金融安全资讯精选 2018年第三期:上海P2P备案大考来临,新型KillDisk变种攻击拉丁美洲金融机构,WordPress 发布安全更新版本,如何在阿里云环境下搭建基于SonarQube的自动化安全代码检测平台

简介: 新型KillDisk变种攻击拉丁美洲金融机构,WordPress 发布安全更新版本,如何在阿里云环境下搭建基于SonarQube的自动化安全代码检测平台

54ec4a3d3e7777032035de0b46e35102993813df




概要:一种新型的KillDisk变种攻击被发现,该攻击主要针对拉丁美洲地区的金融机构。经初步研究表明,该攻击可能是另一个有效载荷的一部分,或者背后存在着更大规模的攻击。KillDisk在2015年12月份发现被用于攻击乌克兰的能源系统,以及银行、铁路和采矿等行业。该恶意软件逐渐转变成为一种网络勒索威胁,危及Windows和Linux平台。KillDisk生成的赎金信息是用来欺骗用户的,由于KillDisk会覆盖或者删除文件并且不会保存加密密钥,因此用户想要恢复文件是不可能的。(来源:绿盟科技)

点评:鉴于KillDisk的攻击能力,以及它可能牵扯到更大规模攻击的可能性,以下为一些防护建议:

  • 保持系统及其应用程序的更新/修补,防止攻击者利用安全漏洞。
  • 定期备份数据并确保其完整性。
  • 强化最小特权的原则(least privilege)。网络分段数据分类有助于防止横向感染和进一步暴露。
  • 部署安全机制,如应用程序控制/白名单和行为监控,这些安全机制可以阻止可疑程序运行并阻止异常系统修改。
  • 主动监控系统和网络; 启用和使用防火墙以及入侵防护和检测系统。
  • 实施管理事件响应政策,推动积极的补救战略。
  • 培养网络安全意识的工作场所,进一步加强组织的安全态势。


【金融行业安全动态】上海P2P备案大考来临


概要:上海市金融办协同公安部门对P2P平台开展信息安全等级保护三级测评工作进行了指导和部署,备案工作继续加速推进。

据了解,上周五相关部门组织会议上要求测评工作在3月底结束(拿到上海市公安局网络安全保卫大队回执为截止时间点),特殊情况或复杂项目最迟不超过4月底。本次要求P2P网贷系统定级为第三级,并需要按照国家标准测评,测评分不低于90分。其中,用户资金和信息安全的测评为重要项。不少从业者表示,测评要求非常严格, “北京地区网贷平台基本在75分上下”

点评:信息系统安全,一直是国家监管机构不遗余力推进的重点工作,只有安全的业务平台才能有效保证金融业务的长期稳定发展。


【相关安全事件】微软“周二补丁日”—2018年01月


概要:美国时间2018年01月09日,微软发布2018年第一个月的安全公告,本次安全公告涉及56个新的漏洞,其中16个评级为重要,39个评级为重要,1个评级为中等。 这些漏洞影响ASP.NET,Edge,Internet Explorer,Office,Windows等微软产品。 

除了解决的56个漏洞之外,微软还发布了针对Intel CPU漏洞Meltdown和Spectre的更新。 在ADV180002 中针对Windows发布了针对这两个漏洞的缓解措施。 请注意,由于与防病毒产品不兼容,用户和组织可能尚未收到此更新。(  点击查看阿里云修复公告

 

本次公告披露,Windows内核存在多个信息泄漏漏洞,CVE编号为:CVE-2018-0745、CVE-2018-0746CVE-2018-0747。攻击者可以利用这些漏洞经过身份验证的本地攻击者运行特制的程序,检索内核对象的内存地址,获取敏感信息。 

