教育行業(yè)成2021年網(wǎng)絡(luò)攻擊重災(zāi)區(qū)

Check Point Software Technologies的調(diào)查研究顯示，教育和研究領(lǐng)域是2021年網(wǎng)絡(luò)攻擊者的首要目標(biāo)，每家機(jī)構(gòu)每周平均遭受1605次攻擊，比2020年增加了75%。新冠肺炎疫情促使企業(yè)和教育行業(yè)的員工紛紛居家辦公，由此催生了對(duì)數(shù)字技術(shù)和在線課程的需求，推動(dòng)了數(shù)字教育市場(chǎng)大幅發(fā)展，但同時(shí)也給學(xué)習(xí)和網(wǎng)絡(luò)威脅都創(chuàng)造了條件和機(jī)會(huì)。

Check Point數(shù)據(jù)研究經(jīng)理Omer Dembinsky表示，由于轉(zhuǎn)向遠(yuǎn)程學(xué)習(xí)和大量非員工需要遠(yuǎn)程訪問(wèn)在線教育機(jī)構(gòu)的各個(gè)系統(tǒng)，數(shù)字資產(chǎn)暴露面不斷擴(kuò)大，網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)也上升了。

政府及軍事部門(mén)緊隨教育行業(yè)之后，2021年每個(gè)機(jī)構(gòu)每周遭受1136次攻擊，比上一年增加47%。由于所涉事務(wù)的敏感性，政府一直是此類(lèi)攻擊的主要目標(biāo)。世界各國(guó)政府轉(zhuǎn)向在線為公民提供各項(xiàng)服務(wù)的事實(shí)，也為網(wǎng)絡(luò)攻擊者打開(kāi)了又一扇方便之門(mén)。

通信行業(yè)在遭攻擊最多的行業(yè)中列第三，2021年每個(gè)企業(yè)每周遭遇1079次攻擊，比上一年增加了51%。

普普點(diǎn)評(píng)

由于不重視網(wǎng)絡(luò)安全，教育行業(yè)很容易成為黑客攻擊的目標(biāo);同時(shí)，新冠疫情迫使教育工作者偶爾化身首席信息官，幫助教職員工和學(xué)生轉(zhuǎn)向居家學(xué)習(xí)的新技術(shù)。面對(duì)日益頻繁的攻擊，最好建立起可交付統(tǒng)一防護(hù)基礎(chǔ)設(shè)施的安全架構(gòu)，提供全面快速的安全保護(hù)。此外，還應(yīng)該保持適當(dāng)?shù)陌踩l(wèi)生，實(shí)施漏洞修復(fù)、網(wǎng)絡(luò)分隔、員工教育等安全防范措施，并實(shí)現(xiàn)先進(jìn)的安全保護(hù)技術(shù)。

加密強(qiáng)度不足缺陷漏洞

大多數(shù)密碼系統(tǒng)都需要足夠的密鑰大小來(lái)抵御暴力攻擊。軟件使用理論上合理的加密方案存儲(chǔ)或傳輸敏感數(shù)據(jù)，但強(qiáng)度不足以達(dá)到所需的保護(hù)級(jí)別。

RSA是目前最有影響力和最常用的公鑰加密算法，它能夠抵抗到目前為止已知的絕大多數(shù)密碼攻擊，已被ISO推薦為公鑰數(shù)據(jù)加密標(biāo)準(zhǔn)。只有短的RSA鑰匙才可能被強(qiáng)力方式解破。只要當(dāng)鑰匙的長(zhǎng)度足夠長(zhǎng)時(shí)，用RSA加密的信息實(shí)際上是難以被解破。

RSA的安全性依賴(lài)于大數(shù)的因子分解，但并沒(méi)有從理論上證明破譯RSA的難度與大數(shù)分解難度等價(jià)，而且密碼學(xué)界多數(shù)人士?jī)A向于因子分解不是NP問(wèn)題。

人們已能分解140多個(gè)十進(jìn)制位的大素?cái)?shù)，這就要求使用更長(zhǎng)的密鑰，帶來(lái)的問(wèn)題是速度減慢;另外，人們正在積極尋找攻擊RSA的方法，如選擇密文攻擊，一般攻擊者是將某一信息作一下偽裝(Blind)，讓擁有私鑰的實(shí)體簽署。然后，經(jīng)過(guò)計(jì)算可得到它所想要的信息。

普普點(diǎn)評(píng)

加密強(qiáng)度不足的程序可能會(huì)受到暴力攻擊，如果暴力攻擊成功，惡意攻擊者則進(jìn)入系統(tǒng)進(jìn)行破壞。使用本領(lǐng)域?qū)＜夷壳罢J(rèn)為比較強(qiáng)的加密方案。例如使用RSA算法，密鑰越長(zhǎng)，它就越難破解。目前被破解的最長(zhǎng)RSA密鑰是768個(gè)二進(jìn)制位。也就是說(shuō)，長(zhǎng)度超過(guò)768位的密鑰，還無(wú)法破解。因此，1024位的RSA密鑰基本安全，2048位的密鑰極其安全，建議使用2048位的密鑰。

