觉宇
觉宇_个人页
觉宇
文章
99
问答
10
视频
0
个人介绍
暂无个人介绍
擅长的技术
-
发表了文章 2018-03-28
游戏安全资讯精选 2018年第十期:游戏安全年度报告重磅发布,北京检方依法批捕比特币被盗案犯罪嫌疑人,攻击某企业网站,1.1亿元备付金被盗
【云上视角】阿里云游戏安全年度报告发布:账号盗用、外挂和羊毛党,将成为威胁游戏生态健康的“慢性毒药” 概要:2017年,黑客针对游戏行业的攻击,逐渐往多元化、精准化、智能化的方向演进。 阿里云安全团队通过分析游戏行业的全年安全态势,发现:虽然DDoS攻击仍为主流,但预计2年之内,业务层的CC攻击和有针对性的高级渗透,将与DDoS攻击平分秋色;账号盗用、外挂和羊毛党,将成为威胁游戏生态健康的“慢性毒药”,将一款游戏的生命周期缩短10% - 15%。 攻击方的进化,防线的拉长,需要游戏公司以多维视角看待网络安全。 通过《游戏安全报告(2017 - 2018全年)》,阿里云安全团队希望为处于发展风口的游戏行业,提供全局参考,以及可行的防护建议。 点击参与聚能聊话题获得奖励 【游戏行业安全动态】北京检方依法批捕比特币被盗案犯罪嫌疑人 概要:科技公司员工仲某利用职务便利,盗取该公司100个比特币。近日,海淀检察院以涉嫌非法获取计算机信息系统数据罪,批准逮捕了仲某。这是北京市首例比特币盗窃案。比特币作为虚拟财产,同时具有财产性与数据性。在比特币被盗案件中,完全可以将其认定为盗窃罪。 点评:比特币的性质不是法币,不是真正的货币,只是一种特定的虚拟商品。因此,在法律上,比特币类似于游戏装备、虚拟货币等虚拟商品,属于网络虚拟财产。目前,司法实践的主流观点倾向于将虚拟物品认定为“计算机信息系统数据”,否认其财产属性。而本案中,检方对北京市首例比特币被盗案持有两点意见:第一,比特币应当受到刑法的保护;第二,比特币被盗构成非法获取计算机信息系统数据罪,不是盗窃罪。对“新生事物”的如何看待,法律实践是一种非常直接的试金石,也是敲门砖,要么检验对错,要么挑起争议。 【游戏行业安全动态】攻击某企业网站,1.1亿元备付金被盗 概要:3月22日,一起涉案金额1.1亿余元的特大盗窃案在河南省三门峡市湖滨区人民法院公开审理。被告人王某被控伙同他人利用黑客攻击网站,采取植入木马病毒、修改和删除数据、发送提款指令等手段盗窃企业客户备付金。 据公诉机关指控,2017年3月份,被告人王某与一身份不明人经过预谋后,于同年4月16日至30日期间,通过计算机网络利用黑客手段攻击住所地在三门峡的一家企业开发的网站,向网站服务器植入木马病毒,修改和删除网站数据,并向与该企业关联的深圳某支付平台发送提款指令,将支付平台内该企业的113871896.4元分多次转移至王某提供的26个银行账户。 全球安全资讯精选合作媒体 · 安在 订阅 NEWS FROM THE LAB 一键订阅刊物 云栖社区专栏获取最新资讯 微博专栏获取最新资讯 一点号获取最新资讯 扫码参与全球安全资讯精选 读者调研反馈
-
发表了文章 2018-03-28
金融安全资讯精选 2018年第十期:数据泄密丑闻后扎克伯格首次发声,详解银监会数据治理指引落地路线,用区块链来保护隐私是天方夜谭吗?
【金融行业安全动态】数据泄密丑闻后扎克伯格首次发声:我会负责 概要:针对数据泄密丑闻,Facebook的CEO马克·扎克伯格今日终于打破了沉默。他在Facebook主页中发表声明,“我们有责任保护你们的数据,如果我们没能做到,我们就不应该为你们服务。” 近几日,Facebook备受这起丑闻的困扰,其股价也大幅跳水。剑桥分析(Cambridge Analytica)公司被指控以不正当手段获得超过5000万Facebook用户的个人数据。Facebook表示,2015年公司就知道剑桥分析滥用数据之事,但未告知公众。英国《卫报》和《纽约时报》的相关报道也曾曝光了这一事件。 点评:Facebook大丑闻与其说是层出出穷的个人信息泄漏事件中之一个,区别无非只是泄漏的信息量大小而已,倒不如说说,这次事件后续,包括相关机构的调查行动、Facebook 的措施,以及扎克伯格的声明,呈现出如何处理日益泛滥的数据泄漏及滥用的典型案例,看事儿别只图热闹,而是要看问题是怎样发生、如何发现以及怎样处理的,这才是专业人士应有的态度。 【金融行业安全动态】详解银监会数据治理指引落地路线 概要:3月16日,银监会为了引导银行业金融机构加强数据治理、提高数据质量、发挥数据价值、提升经营管理能力并发布了《银行业金融机构数据治理指引(征求意见稿)》。 在银监会有关部门负责人就相关问题答记者问中重点强调了四方面的监管要求:1、明确数据治理架构;2、明确数据管理和数据质量控制的要求;3、明确全面实现数据价值的要求;4、加强监管监督。 与此同时,国家质检总局和国家标准委批准发布了《数据管理能力成熟度评估模型》。《指引》和《评估模型》接踵而来,数据治理不再只是部门和企业个体层面,银监会新规将公司数据治理评价与监管评级挂钩。这是数据在国家层面的基础性战略意义,接下来不止银行,保险、电力、电信等各行各业都要更加重视数据治理。 点评:历史一次次演绎着一个道理:互联网狂飙快进之时,银行金融业被诟病为保守滞后,但当安全问题日益凸显时,银行金融业赖以生存和稳定的风控和监管却显示出其定海神针和恪守规范之势,由此可见,包括数据安全在内,整个信息安全发展的态势,就是在一次次从失衡到平衡的循环前进的。 【金融行业安全动态】用区块链来保护隐私是天方夜谭吗? 概要:当前人们在享受互联网时代便利的同时,常常会感慨这是一个没有隐私的年代,如何保护个人隐私成为公众最为关注的话题之一。近两年来,随着区块链走入各行各业,用区块链实现隐私保护成为各类应用的重要卖点之一。 在比特币的技术体系下,区块链为我们提供了一种极为简单的机制,它允许任何人具有无穷多个代号,并且每个人所拥有的代号只有自己知道,即便某一代号被人认出,也不会影响其他代号的匿名性。匿名性是一把双刃剑,从保护隐私的角度来说十分重要,但也为一些违法犯罪行为提供了保护伞。这引发了一些研究人员的关注,他们通过数据分析方法来实现区块链的去匿名化,其目标是找出属于同一对象所拥有的多个代号。 总的来说,在现有的匿名技术下,采用单独的线索破解比特币等区块链网络的匿名性还是较为困难的,未来研究中需要进一步结合多个线索来提高去匿名化的准确度。 点评:“区块链的匿名性一直备受争议。从普通人的角度来看,一方面,他们需要保护自己的隐私,防范个人的敏感数据被其他人用来进行各种欺诈和骚扰,另一方面,他们并不希望区块链为各类恶意行为提供匿名平台,让自己遭受伤害。” 这让我想起了瑞士银行,曾经富豪的藏金地,不过后来,不也“匿”不下去了吗? 全球安全资讯精选合作媒体 · 安在 订阅 NEWS FROM THE LAB 一键订阅刊物 云栖社区专栏获取最新资讯 微博专栏获取最新资讯 一点号获取最新资讯 扫码参与全球安全资讯精选 读者调研反馈
-
发表了文章 2018-03-21
游戏安全资讯精选 2018年第九期:游戏人从自身经历谈对区块链与区块链游戏的思考,Ubuntu 16.04 4.4 系列内核本地提权漏洞,JbossMiner 挖矿蠕虫分析
【相关安全事件】游戏人从自身经历谈对区块链与区块链游戏的思考 概要:首先我们要冷静的认知什么是区块链,区块链有什么特征,区块链背后的思想逻辑是什么、本质是什么?它和你现在的行业有什么可以结合的,能否解决一些痛点或发掘一些新的价值?为什么要区块链化?先搞清楚这些问题。而提到游戏行业这块,现在区块链风口之下很多人会为了区块链而区块链去做产品,有些人认为区块链可以艾西欧发币所以才区块链,也有些人一直揣摩区块链的一些特征去和游戏结合而没深一步的去理解区块链深层意义...这些问题无可厚非,但个人认为是出发点与定位的问题不精准缺乏考量。 我们也一直在线上线下探讨游戏与区块链的结合,也看过一些区块链游戏产品类型。大家都会讨论到底是游戏性重要还是区块链化重要?也或者有人说我的区块链游戏是为了更公平性,为了数据资产有唯一权有交换价值,为了玩家在游戏里有创造价值的体现? ...我的建议是能否抛开手头上的游戏产品,去重新定义设计一款区块链化的娱乐性产品,从这点出发来设计虚拟游戏。对于类型方面个人目前比较看好的是UGC类的社区交互游戏。这类游戏天生有着模拟经营的底子,而模拟经营更能展现虚拟经济的特性。而虚拟经济和区块链目前来看结合度比较高。 【相关安全事件】Ubuntu 16.04 4.4 系列内核本地提权漏洞 概要:2018年3月16日,阿里云云盾应急响应中心监测到国外安全研究人员公开Ubuntu 16.04版本存在高危本地提权漏洞,恶意攻击者可以利用此漏洞来进行本地提权操作。经分析,阿里云云平台自身不受此漏洞影响。阿里云安全应急响应中心建议:尽快开展自查工作并根据厂商更新情况及时更新补丁,以避免攻击者利用该漏洞发动提权攻击。目前,阿里云已发布官方公告,并会以站内信、短信的方式通知用户。 【云上视角】JbossMiner 挖矿蠕虫分析 概要:从2013年的诞生,到2016爆发,挖矿(MiningCryptocurrency) 的高回报率,使其成为了一把双刃剑。据外媒去年的统计,比特币的算力(Hash Rate)已在半年内翻了一翻。 当比特币全网算力已经全面进入P算力时代,也就意味着需要有相应计算能力的设备高速运转,不间断地暴力验证和工作,来支撑矿工们的“野心”。 自2017年11月以来,阿里云安全监控中心成功捕获到一系列的同源挖矿事件,被感染的主机中发现了名为F-Scrack-Jexboss的恶意文件,用于执行挖矿任务,并对外扫描扩散。本次受害主机以Jboss服务为主,我们将其命名为“JbossMiner”。 通过监控JbossMiner相关情报,阿里云安全团队发现,JbossMiner挖矿蠕虫在18年初爆发式增长,随后增速迅猛,近期稍有回落。 点评:本文将以“JbossMiner”的核心代码为基础,分别从扫描、入侵、利用、挖矿等功能进行展开,完整分析并还原整个过程:希望研究者,和非安全专业领域的读者们,能从全局角度看到,挖矿木马如何瞄准“宿主”,扩张木马僵尸网络,并可持续利用。为企业和机构的入侵 - 挖矿防范,提供新的视角。 注:JbossMiner中用到的漏洞,阿里云上已默认可拦截,并且,安骑士已可以检测JbossMiner中的恶意程序,和执行的恶意命令。建议及时关注威胁提示,如有异常事件可尽快处理。 快来阿里云新年采购季限时优惠(点击直接进入会场) 9大实用安全产品,助力企业快速优化安全效果。 把好第一道ROI关卡,让企业安全在2018年全面升级。 今天,从这里开始! 订阅 NEWS FROM THE LAB 一键订阅刊物 云栖社区专栏获取最新资讯 微博专栏获取最新资讯 一点号获取最新资讯 扫码参与全球安全资讯精选 读者调研反馈
-
发表了文章 2018-03-21
金融安全资讯精选 2018年第九期:生物识别技术应用预测,广东网贷平台合规“排名”,JbossMiner 挖矿蠕虫分析
【金融行业安全动态】生物识别技术应用预测 概要:英国的Atom银行已成为全球首家应用人脸识别技术验证客户身份、为客户开户的银行;新韩银行的新用户可在无人网点内使用静脉识别技术作为认证手段自助开户;汇丰银行、浦发银行、微众银行、中原银行、华泰证券、长城证券等均已推出人脸识别开户功能,为银行客户提供安全便捷的金融服务。中原银行的人脸识别技术应用在线下渠道和线上渠道,包括开户、激活、密码重置、挂失换卡等线下交易场景,以及大额转账、征信查询授权、信用卡网申等线上场景; 而指纹识别技术应用于柜面系统柜员登录、交易本地授权及厅堂自助设备交易本地授权、信贷系统征信查询授权和手机银行APP身份识别场景等方面,目前中原银行正在规划应用指静脉识别或虹膜识别功能代替银行卡介质,探索应用识别率高、失误率低的虹膜识别技术取代客户的密码。 点评:云计算和移动访问的日益普及、物联网安全意识的提高,以及数据分析技术的发展带来了更多智能、互联的身份识别体验。由于技术本身给用户带来了很大的便捷性和安全性,反过来用户对技术的接受程度自然而然地会提高,这两者是互为促进的因果关系。在安全风险防范方面,目前生物识别技术在金融场景应用中要解决的是来自于系统和数据两类安全风险——保证系统能阻止和免受各类非法网络攻击,确保生物特征信息被采集后在传输、存储过程中被截获或篡改。 一方面组要提高交叉验证的强度,通过交叉验证进一步降低误识别率。另一方面,应用“活体检测”生物识别技术降低潜在安全风险。此外,用户隐私保护是生物识别需要跨越的第三道门槛。为此,生物识别必须对生物特征进行数据加密和脱敏,确保即使数据泄露,也无法被还原。在法律法规方面,亟须完善和制定相关的经济金融、网络信息安全等相关法律法规,规范生物识别的适用范围、技术安全和信息保护等。最后是加强生物识别相关金融标准研究,建设公共服务平台和服务体系。(来源:金融电子化) 【金融行业安全动态】广东网贷平台合规“排名” 概要:去年12月网贷整治办发布的“57号”文,要求各地于2018年 4 月底之前完成辖内主要网贷机构的备案登记工作,最迟应当于 2018 年 6 月末之前完成相关工作。至2018 年 2 月,广东省金融办终下发了《关于进一步做好全省网络借贷信息中介机构整改验收有关事项的通知》。同时,还发布了《广东省网络借贷信息中介机构合规审核与整改验收工作指引表》和法律意见书、经营专项审核报告、整改验收自评报告 3 个指引文件。融资易平台进军前20强,合规总分值达71.5,位列第8名。其前20名中,大部分为传统知名度、背景实力较强的头部大平台,如团贷网、民贷天下、礼德财富、PPmoney、广州e贷等。 【相关安全事件】Ubuntu 16.04 4.4 系列内核本地提权漏洞 概要:2018年3月16日,阿里云云盾应急响应中心监测到国外安全研究人员公开Ubuntu 16.04版本存在高危本地提权漏洞,恶意攻击者可以利用此漏洞来进行本地提权操作。经分析,阿里云云平台自身不受此漏洞影响。阿里云安全应急响应中心建议:尽快开展自查工作并根据厂商更新情况及时更新补丁,以避免攻击者利用该漏洞发动提权攻击。目前,阿里云已发布官方公告,并会以站内信、短信的方式通知用户。 【云上视角】JbossMiner 挖矿蠕虫分析 概要:从2013年的诞生,到2016爆发,挖矿(MiningCryptocurrency) 的高回报率,使其成为了一把双刃剑。据外媒去年的统计,比特币的算力(Hash Rate)已在半年内翻了一翻。 当比特币全网算力已经全面进入P算力时代,也就意味着需要有相应计算能力的设备高速运转,不间断地暴力验证和工作,来支撑矿工们的“野心”。 自2017年11月以来,阿里云安全监控中心成功捕获到一系列的同源挖矿事件,被感染的主机中发现了名为F-Scrack-Jexboss的恶意文件,用于执行挖矿任务,并对外扫描扩散。本次受害主机以Jboss服务为主,我们将其命名为“JbossMiner”。 通过监控JbossMiner相关情报,阿里云安全团队发现,JbossMiner挖矿蠕虫在18年初爆发式增长,随后增速迅猛,近期稍有回落。 点评:本文将以“JbossMiner”的核心代码为基础,分别从扫描、入侵、利用、挖矿等功能进行展开,完整分析并还原整个过程:希望研究者,和非安全专业领域的读者们,能从全局角度看到,挖矿木马如何瞄准“宿主”,扩张木马僵尸网络,并可持续利用。为企业和机构的入侵 - 挖矿防范,提供新的视角。 注:JbossMiner中用到的漏洞,阿里云上已默认可拦截,并且,安骑士已可以检测JbossMiner中的恶意程序,和执行的恶意命令。建议及时关注威胁提示,如有异常事件可尽快处理。 快来阿里云新年采购季限时优惠(点击直接进入会场) 9大实用安全产品,助力企业快速优化安全效果。 把好第一道ROI关卡,让企业安全在2018年全面升级。 今天,从这里开始! 订阅 NEWS FROM THE LAB 一键订阅刊物 云栖社区专栏获取最新资讯 微博专栏获取最新资讯 一点号获取最新资讯 扫码参与全球安全资讯精选 读者调研反馈
-
发表了文章 2018-03-07
金融安全资讯精选 2018年第八期:2018年将成为区块链应用元年,区块链和加密货币相关的安全问题,勒索和数据武器化等已成网络犯罪主流,投资圈的连续创业者聊安全创业与趋势
【金融行业安全动态】2018将成为区块链应用元年 概要:区块链就是个信任圈——商业交易中经审查的合作者之间的信任。区块链是一种数据结构,可以数字化识别和跟踪交易,并在分布式计算机网络上共享该交易信息,创建一张信任网络。区块链的商业应用如今呈现上升趋势。任何文档都可以被数字化编码,然后插入到区块链中。而且,加入区块链的内容不可更改,该记录的真实性也能受到使用该区块链的整个社区的审查,而不是由单独的集中式机构控制。 2017是区块链进入众人视线的一年。2018将见证区块链技术牵引企业发展。供应链、物流、零售、制造、公共事业和银行业之类垂直行业一直在积极探索区块链的各种应用,比如反欺诈、杜绝浪费、获得更佳可见性和优化业务运营等。(来源:安全牛) 【云上视角】连续创业者丁立心中的安全本质:序 概要:我认为安全是一个充满创新的领域,只是不容易被其它行业感知。因为在安全领域,有一个悖论就是人们往往等待安全事件发生后,才觉得对于安全方面的投资的值得的。 其实,从资本视角来看,安全是一种基于未来风险的投资,和保险很相似。 放在信息领域是一样的:让企业认识到安全重要性的前提,是意识到他的数据的价值有多么珍贵。按照NIST提出的安全模型,业界一般把安全分为识别、保护、检测、响应、追溯这五个环节。每个环节都充斥着不小的创新机会 。 在未来,我认为 企业安全的突破点是大数据,态势感知。本质上是用数据分析代替部分人工决策,做风险管理。 把安全基于云上来做,能享受到轻量、低成本、易延展、高稳定、自动化等技术红利,但云也对传统安全管理思维带来了巨大的冲击,最核心的点是,内网外网的边界模糊。 在传统架构下,企业在 IDC 机房内,搭建一个局域网,围着一堵墙;但是,我们把这些往云上迁移时,很难有一个外网内网的概念。像 Google 之前提到的内网管理机制,建立一个安全网关(Beyond Corp 模型),这是我认为的可取模式。 也就是说,传统安全更多是基于网络边界,比如默认内网是可信的,外网不可信的。但未来,不需要区分内网和外网,而是基于身份管理和权限控制,这是一个非常明显的趋势。 未来,在一个比较理想的情况下,企业只需要关心规则的定制,权限的设置,和数据本身;而不要去关心数据放在哪里,用什么物理介质去存储。这对CISO和技术管理者的思维转型,和技术知识,也有更高的要求。 【云上视角】干货:区块链和加密货币相关的安全问题 概要:关于区块链,关于加密货币,关于比特币,有太多的争论,不过都不是本文的重点。本文将尽量克制幻想,仅从一个安全从业人员的角度阐述时下热门话题背后的安全问题,涉及到:围绕区块链及加密货币的各类安全风险场景;个人用户如何捍卫自己的加密货币资产;企业如何保证计算环境和计算资源安全;区块链技术本身及生态系统的安全。 最后,还将重点展示企业安全技术实践:如何借助阿里云平台上的云安全产品保护企业计算资源和个人加密货币资产的安全。 【相关安全事件】勒索和数据武器化等已成网络犯罪主流 概要:根据 2018 年 “ CrowdStrike 全球威胁报告 “显示:通过分析 176 个国家每天 1000 亿件事件的综合威胁数据发现,勒索和数据武器化已成为网络犯罪分子的主流。以 2017 年为例,CrowdStrike 观察到 ,约有 39%的攻击活动中传统防病毒软件无法检测到恶意软件的入侵,其中制造业、服务业和制药行业面临着最多数的恶意软件威胁。目前根据 CrowdStrike 统计, 2017 年的平均 “ 突破时间 ” 为 1 小时 58 分钟。(来源:InfoSecurity) 【相关安全事件】Memcached被利用UDP反射攻击漏洞预警 概要:本周,阿里云安全中心监测到互联网上存在利用Memcached服务漏洞进行的恶意攻击。如果客户默认开放UDP协议且未做访问控制,在运行Memcached服务时可能会被黑客利用,导致出方向的带宽消耗或CPU资源消耗。阿里云云数据库Memcache版未使用UDP协议,默认不受该问题影响,用户可以放心使用。同时,阿里云提示用户关注自身业务并启动应急排查工作。 受影响范围:用户自建,并对外开放了Memcached 11211 UDP端口的Memcached服务。 排查方案: 1.从外部互联网测试是否对外开放了Memcached 11211 UDP端口,您可以使用nc工具测试端口,并查看服务器上是否运行memcached进程,具体测试方式:测试端口:nc -vuz IP地址 11211;测试是否对外开放memcached服务:telnet IP地址 11211,如果开放了11211端口,则可能受影响;检查进程状态:ps -aux | grep memcached; 2.使用“echo -en "\x00\x00\x00\x00\x00\x01\x00\x00stats\r\n" | nc -u IP地址 11211”命令查看返回内容,若返回内容非空,则表明您的服务器可能受影响。 解决方案: 1.如果您使用了Memcached服务,并对外开放了11211 UDP端口,建议您根据业务自身情况,使用ECS安全组策略或其他防火墙策略封禁公网入方向UDP 11211端口,确保Memcached服务器与互联网之间无法通过UDP来访问; 2. 建议您添加“-U 0”参数重启memcached服务完全禁用UDP; 3.Memcached官方已经发布新版本默认禁用UDP 11211端口,建议您升级到最新1.5.6版本(文件完整性校验sha值:ca35929e74b132c2495a6957cfdc80556337fb90); 4.建议您对在运行的Memcached服务进行安全加固,例如:启动绑定本地监听IP,禁止对外访问、禁用UDP协议、启用登录认证等安全功能,提高Memcached安全性;点击可以查看详细Memcached服务加固手册。 验证方法:修复完毕后,您可以使用以下方法来测试服务器修复措施是否生效: 1.如果您屏蔽了对外TCP协议11211端口,您可以在外网办公电脑上使用命令“telnet ip 11211",如果返回连接失败,则表示已经关闭对外TCP协议11211端口; 2.如果您在服务器上禁用了Memcached服务的UDP协议,您可以运行以下“echo -en "\x00\x00\x00\x00\x00\x01\x00\x00stats\r\n" | nc -u IP地址 11211”命令检测是否关闭memcached 服务UDP协议,查看返回内容,若返回内容为空,则表明您的服务器已经成功修复漏洞,也可以使用“ netstat -an | grep udp”查看UDP 11211端口是否处于监听状态,如果没有监听,则表示已经成功关停memcached UDP协议。 快来阿里云新年采购季限时优惠(点击直接进入会场) 9大实用安全产品,助力企业快速优化安全效果。 把好第一道ROI关卡,让企业安全在2018年全面升级。 今天,从这里开始! 订阅 NEWS FROM THE LAB 一键订阅刊物 云栖社区专栏获取最新资讯 微博专栏获取最新资讯 一点号获取最新资讯 扫码参与全球安全资讯精选 读者调研反馈
-
发表了文章 2018-03-07
游戏安全资讯精选 2018年第八期:3975款游戏被查处,游戏圈重击;Memcached被利用UDP反射攻击漏洞预警;VentureBeat称区块链或可定位和消除恶意可执行代码的安全问题
【游戏行业安全动态】3975款游戏被查处,国内游戏圈重击 概要:据《人民日报》报道,从2017年12月开始,中宣部、公安部、文化部、国家新闻出版广电总局等八大部门联合印发《关于严格规范网络游戏市场管理的意见》,合力查办网络游戏市场重大案件。 而就在几天前,业内人士刚刚得知了TapTap因在境内为大量未经总局审批的境外网络游戏作品提供下载和宣传推广而被给予停业整顿3个月、罚款31.86万元的处罚;企鹅媒体平台则被给予罚款处罚。现在一波未平一波又起,据《人民日报》披露,全国公安机关依法查处了3975款网络游戏,涉嫌网络赌博、血腥暴力、色情低俗等。 从八大部门的联合行动来看,游戏行业确实到了需要整改的时候,而此次力度也表明了相关部门的决心,3975款游戏被查处之后,315不知道有没有游戏公司继续中招。(来源:手游那点事) 点评:近年来“和谐”已经成为了一个决定游戏能否上线的必要的因素,可以说没有经过和谐或者说是和谐不到位的游戏都是不能上线的,除了游戏运营者应取得众多资质牌照方可开展游戏运营之外,对网络游戏的内容也有很严格的要求,比如涉及网络赌博、血腥暴力、色情低俗等内容的游戏都会受到来自监管部门的严厉处罚。 【游戏行业安全动态】VentureBeat:区块链技术会触发游戏行业的新革命,或可定位和消除恶意可执行代码的安全问题 概要:要想将区块链技术与游戏进行结合,最显而易见的方法就是使用同样基于区块链的加密货币,为在游戏内完成成就的玩家提供奖励,让玩家能够购买升级、道具,或者从在线商店购买其他游戏。 事实证明,随着游戏贸易和现实生活中的贸易之间的界限变得模糊,玩家将能够得到更多的自由和机会。例如,一个区块链也可以被用作用于存储游戏记录的数据架构,将玩家在游戏中的每一步都(像一次交易那样)存储在可验证的开放式账本中。当没有人在身边时,你可以通过这种简单的方式记下自己打破纪录的高分。在一款采用区块链架构的游戏中,系统会自动记录,而所有接受密匙的人都能访问历史数据。 可分发代码块也可以储存在区块链中。所有与区块链技术变革联合的产业都开始评估将分布式、可验证数据结构作为分布式计算系统基础的潜力。区块链可以定位和消除恶意可执行代码的安全问题。 不仅是在游戏中, 而且是在互联网连接的世界中的任何地方。 【相关安全事件】Memcached被利用UDP反射攻击漏洞预警 概要:本周,阿里云安全中心监测到互联网上存在利用Memcached服务漏洞进行的恶意攻击。如果客户默认开放UDP协议且未做访问控制,在运行Memcached服务时可能会被黑客利用,导致出方向的带宽消耗或CPU资源消耗。阿里云云数据库Memcache版未使用UDP协议,默认不受该问题影响,用户可以放心使用。同时,阿里云提示用户关注自身业务并启动应急排查工作。 受影响范围:用户自建,并对外开放了Memcached 11211 UDP端口的Memcached服务。 排查方案: 1.从外部互联网测试是否对外开放了Memcached 11211 UDP端口,您可以使用nc工具测试端口,并查看服务器上是否运行memcached进程,具体测试方式:测试端口:nc -vuz IP地址 11211;测试是否对外开放memcached服务:telnet IP地址 11211,如果开放了11211端口,则可能受影响;检查进程状态:ps -aux | grep memcached; 2.使用“echo -en "\x00\x00\x00\x00\x00\x01\x00\x00stats\r\n" | nc -u IP地址 11211”命令查看返回内容,若返回内容非空,则表明您的服务器可能受影响。 解决方案: 1.如果您使用了Memcached服务,并对外开放了11211 UDP端口,建议您根据业务自身情况,使用ECS安全组策略或其他防火墙策略封禁公网入方向UDP 11211端口,确保Memcached服务器与互联网之间无法通过UDP来访问; 2. 建议您添加“-U 0”参数重启memcached服务完全禁用UDP; 3.Memcached官方已经发布新版本默认禁用UDP 11211端口,建议您升级到最新1.5.6版本(文件完整性校验sha值:ca35929e74b132c2495a6957cfdc80556337fb90); 4.建议您对在运行的Memcached服务进行安全加固,例如:启动绑定本地监听IP,禁止对外访问、禁用UDP协议、启用登录认证等安全功能,提高Memcached安全性;点击可以查看详细Memcached服务加固手册。 验证方法:修复完毕后,您可以使用以下方法来测试服务器修复措施是否生效: 1.如果您屏蔽了对外TCP协议11211端口,您可以在外网办公电脑上使用命令“telnet ip 11211",如果返回连接失败,则表示已经关闭对外TCP协议11211端口; 2.如果您在服务器上禁用了Memcached服务的UDP协议,您可以运行以下“echo -en "\x00\x00\x00\x00\x00\x01\x00\x00stats\r\n" | nc -u IP地址 11211”命令检测是否关闭memcached 服务UDP协议,查看返回内容,若返回内容为空,则表明您的服务器已经成功修复漏洞,也可以使用“ netstat -an | grep udp”查看UDP 11211端口是否处于监听状态,如果没有监听,则表示已经成功关停memcached UDP协议。 【云上视角】干货:区块链和加密货币相关的安全问题 概要:关于区块链,关于加密货币,关于比特币,有太多的争论,不过都不是本文的重点。本文将尽量克制幻想,仅从一个安全从业人员的角度阐述时下热门话题背后的安全问题,涉及到:围绕区块链及加密货币的各类安全风险场景;个人用户如何捍卫自己的加密货币资产;企业如何保证计算环境和计算资源安全;区块链技术本身及生态系统的安全。 最后,还将重点展示企业安全技术实践:如何借助阿里云平台上的云安全产品保护企业计算资源和个人加密货币资产的安全。 快来阿里云新年采购季限时优惠(点击直接进入会场) 9大实用安全产品,助力企业快速优化安全效果。 把好第一道ROI关卡,让企业安全在2018年全面升级。 今天,从这里开始! 订阅 NEWS FROM THE LAB 一键订阅刊物 云栖社区专栏获取最新资讯 微博专栏获取最新资讯 一点号获取最新资讯 扫码参与全球安全资讯精选 读者调研反馈
