從 Verizon 數據泄露報告看醫療行業數據安全

從 Verizon 數據泄露報告看醫療行業數據安全

2019-05-27 09:45    原創  作者: 柳遵梁 編輯:
0購買

美國電信巨頭 Verizon 每年都會發布年度數據泄露報告(DBIR)。Verizon 不僅綜合了多個合作夥伴的數據分析,而且還採用了嚴格的數據驅動方法來分析安全漏洞和事件。連續發布10年來,DBIR 報告已經成為安全行業的重量級調查報告,值得安全從業者仔細研讀。

  一、醫療行業數據泄露排名持續上升,2017年度高居榜首

報告显示,醫療行業數據泄露威脅的行業排名持續上升,從2014年突飛猛進到行業第六,到2016年排名再次大幅提升,僅次於金融行業排名第二,佔比15%。到2017年更是高居榜首,遠遠甩開了第二名,佔比達到24%。這種火箭般的上升速度是極其明顯的,而醫療數據價值的廣泛認知和相對脆弱的防禦措施是造成這一現象的兩大要素

需要特別注意的是,這一結果還是在美國HIPAA(Health Insurance Portability and Accountability)和HITECH(Health Information Technolory for Ecnonmic and Clinical Health)兩大法規約束的情形下產生的。

  二、醫療行業是唯一一個內部威脅遠大於外部威脅的行業

從這份報告可以看出,醫療行業是所有行業中唯一一個內部威脅大於外部威脅的行業。其中,內部威脅佔比60%,外部威脅佔比43%,這表現出很大的特殊性。作為一個參照,在行業平均攻擊類型中,70%為外部威脅,30%為內部威脅。醫療行業的這種特殊性,可以認為是由以下幾個方面引起的:

1、醫療行業的數據單體價值特別高;

2、醫療行業的數據獲得性比較簡單;

3、醫療行業數據變現特別容易。

我們就數據泄露的幾個主要行業做個比較:醫療、金融、政府、信息服務、製造業、零售、酒店餐飲。如下圖所示:

由於缺乏醫療行業的獨立數據,我們以全行業來看威脅構成。從全行業來看,在外部人員導致的泄漏事件中,62%都來自有組織的犯罪團伙;在內部威脅中,25.9%都跟企業系統管理員有關,終端用戶佔22.3%、醫生或護士佔11.5%、開發人員佔5%。

  三、醫療行業是勒索病毒威脅的主要目標

勒索病毒是近幾年網絡攻擊的主要手段之一,2017年更是在所有惡意軟件攻擊中佔到39%的比例,高居榜首。而醫療行業則是勒索病毒威脅的“重災區”,入侵醫療行業的惡意軟件高達85%,屬於惡意軟件攻擊。其中,數據庫服務器成為了勒索病毒的主要攻擊目標。下圖為全行業的勒索病毒發展趨勢圖,可以看出勒索病毒攻擊上升速度極為恐怖,已經成為網絡安全的主要威脅。

  四、醫療行業入侵動機:財富追求是主要目標

財富追求是入侵醫療行業的主要動機,高達75%的入侵是為了獲得財富。動機分佈:75%獲得財富、13%是樂趣和好奇心、5%是為了便利、5%是間諜。有一個現象需要特別注意,有47%的內部數據泄露僅僅是因為好奇心,比如醫生看別人的病案。而這個好奇最終有超過40%會演化為獲得財富。

  五、病案和藥物成為數據泄露的核心內容

不同於其他行業以PI(個人信息)和PFI(個人財務信息)為主體的信息泄露,醫療行業的數據泄露核心內容在PHI(個人健康信息),即病案和藥物信息。數據泄露構成佔比:病案和藥物79%、個人信息 37%、支付信息 4%。不同於其他大部分行業只有海量數據才具有價值,醫療行業的單體病案數據價值就非常昂貴。

  六、社交工程攻擊

社交工程攻擊在所有攻擊中的佔比為17%,其中Email社交工程貢獻96%。同時,78%的人員會重複遭受社交工程攻擊。

政府、醫療、教育、專業服務和金融是社交工程攻擊的主要犧牲品。其中,59%的社交工程攻擊是為了獲得財富,38%是間諜行為,也就是社交工程是政府間諜和商業間諜的主要攻擊形式。

  七、發現攻擊

執行攻擊只要幾分鐘,而發現有攻擊事件發生卻可能需要幾個月時間。當發現系統被入侵的時候,傷害已經造成。其中,68%的數據泄露需要花費幾個月甚至更長時間才能被人發現。