企業(yè)法務(wù)合規(guī)的四大新風(fēng)險(xiǎn)趨勢(shì)

日前，Gartner公司列出了企業(yè)法務(wù)合規(guī)部門(mén)在今后兩年會(huì)遇到的四個(gè)新興風(fēng)險(xiǎn)趨勢(shì)。這些趨勢(shì)將決定法務(wù)、合規(guī)和隱私風(fēng)險(xiǎn)對(duì)組織目標(biāo)實(shí)現(xiàn)的重要性以及對(duì)新法務(wù)合規(guī)服務(wù)的需求。

一是技術(shù)監(jiān)管的新領(lǐng)域，法務(wù)監(jiān)管體系正在適應(yīng)日益受數(shù)據(jù)、平臺(tái)和自主決策驅(qū)動(dòng)的企業(yè)運(yùn)營(yíng)環(huán)境。二是不斷變化的社會(huì)期望。利益相關(guān)者的影響力越來(lái)越大，他們的期望也發(fā)生了變化，而且在一些地方與企業(yè)目標(biāo)的新愿景趨同。如果組織跟不上這種變化，將面臨政府、客戶(hù)、供應(yīng)鏈合作伙伴、員工及其他利益相關(guān)者的懲罰性反應(yīng)。三是新的勞資關(guān)系，這場(chǎng)疫情促使許多人重新評(píng)估工作生活，并促使企業(yè)從不的角度思考如何完成工作。這個(gè)持續(xù)的現(xiàn)象正在帶來(lái)就業(yè)新政，這與疫情暴發(fā)前的常態(tài)大不相同。四是地緣政治競(jìng)爭(zhēng)，公眾期望與政府業(yè)績(jī)之間的差距越來(lái)越大，正在加劇社會(huì)內(nèi)部的緊張局勢(shì)。

普普點(diǎn)評(píng)

從根本上說(shuō)，企業(yè)的社會(huì)角色在發(fā)生變化，新冠疫情已對(duì)大多數(shù)組織帶來(lái)了巨大沖擊。組織生存是過(guò)去兩年的主題，直到現(xiàn)在，法律、監(jiān)管和社會(huì)系統(tǒng)才趕上新形勢(shì)和已發(fā)生的重大技術(shù)變革。如果組織跟不上這種變化，將面臨政府、客戶(hù)、供應(yīng)鏈合作伙伴、員工及其他利益相關(guān)者的懲罰性反應(yīng)。且隨著地緣政治環(huán)境對(duì)貿(mào)易、關(guān)稅、勒索軟件、網(wǎng)絡(luò)安全和并購(gòu)的影響越來(lái)越大，企業(yè)彈性或?qū)⒊蔀橐粋€(gè)關(guān)鍵的競(jìng)爭(zhēng)優(yōu)勢(shì)。

Windows 11更新要小心了 惡意軟件已經(jīng)盯上它

2022年年初，在Windows 11系統(tǒng)廣泛部署階段，RedLine惡意軟件團(tuán)伙已經(jīng)悄悄盯上了這波更新，已經(jīng)做好了充足的攻擊前準(zhǔn)備。

攻擊者使用看似合法的“windows-upgraded.com”域來(lái)分發(fā)惡意軟件。如果訪問(wèn)者單擊“立即下載”，他們會(huì)收到一個(gè)1.5M的名為“Windows11InstallationAssistant.zip”的zip文件， 隨后，解壓縮文件會(huì)生成一個(gè)大小為 753MB 的文件夾，其高達(dá)99.8%的壓縮率令安全研究人員印象深刻。而當(dāng)受害者啟動(dòng)文件夾中的可執(zhí)行文件時(shí)，一個(gè)帶有編碼參數(shù)的 PowerShell 進(jìn)程就會(huì)啟動(dòng)。并且還會(huì)啟動(dòng)一個(gè) cmd.exe 進(jìn)程，在經(jīng)過(guò)約21秒的超時(shí)時(shí)間后，它會(huì)從遠(yuǎn)程 Web 服務(wù)器獲取一個(gè) .jpg 文件。該文件包含一個(gè)DLL，其內(nèi)容以相反的形式排列，其目的或許是為了逃避檢測(cè)和分析。最后，初始進(jìn)程加載 DLL 并用它替換當(dāng)前線程上下文，通過(guò)TCP 連接到命令和控制服務(wù)器，這樣它就可以在新感染的系統(tǒng)上獲取接下來(lái)需要運(yùn)行的惡意指令。

