普普每日安全资讯一周概览(9.19—9.25)

作者:

时间:
2020-09-25

2020.09.19  周六



01

 微软开源持续开发模糊测试工具OneFuzz


近日,微软开源了OneFuzz——一个微软内部使用的,由开发人员驱动的持续开发模糊测试平台。开源后,世界各地的开发人员都可以通过OneFuzz直接从其开发系统接收模糊测试结果。模糊测试是一种自动化的软件测试技术,将随机、意外、畸形和/或无效数据输入计算机程序,试图发现可能影响程序安全性和性能的异常(例如崩溃、内存泄漏等)和意外行为。OneFuzz项目是Azure的可扩展、自托管的Fuzzing即服务平台,该平台聚集了多个现有的Fuzzer,并可(通过自动化)整合崩溃检测、覆盖范围跟踪和输入控制等功能。

Microsoft内部团队使用OneFuzz来加强Windows、Microsoft Edge和其他软件产品的安全性开发。


普普评述

OneFuzz将在未来几天通过GitHub提供给全球。微软表示将继续通过公司各个团队的贡献来更新和扩展它,并欢迎来自更大范围的开源社区的贡献和建议。


2020.09.20  周


02

 湖南警方公布开展互联网安全监督检查典型案例


2020年以来,株洲市公安局为贯彻落实中央网络信息安全和信息化的战略部署,结合正在开展的国家网络安全宣传周活动,整治网络秩序,治理网络乱象,查处了一批违反网络安全法律法规的案件,对未来深入开展网络安全宣传具有重要的现实意义。

一、荷塘区某电子网站不履行网络安全保护义务案

二、醴陵市某市民擅自建立、使用非法定性道进行国际联网案

三、茶陵县某网吧非法改变计算机信息系统数据和应用程序案

四、攸县某APP非法获取个人信息案

五、天元区某网络科技有限公司未履行个人信息保护义务案

六、芦淞区某医院未履行网络安全保护义务案

七、渌口区某家政公司未履行备案职责案

八、醴陵市某服饰公司不履行国际联网备案指责案

九、茶陵县某市民网上发布虚假信息扰乱公共秩序案

十、芦淞区某网吧违规增设计算机系统案。


普普评述

下一步,株洲市公安局将继续加大对各类网络乱象整治力度,切实加强株洲市网络安全管理工作,细化安全主体责任和监管责任,落实终端病毒防控、日常运维监测、系统隐患整改等方面的管控措施,严防网络安全事故发生。


2020.09.21  周


03

 云原生安全模型与实践


在传统的研发中,qian388经常关注的「安全」包括代码安全、机器(运行环境)安全、网络运维安全,而随着云原生时代的到来,如果还按原有的几个维度切分的话,显然容易忽略很多云原生环境引入的新挑战,qian388需要基于网络安全最佳实践——纵深防御原则,来逐步剖析「云原生的安全」,并且对不同层次的防御手段有所了解,从而建立自己的云原生安全理念,真正搭建一个内核安全的云原生系统。

以某IDaaS系统为例,qian388把一个云原生系统安全模型分为 4 个层面,由外至内分别是:云/数据中心/网络层、集群层、容器层、代码层。对于这里安全模型的每一层,都是单向依赖于外层的。也就是说,外层的云、集群、容器安全如果做得好,代码层的安全就可以受益,而反过来,qian388是无法通过提高代码层的安全性来弥补外层中存在的安全漏洞或问题。


普普评述

总体来说,云原生时代的这四层架构:云/数据中心/网络层、集群层、容器层、代码层,与传统架构比起来更加细化和更易受攻击。自外而内地践行每一层的安全最佳实践,qian388的纵深防御才能算是成功的,每个在云原生技术上想长期获益的团队需要对此有共识。


2020.09.22  周


04

 海通证券SD-WAN网络应用与实践


SD-WAN(软件定义广域网)的出现,以低成本的互联网宽带在一定程度上代替了较低流量、价格昂贵的专线来完成企业站点互联,加上安装运维管理的简易性、全局流量调度和可视分析等特性,极大地降低了企业IT投入开支。

