作者:
如何用DMARC防止网络钓鱼?
DMARC是电子邮件身份验证的全球标准,允许发件人验证电子邮件是否确实出自其所声称的来源。DMARC有助于遏制垃圾邮件和网络钓鱼攻击等当今盛行的网络犯罪形式。近些年,Gmail、雅虎和很多其他大型电子邮件提供商都已经实现了DMARC,并盛赞其防护效果。
如果你公司的域名是bankofamerica.com,想必你不希望有网络攻击者能够顶着这个域名发送电子邮件。这样会令品牌声誉面临风险,还可能传播金融类恶意软件。DMARC标准通过检查电子邮件是否来自预期的IP地址或域名来防止这种情况。该标准规定了存在身份验证或迁移问题时该如何联系域名并提供取证信息,以便发件人能够监测电子邮件流量和隔离可疑电子邮件。
域名欺骗是大多数电子邮件欺骗类网络钓鱼攻击的前兆。此类攻击过程中,攻击者伪造合法电子邮件地址或域名,并向公司客户发送含有网络钓鱼链接和勒索软件的虚假电子邮件。毫无戒心的收件人认为欺骗性电子邮件来自他们认识且信任的公司,并最终向攻击者透露其公司信息或银行往来信息,从而被钓鱼。公司的声誉由此受到影响,客户和潜在客户也因此流失。
网络罪犯试图通过虚假网站和伪造域名诱骗受害者交出信用卡号和密码等敏感信息的行为,就叫做网络钓鱼。电子邮件欺骗攻击的历史可谓悠久。电子邮件欺骗是攻击者采用的一种欺骗性策略,用来篡改电子邮件发件人的身份标识和邮件的表面来源。DMARC有助于验证电子邮件的来源并阻止接收和打开虚假电子邮件,同时间接减少通过虚假公司域名实施的网络钓鱼攻击。
谷歌收购Siemplify,独立SOAR厂商将何去何从?
日前,谷歌称收购了安全编排、自动化和响应( SOAR )供应商 Siemplify ,将这项安全功能收入囊中。据报道, Siemplify 之前筹到了 5800 万美元的风险投资,谷歌斥资 5 亿美元收购了该公司,但双方均未披露交易的财务条款。分析师们认为,这宗交易预示着独立 SOAR 市场和安全信息与事件管理( SIEM )市场将迎来变局。
Siemplify 成立于 2015 年,它声称提供的 SOAR 平台可以实现端到端管理、更迅捷的威胁响应以及跨工作流程的可见性,从而提升安全运营中心的性能。这家供应商在 2020 年推出一款云原生 SOAR 平台。谷歌计划将 Siemplify 整合到 Chronicle安全分析平台中。Chronicle 是一家网络安全公司,起初是谷歌母公司 Alphabet X 研究实验室的一部分,随后成为一家独立公司。
研究公司 Forrester 分析师 Allie Mellen 表示:“实际上自一开始, SOAR 工具对谷歌的 Chronicle 产品而言就一直是缺失环节,因为其他安全分析平台早在 2017 年就开始直接整合了 SOAR 。”谷歌云安全副总裁兼总经理 Sunil Potti 表示:“此次收购 Siemplify ,将通过 SOAR 帮助企业实现安全运营的现代化和自动化。”
Siemplify 是少数几家独立 SOAR 供应商之一,其他供应商不是被 SIEM 供应商收购,就是使用威胁情报平台等其他产品壮大各自的产品组合。这宗收购表明,安全团队在寻找“一个统一的安全管理平台,他们可以从检测、调查到响应编排的整个事件响应生命周期中使用该平台。扩展检测和响应( XDR )就是个典例,这种统一平台把 SOAR 、 SIEM 、端点检测等功能结合到服务( SaaS )平台中,实现安全数据和事件响应的集中管理。
All in One SEO插件漏洞威胁三百万网站的安全
一个名为All in One SEO的非常流行的WordPress SEO优化插件含有一对安全漏洞,当这些漏洞组合成一个漏洞链进行利用时,可能会使网站面临着被接管的风险。有超过300万个网站在使用该插件。据Sucuri的研究人员称,那些拥有网站账户的攻击者如订阅者、购物账户持有人或会员可以利用这些漏洞,这些漏洞包括一个权限提升漏洞和一个SQL注入漏洞。
研究人员在周三的一篇帖子中说,WordPress网站会默认允许网络上的任何用户创建一个账户,在默认情况下,新账户除了能够写评论外没有任何特权。然而,由于某些漏洞的出现,如刚刚发现的漏洞,则允许这些订阅用户拥有比他们原定计划多得多的特权。
Sucuri表示,这对漏洞已经很成熟了,很容易被利用,所以用户应该升级到已打补丁的版本,即4.1.5.3版。一般认为是Automattic的安全研究员Marc Montpas发现了这些漏洞。在这两个漏洞中更为严重的是特权提升漏洞,它影响到All in One SEO的4.0.0和4.1.5.2版本。在CVSS漏洞严重程度表上,它的严重程度为9.9(满分10分)。
WordPress插件仍然是所有网络应用的一个主要风险,它们仍然是攻击者的常规攻击目标。通过第三方插件和框架所引入的恶意代码可以极大地扩展网站的攻击面。网站的所有者需要对第三方插件和框架保持警惕,并保持安全更新,他们应该使用网络应用程序防火墙来保护他们的网站,以及使用可以发现他们网站上存在恶意代码的解决方案。
