国内外最新网络安全发展动态
发布人:系统管理员 发表时间:2022-09-06 浏览次数:0次
1. 国内
《工业互联网企业网络安全》等3项国家标准意见的通知
近日,全国通信标准化技术委员会、全国信息安全标准化技术委员会双归口的《工业互联网企业网络安全 第1部分:应用工业互联网的工业企业防护要求》等3项国家标准现已形成标准征求意见稿。
工信部:拟联合银保监会等部门积极推进网络安全保险标准研制
8月25日,工信部官网刊发了《关于政协第十三届全国委员会第五次会议第00095号(工交邮电类016号)提案答复的函》,答复了全国政协委员、原中国保监会副主席周延礼提出的《关于加强制度建设 促进网络安全保险健康发展的提案》。
工信部分别从完善相关标准与法律体系、制定网络安全保险发展的相关战略规划、建立统一的网络安全风险数据库、加大网络安全保险的宣传推广力度四个方面答复了周延礼的上述提案。
其中,关于完善相关标准与法律体系方面,工信部下一步工作考虑将加快完善行业网络和数据安全分类分级管理制度体系,联合银保监会等部门积极推进网络安全保险标准研制工作,围绕承保、监测、理赔等网络安全保险业务环节,组织开展网络安全风险量化评估、风险监测管理、理赔服务实施等重点标准规范制定,明确网络安全保险服务流程和基线要求,促进网络安全保险持续健康发展。
国家卫健委等三部门发布《医疗卫生机构网络安全管理办法》
8月29日,国家卫生健康委、国家中医药局、国家疾控局印发《医疗卫生机构网络安全管理办法》(以下简称《办法》)。《办法》关于网络安全管理中提出:各医疗卫生机构应规范和加强医疗设备数据、个人信息保护和网络安全管理,建立健全医疗设备招标采购、安装调试、运行使用、维护维修、报废处置等相关网络安全管理制度,定期检查或评估医疗设备网络安全,并采取相应的安全管控措施,确保医疗设备网络安全。
我国网民规模达10.51亿,网络安全形势持续好转
8月31日,中国互联网络信息中心(CNNIC)在京发布第50次《中国互联网络发展状况统计报告》(以下简称:《报告》)。《报告》显示,截至2022年6月,我国网民规模为10.51亿,互联网普及率达74.4%。同时网络安全形势持续好转,遭遇安全问题用户比例进一步下降。截至今年6月,63.2%的网民表示过去半年在上网过程中未遭遇过网络安全问题,较2021年12月提升1.3个百分点。遭遇个人信息泄露的网民比例为21.8%,较2021年12月下降了0.3个百分点。
国家互联网信息办公室发布《数据出境安全评估申报指南(第一版)》
8月31日,为了指导和帮助数据处理者规范、有序申报数据出境安全评估,国家互联网信息办公室编制了《数据出境安全评估申报指南(第一版)》,对数据出境安全评估申报方式、申报流程、申报材料等具体要求作出了说明。
《申报指南》适用范围其中指出:
数据处理者向境外提供数据,有下列情形之一的,应当通过所在地省级网信办向国家网信办申报数据出境安全评估:
(一)数据处理者向境外提供重要数据;
(二)关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息;
(三)自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息;
(四)国家网信办规定的其他需要申报数据出境安全评估的情形。
以下情形属于数据出境行为:
(一)数据处理者将在境内运营中收集和产生的数据传输、存储至境外;
(二)数据处理者收集和产生的数据存储在境内,境外的机构、组织或者个人可以查询、调取、下载、导出;
(三)国家网信办规定的其他数据出境行为
《中华人民共和国反电信网络诈骗法》等法律案获得通过
据央视新闻消息,十三届全国人大常委会第三十六次会议今天(9月2日)上午在京举行闭幕会。会议表决通过了《中华人民共和国反电信网络诈骗法》、新修订的《中华人民共和国农产品质量安全法》等。
2. 国外
1、网络空间安全政策与管理动态
CISA关注化工行业的网络安全态势改善
8月27日报道,美国网络安全和基础设施安全局(CISA)希望加强化工行业的网络安全态势,作为白宫国家安全工作的一部分。
CISA总监和2022年Wash100获奖者Jen Easterly在化学安全会议上发表讲话时表示,该机构将开始为期100天的冲刺,以了解有关化工行业网络安全状况的更多信息。然后,收集的信息将用于确定关键基础设施运营商如何改进保护措施。
据报道,CISA的方法将类似于电力公用事业,天然气管道和水处理设施在接受网络安全态势审查时使用的方法。
CISA化学品安全副总监Kelly Murray在同一次会议上表示,行业合作伙伴已经在与该机构密切合作。她分享说,该机构还对化工基础设施运营商进行了与强制性检查一样多的自愿合规援助访问。
国土安全部将发布新规则,允许网络安全自我评估
8月27日报道,国土安全部正在制定一项新规则,允许承包商自行进行网络安全评估。国土安全部在推出探路者以评估供应商是否遵守合同中的网络卫生条款后公布了该计划,并发布了一份自我评估问卷,旨在确定承包商是否符合2015年保护受控非机密信息法规的要求。
据联邦新闻网报道,根据国土安全部首席信息安全官Ken Bible的说法,该机构发现自我调查有可能对国土安全部供应商基础的网络成熟度进行有效评估。
这位官员在FCW活动中表示,该部门正在探索如何将相同的方法应用于合同授予过程,因为五角大楼的第三方认证计划可能会使支持该机构的小企业处于不利地位。
国防部的网络安全成熟度模型认证计划最初定于2021年实施,但由于担心它可能迫使小企业退出国防工业基地而被暂停。CMMC的新版本于去年年底发布,但要到2023年夏天才能推出,因为它仍处于规则制定的早期阶段。
与此同时,国土安全部预计将于9月发布其保护受控非机密信息的最终规则。Bible没有透露具体细节,但指出该部门将继续实施标准合同流程,以衡量投标人的网络成熟度。
美国陆军宣布招募“国家黑客”
8月29日报道,乌俄冲突让网络战更加白热化,近期,美国陆军本周宣布对外招募网络战部队,防御国外政府发动的网络攻击以及防御工作。
