雲端安全和風險緩解

 

雲端確實提供了它的優勢，但與任何大規模部署一樣，雲端可以提供一些無法預料的挑戰。雲端只是“別人的數據中心”的概念一直是一個令人畏縮的想法，因為這想法是假設安全責任的轉移，因為“別人會照顧它”。

 

是的，雲端系統，網路和應用程式序並非實際位於您的控制範圍內，而是安全責任和緩解風險。雲端基礎架構提供商可以在您設置環境的方式，您在環境中放置的內容，如何保護數據以及如何監控環境方面實現大量控制。在整個環境中管理風險並與現有安全框架保持一致。

隱私和風險

隨著GDPR和其他州的“姐妹”政策例如在Arizona，Colorado, California和其他組織在保護雲端中的數據方面面臨著越來越高的要求。它並不像在數據中心部署資料外洩防護（DLP）那麼簡單，因為。您現在有一堆不再由你擁有的服務，系統和基礎架構，數據中心已變得不完整的, 但您仍需要可見性和控制權。

 

共享或交換信息的雲端服務和基礎架構也變得難以管理：誰有服務層級協議(SLA)？是否單一平台可以監控一切？DevOps使企業採用微分段和調整防火牆規則變更管理流程。此外，無伺服器計算通過允許開發人員運行代碼而無需擔心基礎架構和平台，為組織提供了降低成本和提高工作效率的方法。然而，如果沒有處理虛擬私有雲和工作量負載的部署，事情就會很快失控，您就會開始看到從一個環境洩漏的數據，就像您在另一個環境中獲得了一個安全級別一樣。

緩解

可以採取幾個步驟來幫助降低組織在雲端中的數據風險。

 

1. 設計對齊。首先，將您的雲端環境與網路安全框架保持一致。組織遷移到雲端，他們使應用安全控制於落地部署數據中心，這些數據中心隨著時間的推移而不斷發展和變強。此外，組織可以放寬廣泛使用SaaS應用程式上的安全顯微鏡。但即使使用這些合法的業務應用程式，如果沒有正確的可見性和控制權，數據最終可能會被洩露。雲端提供商技術與網路安全框架和業務運營程式保持一致，可以實現雲端平台的高度安全，優化和更高效的實施，從而提供更好的結果和成功的部署。

 2.請隨便一點，就像在自己家一樣。應該像對待LAN和數據中心一樣對待雲端系統網路。例如Amazon的共同責任模式，概述Amazon安全責任的終結，並開始履行您的安全責任。雖然存在計算層的威脅，正如我們在Meltdown，Foreshadow和Spectre中看到的那樣，最近的雲數據洩露已經顯示出組織安全責任區域的崩潰，即操作系統安全性，數據加密和訪問控制。如果您的組織具有管理服務器配置，漏洞管理，修補，IAM，加密，分段，防火牆規則，應用程式開發和監視的標準，請確保這些標準適用於雲端服務並定期進行審計。第三方對雲端基礎架構體系結構的常規評估可以像審核LAN和WAN一樣有效，以獲得最佳安全實踐。

3. 停止“晚上偷偷溜出去”。不久之前，您會發現組織正在努力與員工建立不安全的無線接入點，以便在日常工作中獲得更大的靈活性和效率。暱稱是“影子IT”，業務部門避免讓IT和安全性涉及他們正在做的事情，以便他們能夠更快地行動。快進到今天 – 提供惡意檢測和入侵防禦系統（IPS）功能的無線控制器幫助了這項活動。通過雲端，員工可以根據需要設置雲端存儲帳戶，無伺服器計算環境和虛擬專用網路，以避免冗長和繁瑣的變更控製程式，降低成本並獲得類似的靈活性和效率。通過重新架構傳統網路，重新調整數十年的流程和程式。

