注册       免费体验     服务热线: 400-820-5530    
新闻中心
用户如是说

 

“信任30SOC,感觉我们网站的安全有双监控的眼,我们对网站安全的意识更加提高了,三零卫士完整的网站全生命周期的安全解决方案是我们的信赖”

-- 天治基金 信息中心 文总

 

 

联系我们
  • 电话
  • 电话:

    021-54363010

  当前位置:首页 > 新闻中心 > 动态
《信息安全一周文摘第68期总第154期》
2016/1/4

 2016年十五大网络安全发展趋势预测

 来源:E安全           摘自: http://www.secdoctor.com/html/cygc/34969.html
 
  正如节日颂歌当中所言,“这是展望未来一年的好日子”,网络安全当然也遵照此理。
  但这并不是说从业者——即使是掌握着大量信息的分析人士——真的拥有能够预言未来的水晶球。事实上,不断变化且恶化的威胁环境逼迫着我们,让相关人员不得不尽早对未来做出预期。而准确的预测也确实能够帮助企业更好地保障自身安全。不过相比之下,错误的预测则会削弱我们有效预防或者响应安全事故的能力,并最终导致声誉、运营状况乃至其它重要指标受到危害。
  因此,下面我们就一起来看来自十几家厂商及分析师针对2016年做出的展望结论。
  物联网身陷危机
 
  物联网将成为政府、雇佣兵、黑客人士甚至是恐怖分子乐于采用的一大新型攻击面。大部分物联网设备并不具备可观的内存容量或者操作系统功能,因此将其作为端点代理机制有可能给使用者带来意想不到的麻烦。
  勒索软件将在这里找到实现财务木马攻击的平台,其具体影响范围可能包括咖啡机、冰箱、保育监控、汽车、可穿戴式与医疗设备等等,而这类产品往往由生活较为富足且有能力支付高额赎金的潜在受害者所持有。大多数可穿戴设备会收集用户的个人信息,但却缺乏最为基础的安全保护能力。
  由此带来的安全威胁将影响到各类联网汽车;而因此失窃的个人信息往往涉及使用者家中的供电与供水使用量;攻击者甚至能够锁定用户的医疗设备,直到对方乖乖支付勒索赎金。
  我们的支付卡很安全,但我们自身面临着危险
 
  无卡交易欺诈活动所涉及的金额总值将由2014年的100亿美元增长至2018年的190亿美元。EMV卡片与电子钱包解决方案(例如Apple Pay以及谷歌钱包)的持续普及将降低销售终端系统欺诈与信用卡伪造活动的发生比例。但遗憾的是,其同时会让更多诈骗分子通过网上财务功能冒用信用卡以实现恶意目的。
  敲诈勒索为目的的活动
  作为以减压与勒索为主要诉求的攻击活动,DOXing在2015年年内迎来全面扩张,而其很可能在2016年当中进一步泛滥。从黑客人士到政府当局,各方势力都在积极获取普通民众的私人照片、信息、客户清单,同时利用相关代码羞辱其攻击目标。到那个时候,由此带来的后果将远不只是迫使查理·辛承认自己感染了艾滋病毒这么简单——网络犯罪分子将掌握可用于实施欺诈活动的重要数据,进而导致相当一网站被以设施勒索为目的的活动所攻破。这也就是我们所谓的“武器化”数据。
  网络犯罪成为一种服务 
  网络攻击中的利润空间意味着拥有现代组织模式与工具储备的老道犯罪分子将取代常规恶意人士成为新一年中的主要威胁来源。而这反过来亦迫使这类组织雇佣技术人才以开发出新型恶意软件甚至完成整体攻击活动。后者被称为“接入即服务”,其实质在于帮助出价最高的买家顺利接入预期攻击目标当中。
  陈旧互联网的阴影
  互联网的整体结构已经相当陈旧——而那些长久未经维护甚至已经被彻底遗忘的组件将给防御者们带来广泛而艰巨的实际挑战。在此之中,Alexa网站发现有1000项证书并未获得更新,陈旧且孱弱不堪的Java版本造成严重隐患,迅猛的操作系统更新与软件过期速度带来严重灾难,而新型应用程序在使用复用代码的同时也继承了大量传统漏洞(例如Heartbleed与POODLE)。
  恶意电子商务入侵社交网络
 