美国陆军指出,21世纪的战争已经转移到网络,恶意网络流量、复杂的钓鱼攻击、病毒和其他虚拟攻击,正对美国关键基础设施以及人民安全产生直接威胁。
美国陆军表示,加入“网络战士”将会获得网络攻击及防御任务的技能训练,强化辨识锁定政府机构和金融中心的广告软件、勒索软件、间谍软件,以及找出国际黑客网络、破坏国内网络犯罪计划,保卫美国陆军通讯的能力。
美国陆军招募的主要包括网络电子作战官、网络作战官、密码情报分析师、网络防御员以及网络作战专员。网络电子作战官是网络防御及整合首要人物,负责协调电子攻击和防御任务,并提供电子作战支援。网络作战官主要面对敌人行动执行攻击。
密码情报分析师负责搜集和分析情报,找出目标所在,也要从电脑、语音、影像及文字通讯中找出敌军行动样态线索,协助作战。网络防御员则是专注在电脑网络,包括基础架构支援、安全事件回应、稽核和管理,也需侦测和扫除网络上的未授权活动,并以各种工具来分析以及回应攻击。最后,网络作战专员负责确保美国陆军的重要武器系统,包括卫星、导航、飞航系统免于国内、国外网络威胁。这个角色要协助指挥官在“网络所有领域”克敌制胜。
美国陆军将提供的训练包括基础技术、情报和网络作战技能、程序编写语言、IT安全认证、网络作战策划和执行、进阶的电脑指令、鉴识、恶意程序分析和黑客训练、以及拦截防范爆炸装置(improvised explosive device,IED)和辨识及对抗雷达及其他电子攻击系统的训练。
美国和以色列加强网络安全伙伴关系
8月29日报道,自 2021 年以来,在关键基础设施威胁的情况下,两国都在其金融机构之间寻求双边网络安全协议。
美国财政部和以色列财政部敲定了新双边协议的条款,旨在加强两国网络的网络弹性,并进一步扩展现有的以技术为中心的双边协议。
在新的谅解备忘录中,两国将共同努力保护其关键基础设施,这是勒索软件和黑客探险的主要目标。谅解备忘录的大部分内容都强调围绕数字漏洞和威胁加强信息共享和沟通,以及对相关员工的培训计划。
自 2021年 Adeyemo 宣布成立双边工作组以帮助制定更好的政府政策以支持有助于打击金融部门勒索软件威胁的网络安全软件和硬件产品以来,财政部和以色列财政部一直在网络安全事务上保持合作关系。
Adeyemo 随后表示,这种伙伴关系是有道理的,因为以色列长期以来一直专注于培育强大的金融科技经济部门。
2022 年 6 月,国土安全部宣布了以色列-美国两国工业研发网络计划,该计划目前正在接受关键基础设施机构以及小型企业的基本网络安全产品应用,该计划在 2022 年 6 月得到重申。
到 2023 年,全球勒索软件损失将超过 300 亿美元
8月29日报道,总部位于瑞士的网络安全公司Acronis在2022 年 8 月 24 日发布的年中网络威胁报告中报告称,2022 年前六个月近一半的违规行为涉及凭据被盗。
毫不奇怪,网络犯罪分子使用这些凭据的主要目标是发动勒索软件攻击,这“仍然是包括政府组织在内的大中型企业的头号威胁,”报告补充说。
Acronis 发现,为了提取这些凭据,攻击者主要使用网络钓鱼技术,在 2022 年上半年有 600 封恶意电子邮件活动在互联网上传播,其中 58% 的电子邮件是网络钓鱼尝试,28% 是恶意软件。
网络保护运营中心发现的第三个向量是所谓的“非传统进入途径”,例如加密货币和去中心化金融 (DeFi) 系统。
“勒索软件正在恶化,甚至比我们预期的还要严重,”这家瑞士公司警告说,并提到Conti和Lapsus帮派是国际安全服务的主要目标,并预计到 2023 年全球勒索软件损失将超过 300 亿美元。
“IT 复杂性的增加继续导致违规和妥协,这凸显了对更全面的网络保护方法的需求。[...] 当前的网络安全威胁形势需要一个多层次的解决方案,将反恶意软件、EDR、DLP、电子邮件安全、漏洞评估、补丁管理、RMM 和备份功能全部结合在一个地方,”报告指出。
国防部制定零信任战略发布和试点计划实施时间表
8月30日报道,国防部预计将在 9 月之前发布正式的零信任战略,并在 10 月 1 日之前启动相关试点项目。
五角大楼零信任投资组合管理办公室主任兰迪·雷斯尼克( Randy Resnick )在数字政府研究所主办的一次会议上表示,零信任战略有大约 90 项独立的活动,大部分与技术无关。据该官员称,还应关注非技术方面的问题,例如劳动力培训和保留、政策和领导力。
据联邦新闻网报道,Resnick 表示,该战略针对零信任采取了三个不同的行动方案,即将原则应用于现有 IT 基础设施、在商业云环境中实施架构以及为政府运营的私有云解决方案实施零信任。
五角大楼官员还指出,将需要大约 8 到 10 家 IT 服务提供商来支持 90 项与零信任相关的活动。他说,国防部首席信息官办公室将决定哪些公司可以加入这项工作。
在资源方面,雷斯尼克表示,尽管国会尚未授权为网络安全架构提供资金,但部门领导人早就认识到需要数十亿美元的前期支出来有效实施零信任。
众议院议员要求 9 个实体阐明加密货币的安全问题
8月30日报道,随着越来越多的美国人参与到日益增长的经济领域,经济和消费者政策小组委员会的领导层向加密行业的公共机构和私营部门公司发出了正式信函,要求提供有关加密货币和数字货币相关欺诈的更多信息。
许多立法者已主动询问加密货币公司和监管机构的预防措施。马萨诸塞州民主党参议员伊丽莎白沃伦是最近引入立法的立法者之一,该立法将对动荡且受欢迎的市场实施监管。
除了正式立法外,国会还围绕加密货币行业举行了各种听证会,并就该行业的广泛安全性征求意见。
最近的一次听证会讨论了区块链技术的固有安全性,以及更多的法规如何有利于私营部门的加密公司。
美空军发布临时《首席信息官战略》
8月30日报道,8月26日,美空军发布《首席信息官战略》,旨在完善空军2028财年之前的IT工作。战略概述了空军未来6年(2023~2028财年)对数字环境的愿景,包括实施零信任架构,加速云应用,以及利用数据与人工智能;制定了6条工作路线:加速云应用、未来网络安全、建立人才管理战略、IT组合管理、核心IT与任务启用工作,以及数据与人工智能。
