普普安全资讯一周概览(0806-0812)

作者:

时间:
2022-08-12
01

网络安全:公用事业公司绝不能忽视的主题

首先,俄乌冲突将重新绘制了地缘政治版图。在地缘政治上,本世纪的紧张局势并未加剧。在乌克兰,网络攻击与导弹袭击、步兵推进和炮火同时使用,并与它们分开使用。据称,西方国家因向乌克兰提供军事和财政援助而成为俄罗斯的目标。尽管可以理解,动能战一直是今年的重点,但网络攻击无疑在入侵之后变得更具威胁性。 

首先,此次入侵重将新绘制了地缘政治版图。地缘政治方面,本世纪的紧张局势从未如此之高。在乌克兰,除了导弹袭击、步兵推进和炮火袭击外,甚至各方都还使用了网络攻击。由于西方国家向乌克兰提供军事和经济援助,可能成为攻击目标。虽然可以理解的是,动态性战争是今年的焦点,但网络攻击无疑在入侵之后成为了更大的威胁。

其次,我们看到了能源电力公司的重要性。随着能源价格的上涨(主要是由石油和天然气价格上涨推动),我们看到全球通货膨胀严重,供应链中断,甚至行业衰退。然而,最糟糕的还没有到来。

普普点评:

如今,在一个日益紧张和地缘政治复杂的世界中,网络安全对于电力公司来说至关重要。如果他们之前没有认真对待,之前美国电力公司被攻击以及当前的俄乌冲突所引发的相关事件,已经清楚地表明了为什么网络安全对电力公司至关重要。


02

网络安全漏洞管理的探索与实践

对于如何化解风险,习近平总书记在《关于〈中共中央关于制定国民经济和社会发展第十四个五年规划和二〇三五年远景目标的建议〉的说明》中指出,“我们必须坚持统筹发展和安全,增强机遇意识和风险意识,树立底线思维,把困难估计得更充分一些,把风险思考得更深入一些,注重堵漏洞、强弱项,下好先手棋、打好主动仗,有效防范化解各类风险挑战,确保社会主义现代化事业顺利推进。

对漏洞而言,有效的漏洞管理可以及早地发现漏洞并遏制漏洞利用事件的发生,能显著降低企业面临的风险。近年来,国家网络空间法律法规密集出台,2021 年,《网络产品安全漏洞管理规定》《网络产品安全漏洞收集平台备案管理办法(征求意见稿)》相继发布,对漏洞管理工作进行了明确的规范。

普普点评:

明确各级网络安全责任人。按照“谁主管谁负责、谁建设谁负责、谁运行谁负责、谁使用谁负责、管业务必须管安全”的原则,设置专门安全管理机构和安全管理人,明确各级单位的网络安全主要负责人和直接责任人,对网络安全关键岗位建立人员清单,定期对专门安全管理机构负责人和关键岗位人员进行安全背景审查。

03

测评机构业务范围和工作要求及风险控制

从事等级测评工作的机构及其人员应当遵守国家有关法律法规,依据国家有关技术标准和《TRIMPS-SC13-001:2021 网络安全等级测评与检测评估机构服务认证实施规则》的相关规定,开展客观、公正、安全的测评服务,不得从事危害国家安全、社会秩序、公共利益及被测单位利益的活动。

测评机构应当按照公安部统一制定的《网络安全等级测评报告模版》规定的格式出具测评报告,根据网络规模和所投入的成本合理收取测评服务费用。

测评机构应严格按照网络安全等级保护标准规范独立开展等级测评工作,依据《网络安全等级测评报告模版》出具网络安全等级测评报告,确保测评质量,全面、客观地反映被测网络的安全保护状况。

测评机构开展测评项目不受地域、行业限制。等级测评机构应在测评项目合同签订及项目完成后5个工作日内,向受理网络备案的公安机关报告等级测评项目的有关情况。

普普点评:

测评项目实施过程中,等级测评机构应接受等保办的监督、检查和指导。测评项目完成后,等级测评机构应请被测评网络运营者对测评服务情况进行评价,评价情况由被测单位反馈至等保办。等级测评机构应定期向等保办报送测评工作开展情况。根据测评实践,于每年年底编制并报送网络安全状况分析报告。

04

过去一年里,游戏行业的网络攻击爆增167%

根据网络安全公司Akamai的一份最新的报告,过去一年,针对游戏行业的网络攻击增加了 167%。Akamai本次名为Gaming Respawned针对游戏行业的研究发现美国是攻击者的主要目标,其次是瑞士、印度、日本、英国等欧洲和亚洲国家。

