普普安全資訊一周概覽(0930-1006)

作者:

時(shí)間:
2023-10-06


01

攻擊者開(kāi)始使用 XLL 文件進(jìn)行攻擊


近期,研究人員發(fā)現(xiàn)使用惡意 Microsoft Excel 加載項(xiàng)(XLL)文件發(fā)起攻擊的行動(dòng)有所增加,這項(xiàng)技術(shù)的 MITRE ATT&CK 技術(shù)項(xiàng)編號(hào)為 T1137.006。這些加載項(xiàng)都是為了使用戶能夠利用高性能函數(shù),為 Excel 工作表提供 API 調(diào)用接口。與 VBA 等其他接口相比,該方式能夠更有效地?cái)U(kuò)展 Excel 的能力,使其支持更多功能,例如多線程?,F(xiàn)在,攻擊者也濫用這項(xiàng)技術(shù)來(lái)達(dá)成自己的惡意目標(biāo)。攻擊者將帶有惡意 XLL 附件或者惡意鏈接的電子郵件發(fā)送給用戶,受害者點(diǎn)擊附件打開(kāi) Microsoft Excel 后會(huì)提示其安裝并激活加載項(xiàng)。攻擊者通常將代碼置于 xlAutoOpen函數(shù)中,該函數(shù)會(huì)在加載項(xiàng)被激活時(shí)立即觸發(fā)執(zhí)行。這意味著,與要求用戶啟用宏的 VBA 宏不同,受害者只要打開(kāi)就會(huì)執(zhí)行惡意代碼。由于 XLL 是可移植的可執(zhí)行文件,許多電子郵件網(wǎng)關(guān)都會(huì)攔截該格式的文件或者僅允許受信任簽名的加載項(xiàng)。因?yàn)?XLL 惡意文件的快速增長(zhǎng),我們?cè)诘叵路缸镎搲线M(jìn)行了相應(yīng)的調(diào)查,評(píng)估使用這種文件格式的惡意工具和服務(wù)的流行程度。


普普點(diǎn)評(píng)

Microsoft Excel 提供了許多合法執(zhí)行代碼的方式,如 Excel 4.0 宏、DDE 和 VBA,這些都已經(jīng)被攻擊者濫用。近期,研究人員發(fā)現(xiàn),Dridex、Agent Tesla、Raccoon Stealer 和 Formbook 等惡意軟件家族也開(kāi)始利用 XLL 文件進(jìn)行傳播。利用 XLL 文件攻擊的數(shù)量增長(zhǎng),表明攻擊者對(duì)這種技術(shù)很感興趣。




02

如何建立對(duì) SaaS 數(shù)據(jù)保護(hù)的權(quán)責(zé)?

數(shù)據(jù)保護(hù)和有關(guān)遵守?cái)?shù)據(jù)法規(guī)的事項(xiàng)需要在組織內(nèi)部擁有明確的權(quán)責(zé)。責(zé)任最終會(huì)落在首席信息官(CIO)的身上,但隨著企業(yè)的 IT 和數(shù)據(jù)管理的需求變得愈加復(fù)雜,向 CIO 匯報(bào)的團(tuán)隊(duì)中的權(quán)責(zé)可能會(huì)變得分散和混亂。鑒于過(guò)去十年間軟件即服務(wù)(SaaS)的巨大增長(zhǎng),以及在新冠疫情期間的顯著加速增長(zhǎng),SaaS 已成為這些權(quán)責(zé)界限變得模糊的一個(gè)很好的例子。Gartner的數(shù)據(jù)顯示,SaaS是更廣泛的公共云服務(wù)中的最大子集,是組織在執(zhí)行其數(shù)字戰(zhàn)略時(shí)能力方面的關(guān)鍵組成部分。但是,由SaaS 作為其重要組成部分的數(shù)字化轉(zhuǎn)型(DX)是以現(xiàn)代數(shù)據(jù)保護(hù)為基礎(chǔ)的,即能夠跨物理、虛擬、云、SaaS 和 Kubernetes 環(huán)境備份、保護(hù)和恢復(fù)數(shù)據(jù)。《Veeam2021數(shù)據(jù)保護(hù)報(bào)告》發(fā)現(xiàn),在諸多管理層的看來(lái),數(shù)據(jù)保護(hù)的各種挑戰(zhàn)阻礙了數(shù)字化的轉(zhuǎn)型——全球58% 的組織的數(shù)據(jù)可能未受到保護(hù)。保護(hù) SaaS 數(shù)據(jù)是一項(xiàng)艱巨的工作。設(shè)想一下某大型組織的 Microsoft 365 配置所產(chǎn)生的數(shù)據(jù)規(guī)模,此數(shù)據(jù)中的大部分極有可能是機(jī)密的、敏感的,并且包含對(duì)業(yè)務(wù)運(yùn)營(yíng)至關(guān)重要的信息。

