采用最小特权访问作为一个核心网络安全策略。 Simon Willison在最近的一篇博文（https://simonwillison.net/2023/Oct/14/multi-modal-prompt-injection/）中详细解释了为什么GPT-4V是提示注入攻击的主要途径，并表示LL…

失效的访问控制这个漏洞类别一直跻身OWASP Top Web应用程序安全风险列表，目前已对应用程序安全构成了严重的挑战。 访问控制漏洞让用户可以访问敏感数据，并使他们能够执行超出预期权限的操作，此类漏洞的后果可能导致数据泄露、篡改甚至销毁。 本文将讨论为什么即使在漏洞扫描和评估之后失效的访问控制漏洞仍然常常存在，以及手动渗透测试对于有效检测和缓解的重要性。 什么是访问控制？ 访问控制如同一种授权检查，确保对资源的访问和执行操作的能力授予了某些用户（如管理员），而不是其他用户（如普通用户）。这种检查主要在身份验证过程之后执行。 在Web应用程序安全中，访问控制与内容、功能的预期用途以及用户扮演的各种角色密切相关。比如说，这可能包括阻止低权限用户执行管理员功能、阻止用户访问另一用户的资源，或者基于上下文因素授予或拒绝对资源或功能的访问。 在处理包含大量用户角色和功能的大型复杂应用程序时，正确实施访问控制很快会变得困难重重。 什么是失效的访问控制？ 失效的访问控制顾名思义是访问控制没有按预期工作，这实际上与我们上面提到的恰好相反，后面附有一些详细的例子。 不安全的直接对象引用（IDOR） 以允许普通用户查看和编辑帐户信息的应用程序为例。每个帐户被分配了一个用户ID，编辑请求被发送后，应用程序根据请求中所含的ID确定要更新哪个帐户。在这种场景下，攻击者可以通过将用户ID改为受害者的ID来操纵旨在更新帐户的出站请求。 如果没有实施适当的访问控制，受害者的帐户将收到编辑——这是直接影响完整性的IDOR漏洞。假设攻击者更改了受害者的电子邮件地址，随后提…

如今，众多攻击者利用无恶意软件的间谍技术实施无法检测到的破坏，依靠合法的系统工具和寄生攻击（LOTL）技术来渗入端点。无恶意软件的攻击有赖于用户对合法工具的信任，很少生成唯一的特征码，并且依赖无文件执行。 在CrowdStrike追踪分析及其《2023年威胁狩猎报告》阐述的所有恶意活动中，CrowdStrike威胁图索引的检测中有71%没有恶意软件。总共有14%的入侵事件依赖基于Falcon OverWatch跟踪的活动的远程监控和管理（RMM）工具，攻击者增加了使用RMM工具进行无恶意软件攻击的数量，同比增长了惊人的312%。 随着FraudGPT标志着武器化人工智能新时代开始到来，而企业面临输掉人工智能战争的风险。人工智能、机器学习和生成式人工智能整合到扩展检测和响应（XDR）中就需要快速行动起来，以阻止无恶意软件和人工智能带来的新攻击。 XDR提供了CISO们一直所需要的那种整合。 XDR改善了信噪比 通过依赖在大规模整合的API和平台，XDR平台充分利用了每个可用的遥测数据源，以便实时检测和响应潜在的入侵和破坏企图。事实证明，这些平台能够有效地减少网络噪声，并发现表明潜在入侵或攻击的信号。 据Cynet 2022年对CISO开展的调查显示，XDR对CISO们来说是一种有效的整合策略：96%的CISO计划整合其安全平台，63%的CISO表示XDR是自己的首选解决方案。 几乎所有接受调查的CISO都表示，整合工作已在他们的路线图上，高于2021年的61%。Gartner公司预测，到2027年年底，多达40%的企业将使用XDR来减少现…