网络攻击是一种基于网络空间的攻击,旨在故意扰乱、禁用、破坏或操纵计算机或其他设备。随着网络技术发展,网络环境逐渐走向危险,使用病毒或恶意软件对计算机、笔记本电脑和手机进行黑客攻击和数据泄露的情况有所增加。防病毒软件的出现,可以很好阻止病毒或恶意软件进入设备,遏制网络攻击。
17家大公司的110万个账户被破坏
根据纽约州的一项调查显示,在针对17家不同公司的一系列凭证篡改攻击中,已经有超过110万个在线账户遭到了破坏。
凭证填充攻击,如去年对Spotify的攻击,攻击者使用自动脚本对在线账户进行了大量的用户名和密码组合的尝试,并试图接管它们。一旦进入到账户内,网络犯罪分子就可以利用被攻击的账户达到各种目的。并以此作为入口,深入到受害者的机器和网络,提取出账户的敏感信息。
由于用户使用了重复的密码和使用一些常见的容易猜解的密码,如 '123456',这种攻击往往会成功。它们给企业造成的损失很高,Ponemon研究所的 '凭证填充攻击成本' 报告发现,企业平均每年会因凭证填充攻击而损失600万美元,这些都表现为应用程序停机、客户流失和IT成本增加。
安全意识倡导者James McQuiggan通过电子邮件说:'由于在野有超过84亿个密码,其中有超过35亿个密码与实际的电子邮件地址紧密相关,这为网络犯罪分子提供了一个很方便的攻击载体,来针对各种在线网站的客户账户进行利用攻击。
网络犯罪分子认识到,许多组织或用户不会使用其他额外的安全措施,而且还会在各种网站账户中使用相同的密码。为提防后续的网络攻击,采取理想的保护方法有使用强密码是很好的,但是使用口令会更好;应该使用多因素认证进行特权访问;控制面向互联网的应用程序的登录次数,防止进行密码爆破的尝试以及必须定期部署和验证检测响应机制。
充满潜力的未来:元宇宙将打开新的漏洞
元宇宙的兴起与所有技术创新一样,它带来了新的机遇和新的风险。怀有恶意的人将利用它打开新的漏洞。
Metaverse 是一种沉浸式虚拟现实版本的互联网 ,人们可以在其中与数字对象以及他们自己和他人的数字表示进行交互,并且可以或多或少地从一个虚拟环境自由移动到另一个虚拟环境。它还可以达到虚拟现实和物理现实的融合,既通过在虚拟中代表来自物理世界的人和物体,又通过将虚拟带入人们对物理空间的感知。
通过戴上虚拟现实耳机和增强现实眼镜,人们将能够在环境之间以及数字和物理之间的界限是可渗透的环境中进行社交和工作等等。在元宇宙中,人们将能够找到与他们离线生活相一致的意义和体验。
问题就在于此。当人们学会爱某物时,无论是数字的、物理的还是组合的,从他们那里拿走那东西都会导致情绪上的痛苦和痛苦。更确切地说,人们所珍视的东西变成了可以被那些试图造成伤害的人利用的漏洞。有恶意的人已经注意到元宇宙是他们武器库中的一个潜在工具。
新的虚拟和混合现实空间带来了新目标的潜力。就像建筑物、事件和人在现实世界中可能受到伤害一样,在虚拟世界中也可能受到攻击。想象一下犹太教堂上的万字符,银行、购物和工作等现实生活活动的中断,以及公共活动的破坏。破坏增强现实或虚拟现实业务意味着个人遭受真正的经济损失。与物理场所一样,虚拟空间可以精心设计和制作,从而承载人们投入时间和创造力建设的东西所具有的意义。
URL解析错误导致DoS、RCE等
研究人员警告说,由于16个不同的URL解析库之间的不一致而导致的8个不同的安全漏洞,可能导致多种Web应用程序中的拒绝服务(DoS)情况、信息泄漏和远程代码执行(RCE)。
这些漏洞是在为各种语言编写的第三方Web包中发现的,并且像Log4Shell和其他软件供应链威胁一样,可能已被导入到数百或数千个不同的Web应用程序和项目中。受影响的是Flask(一个用Python编写的微型Web框架)、Video.js(HTML5视频播放器)、Belledonne(免费的VoIP和IP视频电话)、Nagios XI(网络和服务器监控)和Clearance(Ruby密码验证)。
URL解析是将Web地址分解为其底层组件的过程,以便正确地将流量路由到不同的链接或不同的服务器。可用于各种编程语言的URL解析库通常被导入到应用程序中以实现此功能。
来自Claroty Team82研究部门和Synk的研究人员在周一的一份分析报告中写道:“URL实际上是由五个不同的组件构成的:方案、权限、路径、查询和片段。”“每个组件都扮演着不同的角色,它决定了请求的协议、持有资源的主机、应该获取的确切资源等等。”
URL库混淆会干扰正确的验证,就像Clearance漏洞一样。研究人员指出,Clearance(Ruby的Rails框架中一个广泛应用的第三方插件,可以实现简单安全的电子邮件和密码身份验证)中的易受攻击的函数是“return_to”。此函数在登录/注销过程之后调用,并且应该将用户安全地重定向到他们之前请求的页面。但是,如果可以说服目标单击具有以下语法的URL,则可将其破坏。