  以Pinterest、Facebook以及Twitter为代表的众多传统社交网络站点相继公布计划,意欲在其平台之上添加“购买”按钮以增加用户粘性并帮助其将用户基础转化为收益。这种作法势必会吸引到有意在这些平台上实施欺诈活动的犯罪分子。
  密码逐渐被淘汰
  “无密码”验证机制将不再只是一个梦想。各企业将开始为用户提供在速度与无缝化体验方面远超传统密码的新型身份验证方案。其具体措施包括生物识别、地理位置、蓝牙近场以及图形验证。
  预测的力量
 
  预测机制将在2016年崛起为新的安全圣杯。预防机制已然过时,甚至检测技术也将被预测方案所取代,其中机器学习将成为帮助企业预测黑客攻击指向位置的核心工具。
  云战争
 
  随着越来越多企业开始将自己的有价值数据保存在云环境当中(包括客户与员工数据、知识产权乃至其它敏感信息等),恶意人士当然也会找到可行途径利用计算基础设施以访问这些数据,而这将使其更为轻松地藏身于合法网络资源之后以保证自身匿名状态。
  黑客将利用凭证数据将云服务作为主要攻击向量。社交工程类战术手段则将侧重于模拟云登录界面以获取此类凭证。
  政治网络犯罪行为增加
 
  美国大选年即将到来,届时将有更多围绕此展开的攻击活动。攻击者们会利用这一政治事件引发的参与、平台与关注行为,以此为契机调整其社交工程手段以提升迷惑性。除此之外,也将有部分黑客组织指向参选者与其社交媒体平台的恶意入侵。
  利用网络武器实现物理危害
  2016年年内将出现全球首次公开声明的网络战争,攻击者们——包括黑客、国家或者恐怖分子——的主要目标并非传统的经济利益,而更多集中在造成物理危害以支持恐怖活动或者地缘政治诉求。这将使得众多基础设施、珍贵文物乃至其它实体面临更为可怕的隐患。以ISIS为代表的跨国恐怖集团将尝试攻击SCADA(即数据采集与监控)系统以及其它关键性基础设施,并借此对目标造成严重的经济损失甚至大量人员伤亡。
  更小未必更安全
 
  黑客们将不再单纯针对大型企业,因为他们往往能够通过对收集到的数据进行分析与整理,从而将其转化为或者从中解读出有价值信息。这意味着小型企业更有可能成为恶意活动的既定目标。
  网络犯罪进一步呈现出全球化趋势
 
  小型发展中国家将对网络犯罪行为表现出浓厚兴趣。这类国家往往不具备能够实现大规模军事目标的武装力量,但其中一部分——例如尼日利亚——则尝试通过高复杂度攻击活动达成目标。在新的一年中,世界各地的联网硬件都将遭受连续不断的入侵与渗透。
  分而治之的时代即将来临
 
  由国家划分出的互联网割据态势将逐渐出现,这意味着对服务连接处的薄弱环节进行攻击将使得恶意行为顺利跨越多个边界。而这样的态势也有可能导致网络连接黑市的诞生。
  快为自己选择一家安全管理服务供应商(简称MSSP)
 
  企业与国家将由于网络人才短缺而陷入被动局面。在这种情况下,预计全球市场对信息安全专业人员的需求到2018年将增长53%。考虑到这一点,安全工作很可能会逐步为安全管理服务供应商(简称MSSP)所接管,而具体实现成本不会降低。
 

 
2015年国内数据安全事件盘点
 来源:51CTO       摘自: http://www.secdoctor.com/html/sec/34975.html
  12月,以“互联互通、共享共治——构建网络空间命运共同体”为主题的第二届世界互联网在浙江乌镇又一次震撼世界。
  作为新兴的网络大国,中国对互联网治理有着深入的思考和踏实的行动。这是一种必然,毕竟我们已拥有6.7亿网民、413万多家网站,以及超过3.95万亿人民币的互联网上市企业市值。习近平主席在大会致辞中提到一点:“‘保障网络安全,促进有序发展’,安全和发展是一体之两翼、驱动之双轮。安全是发展的保障,发展是安全的目的”,深得业内人士的赞许。
 
