新的Web緩存系統中毒攻擊

新的Web緩存系統中毒攻擊, 使用CDN(內容傳遞網路)的站點

有關新的Web緩存中毒攻擊的詳細信息已經出現,這些攻擊可用於拒絕用戶訪問通過內容傳遞網路(CDN)分發的資源。

該新方法名為“緩存中毒拒絕服務(CPDoS)”,它具有多種變體,可以通過發送帶有格式錯誤的標頭的HTTP請求來工作。

通過緩存服務器進行DoS

CDN具有通過緩存客戶端經常請求的資源來減少使用其服務的原始伺服器上的通信量的特性。這樣做的直接效果是提高了性能。

CDN體系結構中的緩存系統通常分散在較大的地理區域中,以實現更好的分發,它存儲源伺服器中資源的最新版本,並在客戶端請求時將其交付給客戶端。

這些中間系統處理請求並將其轉發到目的地,等待回應和資源的新版本(如果存在)。使用標識新變體的緩存鍵可以確定資源的新鮮度。

CPDoSCDN的中間緩存系統級別工作,該緩存系統接收並存儲由錯誤的HTTP請求標頭引起的錯誤頁面。

結果,嘗試訪問相同資源的用戶將收到緩存的錯誤頁面,因為這是原始伺服器在請求後返回的帶有錯誤標頭的內容。

CPDoS_01.png

攻擊的變化

Cologne大學應用科學和德國漢堡大學的Hoai Viet NguyenLuigi Lo IaconoHannes Federrath描述了CPDoS攻擊的三種變化:

HTTP標頭超大Header OversizeHHO

HTTP元字符Meta CharacterHMC

HTTP方法覆蓋Method OverrideHMO

使用HHO類型的CPDoS攻擊,威脅參與者會利用為HTTP請求標頭設置的大小限制中間系統和Web伺服器。

如果緩存系統接受的請求標頭大小大於原始伺服器定義的請求標頭大小,則攻擊者可以使用超大請求密鑰或多個標頭來製作請求。

在這種情況下,緩存將轉發帶有多個標頭的請求,並且網

路伺服器將阻止該請求,並返回一個400 Bad Request錯誤頁面,該頁面將被緩存。以後對相同資源的請求將獲得錯誤頁面。

CPDoS_02.png

為了更好地說明這種情況,研究人員製作了一個視頻,目標是託管在Amazon CloudFront上的應用程式。

在攻擊過程中,錯誤頁面將有選擇地替換資源,直到整個網頁都不可用為止。

HTTP元字符(HMC),CPDoS攻擊的第二種變體與HHO類似,但利用了有害的元字符。這些是任何“控製字符,例如中斷/回車符(‘\ n,換行符(‘\ r’)或鈴聲(‘\ a’)”。

再次,高速緩存系統執行其工作並轉發從客戶端收到的請求。當它到達源伺服器時,它可能被分類為惡意程式,並生成一條錯誤消息,該消息被緩存並呈現給客戶端而不是所請求的資源。

CPDoS_03.png

該方法超越了攻擊(HMO),這是CPDoS的第三種變體,它從僅支持GETPOST HTTP請求方法的中間系統(例如代理,負載平衡器,緩存,防火牆)中獲利。

這轉化為阻止其他HTTP請求方法。一個提供Web應用程式指示信息以替換標頭中支持的HTTP方法的Web框架允許繞過安全策略並提供不同的安全策略,例如DELETE

CPDoS_04.png

在上圖中,GET請求被覆蓋,原始伺服器上的Web應用將其解釋為POST,並返回相應的回應。

“讓我們假設目標Web應用程式未對/index.html上的POST實現任何業務邏輯。在這種情況下,諸如Play Framework 1之類的Web框架會 回一條錯誤消息,狀態碼為404 Not Found。”

結果是該錯誤消息被緩存並用於/index.html資源的後續有效GET請求。

下面的視頻演示了CPDoS攻擊的這種變體,它使用Postman  工具測試Web服務來阻止對目標網站主頁的訪問。

影響深遠

CDN在較大的地理位置上運行,CPDoS攻擊生成的錯誤頁面可以到達多個緩存伺服器位置。

但是,研究人員發現,並非所有邊緣伺服器都受到此威脅的影響,並且某些客戶端仍將從原始服務器接收有效頁面。

在測試中,他們使用了TurboBytes Pulse(全局DNSHTTPtraceroute測試工具)和網站速度測量服務。

針對同一國家德國(法蘭克福)和(科隆)的目標發起的攻擊影響了整個歐洲和亞洲某些地區的緩存伺服器。

CPDoS_05.png

解決問題

這種DoS攻擊的標頭超大(HHO)和元字符(HHM)變體是可能的,因為它與標準HTTP實現有所不同,默認情況下,標準HTTP實現不允許存儲包含錯誤代碼的回應。

Web緩存標準只允許緩存錯誤代碼‘404 Not Found’‘405 Method Not Allowed’‘410 Gone’‘501 Not Implemented’,”研究人員在CPDoS的網站上寫道。

