【四维创智】-专研智能,智汇安全-网络攻防-渗透测试-web安全-无线安全-内网安全 行业资讯 – 第14页 – 【四维创智】

四维资讯中心

关注最新行业动态,洞悉安全态势,做行业领跑者!创造属于我们自己的故事!

思科漏洞被黑客利用,全球20万台路由器中招

4月7日,据外媒报道,一个名为“JHT”的黑客组织在本周五利用 Cisco(思科) CVE-2018-0171 (远程代码执行漏洞)攻击了俄罗斯和伊朗两国的网络基础设施,进而波及了两国的 ISP(互联网服务提供商)、数据中心以及某些网站。
 
CVE-2018-0171是2018年3月28日,Cisco发布的一个远程代码执行漏洞,其为思科IOS和IOS-XE系统的配置管理类协议Cisco Smart Install(Cisco私有协议)代码中存在的一处缓冲区栈溢出漏洞。攻击者无需用户验证即可向远端Cisco设备的 TCP 4786 端口发送精心构造的恶意数据包,触发漏洞造成设备远程执行Cisco系统命令或拒绝服务(DoS)。
 
而此次攻击主要利用了Cisco Smart Install Client(思科智能安装客户端)软件中的安全漏洞。利用上述漏洞攻击 Cisco 路由器后,路由器的配置文件 startup-config 被覆盖,路由器将重新启动。除了导致网络中断,黑客还在受影响的机器上留了言,表示他们厌倦了政府支持黑客对美国和其它国家的攻击,警告说“不要干扰我们的选举”,并附有美国国旗的图案。
 
网络安全公司卡巴斯基在一篇博文中表示,攻击本身并不复杂,水平一般的黑客也很容易做到。

 
据路透社报道,伊朗通信和信息技术部称,全球超过20万台路由器受到此次攻击的影响,其中伊朗有3500台受影响设备。伊朗信息通信技术部长Mohammad Javad Azari-Jahromi则公开表示,攻击主要影响的是欧洲、印度和美国。目前受影响的伊朗路由器中95%已恢复正常服务。
 
有趣的是,黑客表示他们曾扫描了许多国家的网络以查找易受攻击的系统,包括英国、美国和加拿大,但只是“攻击”了俄罗斯和伊朗,对于提醒美、英等国路由器设备上存在漏洞问题“居功至伟”。
文章来源:雷锋网

4月 9,2018 by admin

Gartner魔力象限:十大应用安全测试服务

网络罪犯越来越精于侵入公司网络盗取数据或锁定数据以敲诈勒索,数据泄露令全球公司企业要么损失千万,要么陷入法律纷争。为挫败网络攻击者,企业纷纷购买安全测试服务,查找应用漏洞,对自身安全防御进行压力测试。但是,提供安全测试服务的公司越来越多,想要找到能够以合理的价格提供此类测试服务的公司也越来越难了。
 
Gartner 最近发布了该领域的最新版魔力象限,指出了应用安全测试服务行业中拥有最佳产品的几家。
 

Gartner最新发布的应用安全测试魔力象限
 
Micro Focus
 
Micro Focus 的应用安全测试服务位列今年Gartner魔力象限榜单首位。该公司处于“领导者”象限,以“前瞻性”得分领跑该象限中5家公司,其对市场的理解和市场战略得到了Gartner的认同。该公司仅在“执行力”上略逊色于 CA Technologies 的 Veracode,该项指标评估的是销售执行力、市场营销有效性、产品整体吸引力等。
 
CA Technologies的Veracode部门
 
CA Technologies 的Veracode是处于Gartner魔力象限顶层的另一家高绩效应用安全测试提供商,在“前瞻性”上位于 Micro Focus 和Synopsys之后,列第三。但Veracode的执行力令其脱颖而出,牢牢占据“领导者”象限。
 
Synopsys
 
Synopsys能跻身“领导者”象限有赖于其“前瞻性”的高得分——第二名。不过,该公司的执行力是“领导者”象限5家公司中最末流的。
 
Checkmarx
 
处在“领导者”象限中流的公司是Checkmarx。该公司的“执行力”和“前瞻性”都是第三名。但是,其中小市场份额却让这家公司比“领导者”象限中其他4家都更接近“挑战者”象限。
 
IBM
 
Gartner魔力象限中挤进“领导者”象限的最后一家公司是IBM。IBM的“执行力”高于Synopsys,位于第四,但其“前瞻性”比竞争者们都略逊一筹,只能垫底。
 
WhiteHat Security
 
WhiteHat Security 是Gartner魔力象限在应用安全测试方面“挑战者”象限中的龙头老大。其“前瞻性”和“执行力”都超出该象限中其他公司。而且,从各个方面看,WhiteHat Security 都仅略逊色于该行业市场领导者。
 
Rapid7
 
Rapid7是“挑战者”象限榜眼,在“前瞻性”上远远落后于 WhiteHat Security,但高出该象限中位于第三的最后一家公司——Qualys。其“执行力”评估得分处在所有被评估公司中的第八位,落后于 WhiteHat Security 和 Qualys。
 
Qualys
 
“挑战者”象限中的第三名,也是入围该象限的最后一家公司。其“执行力”相对较好,位于所有被评估公司中的第七位,高于Rapid7,仅在 WhiteHat Security 之后。但Qualys的“前瞻性”却是Gartner评估的全部12家公司中最末位的。
 