  随着互联网裂变式的发展,各种各样的应用被迁移到互联网使用。然而,互联网也很脆弱,缺乏相应的防护措施,尤其在数据库安全方面,数据安全已经成为每个国家、每个企业必须要重视的问题。
  2015年已经进入尾声,对于安全界而言,又是不平静的一年,立足国内,回顾国内全年发生的数据泄密相关的十二起安全事件,同时针对事件本身,进行技术原因分析点评。
  事件一 新年首起网络泄密:机锋论坛2300万用户信息泄露(2015.1)
  来源:南方网
  1月5日,就在机锋科技二度易主仅半月后,机锋科技旗下机锋论坛被曝出存在高危漏洞,多达2300万用户的信息遭遇安全威胁。这也成为2015年国内第一起网络信息泄露事件。
  机锋论坛泄露的2300万用户数据包括用户名、注册邮箱、加密后的密码等信息,由于机锋论坛数据库对用户密码仅使用了简单的MD5(计算机安全领域广泛使用的一种散列函数)加密,黑客能够快速破解出绝大部分密码。
  技术原因: 机锋论坛回应称这次泄漏的是2013年泄露的老数据”,并强调,“机锋所有用户密码均为多次加密的非明文转换码,网上泄露的用户信息并不能破解密码并盗取用户账号”。
  事件二 多家知名连锁酒店、高端品牌酒店存在严重安全漏洞,海量开房信息存泄露风险(2015.2)
  来源:FreeBuf
  2月11日,根据漏洞盒子平台安全报告,知名连锁酒店桔子、锦江之星、速八、布丁;高端酒店万豪酒店集团(万豪、丽思卡尔顿等)、喜达屋集团(喜来登、艾美、W酒店等)、洲际酒店集团(假日等)存在严重安全漏洞,房客开房信息一览无余,甚至可对酒店订单进行修改和取消。
  黑客可轻松获取到千万级的酒店顾客的订单信息;包括顾客姓名、身份证、手机号、房间号、房型、开房时间、退房时间、家庭住址、信用卡后四位、信用卡截止日期、邮件等等大量敏感信息。
  技术原因:大量房客的个人隐私信息存在数据库中,黑客主要是通过前台应用程序的漏洞,攻入数据库服务器,获取大量个人隐私信息和酒店顾客的订单信息,同时也由于某些订单程序漏洞,导致网上就可以修改订单的敏感信息。
  事件三 康威视部分设备被境外IP控制 存严重安全隐患(2015.2)
  来源:人民网
  2月27日,江苏省公安厅发布《关于立即对全省海康威视监控设备进行全面清查和安全加固的通知》称,主营安防产品的海康威视其生产的监控设备被曝出严重安全隐患,部分设备已被境外IP地址控制,并要求各地立即进行全面清查,开展安全加固,消除安全隐患。
  技术原因:采用了弱口令(弱口令是指使用产品初始密码或其他简单密码)。江苏事件为弱口令漏洞,只需通过修改初始密码或简单密码或者升级设备固件即可解决,不需要召回或更换设备。
  事件四 数千万社保用户信息或遭泄露 超30省市曝管理漏洞(2015.4)
  来源:人民网
  4月22日,[CQX1] 重庆、上海、山西、沈阳、贵州、河南等超30个省市卫生和社保系统出现大量高危漏洞,数千万用户的社保信息可能因此被泄露。
  从补天漏洞响应平台获得的数据显示,目前围绕社保系统、户籍查询系统、疾控中心、医院等曝出高危漏洞的省市已经超过30个。据统计,仅社保类安全漏洞所导致的信息泄漏就超过5279.4条 涉及人员数量达数千万,其中包括个人身份证、社保参保信息、财务、薪酬、房屋等敏感信息。
  技术原因:一是利用互联网应用系统漏洞,通过sql注入,完成对社保人员信息的批量下载。80%安全事件发生的原因来自于SQL注入。(刷库)二是外部黑客利用数据库漏洞,如系统注入漏洞、缓冲区溢出漏洞和TNS漏洞,进行数据库的恶意操作。(拖库)三是开发人员和运维人员被利用,由于对系统熟悉度高,通过程序中的后门程序或直接访问数据库获得数据。
  事件五 中国人寿系统漏洞屡遭曝光 客户信息安全难保障(2015.5)
  来源:广东消费网
  5月21日,网友“carry_your”发布了一则等级为“高级”的漏洞信息,编号:QTVA-2015-237080,漏洞名称为“中国人寿某省系统存在漏洞#可getshell#泄漏百万客户信息”。保单信息、微信支付信息、客户姓名、电话、身份证、住址、收入多少、职业等敏感信息一览无余。据乌云漏洞报告平台统计,2015年上半年中国人寿漏洞出现7次,漏洞类型主要包括敏感信息泄露、未授权访问/权限绕过、任意文件遍历/下载以及设计缺陷/逻辑错误。
