3月第三周安全要闻回顾:云计算有风险 ATM机成骇客新宠

本文涉及的产品
云解析 DNS,旗舰版 1个月
公共DNS(含HTTPDNS解析),每月1000万次HTTP解析
全局流量管理 GTM,标准版 1个月
简介:
安全方面值得关注的消息较多,云计算的安全问题仍是近期的热点,上周Google Docs泄漏用户敏感文件的风波刚过,云计算服务对现有安全标准和法律法规在遵从性方面的缺失再次被安全行业所关注。恶意软件的威胁在近段时间进一步提升,安全厂商已经捕获到基于DHCP协议和专门针对ATM自动柜员机的恶意软件样本。在本期回顾的最后,笔者仍为朋友们精心挑选了两个值得一读的推荐阅读文章。
近期(090316至090322)安全要闻回顾
本周的信息安全风险为低,软件厂商Adobe在3月18日为旗下产品Adobe Acrobat和Reader的7、8、9版本分别推出了安全更新程序,主要修补此前发现的能够导致用户系统感染恶意软件的远程代码执行漏洞云计,建议用户尽快使用Adobe Updater自动升级,或从Adobe网站上下载并应用程序。
 
云计算安全:云计算方案的合规性遵从风险引人关注;关注指数:高
由于最近一段时间全球的经济状况持续恶化,云计算作为一种廉价高效的信息存储和处理方式,就成为许多关注于降低IT运维成本的企业的选择。云计算方案的提供商也应时提供了多种灵活的解决方案供用户企业选择,如Google和Amazon都允许用户企业在其云计算平台服务器上运行用户自己的互联网应用程序,而Salesforce等其他的服务提供商则向其用户企业提供了多个特定用途的服务。
云计算市场份额快速扩张的同时,因为其不同于传统应用系统的架构和安全形式,也使得安全业界和众多用户对云计算的安全性产生了顾虑。在上期回顾中笔者曾经和朋友们一起关注过Google Docs存在泄漏用户文件和隐私信息的消息,Google在收到受影响用户的反馈之后,迅速通过移除用户文件共享权限等操作来修补该漏洞,但这个事件还是给很多用户留下了云计算不够安全的坏印象。
本周在波士顿举行的SOURCE安全会议上,安全专家向公众揭示了云计算方案在安全上的又一个潜在风险——合规性遵从(Compliance)。尽管云计算服务商都向用户承诺其服务的可靠性,保证7×24的在线率,但如何保证用户存放在云计算平台上的数据的安全,仍不在大多数云计算服务商的承诺范围之内,用户在绝大多数情况下,也无法通过数据加密等传统手段获得更好的数据安全性。
当然,用户企业可以与云计算服务商签署服务级别协议(SLA)和第三方的安全协议,通过书面的方式来进一步保证云计算的安全性,但调查显示许多用户企业仍对其存储在云计算平台上的数据安全心存顾虑。此外,对现有的行业安全标准及法律法规的遵从性,也是用户在选择云计算方案作为业务数据存储和处理平台时要考虑的一个潜在风险,它存在于两个方面:首先,用户不可能了解到所选择的云计算方案具体的实现和运作形式,更不可能根据自己业务的需求对云计算进行功能和实现上的自定义;其次,当前使用的不少安全标准,具体规定和设置要求都不适用于云计算领域——如在网上支付领域广泛使用的PCI DSS标准,就只规定了物理服务器应该如何进行安全设置和操作。
笔者觉得,尽管使用云计算和企业的其他IT外包项目并无太大区别,但企业也应该意识到使用云计算方案并不等于将数据安全的责任也外包到云计算服务提供商的身上。在当前云计算的运营模式没有发生利于用户数据安全需求的变化,以及现有安全标准对云计算应用做出相应的修改之前,建议用户还是不要将敏感和涉及商业机密的信息存储到云计算平台上,免得将来遇到众多不必要的风险。
 