普普點(diǎn)評(píng)

Veeam的研究發(fā)現(xiàn)了諸如在容器中備份 SaaS數(shù)據(jù)和使用第三方工具等問(wèn)題上的一些困惑。SaaS 管理員比備份管理員更有可能單獨(dú)存儲(chǔ)在容器上運(yùn)行的應(yīng)用程序的狀態(tài)數(shù)據(jù),并將其備份到容器上,并且更有可能使用第三方工具備份容器數(shù)據(jù)。然而較高比例的備份管理員錯(cuò)誤地認(rèn)為,他們的容器化應(yīng)用程序不包含需要備份的有狀態(tài)數(shù)據(jù)。





03

構(gòu)建云原生安全的6個(gè)重要能力

云原生安全作為一種新興的安全理念,不僅解決云計(jì)算普及帶來(lái)的安全問(wèn)題,更強(qiáng)調(diào)以原生的思維構(gòu)建云上安全建設(shè)、部署與應(yīng)用,推動(dòng)安全與云計(jì)算深度融合。以下是需要關(guān)注的6個(gè)云原生安全重點(diǎn)能力:1) 身份和訪問(wèn)管理(IAM)。在云上實(shí)施IAM有助于確保企業(yè)開(kāi)發(fā)人員、客戶其他合作伙伴高效、安全地訪問(wèn)服務(wù)和數(shù)據(jù);(2) 供應(yīng)鏈安全。供應(yīng)鏈具有很大的攻擊面,解決此問(wèn)題的最簡(jiǎn)單方法之一是取消供應(yīng)商對(duì)數(shù)據(jù)的訪問(wèn)權(quán)限;(3) ?API安全。企業(yè)安全團(tuán)隊(duì)?wèi)?yīng)努力將API安全性集成到Web和基于云的應(yīng)用程序開(kāi)發(fā)過(guò)程中;(4) 秘密憑證管理。秘密憑證可以涵蓋普通、特殊的密碼規(guī)則,以及安全密鑰、令牌、訪問(wèn)代碼,甚至是物理秘密;(5) 云安全態(tài)勢(shì)管理。云安全態(tài)勢(shì)管理是確保云配置正確的有用工具;(6) 社會(huì)工程安全。在社會(huì)工程場(chǎng)景中,攻擊者會(huì)操縱他們的目標(biāo)輸入可能導(dǎo)致數(shù)據(jù)泄露的信息。

普普點(diǎn)評(píng)

云安全正在不斷演進(jìn),更新的技術(shù)將進(jìn)一步增強(qiáng)安全性。但是,通過(guò)踐行最佳安全實(shí)踐并創(chuàng)建集成的安全策略,企業(yè)將更加安全。繼續(xù)監(jiān)控行業(yè)發(fā)展趨勢(shì)并實(shí)施上述一些策略,將能夠解決基于云的組織所面臨的諸多現(xiàn)代威脅。




04

大數(shù)據(jù)時(shí)代下,兼顧安全和效率是一道無(wú)解的難題嗎?