  技术原因:国家信息技术安全研究中心专家曹岳表示,由于平台本身交易量巨大、往来客户数量多,对试图非法获取客户敏感信息的不法分子来说,一旦入侵[CQX2] 成功,其获益是巨大的。由此,像保险企业这样涉及大量客户个人信息和商业机构信息存储的企业,须对公众信息保护承担义务,更应加强信息安全构建,防止公众的合法权益受到侵害。
  事件六 多家P2P平台同时遭黑客攻击(2015.6)
  来源:广州日报大洋网
  6月18日,互联网金融安全再受拷问,信融财富、宝点网和立业贷等多家P2P平台本周同时遭受黑客流量攻击,造成网站无法打开或访问速度缓慢。根据世界反黑客组织的通报,中国P2P平台已成为全世界黑客“宰割的羔羊”。业内人士表示,目前P2P软件提供商鱼龙混杂,不少平台IT系统简单、漏洞多,是被黑客轻易攻击的主要原因。P2P网贷平台对技术的要求不亚于银行,如何解决网贷系统安全问题,事关P2P平台公司的存亡。
  “6月15日11时04分至16日9时,信融财富官网遭受到恶意流量攻击,造成网站无法访问的情况。”深圳P2P平台信融财富发布公告称,其官网遭到了黑 客大规模DDOS恶意流量攻击,使平台网站访问受到影响,平台已于第一时间启动应急防御措施。几乎与此同时,另外两家平台宝点网和立业贷也均遭到了大规模黑客攻击。
  技术原因:P2P网贷平台其技术要求不亚于银行,甚至比银行还要高。但现实情况是,大多数P2P网贷平台无论在架构、数据库、安全防范方面,应对黑客的攻击能力几乎为零。
  事件七 约10万条高考生信息泄露(2015.8)
  来源:新浪新闻中心
  据新华社电“不管考多少分,都有机会在名校上大学,享受普通本科生一样的资源和待遇。”高考录取工作结束之际,一些不法分子利用非法获取的高考生信息通过电话进行招生诈骗。武汉警方日前查获约10万条泄露的高考生信息,涉嫌用于招生诈骗。这些信息涉及约10万名考生,遍及13个省区市。
  据知情人士介绍,高考生信息在网上被肆意出售。10万条信息标价1万元,平均每一条信息价格为0.1元。这些信息被一些不法分子购买后用来进行招生诈骗,也就是常说的“低分高录”。骗子自称是招生院校或省招办某领导的熟人,声称有办法让不够第一批本科线的考生到第一批本科院校就读。
  技术原因:教育考试报名系统中包含大量考生个人隐私信息,需要进行数据库安全防护,确保敏感数据不会泄露。
  事件八 大麦网600多万用户账号密码泄露 数据已被售卖(2015.8)
  来源:新浪科技
  8月27日,乌云漏洞报告平台发布报告显示,线上票务营销平台大麦网再次被发现存在安全漏洞,600余万用户账户密码遭到泄露。
  起初发现有大麦网用户数据库在黑产论坛被公开售卖,于是对泄露的用户数据进行验证,发现相邻账号的用户ID也是连续的,并均可登录。因此,丛技术的角度可以初步证明本次大麦网的数据泄露有被拖库嫌疑(网站用户注册信息数据库被黑客窃取)。
  技术原因:大麦网前台应用有程序漏洞,主要原因是疑被“拖库”,指从数据库中导出数据,现指网站遭到入侵后,黑客窃取其数据库。
  事件九 内蒙古19万考生信息泄露(2015.9)
  来源:京华网
  据新华社电内蒙古自治区教育招生考试中心透露,内蒙古19万名高考考生信息近日遭泄露。9月2日上午得知此事后,教育招生考试中心立即组织人员进行研判,并确认网传信息基本属实。随后,该单位立即报警,希望警方进行彻查。
  这些信息中包括考生的姓名、身份证号码及其父母姓名、电话,名单覆盖了内蒙古自治区的12个盟市,数量最多的地方达4万多条。
  技术原因:经过认真分析,基本可确定考生信息遭泄露原因大致有三种可能性,分别为“黑客”攻击、“内鬼”泄露和中介机构或组织“人工”搜集。
  事件十 过亿邮箱用户数据泄露? 网易称遭黑客“撞库”(2015.10)
  来源:新浪科技
  10月19日,乌云漏洞报告平台接到一起惊人的数据泄密报告后 发布新漏洞,漏洞显示网易用户数据库疑似泄露,影响到网易163、126邮箱过亿数据,泄露信息包括用户名、密码、密码密保信息、登录IP以及用户生日等。乌云方面指出,前不久,有不少网友抱怨称自己的iCloud帐号被黑,绑定的iPhone手机被锁敲诈等,他们共都采用了网易邮箱作为iCloud帐号。