  小 結

醫療行業數據泄漏事件、勒索病毒事件,幾乎每月、每周、每天都有發生,數據安全的重要性不言而喻。但是究竟如何體系化、系統化進行數據安全防護建設?這是每個醫療行業信息安全從業者都在思索和探究的問題。本篇作為醫療行業數據安全挑戰和對策系列文章的第一篇,從權威第三方Verizon數據泄露報告看醫療行業數據安全的現狀、威脅來源、攻擊目標、攻擊的手段。下一篇我們將對醫療數據安全的客觀現狀進行分析。

網站內容來源http://safe.it168.com/網站內容來源http://safe.it168.com/

【精選推薦文章】

自行創業 缺乏曝光? 下一步”網站設計“幫您第一時間規劃公司的門面形象

網頁設計一頭霧水??該從何著手呢? 找到專業技術的網頁設計公司,幫您輕鬆架站!

評比前十大台北網頁設計台北網站設計公司知名案例作品心得分享

台北網頁設計公司這麼多,該如何挑選?? 網頁設計報價省錢懶人包”嚨底家”

從 Verizon 數據泄露報告看醫療行業數據安全

五大維度透視醫療數據安全

五大維度透視醫療數據安全

2019-05-27 09:55    原創  作者: 柳遵梁 編輯:
0購買

在當今日益開放的網絡環境下,醫療行業的數據安全問題日益凸顯。本文將從數據價值、網絡環境、人的安全、數據流動和雲驅動等五個方面進行深入分析。

  一、醫療數據的特殊價值

  1.高度敏感的數據泄露帶來巨大的個人、家庭和社會影響

 

健康信息的全方位滲透決定了健康數據的利用範疇非常廣泛,使用不當會嚴重影響人們的生活、工作、家庭甚至社會和政治。其廣泛的社會影響性使得個人健康信息(PHI)成為人們最為核心的隱私內容。PHI泄露具有兩大典型特徵:單體病案對於個人及家庭的巨大影響和海量信息的巨大社會影響,而且極易轉變為巨大的財富。那麼,有哪些高度敏感的數據泄露場景呢?

  (1)惡性腫瘤、尿毒症、糖尿病等慢性病

這類患者在未來的支付能力往往很可能會急劇惡化,信用水平會快速降低。因此,保險、銀行及所有金融機構都為了提高風控水平而對這類信息趨之若鶩。

而且,由於相關疾病的震懾作用會給相應的保險銷售帶來很大的說服力及便利性。部分醫院、藥店、藥廠、保健機構不斷瞄準這些患者以獲得最大收益,彷彿是“移動的印鈔機”。同時,這類病人也是各種詐騙機構的主要目標,假藥、假保健品不斷地輸送給這類患者。處於絕望中的惡行腫瘤患者,只要前方給予了一絲希望就會毫不猶豫地抓住,結果是賠錢又賠人。即使不需要金融服務,也沒有被詐騙,也會給生活和工作帶來極大不便,社會交往受阻。

  (2)ED、性冷淡、大小便失禁、吸毒等涉及個人尊嚴的疾病

此類疾病讓人喪失了一些基本能力,無疑讓人自卑。這些隱私信息的泄露會極大地影響個人工作和生活。所以,出於身心的打擊,使得這類人群特別容易受到各路騙子的誘惑。

  (3)性病、艾滋病等傳染病

此類疾病屬於絕對隱私。除了病急亂投醫造成的巨大財產損失和身體損失之外,家庭和社交關係被破壞等幾乎無一倖免。另外由於這種疾病的絕對隱私性,導致患者極易被勒索。

  (4)傳染病、中毒、血鉛等社會性疾病

此類區域性疾病或者突發性衛生事件,配合社會謠言很容易引起社會混亂。特別是處於保密期的重大衛生事件的一旦泄露,會讓有關政府機構極為被動。

  (5)老人、孕產婦、嬰幼兒、兒童等弱勢群體

此類群體由於相對脆弱的心理和防範,非常容易受到誘惑。保險及各種金融機構,以及各種保健機構和詐騙機構也會不斷地誘惑和欺騙他們,並給造成極大傷害。

  (6)社會重要人士和公眾人物的病案

比如,“希拉里事件”精確地演示了患者疾病如何影響政治生態。國家主要領導的病案屬於國家安全範疇,一旦泄露顯然會影響政治生態,甚至直接終結政治生涯。公眾人物在某種程度也類似,不當的健康隱私泄露可能會直接終止公眾人物的職業生涯。

  (7)有待推敲的治療方案和居高不下的誤診率

醫學診斷本質上屬於經驗科學,缺乏精確性,存在大量的謬誤。無論是美國還是中國,誤診率始終居高不下。甚至很少有治療方案可以經受得起嚴密的推敲,治療方案只有合理性說法而沒有正確性說法。倘若治療方案泄露且被別有用心的人利用,勢必會造成大量的醫患糾紛,最終導致醫院遭受巨大損失。