阻止DoS受到這些攻擊的最簡單方法是遵守HTTP標準並僅緩存上面定義的錯誤頁面。

但是,由於內容提供者使用更通用的狀態代碼,因此使用不適當的狀態代碼來處理錯誤也會啟用這些攻擊。例如,“ 400錯誤請求”用於聲明過大的標頭。正確的是“ 431請求標頭字段太大”,研究人員分析的任何系統都沒有緩存它。

針對HHOHHM CPDoS變體的全面解決方案是將錯誤頁面完全排除在緩存之外。

保護措施還包括在緩存前面設置Web應用程序防火牆(WAF),以捕獲試圖到達原始服務器的惡意內容。

存在於多個CDN上的問題

從三位學者進行的測試來看,亞馬遜的CloudFront CDN似乎最容易受到CPDoS威脅。

在研究人員測試的25個流量服務器和Web框架中,只有其中三個的HTTP實施不受CPDoS攻擊:Apache TSGoogle Cloud StorageSquid

下表顯示了此類Web緩存系統和HTTP實施的組合受此類拒絕服務的影響。

CPDoS_06.png

已將問題報告給受影響的各方,其中一些人發布了補丁或以其他式糾正了它們。

Microsoft更新了IIS Server的修復程式,並於6月發布了有關漏洞的詳細信息(CVE-2019-0941)。Play Framework還在1.5.31.4.6版本中針對HMO方法修補了其產品。

但是,並非所有供應商的反應都相同。與Flask開發人員進行了多次聯繫,但沒有回复,並且對CPDoS的彈性尚不清楚。

Amazon的安全團隊承認CloudFront的弱點,並在default的情況下停止使用狀態碼“ 400 Bad Request”緩存錯誤頁面。但是,研究人員說,溝通主要是一種方式,因為他們從未收到有關緩解進度的最新信息。

Hoai Viet NguyenLuigi Lo IaconoHannes Federrath在《您的緩存已下降:緩存中毒的拒絕服務攻擊》一文中詳細介紹了這種Web緩存中毒攻擊及其變化。

他們將在1114日於倫敦舉行的第26ACM Conference on Computer and Communications SecurityCCS)會議上發表該論文。

更新[10/23/2019]  CloudFlare回應BleepingComputer的評論請求說,它為影響其係統的CPDoS方法增加了緩解措施。

為了與HTTP方法覆蓋(HMO)對抗,該公司將特殊標頭添加到了存在這些標頭的緩存鍵中。“這確保了使用標頭發出的請求不會毒化沒有它們的請求的緩存內容。”

對於其他兩種方法(標頭超大(HHO)和元字符(HMC)),CloudFlare的系統不會緩存“ 400錯誤請求”頁面。

公司代表告訴BleepingComputer:“我們還沒有發現使用本文所述漏洞的大規模攻擊方法。”

Akamai今天發表了一篇文章,  說他們的緩存系統遵循標準的HTTP實施,並且不受CPDoS攻擊方法的影響。

但是,可以實現非標準配置,並允許緩存錯誤消息。該公司建議其客戶檢查設置的自定義是否會使他們的網站容易受到攻擊。

Source: http://spr.ly/60161yiAK

Open Threat Exchange(OTX)的新功能

AT & T Cyber​​security一直在努力持續開發Open Threat ExchangeOTX)平台。 以下是最新消息和下一步的消息

OTX的新功能

AT&T Alien LabsOpen Threat Exchange (OTX)開發團隊一直在努力工作,持續對OTX平台進行的開發。你們可能已經注意到,去年我們增加了一些令人興奮的新功能,使OTX社區對不斷發展的威脅和新出現的威脅有更多的了解。

惡意軟體分析使所有人受益

OTX中最大(也是最新)的新功能是能夠提交到我們的後端AT&T Alien Labs系統中進行分析樣本的功能。(Alien LabsAT&T網路安全的威脅情報部門。)您現在可以上傳文件和URL進行分析,並在幾分鐘之內得到結果,可以通過OTX Portal(如下所示)或以程式通過API進行提交。

a.png

在“ Submit Sample提交樣本”頁面上,您將能夠看到所有提交的內容以及指向結果的鏈接。而且,如果您擔心包含敏感信息的示例,您可使用OTX的交通燈號協議(TLP)將提交的文件和URL設為私有。

Pulse的增強功能

您可以通過單擊按鈕輕鬆地將result indicator 新增到新的Pulse中。實際上,您也可以從任何indicator的詳細信息頁面使用新的“Add to Pulse”按鈕。

b.png

談到Pulse,我們已經將OTX可以自動提取IOC的文件類型添加到列表中,現在也包括PCAP和電子郵件。

newpulse.png

您還可以一次編輯多個indicator,從而使Pulse的建立更加容易。

aa.png

我們還通過針對惡意軟體家族和威脅參與者的自動建議,使Pulse在添加更多詳細信息變得更容易。只需在associated fields(相關領域)進行輸入,OTX將提供建議列表。此外,OTX也會從資源(例如Blog或威脅報告)中識別MITER ATT& CK ID,並將此信息自動添加到Pulse中。

bb.png

CVSS v3嚴重性分數

我們還新增了對CVSS v3的支援,因此您現在可以引用和參考CVSS v2v3嚴重性信息。

cc.png

And more

我們還對Passive DNS data進行了改進,並增加了Linux沙箱對ARMx86x64的支援。

What’s coming next…..

