法规政策,业界动态,安全事件,媒体之声,从早前的“在看”,到后来的“网安同期声”,安在栏目一直调整,唯有一点不变,与网安发展同步,采业界资讯共赏。
本期特邀专家
蔚晨
某金融科技公司信息安全专家
前景提要:
本周重点事件为搜狐内部邮件欺诈事件,同时通过几起勒索事件的介绍,分析了勒索软件的发展趋势。行业报告中《中国攻击面管理市场白皮书》与《保护5G:中美安全竞争的出路》值得重点关注。另外在国家政策与新技术、新产品方面也有不少亮点。
本期重点事件
搜狐员工遭大规模“工资补助”诈骗,企业邮箱服务安全性被质疑(阅读原文)
一家老牌互联网公司,同时也是国内较早的邮件服务提供商,多名员工却遭遇邮件诈骗数万元,近日“搜狐员工遭工资补助诈骗”引发业界热议,冲上微博热搜第一。
5月25日,搜狐公司董事局主席兼CEO张朝阳终于对外回应此事,称“事情不像大家想象那么严重。搜狐一个员工的内部邮箱密码被盗,盗贼冒充财务部发信给员工,发现后技术部门紧急处理,资金损失总额少于5万元。不涉及对公共服务的个人邮箱。”
一位网络安全专家告诉第一财经记者,搜狐的遭遇其实不是孤例,同样操作手法的诈骗案多次出现,已有多个互联网公司中招。而搜狐的案例很有可能是一起典型的OA钓鱼攻击事件,而问题的原因不仅仅是员工意识淡薄,企业IT系统的弱点也因此暴露。
此前,一份微信群聊记录,搜狐全体员工在5月18日早晨收到一封来自搜狐财务部名为《5月份员工工资补助通知》的邮件。这封邮件的发件地址为sohutv-legal@sohu-inc.com,属于搜狐内部域名,且公司日常报销也确实需要提供账号,一些搜狐员工因此点击进去,并按要求填写了银行账号等信息。
但员工非但没有等来补助,工资卡内的余额也被划走。
第一财经记者向多名搜狐内部员工确认了上述诈骗邮件,并有员工对记者表示,“因为看到是内部邮箱所以确实放松了警惕。”
聊天记录显示,事后搜狐迅速采取了行动,包括立刻删除了相关邮件,并由相关部门出面,汇总遭遇诈骗员工的信息并到派出所报案。
搜狐的遭遇并非孤立。今年2月时,就有员工爆料称B站内部邮件存在钓鱼链接,致使员工财产受损。
点评:
除了企业内部系统仍旧存在一定的漏洞外,员工安全意识的培养必然是重中之重,因为人的情感并不是一台逻辑精密、一成不变的系统,情感的多变性恰恰是最大的漏洞。人性存在贪婪、欲望、畏惧、私密、好奇、粗心等缺陷,只要抓住其中一点,很容易便成为突破口。
因此,面对各种复杂的天灾人祸,企业内部的钓鱼测试必不可少,虽然有可能最后测试结果看起来不那么美妙,但是测试久了,总能引起员工的警惕注意与防范经验,总比真被钓鱼诈骗的好。
而对于系统漏洞,企业应该部署邮件安全系统或邮件威胁识别系统,企业邮箱系统需要开启强制弱口令检测,强制定期改密码,尽可能降低邮箱盗号风险。
专家点评:
邮件欺诈其本质是因欺诈的成本极低,受害者不但被动而且不可拒绝。这对于邮件接收者的安全预警意识及规范化的行为操作有很高的要求。企业经过多年对员工的培训、演练其实已经大量的杜绝了例如中奖、优惠等虚假邮件初级欺诈行为的发生。但防不胜防,若邮件发送者冒充内部人员进行欺诈,被拦截的可能性就会大大降低,同时接收者也会因为内部邮件而降低防范意识。这种情况不仅仅只是企业内部员工安全意识的问题,更上升到企业该如何规范特定数据使用的要求,例如要求个人信息数据收集不得通过邮件方式进行,必须通过特定应用授权认证方可处理;邮件仅具有通知、请示作用,不得通过邮件完成数据交互等要求;这其实对企业的工作行为规范化、应用自动化的要求很高,虽然会降低效率但本质却是提升整体安全能力。
网安行业热点
1.《最高人民法院关于加强区块链司法应用的意见》
