安全與保護

离美国总统大选还有四天。上周三，政府官员发表了有关俄罗斯和伊朗黑客威胁的声明。第二天，将提供更多信息。 可以学习哪些全球企业知识课？ 10月21日，国家情报局局长约翰·拉特克利夫（John Ratcliffe）通知公众，俄罗斯和伊朗出于选举干扰而偷走了选民登记信息。尽管该数据是公开可用的，但有理论认为，窃取这些数据仅比购买便宜，或者与选民有关的违规行为使人们质疑选举结果的合法性。 一天后，联邦调查局和网络安全与基础设施安全局（CISA）发表了两项联合声明，为周三的紧急新闻发布会提供了更多细节。 其中包括伊朗部署的一些策略，例如使用窃取的数据向注册民主党人发送伪造的骄傲男孩电子邮件。拉特克利夫声称，这样做，伊朗试图使选民远离唐纳德·特朗普。他的一些同事不同意。 同样的警报还指责俄罗斯渗透了数十个州和地方政府的基础设施，包括航空网络。 相关：《 2019年国家安全趋势报告》 播种选举不确定性是俄罗斯和伊朗黑客的一种已知作法，尽管两国都坚决否认这一说法。作为回应，财政部对伊朗实施了制裁。 俄罗斯仍然不受惩罚。重要的是要注意，美国选举和选民制度本身并未遭到黑客入侵。 当前，导致选举日的主要网络威胁以错误信息宣传和对选举结果合法性的怀疑的形式出现。 对于外国特工来说，入侵选举系统并对其进行物理地添加，删除或更改投票。相反，这些外国运营商破坏了美国人的思想。他们在社交媒体上泄露了看起来合法且公开的质疑信息，使某些人不确定其准确性。 此外，竞选人员的设备，竞选网站和其他弹出式选举基础结构也容易出现漏洞。企业基础架构无法幸免于网络犯罪，其资源远远超过选举IT资源。 相关：p“不打算自动化我们的出路”：FBI的戴维·华莱士（David Wallace） 今年6月，美国财政部警告称，与俄罗斯政府有联系的俄罗斯黑客组织Evil Corp. 正在利用新的网络安全漏洞，因为人们越来越多地开始在家工作。这些黑客使用相同的基础设施通过勒索软件实施工厂内的网络犯罪，还可以使用相互连接的服务器清除数据或在计算机之间，部门之间以及组织之间传播感染。为勒索软件攻击而种植的种子有可能进入选举篡改领域。 最终，对投票准确性的普遍不信任可能会造成适当的损失。 FireEye威胁情报总监John Hultquist在6月发表了这一评论：“中断可能对结果影响很小。这可能对选举结果完全无关紧要

全球公司企业乃至全球社会都意识到网络安全的概念。个人身份信息（PII）数据泄漏，持续的个人网络钓鱼和基于状态的攻击者入侵都使网络安全成为普通人的关注焦点。 与过去几年相比，部分勒索软件付款使董事会的平均成员当然更加了解网络安全的价值。不做。 网络安全状况确实很强。正如《网络安全中心年终报告》所阐明的那样，近80％的社区认为网络安全的整体状态（即运营，弹性，合规性，意识等）正在改善。 但这当然要到今天结束。正如网络安全专家所知，这一切都是关于明天的。 明天将是熊。 几年中和年末的报告显示出对安全意识的持续关注和花费。网络安全主管似乎对迄今为止的回报感到满意。 但是，我们现在处于一个全新的世界中，大流行前的安全意识商并没有减少它。 p p p 组织中的每个人都知道所有新的威胁向量吗？ 《网络安全中心自动化报告》以一些关键要点为新内容。要做的事比做美元要多。 自动化攻击正在增加，全球大流行对预算的要求也不高。这意味着组织必须选择是否可以处理任何数量的网络安全自动化投资。 运气好的人正在选择自动化的方式，以更好地理解以下事实：尽管自动化最终可能会减少开销，但必须首先找到并增加进行自动化工作所需的人力资源。 关键问题： p p p 我们刚刚开始了零信任对话，我们也必须开始了SASE对话。我们在Okta的朋友有一个方便的图表，显示了零信任组织的四个级别。第一层是零级（无关系）。 普遍的看法是，全球大多数企业都处于零层或第一层。大多数人认为不到10％处于3级（最高级别）。 《网络安全中心年终报告》将展示一个事实，即75％的社区正在告诉我们他们如何不再担心并学会了热爱VPN。在家得分）。重要的是-社区的重要组成部分正处于为其组织确定IAM和PAM的前端。 因此，我们在建立零信任网络架构（ZTNA）方面还有很长的路要走。 ZTNA只是安全访问服务边缘（SASE）的一部分。 SASE并非全新。 Gartner于去年年底发布了对该概念的首次分析。解决方案提供商确实提供产品，并且市场的顶端是购买。 p p p p 如您所知，我们一直分享着网络安全已经从No Department变成了Known Department，以确保网络安全不会阻碍业务发展。 我们还涵盖了这样一个事实，即与董事会进行的网络安全预算对话不再必须基于恐惧，而应基于风险