-
发表了文章 2018-03-02
医院成黑客勒索重灾区 阿里云表示:愿为医疗机构提供安全公益排查支持
在《实习医生格蕾》最新十四季的第九集中,格蕾斯隆纪念医院遭遇黑客入侵,要求医院支付巨额比特币,否则医院各种系统都被黑,不能使用。 不料,转眼类似的事情就在中国上演。近日有媒体报道国内湖南、上海两地有医院系统被入侵,黑客要求支付比特币才能恢复正常。 3月1日,阿里云发起一项公益行动,向全国医疗机构提供安全排查及策略建议。 阿里云安全事业部总经理肖力表示: 勒索软件很难提前预估目标。而且与以往病毒攻击不同,勒索软件的对象不是计算机系统、设备,而是数据。一旦数据被加密,全世界的安全公司几乎都很难解密。所以提前防御是应对黑客最好的手段。我们的安全工程师看到这样的新闻非常痛心,自发组织了一个小分队,愿以自身多年防御经验,帮助医疗机构防患于未然。 为什么中招的是医院? 近年来,随着医院信息化建设力度的加大,医院的信息安全问题也成为业界关注的焦点。我国的医院信息化安全建设主要存在三大误区: 误认为医院网络通常是隔离的内网,不会有安全问题,因此不注重安全建设; 头痛医头,脚痛医脚的安全建设思路,哪儿出了问题补哪儿,不注重体系化和纵深防御; 以静态的观念去搞安全建设,买了一堆的盒子设备,却不注重安全运营。因而造成医院的信息系统防护能力偏弱,同时医疗机构工作人员网络安全意识薄弱,因此容易成为黑客攻击勒索的对象。 安全认识上的误区、建设上不系统,管理上的不规范,给医院业务和管理都带来极大的风险。 信息化系统的瘫痪,会对于医院、患者来说,损失也是非常巨大的,甚至危及患者的生命安全。医院中的医学记录、数据、病患资料以及预约信息等等,都属于需要紧急使用的信息,被加密后势必会想尽办法以最快速度恢复数据,这也使医疗信息成为黑客近年来攻击的主要目标之一。 勒索病毒会有多大的危害? 加密勒索软件(ransomware)是一种恶意软件。黑客一般会想法设法将这类软件植入受害机构或者企业的系统中,将这类用户的数据资产包括文档、邮件、数据库、源代码、图片、压缩文件等多种文件加密,然后索要赎金。 受害者在没有私钥的情况下,一般无法恢复文件。如需恢复重要资料,只能被迫支付赎金。 去年WannaCry爆发时,英国国立医疗服务(NHS)系统就曾成为重灾区,旗下248个医疗机构中有48个受到攻击,许多医院正常的治疗活动受到影响,部分病人被迫转院。 肖力认为:虚拟货币的匿名性和价格持续高涨,提高了追踪难度,也让更多黑客愿意铤而走险,变种的勒索软件还会长期持续存在,攻击事件会越来越多。 目前,每天阿里云帮助全中国(大陆)40%的网站成功抵御16亿次攻击,每天防御2000次DDoS攻击。 2017年,帮助用户修复613万漏洞。 “因为这样的经验的积累,我们看待这件事情,不仅仅是分析和处理这些勒索病毒,或者归结为单一的安全漏洞问题,我们看到的是传统企业在数字化转型中安全架构和安全治理的问题。今天可能是医院,明天或许是其他影响人民衣食住行的各个行业”,肖力表示。 阿里云愿为医疗机构提供安全公益排查支持 信息时代技术更替交叠,变化非常快,一个勒索病毒可能24小时之后就会发生你想象不到的变化或者说时间会更短,或许今天这件事是因为这个病毒,可能下一次是另一个病毒或者是其他系统漏洞带来的未可知的威胁,但是其最终迫害力是类似的。 阿里云早在2017年5月就对外推出了企业预防勒索解决方案,从可靠的数据备份、强大的安全防护、完善的漏洞管理和全面的安全监测四个方面预防勒索软件的危害。 看到网上的新闻报告后,阿里云安全团队的工程师非常愤怒黑客的行为。勒索软件很难提前预估目标。降低或者尽可能避免网络威胁需要在安全布局上早做准备,防患于未然。 肖力表示:“欢迎对云上安全排查有需求的机构在阿里云安全产业扶助计划(https://security.aliyun.com/grow)申请,我们会审核评估之后,提供免费安全检测、技术咨询等服务。” 进入阿里云安全产业扶助计划 https://security.aliyun.com/grow
-
发表了文章 2018-03-01
游戏安全资讯精选 2018年第七期:棋牌游戏的商业模式和风险,黑客利用Apache CouchDB中的两个“老漏洞”挖币,阿里云成功防御国内最大规模Memcached DDoS反射攻击
【游戏行业安全动态】这篇文章告诉你棋牌游戏过往和未来 概要:由于棋牌游戏本身特殊性,相对传统网络游戏更加的“轻度”,用户的使用环境也会有所不同。 A、非WIFI网络用户多:常规的棋牌游戏在流量消耗以及对网络环境的要求比较低,且碎片化场景更多,也是促使棋牌游戏在网络环境上大多数用户依然是非WIFI;所以在产品设计上要尽量考虑到流量消耗方面,有大消耗比如视频等玩法的时候要提醒用户使用WIFI; B、低端机多:棋牌游戏的简单的画面,所以对低端机也有天生的友好; C、年龄层偏上,男性用户为主; D、地域性强,主要分布在四川、重庆、江苏以及沿海城市。 棋牌游戏最大的风险在于“涉赌”,很容易被“有心人”用来作为赌博的工具,所以开发者必须了解相关法律法规,规避风险才能长远发展。整理了常见相关政策要求,供参考: 1.禁止资金双向流动;禁止接受投注的、提供给他人组织赌博、参与赌博网站利润分成。 2.不得在用户直接投入现金或虚拟币前提下采取抽签、押宝、随机收取等偶然方式分配游戏道具或者虚拟货币;不得以偶然方式获得金币;不得提供用户间赠予转让游戏积分等转账服务。 3.网络游戏经营单位不得收取或以“虚拟货币”等方式变相收取与游戏输赢相关的佣金。 再看看规避政策: 1.玩家输赢的都是虚拟的无价值的数值,不能界定为“财物输赢”,则不涉及赌博。 2.不以营利为目的,进行带有少量财物输赢的娱乐活动,以及提供棋牌室等娱乐场所只收取正常的场所和服务费用的经营行为等,不以赌博论处;游戏中进行财富输赢必须设置上限。 3.提供游戏服务,允许收取费用。在收取费用的方式上不能采用类似赌场抽水的方式,从赢家赢取的额度中按照比例抽水。而应该采用与玩家输赢没有必然关系的收取方式。(来源:棋牌游戏圈) 点评:游戏行业2017年活在腾讯和网易阴影下的游戏公司开始另辟蹊径,棋牌是去年的一个热门领域,竞争非常激烈,竞争的同时也伴随诸多安全问题。由于门槛太低,也存在一些不规范的厂商破坏竞争氛围,打破游戏竞技娱乐的初衷,可以预见今年随着网络安全法问世,国家监管层会加大监管力度,规范游戏厂商合法经营,创造和谐稳定经营氛围。 【相关安全事件】黑客利用Apache CouchDB中的两个“老漏洞”挖币, 概要:此次被利用的两个漏洞是在2017年11月15日被公开披露。它们分别是: 高危:Apache CouchDB JSON远程特权升级漏洞(CVE-2017-12635) 高危:Apache CouchDB _config命令执行(CVE-2017-12636) 前者被描述为远程特权提升漏洞,后者则是一个命令执行漏洞。以上两个漏洞在2017年发布官方公告,并表示已经被修复 。 具体来讲,CVE-2017-12635是由于Erlang和JavaScript对JSON解析方式的不同,导致语句执行产生差异性导致的,可被利用于赋予任意用户系统管理员权限;CVE-2017-12636则是由于数据库自身设计原因导致的,拥有系统管理员权限的用户可以通过HTTP(S)方式配置数据库。在某些配置中,用户可以设置可执行文件的路径,以在数据库运行范围内执行。两者结合,则可实现任意代码远程执行。 (漏洞情报来源:趋势科技) 【云上视角】758.6G每秒:阿里云成功防御国内最大规模Memcached DDoS反射攻击 概要:本周,阿里云安全DDoS监控中心数据显示,利用Memcached 进行DDoS攻击的趋势快速升温。今天, 阿里云已经成功监控和防御一起流量高达758.6Gbps的Memcached DDoS反射攻击。 点评:随着利用Memcached进行DDoS攻击技术的公开,越来越多尝试使用Memcached进行反射的DDoS发生,并且此类型DDoS攻击正快速上升。近期,黑客已经扫描并收集全球可以被利用的MemcachedIP,并出现大量试探性超大流量Memcached DDoS攻击,下一步Memcached大流量DDoS攻击将成熟化并大量出现,成为黑客新的利器。 当前互联网上的反射点数量及危害 整个互联网可以用于Memcached反射的IP达到数十万,为攻击者提供了海量的军火库。 随着超大流量DDoS发起难度降低,IDC和云服务商需要储备更多的网络带宽用于防御,中小型IDC将很难应对这种超大规模DDoS攻击,只有具备超大带宽和运营商黑洞能力的云服务商才能有力应对。 目前,阿里云已提供Memcached安全配置建议,并在安骑士提供修复引导,帮助云上用户修复Memcached风险。高防IP中已提供UDP反射封禁服务。 快来阿里云新年采购季限时优惠(点击直接进入会场) 9大实用安全产品,助力企业快速优化安全效果。 把好第一道ROI关卡,让企业安全在2018年全面升级。 今天,从这里开始! 订阅 NEWS FROM THE LAB 一键订阅刊物 云栖社区专栏获取最新资讯 微博专栏获取最新资讯 一点号获取最新资讯 扫码参与全球安全资讯精选 读者调研反馈
-
发表了文章 2018-03-01
金融安全资讯精选 2018年第七期:JP摩根大通首次承认加密货币是“风险”,比特大陆利润或赶超英伟达,Mindlost勒索病毒技术分析,阿里云愿为医疗机构提供安全公益排查支持
【金融行业安全动态】JP摩根大通首次承认加密货币是“风险” 概要:在周二下午发布的JP摩根大通年度报告中,该银行首次将比特币和以太坊等加密货币列为其业务面临的“风险因素”,承认数字货币是新的竞争形式,实际上会与这家银行激烈竞争。 该银行在报告中写道:“金融机构和非银行竞争对手都面临一个风险,那就是支付处理和其他服务可能会被诸如加密货币之类不需要中介的技术所颠覆。” 该银行补充道,新技术已经要求该公司投入资金,调整或修改产品以吸引和留住客户,并与来自科技新兴公司的新产品展开竞争,预计这个趋势会持续下去。报告称:“持续或加剧的竞争可能会给JP摩根大通的产品和服务的价格和费用带来下行压力,或者导致JP摩根大通失去市场份额。” 在这家银行披露报告前,竞争对手美国银行上周在自己的年度报告中也有过类似的承认。在那份提交的报告中,美国银行特别强调了这个潜在的风险:客户们转向“在我们认为投机性或高风险的领域(比如加密货币)”提供产品和服务的竞争对手。 JP摩根大通的发言人拒绝评论该公司为何现在决定将加密货币列入其面临的风险因素。不过这家银行已越来越认识到了区块链技术和基于该技术的加密货币具有的颠覆性力量,该银行已成为率先倡导自行开发基于以太坊的区块链的金融机构之一。比如本月早些时候,JP摩根大通的区块链项目负责人奥马尔•法鲁克(Umar Farooq)向外界介绍了这家银行内部在如何迅速积极地采用这项技术。(来源:云头条) 【金融行业安全动态】比特大陆利润或赶超英伟达 概要:伯恩斯坦(Bernstein)的分析师估算,比特大陆(Bitmain)正成为比特币“挖矿”行业的领军企业,而且去年的营业利润或与美国芯片巨头英伟达持平。分析师计算后认为,按照 75% 的毛利率和 65% 的经营利润率的保守估计,比特大陆在 2017 年的营业利润为 30 亿美元至 40 亿美元。则英伟达公司同期的营业利润可为 30 亿美元,实现了英伟达24年的目标。(来源:新智元) 【相关安全事件】SSO统一身份认证SAML安全绕过漏洞,AWS/微软/Google受影响 概要:美国CERT给出的受影响范围较大,涉及15家主流安全厂商和CSP。攻击者利用SAML漏洞无须知道受害者密码,就可以通过他的账户验证。该漏洞关联到6个CVE ID,目前影响5个供应商。美国CERT发出预警通告。阿里云未用SAML,不受影响。(来源:安全+)。 【相关安全事件】独家技术分析:新型勒索病毒MindLost 概要:阿里云安全团队分析后发现,该病毒运行后会”隐藏”自己,然后后台加密采用随机秘钥的128位的aes算法,加密样本账户的电脑的Users目录下的文件,如果后缀为".txt",".jpg",".png",".pdf",".mp4",".mp3",".c",".py"的文件就直接加密,且解密赎金达到200美元。 点评:目前,阿里云安全团队总共获取到Mindlost的6个样本文件,通过时间戳分析,最早编译时间在2018.01.15, 此时的样本并未做代码混淆。 在2018.01.25编译的版本中,已经对代码做了混淆。但所有样本都包含调试信息,其中较为敏感的是pdb文件路径” /Users/danielohayon/Documents/Mindlost/Mindlost/Mindlost/Encryptor/obj/Debug/Encryptor.pdb”,Mindlost的名字也是来自于此,路径中还包含了样本账户名danielohayon,由此猜测该勒索病毒还在开发中,就被已各安全人员发现。 当然,也不排除作者故意留下关键路径迷惑大家。 像这样的勒索软件样本,阿里云安全团队每天都会处理很多,大多都能通过及时的预警,病毒库与防御规则更新,将其在云上的影响降至最低。截至2月3日,阿里云平台客户不受MindLost勒索软件影响。 补充阅读: 阿里云安全团队建议:https://yq.aliyun.com/articles/427148?spm=a2c4e.11155435.0.0.1ba8a9dbcPcizn 加密勒索病毒处理方案 https://help.aliyun.com/knowledge_detail/50358.html 加密勒索事件防护方案 https://help.aliyun.com/knowledge_detail/48701.html 【云上视角】医院成黑客勒索重灾区 阿里云表示:愿为医疗机构提供安全公益排查支持 概要:近年来,随着医院信息化建设力度的加大,医院的信息安全问题也成为业界关注的焦点。我国的医院信息化安全建设主要存在三大误区: 第一就是误认为医院网络通常是隔离的内网,不会有安全问题,因此不注重安全建设; 第二是头痛医头,脚痛医脚的安全建设思路,哪儿出了问题补哪儿,不注重体系化和纵深防御; 第三是以静态的观念去搞安全建设,买了一堆的盒子设备,却不注重安全运营。因而造成医院的信息系统防护能力偏弱,同时医疗机构工作人员网络安全意识薄弱,因此容易成为黑客攻击勒索的对象。 点评:阿里云安全事业部总经理肖力认为,虚拟货币的匿名性和价格持续高涨,提高了追踪难度,也让更多黑客愿意铤而走险,变种的勒索软件还会长期持续存在,攻击事件会越来越多。 信息时代技术更替交叠,变化非常快,一个勒索病毒可能24小时之后就会发生你想象不到的变化或者说时间会更短,或许今天这件事是因为这个病毒,可能下一次是另一个病毒或者是其他系统漏洞带来的未可知的威胁,但是其最终迫害力是类似的。欢迎对云上安全排查有需求的机构在阿里云安全产业扶助计划(https://security.aliyun.com/grow)申请,我们会审核评估之后,提供免费安全检测、技术咨询等服务。 快来阿里云新年采购季限时优惠(点击直接进入会场) 9大实用安全产品,助力企业快速优化安全效果。 把好第一道ROI关卡,让企业安全在2018年全面升级。 今天,从这里开始! 订阅 NEWS FROM THE LAB 一键订阅刊物 云栖社区专栏获取最新资讯 微博专栏获取最新资讯 一点号获取最新资讯 扫码参与全球安全资讯精选 读者调研反馈
-
发表了文章 2018-02-27
花好今年企业安全预算的第一步:采购季限时优惠开始拉!
新年上班第一周,全球企业都在计划如何花好第一笔IT预算。安全上的投资,也成了CISO们重点投资的TOP3。 Spotlight最新调查显示,33%的企业计划将IT安全领域预算的大部分用于提高云计算安全。 ClubCISO的信息安全成熟度报告中,66%的企业管理者回答,今年的信息安全预算有所增加。 花好新年第一笔安全预算: 快来阿里云新年采购季限时优惠(点击直接进入会场) 抽奖满返,省钱省心, 9大实用安全产品,助力企业快速优化安全效果。 把好第一道ROI关卡,让企业安全在2018年全面升级。 今天,从这里开始! (保存图片可转发,扫描二维码直接进入会场)
-
发表了文章 2018-02-14
重要预警 | 阿里云捕获一例针对国内群呼系统的0day攻击
摘要 近日,阿里云安全团队基于态势感知 0day 监测系统,检测到来自立陶宛的攻击者的攻击行为。 据情报信息,该攻击者已批量攻击成功,并且,其使用的 Exploit 在互联网范围内未公开。阿里云安全技术团队接到告警后,第一时间协同漏洞研究、安全产品和应急团队,进行分析和处置。 分析后发现,该攻击针对于国内某运营商合作群呼系统 — 暂称为Next群呼系统。 攻击者目前仅做小范围试探,并未进一步进行黑产变现;但根据攻击行为预判:因攻击者已经将受影响的目标已经存入数据库,待时机成熟时,不排除攻击者讲使用黑产技术,进行批量的变现的可能。目前,阿里云云盾WAF默认支持防御。 攻击行为分析 阿里云安全团队发现,原始的攻击报文会尝试读取用户的/etc/passwd,附带一个奇怪的特征在 POST 数据段“|||0\u05ab|\\”,推测可能是黑客用来标识自己的扫描流量。 攻击成功后,/etc/passwd将被回显: HTTP/1.1 200 OK Date: Sat, 10 Feb 2018 13:09:40 GMT Server: Apache/2.2.14 (CentOS) X-Powered-By: PHP/5.3.5 Content-Disposition: attachment; filename="passwd" Pragma: no-cache Vary: Accept-Encoding Content-Length: 1103 Content-Type: application/x-gzip root:x:0:0:root:/root:/bin/bash bin:x:1:1:bin:/bin:/sbin/nologin daemon:x:2:2:daemon:/sbin:/sbin/nologin adm:x:3:4:adm:/var/adm:/sbin/nologin lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin sync:x:5:0:sync:/sbin:/bin/sync shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown halt:x:7:0:halt:/sbin:/sbin/halt mail:x:8:12:mail:/var/spool/mail:/sbin/nologin uucp:x:10:14:uucp:/var/spool/uucp:/sbin/nologin operator:x:11:0:operator:/root:/sbin/nologin games:x:12:100:games:/usr/games:/sbin/nologin gopher:x:13:30:gopher:/var/gopher:/sbin/nologin ftp:x:14:50:FTP User:/var/ftp:/sbin/nologin nobody:x:99:99:Nobody:/:/sbin/nologin vcsa:x:69:69:virtual console memory owner:/dev:/sbin/nologin saslauth:x:499:76:Saslauthd user:/var/empty/saslauth ... 该攻击者从2018-02-10 14:54:23开始,对该漏洞进行批量攻击,截止到目前扫描仍未停止,已有相当数量的“裸奔”(没有任何安全措施防护)的服务器中招。 从攻击行为来看,目前该黑客只是做了漏洞的探测,并没有对漏洞进一步的利用,很可能是还未找到有效的变现手法。 阿里云团队也预测和提醒,不排除黑客已经将受影响的目标存入数据库,待时机成熟时,使用黑产技术进行批量的变现 — 因而提前做好防范十分重要。 从攻击趋势来看,黑客持续且稳定的进行漏洞扫描,逐渐扩大自己的战果,不排除攻击者增加多台服务器同时进行扫描。 漏洞详情 该 CMS (建站系统)属于某运营商合作群呼系统(因没有具体名字,暂称为Next群呼系统),在国内有一定数量的企业在使用。 阿里云安全团队对 CMS 进行了简单评估,定位根目录下downtar.php文件: <?php function get_browser_type() { $USER_BROWSER_AGENT=""; if (ereg('OPERA(/| )([0-9].[0-9]{1,2})', strtoupper($_SERVER["HTTP_USER_AGENT"]), $log_version)) { $USER_BROWSER_AGENT='OPERA'; } else if (ereg('MSIE ([0-9].[0-9]{1,2})',strtoupper($_SERVER["HTTP_USER_AGENT"]), $log_version)) { $USER_BROWSER_AGENT='IE'; } else if (ereg('OMNIWEB/([0-9].[0-9]{1,2})', strtoupper($_SERVER["HTTP_USER_AGENT"]), $log_version)) { $USER_BROWSER_AGENT='OMNIWEB'; } else if (ereg('MOZILLA/([0-9].[0-9]{1,2})', strtoupper($_SERVER["HTTP_USER_AGENT"]), $log_version)) { $USER_BROWSER_AGENT='MOZILLA'; } else if (ereg('KONQUEROR/([0-9].[0-9]{1,2})', strtoupper($_SERVER["HTTP_USER_AGENT"]), $log_version)) { $USER_BROWSER_AGENT='KONQUEROR'; } else { $USER_BROWSER_AGENT='OTHER'; } return $USER_BROWSER_AGENT; }$fullpath = isset($_REQUEST['fullpath']) ? trim(urldecode($_REQUEST['fullpath'])) : '';$now = gmdate('D, d M Y H:i:s') . ' GMT';$USER_BROWSER_AGENT= get_browser_type();$basename = basename($fullpath);header("Content-Type: application/x-gzip");header('Expires: ' . $now);if($USER_BROWSER_AGENT == 'IE'){ header("Content-Disposition: attachment; filename=\"$basename\""); header('Cache-Control: must-revalidate, post-check=0, pre-check=0'); header('Pragma: public');}else{ header("Content-Disposition: attachment; filename=\"$basename\""); header('Pragma: no-cache');}readfile($fullpath);?> 源码中将$_REQUEST参数直接传入readfile函数,导致任意文件读取。 安全建议 为了避免黑客进行批量利用造成更大影响,阿里云安全建议相关企业,及时进行自测: (1)如果存在漏洞,可以快速热修复:直接将 downtar.php 的 50 行 readfile 函数进行注释。 (2)可使用阿里云云盾Web应用防火墙,默认防护此类攻击。 后记 阿里云安全团队目前尚未研究该措施对于该 CMS 正常使用的影响,在进一步的研究修补方案的同时,我们也会将漏洞同步给 CMS 的开发商,请受影响的用户及时关注后续的通知。
-
发表了文章 2018-02-11
春节来临,面对网络威胁,我们应该如何保障业务安全,轻轻松松过大年?
阿里云安全最受欢迎产品春节限时折扣 迅速获得春节一份“安心”! 来聚能聊,点击参与春节安全话题! 一年一度的中国春节即将来临,这是中国人自己的节日,算是年终给自己放大假。恶意的网络攻击人员自然也不会放过这一大好机会,如果您是互联网业务系统的管理人员,在放春节到节日结束这段期间,一定要特别做好准备工作,防患网络安全攻击事件。 场景一:DDoS攻击 分布式拒绝服务(DDoS)攻击是目前主流的网络层攻击类型,如果DDoS造成通信电路拥塞,那么就无法持续提供服务,尤其是游戏行业、金融服务行业的业务系统,遭受DDoS攻击的机率较高,对业务可用性影响大。 场景二:CC攻击 恶意攻击人员通过自动化软件绕过安全验证码对业务系统的短信接口、交易接口进行大量的CC攻击,耗尽服务器资源,导致业务无法打开,对业务有高的安全风险。 场景三:Web攻击 通过web业务系统漏洞入侵业务系统,盗取业务数据、交易数据、客户数据,严重影响业务稳定性。 场景四:加密勒索攻击 2017年,受比特币行情大幅上涨态势,黑客利用各种操作系统、web应用软件层面的漏洞,成功入侵服务器,植入挖矿或加密勒索木马,利用业务服务器进行挖矿谋取利益。挖矿木马会耗费大量的CPU计算资源,影响业务的可用性,导致业务中断,从而给业务带来一定的经济损失。 安全建议: 安全防御方法论参考纵深防御垂直技术栈的思路,我们针对以下几类用户提供有针对性的安全建议: 1.长期被DDoS攻击的用户 业务经常被DDoS攻击的用户建议提前做好应急预案,如果使用了DDoS高级防护服务的用户,建议提升DDoS弹性防御带宽,确保账号内有足够的费用。 如果担心春节期间被攻击,您可以考虑选用DDoS高级防护服务,并开启短信告警功能,实时了解攻击和防御情况。 预估春节期间的业务访问量,对业务进行压测,根据业务压测结果,有针对性的扩容和优化。 关于DDoS攻击防御最佳实践详情参见: 13 https://help.aliyun.com/knowledge_detail/65932.html 2.业务接口经常被CC攻击的用户 建议使用web应用防火墙进行安全防护; 优化当前的网络访问控制策略,禁用不必要的服务端口; 对服务器进行安全加固,防止耗尽资源。 3.业务存在较多高危安全漏洞的用户 如果您担心网站被入侵或被加密勒索,需要在春节前对技术防御层面排查和加固,以下为您提供指导方向: 如果您不知道自己的业务是否有漏洞,可以使用安骑士或第三方的安全漏洞工具或服务发现安全漏洞,根据安全检测报告,确定漏洞修复优先级,并及时修复安全漏洞。 关于加密勒索或重大高危漏洞事件防御可以参考:https://help.aliyun.com/knowledge_detail/48701.html 安全技术防御是一个体系化的工作,需要按照安全最佳实践结合自身业务环境,多方位持续性的自查风险、改善,采取有重点的保护防范措施,在人、技术、流程三维度以提高业务系统安全性。 阿里云安全最受欢迎产品春节限时折扣 迅速获得春节一份“安心”! 来聚能聊,点击参与春节安全话题!
