网络安全快照:Log4j纪念日,CI / CD风险,Infostealers,电子邮件攻击,不安全
![网络新闻在Log4j纪念日,CI / CD风险,Infostealers,电子邮件攻击,不安全](http://www.yyueer.com/sites/default/files/images/articles/Cybersecurity%20news%20on%20Log4j%20Anniversary%2C%20CI%3ACD%20Risks%2C%20Infostealers%2C%20Email%20Attacks%2C%20OT%20Security.jpg)
获得最新的周年Log4j危机;OWASP顶级CI / CD风险;的infostealer恶意软件;基金转移欺诈——商业电子邮件妥协连接;和更多!
深入六事介意12月9日当周的顶部。
1 - Log4j危机一年后,我们学到了什么?
这是在去年的这个时候,零日Log4Shell漏洞的发现在无处不在的Log4j开源组件发送冲击波通过它的世界和网络安全。
一年后,我们从最近公布的站得住脚的遥测技术研究Log4j的Log4Shell在很大程度上仍然是一个问题。站得住脚的发现,截至2022年10月1日:
- 72%的组织仍然容易受到Log4Shell。
- 脆弱的资产的29%看到Log4Shell完全修复后的重新引入。
- 近三分之一的北美组织完全矫正Log4j(28%),其次是欧洲、中东和非洲(27%)、亚太(25%)和拉丁美洲(21%)。
这Log4Shell问题持续多长时间?7月,美国网络安全审查委员会发表了50页的报告Log4j事件,关键是Log4Shell是一个“流行漏洞”,会在十年或者更长时间。
鉴于这一现实,几乎不可避免的爆发另一场危机Log4j的大小,我们问站得住脚的CIO帕特里夏·格兰特和全封闭罗伯特·胡贝尔的见解和建议,以帮助其和网络安全领导人应对脆弱性和威胁,呼吁“甲板上所有的手”反应。
他们的建议包括:
- 培养和保持常数和开放的CIO之间的合作和沟通,方案和其他所有利益相关者参与保护组织免受网络威胁。
- 确保你有一个完整的,不断更新和积极管理IT资产的库存。
- 起草一份详细的快速响应处理高影响力的剧本漏洞。
所有的细节,阅读博客”你准备好下一个Log4Shell吗?站不住脚的方案和CIO提供他们的建议”。
和摇摆站得住脚的Log4j资源的页面常见问题链接,白皮书,博客,插件,视频教程,按需网络研讨会等等。
更多Log4j危机报道的周年纪念日和站不住脚的Log4Shell修复数据,阅读这些文章黑暗的阅读,这啤酒,ZDNet,TechTarget,安全周,内部网络安全,BetaNews的和ISSSource。
OWASP 2 - 10 CI / CD最大的安全风险
用明亮的聚光灯照在供应链的安全软件,打开Web应用程序安全项目(OWASP)最近宣布了一个新项目:“十大CI / CD安全风险”的框架。
是一个热门话题的DevSecOps团队负责开发和快速而安全地交付应用程序更新,以便他们释放更少的代码漏洞,配置错误和其他缺陷。
与“十大CI / CD安全风险”框架项目,OWASP寻求帮助DevSecOps团队微调他们的安全策略不仅识别和定义每一个挑战,但也解释他们的影响和提供建议。
这是OWASP的风险最大的CI / CD(持续集成和持续交付)生态系统:
- 流控制机制不足
- 身份和访问管理不足
- 附属关系链滥用
- 有毒的管道执行(PPE)
- PBAC不足(Pipeline-Based访问控制)
- 凭据不够卫生
- 不安全的系统配置
- 放纵的使用第三方服务
- 不当工件的完整性验证
- 日志记录和能见度不足
关于这个项目的更多信息,读一篇博文并参观项目页面和它的GitHub页面。
3 -攻击者增加infostealer恶意软件的使用
信息的普及偷窃者(infostealer)恶意软件正在增长,得益于这种恶意软件的有效性在收获受害者的数据,连同它的低成本,易于使用和广泛的可用性通过malware-as-a-service (MaaS)提供者。
这是根据埃森哲网络威胁情报(活动)的团队,已发现需求跳infostealer黑暗网络上的恶意软件,以及受害者的体积增加数据日志即可购买凭证市场。
“活动预计infostealer景观继续发展和对组织构成重大风险在2023年,“读取一个埃森哲关于调查结果的博客。
例如,可用日志的数量在高度受欢迎俄罗斯市场增长了近40%,450万年7月和10月之间。
另一个发现:为了应对infostealer恶意软件的兴趣激增,新变种正在兜售在地下市场。
Infostealers恶意广告和定价从2022年7月到10月
![2022年infostealer恶意软件的需求上升](http://www.yyueer.com/sites/default/files/inline-images/Cyber%20attackers%20boost%20use%20of%20infostealer%20malware.jpg)
(来源:埃森哲网络威胁情报小组,2022年12月)
作为网络罪犯成功刷卡凭证使用infostealer恶意软件时,他们往往会推出“MFA-fatigue”攻击违反保护账户被盗多因素身份验证。
MFA疲劳攻击,黑客,带着偷来的用户名和密码,轰炸受害者与移动推送通知惹恼他们,直到他们同意请求,不知道他们授予cybercriminal访问帐户。
从埃森哲建议包括:
- 从MFA转移方法,依靠用户批准推送通知的,用户输入随机生成的代码或使用生物识别技术进行身份验证。
- 双重安全意识工作,培训员工等主题MFA疲劳攻击和社会工程策略。
- 掌握infostealer恶意软件的最新发展,包括新的战术、技术和程序。
更多信息:
- ”实现Phishing-resistent MFA“(美国网络安全基础设施安全机构——中国钢铁工业协会)
- ”多因素身份验证请求代”(斜方)
- ”Infostealer恶意软件市场繁荣,MFA疲劳”(深阅读)
- ”新Infostealer恶意软件“铒”作为马斯河”(安全)
- ”MFA疲劳攻击是在上升:如何抵御它们”(方案)
“黑客两因素身份验证:四个方法绕过2 fa和MFA”(CISO的角度)
“不是所有的mfa生来平等”。(CISA)
在SMB软件购买4 -网络安全至关重要
加剧的担忧中小型企业(smb)在美国网络安全软件购买决策的关键因素。
这是根据一项新的报告软件市场Capterra发现网络安全是心灵的500年75%的受访smb表示他们计划在2023年增加他们的软件支出。
网络安全是如何影响这些计划?