根据该战略,空军未来5年内将致力于实现零信任架构,并将于9月发布一项新战略以实现这一目标;战略要求为整个空军和太空军体系的“基础风险态势”培训人员队伍;将自动化、分析和人工智能设计到所有系统中,包括增强人工智能/机器学习训练数据与算法模型,将建立与空军武器系统和战区作战相结合的“联合数据生态系统”,以确保整个部队的数据可见、可访问和安全;空军还希望评估其现有的IT政策,以解决管理方面的差距,并确定冗余和低效的IT支出;开展一些与网络相关的工作,最终目标是使空军和太空军能够依赖设备和数据。
英国对电信提供商实施严格的新网络安全规则
8月30日报道, 英国电信业的新安全框架将于10月生效,使英国的电信安全法规成为世界上最强大的法规之一。
英国政府于2022年8月30日发布了对公众咨询的回应,并列出了在2022年10月计划启动新框架之前对法规草案和行为准则所做的更改。
此次磋商是在2021年11月通过与国家网络安全中心(NCSC)共同制定的《电信(安全)法》之后进行的。
10月框架将实施前所未有的安全规则,以保护英国电信网络免受不同关注领域的网络攻击(数据,软件和设备保护,风险评估和异常检测,包括供应链中的异常)。
虽然到目前为止,电信提供商一直负责在其网络中设定其安全标准,但从10月开始,他们将不得不履行特定的法律义务。这些包括:
(1)识别和评估直接暴露给潜在攻击者的任何“边缘”设备的风险
(2)严格控制谁可以进行网络范围的更改
(3)防止特定的恶意信号进入网络,这可能会导致中断
(4)充分了解其网络面临的风险
(5)确保业务流程支持安全性(例如,适当的董事会问责制)
预计提供商将在2024年3月之前实现这些成果,其他措施将在稍后完成。
Ofcom将有权检查电信公司的场所和系统,以确保他们履行其义务。如果公司未能履行其职责,监管机构将能够每天支付高达营业额10%的罚款,或者在持续违规的情况下,每天支付100,000英镑(116,000美元)。
这些条例不久将作为次级立法提交议会,同时制定一项指导提供者遵守行为守则的草案。
美国陆军将设立进攻性网络能力办公室
9月1日报道,马里兰州阿伯丁试验场 - 官员们表示,美国陆军明年将在优先事项迅速变化的情况下建立一个办公室,专门用于进攻性网络和太空能力。
该办公室被称为网络和太空项目经理,将隶属于情报,电子战和传感器计划执行办公室,该办公室测试和现场设备,如空中干扰舱,生物识别信息系统和战场导航工具。
它的创建将把进攻性网络责任从现有的PEO IEW&S飞地转移到负责电子战和网络的任务上。
根据PEO IEW&S的负责人Mark Kitz的说法,进攻性网络组合包括联合共同访问平台,这是陆军几年前发起的一个项目,国防技术公司ManTech在2020年赢得了一份价值2.65亿美元的合同,以支持该平台近四年。
根据美国国家标准与技术研究所(National Institute of Standards and Technology)的数据,进攻性网络被定义为“旨在通过在网络空间内或通过网络空间施加武力来投射力量的网络空间行动”。
NSA、CISA 和 ODNI 为开发人员发布新的软件供应链指南
9月1日报道,国家安全局(NSA)在一系列指令中为开发人员发布了第一套新指南,旨在与网络安全和基础设施安全局(CISA)和国家情报总监办公室(ODNI)合作,加强软件供应链的安全性。
一个跨机构的公私软件供应链工作组周四发布了该指南,以回应去年的白宫行政命令,该命令规定了联邦政府软件供应链的新安全标准和更新要求。根据本指南随附的NSA新闻稿,本系列的第一部分侧重于软件开发人员,而即将发布的两项指令将分别针对软件供应商及其客户。
这些指南包括有关开源管理、验证第三方组件、交付代码、组件维护、强化构建环境等方面的最佳实践。它们还具有各种威胁方案和建议的缓解技术。
持久安全框架软件供应链工作小组表示,它“强烈鼓励”开发人员从安全角度参考该文档来设计软件架构,并维护该安全性和底层基础架构。
该工作组表示,在2020年SolarWinds勒索软件攻击之后,围绕软件供应链安全的标准化最佳实践的需求变得清晰起来,其中涉嫌与俄罗斯有关的网络犯罪分子将恶意代码注入该公司的软件系统,影响了全国成千上万的客户。
为了缓解潜在的漏洞,该指南建议组织实施漏洞提交系统来识别,收集和跟踪产品缺陷,作为公司范围内的产品安全事件响应团队,与外部研究人员合作,提高透明度并实践负责任的披露方法。
标准机构发布物联网安全测试指南
9月1日报道,反恶意软件测试标准组织(AMTSO)发布了其首个物联网安全产品测试指南,以推动独立的基准测试和认证工作。其物联网安全产品测试指南文档是根据测试人员和供应商的意见制作的。
该指南涵盖六个关键领域:
所有测试和基准测试都侧重于验证最终结果和性能而不是后端功能的一般原则;
样品选择,包括为物联网安全解决方案基准测试选择正确样品的挑战指南;
确定“检测”,因为物联网安全解决方案在检测和采取的行动方面与传统的网络安全产品不同;
测试环境,包括为选择不使用真实设备在可控环境中执行的测试人员提供建议;
测试不同攻击阶段的特定安全功能,如侦察、初始访问和执行;
性能基准测试。
商务部为微电子供应链制定零信任安全方法
9月1日报道,根据最新发布的路线图,商务部正在采取零信任政策来验证微电子,以确保其安全。用于检测假冒和恶意电路的高级成像技术和取证,以及用于身份验证的组件标记和标签,是该部门制定硬件安全战略的一部分。
8月通过的“为美国生产半导体(CHIPS)法案”要求NIST进行计量学研发(R&D),以支持国内在下一代微电子领域的突破,下一代微电子是由半导体材料组成的集成器件和系统。
NIST在其报告中发现,在日益复杂的全球供应链中增强微电子的安全性是其需要解决的七大挑战之一。
NIST的路线图建议实施安全分析标准和指南的组合,并采用广泛的漏洞策略,在整个开发生命周期中测试和验证微电子。
该战略将包括跟踪材料和组件,并使用机器学习和人工智能检测和减轻触发机制。