-
发表了文章 2018-01-31
金融安全资讯精选 2018年第五期:“十三五”金融网络安全建设要点浅析,互联网金融黑中介起底,汇通天下云上微隔离实践
【金融行业安全动态】“十三五”金融网络安全建设要点浅析 概要:随着金融行业“十二五”建设的完毕,中国人民银行于2017年6月发布了《中国金融业信息技术“十三五“发展规划》(以下简称“十三五”规划)。“十三五”规划与《中国金融业信息化“十二五“发展规划》(以下简称“十二五”规划)相比,我们可以看到监管机构针对网络安全领域的要求发生了显著变化。 在“十二五”规划中,我们理解监管机构主要强调了三点:一是提高金融机构业务连续性保障能力;二是提高信息安全管理水平,三是提升信息安全防护水平。而在“十三五”规划中,可以看到以下三方面变化:一是提出“坚持安全与发展并重”的原则;二是确定了包括健全和提高网络安全管理机制、新技术应用风险防控能力、安全生产和网络安全防护能力的网络安全保障体系发展目标;三是明确了提高安全生产能力、安全管理水平和全面推进落实网络安全法的重点任务。 结合“十三五”规划的要求,本文从六个方面阐述对当前及未来金融行业信息安全要点的理解。(来源:金融电子化 / 文:绿盟科技) (1)金融机构网络安全与国家安全战略发展的一致性 (2)满足监管合规要求并不足以完全应对安全威胁 (3)“互联网+”金融发展带来持续安全挑战 (4)新技术发展及应用提出了更高的安全保障要求 (5)安全管控步入能力提升阶段 (6)传统威胁不容忽视 【金融行业安全动态】互联网金融黑中介起底 概要:互联网金融黑中介主要对行业带来这些影响。 (1)收取客户高额的前期、中期、后期费用。前期就是指还没下款就要收费,其他以此类推,加重了借款人还款压力。 (2)探测口子规则,熟练掌握各类作弊技术。中介们的敏锐性很高,对风控规则变化极为敏感,能够迅速捕捉漏洞。甚至!很多中介就是原来的风控人员! (3)包装用户材料,炒作信用骗取额度。前面介绍到了,其实技术还有很多,而且在不断对抗升级。 (4)坑蒙拐骗影响平台信誉。中介们巧舌如簧,下了贷款就说自己有内部关系,下不了贷款就造谣污蔑。拿到了审批后的贷款,直接吞没跑路也屡见不鲜。 (5)客户群体黄、赌、毒低质量。其实很容易想明白,什么人会需要去互联网上借几千块钱?为什么戒赌吧论坛现在几乎变成了贷款论坛?还有整形分期业务,是什么人在借款做整容?从这批客户中赚钱,火中取栗。 (6)专业化、团伙化倾向。互联网金融是把线下贷款变成了线上,原来就具有的团伙化与生俱来,在新的技术驱动下,也朝着更为专业化的方向前进。他们目前还比不上专业黑客技术,但这是和钱打交道的行业,利润高多了。所以可以想象得到,有钱的地方就有人才、技术进入。 (7)向欺诈演变。最危险的其实就是这个,假设你是中介,左手掌握着大量借款人的资料,右手掌握着各金融平台漏洞,你会怎么做?显而易见会铤而走险,走向欺诈骗款的道路。(来源:Freebuf) 【相关安全事件】PHP GD库拒绝服务漏洞安全建议 概要:2018年01月22日,外国安全研究人员发现PHP环境存在拒绝服务漏洞,通过该漏洞,利用精心构造的GIF图片PoC触发PHP进程挂起崩溃,导致网站功能受到影响,从而影响服务,目前PoC已公开,由于使用PHP语言开发的网站使用GD库实现上传图片功能,建议用户关注。 利用精心构造的GIF图片PoC上传并耗尽服务器资源,从而导致PHP进程挂起崩溃,导致服务中断,对业务存在一定的安全风险。 漏洞利用条件和方式为,通过PoC直接远程利用。 目前PoC已经公开。 漏洞影响范围: PHP 5 < 5.6.33版本 PHP 7.0 < 7.0.27版本 PHP 7.1 < 7.1.13版本 PHP 7.2 < 7.2.1版本 点评:开发人员可以检查是否使用了受影响版本范围内的PHP版本。目前,PHP官方已经发布新版修复该漏洞,开发或运维人员可以下载手工更新。 建议在版本升级前做好测试工作,同时使用ECS快照功能做好数据备份工作。 【相关安全事件】软件集成平台Jenkins大量敏感证书及日志泄露 概要:研究人员表示,没有利用任何 软件集成平台Jenkins漏洞,就在互联网上发现了暴露 2万5千个Jenkins实例 ,从这些实例中发现了不少大型公司 泄露了敏感证书和日志文件,这都可能会引发 数据泄露事件。 Jenkins是最受欢迎的开源自动化服务器,由CloudBees和Jenkins社区维护。 自动化服务器支持开发人员构建,测试和部署其应用程序,在全球拥有超过133,000个活跃安装实例,用户超过100万。 研究人员使用Shodan搜索引擎来查找可在线访问的Jenkins服务器,他发现了约25,000个实例。其中大约一半的分析显示,10-20%的实例存在配置错误,然后研究人员手动分析每个实例,并通知受影响的供应商。 Tunç强调,Jenkins通常需要代码存储库的凭据,并访问部署代码的环境,通常是GitHub、AWS和Azure。未能正确配置应用程序可能会使数据面临严重风险。 研究人员发现,许多配置错误的系统默认提供访客或管理员权限,而其他的一些则允许访客或管理员访问任何注册账户。 点评:Tunç还发现一些Jenkins服务器使用了Github或Bitbucket的SAML / OAuth身份验证系统,但不幸的是,任何GitHub或Bitbucket帐户都可以登录,而不是合法的所有者。 “专家在一篇博客文章中写道。 这些配置错误通常有: 任何人都可以使用访客或管理权限在互联网上公开访问 - 访客可以拥有管理权限,这简直就是灾难 某些Web应用程序确实是在登录提示之后,但却允许“自助注册”,进而被授予访客或管理员权限 某些Web应用程序确实是使用Github或Bitbucket的SAML / OAuth登录验证,但被错误配置为允许 任何 Github / Bitbucket帐户登录到Jenkins,而不是锁定到 组织的用户池。Tunç报告说,他分析的这些错误配置的实例,大多也都泄露了敏感信息,包括专用源代码库的证书,部署环境的证书(例如用户名、密码、私钥和AWS令牌)以及包括凭证和其他信息的作业日志文件敏感数据。 研究人员还发现,Google在 jenkins 上暴露了敏感的代币,该公司在通过Google 漏洞奖励计划得到通知后,迅速解决了这个问题。 专家发现的其他情况是: 伦敦政府资助的运输, 伦敦交通运输机构 ; 超市Sainsbury's和Tesco; 为儿童制造玩具的公司; 信用审查公司ClearScore; 报纸出版社 News UK ; 教育出版商 Pearson 和报纸出版商 News UK 。 【云上视角】汇通天下:如何处理年久失修的服务器,让安全可见度提升 概要:汇通天下(G7)是一家大规模的智慧物联网公司,客户数量超过4万家,连接车辆总数超过60万辆,客户类型覆盖快递、快运、城市配送、专业运输、合同物流等物流全领域。G7车队管理服务已成为中国物流运输领域上下游协作的重要工具和基础数据协议。但G7也有自己的苦恼:云端环境的安全隔离,并不像企业内网的安全隔离,那么容易落地。 G7在阿里云具有上千台云服务器,遍布在多个区域的多个VPC下,其中一个VPC的服务器数量超过600台。这600台服务器是G7的核心业务,承载的多个生产系统的运行,同时,也承载了多个子业务的数据交互。那么,业务分区分组的安全隔离,自然就无法或缺。可是,G7在部署业务分区的时候,却遇到了很多障碍,让其无法推进,甚至放弃。 由于资产运维没有跟上,很多服务器已经被改变了用途但不得而知,这就是服务器的“年久失修”,而且从“实例ID/名称”已经无法了解服务器的真实用途了。同时,服务器之间的访问关系也会因为“年久失修”,变得更加错综复杂...... 基于这样的前提下,“东西向隔离”将变成了一件很危险的工作,稍有错误的策略,将造成业务的中断。所以,通常被迫的做法就是,将东西向(横向)的策略口子放得很大,以确保业务的稳定。 但是,这无形增大了整个网络的攻击面,黑客的恶意流量将更加容易触达核心资产,这样的风险同样也是难以接受的。 另外,G7的大数据业务、中间件业务,支撑着几乎所有的生产环境。大量的调用关系使得业务关系越发复杂,这造成了每当弹性迁移或业务变更的时候,尽管运维管理员一再的谨小慎微,但总是会出错。 如果所有的服务器用途、访问关系、业务流量都能在眼前实时的呈现,那梳理出有序的业务环境,就变得完全可以落地,并将成为东西向隔离的基础。这就是阿里云云盾 · 云防火墙给G7带来的最大改变。 订阅 NEWS FROM THE LAB 一键订阅刊物 云栖社区专栏获取最新资讯 微博专栏获取最新资讯 一点号获取最新资讯 扫码参与全球安全资讯精选 读者调研反馈
-
发表了文章 2018-01-31
游戏安全资讯精选 2018年第五期:一年收购金额超100亿,都有哪些棋牌游戏公司上了岸?PHP GD库拒绝服务漏洞安全建议,软件集成平台Jenkins证书及日志泄露
【游戏行业安全动态】一年收购金额超100亿,都有哪些棋牌游戏公司上了岸? 概要:从早期以金币模式为核心到如今房卡模式逐渐崛起,棋牌游戏在自我变革的过程中,走入了越来越多玩家、开发者和资本的视野。而在2016年下半年爆发的一系列资本收购事件,预示着棋牌游戏走向了新的发展节点。 在相关政策不断收紧的背景下,过去一年一些棋牌团队的生存状况遇到了极大的挑战。但即便如此,也有不少从业者表示赚到了钱,借助这波势头上了岸。从前文汇总的资本事件看,地方棋牌的受关注程度依旧在持续提升,资本还是持一个更为乐观开放的态度来看待这个市场。 在相关政策不断收紧的背景下,过去一年一些棋牌团队的生存状况遇到了极大的挑战,但即便如此,也有不少从业者表示赚到了钱,借助这波势头上了岸。随着入局者的增多,现有的棋牌游戏公司凭一己之力突围的难度也会越来越大,未来资本与棋牌联姻的现象或许还会增多。(来源:游戏葡萄) 【相关安全事件】PHP GD库拒绝服务漏洞安全建议 概要:2018年01月22日,外国安全研究人员发现PHP环境存在拒绝服务漏洞,通过该漏洞,利用精心构造的GIF图片PoC触发PHP进程挂起崩溃,导致网站功能受到影响,从而影响服务,目前PoC已公开,由于使用PHP语言开发的网站使用GD库实现上传图片功能,建议用户关注。 利用精心构造的GIF图片PoC上传并耗尽服务器资源,从而导致PHP进程挂起崩溃,导致服务中断,对业务存在一定的安全风险。 漏洞利用条件和方式为,通过PoC直接远程利用。 目前PoC已经公开。 漏洞影响范围: PHP 5 < 5.6.33版本 PHP 7.0 < 7.0.27版本 PHP 7.1 < 7.1.13版本 PHP 7.2 < 7.2.1版本 点评:开发人员可以检查是否使用了受影响版本范围内的PHP版本。目前,PHP官方已经发布新版修复该漏洞,开发或运维人员可以下载手工更新。 建议在版本升级前做好测试工作,同时使用ECS快照功能做好数据备份工作。 【相关安全事件】软件集成平台Jenkins大量敏感证书及日志泄露 概要:研究人员表示,没有利用任何 软件集成平台Jenkins漏洞,就在互联网上发现了暴露 2万5千个Jenkins实例 ,从这些实例中发现了不少大型公司 泄露了敏感证书和日志文件,这都可能会引发 数据泄露事件。 Jenkins是最受欢迎的开源自动化服务器,由CloudBees和Jenkins社区维护。 自动化服务器支持开发人员构建,测试和部署其应用程序,在全球拥有超过133,000个活跃安装实例,用户超过100万。 研究人员使用Shodan搜索引擎来查找可在线访问的Jenkins服务器,他发现了约25,000个实例。其中大约一半的分析显示,10-20%的实例存在配置错误,然后研究人员手动分析每个实例,并通知受影响的供应商。 Tunç强调,Jenkins通常需要代码存储库的凭据,并访问部署代码的环境,通常是GitHub、AWS和Azure。未能正确配置应用程序可能会使数据面临严重风险。 研究人员发现,许多配置错误的系统默认提供访客或管理员权限,而其他的一些则允许访客或管理员访问任何注册账户。 点评:Tunç还发现一些Jenkins服务器使用了Github或Bitbucket的SAML / OAuth身份验证系统,但不幸的是,任何GitHub或Bitbucket帐户都可以登录,而不是合法的所有者。 “专家在一篇博客文章中写道。 这些配置错误通常有: 任何人都可以使用访客或管理权限在互联网上公开访问 - 访客可以拥有管理权限,这简直就是灾难 某些Web应用程序确实是在登录提示之后,但却允许“自助注册”,进而被授予访客或管理员权限 某些Web应用程序确实是使用Github或Bitbucket的SAML / OAuth登录验证,但被错误配置为允许 任何 Github / Bitbucket帐户登录到Jenkins,而不是锁定到 组织的用户池。Tunç报告说,他分析的这些错误配置的实例,大多也都泄露了敏感信息,包括专用源代码库的证书,部署环境的证书(例如用户名、密码、私钥和AWS令牌)以及包括凭证和其他信息的作业日志文件敏感数据。 研究人员还发现,Google在 jenkins 上暴露了敏感的代币,该公司在通过Google 漏洞奖励计划得到通知后,迅速解决了这个问题。 专家发现的其他情况是: 伦敦政府资助的运输, 伦敦交通运输机构 ; 超市Sainsbury's和Tesco; 为儿童制造玩具的公司; 信用审查公司ClearScore; 报纸出版社 News UK ; 教育出版商 Pearson 和报纸出版商 News UK 。 【云上视角】汇通天下:如何处理年久失修的服务器,让安全可见度提升 概要:汇通天下(G7)是一家大规模的智慧物联网公司,客户数量超过4万家,连接车辆总数超过60万辆,客户类型覆盖快递、快运、城市配送、专业运输、合同物流等物流全领域。G7车队管理服务已成为中国物流运输领域上下游协作的重要工具和基础数据协议。但G7也有自己的苦恼:云端环境的安全隔离,并不像企业内网的安全隔离,那么容易落地。 G7在阿里云具有上千台云服务器,遍布在多个区域的多个VPC下,其中一个VPC的服务器数量超过600台。这600台服务器是G7的核心业务,承载的多个生产系统的运行,同时,也承载了多个子业务的数据交互。那么,业务分区分组的安全隔离,自然就无法或缺。可是,G7在部署业务分区的时候,却遇到了很多障碍,让其无法推进,甚至放弃。 由于资产运维没有跟上,很多服务器已经被改变了用途但不得而知,这就是服务器的“年久失修”,而且从“实例ID/名称”已经无法了解服务器的真实用途了。同时,服务器之间的访问关系也会因为“年久失修”,变得更加错综复杂...... 基于这样的前提下,“东西向隔离”将变成了一件很危险的工作,稍有错误的策略,将造成业务的中断。所以,通常被迫的做法就是,将东西向(横向)的策略口子放得很大,以确保业务的稳定。 但是,这无形增大了整个网络的攻击面,黑客的恶意流量将更加容易触达核心资产,这样的风险同样也是难以接受的。 另外,G7的大数据业务、中间件业务,支撑着几乎所有的生产环境。大量的调用关系使得业务关系越发复杂,这造成了每当弹性迁移或业务变更的时候,尽管运维管理员一再的谨小慎微,但总是会出错。 如果所有的服务器用途、访问关系、业务流量都能在眼前实时的呈现,那梳理出有序的业务环境,就变得完全可以落地,并将成为东西向隔离的基础。这就是阿里云云盾 · 云防火墙给G7带来的最大改变。 订阅 NEWS FROM THE LAB 一键订阅刊物 云栖社区专栏获取最新资讯 微博专栏获取最新资讯 一点号获取最新资讯 扫码参与全球安全资讯精选 读者调研反馈
-
发表了文章 2018-01-24
游戏安全资讯精选 2018年第四期:八大部委1月22日后开始针对网络游戏违规行为进行专项整治查处,阿里云怎么帮直播答题企业应对安全风险
【游戏行业安全动态】八大部委1月22日后开始针对网络游戏违规行为进行专项整治查处 概要:以下为八大部委重点核查内容: (1) 游戏审查备案:进口游戏审查及国产游戏备案 (棋牌):平台的破解游戏如仅仅是小的创意游戏可由平台自主审查通过即可,但如有任何暴力、血腥、涉及国家领土主权完整(如认为台湾为独立国家的等、将西藏划出中国领土等),均要严格查处,不得给予上线。 (2) 审查内容:破坏国家领土和主权的完整:如认为台湾为独立国家的等、将西藏划出中国领土等。色情低俗内容:如诱导性内容和以金钱为诱惑的节目等,如目前大火的百万英雄类的节目被点名批评为低俗节目活动。赌博内容:点名扎金花、梭哈、十三水、牛牛、斗牛等。暴力:如丧尸类题材游戏,各种爆头、打击飙血等场景均属暴力范畴 (3)未成年人保护:实名制、如有未成年必须有防沉迷提示、游戏中的游客模式不得提供充值功能。 (4)随机抽取:必须在醒目位置公示抽奖概率,如官网或app端进行公示。 (5)内容变更和版本更新的审查:与新上线游戏审查标准应严格(来源:游戏陀螺) 【游戏行业安全动态】阿里云怎么帮直播答题企业应对安全风险 概要:为了助力企业紧握风口,阿里云推出一站式移动直播问答解决方案,同时也推出了专门针对直播答题场景的安全工具:DDoS防护先保证业务可用,再用WAF防入侵和羊毛党,移动安全确保外挂离得远远的,最后是内容安全:让弹幕里面没有“高危”信息出现。 从技术架构层面,直播问答解决方案通过稳定高性能的计算基础设施和可扩展的直播问答系统架构,实现技术层面的音画题同步、稳定流畅推拉流、低延时互动、流量安全保障等核心能力,并提供了用户运营、产品优化和商业变现等服务,满足了企业高性能、高稳定性、高安全性、一站式的应用需求。 点评:直播问答一经上线就成为了流量的中心,随之而来的就是黑色产业和安全漏洞等一系列问题。安全防护可以从四个方面着手: (1)DDoS防护:直播答题的场景用户流量较大,对于网速、稳定性、延迟、丢包的要求都很高,如果再碰上DDoS攻击,那会直接导致前端的业务系统不可用,业务会遭受很大的损失。一款好的DDoS产品是必要的。 (2) WAF:防入侵、防刷:直播答题场景中经常会出现的各类机器外挂、抢答人群的瞬时涌入等情况,突如其来的业务高峰流量,往往会造成后端服务器因性能不够而崩溃、造成非常不好的抢答体验。Web应用防火墙可以帮助企业应对数十倍、百倍的业务高峰流量。 (3)移动安全:防外挂直播答题在移动App中进行,下列安全风险也随之而来:例如源码被逆向,协议破解危害,自动答题外挂,垃圾注册,批量刷复活卡,核心数据泄露等等。因此移动安全产品来保护App源码也十分必要。 (4)最后是用内容安全来保证内容合规:识别“高危”内容。 【相关安全事件】MySQL最新安全漏洞快讯 概要:本次MySQL存在多个远程安全漏洞,其中CVE编号CVE-2018-2562及CVE-2018-2591较为严重,可以直接远程利用攻击,攻击者可以利用漏洞攻击成功获取数据或导致拒绝服务,从而影响MySQL服务。 点评:目前Oracle官方已经最新版本,建议自建MySQL服务用户及时手工下载更新。建议在版本升级前做好测试工作,同时使用ECS快照功能做好数据备份工作。 对自建MySQL服务进行安全加固 ,如:配置安全组策略,禁止3306可以直接通过外网访问,防止被黑客远程利用。 (1)MySQL 5.6.39 版本:https://dev.mysql.com/downloads/mysql/5.6.html (2)MySQL 5.7.21 版本:https://dev.mysql.com/downloads/mysql/ 【云上视角】华数TV独家解读:迁云背后的安全思考 概要:在云计算快速发展的这几年中,华数集团一直在努力推进广电视频云的建设。华数TV网(www.wasu.cn)在2015年成功将源站整体迁移到阿里云,为华数打造首个云上互联网视频平台的梦想,迈出坚实且重要的一步。从最初的网站搭建到如今华数互联网电视,华数见证了TV网的成长和发展,也已经服务了上亿用户。 华数TV网站(www.wasu.cn)迁云成功,让我们从效能、成本、安全性上,突破原有的瓶颈,华数TV得以更加"省心"地迈开了视频业务创新的步子。我们想从安全的角度来来谈谈,在迁云之后的一些经验与体会。将其中的实操经验,分享给同行。 订阅 NEWS FROM THE LAB 一键订阅刊物 云栖社区专栏获取最新资讯 微博专栏获取最新资讯 一点号获取最新资讯 扫码参与全球安全资讯精选 读者调研反馈
-
发表了文章 2018-01-24
金融安全资讯精选 2018年第四期:百万亿智能金融市场的风口与风险,MySQL最新安全漏洞快讯,从存储角度对比云上和线下环境安全性,华数TV迁云背后的安全思考
【金融行业安全动态】百万亿智能金融市场的风口与风险 概要:在金融既有的价值链条上,智能金融正促成四方面的重构:重构用户连接和服务的价值链、重构风险评估和管理体系、重构服务的边界、重构基础设施的建设标准和运行逻辑。金融的融合分为三个阶段,分别是电子金融、线上金融与智能金融。 影响智能金融应用在推广上的速度、规模和潜力的因素很多:从技术角度看,包括了技术的成熟度、数据可获取性等;从金融的角度看,包括了金融机构变革的意愿、以及对于新技术替代旧技术产生新增加值的认可程度;从用户需求的角度看,切换成本的高低、新人群是否已经形成、新习惯是否已经被培育以及新的金融行为在多大程度上符合刚需,都是影响应用普及的重要因素。(来源:金融科技研究) 点评:在金融行业,安全方面AI也早已深度参与了。除了在基础安全领域中AI帮助态势感知技术快速发展,让安全运维人员可以使用更多的数据更精准及时的发现安全隐患;在业务安全领域AI更是大放异彩,智能风控、异常交易发现、反欺诈、骗保、骗贷等等场景,人工智能正在彻底改变原来的安全技术,真的在重构原有的安全防护系统,包括网络信息安全,业务运营安全等等各个方面。 【金融行业安全动态】从存储角度来对比,云上和云下到底哪个安全? 概要:(1)数据存在云端不安全的观点是不客观的,真相是云服务提供商通常比传统IDC拥有更多专业知识和更多的技术人员,如果云下想达到云上的安全效果会花费更多的时间和更昂贵的成本;(2)物理安全控制意味着安全观点是不客观的,真相是云上具有先进的安全防护手段、完备的安全流程、硬件保证和专业的安全人员,这些是云下大多数企业无法获得的能力;(3)云上有更多的被入侵时间的观点是不客观的,真相是研究机构表明云下更容易受到恶意软件以及蠕虫的攻击;(4)客户端数据保存在云上台敏感了的观点是不客观的,真相是CIA、纳斯达克、银行、信用卡交易已经迁移到云上了;(5)文章总结了云上安全的真相之后给出了具体的迁云风险和具体的操作步骤,最后也比较了自身存储产品的安全能力。(来源:efilecabinet.com) 点评:从WannaCry事件,到重大活动的护航,云上已经逐渐凸显出它在安全管理效率、可见度、感知度、防御能力上的优势。在企业当中,传统的线下环境约束主要在不便获得最新的威胁情报,不便知晓最新的补丁,部署、更新、运维的及时性弱,最后是在事件应急和防御上,策略难以用最快的速度同步到终端,因此会有偏安一隅的孤立感。 而云上安全服务可基于最新的威胁情报和计算能力来做感知和防御,会让企业技术团队更加有全局感知,运维管理效率也可以提升,安全的ROI更加容易衡量。 【相关安全事件】MySQL最新安全漏洞快讯 概要:本次MySQL存在多个远程安全漏洞,其中CVE编号CVE-2018-2562及CVE-2018-2591较为严重,可以直接远程利用攻击,攻击者可以利用漏洞攻击成功获取数据或导致拒绝服务,从而影响MySQL服务。 点评:目前Oracle官方已经最新版本,建议自建MySQL服务用户及时手工下载更新。建议在版本升级前做好测试工作,同时使用ECS快照功能做好数据备份工作。 对自建MySQL服务进行安全加固 ,如:配置安全组策略,禁止3306可以直接通过外网访问,防止被黑客远程利用。 (1)MySQL 5.6.39 版本:https://dev.mysql.com/downloads/mysql/5.6.html (2)MySQL 5.7.21 版本:https://dev.mysql.com/downloads/mysql/ 【云上视角】华数TV独家解读:迁云背后的安全思考 概要:在云计算快速发展的这几年中,华数集团一直在努力推进广电视频云的建设。华数TV网(www.wasu.cn)在2015年成功将源站整体迁移到阿里云,为华数打造首个云上互联网视频平台的梦想,迈出坚实且重要的一步。从最初的网站搭建到如今华数互联网电视,华数见证了TV网的成长和发展,也已经服务了上亿用户。 华数TV网站(www.wasu.cn)迁云成功,让我们从效能、成本、安全性上,突破原有的瓶颈,华数TV得以更加"省心"地迈开了视频业务创新的步子。我们想从安全的角度来来谈谈,在迁云之后的一些经验与体会。将其中的实操经验,分享给同行。 订阅 NEWS FROM THE LAB 一键订阅刊物 云栖社区专栏获取最新资讯 微博专栏获取最新资讯 一点号获取最新资讯 扫码参与全球安全资讯精选 读者调研反馈
-
发表了文章 2018-01-18
金融安全资讯精选 2018年第三期:上海P2P备案大考来临,新型KillDisk变种攻击拉丁美洲金融机构,WordPress 发布安全更新版本,如何在阿里云环境下搭建基于SonarQube的自动化安全代码检测平台
【金融行业安全动态】新型KillDisk变种攻击拉丁美洲金融机构 概要:一种新型的KillDisk变种攻击被发现,该攻击主要针对拉丁美洲地区的金融机构。经初步研究表明,该攻击可能是另一个有效载荷的一部分,或者背后存在着更大规模的攻击。KillDisk在2015年12月份发现被用于攻击乌克兰的能源系统,以及银行、铁路和采矿等行业。该恶意软件逐渐转变成为一种网络勒索威胁,危及Windows和Linux平台。KillDisk生成的赎金信息是用来欺骗用户的,由于KillDisk会覆盖或者删除文件并且不会保存加密密钥,因此用户想要恢复文件是不可能的。(来源:绿盟科技) 点评:鉴于KillDisk的攻击能力,以及它可能牵扯到更大规模攻击的可能性,以下为一些防护建议: 保持系统及其应用程序的更新/修补,防止攻击者利用安全漏洞。 定期备份数据并确保其完整性。 强化最小特权的原则(least privilege)。网络分段和数据分类有助于防止横向感染和进一步暴露。 部署安全机制,如应用程序控制/白名单和行为监控,这些安全机制可以阻止可疑程序运行并阻止异常系统修改。 主动监控系统和网络; 启用和使用防火墙以及入侵防护和检测系统。 实施管理事件响应政策,推动积极的补救战略。 培养网络安全意识的工作场所,进一步加强组织的安全态势。 【金融行业安全动态】上海P2P备案大考来临 概要:上海市金融办协同公安部门对P2P平台开展信息安全等级保护三级测评工作进行了指导和部署,备案工作继续加速推进。 据了解,上周五相关部门组织会议上要求测评工作在3月底结束(拿到上海市公安局网络安全保卫大队回执为截止时间点),特殊情况或复杂项目最迟不超过4月底。本次要求P2P网贷系统定级为第三级,并需要按照国家标准测评,测评分不低于90分。其中,用户资金和信息安全的测评为重要项。不少从业者表示,测评要求非常严格, “北京地区网贷平台基本在75分上下”。 点评:信息系统安全,一直是国家监管机构不遗余力推进的重点工作,只有安全的业务平台才能有效保证金融业务的长期稳定发展。 【相关安全事件】微软“周二补丁日”—2018年01月 概要:美国时间2018年01月09日,微软发布2018年第一个月的安全公告,本次安全公告涉及56个新的漏洞,其中16个评级为重要,39个评级为重要,1个评级为中等。 这些漏洞影响ASP.NET,Edge,Internet Explorer,Office,Windows等微软产品。 除了解决的56个漏洞之外,微软还发布了针对Intel CPU漏洞Meltdown和Spectre的更新。 在ADV180002 中针对Windows发布了针对这两个漏洞的缓解措施。 请注意,由于与防病毒产品不兼容,用户和组织可能尚未收到此更新。( 点击查看阿里云修复公告) 本次公告披露,Windows内核存在多个信息泄漏漏洞,CVE编号为:CVE-2018-0745、CVE-2018-0746、CVE-2018-0747。攻击者可以利用这些漏洞经过身份验证的本地攻击者运行特制的程序,检索内核对象的内存地址,获取敏感信息。 这次公告中同时披露Windows内核的多个提权漏洞,CVE编号为:CVE-2018-0748、CVE-2018-0751、CVE-2018-0752。 这些漏洞是由于Windows内核API未能正确执行权限所致。 成功利用这些漏洞需要经过身份验证的本地攻击者执行特制程序,并可能导致攻击者能够模拟进程,注入跨进程通信或中断系统功能。对于企业用户存在一定的安全风险。 本次发布的公告中披露了一个Office高危漏洞,CVE编号为:CVE-2018-0802。攻击者可以利用Office内嵌的公式编辑器发起攻击,如果被诱骗不慎打开恶意文件,可能会被攻击者远程控制,对于终端办公桌面用户,需要关注。 点评: 阿里云安全团队建议关注,并根据业务情况择机更新补丁,以提高服务器安全性。点击查看阿里云修复公告; 建议不要在企业业务系统上安装与业务无关的软件,例如:Office、其他办公软件。防止被黑客利用; 建议打开Windows Update功能,然后点击“检查更新”按钮,根据业务情况下载安装相关安全补丁,安装完毕后重启服务器,检查系统运行情况 注意:在更新安装升级前,建议做好测试工作,并务必做好数据备份和快照,防止出现意外。 【安全相关事件】WordPress 发布4.9.2安全更新版本 概要:刚刚,WordPress 开发团队发布了 WordPress 4.9.2 安全维护更新版本。这次更新是针对 WordPress 3.7 版本以来的所有版本,我们建议您立即更新您的网站到这一版本。 MediaElement 的 Flash 回滚文件中发现了一个 XSS 安全漏洞,这个文件被包含在了 WordPress 之中。由于绝大多数情况下,用户们已经不再需要 Flash 支持,WordPress 的开发者决定在 WordPress 中删除这一文件。 【云上视角】147家企业未取得云服务经营许可 概要:工信部1月12日印发《关于督促互联网网络接入服务企业依法持证经营的通知》(简称“通知”)。通知显示,截至去年底,104家企业已依法取得云服务经营许可证,70家企业取得CDN业务经营许可证。另有147家企业未取得前述许可证,应自觉停止相应经营活动。(来源:亚太CDN产业联盟) 【云上视角】实践:在阿里云环境下搭建基于SonarQube的自动化安全代码检测平台 概要:近年来,随着新业务、新技术的快速发展,应用软件安全缺陷层出不穷。虽然一般情况下,开发者基本都会有单元测试、每日构建、功能测试等环节来保证应用的可用性。但在安全缺陷方面,缺乏安全意识、技能和工具,最终导致了安全缺陷的出现。 对于软件开发安全意识和软件开发安全技能方面本文中不再做详述,软件开发者可通过培训和实践提高自身意识和技能,我主要从代码检测工具方面来做介绍,工具是软件开发者可以直接使用和快速发现软件安全缺陷的高效手段,这类似我们使用汽车来满足出行的需求,只用我们掌握汽车的操作方式即可,不用了解汽车如何制造出来的。 本文目的主要是提供一种思路和方法,让软件开发者像测试软件功能一样,测试软件安全缺陷,并且能够融入到整个的软件开发过程中。本文暂不介绍软件安全开发的概念、代码审计工具及其使用、安全代码审计技术等内容,后续文章会就这些部分进行介绍,大家可关注。 订阅 NEWS FROM THE LAB 一键订阅刊物 云栖社区专栏获取最新资讯 微博专栏获取最新资讯 一点号获取最新资讯 扫码参与全球安全资讯精选 读者调研反馈
-
发表了文章 2018-01-12
金融安全资讯精选 2018年第二期:正确区分ICO与区块链,加快区块链金融技术化工作,Intel CEO回应“漏洞门”,Gartner视角看安全与风险管理,八招应对短信验证码攻击