- 在他们的动机采购软件,被调查者选出网络安全的担忧首次位居第三(32%)背后的多年生前两名:需要提高生产力(38%)和跟上日益增长的需要(34%)。
- “IT体系结构和安全软件”范畴在2022年超过所有其他SMB购买。
- 当评估任何类型的软件,smb的最高标准来决定是否购买产品是其安全(42%),击败特性等因素(39%)。
司机对于SMB软件购买
(来源:Capterra“2023美国SMB软件购买报告”,2022年11月)
评估报告的建议的安全软件产品包括:
- 别把供应商的字面值。你的尽职调查,并向供应商特定的安全特性的问题,等多因素身份验证和数据加密。
- 发现供应商的过程披露、修补和更新漏洞的软件产品。
欲了解更多信息,阅读Capterra的“2023年美国SMB软件购买报告”。
想要了解更多关于评估的安全软件产品:
- ”如何评估供应商的数据安全”(电子前沿基金会)
- ”5个关键问题在评估软件供应链安全”(深阅读)
- ”中钢协供应链安全问题买家指南软件”(成立)
- ”软件供应链安全指导”(美国国家标准与技术研究院)
- ”6种方式优化供应商管理计划”(原研究)
“补丁管理是什么?”(TechTarget)
5 -不要睡在资金转帐欺诈
欺诈资金转帐(FFT)不会注意它权证尽管是最普遍的,破坏性的和昂贵的类型的网络攻击,根据保险公司乌鸦座。
在其最新的洞察风险指数乌鸦座的报告发现,FFT -员工的社会工程攻击网络罪犯——帐户转移资金被骗到自2019年以来最大的索赔派几乎达到28%。
自2019年以来乌鸦座的网络要求
![资金转帐欺诈的增长由于业务邮件妥协](http://www.yyueer.com/sites/default/files/inline-images/Funds%20transfer%20fraud%20cyber%20attack%20becomes%20more%20prevalent.jpg)
(来源:“乌鸦座见解指数第四季度风险,”乌鸦座,2022年12月)
FFT的发病率高的趋势。它从来没有低于25%的乌鸦座声称在过去六个季度,和达到了历史新高2022年第三季度(36%)。“FFT是一个突出的,但仍然under-discussed元素的整体网络风险,“读这份报告,其来源包括乌鸦座的IT安全扫描技术和索赔数据。
安全团队的主要结论是什么?拨了你的努力防止商业电子邮件妥协(BEC),这是迄今为止最常见的技术用于FFT事件- 70%根据乌鸦座索赔数据。通常,BEC的攻击不仅会导致收购FFT还电子邮件帐户,这开辟了一个更广泛的黑客的攻击路径。
关于FFT和BEC的更多信息:
- ”我们怎样才能帮助你?商业电子邮件妥协”(美国联邦调查局)
- ”商业电子邮件妥协”(Techopedia)
- ”安全引物——商业电子邮件妥协”(网络安全中心)
- ”停止业务邮件妥协与三个关键方法”(TechTarget)
- ”14个提示,以防止商业电子邮件妥协”(社会网络)
“BEC攻击的激增和如何减轻赔偿”(RSA会议)
“BEC:为什么没有人谈论这个欺诈吗?”(一切担保)
“如何防止商业电子邮件妥协在微软365”(IDG智能)
“不要让网络罪犯现金——防止BEC”(CISA)
6 -看看这个清单的安全最佳实践
针对重要基础设施的网络攻击设施在高涨,有高度认识到保护操作技术(OT)系统,控制工业设备。
本周,药剂研究发表了检查表的安全最佳实践普渡参考模型的基础上,对工业控制细分和目的为指导,而不是全面的指令集。
建议包括:
- 将资产从OT资产通过正式的网络拓扑
- 使用网络安全控制,防止工业用户和细胞区域Zome用户从安全区
- 在互联网上访问任意目的地
- 访问任意目的地的企业安全地带
- 部署一个/不分割方法,如空气隙、防火墙或数据二极管,并确保分割是安全的。
- 部署网络建模控制
对不安全的更多信息,看这些新视频站不住脚:
“最主要威胁ICS系统”
“积极保护ic / OT系统”
“ICS安全:确保工业控制器”
“保护工业控制飞机”
“工业自动化资产发现和管理系统”
还有一件事!查看成立的首集网络观看,每周视频新闻突出主题来自这个博客世界各地的网络安全专家。抓住它每一个周一早上站得住脚的博客或订阅我们的YouTube视频。
相关文章
- 反恶意软件
- 资产管理
- 云
- 网络安全快照
- DevOps
- 风险管理
- 政府
- 恶意软件
- 指标
- 漏洞扫描