  • 重新設計並增強了文件indicator的詳細信息頁面
  • 改進的IoC搜索功能
  • 能夠從Pulse電子郵件中啟動端點掃描

請持續關注,因為我們還有更多很棒的東西要來!

Source: http://spr.ly/60151EaFN

如何在2019年管理物聯網(IoT)的安全

AT & T Cyber​​security物聯網解決方案實踐負責人Mike Feeney, 與我們在一起探索和瞭解, 如何在2019年管理物聯網(IoT)的安全

物聯網安全的挑戰

歡迎來到物聯網(IoT)世界,並展望未來。物聯網是物理世界與數位世界融合的地方。我們預計很快世界物聯網人口將比人口總數增加十倍,到2025年,可能有多達800億個互聯網設備。

當您目睹物聯網的全球和經濟增長加速時,您可能想知道您和您的企業如何建立聯繫並參與由物聯網創造的數萬億美元的機會。

對於每個人來說,這意味著不同的事物從連接的汽車到智能燈柱,可穿戴式健康監護器或工廠車間裝配線上的機器人。它甚至可能是—-在農場的田野上有一群小型的太陽能傳感器。

無論採用哪種方式,都面臨著艱鉅的任務:物聯網的加速,再加上這些設備的多樣性,其不同的功能以及可以部署的地方和方式,這使安全性成為一個獨特的挑戰。

您需要以一致的方式為您為業務的未來構想,部署和建立IoT的各個方面和維護安全性。

通過採用整體,多層的方法來保護您的IoT生態系統,它們連接的其他寶貴資產以及它們所在的物理世界,這一切就在您的範圍之內。

物聯網安全需求的解決方案,通過分層方法保護您的物聯網。

每個物聯網生態系統都有其獨特的安全需求。即使對於單個客戶端,看似相似的IoT部署也可能具有不同的基礎設計。例如,今天建造的工廠可能與幾年前建造的工廠完全不同。這意味著可能需要組合不同的解決方案以幫助為每個解決方案提供安全性。

物聯網的全面安全評估是一個多層過程。每層都需要照顧和關注。某些端點設備很複雜,可以通過多種方式訪問設備的內部功能。其他的則很簡單,

但在安全性方面落後於智能手機多年,您知道設備的安全功能嗎?

端點之間可以相互連接,可以通過網關相互連接,也可以與其他網路,Internet以及雲連接。他們可能使用包括有線,無線,短距離,行動和衛星的連接。有什麼可能破壞他們的溝通?

為了使IoT部署成功,必須從設備中獲取,傳輸,處理和使用數據。您如何提供對重要數據和應用程式的信任和適當訪問?

意識到某些物聯網生態系統可能與傳統的IT環境大相徑庭。工業物聯網部署使用運營技術,該技術可在經典模型上翻轉腳本以達到信息安全。可用性和完整性是重中之重,而機密性通常不是一個考慮因素。這需要專門的被動掃描工具來執行評估。對製造或公用事業流程的輕微破壞會導致巨大的財務損失。這方面的一個例子是一家工廠,每分鐘生產一輛皮卡車它負擔不起停機時間。對生命敏感的設備將影響補救和回應計劃。因此,例如,一個連接的醫療設備,例如胰島素泵,即使您認為有人正在訪問數據,也不想禁用該設備。

您處理設備威脅的正式計劃是什麼?你測試過了嗎?

高度保護與其他網路資產的連接

根據其定義,物聯網意味著您的設備將連接到外部世界,因此,世界可能會訪問您的設備以及它們所連接的所有其他設備。

您需要評估IoT網路如何連接到傳統IT網路。您是否在製定計劃時就建立了IoT網路,還是在部署新設備時臨時增加了它們?您知道分割它們並優化它們如何互連的最佳方法嗎?

一封打開的網路釣魚電子郵件可能會破壞您整個業務的利潤。您如何為傳統IT資產提供安全性以及如何防止IoT生態系統遭到破壞?

有條不紊地評估實際的風險

許多組織並不知道他們已經在使用大量的物聯網設備,以及這些設備如何影響網路安全性,隱私和人為風險。物聯網設備可以感知甚至改變其環境。因此,應分析和解決設備到設備,設備到系統以及設備到人的交互的潛在風險和嚴重性。

潛在威脅包括人,車輛,生物危害和自然災害。物聯網很容易遭到破壞,盜竊或污染。當您的設備有損壞,毀壞或被盜, 你有沒有其他的計劃?

依賴性和接近危險也成為考慮因素。例如,水處理設施最依賴於它們與電網的連接。遭受龍捲風警報系統的攻擊會導致911呼叫系統過載,從而引起廣泛的恐慌。您是否已預見到可能的結果,以計劃對抗骨牌效應?

經濟影響可能不僅限於您所在的地區,還包括周邊地區和人口。您是否考慮過這些影響可能是什麼?

有很多要考慮的問題。但是這些挑戰不會隨著時間而改變。所以問題是:您真的要等待,還是準備好現在就開始利用物聯網?您將如何保護物聯網世界的未來?

