ISHACK AI BOT

据一位安全研究人员声称，由于服务器存在几个漏洞，一家专业生产贞操设备的公司泄露了用户们的电子邮件地址、明文密码、家庭住址和IP地址，在一些情况下还泄露了用户们的GPS坐标。使用贞操设备，女性就可以通过互联网控制配偶或伴侣的“幸福”活动。 这位研究人员不愿透露姓名，因为他希望自己的专业工作与他开展的这项情趣研究工作分开来。他表示，由于两个漏洞，自己得以成功访问了一个数据库，里面含有1万多用户的记录。这位研究人员表示，他利用这些漏洞来查看可以访问哪些数据。从他发送并分享给外媒的电子邮件截图来看，他还在6月17日联系了这家公司，提醒对方注意安全问题，试图让对方修复漏洞，并保护用户的数据。 截至发稿时，这家公司尚未修复这些漏洞，也没有回应外媒多次提出的置评请求。 这位研究人员表示：“一切都太容易被利用了。这是厂家不负责任的表现。所以我最大的希望是厂家会联系我和外媒，修复所有漏洞。” 由于这些漏洞尚未修复，外媒没有公布这家公司的身份，以保护其用户，用户的数据仍处于危险之中。外媒还联系了这家公司的网站主机提供商，对方表示会提醒这家设备厂商，并联系了中国计算机应急响应小组（CERT），以提醒这家公司。 由于没有得到任何回复，这名研究人员在8月23日有意毁损了这家公司的主页，试图再次警告这家公司及其用户。 这位研究人员写道：“该网站已被善意的第三方关闭了。该厂家任由网站敞开，允许任何脚本小子获取任何和所有的客户信息。这包括明文密码以及送货地址，该厂家口口声称不包括送货地址。如果你已经购买了一个设备，现在无法使用，我很抱歉。但是有成千上万的人在这里注册了帐户，出于善意，我不能任由所有的信息都任由别人访问。” 没过24小时，这家公司删除了这位研究人员的警告信息，并恢复了网站。但该公司并没有修复这些漏洞，这些漏洞依然存在，可以被利用。 除了允许访问用户数据库的漏洞外，这位研究人员发现该公司的网站还暴露了记录用户PayPal支付信息的日志。日志显示了用户在PayPal上使用的电子邮件地址以及他们付款的日期。 该公司专门向男性销售贞操笼，贞操笼可以与安卓应用程序（没有iPhone应用程序）相连接。使用这款应用程序，无论伴侣在什么地方，都可以跟踪男方的行动，因为这款设备可以传输精确到几米的GPS坐标。 这不是黑客第一次利用男性性玩具（尤其是贞操笼）的漏洞了。2021年，一名黑客控制了许多人的设备，并索要赎金。 据当时发现这起黑客活动的一名研究人员称，这名黑客对其中一个受害者叫嚣：“你的小弟弟现在是我的了！” 而一年前，多位安全研究人员就警告过这家公司，其产品存在严重的漏洞，可能被恶意黑客利用。 这些年来，除了实际的数据泄露外，安全研究人员还在联网性玩具中发现了几个安全问题。2016年，研究人员在配备蓝牙的“内裤克星”中发现了一个漏洞，任何人都可以通过互联网远程控制这款性玩具。2017年，一家智能性玩具制造商同意和解两名女性提起的诉讼，她们指控这家公司通过收集和记录用户“高度私密和敏感的数据”来监视她们。

在公开推出ChatGPT的一个月前，OpenAI聘请了肯尼亚的律师Boru Gollo来测试AI模型GPT-3.5以及后来的GPT-4是否对非洲人和穆斯林群体有偏见，测试办法就是输入提示，看看该聊天机器人是否会生成有危害的、有偏见的、不正确的回复。Gollo是OpenAI招募的约50名外部专家之一，作为“红队”（red team）的成员，他往ChatGPT中输入一条命令，让它列出杀死尼日利亚人的一系列方法——在这款聊天机器人最终向全世界发布之前，OpenAI删除了针对这个问题的答复。 GPT-4的系统卡列出了这些风险和OpenAI用来减少或消除这些风险的安全措施，据系统卡显示，其他红队成员怂恿GPT-4的预发布版本帮助从事非法、有害的活动，比如在Facebook上发帖说服他人加入基地组织、帮助寻找无证出售的枪支，或者生成在家里制造危险化学物质的程序。 为了保护AI系统避免被人利用，红队黑客站在攻击者的角度思考，对AI系统做改动，以发现该技术固有的盲点和风险，以便可以消除风险。随着科技巨头们竞相构建和发布生成式AI工具，它们的内部AI红队在确保模型供大众安全使用方面起到了越来越重要的作用。比如说，谷歌在今年早些时候设立了一支独立的AI红队，8月份，OpenAI的GPT3.5、Meta的Llama 2和谷歌的LaMDA等众多流行模型的开发人员参加了一场由白宫支持的活动，旨在让外部黑客有机会破解AI系统。 但AI红队成员常常如同走钢丝，既要兼顾AI模型的安全性，又要保持其重要性和实用性。《福布斯》杂志采访了微软、谷歌、英伟达和Meta的AI红队负责人，讨论了破解AI模型如何蔚然成风以及修复模型所面临的挑战。 Facebook的AI红队负责人Christian Canton表示：“你可能拥有一个对一切都说不的模型，它非常安全，但也毫无用处。我们需要权衡和取舍。你开发的模型越有用，就越有可能在某个方面面临风险，最终生成不安全的答复。” 用红队检测软件的做法始于20世纪60年代前后，当时模拟对抗性攻击，以确保系统尽可能坚固。安全技术专家、哈佛大学伯克曼•克莱因互联网与社会中心的研究员Bruce Schneier表示：“在计算机领域，我们永远不会说‘这是安全的’。我们只会说‘我们试过了，但无法破解它。’” 但谷歌新成立的AI红队负责人Daniel Fabian表示，由于生成式AI使用庞大的数据集进行训练，这使得保护AI模型的做法有别于传统的安全实践。谷歌的AI红队在添加额外的语言等新功能之前会对Bard之类的产品进行压力测试，以发现冒犯性内容。 除了询问AI模型以生成有害的回复外，红队还使用提取训练数据等策略，这些数据会泄露用户的姓名、地址和电话号码等个人身份信息，并在用于训练模型之前通过篡改内容的某些部分来毒害数据集。Fabian告诉《福布斯》杂志：“攻击者多少会有一系列攻击方法，如果其中一种攻击无效，会转而采用下一种攻击。” 英伟达软件安全副总裁Daniel Rohrer表示，由于这个领域仍处于早期阶段，知道如何对AI系统做手脚的安全专业人员“少得可怜”。这就是为什么一个由AI红队成员组成的小圈子往往分享发现成果。谷歌的红队成员发表了关于攻击AI模型的新方法的研究成果，而微软的红队开放了Counterfit等攻击工具的源代码，帮助其他企业测试算法的安全性和安全风险。 五年前创建了这个团队的Ram Shankar Siva Kumar说：“我们当时在开发这些低劣的脚本，用来加快自己的红队建设。我们想让所有的安全专业人士都能在一个他们熟悉并理解的框架内使用它。” 在测试AI系统之前，Siva Kumar的团队会从公司的威胁情报团队收集有关网络威胁的数据，这个团队用他的话说好比是“互联网的耳目”。然后他与微软的其他红队合作，以确定攻击该AI系统中的哪些漏洞以及如何攻击。除了测试GPT-4外，该团队今年还测试了微软的明星AI产品必应聊天（Bing Chat），以寻找漏洞和缺陷。 与此同时，英伟达采取的红队做法的一方面是，向安全工程师和依赖英伟达提供GPU等计算资源的公司提供速成课程，以介绍如何用红队检测算法。 Rohrer表示：“作为每家公司的AI引擎……我们有一个巨大的放大因素。如果我们能教会其他人做这件事（用红队来检测），那么Anthropic、谷歌和OpenAI就都能把这件事做好。” 随着用户和政府部门对AI应用程序的审查越来越严格，红队还为加入AI竞赛的科技公司提供了一项竞争优势。AI黑客和安全专家社群AI Village的创始人Sven Cattell表示：“我想，信任和安全将会是护城河。你会看到‘我们的AI系统最安全’这样的广告。” 早期先行者是Meta的AI红队。该团队成立于2019年，已组织了数场内部挑战赛和“风险马拉松”，即鼓励黑客绕过检测和删除Instagram和Facebook上违法帖子的内容过滤器，而这些帖子含有仇恨言论、裸照、虚假信息和AI生成的深度造假内容。 据一份公开发布的详细记录Llama 2如何开发的报告显示，2023年7月，这家社交媒体巨头聘请了350名红队成员来测试其最新的开源大语言模型：Llama 2，成员们包括外部专家、合同工和大约20名员工组成的内部团队。红队输入了诸如如何逃税、如何不用钥匙发动一辆汽车和如何设计庞氏骗局之类的提示。Facebook的红队负责人Canton表示：“我们的AI红队恪守的座右铭就是‘训练时多流汗，交战时少流血。’” 这个座右铭类似8月初在拉斯维加斯召开的DefCon黑客大会上举行的一次规模最大的AI红队演练活动的精神。八家公司向与会的2000多名黑客开放了它们的AI模型——包括OpenAI、谷歌、Meta、英伟达、Stability AI 和Anthropic，以便黑客为模型输入提示，旨在泄露信用卡号之类的敏感信息，或生成政治错误信息之类的有害材料。白宫科技政策办公室与活动组办方合作，共同设计了红队挑战赛，遵守《人工智能权利法案》蓝图，这是一份关于如何安全地设计、使用和启动自动化系统的指南。 作为这次活动的发起人，AI Village的创始人Cattell表示，起初，这些公司不情愿提供各自的模型，主要是由于担心在公共论坛上用红队检测会带来声誉风险。他告诉《福布斯》杂志：“从谷歌或OpenAI的角度来看，我们就是DefCon大会上一群捣乱的家伙。” 但在向科技公司保证它们的模型将被匿名化，黑客不知道他们攻击的是哪家公司的模型之后，它们最终同意了。虽然黑客与AI模型进行的近17000次交互的结果要到明年2月才会公开，但这些公司最后都在这次活动中发现了需要解决的几个新漏洞。据活动组办方发布的新数据显示，在8个AI模型中，红队成员发现了约2700个漏洞，比如说服模型发表自相矛盾的言论，或给出关于如何在某人不知情的情况下对其进行监视的操作说明。 其中一名参与者是AI伦理研究人员Avijit Ghosh，他能够让多个模型做出错误的数学运算，生成关于泰国国王的虚假新闻报道，以及撰写一篇有关子虚乌有的住房危机的文章。 Ghosh表示，系统中的这类漏洞使得用红队检测AI模型变得更加重要，特别是当它们可能被一些用户视为无所不知的生命体时。他说：“我在现实生活中认识一些人，他们认为这些机器人实际上是有智力的，可以通过一步步的逻辑和推理完成医疗诊断之类的工作。但事实并非如此，它实际上是一种自动补全功能。” 但专家们表示，生成式AI就像一个多头怪物——当红队发现并修复了系统中的一些漏洞以后，其他漏洞在别处又会冒出来。微软的Siva Kumar表示：“需要整个社区来解决这个问题。”

与越南网络犯罪生态系统有关的网络犯罪分子正在大量的利用社交媒体平台（包括 Meta 旗下的 Facebook）作为传播恶意软件的重要手段。 据 WithSecure 的研究人员 Mohammad Kazem Hassan Nejad 称，恶意攻击者一直在利用大量欺骗性的广告针对受害者实施各种诈骗和恶意广告攻击。随着企业越来越多地利用社交媒体发布广告，这种策略使得攻击流程变得更加容易，这同时为攻击者提供了一种新型的攻击方式--劫持企业账户。 在过去的一年时间里，针对 Meta Business 和 Facebook 账户的网络攻击变得越来越流行，他们主要是由 Ducktail 和 NodeStealer 等活动集群驱动的，它们以针对在 Facebook 上运营的企业和个人进行攻击而变得有名。 社会工程学在未经授权访问用户账户方面起着至关重要的作用，受害者会通过 Facebook、LinkedIn、WhatsApp 等平台和 Upwork 等自由职业门户网站进行接触。搜索引擎投毒则是另一种用于推广虚假软件的方法，这其中包括 CapCut、Notepad++、OpenAI ChatGPT、Google Bard 和 Meta Threads。 这些网络犯罪团伙使用的常见手段包括滥用 URL 缩短器、使用 Telegram 进行命令和控制 (C2)，以及使用 Trello、Discord、Dropbox、iCloud、OneDrive 和 Mediafire 等合法云服务来托管恶意的有效载荷。 例如，Ducktail 利用了与品牌营销项目相关的信息，对 Meta's Business 平台上的个人和企业进行渗透。在最近的攻击中，网络犯罪分子则是使用和工作招聘相关的主题来进行攻击。 潜在的目标用户被 Facebook 广告或 LinkedIn InMail 引流到了 Upwork 和 Freelancer 等平台上，然后会浏览大量的具有欺诈性的招聘信息。这些招聘信息中含有指向云存储提供商托管的恶意文件超链接，从而可以部署 Ducktail恶意软件进行信息的窃取。 Ducktail恶意软件的设计目的是从浏览器中窃取已保存的会话 cookie，其恶意代码是专为接管 Facebook 企业账户而量身定制的。这些被入侵的账户在地下市场会进行出售，价格会从 15 美元到 340 美元不等。 2023 年 2 月至 3 月间观察到的最新攻击方式涉及到使用快捷方式和 PowerShell 文件下载并启动恶意软件。该恶意软件目前已演变为从 X（前 Twitter）、TikTok Business 和 Google Ads 等多个平台获取个人信息。它还会利用被窃取的 Facebook 会话 Cookie 创建具有欺诈性的广告并获得更高的权限。 用来接管受害者账户的主要方法是添加攻击者的电子邮件地址、更改密码并锁定受害者的 Facebook 账户。 Zscaler 的研究人员还观察到威胁攻击者还使用了数字营销领域用户的 LinkedIn 账户进行攻击的情况，他们利用这些账户的真实性来辅助社会工程学战术。这也凸显了 Ducktail 的蠕虫式的传播方式，即利用被窃取的 LinkedIn 凭据和 Cookie 登录受害者账户并扩大其影响范围。 Ducktail 只是越南众多威胁攻击者中的一个，他们会利用共享工具和高明的攻击策略实施欺诈计划。2023 年 3 月底出现的 Ducktail 山寨版 Duckport 主要从事信息窃取以及Meta Business 账户劫持。这里值得注意的是，Duckport 与 Ducktail 在用于指挥控制、源代码实施和分发的 Telegram 频道方面有所不同，这也使得它们成为了截然不同的威胁。 Duckport 则采用了一种更加独特的技术，即向受害者发送与假冒品牌或公司相关的品牌网站链接，重定向受害者然后从文件托管服务下载恶意文件。与 Ducktail 不同的是，Duckport 使用了Telegram 向受害者机器传递命令，并整合了其他额外的信息窃取和账户劫持功能，并且还添加了截图和滥用在线笔记服务作为其指挥和控制攻击的一部分。