国防部供应商必须已经使用快速保证微电子原型(RAMP)平台进行微电子设计,制造和供应链管理。
微软、BAE系统、英特尔和诺斯罗普格鲁曼公司等公司正在开发支持RAMP的功能。
2、信息通信与网络安全技术发展
网络威胁者越来越多地采用Slimver命令和控制框架
8月27日报道,威胁行为者越来越多地在其入侵活动中采用和整合Sliver命令和控制(C2)框架,以取代Cobalt Strike。
“鉴于Cobalt Strike作为攻击工具的受欢迎程度,随着时间的推移,针对它的防御措施也有所改善,”微软安全专家说。“因此,Sliver为寻找低进入门槛的鲜为人知的工具集的演员提供了一个有吸引力的选择。
Sliver由网络安全公司BishopFox于2019年底首次公开,是一个基于Go的开源C2平台,支持用户开发的扩展,自定义植入物生成和其他征用选项。
“C2框架通常包括一个服务器,该服务器接受来自受感染系统上植入物的连接,以及一个允许C2操作员与植入物交互并启动恶意命令的客户端应用程序,”微软表示。
除了促进对受感染主机的长期访问外,跨平台工具包还已知提供阶段程序,这些阶段程序是主要用于在受感染系统上检索和启动功能齐全的后门的有效负载。
其用户中包括一个多产的勒索软件即服务(RaaS)附属公司,该附属公司被跟踪为DEV-0237(又名FIN12),该联盟以前利用从其他组(又名初始访问代理)获得的初始访问权限来部署各种勒索软件株,如Ryuk,Conti,Hive和BlackCat。
微软表示,它最近观察到网络犯罪行为者通过将Sliver和其他后期开发软件嵌入到Bumblebee(又名COLDTRAIN)加载器中来丢弃它们,该加载器于今年早些时候作为BazarLoader的继任者出现,并与更大的Conti集团共享链接。
从Cobalt Strike到免费提供的工具的迁移被视为对手试图减少他们在受损环境中暴露的机会,并使归因具有挑战性,使他们的活动具有更高的隐身和持久性。
Sliver并不是唯一引起恶意行为者注意的框架。最近几个月,一个可疑的俄罗斯国家赞助团体开展的活动涉及另一个名为Brute Ratel的合法对抗性攻击模拟软件。
诈骗者使用币安高管的深度伪造人工智能全息图来诈骗加密项目
8月29日报道,Binance 首席通信官 Patrick Hillmann 证实,诈骗者使用他的 Deepfake AI 全息图诱骗用户参加在线会议并针对公司客户的项目。
Hillmann 在一篇博客文章中解释说,这次攻击是由一个“老练的黑客团队”精心策划的,他们使用采访和电视露面的视频片段来制作 deepfake 视频。
这位高管还报告说,该公司观察到在 Twitter、LinkedIn、Telegram 等平台上冒充币安员工和高管的诈骗者数量激增。
诈骗者使用这个 Deepfake 全息图,诱骗人们参加在线会议,并针对 Binance 客户及其加密项目。
Ecliptic Dynamics 推出 OIS v4,为调查 OSINT 和暗网的研究人员增加网络保护
8月30日报道,英格兰切尔滕纳姆2022 年 8 月 30 日/美通社/ --隔离网络访问和虚拟数字基础设施提供商Ecliptic Dynamics推出了其OIS 安全网络浏览器的升级版本,为深入研究的调查人员增加了另一层保护开源情报(OSINT)和暗网。
新的 OIS v4 将继续为用户提供访问互联网服务的网关,具有卓越的安全性和隐私性,并提高了稳定性和安全性。在 OIS 中进行的一切都包含在 OIS 中,风险完全由软件吸收,并将其从用户或组织中移除。将用户及其数据与公司设备隔离开来,可以将在线活动锁定在一个单一的环境中,其中只有像素被传送到用户的屏幕上,而没有其他任何东西被传输到设备上。这可以防止恶意软件、勒索软件和其他网络犯罪攻击。OIS 软件可以随时随地从任何设备访问。这种无客户端方法意味着 OIS 用户的在线足迹最小,从而消除了网络威胁的风险。
云体现代协作的安全优势
8 月 30 日报道,通过利用云服务,组织不再需要在“更安全”和“更好的可用性”之间做出选择。
使用云服务时,重要的是要平衡“开放”信息访问(允许协作)的需求与“锁定”以保护敏感信息的需求。
我们经常听说组织将访问控制过于严格,阻碍了有效的协作。可以理解的是,有工作要做的沮丧用户将更有可能使用影子IT服务。这篇博客文章解释了通过云服务进行协作如何提供优于传统方法的安全优势。
传统和现代协作实践
与外部组织协作的传统方式涉及共享信息副本,例如通过使用电子邮件和电子邮件附件。这种协作会在多个位置创建多个信息拷贝,这使得管理对信息的访问变得困难。
云服务中的现代协作不是共享副本,而是通过共享对存储在单个位置(云)中的信息的访问来工作。然后,用户可以以不同的方式进行协作,其中包括:
(1)查看云存储服务中的文件
(2)参与即时消息服务中的对话
(3)检查云日历服务中的可用性
现代方法的安全优势
使用现代协作,信息主要保留在云服务中。这意味着云服务中的安全控制可以:
控制谁有权访问信息以及他们可以使用这些信息做什么
使用更好的审核和可见性来查看信息的处理方式
通过共享对信息的访问权限(而不是共享信息本身),可以在必要时更改和撤销权限。例如,当项目结束时,可以撤销对信息的访问权限。这也有助于响应安全事件,例如,当用户被错误地添加为收件人时,或者合作伙伴组织报告其自己的 IT 遭到破坏时。使用传统协作,在共享信息后召回(或删除)信息要困难得多。
当信息保留在云服务中时,其活动日志可用于查看其处理方式。这包括其他组织中的用户执行的操作。如果事件确实影响了共享信息,则可以使用这些日志来调查进行了哪些未经授权的访问。使用传统协作时,必须从每个收件人收集活动日志。
付诸实践
NCSC最近与中央数字与数据办公室合作开展了一个项目,以提高公务员制度中协作的互操作性和有效性。我们的参与旨在帮助政府组织了解和实现使用云服务进行现代协作的安全优势。
在这个项目中,我们强烈主张采用“默认允许,明确拒绝”的方法来授权收件人。此方法意味着允许用户与给定收件人共享访问权限,只要他们不在拒绝列表的覆盖范围内.