需要牢記的最佳物聯網安全實踐

了解現在和將來物聯網的實際外觀,成為您的IoT設備的清單,以及這些設備如何影響網路安全性,隱私和人為風險。

使物聯網成為您的網路安全計劃是不可或缺的一部分。過去“先連接它,然後再保護它”的通常做法是不可行的。進行端到端網路安全風險評估,將物聯網視為您整體風險的一部分。

請記住,物聯網安全需要分層的方法。您想確保端點設備,它們的通信(有線和無線網路和網關)以及它們的數據和應用程式受到高度保護。

注意物理世界中的物聯網生態系統風險。理想情況下,全面的IoT安全評估應包括物理環境,以及由人,車,生物危害和自然災害等威脅對連接設備造成的風險。

結論:我們從這裡去到那裡?

隨著物聯網的不斷發展,它將提供更多新的令人興奮的方式來轉變和發展您的業務。物聯網的未來將為您帶來新的機遇,以及新的安全風險和注意事項。您不必等待為物聯網提供安全性以使您的業務受益,您只需採取正確的方法即可。

現在是進入物聯網未來世界的最佳時機。

Source: http://spr.ly/60191B0O1

雲端安全和風險緩解

雲端安全和風險緩解

 

雲端確實提供了它的優勢,但與任何大規模部署一樣,雲端可以提供一些無法預料的挑戰。雲端只是“別人的數據中心”的概念一直是一個令人畏縮的想法,因為這想法是假設安全責任的轉移,因為“別人會照顧它”。

 

是的,雲端系統,網路和應用程式序並非實際位於您的控制範圍內,而是安全責任和緩解風險。雲端基礎架構提供商可以在您設置環境的方式,您在環境中放置的內容,如何保護數據以及如何監控環境方面實現大量控制。在整個環境中管理風險並與現有安全框架保持一致。

cloud11.jpg

隱私和風險

隨著GDPR和其他州的姐妹政策例如在ArizonaColorado, California和其他組織在保護雲端中的數據方面面臨著越來越高的要求。它並不像在數據中心部署資料外洩防護(DLP)那麼簡單,因為。您現在有一堆不再由你擁有的服務,系統和基礎架構,數據中心已變得不完整的, 但您仍需要可見性和控制權。

 

共享或交換信息的雲端服務和基礎架構也變得難以管理:誰有服務層級協議(SLA)?是否單一平台可以監控一切?DevOps使企業採用微分段和調整防火牆規則變更管理流程。此外,無伺服器計算通過允許開發人員運行代碼而無需擔心基礎架構和平台,為組織提供了降低成本和提高工作效率的方法。然而,如果沒有處理虛擬私有雲和工作量負載的部署,事情就會很快失控,您就會開始看到從一個環境洩漏的數據,就像您在另一個環境中獲得了一個安全級別一樣。

緩解

可以採取幾個步驟來幫助降低組織在雲端中的數據風險。

 

1. 設計對齊。首先,將您的雲端環境與網路安全框架保持一致。組織遷移到雲端,他們使應用安全控制於落地部署數據中心,這些數據中心隨著時間的推移而不斷發展和變強。此外,組織可以放寬廣泛使用SaaS應用程式上的安全顯微鏡。但即使使用這些合法的業務應用程式,如果沒有正確的可見性和控制權,數據最終可能會被洩露。雲端提供商技術與網路安全框架和業務運營程式保持一致,可以實現雲端平台的高度安全,優化和更高效的實施,從而提供更好的結果和成功的部署。

 2.請隨便一點,就像在自己家一樣。應該像對待LAN和數據中心一樣對待雲端系統網路。例如Amazon的共同責任模,概述Amazon安全責任的終結,並開始履行您的安全責任。雖然存在計算層的威脅,正如我們在MeltdownForeshadowSpectre中看到的那樣,最近的雲數據洩露已經顯示出組織安全責任區域的崩潰,即操作系統安全性,數據加密和訪問控制。如果您的組織具有管理服務器配置,漏洞管理,修補,IAM,加密,分段,防火牆規則,應用程式開發和監視的標準,請確保這些標準適用於雲端服務並定期進行審計。第三方對雲端基礎架構體系結構的常規評估可以像審核LANWAN一樣有效,以獲得最佳安全實踐。

3. 停止“晚上偷偷溜出去”。不久之前,您會發現組織正在努力與員工建立不安全的無線接入點,以便在日常工作中獲得更大的靈活性和效率。暱稱是“影子IT”,業務部門避免讓IT和安全性涉及他們正在做的事情,以便他們能夠更快地行動。快進到今天提供惡意檢測和入侵防禦系統(IPS)功能的無線控制器幫助了這項活動。通過雲端,員工可以根據需要設置雲端存儲帳戶,無伺服器計算環境和虛擬專用網路,以避免冗長和繁瑣的變更控製程式,降低成本並獲得類似的靈活性和效率。通過重新架構傳統網,重新調整數十年的流程和程式。

