勒索軟件假冒Locky惡意軟件攫取錢財

網站內容來源http://server.it168.com/

勒索軟件假冒Locky惡意軟件攫取錢財

2016-08-02 16:03    原創  作者: 廠商投稿 編輯:
0購買

  【IT168 案例】Palo Alto Networks威脅情報小組 Unit42近日宣布發現PowerWare(也被稱為PoshCoder)的全新變種,在有意模仿臭名昭著的Locky勒索軟件家族。PoshCoder自2014年開始便使用PowerShell對文檔進行加密,2016年3月報道稱其有新變種PowerWare出現,該惡意勒索軟件可對受害者電腦里的文件進行加密,然後通過支付比特幣等数字貨幣的方式向受害者進行勒索。

  除了將‘.locky’作為加密過文件的擴展名,PowerWare還使用與Locky惡意軟件家族相同的勒索信。對PowerWare來講這不是第一次模仿其他惡意軟件家族,其早期版本便使用CryptoWall 惡意軟件的勒索信。此外,有些惡意軟件還會借用其他軟件的代碼,比如TeslaCrypt系列惡意軟件。

  Unite42團隊曾經編寫過一個名為Python的腳本,可在受害者的電腦上逐次找到帶有‘.locky’擴展名的文件並將其還原到初始狀態。其解密版本可通過以下鏈接進行下載 ( ) 。

  分析

  對PowerWare的初步分析显示,該樣本為.NET可執行文件,在使用一款名為dnSpy的.NET反編譯程序對其進行細緻檢查后,我們在Quest Software上發現有“PowerGUI”字樣显示,於是我們立刻意識到這一惡意軟件使用的是PowerShell 腳本編輯器,其可將PowerShell腳本轉換為Microsoft可執行文件。

反編譯惡意軟件變種所參考的PowerGUI

反編譯主要功能

  通過對.NET可執行文件進一步檢查,我們發現其正在使用ScriptRunner.dll來拆包一個名為fixed.ps1的PowerShell腳本。這個拆解過的文件位於以下位置,

  %USERPROFILE%\AppData\Local\Temp\Quest Software\PowerGUI\51daca6d-6a9a-44c8-9717-f8cc5c68d10e\fixed.ps1

  實際上,這個.NET微軟Windows可執行文件只負責拆包某個嵌入式腳本並使用PowerShell.exe來運行它。該腳本位於一個名為Scripts.zip的壓縮文件內,該壓縮文件位於如下面圖三所显示的資源節內。

▲Scripts.zip 內嵌於惡意軟件資源節內

  由於Scripts.zip文件在內嵌於惡意軟件之前未經任何掩飾處理,藉助dnSpy我們便能輕鬆地將其從壓縮文件中抽取出來,這有助於我們從中獲取壓縮的PowerShell 腳本。

  PowerShell 與 PoshCoder/PowerWare的變種極其相似。如圖四显示,該樣本藉助硬編碼密鑰進行128位AES加密,可讓受害者無需支付贖金便可解密文件。這裏面不包含網絡信標,不會把密鑰生成的字節像某些變種那樣任意傳送。

  PowerWare變種加密設置

  PowerShell腳本會自動掃描受害者的電腦,搜尋帶有以下擴展名的文件並對其加密。

  PowerWare加密的文件擴展名

  然後,PowerWare將這些加密過的文件的擴展名修改為.locky,就像臭名昭著的Locky惡意軟件那樣。此外,PowerWare還會編寫一個名為‘_HELP_instructions.html’的HTML文件,其與Locky系列惡意軟件在用詞上完全一致,勒索信放置於含有加密文件的文件夾中。

  PowerShell編碼用於模仿Locky系列惡意軟件

  PowerWare 勒索信使用了與Locky相同的措辭

  在此事件中,受害者若要為此支付贖金,會被引導至某個網站,如下圖所示。該網站會告訴(受害者)如何購買比特幣,此時我們會再次看到相關材料,充分證明這一變種所極力模仿的便是Locky系列勒索軟件。

  解密網站

上一頁
1 內容導航

  • 第1頁:
  • 第2頁:

, , ,
網站內容來源http://safe.it168.com/網站內容來源http://safe.it168.com/

【精選推薦文章】

智慧手機時代的來臨,RWD網頁設計已成為網頁設計推薦首選

想知道網站建置、網站改版該如何進行嗎?將由專業工程師為您規劃客製化網頁設計及後台網頁設計

帶您來看台北網站建置台北網頁設計,各種案例分享

廣告預算用在刀口上,網站設計公司幫您達到更多曝光效益

直面安全挑戰智能製造工控安全解決方案

網站內容來源http://server.it168.com/

直面安全挑戰智能製造工控安全解決方案

2016-12-12 20:04    原創  作者: 廠商投稿 編輯:
0購買

    【IT168 方案】近日,世界智能製造大會在南京召開,國內外智能製造領域專家共聚一堂,為世界智能製造發展出謀划策。大會期間,工信部正式發布《智能製造發展規劃(2016-2020年)》,繪製了中國智能製造的宏偉藍圖和推進的路線圖。

  中國製造業的發展質量、創新能力、品牌塑造等與發達國家有較大差距,大而不強的問題是急需破解的瓶頸。必須順應全球製造業發展趨勢,把推進智能製造作為培育中國製造業增長的新動力。

  智能製造具有複雜性、系統性等特點,涉及研發設計、生產製造、倉儲物流、市場營銷、售後服務、信息諮詢等各個價值鏈環節,涉及執行設備層、控制層、管理層、企業層、雲服務層、網絡層等企業系統架構,需要進行橫向集成、縱向集成和端到端集成,智能製造生產網絡與互聯網的融合交互愈加深入。

  安全挑戰

  智能製造已日益成為製造業發展的重大趨勢和核心內容,要以智能製造新模式、新理念,全面革新傳統設計、製造技術和生產方式,加快網絡協同創新,推動通過虛擬加實體空間進行異地協同創新,實現資源優化整合。

  信息化和工業化深度融合,控制網、生產網、管理網、互聯網互聯互通成為常態,智能製造生產網絡的集成度越來越高,越來越多採用通用協議、通用硬件和通用軟件,生產控制系統信息安全問題日益突出,面臨更加複雜的信息安全威脅。

  網絡安全:與互聯網的深度融合,網絡IP化、無線化以及組網靈活化給智能製造網絡帶來更大安全風險。

  數據安全:數據的開放、流動和共享使數據和隱私保護面臨前所未有的挑戰。

  應用安全:網絡化協同、個性化定製等業務應用的多樣化對應用安全提出了更高要求。

  控制安全:控制環境開放化使外部互聯網威脅滲透到生產控制環境。

  設備安全:設備智能化使生產裝備和產品更易被攻擊,進而影響正常生產。

  解決方案

  依託對工業網絡和工業協議的深度認知和深入研究,威努特公司在工控安全領域積累了深厚的技術基礎,結合智能製造的現狀及特點,依據工信部《工業控制系統信息安全防護指南》指導要求,推出了覆蓋智能製造生產全流程的主動防護安全解決方案,協助智能製造企業構建生產控制網絡全面安全體系,切實保障安全智能生產。

  方案聚焦於生產網絡,多種安全產品有機結合構建縱深安全防護體系,直面智能製造生產控制網絡的安全挑戰,切實保障智能製造生產網絡的網絡安全、應用安全、數據安全、控制安全和設備安全。而辦公網和互聯網的網絡安全、數據安全、應用安全,則通過傳統信息安全手段進行防護。

  1) 方案架構

  主動安全防護體系全面覆蓋智能製造生產全流程,涵蓋管理網絡、控制網絡和現場設備等智能製造重要組成部分,方案架構圖如下所示:

  主動防護:威努特可信網關能夠深度識別和解析工業協議,構建安全白名單防護機制,識別並防範工業攻擊;通過自學習適應生產控制模式,放行正常操作指令,阻斷異常操作,確保生產控制安全。

  主機加固:威努特工控主機衛士通過掃描上位機程序和進程,構建白名單安全基線,實現系統安全加固,有效防範已知未知病毒的入侵和攻擊。

  安全審計:威努特工控監測審計平台基於工業協議深度解析生產網絡流量,監測和識別網絡中的入侵攻擊、異常操作、生產數據、重要操作等行為,並進行統計和分析。

  漏洞識別:威努特漏洞挖掘平台針對知名的工業控制協議進行分析,採用模糊監測技術進行安全性和健壯性測試,深度挖掘工控設備存在的已知和未知漏洞,協助客戶提升自身工控安全風險評估能力。

  統一管理:威努特統一安全管理平台能夠發現網絡中所有安全產品,進行統一管理、統一策略調整下發、統一日誌收集分析、統一實時的監控,極大簡化安全運維流程。

  2) 方案特點

  嚴格遵循工信部《工業控制系統信息安全防護指南》指導要求;

  注重整體防護,技術與管理兼顧;

  主動防護,抗擊安全風險;

  白名單機制,符合生產控制網絡實際情況;

  縱深防禦,整體安全保障;

  多種安全產品有機結合,覆蓋生產製造全流程;

  集中統一可視化管理,簡化運維。

  3) 客戶價值

  全面提高智能製造生產網絡的整體安全性,確保設備、系統、網絡的可靠性、穩定性和安全性,為安全生產保駕護航。

  全面改進智能製造業務人員的安全水平和安全意識,提高安全生產管理水平、工作效率和管理效率。

  全面提升智能製造網絡安全防護管理的合規性,符合國家主管部門智能製造發展規劃要求及工控安全防護要求,

  協助智能製造企業建立工控安全防護規範,樹立行業標桿,形成示範效應。

  小結

  智能製造面臨的安全風險、入侵途徑、攻擊手段等多種多樣,具有很大的不確定性,但是智能製造的安全防護必須是確定的。確定的安全,強調的是防護動作的可預期性,產生效果的可預知性。能夠確定的告訴用戶,用戶也能確定的知道,安全設備上去之後能做什麼事情,能夠對生產控制網絡帶來哪些防護的效果。

  威努特致力於為智能製造企業提供“確定的安全”,深入研究智能製造生產網絡存在的安全風險,確定安全問題出現的根源,針對癥結提供基於白名單機制的安全產品,構建智能製造工控安全的“白環境”。

  工控系統來不得半點虛假,不需要概念的炒作,要談工控安全,一定得是確定的安全。

,
網站內容來源http://safe.it168.com/網站內容來源http://safe.it168.com/

【精選推薦文章】

自行創業 缺乏曝光? 下一步"網站設計"幫您第一時間規劃公司的門面形象

網頁設計一頭霧水??該從何著手呢? 找到專業技術的網頁設計公司,幫您輕鬆架站!

評比前十大台北網頁設計台北網站設計公司知名案例作品心得分享

台北網頁設計公司這麼多,該如何挑選?? 網頁設計報價省錢懶人包"嚨底家"

銳捷解決廈門百年醫院終端管控的安全問題

網站內容來源http://server.it168.com/

銳捷解決廈門百年醫院終端管控的安全問題

2017-12-13 19:20    原創  作者: 廠商投稿 編輯:
0購買

  【IT168 案例】互聯網時代,由信息泄露導致的各種悲劇和案件時有發生。在醫療領域,患者的隱私信息泄露已成為社會的巨大隱憂,不少醫院的用戶信息更是成為犯罪分子的重點盜取目標。為了更好地防範安全風險,廈門市第一醫院杏林院區(以下簡稱:杏林院區)一直在尋找克服終端安全隱患的“良藥”。

  終端准入面臨多重困境

  杏林院區位於廈門杏林台商投資區,創立於1898年,歷經百餘年的發展,杏林院區已經成為國內專治肺病的特長專科醫院。

  在醫療行業中,網絡常分為內網和外網,其中內網為生產網,基於安全考慮通常會進行終端的准入控制,合法的終端才允許接入網絡, 因此,對終端准入的管控,自然而然地成為杏林院區防範安全風險的第一道門禁。

  廈門市第一醫院杏林院林主任對於終端准入的重要性早已有所認識,且對目前主流廠商的技術有充分的認知。與客戶訪談中客戶告知我們現在常見的准入策略有認證(如802.1X認證、Web認證),但是由於認證方式引入的認證服務器單點故障,認證性能瓶頸,需要客戶端等,可靠性等問題,造成了當前醫療行業內選擇動態認證方式的不多。

  痛點一:動態認證型准入局限性

  比如:醫院門診有非常多的啞終端,目前業界的方案都是要裝客戶端或者網頁認證,無法在諸如取號機,電視牆,LED叫號機等設備上使用。

  圖:自助機/自助打印機

  痛點二:IP+MAC綁定的局限性

  和不少醫院通行的做法一樣,杏林院區開始選擇了常見的准入部署方式,即靜態IP+MAC綁定方式。然而,杏林院區逐漸發現,使用接入交換機的IP+MAC綁定的方式更帶來了多重問題:

  信息收集麻煩。如果人工收集每一台接入終端的MAC地址,並且知曉其所連接的接入交換機,初始實施時還相對方便,後續的設備變更則會隨着網絡維護時間變長而信息混亂。

  配置繁瑣。手工對每台接入交換機進行配置,當生產網範圍較大時,實施工作量倍增。比如mac地址的8跟B有時候長太像了十分容易出錯。

  表項遺留。接入交換機上會存在大量的靜態配置,進行IP+MAC綁定關係變更時,比較容易出錯,因為同一批採購的終端可能MAC地址段相近。

  在醫院中後期進行病區裝修,辦公室調整時,需要對接入交換機的IP+MAC綁定表項重新配置,如果設備跨網關遷移時,還需要重新分配IP地址。

  典型痛點三:IP地址的複雜

  同時對於IP地址的管理維護,廈門市第一醫院杏林院區採用的是execl登記,為信息中心人工帶來不少麻煩。

  1.IP衝突

  整網800多個終端採用手工Excel維護,太繁瑣,效率低。網絡中經常出現IP地址衝突。

  2.Mac地址收集難

  一台設備的mac地址好的話有貼標籤,有些設備沒有貼標籤的壓根無法收集mac。

  3.設備報廢

  設備報廢后,因為設備也無法開機,所以ip也就跟着石沉大海。ip地址回收使用率低。

  4.私設IP/欺騙嘗盡

  有時候護士會看看換個ip地址是否能上網,換完IP后,直接導致跟主任醫師的IP地址衝突,導致斷網。

  輕量級准入方案——針對痛點的精準“外科手術”

  對於醫療行業經常遇到的終端管控這一“疑難病症”,銳捷創新推出的輕量級准入方案可以說是切中痛點的“精準外科手術”,其優勢主要體現在以下三個方面:

  1.免客戶端准入

  在醫院所有場景,各類取號機,電視牆,LED叫號機等無客戶端的啞終端都能做准入,簡單安全。

  2.IP+MAC信息的自動收集

  通過自動IP+MAC信息收集和綁定,減少廈門市第一醫院杏林院區用戶成倍的工作量,告別MAC地址手動手機,告別IPHEMAC的手動綁定,告別接入交換機的手動配置。極大減少出錯的概率。