4. 密切關注。網路安全運營中心（CSOC）不再僅僅關注落地網路和數據中心。SOC使用的運營監控程式，威脅搜尋，情報和事件回應也適用於組織數據所在的雲端環境。監控公司數據可能駐留的SaaS應用程式具有挑戰性，但可以使用有效的端點安全性以及雲端訪問解決方案（CASB，代理和其他）的監控來完成。對於無伺服器環境，根據您的CSOC要求，這可能意味著應用第三方監控平台或解決方案超出雲端提供商提供的範圍。在所有情況下，事件記錄和觸發器都需要反饋到CSOC以與落地事件數據，分析和威脅情報相關聯。

 

隨著所有可用的雲端服務以及每天提供的新服務，難怪公司難以管理風險。  “盡一切努力完成工作”到“做正確的業務”的文化轉變需要大量的協調努力和時間，但根植於安全成為業務推動者而不是繼續在‘不‘的業務。如果安全性要繼續保護業務，組織必須在技術決策中包含安全性，並且安全性必須了解業務需求和技術變化才能成為推動者。為了幫助阻止人們尋求技術問題解決方案，IT和安全團隊必須發展他們的資產和功能，以適應這種速度和便利。  

Source: spr.ly/6015Efmal 

惡意軟體針對物聯網設備的攻擊不斷升級—這裡有來自AT&T Alien Labs安全研究員的見解 http://ow.ly/maj250uVWB3

 

一種新的惡意軟體正在摧毀物聯網設備的韌體，這些攻擊讓人想起2017年銷毀數百萬台設備的舊BrickerBot惡意軟體。在 6月26日 過去的24小時內，數以千計的物聯網設備遭到了新的惡意軟體的加強攻擊 。這個名為Silex的惡意軟體正在加強清除IoT設備的韌體，在它存在的最初幾個小時內報告的事件超過2,000個。據認為Silex通過終止存儲來破壞設備，這使它可以忽略防火牆規則和網路設定，最後，設備完全停止運作。根據對惡意軟體開發者的採訪，這攻擊仍在繼續，他們將在未來幾天內加劇攻擊。

 

專家評論：  

 

ESET網路安全專家Jake Moore ： 

“這再一次強調了某人可以通過簡單的默認憑據輕鬆控制設備。看到一個14 歲的人,取下這些裝置，顯示出這些年輕人的能力，以及有多少人正在利用他的技能進行破壞而不是善用。Jake Moore還強調，這些網路攻擊不是為了經濟利益或毀滅，而僅僅是為了“ lolz ”(好玩)。

 

重新安裝設備韌體很棘手，但並非不可能。然而防止這種攻擊比修復它來得更好，更容易。檢查你家周圍的所有物聯網，以確保他們都使用隨機和較長而複雜的2FA密碼 “。 

 

AT&T Alien Labs安全研究員Chris Doman ：

“Silex的運作以破壞IoT設備的一些Shell Script 與BrickerBot的使用相同 – 看起來是惡意軟體的開發者復制了一些原始碼。

 

雖然世界可以接受連接到互聯網的不安全IoT設備，但這不是解決問題的方法。

 

有趣的是，日本政府提出做類似的做法“  

 

Tenable情資副總裁Gavin Millard  ： 

由於Silex惡意軟體的威脅以具有默認憑據的物聯網設備為目標，這清楚地提醒我們，在涉及網路安全時，我們所有人都需要更加精明。開箱即用新設備時應該做的第一件事就是更改密碼，但實際上會這樣做的人實在太少了，這就是為什麼蠕蟲迄今仍然被證實有效的原因。也許有一天，製造商會採用更安全的方式, 在設置時請求密碼而不是設置默認密碼，但顯然世界還沒有為這種創新做好準備。

 

“雖然惡意軟體採用的當前方法是針對默認憑證，但這樣仍然是危險的，因為惡意軟體可以對其進行修改以查找和濫用其他配置錯誤或已知漏洞，從而使其網路更廣泛。”

 

NCipher Security戰略與業務開發高級總監John Grimm ：

“隨著時間的推移，物聯網已經成為幾乎每一項數位計劃和互動的關鍵。消費者和企業正在發現並從每天提供的機會中受益。     

 