4. 密切關注。網路安全運營中心(CSOC)不再僅僅關注落地網路和數據中心。SOC使用的運營監控程式,威脅搜尋,情報和事件回應也適用於組織數據所在的雲環境。監控公司數據可能駐留的SaaS應用程式具有挑戰性,但可以使用有效的端點安全性以及雲端訪問解決方案(CASB,代理和其他)的監控來完成。對於無伺服器環境,根據您的CSOC要求,這可能意味著應用第三方監控平台或解決方案超出雲端提供商提供的範圍。在所有情況下,事件記錄和觸發器都需要反饋到CSOC以與落地事件數據,分析和威脅情報相關聯。

 

隨著所有可用的雲端服務以及每天提供的新服務,難怪公司難以管理風險。  “盡一切努力完成工作”到“做正確的業務”的文化轉變需要大量的協調努力和時間,但根植於安全成為業務推動者而不是繼續在的業務。如果安全性要繼續保護業務,組織必須在技術決策中包含安全性,並且安全性必須了解業務需求和技術變化才能成為推動者。為了幫助阻止人們尋求技術問題解決方案,IT和安全團隊必須發展他們的資產和功能,以適應這種速度和便利。  

Source: 

MDR( Managed Detection & Response)服務演變為一個獨特的資安服務產品

MDR服務正在發展成為Channel合作夥伴的新型網路安全產品。了解MDR提供商如何採用與傳統MSSP不同的方法

在一個充斥著警報和技能短缺的網路安全市場中,IT專業人員發現單靠一個SIEM系統無法滿足當今不斷增長的威脅形勢的需求。

據研究公司Gartner稱,託管檢測和回應(MDR)是一種新的服務類別,可讓企業通過統包方式增加全天候威脅監控,檢測和回應功能。去年,Gartner預測,到2020年,15%的組織將採用MDR服務,高於2018年的5%。

行業觀察人士表示,許多組織沒有足夠的資源來維持及時處理安全威脅的全天候監控和分析功能。企業戰略集團的研究顯示,受網路安全技能短缺影響的組織中有66%表示,這種短缺導致現有員工的工作量增加。

MDR服務與傳統的託管安全性

這就是MDR服務的用武之地。託管安全服務提供商(MSSP)通常會在安全信息和事件管理(SIEM)系統中標記事件時向客戶發出警報,然後將分析和回應轉移給客戶。根據位於德州PlanoMDR服務提供商Critical Start的說法,MDR服務通過調查安全事件並提供正確回應所需的分析來取代MSSP方法。

大多數MDR提供商“依靠高質量的網路安全產品來提供他們的服務,因此你擁有一個好的技術,然後他們試圖提供額外的價值,”如分類和警報回應,Randy WatkinsCritical Start的技術總監。

沒有第三方這樣做,有責任幫助客戶找到警報問題,還要解決問題。Randy Watkins說,大多數客戶都沒有這樣做。“任何MDR都優於沒有MDR,因為客戶通常自己做得不夠好。”

“每個人仍然在定義‘R’MDR中的含義,”總部位於Boston的安全提供商Cygilant Inc.的銷售和服務副總裁TJ Alvino說。“有些客戶希望你為他們做實際的修復,而其他人,從責任的角度來看,不希望你靠近他們的網路絡。所以他們希望你把他們從A做到Y – 但是自己做Z.

雖然網路安全市場繼續定義MDR,但Alvino表示Cygilant將該術語定義為“允許您在補丁端進行實際修復,但我們將為您加載儀表板,……所以責任仍在[客戶]要做到這一點。” 此外,MDR的回應方面在無需修補情況

下提供了有關情境感知警報和補救服務, Alvino說。

“我們確認問題,為問題提供解決方案,並為[客戶]提供解決方案,”他說,並補充說市場內“MDR服務是否應該補丁或留給客戶做正在被熱烈討論著。他說:“這就是”需要明確‘R’實際上是什麼。“

MDR服務超越了升級警報

Watkins認為,人們普遍認為MDR的局限性是無法從客戶擁有的每個日誌源中收集數據。

他說,MSSP通常從客戶有的幾乎所有來源中提取日誌。MSSP將日誌集中到一個位置,然後將問題升級到客戶“而不會增加太多價值”。雖然客戶希望MDR服務使用他們的大部分日誌源,但這是不可能的,他說。

“這些託管服務和MDR試圖解決的問題是業內人員不足,但這不是客戶需要的,”Watkins說。

他說,MDR提供商傾向於關注更少的產品,並通過執行回應行動為這些產品增加更多價值,而不是接收“從另一個地方產生的一堆警報”。

網路安全技能短缺帶來了現有員工工作量增加等問題。

Watkins解釋說:“MDR專注於他們可以從內到外學習的特定產品堆棧,以進行分類和執行回應功能,這不僅僅是升級警報。” MDR意味著“實際上隔離受感染的主機以降低攻擊者的停留時間……在您找到它們之前在您的環境中移除它們。”

但是,對於受到嚴格監管的客戶,MDR提供商受到相當嚴格的限制。“這項技術不允許那裡有很多檢測和回應功能,Watkins說。

MDR產品中的技術

Watkins表示,MDR提供商可以選擇網路,端點或基於日誌的技術。根據他們的服務,他們將關注防火牆和入侵檢測系統,SIEM或端點技術。他說,Critical Start專注於端點技術。