到2025年,建成人民法院与社会各行各业互通共享的区块链联盟,形成较为完备的区块链司法领域应用标准体系,数据核验、可信操作、智能合约、跨链协同等基础支持能力大幅提升;区块链在多元解纷、诉讼服务、审判执行和司法管理工作中得到全面应用,有效促进司法公信,提升司法效率,强化廉洁司法;司法区块链跨链联盟融入经济社会运行体系。
2.中共中央办公厅 国务院办公厅印发《关于推进实施国家文化数字化战略的意见》
《意见》明确,到“十四五”时期末,基本建成文化数字化基础设施和服务平台,形成线上线下融合互动、立体覆盖的文化服务供给体系。到2035年,建成物理分布、逻辑关联、快速链接、高效搜索、全面共享、重点集成的国家文化大数据体系,中华文化全景呈现,中华文化数字化成果全民共享。
3.工业网关系列团体标准正式发布
2022年5月13日,由国家工业信息安全发展研究中心(以下简称“中心”)牵头,上海繁易、华辰智通、微茗智能、树根互联、研祥智能等20余家企业院所共同编制的《工业网关第1部分:通用技术要求》、《工业网关第2部分:面向PLC和传感器的工业网关评测技术规范》、《工业网关第3部分:面向数控系统的工业网关评测技术规范》三项团体标准获中国机电一体化技术应用协会正式批准发布。
4.《互联网平台及产品服务隐私协议要求》征求意见
《互联网平台及产品服务隐私协议要求》通过借鉴国外立法和标准的研究,结合国内应用实践和标准编制组的科研成果,提出与国际标准接轨、适合我国国情,并具有一定创新性的标准。为组织、监管部门、第三方测评机构等开展评估工作提供的指导和依据。
报告
1.兰德报告《保护5G:中美安全竞争的出路》
该报告主要介绍了 5G 的安全问题、5G 供应链状况以及 5G 设备和移动设备市场的竞争格局。此外,还着重分析了5G 安全竞争中中美企业各自的技术与市场优势,最后为美国5G网络和移动设备安全保护,以及美国盟友和外国伙伴国家安全使用的5G网络和移动设备提出建议。本文主要摘译报告部分内容,并进行简要评述,仅供参考。
2.《SASE技术与应用场景白皮书》发布
随着云计算技术不断发展,企业上云需求增加,同时伴随着4G和5G网络技术发展和移动端设备性能的提升,越来越多的用户通过移动端接入企业网络,基于云计算的新架构理念安全访问服务边缘SASE提出,通过将网络与安全能力通过分布式云进行交付,为多分支场景下的企业网络互联及安全问题提出了新的解决方案。
3.《2021年我国数字贸易发展报告》
《报告》分为四个部分,数字贸易的概念和发展框架、中心数字贸易测度研究回顾、我国数字贸易发展整体情况、下一步发展的对策建议。
4.《中国攻击面管理市场白皮书》
在数字化转型过程中,数字技术对企业的业务模式、组织架构和企业文化产生了积极影响,但同时也给企业带来更多的安全威胁和风险:企业暴露在互联网上的攻击面数据呈指数级增长,攻击载体也随之大量增加。攻击面正在成为攻防博弈中攻守易势的关键。在此背景下,在“2022网络安全运营技术峰会”上,国内权威咨询机构赛迪顾问重磅首发《中国攻击面管理市场白皮书》。
5.2021百度ESG报告发布
日前,百度发布《2021年环境、社会及管治(ESG)报告》,从公司治理、人才发展、数据安全与隐私、环境责任、社会责任等角度展现过去一年公司在 ESG 领域的实践成果。报告显示,百度高度重视网络安全和数据安全。通过建立完善的内部制度体系和安全管理架构,不断提升安全运营的流程管理与技术应用水平。
6.《数据安全治理白皮书4.0》正式发布
当前,发展数字经济、建设数字中国已上升为国家战略,数据正式被中央文件纳入生产要素范围,而数据的广泛应用,使得安全挑战也如影随形。我国高度重视加强数据安全顶层设计,围绕数据要素安全使用与发展进行谋篇布局,《数据安全治理白皮书4.0》编纂之时,正值《数据安全法》、《个人信息保护法》发布首年,强调统筹数据发展和安全防护并重,在保障安全和隐私前提下推动数据依法合理有效利用,各行各业对数据安全的认知与重视从而大幅度提升。