  3.可視化IP地址管理

  廈門市第一醫院使用靜態IP地址。這樣的應用場景自然不可迴避的就是IP地址管理的問題。輕量級准入的IP可視化管理讓原來只能通過Excel來簡單記錄IP地址的廈門市第一醫院杏林院區有了更直觀簡單的解決辦法。

  杏林醫院從7月份割接運行20多台接入設備,門診、住院部等地區近百台客戶各種類型終端,截止到目前穩定運行。

  “輕量級准入方案的功能實用方便,IP地址管理清晰直觀,自動化水平高,讓內網終端接入管理變得輕鬆簡單,在減輕IT運維人員的工作壓力的同時,有效保護了醫院的數據和信息系統安全。”杏林院區的IT運維負責人對方案的評價也銳捷輕量級准入方案的最終“療效”。

,
網站內容來源http://safe.it168.com/網站內容來源http://safe.it168.com/

【精選推薦文章】

智慧手機時代的來臨,RWD網頁設計已成為網頁設計推薦首選

想知道網站建置、網站改版該如何進行嗎?將由專業工程師為您規劃客製化網頁設計及後台網頁設計

帶您來看台北網站建置台北網頁設計,各種案例分享

廣告預算用在刀口上,網站設計公司幫您達到更多曝光效益

威脅聚焦:快速追蹤BadRabbit勒索軟件

網站內容來源http://server.it168.com/

威脅聚焦:快速追蹤BadRabbit勒索軟件

2017-10-25 23:54    原創  作者: 思科 編輯:
0購買

    【IT168 技術】2017 年 10 月 24 日,思科 Talos 接到警報,網絡上出現了一種大規模的勒索軟件攻擊活動,影響到了東歐和俄羅斯的很多組織。與以前一樣,我們迅速行動起來,評估局勢並確保保護客戶不受此勒索軟件和其他新出現的威脅影響。

  最近幾個月來已經出現了好幾次大規模的勒索軟件攻擊活動。這次的勒索軟件與 Nyetya 存在一些相似之處,也是以 Petya 勒索軟件為基礎,但是對大部分代碼進行了改寫。這次傳播的病毒似乎沒有我們最近發現的供應鏈攻擊那麼複雜。

  傳播

  Talos 進行了評估,確信攻擊者通過 “路過式下載” 方法傳播了一種虛假 Flash Player 更新,並通過此更新入侵系統。攻擊者將被入侵的網站重定向至 BadRabbit,受影響的網站很多,主要位於俄羅斯、保加利亞和土耳其。

  當用戶訪問被入侵的網站時,系統會重定向至 1dnscontrol[.]com 這一託管該惡意文件的網站。在下載實際的惡意文件之前,攻擊者會向靜態 IP 地址 (185.149.120[.]3) 發送一個 POST 請求。我們發現該請求發布到了 “/scholasgoogle” 靜態路徑,並向用戶提供代理、引用站點、Cookie 和域名。在發布 POST 請求之後,系統從 1dnscontrol[.]com 的兩個不同路徑 /index.php 和 /flash_install.php 下載了植入程序。儘管使用了兩個路徑,但卻只下載了一個文件。根據當前信息,在服務器 1dnscontrol[.]com 被入侵之前,該惡意軟件似乎已經活動了大約六小時。我們觀察到的首次下載時間大約在 UTC 時間 2017 年 10 月 24 日早上 8:22。

  植入程序 (630325cac09ac3fab908f903e3b00d0dadd5fdaa0875ed8496fcbb97a558d0da) 需要用戶協助實施感染,而未使用任何漏洞攻擊包來直接入侵系統。該植入程序包含 BadRabbit 勒索軟件。該植入程序安裝之後,它會使用一個 SMB 組件來進行內部擴散和進一步感染。其做法似乎是組合使用隨附的弱憑證列表和與 Nyetya 所用的類似的 mimikatz 版本。下面是我們觀察到的用戶名/密碼組合的列表。請注意,這與 1995 年臭名昭着的 “黑客” 存在重合。

▲我們觀察到的密碼列表

   儘管已經製作初步報告,但是我們目前沒有任何證據表明攻擊者利用了 EternalBlue 漏洞攻擊包來傳播感染。然而,我們的研究還在繼續,如果獲得更多信息,我們將及時公布。

  技術詳情

  該惡意軟件包含一個負責提取和執行蠕蟲負載的植入程序。這個負載包含以下存儲於資源中的附加二進制文件(使用 zlib 壓縮):

  ●若干與 DiskCryptor 關聯的合法二進制文件(2 個驅動程序 x86/x64 和 1 個客戶端);

  ●2 個類似於 mimikatz 的二進制文件 (x86/x64),與 Nyetya 中發現的樣本相似。這是一種常見的開源工具,用於通過幾種不同的方法從計算機內存中恢復用戶憑證。

  該植入程序向 C:\Windows\ 目錄植入若干文件。攻擊者利用 Nyetya 攻擊活動中相同的方法執行那些類似於 mimikatz 的二進制文件。負載和憑證竊取程序之間使用指定管道命令進行通信,下面是一個這種管道命令的示例:

  C:\WINDOWS\561D.tmp \\.\pipe\{C1F0BF2D-8C17-4550-AF5A-65A22C61739C}

  然後,該惡意軟件使用 RunDLL32.exe 執行惡意軟件並繼續進行惡意操作。隨後,該惡意軟件使用如下屏幕截圖所示的參數創建一個預定任務:

  除了上述預定任務,該惡意軟件還會再創建一個負責重啟系統的預定任務。這第二個任務不會立即執行,而是按照計劃稍後執行。

  如果感覺這些預定任務的名稱看起來很熟悉,那是因為它們引用了《權利的遊戲》的內容,具體而言它們與裏面那些龍的名字是一致的。該惡意軟件還在受感染用戶的桌面上創建了一個名為 DECRYPT 的文件。如果受害者執行此文件,系統會显示一封如下所示的勒索信。

  為了揭示這類威脅在全球的傳播速度有多快,我們繪製了下圖,從中可以看出,在用於傳播那個在受害者系統上植入惡意軟件的虛假 Adobe Flash 更新的域中,其中一個域就存在非常活躍的 DNS 相關活動。

  該惡意軟件修改了被感染系統硬盤的主啟動記錄 (MBR),將啟動過程重定向到惡意軟件製作者代碼中,從而显示勒索信。系統重啟之後显示的勒索信如下,與今年其他重大攻擊中發現的其他勒索軟件變體(即 Petya)所显示的勒索信非常相似。

  以下是 TOR 網站显示的付款頁面:

  結論

  這次攻擊活動又一次證明了,勒索軟件可以如何高效地使用 SMB 等輔助傳播方法進行快速傳播。在此例中,初始攻擊媒介不是複雜的供應鏈攻擊,而是利用被入侵的網站實現的 “路過式下載” 基本攻擊。這正在迅速成為威脅形勢的新常態。威脅傳播速度越快,留給防禦者的響應時間就越短,勢必造成巨大的危害。無論攻擊者是想謀取錢財,還是想蓄意破壞,勒索軟件都是首選威脅方式。只要還有牟利或造成破壞的可能,這類威脅就會繼續肆虐。

  這類威脅也擴大了需要處理的另一重要問題,那就是對用戶進行宣傳教育。在此次攻擊中,用戶需要協助攻擊者實現初步感染。如果用戶不安裝那個 Flash 更新,就不會幫助完成這個攻擊過程,該惡意軟件就會保持良性狀態,不會對該地區造成嚴重破壞。一旦用戶幫助完成了初步感染,該惡意軟件就可以利用現有的方法(例如 SMB)在整個網絡內傳播病毒,而無需用戶交互。

