作者:
据nextgov.com消息,美国商务部工业与安全局(BIS)正式发布了针对网络安全领域的最新的出口管制规定(以下简称“新规”),2022年5月26日,该规定已经发布在美国政府公报网站《联邦公报》上。
BIS新规将全球国家分为ABDE四类,其中D类是最受关注、限制的国家和地区,我国被划分在D类里。根据新规的要求,各实体在与D类国家和地区的政府相关部门或个人进行合作时,必须要提前申请,获得许可后才能跨境发送潜在网络漏洞信息。当然条款也有例外,如果出于合法的网络安全目的,如公开披露漏洞或事件响应,无需提前申请。
微软认为,BIS发布的这一规定将严重阻碍与安全研究人员和漏洞奖励计划参与者的跨境合作,但美国BIS坚持认为,目前该条款的范围比较狭窄,执行这一规定对于保障美国国家安全很有好处。
新规对于“政府最终用户”的定义太过宽泛,这意味着在和对方合作前,企业需要自己查询合作方是否是D类国家和地区的政府。毫无疑问此举使得沟通成本和合规压力大大增加,并直接影响微软等国际科技巨头在全球范围内与网络安全研究人员、漏洞赏金猎人的跨境合作。
浏览器自动化框架沦为攻击者的工具
5月27日消息,安全公司Team Cymru的研究人员表示,越来越多的威胁参与者正在使用免费的浏览器自动化框架作为其攻击活动的一部分。
事实上,这并非Bablosoft第一次被记录在案。早在F5 Labs针对撞库攻击的研究以及NTT针对GRIM SPIDER黑客组织所用工具包的研究中就已经发现了它的踪影。
研究人员指出,根据已使用Bablosoft网站所提供工具的恶意行为者数量,我们预计Browser Automation Studio(简称BAS)将成为威胁参与者工具包中更常见的元素。BAS是Bablosoft的自动化工具,它允许用户使用浏览器、HTTP客户端、电子邮件客户端和其他库创建应用程序。
F5 Labs在其关于撞库攻击的报告中指出,“我们认为BAS将在恶意活动中日益普及的原因之一是,Bablosoft社区的活跃状态以及该软件的分发和销售形式都会加速它的应用。”
BAS工具的功能包括浏览器模拟、模仿用户行为(击键和鼠标)、代理支持、邮箱搜索功能以及从文件/URL/字符串加载数据的能力。BAS服务的指纹元素允许用户更改他们的浏览器指纹,而威胁行为者也可能将该功能用作匿名化或规范化其活动的一种手段。目前,这些功能已经吸引了多个不同的威胁组织的注意,并可能被用于启动恶意活动。
数百个Elasticsearch数据库遭到勒索攻击
数字化让世界变得越来越小,信息变的越来越有价值,数字化也增加了帐号信息泄露、计算机遭窃取及劫持等风险,主要是恶意软件攻击、勒索钱财,不过并非没有办法,跟随五项安全基本原则帮您抵御恶意/勒索软件攻击。
1.了解常见的网络钓鱼例子。用来网络钓鱼的电子邮件通常还包含附件或链接,建议不要打开这些可疑的电子邮件并且立即将它删除。
2. 设置双重身份验证。大多数的服务现在都提供双重身份验证功能,尤其是涉及敏感个人数据时,以防黑客攻击。
3. 部署SSL证书以确保安全。部署SSL证书,网站实现https加密,可以验证网站的真实性,辨别钓鱼网站。
4. 避开可疑链接、邮件和附件。平时在上网时一定要谨慎,千万要避开这些不安全的链接、邮件或附件。
5. 弥补系统漏洞。定期全面检查企业现行办公系统和应用,发现漏洞后,及时进行系统修复,避免漏洞被黑客利用造成机密泄露。
任何数据库都不应该是面向公众的。此外,如果需要远程访问,管理员应为授权用户设置多因素身份验证,并将访问权限仅限于相关个人。如果将这些服务外包给云提供商的机构,也应确保供应商的安全政策与他们的标准兼容,并确保所有数据得到充分保护。
一文了解逻辑炸弹攻击的危害与防护
逻辑炸弹是一种非常传统的恶意代码攻击形式之一,其雏形可追溯到上世纪80年代美苏冷战时期。虽然随着APT、勒索病毒、供应链攻击等新型威胁的出现,逻辑炸弹攻击看似销声匿迹,淡出人们的视野,但从数字经济时代网络安全的发展形势来看,逻辑炸弹的攻击逻辑一直存在并在不断增长。毕竟,对于敏感的信息系统而言,一旦交付应用就会产生巨大的商业价值,而同时它也会受到多重安全措施的保护,此时逻辑炸弹则成为最难被发现和有效防护的攻击方式。
逻辑炸弹的触发器(一种有记忆功能的逻辑部件)一般分为积极触发器和消极触发器两种形式。如果某个事件发生,积极的触发器就会引爆;反之,如果某个事件没有发生,也可能会引爆消极的触发器。逻辑炸弹的危害范围很广,包括文件或硬盘驱动器删除,作为赎金威胁或报复行为,数据泄露等。可以认为,逻辑炸弹的危害性完全取决于恶意攻击设计者的专业技能和想象力。