通常,開發MDR服務要求公司與網路安全供應商合作。為了增強其MDR產品,Critical Start在最近幾個月宣佈了幾個合作夥伴關係。根據3月份公佈的合作夥伴關係,Critical StartChronicle合作,為其Backstory安全遙測平台提供託管服務。4月,Critical Start還宣佈與微軟結盟,為Microsoft Defender Advanced Threat Protection平台提供MDR服務。

Alvino表示,Cygilant已與AT&T Cyber​​security合作,幫助中型企業開始將多種技術的SIEM數據融入一個界面,並將安全運營中心(SOC)作為服務包裹起來。

CygilantSOC監控平台與產品無關,可匯總警報和網路活動。該公司表示,它還具有“基於安全配置文件”協調和調整客戶希望如何接收警報的功能“。

通過將SOC作為服務,漏洞管理和補丁管理整合到一個平台,Alvino說,中型企業不必購買來自不同供應商的所有三個功能。

Source: spr.ly/6012EIu8C

Alien Labs研究團隊發現了類似StrongPity的新惡意軟體樣本…

 

根據AT&T Alien Labs的研究,研究人員充滿信心並公開報導,表示被稱為StrongPity的對手已經參與了未經報導並持續的惡意軟體活動。

 

研究人員表示,威脅行為者正在使用新的惡意軟體和基礎設施來控制受感染的

機器,並部署惡意版本的WinBox路由器管理軟體,以及其他受信任的WinRAR軟體來破壞目標。

 

StrongPity201610月首次被公開報導,並詳細介紹了2016年中期對比利時和意大利用戶的被攻擊情況。研究人員在Blog中寫道,在這次活動中,StrongPity利用水坑式攻擊來提供惡意版本的WinRARTrueCrypt文件加密軟體的傳送。

 

Strong Pity2017年和2018年再次被報導, 20197月初再次確定了新的惡意樣本與Strong Pity非常相似的。 研究人員表示,這些最新的惡意軟體樣本至今尚未報告。該惡意軟體的版本安裝了StrongPity,沒有任何明顯的跡象在受害者的主機,然後就像可信任軟體的標準一樣運行。”

 

雖然研究人員無法確定有關惡意安裝程式的具體細節,但他們指出,“以前在StrongPity報告中記錄的方法很可能仍在發生,例如從ISP 重定向的區域下載。根據用作安裝程式的軟體類型(WinRARWinBoxIDM等),目標類型可能繼續以技術為導向,再次類似於過去的報告。相信Alien Labs的評估和披露會促使該惡意軟體的背後組織在策略上發生變化。

 

Source: ow.ly/yFjw50v5ewB

 

惡意軟體針對物聯網設備的攻擊不斷升級

惡意軟體針對物聯網設備的攻擊不斷升級這裡有來自AT&T Alien Labs安全研究員的見解 http://ow.ly/maj250uVWB3

 

一種新的惡意軟體正在摧毀物聯網設備的韌體,這些攻擊讓人想起2017年銷毀數百萬台設備的舊BrickerBot惡意軟體。在 6月26日 過去的24小時內,數以千計的物聯網設備遭到了新的惡意軟體的加強攻擊 。這個名為Silex的惡意軟體正在加強清除IoT設備的韌體,在它存在的最初幾個小時內報告的事件超過2,000個。據認為Silex通過終止存儲來破壞設備,這使它可以忽略防火牆規則和網路設定,最後,設備完全停止運作。根據對惡意軟體開發者的採訪,這攻擊仍在繼續,他們將在未來幾天內加劇攻擊。

 

tweet11.jpg

tweet12.jpg

專家評論:  

 

ESET網路安全專家Jake Moore  

“這再一次強調了某人可以通過簡單的默認憑據輕鬆控制設備。看到一個14 歲的人,取下這些裝置,顯示出這些年輕人的能力,以及有多少人正在利用他的技能進行破壞而不是善用。Jake Moore還強調,這些網路攻擊不是為了經濟利益或毀滅,而僅僅是為了“ lolz (好玩)

 

重新安裝設備韌體很棘手,但並非不可能。然而防止這種攻擊比修復它來得更好,更容易。檢查你家周圍的所有物聯網,以確保他們都使用隨機和較長而複雜的2FA密碼 “。 

 

AT&T Alien Labs安全研究員Chris Doman

Silex的運作以破壞IoT設備的一些Shell Script BrickerBot的使用相同看起來是惡意軟體的開發者復制了一些原始碼。

 

雖然世界可以接受連接到互聯網的不安全IoT設備,但這不是解決問題的方法。

 

有趣的是,日本政府提出做類似的做法“  

 

Tenable情資副總裁Gavin Millard   

由於Silex惡意軟體的威脅以具有默認憑據的物聯網設備為目標,這清楚地提醒我們,在涉及網路安全時,我們所有人都需要更加精明。開箱即用新設備時應該做的第一件事就是更改密碼,但實際上會這樣做的人實在太少了,這就是為什麼蠕蟲迄今仍然被證實有效的原因。也許有一天,製造商會採用更安全的方式, 在設置時請求密碼而不是設置默認密碼,但顯然世界還沒有為這種創新做好準備。

 

“雖然惡意軟體採用的當前方法是針對默認憑證,但這樣仍然是危險的,因為惡意軟體可以對其進行修改以查找和濫用其他配置錯誤或已知漏洞,從而使其網路更廣泛。”