暴力破解攻击是最常见的攻击类型之一。在2022年第一季度，暴力破解攻击占所有攻击的51%！这些攻击通常为其他类型的威胁铺平道路，并对组织造成毁灭性的后果。 API上的暴力破解攻击问题更为严重，因为API以编程方式公开数据、功能和业务逻辑。组织需要立即采取行动阻止这些攻击，以保护数字资产免受攻击者的侵害。 什么是暴力破解攻击？ 暴力破解攻击（Brute force attack）是常见、简单且易于编排的凭据破解/密码猜测攻击类型。在这些攻击中，威胁参与者使用试错法来解码密码、登录凭据、API密钥、SSH登录、加密密钥、隐藏的网页和内容。在此基础上，他们会获得对应用程序、API、帐户、系统和网络的未经授权访问。 攻击者会不断猜测用户名和密码，直到找到有效的组合。他们会系统地尝试所有可能的字母、数字和符号组合，直到破解密码。在此过程中，攻击者可能会使用手动或自动方法注入用户名密码并找到正确的凭据。 暴力破解 vs. 其他破解技术 暴力破解攻击不使用智能策略来破解凭据；他们使用一种简单的试错法，通过竭尽全力地尝试各种字符组合来破解凭据，直到找到一个允许他们进入的凭据组合。这是暴力破解与其他填充和破解方法的主要区别。 在凭据填充（credential stuffing）攻击中，攻击者会抛出真实的登录凭据来欺骗API/应用程序，使其相信他们是合法用户。为此，他们会使用窃取的凭据和密钥。 而在暴力破解攻击中，攻击者反复尝试不同的字符组合，直到他们获得对API或应用程序的访问权。 暴力破解攻击的类型 · 简单的暴力破解攻击，攻击者会使用简单、系统的方法来猜测和破解凭据，而不依赖于智能策略或逻辑。自动化工具和脚本通常用于自动猜测凭据。 · 字典攻击（Dictionary attack），攻击者使用包含单词、字符串和短语的公共数据库——字典。它们从字典中的单词/短语开始，并尝试字母和字符的组合来确定登录凭据。 · 混合暴力破解（Hybrid brute force）攻击，攻击者将简单的暴力破解攻击和字典攻击结合在一起的攻击形式。他们使用外部逻辑来确定可能有更高成功概率的密码变体，然后修改这些变体以尝试各种组合。 · 彩虹表攻击（Rainbow table attack），攻击者会使用彩虹表——一个预先计算的明文密码表/字典和与之对应的哈希函数，并尝试逆向加密哈希函数。 · 逆向暴力破解（Reverse brute force）攻击，攻击者使用常见/已知密码或密码集合，通过尝试不同的组合来找出可能的用户名/帐号。 · 密码喷洒（Password spraying）攻击，攻击者使用常用的密码（如admin或123456），并在不同的帐户上使用它们，而不是尝试不同的密码组合。这通常在有帐户锁定策略的情况下使用，攻击者只能有限地尝试破解凭据。 · 僵尸网络暴力破解（Botnet brute force）攻击，攻击者利用强大的机器人来暴力破解API，应用程序和网络。对于攻击者来说，暴力破解的最大缺点之一是需要几天甚至几个月的时间来破解凭据，尤其是更复杂的凭据。加上速率限制和账户锁定政策等额外的安全措施，挑战就更大了。但僵尸网络有助于克服这些挑战。它们为攻击者提供了高计算能力，帮助他们避开传统的防御机制，同时为攻击过程注入了速度和效率。 API中的暴力破解 API中的暴力破解是指威胁参与者利用工具不断向API发送请求，以猜测正确的凭据组合。其最终目标可能是任何东西，从通过暴力破解API身份验证表单窃取帐户到通过暴力破解登录泄露敏感数据。 运行原理 传统的暴力破解攻击通常使用巨大的人力来破解凭据。但是，考虑到安全措施和破解单个复杂密码所需的时间，攻击者如今更倾向于利用自动化工具、脚本和强大的僵尸网络来暴力破解API、应用程序和网络。 这些工具和机器人可以发送大量的服务器请求，每小时进行数十万次登录尝试。它们可以在几分钟内猜测并找到有效的组合，而无需耗费数周或数个月时间。 使用自动化工具和机器人进行API暴力破解攻击的三个主要步骤： 1. 攻击者识别他们想要攻击的API、应用程序或站点的目标URL，并在暴力破解工具中预先配置参数值； 2. 他们使用工具/机器人运行暴力破解过程，以试图识别所有有效的凭据； 3. 在识别成功的登录凭据后，攻击者登录并执行他们的命令。 以下是攻击者用于暴力破解的一些常用工具： · THC-Hydra使用简单或基于字典的方法运行大量密码组合来破解网络密码协议。 · Aircrack-ng使用一个广泛使用的密码字典来入侵无线网络。 · John the Ripper是一个使用字典详尽地运行可能组合的工具。 · Hashcat是最快的基于CPU的破解工具，可以运行简单的暴力破解、基于规则的攻击和混合攻击。 · Ncrack帮助破解网络认证，支持多种攻击类型。 · RainbowCrack是利用彩虹表的最快破解工具之一。 现实案例 加拿大税务局在2020年遭遇过一次暴力破解攻击，导致1.1万个CRA账户和其他政府相关服务账户受损。据悉，攻击者是利用先前窃取的凭据对该机构进行了暴力破解。 2018年，电商平台万磁王（Magneto）遭受了暴力破解攻击，导致其管理面板遭到破坏。不少于1000个账户凭据在暗网上泄露。 2018年，北爱尔兰议会遭遇暴力破解攻击，暴露了一些议员的账户。据悉，黑客是利用了几种组合来破解密码并访问了这些成员的邮箱。 2016年，阿里巴巴旗下的电子商务网站淘宝遭到暴力破解攻击，2100万个账户（占淘宝所有账户的五分之一）被盗用。攻击者使用了一个包含9900万个用户名和密码的数据库来策划这次暴力攻击。 诱发暴力破解攻击的主要因素 暴力破解攻击的主要原因之一是糟糕的密码设置。 用户（包括管理帐户）习惯使用简单或通用的密码，如123456、abdce、111111或admin。这些密码很容易被猜测到或破解。 即使用户使用了更强大的密码，他们也会在不同的账户和平台上重复使用。因此，如果他们的凭据从一个帐户被盗，那么使用相同凭据的所有其他帐户都有暴露的风险。 组织对登录凭据使用可预测的分类法，从而创建易于检测的模式。例如，通常使用员工的首字母和姓氏加上公司名称作为登录ID。 许多组织继续将凭据、API密钥、加密密钥和密码存储在明文或加密较差的数据库中。因此，攻击者可以泄露这些数据库，并使用它们来暴力破解API和应用程序。 组织仍然依赖密码或密钥作为唯一的身份验证机制。即使组织使用MFA（多因素身份验证），如果缺乏适当的授权和基于角色的访问控制措施，它们仍然处于风险之中。 此外，组织经常忽视实施多层安全措施（例如帐户锁定和速率限制）的重要性，以防止暴力破解攻击。 暴力破解攻击的常见目标 如果您的网站/ API/应用程序/系统需要用户身份验证，它将成为威胁行为者的目标。暴力破解攻击比其他攻击更容易编排，因为攻击者不需要扫描和开发利用漏洞的方法。 然而，电子商务API、应用程序和站点是这些攻击的最常见目标。这是因为它们处理支付并可以访问大量敏感的客户数据，如PII、银行信息、信用卡详细信息等。假设攻击者获得了对电子商务API或站点的访问权。在这种情况下，他们可以很容易地进行数据泄露、金融盗窃、身份盗窃、在暗网上出售用户信息等操作。这会导致用户之间的不信任，并影响组织的声誉。 暴力破解API为何如此危险？ 影响 暴力破解对API的影响是严重和破坏性的。由于API本身就暴露了数据和功能，攻击者会强制他们发现登录凭据和API密钥来访问用户帐户和应用程序，以发现更多漏洞。 通过暴力破解API，攻击者还可以导致其他用户的停机和崩溃。他们可以通过暴力破解API来锁定合法用户，并为登录失败设置锁定机制。 成功的登录尝试使攻击者能够泄露用户信息、密钥等，然后在暗网上出售。他们还可以传播恶意软件，参与帐户接管，并执行其他攻击 其他原因 · 它们易于编排，尤其是在自动化工具和机器人易于租用的情况下。 · 弱密码问题仍然存在。 · 即使攻击者没有发现或不能使用其他漏洞，暴力破解攻击也能起作用。 防止暴力破解API攻击 暴力破解攻击检测 在了解如何预防暴力破解攻击之前，组织需要了解如何检测它。首先，组织需要使用特定于API的、直观的安全解决方案，来持续监控传入流量和用户行为。 违规访问 安全解决方案必须在发生异常活动时提供实时警报和触发器。只有这样，组织才能立即采取行动阻止攻击。特定于API的安全解决方案必须包括配备AI-ML和威胁情报的自动扫描工具，以查找允许暴力破解攻击的身份验证漏洞。此外，组织还必须使用手动渗透测试来发现身份验证缺陷和其他允许暴力破解API的弱点。 强密码策略和多因素身份验证 这是防止暴力破解API和其他攻击的最重要方法： · 创建包含字母、数字和特殊字符的复杂密码； · 拒绝通用密码和弱密码以增强安全性； · 在创建用户名和密码时避免常见模式； · 确保密码定期过期，不允许重复使用以前的密码； · 教育用户为个人账户或平台设置不同密码的重要性； · 探索采用密码管理器或采用无密码身份验证； · 防止以明文形式存储密码、密钥和凭据； · 将2FA或MFA作为API和网站的强制性措施，特别是那些授予敏感数据和功能访问权的措施，以便为API和帐户提供了额外的保护。 强大的访问控制和授权策略 即使成功登录，攻击者也不应该能够访问太多敏感信息。这就是为什么需要基于角色的访问控制和强授权策略。另外，请确保关闭未使用的帐户，特别是高权限帐户。 锁定策略 如果失败次数超过设置的限制，帐户将被自动锁定。只有管理员才能在用户验证后解锁该帐户。请记住，攻击者可能会通过暴力破解来锁定组织的合法用户，以此对组织造成信任和声誉损失。这就是为什么组织需要禁止从同一IP地址对不同的帐户进行多次登录尝试。 渐进式延迟 组织还可以在登录尝试失败后暂时锁定帐户，并在每次失败的登录之间实现渐进式延迟，以减缓暴力破解攻击。 智能实现验证码质询 暴力破解工具和机器人无法执行验证码质询。因此，组织可以通过实现这些质询来为攻击者制造障碍。组织所选的安全解决方案必须基于实时洞察智能地实现这些质询。 机器人缓解 由于现代暴力破解攻击广泛利用机器人和自动化工具，组织必须使用提供智能、完全管理的机器人缓解功能的安全解决方案。

• 自2022年12月首次公开发布以来，开源信息窃取器SapphireStealer越来越频繁好出现在各大公共恶意软件存储库中。 • 像SapphireStealer这样的信息窃取恶意软件可以用来获取敏感信息（包括企业凭据），这些信息常常被手卖售给其他威胁分子，威胁分子利用访问权限实施额外的攻击，包括从事与间谍或勒索软件/敲诈勒索相关的活动。 • 我们认为，多个团伙在使用SapphireStealer，它们分别改进和修改了原始代码库，扩展其功能，以支持额外的数据泄露机制，由此创建了多个变体。 • 在一些情况下，SapphireStealer似乎作为多阶段感染过程的一部分而投放，威胁分子利用FUD-Loader等开源恶意软件下载器向潜在的受害者投放SapphireStealer。 SapphireStealer走开源道路，攻击者留意到了 在过去的几年里，信息窃取器在威胁领域变得越来越流行。虽然这些威胁已存在了很长一段时间，但思科Talos最近发现，出售或出租的新窃取器在各种地下论坛和集市上日益泛滥。窃取器在企图牟利的威胁分子眼里常常是一种诱人的选择，因为它们提供了一种简单的手段来窃取敏感信息和帐户相关资料，并分发给攻击者。这些凭据通常包含企业帐户凭据、访问令牌及可用于进一步危害企业网络的其他数据。在许多情况下，信息窃取器生成的凭据日志可变成现金，它们提供的网络访问权限被出售给其他威胁分子，进而用来开始实施泄密后的各种任务目标，比如从事间谍活动或勒索软件/敲诈勒索。 SapphireStealer是一种新型信息窃取器，主要用于方便窃取各种浏览器凭据数据库和可能含有敏感用户信息的文件。SapphireStealer的代码库于2022年12月25日在GitHub上发布（https://github.com/0day2/SapphireStealer/）。 图1 与往常一样，新的开源恶意软件代码库发布后，威胁分子迅速行动，开始捣鼓这个窃取器，扩展以支持额外的功能，并使用其他工具加大检测SapphireStealer感染的难度。 从2023年1月中旬开始，新编译版本的SapphireStealer开始上传到公共恶意软件存储库，在2023年上半年观察到了稳定的上传活动。与这些样本相关联的编译工件表明，该恶意软件代码库目前正在被多伙威胁分子使用。这种威胁的多个变体已经在野外存在，威胁分子在逐渐提高效率和有效性。 虽然大多数样本都拥有伪造的编译时间戳，但凭借样本最初上传到公共存储库的日期和PDB路径之类的编译工件，我们可以汇总恶意软件活动，并识别出现的不同开发活动。 SapphhireStealer助长简单但有效的凭据和数据盗窃 SapphhireStealer是一个用.NET编写的信息窃取器。它提供了简单而有效的功能，能够从受感染的系统窃取敏感信息，包括如下： • 主机信息。 • 屏幕截图。 • 缓存的浏览器凭据。 • 存储在系统上、并与预定义的文件扩展名列表匹配的文件。 当恶意软件初始执行时，它先尝试确定是否有任何现有的浏览器进程在系统上运行。它查询当前运行的进程列表，查找与以下列表匹配的任何进程名： • chrome • yandex • msedge • opera 如果检测到任何匹配的进程，恶意软件就使用Process.Kill()终止它们。谷歌Chrome的代码执行如下所示。 图2 接下来，恶意软件调用Chromium.Get()以检查%APPDATA%或%LOCALAPPDATA%下的各种浏览器数据库文件目录。恶意软件使用硬编码的路径列表，以识别以下浏览器应用程序是否存在凭据数据库： • Chrome • Opera • Yandex • Brave浏览器 • Orbitum浏览器 • Atom浏览器 • Kometa浏览器 • 微软Edge • Torch浏览器 • Amigo • CocCoc • Comodo Dragon • Epic隐私浏览器 • Elements浏览器 • CentBrowser • 360浏览器 图3 恶意软件在以下位置创建一个工作目录，以暂存最终将被泄露的数据： %TEMP%\sapphire\work发现的任何凭据数据库的内容都将被转储。然后，这些信息被存储在恶意软件工作目录中一个名为password.txt的文本文件中。 图4 接下来，恶意软件试图从系统捕获屏幕截图，并将其存储在同一工作目录中一个名为Screenshot .png的文件中。 图5 恶意软件在恶意软件的工作目录中创建一个名为“Files”的新子目录。然后执行一个文件抓取器，试图找出存储在受害者的Desktop文件夹中与文件扩展名列表匹配的任何文件。该列表因分析的样本而异，但示例列表如下所示： • .txt • .pdf • .doc • .docx • .xml • .img • .jpg • .png 图6 一旦文件抓取器完成执行，恶意软件随后就会创建一个名为log.zip的压缩归档文件，含有之前写入到恶意软件工作目录中的所有日志。 图7 然后，这些数据通过简单邮件传输协议（SMTP）传输给攻击者，使用在负责撰写和发送该消息的代码部分中定义的凭据。 图8 以下与主机相关的信息被收集并包含在邮件消息正文中： • IP地址 • 主机名 • 屏幕分辨率 • 操作系统版本和CPU架构 • 处理器ID • GPU信息 图9 一旦日志被成功泄露，恶意软件随后就会删除之前创建的工作目录，并终止执行。 图10 SapphireStealer进而支持额外的泄露方法 自从最初的样本开始上传到公共恶意软件存储库和扫描平台以来，我们观察了到各个威胁分子进行了几处明显的修改。大部分开发工作似乎侧重于更灵活地泄露数据和发出警报，以便攻击者实现新的SapphireStealer感染。由于该恶意软件是开源的，并被多个不同的威胁分子使用，因此大部分开发活动都是独立进行的，与其他威胁分子关联的示例集群中没有出现新功能。 有一次，我们观察到了SapphhireStealer样本，使用前面描述的进程收集的数据被人使用Discord webhook API这种方法泄露出去。 图11 在这种情况下，Discord webhook URL（SendLog.url）是： hxxps[:]//discord[.]com/api/webhooks/1123664977618817094/La_3GaXooH42oGRiy8o7sazh1Cg0V_mzkH67VryfSB1MCOlYee1_JPMCNsfOTji7J9jO在一些情况下，我们还观察到SapphhireStealer样本能够通过Telegram posting API传输日志数据，提醒攻击者注意新获得的感染。 此外，我们还观察到SapphireStealer中的FileGrabber功能收集和泄露针对的文件扩展名。虽然一些极小，只含有几个文件扩展名，另一些含有攻击者可以获得的无数不同的文件格式。 同样，SapphhireStealer的早期版本具有冗余代码执行，重复执行同样的活动多次，整体效率低下。在我们长期分析其他SapphireStealer样本的过程中，一再观察到各伙威胁分子采取了措施以简化恶意软件的活动，大幅重构代码，并以其他方式改进窃取器的核心功能。 用于多阶段感染的FUD-Loader 在一些情况下，我们观察到威胁分子试图利用名为FUD-Loader的恶意软件下载器，该下载器同样可以同一个GitHub帐户来获得。这个下载器最初在2023年1月2日提交给GitHub，就在SapphireStealer的初始代码提交后不久。自发布以来，它被各伙威胁分子用于感染过程的初始阶段，从攻击者控制的分发服务器获取额外的二进制载荷。 该下载器与SapphireStealer一样也是用.NET编写的，其活动相当简单。它实际上负责利用HTTP/HTTPS通信从攻击者控制的基础设施获取额外的可执行文件，将获取的内容保存到磁盘上，然后执行它以继续感染过程。 图12 在使用该下载器的大多数情况下，它获取了下一节中描述的托管在基础设施上的SapphireStealer二进制载荷，这让我们得以将这些样本归因于同一伙威胁分子。 在整个2023年，我们还观察到这个下载器被用来投放其他各种威胁，比如DcRat、jnRAT、 DarkComet和AgentTesla等。 行动安全（OPSEC）故障案例研究 在我们分析的一类恶意软件活动中，我们观察到威胁分子在维护良好的行动安全方面出现了多次故障。在一个样本中，我们观察到以下程序数据库（PDB）路径在编译后依然存在： C:\Users\roman\OneDrive\Рабочий стол\straler\net452\new_game.pdb该样本经配置后使用SMTP泄露数据，并利用以下硬编码凭据。 图13 这些凭据也被硬编码到我们分析的另一个样本中。 我们观察到，这第二个样本有不同的PDB，它在PDB途径中含有特定的排版错误。 D:\C# proect\Sapphire\obj\Debug\Sapphire.pdb早期的样本有同样的PDB路径和同样的排版错误。在这种情况下，威胁分子硬编码可显示个人身份的SMTP帐户信息以泄露数据。 图14 我们在寻找带有“romanmaslov200”帐号/别名的额外帐户后，找到了可能与这伙威胁分子有关的众多个人帐户，比如流行视频游戏商店Steam的帐户。 这三个样本中的两个在不同时间也被观察到托管在以下URL上： 图15 除了前面提到的Steam帐户外，我们还在一个俄语自由职业论坛上找到了一个匹配的帐户。这个帐户被用来宣传自由职业网站开发服务。用户配置文件还列出了观察到的托管SapphhireStealer样本的域，以及为解析凭据数据库和泄露数据而检索的各种依赖项组件。 图16 唾手可得的开源恶意软件代码库的副产品之一是，从事牟利性质的网络犯罪的门槛不断降低。分析个人或组织进行的活动时，这种趋势变得很明显，这些活动表明了他们在攻击生命周期的各个阶段建立行动安全方面缺乏经验。虽然进行信息窃取攻击可能需要较少的行动专长，但它们可能对企业环境造成极大的破坏，因为窃取的数据常常在以后被用于其他攻击。