Contrast Security
 
Contrast Security 是魔力象限中“远见者”象限里唯一一家公司。这家公司在“前瞻性”上的评估得分比市场上全部“挑战者”都来得高。但是,该公司的“执行力”却是倒数第三,想要挤进“领导者”象限仍有许多工作要做。
 
Positive Technologies
 
Positive Technologies 是“利基企业”象限中3家公司之一,另外两家是Trustwave和SiteLock。其“前瞻性”为“利基企业”象限3家公司之首,但“执行力”仅属中流。

4月 8,2018 by admin

【内网安全】有哪些威胁

内网主机大多以LAN的方式进行接入,这些主机间以物理互连,逻辑隔离的方式共存,但为实现主机间的资料共享及数据通信需求,又不得不让其之间建立各种互信关系,因此某台主机的有意或无意的误操作都会对整网主机的安全性造成威胁,这些威胁点主要分为以下几类:
 
内网逻辑边界不完整
 
无线技术的迅猛发展让随时随地接入internet这一想法成为现实,在惊叹先进的无线技术为我们的生活带来便利的同时,也对我们的网络管理人员提出了更多的要求。在内外网隔离的环境中,如何确保内网边界的完整性,杜绝不明终端穿越网络边界接入是众多管理者面临的一大难题。事实上,国内定义的网络边界防护由于《等保》的诠释往往被理解为网络出口保护,而在现实情况中的边界早已超越了”出口”这一狭隘的概念,而真正扩展到全网,其中的关键就是内网的边界–网络的入口。换言之,边界防护更应该是所有网络边界的防护–并侧重于内网入口的防护。
 
缺乏有效身份认证机制
 
对内部主机使用者缺乏特定的身份识别机制,只需一根网线或者在局域网AP信号覆盖的范围之内,即可连入内部网络获取机密文件资料。内网犹如一座空门大宅,任何人都可以随意进入。往往管理者都比较注重终端访问服务器时的身份验证,一时之间,CA、电子口令卡、radius等均大行其道,在这种环境下,被扔在墙角的终端之间非认证互访则成为了机密泄露和病毒传播的源头,而终端之间的联系恰巧就是–网络。
 
缺乏访问权限控制机制
 
许多单位的网络大体上可以分为两大区域:其一是办公或生产区域,其二是服务资源共享区域,上述两大逻辑网络物理上共存,并且尚未做明确的逻辑上的隔离,办公区域的人员往往可随意对服务器区域的资源进行访问。另外需要的注意的是,来宾用户在默认情况下,只要其接入内部网络并开通其网络访问权限,相应的内部服务资源的访问权限也将一并开通,内网机密文件资源此时将赤裸暴露于外部。
 
内网主机漏洞
 
现有企业中大多采用微软系列的产品,而微软系列产品恰巧像蜜糖一样不断吸引着蜂拥而至的黑客做为崭露头角的试金石,调查显示80%以上的攻击和病毒都是针对windows系统而产生的,这也就引发了微软一月一次的补丁更新计划,包括IE补丁、office办公软件、以及操作系统等全系列产品都被纳入这个安全保护之中。但空有微软单方发布的补救文件,也必定只是剃头挑子一头热,如果由于用户处的设置不当导致补丁无法及时更新的话,一旦被黑客所利用,将会作为进一步攻击内网其他主机的跳板,引发更大的内网安全事故,如曾经爆发的各种蠕虫病毒大都是利用这种攻击方式,这也是为什么政府机构的信息安全检查都极其重视操作系统补丁更新的原因。
对于管理者而言,内网安全的管理与外网相比存在一定的难度,究其主要原因就在于,内网的管理面比较大,终端数较多,终端使用者的IT技能水平层次不齐,而这在领导看来往往会归结到管理的层面,因此实施起来压力大,抵触情绪多,并且会形成各种各样的违规对策,单枪匹马的”管理”往往身体悬在半空,心也悬在半空。技术人员往往亟需技术手段的辅助来形成一个立体化的安全模型,也需要有更为开阔的思路看待内网的安全问题。
 
这些常见的客户端安全威胁随时随地都可能影响着用户网络的正常运行。在这些问题中,操作系统漏洞管理问题越来越凸现,消除漏洞的根本办法就是安装软件补丁,每一次大规模蠕虫病毒的爆发,都提醒人们要居安思危,打好补丁,做好防范工作——补丁越来越成为安全管理的一个重要环节。黑客技术的不断变化和发展,留给管理员的时间将会越来越少,在最短的时间内安装补丁将会极大地保护网络和其所承载的机密,同时也可以使更少的用户免受蠕虫的侵袭。对于机器众多的用户,繁杂的手工补丁安装已经远远不能适应大规模网络的管理,必须依靠新的技术手段来实现对操作系统的补丁自动修补。
 

3月 29,2018 by admin

腾讯御见捕获最新Office公式编辑器漏洞攻击

Office漏洞利用是不法黑客入侵用户电脑最常用的方式之一。作为最容易被用户忽略的漏洞之一,微软Office公式编辑器漏洞迄今为止已存在17年。据腾讯御见威胁情报中心统计,安装Office公式编辑器官方补丁的电脑仅占15%,剩余未安装或无法安装补丁的Office极易被不法黑客入侵。
 
近日,腾讯电脑管家捕获Office公式编辑器漏洞(CVE-2017-11882/CVE-2018-0802)新变种——其采用新的存储结构并抹掉了“Equation Native”流内的一些特征数据,让一些安全软件无法检测。
 