 

NCipher Security戰略與業務開發高級總監John Grimm

“隨著時間的推移,物聯網已經成為幾乎每一項數位計劃和互動的關鍵。消費者和企業正在發現並從每天提供的機會中受益。     

 

然而,物聯網設備也成為攻擊者最容易受到攻擊的入口之一。物聯網使消費者和企業面臨新的安全漏洞,這是因為它增加了網路連接,並且其中的設備不受設計保護。它是如此龐大和複雜,以至於找到可以跨越整個網路的數據保護解決方案,提供可擴展的加密密鑰管理而不是阻礙數據分析可能是一個嚴峻的挑戰。    

 

通過鼓勵“安全設計”,向設備製造商交付更大的責任並引入新的標籤系統來表明基本安全功能的存在,英國政府在最近的物聯網安全諮詢顯示著正朝著正確方向邁出了積極的一步,以最大限度地減少未來此類攻擊的影響。但是,一些建議取決於可變因素例如,用戶可能選擇較弱的密碼或者甚至懶得更換默認密碼,或者製造商可能會停止運作並停止向其設備提供安全更新。  

 

此外,業界仍然必須採取進一步措施,以確保設備收集的信息可以加密,並且使用數位簽名確保軟體更新的真實性並幫助防止惡意軟體的引入,並給予特定產品中使用的軟體和硬體周圍更大的透明度,可充分評估已發現的漏洞(不可避免的)的影響  。“

 

Saryu NayyarCEOGurucul

Gartner估計到2020年互聯網上將有超過20.6億台設備,BYOD和互聯網連接設備的爆炸式增長顯然使安全性和管理變得複雜,使用傳統工具和流程將無法滿足這些不斷增長的需求。利用大數據,結合行為分析和自動化機器學習,是大規模監控這些設備的唯一方法。

 

NIST(美國國家標準與技術研究院)發佈了針對物聯網業務的安全指南

您是否有點擔心物聯網設備的安全隱患?美國國家標準與技術研究院(NIST)剛剛發佈了一份文件,以幫助物聯網用戶保護自己免受物聯網安全問題的影響。

 

管理物聯網(IoT)網路安全和隱私風險(NIST IR 8228)的注意事項借鑒了NIST網路安全框架中的一般網路安全原則,並使其適應物聯網時代,它是旨在幫助組織更好地了解物聯網安全風險。

 

該指南確定了物聯網設備的網路安全和隱私風險考慮因素,然後再探討緩解這些問題的一些挑戰。最後,它提出了一些廣泛的建議。

 

它警告IoT設備與實體世界的互動,可能會改變實體系統。它們還可以收集大量有關個人的數據。

 

IT團隊應通過適當的資產管理(維護適當的物聯網設備庫存)和漏洞管理(消除設備固體中的已知漏洞)來保護設備安全。他們還應該仔細管理對設備的訪問,並監控它們的數據和設備安全事件。報告補充說,他們應該防止數據篡改,管理個人數據流,同時為個人數據處理設置權限。

 

報告警告說,物聯網設備通常無法像一般IT設備那樣被訪問,管理或監控。他們經常採用“黑箱測試”方式,完全缺乏界面或管理功能。其中一些甚至沒有特有的識別碼。這些缺點可能會限制事件日誌等網路安全信息的可用性。

 

NIST提出了一些應對這些挑戰的建議。這些包括識別哪些設備具有物聯網特徵及其類型,評估每個設備的風險,然後通過接受,避免,減輕,共享或轉移來建立應對該風險的策略。

 

這是一份高級文檔,但它只是NIST在物聯網安全方面的一系列進一步文檔的開始。實際上,NIST刪除了本文檔中最初含蓋的附錄,其中給出了物聯網設備所需的網路安全和隱私功能的範例。報告補充說,它將在另一份出版物中發佈。

 

在一個充斥著物聯網設備的行業中,從運輸系統到水和能源網路管理的所有內容,看到物聯網安全的權威指南,真的讓人很高興!

 

Source: https://www.infosecurity-magazine.com/infosec/nist-iot-security-guidelines/

Malspam廣告系列隱藏Infostealers在 ISO圖像文件中

4月份觀察到的多個惡意攻擊活動將ISO圖像文件中的LokiBotNanocore惡意軟體隱藏得很小, 小到可以放在電子郵件附件中。

 

LokiBotNanocore都具有數據竊取功能。它們針對Web瀏覽器,電子郵件客戶端,遠端管理工具(SSHVNCRDP)以及剪貼板數據。他們還可以收集有關系統中存在的文檔的信息,並監視用戶擊鍵以提取更敏感的詳細信息。

 

安全研究人員發現了此類活動的10種變體,其中ISO圖像和信息的變化傳遞給潛在的受害者。這些活動似乎遵循“spray and pray”原則,因為它們沒有針對特定的個人或企業。

 

ISO文件不那麼可疑

從攻擊者的角度來看,ISO方法很有意義,因為大多數現代操作系統可以在用戶訪問圖像時自動掛載圖像並顯示其內容。

 

此外,出於性能原因,一些安全解決方案傾向於將ISO文件列入白名單,從而使它們不易被檢測。

 