在这个吉祥年即将结束之际，我们将介绍一些来自社区的预言。 Nannette Cutliff是太平洋服务信用联盟的CIO和CISO。她在最近的CSHub金融服务峰会上发表了有关在交易速度增加40％时阻止威胁矩阵的发言。 我们一直与Nannette保持联系，并最近询问了Nannette对2021年会发生什么的想法。如果您正在寻找有关如何轻松获得文本的信息，那么您来错了地方。 Nannette表示，即使经济状况有所好转，这对于网络安全主管来说也意味着大量工作。 值得注意的是Nannette讨论的一个关键问题是您的第三方合作伙伴的健康状况。因此，寻找安全供应商合作伙伴的7个关键关键特征可能是一个好时机。 2021年网络安全预测 塞斯·阿德勒（Seth Adler）：告诉我有关2021年的一件事 Nanette Cutliff：变化的速度将令人难以置信。 您对所有我们未完成的事情都有被压抑的需求。就远程工作者而言，我们有一个新的范式，即他们所做的事情从来没有做过。这带来了前所未有的全新风险。 这些功能只是被认为不可行，因为与它们远程执行相关的风险。它们现在正在远程发生。这对您的风险评分有什么影响？还是您的风险状况？ 塞斯·阿德勒（Seth Adler）：“但是，我已经这样做了四个季度。 好吧，我正在做的第一季度-我必须弄清楚。也许第二季度我做了调整-但是没有。我在第四季度学习我的东西吗？现在还好吗？” Nannette Cutliff：不，因为它像其他任何东西一样，还在继续发展。您现在正在做的所有事情，之所以这样做，是因为您处于生存模式。 您要确保自己可以生存并且一切都很好，等等。 我们正在回到新的常态。该新常态包括所有其他所有系统更新以及所有其他内容。 而且，对于您所有的供应商而言，所有它们也都受到影响或损害。他们是否在解决人才问题，系统问题以及其他交付问题？ 现在，基于这些关系度过难关的程度，您的所有集成点都可能受到影响或受损。您有完全失败的关系吗？您是否有遇到过重大问题的关系-您只是现在才意识到？而且您必须决定跳船，或者找到办法采取对策，直到它们可以恢复。 您怎么办？ 因此，更改级别（音量）正准备通过屋顶。考虑到要继续在线传播的信息速度的开始，请考虑所有这些因素。 考虑到Nannette的心态，请不要在本季度的第四季度中进行学习。检查您的卫生状