令人惊讶的是，由于生性喜欢啃噬水下互联网电缆，鲨鱼在网络安全界掀起了轰动。事实证明，我们不仅要与陆地上的网络犯罪分子进行较量，还要与生活在海底的牙齿锋利的鲨鱼斗智斗勇。 说真的，虽然这些强大的海洋生物有一个奇怪的习惯：啃噬海底电缆，但它们构成的威胁不如人类来得严重。 鲨鱼与网络安全之间不可思议的联系 海底世界浩瀚无垠，处处都是生物，而鲨鱼作为海洋中的顶级掠食者，备受关注和敬畏。遗憾的是，鲨鱼追寻的猎物对象还包括穿越海底的光缆。 1985年，人们在加那利群岛附近的一条实验数据光缆中发现了鲨鱼的牙齿，这是首次表明光缆对鲨鱼具有奇特吸引力的确凿证据。当年晚些时候，鲨鱼咬断了大西洋上的四段电缆，这让我们想知道这种奇怪行为背后的原因。 另一个臭名昭著的鲨鱼影响数字通信的案例发生在非洲海岸，那里的一系列互联网中断事件让网络工程师备感困惑。他们在经过一番细致调查后发现，罪魁祸首居然是鲨鱼，它们啃噬海底电缆，使整个地区无法接入互联网。 在几起类似的令人难以置信的事件之后，网络工程师才开始发现鲨鱼、互联网连接中断以及进一步的网络安全问题之间有着奇特的联系。这类事件的增加表明了我们数字基础设施的脆弱性：就连最不可预测的因素也可能严重损害网络安全系统，并为网络攻击和数据泄密打开大门。 为什么互联网中断是一种网络安全风险？ 互联网连接的中断不仅给我们的数字生活蒙上了阴影，还可能造成一系列令人惊讶的网络安全风险。一旦鲨鱼袭击导致一个地区陷入数字黑暗，这种突然的中断为网络犯罪分子提供了攻击的机会。 严重依赖互联网进行日常运营的企业和组织面临的风险最大。如果没有稳定的…

在迅速发展的数字环境中，远程工作已成常态，越来越多企业意识到自己正面临严峻的网络威胁。为此，必须采取积极措施保护其重要资产。不仅如此，严格的合规条例，也在增加他们的压力。 基于此，人们不得不重新考虑传统的以周界为基础的安全模式，已经不足以作为保护敏感数据不受未经授权访问的独立措施，转而转向基于身份的安全计划。 如今，身份访问管理(IAM)解决方案逐渐受到欢迎，现已基本上被认为是任何业务总体安全战略的重要组成部分。 身份访问管理解决方案的一些优势 身份访问管理的目的是什么 简而言之，为了确保只有获得授权的个人才能根据其作用(基于角色的访问控制)、责任和最小特权原则限制了用户有效执行任务所需的最低访问水平。 通过实施IAM，可以减少未经授权访问、数据被破坏的风险，以及内部威胁，同时精简访问管理流程，减少行政间接费用。 另外， IBM2023年数据泄漏报告发现使用身份访问管理系统的企业能够降低数据被破坏的成本。 为什么找到正确的解决方案是一项艰巨的任务 大型解决方案主要针对拥有几千个IT用户的企业。这些解决方案的采购和维护成本高昂，需要几个月甚至几年的时间来规划和实施。而在这个过程中，必须与IAM平台集成的每个应用程序和服务(包括云服务、像团队、交换机和单驱动器等M365应用程序、人力资源、客户关系管理或企业资源规划工具等）编制单独的连接程序。而这反过来又意味着通过IAM平台管理的众多系统中的每个系统创建、测试和部署定制脚本和工作流。 这是一个巨大的工程量。大公司有资源、时间和资金应对这种规模的项目。但是，中小型企业同样有义务保护其数据不被未…