恶意软件:恶意软件技术快速发展,基于DHCP和专门针对ATM的恶意软件出现;关注指数:高
黑客为了在企业的内部网络中扩散他们的恶意软件,所用的手段可以说是无所不用其极,除了惯用的远程漏洞攻击和弱口令扫描等传统攻击方法外,黑客也打起了企业内部网络中各种常见服务的主意。根据互联网安全组织SANS近段时间的监测结果,一个基于DHCP服务的新恶意软件目前正在互联网上快速扩散。该恶意软件的工作原理与去年年底发现的Trojan.Flush.M木马相类似,在感染企业内部网络中的一个系统之后,该恶意软件会在受感染系统上安装一个DHCP服务器,其后进入企业内部网络的其他系统都可能被该恶意的DHCP服务器所欺骗,所有互联网访问的域名解析都会转向至黑客预先设置的恶意DNS服务器。
虽然现在这类基于DHCP服务的恶意软件并不多见,但因为它比前两年流行的ARP欺骗型恶意软件更为隐蔽,用户也更能发现、定位和消除在自己内部网络中存在的该类风险。笔者建议,用户可通过嗅探器、IDS等网络工具监视网络中DHCP服务器的活动情况,同时观察是否存在访问不是已知DNS服务器的情况存在,如果有就证明可能感染了上述类型的恶意软件(当然也可能是有内网用户私自设置使用第三方的DNS服务器)。如果用户使用了Windows域服务之类的内网管理方案,防护基于DHCP或DNS服务的恶意软件就更为简单,只需通过防火墙禁用除内网授权DNS服务器外的所有外部DNS查询请求即可。
自动柜员机ATM是犯罪集团最常攻击的目标之一,使用附加的卡复制器、通过网络钓鱼获取用户信息并制造伪卡,甚至使用炸药来爆破,攻击的手段可谓是种类繁多——反病毒厂商Sophos的新发现,又暴露了犯罪集团对ATM机攻击的一种新手段:恶意软件。本周来自Sophos的研究人员称,犯罪集团正利用能够在ATM机上运行的新一代恶意软件,偷取ATM用户所输入的各种信息。
根据恶意软件样本分析的结果,这种攻击最早在今年初出现在俄罗斯,黑客破解了ATM厂商Diebold在一月份为其基于Windows的产品发布的软件更新补丁,并在其中插入了一个恶意软件。在稍后的调查显示,黑客必须通过物理接触ATM机才能够在ATM机上安装上述恶意软件,但在黑客本身是金融机构内部人员或得到内部人员的协助的情况下,并不难达到这一目的。
尽管Diebold在稍后的消息发布中称,在ATM机上安装恶意软件的攻击者已被抓获,并正在进行调查,但这种对ATM机的恶意软件攻击趋势仍值得我们关注,只需熟悉ATM机的内部软件运作机理和银行的业务流程,一个有编程经验的黑客是能够写出可以在ATM机运行的恶意软件,再加上有银行内部人员的配合,一次针对ATM机的恶意软件攻击就可以实施,而且这种威胁和传统的ATM攻击手法比起来,无需添加额外的设备,因此也更为隐蔽和难于消除。笔者觉得,ATM厂商和金融机构应该开始关注ATM机的软件和网络安全问题,并将其提升到和物理安全同等重要的地位,而目前大多数的ATM系统仍没有专门针对恶意软件或对其软件的恶意修改部署防御措施,网络边界安全措施也有所缺失,这一点也值得安全行业所关注。
 
推荐阅读:
1) DIY安全测试实验室;推荐指数:中
许多朋友有兴趣于测试安全工具、分析恶意软件和漏洞或学习安全技能,一些企业的IT部门也常常需要对一些安全工具进行适应性测试,因此,使用手头上的资源DIY小安全测试实验室是一个不错的解决办法。Darkreading.com文章《DIY安全测试实验室》介绍了在这个过程中的主要注意事项,推荐有这方面兴趣的朋友了解下。文章的地址如下:
2) E-Health可能面临的14个安全风险;推荐指数:高
医疗过程的信息化是未来发展的一个趋势,尽管在国内还没有大面积的推广医疗信息化技术和方案,但事先了解E-Health可能遇到的各种问题,可以作为医疗行业在实施信息化过程中的重要参考。欧盟网络安全机构ENISA在前段时间推出了一个调查报告《E-Health可能面临的14个安全风险》,推荐医疗和IT行业的朋友阅读下。
报告的地址如下:








本文转自J0ker51CTO博客,原文链接:http://blog.51cto.com/J0ker/143598,如需转载请自行联系原作者

相关文章
|
1月前
|
云安全 存储 监控
云计算安全:AWS与Azure的安全策略与实践比较
【10月更文挑战第26天】本文详细比较了AWS和Azure在安全性方面的策略和实践,涵盖身份与访问管理、数据加密与保护以及安全监控与响应。通过代码示例展示了两家云服务提供商在实际应用中的具体操作,帮助企业在选择云服务时做出明智决策。
50 0
|
21天前
|
存储 安全 网络安全
云计算与网络安全:探索云服务的安全挑战与策略
在数字化的浪潮下,云计算成为企业转型的重要推手。然而,随着云服务的普及,网络安全问题也日益凸显。本文将深入探讨云计算环境下的安全挑战,并提出相应的防护策略,旨在为企业构建安全的云环境提供指导。
|
29天前
|
存储 安全 网络安全
云计算与网络安全:技术融合与安全挑战
随着云计算技术的飞速发展,其在各行各业的应用日益广泛。然而,随之而来的网络安全问题也日益凸显,成为制约云计算发展的重要因素。本文将从云服务、网络安全、信息安全等方面探讨云计算与网络安全的关系,分析云计算环境下的网络安全挑战,并提出相应的解决方案。
|
1月前
|
云安全 存储 监控
云计算安全:AWS与Azure的安全策略与实践比较
【10月更文挑战第27天】本文对比分析了AWS和Azure在云计算安全领域的策略与实践,涵盖技术、定价、混合云工具等方面。通过代码示例展示了如何在两个平台上实施安全措施,如监控告警、数据加密和身份管理。总结了两者的优缺点,帮助读者根据具体需求选择合适的云服务提供商。
46 4
|
1月前
|
云安全 安全 网络安全
云计算与网络安全:技术融合下的风险与对策
【10月更文挑战第22天】本文深入探讨了在云计算环境下,网络安全和信息安全领域的挑战与机遇。通过分析当前云服务的安全架构,识别潜在的安全威胁,并提出了相应的防范措施。文章旨在为读者提供一套全面的云计算安全解决方案,以保障数据的安全性和完整性。
|
1月前
|
云安全 安全 网络安全
云计算与网络安全:技术融合下的安全挑战与应对策略
【10月更文挑战第33天】在数字化转型的浪潮中,云计算作为支撑现代企业IT架构的核心,其安全性成为业界关注的焦点。本文从云计算服务的基本概念出发,探讨了云环境下的网络安全风险,并分析了信息安全的关键技术领域。通过对比传统网络环境与云端的差异,指出了云计算特有的安全挑战。文章进一步提出了一系列应对策略,旨在帮助企业和组织构建更为坚固的云安全防护体系。最后,通过一个简化的代码示例,演示了如何在云计算环境中实施基本的安全措施。
|
1月前
|
存储 监控 安全
|
2月前
|
存储 安全 网络安全
云计算与网络安全:构建安全的数字基石
【10月更文挑战第10天】 在当今数字化时代,云计算已成为推动企业创新和效率的关键驱动力。然而,随着数据和业务向云端迁移,网络安全问题变得日益突出。本文将探讨云计算与网络安全的融合,分析云服务中的主要安全挑战,并讨论如何通过先进的信息安全技术来应对这些挑战。我们将重点关注加密技术、访问控制、安全审计以及云服务提供商(CSP)的角色,以构建一个安全可靠的云计算环境。
|
2月前
|
安全 网络安全 API
云计算与网络安全:技术融合下的风险与对策
【10月更文挑战第7天】在数字化时代,云计算作为信息技术的一股强大力量,正在深刻改变着企业运营和个人生活。然而,随着云服务的广泛应用,网络安全问题也日益凸显。本文将探讨云计算环境下的网络安全挑战,分析常见的安全威胁,并提出相应的防护措施。我们将通过实际案例,展示如何在享受云计算便利的同时,保障数据的安全性和隐私性。
48 0
|
2月前
|
存储 安全 网络安全
云计算与网络安全:构建安全、可靠的云服务生态
【10月更文挑战第7天】 在数字化时代,云计算已成为企业运营的核心支柱。然而,随着云服务的普及,网络安全问题也日益凸显。本文将探讨云计算与网络安全的关系,分析云服务中的安全隐患,并提出相应的解决方案。通过深入剖析云计算的发展趋势和面临的安全挑战,本文旨在为企业构建安全、可靠的云服务生态提供指导。
57 0