根据Akamai的数据,游戏行业是全球遭受分布式拒绝服务(DDoS)攻击最多的行业,占全球所有DDoS攻击的35%,对此,Akamai 媒体和娱乐行业高级策略师 Jonathan Singer说,“随着游戏活动的增加和演变,通过网络攻击破坏游戏活动的价值也在增加。网络犯罪分子通常会破坏实时服务并使用凭证来窃取游戏资产。此外,随着该行业向云游戏领域的扩张,新的威胁面已经为攻击者打开了大门,新玩家数量的增加更是成为了威胁行为者的主要目标。”

普普点评:

云游戏虽然在持续增长,但游戏行业的整体攻击面也在不断增长,游戏行业其他有利可图方面的增长将是吸引威胁行为者发起攻击的诱因之一。例如,微交易对网络犯罪分子具有巨大吸引力,他们可以利用游戏玩家的消费能力和虚拟资产的可替代性。“网络犯罪分子清楚游戏的价值,他们将继续寻找获取它或利用虚拟资金流动的方法。”

05

都说区块链“安全”,为什么 DeFi 黑客如此猖獗?

区块链是存储不同数据类型的分布式共享账本。例如,我们可以使用区块链来记录非同质代币 (NFT) 的所有权,当然还有加密货币交易。

尽管传统数据库可以轻松存储相同的信息,但区块链的独特之处在于没有集中的权限。它永远不会由中心化管理员在一个位置进行维护,例如 Excel 电子表格,一个人可以在没有监督的情况下进行更改。

大多数节点必须在将新数据块添加到分类帐之前验证新数据的合法性。因此,理论上,任何人都几乎不可能进行欺诈交易。这是因为威胁者必须侵入每个节点并更改分类帐的每个副本以避免被发现。

虽然这不一定是不可能的,但这对黑客来说是一个巨大的挑战。此外,当您将一层权益证明 (PoS) 或工作量证明 (PoW) 交易验证方法添加到组合中时,欺骗系统变得极其困难。

普普点评:

尽管安全事件过去发生过,而且将来肯定会发生,但DeFi团队都应该化被动为主动,永远将智能合约的安全性放在第一位,让自己远离头条新闻。唯有不断进步的安全性,才能稳固DeFi在行业中的强大地位。

06

从近期村镇银行事件看村镇银行的金融科技安全

2022年7月10日许昌市公安局的警情通报:“...2011年以来,以犯罪嫌疑人吕奕为首的犯罪团伙通过河南新财富集团等公司,以关联持股、交叉持股、增资扩股、操控银行高管等手段,实际控制禹州新民生等几家村镇银行,利用第三方互联网金融平台和该犯罪团伙设立的君正智达科技有限公司开发的自营平台及一批资金掮客进行揽储和推销金融产品,以虚构贷款等方式非法转移资金,专门设立宸钰信息技术有限公司删改数据、屏蔽瞒报...”

2022年7月18日据中国银行保险报报道,公安机关已初步查明河南安徽5家村镇银行案件主要事实,河南新财富集团操纵河南、安徽5家村镇银行,通过内外勾结、利用第三方平台以及资金掮客等方式非法吸收并占有公众资金,篡改原始业务数据,掩盖非法行为。该案件中村镇银行通过三方平台以及微信小程序,大量异地揽储,资金高达400亿元,其中线上揽储约300亿,而线下储户资金有100亿。

普普点评:

此次事件不仅暴露了银行内部管理及外部监管等方面的巨大漏洞,而且金融科技管理方面的缺陷也对此事件发展起到了推波助澜的作用。本文从村镇银行的金融科技安全的角度来看村镇银行如何来进行金融科技风险管理。

07

如何应对数字资产海啸

互联网协议(IP)地址及其背后的设备、网络服务和云资产是现代企业的生命线。但公司经常积累数千个数字资产,无序的状态给IT和安全团队造成了无法管理的混乱。如果不仔细地加以检查,一个被遗忘、遗弃或未知的数字资产对于公司来说就是网络安全定时炸弹。

这当中存在一种可能:它们是您组织基础设施中增长最快的部分。有效的数字资产管理——包括IP地址可见性——是您阻止攻击者对网络资产发动攻击的最基础也是最有效的途径。

在过去的二十年里,安全团队一直专注于解决内部资产风险。面向公众的数字资产和IP地址是“非军事化区”的一部分,“非军事化区”是一个防御的强化但非常有限的周边地区。但在全球大流行和随之而来的居家办公趋势的推动下,数字化转型随之而来,网络边界变得不再清晰,都需要让位于当今一切托管服务的现代架构。

普普点评:

数据安全是头等大事,我认为,保护IP地址和连接资产应该采取更现代的管理方法,这样就可以在问题出现之前解决这些问题。在当今复杂的企业中,系统管理员通常只能看到他们负责管理的设备子集。如果资产不在您的雷达屏幕上,您将无法真正地降低风险。