  防護

  ●高級惡意軟件防護(AMP )– 解決方案可以有效防止執行威脅發起者使用的惡意軟件。

  ●CWS 和 WSA Web–掃描功能可以阻止訪問惡意網站,並檢測這些攻擊中所用的惡意軟件。

  ●網絡安全設備–(例如 NGFW、NGIPS 和 Meraki MX)可以檢測與此威脅相關的惡意活動。

  ●AMP ThreatGrid–可幫助識別惡意二進制文件,使所有思科安全產品都有內置保護措施。

  ●Umbrella–我們的安全互聯網網關 (SIG),可阻止用戶連接惡意域、IP 和 URL(無論用戶是否位於公司網絡上)。

  此次沒有發現攻擊者以郵件作為攻擊媒介。如果該惡意軟件在您網絡的這些系統之間傳輸,將會受到阻止。

  思科 Talos 簡介

  思科 Talos 團隊由業界領先的網絡安全專家組成,他們分析評估黑客活動,入侵企圖,惡意軟件以及漏洞的最新趨勢。包括 ClamAV 團隊和一些標準的安全工具書的作者中最知名的安全專家,都是思科 Talos 的成員。這個團隊同時得到了 Snort、ClamAV、Senderbase.org 和 Spamcop.net 社區的龐大資源支持,使得它成為網絡安全行業最大的安全研究團隊,也為思科的安全研究和安全產品服務提供了強大的後盾支持。  

網站內容來源http://safe.it168.com/網站內容來源http://safe.it168.com/

【精選推薦文章】

自行創業 缺乏曝光? 下一步"網站設計"幫您第一時間規劃公司的門面形象

網頁設計一頭霧水??該從何著手呢? 找到專業技術的網頁設計公司,幫您輕鬆架站!

評比前十大台北網頁設計台北網站設計公司知名案例作品心得分享

台北網頁設計公司這麼多,該如何挑選?? 網頁設計報價省錢懶人包"嚨底家"

IOT安全:Logitech Harmony Hub安全性分析

網站內容來源http://server.it168.com/

IOT安全:Logitech Harmony Hub安全性分析

2018-05-15 09:31    來源:安全客  作者: Joel Hopwood 編輯:
0購買

  一、前言

  FireEye的Mandiant Red Team最近在Logitech Harmony Hub物聯網(IoT)設備上發現了一些漏洞,這些漏洞可以被攻擊者利用,通過SSH渠道獲得目標設備的root訪問權限。Harmony Hub是一款家庭控制系統,用來連接並控制用戶家庭環境中的各種設備。在本地網絡中利用這些漏洞后,攻擊者可以控制連接到Hub的設備,也可以利用Hub做為執行節點,攻擊本地網絡中的其他設備。由於Harmony Hub所支持的設備較多,包括智能門鎖、智能恆溫器以及其他智能家居設備等,因此這些漏洞會給用戶帶來極高的風險。

  FireEye在2018年1月向Logitech披露了這些漏洞,Logitech積極響應,與FireEye一起溝通協作,發布固件更新(4.15.96)解決了這些問題。

  Red Team發現了如下幾個漏洞:

  1、未驗證證書有效性;

  2、不安全的更新過程;

  3、生產固件鏡像中遺留開發者(developer)調試符號;

  4、空的root用戶密碼。

  Red Team組合使用了這幾個漏洞,最終獲得了Harmony Hub的管理員訪問權限。在本文中我們介紹了這些漏洞的發現及分析過程,與大家分享了對消費者設備進行嚴格安全測試的必要性:現如今公眾對設備越來越信任,而這些設備不僅連接到家庭網絡中,也會透露關於公眾日常生活的各種細節,此時安全形勢也更加嚴峻。

  二、設備分析

  設備準備

  已公開的一些研究報告表明,Harmony Hub的測試點上存在一個UART(universal asynchronous receiver/transmitter,通用異步收發傳輸器)接口。我們將跳線連接到這些測試點上,這樣就能使用TTL轉USB串行線路連接到Harmony Hub。初步分析啟動過程后,我們發現Harmony Hub會通過U-Boot 1.1.4啟動,運行一個Linux內核,如圖1所示。


▲圖1:
 從UART接口獲得的啟動日誌

  在啟動過程後續階段中,控制台不再輸出任何信息,因為內核並沒有配備任何控制台接口。我們在U-Boot中重新配置了內核啟動參數,想查看完整的啟動過程,但並沒有恢復出有用的信息。此外,由於設備將UART接口配置成僅傳輸模式,因此我們不能通過該接口與Harmony Hub進一步交互,因此我們將研究重點轉移到了Harmony Hub所運行的Linux操作系統上,想進一步了解整個系統以及其上運行的相關軟件。

  固件恢復及提取

  Harmony Hub可以使用配套的Android或者iOS應用通過藍牙來進行初始化配置。我們使用hostapd創建了一個無線網絡,在Android測試設備上安裝了Burp Suite Pro CA證書,以捕捉Harmony移動應用發往互聯網以及發往Harmony Hub的通信流量。一旦初始化配對完成,Harmony應用就會搜索本地網絡中的Harmony Hub,使用基於HTTP的API與Harmony Hub通信。

  一旦成功連接,Harmony應用就會向Harmony Hub的API發送兩個不同的請求,以便Harmony Hub檢查是否存在更新,如:2所示。


 圖2:使Harmony Hub檢查更新的請求報文

  Harmony Hub會向Logitech服務器發送當前的固件版本,以確定是否存在更新(如圖3所示)。如果需要更新,Logitech服務器會發送一個響應包,其中包含新固件版本所對應的一個URL(如圖4所示)。由於我們使用了自簽名的證書來捕捉Harmony Hub發送的HTTPS流量,因此我們可以順利觀察到這個過程(Harmony Hub會忽略無效的SSL證書)。


▲圖3:
Harmony Hub檢查固件更新


圖4. 服務器返回的響應包中包含更新固件的URL

  我們獲取了這個固件並檢查了相關文件。剝離好幾個壓縮層后,我們可以在harmony-image.squashfs文件中找到固件。固件所使用的文件系統鏡像為SquashFS文件系統,採用lzma壓縮算法(這是嵌入式設備常用的壓縮格式)。然而,廠商經常使用老版本的squashfstools,這些版本與最新的squashfstools並不兼容。我們使用了firmware-mod-kit中的unsqashfs_all.sh腳本,自動化探測unsquashfs的正確版本,以便提取文件系統鏡像,如圖5所示。


圖5. 使用firmware-mod-kit提取文件系統

  提取文件系統內容后,我們檢查了Harmony Hub搭載的操作系統的某些詳細配置信息。經過檢查后,我們發現這個生產鏡像中包含大量的調試信息,比如沒有刪掉的內核模塊等,如圖6所示。


圖6. 文件系統中未刪掉的Linux內核對象

  檢查/etc/passwd后,我們發現root用戶並沒有設置密碼(如圖7所示)。因此,如果我們可以啟用dropbear SSH服務器,我們就能通過SSH接口獲取Harmony Hub的root訪問權限,無需使用密碼。


圖7. /etc/passwd文件显示root用戶未設置密碼

  我們發現,如果文件系統中存在/etc/tdeenable文件,則會在初始化階段中啟用dropbear SSH服務器,如圖8所示。


圖8. 如果存在/etc/tdeenable,/etc/init.d/rcS腳本則會啟用dropbear SSH服務器

  劫持更新過程

  在初始化過程中,Harmony Hub會在Logitech API上查詢GetJson2Uris地址,獲取各種過程所需的一個URL列表(如圖9所示),其中包括檢查固件更新所使用的URL以及獲取更新所需的額外軟件包信息的URL。