  技术原因:这次网易邮箱遭黑客“撞库”,指黑客通过收集互联网已泄露的用户和密码信息,生成对应的字典表,批量尝试登陆其他网站。很多用户在不同网站使用相同用户和密码,因此黑客可通过获取用户A网站的账户从而尝试登陆B网站。
  事件十一 伟易达被曝480万家长及儿童信息泄露(2015.11)
  来源:安全比特网
  世界最大的电子玩具生产商之一伟易达集团(VTech)于11月27日指出,11 月 14 日黑客入侵了 Learning Lodge 的客户资料库,但在接受报章查询时不肯透露实际人数,只表示有香港客户受影响;然而国外媒体 Motherboard 表示,他收到黑客入侵 VTech 的客户资料,当中有大约500万个家长和超过20万个小童的资料,包括姓名、电邮地址、密码和个人住址。
  技术原因:目前VTech仍然使用较为落后的技术开发平台,包括像ASP.NET 2.0框架, WCF, SOAP, 以及众多的 Flash。同时VTech的官网以及注册网站没有使用像SSL等安全通信协议技术。经过对VTech其中一个端口的扫描探测分析,也发现了可通过SQL查询可获取相关调试信息的漏洞。
  事件十二 申通被曝13个安全漏洞 黑客窃取3万多客户信息(2015.12)
  来源:搜狐新闻
  黑客利用申通快递公司的管理系统漏洞,侵入该公司服务器,非法获取了3万余条个人信息之后非法出售。在乌云平台我们发现,2013年以来,该平台至少公布了申通公司与信息泄露隐患有关的漏洞报告13篇,涉及系统弱口令、服务器目录、管理后台、快递短信等各个方面,其中9份报告被标注的危害等级为“高”。
  技术原因:之所以选申通K8速运管理系统下手,并得以利用其漏洞,是因为在“乌云网”上看到了公布出来的申通公司的系统漏洞。据不完全统计,“乌云网”公布的安全漏洞达77848个。一位IT技术员表示:“如果黑客对‘乌云网’公布的漏洞有兴趣,那么只要知道企业名字和大概漏洞消息源头,侵入这个企业,不是难事。”
  小结
  随着网络安全事件频繁,一大批漏洞挖掘平台涌现出来,漏洞盒子、乌云、阿里云云盾“先知计划”、360补天等,既有第三方也有BAT巨头。同时诞生了一大批通过挖漏洞赚钱、甚至以此为职业的白帽黑客。
  基于此,国家互联网应急中心(CNCERT)与国内32家互联网和安全公司共同签署了《中国互联网协会漏洞信息披露和处置自律公约》,以行业自律的方式共同规范安全漏洞信息的接收、处置和发布的公约。
  “十三五”规划建议提出要实施大数据和网络强国战略,在政策的大力推动下,网络安全作为其重要组成部分将迎来快速发展机遇。我国在网络安全方面的投入占整个IT比重仅为2%左右,远低于欧美国家10%左右的水平,潜在发展空间将达千亿级别。
  数据泄漏的原因
  使用失窃账户密码依然是非法获取信息的最主要途径,三分之二的数据泄露都与漏洞或失窃密码有关,位列前排的分别是双因子认证以及web services 的补丁;
  发现大多数企业的安全管理和防护都无法跟上网络犯罪的脚步,入侵企业只需要数分钟或数小时,而企业发现和识别攻击则需要数周甚至数月。
  虽然外部工具远超过内部威胁,但与知识产权有关相关时,内部攻击有抬头趋势。作为专业的数据库安全专家,建议从以下几点措施来实现数据的安全防护:
  措施一:通过数据库漏扫定期对数据库进行安全巡检,发现数据库使用中的安全隐患,及时人工进行加固;
  措施二:安全管理员要了解本单位数据库中的数据资产,采取有针对性的安全防御措施,通过对数据库中的敏感字段加密存储,防“拖库”;
  措施三:通过数据库防火墙实现数据库的外围防御圈,构建数据库的可信访问环境;网络上可信:串联数据库防火墙后,黑客无法绕过数据库防火墙直接访问数据库。应用服务器可信:通过IP/MAC绑定,确保只有授权服务器、设备访问数据库。
  措施四:底线防守,超过阀值限制的批量查询操作拦截,绕过合法应用的访问阻断,禁止本地登录;
  措施五:对数据库的敏感操作,一定要全部记入审计记录,如果出现违规操作可以通过事后追责定责。
  数据库已经成为数据泄漏的重灾区,在核心数据掌握企业命脉的年代,数据库的防护成为整个安防体系中不可或缺的环节。
 