目前,腾讯电脑管家已实时拦截该漏洞攻击,并建议广大用户保持电脑安全软件正常开启状态,同时使用腾讯电脑管家首推的“女娲石”防御技术,可完美防御此类漏洞所有变种的攻击。此外,腾讯企业安全也支持“女娲石”防御技术,企业用户可使用腾讯企业安全“御点”防御此类攻击。
 

(图:腾讯电脑管家实时拦截Office公式编辑器漏洞攻击)
 
据了解,Office公式编辑器漏洞为典型的栈溢出漏洞,存在于Eqnedit.exe组件中,漏洞非常简单而且利用稳定,极易被地下黑产用来执行“鱼叉式”攻击。攻击者会根据攻击目标的特点,定制欺骗性的内容,发布特别构造的攻击文件,因此成功率极高。腾讯御见威胁情报中心曾多次提醒商贸企业警惕的“商贸信”病毒攻击,利用的就是Office公式编辑器漏洞,且主要采用“钓鱼邮件”的方式进行传播,攻击方式如出一辙。
 

(图:利用Office公式编辑器漏洞精心伪造的攻击邮件)
 
值得关注的是,据腾讯御见威胁情报中心监测发现,此次Office公式编辑器高危漏洞的利用方式再次升级。攻击者针对部分杀毒软件的检测做了特征免杀处理,新的漏洞攻击样本可以绕过安全软件之前的静态检测,当用户打开这种全新的攻击文件时,病毒将会成功运行。
 
腾讯电脑管家《2017年Windows漏洞盘点报告》指出,国内存在80%以上未修复漏洞的Office软件,Office2007之前的版本微软已经不再提供补丁。对此,腾讯安全反病毒实验室负责人、腾讯电脑管家安全专家马劲松建议广大用户,及时完成Office版本更新升级并安装官方安全补丁;紧急情况下推荐使用腾讯电脑管家和腾讯企业安全“御点”,可有效查杀利用Office公式编辑器漏洞展开攻击的任意病毒及其变种,保障个人和企业用户的网络信息安全。

3月 23,2018 by admin

美国在线旅行社Orbitz88万客户数据面临泄露风险

据国外综合新闻平台PhocusWire的报道,美国在线旅游巨头Expedia旗下的在线旅行社Orbitz公司在本周二公开宣布称,其在线旅游预定平台存在一个严重的安全漏洞,而这个漏洞可能会使得大约88万名Orbitz客户面临数据泄露风险。
 

 
根据Expedia的说法,这个漏洞是该公在司对Orbitz的商业合作伙伴Travelocity运行的平台进行调查时发现的,而Orbitz平台和该平台处于相同的环境中。
根据PhocusWire从加拿大皇家银行(RBC Royal Bank)获得的一份文件来看,大约在同一时间类似的数据泄露也影响了由Travelocity运营的RBC旅行奖励兑换平台上的客户。
 
在谈到Travelocity的问题时,Expedia表示:“我们不会对具体的合作伙伴项目发表评论,但有一点我是可以证实的,有不止一个合作伙伴受到了此次事件的影响。”
Expedia表示,他们在本月1日确定Orbitz已经遭遇了黑客攻击,而黑客可能在2017年10月1日至12月22日期间访问了存储在Orbitz预定平台和Orbitz商业合作伙伴平台上的客户个人信息。
 
信息泄露所涉及到的客户是那些于2016年1月1日至6月22日期间在Orbitz预定平台以及于2016年1月1日至2017年12月22日期间在Orbitz商业合作伙伴平台进行订单交易的客户,存在泄露风险的信息可能包括姓名、支付卡信息、出生日期、电话号码、电子邮件地址、帐单地址和性别等。
 
就如前面提到的那样,PhocusWire从加拿大皇家银行(RBC Royal Bank)获得的表明,泄露事件可能还会影响到那些在2017年10月3日至12月22日期间在RBC旅行奖励兑换平台的上填写了支付卡信息的客户,因为这段时间正是Expedia所称的Orbitz遭遇黑客攻击的时间。
 
关于Orbitz的问题,Expedia表示,迄今为止,并没有直接的证据表明Orbitz客户的个人信息已经遭到了泄露,他们在调查中也没有发现有其他类型的个人信息(如护照和旅行行程信息)遭到黑客访问的证据。
 
另外,Expedia还强调,此次事件并不涉及社会安全号码(SSN)。并且,目前的Orbitz网站也未受到影响。
“确保我们客户和合作伙伴客户个人数据的安全性对我们来说非常重要。我们对这一事件的发生深表遗憾,并且我们承诺会尽一切努力维护客户和合作伙伴对我们的信任。” Expedia在一份声明中说。
 
“我们会在一些授权国家向受影响的个人提供一年的免费信用监控和身份保护服务。此外,我们还会向合作伙伴提供免费的客户通知支持,以便合作伙伴在必要时通知其客户。”
 
文章来源:E安全

3月 22,2018 by admin

物联网安全需要测试什么?

