作者:
随着网络安全等级保护制度的全面推广,网络层和系统层的安全问题在部署防护设备、配置安全策略、升级补丁等措施的实施下日趋减少,但应用层安全问题仍然较为突出。由于“内生”于软件开发过程,限于事后补救的手段以及成本因素,应用软件安全已经成为网络安全整体防护体系的最后一块短板。若要补上这块短板,就需要我们把安全视角由外部转向内部,聚焦软件开发安全,从“源头”上寻找解决问题的思路。
首先,软件安全的实现离不开各类载体的基础保障,即,人、制度、工具、环境等方面,通过制定并完善各类管理制度、关注开发过程中各类开发工具的安全、建设和维护各类环境、规范人员操作各类开发行为等,从而支撑软件开发安全有序进行。其次,根据目前主流的软件安全开发生命周期模型,软件开发生命周期主要包括需求分析、设计、实现、测试、发布、交付等活动。不同的开发活动对于一款应用软件的“安全生成”都起着贯穿前后的重要作用。因此确保各个开发活动的安全开展是保障软件安全的关键。
软件开发安全可从载体安全和活动安全两个维度进行考虑。载体安全主要关注贯穿软件安全开发生命周期所涉及的安全管理制度、人员安全、环境安全和开发工具安全等4个要素;活动安全主要安全需求分析、安全设计、安全实现、安全测试、安全发布、安全交付等6个要素。载体安全是支撑各开发活动安全实现的必要条件。
缺乏网站保护、发件人策略框架(SPF)记录和 DNSSEC 配置使公司容易受到网络钓鱼和数据泄露攻击。到 2022年,公司的有效数据泄露风险从上一年的平均得分30增加到100分中的44分(其中100分表示风险最大),这表明数据泄露的总体风险有所增加。这是根据 Cymulate 的排名得出的,该排名处理了100万次渗透测试的数据,其中包括在其生产环境中进行的170万小时的攻击性网络安全测试。
该公司在3月28日发布的“2022年网络安全有效性状况”报告中指出,存在各种持续存在的问题导致风险增加。报告指出,一方面,虽然许多公司正在提高网络和组策略的采用率和严格性,但攻击者正在适应规避此类保护措施。
而且基础知识仍然滞后:该公司发现,在客户环境中发现的前10个 CVE 中,有四个已存在超过两年。其中包括可允许恶意可执行文件通过安全检查的高危 WinVerifyTrust 签名验证漏洞 (CVE-2013-2900),以及 Microsoft Office 中的内存损坏漏洞 (CVE-2018-0798 )。
网络安全需要成为一个像对待任何其他业务流程一样的流程,要有制衡和定期审查。保护整个攻击面、提高对网络攻击的弹性以及防止信息系统中断,降低复杂性的网络安全服务和产品变得更受欢迎。
人工智能(AI)的崛起给所有行业带来翻天覆地的变化。从医疗到金融行业的众多企业都在使用AI工具实现流程自动化、改进决策以取得竞争优势。在信息技术(IT)行业,AI正在改变企业治理、风险与合规工作(GRC)以及安全运营的方式。
AI工具可以通过实现上述流程的自动化和提高速度,协助团队快速准确地识别并应对潜在的风险和问题。团队可训练机器学习算法识别数据模式、检测数据异常,也可利用自然语言处理分析电子邮件和社交媒体资料等非结构化数据源,从而更好地管理日益复杂庞大的数据、改善风险和合规管理、加强组织的整体安全态势。
自动化是GRC工作运用AI工具的一大主要好处。GRC工作往往耗时漫长、繁重复杂,需要企业与不断变化的法律法规保持同步。而AI工具就可以帮助团队自动化处理许多任务,确保企业始终合规。
总而言之,AI工具的出现为IT行业带来新的挑战,需要企业自动化GRC工作和安全操作来提高竞争力。AI工具带来的益处不言而喻,但企业需要意识到其中的挑战,投资于专业知识和数据,从而有效使用AI工具。随着AI技术不断升级,积极使用AI工具、能够适应不断变化的环境的企业将更能取得成功。虽然不太可能完全取代人类,但AI工具无疑会改变人类的工作方式和业务模式。
Bitter(蔓灵花)是一个长期活跃的南亚网络间谍组织,主要针对能源和政府部门实施敏感资料窃取等恶意行为,过去曾攻击过巴基斯坦、中国、孟加拉、沙特阿拉伯等国,具有明显的政治背景。
该APT组织主要采用鱼叉钓鱼等攻击方式,通常会向攻击目标单位的个人发送嵌入攻击诱饵的钓鱼邮件。在其最近的攻击中,网络安全公司Intezer发现了七封伪装成来自吉尔吉斯斯坦大使馆的电子邮件,这些电子邮件被发送给了中国核能行业相关人员,另外还有部分核能学术界的人员也收到了这类邮件。
攻击者在这些作为诱饵的邮件上向收件人发送了参与核能相关主题会议的邀请,实则是在诱骗收件人下载并打开其RAR附件。这些附件解压后看似是与主题相关的常见的excel、word、jpg等文件,但在受害者运行后,受害者以为自己打开的是普通文档,实则已暗地里执行了恶意文件,被攻击者接手了设备控制权。
Bitter APT多年来一直在使用包括网络钓鱼在内的多种策略进行间谍活动,政府、能源、军工领域的实体应对此保持警惕。同时其他行业的公司员工也需要对网络钓鱼邮件持有良好的安全意识。为防范钓鱼邮件,不点开、不下载来源不明的电子邮件,特别是包含了链接、图片、附件的电子邮件等,建议与发件方沟通确认后再进行点击或下载等操作。
据统计,在网络安全信息泄露事件中,很多员工是因为点击了黑客发来的虚假钓鱼网址链接而中招。不少钓鱼网站显示页面跟真网站页面几乎一模一样,该如何识破虚假的钓鱼网址链接呢?