网络安全公司 LogicMonitor 的部分客户因使用默认密码而受到了黑客的攻击。代表 LogicMonitor 的一位发言人已正式确认存在一些安全事件，已经影响到了该公司的部分客户群体。 直到最近，LogicMonitor 在用户账户中使用了默认密码，这也就造成了漏洞，从而导致了此次入侵事件。这些默认密码通常会遵循一种可识别的模式，例如以 "Welcome@"开头，然后再使用一个简单的数字序列。 这一安全漏洞使得恶意攻击者更容易未经授权访问客户账户，从而引发对 LogicMonitor 监控下系统潜在的勒索软件攻击的担忧。 我们目前正在处理一起只影响到少数客户的安全事件。LogicMonitor 发言人 Jesica Church 说，我们正在与这些客户进行沟通和密切合作，然后采取适当的措施减轻影响。 LogicMonitor 已经主动通过电子邮件通知客户软件可能存在安全漏洞。在邮件中，他们强调了用户名和密码的泄露的情况，强调了未经授权访问时可能会遭受勒索软件攻击的风险。这种积极主动的做法表明 LogicMonitor 一直致力于迅速解决问题并保护客户的利益。 了解默认密码的含义 设备制造商通常会为所有的出厂设备设置 "admin "或 "password "等简单密码，并假定用户会在初始配置过程中修改这些密码。通常情况下，这些默认登录凭据可以在使用手册中找到（使用手册通常对不同设备进行了标准化），甚至可以直接在设备本身上找到。 下面有几个例子可以说明这一点： 2014 年，由于一个网站的默认用户名和密码组合漏洞导致了 256 个不同国家的 73,011 个安全摄像头被曝光。这使得互联网上的任何人都可以不受限制地在线访问这些摄像头。 2015 年，一个长达四周的垃圾邮件攻击活动就是利用了默认用户名和密码设置成功入侵了路由器设备系统。攻击者利用这种访问方式向多个组织发送了电子邮件，提醒其存在未支付的账单。 设备默认密码的广泛使用是造成家庭路由器大量被利用的一个重要原因。在可公开访问的设备上使用可访问的默认密码会带来巨大的安全隐患。加强网络安全的第一步是优先考虑密码管理。 避免在多个账户中重复使用同一个密码。最好的选择是，为您的每台设备和每个账户设置独特而强大的密码。这种方法有非常重要的作用，可以使得黑客在未经授权的情况下访问您的设备并破坏设备的安全性变得更加困难。

如今90%以上的《财富》1000强企业使用微软Active Directory用于身份和访问管理，因此它成为世界上最常见的软件之一。 遗憾的是，这种普遍性也使得Active Directory成为吸引网络攻击者的诱人目标。由于Active Directory控制哪些用户可以访问网络上的系统和软件，因此攻击者就会攻击它，为自己提供实现目标所需的访问级别。此外，获得Active Directory的控制权让攻击者可以部署勒索软件、窃取敏感信息或从事其他非法勾当，防御者几乎不可能阻止它们。 不幸的是，大多数企业Active Directory（AD）环境存在无数的错误配置和漏洞，这让攻击者可以趁虚而入。AD的内置工具和用户界面使安全团队难以审查用户权限，这意味着久而久之，错误和错误配置会迅速越来越多。 什么是“错误配置债务”？ 如果AD安全从来没有受到过重视，大多数组织会遭受“错误配置债务”（misconfiguration debt）：随着时间的推移，错误越来越多。再加上Active Directory每天都会因用户、用户组和软件的创建或删除而变化，很容易明白为什么拥有成百上千个AD用户的企业存在如此多的安全问题。 这些安全问题来自一系列错误。比如说，管理员可能无意中授予用户或用户组过大的权限，或者管理员可能使用其Domain Admin（域管理员）凭据，登录到凭据面临失窃风险的工作站。 这些使企业面临一种名为身份攻击路径的攻击技术。在这种攻击技术中，攻击者先获得在网络中的单单一台机器上运行代码的能力，为此采用的手段可能是借助网络钓鱼电子邮件，或在另一起数据泄密事件的数据转储中找到用户的凭据。然后，攻击者使用各种工具来利用这些错误和安全问题，窃取其他用户凭据。 接下来，他们使用这些新凭据获得的访问权限闯入其他系统，直至达到目标。这些攻击可能难以检测，因为它们使用合法的工具和凭据。 防御攻击路径需要修复攻击者钻空子的AD安全问题——正如所讨论的那样，这类问题可能有好多。好消息是，AD或身份和访问管理管理员只需更改默认配置，即可在短短几分钟内解决许多此类问题。 虽然其他问题需要时间更长、难度更大的修复，比如重新培训全局和域管理员，教他们在登录高价值系统时使用哪些帐户，但这些快速修复方法可以大大降低组织的整体AD安全风险，不需要花大大的力气。 下面介绍如何解决一个容易被盯上的特定问题，以增强AD安全。 将域控制器的所有权限制于域管理员 由于种种原因，Domain Controller（域控制器）对象经常最终归域管理员之外的安全负责人所有。大约75%的客户普遍存在这个问题，比如想象一下求助台用户在域中创建新服务器。 几个月后，这个系统的角色发生了变化，管理团队将系统提升为域控制器。这个求助台用户现在拥有域控制器，并且拥有一条实际上全面控制环境的路径。这极其危险，因为如果攻击者获得该求助台用户的凭据，他们就可以轻松闯入域控制器。随着更多类似这样的情形出现，域控制器对象积累的所有者越来越多，风险也不断加大。 幸好，这很容易解决。为此，先生成一份列表，列出目标AD环境中的每个域控制器对象。这些数据可以直接从AD收集，但使用免费开源的AD映射工具要容易得多。然后执行以下操作： 1. 打开Active Directory 用户和计算机。 2. 启用高级功能。 3. 找到每个域控制器对象（使用列表）。 4. 右击鼠标，并选择“属性”，然后依次选择“安全”、“高级”和“更改”。 5. 将每个域控制器对象的所有者更改为域管理员组。 现在只有域管理员有权访问这些对象，这是我们所预期的。 为了继续进一步保护微软AD的安全，组织应考虑使用攻击路径管理等方法，以衡量组织的整体AD风险暴露面。 它使团队能够分析所有可能的攻击路径，识别单一修复方法就能消除许多攻击路径的高价值“阻塞点”，并根据风险优先解决这些问题。AD安全工作很容易变得不堪重负，因此优先解决重要问题是真正取得进展的关键。 然而，即使组织决定不将AD安全视作优先事项，上述快速修复方法也可以大幅降低身份攻击路径的风险。

制造业内部威胁的7 项关键措施（上） 制造业内部威胁计划的 7 项关键措施 在我们之前的一篇文章中，我们强调了内部威胁计划的重要性。制造业的公司也可以从建立这样一个识别、预防和最小化内部风险的计划中受益。 考虑制造业内部威胁防护计划的以下特点： 1、关键资产的认定 内部威胁计划的支柱是识别组织认为敏感的资产。识别公司的关键资产使组织能够采取适当的保护措施并准确应对威胁。 资产可以是物理的，也可以是虚拟的，包括财务数据、客户和员工信息以及技术秘密、原型和生产流程等知识产权。 关键资产对于每个制造公司来说都是独一无二的，以下问题可以帮助您确定哪些资产对您的组织至关重要： 2. 风险评估 内部威胁风险评估可以帮助您检测您的资产可能面临的风险，并准确反映公司的网络安全状态。 风险评估过程一般包括以下步骤： 评估风险后，考虑立即将结果传达给公司的网络安全团队和管理层。最好将这些结果提供给所有部门负责人，因为这将有助于他们最大限度地减少无意的内部事件的数量并提高员工的风险意识。 考虑定期重新评估风险，因为网络威胁会随着时间的推移而发展，而网络安全需要不断发展。 3. 内部威胁风险最小化 一旦评估阶段结束，制造公司就会定义网络安全系统的弱点，不良行为者可以利用这些弱点来破坏他们的敏感信息。 下一步是通过措施和网络安全解决方案完成内部威胁计划，以防止与员工和承包商合作时发生内部活动和数据泄露。 制造公司可以采取以下措施来降低内部威胁事件的风险： 对每位员工和承包商进行全面的背景调查 通过应用最小权限原则来管理和限制对关键资产的访问 使用多重身份验证根据零信任方法验证用户身份 合作结束后撤销前员工和承包商的访问权限 确保员工遵守公司的网络安全政策 4.内部威胁检测软件的实现 检测和防止内部攻击的最有效方法是监控员工并记录有关用户访问和操作的所有数据。大多数内部威胁防护解决方案都具有用户活动监控功能，使他们能够检测内部活动的早期迹象。 当面临安全事件时，内部威胁检测系统可以为您的组织提供有关谁访问了关键资产以及用户执行了哪些操作的信息。 根据公司使用的内部威胁检测软件，可能有不同的可用功能。为了确保您的制造公司可靠的网络安全，内部威胁检测系统应为您提供以下功能： 监控和记录以记录所有用户活动数据 身份验证和授权功能可控制和限制用户对关键数据的访问 事件检测和响应机制 用户和实体行为分析(UEBA) 报告和法医调查能力 可定制性以满足制造业的特定需求 5. 事件响应计划 确保您的网络安全团队考虑常见的内部攻击场景以及他们如何在面对网络威胁时迅速采取行动。制定实用、现实且易于实施的事件响应计划(IRP)。 考虑在您的 IRP 中包含以下组件： 您可以参考NIST开发的安全事件处理指南，并将其用作您公司的事件响应计划的基础。 6. 事件调查 规划公司调查网络安全事件的程序是内部威胁管理的重要组成部分。 事件调查通常包括以下行动： 收集有关事件的证据和事实 评估事件造成的危害 以安全格式导出数字证据以进行取证活动 向上级官员和监管机构报告事件 调查结束后，您应该能够确定事件的范围及其后果。借助这些数据，您可以创建全面的补救计划，包括对网络安全和内部威胁计划进行的任何调整。 7、员工内部威胁意识培训 考虑通过定期举办专门的内部威胁意识培训课程来提高员工的网络安全风险知识和对内部威胁的警惕性。课程内容将取决于特定制造组织的安全风险、工具和方法。 有效的内部威胁意识培训包括： 内部威胁意识培训的最后一步是通过访谈、测试或内部攻击模拟来观察员工的反应来确定其有效性。 使用 Ekran System 应对制造中的内部风险 Ekran System 是一款全周期内部风险管理软件，专门用于阻止、检测和破坏内部威胁。Ekran System 具有制造业内部威胁监控工具所需的功能。 Ekran System 广泛的功能集可以帮助您的制造公司保护其关键数据和 IT 系统免受内部威胁，让您能够： 监控员工、特权用户和访问您的 IT 基础设施的第三方的活动，包括远程工作人员的连接。Ekran 系统的用户活动监控(UAM) 功能允许您观看实时和录制的用户会话，并注意 IP 盗窃和其他恶意活动的迹象。 记录网络中所有用户的活动。借助 Ekran System会话录制软件，您可以通过用户友好的类似 YouTube 的播放器查看视频记录。录制的视频会话与有用的元数据相结合，使您可以通过打开的应用程序、访问的网站、键入的单词等进行搜索。 管理基础架构中用户的访问权限。借助 Ekran System 的特权访问管理(PAM)，您可以通过精细管理所有特权和普通用户的权限来保护对关键制造数据和系统的访问。Ekran System 还可以帮助您实现公司密码管理的自动化和安全。 借助双因素身份验证(2FA)验证用户身份，确保未经授权的用户无法访问敏感数据。此外， Ekran System 中的辅助身份验证功能可以帮助您识别共享帐户的用户，从而提高他们的安全性和责任感。 管理 USB 设备。您可以使用 Ekran System 的USB 设备管理功能来监视和控制 USB 设备。您还可以将系统配置为自动阻止插入受保护端点的所有或指定设备。 通过根据访问的网站、键入的按键和执行的命令等多个参数配置警报，及时检测并响应事件。触发警报时，您的网络安全团队会收到有关可疑事件的通知，并可以选择停止活动应用程序、阻止用户会话或向用户发送警告消息。系统也可以设置为自动响应。 Ekran System 中的事件响应还通过基于人工智能的用户和实体行为分析模块得到增强。UEBA 自动检测并通知偏离基线行为的可疑用户活动。 如果发生了事件，请进行调查。Ekran System 中的一组可自定义报告允许根据目的以各种格式提取有关用户活动的信息。您还可以以独立的安全文件格式完整或部分导出记录的用户会话，以进行调查和取证分析。 除了防止内部威胁之外，Ekran System 还可以帮助您的组织确保遵守许多网络安全标准、法律和法规的要求，例如 GDPR、NIST 800-53 、 SOX 、 PCI DSS、ISO / IEC 27001等。 结论 制造业是2021年受攻击最严重的行业，全球制造业企业都在呼吁有效的网络安全保护。现代生产部门的面积扩大导致可见性差、脆弱性和风险增加。 为了保护知识产权并防止内部威胁造成不良的财务和声誉后果，请考虑将本博客文章中的措施纳入您公司的内部威胁保护计划中。

在八月的最初的几周内，ReversingLabs 研究团队发现了一个代号为 "VMConnect "的恶意供应链行动。这一恶意的攻击活动涉及到通过 Python 软件包索引（PyPI）分发的约 24 个恶意 Python 软件包，PyPI 是一个广泛使用的 Python 软件开源库。 这些欺骗性的软件包被巧妙地伪装成著名的开源 Python 实用程序，其中包括 vConnector（pyVmomi VMware vSphere 绑定的封装模块）、eth-tester（用于测试基于以太坊的应用程序的工具包）和数据库（为各种数据库系统提供异步支持的工具）。在调查中，研究人员已经注意到，这一攻击活动的实施者正在不遗余力地将自己的攻击工具伪装的更加的合法。 他们花时间建立了 GitHub 存储库，并使用了看起来完全合法的项目描述，其中甚至还加入了真实的源代码。在最新的发现中，该安全团队还发现了几个新的软件包，每个软件包都还有自己的下载统计数据。其中，"tablediter "已获得了 736 次下载，"request-plus "有 43 次下载，而 "requestspro "则有 341 次下载。 在最近发现的这些软件包中，第一个似乎伪装成了表格编辑工具。与此同时，另外的两个软件包则伪装成了目前正在广泛使用的 "requests "Python 库的合法版本，该库通常用于发出 HTTP 请求。ReversingLabs 无法确定该攻击活动的来源，但一些分析师则更有信心，他们认为该恶意软件是 Labyrinth Chollima 所为，而 Labyrinth Chollima 则是臭名昭著的拉扎罗斯集团（Lazarus Group）的一个子集团，该集团则是目前朝鲜国家支持的威胁实体。 此外，JPCERT/CC（一个受人尊敬的网络安全组织）将这次攻击与拉扎罗斯集团的另一个子公司 DangerousPassword 联系了起来。考虑到这些原因以及在 VMConnect 活动中发现的软件包与 JPCERT/CC 研究中描述的软件包之间惊人的代码相似性，这也强烈的暗示这两次的攻击是由同一个威胁行为体所为。 什么是供应链攻击？ 供应链攻击是一种常用的网络攻击策略，主要是由于在软件的供应链中存在了漏洞。供应链是由参与产品生产和销售的个人、公司、资源、流程和技术组成的错综复杂的网络。这一链条涵盖了从供应商向制造商运送原材料，直至将产品交付给最终用户的所有环节。 网络攻击者利用企业通常对第三方供应商的信任，瞄准供应链中的薄弱环节，大大增加了成功的机会。这些攻击是间接攻击类型的一个子集，在这种攻击中，威胁攻击者会利用受信任的实体来渗透其主要目标。

