普普安全资讯一周概览(0930-1006)

作者:

时间:
2023-10-06


01

攻击者开始使用 XLL 文件进行攻击


近期,研究人员发现使用恶意 Microsoft Excel 加载项(XLL)文件发起攻击的行动有所增加,这项技术的 MITRE ATT&CK 技术项编号为 T1137.006。这些加载项都是为了使用户能够利用高性能函数,为 Excel 工作表提供 API 调用接口。与 VBA 等其他接口相比,该方式能够更有效地扩展 Excel 的能力,使其支持更多功能,例如多线程。现在,攻击者也滥用这项技术来达成自己的恶意目标。攻击者将带有恶意 XLL 附件或者恶意链接的电子邮件发送给用户,受害者点击附件打开 Microsoft Excel 后会提示其安装并激活加载项。攻击者通常将代码置于 xlAutoOpen函数中,该函数会在加载项被激活时立即触发执行。这意味着,与要求用户启用宏的 VBA 宏不同,受害者只要打开就会执行恶意代码。由于 XLL 是可移植的可执行文件,许多电子邮件网关都会拦截该格式的文件或者仅允许受信任签名的加载项。因为 XLL 恶意文件的快速增长,我们在地下犯罪论坛上进行了相应的调查,评估使用这种文件格式的恶意工具和服务的流行程度。


普普点评

Microsoft Excel 提供了许多合法执行代码的方式,如 Excel 4.0 宏、DDE 和 VBA,这些都已经被攻击者滥用。近期,研究人员发现,Dridex、Agent Tesla、Raccoon Stealer 和 Formbook 等恶意软件家族也开始利用 XLL 文件进行传播。利用 XLL 文件攻击的数量增长,表明攻击者对这种技术很感兴趣。





02

如何建立对 SaaS 数据保护的权责?

数据保护和有关遵守数据法规的事项需要在组织内部拥有明确的权责。责任最终会落在首席信息官(CIO)的身上,但随着企业的 IT 和数据管理的需求变得愈加复杂,向 CIO 汇报的团队中的权责可能会变得分散和混乱。鉴于过去十年间软件即服务(SaaS)的巨大增长,以及在新冠疫情期间的显著加速增长,SaaS 已成为这些权责界限变得模糊的一个很好的例子。Gartner的数据显示,SaaS是更广泛的公共云服务中的最大子集,是组织在执行其数字战略时能力方面的关键组成部分。但是,由SaaS 作为其重要组成部分的数字化转型(DX)是以现代数据保护为基础的,即能够跨物理、虚拟、云、SaaS 和 Kubernetes 环境备份、保护和恢复数据。《Veeam2021数据保护报告》发现,在诸多管理层的看来,数据保护的各种挑战阻碍了数字化的转型——全球58% 的组织的数据可能未受到保护。保护 SaaS 数据是一项艰巨的工作。设想一下某大型组织的 Microsoft 365 配置所产生的数据规模,此数据中的大部分极有可能是机密的、敏感的,并且包含对业务运营至关重要的信息。

普普点评

Veeam的研究发现了诸如在容器中备份 SaaS数据和使用第三方工具等问题上的一些困惑。SaaS 管理员比备份管理员更有可能单独存储在容器上运行的应用程序的状态数据,并将其备份到容器上,并且更有可能使用第三方工具备份容器数据。然而较高比例的备份管理员错误地认为,他们的容器化应用程序不包含需要备份的有状态数据。






03

构建云原生安全的6个重要能力

云原生安全作为一种新兴的安全理念,不仅解决云计算普及带来的安全问题,更强调以原生的思维构建云上安全建设、部署与应用,推动安全与云计算深度融合。以下是需要关注的6个云原生安全重点能力:1) 身份和访问管理(IAM)。在云上实施IAM有助于确保企业开发人员、客户其他合作伙伴高效、安全地访问服务和数据;(2) 供应链安全。供应链具有很大的攻击面,解决此问题的最简单方法之一是取消供应商对数据的访问权限;(3)  API安全。企业安全团队应努力将API安全性集成到Web和基于云的应用程序开发过程中;(4) 秘密凭证管理。秘密凭证可以涵盖普通、特殊的密码规则,以及安全密钥、令牌、访问代码,甚至是物理秘密;(5) 云安全态势管理。云安全态势管理是确保云配置正确的有用工具;(6) 社会工程安全。在社会工程场景中,攻击者会操纵他们的目标输入可能导致数据泄露的信息。

普普点评

云安全正在不断演进,更新的技术将进一步增强安全性。但是,通过践行最佳安全实践并创建集成的安全策略,企业将更加安全。继续监控行业发展趋势并实施上述一些策略,将能够解决基于云的组织所面临的诸多现代威胁。





04

大数据时代下,兼顾安全和效率是一道无解的难题吗?