我们推荐这种方法,因为我们相信它:
(1)提高效率,因为用户被信任继续他们的工作,而不会受到不必要的限制和流程的阻碍或延迟
(2)保持对安全性的信心,因为组织可以使用企业治理的服务(而不是影子IT)中的活动审核来验证用户是否意外滥用了此信任
(3)减少管理开销,因为管理员不需要维护外部合作伙伴的显式允许列表
因此,政府部门将能够更灵活,更有效,更安全地相互协作及其合作伙伴。有时,您必须在更高的安全性和更好的可用性之间做出决定。幸运的是,在这种情况下,我们认为组织可以两者兼得。
当然,在协作时,恶意内部人员总是存在一些风险,但无论您是通过电子邮件附件共享信息还是使用云服务的本机共享功能,这都适用。我们认为,安全良好实践可以切实降低这种风险(例如使用安全的移动设备来降低恶意应用程序故意窃取信息的风险),而不会妨碍有效的协作。
NIST的5G演示网络接近完成
8 月 30 日,据IT安全专家Mike Bartock称,美国国家标准与技术研究院预计将在两个月内推出5G网络,用于向机构展示安全功能。
NIST的国家网络安全卓越中心在12个行业合作伙伴的帮助下,继续构建一个整体的网络基础设施,具有必需和可选的安全控制。
这项被称为5G网络安全项目的努力最终将产生一个参考架构,用于实现第三代合作伙伴项目国际公认的移动电信标准未解决的安全功能。
参考架构不仅将记录网络的设计和架构,还将将其映射到NIST网络框架,800-53控件和相关电信标准,以帮助机构验证其安全级别。NCCoE试图实现的缓解措施将包括在内。
NCCoE 使用硬件信任根来测量组成数据中心的所有服务器的启动时间,因此它可以创建环境中仍处于受信任状态的服务器的允许列表。该列表可以扩展到网络函数业务流程协调程序,该业务流程协调程序控制运行这些函数的服务器。
美空军启动“硬件与软件防篡改技术”计划
8月30日报道,8月26日,美空军发布“硬件与软件防篡改技术”计划信息征询书草案,寻求防篡改技术,以保护美国武器和军事系统免受逆向工程(可危及关键项目信息)风险,并防止对手开发反制措施、进行非预期技术转让,以及应对因逆向工程而造成的系统更改等。
该计划重点关注:安全处理技术,将开发在单板计算机、微电子及商业处理设备中建立和维持安全处理的产品和技术,并能将其扩展至与硬件、知识产权、安全管理软件等相关的设备;密码保护技术,将通过加密算法、加密密钥生成、密钥存储产品、阻止对手获取密钥材料等解决方案来保护产品和技术中的关键信息。
美国陆军审查网络组合以争取数字主导地位
8 月 31 日报道,据副部长加布·卡马里洛(Gabe Camarillo)称,随着美国陆军在日益以数字化为先的战斗中寻求主导地位,一项对美国陆军数据和通信网络现代化的全面研究正在进行中。
尽管现在得出任何结论还为时过早,但卡马里洛在 8 月 23 日告诉记者,该计划是为了更好地了解升级通信和信息共享能力的所有情况,并确定下一个重大步骤可能在哪里。
评估涵盖被认为对军事优势至关重要的主题,包括统一网络运营、网络安全、云迁移和采用、数据分析、战术无线电和卫星通信。
3、安全业界动态
CISA警告关键基础设施为大规模后量子系统迁移做好准备
8月26日报道,随着公共和私有技术实体开始探索量子计算如何帮助和破坏其行业,网络安全和基础设施安全局正在建议关键基础设施组织准备保护其系统免受强大的量子解密算法的影响。
在一份新的通知中,CISA官员概述了组织的风险和缓解技术,要求他们开始为即将到来的后量子密码学标准准备他们的系统。周三发布的洞察文件侧重于保护存储在数字网络上的敏感数据免受未来量子计算的影响。
“虽然能够打破当前标准中公钥加密算法的量子计算技术尚不存在,但政府和关键基础设施实体(包括公共和私人组织)必须共同努力,为新的后量子加密标准做好准备,以抵御未来的威胁,”该见解写道。
数据加密是安全在线通信的基石,它基于内置于现代应用程序和通信设备中的公钥和私钥加密的组合运行。
虽然可以托管量子计算的可行机器仍然不能广泛使用,但专家指出,一旦量子计算机成功运行,其算法将能够打破经典计算机使用的标准公钥加密。CISA强调,这对国家关键职能部门或有助于国家安全、生产线和公共卫生等基础设施的系统尤其有害。
为了在可行的量子计算机成为可能之前防止广泛的量子黑客攻击,CISA希望在关键基础设施内工作的组织开始向后量子密码学的网络迁移。
在更多的后量子算法出现之前,CISA通知称,采用对称密钥加密的网络 - 只允许在通信设备之间使用一个密钥 - 不太容易受到量子算法黑客的攻击。对于关键基础结构组织,还建议使用更长的密钥大小。
“虽然后量子计算有望产生重大效益,但我们现在必须采取行动来管理潜在风险,包括破解美国网络赖以保护敏感信息的公钥加密的能力,”CISA国家风险管理中心代理助理主任Mona Harrington说。“关键基础设施和政府领导人必须积极主动,现在就开始为向后量子密码学的过渡做准备。
官员们指出,美国国家标准与技术研究院(National Institute of Standards and Technology)有望在2024年发布其正式的后量子加密标准。随着一些恶意行为者参与诸如捕获和利用数据黑客之类的策略,CISA官员建议组织他们应该开始制定计划,将其网络迁移到抗量子密码学。
联邦政府多年来一直在监测量子领域的发展,随着白宫2020年推出 quantum.gov 达到顶峰,这进一步刺激了旨在支持美国在新兴领域的创新的行政指令。
美国加密货币平台Coinbase因涉嫌安全漏洞而面临集体诉讼
8月27日报道,原告Manish Aggarwal表示,美国交易量最大的加密货币平台未能阻止黑客从他的账户中抽取20万美元,尽管已经启用了多因素身份验证。他在加利福尼亚州北区提起的投诉还详细描述了一个长达数天的传奇故事,在登录他的帐户时遇到困难后,可以联系到一位人类代表。
起诉书称,Coinbase“在保护其用户帐户免受非法入侵和盗窃方面做得很糟糕”,并且在帮助客户进行入侵后安全性方面“做得更糟”。普通账户持有人只能“浏览一个无处可去的无处可去的自动化'客户服务'流程。
该诉讼代表自2021年4月1日以来从其账户中被盗资金的所有Coinbase客户寻求集体诉讼状态。原告律师要求赔偿,包括涉嫌违反《电子资金转账法》的三倍赔偿。
威胁行为者MuddyWater利用Log4j 2漏洞针对以色列的组织