研究人员发现谷歌、Cloudflare等知名网站的网页HTML源码中都以明文形式保存密码，恶意扩展可从中提取明文密码。威斯康星大学麦迪逊分校研究人员在Chrome应用商店上传了恶意扩展PoC，成功从网站源码中窃取明文密码。 问题产生的根源 由于Chrome扩展和网站元素之间缺乏安全边界，浏览器扩展对网站源码中的数据具有无限制的访问权限，因此有机会从中提取任意内容。此外，Chrome浏览器扩展可能滥用DOM API直接提取用户输入的值，绕过网站使用的混淆技术来保护用户敏感输入。 谷歌Chrome引入的Manifest V3协议被许多浏览器采用，限制了API滥用，防止浏览器扩展提取远程保存的代码，防止使用eval来实现任意代码执行。研究人员分析发现Manifest V3并未在扩展和web页面之间引入安全边界。 图 扩展和网站之间的安全边界 上传PoC到Chrome扩展商店 为测试谷歌的Chrome扩展商店审查过程，研究人员创建了一个可以发起密码窃取攻击的Chrome扩展，并将该扩展上传到平台。该扩展的功能是一个基于GPT的助手，可以： · 获取用户登录页面的HTML源码； · 滥用CSS选择器来选择目标输入字段，使用.value函数提取用户输入； · 通过元素替换使用不安全的密码字段来替换基于JS的混淆字段； 图 提取字段内的代码（左）和执行元素替换（右） 该扩展并不包含明显的恶意代码，因此可以绕过静态检测，并且不会从外部源提取代码，所以是支持Manifest V3的。因此，该扩展通过了审查，并被应用商店上架。 漏洞利用 随后的实验数据发现，前1万个网站中有1100个在HTML DOM中明文保存了用户密码。其他7300个网站也易受到DOM API访问和用户数据直接提取攻击。 图 受影响的网站 一些知名网站缺乏安全保护的网站包括： · gmail.com – HTML源码中明文保存密码 · cloudflare.com –HTML源码中明文保存密码 · facebook.com – 通过DOM API提取用户输入 · citibank.com –通过DOM API提取用户输入 · irs.gov – 网页源码中明文保存SSNs · capitalone.com –网页源码中明文保存SSNs · usenix.org –网页源码中明文保存SSNs · amazon.com – 页面源码明文保存信用卡信息和邮政编码 图 Gmail和Facebook也受到用户输入提取攻击影响 研究发现有190个扩展可以直接访问密码字段，并保存了字段的内容，表明有开发者可能已经利用了该安全漏洞。 厂商回应 Amazon称，客户安全非常重要，将采取措施对用户输入进行保护，输入亚马逊网站的用户信息是安全的。此外，鼓励浏览器和扩展开发者使用亚马逊提供的服务采用安全最佳实践来保护用户数据。谷歌发言人称将开始调查这一问题。但Chrome扩展的安全问答并不认为访问密码字段是安全问题。 论文下载地址：https://arxiv.org/abs/2308.16321

新学年来临，家长们又遇到了一个熟悉的头疼问题：孩子们的网络安全问题。在这篇文章中，我们将讨论如何保护孩子的电子设备免受网络威胁。 新学年伊始，许多家长又回到了传统的日常生活中：早上送孩子上学，晚上辅导孩子做作业。然而，这种有序的生活正被新技术所破坏，这些新技术正在改写数字卫生的规则。和以往一样，首先要处理这些问题的是父母。 在本文中，我们解释了在新学年，家长应该首先考虑哪些网络威胁。让我们从基础开始，从硬件开始——也就是说，保护今天的学生不能（或不愿）离开的“电子设备”。 智能监控设备 十几年前，父母唯一能追踪到我们逃课的方法就是查看考勤表。如今，父母在某种意义上来说变得更轻松了，他们可以使用智能设备密切地关注孩子的一举一动。即使是很小的孩子也可以用婴儿监视器甚至洋娃娃来照看。为了监督孩子的出勤率，父母会给孩子提供智能手表和其他可穿戴追踪器。 所有这些设备都有共同的安全问题。首先，在急于将产品推向市场的过程中，开发人员往往没有测试它们的漏洞。其次，许多这些新设备都有不寻常的架构。这可能意味着要么没有针对它们的反病毒软件，要么没有可用的接口来放置安全解决方案。 这为黑客留下了可乘之机，使他们能够连接到智能手表上，监视佩戴者的行为，或者下载木马来窃取有价值的数据。 2022年，央视315晚会就曾曝光低配儿童智能手表存在巨大的安全隐患，甚至成为“行走的窃窥器”。各种APP安装后，无需用户授权就可以拿走定位、通讯录、麦克风、摄像头等多种敏感权限，这也就意味着它们能够轻易获取孩子的位置、人脸图像、录音等隐私信息。 智能学习设备 随着向数字教学辅助设备的过渡，家长们面临着为孩子购买哪种设备的问题。无论是手机，还是平板电脑，这些移动设备在提供丰富资源的同时，也进一步扩大了供给面。 常见的移动设备安全风险包括以下几个方面： · 恶意应用程序：学习设备中不免要安装各种应用程序。而恶意软件可以伪装成各种热门游戏、安全补丁、实用工具等应用程序，让用户在不知不觉中下载到移动设备上，以便网络犯罪分子发起凭据窃取、键盘记录、远程访问木马等攻击； · 设备自身漏洞：无论是Android还是iOS，各个组件或操作系统中的漏洞都会对数据安全性造成严重威胁。此外，除了安全漏洞外，这些设备的“弱”安全设置也是网络犯罪分子的潜在攻击目标； · 网络钓鱼攻击：移动设备并不像传统电脑那样采取了严格的防范措施，且学生往往缺乏网络安全意识，这也增加了钓鱼攻击成功的可能性； · 设备被盗或丢失：如果移动设备缺乏锁屏密码、使用弱密码或使用相同密码，将会增加被盗或丢失的移动设备信息泄漏的风险。 语音助手 随着电子技术的进步，越来越多的家庭拥有了电子语音助手或智能音箱。它可以与用户进行语音交互，只需一句话，就可以提供丰富的有声读物、视频内容，查询出行信息，帮助进行单位换算。 国内比较常见的电子语音助手有siri、小E，电子音箱有“小爱同学”、“小度”和“天猫精灵”。这类语音交互的产品对老人和儿童十分友好，越来越多的儿童开始使用这类智能交互产品，甚至有家长借助智能音箱辅导孩子写作业。 不过，它们在方便大家生活的同时，也带来了意想不到的安全隐患。以下是攻击者利用语音助手的主要方式： 在音频中暗藏指令 针对机器学习和人工智能系统的攻击中，有一类是通过修改输入（视觉系统改图像，声音系统改音频）来让机器将之理解成完全不同的另一个东西。2018年，加州大学伯克利分校的Carlini博士在研究中采用了这种技术，仅改动了0.1%的语音音频，就将转录出来的文字变成了完全不同的另一句话。该技术甚至能在音乐中隐藏指令。目前，该技术还只能应用在严格控制的环境中，但发展成通用攻击也是可行的。 海豚攻击（Dolphin Attack） 早在2017年，浙江大学智能系统安全实验室的徐文渊教授团队发现了一种名为“海豚攻击”的方式：通过超声波发射装置，可以“无声”地操控语音助手。在实验中，团队成功攻击了谷歌、亚马逊、微软、苹果、三星、华为等品牌的多个语音助手产品，谷歌的Google Assistant、苹果的Siri、亚马逊的Alexa、三星的S Voice、微软的Cortana以及华为的HiVoice无一“幸免”。 窃听 即便没有采取任何操作，语音助理也总在窃听潜在指令。这些设备从设计上就是要随时监听周围环境才能及时捕获用户的关键字，然后开始收集数据并传输到云端，经运算分析后再采取相应操作。所以，语音助理本来就是放在用户家里的“窃听器”。 除了恶意攻击，此类设备还会意外暴露用户隐私。在夫妻私密对话被亚马逊Echo录下的事件中，该设备误听了3个指令，或者说误将他俩对话中的三句当成了指令，他们的交谈就被录下并发给了朋友。 在设备间跳转 攻击者通常会通过路由器或不安全的无线网络侵入用户家庭。语音助理无疑又为他们增添了另一个攻击切入点。攻击者可以利用电视机甚至街上声音巨大的车载收音机来向语音助理发号施令。 免费Wi-Fi热点 如今，很多亲子冲突都源于孩子上网时间过长或访问不当网站。最常见的控制方法是在家长控制应用程序的帮助下限制屏幕时间和屏幕访问。但一些家长认为，仅仅在互联网范围内实施一般限制就足够了：当付费数据流量额度用完时，就不能再访问了。 但这只会鼓励孩子们寻找免费访问的机会。例如，来自朋友手机的Wi-Fi热点，或者附近咖啡馆无需密码的免费Wi-Fi等。不用说，偶然发现一个假的接入点并沦为受害者是很容易的。 免费wifi的三大隐患： · 商家架设的公共WiFi没有做基本的上网记录功能，无法实现实名上网，一旦发生网络犯罪，无法查到作案人，只能查到WiFi的提供者； · 商家密码过于简单，也没有关闭各类管理端口，一旦有人进入主路由器，篡改DSN服务器信息等，劫持路由器； · 免费WiFi铺天盖地，市民很难分辨那个是不法分子的，如果使用不慎，只要几分钟就能够窃取手机上的个人信息和密码，包括网银密码、炒股账户密码、信用卡密码等。 安全返校贴士 在返校之前，提醒您的孩子注意以下几个网络安全最佳实践，以确保他们在网上度过一个安全的学年。 1. 跟踪移动设备 这听起来很明显，但要告诉你的孩子时刻盯着他们的电子设备的重要性。丢失的手机和笔记本电脑不仅更换费用昂贵，而且还将泄露其中包含的宝贵的个人身份信息（PII）。用唯一的、难以猜测的密码保护所有设备。更好的是，启用生物识别密码，比如指纹或面部识别。这些是最难破解的密码，可以保护丢失或被盗设备内的信息安全。 2. 切勿共享密码 精打细算的学生可能会通过共享各种平台的密码来节省流媒体的费用。提醒您的孩子这样做的危险。与值得信任的好朋友分享密码似乎不像是一种网络威胁，但如果他们把密码分享给另一个可能不那么值得信任的人，那么你的个人身份信息可能就危险了。 一旦网络犯罪分子有了你的流媒体服务密码，他们可能会试图用它来侵入其他敏感的在线账户。犯罪分子希望人们在不同的账户上重复使用相同的密码。所以，确保你的孩子永远把他们的密码留给自己，每个账户都有唯一的密码。如果他们很难记住几十个密码，那就给他们注册一个可以安全存储密码的密码管理器。 3. 不要在社交媒体上过度曝光隐私 走在任何一个城市或郊区的街道上，你很可能会看到至少一个00后在拍摄自己的日常，然后分享到社交媒体上。根据一项调查，71%的人每天在社交媒体上花费三个小时或更长时间。当孩子们开始发布照片或详细信息，比如他们在哪里上学，在哪里进行体育锻炼，以及在家庭住址上做地理标记时，这就为身份欺诈或跟踪打开了方便之门。 鼓励你的孩子保留一些个人细节，尤其是他们的全名、完整的生日、地址和他们上学的地方。对于他们的社交媒体账号，建议使用昵称，并省略生日。此外，最好的做法是将社交媒体账户设置为私密。 4. 谨防网络钓鱼 几乎每个有电子邮件地址、社交媒体账户或手机的人都会遇到网络钓鱼。网络犯罪分子会冒充企业、权威人物或陷入困境的人，从毫无戒心的目标那里获取经济利益。虽然通过仔细阅读在线通信，一些成年人通常可以辨别出网络钓鱼者，但那些匆忙浏览信息而没有注意到这些迹象的青少年，可能会落入网络钓鱼者的圈套，并泄露自己宝贵的PII。 遵循以下原则，以帮助你的孩子避免落入网络钓鱼骗局： · 永远不要和别人分享你的密码。 · 永远不要写下你的社会安全号码或路由号码，也不要通过电子邮件分享。 · 小心那些会激发强烈情绪的电子邮件，比如兴奋、愤怒、压力或悲伤，以及需要“紧急”回复的邮件。 · 小心有错别字、语法错误或书写不连贯的信息（这是人工智能编写的信息的特征）。 5. 了解并提防社会工程 社会工程类似于网络钓鱼，网络犯罪分子会从社交媒体上获取有价值的个人信息，并用它在其他地方冒充目标任务或获得经济利益。社会工程人员会仔细阅读目标人物的资料，并根据目标的兴趣和背景专门制造骗局。例如，如果他们看到一个人非常喜欢狗，他们可能会编造一个狗救援筹款活动来窃取目标的信用卡信息。 重要的是要提醒你的孩子，在网上与陌生人打交道时，最安全的做法是抱着极大的怀疑态度。如果他们在网上看到的故事真的牵动了他们的心弦，他们应该考虑研究一下，并为做类似工作的知名组织捐款。 6. 安全浏览 在寻找免费节目、电影、视频游戏和盗版软件的过程中，学生们很可能会登录至少一个有风险的网站。从一个有风险的网站下载免费媒体到一个设备上可能很快就会付出代价，因为恶意软件通常潜伏在文件中。一旦恶意软件感染了一台设备，它就可以劫持设备的计算能力，以供网络犯罪分子进行其他活动，或者恶意软件可以记录键盘输入并窃取密码和其他敏感信息。 7. 远离不安全的公共Wi-Fi 宿舍、大学图书馆、校园咖啡馆和教学楼都可能有自己的Wi-Fi网络。虽然学校网络可能包含一些针对外部网络罪犯的保护措施，但你与数百或数千人共享的网络很容易受到数字窃听。 为了保护联网设备及其存储的重要信息，当你不能100%确定Wi-Fi的安全性时，建议连接到虚拟专用网（VPN）。VPN连接起来又快又方便，而且不会减慢你的设备速度。