隨著云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)、移動(dòng)互聯(lián)網(wǎng)等新技術(shù)的廣泛應(yīng)用,使得我們對(duì)海量數(shù)據(jù)處理和分析的能力大幅提高,一個(gè)全新的數(shù)據(jù)驅(qū)動(dòng)的數(shù)字化社會(huì)已經(jīng)加速到來(lái)。與此同時(shí),大數(shù)據(jù)的快速發(fā)展也帶來(lái)了新的安全問(wèn)題,給社會(huì)帶來(lái)了新的挑戰(zhàn)。從宏觀層面而言,大數(shù)據(jù)安全已經(jīng)影響到國(guó)家安全的方方面面,從個(gè)人層面而言,大數(shù)據(jù)時(shí)代的到來(lái),對(duì)個(gè)人也造成了巨大的安全風(fēng)險(xiǎn)。首先在宏觀層面上,數(shù)據(jù)安全事件造成的影響逐漸深入擴(kuò)展到國(guó)家政治、經(jīng)濟(jì)、民生不同層面,涉及國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施、工業(yè)商業(yè)系統(tǒng)等各個(gè)方面。其次在個(gè)人層面上,黑產(chǎn)集團(tuán)對(duì)個(gè)人權(quán)益的侵?jǐn)_,虛假?gòu)V告對(duì)個(gè)人的騷擾,大數(shù)據(jù)殺熟和算法作惡等。

普普點(diǎn)評(píng)

在大數(shù)據(jù)時(shí)代,安全與效率,就像硬幣的兩面,彼此相對(duì)又相連,你中有我、我中有你,不能完全割裂。只有充分認(rèn)識(shí)到兩者的辯證關(guān)系,并加強(qiáng)安全管理,就能讓數(shù)據(jù)發(fā)揮出應(yīng)有的價(jià)值,在大數(shù)據(jù)時(shí)代,讓數(shù)據(jù)為人類服務(wù)。



05

SaaS安全態(tài)勢(shì)管理的六大挑戰(zhàn)

鑒于如今的安全威脅不斷變幻,企業(yè)對(duì)相關(guān)SaaS應(yīng)用實(shí)施態(tài)勢(shì)管理策略至關(guān)重要,可以讓安全團(tuán)隊(duì)根據(jù)需要進(jìn)行安全策略的動(dòng)態(tài)調(diào)整。如果企業(yè)在研究構(gòu)建SaaS安全態(tài)勢(shì)管理,需要特別關(guān)注以下六個(gè)方面的挑戰(zhàn)。挑戰(zhàn)一:安全策略的有效執(zhí)行。SaaS服務(wù)提供商通常會(huì)為客戶制定一些安全策略。SaaS安全態(tài)勢(shì)管理需要清晰了解這些策略是否都被有效執(zhí)行;挑戰(zhàn)二:有效的配置管理。企業(yè)需要落實(shí)適當(dāng)?shù)呐渲霉芾?,以便跟蹤SaaS平臺(tái)及服務(wù)器上出現(xiàn)的所有更改;挑戰(zhàn)三:安全態(tài)勢(shì)評(píng)估。安全態(tài)勢(shì)評(píng)估將幫助企業(yè)找出安全態(tài)勢(shì)中的可能弱點(diǎn),并及時(shí)加以修復(fù);挑戰(zhàn)四:安全監(jiān)控與響應(yīng)。這將幫助企業(yè)確定是否存在威脅,并快速做出響應(yīng);挑戰(zhàn)五:及時(shí)更新安全策略。如果企業(yè)不時(shí)常更新安全策略,將無(wú)力防御未來(lái)出現(xiàn)的新威脅;挑戰(zhàn)六:對(duì)新威脅保持警惕。保護(hù)企業(yè)免受在線威脅的最佳方法是,對(duì)新威脅保持警惕。

普普點(diǎn)評(píng)

如果企業(yè)正在使用一個(gè)或多個(gè)SaaS平臺(tái),那么實(shí)行SaaS安全態(tài)勢(shì)管理將是該企業(yè)整體安全計(jì)劃中的關(guān)鍵組成部分。SaaS代表“軟件即服務(wù)”,意味著業(yè)務(wù)系統(tǒng)沒(méi)有安裝在本地,需要通過(guò)互聯(lián)網(wǎng)來(lái)訪問(wèn)。因此,企業(yè)不能僅僅依靠服務(wù)提供商為自己做好安全防護(hù)工作,而且針對(duì)各種挑戰(zhàn)指定相應(yīng)對(duì)策。


06

什么是合成身份欺詐?