普普點(diǎn)評(píng)

截止到目前，安全研究人員發(fā)現(xiàn)的這個(gè)分發(fā)站點(diǎn)已經(jīng)被關(guān)閉，但是卻無(wú)法阻止攻擊者設(shè)置新的分發(fā)站點(diǎn)，并重新開(kāi)啟新一輪的、虛假的Windows 11升級(jí)安裝程序。事實(shí)上，這樣的情形已經(jīng)在不斷發(fā)生。因此，用戶(hù)在更新Windows 11系統(tǒng)時(shí)一定要選擇官方渠道，如果Windows 10用戶(hù)由于硬件不兼容而無(wú)法從官方分發(fā)渠道獲得，那么在進(jìn)行更新時(shí)應(yīng)盡量提高警惕，避免陷入攻擊者預(yù)設(shè)好的陷進(jìn)之中。

網(wǎng)絡(luò)安全自動(dòng)化:評(píng)估產(chǎn)品和服務(wù)的自動(dòng)化潛力

隨著安全自動(dòng)化的推廣，安全產(chǎn)品與服務(wù)將不可避免地將自身與自動(dòng)化相互結(jié)合，但現(xiàn)有的產(chǎn)品和服務(wù)并不能完全支持自動(dòng)化改造。產(chǎn)生這一問(wèn)題的主要原因是：通過(guò)應(yīng)用程序編程接口(API)獲得的功能和信息可能與通過(guò)用戶(hù)界面獲得的功能和信息不同。因此，評(píng)估產(chǎn)品和服務(wù)的自動(dòng)化潛力對(duì)于如今安全自動(dòng)化的實(shí)行是十分重要的。

首先，產(chǎn)品或服務(wù)必須具有供用戶(hù)大規(guī)模使用的API。在安全編排、自動(dòng)化和響應(yīng)(SOAR)市場(chǎng)出現(xiàn)之前，并不是所有的產(chǎn)品都為用戶(hù)提供了直接的API訪問(wèn)。預(yù)期的設(shè)想是：用戶(hù)將與儀表板或控制臺(tái)交互，應(yīng)用程序?qū)⒃趦?nèi)部處理所有API請(qǐng)求。但當(dāng)用戶(hù)開(kāi)始從幾十個(gè)產(chǎn)品中接收到數(shù)千個(gè)警報(bào)時(shí)，這種方法就不再是可行的網(wǎng)絡(luò)防御了?，F(xiàn)在，大多數(shù)產(chǎn)品都期望并支持用戶(hù)某種程度的自動(dòng)化，但是用戶(hù)通過(guò)產(chǎn)品或服務(wù)提供的圖形界面手動(dòng)與應(yīng)用程序交互的最初設(shè)計(jì)原則，導(dǎo)致了不同程度的自動(dòng)化支持。

普普點(diǎn)評(píng)

在網(wǎng)絡(luò)安全分析中，傳統(tǒng)的網(wǎng)絡(luò)安全在當(dāng)今時(shí)代背景下是十分局限的，這也造就了網(wǎng)絡(luò)安全自動(dòng)化的興起。網(wǎng)絡(luò)安全自動(dòng)化即，通過(guò)流程自動(dòng)化的產(chǎn)品和服務(wù)實(shí)現(xiàn)整個(gè)網(wǎng)絡(luò)安全分析過(guò)程自動(dòng)化，使安全分析師能快速地關(guān)注與最大風(fēng)險(xiǎn)相關(guān)的信息、事件。安全產(chǎn)品與服務(wù)將不可避免地要順應(yīng)自動(dòng)化的潮流，將自身與自動(dòng)化思想相互結(jié)合。但現(xiàn)有的產(chǎn)品和服務(wù)并不能完全支持自動(dòng)化改造，因此評(píng)估產(chǎn)品和服務(wù)的自動(dòng)化潛力是十分有必要的。

物理隔離內(nèi)網(wǎng)面臨的安全威脅

網(wǎng)絡(luò)隔離技術(shù)分為物理隔離和邏輯隔離，物理隔離就是將兩個(gè)網(wǎng)絡(luò)物理上互不連接，物理隔離需要做兩套或者幾套網(wǎng)絡(luò)，一般分為內(nèi)、外網(wǎng)。

物理隔離的網(wǎng)絡(luò)通常出現(xiàn)在政府機(jī)構(gòu)、大型企業(yè)以及軍事部門(mén)中，它們通常存儲(chǔ)著保密的文件或重要隱私及數(shù)據(jù)。攻克物理隔離網(wǎng)絡(luò)通常被視為安全漏洞的圣杯，因?yàn)槠茐幕驖B透物理隔離系統(tǒng)的難度極大。