 
 
JUNIPER曝高危漏洞 国内155家单位的NETSCREEN存后门
 来源:51CTO         摘自: http://netsecurity.51cto.com/art/201512/502232.htm
 
  日前,Juniper Networks发布紧急公告,称在对其NetScreen产品的内部代码审计过程中发现了两枚漏洞,可以让资深的攻击者获得对NetScreen设备的管理权限和解密VPN流量, 提醒存在该漏洞问题的单位及时进行修复,避免因此漏洞造成严重损失。
  漏洞详情
  Juniper旗下NetScreen 防火墙产品被应用在众多通信商和数据中心,而Screen OS是运行在这些设备上的操作系统。如果Screen OS存在严重系统漏洞,将直接导致众多使用这款设备的单位网络安全受到严重威胁。其中一个漏洞是未授权代码漏洞(CVE-2015-7756),可以检测并解密VPN流量,获取其中的加密信息;另外一个是高危未授权访问及信息泄露后门漏洞(CVE-2015-7755),可允许攻击者通过SSH或者Telnet以管理者的身份访问并远程管理设备。
  据悉,互联网和安全性解决方案供应商Juniper,约有2万余台NetScreen设备在全球范围内被使用。其用户来自全球各行各业,包括各大网络运营商、企业、政府机构以及研究机构等,其中也包含了不少中国用户。通过Shodan搜索发现,目前我国暴露在公网的NetScreen 设备数量就达到2172台!
  漏洞修复方法
  Juniper已经发布了针对此次漏洞的安全公告以及相应补丁包,建议部署NetScreen的相关单位及时登录其官网下载安装最新补丁修复漏洞。    
 