  (8)具有很高精確度的個人信息

醫療機構個人信息擁有極高的精確度和社交關係屬性。例如:姓名、身份證、社保卡、電話號碼、住址、職業以及親屬關係等。出於患者對於醫療機構的期待,個人信息往往比任何其他機構具有更高的精確性。醫療個人信息即使是普通信息在黑市的價格也居高不下,是普通信用卡信息價格的10倍以上。更不用說精確的職業信息了,它可以使個人信息的價值成倍上升。

  (9)醫囑、處方和檢查結果的巨大價值

醫院持續運營的核心成果除了醫生水平的不斷成長之外,就是醫囑和處方等病例信息的不斷積累。一家大型醫院多年積累的主要病種的病案醫囑和處方內容的價值往往以百萬價值計算。除了巨大的學習和成長價值之外,藥品供應商對這些數據更是趨之若鶩,完成真實案例之上的臨床試驗。

  (10)處方葯和受管制的藥品

處方葯,特別是受到管制的藥品,比如麻醉葯,市民必須持有處方才可進行購買。任何具有許可的物品和服務都會在市場上具有很大的價值,而入侵者通過盜取這些處方,從市場上“合法”地購買處方藥品,然後出售以獲利,擾亂了藥品管控市場。

  (11)數據統方

數據統方是醫療回扣腐敗案件的核心環節之一,是實現醫療回扣的關鍵媒介和憑證。醫療腐敗關係到每一位百姓生活,具有廣泛的社會影響力。

  2.高度精確性要求已上升到生命安全的級別

醫院的醫囑、處方、醫療器械都把人作為處理對象。醫療數據的不當更新可能會危害患者的生命安全,而生命安全則是生活中的最高安全級別。

(1)醫囑和處方數據的變更

醫囑和處方是醫生按照積累的知識和經驗作出的最佳判斷,總是在療效和危害之間進行平衡。由於絕大部分藥品的副作用以及部分藥品的禁忌性,醫囑和處方便成為某些別有用心的人“借刀殺人”的最佳利器。電影作品乃至現實生活中都存在眾多案例提示我們這種危險的存在。而不斷演示的黑客遠程操控醫療器械則更加活生生地提示着生命安全的脆弱性。無論是何種傷害,本質上只需要修改數據而已,在程序上與交通違章消分沒有任何區別。

  (2)歸檔病案的變更

當一樁醫療糾紛案如果出現了歸檔病案的變更,則意味着醫院無法自證清白,在醫療糾紛中會先天處於不利位置。

  (3)管製藥品的購買

麻醉品、鴉片、大麻等各種具有高度危險性的藥品只有在醫院可以合法購買,以至於在市場上自由流通具有很高的價值。當然也會對社會造成巨大影響,入侵者可以通過處方修改來獲得其合法購買管製藥品的權利。

  (4)出生醫學證明

出生醫學證明是黑戶洗白的關鍵憑證。內外勾結或者盜取出生憑證是出生醫學證明地下黑產鏈的關鍵環節。

 (5)勒索威脅

勒索病毒是醫療行業最為嚴重的外部威脅之一,在已知的外部威脅中高達85%是由勒索病毒引起的。開放的網絡環境和相對脆弱的安全措施是勒索病毒持續發作的溫床。

  二、不夠安全的網絡環境

  1.開放或半開放的網絡環境

開放或半開放的網絡環境是醫療行業的典型特徵,很少有行業像醫療行業一樣是一個非安全的開放環境。開放的網絡環境使入侵者可以輕易地進入醫院網絡,輕易地進行物理攻擊。

  (1)開放的醫生工作環境

無論是門診醫生還是住院醫生的工作電腦,幾乎都處於人人可以接觸的開放環境。入侵者較易合法地進入醫生的工作場所、親切地和醫生進行溝通、接近醫生和醫生工作終端,甚至可以很容易假冒醫院IT工作者對醫院電腦進行全權操作。

  (2)大量不安全的自助服務設備

自助服務設備是醫院服務患者的主要工具之一。大量的自助設備在給患者帶來便利性的同時,也給入侵者有機可乘。他們可以很容易接觸醫院網絡,也可以假借維修名義對自助服務終端進行任何操作。

  (3)廣泛使用的無線網絡

移動終端的廣泛使用是醫院信息化發展的主要方向。當無線網絡缺乏嚴格的安全管控時,意味着入侵者隨時可以進入醫院網絡。

  2.相對混亂的互聯網接入服務

除了自助服務終端之外,互聯網接入是當前醫院的主要努力方向。為了趕上互聯網醫療的快車,只有極少部分醫院獨立建設互聯網醫院,更多醫院採用外部服務接入的方式來連接互聯網。事實上,在接入互聯網服務時,大部分醫院就已經把主動權交付至互聯網服務提供商,缺乏統一的業務和安全規劃。