【金融行业安全动态】 CFT50顾问李礼辉:正确区分ICO与区块链,加快区块链金融技术化工作 概要:CFT50高级学术顾问、全国人大财经委委员、中国互联网金融协会区块链工作组组长、中国银行原行长李礼辉发表主旨演讲时指出,金融不再只是二维的平面世界,而是可以折叠的三维空间。金融制度创新应完善大数据应用的制度环境,建立统一共享的大信用系统,制定常态户数字金融审慎监管制度,最终实现穿透式监管。 他指出:应正确区分ICO与区块链,加快区块链金融技术化工作。ICO涉嫌非法集资,理应禁止;区块链采用共识算法,加密算法和智能合约等全新的底层核心技术,可以用于构建信任链接器。已经开始在系统领域并在参与方场景中表现出突出的技术优势,应加快区块链金融技术标准化工作,研发区块链金融技术国家标准,建立区块链金融技术审核和验证体系。”李礼辉表示。(来源:金融科技研究) 点评:比特币飞涨的价格加速了区块链技术的快速成熟和应用,但在比特币行业区块链并没有为币友带来绝对安全,撞库、盗币、洗钱都在威胁着经营者的生命安全,因为丢币导致的交易所倒闭时有发生。完善安全措施和风控手段已经是各个平台都在考虑的问题了。 【金融行业安全动态】Gartner视角看安全与风险管理 概要:在过去的一年里,Gartner指出在安全与风险管理领域的关键发现: 1、随着数字化转型的持续升温,错综复杂的生态系统是数字业务不可缺的部分,而与其相关的安全风险将倍受关注。 2、回顾过往一年,全球领先的企业由于遭受恶意的网络攻击造成的损失达到3亿美元。 3、越来越多的安全技术转向了云计算,不管是订阅模式还是按需付费模式,企业将会有更多种方式来评估安全技术,缩短复杂的RFP流程 4、网络安全资格审查在市场整合并购环节中非常重要,但需要对行业、资产价值、监管环境以及交易金额等方面进行综合评判。(来源:互联网安全内参) 【金融行业安全动态】Intel CEO回应“漏洞门”:未发现隐患被用来获取用户数据 概要:英特尔CEO Brian Krzanich在美国时间星期一举行的2018年国际消费电子展(CES)中发表主题演讲,回应近期的“漏洞门”事件。他表示Intel将在本周内发布更新,预计将覆盖过去5年内推出的90%以上的产品,而针对其它产品的更新将在今年一月底前发布。他表示,这些安全更新对性能的影响在很大程度上取决于具体的工作负载。 同时,Krzanich谈到,“到目前为止,我们还没有发现任何利用这些潜在隐患问题来获取用户数据的情况。我们正夜以继日地努力解决这些问题,以确保用户数据的安全。确保最佳做法就是当操作系统提供商和系统制造商发布任何更新,您就立即采纳这些更新。” (来源:Engadget) 【云上视角】阿里云安全专家:八招应对短信验证码攻击 概要:如今,大量的网站、网站、手机app都在使用短信验证码作为验证用户身份的安全技术措施。尤其在年底,企业的促销、抽奖、互动活动会迎来一个高峰期,用到短信验证码的场景非常频繁。但近期,阿里云·云盾WAF团队监测到,不少用户业务的短信验证码功能被攻击,短信接口被恶意利用,导致业务无法正常访问。同时,被刷的短信成本也直接造成一定量的资金损失。 点评:了解了风险之后,企业也不必过度担心,以下“指南”,可帮助了解如何防范短信验证码背后的安全风险。 1.手机号码逻辑检测 在手机号码窗口增加号码有效性检测,防止恶意攻击者使用无效或非法的号码,从而在第一窗口屏蔽非手机号的乱码等无效数字。 2.随机校验 在注册页添加个隐藏的<input>,设置保存在session中的随机验证码,发短信前验证一下,保证发验证码短信请求是在业务页面点击。 3.增加友好的图形验证码 即当用户进行“获取动态短信” 操作前,弹出图片验证码,要求用户输入验证码后,服务器端再发送动态短信到用户手机上,该方法可有效缓解短信轰炸问题。 由于当前验证码在攻防对抗中逐步被成功自动化识别破解,我们在选用安全的图形验证码也需要满足一定的防护要求。 4.同号码短信发送频率限制 采用限制重复发送动态短信的间隔时长, 即当单个用户请求发送一次动态短信之后,服务器端限制只有在一定时长之后(此处一般为60-120秒),才能进行第二次动态短信请求。该功能可进一步保障用户体验,并避免包含手工攻击恶 意发送垃圾验证短信。 5.不同号码请求数量限制 根据业务特点,针对不同手机号码、不同访问源IP访问请求进行频率限制,防止高并发非法请求消耗更多的短信包和服务器性能,提高业务稳定性。 6.场景流程限定 将手机短信验证和用户名密码设置分成两个步骤,用户在填写和校验有效的用户名密码后,下一步才进行手机短信验证,并且需要在获取第一步成功的回执之后才可进行校验。 7.启用https协议 为网站配置证书,启用https加密协议,防止传输明文数据被分析。 8.单IP请求限定 使用了图片验证码后,能防止攻击者有效进行“动态短信”功能的自动化调用。但若攻击者忽略图片验证码验证错误的情况,大量执行请求会给服务器带来额外负担,影响业务使用。建议在服务器端限制单个 IP 在单位时间内的请求次数,一旦用户请求次数(包括失败请求次数)超出设定的阈值,则暂停对该 IP 一段时间的请求。 若情节特别严重,可以将 IP 加入黑名单,禁止该 IP 的访问请求。该措施能限制一个 IP 地址的大量请求,避免攻击者通过同一个 IP 对大量用户进行攻击,增加了攻击难度,保障了业务的正常开展。 订阅 NEWS FROM THE LAB 一键订阅刊物 云栖社区专栏获取最新资讯 微博专栏获取最新资讯 一点号获取最新资讯 扫码参与全球安全资讯精选 读者调研反馈
-
发表了文章 2018-01-12
游戏安全资讯精选 2018年第二期:游戏行业年度白皮书;手游外挂、直播答题安全风险解析,近30%外挂手游存在致命安全问题,八招应对短信验证码攻击
【游戏行业安全动态】游戏行业年度白皮书 概要:刚刚结束的2017年,作为游戏行业买量竞争升级的一年,广告主纷纷表示压力山大,用户获取成本已经高到了临界点,而各个广告平台则希望在2018年广告收入还能再翻一翻,游戏买量市场能否在2018年持续增长我们拭目以待,本篇报告我们主要以2017年买量游戏行业数据为基础来回顾一下行业的发展情况。 从2017年全年的数据看,买量游戏主要还是以角色扮演产品为主,占所有买量产品的69.61%,其次是策略游戏占全年买量游戏比例的10.13%,另外今年有不少地方棋牌的产品也加入到了买量的队伍中,占所有买量游戏的8.09%,然而随着国家政策的管控,一线的广告平台和媒体对棋牌产品的投放管理都很严格,如下是不同类型买量产品的占比情况: 2017年全年,热云数据TrackingIO服务客户的全年监测数据显示,累计有7855款产品投放广告,总共产生了2.9亿次有效的游戏激活,在不应用防作弊规则的情况下,产生的点击总数超过了2279亿次,平均每天超过6.2亿次点击。(来源:游戏陀螺) 点评:去年下半年,互联网圈子有两个无人不知的关键词就是吃鸡和挖矿,这两者看似毫无关系,一个是热门游戏,一个是“理财产品”,最近,终于有一波人把这两者有机结合在了一块——外挂开发者,外挂中包含挖矿木马,影响了数十万台电脑,与此之外还有盗刷道具、盗刷属性、盗刷金币、盗刷钻石等各种盗刷问题存在。 【游戏行业安全动态】2017年手游质量白皮书:近30%外挂手游存在致命安全问题,100M以上包体仅占20% 概要:今年是精品游戏大放异彩的一年,而吃鸡引领的战术竞技品类今年备受关注,其中出现了不少外挂问题,个别产品上线时也遇到了兼容性的问题,然而,只有把这些问题解决好,提升游戏产品质量,才能获得市场的认可。报告显示:近30%外挂手游存在致命安全问题,以飞行射击类游戏最为严重; “盗刷道具”为年度手游最频繁的致命外挂安全问题;登录、掉线类问题受到最多玩家反馈。(来源:游戏葡萄) 点评:如今这个游戏行业买量当道的时代里,游戏公司对买量的重视程度几乎达到了病态的地步,这不仅给游戏公司产生了巨大的损失,同时也给广大游戏灰色产业人士提供了大量的赚钱机会,买量成为游戏行业中猫腻最多的领域之一。 【游戏行业安全动态】直播问答背后的黑产困境 概要:目前网上主要有下面这些花样作弊方式: 1、线上抱团,答案共享:比如下面这样的QQ群,群介绍也很直白,“一边直播,一边直播答案”。就是大家抱团答题,实现实时答案共享。这种群同样在微信了也可以找到不少。 2、复活卡:目前的直播问答都有“复活”功能,比如你邀请了新的好友,就可以多一次复活机会。如果在某宝搜“冲顶大会复活卡”,你会发现这个已经有不少商家上架了这种商品,拍下之后可以获得“额外生命值”。一次只需数元,并且可以多次购买。 3、作弊外挂:在某宝搜索“冲顶大会辅助”,同样不会让你“失望”,20元的辅助答题软件,无需复活卡,宝贝评价里有这样的描述“识别度精准,毫秒级,答题神器”。 4、智能辅助答题:国内某智能音箱也增加了“冲顶助手”功能,增加了题库的投入。实际上是利用语音智能搜索的功能,用户提到“冲顶大会、冲顶助手、百万英雄、芝士超人、黄金十秒、答题助手”等关键词,就可触发“冲顶助手”功能。不过这种辅助的“智能作弊”对语音技术和搜索引擎技术的要求相对较高,效果怎样不得而知,但利用人工智能来实现作弊想想还是有点不寒而栗的。(来源:网易) 【云上视角】1月19日阿里云平台安全升级通告 概要:近日,Intel处理器被爆出严重安全隐患,可导致操作系统内核信息泄露、应用程序越权访问系统内核数据等问题(漏洞详情可点此查看)。漏洞披露前,阿里云已与Intel同步关键安全信息,并持续就修复方案做验证。 解决该安全隐患的完整修复方案包含两个部分,一是云平台虚拟化宿主机修复,二是客户侧的操作系统更新。目前,阿里云已经启动了云平台底层基础架构的漏洞修复更新,预计于北京时间1月19日24点之前完成。该方案由于采用了热升级方式,正常情况下不会对客户业务带来影响。 由于此隐患涉及过去10年间Intel的绝大部分CPU型号,已知有部分场景下不支持热升级方案。与之相关的客户我们会另行提前通知,请确保预留的联系方式(手机、邮箱)畅通。我们建议客户根据业务情况,提前调整和准备运营预案,妥善备份重要业务数据。 在云平台底层基础架构的漏洞修复更新完成后,我们建议客户进行操作系统的补丁更新评估,以确保完整的安全性。阿里云正积极联合Intel、微软以及Linux各发行版本厂商验证操作系统更新方案。 【云上视角】阿里云安全专家:八招应对短信验证码攻击 概要:如今,大量的网站、网站、手机app都在使用短信验证码作为验证用户身份的安全技术措施。尤其在年底,企业的促销、抽奖、互动活动会迎来一个高峰期,用到短信验证码的场景非常频繁。但近期,阿里云·云盾WAF团队监测到,不少用户业务的短信验证码功能被攻击,短信接口被恶意利用,导致业务无法正常访问。同时,被刷的短信成本也直接造成一定量的资金损失。 点评:了解了风险之后,企业也不必过度担心,以下“指南”,可帮助了解如何防范短信验证码背后的安全风险。 1.手机号码逻辑检测 在手机号码窗口增加号码有效性检测,防止恶意攻击者使用无效或非法的号码,从而在第一窗口屏蔽非手机号的乱码等无效数字。 2.随机校验 在注册页添加个隐藏的<input>,设置保存在session中的随机验证码,发短信前验证一下,保证发验证码短信请求是在业务页面点击。 3.增加友好的图形验证码 即当用户进行“获取动态短信” 操作前,弹出图片验证码,要求用户输入验证码后,服务器端再发送动态短信到用户手机上,该方法可有效缓解短信轰炸问题。 由于当前验证码在攻防对抗中逐步被成功自动化识别破解,我们在选用安全的图形验证码也需要满足一定的防护要求。 4.同号码短信发送频率限制 采用限制重复发送动态短信的间隔时长, 即当单个用户请求发送一次动态短信之后,服务器端限制只有在一定时长之后(此处一般为60-120秒),才能进行第二次动态短信请求。该功能可进一步保障用户体验,并避免包含手工攻击恶 意发送垃圾验证短信。 5.不同号码请求数量限制 根据业务特点,针对不同手机号码、不同访问源IP访问请求进行频率限制,防止高并发非法请求消耗更多的短信包和服务器性能,提高业务稳定性。 6.场景流程限定 将手机短信验证和用户名密码设置分成两个步骤,用户在填写和校验有效的用户名密码后,下一步才进行手机短信验证,并且需要在获取第一步成功的回执之后才可进行校验。 7.启用https协议 为网站配置证书,启用https加密协议,防止传输明文数据被分析。 8.单IP请求限定 使用了图片验证码后,能防止攻击者有效进行“动态短信”功能的自动化调用。但若攻击者忽略图片验证码验证错误的情况,大量执行请求会给服务器带来额外负担,影响业务使用。建议在服务器端限制单个 IP 在单位时间内的请求次数,一旦用户请求次数(包括失败请求次数)超出设定的阈值,则暂停对该 IP 一段时间的请求。 若情节特别严重,可以将 IP 加入黑名单,禁止该 IP 的访问请求。该措施能限制一个 IP 地址的大量请求,避免攻击者通过同一个 IP 对大量用户进行攻击,增加了攻击难度,保障了业务的正常开展。 订阅 NEWS FROM THE LAB 云栖社区专栏获取最新资讯 微博专栏获取最新资讯 一点号获取最新资讯 扫码参与全球安全资讯精选 读者调研反馈
-
发表了文章 2018-01-04
游戏安全资讯精选 2018年第一期:融资与乱象,2017的游戏之年;中宣部等8部委联合印发意见,要求严格规范网络游戏市场管理,阿里云安全2017年盘点
【游戏行业安全动态】融资与乱象,2017的游戏之年 概要:2014年8月,亚马逊以超过10亿美元的总金额拿下了游戏视频直播网站Twitch,与它同时竞争的对手便为谷歌。虽然在与亚马逊的竞争中失败了,但谷歌明显并未放弃对游戏直播领域的探索。 根据2017年8月发布的《中国互联网络发展状况统计报告》,截至2017年6月,国内网络直播用户共3.43亿人,占网民总体45.6%,以秀场直播和游戏直播为核心的网络直播业务保持了蓬勃发展态势。今年上半年,六间房、快手、虎牙直播、熊猫直播、斗鱼直播、花椒直播等平台均完成了融资或被收购。其中,游戏直播平台三巨头虎牙、熊猫与斗鱼分别完成了7500万A轮、10亿元B轮以及10亿元D轮的融资。此外,此前深耕短视频领域的快手、火山、抖音、内涵段子等平台也纷纷开启了直播入口。虽然今年陆续有相关部门规范整顿直播平台的新闻流出,但直播市场依然拥有巨大潜力。(来源:游戏茶馆) 点评:游戏江山崛起,其背后的风险也就日渐凸显,也开始迎来洗牌期,和监管更严格的要求。经历过2016年的“千播大战”后,行业在这一年加速洗牌。大浪淘沙之下,一批直播平台倒闭。过去的2017年,“乱象”依然是直播行业的关键词。侵权、涉黄、刷粉、代打、欠薪等一系列行业丑闻不时传出,也引起了监管力度的收紧,成规模化的直播平台,逐步采取诸如实人认证、内容安全检查等一系列安全措施来规避安全风险,并符合监管要求。 【相关安全事件】中宣部等8部委联合印发意见 要求严格规范网络游戏市场管理 概要:今日,据《人民日报》报道,中宣部联合广电总局等8个相关部门发布了《关于严格规范网络游戏市场管理的意见》(以下简称《意见》),将在近期针对网络游戏违法违规行为和不良内容的集中整治。据悉,此次整改对象针对三大部分:一是用户数量大,社会影响力大的头部产品,二是内容低俗,含有暴力色情的产品;三是对未经许可,版号等相关内容不全的产品;四是来自境外,含有法律法规禁止内容的产品。(来源:新浪游戏频道) 点评:意见指出,“网络游戏系统安全、用户信息安全问题较为突出,个人信息泄露、账号非法交易现象较为普遍。同时,管理体制机制与市场发展还不完全匹配,相关法律法规还不够健全,方式手段还不够完善,纠错惩戒不足以形成震慑。”一方面,我国网络游戏快速发展,内容形式不断丰富,成为广大人民群众休闲娱乐的重要方式;然而这些日益增长的游戏中也充斥着各种不可控的风险因素,比如色情图片、涉政暴恐内容、各种垃圾广告等等。随着政府监管的日渐严格,建议各游戏平台亟待认真对待和管理的工作。 【云上视角】阿里云安全:2017年年度盘点 概要:2017年,阿里云从安全产品与解决方案、安全生态与技术、数据安全与合规方面给予客户全方位守护;与业界同仁分享了安全领域的新观点、新概念。一年里,阿里云帮助企业修复613万漏洞,减少因漏洞风险而带来的损失;WannaCry爆发时,阿里云安全团队提前28天“云上预警”,9小时内给出安全建议;通过等保合规生态,将企业“过等保”时间成本,从2年缩短到平均2个月,成本减少80%;先知公益基金和产业安全扶助计划,帮助安全人才和和创业者度过成长和发展的第一关;发布11层企业云安全架构,为企业安全打好地基,绘制蓝图,把安全做到极致;从德国C5最严谨数据保护认证,到《2017年安全白皮书》,用实践履行数据隐私保护第一原则。 订阅 NEWS FROM THE LAB 云栖社区专栏获取最新资讯 微博专栏获取最新资讯 一点号获取最新资讯 扫码参与全球安全资讯精选 读者调研反馈
-
发表了文章 2018-01-04
金融安全资讯精选 2018年第一期:2017年P2P网贷行业年报,风控成保险业转型新四大关键词之一,央行发布条码支付规范
【金融行业安全动态】2017年P2P网贷行业年报 概要:截至2017年12月底,网贷行业正常运营平台数量达到了1931家,相比2016年底减少了517家,全年正常运营平台数量一直单边下行。由于平台整改进程尚未完成,预计2018年网贷行业运营平台数仍将进一步下降,具体下降速度取决于备案及合规情况,从目前信息估测,2018年底或将跌至800家左右。 2017年P2P网贷行业整改进程已进入收尾阶段,退出行业的平台数量相比2016年大幅度减少,全年停业及问题平台数量为645家,而在2016年为1713家。问题平台数量占比持续降低,2017年问题平台数量仅占比33.49%,66.51%的平台选择良性退出,以上数据均表明我国P2P网贷行业监管卓有成效,未来行业发展环境将愈加健康。(来源:网贷之家) 点评:经历了一年多的监管高压,P2P行业的整改期已经进入收尾阶段,大家越来越清楚安全合规将会成为最终留在市场上的一个重要的因素。跟资金相关的敏感业务,拥有大量的客户信息使得这个行业的安全风险大增,及时用更先进高效的技术措施来确保业务安全运营将是大家必须要考虑的事情。因为每次安全事件带来的负面影响都可能导致企业失去宝贵的经营资格。 【金融行业安全动态】风控,保险业转型新四大关键词之一 概要:国际金融论坛(IFF)副主席、中国保监会原副主席周延礼近日在中国新闻社主办的国是论坛2017年会上透露,当前保险科技渗透率不断提高,76%的保险公司通过自建官网、移动App、与第三方平台合作等方式进行产品展示。他指出,2012-2016年,中国互联网保费收入从106亿元增长到2299亿元,增长约20.7倍。这一跳跃式增长反映了保险科技对保险业在销售领域产生的积极推动作用,也是保险业动能转换的结果。 周延礼提出,未来把保险+科技+数字经济应用好,可以提高保险业的应用管理水平。在这个基础之上,保险科技可以拉动保险业转型升级。下一步,要在防范风险这方面多做一些工作。如多头监管如何有效覆盖的问题、网络安全风险的问题、信息基础设施风险监管、重视法律风险问题、金融机构的功能监管、互联网技术可以服务实体经济、信用道德风险的监管问题等,是“保险+科技”关注的七大风险。(来源:新浪综合) 点评:信息安全和网络安全问题,对保险行业及整个金融行业影响越来越大。近年来,针对保险、金融行业的几个安全风险趋势是:账号和密码隐私泄露;黑色产业链愈发猖獗,破坏行为多样化;自动化Webshell黑客工具提升入侵效率;数据库应用被利用的事件数量增多,将成为下一个黑客 入侵的突破点;弱密码是一个特别容易被黑客突破的点;漏洞扫描演变为分布式集群化;另外,内部教育和员工的安全意识问题也会成为风险。针对这些风险,提升可见度,及时发现资产变更是第一步;其次,利用新兴技术,如云计算、机器学习,对大规模的安全数据进行有效的关联、分析和挖掘产生最终价值;以及细化访问控制的颗粒度。 【金融行业安全动态】央行发布条码支付规范 概要:央行指出,条码支付有一定技术风险。对于用户主动扫码(主扫)和出示付款码被扫付款(被扫)模式,由于被扫的安全性相对更高,综合安全和便捷因素,在对静态条码做出一些技术要求之外,央行通过对静态条码限额方式引导用户更多使用被扫模式,但对于小微商户广泛使用的主扫模式也并未完全限制。(来源:国际在线) 【云上视角】阿里云安全:2017年年度盘点 概要:2017年,阿里云从安全产品与解决方案、安全生态与技术、数据安全与合规方面给予客户全方位守护;与业界同仁分享了安全领域的新观点、新概念。一年里,阿里云帮助企业修复613万漏洞,减少因漏洞风险而带来的损失;WannaCry爆发时,阿里云安全团队提前28天“云上预警”,9小时内给出安全建议;通过等保合规生态,将企业“过等保”时间成本,从2年缩短到平均2个月,成本减少80%;先知公益基金和产业安全扶助计划,帮助安全人才和和创业者度过成长和发展的第一关;发布11层企业云安全架构,为企业安全打好地基,绘制蓝图,把安全做到极致;从德国C5最严谨数据保护认证,到《2017年安全白皮书》,用实践履行数据隐私保护第一原则。 订阅 NEWS FROM THE LAB 一键订阅刊物 云栖社区专栏获取最新资讯 微博专栏获取最新资讯 一点号获取最新资讯 扫码参与全球安全资讯精选 读者调研反馈
-
发表了文章 2017-12-27
游戏安全资讯精选 2017年第十九期:WebLogic Server WLS组件漏洞入侵挖矿事件分析,苹果手游代充灰色产业深度揭秘,《绝地求生》99%外挂都来自国内
【游戏行业安全动态】苹果手游代充灰色产业深度揭秘 概要:苹果手游代充最早可以追溯到2012年前后,到现在已经经历了多次发展,从最开始的外币汇率差,退款,36漏洞,再到现在黑卡,盗刷信用卡,甚至出现了专门的库存系统。库存系统保存的就是苹果的消费凭据,充值商家等到有客户时候,可以随时使用,可谓完美绕过苹果风控,使黑卡和盗刷可以大规模实现,让供货和销售分开,降低了行业进入的门槛,更加细分了产业链,放大了黑卡和盗刷的影响。库存系统还能绕过大多数游戏的外币检测,甚至充值游戏里已经下架的面值,比如之前某款游戏已经下架了30的面值,库存系统用技术手段依然可以充,让游戏厂商深受其害。(来源:FREEBUF) 点评:代充价比游戏里的价格低,其中涉及到汇率、退款、黑卡等多种因素,根据游戏代充的一些特征,游戏厂商可以加强游戏安全风控,从ip情报、手机情报,账号行为分析并且结合app sdk的各种纬度可以鉴别出违规代充账号。 【相关安全事件】《绝地求生》99%外挂都来自国内 概要:近日,《绝地求生》的制作人Brendan Greene在接受外媒采访的时候表示《绝地求生》全球99%的作弊者都来自中国。目前,游戏外挂通常有以下几种: 首先是脱机类外挂:在游戏开发过程中,每款游戏的客户端与服务端都会有固定的通信格式,大部分游戏通信协议位于TCP层之上,自定义的数据结构,外挂开发者们称此为封包。 其次是模拟发包类外挂:脱机类外挂多半依赖于游戏开发商的资料外泄,而模拟发包类外挂与脱机类外挂很近似。原因是一些外挂开发者本身可能是游戏开发者出身,对游戏中的逻辑相当了解,他们可以用调试+抓包分析的方法,在没有源码以及通信格式资料的情况下,分析出一些游戏中关键的数据包,并采用一定的模拟发包技术,完成游戏中本身含有的功能。 最后是内存式外挂:在没有游戏客户端源码,并且没有一定的游戏开发经验的情况下,依然是可以进行外挂开发的。而这些外挂开发者,一般熟练掌握操作系统的各种底层机制,如模块、线程、内存、内核对象、内核机制等技术。这些技术,有助于他们去分析游戏客户端进程中的逻辑和重要数据,之后他们一般会注入dll到游戏进程,去操作游戏进程内数据,完成一些特殊功能。当遇到一些改动,服务器恰好没有校验时,他们的外挂功能便成功执行。(来源:FREEBUF) 点评:游戏外挂自诞生的那天起,就被视为游戏界的大毒瘤之一,比较好的解决外挂的技术方案是从终端防护如app反调试、应用防篡改,通信链路实现数据签名防止中间人劫持,云端大数据管控实现业务风控,从这几个层面来做全链路技术防护。 【相关安全事件】WebLogic Server WLS组件远程命令执行漏洞入侵挖矿事件分析 概要:2017年12月18日,阿里云安全监测到WebLogic PoC入侵云服务器进行挖矿的安全事件,经过紧急介入分析,发现和确认黑客正在利用 WebLogic 反序列化漏洞(CVE-2017-3248 )和 WebLogic WLS 组件漏洞(CVE-2017-10271)对企业使用WebLogic WLS组件的业务进行入侵并植入挖矿木马。 本次利用两个漏洞入侵并植入木马程序为比特币挖矿木马,但由于远程攻击者可利用该漏洞通过发送 HTTP 请求,获取目标服务器的控制权限,黑客可以利用此漏洞进行其他目的攻击非常容易。 漏洞利用条件和方式: 通过PoC直接远程利用。 PoC状态: 目前PoC已经在流行。 漏洞影响范围: Oracle WebLogic Server 10.3.6.0.0 Oracle WebLogic Server 10.3.3.0.0 Oracle WebLogic Server 12.1.3.0.0 Oracle WebLogic Server 12.2.1.1.0 Oracle WebLogic Server 12.2.1.2.0 点评和建议: 建议企业首先进行漏洞检测: (1)扫描http://ip_address:7001/wls-wsat 地址,具体端口根据实际情况修改。 (2)如果 WebLogic 是安裝在默认目录,确定以下文件是否存在(具体文件路径以实际安装路径为准): /home/WebLogic/Oracle/Middleware/wlserver_10.3/server/lib/wls-wsat.war home/WebLogic/Oracle/Middleware/user_projects/domains/base_domain/servers/AdminServer/tmp/.internal/wls-wsat.war /home/WebLogic/Oracle/Middleware/user_projects/domains/base_domain/servers/AdminServer/tmp/_WL_internal/wls-wsat (3)检查主机日志中是否存在“cmd.exe”、“/bin/bash” ,如果存在,则表示服务器可能被入侵。 根据以下修复建议,尝试缓解: (1)删除war包 根据实际环境路径和业务需求,删除WebLogic程序下列war包及目录 rm -f/home/WebLogic/Oracle/Middleware/wlserver_10.3/server/lib/wls-wsat.war rm -f/home/WebLogic/Oracle/Middleware/user_projects/domains/base_domain/servers/AdminServer/tmp/.internal/wls-wsat.war rm -rf/home/WebLogic/Oracle/Middleware/user_projects/domains/base_domain/servers/AdminServer/tmp/_WL_internal/wls-wsat (2)设置网络访问控制 配置http://ip_address:7001/wls-wsat 网络访问控制策略,禁止外网可以直接访问。 (3)更新补丁和扫描: 更新Oracle官方发布相关补丁,下载链接:http://www.oracle.com/technetwork/security-advisory/cpuoct2017-3236626.html (4)检测和防御 阿里云态势感知已增加检测规则,支持入侵行为和漏洞检测,建议开通态势感知(专业版以上版本)进行检测。 订阅 NEWS FROM THE LAB 云栖社区专栏获取最新资讯 微博专栏获取最新资讯 一点号获取最新资讯 扫码参与全球安全资讯精选 读者调研反馈 扫码加入THE LAB读者钉钉群 (需身份验证)
-
发表了文章 2017-12-21
金融安全资讯精选 2017年第十八期:4个月内P2P网贷企业信息安全未合规将被取缔,全球100起重大投融资看未来网络安全发展热点,Gartner2017年安全投入以及人员投入占比相关数据
【金融行业安全动态】只剩4个月,P2P网贷企业信息安全未合规将被取缔 概要:12月8日,银监会P2P网络借贷风险专项整治工作领导小组办公室发布《小额贷款公司网络小额贷款业务风险专项整治实施方案》,旨在通过专项整治,严格网络小额贷款资质审批,规范网络小额贷款经营行为,严厉打击和取缔非法经营网络小额贷款的机构。在专项整治进度上,《方案》要求2018年1月底前完成摸底排查,并在3月底前,对排查结果分成合规类、整改类、取缔类三类分类处置。对确认符合资质要求、依法合规开展业务的纳入合规类机构继续实施有效监管。 点评:综合起来,实施方案对于P2P网贷企业有五点要求,也是挑战。(1)落实国家信息安全等级保护制度的要求,开展信息系统定级备案和等级测试;(2)具有完善的防火墙、入侵检测、数据加密以及灾难恢复等网络安全设施和相关管理制度;(3)记录并留存借贷双方上网日志信息,信息交互内容等数据,留存期限为自借贷合同到期起5年;(4)每两年至少开展一次全面的安全评估,接受国家或行业主管部门的信息安全检查和审计;5、两年内建立或使用与业务规模相匹配的应用级灾备系统。 【金融行业安全动态】全球100起重大投融资看未来网络安全发展热点 概要:在即将过去的2017年,网络安全领域投资保持了增长趋势,全年大型投融资事件超过100起,投融资总额超过100亿美元。 从投资的领域分布来看,云计算、终端安全、身份与访问管理、物联网安全等领域,吸引了大部分的投资资金,其中终端安全、身份与访问管理的投资多集中在少数创新领军企业,或者传统优势厂商收购增加安全功能。 (1)云计算的普及带来大量的数据泄露事件,由于传统的安全防护手段无法很好地提供安全防护, CASB等新防护手段受到追捧,成为云安全领域的热门方向。 (2)终端行业面临整合和洗牌,传统厂商不断通过收购丰富产品功能,新兴下一代终端安全厂商也不断整合新功能。终端安全防护可能走向更加集成和整合。 (3)身份与访问管理这一成熟领域,随着计算环境的复杂化,也面临新的变化。基于云端的身份与访问管理日趋成熟,在稳定性、可扩展性和成本上表现出领先优势。 【金融行业安全动态】Gartner发布2017年企业安全投入数据报告 概要:(1)收入分布:10亿以上的安全公司的收入占比12%、1亿至10亿的42%、5000万至一亿的16%、2500万至5000万的11%、2500万之下的占比19%; (2)行业收入分布:银行占比总收入17%、专业服务10%、保险9%、政府7%、教育占比6%; (3)安全占IT比例的行业分布:平均安全占比IT支付的6.2%、银行和金融占比7.8%、政府占比7.3%、教育占比6.5%、保险占比6.0%; (4)为公司员工安全买单的金额分布:平均1171美金、软件发布和互联网服务3129美金、保险1926美金、银行和金融行业1708美金、政府1652美金、专业服务1112美金; (5)安全产品和服务占比分布:运营基础设施安全占比60%左右、漏洞管理20%左右、引用安全15%左右、合规,治理和风险管理占比15%左右; 【云上视角】阿里云云盾 · 云防火墙技术解读:零配置业务自动分组,安全管理有序、可见 概要:本文对云防火墙的产品理念与技术原理做了详细解读。云防火墙解决了云上东西向隔离的业界难点,让企业将无序的云端资产,推向有序;从不可见,变成可见,进而降低运维成本。 将“业务可视”与“微隔离”原本看似关系不大的两项技术,有效的结合在一起,顺滑地做好云上业务隔离,是阿里云云盾· 云防火墙最不一样的地方。具体来说,云防火墙具有三大技术创新点: 首先是智能分组(Intelligent Segmentation),该项技术结合了阿里云数加机器学习的算法,企业无需进行任何配置,一开通就可以自身的业务的分区、分组、服务器资产、服务器之间的访问关系。 第二就是可视化与微隔离的结合落地,企业再也不用进行列表式的ACL配置。通过云防火墙的可视化拓扑,企业点击拓扑中的业务元素(流量、角色、业务),即可完成全部策略的下发和维护。 这项策略管理技术,可以有效的区分了业务内外的不同安全等级的流量、已授权和未授权的流量,并直线下发安全策略。 当云防火墙通过智能算法,自动把整个业务用拓扑图的形式呈现出来的时候,企业的运维水平将提升到一个高度,并可以解决很多以前无法解决的问题。 订阅 NEWS FROM THE LAB 云栖社区专栏获取最新资讯 微博专栏获取最新资讯 一点号获取最新资讯 扫码参与全球安全资讯精选 读者调研反馈 扫码加入THE LAB读者钉钉群 (需身份验证)
-
发表了文章 2017-12-21
游戏安全资讯精选 2017年第十八期:富控互动拟13.668亿收购棋牌游戏公司百搭网络51%股权,游戏市场的收入超2千亿,阿里云与中国电信云堤达成DDoS防护领域重大合作,阿里云云盾 · 云防火墙技术解读