多亏一个人的蜜罐实验，一个已知的Windows漏洞才能被有效地检测到。 今年早些时候发现并修复的安全漏洞CVE-2020-1472仍在猖ramp。它被称为Zerologon，它的简单性非常独特。 它可以利用Netlogon的弱点来工作。 Netlogon是始终在线的Windows服务，使最终用户可以登录网络。脚本化黑客运行非常迅速，可以搜索未打补丁的Active Directory系统，并通过在某些Netlogon身份验证字段中添加数字零来利用弱点。 在微软发布其第一个补丁的一个月后的10月16日，独立研究人员Kevin Beaumont通过利用他维护的蜜罐来检测威胁，从而消除了黑客攻击。蜜罐通过故意设置漏洞来工作，以诱饵和识别网络安全威胁。通过使用未打补丁的诱饵服务器，Beaumont发现黑客可以通过更改管理员密码来对服务器进行后门操作。 从那里，黑客可以访问域控制器，管理员可以使用该域控制器在整个组织中创建和管理帐户。然后，黑客可以假冒连接到受影响网络的任何计算机，禁用Netlogon安全功能，并更改网络计算机的密码。 攻击只能在网络内部发生一次。内部威胁和网络钓鱼方案也可以利用Zerologon来快速感染整个企业网络。一旦进入内部，黑客就可以部署勒索软件，窃取数据，进行间谍活动和其他邪恶行为。 微软于2020年8月发布了第一个补丁程序，但并非没有问题。它涉及修改连接到企业网络的数十亿设备，这些设备会暂时暂停企业运营。临时修复程序只是强制启用Netlogon安全功能，因此Zerologon攻击无法将其关闭以潜入内部。 计划于2021年2月发布更强大的补丁程序。但是，微软预测新补丁程序将永久禁用某些设备上的常规身份验证程序。 相关：p特权拼凑而成 美国网络安全与基础设施安全局（CISA）警告，Zerologon目标包括政府网络，这可能会影响与选举相关的网络。 他们在10月16日发布的声明部分内容是：“虽然似乎并未选择这些目标，因为在接近选举信息的情况下，存储在政府网络中的选举信息可能会存在一些风险。 CISA知道在某些情况下此活动导致未经授权使用选举支持系统；但是，迄今为止，CISA没有证据表明选举数据的完整性受到了损害。” 从理论上讲，像Zerologon这样的威胁永远不会构成太大的问题。安装更新后，网络就安全了。 但是，实际上，更新并

p通过BISO进行业务支持\n\n房利美的BISO，唐·施密特（Don Schmidt）在CSHub秋季峰会上\n\n添加书签\n\n共同编织业务，InfoSec和技术\n\n在三个小组之间担任翻译\n\n减少并最终消除Shadow IT\n\n在整个企业中宣传安全的重要性\n\n每天每一分钟推动业务发展\n\n推荐的。

网络安全中心每周都会提供一周事件，以供社区考虑。最初，事件集中在配置错误，凭据填充，密码泄露，网络钓鱼，未经授权的访问，恶意软件和勒索软件方面。\n\n随着大流行的到来，到2020年第二季度，对医疗保健，教育，金融贷款和电子商务领域的祸害不断。\u003cbr\u003e\n\n2020年第3季度揭露了攻击美国政府和选举相关实体的全球州对手。勒索软件攻击，勒索软件付款和勒索软件即服务（RaaS）都是新闻。内部威胁以及更高级的社会工程技术都发生了。\u003cbr\u003e\n\n以下是本周事件在2020年第三季度的每个星期在网络安全中心上的显示方式：

