普普安全资讯一周概览(0401-0407)

作者:

时间:
2023-04-07
微软推出AI工具Security Copilot,帮助网络安全人员应对威胁

01


网络安全人员往往要管理很多工具,和来自多个来源的海量数据。近日微软宣布推出了Security Copilot,这款新工具旨在通过AI助手简化网络安全人员的工作,帮助他们应对安全威胁。

Copilot利用基于OpenAI的GPT-4最新技术,让网络安全人员能够就当前影响环境的安全问题提问并获得答案,甚至可以直接整合公司内部的知识,为团队提供有用的信息,从现有信息中进行学习,将当前威胁活动与其他工具数据相关联,提供最新的信息。

微软在这款工具中结合了OpenAI大型语言模型的强大功能,使其能够理解提出的问题,总结出由公司网络安全团队和外部数据生成的威胁报告,以及微软自己的威胁分析。微软表示,模型是由100多个不同的数据源提供信息的,每天接收超过65万亿个威胁信号。

专业人员借助Security Copilot可以利用AI助手,使用自然语言深入研究数据,从而快速调查重大事件。该工具可以利用其理解会话语言的能力来总结流程和事件,提供快速报告,使团队成员更快地跟上进度。


普普点评

尽管这对于安全专业人员来说是一个非常有用的工具,但并非没有缺陷。由于所有的Copilot工具都集成了GPT-4,该工具并不能“总是把所有事情都做对”。





网络物理系统安全之CPS的特点

02

CPS体现了嵌入式系统,实时系统,(有线和无线)网络和控制理论的几个方面。

嵌入式系统:CPS最一般的特征之一是,由于与物理世界直接接口的几台计算机(传感器,控制器或执行器)仅执行很少有具体的行动,它们不需要经典计算机(甚至移动系统)的一般计算能力,因此它们往往资源有限。

实时系统:对于安全关键系统,执行计算的时间对于确保系统的正确性非常重要。

网络协议:CPS的另一个特征是这些嵌入式系统相互通信,越来越多地通过IP兼容网络进行通信。虽然电力系统等许多关键基础设施都使用串行通信来监控其SCADA系统中的远程操作,但直到最近二十年,系统不同部分之间的信息交换已从串行通信迁移到IP兼容网络。

无线:虽然大多数长途通信是通过有线网络完成的,但无线网络也是CPS的共同特征。嵌入式系统的无线通信在2000年代初以传感器网络的形式引起了研究界的极大关注。

控制:最后,大多数CPS观察并尝试控制物理世界中的变量。反馈控制系统已经存在了两个多世纪,包括1788年推出的蒸汽调速器等技术。控制理论中的大多数文献都试图用微分方程对物理过程进行建模,然后设计一个满足一组所需属性(如稳定性和效率)的控制器。


普普点评

在讨论了CPS的这些一般特征之后,需要注意的是,CPS是多种多样的,它们包括现代车辆、医疗设备和工业系统,所有这些都具有不同的标准、要求、通信技术和时间限制。因此,我们与CPS相关的一般特征可能不适用于所有系统或实现。





除了AIGC,2023年还要面临哪些技术“双刃剑”?

03

最近两个月,人们惊叹于AIGC的“超能力”,但也对AIGC带来的潜在风险表示担忧。ChatGPT之父Sam Altman在最近的一次访谈中表示,AI在为人类的聪明才智提供力量倍增器的同时,也可能带来技术滥用、事故等安全风险。他重点指出「恶意人员运用AIGC技术编写计算机代码模型可以用于赋能网络攻击」。

除了AIGC,勒索攻击的威胁有增无减、供应链已成为企业数据保护的薄弱环节、反欺诈应由体验优先转向动态治理等安全问题的爆发,无一不在给产业数字化提出更多的挑战。

IT工业化的发展,企业的软件和应用开发效率得到极大提升,但对第三方软件和开源组件的依赖也引入了更多安全风险。供应链攻击事件连年攀升,已经成为世界性难题。作为连通架构的产业互联网,其安全脆弱性前所未有,需要网络安全产业齐心协力,打破技术、行业之间的壁垒,共同构建产业互联网安全生态。


普普点评

产业各界需携手共识,建立产业发展安全观,建设涵盖企业人才、技术、管理、生产、服务等全链路数字化协同的安全防御能力,打造贯穿企业生命周期的安全免疫体系。企业参与数字化时代的市场竞争、谋求新阶段的高质量发展,企业家需要树立正确的安全观念,了解并研判产业安全发展趋势,在战略上以一把手工程的视角看待安全,统筹发展与安全,既要基于安全谋发展,又要以发展促安全。





IT一般安全控制已经过时了吗?