【游戏行业安全动态】富控互动拟13.668亿收购棋牌游戏公司百搭网络51%股权 概要:富控互动发布公告,拟13.668亿收购百搭网络51%股权。百搭网络成立于2016年10月,是一家专注于开发、运营移动端棋牌游戏的互联网游戏公司。目前,百搭网络在线运营的主要游戏有阿拉宁波麻将、阿拉浙江麻将、阿拉血战麻将、阿拉舟山麻将、阿拉江西麻将、阿拉跑得快、阿拉干瞪眼、阿拉斗牛、阿拉玩三张等棋牌游戏。 百搭网络2016年总营收25.82万元,净利润1.25万元;2017年前三个季度总营收1.25亿元,净利润9312.7万元。 点评:百搭网络按照本次交易价格计算,增值26.02亿元,增值率为3330.64%,棋牌行业利润丰厚吸引了越来越多的投资者,棋牌游戏的火爆,也已经成为流量攻击的重灾区,基本平均流量峰值都在300G左右,个别最高的甚至可达T级以上。 【相关安全事件】游戏市场的收入超2千亿,在今年的产业年会上大佬们都说了什么? 概要:由国家新闻出版广电总局主管,中国音像与数字出版协会等机构主办,中国音数协游戏工委参与承办的2017年度中国游戏产业年会正在海口进行,本次年会的主题是“匠心筑梦”,将以“鼓励游戏研发、扶持自主品牌、提倡平等竞争、繁荣民族产业”为主旨。 同时今天中国音数协游戏工委(GPC)、伽马数据(CNG)、国际数据公司(IDC)还联合发布了《2017年中国游戏产业报告》。报告显示,2017年中国游戏市场实际销售收入达到2036.1亿元,同比增长23.0%。其中手游收入占比57%,达到1161.2亿元,同比增长41.7%。但是,在中国移动游戏用户数量在增长方面,已经显现出较为疲软的态势。报告显示,中国移动游戏用户规模达到5.54亿人,同比增长4.9%。 【云上视角】阿里云与中国电信云堤达成DDoS防护领域重大合作 概要:12月20日,阿里云与中国电信云堤宣布签署云安全领域合作协议,双方将于明年共同推出定制化DDoS防护服务。这也是电信运营商与云服务商在安全领域达成的首次合作。分布式拒绝服务攻击 (Denial Of Service)攻击是目前中国企业最困扰的安全问题之一。第三方统计数据显示,2017年所监测到的单次攻击峰值已经超过1T。另一方面,国内宽带成本较高,也阻碍了中国企业,尤其是中小企业用上高质量DDoS防护服务。 运营商世界网分析,阿里云之所以选择与电信云堤达成“飞天共振”战略合作,一方面是出于对云计算、大数据安全的重视,电信云堤在安全领域也可谓术业有专攻,阿里云通过与其达成合作或许也将有助于加强自身的安全能力。 【云上视角】阿里云云盾 · 云防火墙技术解读:零配置业务自动分组,安全管理有序、可见 概要:本文对云防火墙的产品理念与技术原理做了详细解读。云防火墙解决了云上东西向隔离的业界难点,让企业将无序的云端资产,推向有序;从不可见,变成可见,进而降低运维成本。 将“业务可视”与“微隔离”原本看似关系不大的两项技术,有效的结合在一起,顺滑地做好云上业务隔离,是阿里云云盾· 云防火墙最不一样的地方。具体来说,云防火墙具有三大技术创新点: 首先是智能分组(Intelligent Segmentation),该项技术结合了阿里云数加机器学习的算法,企业无需进行任何配置,一开通就可以自身的业务的分区、分组、服务器资产、服务器之间的访问关系。 第二就是可视化与微隔离的结合落地,企业再也不用进行列表式的ACL配置。通过云防火墙的可视化拓扑,企业点击拓扑中的业务元素(流量、角色、业务),即可完成全部策略的下发和维护。 这项策略管理技术,可以有效的区分了业务内外的不同安全等级的流量、已授权和未授权的流量,并直线下发安全策略。 当云防火墙通过智能算法,自动把整个业务用拓扑图的形式呈现出来的时候,企业的运维水平将提升到一个高度,并可以解决很多以前无法解决的问题。 订阅 NEWS FROM THE LAB 云栖社区专栏获取最新资讯 微博专栏获取最新资讯 一点号获取最新资讯 扫码参与全球安全资讯精选 读者调研反馈 扫码加入THE LAB读者钉钉群 (需身份验证)
-
发表了文章 2017-12-14
游戏安全资讯精选 2017年第十七期:2017年最值得关注的出海游戏公司,微软十二月“周二补丁日”一览,中小企业公有云网络安全保障体系和混合云搭建实践
【游戏行业安全动态】2017年最值得关注的出海游戏公司 概要:在国内游戏市场人口红利耗尽的前提下,中国移动游戏市场在整体规模继续稳定增长的同时,端游页游厂商纷纷入局,渠道逐渐式微,买量成本暴涨等一系列因素,导致许多游戏企业的生存环境更加艰险。面对竞争如此激烈的市场环境,“不出海,就出局”渐成手游行业共识。 事实上,中国游戏正在全球范围内“猛烈进攻”。根据报告显示,在2017上半年的25个成绩最突出的国家或地区中,中国移动游戏发行商已经获得了比去年同期高出130%的收入;在全球周活跃渗透率TOP1000的游戏里,中国游戏就占了十分之一,且出海数量一直在增长。 点评:国内竞争激烈,早期让一批中小厂商被迫出海,而如今,为了寻求更多的业务增长点,大厂也开始出海了。今年可以明显的看到,腾讯、网易,以及阿里等大厂商,都拿出了各自的大动作,以此扩展业务的增长点,而过内外的安全环境不尽相同,在安全领域,游戏出海会面临新的挑战。 【相关安全事件】微软“周二补丁日”十二月 概要:美国时间2017年12月12日,微软发布12月份的安全公告,本次安全公告显示微软修补了34个漏洞,其中共有21个漏洞被评为关键,另外13个被评为重要。 受影响的是Internet Explorer,Microsoft Edge,Microsoft Windows,Microsoft Office,SharePoint和Exchange。 除了解决的33个漏洞之外,微软还发布了Microsoft Office更新,通过禁用动态数据交换(DDE)协议来提高安全性。 ADV170021中详细介绍了此更新,并影响了所有受支持的Office版本。 无法安装此更新的组织应咨询有助于减轻DDE开发尝试的解决方法的建议。 值得注意本次安全公告中,微软发布了英国国家网络安全中心的研究发现了远程代码执行漏洞-Microsoft恶意软件保护引擎(MPE)的两个修补程序(CVE-2017-11937和CVE-2017-11940)。 点评:阿里云安全团队建议关注,并根据业务情况择机更新补丁,以提高服务器安全性: 建议打开Windows Update功能,然后点击“检查更新”按钮,根据业务情况下载安装相关安全补丁,安装完毕后重启服务器,检查系统运行情况。在更新安装升级前,建议做好测试工作,并务必做好数据备份和快照,防止出现意外。 【云上视角】中小企业公有云网络安全保障体系实践初探 概要:许多大中型互联网企业都在建设自己的网络安全保障体系,并且配备了专业的网络安全人员,实现了一体化的网络安全保障。但中小型企业由于资金、人员、技术等众多客观原因,而无法完成;另外由于公有云给中小企业带来了高性价比的资源优势,但在使用云计算过程中,如果操作不当,反而会引入比较高的网络安全风险。下面我们先从大概的了解一下什么是网络安全保障体系,然后再看我们如何把这套体系在一定成本可控的情况下落地实践。 【云上视角】如何快速搭建安全的混合云? 概要:从行业内权威机构的调查分析报告看,混合云打消了企业的诸多顾虑又能充分的利用公有云的优势。做为当前一个非常好的平衡点,以混合的IT架构实现企业的业务结果,这种趋势正在急速增长,且会成为常态。 订阅 NEWS FROM THE LAB 云栖社区专栏获取最新资讯 微博专栏获取最新资讯 一点号获取最新资讯 扫码参与全球安全资讯精选 读者调研反馈 扫码加入THE LAB读者钉钉群 (需身份验证)
-
发表了文章 2017-12-06
金融安全资讯精选 2017年第十六期:逐条解读现金贷整顿对P2P影响,工信部宣布1亿以上用户信息泄露为特大网络安全事件,太平保险集团信息安全主管的企业安全方法论
【金融安全动态】逐条解读现金贷整顿对P2P影响 概要:12月1日,互联网金融风险专项整治、P2P网贷风险专项整治工作领导小组办公室正式下发《关于规范整顿“现金贷”业务的通知》(下文简称“通知”)。此通知比较全面的对现金贷业务进行了规范,包括了资格监管,业务监管和借款人适当性监管,并给出了存量逐步退出的安排。通知涉及的业务主体包括现金贷助贷类机构、网络小贷公司、银行类金融机构、P2P网贷类机构等,其中对助贷类机构影响最大,下面网贷之家研究院将进行逐条解读。 点评:通知出台后,提出了对信息安全保护的规范性要求。另外,提供信用兜底的助贷机构业务,具有放贷性质,需要持牌。这条规定在《非存款类放贷组织条例(征求意见稿)》中也有提及。直接放贷业务的牌照包括银行、消费金融公司、网络小贷等。P2P对“数据驱动”提出审慎使用。目前现金贷公司风控模型对数据依赖较大,但并未经历过完整周期的检验,通知此处意在提示风险。对于监管方认定的不合规现金贷平台,金融机构和非银行支付机构停止提供金融服务,通信管理部门依法处置互联网金融网站和移动应用程序,这两条比较直接有效。 【金融安全动态】工信部:1亿以上用户信息泄露为特大网络安全事件 概要:网络安全突发事件预警制度建立 1亿以上用户信息泄露为特大事件 本报讯 记者万静 工信部近日对外公布印发的《公共互联网网络安全突发事件应急预案》,明确了事件分级、监测预警、应急处置、预防与应急准备、保障措施等内容。预案自印发之日起实施。其中规定:全国范围大量互联网用户无法正常上网,.CN国家顶级域名系统解析效率大幅下降,1亿以上互联网用户信息泄露,网络病毒在全国范围大面积爆发,其他造成或可能造成特别重大危害或影响的网络安全事件为特别重大网络安全事件。 点评:从网络安全法以来,越来越清晰的看到,网络安全建设不再只是依照运营者的意愿去选择投入的力度,而更多的成为一种义务和责任,为自己、为用户为社会负责。同时也建议金融企业在事件检测和响应上加强投入。 【相关安全事件】Linux内核的Huge Dirty Cow权限提升漏洞 概要:问题出现在get_user_pages函数中。 该函数用于获取用户进程中虚拟地址后面的物理页面。 调用者在使用时必须指定在这些页面上执行的动作,从而内存管理器可以准备相应的页面。而当调用者在私有映射内的页面上执行写入操作时,页面可能需要经历COW(写时复制)循环 ——当新页面可写时会将原始“只读”页面复制到新页面,而原始页面可能是具有“特权”的,由此造成了该漏洞。 点评:阿里云提供的Ubuntu、CentOS及RHEL 5/6/7发行版本由于未引入漏洞代码,不受此漏洞影响。 可以通过查看(cat) /sys/kernel/mm/下的transparent_hugepage目录enabled文件进行检测,显示[always]则会有影响 。本漏洞安全风险较低,升级内核风险较大,谨慎升级内核;可以关注官方发布的安全补丁。 【云上视角】太平保险集团信息安全主管的企业安全方法论 概要:90年代,互联网刚兴起不久,我们的信息安全是以终端为界;00年代,当互联网快速发展之时,信息安全开始以网络为纲;10年代,互联网发展进入了快车道,云计算、虚拟化、移动互联技术引爆互联网科技革命的时候,“系统化/体系化”的信息安全防护思路得到了大众企业的青睐;而如今,互联网进入万物互联模式,新时代下的信息安全也面临着全新的挑战,作为企业信息安全的管理者,该如何改变观念、寻求变革,是一个值得深研的课题。作为企业信息安全主管,作者对于金融特别是保险企业信息安全建设及发展规划有着丰富的经验和独到的见解。他认为,过去业内惯常的对于已知威胁过度聚焦的思维,已经无法应对金融企业发展的新形势和其对安全能力的新要求。他强调,信息安全规划应该着眼细节,局部入手,动态发展,并且逐步建立并实现整体安全观。(来源:安在) 订阅 NEWS FROM THE LAB 云栖社区专栏获取最新资讯 微博专栏获取最新资讯 一点号获取最新资讯 扫码参与全球安全资讯精选 读者调研反馈 扫码加入THE LAB读者钉钉群 (需身份验证)
-
发表了文章 2017-12-06
游戏安全资讯精选 2017年第十六期:房卡式棋牌游戏涉赌博风波,抓娃娃火爆市场背后的安全隐患需警惕,Linux内核的Huge Dirty Cow权限提升漏洞
【每周游戏行业DDoS态势】 【游戏行业安全动态】房卡式棋牌游戏涉赌博风波 概要:近日隔壁棋牌游戏公司先后因涉赌被处理的消息,引发业内广泛关注。多名业内人士认为,出现这种事,并不应该由房卡模式来“背锅”,原因还是在于这些棋牌公司本身资质不全,并且为了拉拢人气牟取暴利而违规参与组织抽成。中永律师事务所梅钟律师表示:“如果游戏公司只是提供游戏平台和打牌的技术,不涉及参与组织或反向兑换,那它作为赌博的参与方和组织方的风险是比较小的。” 点评:线上棋牌游戏极易发展成赌博,为了规避风险,几乎大多数棋牌游戏供应商都不提供直接的在线充值,一般是通过转账或者直接代理模式兜售房卡,而且地方棋牌市场也基本趋于饱和、竞争持续激烈,相互之间的攻击也是层出不穷。 律师表示,对于游戏公司应在棋牌游戏中尽什么样的义务,目前法律上还没有明确规定,因此尚不构成棋牌游戏公司因监督不到位而被追究法律责任的情况。“但游戏公司还是应该尽一个合理注意义务,比如对用户的身份应该严格审核;明确提示不得利用游戏进行赌博;或对一些线下的反常交易行为等,应该提起注意。随着相关部门管理力度的加大和实名制的实施,今后对于棋牌游戏公司监督义务的规定肯定也会慢慢出现。”(来源:游戏茶馆) 【游戏行业安全动态】抓娃娃机大火,背后的安全风险几何? 概要:线下抓娃娃竞争在近些年来日益激烈,大有饱和的趋势。公开数据显示,2012年中国抓娃娃机产量为21.11万台,到2016年增长至31.64万台,同比2015年增长了7.97%,五年复合增长率10.65%。最近,线上抓娃娃机开始迎来爆发期。八月份,“天天抓娃娃”登录App Store,作为线上流量变现的一种有效手段,社交大平台自然也注意到了在线抓娃娃的爆发,9月份,YY反应迅速,在新版本中上线了“欢乐抓娃娃”,陆陆续续的,一些小的社交平台也将在线抓娃娃功能嵌到了自己的平台。 与社交、直播行业融合,是未来抓娃娃行业的趋势。一整套的在线娃娃机方案包括了硬件方案和软件方案,硬件方案包括娃娃机侧系统板子的选型,系统板子和娃娃机天车串口的调优,软件方案包括视频直播系统和实时信令控制系统的开发。看似简单的抓娃娃,却涉及到物联网、视频直播、电商等领域,安全风险,也是下一个会被关注到的点。 点评:2017年,线下娃娃机在每年30%的增长率下已经达到了200万台的存量,成为线下游艺机的赢家。2017年也是线下娃娃机的线上价值被发现的一年,其带有博彩性质的玩法,可能成为棋牌行业之后新的攻击爆发点,其结合了物联网技术以及互动音视频技术,对安全的依赖性不言而喻:从DDoS,Web攻击,到薅羊毛等风险问题会相继出现,想抓住风口的游戏行业公司,也许警惕背后的安全风险。 【相关安全事件】Linux内核的Huge Dirty Cow权限提升漏洞 概要:问题出现在get_user_pages函数中。 该函数用于获取用户进程中虚拟地址后面的物理页面。 调用者在使用时必须指定在这些页面上执行的动作,从而内存管理器可以准备相应的页面。而当调用者在私有映射内的页面上执行写入操作时,页面可能需要经历COW(写时复制)循环 ——当新页面可写时会将原始“只读”页面复制到新页面,而原始页面可能是具有“特权”的,由此造成了该漏洞。 点评:阿里云提供的Ubuntu、CentOS及RHEL 5/6/7发行版本由于未引入漏洞代码,不受此漏洞影响。 可以通过查看(cat) /sys/kernel/mm/下的transparent_hugepage目录enabled文件进行检测,显示[always]则会有影响 。本漏洞安全风险较低,升级内核风险较大,谨慎升级内核;可以关注官方发布的安全补丁。 订阅 NEWS FROM THE LAB 云栖社区专栏获取最新资讯 微博专栏获取最新资讯 一点号获取最新资讯 扫码参与全球安全资讯精选 读者调研反馈 扫码加入THE LAB读者钉钉群 (需身份验证)
-
发表了文章 2017-11-29
金融安全资讯精选 2017年第十五期:普华永道消费者隐私信息保护调研称69%的企业无力面对网络攻击,中小银行转型系统整合中的建议
【金融安全动态】普华永道消费者隐私信息保护调研:69%的企业在面对网络攻击和黑客时手无缚鸡之力。点击查看原文 概要:2017年8月-9月,普华永道通过网络和视频采访的方式调研了2000名18周岁以上的来自全国各地的美国公民。45%的受访者认为明年最有可能发生在自己身上的事情是“电子邮件账户或社交账号被黑”。只有25%的受访者相信大多数企业具有良好的个人隐私信息保护机制。只有15%的人认为这些企业会利用这些数据提升消费者的生活质量。 点评:金融行业内,网络安全和客户隐私保护的优先级已经被提到一个比较高的位置了。除此之外,金融行业可以通过等保和网络安全法的合规规定,进一步强化自身的制度、规范,用实际行动赢得用户的信任。同时,用户对于隐私信任的容忍度越来越低,所以金融行业也要注意用新技术来确保信息的透明度,同时加大在防入侵,防泄露上的投入。 【金融安全动态】CFT50王永红:中小银行转型 系统整合是关键。点击查看原文 概要:中国中小银行发展论坛和中国直销银行联盟发布《中国中小银行发展报告(2017)》(下称《报告》)。《报告》显示银行业大零售市场到2022年整体规模约将达到100万亿,中小银行将面临着新增约30万亿规模的大零售市场。而居民部门杠杆率水平上限决定了这将是中小银行最后一个“大零售黄金发展窗口期”。 当前中小银行普遍存在战略摇摆、路径不清、对公艰辛、同业纠结、市场迷茫、资本不足等问题。《报告》认为,中小银行应尽早以直销为突破口,通过并购互联网金融公司,充分利用其平台渠道、大数据等优势,提升大零售服务效率。 点评:农信在传统银行业务向互联化转型过程中,要利用好农信省一级的IT基础设施优势,进行云化、互联网化改造,让银行业务适配互联网业务金额小、业务量大、IT资源弹性要求高的特点,在互联化的大势下,利用好银行品牌的优势重新整合互联网金融行业。 【相关安全事件】MongoDB内存破坏漏洞。点击查看原文 概要:2017年10月30日,Mongodb数据库爆出内存破坏漏洞 ,CVE编号CVE-2017-15535,攻击者可以利用此问题导致拒绝服务条件或修改内存。由于这个问题的性质,代码执行可能是可能的,但这还没有得到证实。MongoDB Mongodb 3.4.10 以下受影响,MongoDB Mongodb 3.6.0-rc0也受影响。 点评:由于在2017年上半年,多次发生MongoDB被黑客数据勒索对象,为了业务安全,建议企业关注MongoDB漏洞,及时修补漏洞,防止发生数据被删除等严重影响业务稳定性的安全事件。 开发人员可以检查是否使用了受影响版本范围内的MongoDB。 漏洞修复建议(或缓解措施): · 目前官方已经发布新版本,建议升级到3.4.10版本以上修复该漏洞; · 同时建议对安装部署完毕的MongoDB数据库进行手工安全加固 ,也可以使用安骑士基线功能自动检测,并根据检测结果进行加固。 订阅 NEWS FROM THE LAB 云栖社区专栏获取最新资讯 微博专栏获取最新资讯 一点号获取最新资讯 扫码参与全球安全资讯精选 读者调研反馈 扫码加入THE LAB读者钉钉群 (需身份验证)
-
发表了文章 2017-11-29
游戏安全资讯精选 2017年第十五期:网络安全人才短缺是安全事件的根源,游戏行业为典型;点评最新十大Web安全隐患;MongoDB最新漏洞缓解建议
【最新活动】棋牌游戏用户五大DDoS优惠防护。点击查看原文 点评:游戏行业内,2016年,全球有记录的DDoS峰值已近600G,300G以上的DDoS攻击,在游戏行业内已经毫不稀奇。 为什么游戏会是DDoS攻击的重灾区呢?这里说几点主要的原因。 首先是因为游戏行业的攻击成本低廉,是防护成本的1/N,攻防两端极度不平衡。随着攻击方的打法越来越复杂、攻击点越来越多,基本的静态防护策略无法达到较好的效果,也就加剧了这种不平衡。 其次,游戏行业生命周期短。一款游戏从出生,到消亡,很多都是半年的时间,如果抗不过一次大的攻击,很可能就死在半路上。黑客也是瞄中了这一点,认定:只要发起攻击,游戏公司一定会给“保护费”。 再次,游戏行业对连续性的要求很高,需要7*24在线,因此如果受到DDoS攻击,游戏业务很容易会造成大量的玩家流失。我曾经见过在被攻击的2-3天后,游戏公司的玩家数量,从几万人掉到几百人。 最后,游戏公司之间的恶性竞争,也加剧了针对行业的DDoS攻击。 【每周游戏行业DDoS态势】 【游戏安全动态】网络安全人才短缺是安全事件的根源,游戏行业为典型。点击查看原文 概要:ESG与ISSA协作发布了一份题为《网络安全人员的生活与时代》的新研究报告。该项研究表明,网络安全技能缺乏所能导致的后果,远不止“网络安全职位数超过具有合适技能和背景的人群数量”这一条明显结论。343位网络安全从业者(大部分是ISSA成员),被问及自家公司在过去2年中是否经历过安全事件,比如:系统破坏、恶意软件感染、DDoS攻击、正对性攻击、数据泄露等等。超过半数(53%)的受访者承认,他们的公司自2015年来经历了至少1起安全事件。值得注意的是,有34%的受访者回答称“不知道/不想说”,于是,实际经历了安全事件的公司占比,可能会比明确承认的比例高得多。 点评:在游戏行业内,安全专业人才短缺的现象普遍存在,游戏行业业务发展非常迅速,许多游戏公司有先往前跑,后再顾及安全的思维模式,而网络攻击带来的业务的损失往往猝不及防。 中国游戏业规模17年将突破2000亿,商机无限,但是另一方面,游戏业也成为黑产聚集地,属于攻击高发区,像DDoS攻击、游戏外挂、游戏盗号等每每发生,这样就使得安全人才在游戏行业更加紧缺,除了增加外部的安全防护外,也需要增加运维团队的安全意识和技能培训。 【游戏安全动态】最新十大Web安全隐患。点击查看原文 概要:四年之后,OWASP发布新版本OWASP Top10。OWASP项目最具权威的就是其”十大安全漏洞列表”。这个列表总结了Web应用程序最可能、最常见、最危险的十大漏洞,可以帮助IT公司和开发团队规范应用程序开发流程和测试流程,提高Web产品的安全性。 OWASP Top 10则是OWASP项目总结的10大最关键Web应用安全隐患列表。 OWASP多年来经历了几次迭代。 OWASP Top 10的版本分别在2004年,2007年,2010年,2013年和2017年发布。 与往年一样,注入仍然是应用程序安全风险的首要问题,但排名却出现了一些混乱,出现了三名新成员 - XML外部实体(XXE)、不安全的反序列化、不足的记录和监控。 A1:2017-注入 注入漏洞,包括SQL,NoSQL,OS,LDAP注入等,这些攻击发生在当不可信的数据作为命令或查询语句的一部分,被发送给解释器的时候。攻击者发送的恶意数据可以欺骗解释器,以执行计划外的命令或未被恰当授权时访问数据。 A2:2017-失效的身份认证 与认证和会话管理相关的应用函数经常被错误地应用,这就允许攻击者窃取密码、密钥、会话token,或者利用其他的应用错误来暂时或者永久地获取用户身份信息。 A3:2017-敏感信息泄露 许多web应用和API不能合理的保护敏感数据,比如金融、医疗数据和PII。攻击者可能窃取或篡改这些弱保护的数据进行信用卡诈骗、身份窃取或者其他犯罪。敏感数据需要额外的保护,比如在存放和传输过程中的加密,在与浏览器进行交换时也需要特殊的预防措施。 A4:2017-外部处理器漏洞(XXE) 许多过时的或者配置不当的XML处理器在XML文档内进行外部实体引用。外部实体可以被用来泄露内部文件,比如使用文件URI handler,内部文件共享,内部端口扫描,远程代码执行和拒绝服务攻击。 A5:2017-无效的访问控制 仅允许认证的用户的限制没有得到适当的强制执行。攻击者可以利用这些权限来访问未经授权的功能和数据,例如访问其他用户的账户,查看敏感文件,修改其他用户的数据,更改访问权限等。 A6:2017-错误的安全配置 安全配置错误是常见的问题,这是不安全的默认配置、不完整或者ad hoc网络配置、开放云存储、错误配置的HTTP头、含有敏感信息的冗长错误信息造成的。除了要安全设定所有的操作系统、框架、库、应用外,还要及时进行系统更新和升级。 A7:2017-跨站脚本攻击(XSS) 当应用程序在新网页中包含不受信任的数据而无需正确的验证或转义时,或使用可以创建HTML或者JavaScript的浏览器API并使用用户提供的数据更新现有网页就会发生XSS缺陷。XSS允许攻击者在受害者的浏览器上执行脚本,从而劫持用户会话、危害网站、或者将用户转向恶意网站。 A8:2017-不安全的反序列化 不安全的反序列化漏洞经常导致远程代码执行。即使反序列化错误不导致远程代码执行,也可以被用于发起攻击,例如重放攻击、注入攻击和权限提升攻击等。 A9:2017-使用含有已知漏洞的组件 组件,比如库、框架和其他软件模块,是与应用相同权限运行的。如果一个有漏洞的组件被利用,这种攻击可以造成更为严重的数据丢失或服务器接管。使用已知漏洞组件的应用和API可能会破坏应用程序的防御系统,并使一系列可能的攻击和影响成为可能。 A10:2017-不完善的日志记录和监控 记录和监控不足,加上没有与应急响应有效的结合,让攻击者可以进一步攻击系统、篡改、提取或者销毁数据。大多数的数据泄露研究显示,通常要经过200天以上,使用者才能察觉到数据泄露事件的发生,而且往往是外部机构而不是内部的监控系统发现数据泄露的事实。 点评:OWASP Top 10项目对现有的安全问题从威胁和脆弱性进行可能性分析,并结合技术和商业影响的分析,输出目前一致公认、最严重的十类web应用安全风险排名,并提出安全解决方案和建议。Top 10是一个高度提炼的web安全最佳实践输出,现实的意义在于帮助和指导开发者、安全测试人员、web应用安全管理团队、运维团队,提高风险意识,降低业务系统安全风险。同时其对于安全厂商的产品能力提升也有指导意义。 对于企业业务系统Web安全风险管理以及企业整体信息安全建设,从来没有终点,我们希望云上用户关注对照此表利用好最佳实践,结合自身环境,多方位持续性的自查风险、改善,采取有重点的保护防范措施,在人、技术、流程三维度以提高业务系统安全性。 【相关安全事件】MongoDB内存破坏漏洞。点击查看原文 概要:2017年10月30日,Mongodb数据库爆出内存破坏漏洞 ,CVE编号CVE-2017-15535,攻击者可以利用此问题导致拒绝服务条件或修改内存。由于这个问题的性质,代码执行可能是可能的,但这还没有得到证实。MongoDB Mongodb 3.4.10 以下受影响,MongoDB Mongodb 3.6.0-rc0也受影响。 点评:由于在2017年上半年,多次发生MongoDB被黑客数据勒索对象,为了业务安全,建议企业关注MongoDB漏洞,及时修补漏洞,防止发生数据被删除等严重影响业务稳定性的安全事件。 开发人员可以检查是否使用了受影响版本范围内的MongoDB。 漏洞修复建议(或缓解措施): · 目前官方已经发布新版本,建议升级到3.4.10版本以上修复该漏洞; · 同时建议对安装部署完毕的MongoDB数据库进行手工安全加固 ,也可以使用安骑士基线功能自动检测,并根据检测结果进行加固。 订阅 NEWS FROM THE LAB 云栖社区专栏获取最新资讯 微博专栏获取最新资讯 一点号获取最新资讯 扫码参与全球安全资讯精选 读者调研反馈 扫码加入THE LAB读者钉钉群 (需身份验证)
-
发表了文章 2017-11-24
游戏安全资讯精选 2017年第十四期:游戏盾入门版推出降价63%,《2017年网络安全产业白皮书》发布,微软“11月周二补丁日”补丁一览
【本周游戏行业DDoS攻击态势】 据阿里云DDoS监控中心数据显示,近期DDoS 攻击增加明显,主要攻击目标是游戏和线上推广行业的厂商。请请相关的用户做好DDoS 攻击的防护措施。 【行业动态】 信通院发布《2017年网络安全产业白皮书》点击查看原文 我国网络安全产业发展的情况: (一)产业概况: 我国网络安全产业规模高速增长。2016年我国网络安全产业规模约为344.09亿元,较2015年增长21.7%,预计2017年达到457.13亿元。 (二)区域分布:重点城市加快产业布局,产业集群效应逐渐显现 成都、深圳、上海、武汉、西安等重点加快网络安全产业布局提出了发展安全产业的新定位。 (三)企业发展: 国内安全企业实力稳步提升。2016年,10家主板上市安全企业总营收达到146.95亿元,增长34.94%,超过国际上市企业增速;平均净利润为2.25亿元,增长接近50%。新三板挂牌安全企业方面,统计的40家样本企业2016年总营收达到27.88亿元,其中15家企业营收增长超过50%,总体形势向好。 (四)生态环境:企业融资高度活跃,产业生态不断优化 在产业融资方面,国内网络安全领域创投活动高度活跃,一批成立2-3年的初创企业相继获得多轮融资,备受国内资本市场关注。 (五)安全技术: 在安全新兴技术领域,主要有三个方向。第一是态势感知,从概念慢慢地走向落地。二是虚拟化技术推动产品形态转变,在虚拟化环境下,安全产品逐渐向以软件或云服务的方式呈现演变,实现产品可以在云环境下的灵活部署、使用、扩展。三是人工智能有望驱动安全技术变革。 【相关安全事件】 微软“11月周二补丁日”发布53个漏洞补丁 点击查看原文 概要:美国时间2017年11月14日,微软发布11月度安全漏洞公告。本月的漏洞公告解决了53个漏洞,其中包括19个严重漏洞,31个重要和3个中度级别漏洞。这些漏洞影响:微软 Edge、IE浏览器,微软的脚本引擎等其他产品。其中浏览器产品(CVE-2017-11848、CVE-2017-11827)、ASP.NET (CVE-2017-8700)存在信息泄露风险、Windows EOT字体引擎信息泄露漏洞(CVE-2017-11832)、Windows内核信息泄露漏洞(CVE-2017-11853),需要重点关注。 具体公告详情如下: Internet Explorer Microsoft Edge Microsoft Windows Microsoft Office and Microsoft Office Services and Web Apps ASP.NET Core and .NET Core Chakra Core 点评:企业可根据业务情况及时更新补丁,以提高服务器安全性。首先,建议用户打开Windows Update功能,然后点击“检查更新”按钮,根据业务情况下载安装相关安全补丁; 而后,安装完毕后重启服务器,检查系统运行情况。注意:在更新安装升级前,建议做好测试工作,并务必做好数据备份和快照,防止出现意外。 【云上视角】 游戏盾入门版推出,费用降低63% 点击查看原文 概要:云栖大会广东分会现场,阿里云 · 游戏盾推出入门版,费用降63%。把行业的防御门槛降低,进一步实现安全能力的普惠。 目前,游戏盾结合专用的游戏安全网关,有针对性地防御针对游戏业务的空连接攻击、CC攻击、连接耗尽类攻击。对于大流量DDoS攻击,游戏盾通过数据风控的方式改变了攻防不对等,和“拼宽带”的传统格局。对于用户来说,“入门”的成本更低,防护效果也更可控。 点评:阿里云DDoS监控中心观察到:2017年1月至6月,游戏行业大于300G以上的攻击超过1800次,最大峰值为608G;游戏公司每月平均被攻击次数为800余次。在2017年1月至3月为攻击最猖獗的时期,平均每天有30多次攻击。 游戏行业DDoS攻击的主要原因是行业恶性竞争,黑客恶意骚扰。其中,90%的游戏业务在被攻击后的2-3天内彻底下线,攻击超过2-3天,玩家一般会从几万人调到几百人。在遭受DDoS攻击后,游戏公司的日损失可达数百万元。以棋牌游戏为甚。 与传统单点防御DDoS防御方案相比,游戏盾用数据和算法来实现智能调度,将“正常玩家”流量和“黑客攻击”流量快速分流至不同的节点,最大限度缓解大流量攻击;通过端到端加密,让模拟用户行为的小流量攻击也无法到达客户端。 期待听到您的反馈 金融、政府、游戏安全资讯精选会通过云栖社区专栏, 阿里云安全微信和微博,每周与您见面。 如果您是阿里云用户, 也欢迎通过邮件、钉钉公众号查看本周行业资讯。 扫码参与全球安全资讯精选 读者调研反馈 我们会认真讨论您的每一条建议 并邀请精彩回答者加入VIP读者群 扫码加入THE LAB读者钉钉群
-
发表了文章 2017-11-24
金融安全资讯精选 2017年第十四期:十大顶级终端安全提供商报告,Uber承认数据泄露,微软“11月周二补丁日”发布53个漏洞补丁
【行业动态】 1、Gartner报告:十大顶级终端安全提供商 点击查看原文 点评:Gartner的《2017年终端安全魔力象限》报告为该行业中的公司排了个序,分为“领导者”、“挑战者”、“特定领域厂商”或“远见厂商”。前十名包括趋势科技,Sophos,卡巴斯基实验室,赛门铁克,McAfee,微软,Cylance, SentinelOne,Carbon Black,CrowdStrike. 【行业动态】 2、Uber称在2016年十月有5700万用户资料被盗 点击查看原文 概要:Uber自己透露在2016年十月有5700万用户资料被盗,而当时的管理层在没有告知外界的情况下付给了攻击黑客组织10万美金的”数据销毁“费用。现任CEO提出在他的带领下Uber对用户的数据安全会采取零容忍的态度。 此前,Uber 就因为管理层混乱、涉嫌性别歧视等事件多次陷入舆论风波。此次隐瞒信息泄露事件再一次拉低了其公信力。 点评:Uber在Hackerone上经常被报告1W,2W美金的漏洞,有代码执行、内部聊天工具被攻陷啥的都是高危 有博主在网上透露说,Uber此次的被黑事件,并不是因为黑客使用了先进攻击手段,而是从Github上Uber员工提交的代码中,扒出的用户密码,然后直接访问Uber的服务器弄到。Uber开始享用10万刀来摆平此事,但在之后一个不相关的审计项目中,被律师重新“挖坟”了。 【相关安全事件】 微软“11月周二补丁日”发布53个漏洞补丁 点击查看原文 概要:美国时间2017年11月14日,微软发布11月度安全漏洞公告。本月的漏洞公告解决了53个漏洞,其中包括19个严重漏洞,31个重要和3个中度级别漏洞。这些漏洞影响:微软 Edge、IE浏览器,微软的脚本引擎等其他产品。其中浏览器产品(CVE-2017-11848、CVE-2017-11827)、ASP.NET (CVE-2017-8700)存在信息泄露风险、Windows EOT字体引擎信息泄露漏洞(CVE-2017-11832)、Windows内核信息泄露漏洞(CVE-2017-11853),需要重点关注。 具体公告详情如下: Internet Explorer Microsoft Edge Microsoft Windows Microsoft Office and Microsoft Office Services and Web Apps ASP.NET Core and .NET Core Chakra Core 点评:企业可根据业务情况及时更新补丁,以提高服务器安全性。首先,建议用户打开Windows Update功能,然后点击“检查更新”按钮,根据业务情况下载安装相关安全补丁; 而后,安装完毕后重启服务器,检查系统运行情况。 注意:在更新安装升级前,建议做好测试工作,并务必做好数据备份和快照,防止出现意外。 期待听到您的反馈 金融、政府、游戏安全资讯精选会通过云栖社区专栏, 阿里云安全微信和微博,每周与您见面。 如果您是阿里云用户, 也欢迎通过邮件、钉钉公众号查看本周行业资讯。 扫码参与全球安全资讯精选 读者调研反馈 我们会认真讨论您的每一条建议 并邀请精彩回答者加入VIP读者群 扫码加入THE LAB读者钉钉群