域名网址识别:官方网站的域名地址大多非常容易辨认,一般采用汉语拼音、英文缩写或者官方服务电话作为域名网址。黑客为了规避文字识别和封堵,会采用乱序的字母和数字组合作为域名网址,看起来像乱码一样。
查询域名备案:官方网站的地址都需要严格备案,通常在官方网站的最下面就有备案信息,我们可以到工信部政务服务平台的域名信息备案管理系统进行查询,判断网站的可信程度。
在查询备案信息时,切记还要核对网站内容与备案主体是否一致。
域名收录搜索:正规的网址链接,都会显示大量的收录页面,而虚假的网址链接都会屏蔽搜索引擎的收录,查不到任何信息。
反诈APP链接检测:下载“国家反诈中心”APP,使用主页面“风险查询”功能,可以对疑似涉诈的虚假网址链接进行查询检测。
钓鱼网站内容多从正常网站复制,生存周期很短,从事违法犯罪的成本非常低廉。这些钓鱼网站的目标大多是上网冲浪的用户,威胁我国网民安全上网的最大风险之一就是钓鱼网站。网站发送假的调查问卷(实际为病毒***)给对方,程序劫持浏览器会话,强制访问钓鱼欺诈网站,再令对方上当。鼎普安全专家建议网民在任何情况下都不要轻易接收任何来历不明的程序、文档、压缩文件,以免上当受骗。
终端作为金融行业日常办公、业务处理、系统维护的设备,承载着重要的金融数据。终端是企业外部与内部系统连接的切入点,在严峻的外部网络环境下面临非法访问、病毒入侵、信息泄露等安全风险。随着移动办公、远程办公需求的不断增长,终端安全面临更大的挑战。如何加强终端的安全管理,抵御外来攻击,确保数据得到有效保护是金融行业面临的重要课题。
金融行业经过多年的探索和建设,已逐步建立了适合自身业务发展的终端安全管理体系。但随着计算机技术的发展及攻击手段的提高,终端安全面临着严峻的挑战。
传统终端使用范围广、终端环境复杂,是外部攻击的重点对象。传统终端安全管理大体上包括行为安全、数据安全、边界安全、系统安全四大方面,内容涵盖非授权软件管理、互联网访问控制、行为监控与处置、敏感信息扫描、文档加密、数据外发管控、防火墙、漏洞防护、病毒查杀、网络准入、外联及移动存储管控等。然而,目前金融行业仍存在游离于传统安全防护体系之外的诸多信息泄露问题。
终端安全没有绝对的安全、永久的安全。传统的网络接入访问控制、外部入侵防御、信息防泄露管理,随着时间推移和环境变化,已无法满足当前安全管理需求。面对复杂的生态环境,鼎普安全专家建议金融行业结合监管的要求、自身业务的发展以及外部安全威胁的变化,与时俱进,打造可持续发展的终端安全体系,确保金融系统稳定运行、确保金融信息安全流转和存储。
你被人欺负了,第一反应可能是还手,那在网络世界中,被攻击的受害者能够采取同样的反制措施吗?答案是否定的。目前绝大多数国家尚未制定相关法律,来支持企业或组织对黑客发起反击。“禁止任何人在未获得授权的情况下侵入别人的电脑”几乎是所有国家法律的共识,这意味着,反击黑客就如同黑客入侵一样,同样是违法行为。换句话说,你可以关门,但不能去开别人家的门,不论门后面是否藏着犯罪组织。听起来是不是很玄幻?现实生活中,只要手续合法,警察可以选择破门而入抓捕犯罪分子,但是网络空间却万万不行。“顺着网线去抓你”实现的难点在于合法性,而非技术性。
或许正因为攻防处于不对称的地位,导致全球网络攻击愈演愈烈。仅2022年一年,全球网络攻击数量就增长了38%,造成大量业务损失,其中包括财务和声誉损失。勒索攻击更是如此。
随着近年来网络攻击越发猖獗,反击黑客合法化的呼声日益强烈。近期,深受网络攻击困扰的澳大利亚宣布将通过政府层面的举措,对以该国组织为攻击目标的黑客进行反击,引发了行业担忧,这一做法究竟是能真正打击并震慑黑客,还是给网络空间带来更多风险和混乱?
在网络进攻能力建设方面,将支持塑造威慑和应对的能力,通过制定标准和加强工业伙伴关系来塑造网络安全环境,通过提高对手活动的可见性来提高威慑能力,通过加强网络安全态势监测和限制对手网络活动来强化应对能力。