然而，物聯網設備也成為攻擊者最容易受到攻擊的入口之一。物聯網使消費者和企業面臨新的安全漏洞，這是因為它增加了網路連接，並且其中的設備不受設計保護。它是如此龐大和複雜，以至於找到可以跨越整個網路的數據保護解決方案，提供可擴展的加密密鑰管理而不是阻礙數據分析可能是一個嚴峻的挑戰。    

 

通過鼓勵“安全設計”，向設備製造商交付更大的責任並引入新的標籤系統來表明基本安全功能的存在，英國政府在最近的物聯網安全諮詢顯示著正朝著正確方向邁出了積極的一步，以最大限度地減少未來此類攻擊的影響。但是，一些建議取決於可變因素 – 例如，用戶可能選擇較弱的密碼或者甚至懶得更換默認密碼，或者製造商可能會停止運作並停止向其設備提供安全更新。  

 

此外，業界仍然必須採取進一步措施，以確保設備收集的信息可以加密，並且使用數位簽名確保軟體更新的真實性並幫助防止惡意軟體的引入，並給予特定產品中使用的軟體和硬體周圍更大的透明度，可充分評估已發現的漏洞（不可避免的）的影響  。“

 

Saryu Nayyar，CEO在Gurucul ：

Gartner估計到2020年互聯網上將有超過20.6億台設備，BYOD和互聯網連接設備的爆炸式增長顯然使安全性和管理變得複雜，使用傳統工具和流程將無法滿足這些不斷增長的需求。利用大數據，結合行為分析和自動化機器學習，是大規模監控這些設備的唯一方法。

 

4月份觀察到的多個惡意攻擊活動將ISO圖像文件中的LokiBot和Nanocore惡意軟體隱藏得很小, 小到可以放在電子郵件附件中。

 

LokiBot和Nanocore都具有數據竊取功能。它們針對Web瀏覽器，電子郵件客戶端，遠端管理工具（SSH，VNC和RDP）以及剪貼板數據。他們還可以收集有關系統中存在的文檔的信息，並監視用戶擊鍵以提取更敏感的詳細信息。

 

安全研究人員發現了此類活動的10種變體，其中ISO圖像和信息的變化傳遞給潛在的受害者。這些活動似乎遵循“spray and pray”原則，因為它們沒有針對特定的個人或企業。

 

ISO文件不那麼可疑

從攻擊者的角度來看，ISO方法很有意義，因為大多數現代操作系統可以在用戶訪問圖像時自動掛載圖像並顯示其內容。

 

此外，出於性能原因，一些安全解決方案傾向於將ISO文件列入白名單，從而使它們不易被檢測。

 

Netskope的研究人員注意到，ISO文件的大小從1MB到2MB不等，這類存檔的重量很小，通常大於100MB。

 

他們在今天發表的一份報告中寫道：“該圖像只包含一個嵌入其中的可執行文件，這是真正惡意軟體的payload。”

 

付款單據技巧

提供LokiBot或Nanocore RAT的通用垃圾郵件使用電匯支付詭計來誘使用戶在附件中打開涉嫌財務文件。

 

“對延遲表示道歉，但請附上一份逾期發票的電匯付款副本，”郵件寫道。

 

如下面的示例所示，攻擊者努力添加看似來自真實公司的簽名，包括發件人的地址，網站和聯繫詳細信息。

 

 

以這種方式提供的LokiBot版本與之前看到的惡意軟體變種類似。然而，威脅伴隨著一些防逆轉技術來阻止其分析。

 

Netskope分析了一個使用“IsDebuggerPresent（）”函數確定它是否在Debugger中加載的應變。

 

它的開發人員還實現了旨在識別惡意軟體是否在虛擬機中運行的技術：“測量CloseHandle（）和GetProcessHeap（）之間的計算時差。”

 

Netskope發現的廣告系列中使用的Nanocore變體並不是新的  ，早在2017年就被用於惡意活動。

 