物联网测试的技术几乎适用于整个物联网领域,包括:近场通信(near field communication,NFC)支付、营销、金融、汽车、信息通信等方面。其中,最为重要的当属:一个企业或团队在其物联网安全测试中所需要考虑到的那些因素。比如说:漏洞检查、网络攻击,数据安全、软/硬件通信、以及Web应用程序的安全性。虽然需要考虑的因素远不止这些,但这些绝对是各类测试人员在物联网环境的安全测试中,所需要面临的当务之急。
 

 
可以说,安全性是企业在实施各种物联网解决方案时,所需要面对的最大问题之一。被连接的设备需要得到控制,否则,它们不但在总体运作中会处于危险状态,而且各种敏感数据也会从系统中悄然流逝出去。同时,由于物联网能够对各种资源进行深入“解读”,从而产生规模性价值。因此,你的企业如想实施和应用物联网的各种解决方案,就必须重视和处置任何可能涉及到安全的隐患和问题。
 
记录每一个新增的端点
 
随着物联网的扩展,每一个端点在被添加到网络中的时候,也同时增加了新的、更多的安全漏洞。然而,就物联网装置本身而言,来自多个开源领域和不同类型的专有操作系统,所开发出的设备有着不同的计算能力水平、存储容量和网络配置。因此,重要的是:每个新增端点需要作为资产被记录在册,并保证得到在安全和性能方面的评估。你可以参考的最佳实践是:对系统中的所有设备创建一个编录清单,并持续更新之。这也有助于我们去监控整个物联网系统中各种设备的增加、调整与删除。若要保持其长期有效,你还需设定好与物联网项目相对应的资产发现、跟踪和管理机制。
 
密码和身份凭证
 
这应该是我们在考虑物联网环境的安全时,最值得推荐和需要明确保障的因素了。然而,为了避免使用那些由设备厂商所配置的默认密码,我们必须繁琐地逐一进行修改。这些都必须在项目的初始阶段就被正确地考虑到,否则,会给黑客留下攻击系统,以及控制各种设备的可乘之机。
 
数据接口
 
物联网的核心是能够从一个端点向另一个端点进行有效和无缝的数据交换。因此,理解和评估各种设备之间的交互连接方式,以及数据交换是否安全,则显得非常重要。只要在整个通信链路的某处发生了漏洞,都将导致数据的泄漏,并引起各种后续问题。
 
此外,密切注视物联网范围内的任何异常行为或活动也是至关重要的。因为在设备系统内部,任何数据的流转都可能会被别有用心的黑客所利用。所以,我们要保持高度警惕,彻底并持续地监控各个数据的接口。
 
持续更新
 
如今,诸多物联网项目都能够以“看得见,摸得着”的方式落地实施。这同时也意味着它们与生俱来的安全性和风险性也正在持续增加,因此我们要持续进行监测和管控。而对于普通企业来说,他们存在着一个重大的问题:缺少不断更新自己的联网设备的意识。固然他们在开发或购买设备的时候,当时已经得到了更新。但是,随着它们所处的技术环境的不断变化,各种漏洞也会被迭代产生。这些漏洞往往会被那些一直在观察和分析我们的系统、并伺机出来搞破坏的各类黑客,所迅速捕获和利用。
 
当心你的物联网设备供应商
 
身在“明处”的那些黑客和外部因素固然能对你的物联网系统产生威胁。但是,你又该如何去防范那些向你兜售联网设备的公司,所可能留下的“后门”呢?他们可以轻松地访问到你的个人资料,甚至是你的货币交易相关数据。此外,通过这些设备所收集到的数据,他们也可以在组织、甚至是个人层面上,以截然不同的方式反作用于用户本身。
 
因此,任何选用了物联网设备的消费者,都必须在购买设备时阅读并理解相关的协议,以确保共享的数据是保密的,而且是在征得消费者同意的基础上被用于共享。任何与数据使用和分发相关的协议,对于其所处的特定物联网环境都是至关重要的。可以说它们是整个项目的基础与核心。
 
在设备上保持“负载及即检测”
 
由于物联网项目必然会涉及到跨设备平台之间的数据交换,那么在数据的传输过程中偶尔出现负载的突发峰值也是不足为奇的。这样的负载可能会对系统的整体性能产生负面影响,并导致性能与安全叠加的问题出现。由于各种设备需要通过这些快速流转的状态信息,来与系统进行通信。因此我们需要在不同的网络条件下,对网络性能与相关的基础设施进行测试。有时候,我们甚至需要对各种物联网设备和相应的应用程序进行横跨不同配置状态的测试,以确保它们既能及时地做出响应,又不会丢失有效的数据。
 
而安全性是企业在采用物联网解决方案时所面临的一项重大挑战。万物互联,谁对安全负责企业?消费者?可见,如果上述这些因素能够被定期地提及和处理的话,物联网绝对能够成为企业在不同业务领域长足发展的助推剂。

3月 21,2018 by admin

渗透测试中的攻与守

渗透测试(Penetration Test)是完全模拟黑客可能使用的攻击技术和漏洞发现技术,对目标系统的安全做深入的探测,发现系统最脆弱的环节。渗透测试能够直观的让管理人员知道自己网络所面临的问题。
 

 
实际上渗透测试并没有严格的分类方式,即使在软件开发生命周期中,也包含了渗透测试的环节:
但根据实际应用,普遍认同的几种分类方法如下:
 
根据渗透方法分类
黑盒测试
黑箱测试又被称为所谓的“Zero-Knowledge Testing”,渗透者完全处于对系统一无所知的状态,通常这类型测试,最初的信息获取来自于DNS、Web、Email及各种公开对外的服务器。
 