圖9. 發送請求獲取各種過程所需的URL地址

  我們攔截並修改了服務器返回的響應數據包中的JSON對象,將其中的GetUpdates成員指向我們自己的IP地址,如圖10所示。


圖10. 修改過的JSON對象

  與固件更新過程類似,Harmony Hub會向GetUpdates所指定的端點發送一個POST請求,請求中包含設備內部軟件包的當前版本信息。HEOS軟件包對應的請求如圖11所示。


圖11. 包含系統中“HEOS”軟件包當前版本信息的JSON請求對象

  如果POST請求正文中的sysBuild參數與服務器已知的當前版本不匹配,服務器就會響應一個初始數據包,其中包含新軟件包版本信息。由於某些不知名的原因,Harmony Hub忽略了這個初始響應包,發送了第二個請求。第二個響應包中包含多個URL地址,這些地址指向了新的軟件包,如圖12所示。


圖12. 包含軟件更新包的JSON響應數據

  我們下載了響應數據包中列出的.pkg文件,檢查后發現這些文件其實是ZIP壓縮文件。壓縮文件的文件結果比較簡單,如圖13所示。


圖13. .pkg壓縮文檔結構

  其中,manifest.json文件可以告訴Harmony Hub在更新過程中如何處理壓縮文檔的內容,如圖14所示。


圖14. manifest.json文件內容

  manifest文件中installer參數所指定了一個腳本,如果壓縮文件中存在該腳本,那麼Harmony Hub在更新過程中就會執行這個腳本。我們修改了這個腳本,如圖15所示,修改后該腳本會創建/etc/tdeenable文件,前面提到過,這樣啟動過程就會啟用SSH接口。


圖15. 修改后的update.sh文件

  我們創建了帶有.pkg擴展名的一個惡意壓縮文檔,使用本地web服務器託管該文檔。當下一次Harmony Hub根據被篡改的GetJson2URIs響應包中給出的URL地址來檢查更新時,我們返回經過修改的響應包,指向這個更新文件。Harmony Hub會接收我們提供的惡意軟件更新包,重啟Harmony Hub后就會啟用SSH接口。這樣我們就可以使用root用戶名以及空密碼來訪問該設備,如圖16所示。


圖16. 重啟後設備啟用了SSH接口

  三、總結

  隨着科技逐步融入我們的日常生活中,我們也在不知不覺中越來越信任各種設備。Harmony Hub與許多物聯網設備一樣,採用了通用處理器架構,因此攻擊者可以輕鬆將惡意工具添加到被攻破的Harmony Hub上,進一步擴大攻擊活動的影響力。Logitech與我們的團隊積極合作,發布了4.15.96固件解決了這些漏洞。如果用戶對某些設備非常信任,那麼這些設備的開發者就應該保持警惕,移除讓用戶處於危險境地的潛在攻擊因素。Logitech在與Red Team的研究工作中發表過一則聲明,在此我們也想與大家一起分享:

  “Logitech非常重視客戶的安全及隱私。2018年1月下旬,FireEye發現了可能影響Logitech Harmony Hub產品的一些漏洞,如果某個惡意黑客已經獲取Hub用戶網絡的訪問權限,就可以利用這些漏洞。我們非常感謝FireEye等專業安全研究公司在挖掘探索IoT設備上這類漏洞所付出的努力。

  在FireEye將這些研究成果告知我們后,我們第一時間啟動了內部調查,並且馬上開始研發固件以解決這些問題。4月10日,我們發布了固件更新,全部解決了這些漏洞。如果還有客戶沒有將固件更新到4.15.96版,我們建議您檢查MyHarmony軟件,同步基於Hub的遠程設備並接收該固件。用戶可以查看此鏈接了解關於固件更新的完整說明。

  基於Hub的產品包括: Harmony Elite、Harmony Home Hub、Harmony Ultimate Hub、harmony Hub, Harmony Home Control、Harmony Pro、Harmony Smart Control、Harmony Companion、Harmony Smart Keyboard、Harmony Ultimate以及Ultimate Home”。

,
網站內容來源http://safe.it168.com/網站內容來源http://safe.it168.com/

【精選推薦文章】

智慧手機時代的來臨,RWD網頁設計已成為網頁設計推薦首選

想知道網站建置、網站改版該如何進行嗎?將由專業工程師為您規劃客製化網頁設計及後台網頁設計

帶您來看台北網站建置台北網頁設計,各種案例分享

廣告預算用在刀口上,網站設計公司幫您達到更多曝光效益

開創萬兆組網時代 新華三商用萬兆解決方案解讀

開創萬兆組網時代 新華三商用萬兆解決方案解讀

2019-05-10 14:51    原創  作者: 高博 編輯:
0購買

  隨着網絡技術的不斷髮展,越來越多的終端設備紛紛接入網絡,用戶對於高速網絡的需求越來越高。網絡速率也從10兆到百兆再到千兆一步步得以提升。我們享受了高速網絡所帶來的極大便利,但這些還遠遠不夠……

  由於物聯網技術的大量延伸應用,以及企業業務對網絡需求的不斷提升,傳統的全千兆組網已經略顯吃力,由此對於萬兆組網的呼聲越來越高。針對用戶痛點問題,新華三認為商用全萬兆網絡的時代已經來臨,並正式推出商用萬兆解決方案。

  為了不滿足不同場景下的真實需求,面向不同應用場景新華三推出多場景下的商用萬兆解決方案,從而最大化的滿足用戶需求。

  S6520-SI+S5130S-LI——開創中小場景萬兆組網時代

  針對中小場景,新華三推出了H3C S6520-SI全萬兆交換機產品,共包含S6520-16S-SI(16SFP+)、S6520-24S-SI(24SFP+)兩種分銷款型,能夠為用戶提供大容量的交換服務;此外該產品定位於高速無線設備接入、匯聚,數據中心萬兆服務器接入、高速率園區網匯聚等應用場景。

  在產品性能層面,H3C S6520-SI全萬兆交換機產品配備高速率的全萬兆接入端口,並支持全面的路由協議,此外還能夠提供多種認證方式等多重安全策略,為了滿足用戶的組網需求,H3C S6520-SI全萬兆交換機產品支持智能彈性架構,最多能夠支持9台設備堆疊並進行彈性擴展,並對產品的可靠性以及性能進行了提升。

  除此之外,H3C S6520-SI全萬兆交換機產品還能夠搭配S5130S-LI系列全千兆網管接入交換機,從而打造全萬兆高性價比解決方案。

  S7000E+S5130S-SI——定位中小企業

  除了中小場景下的應用,新華三還自主研發了H3C S7000E高端多業務路由交換機產品,該產品主要定位於中小型企業網絡核心層路由交換機。根據不同需求,用戶能夠對增強版主控、標準版主控以及各類板卡進行相關搭配,能夠配置多種端口形態的萬兆板卡。

  和H3C S6520-SI一樣,H3C S7000E路由交換機同樣支持豐富的功能特性,其支持IRF2(第二代智能彈性架構—橫向虛擬化)功能,並能夠對組合的模塊化主機進行靈活配置,而H3C S7000E增強版主控還自帶隨板AC功能,能夠幫助企業組成便捷的有線無線一體化組網模式。而在安全防護層面,H3C S7000E能夠為用戶提供全方位的安全保障,從而幫助用戶抵禦多種網絡安全威脅。

  當然,根據組網需要,H3C S7000E路由交換機需要搭載接入交換機進行使用,譬如通過搭載H3C S5130S-SI,為用戶打造高性能的全萬兆解決方案。根據介紹,H3C S5130S-SI是H3C自主開發的第二代二層萬兆上行以太網交換機產品,是為要求具備高性能、高端口密度、高上行速率且易於安裝的網絡環境而設計的第二代智能型可網管交換機。主要定位於對安全防禦能力要求較高的企事業單位萬兆上行辦公網使用。