-
发表了文章 2017-11-01
金融安全资讯精选 2017年第十三期 百慕大离岸律师事务所遭黑客攻击,Google 发布HTTPS 普及度报告,Bad Rabbit攻击预警和安全建议,PCI SSC 发布新的 3DS 支付标准
【金融安全动态】 百慕大离岸律师事务所 Appleby 近期遭黑客攻击 点击查看原文 点评:与此前声名大噪的“巴拿马文件”一样,“百慕大”事件的目标在于掀起新一轮对全球财务、企业以及税务事务的大规模审查。从这次事件可以见到,其实对于越大型的公司或个人来说,数据泄露所最担心的问题并非是经济损失,公司名誉和品牌的杀伤力,才是致命的。 Google 发布HTTPS 普及度报告 点击查看原文 概要:一项Google发布出来的数据:64% Android设备上,75% Mac设备上,以及66% Windows设备上的Chrome网络流量是用HTTPS协议。同时,71家全球前100的网站默认使用HTTPS。 点评:从HTTP时代到HTTPS时代,意味着网站会更可信:防劫持、防篡改、防监听。这也是为什么行业巨头纷纷建议HTTPS化的原因。细数近年来各大互联网企业的HTTPS倡导举措: (1)Google Chrome浏览器显著标注非HTTPS网站为”Not Secure” (2)苹果强制要求APP支持HTTPS,以满足ATS准入标准,否则APP Store不给上架应用。 (3)英美政府网站已经完成HTTPS化,这波浪潮政府走在了前例。 (4)百度等搜索引擎会对HTTPS网页进行优先结果排序呈现。 (5)阿里巴巴等电商类平台,已经完成HTTPS 从业界的趋势看,没有HTTPS,未来业务会寸步难行。对企业和机构来说,建议在Webserver站点中,正确部署SSL数字证书,完成网站及业务的HTTPS化改造。 【相关安全事件】 Bad Rabbit(坏兔子)攻击预警和安全建议 点击查看原文 概要:2017年10月24日,国外媒体报道出现了一种新的勒索病毒——Bad Rabbit(坏兔子)通过水坑攻击将恶意代码植入到合法网站,伪装成Adobe Flash Player软件升级更新弹窗,诱骗用户主动下载并安装运行恶意程序。该程序可以加密文档类型、数据库文件、虚拟机文件等类型文件,同时还会使用账号弱口令密码扫描内网和SMB共享服务获取登录凭证尝试登录和感染内网主机,对业务存在高安全风险。 点评:BadRabbit(坏兔子)勒索软件通过入侵某合法新闻媒体网站,该媒体在乌克兰,土耳其,保加利亚,俄罗斯均有分网站。在受害者访问时会被引导安装一个伪装的flash安装程序(文件名为 install_flash_player. exe),用户一旦点击安装后就会被植入“坏兔子”勒索病毒。 勒索病毒通过Windows局域网共享协议传播(通过IPC$、ADMIN$连接),如果同局域网已有人中招,并且开启了共享服务,可能会造成内网扩散。 勒索病毒通过读取已经中招电脑的当前用户密码和内置的弱口令列表传播,如果同局域网已有人中招,并且大家密码相同或是在列表中的弱密码,会有传播影响。 勒索病毒暂未发现通过系统漏洞传播,因此它反而可以覆盖所有的Windows系统,而不限于只存在漏洞的系统。 安全建议方案:该勒索病毒并非像今年5月12日的WannaCry一样利用Windows SMB 0day漏洞传播,但仍存在较大的安全风险,为了避免遭受影响,建议所有企业和机构按照以下措施排查自身业务: (1)常备份数据 目前病毒样本已公开,新的变种可能会出现,建议开发或运维人员使用自动快照或人工备份方式对数据进行全备份,并养成备份好重要文件的习惯。 (2)安装防病毒软件 Windows服务器上安装必要的防病毒软件,并确保更新杀毒软件病毒库,以便能检测到该勒索病毒。 (3)对操作系统和服务进行加固 对服务器操作系统及服务软件进行安全加固,确保无高风险安全漏洞或不安全的配置项。 (4)配置严格的网络访问控制策略 使用安全组策略或系统自带防火墙功能,限制ECS向外访问(outbound)185.149.120.3或1dnscontrol.com域名访问,同时对ECS、SLB服务的其他端口(例如:445、139、137等端口)进行内网出入方向的访问控制,防止暴露不必要的端口,为黑客提供利用条件。 (5)禁止下载安装非官方软件 建议用户到官网下载软件安装Adobe Flash Player,所有软件下载后使用防病毒软件进行查杀。 详细安全建议: 点击查看原文 Typecho前台无限制Getshell漏洞 点击查看原文 概要:2017年10月25日,阿里云安全情报中心监测到国内博客软件Typecho存在前台无限制getshell漏洞,攻击者可以直接远程利用该漏洞无限制执行代码,获取webshell,从而导致黑客获取网站权限,目前该漏洞利用PoC已经公开,漏洞风险为高危。 点评:Typecho是一个简单,轻巧的博客程序。基于PHP,使用多种数据库(Mysql,PostgreSQL,SQLite)储存数据。在GPL Version 2许可证下发行,是一个开源的程序,目前使用SVN来做版本管理。 漏洞影响范围: Typecho <0.9版本 漏洞检测: 开发人员检查是否使用了受影响版本范围内的Typecho,并检查install目录是否存在。 漏洞修复建议(或缓解措施): (1)紧急规避措施:删除install.php文件;(2)及时同步官方分支,更新代码到最新版本。 【云上视角】 PCI SSC 发布新的 3DS 支付标准 点击查看原文 点评:新发布的标准主要是新增了对非控制台管理登录的双因素认证要求。之前,管理员登录应该是账号和密码,新要求是要求账号和密码外加额外的安全认证机制。 期待听到您的反馈 金融、政府、游戏安全资讯精选会通过云栖社区专栏, 阿里云安全微信和微博,每周与您见面。 如果您是阿里云用户, 也欢迎通过邮件、钉钉公众号查看本周行业资讯。 扫码参与全球安全资讯精选 读者调研反馈 我们会认真讨论您的每一条建议 并邀请精彩回答者加入VIP读者群 扫码加入THE LAB读者钉钉群
-
发表了文章 2017-11-01
游戏安全资讯精选 2017年第十三期 Typecho前台无限制Getshell漏洞预警,勒索软件市场正在呈爆炸式增长
【本周游戏行业DDoS攻击态势】 据阿里云DDoS监控中心数据显示,近期DDoS 攻击增加明显,主要攻击目标是游戏和线上推广行业的厂商。请请相关的用户做好DDoS 攻击的防护措施。 【游戏行业安全动态】 Recorded Future称美国在漏洞报告方面落后中国:《The Dragon Is Winning:Lags Behind Chinese Vulnerability Reporting》 点击查看原文 概要:美国国家漏洞库(NVD)中国国家漏洞库(CNNVD)的漏洞首次披露时间对比:美国33天,中国13天,这意味着,虽然中国的CVEs在管理上没有完全统一化,而是从全网搜集,但比美国报告漏洞的时间更快(也许正是因为全网搜集的原因,因为美国是自愿提交)。 报告建议美国的漏洞库应该集成中国的漏洞数据,1746个CVEs在中国的漏洞库中找得到,而在美国数据库中没有。 研究发现:勒索软件市场正在呈爆炸式增长 点击查看原文 概要:Carbon Black研究人员在过去一年,监测了全球21个顶级暗网平台,研究发现勒索软件的销售量增长了2502%,目前全球有超过6300个平台提供勒索软件交易。勒索软件的总销售金额达到了620万美元,比上一年总销售额多了25万美元。 点评:勒索软件市场的不断扩大,一方面是由于一些工具让匿名变得更加轻松(比如比特币和Tor代理等),另一方面是因为勒索软件不断扩散,让许多人都可以轻松发起非法交易,勒索别人。报告表示:“很多地下勒索软件经济已经变成了一个类似于商业软件的行业,甚至包括了开发、技术支持、分销、质保和客服等‘一条龙’服务。” 【相关安全事件】 Bad Rabbit(坏兔子)攻击预警和安全建议 点击查看原文 概要:2017年10月24日,国外媒体报道出现了一种新的勒索病毒——Bad Rabbit(坏兔子)通过水坑攻击将恶意代码植入到合法网站,伪装成Adobe Flash Player软件升级更新弹窗,诱骗用户主动下载并安装运行恶意程序。该程序可以加密文档类型、数据库文件、虚拟机文件等类型文件,同时还会使用账号弱口令密码扫描内网和SMB共享服务获取登录凭证尝试登录和感染内网主机,对业务存在高安全风险。 点评:BadRabbit(坏兔子)勒索软件通过入侵某合法新闻媒体网站,该媒体在乌克兰,土耳其,保加利亚,俄罗斯均有分网站。在受害者访问时会被引导安装一个伪装的flash安装程序(文件名为 install_flash_player. exe),用户一旦点击安装后就会被植入“坏兔子”勒索病毒。 勒索病毒通过Windows局域网共享协议传播(通过IPC$、ADMIN$连接),如果同局域网已有人中招,并且开启了共享服务,可能会造成内网扩散。 勒索病毒通过读取已经中招电脑的当前用户密码和内置的弱口令列表传播,如果同局域网已有人中招,并且大家密码相同或是在列表中的弱密码,会有传播影响。 勒索病毒暂未发现通过系统漏洞传播,因此它反而可以覆盖所有的Windows系统,而不限于只存在漏洞的系统。 安全建议方案:该勒索病毒并非像今年5月12日的WannaCry一样利用Windows SMB 0day漏洞传播,但仍存在较大的安全风险,为了避免遭受影响,建议所有企业和机构按照以下措施排查自身业务: (1)常备份数据 目前病毒样本已公开,新的变种可能会出现,建议开发或运维人员使用自动快照或人工备份方式对数据进行全备份,并养成备份好重要文件的习惯。 (2)安装防病毒软件 Windows服务器上安装必要的防病毒软件,并确保更新杀毒软件病毒库,以便能检测到该勒索病毒。 (3)对操作系统和服务进行加固 对服务器操作系统及服务软件进行安全加固,确保无高风险安全漏洞或不安全的配置项。 (4)配置严格的网络访问控制策略 使用安全组策略或系统自带防火墙功能,限制ECS向外访问(outbound)185.149.120.3或1dnscontrol.com域名访问,同时对ECS、SLB服务的其他端口(例如:445、139、137等端口)进行内网出入方向的访问控制,防止暴露不必要的端口,为黑客提供利用条件。 (5)禁止下载安装非官方软件 建议用户到官网下载软件安装Adobe Flash Player,所有软件下载后使用防病毒软件进行查杀。 详细安全建议: 点击查看原文 Typecho前台无限制Getshell漏洞 点击查看原文 概要:2017年10月25日,阿里云安全情报中心监测到国内博客软件Typecho存在前台无限制getshell漏洞,攻击者可以直接远程利用该漏洞无限制执行代码,获取webshell,从而导致黑客获取网站权限,目前该漏洞利用PoC已经公开,漏洞风险为高危。 点评:Typecho是一个简单,轻巧的博客程序。基于PHP,使用多种数据库(Mysql,PostgreSQL,SQLite)储存数据。在GPL Version 2许可证下发行,是一个开源的程序,目前使用SVN来做版本管理。 漏洞影响范围: Typecho <0.9版本 漏洞检测: 开发人员检查是否使用了受影响版本范围内的Typecho,并检查install目录是否存在。 漏洞修复建议(或缓解措施): (1)紧急规避措施:删除install.php文件;(2)及时同步官方分支,更新代码到最新版本。 期待听到您的反馈 金融、政府、游戏安全资讯精选会通过云栖社区专栏, 阿里云安全微信和微博,每周与您见面。 如果您是阿里云用户, 也欢迎通过邮件、钉钉公众号查看本周行业资讯。 扫码参与全球安全资讯精选 读者调研反馈 我们会认真讨论您的每一条建议 并邀请精彩回答者加入VIP读者群 扫码加入THE LAB读者钉钉群
-
发表了文章 2017-10-24
游戏安全资讯精选 2017年第十二期 挖矿软件WaterMiner潜伏在《侠盗猎车手》,Carbon Black预测勒索软件市场增长了2502%,如何用云盾WAF实现虚拟补丁
【本周游戏行业DDoS攻击态势】 【游戏行业安全动态】 挖矿软件WaterMiner潜伏在《侠盗猎车手》 点击查看原文 WaterMiner会嵌入到游戏模块中,当用户下载模块,恶意软件就会随之入侵,还可以逃避任何监视工具。 WaterMiner的压缩文件会被托管在Yandex.Disk上,Yandex.Disk相当于是俄罗斯的Google。压缩文件提供了所宣称的修改功能,然而,在数十个文件中,它包含一个名为“pawncc.exe”的文件,如下图所示。一旦下载开始执行, “pawncc.exe”也就开始了活动。pawncc.exe一旦在受害者的系统上执行,则会启动一连串的事件,最终导致WaterMiner的运行。(本段来源于嘶吼) Carbon Black勒索软件调查报告:2016年到2017年,勒索软件市场增长了2502%,且势头继续看涨 点击查看原文 概要: (1)暗网市场中,研究人员发现了 45000 个勒索软件。但这是由于恶意软件作者使用不同的收费模式造成的,有些按单个软件定价,有些按月订购或按年订购。 (2)暗网中的勒索软件市场规模已经从 249287.05 美元涨到了 6237248.90 美元,增长率高达 2502% 。FBI 提供的数据也表示,2016 年的勒索赎金总额约为 1 亿美元,高于 2015 年的 2400 万美元。 (3)一体化的 RaaS 本身就是一条完善的勒索链,其中集成了分发通道(攻击套件,spam 僵尸网络等);可以对比特币勒索进行管理的支付模式;对文件的加密与解锁,还有对用户的技术支持,所有的这些都集成在一个简单的 web 后台面板中。 (4)地下的勒索软件经济已趋于成熟,和现有的软件商业模式类似,包括开发,售后,分发,经销,质保等各个环节。整个勒索软件行业越来越像一个合法的行业。 点评: 目前挖矿类的软件攻击主要为软件捆绑式入侵和漏洞入侵实现挖矿软件成功运行,对于企业用户,建议按照以下措施防御:首先是部署阶段:(1)更新所有的补丁。如果有一个业务需要新上线部署,建议对操作系统、应用服务软件更新所有的补丁,确保所有的软件处于最新状态。(2)划分安全域,配置好防火墙策略 根据业务情况,划分不同的安全域,实用ECS安全组或iptables配置好网络访问控制策略,防止暴露不必要的服务,为黑客提供入侵条件。(3)加固操作系统和软件:对操作系统和应用服务软件进行加固,例如:配置强口令、修改默认登陆名、禁止不必要的服务、开启日志审计功能尽可能记录所有的日志 阿里云安全加固手册,帮助提高业务安全性:点击查看 第二是运维阶段:(1)定期关注安全漏洞并及时更新补丁:安全漏洞的不是一蹴而就的,近几年,大规模使用的操作系统、开源软件(例如:Struts2、tomcat等应用中间件或框架)被曝出系列高危漏洞,需要运维人员实时关注各厂商发布的漏洞信息,根据漏洞信息更新软件,防止被黑客利用。(2)部署搭建入侵检测或防御基础安全能力:针对黑客入侵检测、主机恶意文件查杀(webshell、木马)、web攻击行为,应部署必要的产品,提供基本的检测和防御能力(3)确保应用程序代码无漏洞:业务代码漏洞是造成入侵的主要根源,开发人员和运维人员应确保按照安全开发规范开发,防止源头上出现安全问题,从而被黑客利用。(4)应用白名单:确保企业级业务服务器不乱安装非业务软件,所有的业务软件必须要确保为官方发布的软件,防止发生供应链攻击行为导致被黑客长时间入侵利用。 【相关安全事件】 WiFi网络WPA2 KRACK漏洞分析报告 点击查看原文 概要:安全研究员Mathy Vanhoef发现的WPA2协议的KRA(Key Reinstallation Attacks)漏洞,利用WPA2协议标准加密密钥生成机制上的设计缺陷,四次握手协商加密密钥过程中第三个消息报文可被篡改重放,导致在用密钥被重新安装。 WiFi网络通过WPA2 handshake四次握手消息协商用于后续数据通信的加密密钥,其中交互的第三个消息报文被篡改重放,可导致中间人攻击重置重放计数器(replay counter)及随机数值(nonce),重放给client端,使client安装上不安全的加密密钥。 点评:此漏洞攻击方式被命名为Key reinstallation attacks密钥重装攻击,除了影响已经在用的数据加密密钥,同时也影响PeerKey, group key, Fast BSS切换FT握手等,会导致WiFi通信数据加密通道不安全,存在被嗅探、篡改和重放等风险,攻击者可获取WiFi网络中的数据信息。几乎所有支持Wi-Fi的设备(Android, Linux, Apple, Windows, OpenBSD, MediaTek, Linksys等)都面临安全威胁,危害较大。该漏洞相关影响取决于被攻击的握手过程和数据加密协议,例如AES-CCMP可被重放和解密,TCP流量存在被劫持和注入恶意流量的可能,WPATKIP和GCMP可被重放、篡改及解密,影响会更大,因为GCMP两端使用的相同的认证密钥。 【云上视角】 技术实操:如何用云盾WAF实现虚拟补丁 点击查看原文 概要:企业安全团队除了通过WAF制作虚拟补丁,临时缓解漏洞影响,实际在漏洞响应过程中之执行了如下动作:对网站代码和Web服务器进行深入安全调查 确保本次白帽子发现漏洞之前,该漏洞不曾被黑客利用;找到开发大牛,对PHP代码漏洞进行修复并发布上线;增强服务器安全监控,部署阿里云安骑士客户端 彻查公司内部同类开源项目的版本及漏洞情况;制定Web安全漏洞测试规范;重新评估网站的综合安全性;将先知安全众测列入下一阶段工作计划;技术作者提到:“安全从来就不是单一环节的问题,从业人员必须能够从一个点看到多个层面的问题,从而有效提升企业信息系统的整体安全行,并将安全运营带入正轨。” 期待听到您的反馈 金融、政府、游戏安全资讯精选会通过云栖社区专栏, 阿里云安全微信和微博,每周与您见面。 如果您是阿里云用户, 也欢迎通过邮件、钉钉公众号查看本周行业资讯。 扫码参与全球安全资讯精选 读者调研反馈 我们会认真讨论您的每一条建议 并邀请精彩回答者加入VIP读者群 扫码加入THE LAB读者钉钉群
-
发表了文章 2017-10-18
游戏安全资讯精选 2017年第十一期 英国彩票网遭遇DDoS攻击,中断90分钟 微软“10月周二补丁日”发布63个漏洞补丁
【本周游戏行业DDoS攻击态势】 【游戏安全动态】 英国彩票网遭遇DDoS攻击,中断90分钟 点击查看原文 点评:10月7日,英国彩票网遭遇DDoS攻击,持续90分钟,造成大量的现金损失。攻击者在访问流量最高的周六瞄准英国最大的彩票网,可以预测是早有预谋。目前,官方还没有确认这起攻击是否与赎金有关,或者可能是经后更大攻击来袭的“前兆”,也有可能是比较小的彩票网站发起的报复性攻击。 【相关安全事件】 微软“10月周二补丁日”发布63个漏洞补丁 点击查看原文 概要:2017年10月10日,微软发布了针对各种产品已被确认和解决的漏洞的每月安全建议。本月的安全公告解决了63个新漏洞,其中28个评级为重要级别,35个评级为重要。 这些漏洞影响图形化功能、Edge、Internet Explorer、Office、Sharepoint、Windows图形显示接口、Windows内核模式驱动程序等。 漏洞影响范围: Internet Explorer Microsoft Edge Microsoft Windows Microsoft Office and Microsoft Office Services and Web Apps Skype for Business and Lync Chakra Core 点评:首先,建议用户打开Windows Update功能,然后点击“检查更新”按钮,根据业务情况下载安装相关安全补丁; 第二步,安装完毕后重启服务器,检查系统运行情况。 注意:在更新安装升级前,建议做好测试工作,并务必做好数据备份和快照,防止出现意外。 【云上视角】 云栖大会安全发布汇总,高防降价90%,亚洲首个“芯片级”加密 点击查看原文 概要:在本届云栖大会上,阿里云安全解构云上极致安全的设计蓝图,宣布云盾DDoS高防IP降价90%,加密计算技术开始为云上用户提供“芯片级”数据保护。 阿里云首席安全科学家吴翰清宣布阿里云· 云盾高防IP首次降价,用户只原来十分之一的价格,即可享受到稳定、智能,高达300G DDoS防护能力。 Intel也与阿里云达成技术合作。双方联合发布加密计算技术:以Intel® SGX (Intel® Software Guard Extensions)可信执行环境作为基础,确保加密数据只在安全可信的环境中计算,将云上数据保护做到“芯片级”。 点评:高防降价背后,是安全的普惠,加密计算发布的背后,是数据安全保护的决心。 通过高防降价,云盾把300G的DDoS防御能力,变成了行业“标配”。这也意味着,为企业提供合格的DDoS防护,300G会是基本的“门槛”。通过技术更新,和更精确的风控,整体的规模化优势,阿里云· 云盾得以把云计算的红利,真正回馈给客户。 吴翰清提到:“我们把300G视作DDoS防御服务的‘分水岭’:只能防住300G以下的抗DDoS产品,都是‘无效’的;基于云盾的技术革新,300G会成为更多企业都能用上的默认DDoS防御能力。” 阿里云目前也成为了亚洲范围内首家提供加密计算能力的云服务提供商。 一方面,阿里云正在用加密计算,保护云服务器密钥和内部敏感信息,让云上更安全;另一方面,通过阿里云神龙云服务器,提供“芯片级”的数据保护,只有用户才能看到并使用自己的数据。 期待听到您的反馈 金融、政府、游戏安全资讯精选会通过云栖社区专栏, 阿里云安全微信和微博,每周与您见面。 如果您是阿里云用户, 也欢迎通过邮件、钉钉公众号查看本周行业资讯。 扫码参与全球安全资讯精选 读者调研反馈 我们会认真讨论您的每一条建议 并邀请精彩回答者加入VIP读者群 扫码加入THE LAB读者钉钉群
-
发表了文章 2017-10-18
金融安全资讯精选 2017年第十一期 银行木马利用VMvare进行传播 研究人员发现新型安卓银行木马Red Alert
【金融安全动态】 银行木马利用VMvare进行传播 点击查看原文 概要:思科的研究团队Talos近日发现一起针对对南美巴西的银行木马活动。该木马活动的对象主要是南美的银行,通过窃取用户的证书来非法获利。除了针对巴西用户外,还尝试用重定向等方法来感染用户的计算机。令人意外的是,该木马使用了多重反逆向分析技术,而且最终的payload是用Delphi编写的,而Delphi在银行木马中并不常见。 研究人员发现新型安卓银行木马Red Alert 点击查看原文 概要:安全研究员发现一款名为 “Red Alert 2.0” 的新型安卓银行木马,它是前几个月前开发的,最近已进入分发阶段。SfyLabs的安全研究人员首先在今年春天的一个俄语黑客论坛上发现这款木马的广告。前几周,研究人员发现了受RedAlert感染的首批app,并已追踪到管理该木马的C&C服务器。 点评:首先,从正规渠道下载APP(豌豆荚、百度手机助手等大型市场),安装时注意查看权限。在相关权限与软件本身无关情况下,如非必须就尽量不要安装。跟软件本身功能无关的权限,如APP向用户索要,其实就是一种可疑的行为。 其次,留意手机定位图标,GPS标签是否处于通讯状态。手机GPS功能,是管理并且控制用户手机进行地位位置定位的重要方式,如果用户打开GPS信息,右上方会有GPS卫星标志闪动。 再次,留意流量符号,查看GPRS是否接通并运作。如果用户在没有联网的情况下,手机流量在莫名其妙的上传或下载,那么手机上方会闪动“E”标志。用户最好下载一些正规的流量监控软件,如果监测测到某些APP流量耗费多而本身又无联网需求,用户应该注意。 最后,小白用户尽量不要Root。Root相当于用户自己获得了手机的最高控制权,但是小白用户未必能自行管理好手机,特别是老年人,很容易受到不良应用的迷惑。为了减少手机被侵入的威胁,小白用户最好还是别Root了。(转自绿盟科技博客) 【相关安全事件】微软“10月周二补丁日”发布63个漏洞补丁 点击查看原文 概要:2017年10月10日,微软发布了针对各种产品已被确认和解决的漏洞的每月安全建议。本月的安全公告解决了63个新漏洞,其中28个评级为重要级别,35个评级为重要。 这些漏洞影响图形化功能、Edge、Internet Explorer、Office、Sharepoint、Windows图形显示接口、Windows内核模式驱动程序等。 漏洞影响范围: Internet Explorer Microsoft Edge Microsoft Windows Microsoft Office and Microsoft Office Services and Web Apps Skype for Business and Lync Chakra Core 点评:首先,建议用户打开Windows Update功能,然后点击“检查更新”按钮,根据业务情况下载安装相关安全补丁; 第二步,安装完毕后重启服务器,检查系统运行情况。 注意:在更新安装升级前,建议做好测试工作,并务必做好数据备份和快照,防止出现意外。 【云上视角】 云栖大会安全发布汇总,高防降价90%,亚洲首个“芯片级”加密 点击查看原文 概要:在本届云栖大会上,阿里云安全解构云上极致安全的设计蓝图,宣布云盾DDoS高防IP降价90%,加密计算技术开始为云上用户提供“芯片级”数据保护。 阿里云首席安全科学家吴翰清宣布阿里云· 云盾高防IP首次降价,用户只原来十分之一的价格,即可享受到稳定、智能,高达300G DDoS防护能力。 Intel也与阿里云达成技术合作。双方联合发布加密计算技术:以Intel® SGX (Intel® Software Guard Extensions)可信执行环境作为基础,确保加密数据只在安全可信的环境中计算,将云上数据保护做到“芯片级”。 点评:高防降价背后,是安全的普惠,加密计算发布的背后,是数据安全保护的决心。 通过高防降价,云盾把300G的DDoS防御能力,变成了行业“标配”。这也意味着,为企业提供合格的DDoS防护,300G会是基本的“门槛”。通过技术更新,和更精确的风控,整体的规模化优势,阿里云· 云盾得以把云计算的红利,真正回馈给客户。 吴翰清提到:“我们把300G视作DDoS防御服务的‘分水岭’:只能防住300G以下的抗DDoS产品,都是‘无效’的;基于云盾的技术革新,300G会成为更多企业都能用上的默认DDoS防御能力。” 阿里云目前也成为了亚洲范围内首家提供加密计算能力的云服务提供商。 一方面,阿里云正在用加密计算,保护云服务器密钥和内部敏感信息,让云上更安全;另一方面,通过阿里云神龙云服务器,提供“芯片级”的数据保护,只有用户才能看到并使用自己的数据。 期待听到您的反馈 金融、政府、游戏安全资讯精选会通过云栖社区专栏, 阿里云安全微信和微博,每周与您见面。 如果您是阿里云用户, 也欢迎通过邮件、钉钉公众号查看本周行业资讯。 扫码参与全球安全资讯精选 读者调研反馈 我们会认真讨论您的每一条建议 并邀请精彩回答者加入VIP读者群 扫码加入THE LAB读者钉钉群
-
发表了文章 2017-10-10
游戏安全资讯精选 2017年第十期 英国彩票网遭遇DDoS攻击,中断90分钟 DNSMASQ多高危漏洞公告 阿里云协助警方破获国内最大黑客攻击案,攻击峰值690G
【本周游戏行业DDoS攻击态势】 国庆期间,针对游戏行业的DDoS攻击放缓,攻击者也在放“小长假”,10月8日超过500G的攻击可视作攻击猛烈度恢复的表现。 【游戏安全动态】 英国彩票网遭遇DDoS攻击,中断90分钟 点击查看原文 点评:10月7日,英国彩票网遭遇DDoS攻击,持续90分钟,造成大量的现金损失。攻击者在访问流量最高的周六瞄准英国最大的彩票网,可以预测是早有预谋。目前,官方还没有确认这起攻击是否与赎金有关,或者可能是经后更大攻击来袭的“前兆”,也有可能是比较小的彩票网站发起的报复性攻击。 【相关安全事件】 DNSMASQ多高危漏洞公告 点击查看原文 概要:2017年10月2日,由Google安全团队发现的多个DNSMASQ安全漏洞被披露。其中漏洞编号为 CVE-2017-14491、CVE-2017-14492、CVE-2017-14493的三个漏洞被相关厂商标记为严重等级, 剩余编号为 CVE-2017-14494、CVE-2017-14495、CVE-2017-14496、CVE-2017-13704 的漏洞被标记为重要等级。阿里云安全团队汇总受影响范围如下: 点评:相关Linux发行厂商已经提供了安全更新,企业可以通过 yum 或 apt-get 进行安全更新升级。官网下载最新版本2.78安装升级。地址:http://www.thekelleys.org.uk/dnsmasq/。 【云上视角】 阿里云协助警方破获国内最大黑客攻击案,攻击峰值690G 点击查看原文 概要:今年3月初,三家游戏公司先后报案,警方成立专案组,立案侦查这起国内最大的黑客攻击案。阿里云配合警方,利用自身网络安全态势感知系统向警方提供溯源技术攻关,同时,阿里巴巴集团专案和阿里云安全团队联合为警方提供线下技术支撑,通过网络勘验、技术分析、网上追踪、虚拟身份排查等,很快一个黑客组织浮出水面。3月23日起,警方专案组兵分多路,在湖南、陕西、四川、重庆等地先后抓获李某等多名犯罪嫌疑人,这起重大网络黑客攻击案相应告破。 点评:此黑客组织的成员境内外相互勾结,马仔分散在全国各地,幕后老板在境外通过微信、QQ群纠合了十多名黑客,通过入侵他人计算机的方式植入木马程序,自动连接远程服务器,非法控制他人计算机信息从事网络破坏活动。由于DDoS攻击隐蔽性非常强,且跨区域性,侦破难度大,因而在追踪过程中,云上的态势感知能力起到了重要作用。通过深度学习平台对800万黑产样本模型进行学习、提升“侦探经验”,阿里云态势感知对黑产案件进行智能关联,圈出嫌疑犯,并给出关键线索。 期待听到您的反馈 金融、政府、游戏安全资讯精选会通过云栖社区专栏, 阿里云安全微信和微博,每周与您见面。 如果您是阿里云用户, 也欢迎通过邮件、钉钉公众号查看本周行业资讯。 扫码参与全球安全资讯精选 读者调研反馈 我们会认真讨论您的每一条建议 并邀请精彩回答者加入VIP读者群
-
发表了文章 2017-10-10
金融安全资讯精选 2017年第十期 中国台湾远东银行遭黑客入侵被盗六千万美元,GDPR成了欧洲企业“最担心的挑战”,CISO在企业中的位置会变得更加重要