  (1)互聯網服務授權過大

大部分醫院在互聯網服務建設過程中,由互聯網服務提供商來整理醫療數據,自主獲取服務需要的數據。醫院缺乏統一的互聯網服務網關,讓醫療數據處於極度危險的境地。

  (2)數據安全考慮相對缺乏

互聯網服務的焦點目標是提供相應的服務,並不會過多考慮數據安全性。由於缺乏有效的驗證和隔離措施,入侵者很容易通過互聯網服務網絡進入醫療網絡。

 三、人的安全無處不在

由於醫院患者單體數據的巨大價值,使人的安全成為醫院安全的最大問題所在。Verizon 報告揭示醫療行業是唯一一個內部威脅遠大於外部威脅的行業,內部威脅高達60%,外部威脅只有40%。

  1、單體數據的巨大價值使醫生和護士每天都受到誘惑

除了情報之外,很少有數據會像醫院一樣,單體數據具有巨大的價值,形成了醫療數據的黑市,明碼標標價。這使醫務人員並不需要太高深的技術就可獲得巨大的收益機會,必然會受到誘惑。

  2、好奇、虛榮心和可以任意查詢的醫療數據

由於好奇產生的越權操作問題在醫院是廣泛存在的客觀現實。譬如醫生會因為對某種疾病感興趣,進而查詢和閱讀非授權病歷,DBA會因為礙於情面幫助朋友查詢他人隱私數據。

  3、外部資源依賴

近幾年醫療業務發展極為迅速,各種新業務形態不斷湧現。為了支持快速業務迭代,醫院對於開發商等外部資源的依賴性非常高。這種高依賴性和高昂的數據價值帶來了巨大的數據安全風險。

 4、相對頻繁的手工操作

由於業務軟件系統無法跟上醫療業務的快速發展,很多時候相關人員需要直接數據庫操作來完成相關業務,存在潛在的誤操作和越權訪問風險。

  5、部分醫院甚至受到開發商要挾

許多開發商把醫院數據當作自己的私有財富,甚至醫院要使用數據需要獲得開發商的許可。顯然,這種生態下是很難做到患者數據安全。

  6、DBA和開發商的超級訪問權

DBA(數據庫管理員)和開發商的超級訪問權限普遍存在於各行業中。但是由於醫療數據較高的單體價值,DBA 和開發商會接收到來自各方面的數據獲取訴求,更容易受到更多的誘惑,導致其犯錯概率大幅增加。

 7、患者隱私數據的不當泄露

很多醫院為了降低成本,會重複利用檢查指引、處方單等紙質媒介。這種紙質媒介的重用顯然會泄露患者隱私。檢查報告的隨意處置,讓有心人更容易獲得相關數據。

 8、入侵者的樂園

開放的網絡環境和相對脆弱的安全防禦,使醫療機構成為了入侵者的樂園。入侵者可以輕易進入醫院網絡,盜取訪問憑證,訪問和破壞敏感數據並施加勒索。

  四、敏感數據的流動剛需

  1.眾多的數據交換業務和急劇上升的互聯互通需求

醫院作為一個受到嚴格管制的行業,需要和眾多機構進行數據交換和彙報。

  (1)醫保機構

醫院和醫保機構的數據交換是醫院核心業務之一。由於歷史原因,醫保數據交換可能會出現不必要的敏感數據交換,使敏感數據失控。

  (2)衛健委和疾控

醫院作為一個受監管機構,需要向衛健委、疾控等相關部門彙報相關數據。由於歷史原因,相關數據上報可能會存在一些失控的敏感信息。

 (3)心衰中心等

醫院還需將特殊病種相關數據上報到心衰中心等機構。由於歷史原因,相關上報數據可能存在着不必要出現的敏感數據。

(4)遠程醫療的興起

遠程醫療作為一種醫療資源下層的主要手段,正受到醫療主管部門和各大醫院的青睞。在遠程醫療過程中如何保證患者隱私數據的安全成為其中的一個關鍵環節。

  (5)病歷攜帶

病歷攜帶是患者的核心訴求之一。雖然目前基本沒有實現,但是在患者服務不斷加強的今天,病歷攜帶必然會成為醫療機構之間的核心交換科目。

 (6)病案交換

一家醫療機構的醫療水平提高,很大程度上依賴於歷史病案的積累和質量。醫療機構為了豐富自己的病案庫,有足夠的動力和同等水平的醫療機構進行病案交換。而衛生主管機構為了提高所有醫療機構的醫療水平,也有足夠動力讓所有醫療機構共享這些高質量的醫療病案。