8月27日报道,总部位于伊朗的威胁行为者MuddyWater(被微软跟踪为MERCURY)一直在利用SysAid应用程序中的Log4j 2漏洞来针对以色列的组织。
这一消息来自微软安全研究人员的一项新建议,他们周四表示,他们可以高度自信地评估MERCURY观察到的活动隶属于伊朗情报和安全部(MOIS)。
“在2022年7月23日和25日,观察到MERCURY使用针对易受攻击的SysAid Server实例的攻击作为其初始访问媒介,”微软写道。“根据对目标环境中发现的过去活动和漏洞的观察,[我们]评估所使用的漏洞最有可能与Log4j 2有关。
事实上,微软威胁情报中心(MSTIC)和微软365 Defender研究团队发现的新颖活动与以前的MERCURY活动不同,因为它是该小组利用SysAid应用程序作为初始访问媒介的第一个活动。
“获得访问权限后,MERCURY建立持久性,转储凭据,并使用自定义和众所周知的黑客工具以及用于键盘手动攻击的内置操作系统工具在目标组织内横向移动,”该公告写道。
微软还包括MERCURY使用的常用技术和工具列表,其中包括鱼叉式网络钓鱼,以及毒液代理工具,Ligolo反向隧道技术和自制PowerShell程序等程序。
新的MagicWeb AD漏洞利用显示了云、零信任的价值
8月28日报道,微软在本周的一份警报中表示,与2020年Solar Winds供应链黑客事件有关的俄罗斯国家赞助组织Nobelium通过在一个未命名的组织中获得“高度特权凭据”来部署MagicWeb,然后横向移动以获得Active Directory Federated Services系统的管理权限。
Microsoft表示,MagicWeb是一个恶意DLL,允许操纵Active Director服务器生成的令牌中传递的声明,使攻击者能够“以任何用户身份登录”并绕过多因素身份验证。为了防止此类攻击,这家软件巨头建议隔离基础架构,确保适当的监视,限制对专用管理员帐户的访问,并考虑迁移到基于云的解决方案(如Azure Active Directory)进行联合身份验证。
该事件凸显了对Azure Active Directory采取混合方法的固有弱点,近年来许多组织在跨越数据中心和云时都采用了这种方法,总部位于加利福尼亚州圣何塞的AI网络安全公司Vectra的SaaS Protect首席技术官Aaron Turner说。许多人认为,在旧版 Active Directory 中保留对帐户的本地控制,可以更好地了解危害身份的尝试。
CISA 在其已知被利用漏洞目录中增加了 10 个新漏洞
8月29日报道,美国网络安全和基础设施安全局(CISA)在其 已知利用漏洞目录中添加了 10 个新漏洞,其中包括一个 影响 Delta Electronics 工业自动化软件的高严重性安全漏洞(CVE-2021-38406 CVSS 评分:7.8)。
根据具有约束力的操作指令 (BOD) 22-01:降低已知被利用漏洞的重大风险,FCEB 机构必须在截止日期前解决已识别的漏洞,以保护其网络免受利用目录中漏洞的攻击。
据美国机构称,Delta Electronics DOPSoft 2 在解析特定项目文件时缺乏对用户提供的数据的正确验证(输入验证不正确)。攻击者可以触发漏洞导致越界写入并实现代码执行。
重要的是要强调没有安全补丁可以解决这个问题,并且受影响的产品已经报废。
CISA 还在Apple iOS、macOS 和 watchOS 中添加了一个 Sanbox 绕过漏洞,跟踪为CVE-2021-31010 (CVSS 分数:7.5)。
“在受影响的 Apple iOS、macOS 和 watchOS 版本中,沙盒进程可能能够绕过沙盒限制。” 阅读咨询。
添加到目录中的其他漏洞是:
CVE-2022-26352 – dotCMS 无限制上传文件漏洞
CVE-2022-24706 – Apache CouchDB 不安全的资源默认初始化漏洞
CVE-2022-24112 – Apache APISIX 身份验证绕过漏洞
CVE-2022-22963 – VMware Tanzu Spring Cloud Function 远程代码执行漏洞
CVE-2022-2294 – WebRTC 堆缓冲区溢出漏洞
CVE-2021-39226 – Grafana 身份验证绕过漏洞
CVE-2020-36193 – PEAR Archive_Tar 不正确的链接解析漏洞
CVE-2020-28949 – PEAR Archive_Tar 不可信数据反序列化漏洞
CISA 命令联邦机构在 2022 年 9 月 15 日之前修复这些漏洞。
Nitrokod 加密矿工感染了 11 个国家/地区的系统
8月29日报道,研究人员发现了一个位于土耳其的加密矿工恶意软件活动,被追踪为 Nitrokod,它感染了 11 个国家的系统。
Check Point 研究人员发现了一个名为 Nitrokod 的土耳其加密矿工恶意软件活动,该活动感染了 11 个国家/地区的机器
威胁参与者从包括 Softpedia 和 uptodown 在内的数十个免费软件网站上的流行软件中删除了恶意软件。专家注意到,该软件也可以通过谷歌搜索“谷歌翻译桌面下载”轻松找到。
说五种语言的拜登显示了深度伪造技术的潜力和风险
8月30 日报道,8 月 26 日,在阿拉巴马州蒙哥马利空军军事大学举办的一次研讨会上,学生们观看了一段视频,视频是乔·拜登总统在联合国发表讲话,同时轻松地在包括普通话和俄语在内的五种语言之间切换。
该视频是一段合成媒体,通常被称为“深度伪造”。Deepfake 是结合机器学习和人工智能创建的,是一种超现实的视频,可以用另一个人的肖像代替一个人的肖像,或者似乎向他们展示了他们从未做过的事情。
未经授权的名人和其他政客的深度伪造已经在社交媒体视频平台上广泛传播,引发了人们对可能使用合成媒体传播虚假信息的担忧。
詹姆斯·韦伯望远镜图像用于隐藏恶意软件
8月31 日报道,Securonix威胁研究团队已经确定了一种使用詹姆斯韦伯望远镜图像的普及来传播恶意软件的相当独特的方法。
该恶意软件正在通过包含Microsoft Office附件的网络钓鱼活动进行传播。与传统的 Office 宏类似,模板文件包含一个 Visual Basic 脚本,一旦用户启用宏,该脚本将启动此攻击的第一阶段代码执行。通过几个步骤,实际的有效负载被证明是一个充当后门的Golang二进制文件。