 
让你远离云计算安全问题的18个小贴士
来源:IT专家网       摘自:http://www.secdoctor.com/html/yejie_news/34887.html
  云应用的普遍使用给负责管理企业云平台的IT和安全人员带来了很多阻碍和挑战。据Ponemon Institute所做的调查显示超过半数受访者所在企业正在向云端转移机密或敏感数据,然而57%的运维人员承认自己对于敏感信息的存储并没有一个全面的认识。
  云计算正在全球范围内向各行各业扩展,显而易见基于云的SaaS应用会越来越多地取代现有的关键业务系统和服务。很多企业都看到了应用云计算的好处,但挑战与顾虑是难免的。本文中列举了帮助企业应对有关云计算的隐私、法规及安全问题的18个小贴士,希望可以使企业更顺利地使用云计算。
  问题
  用户的风险意识:商业用户只看到云应用提高生产力的一面,而IT部门又不十分了解企业数据在应用中的使用方式。有些商业用户还会撇开IT与安全政策自己去订阅云服务。
  云服务条款:企业所遵守的数据相关政策标准与云服务提供商所遵守的并不相同,但用户在订阅云应用时看到使用条款就直接点同意了。
  虚拟化:虚拟化技术是SaaS和云平台的核心,但它自身也有一定的安全风险。作为云计算用户,应主动了解云服务提供商所使用的虚拟化技术并在必要时采取适当的措施以降低风险。
  身份验证与访问控制:Perspecsys公司的研究显示31%的受访企业不允许员工通过移动设备访问云应用中的企业数据,但堵不如疏,积极主动地采取安全措施才能保证无论存储于何处都保证数据处于保护中。
  数据控制权:云计算技术应用中碰到的数据隐私问题正在阻碍云计算的应用,使用公有SaaS云服务就相当于将数据交给云服务提供商,因此企业正面临敏感信息的控制权问题。
  数据存储位置:某些客户信息需要存储于特定的地理位置,这是企业经常碰到的一个问题。如此一来企业就很难使用在世界其他地区运营的云服务,监管和数据隐私顾虑使得数据存储位置成了企业应用云计算过程中的一个重大挑战。
  数据隐私:商业敏感数据通常需要更严格的保护。无论储存在企业内部或是云端,数据发生泄露倒霉的都是企业自身。所以无论数据储存在哪里都有必要采取严格的安全措施。
  法律法规:企业对于敏感信息的使用和保护必须要遵守相关的法律法规。
  数据保护条款:越来越多的企业要求对云服务提供商所维护的数据进行一定的处理,例如采取更严格的安全措施。
  应对
  开放:企业IT部门需要寻找在遵守行业标准等方面持开放态度的云技术,同时也需要相互之间能够进行对接集成的安全解决方案以使云端环境在使用中可以得到完全的信任。
  追踪企业数据:今天的数字经济时代,信息可以自由地流动,这使得追踪敏感信息变得越来越难。所以企业应当了解企业内部及云端所使用的数据安全工具,特别是云数据加密和记号化工具。
  测试:Caliber Security Partners的John Overbaugh表示:对网络和架构进行测试是重要的安全策略。虽然部署到云上与传统的部署方式相比有一些变化,但还是有办法做测试的,重点是提前规划、修改测试的策略以及管理领导层的期望,但最重要的还是在进行测试之前和测试中做好与云服务提供商和安全机构的沟通工作。
  备份:无论数据是否储存在云端,备份都是一个好主意。
  使用多个云服务:使用多个不同云服务的策略可以降低数据丢失或系统宕机的风险,企业可以开发在不同云环境中实施统一的数据保护政策的安全平台,如果可以简化密匙和政策管理就更好了。
  安全教育:除了流程和技术,人的因素对信息安全也有着关键的影响,提前对企业雇员进行安全教育才能避免他们犯下大错。
  建立全面的数据管理政策:为了符合企业内部和法律上的数据隐私要求,必须建立起行之有效的数据管理政策,数据应根据敏感性进行分类并根据其分类施以相应的安全手段。
  实施数据安全服务:企业可以考虑在公司内部以软件即服务的形式实现加密和记号化这样的功能,如此便可以减少在云端储存和处理数据的安全风险。
  正确的加密方式:密匙和数据应分开储存。IT部门应负责密匙的保管并确保加密算法的强度,同时还应确保数据加载到内存之后仍然得到有效保护。通常数据在处理过程中不会云端的加密算法所保护,所以企业最好自己掌控敏感数据的加密过程。
 

  
2015年黑客换了新“乐趣”:偷病历
来源:腾讯科技      摘自:http://www.secdoctor.com/html/sec/34980.html
  2014年,美国乃至全世界的一些大型零售商频繁遭到网络黑客攻击,海量信用卡账号被盗,舆论高度关注。而据IBM公司近日称,2015年美国网络黑客攻击的目标,出现了明显的切换:从传统零售企业转向了医疗保健行业,个人病历和医保资料成为主要盗窃目标。 
  美国财经新闻网站CNBC报道指出,对于正在进行圣诞季度购物的消费者而言,今年可以可以略微感到放心。根据IBM公司的一份网络安全报告,美国零售行业今年因为网络攻击而丢失的用户数据减少了92%。
  不过,医疗病历成为新的攻击对象。网络黑客一共盗取了将近一亿个病历数据,相当于每三个美国人就有一个人的数据被盗。
  据统计,美国零售行业今年被盗取的用户数据为570万个,而个人病历被盗数据则从2014年的780万个增加到了9960万个。其中在2015年前十月份,在网络攻击被盗数据规模上,医疗保健行业甚至超过了IT服务行业。
  被攻击的机构中包括了Anthem。该机构二月份宣布,系统遭到黑客攻击,导致8000万条病历数据丢失。
  IBM安全部门的副总裁巴罗(Caleb Barlow)对媒体表示,网络攻击目标从信用卡账户信息切换到了病历数据,这很令人担忧,因为个人病历等数据是无法后续进行修改的。
  巴罗表示,对于普通民众很难要求医疗机构重新建立一个病历档案,这些被盗的数据也会被不良之徒用于各种用途,比如申请信贷、进行虚假的医疗保险索赔等。
  巴罗表示,在黑市上个人病历数据的交易价格也更高。医疗机构保护病历数据唯一的手段就是进行加密。
  虽然零售行业的攻击数量减少,但这并不意味着所有的消费者都可以高枕无忧。IBM的报告显示,一些大型的零售企业对于网络黑客攻击有了更好的防御能力,因此黑客将一些小型零售企业作为了攻击对象,这些企业在安全领域并未投入足够的资源。
 