  2.測試、培訓以及臨床數據中心

嚴格來講,醫生只可以查看自己處理的病歷,其他患者隱私數據只有患者授權才可被訪問。但是這種原則性安全在實踐中很難被貫徹。

  (1)測試和開發環境

IT系統幾乎每天都在日新月異的醫療業務發展中變更。為了軟件順利上線,需要使用生產數據進行測試以提供更好的兼容性。顯然,測試開發系統中的生產數據是完全失控的,這是一個最好的數據泄露源頭。還有更糟糕的情況,部分醫院沒有充足的設備來提供開發和測試,軟件開發商會把數據帶離醫院進行測試。

  (2)培訓和教育環境

可以認為,醫院的核心產品和服務是高水平的醫生。醫生和護士是一個高技術職業,需要不斷通過學習和培訓以提高技術水平。多數情況下,醫療培訓和教育會建立在犧牲患者隱私的基礎上。另外,培訓和教育環境的安全措施不完善使入侵者更易獲取醫療隱私數據。

  (3)CDR(臨床數據中心)

向數據索取價值、以數據驅動醫療是所有醫院的努力方向。臨床數據中心需要為臨床提供服務,就需要為所有醫生提供訪問病例的能力。但如果患者數據沒有進行脫敏處理,這種任意訪問病例的權利顯然會為患者的隱私帶來巨大風險。另外由於臨床數據中心的靈活使用特徵,安全措施難以落實到位,自然就會成為入侵者的寶地。

  3.終端、人的眼睛和拍照

在傳統業務之中,敏感信息會不斷通過運維和業務程序流動到桌面和人的眼睛,給敏感數據的安全帶來巨大挑戰。

  (1)運維訪問攜帶大量的敏感數據

運維賬戶具有很高的訪問權限,如特權賬戶可進行一系列的越權訪問:訪問不該訪問的數據和訪問過多的數據。

  (2)運維訪問下載敏感數據

運維訪問獲得海量數據並下載到客戶端,無論是惡意的還是業務需要,都會給敏感數據流動帶來風險。

  (3)業務訪問返回敏感數據

隱私和敏感數據的價值在這幾年才得以被重視,需要被嚴格保護。但歷史性的業務應用程序往往沒有隱私和敏感的概念,很容易泄露敏感數據,甚至被記錄、截屏或者拍照。

  (4)業務系統缺陷導致非預期大量數據返回

任何業務系統都存在缺陷,缺陷容易被利用,使敏感數據大批量地從安全數據中心流動到缺乏安全性控制的個人終端。

 (5)業務系統漏洞導致非預期數據獲得

醫療各類業務程序的 SQL 注入漏洞易被利用拖庫。

 五、雲端業務不分內外

當前國家鼓勵“互聯網+醫療健康”發展,一方面推動着醫療業務不斷互聯網化和雲化,另一方面也會給雲端業務帶來特殊的數據安全挑戰。

  1.雲環境的非受控性和上帝之手

  (1)用戶沒有設備採購和部署權利

在雲環境中,用戶只能租賃雲服務公司的設備,無法改變雲環境的網絡結構,也無法在雲環境中部署硬件設備。這種方式帶來了幾個困難:

  (2)雲環境是一個不受信任的非安全環境

不同於線下數據中心較為完整的安全措施,雲環境具有以下非安全特徵:用戶在雲上擁有最為重要的業務和數據,但機房場地、安保不屬於用戶,場地、設備和環境運維都不受控制,基礎平台也不受控制。本質上說,用戶需要把極為重要的數據存儲在不受信任的環境之中。

 (3)上帝之手的挑戰和制約

雖然在線下數據中心也存在着具有無限權力的 DBA。但是在線下,DBA 被醫院管理和教育,無限的技術權力在現實中會受到制約。但是在雲環境中,雲服務商和雲服務商的運維員工則完全遊離在醫院管理之外,是真正意義上的上帝之手。

 2.雲環境的開放性和權力等同性

  (1)網絡安全措施的不同

線下環境中的網絡安全機制與雲環境不盡相同。譬如部署在線下的防火牆設備可實現惡意入侵檢測功能,並可根據需求啟用白名單配置功能以完成MAC地址綁定等准入機制,即防火牆還可完成部分內控功能。但是在雲環境中,內控機制面臨更多挑戰,網絡安全設備只能完成惡意入侵檢測。