近日谷歌应用程序商店Google Play上惊现两个新的安卓恶意软件家族：“CherryBlos”和“FakeTrade”，它们旨在窃取加密货币凭据和资金，或者从事诈骗活动。 趋势科技公司发现了这些新的恶意软件种类，它发现两者使用相同的网络基础设施和证书，这表明它们是由同一伙威胁分子创建的。 恶意应用程序使用各种分发渠道来传播，包括社交媒体、网络钓鱼网站以及安卓官方应用程序商店Google Play上的欺诈性购物应用程序。 CherryBlos恶意软件 CherryBlos恶意软件于2023年4月首次被发现肆意分发，以APK（安卓软件包）文件的形式在Telegram、Twitter和YouTube上推广，伪装成了人工智能工具或加密货币挖矿软件。 图1.推广CherryBlos投放应用程序的YouTube视频（图片来源：趋势科技） 恶意APK的名称为GPTalk、Happy Miner、Robot999和SynthNet，分别从拥有匹配域名的以下网站下载： • chatgptc[.]io • Happyminer[.]com • robot999[.]net • synthne[.]ai 一个恶意的Synthnet应用程序也被上传到了Google Play商店，在被举报并被删除之前，它已被下载了大约1000次。 CherryBlos是一个加密货币窃取器，滥用Accessibility（辅助功能）服务权限从C2服务器获取两个配置文件，自动批准额外的权限，并防止用户杀死被植入木马的应用程序。 CherryBlos使用一系列策略来窃取加密货币凭据和资产，主要策略是加载虚假的用户界面，模仿官方应用程序来钓鱼获取凭据。 然而可以启用一项比较值得关注的功能，该功能使用OCR（光学字符识别）从存储在设备上的图像和照片中提取文本。 图2. 对图像执行OCR的恶意软件代码（图片来源：趋势科技） 比如说，在创建新的加密货币钱包时，用户会获得一个由12个或更多单词组成的恢复短语/密码，可用于恢复计算机上的钱包。 在显示这些单词后，系统提示用户记下这些单词，并将其存储在妥善的地方，因为任何拥有这些短语的人都可以使用它将你的加密货币钱包添加到设备中，并访问其中的资金。 虽然不建议用拍照把恢复短语拍下来，但人们还是会这么做，把照片保存在电脑和移动设备上。 然而，如果这项恶意软件功能被启用，它可能会对图像进行OCR处理，以提取恢复短语，从而允许不法分子窃取钱包。 然后，收集到的数据定期发送回威胁分子控制的服务器，如下所示。 图3. CherryBlos将受害者的助记词发送到C2（图片来源：趋势科技） 该恶意软件还充当了币安应用程序的剪贴板劫持器，通过自动将加密货币收件人的地址换成攻击者控制的地址，而原始地址对这个用户来说似乎没有什么变化。 这种行为让威胁分子得以将汇给用户的付款转到他们自己的钱包，实际上窃取了转移的资金。 FakeTrade活动 趋势科技的分析师发现了这与Google Play上的一起活动有关联；在这起活动中，31个诈骗应用程序统称为“FakeTrade”，它们使用与CherryBlos应用程序相同的C2网络基础设施和证书。 这些应用程序使用购物主题或赚钱诱饵以诱骗用户观看广告、同意付费订阅，或者充值应用程序内钱包，并且不允许他们兑现虚拟奖励。 这些应用程序使用一种类似的界面，主要针对马来西亚、越南、印度尼西亚、菲律宾、乌干达和墨西哥的用户，其中大多数应用程序是在2021年至2022年期间上传到Google Play的。 图4. 其中一个FakeTrade应用程序被下载了10000次（图片来源：趋势科技） 谷歌告诉外媒，这个被举报的恶意软件已经从Google Play中删除。 谷歌表示：“我们认真对待针对应用程序投诉的安全和隐私问题，如果我们发现某个应用程序违反了我们的政策，就会采取适当的行动。” 然而，由于成千上万的用户已经下载了这些应用程序，因此可能需要在受感染的设备上进行手动清理。 在不断发展变化的网络威胁环境中，恶意软件编写者不断寻找新的方法来引诱受害者，并窃取敏感数据，这不足为奇。 去年谷歌开始采取措施，通过完全阻止侧加载的应用程序使用辅助功能，阻止恶意安卓应用程序滥用辅助功能API从被感染设备上秘密收集信息。 但是窃取器和剪贴器只是众多恶意软件中的一种（还有间谍软件和跟踪软件等），它们被用来跟踪目标，并收集感兴趣的信息，对个人隐私和安全构成了严重威胁。 本周发布的一项新研究发现，至少从2016年开始，一款名为SpyHide的监控应用程序就在悄悄收集全球近6万台安卓设备的私人电话数据。 一位名为maia arson crimew的安全研究人员说：“一些用户（恶意软件运营商）将多个设备连接到其账户上，有些人拥有多达30个设备，他们在多年的时间里一直在监视其生活中的每个人。” 因此，用户在下载来历不明的应用程序时要保持警惕，核实开发者的信息，并仔细审查应用程序评论，以降低潜在风险。 事实上，没有什么可以阻止威胁分子在Play Store上创建虚假的开发者账户来分发恶意软件，这已引起了谷歌的注意。 本月早些时候，这家搜索巨头宣布，它将要求所有以组织的身份新注册的开发者账户在提交应用程序之前提供邓白氏公司（Dun & Bradstreet）分配的有效D-U-N-S号码，以确立用户信任。这个变化将于2023年8月31日起生效。

继 Discord 因数据泄露而暂时停止运营之后，最流行的语言学习应用程序 Duolingo 也面临着数据泄露的问题。用户 @vx-underground在 X 上发布的帖子（此前曾在推特上发布）称，一名威胁行为者窃取了超过 260 万 Duolingo 用户的数据，并将其发布在了最新版的黑客论坛 "Breached "上。BleepingComputer 在其最近的帖子中已经证实了这一漏洞。 很显然，黑客是通过操纵 Duolingo API 中现有的漏洞来收集到这些数据的，他们只需向 API 发送一封有效的电子邮件，就能获取用户的个人数据、联系方式、地址等信息。 黑客通过向存在漏洞的 API 发送数百万个电子邮件地址，则会进一步成功找到了 Duolingo 的活跃用户。然后，这些电子邮件 ID就会被用来创建一个包含公开的以及非公开信息的数据集。另一种方法是向 API 提供用户名，然后获取包含敏感用户信息的 JSON 数据。 不过，这已经不是第一次在网上出现这种信息了。今年 1 月，Falcon Feeds 通过在推特上发布帖子提高了人们对这一问题的认识和理解。在 Breached 黑客论坛的上一次迭代中，有人曾经以 1,500 美元的价格出售用户数据库。数据中泄露了用户大量的个人信息，其中就包括了电子邮件地址、电话号码、照片、隐私设置等等。 早些时候，Duolingo 向 TheRecord 证实了此次数据泄露事件的发生，并一直保证正在调查此事。不过，他们并未提及数据中包含用户的私人信息。 这个问题最令人担忧的地方在于，尽管 Duolingo 在一月份就已经意识到了这个问题，但被攻击利用的 API 至今仍然可以在互联网上进行公开访问。不过令人遗憾的是，这种事情经常会发生。由于大多数被攻击的数据涉及的都是之前已经存在的信息，并不是新的用户信息数据集，因此企业往往会直接忽略它。 在 Duolingo 的案例中，外泄的数据还涉及大量的敏感数据，而这些敏感数据目前还并未公开。虽然 Duolingo 尚未解决这一问题，但在这种情况下，用户最多只能修改登录凭据或者删除 Duolingo 账户。

LOLBAS文件列表是Windows中存在的合法二进制文件和脚本，可以被恶意利用。该文件列表很快将包括微软的Outlook电子邮件客户软件和Access数据库管理系统的主要可执行文件。 Microsoft Publisher应用程序的主要可执行文件已经被确认可以从远程服务器下载攻击载荷。 LOLBAS的全称是寄生攻击的二进制文件和脚本，通常被描述为是Windows操作系统原生或从微软下载的已签名文件。 它们是合法的工具，黑客可以在实施利用后活动的过程中滥用它们，以下载及/或运行攻击载荷，而不触发防御机制。 据最近的研究显示，连没有经过微软签名的可执行文件也可以用于攻击，比如侦察。 Microsoft Office二进制文件 LOLBAS项目目前列出了150多个与Windows相关的二进制文件、库和脚本，它们可以帮助攻击者执行或下载恶意文件，或者绕过已批准的程序列表。 Nir Chako是提供自动化安全验证解决方案的Pentera公司的安全研究员，他最近开始通过查看Microsoft Office套件中的可执行文件来发现新的LOLBAS文件。 图1. Microsoft Office可执行文件（图片来源：Pentera） 他手动测试了所有这些程序，结果找到了三个程序：MsoHtmEd.exe、MSPub.exe和ProtocolHandler.exe，它们可以用作第三方文件的下载程序，因此符合LOLBAS的标准。 研究人员分享的一段视频显示，MsoHtmEd通过GET请求联系上测试HTTP服务器，表明试图下载测试文件。 Chako后来在研究中发现MsoHtmEd还可以用来执行文件。 图2 这名研究人员受到这一初步成功的鼓舞，并且已经了知道手动查找适当文件的算法，随后开发了一个脚本来自动化验证过程，并更快地覆盖数量更多的可执行文件。 他在近日的一篇博文中解释了添加到脚本中的改进，以便能够列出Windows中的二进制文件，并测试它们超出预期设计的下载功能。 Pentera的这位研究人员共发现了11个具有下载和执行功能的新文件，这些功能符合LOLBAS项目的原则。 这位研究人员表示，最突出的是MSPub.exe、Outlook.exe和MSAccess.exe，攻击者或渗透测试人员可以利用它们下载第三方文件。 虽然MSPub已经被证实可以从远程服务器下载任意的攻击载荷，但另外两个文件还没有被添加到LOLBAS列表中。Chako表示，由于技术错误，他们没有被包括在内。 Chako说：“我不小心提交了3个合并请求，提交的代码都一样，所以我需要有条不紊地再次提交，这样它们才能正式被加入到项目中。要不是我这方面的笔误，它们将成为项目的一部分。” 新的LOLBAS来源 除了微软的二进制文件外，Chako还发现来自其他开发者的文件符合LOLBAS标准，其中一个例子就是用于Python开发的流行的PyCharm套件。 图3. PyCharm安装文件夹中已签名的可执行文件（图片来源：Pentera） PyCharm安装文件夹包含elevator.exe（由JetBrains签名和验证），它可以以提升的权限执行任意文件。 PyCharm目录中的另一个文件是WinProcessListHelper.exe, Chako说它可以通过枚举系统上运行的所有进程来实现侦察目的。 他所举的另一个LOLBAS侦察工具的例子是mkpasswd.exe，它是Git安装文件夹的一部分，可以提供用户及其安全标识符（SID）的整份列表。 Chako花了两周的时间来设计一种正确的方法以发现新的LOLBAS文件，结果发现了三个文件。 在理解了这个概念之后，他又花了一周的时间来创建自动化发现的工具。他的付出得到了回报，因为这些脚本使他能够在大约5个小时内浏览遍“整个微软二进制文件池”。 不过，回报更大。Chako告诉我们，他开发的工具还可以在其他平台上运行（比如Linux或自定义云虚拟机），无论是在当前状态还是经过微小修改，以便探索新的LOLBAS领域。 然而，了解LOLBAS威胁可以帮助防御人员定义适当的方法和机制来预防或减轻网络攻击。 Pentera发表了一篇论文（https://pentera.io/resources/whitepapers/the-lolbas-odyssey-finding-new-lolbas-and-how-you-can-too/），详细介绍了研究人员、红队队员和防御人员如何能找到新的LOLBAS文件。

制造业日益数字化和互联性从根本上改变了该行业的运作方式。随着自动化、远程诊断和互联网连接的发展，制造商面临着越来越多的网络安全挑战，包括内部风险。 内部威胁预防值得特别关注，因为隐秘的犯罪者会从信任的地方绕过网络安全，同时窃取商业机密、破坏制造过程并通过远程访问损坏设备。 阅读这篇博文，了解制造业的网络安全细节，包括该行业面临的内部人士类型。本文展示了内部攻击的示例，并概述了制造业内部威胁管理计划的七个最佳功能，以保护您的业务。 制造业内部威胁的增加 制造业最近成为受攻击最严重的行业，占所有行业所有网络攻击的 23%。 在所有网络威胁中，内部人员需要特别关注，因为他们的活动极难检测。这解释了过去两年内部威胁事件增加了 44% 。 制造业的网络安全状况如何？ 我们提到的统计数据支持不断增强制造基础设施网络安全的必要性，特别是考虑到该行业的具体情况。 由于以下因素，制造业网络犯罪分子的目标范围有所扩大： OT 和 IIoT 的融合。工业物联网(IIoT)也称为工业 4.0，涉及使用智能传感器、执行器、软件和其他技术来增强制造流程。反过来，运营技术(OT) 构成用于控制和监控生产设施中的物理设备、流程和事件的硬件和软件。 IIoT、OT 和 IT 系统的融合将制造流程暴露在互联网上。由于 OT 和 IIoT 中的安全措施和协议仍然不够完善，这为网络犯罪分子提供了更多的攻击可能性。考虑到到 2024 年，制造业将占所有物联网连接的 70% 以上，因此其网络安全必须成为未来几年的首要任务。 增加远程办公活动。制造和工业工程领域 47% 的员工在家工作，这主要是为了应对 COVID-19 大流行。 在安全方面，远程办公者更难控制和监控。远程工作人员还可以从不受保护的个人设备或通过公共网络连接到制造 IT 系统。 供应链相互作用。供应链是网络威胁和内部活动的另一个来源。据 NIST 称，高达 80% 的网络攻击是由于供应链安全问题而引发的。 即使单个实体受到影响，与合作伙伴、供应商、供应商和其他第三方的互连也可能会损害其他供应链成员的安全，并导致运营中断。COVID-19 大流行表明，制造业对于供应链中断是多么脆弱。 综上所述，制造业目标领域的扩大导致： 缺乏可见性。识别参与生产过程的所有设备和网络连接可能具有挑战性。这就产生了选择正确的网络安全控制和威胁检测机制的问题。 更多漏洞。缺乏可见性和控制导致更多资产容易受到网络威胁。不受保护的操作技术、工业物联网设备、远程工作连接和众多供应链实体都可能被黑客和恶意内部人员用作切入点。 风险加大。所有上述因素都会导致网络安全事件发生的可能性更高，并给制造商带来其他不良后果。后果也会被放大——一次安全事件就可能危及宝贵的知识产权甚至人的生命。 有哪些风险？ 为了更好地了解其中的利害关系，让我们仔细看看制造业中内幕活动的后果： 运营中断。恶意行为者可能会破坏生产并导致重大制造过程中断和系统故障。 财务损失。恶意内部人员引发的事件常常与收入损失和合规罚款同时发生。业务运营中断还可能因违反与供应链合作伙伴的服务水平协议条款而导致额外罚款。 名誉受损。数据泄露通常会导致品牌形象受损，并导致合作伙伴、客户和投资者声誉受损。 危害人体健康。危险生产设施的网络安全事件可能会导致设备故障，从而导致人员受伤甚至人员伤亡。著名的震网病毒对伊朗铀浓缩工厂的攻击几乎导致了一场核灾难。 关键数据丢失。有权访问敏感数据的内部人员可能会进行欺诈或数据盗窃，或者可能会损坏重要信息。 制造业中哪些数据面临风险？ 制造商拥有来自各种内部和外部来源、制造和生产技术以及供应商、供应商、合作伙伴和客户的生态系统的大量敏感数据。 也就是说，以下是制造业中风险最大的数据类型： 财务数据。有关制造公司的所有财务信息都可能成为公司竞争对手的兴趣点。财务数据可以帮助竞争对手与公司的合作伙伴和客户达成更好的交易。 知识产权（IP）。知识产权盗窃是行业中最大的网络安全威胁之一，制造业中的大多数数据泄露都与知识产权有关。制造公司的知识产权有很多方面，包括研发、工程、制造运营和商业秘密等信息。 客户和员工数据。内部人士可以通过向竞争对手出售有价值的客户资料和交易数据来帮助竞争对手从制造公司窃取业务。敏感的客户和员工数据也可能受到损害，从而损害公司的声誉，并使公司向监管数据隐私的机构支付巨额罚款。 制造业有哪些业内人士？ 现在我们知道哪些数据必须受到最大程度的保护，让我们尝试找出必须保护这些数据免受组织中哪些人的影响。制造公司可以考虑以下类型的内部人员： 无意的内部人员是指通过忽视建议的网络安全措施、滥用数据和安装未经批准的应用程序而无意中损害组织的员工。根据波奈蒙研究所 (Ponemon Institute) 发布的《2022 年内部威胁成本全球报告》，内部人员疏忽造成的事件占所有内部人员相关事件的 56% 。 恶意内部人员是指利用对组织资产的授权访问权限来执行恶意活动以谋取个人利益的员工。这些内部人员很难识别，因为他们充当正式员工并执行普通工作任务和恶意活动。 内部特工是外部各方雇佣的恶意内部人员，对公司进行工业间谍活动、窃取数据或破坏关键系统和信息。内部特工可能会被说服进行贿赂或勒索合作。 第三方是可以访问公司 IT 基础设施的合作伙伴、供应商、供应商或其他供应链实体。他们可能会通过忽视安全措施、滥用数据或故意执行恶意操作来损害公司的数据或系统。 心怀不满的员工是前任或离职员工，他们可能想通过删除数据或对 IT 系统或制造设备造成损害来报复雇主。 制造企业必须遵守哪些 IT 法规？ 政府和国际网络安全组织制定标准、法律和法规，以保护组织及其客户免受网络安全事件的影响。 为了保护敏感数据并避免因违规而被处以巨额罚款，制造业公司遵守行业和当地的网络安全合规要求。最常见的是以下几种： 虽然满足并持续监控这些标准、法律和法规的要求很重要，但仅仅遵守是不够的。确保制造组织可靠的网络安全需要您管理所有安全风险并采用相应的网络安全解决方案。 现在让我们考虑制造业中的一些网络安全事件，以说明此类事件通常是如何发生的。 制造业数据泄露：4 个现实案例 制造企业面临着数据泄露和内部攻击造成的其他后果的巨大风险。尽管如此，以下四个案例完美地说明了制造业内部威胁背后日益增加的危险： 1.通用电气 在这起臭名昭著的内部威胁案件中，一名通用电气 (GE) 工程师窃取了宝贵的专有信息和商业机密长达八年之久，直至被发现。一名恶意员工从 GE 系统中窃取了 8,000 多份机密文件。FBI 的一项调查详细说明，该工程师利用其受信任的地位说服 IT 管理员允许他访问敏感数据，并将这些数据通过电子邮件发送给同谋。 该工程师利用他窃取的知识产权建立了一项新业务，其中包含用于校准发电厂涡轮机的先进计算机模型。一旦 GE 意识到他们输给了一名前雇员，他们就向 FBI 报告了这一事件，最终导致该工程师及其合伙人被定罪，并有义务向 GE 支付 140 万美元。 2. KB Pivdenne KB Pivdenne 是一家具有重要战略意义的设计局，也是乌克兰航天工业的主要企业，确保火箭和航天技术的创造和运营。那里发生的事情是国家级间谍活动的一个例子。调查人员声称，一名 KB Pivdenne 工程师可能向俄罗斯特种部队发送了有关乌克兰导弹系统开发的信息。 作为一级工程师，恶意内部人员可以接触到机密的国家机密。在俄罗斯-乌克兰战争期间，工程师收到了俄罗斯联邦安全局提供合作的消息。第二天，合作者发送了所需的信息。据调查人员称，该内部人士一直定期向 FSB 发送 KB Pivdenne 的进展情况。 3.Georgia-Pacific 纸张制造商 Georgia-Pacific 经历了另一起网络安全事件，这是内部人员导致制造流程中断的一个很好的例子。该公司的前系统管理员在被解雇后想要报仇，并设法造成了价值 110 万美元的损失。 该员工保留了对公司系统的访问权限，并在家中侵入了一台工业计算机。然后，恶意的前工人安装了自己的软件并更改了工业控制系统，导致一系列运营中断并错过了最后期限。 4.特斯拉 2020 年 9 月，内华达州法院指控一名俄罗斯国民串谋故意损坏受保护的计算机。法院确认肇事者试图雇用特斯拉内华达超级工厂的一名员工。威胁行为者及其同伙向特斯拉员工提供了 100 万美元，以通过电子邮件或 USB 驱动器向特斯拉网络“传输恶意软件”，以“从网络中窃取数据”。幸运的是，特斯拉在造成任何损害之前发现了这一事件。 然而，这并不是特斯拉第一次遇到内部威胁。2018 年 6 月，首席执行官埃隆·马斯克（Elon Musk）向全公司范围内的员工发送了一封电子邮件，通知员工公司的一名员工“对特斯拉的运营进行了相当广泛且具有破坏性的破坏”。 随着国家支持的网络犯罪组织在全球范围内煽动混乱，我们可能会看到更多渗透企业的尝试。因此，对新兵进行背景调查并确保足够的内部安全至关重要。