 
这次公告中同时披露Windows内核的多个提权漏洞,CVE编号为:CVE-2018-0748、CVE-2018-0751CVE-2018-0752。 这些漏洞是由于Windows内核API未能正确执行权限所致。 成功利用这些漏洞需要经过身份验证的本地攻击者执行特制程序,并可能导致攻击者能够模拟进程,注入跨进程通信或中断系统功能。对于企业用户存在一定的安全风险。 
 

本次发布的公告中披露了一个Office高危漏洞,CVE编号为:CVE-2018-0802。攻击者可以利用Office内嵌的公式编辑器发起攻击,如果被诱骗不慎打开恶意文件,可能会被攻击者远程控制,对于终端办公桌面用户,需要关注。 


点评:

  • 阿里安全团队建议关注,并根据业务情况择机更新补丁,以提高服务安全性。点击查看阿里云修复公告
  • 建议不要在企业业务系统上安装与业务无关的软件,例如:Office、其他办公软件。防止被黑客利用;
  • 建议打开Windows Update功能,然后点击“检查更新”按钮,根据业务情况下载安装相关安全补丁,安装完毕后重启服务器,检查系统运行情况
  • 注意:在更新安装升级前,建议做好测试工作,并务必做好数据备份和快照,防止出现意外。  


【安全相关事件】WordPress 发布4.9.2安全更新版本



概要:刚刚,WordPress 开发团队发布了 WordPress 4.9.2 安全维护更新版本。这次更新是针对 WordPress 3.7 版本以来的所有版本,我们建议您立即更新您的网站到这一版本。 MediaElement 的 Flash 回滚文件中发现了一个 XSS 安全漏洞,这个文件被包含在了 WordPress 之中。由于绝大多数情况下,用户们已经不再需要 Flash 支持,WordPress 的开发者决定在 WordPress 中删除这一文件。 

 


【云上视角】147家企业未取得云服务经营许可


概要:工信部1月12日印发《关于督促互联网网络接入服务企业依法持证经营的通知》(简称“通知”)。通知显示,截至去年底,104家企业已依法取得云服务经营许可证,70家企业取得CDN业务经营许可证。另有147家企业未取得前述许可证,应自觉停止相应经营活动。(来源:亚太CDN产业联盟)



【云上视角】实践:在阿里云环境下搭建基于SonarQube的自动化安全代码检测平台


概要:近年来,随着新业务、新技术的快速发展,应用软件安全缺陷层出不穷。虽然一般情况下,开发者基本都会有单元测试、每日构建、功能测试等环节来保证应用的可用性。但在安全缺陷方面,缺乏安全意识、技能和工具,最终导致了安全缺陷的出现。

对于软件开发安全意识和软件开发安全技能方面本文中不再做详述,软件开发者可通过培训和实践提高自身意识和技能,我主要从代码检测工具方面来做介绍,工具是软件开发者可以直接使用和快速发现软件安全缺陷的高效手段,这类似我们使用汽车来满足出行的需求,只用我们掌握汽车的操作方式即可,不用了解汽车如何制造出来的。

本文目的主要是提供一种思路和方法,让软件开发者像测试软件功能一样,测试软件安全缺陷,并且能够融入到整个的软件开发过程中。本文暂不介绍软件安全开发的概念、代码审计工具及其使用、安全代码审计技术等内容,后续文章会就这些部分进行介绍,大家可关注。