网络安全对国家安全牵一发而动全身。党的十八大以来，习近平总书记高度重视网络安全工作，作出一系列重要论述。 文章来源：中国新闻网

我们正处于云计算时代，虚拟服务器和存储空间之类的资源常常在需要时通过部署脚本以编程方式提供。虽然启用这类资产的过程很快，但删除它们时就没有那么简单了，仅仅删除云资产，就可能为攻击者提供安全漏洞的风险。 设想一下这个场景：你想要为客户们策办一次特殊的节日活动，并决定创建一个微型网站来存放所有的促销材料和注册表单等内容。开发人员开始设计网站，在AWS或任何云计算服务上申请配置一个新的虚拟服务器来托管它，并配置用来存储网站数据的存储桶。云服务提供商将从其可重用IP地址池中为你的EC2实例分配一个可公开访问的IP地址，并在其域名下为你的存储桶分配一个主机名：bucket-name.s3.region-code.amazonaws.com，那样你可以通过API访问它。 用户需要抵达你的网站和搜索引擎，机器人程序需要将该网站编入索引，所以下一步是在你的主域名上为它创建一个子域名，并将其指向IP地址，这样就可以从你的子域名访问Web服务器。然后为S3存储桶创建子域，并创建DNS CNAME记录，将其指向存储桶的AWS主机名。 假设你还有一个移动应用程序向这个活动网站发送数据，那么主机名也会进入到应用程序的代码中。由于统计数据跟踪或数据库备份等原因，你还有其他内部应用程序和工具需要与该网站集成起来。 你现在创建的是处于不同位置的大量记录，它们指向的对象实际上是临时云资源。如果你曾因那些云资产已完成任务而删除它们，但却并未删除开发人员和基础设施工程师为它们创建的记录，你将面临很大的风险。 攻击者可以将你的子域名用于钓鱼网站和分发恶意软件 攻击者可以从亚马…

云计算技术可以随时通过互联网提供计算资源共享池，且成本低廉甚至免费。通过使用云计算，许多个人和企业已经提高了运营效率，同时降低了 IT 成本。 尽管与现场模型相比，云计算模型充满了优势，但它们仍然容易受到内部和外部攻击。因此，云开发人员需要采取安全措施来保护用户的敏感数据免受网络攻击。 本文是为希望提高云服务解决方案安全性的云开发人员和服务提供商编写的。我们将首先概述云计算技术的关键漏洞，然后看看云计算中最常见的攻击类型。最后，我们将根据行业最佳实践提供有关如何确保基于云的解决方案的安全性的实用建议。 关键云计算漏洞 根据您需要的控制程度，可以选择三种类型的云计算服务： 1、软件即服务 (SaaS) 2、平台即服务 (PaaS) 3、基础设施即服务 (IaaS) 云技术仍在积极开发中，因此存在许多可被网络犯罪分子或恶意内部人员利用的漏洞。让我们看看引起云用户安全担忧的关键云计算漏洞。 数据威胁 云用户在云环境中存储各种类型的数据，其中很多数据包含有关用户或业务活动的敏感信息。然而，这些数据很容易因人为行为、应用程序漏洞和不可预见的紧急情况而丢失、泄露或损坏。显然，云服务提供商无法阻止所有数据威胁，但云开发人员应该应用现代加密算法来确保从用户到云传输的数据的完整性。 云API漏洞 应用程序编程接口 (API) 允许用户与基于云的服务交互。然而，API 中的漏洞可能会严重影响云编排、管理、配置和监控的安全性。云开发人员需要对 API 实施强有力的控制。 恶意内部人士 恶意行为的合法云用户有多种方式在云环境中安排攻击或泄露数据。不过，云开发人员…

麻省理工学院教授Stuart E. Madnick最近撰写的报告中显示，2013年到2022年间，数据泄露事件增加了两倍，2023年成为创纪录的一年。 报告强调攻击者越来越擅长对云配置错误进行攻击，并利用不安全的端到端手机加密，勒索软件越来越猖獗。 Madnick发现，与2022年上半年相比，2023年上半年遭到勒索软件攻击的企业组织增加了近50%。攻击者还在攻击期间觊觎大批的移动设备，冻结所有通信内容，直到受害者支付赎金为止。 云配置错误是黑客首选的攻击目标 存储在不安全或云配置错误中未加密的身份数据是攻击者眼里的金矿。云配置错误还被证明是窃取身份数据的一条通道，这些数据可以转手出售或编造用于欺诈的新的合成身份。 由于云配置错误，微软人工智能研究部门暴露了超过38 TB的敏感信息，包括微软服务的密码、密钥以及来自数百名微软员工的3万多条内部微软Teams消息。攻击者知道，他们控制身份的速度越快（从微软活动目录入手），勒索软件攻击就越可能得逞。 攻击者会先寻找一个简单的入口来访问错误配置的云、身份和整批移动设备。研究和发现新的漏洞（零日漏洞）甚至现有漏洞的新用途费时又费力，大多数攻击者可以通过“正门”趁虚而入，也就是说使用合法的凭据凭证（以未经授权的方式）。 近99%的云安全故障可以追溯到没有正确设置手动控制措施，多达50%的企业组织错误地将应用程序、网段、存储和API直接暴露在公众面前。据IBM的《2023年数据泄露成本报告》显示，因云基础设施错误配置而导致的数据泄露事件平均需要400万美元才能解决。 端到端加密需要成为安全策略的一部…