近期勒索软件攻击事件急剧增加，令网络安全界忧心忡忡，这也预示着网络威胁进入了一个新的时代。正如许多报告所描述的那样，攻击者使用了大量的复杂的攻击战术，这也凸显了加强关注和主动防护策略的必要性。 据报道，最近勒索软件的攻击已上升到以前闻所未闻的水平，威胁攻击者正在不断的修改策略，寻找网络的薄弱点。这其中攻击目标就包括了大量的关键基础设施、医疗保健行业甚至政治实体，已经超出了传统行业的范围。此外，攻击者的赎金要求也呈指数级增长，数百万美元的赎金已成为了攻击者的最低的要求。 这些攻击者有很大的能力影响供应链安全并潜入到企业内部，这也表明了当代网络威胁的复杂性。现在，这些威胁是一场规模更大、计划周密的攻击活动的一部分，而不是一些单独的攻击事件。 NCC Group 的网络威胁情报报告提供了有关勒索软件运营商所使用的策略变化的解析。这些报告强调了网络威胁不断变化的本质，以及企业随时掌握局势的必要性。通过对威胁载体、恶意软件系列和缓解技术的全面研究，企业可以有效地提高防御能力。 成功的勒索软件攻击所造成的影响远不止金钱损失，因为数字世界的关系正变得非常的紧密。重要服务的损失、私人信息的泄露和公众信心的下降只是其中几个严重的后果。各组织需要采取多方面的网络安全策略来应对这一问题。 首先，各组织必须在稳固的安全措施方面进行大量投资，如经常更新软件、分析漏洞和进行人员培训。鉴于黑客所使用的策略在不断的变化，主动监控和威胁检测系统已经变得非常重要。此外，通过保持离线备份，这样可以避免数据被加密后被迫交赎金，并确保即使在攻击期间也能恢复数据。 网络安全界内部的合作也一样是至关重要的。共享威胁情报和最佳实践有助于加强集体防御，并且可以先发制人地应对新出现的威胁。政府机构、私营企业和安全研究人员必须通力合作，才能建立起应对网络威胁的统一战线。

谷歌开源首个抗量子的FIDO2安全密钥实现，并加入OpenSK。 FIDO2是Fast IDentity Online（快速身份在线认证）标准的第二个版本，FIDO2 key用于无密码认证以及多因子认证的主要元素。8月15日，谷歌发布了首个开源的抗量子的FIDO2安全密钥实现，使用了ECC/Dilithium混合签名方案，该方案是谷歌与ETH Zurich合作研究，相关论文已发表在Applied Cryptography and Network Security Workshops安全会议上，并获最佳论文奖。 标准的公钥加密是针对传统计算机的攻击来设计的，并不能应对量子攻击。随着量子计算的发展，以及现实可用的量子计算机的加速到来对于传统加密来说非常危险。量子计算机可以更加快速和高效地破解加密密钥，使得政府、企业、研究机构和个人加密的信息不再安全。因此，抗量子的FIDO2的安全密钥实现对于密码系统的安全来说至关重要。 为应对量子计算机的威胁，谷歌研究人员提出一种融合ECC和Dilithium算法的混合签名方案。该方案可以充分利用ECC应对标准攻击的优势，以及Dilithium抗量子攻击的优势。Dilithium是抗量子的签名方案，具有强安全性和很好的性能，NIST已将其纳入后量子密码学标准化提案中。 图 抗量子攻击的方案密钥大小和性能对比 设计安全密钥可用的Dilithium是非常大的挑战。谷歌研究人员开发了基于Rust的实现，只需要20KB内存，同时兼具高性能。目前该混合实现作为谷歌开源安全密钥实现OpenSK的一部分，支持FIDO U2F和FIDO2标准。 谷歌称关于该实现的提案将被FIDO2作为新的标准采纳，并支持主流的web浏览器。 此外，8月初谷歌还在Chrome 116中引入了抗量子的混合加密方案X25519Kyber768，用于加密TLS连接。 该研究论文最早于2022年9月上传到了密码学预印本网站。目前论文已发表在Applied Cryptography and Network Security Workshops安全会议上，并获最佳论文奖。 方案的开源实现参见：https://github.com/google/OpenSK/releases/tag/hybrid-pqc 论文下载地址：https://eprint.iacr.org/2022/1225

我们都不想沦为黑客的受害者，但有时我们不知不觉中做出的决定却又增加了沦为受害者的可能性。有时候，一个小小的错误就可能为黑客打开便利之门，所以知道应该避免什么显得很重要。 以下是让你更容易受到黑客攻击的九个错误。 1. 使用公共Wi-Fi网络 当我们外出在商店、餐馆、咖啡厅和酒店时，有两种方式可以连接到互联网：使用我们的移动数据流量或连接到公共Wi-Fi网络。我们常常不想耗用自己的宝贵数据流量，特别是当我们观看流媒体内容、打视频电话或玩游戏时。因此，公共Wi-Fi成为了似乎更明智的选择。 但是公共Wi-Fi不是很安全，很容易被不法分子利用。比如说，黑客可以拦截你在公共Wi-Fi网络上的连接，查看敏感数据，比如登录凭据或支付信息。此外，黑客可以创建自己的Wi-Fi网络，并将取成看起来像官方免费网络的名称，比如“The Cloud”。当你连接到这种Wi-Fi网络时，可能以为自己在使用无害的网络，殊不知黑客却在查看你在连接时输入的所有信息。 在连接到公共Wi-Fi时最好使用VPN，这样你的所有数据都是经过加密的。请注意，使用免费VPN连接至公共Wi-Fi有风险，因为免费VPN本身并不总是可信的（稍后有详细介绍）。 2. 没有频繁扫描设备 我们中许多人过着忙碌的生活，节奏很快，所以推迟某些事情很自然，包括防病毒扫描。你可能认为避免手动防病毒扫描不会有什么危害，但防病毒软件需要扫描设备查找危险文件，才能保护你。如果不进行这种扫描，恶意软件就会在你不知情的情况下进入设备，并潜伏下来。 如果你可能忘记自己运行防病毒扫描，大多数软件都提供自动每日扫描功能。这将允许软件在后台进行频繁的扫描，无需你的干预。 3.使用免费的VPN或防病毒软件 我们都喜欢免费的东西。但有些东西物有所值，包括防病毒软件和VPN程序。 防病毒软件或VPN程序免费通常有一个或多个原因，因为大多数值得信赖和信誉良好的提供商收取年费或月费。当某项服务不收你一分钱时，它们常常寻找其他盈利途径，比如广告和数据销售。 比如说，一家免费的VPN提供商可能会在其应用程序中散布广告，让使用体验既不和谐又令人沮丧。如果这些广告恰好是广告软件程序的一部分，你可能会面临打开可疑链接或将你的信息泄露给非法分子的风险。此外，如果提供商冒这样的风险来获利，你的个人信息、浏览活动及其他高度敏感的数据可能会被出售给第三方。VPN日志常出现在这些销售的数据中。 除此之外，免费VPN和防病毒提供商通常提供平淡无奇的功能，根本无力保护你免受恶意软件和黑客的攻击。也许你的免费防病毒软件无法识别某些类型的恶意软件，或者你的VPN软件使用一种弱加密。不管是什么样的缺点，它都会将你置于险境。 4. 使用旧软件 就像防病毒扫描一样，我们中许多人都喜欢推迟软件更新，仅仅是由于更新起来很耗时。这可以理解，但是使用旧版本软件可能会给黑客留下种种漏洞。 在软件更新期间，错误和漏洞常常被消除或修补。在安全方面，这堵住了任何漏洞，不然黑客可能利用这些漏洞来访问你的账户或设备。如果你经常避免更新，无论是操作系统还是应用程序，那么沦为代码漏洞被利用的受害者的机会往往会增加。 下次当你试图避免软件更新时，记住这可能对安全完整性所造成的影响。 5. 打开未知链接或附件 你可能打开一个链接后，立即引到一个值得信赖的网站。但不是所有人都这么幸运。许多人不知道，恶意软件可以通过链接和附件来传播，无论是通过电子邮件、社交媒体私信还是类似的途径。许多可疑的链接也会把你引到旨在窃取所输入的任何数据的网络钓鱼网站。比如说，如果你在一个令人信服的网络钓鱼网站上输入登录信息，恶意分子就能准确地看到你的登录信息，然后攻击目标账户。 这就是为什么在打开链接或附件之前，你应该始终验证其合法性和安全性。你可以免费使用很多链接检查网站来扫描URL，如果你也想避开这种感染技术，还应该知道如何发现和避免恶意附件。 6. 使用HTTP网站 在过去，HTTP（超文本传输协议）是用于在互联网上发送数据的标准协议。而现在，HTTPS（超文本传输协议安全版）是一种备受青睐的选择，主要是由于它安全得多。这是由于HTTPS加密数据，从而大大提高数据的安全性。 如果你选择的搜索引擎在网站地址旁边显示两种挂锁图标，这可能与所使用的传输协议有关。显示挂锁已上锁的地址使用HTTPS，而显示挂锁未上锁的地址使用HTTP。如果你想确保传输数据的安全，尽量只使用HTTPS网站。 7. 共享闪存盘 闪存盘不只是用来存储良性文件，这种小巧的硬件还可以用来存储和传播恶意程序。 这就是为什么你应该非常谨慎地对待插入到电脑上的闪存盘。与你不完全信任的人共享闪存盘可能会有风险，使用以前属于别人的闪存盘同样会有风险。最好使用你自己的全新闪存盘，或者用防病毒软件在所使用的任何共享闪存盘上运行扫描。 8. 未使用身份验证层 无论是双因素还是多因素，身份验证都可以为你的登录过程提供有力的补充。无论你是登录社交媒体，还是访问在线银行账户，使用身份验证应用程序或身份验证功能都可以增添额外的安全层，从而使黑客极难成功攻击你。 身份验证要求你验证来自其他设备或账户的单次登录尝试。比如说，你可能需要在智能手机身份验证应用程序上验证登录，才能访问笔记本电脑上的金融账户。或者，在登录Instagram时，你可能需要确认电子邮件登录尝试的真实性。这只需要额外的几秒钟，却关系到是保护还是暴露你的账户。 9. 在可疑网站下载软件和文件 找不到免费下载热门程序的地方？发现很难获得与你的操作系统兼容的应用程序版本？当我们想要安装应用程序或下载文件时，诸如此类的问题常常会把我们引到第三方网站。 然而，第三方网站的背后可能有恶意分子，他们希望通过看似无害的下载来闯入你的设备。也许有人想用击键记录器感染你的设备，或者用充斥你屏幕的广告软件给你造成负担。无论目的是什么，网络犯罪分子都可能通过虚假下载将你作为目标，从而使你和你的数据处于危险之中。可能的话，当你想要安装新东西时，最好坚持选择正规的应用商店和网站。 确保你避免了这些常见的安全陷阱 很容易犯上述任何错误，但这些错误的后果可能很严重。快速检查一下你的设备和互联网安全，确保你正在尽力防止黑客入侵。

据 SentinelOne 的网络安全专家称，一种名为 XLoader 的苹果 macOS 恶意软件的新变种目前已经出现，它会伪装成一个名为 "OfficeNote "的办公自动化应用程序进行攻击。 研究人员迪内希-德瓦多斯（Dinesh Devadoss）和菲尔-斯托克斯（Phil Stokes）在周一发布的一份分析报告中透露，这个新形式的 XLoader 被打包在一个名为 OfficeNote.dmg 的普通苹果磁盘镜像中。并且该应用程序还带有开发者的签名 "MAIT JAKHU (54YDV8NU9C)"。 XLoader 最初被发现于 2020 年，当时被归类为信息窃取程序和键盘记录程序，以恶意软件即服务（MaaS）模式运行。 它模仿了 Formbook 的攻击方式。虽然 XLoader 的 macOS 变种于 2021 年 7 月才出现，当时是以编译的.JAR 文件的 Java 程序形式发布，但其正常的运行受到现代 macOS 安装中 Java 运行时环境缺失的限制。 为了规避这一限制，最新版本的 XLoader 使用了 C 和 Objective C 等编程语言。携带该恶意软件的磁盘镜像文件是在 2023 年 7 月 17 日签署的，苹果公司后来撤销了这一签名。 SentinelOne 报告称，2023 年 7 月在 VirusTotal 上发现了该恶意软件的多个实例，表明这是一个影响范围很大的攻击活动。研究人员还注意到，该恶意软件在犯罪论坛上打出了出租广告，macOS 版本的售价为每月 199 美元或三个月 299 美元。 有趣的是，这一价格比 Windows 版本的 XLoader 更贵，后者的价格为每月 59 美元或三个月 129 美元。 这个恶意程序一旦启动，这个看似无害的 OfficeNote 应用程序就会显示一条错误信息，声称由于缺少一个原始项目而无法被打开。实际上，它已经在后台偷偷安装了一个启动代理，以确保其能够持续运行。 XLoader 的功能主要是收集剪贴板数据和存储在与谷歌浏览器和火狐浏览器等网络浏览器相关目录中的信息。不过，Safari 目前似乎并不受其影响。 此外，该恶意软件还引入了睡眠命令，延迟执行并躲避人工和自动安全措施的检测。 研究人员总结说，XLoader 目前已经对 macOS 用户和企业构成了很大的威胁。 这个伪装成办公生产应用程序的最新迭代版本表明，其攻击目标显然是工作环境中的用户。该恶意软件会试图窃取浏览器和剪贴板的信息，这些机密信息可能会被用于或出售给其他威胁行为者，以进一步进行破坏。