  (2)網絡開放度的不同

線下環境中,網絡僅向部分人員開放。即使存在互聯網接口,也存在受限制的通道。但在雲環境中,網絡向所有人開放,包括員工、合作夥伴、黑客以及各種不法分子。所有人都可以無限制接觸雲環境的開放服務。例如:在線下環境中,數據庫會放置在網絡核心深處,只有少數人可以接觸。但是在雲環境中,全世界所有人都可以到達你的數據庫。

  (3)用戶權力的不同

在雲計算環境中,無論是是員工還是入侵者,所有用戶的權力是等同的。也就是說,雲環境中的人已經沒有內外之分。

網站內容來源http://safe.it168.com/網站內容來源http://safe.it168.com/

【精選推薦文章】

智慧手機時代的來臨,RWD網頁設計已成為網頁設計推薦首選

想知道網站建置、網站改版該如何進行嗎?將由專業工程師為您規劃客製化網頁設計及後台網頁設計

帶您來看台北網站建置台北網頁設計,各種案例分享

廣告預算用在刀口上,網站設計公司幫您達到更多曝光效益

五大維度透視醫療數據安全

使用公共WiFi?您的數據很容易被黑客攻擊!

使用公共WiFi?您的數據很容易被黑客攻擊!

2019-05-30 10:50    原創  作者: 高博編譯 編輯:
0購買

每個人都可以輕鬆訪問公共WiFi,免費衝浪聽起來很酷,但是風險也很大。讓我們看看您的數據如何被輕鬆入侵的。

在當代網絡世界中,WiFi已成為一種至關重要的商品。無論地點的大小如何,WiFi現在安裝在每個角落; 從國際機場到小型報亭,您可以在任何地方找到互聯網連接。這些WiFi大多不是單獨運行的,而是對所有人開放的。每個人都可以輕鬆訪問公共WiFi,無論是商店的客戶還是路過的旅行者,他們都是完全免費的。這意味着您可以不用支付一分錢就能夠連接到網絡享受衝浪。

 公共WiFi的威脅

公共WiFi每年吸引數百萬用戶。根據一項調查,四分之三的人會在某個時間或地點使用公共WiFi,而且他們也不會多想。雖然免費衝浪聽起來很酷,但也有風險。由於公共WiFi是開放網絡,任何人都可以訪問它,因此存在多種威脅,甚至包括網絡罪犯。這裏列出了一些與公共WiFi相關的常見威脅,以警告用戶它可能有多不安全:

 ●黑客和掠奪者

公共WiFi和熱點是黑客和掠奪者最喜歡的聚集地。使用公共WiFi,您發送和接收的所有數據都可供任何人查看。這些數據可能包括您的個人信息和秘密信息,如电子郵件,社交媒體帳戶、密碼,銀行詳細信息和其他重要內容。黑客充當您和指定站點之間的中間人,並記錄您帳戶的基本詳細信息。這些細節可以在以後用於任何未經授權或非法的目的。

  設備劫持

黑客和其他網絡犯罪分子比你想象的要聰明。他們不僅關注您的在線活動,還會想方設法入侵你的設備。如果您設備的文件共享選項已打開,您最有可能收到各種系統升級文件運行。當您使用公共WiFi時,這些文件通常都是惡意軟件; 一種可以劫持你的設備,讓網絡罪犯訪問你保存在設備中的所有離線數據的病毒。

  惡意的網絡

當你在街上或公共場所,有各種公共WiFi接近你的設備。其中一些WiFi是用密碼保護的,而其他的是對所有人開放。開放的公共WiFi是一個真正的威脅,因為它可能是由一些圖謀不軌的人創建的。當你的設備連接到一個可疑的網絡時,黑客就會控制你的設備。他們不僅可以窺視你的設備,還可以將你的設備用於任何非法目的。你甚至不會收到通過設備進行活動的任何通知。

  Cookie盜竊

  Cookie盜竊是使用未加密站點的主要風險之一。沒有SSL連接的站點非常脆弱,任何人都可以輕鬆訪問這些站點的cookie。當你使用公共WiFi時,使用這些站點的風險會大大增加,因為它對數據盜竊沒有提供任何保護。

 間諜和窺探

使用公共WiFi,監視和跟蹤任何用戶的活動變得容易得多。有一些小的硬件設備稱為數據包嗅探器或數據包分析器,通常由服務提供者安裝來監視網絡上的流量。但是設置這些設備非常簡單,任何人都可以安裝這些設備,使間諜和偵探的任務變得更容易。從這些設備中獲得的數據揭示了您通過網絡進行的所有在線活動的統計數據,並可能使您處於危險之中。