物理隔離內(nèi)網(wǎng)不可能不與外界交互數(shù)據(jù)， 因此隔離網(wǎng)絡(luò)系統(tǒng)的建設(shè)注定要犧牲網(wǎng)絡(luò)數(shù)據(jù)交換的便捷性。為了解決實(shí)際生產(chǎn)環(huán)境中的數(shù)據(jù)交換需求，經(jīng)常會(huì)出現(xiàn)一些“不得已”的操作， 譬如搭建內(nèi)網(wǎng)跳板機(jī)映射共享目錄、使用可移動(dòng)存儲(chǔ)設(shè)備進(jìn)行數(shù)據(jù)擺渡等，這些操作相當(dāng)于間接打通了一條與外網(wǎng)通信的隧道，從而破壞其物理隔離的完整性。除此之外，物理隔離環(huán)境會(huì)導(dǎo)致隔離內(nèi)網(wǎng)環(huán)境的安全更新(漏洞補(bǔ)丁、病毒庫(kù)等)滯后。

普普點(diǎn)評(píng)

物理隔離的網(wǎng)絡(luò)通常出現(xiàn)在政府機(jī)構(gòu)、大型企業(yè)以及軍事部門(mén)中，它們通常存儲(chǔ)著保密的文件或重要隱私及數(shù)據(jù)。構(gòu)建了隔離內(nèi)網(wǎng)安全防護(hù)體系并不意味著就安全了，根據(jù)Ramsay等惡意軟件針對(duì)隔離網(wǎng)絡(luò)環(huán)境的攻擊，其目的是進(jìn)行各種網(wǎng)絡(luò)竊密活動(dòng)，攻擊者將收集到的情報(bào)直接寫(xiě)入移動(dòng)存儲(chǔ)介質(zhì)的特定扇區(qū)，并不在該存儲(chǔ)介質(zhì)上創(chuàng)建容易查看的文件，可見(jiàn)攻擊與收集行為極具隱蔽性，威脅性很大。

企業(yè)上云后面臨的安全威脅

網(wǎng)絡(luò)惡意攻擊，云計(jì)算的開(kāi)放性讓企業(yè)用戶(hù)能夠隨時(shí)隨地訪問(wèn)業(yè)務(wù)或數(shù)據(jù)，但這樣的特性很容易讓攻擊者發(fā)現(xiàn)。

云資產(chǎn)管理混亂，云平臺(tái)的管理與傳統(tǒng)資產(chǎn)管理是不一樣的，運(yùn)維人員不僅要管理物理主機(jī)的基礎(chǔ)硬件，同時(shí)也要對(duì)云計(jì)算的每一個(gè)應(yīng)用、服務(wù)、應(yīng)用的接口進(jìn)行管理，如果運(yùn)維人員沒(méi)有進(jìn)行培訓(xùn)，很容易造成云資產(chǎn)管理混亂。

系統(tǒng)漏洞，如果企業(yè)選擇的云架構(gòu)沒(méi)有很好的隔離手段，這會(huì)導(dǎo)致云用戶(hù)之間發(fā)生相互入侵、跨站腳本攻擊等情況，會(huì)給企業(yè)帶來(lái)更多潛在的安全和業(yè)務(wù)風(fēng)險(xiǎn)。

數(shù)據(jù)丟失、泄露，云資產(chǎn)管理混亂，或是部分剛剛接觸云的用戶(hù)缺乏對(duì)云平臺(tái)的運(yùn)維管理經(jīng)驗(yàn)，出現(xiàn)越權(quán)、誤操作等情況可能導(dǎo)致數(shù)據(jù)的丟失泄露。

缺乏審計(jì)工具，攻擊者常常會(huì)利用非法獲取接口訪問(wèn)密鑰，然后發(fā)起接口漏洞類(lèi)的攻擊，由于缺乏可靠的合規(guī)審計(jì)工具或能力，這類(lèi)攻擊有時(shí)很難被企業(yè)客戶(hù)所發(fā)現(xiàn)。

普普點(diǎn)評(píng)

如今，隨著云計(jì)算等新興科技的發(fā)展，不同類(lèi)型企業(yè)間的關(guān)聯(lián)越來(lái)越多，它們之間的業(yè)務(wù)邊界已被打破，企業(yè)上云成為了大勢(shì)所趨。云計(jì)算應(yīng)用幫助企業(yè)改變了IT資源不集中的狀況，同時(shí)，數(shù)據(jù)中心內(nèi)存儲(chǔ)的大量數(shù)據(jù)信息，也成為了黑客的攻擊目標(biāo)。盡管企業(yè)上云能夠帶來(lái)很多便利，但云計(jì)算基礎(chǔ)架構(gòu)與業(yè)務(wù)云化之后，企業(yè)將會(huì)面臨新的安全威脅。