這兩種威脅經常出現在尼日利亞攻擊者的商業電子郵件洩密（BEC）騙局中，Palo Alto Networks的研究人員將其稱為SilverTerrier。

 

他們的受歡迎程度在過去兩年中逐漸增加，其中LokiBot是去年SilverTerrier使用的頂級竊取信息的惡意軟體，而Nanocore則是首選的遠端管理工具（RAT）的十大名單。

 

Source: http://spr.ly/6017ESU1t

自2019年初以來，Barracuda研究人員發現組化惡意軟體的使用量激增。最近Barracuda研究人員針對客戶的電子郵件攻擊分析顯示，今年前五個月有超過150,000個獨特的惡意文件。下面將詳細介紹模組化惡意軟體以及幫助檢測和阻止攻擊的方法。

 

網路犯罪分子使用電子郵件遞送模組化惡意軟體，模組化惡意軟體有不斷增長的趨勢，它提供的架構比典型的基本文檔或網路應用的惡意軟體更強大，更具規則性和危險性。模組化惡意軟體包括 – 並且可以根據目標和攻擊目標有選擇地啟動不同的有效承載量和功能。大多數惡意軟體都作為文檔附件分發，通過垃圾郵件發送到廣泛傳播的電子郵件列表。這些電子郵件列表在黑暗網路中進行銷售，交易，匯總和修訂。打開受感染的文檔後，將自動安裝惡意軟體，或者使用嚴重模糊的宏/腳本從外部源下載並安裝它，偶爾會使用鏈接或其他可點擊的項目。

 

隨著殭屍網路的出現，由網路犯罪分子廣泛分發執行,編寫的惡意軟體提供的命令，已成為新的模組化常態。惡意軟體作者越來越有組織，採用和實施質量保證和測試，以提高攻擊的成功率。為了滿足一個廣泛分佈的惡意軟體文件滿足多種需求的需求，模組化惡意軟體功能已經發展得更為豐富，更靈活。

 

檢測和阻止模組化惡意軟體：

快速發展的威脅環境需要一種多層保護策略 – 一種能夠彌補技術和人為差距的策略 – 為每個組織提供最大化電子郵件安全性能，並最大量的降低因模組化惡意軟體等複雜攻擊而受害的風險。

 

網關防禦

應部署高級入站和出站安全技術，包括惡意軟體檢測，垃圾郵件過濾器，防火牆和沙盒。對於附有惡意文檔的電子郵件，靜態和動態分析都可以獲取文檔試圖下載並運行可執行文件的指標，這些文檔不應該執行任何文檔，可使用啟發式或威脅情報系統標記可執行文件的URL。通過靜態分析檢測到的混淆還可以辨認文檔是否可疑。雖然許多惡意電子郵件看起來令人信服，但垃圾郵件過濾器和相關安全軟體可以獲取微妙的線索，並幫助阻止可能受到威脅的郵件和附件到達電子郵件收件箱。如果用戶打開惡意附件或單擊指向偷渡式下載的鏈接，能夠進行惡意軟體分析的高級網路防火牆可以通過在嘗試通過時標記可執行文件來阻止攻擊的機會。此外，加密和DPL有助於防止意外和惡意數據丟失。此外，電子郵件歸檔對於合規性和業務連續性至關重要。

 

復原力

備份有助於從數據刪除中恢復，並且連續性可確保在潛在的中斷期間發送關鍵電子郵件。

 

詐欺保護

人工智能用於魚叉式網路釣魚防護，停止可以繞過電子郵件網關的攻擊，DMARC驗證可以檢測並防止電子郵件和域名欺騙。

 

人體防火牆

每個企業的最高層電子郵件防禦是最關鍵的。使用網路釣魚模擬和培訓成為安全意識培訓的一部分。確保最終用戶了解新類型的攻擊，向他們展示如何識別潛在威脅，並通過測試即時培訓的有效性並評估最易受攻擊的用戶，將其從安全責任轉變為防線。

 

 

Source: http://ow.ly/SlQV50uCdfG