白盒测试
白盒测试与黑箱测试恰恰相反,测试者可以通过正常渠道向被测单位取得各种资料,包括网络拓扑、员工资料甚至网站或其它程序的代码片断,也能够与单位的其它员工(销售、程序员、管理者……)进行面对面的沟通。这类测试的目的是模拟企业内部雇员的越权操作。
 
隐秘测试
隐秘测试是对被测单位而言的,通常情况下,接受渗透测试的单位网络管理部门会收到通知:在某些时段进行测试。因此能够监测网络中出现的变化。但隐秘测试则被测单位也仅有极少数人知晓测试的存在,因此能够有效地检验单位中的信息安全事件监控、响应、恢复做得是否到位。
 
根据渗透目标分类
 
主机操作系统渗透
对Windows、Solaris、AIX、Linux、SCO、SGI等操作系统本身进行渗透测试。
 
数据库系统渗透
对MS-SQL、Oracle、MySQL、Informix、Sybase、DB2等数据库应用系统进行渗透测试。
 
应用系统渗透
对渗透目标提供的各种应用,如ASP、CGI、JSP、PHP等组成的WWW应用进行渗透测试。
 
网络设备渗透
对各种防火墙、入侵检测系统、网络设备进行渗透测试。
 
从攻方视角看渗透
攻方既包括了潜在的黑客、入侵者,也可能是经过企业授权的安全专家。在很多黑客的视角中,世界上永远没有不可能渗透的目标,差别仅在时间和耐性上。
目前我们仅仅从授权渗透的角度来讨论渗透测试的攻击路径及可能采用的技术手段。
测试目标不同,涉及需要采用的技术也会有一定差异,因此下面简单说明在不同位置可能采用的技术。
 
内网测试
内网测试指的是渗透测试人员由内部网络发起测试,这类测试能够模拟企业内部违规操作者的行为。最主要的“优势”是绕过了防火墙的保护。内部主要可能采用的渗透方式:远程缓冲区溢出,口令猜测,以及B/S或C/S应用程序测试(如果涉及C/S程序测试,需要提前准备相关客户端软件供测试使用)。
 
外网测试
外网测试指的是渗透测试人员完全处于外部网络(例如拨号、ADSL或外部光纤),模拟对内部状态一无所知的外部攻击者的行为。包括对网络设备的远程攻击,口令管理安全性测试,防火墙规则试探、规避,Web及其它开放应用服务的安全性测试。
 
不同网段/Vlan之间的渗透
这种渗透方式是从某内/外部网段,尝试对另一网段/Vlan进行渗透。这类测试通常可能用到的技术包括:对网络设备的远程攻击;对防火墙的远程攻击或规则探测、规避尝试。
信息的收集和分析伴随着每一个渗透测试步骤,每一个步骤又有三个组成部分:操作、响应和结果分析。
 
端口扫描
通过对目标地址的TCP/UDP端口扫描,确定其所开放的服务的数量和类型,这是所有渗透测试的基础。通过端口扫描,可以基本确定一个系统的基本信息,结合安全工程师的经验可以确定其可能存在,以及被利用的安全弱点,为进行深层次的渗透提供依据。
 
远程溢出
这是当前出现的频率最高、威胁最严重,同时又是最容易实现的一种渗透方法,一个具有一般网络知识的入侵者就可以在很短的时间内利用现成的工具实现远程溢出攻击。
对于防火墙内的系统同样存在这样的风险,只要对跨接防火墙内外的一台主机攻击成功,那么通过这台主机对防火墙内的主机进行攻击就易如反掌。
 
口令猜测
口令猜测也是一种出现概率很高的风险,几乎不需要任何攻击工具,利用一个简单的暴力攻击程序和一个比较完善的字典,就可以猜测口令。
对一个系统账号的猜测通常包括两个方面:首先是对用户名的猜测,其次是对密码的猜测。
 
本地溢出
所谓本地溢出是指在拥有了一个普通用户的账号之后,通过一段特殊的指令代码获得管理员权限的方法。使用本地溢出的前提是首先要获得一个普通用户密码。也就是说由于导致本地溢出的一个关键条件是设置不当的密码策略。
多年的实践证明,在经过前期的口令猜测阶段获取的普通账号登录系统之后,对系统实施本地溢出攻击,就能获取不进行主动安全防御的系统的控制管理权限。
 
脚本及应用测试
Web脚本及应用测试专门针对Web及数据库服务器进行。根据最新的技术统计,脚本安全弱点为当前Web系统,尤其是存在动态内容的Web系统比较严重的安全弱点之一。利用脚本相关弱点轻则可以获取系统其他目录的访问权限,重则将有可能取得系统的控制权限。因此对于含有动态页面的Web、数据库等系统,Web脚本及应用测试将是必不可少的一个环节。在Web脚本及应用测试中,可能需要检查的部份包括:
◆检查应用系统架构,防止用户绕过系统直接修改数据库;
◆检查身份认证模块,用以防止非法用户绕过身份认证;
◆检查数据库接口模块,用以防止用户获取系统权限;
◆检查文件接口模块,防止用户获取系统文件;
◆检查其他安全威胁;
 