事件
1.印度第二大航司遭勒索软件攻击,大量乘客滞留在机场
印度第二大航司香料航空遭勒索软件攻击,内部系统受影响离线,导致多个航班延误数小时,大量乘客滞留在机场;这次对香料航空运营体系的网络攻击,直接影响到飞往印度及海外各国的众多乘客,数小时的延误将转化为巨大的经济损失;这是近期又一起网络攻击影响航班运转事件,此前4月,加拿大老牌航空公司阳翼航空遭网络攻击,致使航班严重延误近一周时间,大量乘客在机场滞留多天。
2.首个针对6G网络的攻击手法曝光
研究人员发现,利用办公纸、喷墨打印机、金属箔转印机和层压机等设备,可在短短五分钟内制造出足以窃听某些6G无线信号的工具;这项研究打破了无线通信行业中普遍存在的一种误解,即高频信号天然安全。
3.国际刑警组织:国家网络武器将很快在暗网上出现
国际刑警组织秘书长Jurgen Stock警告,由国家开发的网络武器会在“几年”后出现在暗网上;他呼吁商界领袖加强与政府及执法部门的合作,上报网络安全事件,明晰威胁态势。
4.俄最大银行遭到最严重DDoS攻击,普京称正经历“信息空间战争”
Sberbank安全负责人表示,俄罗斯网络安全发生了结构性转变,过去3个月来企业遭受的网络攻击呈现爆炸性增长,实力大幅提升;普京称俄罗斯正在遭受“信息空间战争”,他提出了三项关键任务,以确保俄关键信息基础设施安全。
5.最强间谍软件:某国元首被渗透 难以防范的国家安全威胁
近期,以色列间谍软件Pegasus(飞马)再次成为欧美关注的焦点。5月初,西班牙首相桑切斯确认遭飞马软件入侵,成为现任全球政府首脑的首个确认案例。此前,英国首相鲍里斯约翰逊办公室相连设备也发现 飞马间谍软件的活动痕迹。接连曝光的事件引发对监控软件使用的广泛争议。在全球开展的飞马项目调查显示,目前已在世界各地发现超过 450 起疑似飞马入侵事件,受害者分布普及世界各地,包括不少国家的领导人。
6.新出现的NetDooka恶意软件通过PrivateLoader传播
研究人员最近遇到了一个相当复杂的恶意软件框架,研究人员用它的一些组件的名字命名即NetDooka。该框架通过“按安装奖励”(pay-per-install,PPI )服务传播,包含多个部分,包括加载程序、释放程序、保护驱动程序和实现其自己的网络通信协议的全功能远程访问木马 (RAT)。在分析过程中,研究人员发现 NetDooka 正通过 PrivateLoader 恶意软件进行传播,该恶意软件一旦安装,就会启动整个感染链。
活动
1.绿盟科技网络安全学院CISA培训火热开课
CISA-国际注册信息系统审计师证书是IT职业成功的基础,能展示您采取风险导向的方式计划、实施和报告审计项目的技能,在与内部利益相关者、监管、外部审计和客户的互动中迅速建立信任。为IT审计师、合规分析师/项目经理、风险分析师/项目经理、数据安全保护经理、安全从业者/安全经理、 IT顾问等提供职业保障。
专家对上述网安行业热点(政策、报告、事件等)进行点评:
数字化战略在文化领域的推广体现了国家全面推动数字化进程的决心。同时最高院对于加强区块链技术的应用,也体现了司法领域对于安全技术应用的标准化要求。安全技术的应用、发展与国家、企业数字化转型息息相关。从本周安全事件就可以看出,国家民生的民航、金融领域仍旧是攻击重点,同时攻击带有明显的政治意图,以国家安全为核心的网络安全防护将成为国家对抗的重要部分。
网安趋势研判
2022年新型勒索软件发展趋势
趋势 1:攻击者正在尝试开发跨平台勒索软件
由于多年来越来越流行的大型狩猎 (BGH) 计划,攻击者已经渗透到越来越复杂的系统环境中。为了造成尽可能多的破坏并使恢复变得非常困难,他们试图对尽可能多的系统进行加密。这意味着他们的勒索软件应该能够在不同的架构和操作系统组合上运行。