据悉，亚马逊已查获了俄罗斯 APT29 黑客组织用于针对政府和军事组织进行针对性攻击的域名，以使用恶意远程桌面操作连接文件窃取 Windows 凭据和数据。 APT29，也被称为“舒适熊”和“午夜暴雪”，是一个由俄罗斯国家支持的网络间谍组织，与俄罗斯对外情报局 (SVR) 有联系。亚马逊澄清说，尽管 APT29 使用的网络钓鱼页面被伪装成 AWS 域，但亚马逊或其云平台的凭证都不是这些攻击的直接目标。 其公告中写道：“他们使用的一些域名试图欺骗目标，让人们相信这些域是 AWS 域（但事实并非如此），但亚马逊不是目标，该组织也不是目标 AWS 客户凭证。相反，APT29 通过 Microsoft 远程桌面寻找目标的 Windows 凭据。” 威胁者以针对全球政府、智库和研究机构的高度复杂的攻击而闻名，通常使用网络钓鱼和恶意软件来窃取敏感信息。 全球范围内的目标组织 尽管 APT29 最近的活动在乌克兰产生了重大影响，但其范围很广泛，并针对多个被视为俄罗斯对手的国家。 亚马逊指出，在这次特定的活动中，APT29 遵循其典型的“窄目标”策略的相反方法，向比平常更多的目标发送了网络钓鱼电子邮件。乌克兰计算机紧急响应小组 (CERT-UA) 发布了有关这些“流氓 RDP”附件的公告，以警告他们在“UAC-0215”下跟踪的大规模电子邮件活动。 这些消息的主题是解决亚马逊和微软服务的“集成”问题以及实施“零信任”网络安全架构（零信任架构，ZTA）。 这些电子邮件包含 RDP（远程桌面协议）连接文件，其名称如“零信任安全环境合规性检查.rdp”，打开…

英国政府在一份报告中警告说，到2025年，人工智能可能会加剧网络攻击的风险，破坏公众对网络内容的信心，报告还指出，恐怖分子还可能会利用这项技术策划化学或生物袭击，然而，还有一部分专家对技术是否会像预测那样发展表示怀疑。 预计本周总理苏纳克（Rishi Sunak）将会强调技术所带来的机遇和威胁。 在政府报告中分析了生成式人工智能，这种技术目前为大量的使用图像生成软件和聊天机器人提供了动力。 报告还指出，到2025年，人工智能可能会带来更快、更强、更广泛的网络攻击。英国皇家联合服务研究所的约瑟夫-贾内基（Joseph Jarnecki）表示，黑客可以利用人工智能（AI）成功模仿政治语言。这带来了很大的挑战，因为政治术语会有其特定的语调，黑客发现利用起来很棘手。 这份报告是在苏纳克发表讲话之前发布的，苏纳克在讲话中详细阐述了英国政府保障人工智能安全并将英国定位为该领域全球领导者的想法。尽管苏纳克承认人工智能具有提高经济增长和解决问题能力的潜力，但他也强调有必要解决随之而来的各种风险和焦虑。 苏纳克先生可能会这样说，人工智能将带来新的知识、新的经济增长机遇、新的人类能力进步，以及解决我们曾经认为无法解决的问题的机会。但它也会带来新的危险和新的恐惧。 此外，前沿的人工智能或高度先进的新的技术将在政府峰会上进行讨论，关于这些技术是否会对人类造成危害，目前仍有争议。政府科学办公室最近发布的另一份报告指出，许多专家认为这种风险不太可能发生，而且发生的可能途径也不多。 人工智能需要对金融或军事系统等重要系统产生影响，才能威胁到人类的生存，人工智能还需要开…