逻辑炸弹是一种特别有害的攻击类型,因为攻击代码本身可能会长期处于休眠状态。一般来说,即使是最好的端点安全软件也很难检测出处于潜伏状态的逻辑炸弹程序。由于某些逻辑炸弹是通过病毒等恶意软件传播的,因此预防逻辑炸弹的基本防护措施就是遵循反恶意软件最佳实践。
数据泄露?为什么互联网产品总能“猜你喜欢”
个性化推荐的核心在于联系用户和信息(包括商品、内容、服务等),对于用户而言,帮助用户找到感兴趣的信息;对于企业而言,帮助企业将信息推送到可能感兴趣的用户面前,增加用户黏性,提升营收。据数据分析,Netflix上三分之二被观看的电影来自个性化推荐,Google新闻上38%的点击来自个性化推荐。个性化推荐被广泛运用于各个互联网业务场景,包括音乐推荐、信息流推荐、商品推荐、外卖店铺推荐等。
个性化推荐的实现原理简单来说,是通过用户画像来设定人群特征,再加上算法模型,决策选出相应的该用户感兴趣的信息。例根据该用户的画像标签:90后、喜欢伤感歌曲和喜欢周杰伦,选出其感兴趣的歌曲,结合点击率预估模型(即预测提供给用户的歌曲用户会不会点击),就形成了每日推荐等推荐栏目。算法模型的类型比较多,包括基于相似的人、基于相似的信息等。总而言之,个性化推荐是用户画像和算法模型相结合,以个性化展示为结果。
个性化推荐更类似于第一方定向广告,更多地使用自有平台收集的用户行为,形成用户画像,结合算法模型,实现其业务内的内容、产品、服务等推荐。因此,个性化推荐在合规上应当考虑用户行为追踪的收集合规性、形成画像以及个性化推荐的使用限制、自动化决策的要求,保障透明性与用户可控制权。
企业网络安全中的AI应用,你知道吗?
随着企业安全系统开发步伐的加快,新的和更复杂的网络攻击类型正在出现。据世界经济论坛报道,企业采取的保护措施瞬间过时。与前一年相比,攻击数量增加了30%,这种惊人的趋势仍在继续。市场缺少约272万网络安全专业人员来应对越来越多的威胁。这就是人工智能可以帮助企业的地方。
AI通过分析DNS流量自动对域进行分类,以识别C&C,恶意,垃圾邮件,网络钓鱼和克隆域等。以前,为了管理这个环境,拥有良好的黑名单就足够了。他们应付了他们的任务,尽管定期更新和大量。如今,域名在1-2分钟内创建,在半小时内使用不超过2-3次,然后犯罪分子切换到其他域名。为了跟踪他们,黑名单是不够的:你需要使用AI技术。智能算法学习检测这些域并立即阻止它们。
其次,AI 可以在程序中查找漏洞并检查应用程序接口。如果它在计算机上发现勒索软件,它会立即将其用户与网络断开连接,从而使公司的其余部分免受危险的感染。
人工智能在网络安全领域前景广阔。但它必须像任何其他技术一样得到合理的处理。它不是银弹,即使拥有最先进的技术也不意味着100%的保护。人工智能不会使您免受因忽视基本网络安全规则而造成的严重攻击。如果已经建立了一个可以适应不断变化的企业网络的清晰生态系统,那么应该实施智能算法。
推进法治化建设,让网络空间更安全
在《中华人民共和国网络安全法》这部法律实施5周年之际,由中国网络空间安全协会、中国安全防范产品行业协会、北京网络空间安全协会、天津市网络空间安全协会、光明网共同举办的网络安全法实施5周年座谈会在线上举行。专家学者及一线从业者深入剖析了新发展阶段网络空间面临的风险与挑战,探讨了数字化转型中推进网络空间安全法治化、提升国家治理能力现代化水平的方向路径。
行业发展面临新风险、新挑战。居家办公、远程学习推动网络环境开放、用户角色增加、防护边界扩张,带来各类新安全风险;5G商用推进工业互联网发展,企业内外网关联增加了工业互联网安全风险;智慧城市、物联网和车联网在开启万物互联的同时,城市安全越来越受重视,
针对具体风险场景,邬贺铨介绍,勒索病毒上升为主要威胁,形成了相对完整的商业产业链;数据安全问题严峻,尤其去年以来,跨境数据安全问题频发;开源代码安全面临隐患,很多共享代码没有经过安全设计和安全测试,常包含大量漏洞。
要依照网络安全法,着眼国家安全和长远发展,构建世界领先、自立自强、安全可信的网络安全产业生态体系;积极构建网络空间安全防护体系,发展基于可信和支撑并行的,动态、实时、全方位的网络安全主动免疫能力;积极参与网络空间国际治理,加强网络空间国际合作,建立国家主权透明的国际互联网治理体系。