订阅 NEWS FROM THE LAB


一键订阅刊物

云栖社区专栏获取最新资讯

微博专栏获取最新资讯

一点号获取最新资讯


029307c2bf99a126e3c7d4b050286cfed9f71a06


扫码参与全球安全资讯精选

读者调研反馈 

目录
相关文章
|
3月前
|
弹性计算 测试技术 持续交付
阿里云云效产品使用合集之如何进行自动化测试
云效作为一款全面覆盖研发全生命周期管理的云端效能平台,致力于帮助企业实现高效协同、敏捷研发和持续交付。本合集收集整理了用户在使用云效过程中遇到的常见问题,问题涉及项目创建与管理、需求规划与迭代、代码托管与版本控制、自动化测试、持续集成与发布等方面。
|
1月前
|
域名解析 网络协议 数据安全/隐私保护
阿里云轻量应用服务器搭建WordPress个人博客教程
阿里云轻量应用服务器搭建WordPress个人博客教程
|
1月前
|
数据采集 SQL 运维
企业出海WAS安全自动化解决方案
企业出海WAS安全自动化解决方案
|
1月前
|
弹性计算 监控 安全
利用WordPress 模板建站,如果利用阿里云国际版获取网站高流量
利用WordPress 模板建站,如果利用阿里云国际版获取网站高流量
|
3月前
|
测试技术 Android开发 iOS开发
Appium 是一个开源的自动化测试框架,它支持多种平台和多种编程语言
Appium是一款开源自动化测试框架,支持iOS和Android多平台及多种编程语言。通过WebDriver协议,开发者可编写自动化测试脚本。在iPhone上实现屏幕点击等操作需安装Appium及其依赖,启动服务器,并设置所需的测试环境参数。利用Python等语言编写测试脚本,模拟用户交互行为,最后运行测试脚本来验证应用功能。对于iPhone测试,需准备真实设备或Xcode模拟器。
117 1
|
3月前
|
弹性计算 JSON 开发工具
"一键玩转阿里云ECS!Python大神揭秘:如何自动化创建镜像并跨地域复制,让你的云资源部署秒变高效达人!"
【8月更文挑战第14天】本文介绍如何使用Python与阿里云SDK自动化管理ECS镜像,包括创建镜像及跨地域复制,以优化云资源部署。首先安装`aliyun-python-sdk-ecs`并配置阿里云凭证。接着,通过Python脚本实现镜像创建与复制功能,简化日常运维工作并增强灾难恢复能力。注意权限及费用问题。
90 2
|
3月前
|
弹性计算 关系型数据库 应用服务中间件
从零基础到博主大亨!一键解锁阿里云ECS,LNMP秒搭WordPress,你的个性博文帝国,今日崛起!
【8月更文挑战第5天】随着互联网技术的发展,个人博客成为技术爱好者和内容创作者分享知识的平台。阿里云ECS以其高性能和灵活性成为搭建博客的优选。本文指导你购买配置ECS,并安装CentOS 7。通过SSH登录后,更新系统并安装LNMP环境,包括Nginx、MariaDB、PHP。配置Nginx处理PHP请求,初始化数据库并设置WordPress数据库。接着下载WordPress,解压并设置权限。最后,通过浏览器完成安装向导。利用WordPress丰富的资源定制网站,开启个性化创作之旅。记得定期备份数据,利用ECS的扩展性支持网站成长。
68 4
|
3月前
|
运维 安全 网络安全
云端安全之盾:云计算与网络安全的协同演进运维自动化之路:从传统到现代化的转变
【8月更文挑战第23天】在数字化浪潮下,云计算以其灵活性和可扩展性成为企业数字化转型的重要推手。然而,随着云服务的快速发展,网络安全威胁也日益增多。本文将探讨云计算与网络安全如何相互促进,共同成长,以确保信息安全,并分析云服务提供商采取的安全策略以及企业在采用云服务时应注意的安全实践。
|
4月前
|
存储 人工智能 运维
阿里云获中国自动化学会科技进步奖一等奖
阿里云获中国自动化学会科技进步奖一等奖
64 2
|
3月前
|
敏捷开发 测试技术 持续交付
阿里云云效产品使用合集之是否可以进行跨项目自动化同步
云效作为一款全面覆盖研发全生命周期管理的云端效能平台,致力于帮助企业实现高效协同、敏捷研发和持续交付。本合集收集整理了用户在使用云效过程中遇到的常见问题,问题涉及项目创建与管理、需求规划与迭代、代码托管与版本控制、自动化测试、持续集成与发布等方面。