安全资讯报告
网络数据安全管理将迎来新规
人脸作为敏感个人信息,一旦泄露容易对个人的人身和财产安全造成极大危害,甚至还可能威胁公共安全。但此前,一些小区物业、经营场所将人脸识别作为出入的唯一验证方式;一些手机APP等因用户不同意提供非必要个人信息,而拒绝用户使用其基本功能……这些问题有望得到规制。
近日,国家互联网信息办公室就《网络数据安全管理条例(征求意见稿)》(以下简称《意见稿》)向社会公开征求意见,意见反馈截止时间为2021年12月13日。
《意见稿》提出,数据处理者利用生物特征进行个人身份认证的,应当对必要性、安全性进行风险评估,不得将人脸、步态、指纹、虹膜、声纹等生物特征作为唯一的个人身份认证方式,以强制个人同意收集其个人生物特征信息。
新闻来源:
http://news.youth.cn/gn/202111/t20211118_13314900.htm
CISA发布政府网络安全事件和漏洞响应手册
网络安全基础设施和安全局周二为联邦民事机构推出了两本手册,用于规划和实施网络安全漏洞和事件响应。
这份长达40页的联邦政府网络安全事件和漏洞响应手册源于拜登总统5月关于改善国家网络安全的行政命令中的一项指令。该命令是在联邦系统和美国关键基础设施发生一系列引人注目的违规行为之后发布的。
根据CISA,这些手册适用于联邦民事机构以及承包商或代表联邦民事机构的其他组织使用的信息系统。CISA在宣布这些手册时表示,联邦民事机构“应该使用这些手册来塑造他们的整体防御网络行动。”手册为联邦民事机构提供了一套标准程序,以识别、协调、补救、恢复和跟踪影响联邦民事系统、数据和网络的事件和漏洞的成功缓解措施。
手册概述了若干标准化流程和程序,包括促进受影响组织之间更好的协调和响应;能够跟踪跨组织的成功行动;允许对事件进行编目以更好地管理未来事件并指导分析和发现。各机构应使用这些手册来帮助塑造整体防御性网络行动,以确保一致有效的响应和响应活动的协调沟通。
这些剧本还涉及由联邦民事机构发起的响应活动——例如检测可疑的恶意活动或漏洞——以及由CISA或其他第三方(包括情报机构、执法或商业组织和承包商)发起的响应活动。
新闻来源:
https://www.nextgov.com/cybersecurity/2021/11/cisa-launches-government-cybersecurity-incident-and-vulnerability-response-playbooks/186869/
部分APT组织正在转向勒索软件活动
微软详细介绍了六个APT黑客组织的活动。微软在报告里称,部分APT组织对勒索软件表现出越来越大的兴趣,黑客组织正在使用勒索软件来收集资金或破坏他们的目标。
微软跟踪的Phosphorus(其他人称之为APT35),过去两年,微软一直在与该集团玩猫捉老鼠的游戏。虽然最初以网络间谍活动而闻名,但微软详细介绍了该组织在目标网络上部署勒索软件的策略,通常使用微软的Windows磁盘加密工具BitLocker来加密受害者文件。
其他网络安全公司去年检测到APT组织使用已知的Microsoft Exchange漏洞在电子邮件服务器和Thanos勒索软件上安装持久性网络外壳的勒索软件有所增加。据微软称,Phosphorus还针对未打补丁的本地Exchange服务器和Fortinet的FortiOS SSL VPN,以部署勒索软件。
2021年下半年,该组织开始扫描被称为ProxyShell的四个Exchange漏洞,微软在4月份发布了针对CVE-2021-26855、CVE-2021-26857、CVE-2021-26858和CVE-2021-27065的补丁。ProxyLogon是构成ProxyShell的几个漏洞之一。
安全专家报告指出Phosphorus在服务器上使用BitLocker,在PC上使用DiskCryptor。他们的活动之所以引人注目,是因为它不依赖在网络犯罪分子中流行的勒索软件即服务产品,也没有创建自定义加密器。微软威胁情报中心(MSTIC)在一篇博文中指出:“在破坏初始服务器(通过易受攻击的VPN或Exchange服务器)后,攻击者横向移动到受害网络上的不同系统,以获得对更高价值资源的访问。”
新闻来源:
https://www.zdnet.com/article/now-irans-state-backed-hackers-are-turning-to-ransomware/
安全漏洞威胁
美国和英国警告APT黑客利用Microsoft Exchange和Fortinet漏洞
美国、英国和澳大利亚的网络安全机构今天警告称,与中东某国有关联的APT组织利用了Microsoft Exchange ProxyShell和Fortinet漏洞。
该警告是作为网络安全和基础设施安全局(CISA)、联邦调查局(FBI)、澳大利亚网络安全中心(ACSC)和英国国家网络安全中心(NCSC)发布的联合咨询发布的。
“FBI和CISA观察到,这个APT组织至少自2021年3月起就利用Fortinet漏洞,至少自2021年10月起利用Microsoft Exchange ProxyShell漏洞,以便在后续操作(包括部署勒索软件)之前获得对系统的初始访问权限,”CISA说。
攻击重点是美国关键基础设施部门(例如,交通、医疗保健)和澳大利亚组织。他们的目标是从关键部门获得对目标的初步访问权,这些目标后来可能被用于其他恶意目的,包括数据泄露、勒索软件部署和勒索。
CISA和FBI还分享了有关攻击实例,包括:
- 2021年3月,FBI和CISA观察到这些APT参与者在端口4443、8443和10443上扫描Fortinet FortiOS漏洞;
- CVE-2018-13379的设备,并枚举FortiOS漏洞CVE-2020-12812和CVE-2019-5591;
- 2021年5月,这些APT攻击者利用Fortigate设备访问托管美国市政府域的网络服务器。攻击者可能使用用户名elie创建了一个帐户,以进一步启用恶意活动;
- 2021年6月,这些APT攻击者利用Fortigate设备访问与一家专门从事儿童医疗保健的美国医院相关的环境控制网络。APT攻击者从IP地址154.16.192[.]70访问了医院的已知用户帐户;
- 截至2021年10月,这些APT攻击者利用Microsoft Exchange ProxyShell漏洞(CVE-2021-34473)在后续操作之前获得对系统的初始访问权限。
新闻来源:
https://www.bleepingcomputer.com/news/security/us-uk-warn-of-iranian-hackers-exploiting-microsoft-exchange-fortinet/