 傳播病毒

公共WiFi通常是傳播病毒的媒介。有一種高級病毒,被稱為計算機蠕蟲,它可以在任何網絡上快速傳播。與需要特定程序才能運行的傳統計算機病毒不同,這些蠕蟲可以感染與受感染設備同一局域網內的任何設備。因為在公共WiFi上,很多人同時連接到同一網絡,所以你的設備很有可能成為受害者。

  保持公共WiFi安全的提示

在互聯網上保持安全並非易事,當您使用公共WiFi時,此任務變得更具挑戰性。免費WiFi有其自身的誘惑,在某些情況下,從中獲益是不可避免的。雖然公共WiFi永遠不會完全安全,但這裡有一些技巧可以幫助你降低在線狀態的脆弱性:

 只在需要時啟用WiFi

當你在公共場所時,請始終關閉設備WiFi,並僅在需要時啟用它。對於經常上網的人來說,這似乎是不必要的麻煩,但在公共場合,這是必須要做的事情。如果你的設備打開WiFi,它可以捕捉到周圍所有可用WiFi的信號,並自動連接到任何開放的公共WiFi。當WiFi一直處於活動狀態時,你的設備將面臨連接惡意網絡以及受到蠕蟲的風險。

  永遠不要連接未知的WiFi

密碼保護的公共WiFi比開放的公共WiFi更安全,更加適合選擇。當WiFi受到密碼保護時,它可以確保只有經過授權的人才能進入網絡,並降低黑客進入同一網絡的幾率。但是如果你真的需要連接到一個開放的公共WiFi,一定要和周圍相關的人確認WiFi的名稱。所有的流氓WiFi熱點通常使用與實際的商業WiFi名稱相似的名稱,如果你不小心,你很容易成為他們的獵物。

  安全瀏覽

在互聯網上瀏覽任何網站時,你都必須保持謹慎,因為這是一個充滿欺詐的世界。當你使用公共WiFi訪問未經授權的網站時,風險會成倍增加。所有經過授權並提供數據加密的站點都以HTTPS開頭。這些站點具有SSL連接,並在地址欄中標有鎖定標誌。沒有SSL連接的站點對通過其站點共享的數據不承擔任何責任,這無疑是一個風險因素,如果您的WiFi連接也不安全,這種威脅將會增加。

 分享信息時要保持警惕

當你使用公共WiFi時,你設備之間的所有數據交易都很容易被監聽。在使用公共WiFi時,要警惕你所共享的內容,不要通過開放網絡進行任何重要的交易。你的銀行信息和重要的商業文件可能因為你的疏忽而面臨風險。

此外,限制你在公共熱點的社交媒體上衝浪,因為這會為你的個人信息招來攻擊者。通過公共網絡登錄也為網絡罪犯訪問我們的帳戶細節和密碼提供了便利,使您的帳戶更容易受到黑客攻擊。為了安全起見,只有在需要時才登錄您的帳戶,並在任務完成后立即註銷。

  選擇VPN

VPN是最安全的上網方式,能夠提供最好的網絡安全。它是一個虛擬專用網絡,為您分配一個匿名代理,該代理通常位於與當前位置不同的位置。它可以讓你偽裝你的真實身份和地理位置,讓你遠離黑客和間諜。

VPN還為您所有的在線事務提供一個加密通道,並對其進行編碼,使得任何人都無法在從一端到另一端的交易過程中訪問任何信息。它消除了任何偷看和窺探的機會。

虛擬專用網還可以在你的設備和輸入流量之間建立一個屏障,防止惡意軟件和病毒進入。雖然這通常是一項付費服務,但它值得投資。

  確保你的設備

就像你的連接需要安全一樣,你的設備也需要安全防護罩。通過在設備上啟用防火牆來保護您的設備。它的彈出通知可能很煩人,但它的目的是保護你的設備免受基於數據的惡意軟件威脅。即使你想讓你的設備在大部分時間關閉防火牆,但至少在使用公共WiFi時要啟用它。

防病毒和防惡意軟件軟件是您設備安全的必備軟件。它可以保護您的設備免受入侵病毒的侵害,並在您的設備中存在任何可疑活動時向您發出警報。如果您經常在設備上使用公共WiFi,則投資更新版本的防病毒軟件變得更加重要。

  忘記網絡

當您連接任何公共WiFi時,請在離開時從設備中刪除WiFi和密碼。保存的WiFi通常會在再次與設備接觸時自動連接,而不會提醒您,這可能會對您的設備安全構成威脅。

  結論

公共WiFi無法完全避免。他們為你提供了一種工具,讓你在旅途中不花一分錢就能與世界建立聯繫。任何地方都可以提供免費服務。無論你是在外出差還是在國外度假,免費的公共WiFi都是一件好事。

公共WiFi存在許多威脅,尤其是沒有任何密碼保護的威脅,但您可以通過採取簡單的預防措施來保證自己的安全。這些安全提示可以保護您免受黑客的一般欺騙。但是,如果您經常使用公共WiFi,則必須投資付費VPN和可靠的防病毒軟件,以確保設備和在線交易的完全安全。

網站內容來源http://safe.it168.com/

【精選推薦文章】

自行創業 缺乏曝光? 下一步”網站設計“幫您第一時間規劃公司的門面形象

網頁設計一頭霧水??該從何著手呢? 找到專業技術的網頁設計公司,幫您輕鬆架站!

