网络安全快照:Log4j纪念日,CI / CD风险,Infostealers,电子邮件攻击,不安全

获得最新的周年Log4j危机;OWASP顶级CI / CD风险;的infostealer恶意软件;基金转移欺诈——商业电子邮件妥协连接;和更多!

深入六事介意12月9日当周的顶部。

1 - Log4j危机一年后,我们学到了什么?

这是在去年的这个时候,零日Log4Shell漏洞的发现在无处不在的Log4j开源组件发送冲击波通过它的世界和网络安全。

一年后,我们从最近公布的站得住脚的遥测技术研究Log4j的Log4Shell在很大程度上仍然是一个问题。站得住脚的发现,截至2022年10月1日:

• 72%的组织仍然容易受到Log4Shell。
• 脆弱的资产的29%看到Log4Shell完全修复后的重新引入。
• 近三分之一的北美组织完全矫正Log4j(28%),其次是欧洲、中东和非洲(27%)、亚太(25%)和拉丁美洲(21%)。

这Log4Shell问题持续多长时间?7月,美国网络安全审查委员会发表了50页的报告Log4j事件,关键是Log4Shell是一个“流行漏洞”,会在十年或者更长时间。

鉴于这一现实,几乎不可避免的爆发另一场危机Log4j的大小,我们问站得住脚的CIO帕特里夏·格兰特和全封闭罗伯特·胡贝尔的见解和建议,以帮助其和网络安全领导人应对脆弱性和威胁,呼吁“甲板上所有的手”反应。

他们的建议包括:

• 培养和保持常数和开放的CIO之间的合作和沟通,方案和其他所有利益相关者参与保护组织免受网络威胁。

• 确保你有一个完整的,不断更新和积极管理IT资产的库存。

• 起草一份详细的快速响应处理高影响力的剧本漏洞。

所有的细节,阅读博客”你准备好下一个Log4Shell吗?站不住脚的方案和CIO提供他们的建议”。

和摇摆站得住脚的Log4j资源的页面常见问题链接,白皮书,博客,插件,视频教程,按需网络研讨会等等。

更多Log4j危机报道的周年纪念日和站不住脚的Log4Shell修复数据,阅读这些文章黑暗的阅读,这啤酒,ZDNet,TechTarget,安全周,内部网络安全,BetaNews的和ISSSource。

OWASP 2 - 10 CI / CD最大的安全风险

用明亮的聚光灯照在供应链的安全软件,打开Web应用程序安全项目(OWASP)最近宣布了一个新项目:“十大CI / CD安全风险”的框架。

是一个热门话题的DevSecOps团队负责开发和快速而安全地交付应用程序更新,以便他们释放更少的代码漏洞,配置错误和其他缺陷。

与“十大CI / CD安全风险”框架项目,OWASP寻求帮助DevSecOps团队微调他们的安全策略不仅识别和定义每一个挑战,但也解释他们的影响和提供建议。

这是OWASP的风险最大的CI / CD(持续集成和持续交付)生态系统:

• 流控制机制不足
• 身份和访问管理不足
• 附属关系链滥用
• 有毒的管道执行(PPE)
• PBAC不足(Pipeline-Based访问控制)
• 凭据不够卫生
• 不安全的系统配置
• 放纵的使用第三方服务
• 不当工件的完整性验证
• 日志记录和能见度不足

关于这个项目的更多信息,读一篇博文并参观项目页面和它的GitHub页面。

3 -攻击者增加infostealer恶意软件的使用

信息的普及偷窃者(infostealer)恶意软件正在增长,得益于这种恶意软件的有效性在收获受害者的数据,连同它的低成本,易于使用和广泛的可用性通过malware-as-a-service (MaaS)提供者。

这是根据埃森哲网络威胁情报(活动)的团队,已发现需求跳infostealer黑暗网络上的恶意软件,以及受害者的体积增加数据日志即可购买凭证市场。

“活动预计infostealer景观继续发展和对组织构成重大风险在2023年,“读取一个埃森哲关于调查结果的博客。

例如,可用日志的数量在高度受欢迎俄罗斯市场增长了近40%,450万年7月和10月之间。

另一个发现:为了应对infostealer恶意软件的兴趣激增,新变种正在兜售在地下市场。

Infostealers恶意广告和定价从2022年7月到10月

^{(来源:埃森哲网络威胁情报小组,2022年12月)}

作为网络罪犯成功刷卡凭证使用infostealer恶意软件时,他们往往会推出“MFA-fatigue”攻击违反保护账户被盗多因素身份验证。

MFA疲劳攻击,黑客,带着偷来的用户名和密码,轰炸受害者与移动推送通知惹恼他们,直到他们同意请求,不知道他们授予cybercriminal访问帐户。

从埃森哲建议包括:

• 从MFA转移方法,依靠用户批准推送通知的,用户输入随机生成的代码或使用生物识别技术进行身份验证。
• 双重安全意识工作,培训员工等主题MFA疲劳攻击和社会工程策略。
• 掌握infostealer恶意软件的最新发展,包括新的战术、技术和程序。

更多信息:

• ”实现Phishing-resistent MFA“(美国网络安全基础设施安全机构——中国钢铁工业协会)
• ”多因素身份验证请求代”(斜方)
• ”Infostealer恶意软件市场繁荣,MFA疲劳”(深阅读)
• ”新Infostealer恶意软件“铒”作为马斯河”(安全)
• ”MFA疲劳攻击是在上升:如何抵御它们”(方案)

“黑客两因素身份验证:四个方法绕过2 fa和MFA”(CISO的角度)

“不是所有的mfa生来平等”。(CISA)

在SMB软件购买4 -网络安全至关重要

加剧的担忧中小型企业(smb)在美国网络安全软件购买决策的关键因素。

这是根据一项新的报告软件市场Capterra发现网络安全是心灵的500年75%的受访smb表示他们计划在2023年增加他们的软件支出。

网络安全是如何影响这些计划?

• 在他们的动机采购软件,被调查者选出网络安全的担忧首次位居第三(32%)背后的多年生前两名:需要提高生产力(38%)和跟上日益增长的需要(34%)。

• “IT体系结构和安全软件”范畴在2022年超过所有其他SMB购买。

• 当评估任何类型的软件,smb的最高标准来决定是否购买产品是其安全(42%),击败特性等因素(39%)。

司机对于SMB软件购买

^{(来源:Capterra“2023美国SMB软件购买报告”,2022年11月)}

评估报告的建议的安全软件产品包括:

• 别把供应商的字面值。你的尽职调查,并向供应商特定的安全特性的问题,等多因素身份验证和数据加密。

• 发现供应商的过程披露、修补和更新漏洞的软件产品。

欲了解更多信息,阅读Capterra的“2023年美国SMB软件购买报告”。

想要了解更多关于评估的安全软件产品:

• ”如何评估供应商的数据安全”(电子前沿基金会)
• ”5个关键问题在评估软件供应链安全”(深阅读)
• ”中钢协供应链安全问题买家指南软件”(成立)
• ”软件供应链安全指导”(美国国家标准与技术研究院)
• ”6种方式优化供应商管理计划”(原研究)

“补丁管理是什么?”(TechTarget)

5 -不要睡在资金转帐欺诈

欺诈资金转帐(FFT)不会注意它权证尽管是最普遍的,破坏性的和昂贵的类型的网络攻击,根据保险公司乌鸦座。

在其最新的洞察风险指数乌鸦座的报告发现,FFT -员工的社会工程攻击网络罪犯——帐户转移资金被骗到自2019年以来最大的索赔派几乎达到28%。

自2019年以来乌鸦座的网络要求

^{(来源:“乌鸦座见解指数第四季度风险,”乌鸦座,2022年12月)}

FFT的发病率高的趋势。它从来没有低于25%的乌鸦座声称在过去六个季度,和达到了历史新高2022年第三季度(36%)。“FFT是一个突出的,但仍然under-discussed元素的整体网络风险,“读这份报告,其来源包括乌鸦座的IT安全扫描技术和索赔数据。

安全团队的主要结论是什么?拨了你的努力防止商业电子邮件妥协(BEC),这是迄今为止最常见的技术用于FFT事件- 70%根据乌鸦座索赔数据。通常,BEC的攻击不仅会导致收购FFT还电子邮件帐户,这开辟了一个更广泛的黑客的攻击路径。

关于FFT和BEC的更多信息:

• ”我们怎样才能帮助你?商业电子邮件妥协”(美国联邦调查局)
• ”商业电子邮件妥协”(Techopedia)
• ”安全引物——商业电子邮件妥协”(网络安全中心)
• ”停止业务邮件妥协与三个关键方法”(TechTarget)
• ”14个提示,以防止商业电子邮件妥协”(社会网络)

“BEC攻击的激增和如何减轻赔偿”(RSA会议)

“BEC:为什么没有人谈论这个欺诈吗?”(一切担保)

“如何防止商业电子邮件妥协在微软365”(IDG智能)

“不要让网络罪犯现金——防止BEC”(CISA)

6 -看看这个清单的安全最佳实践

针对重要基础设施的网络攻击设施在高涨,有高度认识到保护操作技术(OT)系统,控制工业设备。

本周,药剂研究发表了检查表的安全最佳实践普渡参考模型的基础上,对工业控制细分和目的为指导,而不是全面的指令集。

建议包括:

• 将资产从OT资产通过正式的网络拓扑
• 使用网络安全控制,防止工业用户和细胞区域Zome用户从安全区
  • 在互联网上访问任意目的地
  • 访问任意目的地的企业安全地带
• 部署一个/不分割方法,如空气隙、防火墙或数据二极管,并确保分割是安全的。
• 部署网络建模控制

对不安全的更多信息,看这些新视频站不住脚:

“最主要威胁ICS系统”

“积极保护ic / OT系统”

“ICS安全:确保工业控制器”

“保护工业控制飞机”

“工业自动化资产发现和管理系统”

还有一件事!查看成立的首集网络观看,每周视频新闻突出主题来自这个博客世界各地的网络安全专家。抓住它每一个周一早上站得住脚的博客或订阅我们的YouTube视频。