无线测试
中国的无线网络还处于建设时期,但是由于无线网络的部署简易,在一些大城市的普及率已经很高了。北京和上海的商务区至少80%的地方都可以找到接入点。
通过对无线网络的测试,可以判断企业局域网安全性,已经成为越来越重要的渗透测试环节。
除了上述的测试手段外,还有一些可能会在渗透测试过程中使用的技术,包括:社交工程学、拒绝服务攻击,以及中间人攻击。
从守方视角看渗透
当具备渗透测试攻击经验的人们站到系统管理员的角度,要保障一个大网的安全时,我们会发现,需要关注的问题是完全不同的:从攻方的视角看,是“攻其一点,不及其余”,只要找到一点漏洞,就有可能撕开整条战线;但从守方的视角看,却发现往往“千里之堤,毁于蚁穴”。因此,需要有好的理论指引,从技术到管理都注重安全,才能使网络固若金汤。
 
渗透测试的必要性
渗透测试利用网络安全扫描器、专用安全测试工具和富有经验的安全工程师的人工经验对网络中的核心服务器及重要的网络设备,包括服务器、网络设备、防火墙等进行非破坏性质的模拟黑客攻击,目的是侵入系统并获取机密信息并将入侵的过程和细节产生报告给用户。
渗透测试和工具扫描可以很好的互相补充。工具扫描具有很好的效率和速度,但是存在一定的误报率和漏报率,并且不能发现高层次、复杂、并且相互关联的安全问题;渗透测试需要投入的人力资源较大、对测试者的专业技能要求很高(渗透测试报告的价值直接依赖于测试者的专业技能),但是非常准确,可以发现逻辑性更强、更深层次的弱点。
 
微软在其IT攻击和渗透测试团队的任务描述中提到,他们内部有一支渗透测试团队,日常的工作流程如下:
 
时间选择
为减轻渗透测试对网络和主机的影响,渗透测试时间尽量安排在业务量不大的时段或晚上。
 
策略选择
为防止渗透测试造成网络和主机的业务中断,在渗透测试中不使用含有拒绝服务的测试策略。
 
授权渗透测试的监测手段
在评估过程中,由于渗透测试的特殊性,用户可以要求对整体测试流程进行监控(可能提高渗透测试的成本)。
 
测试方自控
由渗透测试方对本次测透测试过程中的三方面数据进行完整记录:操作、响应、分析,最终形成完整有效的渗透测试报告提交给用户。
 
用户监控
用户监控有四种形式,其一全程监控:采用类似Ethereal的嗅探软件进行全程抓包嗅探;其二择要监控:对扫描过程不进行录制,仅仅在安全工程师分析数据后,准备发起渗透前才开启软件进行嗅探;其三主机监控:仅监控受测主机的存活状态,避免意外情况发生;其四指定攻击源:用户指定由特定攻击源地址进行攻击,该源地址的主机由用户进行进程、网络连接、数据传输等多方监控。
 
对于不能接受任何可能风险的主机系统,如银行票据核查系统,电力调度系统等,可选择如下保守策略:备注:网络信息搜集
使用PING Sweep、DNS Sweep、SNMP Sweep、Tracert等手段对主机存活情况、DNS名、网络链路等进行信息收集。可以对目标的网络情况、拓扑情况、应用情况有一个大致的了解,为更深层次的渗透测试提供资料。
 
保守策略选择
1)复制一份目标环境,包括硬件平台,操作系统,数据库管理系统,应用软件等。
2)对目标的副本进行渗透测试。

3月 20,2018 by admin

猎鹰安全运维管理平台

目前在信息系统运维中,运维人员无法实时高效的了解信息系统基础架构中设备的状况,只能疲于应对层出不穷的各种类型的故障和问题,运维需求随时间不断增长,也给企业的人员和IT架构带来负面影响。
 
猎鹰安全运维管理平台严格遵循各种国际化规范标准,帮助企业安全人员进行资产安全管理、风险预警、安全事件管理以及应急响应的安全运维平台。猎鹰安全运维平台融合了资产管理、威胁感知和威胁管理。以资产为核心,以安全事件管理为关键流程,建立一套资产安全运维模型。通过可视化展示、高度自动化的资产收集和威胁发现流程,帮助安全人员、运维人员从繁复的安全检测中提升效率,提升整体的资产安全运维水平。实现了对客户IT系统进行规范化、简单化、人性化的运维监控和管理,帮助用户降低成本、提高运维质量和业务系统可用性。

 
运维管理系统提供了遵循ITIL 最佳实践和国家ITSS 标准开发的一款功能强大、操作简便、高度集成、稳定易用的IT 服务管理平台,在一个统一的平台上,实现服务台,工单管理、事件管理、知识库管理等,实现流程管理信息工具化。通过配置管理数据库(CMDB),以及运维流程关联关系,实现运维流程数据整合应用。
 
猎鹰安全运维管理平台通过主动和被动两种方式进行全面的感知,包含内网资产信息(企业服务器、系统中间件、业务系统),形成资产清单。动态感知企业资产变化状况,形成针对内网资产的资产态势。资产管理支持多种视图的资产展示方式,通过多个维度对资产进行梳理,使资产结构一目了然,资产结构化管理更加便捷。站在运维人员关注资产风险变化的视角,将资产信息统一整合,建立科学资产风险分析策略,将安全监控与IT系统变化联系在一起。资产快速定位,提供了以安全人员视角的资产快速排查、定位的能力,通过资产属性可以快速定位到指定类型的资产中,提高了资产风险排查效率。大大提高了运维管理效率。