 
警告:未来互联网安全动荡
来源: 网界网      摘自:http://netsecurity.51cto.com/art/201512/502177.htm
  在一年前,笔者呼吁正在测试IoT的制造企业不要将其传统未联网的产品连接到互联网,很多人都担心IoT会带来很多不安全的产品,并且最终进入我们的日常生活中。
 
  我们现在面临着很多安全挑战,如果幸运的话,也许不会导致全球安全和隐私泄露事故。
  一方面,戴尔和联想等公司销售的电脑具有开放的根级CA,让攻击者可以伪造证书和欺诈SSL网站,运行中间人攻击,以及在这些Windows系统安装恶意软件。
  而且,在戴尔公司推出的新笔记本电脑中,该公司还将这些证书增加到新电脑的Trusted Root Store中,其中包括私钥。这样一来,任何人都可以创建证书在这些笔记本作为合法证书使用。
  另一方面,世界各地的政府机构认为他们应该由某种神奇的访问密钥可访问一切形式的加密,让他们可以解密数据,从而在某种程度上抵御“坏人”。正如Hanlon’s Razor所说,“但凡能用愚蠢解释,就莫要归咎于恶意。”
  无论是政府对反加密的欲望,还是戴尔和联想的失误,其结果都是一样:他们通过向外部人士提供对“加密”通信的访问权限,而破坏了加密和隐私性。当然,戴尔和联想只是影响其自己的产品,而反加密组织则会影响到每个制造商的每个设备。
  然后我们看到IoT的崛起。在看到各种规模的企业糟糕的安全做法后,笔者并不看好企业将互联网连接到以前未联网的产品的做法。
  例如,如果冰箱连接到互联网,糟糕的安全做法可能让攻击者控制冰箱功能。联网和受控制的污水泵听起来不错,但它可能被恶意远程关闭。我们看到各种家庭内部安全摄像机生成能提供更高的安全性,但这些摄像头也很容易被用来记录你家庭的每个动作。我们看到微软为Xbox One增加了永远在线的高清摄像头和麦克风,而且无法被禁用,这让微软遭受指控,因其可能监控用户或让政府这样做。
  无论是何种设备,只要房间里有能够记录视频和音频的设备,这些设备就可能被利用来在暗中记录一切,而且也不一定是微软或政府在监控(+本站微信networkworldweixin),如果安全做法不够好,这可以是任何人。
  总之,使用闭源代码的联网设备都可能构成安全威胁。你购买的漂亮的WiFi装置可能被用来访问你的家庭网络以及连接到僵尸网络。你的新智能电视可能会监听房间里说的话,并发送这些数据进行分析。或者,有人会远程控制你的汽车,并开车上路。
  这并不是猜测或者假设,这肯定也不是阴谋论,这就是现在发生的事情。
  你可以信任微软和三星不会窥探你的客厅,并相信戴尔和联想会努力保证你的隐私性,同时,希望供应商添加互联网连接到其核心产品。在这种情况下,你还需要相信他们能够保护所有连接、数据以及数据收集方法,让攻击者不会来添乱。
  对于私营企业和政府,历史经验表明,这是愚蠢的赌注。
  • 联系地址
  • 总部:
  • 上海市徐汇区宜山路810号
  • 贝岭大厦11楼
  • 电话:021-55313030
  • 传真:021-54363095
  • 分公司>
  •  

© 2001-2016 三零卫士信息安全有限公司, Inc All Rights Reserved.
沪ICP备12002417号-8