道德黑客-有时被称为白帽黑客，最近参加了苹果的漏洞悬赏计划，并获得了不错的成绩。在三个月的时间里，以20岁的Sam Curry为首的五个黑客发现了55个漏洞。这些漏洞中有11个被认为是关键漏洞。\u003cbr\u003e他们的收益是多少？ $ 288,000还在增加。\n\n事实\n\n在他们越来越努力地在内部寻找漏洞之后，苹果于2016年制定了漏洞赏金计划。自此以来，该程序已向道德黑客奖励了数百万美元，这是一笔可喜的投资，相比之下，即使是单个恶意黑客的潜在成本也是如此。\u003cbr\u003e\n\n对于Curry的团队来说，进行这样的冒险是一项艰巨的任务。 Apple.com和iCloud。\u003cbr\u003e com负责25,000多台Web服务器。苹果还拥有7,000个其他唯一域名。库里和他的团队正面临挑战。\u003cbr\u003e他们发现的关键漏洞之一涉及苹果的iCloud平台，以及一个可通过电子邮件，窃取照片和其他有价值的信息传播的可蠕虫漏洞。另一个发现是通过强行强制进入Apple Distinguished Educator管理员帐户。从那里开始，进一步的内部网络渗透是可能的。\u003cbr\u003e发现后，道德黑客立即向Apple报告了这些漏洞。 Apple会在几天甚至几小时内（尤其是很快）在几天甚至几小时内修复了每个问题，这对于没有Apple健全的基础设施和资源的公司来说可能是困难的。\n\n相关：p为什么合作企业需要更好的方式来管理风险\n\n网络安全专家一致认为，苹果计算机具有广泛的安全性，但由于存在如此之大的漏洞，因此肯定存在漏洞。\u003cbr\u003e渗透测试或笔测试在内部进行管理。但是，这并不总是足够的。苹果公司的赏金计划以零工经济的形式众包业余爱好者和职业道德黑客，以填补空白。\u003cbr\u003e\n\n毕竟，与涉及赎金，公共关系灾难，停机时间延长，股票市场下跌或更糟的网络安全漏洞相比，即使最终向苹果黑客支付的最终报酬为500,000美元也是小菜一碟。\n\n得到教训\n\n俗话说：“每个公司现在都是科技公司。”如今，大多数公司都具有在线业务。\u003cbr\u003e他们使用第三方软件并创建和/或购买不可避免地包含弱点的基础结构。黑客也变得越来越老练。因此，赏金计划已成为公司网络安全工具箱中越来越

网络安全中心每周都会提供一周事件，以供社区考虑。最初，事件集中在配置错误，凭据填充，密码泄露，网络钓鱼，未经授权的访问，恶意软件和勒索软件方面。\n\n随着大流行的到来，到2020年第二季度，对保健，教育，金融贷款和电子商务领域的祸害不断。\u003cbr\u003e\n\n2020年第3季度揭露了攻击美国政府和选举相关实体的全球州对手。勒索软件攻击，勒索软件付款和勒索软件即服务（RaaS）都成为新闻。内部威胁以及更高级的社会工程技术都发生了。\u003cbr\u003e\n\n以下是本周事件在2020年第三季度的每个星期在网络安全中心上的显示方式：

与GRU有联系的俄罗斯网络犯罪组织Fancy Bear似乎负责美国联邦机构的入侵和数据盗窃。网络专家拼凑出线索，以获取对复杂攻击的更多见解。\n\n9月24日，网络安全与基础架构安全局（CISA）发布了一份报告，总结了其对范围广泛的联邦机构企业网络攻击的响应。\u003cbr\u003e受影响的机构尚未披露。\n\n通过获取CISA员工Microsoft Office 365用户名和密码来执行黑客攻击。尚未确定该信息是如何被破坏的。\u003cbr\u003e然后，黑客使用命令行工具导航和操纵Microsoft基础结构，潜入防火墙并以一种旨在逃避检测的方法执行黑客攻击。与新手黑客中常见的半自动化恶意软件工具不同，此漏洞的执行需要耐心和精确。换句话说，这些黑客不是业余爱好者。\u003cbr\u003e\n\n在过去的几个月中，恶意行为者能够利用可访问的应用程序和当前用户凭据来获得管理员访问权限。此访问被用来有条不紊地探索网络并利用多个漏洞，直到他们最终获得对该部门的虚拟专用网（VPN）服务器的访问权限。从那里开始，安装了其他多阶段恶意软件，使黑客可以绕过检测并创建新的本地帐户。\u003cbr\u003e最后，黑客从帐户目录中窃取了数据并将其压缩为两个.zip文件。由于黑客行为的复杂性，黑客是否能够窃取这些。\u003cbr\u003e zip文件仍然是一个谜。\n\n尽管CISA报告没有将花哨熊作为罪魁祸首，但它确实列出了攻击所涉及的IP地址。正如WIRED报道的那样，网络安全团队Dragos检查了发送给先前黑客攻击受害者的FBI通知以寻找线索-并找到了一些线索。\u003cbr\u003e当Drago将IP地址与8月以来的已知FBI Fancy Bear攻击进行比较时，他们发现了一个比赛。拉脱维亚以外的另一个IP地址与去年的能源部违规相匹配-也记入了花式熊。\n\n相关：p为第三方风险管理提供依据；是否遵循CISO建议？\n\n还有更多的IP地址与俄罗斯以外的其他已知网络犯罪活动相重叠。\u003cbr\u003e假定由国家资助的黑客正在利用外行黑客基础设施来创造合理的可否认性。\n\n泄露数据的性质是未知的。\n\n俄罗斯在美国的骇客努力已得到认可，而且还在持续进行。他们就是那样做的。但是值得一提的是，这种活动不仅还在继续，而且已经成功。\u003cbr\u0