3月 19,2018 by admin

RottenSys: 真假 Wi-Fi 系统服务

上周末,Check Point移动安全团队注意到了出现在我们用户小米手机上的可疑“系统 WIFI 服务”。经过一周的追踪调查,我们发现了一个活跃中的手机恶意广告推送团伙及其相关活动。由于本次事件始于一个伪装成安卓系统服务的恶意软件,我们将此次事件命名为RottenSys。
 

 
通过对已知数据的深入分析,我们认为:
RottenSys团伙活动始于 2016 年 9 月,团伙活动在 2017 年 7 月经历爆发式增长后进入稳定增长期;
截止今年 3 月 12 日累计受感染安卓手机总量高达 496 万 4 千余部;受感染的手机中,每天约有 35 万部轮番受到恶意广告推送的侵害;
仅 3 月 3 日到 12 日 10 天期间,RottenSys团伙向受害手机用户强行推送了 1325 万余次广告展示,诱导获得了 54 万余次广告点击。保守估计不正当广告收入约为 72 万人民币。
 
用户影响:
受感染手机用户会感受到手机运行速度大幅变慢,并伴以可疑“系统 WIFI 服务”频繁崩溃。
以小米用户论坛信息为例,我们发现从 17 年 10 月底开始出现了多个类似用户报告。然而几乎所有用户将问题归咎于系统。由此可见RottenSys假扮系统软件的策略相当成功。
 
病毒简述:
RottenSys初始病毒激活后,从黑客服务器静默下载并加载 3 个恶意模块。等待 1 至 3 天后,开始尝试接收、推送全屏或弹窗广告。病毒使用了由Wequick开发的Small开源架构进行隐秘的恶意模块加载,并使用另一个开源项目MarsDaemon来完成长期系统驻留、 避免安卓关闭其后台程序。
溯源简述:
RottenSys初始病毒的数字签名证书不属于任何已知小米移动生态圈证书,并且它不具备任何系统 Wi-Fi 相关的功能。用排除法,在对“系统 WIFI 服务”安装信息仔细观测及大量额外数据分析后,我们认为该恶意软件很可能安装于手机出厂之后、用户购买之前的某个环节。据进一步推算,大约 49.2%的已知RottenSys感染于此类方式。
受影响用户问题排除方法:
值得庆幸的是,大多数情况下,RottenSys初始恶意软件安装在手机的普通存储区域(而非系统保护区域)。受影响用户可以自行卸载。如果您怀疑自己可能是RottenSys受害者,您可以尝试在安卓系统设置的 App 管理中寻找以下可能出现的软件并进行卸载:
 
一些想法:
这已经不是第一次手机信息安全圈发现手机在到达最终用户手上之前就被安插了恶意软件。 Dr. Web 等友商陆陆续续披露过类似的事件。不同的团伙,不同的恶意软件,相同的线下传播手法。写在消费者权益日之时,我们不禁想问,除了保证普通用户购买到硬件质量合格的手机以外,我们是否忽略了用户对一个洁净安全的初始系统的需求?我们怎样才能确保用户享用到这样一个令人放心的初始系统?这是一个摆在多个产业、机构面前的大课题。 Check Point团队正在积极协助有关政府部门进行进一步调查。我们也乐于协助相关手机厂商通知已知受影响用户。
本文来源:安全牛

3月 16,2018 by admin

内网安全问题的形成原因和管理方向

内网安全问题的提出跟国家信息化的进程息息相关,信息化程度的提高,使得内部信息网络具备了以下几个特点:
 
1内网安全现状
 
1.1随着ERP、OA和CAD等生产和办公系统的普及,单位的日程运转对内部信息网络的依赖程度越来越高,内网信息网络已经成了各个单位的生命线,对内网稳定性、可靠性和可控性提出高度的要求。
 
1.2内部信息网络由大量的终端、服务器和网络设备组成,形成了统一有机的整体,任何一个部分的安全漏洞或者问题,都可能引发整个网络的瘫痪,对内网各个具体部分尤其是数量巨大的终端可控性和可靠性提出前所未有的要求。
 
1.3由于生产和办公系统的电子化,使得内部网络成为单位信息和知识产权的主要载体,传统的对信息的控制管理手段不再使用,新的信息管理控制手段成为关注的焦点。
 
上述三个问题,都是依赖于内网,与内网的安全紧密相连的,内网安全受到广泛的高度重视也就不以为奇。

2.内网安全问题的威胁模型
 
相对于内网安全概念,传统意义上的网络安全更加为人所熟知和理解,事实上,从本质来说,传统网络安全考虑的是防范外网对内网的攻击,即可以说是外网安全,包括传统的防火墙、入侵检察系统和VPN都是基于这种思路设计和考虑的。外网安全的威胁模型假设内部网络都是安全可信的,威胁都来自于外部网络,其途径主要通过内外网边界出口。所以,在外网安全的威胁模型假设下,只要将网络边界处的安全控制措施做好,就可以确保整个网络的安全。
 
而内网安全的威胁模型与外网安全模型相比,更加全面和细致,它即假设内网网络中的任何一个终端、用户和网络都是不安全和不可信的,威胁既可能来自外网,也可能来自内网的任何一个节点上。所以,在内网安全的威胁模型下,需要对内部网络中所有组成节点和参与者的细致管理,实现一个可管理、可控制和可信任的内网。由此可见,相比于外网安全,内网安全具有以下特点:
 