克服这个问题的一种方法是使用“跨平台编程语言”(例如 Rust 或 Golang)编写勒索软件。使用跨平台语言还有其他几个原因。例如,即使勒索软件目前可能针对一个平台,但将其写入跨平台可以更容易地将其移植到其他平台。另一个原因是跨平台二进制文件的分析比用纯 C 编写的恶意软件要难一些。
Conti 跨平台功能
Conti 是一个开展 BGH 的组织,其目标是全球范围内的各种组织。就像许多其他 BGH 组织一样,它使用双重勒索技术。
我们注意到,只有某些关联公司才能访问针对 ESXi 系统的 Conti 勒索软件的 Linux 变体。它支持各种不同的命令行参数,会员可以使用这些参数来自定义执行。
BlackCat 跨平台功能
BlackCat 于 2021 年 12 月开始在暗网上提供服务。尽管该恶意软件是用 Rust 编写的,但我们发现了一些与 BlackMatter 组织相关的攻击示例,因为该攻击者使用了与之前在 BlackMatter 活动中观察到的相同的自定义渗透工具。由于 Rust 的交叉编译功能,我们很快就找到了同样适用于 Linux 的 BlackCat 示例。
BlackCat 的 Linux 示例与 Windows 非常相似。在功能方面,它稍微多一些,因为它能够关闭设备并删除 ESXi 虚拟机。典型的 Windows 功能(例如,通过 cmd.exe 执行命令)被删除,并被Linux的等效功能取代,因此勒索软件在其运行的不同平台上仍然具有相同的功能。
Deadbolt 跨平台功能
Deadbolt 是一个以跨平台语言编写的勒索软件示例,但目前仅针对QNAP NAS 系统。它也是 Bash、HTML 和 Golang 的有趣组合。Deadbolt 本身是用 Golang 编写的,赎金通知是一个HTML文件,它取代了QNAP NAS使用的标准索引文件,如果提供的解密密钥是正确的,则使用Bash脚本启动解密过程。这个勒索软件还有一个特别之处:它不需要与攻击者进行任何交互,因为在比特币交易的 OP_RETURN 字段中提供了解密密钥。
趋势 2:勒索软件生态系统正在变得更加“工业化”
就像合法的软件公司一样,网络犯罪组织也在不断地为自己和他们的客户开发他们的工具包,例如,使数据泄露的过程更快、更容易。攻击者有时会使用的另一个技巧是重新命名他们的勒索软件,在这个过程中一点点改变。让我们深入研究一下勒索软件组最近使用的新工具和“商业”策略。
自 2019 年以来最成功的 RaaS Lockbit 的演变
Lockbit 始于 2019 年,然后在 2020 年宣布了其附属计划。随着时间的推移,该组织一直在积极迭代,如下图所示:
该组织在开始进行恶意活动时,没有任何泄密网站,没有进行双重勒索,也没有数据加密前的数据泄露。
随着时间的推移,基础设施也得到了改善。与其他勒索软件家族一样,Lockbit 的基础设施遭受了多次攻击,迫使该组织实施一些对策来保护其资产。这些攻击包括对 Lockbit 管理面板的黑客攻击和 DDOS 攻击,以迫使该组织关闭其活动。
趋势3:勒索软件组织在地缘政治冲突中会出现政治偏向
攻击者利用新闻头条来实现他们的恶意目标。研究人员在全球 Covid-19 初始阶段看到了这一点,当时与 Covid-19 相关的垃圾邮件和网络钓鱼电子邮件激增。2022年俄乌冲突也是如此。
通常在这样的地缘政治冲突中,人们会将网络攻击的源头与国家支持的攻击组织联系起来。但事实并非总是如此,因为我们注意到,在这场冲突中,出现了一种新型的参与方式:网络犯罪论坛和勒索软件组织对形势做出反应,并采取行动。
专家对趋势进行点评:
勒索一词自出现开始就和非法占有、威胁或要挟等含义相通,随着勒索行为进入网络环境,它不但使得实施勒索者被发现被惩戒的风险变得很小,同时还因为其网络传播特性,使得被勒索者所受的危害十分巨大。勒索软件的行为是投入产出极不均衡的危害行为,尤其是当勒索行为如今已成为有组织有目的集体行为后,它不仅仅只是对个人、组织的威胁,更有为特定政治目的服务的趋势,防勒索现已成为国家安全必须重点考虑的问题和方向。
网安行业资料
资料详细名称列表
1、2021仓储物流机器人行业研究报告_甲子光年
2、2022.05.25全国稳住经济大盘电视电话会议讲话
3、GB_T 20984-2022信息安全技术 信息安全风险评估方法
4、艾瑞咨询:2021年中国IT人才供给报告
5、安全应急产业链发展白皮书
6、可信工控安全运维方案
7、智慧城市产业图谱研究报告
网安行业动态
新产品 新技术
1.360推出免费“上云替用”服务
今年疫情极大影响了全国各地院校教学工作的开展,为了保障教学不间断。360政企安全集团推出免费“上云替用”服务。360安全人才能力发展中心集合优势课程资源,发挥线上学习优势,倾心打造360数字安全教育云平台,保障教学工作的正常开展,保障网络空间安全人才培养工作顺利推进。面向全国合作院校师生免费开放,助力网络空间安全专业人才培养。万众一心,共克时艰。以教学为中心 服务不间断。
2.绿盟科技推出城轨云网络安全解决方案
绿盟科技推出的城轨云网络安全解决方案以网络安全等级保护要求为基础,将城市轨道交通有关网络安全和云平台安全标准规范与安全防护需求充分融合,以《中国城市轨道交通智慧城轨发展纲要》中提出的“系统自保、平台统保、边界防护、等保达标、安全确保”网络安全建设策略为基准,构建“保护有力、监测全面、研判精准、呈现清晰”的城轨云网络安全防御体系。
3.深信服等保一站式服务,为智慧空管带来合规之上的持续保护
深信服空管自动化系统等保三级解决方案围绕一中心三防护的核心理念,提出了“安全可视、协同防御、持续检测”的建设方向,增强对安全管理中心、安全通信网络、安全区域边界、安全计算环境的整体防护。通过深信服合规自检平台实现提前自查、快速整改,同时帮助用户提升整体系统网络安全防护水平,实现统一的安全运营及管理建设,完成自动化系统等保三级合规建设一站式落地。
4.亿赛通与鸿翼联手打造企业内容服务防泄密解决方案
为了保证数据安全,亿赛通与鸿翼融合双方核心产品,推出一套企业内容服务防泄密联合解决方案,旨在解决企业电子资料内部共享过程中,数据资产使用权及所有权的归属问题。
融资
1、边界无限宣布完成千万级天使轮融资
5月23日,北京边界无限科技有限公司(BoundaryX,简称“边界无限”)宣布完成超千万元天使轮融资。本轮融资投资方为初心资本,原力资本担任本轮融资独家财务顾问。
专家对动态进行点评:
疫情当下,受影响的行业需要开创新的业务模式来满足行业需求。以教育行业为例,大量的教师、学生现在都只能通过云课堂方式开展日常教学工作,业务模式的突然变化必然会出现未知的风险,360适时地推出“上云替用”不但应景而且及时。
绿盟与深信服推出的针对特定行业特定场景的安全服务,深度契合ToB要深入、要聚焦的发展趋势,泛泛而谈的安全服务可能慢慢的要淡出舞台了。
专家总结和展望
本周的核心词汇我认为是“欺诈勒索”,聚焦搜狐的“工资补助”欺诈事件,再到勒索软件和勒索组织的发展趋势,结合当前国内外政治形势和安全态势,其实我们的工作、生活中所面临的安全风险是较高的。这就要求安全从业人员首先做到不断地提升自身能力,其次充分了解安全技术的发展趋势、跟进安全态势的发展方向,在组织内部、行业领域直到国家层面的数字化转型浪潮中起到保障、支持作用,网安行业一定大有可为。
详情请关注安在新媒体人物、热点、互动、传播,有内涵的信息安全新媒体。