Netskope的研究人員注意到,ISO文件的大小從1MB2MB不等,這類存檔的重量很小,通常大於100MB

 

他們在今天發表的一份報告中寫道:“該圖像只包含一個嵌入其中的可執行文件,這是真正惡意軟體的payload。”

 

付款單據技巧

提供LokiBotNanocore RAT的通用垃圾郵件使用電匯支付詭計來誘使用戶在附件中打開涉嫌財務文件。

 

“對延遲表示道歉,但請附上一份逾期發票的電匯付款副本,”郵件寫道。

 

如下面的示例所示,攻擊者努力添加看似來自真實公司的簽名,包括發件人的地址,網站和聯繫詳細信息。

email.png

 

 

以這種方式提供的LokiBot版本與之前看到的惡意軟體變種類似。然而,威脅伴隨著一些防逆轉技術來阻止其分析。

 

Netskope分析了一個使用“IsDebuggerPresent()”函數確定它是否在Debugger中加載的應變。

 

它的開發人員還實現了旨在識別惡意軟體是否在虛擬機中運行的技術:“測量CloseHandle()和GetProcessHeap()之間的計算時差。”

 

Netskope發現的廣告系列中使用的Nanocore變體並不是新的  ,早在2017年就被用於惡意活動。

 

這兩種威脅經常出現在尼日利亞攻擊者的商業電子郵件洩密(BEC)騙局中,Palo Alto Networks的研究人員將其稱為SilverTerrier

 

他們的受歡迎程度在過去兩年中逐漸增加,其中LokiBot是去年SilverTerrier使用的頂級竊取信息的惡意軟體,而Nanocore則是首選的遠端管理工具(RAT)的十大名單。

 

Source: http://spr.ly/6017ESU1t

網路安全:如何使您的軟體修補策略正確並防止駭客入侵

應用修補程式可能會導致意外停機但是將它們移除也會導致重大問題,是否有可能找到平衡點?

 

修補軟體漏洞往往是費時和繁瑣的工作,但企業需要有一個適當, 明確的策略,以最大輻度地降低決定何時或甚至更新重要企業系統所涉及的潛在風險。

.

網路攻擊者將通過部署針對這些特定漏洞攻擊的惡意軟體,定期尋求未收到最新漏洞攻擊更新的安全系統。這可能是對特定公司的故意攻擊的一部分,或者組織可能陷入漏洞攻擊的特定漏洞,利用更普遍攻擊的交叉攻擊中。

 

例如, WannaCry利用了Eternal Blue的一個漏洞,全球各組織在20175月的活動發佈時尚未修補。如果受到攻擊影響的所有組織在發佈時修補了他們的系統而不是忽略警告– WannaCry可能會產生更小的影響。

 

什麼時候確定哪些系統需要更新,對技術主管來說是一個挑戰。

Hargreaves Lansdown首席信息官Jonathan Kidd表示:“有些事情你需要立即進行修補。可能還有其他一些事情你需要進行非常強大的分析,你需要對此作出決定。”

 

還有一些補丁的問題 , 可能會在應用時引起無意的問題或中斷這可能會阻止組織應用它們,特別是對關鍵業務系統。

 

“你的修補週期將受到你產業風險的驅動,在某些情況下,安裝中斷的風險可能更大,”Kidd在倫敦舉行的2019年歐洲信息安全會議期間發表講話說。

 

但是對於某些系統來說,應用補丁的想法也是一個挑戰一些組織擔心他們運行的應用程式和操作會斷缐,因為他們擔心如果更新它們可能不會重新上線。

 

Ewa Pilat說:“有一些網路遺產無法修補,系統已經老化了20年,帶有一張紙條請不要碰,因為我們不知道會發生什麼。” Jaguar Land Rover全球首席信息安全官,儘管她明確表示這不是汽車製造商的問題。

“對於這些,你可以有一些額外的安全控制,但不是所有系統都可以修補,因此需要適當的分析風險和評估來決定什麼需要,何時以及如何修補”她補充說。

 

花時間進行評估可以 大大有助於確定“皇冠上的寶石”以及需要立即採取的行動而不是可以延遲或在某些情況下不採取的行動如果系統完全是隔離的。

 

“這就是進行風險評估的重要原因。如果你有一個新的產業,你應該立即修補。但如果你有遺留系統,你可能需採取更謹慎的方法”Kidd說。

 

但是,IT和安全團隊必須小心,不要單獨匆忙進行這些判斷:必須諮詢業務以確保獲的最佳結果。

 

“我們必須與了解最關鍵業務系統的業務合作夥伴進行對話因為我們無法定義關鍵業務,只有業務才能定義業務關鍵,”聯合利華Unilever副總裁兼全球首席信息安全官Bobby Ford說。

 

“一旦我們理解了這一點,我們必須優先考慮如果我們想要成為專業的安全風險管理者,我們必須能夠優先考慮;我們無法保護所有系統,因此我們必須與業務部門合作以確定保護那些關鍵系統“福特說。

 

Source: https://www.zdnet.com/article/cybersecurity-how-to-get-your-software-patching-strategy-right-and-keep-the-hackers-at-bay/