2.1要求建立一种更加全面、客观和严格的信任体系和安全体系;
 
2.2要求建立更加细粒度的安全控制措施,对计算机终端、服务器、网络和使用者都进行更加具有针对性的管理; 3)要求对信息进行生命周期的完善管理。

3.现有内网安全产品和技术分析 自从内网安全概念提出到现在,有众多的厂商纷纷发布自己的内网安全解决方案,由于缺乏标准,这些产品和技术各不相同,但是总结起来,应该包括监控审计类、桌面管理类、文档加密类、文件加密类和磁盘加密类等。
 
下面分别对这些产品和技术类型的特性做了简单的分析和说明。

3.1.监控审计类
 
监控审计类产品是最早出现的内网安全产品, 50%以上的内网安全厂商推出的内网安全产品都是监控审计类的。监控审计类产品主要对计算机终端访问网络、应用使用、系统配置、文件操作以及外设使用等提供集中监控和审计功能,并可以生成各种类型的报表。
 
监控审计产品一般基于协议分析、注册表监控和文件监控等技术,具有实现简单和开发周期短的特点,能够在内网发生安全事件后,提供有效的证据,实现事后审计的目标。监控审计类产品的缺点是不能做到事情防范,不能从根本上实现提高内网的可控性和可管理性。
 
3.2.桌面管理类
 
桌面管理类产品主要针对计算机终端实现一定的集中管理控制策略,包括外设管理、应用程序管理、网络管理、资产管理以及补丁管理等功能,这类型产品通常跟监控审计产品有类似的地方,也提供了相当丰富的审计功能。
 
桌面监控审计类产品除了使用监控审计类产品的技术外,还可能需要对针对Windows系统使用钩子技术,对资源进行控制,总体来说,技术难度也不是很大。桌面监控审计类产品实现了对计算机终端资源的有效管理和授权,其缺点不能实现对内网信息数据提供有效的控制。
 
3.3.文档加密类
 
文档加密类产品也是内网安全产品中研发厂商相对较多的内网安全产品类型,其主要解决特定格式主流文档的权限管理和防泄密问题,可以部分解决专利资料、财务资料、设计资料和图纸资料的泄密问题。
 
文档加密技术一般基于文件驱动和应用程序的API钩子技术结合完成,具有部署灵活的特点。但是,因为文档加密技术基于文件驱动钩子、临时文件和API钩子技术,也具有软件兼容性差、应用系统适应性差、安全性不高以及维护升级工作量大的缺点。
 
3.4.文件加密类
 
文件加密类产品类型繁多,有针对单个文件加密,也有针对文件目录的加密,但是总体来说,基本上是提供了一种用户主动的文件保护措施。 文件加密类产品主要基于文件驱动技术,不针对特定类型文档,避免了文档加密类产品兼容性差等特点,但是由于其安全性主要依赖于使用者的喜好和习惯,难以实现对数据信息的强制保护和控制。
 
3.5.磁盘加密类
 
磁盘加密类产品在磁盘驱动层对部分或者全部扇区进行加密,对所有文件进行强制的保护,结合用户或者客户端认证技术,实现对磁盘数据的全面保护。
 
磁盘加密技术由于基于底层的磁盘驱动和内核驱动技术,具有技术难度高、研发周期长的特点。此外,由于磁盘加密技术对于上层系统、数据和应用都是透明的,要实现比较好的效果,必须结合其它内网安全管理控制措施。
 
构建完整的内网安全体系,要真正构建一个可管理、可信任和可控制的内网安全体系,应该统一规划,综合上述各种技术的优势,构建整体一致的内网安全管理平台。
根据上述分析和内网安全的特点,一个整体一致的内网安全体系,应该包括身份认证、授权管理、数据保密和监控审计四个方面,并且,这四个方面应该是紧密结合、相互联动的统一平台,才能达到构建可信、可控和可管理的安全内网的效果。
 
身份认证是内网安全管理的基础,不确认实体的身份,进一步制定各种安全管理策略也就无从谈起。内网的身份认证,必须全面考虑所有参与实体的身份确认,包括服务器、客户端、用户和主要设备等。其中,客户端和用户的身份认证尤其要重点关注,因为他们具有数量大、环境不安全和变化频繁的特点。
 
授权管理是以身份认证为基础的,其主要对内部信息网络各种信息资源的使用进行授权,确定“谁”能够在那些“计算机终端或者服务器”使用什么样的“资源和权限”。授权管理的信息资源应该尽可能全面,应该包括终端使用权、外设资源、网络资源、文件资源、服务器资源和存储设备资源等。
 
数据保密是内网信息安全的核心,其实质是要对内网信息流和数据流进行全生命周期的有效管理,构建信息和数据安全可控的使用、存储和交换环境,从而实现对内网核心数据的保密和数字知识产权的保护。由于信息和数据的应用系统和表现方式多种多样,所以要求数据保密技术必须具有通用性和应用无关性。
 
监控审计是内网安全不可缺少的辅助部分,可以实现对内网安全状态的实时监控,提供内网安全状态的评估报告,并在发生内网安全事件后实现有效的取证。
 
内网安全已经成为信息安全的新热点,其技术和标准也在成熟和演进过程中,我们有理由相信,随着用户对内网安全认识的加深,用户内网安全管理制度的晚上,整体一致的内网安全解决方案和体系建设将成为内网安全的主要发展趋势。

3月 14,2018 by admin