  寫在最後

  通過全方位的介紹不難發現,新華三商用萬兆解決方案能夠滿足用戶多場景下的使用需求,那新華三萬兆商用解決方案究竟能夠為用戶帶來哪些優勢呢?通過總結,其優勢主要體現在以下幾點:

  首先,新華三商用萬兆解決方案能夠為用戶提供更高的帶寬,高帶寬可以讓用戶的網絡更快速的連接服務器,更順暢的訪問外網資源;其次能夠為用戶的網絡開闢更寬的“車道”,避免網絡擁塞和網絡卡頓,滿足高速無線設備接入、匯聚;在網絡傳輸層面,能夠做到更快速的網絡收斂,讓用戶的網絡性能更強、速度更快;最後,對於常存在突發大流量的組網需求,萬兆解決方案處理起來高併發流量更是不在話下。

網站內容來源http://safe.it168.com/網站內容來源http://safe.it168.com/

【精選推薦文章】

自行創業 缺乏曝光? 下一步"網站設計"幫您第一時間規劃公司的門面形象

網頁設計一頭霧水??該從何著手呢? 找到專業技術的網頁設計公司,幫您輕鬆架站!

評比前十大台北網頁設計台北網站設計公司知名案例作品心得分享

台北網頁設計公司這麼多,該如何挑選?? 網頁設計報價省錢懶人包"嚨底家"

等保2.0正式發布,如何做到標準合規?

等保2.0正式發布,如何做到標準合規?

2019-05-16 15:48    來源:廠商稿  作者: 廠商動態 編輯:
0購買

     等級保護制度是我國在網絡安全領域的基本制度、基本國策,是國家網絡安全意志的體現。《網絡安全法》出台後,等級保護制度更是提升到了法律層面,等保2.0在1.0的基礎上,更加註重全方位主動防禦、動態防禦、整體防控和精準防護,除了基本要求外,還增加了對雲計算、移動互聯、物聯網、工業控制和大數據等對象全覆蓋。等保2.0標準的發布,對加強中國網絡安全保障工作,提升網絡安全保護能力具有重要意義。

從等保基本要求的結構來看,從等保1.0到等保2.0試行稿,再到等保2.0最新稿,變化過程如下:

 

等保2.0充分體現了“一个中心三重防禦“的思想,一个中心指“安全管理中心”,三重防禦指“安全計算環境、安全區域邊界、安全網絡通信”,同時等保2.0強化可信計算安全技術要求的使用。

 

控制項的變化來看,等保2.0更加精簡,但實質上內涵更加豐富完善。

等保2.0第三級安全要求結構:

 

為幫助大家更好地理解等保2.0的變化,以等保三級為例,以下是1.0到2.0各控制點變化情況(紅色字體為新增內容、綠色字體為控制點名稱做了變化、灰色字體為已刪除控制點)。

在各類變化當中,特別值得關注的一個變化是等保二級以上,從1.0的管理制度中把“安全管理中心”獨立出來進行要求,包括“系統管理、審計管理、安全管理、集中管控“等,這是為了滿足等保2.0的核心變化——從被動防禦轉變為主動防禦、動態防禦。完善的網絡安全分析能力、未知威脅的檢測能力將成為等保2.0的關鍵需求。部署安全設備但不知道是否真的安全、不知道發生什麼安全問題、不知道如何處置安全的“安全三不知”將成為歷史。

   銳捷網絡近幾年陸續推出的大數據安全平台RG-BDS、動態防禦系統RG-DDP、沙箱RG-Sandbox、雲端安服中心等產品能極大地加強整網的“主動安全分析能力”,及時掌握網絡安全狀況,對層出不窮的“未知威脅與突發威脅”起到關鍵的檢測和防禦作用.這些產品和其它安全產品、網絡產品等一起結合AI、大數據、雲計算等技術構築了銳捷網絡的“動態安全”體系架構,為用戶提供一個具備動態響應、持續進化的符合等保2.0標準的整網安全保障體系。

,
網站內容來源http://safe.it168.com/網站內容來源http://safe.it168.com/

【精選推薦文章】

智慧手機時代的來臨,RWD網頁設計已成為網頁設計推薦首選

想知道網站建置、網站改版該如何進行嗎?將由專業工程師為您規劃客製化網頁設計及後台網頁設計

帶您來看台北網站建置台北網頁設計,各種案例分享

廣告預算用在刀口上,網站設計公司幫您達到更多曝光效益

一文讀懂 | 等保標準演變史(1.0~2.0)

一文讀懂 | 等保標準演變史(1.0~2.0)

2019-05-14 16:22    原創  作者: 山石網科 編輯:
0購買

  摘要:

  在業界呼聲極高的等保2.0,於2019年5月13日正式發布。山石網科資深專家第一時間為您分析解讀,等保2.0發生了哪些重要變化?

  進入等保2.0時代,我們應重點對雲計算、移動互聯、物聯網、工業控制以及大數據安全等進行全面安全防護,確保關鍵信息基礎設施安全。

  隨着雲計算、移動互聯、大數據、物聯網、人工智能等新技術不斷湧現,計算機信息系統的概念已經不能涵蓋全部,特別是互聯網快速發展帶來大數據價值的凸顯。雲計算、大數據、工業控制系統、物聯網、移動互聯等新技術的不斷拓展已經成為產業結構升級的堅實基礎,而其中網絡和信息系統作為新興產業的承載者,構建起了整個經濟社會的神經中樞,保證其安全性不言而喻。

  由於業務目標的不同、使用技術的不同、應用場景的不同等因素,不同的等級保護對象會以不同的形態出現,表現形式有基礎信息網絡、信息系統、雲計算平台、大數據平台、物聯網系統、工業控制系統等。形態不同的保護對象面臨的威脅有所不同,安全保護需求也會有所差異。現有的標準體系需要提升台階,去適應新技術的發展,等級保護的相關標準也需要跟上新技術的變化。“等保1.0”的標準體系在適用性、時效性、易用性、可操作性上需要進一步擴充和完善,因此“等保2.0“應運而生。

等級保護2.0安全框架

  針對等級保護對象特點建立安全技術體系和安全管理體系,構建具備相應等級安全保護能力的網絡安全綜合防禦體系。應依據國家網絡安全等級保護政策和標準,開展組織管理、機制建設、安全規劃、通報預警、應急處置、態勢感知、能力建設、監督檢查、技術檢測、隊伍建設、教育培訓和經費保障等工作。

  • 名稱的變化

  首先安全的內涵由早期面向數據的信息安全,過度到面向信息系統的信息保障(信息系統安全),並進一步演進為面向網絡空間的網絡安全。網絡安全(cybersecurity)以其更豐富的內涵逐步取待信息安全成為安全領域共識,《中華人民共和國網絡安全法》明確規定“國家實行網絡安全等級保護制度“,相關法律條文和標準也需保持一致性,“等保2.0“與時俱進的將原標準的”信息系統安全等級保護“改為”網絡安全等級保護“,例如《信息系統安全等級保護基本要求》改為《網絡安全等級保護基本要求》。

  等保2.0對定級指南、基本要求、實施指南、測評過程指南、測評要求、設計技術要求等標準進行修訂和完善,以滿足新形勢下等級保護工作的需要,其中《信息安全技術 網絡安全等級保護測評要求》、《信息安全技術 網絡安全安全等級保護基本要求》、《信息安全技術 網絡安全等級保護安全設計要求》已於2019年5月10日發布,並將在2019年12月1日實施。