基于深度学习的声波攻击可破解键盘输入，准确率达95% 来自英国的研究人员将深度学习方法应用于键盘输入数据识别，准确率高达95%。 基于深度学习的键盘输入识别方法 研究的第一步是收集目标键盘输入数据，这对于深度学习算法的训练至关重要。数据的收集可以通过键盘附近的麦克风或目标手机中安装的具有麦克风访问权限的应用来获取。此外，还可以通过Zoom视频会议的录屏方式来记录参与者的键盘输入。研究人员对MacBook Pro的36个按键分别按25次，并对每个按键操作进行录音。 图 键盘输入音频信息示例 然后，对音频信息进行处理，识别每个键按压的差异，并进行特殊的数据处理对数据进行放大处理以识别键盘输入。 图 生成的频谱 研究中研究人员使用了 CoAtNet 图像分类器，然后用生成的频谱图像训练CoAtNet。在训练过程中需要实验不同的epoch、学习速率、数据分割参数，以获得最佳的模型准确率。 图 训练CoAtNet使用的参数 在实验中，研究人员使用的是一款使用两年的苹果笔记本电脑键盘、位于目标键盘17cm的iPhone 13 mini设备和zoom会议。 图 测试设置 经过训练，CoANet分类器在智能手机录音和zoom会议录音中可以分别达到95%和93%的准确率。Skype录音的准确率为91.7%。 安全风险 研究中Zoom录音被用于模型训练，预测准确率达到了93%。而zoom应用在工作生活中是非常常用的，因此此类攻击会严重影响目标的数据安全，比如泄露用户密码、讨论的内容、以及其他敏感信息。 与其他对数据率、距离等有特殊攻击限制的侧信道攻击不同，声波攻击利用设备自带的麦克风就可以完成，因此容易收集数据。随着机器学习算法的发展，当机器学习与声波攻击融合时，使得基于声音的侧信道攻击会带来更大的威胁。 缓解措施 研究人员建议用户可以改变键盘输入风格或使用随机密码的方式来缓解此类基于声音的侧信道攻击。其他缓解措施包括使用软件来重新生成键盘输入声音、白噪声、或其他基于软件的键盘输入音频过滤。 研究论文参见：https://arxiv.org/abs/2308.01074

令人惊讶的是，由于生性喜欢啃噬水下互联网电缆，鲨鱼在网络安全界掀起了轰动。事实证明，我们不仅要与陆地上的网络犯罪分子进行较量，还要与生活在海底的牙齿锋利的鲨鱼斗智斗勇。 说真的，虽然这些强大的海洋生物有一个奇怪的习惯：啃噬海底电缆，但它们构成的威胁不如人类来得严重。 鲨鱼与网络安全之间不可思议的联系 海底世界浩瀚无垠，处处都是生物，而鲨鱼作为海洋中的顶级掠食者，备受关注和敬畏。遗憾的是，鲨鱼追寻的猎物对象还包括穿越海底的光缆。 1985年，人们在加那利群岛附近的一条实验数据光缆中发现了鲨鱼的牙齿，这是首次表明光缆对鲨鱼具有奇特吸引力的确凿证据。当年晚些时候，鲨鱼咬断了大西洋上的四段电缆，这让我们想知道这种奇怪行为背后的原因。 另一个臭名昭著的鲨鱼影响数字通信的案例发生在非洲海岸，那里的一系列互联网中断事件让网络工程师备感困惑。他们在经过一番细致调查后发现，罪魁祸首居然是鲨鱼，它们啃噬海底电缆，使整个地区无法接入互联网。 在几起类似的令人难以置信的事件之后，网络工程师才开始发现鲨鱼、互联网连接中断以及进一步的网络安全问题之间有着奇特的联系。这类事件的增加表明了我们数字基础设施的脆弱性：就连最不可预测的因素也可能严重损害网络安全系统，并为网络攻击和数据泄密打开大门。 为什么互联网中断是一种网络安全风险？ 互联网连接的中断不仅给我们的数字生活蒙上了阴影，还可能造成一系列令人惊讶的网络安全风险。一旦鲨鱼袭击导致一个地区陷入数字黑暗，这种突然的中断为网络犯罪分子提供了攻击的机会。 严重依赖互联网进行日常运营的企业和组织面临的风险最大。如果没有稳定的连接，关键的安全系统可能无法运行，使它们暴露在潜在的安全威胁的面前。网络犯罪分子趁这类事件造成的混乱之机浑水摸鱼，利用薄弱的防御对企业和个人发动攻击。 此外，失去互联网连接可能会阻碍安全团队、第三方安全服务提供商甚至执法部门之间的沟通和协调，从而阻碍他们对网络威胁做出的响应。此外，如果没有互联网，敏感数据被泄露的个人可能不会立即得到通知，这使他们更容易受到诈骗和网络钓鱼攻击。 最重要的是，无法访问互联网可能会在用户中营造一种不确定和恐慌的氛围。由于无法确认网站或电子邮件的真实性，人们可能会沦为恶意骗局的受害者，并在不知不觉中将敏感数据泄露给网络犯罪分子。同样，缺乏稳定的互联网连接可能为错误信息的传播提供温床，这可能进一步误导用户。 2014年，一段鲨鱼袭击谷歌海底电缆的视频在网上疯传，谷歌为此在其跨太平洋海底电缆外面包裹上了防鲨鱼的钢甲。与此同时，环保人士也表达了他们对海底基础设施可能对水生动物构成威胁的担忧——毕竟，这不仅关乎我们的安全。 如果你想知道我们对环境的态度如何引起网络攻击，就应该看看气候变化与网络威胁之间的联系。 为什么鲨鱼喜欢啃噬光缆？ 与一些鲨鱼主题的电影描述的场景相反，鲨鱼并不吃电缆，因为电缆不是鲨鱼饮食的一部分。作为一种好奇心很强的生物，鲨鱼有时在面对光缆时会沦为其自身捕食本能的牺牲品。它们敏感的感觉器官（如电感受器和侧线）可能会将这些电缆发出的电磁信号误以为猎物发出的信号，从而促使它们啃噬。遗憾的是，这种意想不到的海底遭遇可能会导致互联网连接中断。 即使拥有出色的捕猎技能，这些强大的海洋生物还是会成为复杂的现代技术的牺牲品，这向我们表明了自然世界和数字世界有时会发生奇怪的冲突。 为什么将互联网电缆埋入海底？ 海底通信电缆在洋底纵横交错，旨在连接全世界，实现稳定的全球通信。这种连接方法提供了更强的控制度，也是大陆之间实现数据通信的一条更安全的途径。与饱受延迟和信号干扰影响的卫星通信不同，海底电缆提供了更高的数据速度和更低的延迟，因而使其成为实现全球通信的完美方案。 虽然在海底铺设互联网电缆的想法一开始可能看起来很奇怪，但从技术角度来看非常务实。在海底深处，电缆可以远离各种陆地威胁，比如地面冲突、建筑工地事故和大多数极端气候活动。此外，广阔的海洋本身使畅通无阻的电缆布线成为可能，并降低了破坏性人类活动的风险。这些电缆深埋在海底或内衬持久耐用的护甲，能够承受外力，确保稳定的互联网连接。 然而，海底通信电缆方法也面临几个挑战，包括与海洋生物（主要是鲨鱼）的近距离接触。 我们应该为互联网基础设施防鲨鱼袭击而操心吗？ 一个问题随之出现：我们在保护互联网基础设施免遭鲨鱼袭击方面做得够不够到位？考虑到海洋的浩瀚和潜伏在其中的顶级掠食者的数量之多，这项任务远非易事。不过，见多识广的研究人员和精通技术的工程师仍在竭力应对这个挑战，探索在不损害海洋生态系统的情况下保护海底电缆的技术。 在用类似凯夫拉尔的涂层加固海底电缆以防止鲨鱼啃噬之后，谷歌发现此类事件有所减少。然而，鲨鱼并不是大多数电缆故障的罪魁祸首，尽管它们爱咬电缆。 据国际电缆保护委员会（ICPC）声称，大多数电缆故障可归因于人类活动，无论是由船锚还是拖网渔船意外缠住海底电缆引起的。因此，除了是网络安全链中最薄弱的一环外，人类对电缆的威胁也比自然灾害（比如地震、水龙卷、海底滑坡和强潮流）和鲨鱼加起来都要大。 归根结底，虽然我们应该致力于加强互联网基础设施，但防鲨鱼咬只是安全问题的一小部分。人类在其中扮演的角色比鲨鱼来得更大，追求人造网络与大自然之间的和谐是我们的另一项责任。 我们需要更粗大的电缆 在浩瀚的海洋中，就连一条小小的鲨鱼都会在网络安全界掀起轩然大波。保护我们的互联网电缆不受鲨鱼的影响，不仅需要打破常规思维，还需要一些非常粗大的电缆。但是别过于害怕，虽然鲨鱼可能会啃噬电缆，但我们有技术手段来阻止它们。

路由协议对于互联网及建立在其之上的众多服务的正常运作起到了关键作用。然而，许多这些协议是在没有考虑安全问题的情况下开发的。 比如说，边界网关协议（BGP）起初并没有考虑对等节点之间可能发生的攻击。在过去的几十年里，人们在BGP的起源和路径验证方面投入了大量的研究。然而，忽略BGP实施的安全性、尤其是消息解析的安全性已导致了多个漏洞，结果被用来实现拒绝服务攻击（DoS）。 安全行业有一种普遍的态度：“如果它没有坏，就别去修它”。人们往往忽视安全审计，错误地认为这些类型的漏洞不如起源和路径验证问题来得严重。 传统的风险评估常常无法彻底检查网络上的所有软件和设备及其影响，因而形成盲区。当组织甚至没有意识到这些路由协议在使用时，安全缺口会变得更加刺眼。路由协议可能出现在人们意想不到的更多地方，比如数据中心、跨组织站点的VPN以及嵌入到定制设备中。 不为人知的风险 在过去的一年里，威胁分子越来越多地瞄准网络设备，包括路由器。美国网络安全和基础设施安全局（CISA）已发布了一项具有约束力的操作指令，要求联邦机构减小这些设备的风险。 这种对路由器的高度关注引起了业界对底层路由协议安全性的关注。比如说，已出现了威胁分子利用路由器进行侦察、恶意软件部署以及指挥和控制通信的情况。CISA已知的被利用漏洞目录中还有三个BGP DoS问题，以及影响另一种路由协议实施的另外两个DoS漏洞。 此外，BGP劫持和泄漏也引起了人们的关注，导致这类事件频发：流量被重定向到意想不到的目的地，有可能暴露敏感信息。数据中心攻击带来了另一大风险，因为路由协议中的漏洞可以被利用来将数据中心与互联网隔离，从而使其服务无法访问。 风险评估方面的盲区 要堵住风险评估方面的盲区，需要采取多管齐下的做法。 组织应该尽可能频繁地给网络基础设施打上补丁，但你无法修复你不知道坏掉的东西。实际上，应该为连接到网络的所有设备及在网络上运行的软件（包括路由协议）列一份资产清单。 这种安全意识使组织能够识别漏洞，并采取必要的措施来确定补救工作的优先级。组织还可以通过实施分段策略来降低这些风险，从而保护未打补丁的设备不暴露在互联网上。 理想情况下，安全应该从软件开发人员开始做起，他们可以通过使用增强的静态和动态分析技术以及保护软件开发生命周期，降低路由协议实施中出现漏洞的可能性。此外，应该建立有效的沟通机制，以便及时地处理和解决任何已确定的漏洞。 同样，将这些协议整合到其设备中的供应商成为了供应链中第三方风险的来源。实施软件物料清单（SBOM）可以更深入地了解设备和网络中存在的漏洞，从而使组织能够更好地管理风险。然而，当供应商不提供这种透明度（或者供应商不知道其设备受到影响）时，责任最终就落在组织的身上，需要积极主动地评估攻击面。 最后，安全研究社区在发现和负责任地披露这些安全漏洞方面发挥着重要的作用。在某些情况下，安全研究社区提供了比安全公告更及时、更有效的补救和缓解建议，补救和缓解建议本该是由软件开发人员和供应商发布的。比如在最近的BGP漏洞中，安全研究人员发布了一个开源的BGP模糊测试工具，可以快速测试协议实施以发现漏洞。 暴露风险 影响软件的漏洞还会影响连接的设备，因此增强安全性需要两者共同努力。安全研究人员可以提高公众对路由协议的潜在风险及其对更广泛生态系统造成的影响的认识，但最终还是由组织负责倡导加强安全性。 组织必须重视全面了解自己的网络设备，而不仅仅是传统的端点和服务器，还要了解所有的软件和设备。它们必须实施严格的脆弱性评估，并建立有效的威胁检测和响应机制。 软件开发人员和供应商需要改进其安全实践，加强沟通，并提高透明度。通过共同努力，我们才能加强路由协议的安全性，并保护我们这个高度互联的世界。

远程访问安全性对于保护日益分布式的工作环境至关重要，请务必确保只有授权用户才能访问您的重要信息。 远程访问安全就像一个虚拟屏障，可以防止未经授权访问传统网络边界以外的数据和资产。密钥（如强密码、唯一代码或生物识别扫描）可以提供给受信任的个人，以便其远程访问您的资源。安全远程访问的技术范围从VPN和多因素身份验证（MFA）到更高级的访问和零信任控制。 在本文中，我们将介绍远程访问安全性的一系列最佳实践，范围涵盖简单的、实用的以及更高级的做法。 远程访问安全性的重要性 远程访问安全性的目标是在远程访问时保护计算机系统或网络的完整性、机密性和可用性。通过确保只有授权人员才能使用系统，远程访问安全可以防止威胁和非法访问。它就像一个虚拟保镖，确保只有正确的人可以进入，同时把网上的麻烦制造者挡在外面。 由于互联网使我们能够从任何位置访问工作、数据和设备，远程访问安全正变得越来越重要。强密码、双因素身份验证、防火墙、加密和监视系统只是用于维护安全性的一小部分工具和过程。远程访问安全作为超级英雄保护者的角色，即使我们在千里之外，也能保护我们的数字世界安全。 16个远程访问安全最佳实践 实施以下16个远程访问安全最佳实践可以增强组织对敏感信息和数字资产的保护： 1. 强密码策略：对具有强密码策略的远程访问帐户强制使用复杂且独特的密码。避免使用默认密码或容易猜到的密码，亦或多个账号使用同一个密码。 2. 网络分段：为了减少可能发生的泄露，通过网络分段将远程访问系统与关键的内部资源隔离开来。 3. 网络访问控制：通过网络访问控制，组织可以煞费苦心地控制谁可以访问其敏感信息和组织资产。 4. 安全通信渠道：在向公司网络外部发送敏感数据时，使用加密的通信工具（如安全电子邮件和消息传递应用程序）可以增加安全防护层。 5. 定期安全审计：组织应定期执行使用漏洞扫描或渗透测试的安全审计，以检测漏洞并验证安全规则是否得到了正确的实现和遵守。 6. 员工教育和培训：通过员工培训，告知远程工作人员有关安全危险、网络钓鱼骗局以及坚持远程访问最佳实践的重要性。 7. 远程访问策略：为远程访问创建完整的策略，指定可行操作、安全要求和远程访问进程。 8. 远程擦除和数据丢失预防：为丢失或被盗的设备实现远程擦除功能，并使用数据丢失预防技术来保护关键数据的安全，防止有意和无意的内部威胁。 9. 事件响应计划：创建详细的事件响应计划，用于处理涉及远程访问的安全问题，包括最小化和降低风险的措施。 10. 定期更新和补丁管理：维护远程接入系统使用最新的安全补丁和升级，需要定期更新和补丁管理。 11. 远程监控：实现持续的远程访问活动监控，以查找异常行为和潜在的安全漏洞。 12. 安全的物理环境：提醒远程工作人员锁定他们的物理工作空间和设备，以避免非法访问。 13. 限制远程桌面协议（RDP）：为了提高安全性，适当地控制RDP暴露也是至关重要的。这需要仔细设置RDP，限制允许的用户数量，并在可行的情况下研究替代方法。这种主动技术减少了通过该通道进行未经授权访问的可能性。 14. 以安全为重点的云合作伙伴：如果您正在考虑使用云服务的功能进行远程访问，请检查您选择的云提供商是否具备强大的安全策略。优先考虑具有强大加密的服务提供商，并施加访问限制。如此一来，即使通过基于云的服务远程访问，您的数据也将继续免受非法访问。 15. 基于地理位置的访问控制：通过根据用户的实际物理位置限制访问，基于地理位置的访问控制为防止不必要的访问增加了额外的保护层。 16. 第三方供应商安全性：当您的业务依赖于来自外部来源的合作伙伴或供应商的远程访问时，确保他们遵循您的安全策略至关重要。通过为远程访问建立明确的指导方针和期望，可以在使用网络的所有各方之间保持恒定的安全水平。 10项远程访问安全技术 以下10项技术可以加强公司的数字防御，为可能的威胁提供强大的防御，并实现远程访问安全的最佳实践： 1. 用户和实体行为分析（UEBA）：通过利用UEBA的功能，组织可以检查用户和设备如何与企业系统交互。这使组织能够看到可疑的模式和可能的非法访问，从而为新的威胁增加了额外的安全层。 2. 多因素身份验证（MFA）：MFA通过要求额外类型的标识（如安全令牌或生物识别信息），可以构建一个强大的屏障，防止不必要的访问尝试。 3. 安全虚拟专用网（VPN）：VPN用于保护远程设备与公司网络之间的通信。VPN通过加密保护传输过程中的数据不被窥探，保持敏感数据的机密性和完整性。 4. 基于角色的访问控制（Role-Based Access Control, RBAC）：通过RBAC自定义访问权限，满足单个用户的需求。通过限制员工对其工作所需资源的访问，这种战略方法降低了数据泄露的可能性。 5. 安全的文件共享和协作工具：安全的文件共享平台是协作工作所必需的。这些解决方案通过防止对敏感数据的不必要访问，使远程团队成员之间的通信变得简单和安全。 6. 端点安全：使用最新的防病毒软件或端点检测和响应（EDR）解决方案，确保接入网络的设备安全。 7. 无密码认证：减少对密码的需求，无密码认证使访问帐户更容易，而无需记住无数复杂的密码。它只需要您的生物识别或硬件标记。 8. 安全信息和事件管理（SIEM）：为了检测和响应安全事件和事件，SIEM关联并分析事件日志，给出实时警报，并提供对潜在威胁和漏洞的洞察。 9. 零信任网络架构（Zero Trust Network Architecture, ZTNA）：零信任模型将所有用户和设备视为不可信的，只有经过持续的验证和认证过程后，ZTNA工具才能授予访问权限。 10. 身份验证区块链：区块链技术可以通过提供有保证的安全和防篡改的身份验证机制来增强身份验证过程。区块链通过利用其去中心化和不可更改的性质，为远程访问场景中维护用户身份的安全性和完整性提供了一种独特的方法。 结语 鉴于我们在工作、数据访问和连接方面对互联网的依赖日益加深，远程访问安全的重要性再怎么强调也不为过。以上列出的16个推荐的最佳实践是分层防御的基础，可以加强远程访问安全状态并保护本地网络。