合成身份欺詐是指犯罪分子利用真實(shí)的信息,去偽造出某個(gè)身份的行為。他們并不是假扮他人,而是通過(guò)拼湊偷竊來(lái)的信任憑證,假扮成并不存在的人員,進(jìn)而獲得某些權(quán)限,這些偽造的身份往往不會(huì)立即引起反身份欺詐監(jiān)控系統(tǒng)的察覺(jué)。防止合成身份欺詐的最佳方法是保護(hù)您的個(gè)人識(shí)別信息。首先,請(qǐng)針對(duì)你所有的在線帳戶,使用強(qiáng)大、復(fù)雜且唯一的密碼機(jī)制。通常,多因素身份驗(yàn)證(MFA)可以阻止99.9%的自動(dòng)化攻擊。畢竟,相比單因素身份驗(yàn)證(SFA),MFA可以結(jié)合兩個(gè)或三個(gè)獨(dú)立的信任憑證,即:用戶知道什么,用戶有什么,以及用戶是什么。其次,請(qǐng)千萬(wàn)不要將個(gè)人信息泄露給未知的來(lái)源,并且仔細(xì)檢查填寫(xiě)個(gè)人信息的必要性。同時(shí),請(qǐng)不要點(diǎn)擊那些號(hào)稱“異常緊急”的郵件、及其郵件正文中的鏈接。黑客通常會(huì)以這種方式誘惑您點(diǎn)擊,并跳轉(zhuǎn)到“收割”網(wǎng)站上,套取您的真實(shí)身份信息。

普普點(diǎn)評(píng)

身份盜用雖然是早在互聯(lián)網(wǎng)誕生之初就已經(jīng)出現(xiàn)了的長(zhǎng)期問(wèn)題,但是在如今疫情反復(fù)的全球環(huán)境下,顯得尤為突出和棘手。與此同時(shí),伴隨著攻防技術(shù)的不但迭代與發(fā)展,黑客竊取個(gè)人信息的手段和方式也在不斷進(jìn)步。合成身份欺詐由此應(yīng)運(yùn)而生。



07

五大入侵防御系統(tǒng)(IPS)趨勢(shì)

入侵防御系統(tǒng)(IPS)已經(jīng)存在一段時(shí)間了。幾十年來(lái),這項(xiàng)技術(shù)不斷發(fā)展。曾經(jīng)對(duì)IPS與入侵檢測(cè)系統(tǒng)(IDS)進(jìn)行了很大區(qū)分。如今,兩者都傾向于包含在同一個(gè)產(chǎn)品中。以下是IPS市場(chǎng)的五個(gè)主要趨勢(shì):1、人工智能的結(jié)合。人工智能是一種強(qiáng)大的工具,不僅可以用來(lái)檢測(cè)現(xiàn)有威脅,還可以用來(lái)檢測(cè)新的和不斷演變的威脅;2、融入更大的套件。將IPS工具本身打包到更大的包羅萬(wàn)象的安全套件中的趨勢(shì)也在不斷增長(zhǎng);3、勒索軟件預(yù)防。隨著勒索軟件成為威脅,組織開(kāi)始意識(shí)到他們必須有適當(dāng)?shù)墓ぞ邅?lái)防止勒索軟件的入侵;4、擴(kuò)展防御周長(zhǎng)??v深防御已成為新常態(tài),它需要多層安全控制,以提高如果一層被擊敗,另一層將識(shí)別并阻止攻擊的可能性;5、云與本地IPS。擴(kuò)展檢測(cè)和響應(yīng)(XDR)套件提供廣泛的基于云的端點(diǎn)保護(hù),并包括IPS功能。

普普點(diǎn)評(píng)


IPS是防止黑客入侵來(lái)提供網(wǎng)絡(luò)安全的軟件或硬件,此類工具持續(xù)監(jiān)控網(wǎng)絡(luò)活動(dòng),通過(guò)搜索可疑和惡意活動(dòng),并采取行動(dòng)檢測(cè)和防止入侵或破壞。在單功能IPS工具的時(shí)期,只要在網(wǎng)絡(luò)邊緣保持警惕并防止任何東西滲透,您就可以安全。那些日子已經(jīng)一去不回。