随着云计算、大数据、物联网、移动互联网等新技术的广泛应用,使得我们对海量数据处理和分析的能力大幅提高,一个全新的数据驱动的数字化社会已经加速到来。与此同时,大数据的快速发展也带来了新的安全问题,给社会带来了新的挑战。从宏观层面而言,大数据安全已经影响到国家安全的方方面面,从个人层面而言,大数据时代的到来,对个人也造成了巨大的安全风险。首先在宏观层面上,数据安全事件造成的影响逐渐深入扩展到国家政治、经济、民生不同层面,涉及国家关键信息基础设施、工业商业系统等各个方面。其次在个人层面上,黑产集团对个人权益的侵扰,虚假广告对个人的骚扰,大数据杀熟和算法作恶等。

普普点评

在大数据时代,安全与效率,就像硬币的两面,彼此相对又相连,你中有我、我中有你,不能完全割裂。只有充分认识到两者的辩证关系,并加强安全管理,就能让数据发挥出应有的价值,在大数据时代,让数据为人类服务。




05

SaaS安全态势管理的六大挑战

鉴于如今的安全威胁不断变幻,企业对相关SaaS应用实施态势管理策略至关重要,可以让安全团队根据需要进行安全策略的动态调整。如果企业在研究构建SaaS安全态势管理,需要特别关注以下六个方面的挑战。挑战一:安全策略的有效执行。SaaS服务提供商通常会为客户制定一些安全策略。SaaS安全态势管理需要清晰了解这些策略是否都被有效执行;挑战二:有效的配置管理。企业需要落实适当的配置管理,以便跟踪SaaS平台及服务器上出现的所有更改;挑战三:安全态势评估。安全态势评估将帮助企业找出安全态势中的可能弱点,并及时加以修复;挑战四:安全监控与响应。这将帮助企业确定是否存在威胁,并快速做出响应;挑战五:及时更新安全策略。如果企业不时常更新安全策略,将无力防御未来出现的新威胁;挑战六:对新威胁保持警惕。保护企业免受在线威胁的最佳方法是,对新威胁保持警惕。

普普点评

如果企业正在使用一个或多个SaaS平台,那么实行SaaS安全态势管理将是该企业整体安全计划中的关键组成部分。SaaS代表“软件即服务”,意味着业务系统没有安装在本地,需要通过互联网来访问。因此,企业不能仅仅依靠服务提供商为自己做好安全防护工作,而且针对各种挑战指定相应对策。



06

什么是合成身份欺诈?

合成身份欺诈是指犯罪分子利用真实的信息,去伪造出某个身份的行为。他们并不是假扮他人,而是通过拼凑偷窃来的信任凭证,假扮成并不存在的人员,进而获得某些权限,这些伪造的身份往往不会立即引起反身份欺诈监控系统的察觉。防止合成身份欺诈的最佳方法是保护您的个人识别信息。首先,请针对你所有的在线帐户,使用强大、复杂且唯一的密码机制。通常,多因素身份验证(MFA)可以阻止99.9%的自动化攻击。毕竟,相比单因素身份验证(SFA),MFA可以结合两个或三个独立的信任凭证,即:用户知道什么,用户有什么,以及用户是什么。其次,请千万不要将个人信息泄露给未知的来源,并且仔细检查填写个人信息的必要性。同时,请不要点击那些号称“异常紧急”的邮件、及其邮件正文中的链接。黑客通常会以这种方式诱惑您点击,并跳转到“收割”网站上,套取您的真实身份信息。

普普点评

身份盗用虽然是早在互联网诞生之初就已经出现了的长期问题,但是在如今疫情反复的全球环境下,显得尤为突出和棘手。与此同时,伴随着攻防技术的不但迭代与发展,黑客窃取个人信息的手段和方式也在不断进步。合成身份欺诈由此应运而生。




07

五大入侵防御系统(IPS)趋势

入侵防御系统(IPS)已经存在一段时间了。几十年来,这项技术不断发展。曾经对IPS与入侵检测系统(IDS)进行了很大区分。如今,两者都倾向于包含在同一个产品中。以下是IPS市场的五个主要趋势:1、人工智能的结合。人工智能是一种强大的工具,不仅可以用来检测现有威胁,还可以用来检测新的和不断演变的威胁;2、融入更大的套件。将IPS工具本身打包到更大的包罗万象的安全套件中的趋势也在不断增长;3、勒索软件预防。随着勒索软件成为威胁,组织开始意识到他们必须有适当的工具来防止勒索软件的入侵;4、扩展防御周长。纵深防御已成为新常态,它需要多层安全控制,以提高如果一层被击败,另一层将识别并阻止攻击的可能性;5、云与本地IPS。扩展检测和响应(XDR)套件提供广泛的基于云的端点保护,并包括IPS功能。

普普点评


IPS是防止黑客入侵来提供网络安全的软件或硬件,此类工具持续监控网络活动,通过搜索可疑和恶意活动,并采取行动检测和防止入侵或破坏。在单功能IPS工具的时期,只要在网络边缘保持警惕并防止任何东西渗透,您就可以安全。那些日子已经一去不回。