Xage 网络安全服务将纵深防御功能与零信任安全性相结合,实现主动式网络防御
9月1日报道,零信任安全公司Xage推出了网络安全服务,以加速向主动网络防御的转变。它还将有助于提高运输安全管理局(TSA)对石油和天然气管道运营商的网络安全要求的合规性。这些服务提供评估、设计、实施和支持服务,帮助实现主动式网络防御转型。它们还可用于立即了解网络就绪情况,促进工业网络安全最佳实践的采用,并快速增强组织的工业网络安全态势。
利用其工业控制系统 (ICS)、运营技术 (OT) 和网络安全经验,Xage 网络安全服务建立在行业公认的网络安全标准之上,涵盖了现代工业网络安全计划的所有重要方面。它们通过对运营环境的评估,帮助组织获得对其网络安全状况的新级别的可见性。此外,Xage的一个团队还将通过对运营网络、系统、政策和程序的深入分析,协助发现差距、潜在问题和新效率的机会。
4、网络攻防动态
随着新的恶意软件种类的激增,勒索软件攻击激增
8月26日报道,根据网络安全公司NCC Group的数据,由于涉及较新的恶意软件感染目标的攻击增加,勒索软件案件增加了47%。
据这家通过跟踪发布受害者详细信息的网站发布勒索软件活动半定期报告的公司称,7月份报告的事件从6月份的135起增加到198起。
就在本周,与LockBit相关的勒索软件攻击者一直在部署其恶意软件的强大新版本,阻碍了一家法国医院,导致一些患者不得不被重定向到其他设施。
根据NCC集团的数据,LockBit与7月份的62起事件有关,比其6月份的52起已知事件高出近20%。该公司写道,LockBit仍然是“最具威胁性的勒索软件集团,所有ogranisation都应该意识到这一点。
Hive和BlackBasta在报告的攻击数量上紧跟着LockBit。这两个组织都与Conti有联系,Conti曾经是俄罗斯入侵乌克兰后分裂之前最多产的勒索软件组织。勒索软件小组由与分支机构合作的核心开发人员小组组成,一些分裂的机构一次与多个小组合作。
NCC集团的报告还指出,以Lazarus集团的名义广泛追踪的朝鲜网络犯罪分子的持续活动。今年4月,该组织与6.25亿美元的加密货币盗窃案有关,7月初,三个美国政府机构警告说,朝鲜的另一项努力是毛伊岛勒索软件变体背后的原因,该变体已经看到攻击医疗保健和公共卫生组织。据报道,6月,拉撒路集团(Lazarus Group)在加利福尼亚州的Harmony's Horizon Bridge上单独盗窃了1亿美元。
网络安全公司Mandiant在三月份的一份分析中解释说,拉撒路集团有时已成为一系列独特而微妙的朝鲜网络活动的包罗万象,从敲诈勒索到间谍活动再到网络犯罪。
密码管理巨头LastPass被黑客窃取源代码
8月27日报道,密码管理巨头LastPass本月早些时候透露了一起安全事件的细节,其中专有信息被威胁行为者窃取。
该公司声称拥有超过3300万全球用户,其中包括超过10万个商业账户,该公司表示入侵发生在两周前。
“我们已经确定, 未经授权的一方通过一个受感染的开发人员帐户访问了 LastPass 开发环境的部分内容, 并获取了部分源代码和一些专有的 LastPass 技术信息.我们的产品和服务正常运行,“它解释道。
这不是LastPass客户的第一个安全恐慌.早在 2015 年, 威胁行为者设法访问 LastPass 帐户电子邮件地址, 密码提醒, “服务器每用户盐” 和身份验证哈希.
在 Atlassian Bitbucket 服务器和数据中心中发现的严重漏洞
8月27日报道,Atlassian 已经针对 Bitbucket Server 和 Data Center 中的一个关键安全漏洞推出了修复程序,该漏洞可能导致在易受攻击的安装上执行恶意代码。
跟踪为 CVE-2022-36804(CVSS 分数:9.9),此问题已定性为多个终结点中的命令注入漏洞,可通过特制的 HTTP 请求加以利用。
“有权访问公共Bitbucket存储库或具有私有存储库读取权限的攻击者可以通过发送恶意HTTP请求来执行任意代码,”Atlassian在一份咨询中说。
安全研究人员发现并报告的缺点@TheGrandPew影响6.10.17之后发布的所有版本的Bitbucket Server和Datacenter,包括7.0.0及更高版本 -
Bitbucket Server and Datacenter 7.6
Bitbucket Server and Datacenter 7.17
Bitbucket Server and Datacenter 7.21
Bitbucket Server and Datacenter 8.0
Bitbucket Server and Datacenter 8.1
Bitbucket Server and Datacenter 8.2,以及
Bitbucket Server and Datacenter 8.3
作为无法立即应用修补程序的临时解决方法,Atlassian 建议使用“feature.public.access=false”关闭公共存储库,以防止未经授权的用户利用该漏洞。
Twilio漏洞让黑客可以访问Authy 2FA帐户
8月28日报道,Authy 2FA是Twilio公司提供的双因素身份验证服务,允许用户通过在输入登录凭据后通过专用应用程序进行第二次识别来保护其支持该功能的在线帐户。
登录启用了2FA的帐户时,Authy将提供登录所需的额外一次性密码。这可以防止访问帐户,即使登录凭据已泄露也是如此。因此,保护您的Authy帐户至关重要,因为如果黑客可以访问它,他们就可以登录到您受感染的帐户。
该服务非常受欢迎,可与Google的身份验证器相媲美,并为多个设备提供支持,在注册设备之间同步生成的2FA令牌。
周四,Twilio宣布,8月4日获得对其基础设施访问权限的威胁行为者还访问了93个Authy用户的帐户,并将设备链接到这些帐户。
Twilio强调,受感染的Authy帐户属于个人用户,仅占7500万用户总数的一小部分。但是,对于这93个用户,黑客将能够访问为Authy用户帐户生成的2FA代码。
目前尚不清楚93名Authy用户是否是黑客的专门目标。
北约成员国黑山关键基础设施遭遇“前所未有”的网络攻击
8月29日报道,据悉,黑山国家基础设施遭到大规模“前所未有的”网络攻击。袭击了黑山政府的数字基础设施,政府已及时采取措施减轻其影响。另外,黑山立即向北约其他成员国报告了这次袭击.