【金融安全动态】 中国台湾远东银行遭黑客入侵被盗六千万美元 点击查看原文 中国台湾远东国际商业银行一度遭盗领6000万美元(折合约4.69亿港元),并被汇到斯里兰卡、柬埔寨及美国,警方获报后介入侦办追查,并透过国际刑警组织通报,成功冻结相关款项并追回大部分赃款,预估远东银行损失在50万美元以下(折合约391万港元)。 GDPR成了欧洲企业“最担心的挑战”,CISO在企业中的位置会变得更加重要 点击查看原文 ClubCISO最近的“2017年信息安全成熟度报告”中,66%的受访者回答,今年的信息安全预算有所增加,普遍的共识是GDPR的挑战。 今天CISO的主要问题之一是角色本身和董事会之间往往明显的分离 - 关于如何管理信息安全。 “2017年信息安全成熟度报告”显示,许多CISO希望他们自己的角色跟战略挂钩,但作为日常工作的一部分,他们的战略意识并不强。 【相关安全事件】 DNSMASQ多高危漏洞公告 点击查看原文 概要:2017年10月2日,由Google安全团队发现的多个DNSMASQ安全漏洞被披露。其中漏洞编号为 CVE-2017-14491、CVE-2017-14492、CVE-2017-14493的三个漏洞被相关厂商标记为严重等级, 剩余编号为 CVE-2017-14494、CVE-2017-14495、CVE-2017-14496、CVE-2017-13704 的漏洞被标记为重要等级。阿里云安全团队汇总受影响范围如下: 点评: 相关Linux发行厂商已经提供了安全更新,企业可以通过 yum 或 apt-get 进行安全更新升级。官网下载最新版本2.78安装升级。地址:http://www.thekelleys.org.uk/dnsmasq/。 【云上视角】 阿里云安全数据智能团队负责人观点:安全算法,时代风口的交叉点 点击查看原文 概要:10月11-14日,为期四天的2017杭州云栖大会将再度在杭州云栖小镇起航。一年一度的阿里云安全算法挑战赛,也将在安全峰会上揭晓冠亚季军。作为本次大赛的出品人,阿里云资深算法专家施亮,讲述了人工智能和机器学习技术,在安全领域应用的现状,和他对安全算法未来的思考。 点评:机器学习技术,在安全领域应用并不是什么新鲜事物,早期应用于垃圾邮件的商业产品。工业界在机器学习安全应用的过往发展史上,有两次大的性能突破性提升,一次是机器学习新技术的应用,一次是数据计算能力的提升。云计算的引入,大大提升了模型训练的效率和拦截有效性。机器学习和人工智能,近两年开始在安全领域开始落地;在未来,RL和GANs会在安全领域得到更广泛的应用。而阿里云作为云安全的领导者,在安全数据智能领域,也在开辟自己的路径。对人和生态的关注,是促进云上安全智能发展的推动力。 阿里云发布企业云安全架构和白皮书 点击查看原文 概要:9月28日,阿里云在北京正式发布首个企业云安全架构和《2017阿里云安全白皮书》(以下简称白皮书),企业可参考架构指南和白皮书构建安全、稳固的信息化架构。未来的企业都会基于云来搭建业务的安全系统,企业云安全架构(Cloud Security Compass)就是这么一份供上云企业参考的设计蓝图—— 企业可以像“建房子”一样,依据模块搭建自己的云上安全体系。 点评:需要企业和机构在上云之后,会对云安全有“陌生感”,传统IDC的安全经验和管理模式无法照搬云上。实际上,云的基础安全能力,安全工具,和安全服务,都可以被快速部署,更有效地帮助企业提升安全分。阿里云安全架构,就是一本企业都可以参考的云安全指南。 阿里云企业云安全架构采用了“平台-用户”双层安全保障模式,系统地阐述了阿里云如何保护云平台的安全和用户的安全。涵盖业务、运营、数据、网络、应用、主机、账号、云产品、虚拟化、硬件、物理安全等11个维度共45个模块,将安全武装到了“牙齿”。企业可以根据这份指南搭建一个更简单、更智能的安全架构,确保生产效率,创造更多的价值。 在平台方面,阿里云打好了安全的地基,让整个平台具备堡垒般安全能力;在用户层面,用户可选择阿里云全栈安全模块快速提升业务安全能力。 期待听到您的反馈 金融、政府、游戏安全资讯精选会通过云栖社区专栏, 阿里云安全微信和微博,每周与您见面。 如果您是阿里云用户, 也欢迎通过邮件、钉钉公众号查看本周行业资讯。 扫码参与全球安全资讯精选 读者调研反馈 我们会认真讨论您的每一条建议 并邀请精彩回答者加入VIP读者群
-
发表了文章 2017-09-19
游戏安全资讯精选 2017年 第八期:从“马甲”到“刷金”,盘点网络游戏的攻击和欺诈,微软“9月周二补丁日”发布81个漏洞补丁,系统优化工具CCleaner被植入后门
【每周游戏行业DDoS态势】 【游戏安全动态】 从“马甲”到“刷金”,盘点网络游戏的攻击和欺诈。点击查看原文 概要:对网络游戏的攻击有两大目的,除了暴利之外,黑客的曝光和名声也是驱动因素。对网络游戏攻击的常见方式有:虚假注册(Phantom Registrations)、“马甲攻击”(Sock Puppet):论坛或社区用户通过“马甲”假装成另外一个人参与有关自己及自己作品的讨论或者评论;大规模钓鱼攻击;木马远程攻击(RATs);刷金(Gold Farming):在游戏服务器上专门“打钱”;女巫攻击(Sybil):通过创建大量的假名标识来破坏对等网络的信誉系统。真实玩家的身份验证,始终是游戏行业安全的关键;而在中国的游戏市场,DDoS攻击的防御也是一大难题。 【相关安全事件】 微软“9月周二补丁日”发布81个漏洞补丁。点击查看原文 概要:2017年9月12日,微软发布了针对各种产品已被确认和解决的漏洞的每月安全建议。 本月的安全公告解决了81个新漏洞,其中27个评级为严重级别,52个评级为高危,2个等级为中危。 点评:本月微软公告中微软修复了一个.NET 0day漏洞,漏洞ID为CVE-2017-8759, 漏洞影响. NET 框架, 攻击者可以利用该漏洞进行远程代码执行,获取敏感数据或服务器权限,安全风险为高危,建议用户重点关注。影响范围: Edge、Hyper-V、Internet Explorer、Office、远程桌面协议、Sharepoint、Windows图形显示界面、Windows内核模式驱动程序等。 建议打开Windows Update功能,然后点击“检查更新”按钮,根据业务情况下载安装相关安全补丁; .安装完毕后重启服务器,检查系统运行情况。 注意:在更新安装升级前,建议做好测试工作,并务必做好数据备份和快照,防止出现意外。 系统优化工具CCleaner被植入后门。点击查看原文 概要:2017年9月18日,Piriform官方发布安全公告,公告称旗下的CCleaner version 5.33.6162和CCleaner Cloud version 1.07.3191中的32位应用程序被篡改并植入了恶意代码。 点评:由于整个恶意代码盗用了CCleaner的正版有效数字签名,该下载行为不会引起任何异常报警,用户无感知。黑客还会尝试窃取用户本机隐私信息,存在高安全风险。这是在近一个月左右时间,继Xshell后门事件后,又一起严重的软件供应链来源攻击事件。漏洞影响范围: CCleaner version 5.33.6162;CCleaner Cloud version 1.07.3191。 建议使用了该软件的运维人员、安全技术人员,卸载该软件或更新到最终版本,安装防病毒软件全盘查杀,同时可以使用安全组出方向策略屏蔽中控端地址,禁止与其通信传输数据;对于终端PC用户,尽快下载并安装最新版本,并安装防病毒软件全盘查杀。 【云上视角】 Alert Logic发布云安全报告:云上发生安全事件数更少。点击查看报告 概要: (1)调查发现:云上的安全事件数量比线下系统的数量少;公有云的数量为405起、On-Premises数量612起、私有云684起、混合云977起; (2)云上TOP攻击:第一位还是Web攻击(其中TOP5的攻击是SQL注入、代码执行、文件上传、WEB APP踩点和漏洞识别、Struts漏洞、XXE漏洞);其次是CMS等平台漏洞(Top4的是Joomla、Struts、Wordpress、Magento);然后是暴力破解、Ransomeware等攻击。 查看其它行业资讯 金融安全资讯精选 2017年第八期:Equifax数据泄露事件本周五个进展,企业用户如何使用SOC 2 报告来评估CSP安全性,Alert Logic发布云安全报告:云上发生安全事件数更少 期待听到您的反馈 金融、政府、游戏安全资讯精选会通过云栖社区专栏, 阿里云安全微信和微博,每周与您见面。 如果您是阿里云用户, 也欢迎通过邮件、钉钉公众号查看本周行业资讯。 扫码或点击这里参与全球安全资讯精选 读者调研反馈 我们会认真讨论您的每一条建议 并邀请精彩回答者加入VIP读者群
-
发表了文章 2017-09-19
金融安全资讯精选 2017年第八期:Equifax数据泄露事件本周五个进展,企业用户如何使用SOC 2 报告来评估CSP安全性,Alert Logic发布云安全报告:云上发生安全事件数更少
【金融安全动态】 Equifax数据泄露事件本周五个进展。点击查看原文 点评:上周我们提到,Equifax泄露的信息包括用户社会安全码、驾照信息、生日信息、信用卡数据等。据SEC(U.S. Securities and Exchange Commission)的文件,三位Euifax董事已经售出了“一小部分”所持股票。和Equifax可能受到的处罚(链接)。 从上周三到今天,Equifax事件有5个新披露的进展。 首先,CIO辞职。Equifax首席安全官员Susan Mauldin和首席信息官David Webb将立刻退出公司。曾担任Equifax IT部门副总裁的Russ Ayres已被任命为临时总监。 第二,英国客户躺枪。Equifax 和TDX (英国征信公司)共用一个网上平台,当 Equifax 发生泄漏事件时候,他们的业务没有完全分开,Equifax 已经确定,数据泄露也影响了 40 万左右的英国消费者。 第三,检察院介入调查。纽约总检察长 Eric T. Schneiderman 宣布将对 Equifax 此次严重的数据泄露事件进行正式调查,之后,伊利诺斯州和其他近 40 个州同时介入了调查。 第四,Equifax数据已经被暗网诈骗团伙利用。暗网出现了一个自称为“Equifax”的组织,他们声称可以通过众筹的方式售卖手里掌握的所有数据,众筹的目标是600比特币,或者4比特币(12500刀)出售100万数据。 第五,损失巨大是肯定的。Equifax 股价已下跌超过30%,公司市值中损失超过50亿美元。(来源:Freebuf) 【相关安全事件】 微软“9月周二补丁日”发布81个漏洞补丁。点击查看原文 概要:2017年9月12日,微软发布了针对各种产品已被确认和解决的漏洞的每月安全建议。 本月的安全公告解决了81个新漏洞,其中27个评级为严重级别,52个评级为高危,2个等级为中危。 点评:本月微软公告中微软修复了一个.NET 0day漏洞,漏洞ID为CVE-2017-8759, 漏洞影响. NET 框架, 攻击者可以利用该漏洞进行远程代码执行,获取敏感数据或服务器权限,安全风险为高危,建议用户重点关注。影响范围: Edge、Hyper-V、Internet Explorer、Office、远程桌面协议、Sharepoint、Windows图形显示界面、Windows内核模式驱动程序等。 建议打开Windows Update功能,然后点击“检查更新”按钮,根据业务情况下载安装相关安全补丁; .安装完毕后重启服务器,检查系统运行情况。 注意:在更新安装升级前,建议做好测试工作,并务必做好数据备份和快照,防止出现意外。 系统优化工具CCleaner被植入后门。点击查看原文 概要:2017年9月18日,Piriform官方发布安全公告,公告称旗下的CCleaner version 5.33.6162和CCleaner Cloud version 1.07.3191中的32位应用程序被篡改并植入了恶意代码。 点评:由于整个恶意代码盗用了CCleaner的正版有效数字签名,该下载行为不会引起任何异常报警,用户无感知。黑客还会尝试窃取用户本机隐私信息,存在高安全风险。这是在近一个月左右时间,继Xshell后门事件后,又一起严重的软件供应链来源攻击事件。漏洞影响范围: CCleaner version 5.33.6162;CCleaner Cloud version 1.07.3191。 建议使用了该软件的运维人员、安全技术人员,卸载该软件或更新到最终版本,安装防病毒软件全盘查杀,同时可以使用安全组出方向策略屏蔽中控端地址,禁止与其通信传输数据;对于终端PC用户,尽快下载并安装最新版本,并安装防病毒软件全盘查杀。 【云上视角】 企业用户如何使用SOC 2 报告来评估CSP安全性? 点击查看原文 概要: (1)调查报告:RSA会议调查报告显示有48%的人指出SOC2是评估CSP风险的最有效的方式; (2)SOC2报告内容:指出CSP的安全控制、可用性、流程、完整性、机密性、隐私性做到的程度; (3)评估方向:包括20余项云安全相关指标,覆盖云基础设施安全、威胁情报能力、技术先进性、交付与服务能力、合规、生态等 Alert Logic发布云安全报告:云上发生安全事件数更少。点击查看报告 概要: (1)调查发现:云上的安全事件数量比线下系统的数量少;公有云的数量为405起、On-Premises数量612起、私有云684起、混合云977起; (2)云上TOP攻击:第一位还是Web攻击(其中TOP5的攻击是SQL注入、代码执行、文件上传、WEB APP踩点和漏洞识别、Struts漏洞、XXE漏洞);其次是CMS等平台漏洞(Top4的是Joomla、Struts、Wordpress、Magento);然后是暴力破解、Ransomeware等攻击。 查看其它行业资讯 政府安全资讯精选 2017年第八期 等保检查工作、网络安全威胁监测与处置办法细化,监管有据可依 期待听到您的反馈 金融、政府、游戏安全资讯精选会通过云栖社区专栏, 阿里云安全微信和微博,每周与您见面。 如果您是阿里云用户, 也欢迎通过邮件、钉钉公众号查看本周行业资讯。 扫码或点击这里参与全球安全资讯精选 读者调研反馈 我们会认真讨论您的每一条建议 并邀请精彩回答者加入VIP读者群
-
发表了文章 2017-09-12
游戏安全资讯精选 2017年 第七期:游戏账号窃取日益猖獗,Struts2 REST插件远程执行命令漏洞全面分析,2017世界物联网博览会IoT安全观点
【每周游戏行业DDoS态势】 【游戏安全动态】 游戏账号窃取日益猖獗,游戏运维人员如何做好防范?点击查看原文 概要:盗取游戏账号主要目的是获取个人信息在暗网售卖,并且用账号、虚拟货币、虚拟装备来盈利,这也意味着,游戏行业越发达,安全风险也就越高,因为攻击者的盈利空间越大。 作为游戏公司,可定期引导玩家去检查自己的账户密码是否受到数据泄露的影响;如果遇到游戏账号丢失或大面积被窃取,游戏公司需要尽快做好沟通;安全运维人员要随时关注登录游戏的活跃IP,如果遇到IP增加的情况,则需要及时提防响应;同时需要为安全准备相应的资源,安全产品能灵活扩展很重要;最后,通过序列号,个人信息验证机制,来确保玩家身份的真实性。 【相关安全事件】 Struts2 REST插件远程执行命令漏洞全面分析。点击查看原文 概要:2017年9月5日,Apache Struts 2官方发布一个严重级别的安全漏洞公告,该漏洞由国外安全研究组织lgtm.com的安全研究人员发现,漏洞编号为CVE-2017-9805(S2-052)。 点评:当Struts2使用REST插件使用XStream的实例xstreamhandler处理反序列化XML有效载荷时没有进行任何过滤,可以导致远程执行代码,攻击者可以利用该漏洞构造恶意的XML内容获取服务器权限。 建议运维人员或开发人员尽快关注并资产,可以检查使用了REST插件Struts版本是否在受影响范围内。如果存在,建议您尽快按照以下方式修复漏洞。 目前官方已经发布补丁,建议升级到 Apache Struts2.5.13、Apache Struts 2.3.34版本。阿里云云盾WAF已发布该漏洞规则,用户可以通过WAF,对利用该漏洞的攻击行为进行检测和防御,最大程度减少安全风险。 【云上视角】 2017世界物联网博览会:IoT安全观点。点击查看原文 概要:9月10日,2017世界物联网博览会在江苏无锡拉开帷幕,阿里巴巴集团携阿里云IoT及蚂蚁金服参会在9月11日的安全智能高峰论坛上,三位阿里巴巴的IoT安全研究者:阿里云首席安全科学家吴翰清,阿里巴巴资深IoT安全专家谢君,和阿里巴巴集团安全部安全研究专家王康,从趋势和技术两个角度,分享物联网给我们带来的价值,以及如何才能构筑安全、可信、在线的物联网。 吴翰清提出,物联网的未来价值在于连接与在线;端、连接和云;IoT作为基础设施的三大支柱;与变革同时而来的是风险。庞大的数据量,实时的交换,如何对这些在线的数据做管控,是物联网安全的关键。 查看其它行业资讯 金融安全资讯精选 2017年第七期:Equifax 泄漏 1.43 亿用户数据,Struts2 REST插件远程执行命令漏洞全面分析,阿里云护航金砖五国大会 往期回顾 游戏安全资讯精选 2017年 第六期:Akamai报告称游戏是流量型攻击的主要受害者,英国二手游戏经销商CeX漏洞遭利用,MongoDB等数据服务被劫持勒索风险预警,网络安全上榜五大稀缺职业 期待听到您的反馈 金融、政府、游戏安全资讯精选会通过云栖社区专栏, 阿里云安全微信和微博,每周与您见面。 如果您是阿里云用户, 也欢迎通过邮件、钉钉公众号查看本周行业资讯。
-
发表了文章 2017-09-12
金融安全资讯精选 2017年第七期:Equifax 泄漏 1.43 亿用户数据,Struts2 REST插件远程执行命令漏洞全面分析,阿里云护航金砖五国大会
【金融安全动态】 美国信用评分公司Equifax 被攻击,泄漏 1.43 亿用户数据。点击查看原文 概要:泄露的信息包括用户社会安全码、驾照信息、生日信息、信用卡数据等。据SEC(U.S. Securities and Exchange Commission)的文件,三位Euifax董事已经售出了“一小部分”所持股票。Equifax 称黑客利用了 Web 应用的漏洞访问了某些文件,Apache Struts 受到的怀疑最多。Apache Struts 项目今年爆出了两个漏洞,一个是在 3 月,另一个就是在上周。Apache本周对此发表了澄清声明,称在接到漏洞报告之后,已经尽快修复了漏洞。 点评:令人恐慌的,不仅仅是泄露规模之大,和被泄露信息的“隐私”程度,更是因为Equifax是全美最权威的信用评分公司之一,却在网络攻击中“信用彻底崩塌”。随着针对性攻击变本加厉,信息泄露事件会更加频繁,以法律和标准来保护个人信息安全是必然,政府、金融等行业,也需要承担更大的安全责任。 有理由推断,该事件有可能成为近年来在广度和深度上最严重的数据泄露事件之一。根据国外法律,当隐私违规使得消费者利益受影响,FTC(Federal Trade Commission)有可能会予以20年审计的处罚,另可能涉及不同州的州际法律,对数据泄露的要求和惩罚。 在信用业务管理和信息安全技术方面,无论是市场成熟度还是政府监管,美国都有很多成熟的经验。但从此次事件的体量、发生原因和高层的表现来看,很多大型企业在技术,内部安全管理方面都缺乏应有的态度和经验。尤其在安全治理层面。从另一个角度来说,通过法律和监管措施去推动企业提升安全管理水平才是长远之计。在国内,等级保护制度就是一个很好的方式,企业可通过“过等保”这个过程,沉淀出企业安全管理的方法论,从事后亡羊补牢,转换成事前风控,从根源上缓解安全风险。 【相关安全事件】 Struts2 REST插件远程执行命令漏洞全面分析。点击查看原文 概要:2017年9月5日,Apache Struts 2官方发布一个严重级别的安全漏洞公告,该漏洞由国外安全研究组织lgtm.com的安全研究人员发现,漏洞编号为CVE-2017-9805(S2-052)。 点评:当Struts2使用REST插件使用XStream的实例xstreamhandler处理反序列化XML有效载荷时没有进行任何过滤,可以导致远程执行代码,攻击者可以利用该漏洞构造恶意的XML内容获取服务器权限。 建议运维人员或开发人员尽快关注并资产,可以检查使用了REST插件Struts版本是否在受影响范围内。如果存在,建议您尽快按照以下方式修复漏洞。 目前官方已经发布补丁,建议升级到 Apache Struts2.5.13、Apache Struts 2.3.34版本。阿里云云盾WAF已发布该漏洞规则,用户可以通过WAF,对利用该漏洞的攻击行为进行检测和防御,最大程度减少安全风险。 【云上视角】 阿里云护航金砖五国大会。点击查看原文 概要:护航期间,金砖会议官网域名服务0安全事件;重保网站0业务中断、0安全事件;云平台用户网站安全运营0干扰。大会启动前2个月,经相关部门授权,阿里云专家对云上政府类网站做了一次全方位“体检”,找出网站可能存在的漏洞,并出具优化、容灾建议,做到了安全不留死角。本次护航也启用了超长待机的“云博士” 向有安全隐患的客户进行通报隐患,确保通知用户环节更简单更快捷更高效,从而让更多安全专家可以集中精力解决难题。 查看其它行业资讯 政府安全资讯精选 2017年第七期 美国权威征信公司发生严重数据泄漏 数据安全重要性再突显 往期回顾 金融安全资讯精选 2017年第六期:阿里云等3家单位具备CNVD技术组成员单位资格,反欺诈和身份管理是AI安全最热两大创业领域,互金安全负责人的安全建设心得 期待听到您的反馈 金融、政府、游戏安全资讯精选会通过云栖社区专栏, 阿里云安全微信和微博,每周与您见面。 如果您是阿里云用户, 也欢迎通过邮件、钉钉公众号查看本周行业资讯。 扫码或点击这里参与全球安全资讯精选 读者调研反馈 我们会认真讨论您的每一条建议 并邀请精彩回答者加入VIP读者群
-
发表了文章 2017-09-05
金融安全资讯精选 2017年第六期:阿里云等3家单位具备CNVD技术组成员单位资格,反欺诈和身份管理是AI安全最热两大创业领域,互金安全负责人的安全建设心得
【金融安全动态】 阿里云等3家单位具备CNVD技术组成员单位资格。点击查看原文 点评:试行考察期间,阿里云公司持续向CNVD共享其主办的先知平台收集的高质量通用软硬件漏洞信息200余条,同时持续开展公开漏洞信息报送工作,共计提交140余条。成为CNVD技术组成员单位,意味着获评对象已经达到国家级指定漏洞研判、挖掘专业团队资质,具备为政府、金融、央企等国家关键信息基础设施做网络安全渗透、漏洞修补等专业服务资格。 反欺诈和身份管理是AI安全最热两大创业领域。点击查看原文 概要:在基于AI的网络安全领域中,反欺诈和身份管理是最大的细分领域,行为分析/异常检测是第二大细分领域,预测智能排在第三位。(CB INSIGHT数据) (1)反欺诈和身份管理主要是通过识别行骗者来保证在线交易的安全性。典型的初创企业是feedzai。 (2)行为分析/异常检测:该领域的公司使企业能够保护自己的数据免受外部和内部的攻击。他们提供行为生物识别系统,通过用户的行为创建数字指纹,并使用异常检测来确保IT组织、电子商务等的安全性。DarkTrace为典型。 (3)预测智能领域:该领域内初创企业提供的产品能够解析各种关于网络活动的数据资料以及组织网络中的行为数据,并提供可操作的信息,以帮助分析师阻止即将发生的攻击。这个领域的典型公司是独角兽Cylance。 点评:人工智能发展迅猛,信息安全领域也是人工智能的重要应用领域。传统的信息安全侧重静态安全,强调基于规则的防御,这越来越难以适应复杂多变的互联网环境;基于人工智能和大数据的信息安全,侧重动态安全、主动防御,识别各种已知和未知的网络威胁和攻击,让安全防护更加智能、更加有效。 【相关安全事件】 MongoDB等数据服务被劫持勒索风险预警。点击查看原文 概要:根据阿里云威胁情报系统监测的内容,2017年9月2日,国外安全研究人员发现多个黑客组织劫持勒索全球范围内数万台MongoDB服务器数据,存在高安全风险。本次劫持勒索事件的影响范围包括用户自建的Mysql、Redis、MongoDB、ElasticSearch、Hadoop、CouchDB等数据相关服务。注:阿里云RDS服务不受此影响。 点评:安全建议(1)尽快使用云服务器(ECS)快照功能或人工方式备份数据,数据备份建议使用本地和异地多重备份方式;(2)配置安全组策略禁止Mysql、Redis、MongoDB、ElasticSearch、Hadoop、CouchDB等服务端口的外部请求,或限制访问源IP(3)可以通过查看态势感知“弱点漏洞”或安骑士“基线检查"结果,人工验证并修复漏洞;(4)您还可以参考阿里云官方提供的详细安全加固手册进行人工修复。 【云上视角】 闪银奇异安全负责人:互金行业安全建设的四个心得。点击查看原文 概要:除却自身发展所面临的安全风险,随着国家对互联网金融行业在网络安全方面的监管力度逐年增加,如何快速高效的完成等级保护服务成为闪银奇异安全负责人头疼的问题。从企业安全管理的角度,闪银奇异安全负责人分享了他对信息安全岗位,和对云安全的看法和见解。主要探讨了安全部门与业务部门如何平衡和互相影响,安全的ROI,以及云安全的价值。 查看其它行业资讯 游戏安全资讯精选 2017年 第六期:Akamai报告称游戏是流量型攻击的主要受害者,英国二手游戏经销商CeX漏洞遭利用,MongoDB等数据服务被劫持勒索风险预警,网络安全上榜五大稀缺职业 往期回顾 金融安全资讯精选 2017年第五期:2017年金融安全威胁演进趋势,纽约发布金融安全新政策,金融企业如何选择安全的云 期待听到您的反馈 金融、政府、游戏安全资讯精选会通过云栖社区专栏, 阿里云安全微信和微博,每周与您见面。 如果您是阿里云用户, 也欢迎通过邮件、钉钉公众号查看本周行业资讯。 扫码或点击这里参与全球安全资讯精选 读者调研反馈 我们会认真讨论您的每一条建议 并邀请精彩回答者加入VIP读者群
-
发表了文章 2017-09-05
游戏安全资讯精选 2017年 第六期:Akamai报告称游戏是流量型攻击的主要受害者,英国二手游戏经销商CeX漏洞遭利用,MongoDB等数据服务被劫持勒索风险预警,网络安全上榜五大稀缺职业
【每周行业DDoS攻击态势】 【游戏安全动态】 Akamai发布2017年Q2互联网安全态势报告,游戏是流量型攻击的主要受害者。点击查看原文 点评:其中比较有趣的发现是:在Q2的 4051次DDoS攻击中,99%是流量型攻击Q2,DDoS 攻击数目增加了约 28% ,打破了前三个季度,DDoS 攻击数量连续下降的趋势;流量型攻击中,来自埃及的源IP占源IP总数的32%;流量型攻击中,游戏类客户是主要的受害者,占比81%。阿里云日前发布的2017年上半年游戏行业DDoS态势报告中,也曾强调游戏行业,尤其是棋牌行业是流量攻击的重灾区。 Google下架300款被利用于发起WireX攻击的App,并对安卓移动设备使用“Play Protect”认证标示,挽回失去的用户信任。点击查看原文 概要:上周我们提到,由多家安全公司组成的一个安全研究小组发现,目前网络上广泛传播着一个新的僵尸网络 WireX,被杀毒工具检测识别为“Android Clicker”,主要包括运行从谷歌商店下载的数百个恶意软件的Android设备,而这些恶意软件被设计用来进行大规模应用层DDoS攻击。 最近,谷歌将大约300余款应用从Google Play Store清除出去,理由是这些应用被Android用户下载安装后,可能秘密挟持Android设备并引发DDoS攻击。 点评:WireX僵尸网络攻击是自Mirai之后,业界联合发现的又一次较大规模的DDoS攻击。它是利用被感染Android App发起的,集中表现在HTTP Flood攻击,攻击中使用的真实IP数量峰值接近14万。最近,Google Play相关的安全事件颇多,及时下架问题App,同时强推“Play Protect”设备认证机制,是挽回用户信任损失的正确举措,游戏公司也可借鉴此举,以用户看得见的方式去强调自身的安全性。多厂商的联合、信息共享、快速响应分析,也在本次事件应急中发挥了重要的作用。 【相关安全事件】 英国二手游戏经销商CeX漏洞遭利用,泄露2000万用户数据。点击查看原文 概要:英国二手游戏经销商CeX的安全漏洞遭到利用,导致200万注册网站客户的个人数据泄露,包括全名,地址,电子邮件地址和电话号码,还可能包括加密数据:用户信用卡信息和财务数据等。CeX发表声明,向客户保证,他们正在“非常认真”地处理和调查事件,会采取一些措施来防止数据泄露再次发生,但没有给出具体的下一步结论。 点评:在数据泄露已经造成之后,业务损失的严重程度取决于公司止损的效率,和事后的补救措施。数据泄露无论对用户还是公司利益本身,无疑都造成了巨大的影响。在日常安全运维中,有几点借鉴:首先,在业务发展的过程中,必要的安全投入对业务是一种促进作用;从技术上谈,企业可以从建立安全强化机制、必要的周期性安全检查、完善的安全应急响应机制,并按照PDCA的方式运行,构建牢固的安全能防御能力,以提高业务的安全性。 MongoDB等数据服务被劫持勒索风险预警。点击查看原文 概要:根据阿里云威胁情报系统监测的内容,2017年9月2日,国外安全研究人员发现多个黑客组织劫持勒索全球范围内数万台MongoDB服务器数据,存在高安全风险。本次劫持勒索事件的影响范围包括用户自建的Mysql、Redis、MongoDB、ElasticSearch、Hadoop、CouchDB等数据相关服务。注:阿里云RDS服务不受此影响。 点评:安全建议(1)尽快使用云服务器(ECS)快照功能或人工方式备份数据,数据备份建议使用本地和异地多重备份方式;(2)配置安全组策略禁止Mysql、Redis、MongoDB、ElasticSearch、Hadoop、CouchDB等服务端口的外部请求,或限制访问源IP(3)可以通过查看态势感知“弱点漏洞”或安骑士“基线检查"结果,人工验证并修复漏洞;(4)您还可以参考阿里云官方提供的详细安全加固手册进行人工修复。 【云上视角】 Payscale发布2017年5大稀缺职业,网络安全上榜。点击查看原文 概要:随着互联网发展和IT技术的普及,网络和IT已经日渐深入到日常生活和工作当中,社会信息化和信息网络化,突破了应用信息在时间和空间上的障碍,使信息的价值不断提高。但是与此同时,网页篡改、计算机病毒、系统非法入侵、数据泄密、网站欺骗、服务瘫痪、漏洞非法利用等信息安全事件时有发生,因此,网络安全工程师也成为各行各业都不可或缺的重要人才。 点评:外媒在一篇新闻曾提到,欧美许多大型企业因安全人才缺口巨大,开始从退伍军人群体中雇佣安全工程师。在中国,专业安全人才的缺乏更严重,尤其中小型企业,常常见到的现象是“一个人的安全部”,或者由运维人员兼任安全工作,这也是为何企业的整体安全分难以拉高的原因。 与第三方安全服务机构合作,或以云上部署业务的方式减少安全和运维成本,是常见的人才缺口补救措施。作为专业安全厂商或云服务提供商,其在安全专业人员招聘和培训上的资源投入,多于大多数企业。尤其云服务提供商从一开始的架构设计就要考虑安全稳定,这是整个云服务运转的基础。 查看其它行业资讯政府安全资讯精选 2017年第六期 车联网和移动安全可能成为未来监管重点 往期回顾 游戏安全资讯精选 2017年 第五期:国际网络犯罪基础设施被曝光,WireX 僵尸网络袭击全球,游戏行业最大攻击流量有所下降 期待听到您的反馈 金融、政府、游戏安全资讯精选会通过云栖社区专栏, 阿里云安全微信和微博,每周与您见面。 如果您是阿里云用户, 也欢迎通过邮件、钉钉公众号查看本周行业资讯。 扫码或点击这里参与全球安全资讯精选 读者调研反馈
-
发表了文章 2017-08-29
游戏安全资讯精选 2017年 第五期:国际网络犯罪基础设施被曝光,WireX 僵尸网络袭击全球,游戏行业最大攻击流量有所下降
【每周行业DDoS攻击态势】 【游戏安全动态】 国际网络犯罪基础设施被曝光。点击查看原文 概要:Palo Alto Networks近日发现一批 Nymaim、Locky、Hancitor 等家族共用的横跨多国的基础设施,共计707个IP和2611个域名。目前707 个IP和2611个域名已经被公布在GitHub 上。 点评:不同黑客组织之间共享基础设施的合作模式预示着网络犯罪正逐渐走向国际化,同时传统依靠同域名、同C&C的同源溯源方式将很难证明某次 campain 由同一黑客组织发起。不过这种基础设施合作模式也有“坏处”,容易被其中水平较低的黑客组织拖下水,例如本次事件就是 【相关安全事件】 WireX 僵尸网络袭击全球,IP数量峰值接近14万。点击查看原文 概要:2017年8月17日,多个内容传送网络(CDN)和内容提供商遭受来自僵尸网络(WireX)的重大攻击。这是自Mirai之后,业界联合发现的又一次较大规模的DDoS攻击,集中表现在HTTP Flood攻击,攻击中使用的真实IP数量峰值接近14万。攻击手法并非新奇,但与以往攻击相比,此次攻击控制了许多新的IP。 来自Akamai, Cloudflare, Flashpoint, Google, Oracle Dyn, RiskIQ和Team Cymru的研究人员发现,DDoS攻击者利用被感染Android App来发起攻击。 恶意程序多潜藏在媒体/视频播放器/铃声/存储管理器等工具App中,这些应用程序还利用了Android服务架构的功能,允许应用程序即使在后台也可以使用系统资源,因此能够在应用程序未被使用时发起攻击。防病毒扫描仪目前将此恶意软件识别为“Android Clicker”特洛伊木马。最新消息称,Google已经下架了300款被植入恶意程序用以发起攻击的App。 【云上视角】 云安全方法论:如何验证你的数据在云上是否安全,以及如何让你的数据更安全?点击查看原文 概要:这篇文章站在云使用者的角度,提出了用户安全的“验证”机制和方法论:如何消除上云时对安全的担忧,放心上云。首先,作者认为验证一个云平台保护用户数据的最好“标尺”就是合规。包括ISO体系,CSA STAR认证,FedRamp(FedRamp是美国联邦风险和授权管理计划,对云产品和服务进行安全性评估、授权和持续监控。在中国,企业和机构则更多可以看看等级保护、网络安全审查、牌照资质的齐全程度和等级)。 其次,数据可用性是另外一个标准,包括数据冗余,用户是否能比较容易地从云上卸载数据等。数据加密默认功能和给企业所提供的工具也是一部分;最后,作者认为,光去验证云平台的数据安全是不行的,毕竟企业还有自己的责任在。对此,作者指出,46%的数据泄露都是因为企业内容不按规矩执行安全策略和规定。建议上云企业别把数据放在一个篮子力,重视访问控制,把安全提到更重要的上云战略高度。 点评:文章提出的标准和建议值得参阅。国内游戏企业在选购云平台时,也可以了解一下云平台的运营方自身对稳定性的重视程度(人、资质、审计、内控),云平台自身的抗DDoS能力,所提供的防DDoS服务,以及安全应急响应的能力,对于游戏企业来说也非常重要。查看其它行业资讯金融安全资讯精选 2017年第五期:2017年金融安全威胁演进趋势,纽约发布金融安全新政策,WireX 僵尸网络袭击全球,金融企业如何选择安全的云政府安全资讯精选 2017年第五期 各国加强隐私和个人信息保护往期回顾游戏安全资讯精选 2017年 第四期:游戏行业上周最大DDoS流量超770G, 魔兽世界遭遇DDoS攻击,开源CMS Drupal 8发布更新修复多处高危漏洞补丁 期待听到您的反馈 金融、政府、游戏安全资讯精选会通过云栖社区专栏, 阿里云安全微信和微博,每周与您见面。 如果您是阿里云用户, 也欢迎通过邮件、钉钉公众号查看本周行业资讯。 扫码或点击这里参与全球安全资讯精选 读者调研反馈