04

在审计IT一般安全控制以确保信息系统在财务报告中的可靠性时,数据的完整性是很重要的,但机密性是否同样重要,则值得商榷。如果强大的身份验证控制已经到位,并且对数据的直接访问被严格限制在适当的个人身上,那么新的控制是否有必要?在这种情况下,未经授权的个人获取和修改数据的风险似乎很低。为了了解这些控制措施的相关性,需要仔细研究欺诈和缺乏数据完整性的风险。

在对信息系统执行IT审计时,关键的风险因素是数据不安全和欺诈。2016年,美国国家标准与技术研究所(NIST)描述了三种可能导致数据完整性问题的网络攻击场景:勒索软件、数据破坏和数据操纵(内部威胁)。最近的另一项研究描述了云中的多种攻击,可能导致数据完整性问题。在连接到互联网或云的信息系统中,攻击面要大得多,因此,数据安全是一个重要问题。

云平台使用的增加以及与之相关的风险因素的增加,反映在所实施的欺诈数量上。在最近的一项调查中,“近70%的遭遇欺诈的组织报告说,最具破坏性的事件来自外部攻击或内外的勾结。”同一调查表明,网络欺诈比资产挪用更常见。


普普点评

IT一般安全控制指南已经过时了。随着IT环境的不断变化,对数据保护的要求也需要不断发展。在测试IT一般安全控制时,应考虑对IT环境中的相关应用、数据库、操作系统和网络组件进行与安全评估、数据资产保护、安全数据传输、端点保护、漏洞监测、安全监测和安全处置有关的额外控制措施。





澳大利亚再发严重数据泄露事件,涉及800万用户个人信息

05

三月初,澳大利亚非银行贷款机构 Latitude Financial 遭遇了一次网络攻击,最新情况表明,其后果可能比先前预估的更加严重。该公司于 3 月 16 日首次透露了这起攻击事件,称有33万客户的数据遭到泄露,而最近,该公司承认受影响的客户数量可能达到了800万之多。

美国广播公司新闻报道称,黑客已经获取了客户的姓名、地址、出生日期、电话号码、护照号码,甚至还获取了月度财务报表。此外,有大约570万条数据来源于2013年之前的历史数据,最早可以追溯到2005年。该公司仍在评估可能涉及重复统计的数据,并确定受影响客户的真实数量。

有Latitude 客户表示,由于个人可供识别身份的照片在攻击中被盗,让他们感到“受到了侵犯”。Latitude 表示,它将补偿客户更换任何被盗身份证件的费用。外交和贸易部还证实,受影响的护照仍然可以安全使用。


普普点评

外部入侵和人为因素是造成数据泄露的两大主要原因。

为防止内部员工的不当操作泄露企业数据,企业应该定期为员工进行相关培训来提高安全意识。而凭证窃取、漏洞利用等外部攻击导致的数据泄露,往往归因于企业安全防护建设不到位,系统存在让攻击者有机可乘的薄弱环节,主动防御才是抵挡攻击者脚步的最佳选择。





军事基地航拍照片泄露,俄语论坛黑客售卖美国法警局数百GB敏感数据

06

据外媒报道,一名黑客正在一个俄语论坛上出售据称是从美国法警局(USMS)服务器中窃取的350 GB数据。USMS是美国司法部下属的一个机构,通过执行联邦法院命令、确保证人及其家人的安全、查封非法所获资产等职责为联邦司法系统提供支持。

卖家在帖子中将该数据库标价15万美元,据称包含美国法警局文件服务器和工作电脑上从2021年到2023年2月的文件。这些文件包括具有精确坐标的军事基地和其他敏感区域的航拍视频及照片、护照及身份证明的副本、以及有关窃听和监视公民的细节,另外还有一些关于罪犯、黑帮头目等的信息。卖家还声称,其中一些文件被标记为机密和绝密,并且还包含证人保护计划的细节。

除此之外,USMS还曾在2020年5月披露过另一起数据泄露事件,其曾于2019年12月泄露过超过38.7万名前囚犯及现囚犯的详细信息(包括姓名、出生日期、家庭地址和社会安全号码)。


普普点评

可以看到,即使是政府机构也无法避免遭受网络攻击的损失,现下敏感信息盗窃威胁日益严重,所有组织都有必要在其运营中优先考虑网络安全措施,特别是那些涉及处理敏感信息的机构。并且需要注意到,事前采取预防措施远比事后响应更为妥当。





调查:IRM计划也挡不住内部人造成数据泄露

07

Code42委托进行的一项数据暴露调查研究表明,尽管已经设置了专门的内部人风险管理(IRM)计划,大多数公司仍然难以阻止内部人事件造成的数据丢失。

Gartner分析师Paul Furtado称:“员工、合作伙伴和承包商都有不同级别的访问权限,各具不同敏感性,但这些用户的行为却没有得到有效监控。IT安全开支基本上集中在防范外部威胁和保护边界不受恶意侵入方面,未必会对受信内部用户施行相同等级的预防性数据保护控制措施,而且通常只在事后才会发现违规行为。”

Kubernetes实时监控公司KSOC联合创始人兼首席技术官Jimmy Mesta表示:“各个行业都普遍存在内部人风险,其潜在影响非常广泛,从短暂宕机到数据完全丢失都有可能。企业内部IT基础设施的日渐复杂和云技术的采用,使得某些情况下几乎不可能检测内部人风险。内部人风险并非总是源自恶意,这可能会令检测变得尤为困难。”


普普点评

通常情况下,内部人(员工)只是想方便自己工作而已,只不过采取了未经批准的方式导出数据,或将之共享给了错误的人(无权查看数据的人)。现有技术和计划无法检测和防止意外操作(相对于恶意或疏忽而言),事件进一步增加。领导团队应足够重视内部人员的安全保密意识,提高他们的安全防护能力,积极推进数据体系安全建设。