与GRU有联系的俄罗斯网络犯罪组织Fancy Bear似乎负责美国联邦机构的入侵和数据盗窃。网络专家拼凑出线索，以获取对复杂攻击的更多见解。\n\n9月24日，网络安全与基础架构安全局（CISA）发布了一份报告，总结了其对范围广泛的联邦机构企业网络攻击的反应。\n\n通过获取CISA员工Microsoft Office 365用户名和密码来执行黑客攻击。尚未确定该信息是如何被破坏的。\u003cbr\u003e然后，黑客使用命令行工具导航和操纵Microsoft基础结构，潜入防火墙并以一种旨在逃避检测的方法执行黑客攻击。与新手黑客中常见的半自动化恶意软件工具不同，此漏洞的执行需要耐心和精确。换句话说，这些黑客不是业余爱好者。\u003cbr\u003e\n\n在过去的几个月中，恶意行为者能够利用可访问的应用程序和当前用户凭据来获得管理员访问权限。此访问被用来有条不紊地浏览网络并利用多个漏洞，直到他们最终获得对该部门的虚拟专用网（VPN）服务器的访问权限。从那里开始，安装了其他多阶段恶意软件，使黑客可以绕过检测并创建新的本地帐户。\u003cbr\u003e最后，黑客从帐户目录中窃取了数据并将其压缩为两个.zip文件。由于黑客行为的复杂性，黑客是否能够窃取这些。\u003cbr\u003e zip文件仍然是一个谜。\n\n尽管CISA报告没有将花哨熊作为罪魁祸首，但它确实列出了攻击所涉及的IP地址。正如WIRED报道的那样，网络安全团队Dragos检查了发送给先前黑客攻击受害者的FBI通知以寻找线索-并找到了一些线索。\u003cbr\u003e当Drago将IP地址与8月以来的已知FBI Fancy Bear攻击进行比较时，他们发现了一个比赛。拉脱维亚以外的另一个IP地址与去年的能源部违规相匹配-也记入了花式熊。\n\n相关：p为第三方风险管理提供依据；是否遵循CISO建议？\n\n还有更多的IP地址与俄罗斯以外的其他已知网络犯罪活动相重叠。\u003cbr\u003e假定由国家资助的黑客正在利用外行黑客基础设施来创造合理的可否认性。\n\n泄露数据的性质是未知的。\n\n俄罗斯在美国的黑客攻击行动得到认可，而且还在持续进行。\u003cbr\u003e正如德拉戈斯的乔·斯洛维克（Joe Slowik）所说，“俄罗斯情报机构试图渗透到美国政府中，这当然不足为奇。他们