公共行政部长 Maras Dukaj 说:“出于安全原因,某些服务被暂时关闭,但属于公民和公司的账户及其数据的安全并未受到威胁。”
据部长称,袭击于周四晚上开始。美国驻黑山大使馆建议美国公民将在该国的行动和旅行限制在必需品范围内,并保持最新且易于获取的旅行证件,担心这次袭击可能会影响政府识别黑山居民身份和交通的基础设施。
美国驻首都波德戈里察大使馆的网站报道说:“正在进行持续不断的网络攻击,攻击可能包括对公用事业、交通(包括边境口岸和机场)和电信部门的破坏。”
谷歌启动重大开源漏洞赏金计划
8月30 日报道,谷歌今天宣布了一项新计划,旨在奖励在其开源项目中发现错误的研究人员。
开源软件漏洞奖励计划(OSS VRP)将激励道德黑客在谷歌维护的主要项目(如 Golang、Bazel、Angular、Fuchsia 和协议缓冲区)中提高开源代码的安全性。
OSS VRP 将特别关注所有最新版本的开源软件和存储在 Google 拥有的 GitHub 组织的公共存储库中的存储库设置,以及这些项目的依赖关系。
谷歌表示欢迎提交以下内容:
(1)导致供应链受损的漏洞
(2)导致产品漏洞的设计问题
(3)其他问题,例如敏感或泄露的凭据、弱密码或不安全的安装。
“根据漏洞的严重程度和项目的重要性,奖励将从 100 美元到 31,337 美元不等,”这家科技巨头表示。“更大的金额也将用于不寻常或特别有趣的漏洞,因此鼓励创造力。”
OSS VRP 将与谷歌在 Chrome、Android 和其他业务部分的 VRP 并列。自大约 12 年前启动第一个项目以来,这些项目已经奖励了超过 13,000 份提交,并在此过程中支付了超过 3800 万美元。
开源漏洞是继Log4Shell 漏洞利用和随后的后果之后的重大新闻。许多 DevOps 团队现在使用第三方开源组件来加快其产品的上市时间,但存储库通常包含错误。
联邦调查局:黑客正在利用DeFi漏洞窃取资金
8月30 日报道, 联邦调查局警告说,网络犯罪分子越来越多地利用分散式金融(DeFi)平台中的漏洞来窃取投资者资金。
在昨天的一份公共服务公告(PSA)中,美联储声称智能合约代码中的漏洞以多种方式成为目标,包括:
(1)通过启动闪购贷款,触发漏洞利用,导致投资者和开发商损失约300万美元的加密货币
(2)通过利用DeFi平台令牌桥中的签名验证漏洞,导致3.2亿美元的损失
(3)通过漏洞利用操纵加密货币价格对,进行杠杆交易,窃取了大约3500万美元的加密货币
联邦调查局引用了区块链分析公司Chainalysis的数据,该数据显示,黑客在今年前三个月就设法窃取了13亿美元的加密货币。它声称,这些资金中约有97%是从DeFi平台窃取的,高于2021年的72%和2020年的30%。
多家关键基础设施工业设备发现 ICS 网络安全漏洞
8月31日报道,美国网络安全和基础设施局发布了网络安全公告,警告关键基础设施部门其设备中存在硬件漏洞。日立能源的四款产品、霍尼韦尔的三款产品以及富士电机、欧姆龙、PTC、Sensormatic和三菱电机的四款产品都发现了安全漏洞,这些产品通常部署在关键基础设施领域,包括能源和关键制造业。
CISA警告能源部门,日立能源的RTU500系列中存在不正确的输入验证漏洞,其中HCI Modbus TCP是通过项目配置配置和启用的。该漏洞可能导致内部缓冲区溢出,从而重新启动产品。Hitachi Energy 建议能源部门对过程控制系统进行物理保护,防止未经授权的直接物理访问,并使用仅打开端口的防火墙系统将过程控制系统与其他网络分开。
CISA披露,霍尼韦尔在多个关键基础设施领域部署的ControlEdge和Experion LX设备中,存在关键功能漏洞的缺失身份验证。同时,霍尼韦尔的趋势控制IQ系列存在敏感信息的明文传输,该系列采用控制器间(IC)协议。
霍尼韦尔呼吁产品受影响和不受支持的用户通过信誉良好的供应渠道采购和利用当前支持的硬件,并在可用时应用产品更新。组织还必须遵循产品安全手册中的指导,以确保隔离楼宇自动化控制器所在的网段,并确保在OT和IT网段之间实施足够的安全控制。
在富士电机的D300win设备中检测到越界读取和写入漏洞,这可能导致敏感数据丢失和信息操纵。越界读取问题可能允许攻击者从进程内存中泄漏敏感数据。相反,写入位置条件可能允许攻击者覆盖程序内存以操纵信息流。
勒索软件频繁攻击拉丁美洲的政府机构
9月1日报道,在过去的几个月里,拉丁美洲的几个政府机构成为勒索软件攻击的目标,最新的受害者是智利和多米尼加共和国。
智利内政部上周报告说,一个政府机构的系统和在线服务被一个针对Windows和VMware ESXi服务器的勒索软件破坏。勒索软件对受感染系统上的文件进行加密,并使用扩展名 .crypt对其进行重命名。目标机构似乎是该国的国家消费者服务机构Sernac,该机构确保消费者权益得到保护。
智利当局已经公开了一些妥协指标(IoC),根据现有信息,SecurityWeek认为该事件涉及相对较新的RedAlert勒索软件,也称为N13V。
RedAlert使用双重勒索,加密受害者的文件并威胁要泄露从其系统中窃取的数据,除非支付赎金。RedAlert基于Tor的泄密网站在撰写本文时并未提及任何智利政府机构。
Bleeping Computer报告称,Quantum勒索软件参与了此次攻击。网络犯罪分子声称窃取了超过1Tb的文件,并要求支付650,000美元的赎金。目前数据泄露网站上没有提到IAD。
本月早些时候,勒索软件还袭击了阿根廷科尔多瓦司法机构,迫使该组织关闭系统和服务。
Bleeping Computer 报道称,该事件涉及一种名为“Play”的新文件加密勒索软件。5月,Conti勒索软件背后的黑客以哥斯达黎加的计算机系统为目标,并威胁要推翻政府。
大约在同一时间,网络犯罪分子还宣布入侵秘鲁的一个政府组织。由于 Conti业务不久后关闭,可能是由于该品牌变得有毒,因此这些攻击似乎是为了大撤退而做出的努力的一部分。
研究人员介绍了新兴的跨平台BianLian勒索软件攻击
9月1日报道,新兴的跨平台BianLian勒索软件的运营商本月增加了他们的命令和控制(C2)基础设施,这一发展暗示着该组织的运营节奏加快。
网络安全公司在与The Hacker News分享的一份报告中称,使用Go编程语言编写的BianLian于2022 年7月中旬首次被发现,截至9月1日已声称有15个受害者组织。
值得注意的是,双重勒索勒索软件系列与同名的Android银行木马没有联系,该木马针对移动银行和加密货币应用程序窃取敏感信息。
对受害者网络的初始访问是通过成功利用ProxyShell Microsoft Exchange Server漏洞实现的,利用它来丢弃web shell或ngrok有效负载以进行后续活动。
“BianLian还针对SonicWall VPN 备进行利用,这是勒索软件组织的另一个常见目标,”研究人员Ben Armstrong、Lauren Pearce、Brad Pittack和Danny Quist说。
与另一种名为Agenda的新Golang恶意软件不同,BianLian攻击者从初始访问到实际加密事件的停留时间最长可达6周,这一持续时间远高于2021年报告的 15天入侵者停留时间的中值。
除了利用离地生活(LotL) 技术进行网络分析和横向移动外,该组织还部署定制植入物作为维持对网络的持久访问的替代手段。
5、网络作战演训动向
美陆军驻北极部队首次使用“能力集21”套件进行实战训练
8月30日报道,近期,驻阿拉斯加州的美陆军第11空降师第2步兵旅级战斗队首次使用“能力集21”套件进行实战训练,旨在提高机动性和战场通信能力。该套件包括电台、可变高度天线和小型卫星终端,“可为营级以下的指挥官和领导提供多样化的通信路径选择,并能在其行动区内允许的情况下接入“安全但非密”网络。”训练完成后,该旅各分队将在即将举行的跨太平洋演习中使用“能力集21”系统。
(转自 网络安全应急技术国家工程实验室)