  • 等級保護對象的演變

  在開展網絡安全等級保護工作中應首先明確等級保護對象。

  等保1.0定義等級保護對象為:信息安全等級保護工作直接作用的具體信息和信息系統。隨着雲計算平台、物聯網、工業控制系統等新形態的等級保護對象不斷湧現,原定義內涵局限性日益顯現。

  等保2.0定義等級保護對象為:包括基礎信息網絡、雲計算平台/系統、大數據應用/平台/資源、物聯網、工業控制系統和採用移動互聯技術的系統等。

  • 內容的變化(以基本要求為例)

  等保1.0:安全要求

  等保2.0:安全通用要求和安全擴展要求

  • 安全通用要求

  • 雲計算安全擴展要求

  • 移動互聯安全擴展要求

  • 物聯網安全擴展要求

  • 工業控制系統安全擴展要求

  等保2.0安全通用要求是普適性要求,是不管等級保護對象形態如何,必須滿足的要求;針對雲計算、移動互聯、物聯網和工業控制系統,除了滿足安全通用要求外,還需滿足的補充要求稱為安全擴展要求。

  雲計算安全擴展要求針對雲計算的特點提出特殊保護要求。雲計算環境主要增加的內容包括“基礎設施的位置”、“虛擬化安全保護”、“鏡像和快照保護”、“雲服務商選擇”和“雲計算環境管理”等方面。

  針對移動互聯環境主要增加的內容包括“無線接入點的物理位置”、“移動終端管控”、“移動應用管控”、“移動應用軟件採購”和“移動應用軟件開發”等方面。

  物聯網安全擴展要求針對物聯網的特點提出特殊保護要求。對物聯網環境主要增加的內容包括“感知節點的物理防護”、“感知節點設備安全”、“感知網關節點設備安全”、“感知節點的管理”和“數據融合處理”等方面。

  工業控制系統安全擴展要求針對工業控制系統的特點提出特殊保護要求。對工業控制系統主要增加的內容包括“室外控制設備防護”、“工業控制系統網絡架構安全”、“撥號使用控制”、“無線使用控制”和“控制設備安全”等方面。

  • 控制措施分類結構的變化

  以基本要求為例,充分體現一个中心,三重防禦的思想(和GB/T 25070保持一致,與設計要求融合)。

  • 總結一下

  1、等級保護的基本要求、測評要求和設計技術要求統一框架,構建“一个中心,三重防護“的體系框架;

  2、通用安全要求+新型應用安全擴展要求,將雲計算、移動互聯、物聯網、工業控制系統等列入標準規範;

  基於此,進入等保2.0時代,我們應重點對雲計算、移動互聯、物聯網、工業控制以及大數據安全等進行全面安全防護,確保關鍵信息基礎設施安全。

網站內容來源http://safe.it168.com/網站內容來源http://safe.it168.com/

【精選推薦文章】

自行創業 缺乏曝光? 下一步"網站設計"幫您第一時間規劃公司的門面形象

網頁設計一頭霧水??該從何著手呢? 找到專業技術的網頁設計公司,幫您輕鬆架站!

評比前十大台北網頁設計台北網站設計公司知名案例作品心得分享

台北網頁設計公司這麼多,該如何挑選?? 網頁設計報價省錢懶人包"嚨底家"

Windows RDP服務蠕蟲級漏洞預警 堪比WannaCry

Windows RDP服務蠕蟲級漏洞預警 堪比WannaCry

2019-05-15 16:30    原創  作者: 高博 編輯:
0購買

  北京時間5月15日,微軟發布了針對遠程桌面(RDP)服務遠程代碼執行漏洞CVE-2019-0708的修復補丁,該漏洞由於屬於預身份驗證且無需用戶交互,因此可以通過網絡蠕蟲方式被利用,與2017年爆發的WannaCry惡意軟件的傳播方式類似。攻擊者可利用該漏洞安裝程序、查看、更改或刪除數據、或者創建擁有完全用戶權限的新帳戶。360CERT(360網絡安全響應中心)第一時間確認漏洞為嚴重級別,建議用戶立即進行補丁更新。

  本次微軟官方發布了5月安全更新補丁共修復了82個漏洞,其中Windows操作系統遠程桌面服務漏洞(CVE-2019-0708)威脅程度較高。據悉,該漏洞的危害堪比兩年前轟動全球的漏洞武器“永恆之藍”:攻擊者一旦成功觸發該漏洞,便可以在目標系統上執行任意代碼,受影響的系統包括Win xp,Win7等常用桌面系統和Windows 2003,Windows 2008,Windows 2008 R2等常用的服務器系統,影響廣泛。

  此外,該漏洞的觸發無需任何用戶交互操作,這也就意味着,攻擊者可以在用戶不知情的狀態下,利用該漏洞製作類似於2017年席捲全球的WannaCry蠕蟲病毒,進行大規模傳播和破壞。

  除了Windows 8和Windows 10之外,幾乎所有系統版本都沒能逃過該漏洞的影響。目前,微軟已經為Windows 7、Windows Server 2008 R2、Windows Server 2008提供了相關的安全更新。同時,也為已經停止支持的Windows 2003和Windows XP提供了修復程序(https://support.microsoft.com/zh-cn/help/4500705/customer-guidance-for-cve-2019-0708)。

  對於此次微軟公布的高危漏洞,360安全衛士已經在第一時間為用戶推送補丁,用戶也可手動使用“漏洞修復”功能來安裝補丁。

  沒有使用360安全衛士的用戶,win7和Server 2008可通過系統更新安裝補丁,停止支持的Windows 2003和Windows XP可通過https://support.microsoft.com/zh-cn/help/4500705/customer-guidance-for-cve-2019-0708 地址,下載安裝補丁。

  如用戶無法及時更新補丁,可以通過禁用遠程桌面服務來進行緩解:在Windows 7, Windows Server 2008, and Windows Server 2008 R2上開啟Network Level Authentication (NLA)。

網站內容來源http://safe.it168.com/網站內容來源http://safe.it168.com/

【精選推薦文章】

智慧手機時代的來臨,RWD網頁設計已成為網頁設計推薦首選

想知道網站建置、網站改版該如何進行嗎?將由專業工程師為您規劃客製化網頁設計及後台網頁設計

帶您來看台北網站建置台北網頁設計,各種案例分享

廣告預算用在刀口上,網站設計公司幫您達到更多曝光效益

等級保護2.0正式發布 網絡安全再上新台階

等級保護2.0正式發布 網絡安全再上新台階

2019-05-17 08:46    原創  作者: 閆志坤 編輯:
0購買

  近日,國家市場監督管理總局、國家標準化管理委員會日前批准發布網絡安全等級保護制度2.0國家標準,2019年5月16日,由公安部網絡安全保衛局、公安部第三研究所和公安部一所共同主辦,深信服承辦的網絡安全等級保護制度2.0國家標準宣貫會在京舉行,各部委重要行業部門、企事業單位領導嘉賓、互聯網企業的代表、測評機構和安全建設技術負責人及全國公安網安戰線參加本次宣貫會。

  等級保護2.0發布 “一个中心,三重防護”

  據介紹,網絡安全等級保護制度2.0國家標準在1.0的基礎上,實現對新技術、新應用安全保護對象和安全保護領域的全覆蓋,更加突出技術思維和立體防範,注重全方位主動防禦、動態防禦、整體防控和精準防護,強化“一个中心,三重防護”的安全保護體系,把雲計算、物聯網、移動互聯、工業控制系統、大數據等相關新技術新應用全部納入保護範疇。