p运动安全\n\n加入我们进行互动活动\n\n添加书签\n\n名为“运动中的安全性”的虚拟事件重点在于保护现代端点。全球企业一直以来都被重新设计为具有移动性的姿态。作为回应，Summit提出了与CISO相关的关键问题，这些问题将继续演变为确保该移动现实的发展。\u003cbr\u003e\n\n于2020年12月2日举行，Security in Motion是一个交互式虚拟事件，展示了关键实践，案例研究和政策，旨在保护从现代端点访问的数据，超越对手并在集体新威胁格局中获得真实可见性。\n\n为了应对全球大流行中网络攻击的数量，复杂性和影响，网络安全中心和移动安全领域的领导者Lookout召开了虚拟峰会，会议主题是网络钓鱼，挑战和机遇安全和零信任等。\n\nLookout于6月发布的最新报告显示，到2020年第一季度，移动网络钓鱼的数量增加了37％，对于拥有10,000个移动设备的组织，每次事件造成的损失高达3500万美元。\u003cbr\u003e\n\n这次虚拟峰会将在三个时区举行，使全球的网络安全主管可以参加并听取同行的意见，以应对迅速发展的威胁环境。与会者将有机会在每次会议结束时与行业专家一起参加实时问答，并进行交流和聊天。\n\n关键主题包括：\n\n从一线：对您的机动舰队的威胁\n\n网路钓鱼了吗？黑客如何使用移动设备作为诱饵\n\n安全性与\u003cbr\u003e隐私：为什么不能拥有全部？\n\n零信任？不要忘记你的机动舰队\n\n移动安全新指南\n\n风险业务：管理应用程序和移动漏洞\n\n初步了解移动EDR：行动中的威胁搜寻\n\n保护远程劳动力\n\n现代端点安全的未来：挑战与机遇\n\n与我们一起参加一次互动活动，展示通过现代端点控制数据，超越对手并在我们的集体新威胁格局中获得真实可见度的关键要点。\n\n现在注册！\n\n由...赞助：\n\n推荐的。

[已公开的记录：未公开行业：政府服务提供商攻击类型：勒索软件/感知黑客]\n\n随着选举日的临近，正在出现明显令人不安的趋势。勒索软件攻击，特别是针对政府实体的勒索软件攻击，以惊人的速度增长。 9月的前两周带来了七个新的成功的美国\u003cbr\u003e政府勒索软件攻击。\n\n9月24日，Tyler Technology发布声明，宣布他们是该勒索软件大潮的最新受害者。\u003cbr\u003e在发布之时，Tyler向用户保证：“所有迹象表明，此事件的影响仅限于我们内部公司网络和电话系统，对我们为客户托管的软件没有影响。”\n\n但是，随着调查的继续，Tyler客户正在报告可疑活动，例如与Tyler Technology服务产品有关的未经授权的登录尝试和未经授权的软件安装。尽管Tyler仍然对违规的程度保持沉默，但其重要性的进一步证据在于Tyler更新的声明中，部分内容是：“由于我们收到了多次对客户端系统进行可疑登录的报告，因此我们认为应实施预防性密码重置\u003cbr\u003e如果客户尚未这样做，我们强烈建议您在远程网络访问上重置Tyler人员的密码，以及Tyler人员将用于访问您的应用程序的凭据（如果适用）。”\n\n相关：p 10安全供应商合作伙伴的关键特征\n\n尽管泰勒技术公司不是政府机构，但它是为地方政府提供服务的管理解决方案。美国有20多个政府机构利用Tyler Technology软件来收集和报告在选举之夜播出的选举票。不幸的是，由于遍布美国各地的混乱和混乱，景观十分盛行。\n\n进一步的证据表明，这可能是实现暴利目的的最终手段，这是实施Tyler Technology勒索软件黑客的黑客团体。 。\n\n虽然事后看来一定是20/20，但美国公众可以从过去制造混乱的类似尝试中吸取教训。六年前，乌克兰总统大选几乎以一次成功的知觉破解而告终。\u003cbr\u003e也就是说，在2014年，民意调查关闭前不到一个小时，乌克兰官员发现并删除了不正确地展示极右翼候选人的恶意软件。夜间新闻选举的获胜者。 （有趣的是，该图像仍在俄罗斯播出。）\n\n相关：《 2019年国家安全趋势报告》\n\n随着美国人努力从小说中寻找事实，俄罗斯可能会充分利用。\u003cbr\u003e如先前报道，俄罗斯政府以赞助和鼓励自由黑客从事勒索软件而闻名。政府的双赢是情报