-
发表了文章 2017-08-29
金融安全资讯精选 2017年第五期:2017年金融安全威胁演进趋势,纽约发布金融安全新政策,金融企业如何选择安全的云
【金融安全动态】 2017年金融安全威胁演进趋势。点击查看原文 概要:IT资讯服务公司Data Art的全球金融行业总监分享2017年金融行业的网络安全风险演进趋势。文章提出,金融行业里专业安全人才日渐短缺(当然,这个现象也存在于其他行业中),而安全运营的工作量日益增大,这之间的矛盾,让企业“自己做好安全”这件事变得越来越难。 点评:结合文章和我们的看法,2017年,针对金融行业的网络攻击将有两大趋势:网络犯罪的专业化:攻击不再是个人逐利行为或者黑客寻求曝光度,很多网络犯罪都是有组织有纪律,筹谋已久,下手快很准的(上周乌克兰国有银行遭受黑客攻击就是一例)。在未来,针对金融行业的网络攻防对抗会上升到国家层面,由政府、企业、第三方共同来做好安全这件事。 第二个趋势,是信任的崩塌。随着钓鱼、金融诈骗、信用卡盗刷和数据泄露的加剧,银行需要花更多的心思在建立信任上,也对安全工作增加了难度。尤其是,当互联网金融逐渐兴起,有一些金融企业并没有成熟的安全机制,也没有足够的安全投入(人力+物力),解法就是银行应该加强与监管、警方、第三方的合作,用“借力”的方式补足自身的安全能力。另外,招懂行业的安全人才也非常关键,可以从现有IT人员中培训。 纽约发布金融安全新政策,强调加密。点击查看原文 概要:从8月28日开始,一部分纽约金融机构必须符合新的网络安全要求: 23 NYCRR 500。新政策在今年3月1日开始生效,并给了金融机构3个月的缓冲期去改善安全状况,并会在接下来的两年不断有新的合规要求推出,例如要求纽约金融机构在2018年9月之前制定加密策略,另外一些要求包括雇佣CISO,访问控制策略,有效的漏洞评估执行等等。没有在规定时间内符合要求,继续暴露安全风险的公司,将会受到相应处罚。 纽约是全球金融中心之一,金融行业是纽约的经济命脉,而过去一两年,很多金融企业因网络犯罪而遭受的损失巨大,让相关部门将安全体系建设提上了强制要求的日程。 点评:和中国的信息安全等级保护一样,规章制度的建立是在短时间内提升行业安全水准最有效的办法,从长远来说,会帮助金融行业更好地减少损失。对于金融企业来说,也可以通过“过合规”这个过程,梳理自身安全方面。 【相关安全事件】 WireX 僵尸网络袭击全球,IP数量峰值接近14万。点击查看原文 概要:2017年8月17日,多个内容传送网络(CDN)和内容提供商遭受来自僵尸网络(WireX)的重大攻击。这是自Mirai之后,业界联合发现的又一次较大规模的DDoS攻击,集中表现在HTTP Flood攻击,攻击中使用的真实IP数量峰值接近14万。攻击手法并非新奇,但与以往攻击相比,此次攻击控制了许多新的IP。 来自Akamai, Cloudflare, Flashpoint, Google, Oracle Dyn, RiskIQ和Team Cymru的研究人员发现,DDoS攻击者利用被感染Android App来发起攻击。 恶意程序多潜藏在媒体/视频播放器/铃声/存储管理器等工具App中,这些应用程序还利用了Android服务架构的功能,允许应用程序即使在后台也可以使用系统资源,因此能够在应用程序未被使用时发起攻击。防病毒扫描仪目前将此恶意软件识别为“Android Clicker”特洛伊木马。最新消息称,Google已经下架了300款被植入恶意程序用以发起攻击的App。 【云上视角】 云安全方法论:如何验证你的数据在云上是否安全,以及如何让你的数据更安全?点击查看原文 概要:这篇文章站在云使用者的角度,提出了用户安全的“验证”机制和方法论:如何消除上云时对安全的担忧,放心上云。首先,作者认为验证一个云平台保护用户数据的最好“标尺”就是合规。包括ISO体系,CSA STAR认证,FedRamp(FedRamp是美国联邦风险和授权管理计划,对云产品和服务进行安全性评估、授权和持续监控。在中国,企业和机构则更多可以看看等级保护、网络安全审查、牌照资质的齐全程度和等级)。 其次,数据可用性是另外一个标准,包括数据冗余,用户是否能比较容易地从云上卸载数据等。数据加密默认功能和给企业所提供的工具也是一部分;最后,作者认为,光去验证云平台的数据安全是不行的,毕竟企业还有自己的责任在。对此,作者指出,46%的数据泄露都是因为企业内容不按规矩执行安全策略和规定。建议上云企业别把数据放在一个篮子力,重视访问控制,把安全提到更重要的上云战略高度。 点评:文章提出的标准和建议值得参阅。国内金融企业在选购云平台时,对资质的考察通常会关注的资质是对等级保护的满足情况,ISO27000系列的满足情况,部分企业,例如支付行业的客户还可以看看云平台是否具备PCI-DSS的认证情况;同时,也可以了解一下云平台的运营方自身对数据安全的重视程度。在使用了云平台之后,通过云安全产品去增强自身业务的安全性也是安全运营重要的一个部分。 查看其它行业资讯 政府安全资讯精选 2017年第四期:聚焦美国网络安全新动态 往期回顾 金融安全资讯精选 2017年第四期:全球安全支出走高,外国银行再遭黑客袭击 期待听到您的反馈 金融、政府、游戏安全资讯精选会通过云栖社区专栏, 阿里云安全微信和微博,每周与您见面。 如果您是阿里云用户, 也欢迎通过邮件、钉钉公众号查看本周行业资讯。 扫码或点击这里参与全球安全资讯精选 读者调研反馈 我们会认真讨论您的每一条建议 并邀请精彩回答者加入VIP读者群
-
发表了文章 2017-08-22
金融安全资讯精选 2017年第四期:全球安全支出走高,外国银行再遭黑客袭击
【金融安全动态】 Gartner:全球安全支出2017年可达864亿美元。点击查看原文 概要:Gartner认为全球安全支出增加有三个原因数据泄露事件、勒索攻击加剧、企业内部对应用程序安全需求增强。Gartner也预测2018年的支出预计将达930亿美元,安全服务将继续成为增长最快的部门,特别是IT外包,咨询和实施服务。同时,公共云和SaaS化的安全解决方案持续走高,使得硬件安全增长继续放缓。 点评:在国内金融行业中,网络攻击、漏洞、恶意代码等威胁依然是行业重要的风险来源。随着《网络安全法》的颁布,国内各领域都在加强安全监管,金融行业更是首当其冲。同时,有大量传统行业客户抛弃了自己从头做起的方法,借用云安全快速构建起了自己的安全防护能力。 【相关安全事件】 匈牙利三大国有银行连遭黑客网络钓鱼攻击。点击查看原文 概要:匈牙利国民银行( MNB )于 8 月 8 日发表声明,指出黑客自 6 月以来针对匈牙利三大国有银行展开一系列网络钓鱼攻击活动,但并未提及受影响金融机构与可疑黑客组织的名称。 MNB 作为匈牙利共和国中央银行、国家金融市场监管机构以及欧洲中央银行系统( ESCB )成员公开表示,黑客通过网络钓鱼电子邮件与短信方式大规模攻击银行客户,骗取帐户持有者泄露银行帐户详细信息与登录凭据。据悉,黑客此次使用的克隆网站较以往更加令人信服,不依赖任何翻译软件,直接使用匈牙利语误导用户认为站点合法安全。 开源CMS Drupal 8发布更新修复多处高危漏洞补丁。点击查看原文 概要:Drupal 研究人员于 8 月 16 日发布安全报告,宣称已修复 Drupal 8 多处漏洞并在线更新安全补丁。研究显示这些漏洞影响 Drupal 8 多个系统组件,包括实体访问系统、REST API 与部分视图组件。 点评:受影响版本为Drupal core 8.x 版本和 8.3.7之前的版本;Drupal 7 core则不受影响。建议使用了Drupal 8的用户关注并及时更新到官方最新版8.3.7。 【云上视角】 IDC云安全评估: 阿里云为最重视安全建设的云服务提供商。点击查看原文 概要:全球知名咨询机构IDC发布《IDC MarketScape:中国云服务提供商,2017厂商安全评估》(以下简称IDC云安全评估报告)。阿里云以其在安全上的综合实力和战略前瞻性,位居领导者区间,在安全能力和安全投入上绝对领先。 此次评估共有11家公有云计算服务提供商入选,依据其在现有能力(Capabilities)和未来战略(Strategies)上的不同表现,分别位于领导者(Leaders),中坚者(Major Players),潜能者者(Contenders)和特质者(Participants)四大区间。阿里云此次位居领导者区间,表明其在安全建设能力和战略上都处于领先位置。点击查看IDC官方新闻稿。 此次评估涉及20余项云安全相关指标,覆盖云基础设施安全、威胁情报能力、技术先进性、交付与服务能力、合规、生态等。值得注意的是,此份报告与以往Market Scape厂商评估不同,云计算服务提供商所在“气泡”的大小,并非代表其市场收入,而是代表其在云安全上的投入。也就是说,气泡最大的阿里云已成为在中国地区最重视安全建设的云服务提供商。 查看其它行业资讯 政府安全资讯精选 2017年第四期:聚焦美国网络安全新动态 游戏安全资讯精选 2017年 第四期:游戏行业上周最大DDoS流量超770G, 魔兽世界遭遇DDoS攻击,开源CMS Drupal 8发布更新修复多处高危漏洞补丁 往期回顾 金融安全资讯精选 2017年第三期:互金第三方监管机制正在酝酿,催收平台信息泄露需警惕 期待听到您的反馈 金融、政府、游戏安全资讯精选会通过云栖社区专栏, 阿里云安全微信和微博,每周与您见面。 如果您是阿里云用户, 也欢迎通过邮件、钉钉公众号查看本周行业资讯。 扫码参与全球安全资讯精选 读者调研反馈 我们会认真讨论您的每一条建议 并邀请精彩回答者加入VIP读者群
-
发表了文章 2017-08-22
游戏安全资讯精选 2017年 第四期:游戏行业上周最大DDoS流量超770G, 魔兽世界遭遇DDoS攻击,开源CMS Drupal 8发布更新修复多处高危漏洞补丁
【每周行业DDoS攻击态势】 【游戏安全动态】 魔兽世界遭遇DDoS攻击。点击查看原文 概要:此次 DDoS 攻击实际是从周日的早上开始发生,暴雪发现问题后第一时间在 Twitter 上发出通知,“我们正在对于身份验证服务缓慢的原因进行调查。”目前还没有个人或组织对此次 DDoS 事件负责,暴雪目前也还未公开更多攻击细节。(引用自Freebuf) 点评:阿里云安全团队也跟踪发现,暴雪被DDoS的时长近三小时。攻击最开始,登录服出现问题,接着是支付出现问题,并在1小时后修复,推测攻击者有可能用DDoS攻击掩盖另外的渗透行为。暴雪本身的防护机制也是业界的谜团,暴雪从来没有公布过关于自身安全防护的相关信息。 在国外,竞技类游戏非常容易吸引黑客的注意。黑客可以通过“黑掉”竞技游戏,赢得公众的关注;在国内,攻击形式更严峻的是棋牌和手游类公司,这类公司生命和盈利周期都是走的“短平快”模式,黑客或者竞争对手有时候用一次DDoS猛攻就可以摧毁一条线的棋牌业务。而正应为业务发展太快,棋牌和手游公司很少在一开始就把资源投入到安全上,往往到了出事件之后才意识到问题严峻性。 HBO向黑客妥协:承诺25万美元赎金。点击查看原文 概要:《权力的游戏》剧情在网上遭到泄露,同时泄露的还有明星的联系方式,HBO企业信息,和其它TV秀的剧情。在HBO发给黑客的一封内部邮件中,HBO已经已真诚的态度向黑客“妥协”,承诺支付25万美元赎金。预计黑客原来的要价不止这些,HBO在尝试与黑客“折中解决”。 【相关安全事件】 开源CMS Drupal 8发布更新修复多处高危漏洞补丁。点击查看原文 概要:Drupal 研究人员于 8 月 16 日发布安全报告,宣称已修复 Drupal 8 多处漏洞并在线更新安全补丁。研究显示这些漏洞影响 Drupal 8 多个系统组件,包括实体访问系统、REST API 与部分视图组件。 点评:受影响版本为Drupal core 8.x 版本和 8.3.7之前的版本;Drupal 7 core则不受影响。建议使用了Drupal 8的用户关注并及时更新到官方最新版8.3.7。 【云上视角】 IDC云安全评估: 阿里云为最重视安全建设的云服务提供商。点击查看原文 概要:全球知名咨询机构IDC发布《IDC MarketScape:中国云服务提供商,2017厂商安全评估》(以下简称IDC云安全评估报告)。阿里云以其在安全上的综合实力和战略前瞻性,位居领导者区间,在安全能力和安全投入上绝对领先。 此次评估共有11家公有云计算服务提供商入选,依据其在现有能力(Capabilities)和未来战略(Strategies)上的不同表现,分别位于领导者(Leaders),中坚者(Major Players),潜能者者(Contenders)和特质者(Participants)四大区间。阿里云此次位居领导者区间,表明其在安全建设能力和战略上都处于领先位置。点击查看IDC官方新闻稿。 此次评估涉及20余项云安全相关指标,覆盖云基础设施安全、威胁情报能力、技术先进性、交付与服务能力、合规、生态等。值得注意的是,此份报告与以往Market Scape厂商评估不同,云计算服务提供商所在“气泡”的大小,并非代表其市场收入,而是代表其在云安全上的投入。也就是说,气泡最大的阿里云已成为在中国地区最重视安全建设的云服务提供商。 查看其它行业资讯 政府安全资讯精选 2017年第四期:聚焦美国网络安全新动态 往期回顾 游戏安全资讯精选 2017年 第三期:游戏行业DDoS攻击上周加重,Xshell后门事件原创分析报告,微软“8月周二补丁日”全盘点 期待听到您的反馈 金融、政府、游戏安全资讯精选会通过云栖社区专栏, 阿里云安全微信和微博,每周与您见面。 如果您是阿里云用户, 也欢迎通过邮件、钉钉公众号查看本周行业资讯。 扫码参与全球安全资讯精选 读者调研反馈
-
发表了文章 2017-08-15
金融安全资讯精选 2017年第三期:互金第三方监管机制正在酝酿,催收平台信息泄露需警惕
【本周头条】 人民日报:适时建立互联网金融业务第三方接管机制。点击查看原文 概要:文章指出,政府监管是互联网金融规范发展的根本保障,行业自律是互联网金融可持续发展的内在基础。二者犹如规范互联网金融秩序的两驾马车,只有各司其职、密切配合,方能提升整个市场的安全性和有效性,推动互联网金融行业健康有序发展。 点评:接管是“保底”的方案。然而,能够实现多大程度的“保底”,目前还比较难以预估。在保底方案实施之前,监管要求已经到位,信息安全的合规要求也很明确。在日渐完善的监管过程中,数据的安全交互会是刚性的要求。 【金融安全动态】 网络平台与银行合作催收,欠款人联系人信息均被泄露。点击查看原文 概要:数据显示,2016 年不良资产的市场化投放规模达 1.5 万亿左右,而目前仅网贷行业预估的不良资产规模就达到 2000 亿元。催收不是银行的强项,出于对用户数据安全的考虑,多会选择有律师资质的大公司合作,并要求公司签署保密协议,员工只能在内网查看资料,但外包公司的后期操作中,这一点并没有被坚持。一家成功拿到银行信用卡催收业务的企业负责人曾在公开场合表示,信用卡用户信息泄露在行业内司空见惯,但银行不说、外包公司不说、逾期用户更不说。 点评:随着消费金融的快速发展,互联网催款平台的客户还会越来越多。为了让催款更有效率,催款平台对用户数据的使用也必将更加充分。无论是银行、消费金融还是其他客户,做好自身的数据安全是放心使用第三方催收平台前提保障。用健全的机制去合法授权、监控第三方催收平台也是让自己获得竞争优势的一个基础。 【相关安全事件】 微软“8月周二补丁日” 发布48个漏洞补丁。点击查看原文 概要:2017年8月8日,微软在“补丁日”为48个CVE漏洞发布了补丁,相对于7月发布的公告来说, 本次发布的补丁涉及到的漏洞相对较轻微。本次发布补丁的48个CVE漏洞中,总共有26个CVE被评为“关键”,21评分为“重要”和1评级为“中等”。 点评:阿里云友情提示阿里云用户关注,并根据业务情况择机更新补丁,以提高服务器安全性。建议用户打开Windows Update功能,然后点击“检查更新”按钮,根据业务情况下载安装相关安全补丁; 安装完毕后重启服务器,检查系统运行情况。 注意:在更新安装升级前,建议做好测试工作,并务必做好数据备份和快照,防止出现意外。 卡巴斯基:Q2勒索软件演进趋势。点击查看原文 概要:卡巴斯基安全实验室于2017年8月9日发布2017年第二季度针对性攻击报告:从2017年四月到六月底,在俄罗斯,英国,韩国和中国国家发生了重大的有针对性的网络安全攻击事件,表明世界各地都在发生着持续发生恶化的恶意活动,增加企业安全风险。 点评:有以下几个亮点提炼。 (1)俄罗斯的Sofacy和Turla黑客组织在使用三个Windows 0day漏洞对欧洲的政府组织发起攻击,特别是在法国全国选举之前对反对法国政党成员采取的攻击活动使用了一些实验工具; (2)Gray Lambert工具包分析 - 卡巴斯基实验室分析了Lamberts集团迄今为止最先进的工具包,这是一个高度复杂和复杂的英语cyberespionage家族。确定了两个新的相关恶意软件家族; (3)5月12日的WannaCry攻击和6月27日的ExPetr攻击。虽然性质和目标非常不同,但两者在“ransomware”方面令人惊讶地相似。例如,在WannaCry的情况下,其迅速的全球传播和高调使袭击者的Bitcoin赎金账户成为焦点,并使其难以兑现。这表明WannaCry攻击的真正目的是数据破坏。 (4)针对乌克兰,俄罗斯和欧洲其他地区的组织的ExPetr也似乎是ransomware,该事件显然是纯粹的破坏性的。ExPetr攻击背后的动机仍然是一个谜。卡巴斯基实验室的专家已经建立了一个低信度的联系威胁演员被称为黑色能源。 针对性攻击事件、勒索软件攻击态势将会随着漏洞严重程度和利用成本随之爆发,企业需要扎实的建立快速的情报获取机制和应急响应机制应对各种威胁变化,这将是一种长期存在的攻防态势。 阿里云安全:“NetSarang的Xmanager和Xshell多种产品被植入后门事件”分析报告。点击查看原文 概要:NetSarang是一家国外以提供安全连接解决方案的公司,其产品以Xmanager应用于IT运维技术人员进行远程运维管理。近日,国内安全公司发现官方发布的软件版本中,nssock2.dll模块源码被植入后门,通过技术分析,该后门会上传敏感数据到服务端。由于使用该软件的开发、运维等技术人员较多,存在较高的安全风险。 本文对事件安全风险,技术原理进行分析;并给出具体检测方法和我们的安全建议。 【云上视角】 中小企业调查:云上防勒索优势和方法论。点击查看原文 概要:近日CNBC新闻网站上的一篇科技分析文章指出:云服务可以提供给中小企业全栈式的安全服务,在这种场景下,云上会比他们自己IT系统更安全。文中提到,美国的200家中小企业中,只有42家(21%)对自己的IT安全部门有信心。同时指出,平均来讲,每一次勒索攻击造成的影响在71万美金左右。如果“省下”这些费用,把存储和其它系统放上云,也许云能帮助他们减少损失。文章提到,在其架构设计中,云服务商会把“系统不中断”放在非常重要的位置,因为一旦CSP系统故障,影响面会非常大。从这个角度来讲,多租户公共云服务提供商可能是世界上最安全的公司。另外,客户从跟CSP签约时,有一部分安全就由CSP去覆盖了,用户可以专心管控业务风险。 点评:大部分中小企业在今天的安全威胁形式下,没有能力单独抵抗复杂的攻击,这是问题的根源。在面对勒索软件时,云可以让安全行动变得更快,并专注于业务风险,而不是花费无数细碎时间,来研究威胁、排除故障、运维老化的机房。在WannaCry和Petya事件来袭的时候,内网的大面积沦陷,已经印证了这一点。 查看其它行业资讯 政府安全资讯精选 2017年第三期:数据保护,下一个里程碑 游戏安全资讯精选 2017年 第三期:游戏行业DDoS攻击上周加重,Xshell后门事件原创分析报告,微软“8月周二补丁日”全盘点 往期回顾 金融安全资讯精选 2017年第二期:金融网络安全和反欺诈方法论,金融新兴技术成熟度几何? 期待听到您的反馈 金融、政府、游戏安全资讯精选会通过云栖社区专栏, 阿里云安全微信和微博,每周与您见面。 如果您是阿里云用户, 也欢迎通过邮件、钉钉公众号查看本周行业资讯。 扫码参与全球安全资讯精选 读者调研反馈 我们会认真讨论您的每一条建议 并邀请精彩回答者加入VIP读者群
-
发表了文章 2017-08-15
游戏安全资讯精选 2017年 第三期:游戏行业DDoS攻击上周加重,Xshell后门事件原创分析报告,微软“8月周二补丁日”全盘点
【每周行业DDoS攻击态势】 上周,游戏行业300Gbps以上流量的DDoS攻击次数增加明显,且发生多次700Gbps以上的攻击,单日攻击达本月最多。建议游戏公司安全负责人做好带宽和IP 储备,和相应防护手段。 【游戏安全动态】 研究数据:游戏应用是钓鱼攻击的主要来源。点击查看原文 概要: 根据移动安全公司Wandera的研究,游戏应用是黑客对企业设备发起钓鱼攻击的最大来源。 Wandera测试了10万个企业设备,来分析网路钓鱼网站的流量。其中,游戏应用(25.6%)和电子邮件应用(18.9%),最有可能被黑客盗用。 【相关安全事件】 微软“8月周二补丁日” 发布48个漏洞补丁。点击查看原文 概要:2017年8月8日,微软在“补丁日”为48个CVE漏洞发布了补丁,相对于7月发布的公告来说, 本次发布的补丁涉及到的漏洞相对较轻微。本次发布补丁的48个CVE漏洞中,总共有26个CVE被评为“关键”,21评分为“重要”和1评级为“中等”。 点评:建议关注,并根据业务情况择机更新补丁,以提高服务器安全性。可以打开Windows Update功能,然后点击“检查更新”按钮,根据业务情况下载安装相关安全补丁; 安装完毕后重启服务器,检查系统运行情况。 注意:在更新安装升级前,建议做好测试工作,并务必做好数据备份和快照,防止出现意外。 阿里云安全:“NetSarang的Xmanager和Xshell多种产品被植入后门事件”分析报告。点击查看原文 概要:NetSarang是一家国外以提供安全连接解决方案的公司,其产品以Xmanager应用于IT运维技术人员进行远程运维管理。近日,国内安全公司发现官方发布的软件版本中,nssock2.dll模块源码被植入后门,通过技术分析,该后门会上传敏感数据到服务端。由于使用该软件的开发、运维等技术人员较多,存在较高的安全风险。 本文对事件安全风险,技术原理进行分析;并给出具体检测方法和我们的安全建议。 【云上视角】 观点:云上游戏平台的安全风控方法论:防DDoS、信息窃取和作弊。点击查看原文 概要:今天,数以百万计的玩家每天都通过大型基于云平台,如PlayStation网络,Xbox Live和各种专用游戏服务器在线游戏。文章认为,防DDoS,防信息窃取,和反作弊,是云上游戏平台的安全三要素。 点评:文章提出的建议比较基础,例如通过架构优化缓解DDoS攻击,采用防数据丢失方案等。在国内,游戏公司对这三大方面,尤其是防DDoS和反外挂方面,其实应比国外的中小游戏公司更有实战经验。而在国内的行业竞争环境下,DDoS还是当下游戏行业安全的头号大事,基于免费产品和架构优化的方法,往往在大于300G的流量攻击下沦陷,原因是国内DDoS攻击方的成本低廉,而国内游戏行业恶性竞争激烈。关于如何内外合作,建设游戏安全体系,有兴趣的读者可以参阅这一篇甲方方法论:手游公司安全负责人:在安全管理的Hard模式中,当一个好“玩家” 查看其它行业资讯 政府安全资讯精选 2017年第三期:数据保护,下一个里程碑 金融安全资讯精选 2017年第三期:互金第三方监管机制正在酝酿,催收平台信息泄露需警惕 往期回顾 游戏安全资讯精选 2017年 第二期:攻击“王者荣耀”的勒索病毒SLocker解读,微软SMB 0day和Sorebrect勒索攻击预警 期待听到您的反馈 金融、政府、游戏安全资讯精选会通过云栖社区专栏, 阿里云安全微信和微博,每周与您见面。 如果您是阿里云用户, 也欢迎通过邮件、钉钉公众号查看本周行业资讯。 扫码参与全球安全资讯精选 读者调研反馈 我们会认真讨论您的每一条建议 并邀请精彩回答者加入VIP读者群
暂无更多信息
-
发表了文章
2018-03-28
游戏安全资讯精选 2018年第十期:游戏安全年度报告重磅发布,北京检方依法批捕比特币被盗案犯罪嫌疑人,攻击某企业网站,1.1亿元备付金被盗
-
发表了文章
2018-03-28
金融安全资讯精选 2018年第十期:数据泄密丑闻后扎克伯格首次发声,详解银监会数据治理指引落地路线,用区块链来保护隐私是天方夜谭吗?
-
发表了文章
2018-03-21
游戏安全资讯精选 2018年第九期:游戏人从自身经历谈对区块链与区块链游戏的思考,Ubuntu 16.04 4.4 系列内核本地提权漏洞,JbossMiner 挖矿蠕虫分析
-
发表了文章
2018-03-21
金融安全资讯精选 2018年第九期:生物识别技术应用预测,广东网贷平台合规“排名”,JbossMiner 挖矿蠕虫分析
-
发表了文章
2018-03-07
金融安全资讯精选 2018年第八期:2018年将成为区块链应用元年,区块链和加密货币相关的安全问题,勒索和数据武器化等已成网络犯罪主流,投资圈的连续创业者聊安全创业与趋势
-
发表了文章
2018-03-07
游戏安全资讯精选 2018年第八期:3975款游戏被查处,游戏圈重击;Memcached被利用UDP反射攻击漏洞预警;VentureBeat称区块链或可定位和消除恶意可执行代码的安全问题
-
发表了文章
2018-03-02
医院成黑客勒索重灾区 阿里云表示:愿为医疗机构提供安全公益排查支持
-
发表了文章
2018-03-01
游戏安全资讯精选 2018年第七期:棋牌游戏的商业模式和风险,黑客利用Apache CouchDB中的两个“老漏洞”挖币,阿里云成功防御国内最大规模Memcached DDoS反射攻击
-
发表了文章
2018-03-01
金融安全资讯精选 2018年第七期:JP摩根大通首次承认加密货币是“风险”,比特大陆利润或赶超英伟达,Mindlost勒索病毒技术分析,阿里云愿为医疗机构提供安全公益排查支持
-
发表了文章
2018-02-27
花好今年企业安全预算的第一步:采购季限时优惠开始拉!
-
发表了文章
2018-02-14
重要预警 | 阿里云捕获一例针对国内群呼系统的0day攻击
-
发表了文章
2018-02-11
春节来临,面对网络威胁,我们应该如何保障业务安全,轻轻松松过大年?
-
发表了文章
2018-01-31
金融安全资讯精选 2018年第五期:“十三五”金融网络安全建设要点浅析,互联网金融黑中介起底,汇通天下云上微隔离实践
-
发表了文章
2018-01-31
游戏安全资讯精选 2018年第五期:一年收购金额超100亿,都有哪些棋牌游戏公司上了岸?PHP GD库拒绝服务漏洞安全建议,软件集成平台Jenkins证书及日志泄露
-
发表了文章
2018-01-24
游戏安全资讯精选 2018年第四期:八大部委1月22日后开始针对网络游戏违规行为进行专项整治查处,阿里云怎么帮直播答题企业应对安全风险
-
发表了文章
2018-01-24
金融安全资讯精选 2018年第四期:百万亿智能金融市场的风口与风险,MySQL最新安全漏洞快讯,从存储角度对比云上和线下环境安全性,华数TV迁云背后的安全思考
-
发表了文章
2018-01-18
金融安全资讯精选 2018年第三期:上海P2P备案大考来临,新型KillDisk变种攻击拉丁美洲金融机构,WordPress 发布安全更新版本,如何在阿里云环境下搭建基于SonarQube的自动化安全代码检测平台
-
发表了文章
2018-01-12
金融安全资讯精选 2018年第二期:正确区分ICO与区块链,加快区块链金融技术化工作,Intel CEO回应“漏洞门”,Gartner视角看安全与风险管理,八招应对短信验证码攻击
-
发表了文章
2018-01-12
游戏安全资讯精选 2018年第二期:游戏行业年度白皮书;手游外挂、直播答题安全风险解析,近30%外挂手游存在致命安全问题,八招应对短信验证码攻击
-
发表了文章
2018-01-04
游戏安全资讯精选 2018年第一期:融资与乱象,2017的游戏之年;中宣部等8部委联合印发意见,要求严格规范网络游戏市场管理,阿里云安全2017年盘点
滑动查看更多
-
回答了问题
2017-01-22
请问阿里云公告的这句话是不是有语病?
HI 您好,
公告的内容解释一下:您在此之前,需要接入免费版应用防火墙的网站DNS记录(****.waf.aliyun.com),重新指向到源站服务器IP。否则网站将无法正常访问。如您仍然需要Web攻击防护能力,您可以参考 https://www.aliyun.com/product/waf,使用新版Web应用防火墙进行。
赞0 踩0 评论0 -
提交了问题
2016-11-03
阿里云云盾 · 混合云解决方案
-
回答了问题
2016-09-01
-
提交了问题
2016-09-01
云盾安全月一元秒杀活动开始啦!
-
回答了问题
2019-07-17
云盾是否有开放计划?
谢谢你的精彩提问,安全问道栏目组已经收录,即将为你解答哦!
赞0 踩0 评论0 -
回答了问题
2016-07-16
云盾安骑士专业版有什么用?
您好~谢谢您的提问。
安骑士的漏洞修复特点在于“更快”—基于阿里云的海量威胁情报,安骑士的漏洞功能会更快发现问题、并提前修复大多数通用软件漏洞;在高危漏洞应急中,也能给出更迅速地解决方案。
并且,目前所有的修复方案都是自研补丁,并且操作简单,可在控制台一键修复。
弱口令检测和风险配置检测的作用是帮助用户发现云主机安全的薄弱环节,而基础版则没有帮助用户全面监测、和修护功能的,是“被动”和“主动”的区别。
当然,您反映的问题,也已经反馈给产品团队啦~我们会不断改进,争取让产品更符合您的需求。赞0 踩0 评论0 -
提交了问题
2016-06-12
【干货】ModSecurity - 针对中小站长高效、免费waf组件
-
回答了问题
2016-06-07
真坑啊安骑士为什么默认5台?
哈哈,题主请息怒~
授权使用数是安骑士套餐的一个参数,目前各版本默认最少支持5台,如果你需要更多的台数,可以自己选择的。
赞0 踩0 评论0 -
回答了问题
2016-06-06
p2p金融行业网站安全非常重要?
有见过很多中小型P2P平台的负责人会说“业务能正常上线发布就很好了,哪还有空考虑安全?”这句话很真实地反应了国内中小P2P企业对信息安全的力不从心。我觉得中小型的P2P平台安全首先还是要从内做起。Softchoice研究发现,企业员工存在大量安全隐患,包括将密码贴在座位上、弱密码/无密码、随意下载和使用云应用等。 而数据安全犯罪(cybercriminals),越权访问(privileged users),是本次调查中金融企业公选的内、外两大安全威胁来源。
此外,加强人员的权限管理,各系统密码最好统一由密钥管理系统统一进行管理。并进一步增加人员的安全意识及安全业务开发意识。
再次,切勿“头疼医头,脚疼医脚”。从网络到主机到数据到内容到业务,应该相对全面的考虑安全问题,把可能存在的业务风险考虑到位,并对危及业务发展的高危安全问题建立一套完整的安全防护体系。以云盾为例,通过APP安全进行APP端加固和漏洞识别,把APP的安全风险控制在应用里面,然后在云端的出口部署DDoS高防和WAF产品,把网络攻击阻断在网络出口位置,防止内部负载均衡、路由交换、服务器和应用受到影响。进而,通过安骑士对主机侧进行加固,对一些漏洞进行第一时间修复,同时,态势感知提供大数据监测分析,做到防护+反击。赞0 踩0 评论0 -
回答了问题
2016-05-24
我的服务器被攻击,不断刷流量
Re我的服务器被攻击,不断刷流量您好,请您登陆会员,在控制台提交在线工单,售后工程师会协助您排查的问题。赞0 踩0 评论0
滑动查看更多
暂无更多信息