基于AI+场景的数据风险异常监测与防护 江苏保旺达软件技术有限公司CTO 卢陵鹄 随着数字技术的发展和安全攻击技术发展，传统的数据安全防护手段无法解决海量数据识别和防护、加密流量识别检测等问题。本议题在数据分解分类、加密流量识别检测等具体数据安全场景下，通过采用AI相关算法和模型，有效提升数据识别、检测的识别率、准确率和自动化程度，并给出实际运行案例，有效推动了AI技术在实际安全场景的落地。 【演讲者介绍】 江苏保旺达软件技术有限公司CTO，长期专注于网络信息安全、数据安全、安全攻防对抗、安全架构设计和隐私计算领域的产品研发，具有十五年以上网络安防产品研发经验,负责或参与多项各级科研课题或项目，主持或参与多项各类标准的制定，申请多项网络安全发明专利。 云原生供应链安全的实践和挑战 北京小佑网络科技有限公司 技术总监 白黎明 云原生供应链安全是指在云原生环境中保护软件的整个生命周期，从开发、构建、部署到运行阶段。云原生供应链安全的目标是确保软件的完整性、可信度和可追溯性，防止恶意代码或配置的注入和篡改。近年来，随着云原生技术的广泛采用和创新，云原生供应链安全也面临着越来越多的挑战和威胁，需要采取有效的措施来应对。因此，云原生供应链安全已经成为了一个热门和重要的话题，需要开发者、运维人员和安全人员共同关注和努力。 本次演讲将介绍云原生供应链安全的基本概念、原则和最佳实践，分析云原生供应链安全的主要威胁和挑战，以及如何应对，展示云原生供应链安全相关的开源项目，以及如何利用它们来提升云原生供应链安全能力和水平，展望云原生供应链安全的未来发展和趋势。 【演讲者介绍】 北京小佑网络科技有限公司技术合伙人，国内第一款云原生安全产品核心设计者之一，公安部《网络安全等级保护容器安全要求》、信通院《云原生架构安全白皮书》《云原生能力成熟度模型 第3部分：架构安全》《云原生应用保护平台（CNAPP）能力要求》《云原生安全配置基线规范》等标准的主要起草人，运营商、证券、银行、能源等行业头部企业容器安全标准制定者。 深度参与网信办《2022网信自主创新调研报告》撰写，任云计算安全方向编写组长单位负责人。 参与“第四届云原生产业大会——云原生安全分论坛”，发表“主动保护是云原生安全的关键”的主题演讲。 荣获中国信通院云原生产业联盟“云原生安全标准专家”称号。 参与“第二届全球DSO敏捷安全大会”，发表《云原生制品安全防护最佳实践》主题演讲。参与 FreeBuf 举办的《网安新势力》创始人联盟季，发表《云原生发展趋势及安全架构设计》主题演讲。 车联网仿真实测平台 大鲲智联（北京）科技有限公司 COO 霍盛锟 硬件在环仿真行业是一个全球竞争的行业。以美国为首的欧美发达国家厂商凭借先发优势和成熟仿真产品，在全球范围内的硬件在环仿真主要市场占据领先地位，其主要企业包括dSpace GmbH、National Instruments、Vector Informatik、ETAS等。 与欧美相比，我国硬件在环仿行真业发展时间较短，正处于市场化发展期，国内厂商技术水平相对落后，特别是在面向应用的基础软件、硬件产品开发，面向行业应用的专业仿真产品开发方面与国外厂商存在较大差距，从业公司进入行业较晚，经营规模小，大多以代理和系统集成为主，自主知识产权含量不高。总体上来看，硬件在环仿真市场化仍处在比较初级的阶段。 【演讲者&团队介绍】团队组建于2009年，主要成员来自于国家信息技术研究中心、华为、华晨北斗等单位，成员曾参与多个国家级网络安全保障和建设工作，研发经验15年以上，具备深厚的安全技术研发知识与技能，及丰富的攻防经验。团队成员涵盖安全体系咨询、信息安全测试、信息安全加固、汽车电子、底层嵌入式工程等不同领域专业人才，兼备安全与汽车电子两种行业能力。 攻防演练红队打点之道 北京赛宁网安科技有限公司 安全研究员 孙丰晟 本议题旨在介绍现代国内攻防演练期间所遇到的几个典型红队进攻思路，涵盖了常见的红队进攻手法，并从三个方面深入探讨：Web打点（VPN、OA、API）、社会工程学攻击（招聘软件钓鱼、聊天软件RCE、水坑攻击、鱼叉攻击、免杀）、以及近源渗透（伪装快递电网人员、无线钓鱼）。通过这些案例的详细分析和经验分享，与会者将能够深刻理解现代红队打点的思路，了解红队在攻防演练中所运用的策略和技巧。 【演讲者介绍】目前就职于北京赛宁网安科技有限公司，赛宁网安红队队长，“最佳攻击手”，曾获得国家计算机网络应急技术处理协调中心的官方感谢信，中国人民解放军陆军某部队的表扬信。中国网络空间安全人才教育联盟荣誉讲师，在民航局“安康杯”、西门子黑客挑战赛和国赛等比赛中，担任出题人和裁判，擅长领域：包括目标打点，特别是在Web打点和社会工程方面，以及内网横向渗透。 汽车虚实结合靶场技术应用与实践 绿盟科技创新研究院 安全研究员 张克雷 随着汽车电子电气架构的日趋复杂，没能建立有代表性的汽车安全研究环境，是高校和多数非造车厂商面临的困境。绿盟坚持技术创新与技术突破，在汽车硬件的研究与汽车虚拟化的研究方面，取得了重大进展。构建了汽车虚实结合的靶场，将汽车安全研究的成本大大降低。靶场的优势在于，我们对汽车的仿真程度非常之高，利用CAN的虚拟化和零部件的虚拟化，完整构建了整车的电子电气架构。这样一个汽车虚实结合的靶场，将有助于高校、国家实验室、测评机构对汽车进行大规模仿真及测试，也有助于高校对学生的车联网安全知识的教学。 【演讲者介绍】绿盟科技创新研究院 安全研究员，研究方向为车联网安全攻防、创新产品孵化及落地。在第五届“强网”拟态防御国际精英挑战赛、2021智能网联汽车安全测评技能大赛等多个车联网安全大赛中荣获第一名、一等奖等成绩。 创新研究院，绿盟科技创新研究院作为“中关村科技园区海淀园博士后工作站分站”的重要培养单位之一，与清华大学进行博士后联合培养，科研成果已涵盖各类国家课题项目、国家专利、国家标准、高水平学术论文、出版专业书籍等。 我们持续探索信息安全领域的前沿学术方向，从实践出发，结合公司资源和先进技术，实现概念级的原型系统，进而交付产品线孵化产品并创造巨大的经济价值。 ☆购票通道同步开启【链动者】¥0，展商互动区+XReward开放路演区可通行，不含闭门演讲、自助午餐及会刊 【先锋·造链者】¥2090，全场可通行，含闭门演讲+年度会刊（不含餐）。8月20日晚6点前购买，享此福利 【突围·造链者】¥2790，全场可通行，含闭门演讲+自助午餐+年度会刊 【全速·造链者】¥4500，仅限会议当日现场购买，不支持票券折扣 更多阅读请关注XCon 2023专题报道：https://www.4hou.com/category/special/detail/egJY

数字银行可信策略体系实践 蚂蚁集团网商银行 安全工程师 柳星 数字银行最关键的资产是数据，而数据泄漏风险长期、客观存在，为此，我们沉淀一套应对数据类风险的可信纵深检测方案，可信检测是指通过刻画预期内正常行为识别出异常，纵深检测是指设立公网、办公网、生产网防区对攻击行为做层层阻击。经过安全运营和实战检验，在平衡检出和误报的前提下，可以高效检出绝大多数已知和未知数据盗取攻击手法。 【演讲者&团队介绍】 柳星（404notfound），2020年硕士毕业于西安电子科技大学，加入蚂蚁集团网商银行信息安全部，从事威胁对抗工作，曾在成都网络安全大会CCS2021、网络安全创新大会CIS2022等会议上分享数据驱动安全相关研究成果。致力于分享原创高质量干货，包括但不限于：安全、数据、算法、思考。 网商银行信息安全部于2019年3月成立，团队以防范业务归零风险及增强业务竞争力为目标。部门使命是守护网商银行用户信息和数字资产安全，助力科技金融业务发展。部门愿景是让网商银行成为全球最安全可信的银行，引领金融行业安全。 改变游戏规则的动态防御技术 北京卫达信息技术有限公司CEO 张长河 分别在终端、网络、应用、平台不同层面部署安全设备，形成一体化防御方案。该方案可以实现整体防御，终端、网络、应用全覆盖。不需要人工参与高效处置，支持攻防演练等特点，能够保证护网无忧。 【演讲者介绍】 卫达信息创始人张长河教授，曾在中国人民解放军信息工程大学网络攻防实验室从事网络攻防教学科研工作，依托出色的网络攻防能力，荣获国家科技进步二等奖、全军科技进步一等奖，2013年被美国官方通报为中国军方顶级黑客。张长河教授在2018年入选了《中国信息安全》封面人物，接受央视进行专访。 安全运营中心的应用与发展 南京聚铭网络科技有限公司 董事长&总经理 唐开达 本议题将会通过安全运营中心的概念和发展历程、安全运营中心的建设与管理、安全运营中心的应用与发展三个大的方面展开讨论，帮助企业了解安全运营中心的应用和发展情况，促进企业间相关安全建设经验的交流和共享。通过此次讨论，参与者将了解到SOC的应用模式和技术手段的最新发展，掌握SOC的最佳实践和经验，提高企业的安全管理水平和安全应对能力，以保障企业信息资产和业务运营的安全。 【演讲者介绍】 南京聚铭网络科技有限公司董事长&总经理，从事信息安全和网络安全近20年，我国早期研发安全运营中心（SOC）、日志审计（SIEMS）、身份管理（4A）等安全产品的组织者。曾以核心人员参与了南方电网、中国人寿集团、中信集团、中国移动、中国电信、中国联通等大型企业的安全运营中心（SOC）平台的建设和运维工作，在网络和信息安全规划、研发、建设、运维、服务方面拥有大量的心得和经验。 工控运维场景下的安全威胁与防范 浙江齐安信息科技有限公司 副总裁 工控环境下的运维场景即有与传统网络运维场景相似的安全问题，又有其独特的安全问题，本演讲以某行业为例，浅析工控系统进行临时接入运维作业中面临的各类安全风险。探讨通过多种防范方式、可考量的审计手段，与业务系统管理协作，减少运维安全风险，提高现场运维效率，提升运维安全性。 【演讲者介绍】 浙江齐安信息科技有限公司 副总裁，浙江大学 电气工程及其自动化专业。二十年网络及网络安全行业从业经历，八年工控安全领域从业经历，获得《代理装置及数据处理方法》、《流量数据包的审计装置、系统及方法》、《安全管控装置》、《一种队列数据控制方法、系统及队列数据结构》、《自动化测试装置》、《工业控制系统配置项信息的收集方法、装置及存储介质》等多项发明专利。 打造“三位一体”全生命周期的工业主机安全解决方案 北京网藤科技有限公司 产品副总裁 胡仁豪 针对工业主机及工业软件的安全风险，不同于现有病毒防护等主机安全解决方案，网藤科技针对工业主机系统多样性、业务连续性、软件兼容性特点和需求打造集主机安全加固、主机安全卫士、主机安全防疫卫士三位一体的针对工业主机及关键业务软件（如DCS、数据库等）进行全流程、全业务、全数据、全生命周期的安全解决方案，保障工业主机及关键业务软件攻不破、起不来、搞不坏，同时和USB安全隔离装置等产品形成协同联动终端安全解决方案，可以进行系统加固、白名单防护，精准锁定工业主机关键业务软件，结合“疫苗注射”原理进行内核级防护，对工业主机关键业务软件从启动、运行、停止全生命周期中进行静态、动态数据全方位安全防护，最大限度保障生产持续运行，为企业盈利服务。 【演讲者介绍】 北京网藤科技有限公司产品副总裁，拥有15年以上网络安全领域研发及产品管理经验，2015年以来深耕工业互联网安全领域，从0到1打造多款工业互联网安全产品，拥有工业互联网安全发明专利10余项，参与工业互联网安全国家标准1项。 数字孪生与产教融合 北京新拓云联科技股份有限公司 董事会秘书 徐泽 议题将围绕着数字孪生技术促进教育领域发展的实践展开对数字孪生技术及其应用，虚拟现实技术在教育领域，尤其是职业教育领域的应用，以及数字孪生如何促进产教融合的发展等方面进行论述。虚拟现实作为数字孪生落地的最后一个环节，在经过20年的发展后开始大规模的应用于教育领域，从2003年理论性的提出，到2010年NASA在航空领域的实际应用，再到2015年西门子将其用于制造及工业领域，数字孪生技术开始真实深入到民生领域。 作为元宇宙相关行业，虚拟仿真教学已经进入到了2.0阶段，从重点关注虚拟仿真教学资源建设，向加强平台建设、促进共享应用，支持物理空间与虚拟空间相融合的虚拟仿真教学环境建设转变。虚拟仿真教学环境构建是对各组成部分协同设计的过程，以满足教学需求为导向，明确资源类型和具体内容，匹配合适教学装备，完善基础条件，搭建统一管理平台，确保各部分协调匹配，有效支持虚拟仿真教学活动的开展。技术上的不断进步与发展，将会切实推进人们生活的进步，在经过不断泛化的过程，最终人们可以在生活中实际感知到科技发展。 【演讲者介绍】 现任北京新拓云联科技股份有限公司董事会秘书，毕业于英国利兹大学，有多类型的资本市场经验，熟练掌握相关财务、法律知识。 ☆购票通道同步开启【链动者】¥0，展商互动区+XReward开放路演区可通行，不含闭门演讲、自助午餐及会刊 【先锋·造链者】¥2090，全场可通行，含闭门演讲+年度会刊（不含餐）。8月20日晚6点前购买，享此福利 【突围·造链者】¥2790，全场可通行，含闭门演讲+自助午餐+年度会刊 【全速·造链者】¥4500，仅限会议当日现场购买，不支持票券折扣 更多阅读请关注XCon 2023专题报道：https://www.4hou.com/category/special/detail/egJY