  自2007年起,公安部牽頭組織,在國家標準化管理委員會、全國信息安全標準化技術委員會支持協助下,研究制定了一系列等級保護國家標準,為等級保護工作的開展奠定了基礎。隨着網絡安全形勢的變化和技術的發展,為解決重要行業部門在新技術、新應用環境下開展等級保護工作的需要,自2014年起,公安部組織相關單位、專家總結等級保護1.0標準實施情況,研究新技術、新應用的安全問題,歷經5年時間,完成了2.0標準的制修訂工作。

公安部網絡安全保衛局黨委書記王瑛瑋

  在網絡安全等級保護制度2.0國家標準宣貫會上,公安部網絡安全保衛局黨委書記王瑛瑋提出四點建議:一是要高度重視、深刻領會。要充分認識國家標準在信息化和網絡安全建設過程中的重要意義,發揮標準的指導和引領作用,加快推動國家標準的貫徹和實施。二是要加強宣傳,強化培訓。標準實施的關鍵是用戶要學標準、懂標準、用標準。標準起草單位要加強對標準的解讀和培訓。三是要推動行標,指導實踐。重點行業部門根據2.0國家標準,結合本行業實踐,加快修訂完善本行業等級保護行業標準。四是加強督導,推動落實。各地公安機關和各行業主管部門要加強對本地區、本行業網絡安全等級保護工作的監督、檢查和指導,在做好當前網絡安全等級保護工作的基礎上,逐步向2.0國家標準過渡,提升網絡安全保護能力。

  落實等保2.0 踐行“三同步”要求

公安部網絡安全保衛局郭啟全總工程師

  在本次會議上,來自公安部第一研究所於銳副所長、國家市場監管總局標準技術管理司王莉處長、全國信息安全標準化技術委員會楊建軍秘書長相繼發布致辭,公安部網絡安全保衛局郭啟全總工程師以“網絡安全等保2.0標準發布”分享,對於網絡安全等級保護制度的目標要求,第一,“分等級保護、突出重點、積極防禦、綜合防護”的總體要求;第二,建立“打防管控”一體化的網絡安全綜合防禦體系,提升國家網絡安全整體防禦能力;第三,變被動防護為主動防護,變靜態防護為動態防護,變單點防護為整體防控,變粗放防護為精準防護;第四,重點保護關鍵信息基礎設施、重要信息系統和大數據安全;第五,全力推動網絡安全產業、企業快速健康發展,打造世界一流的企業;第六,堅決落實“同步規劃、同步建設、同步運行”網絡安全保護措施的“三同步”要求。

中國工程院沈昌祥院士

  來自中國工程院沈昌祥院士,以《重啟可信革命 夯實網絡安全等級保護基礎》的精彩演講,指出,國家等級保護制度2.0標準要求全面使用安全可信的產品和服務。這是因為設計IT系統不能窮盡所有邏輯組合,必定存在邏輯不全的缺陷,利用缺陷挖掘漏洞進行攻擊是網絡安全永遠的命題。當下進入了可信計算3.0新時代,要實現關鍵信息基礎設施可信保障、雲計算可信安全架構、物聯網環境安全架構、可信計算環境、工控安全等多維度安全。

公安部信息安全等級保護評估中心馬力副研究員

  公安部信息安全等級保護評估中心馬力副研究員以《網絡安全等級保護2.0主要標準介紹》分享,從網絡安全等級保護2.0標準的特點和變化、網絡安全等級保護2.0標準的框架和內容兩個方面進行了分享,在變化特點方面,新標準以“安全通用要求+新型應用安全擴展要求”組合要求,新標準“基本要求、設計要求和測評要求”分類框架統一,形成了“安全通信網絡”、“安全區域邊界”、“安全計算環境”和“安全管理中心”支持下的三重防護體系架構,新標準強化了可信計算技術使用的要求,把可信驗證列入各個級別並逐級提出各個環節的主要可信驗證要求。

  全情投入 踐行網絡安全等級保護2.0

  “等保制度對我們國家的網絡安全產業有着巨大的指導作用和推動作用,深信服CEO何朝曦在分享中首先強調,為各個行業網絡安全建設最為廣泛的所採用的方法論,很多用戶就能夠依據明確的標準進行系統化的安全建設。而推動的作用指的是等級保護標準以及相關標準的落地工作,有效推動了我們國家的網絡安全產業發展壯大。隨着等保2.0標準的發布,更是促進整個網絡安全產業的發展,同時,等級保護2.0在合規和技術實踐方面具備指導作用。如何落實《網絡安全法》的要求,等級保護2.0給出了較為詳細說明,等保2.0將成為《網絡安全法》最有效的抓手。”

深信服CEO何朝曦

  所有的網絡安全廠商其實都是等級保護制度推行的受益者,網絡安全廠商也有責任和義務投入到等級保護制度的落地當中去,安全廠商要根據網絡安全等級保護2.0的標準去發展安全技術,開發匹配的安全產品,全力做好網絡安全服務,幫助用戶建設不僅僅是合規,而且真正有效的網絡安全體系,這是所有的網絡安全廠商的責任。深信服認為需要做好三方面工作:

  第一,通過宣貫、培訓幫助用戶理解和應用等保方面的知識。

  第二,通過產品的創新,場景的適配,向用戶交付真正有效果的等保2.0方案。

  第三,廠商要和監管部門、評測機構和其他廠商通力協作,推進等保2.0工作不斷髮展。

  伴隨等保2.0的發布,深信服積極響應,全情投入,在四個大方向進行了加強,第一個,在雲計算的場景,專門研發了集成安全平台XSec,滿足了雲安全要求,用雲的方式來交付安全;第二個,等保2.0標準中提出要具備態勢感知能力,要求對新型攻擊分析的能力,要能夠檢測對重點節點及其入侵的行為,對各類安全事件進行識別報警和分析,為此深信服專門開發了應用於用戶內網的態勢感知系統,通過採集網絡流量、安全日誌、終端信息作為原始數據,使用人工智能的分析引擎,安全專家建立的安全模型,再搭配上威脅情報,實現了企業用戶內部網絡的安全狀況的實時分析,為用戶構建了一個全局可視的安全通報預警平台,有效提升了用戶的安全運營交流;第三個,等級保護2.0專門提到對惡意代碼進行防範要求,深信服開發了一整套防範勒索軟件的方案,在終端開發了基於人工智能的終端檢測響應平台EDR,代替傳統殺毒軟件,做到從風險預測、終端保護、攻擊檢測到響應整個安全閉環,同時,通過雲網關的聯動,還實現被勒索軟件橫向攻擊的監測和阻斷,從而實現對安全攻擊的全網快速處置和響應。第四個,等保2.0 技術要求和管理要求落地,對安全產品和安全管理制度持續運營,通過運營將等保2.0當中技術要求和管理要求,才能保證有效的落地,深信服通過安全服務中心,提供人機共智的安全託管服務,7×24小時持續為用戶提供保護和運營。

  寫在最後

      等級保護制度2.0國家標準的發布,是具有里程碑意義的一件大事,標志著國家網絡安全等級保護工作步入新時代。繼續深化實施《網絡安全法》,以這次標準的發布宣貫為契機,銳意進取,開拓創新,深化推進國家網絡安全等保制度,不斷提升網絡安全保護能力,為維護國家網絡安全,建設網絡強國做出新的貢獻。

,
網站內容來源http://safe.it168.com/網站內容來源http://safe.it168.com/

【精選推薦文章】

自行創業 缺乏曝光? 下一步"網站設計"幫您第一時間規劃公司的門面形象

網頁設計一頭霧水??該從何著手呢? 找到專業技術的網頁設計公司,幫您輕鬆架站!

評比前十大台北網頁設計台北網站設計公司知名案例作品心得分享

台北網頁設計公司這麼多,該如何挑選?? 網頁設計報價省錢懶人包"嚨底家"