SD-WAN是将SDN技术应用到广域网场景中所形成的一种服务,这种服务用于连接广阔地理范围的企业网络、数据中心、互联网应用及云服务,可以帮助用户降低广域网(WAN)的成本开支并提高网络连接的灵活性。

近两年,SD-WAN已经成为网络领域的新风向。根据近期IDC针对SD-WAN的相关调研,95%的企业已经或将在两年内使用SD-WAN技术,而42%的企业已经完成部署。


普普评述

SD-WAN的出现,有助于以较低成本拥有更加可靠和更高带宽的广域网线路,为企业在分支互联区域替代广域网专线提供可能。


2020.09.23 周三


05

 英国政府发布工具包,帮助公司改进漏洞披露流程


英国国家网络安全中心(NCSC)发布了一项指南——“漏洞披露工具包”,以帮助公司实施漏洞披露流程或在已建立漏洞披露流程的情况下进行改进。该指南强调,各种规模的组织都需要为鼓励负责任的漏洞披露。

这份指南并不是让漏洞披露更容易,而是提供了更好的流程建议及必要信息。

如今,大多数网络攻击持续发生,同时研究人员也在不断发现新的安全漏洞风险,所以,漏洞披露程序非常有必要。

不过,现状是,披露这些问题可能特别困难。因为在多数情况下,需要花费大量精力来寻找可以采取相关措施的联系人。NCSC表示,人们希望能够直接向负责的主体报告发现的漏洞。


普普评述

“漏洞披露工具包”的发布是将漏洞报告嵌入英国立法框架的序言。英国政府目前正在制定法律,要求智能设备制造商向公众提供漏洞披露流程。


2020.09.24  周四


06

 美国启动中小学网络安全教育标准制订工作

 

近日,CYBER.ORG宣布开始开发适用美国所有中小学校的K-12网络安全学习标准。这些标准将有助于确保学生不仅对网络安全有基本的了解,而且对他们从事更多网络安全职业所需的技能和知识也有所了解。

目前,CYBER.ORG正在召集教育、政府和行业中的主要利益相关者,以收集意见,提高标准的相关性和价值。CYBER.ORG计划在2021-22学年开始向公众发布最终标准,第二年可能会在各州开始自愿采用。

当前,美国只有少数州制定了网络安全学习标准模型,但没有统一的国家标准。非营利、无党派的教育研究开发和服务组织McRel International将促进标准制定过程,该组织将帮助学校、地区和教育机构改善学生的学习成绩。

普普评述

网络安全人才短缺,民众网络安全知识匮乏、意识淡漠是一个全球性问题。从中小学教育开始融入网络安全知识学习,“从娃娃抓起”,才可以从根本上提高网络安全人才的产能和全民安全意识。


2020.09.25 周五


07

 过去10年中,滥用机器身份的恶意软件攻击增长了8倍


根据Venafi最新发布的威胁分析报告,利用机器身份的恶意软件活动正在极速增加。例如,从2018年到2019年,使用机器身份进行的恶意软件攻击增加了一倍,其中包括备受瞩目的攻击活动,例如TrickBot、Skidmap、Kerberods和CryptoSink。研究人员通过分析公共领域中的安全事件和第三方报告,收集了有关滥用机器身份的数据。

总体而言,在过去十年中,利用机器身份进行的恶意软件攻击增长了八倍,其中最近五年的增长更快。Venafi安全策略和威胁情报副总裁Kevin Bocek说:“随着数字化转型渗透到几乎所有基本服务,很明显,以人为中心的安全模型不再有效。”

普普评述

过去,只有高级黑客和国家黑客组织才会利用机器身份,但如今机器身份利用已经商品化,并已添加到现成的恶意软件中,使其变得更加复杂且更难检测。例如,大规模的僵尸网络活动滥用机器身份,在目标网络中获取立足点,然后横向移动以感染其他目标。