評比前十大台北網頁設計台北網站設計公司知名案例作品心得分享

台北網頁設計公司這麼多,該如何挑選?? 網頁設計報價省錢懶人包”嚨底家”

使用公共WiFi?您的數據很容易被黑客攻擊!

360發布Q1手機安全報告 揭露釣魚網站域名備案黑產

360發布Q1手機安全報告 揭露釣魚網站域名備案黑產

2019-05-31 08:56    原創  作者: 高博 編輯:
0購買

確認是“正規”備案域名,怎麼還是被騙了?360手機先賠接到用戶反饋,其在確認了某低價遊戲裝備售賣平台是正規企業備案后,在平台充值購買了商品,但後續客服卻要求繳納各式各樣的費用,用戶多次繳費仍未得到應有商品,最終發現被騙。

其實,這樣的案例不在少數,域名備案已經成為一些虛假網站常用的迷惑方式。360安全大腦、360互聯網安全中心近日發布的《2019年第一季度中國手機安全狀況報告》(以下簡稱“報告”),對釣魚網站域名備案灰色產業鏈條進行了揭露和分析。

釣魚網站也有域名備案 實為非法篡改或搶注

360安全大腦在對多個已備案釣魚網站進行域名溯源分析時發現,備案釣魚網站所使用的域名多曾經出現在域名售賣平台,且多為搶注域名。

備案域名售賣平台多通道搶注域名

  報告指出,原註冊備案過的域名,因到期后未續費而被域名註冊商進行售賣,由於未進行備案銷戶,備案信息仍與原域名綁定,所以此類域名被搶注並使用時,備案信息仍显示為原註冊備案信息。

這類由於備案域名售賣平台,往往設置了多條服務器線路進行域名監控搶注,更有甚者還提供“快速備案”即代備案服務,如共享備案與獨立備案。所謂共享備案,是將域名掛靠備案至已備案域名的機構或個人名下;而獨立備案需要企業對應獨立域名,不法分子將域名信息修改,再使用指定的營業執照進行備案,即可完成。這樣的操作給釣魚網站留下了空子。

 備案域名迷惑消費者 成網絡黑產搶手貨

域名備案是為了防止不法分子在網上從事非法的網站經營活動,由有關部門對網站進行備案。而對於釣魚網站等非法經營性網站來說,擁有了備案過的域名,就相當於擁有了矇混過關的一道“屏障”,既可以迷惑消費者,又可以通過安全軟件的初步審核。

這也讓備案域名成為了網絡黑產搶手的“快消品”。比如,博彩類網站通過企業備案信息假冒棋牌類遊戲,通過金融類備案域名冒充銀行及金融平台,通過某科技有限公司備案域名冒充網游交易平台,通過企業備案域名開展各類虛假紅包、遊戲活動等等。

某虛假網游交易平台詐騙事發時,域名曾用備案主體為山西某商貿公司

  360安全大腦監測發現,由於互聯網的延伸性,商品的購買渠道多種多樣,在電商平台、搜索引擎、社交平台等多個渠道都發現了售賣備案域名的蹤影,備案域名售賣渠道逐漸呈現多樣化趨勢。

各渠道出售的備案域名品類也十分多樣化,涵蓋個人備案、企業備案、社會團體備案、政府機關備案、事業單位備案等多種品類,甚至包括醫院門診部、衛生局、教育局、司法廳等等。釣魚網站通過非法途徑獲得了這些類型的域名備案,用戶就更加防不勝防了。

  360安全大腦詳解鑒別辦法

隨着安全攻防技術的升級,黑灰產業產出了綠標域名、防紅域名、二級防封域名用於對抗安全軟件攔截,如將已被安全軟件攔截的域名生成企業備案的短鏈網址、只使用二級域名或搶注某些事前已被安全軟件收錄並標記為安全的域名。

但360安全大腦提醒,安全廠商可根據whios信息的續注時間與首次註冊時間判斷域名是否屬於搶注域名,如正常過期刪除域名,此類域名註冊時間在搶注成功后重新計算。對於普通消費者而言,可結合網站內容、備案信息、備案企業經營範圍進行判斷,如果信息不匹配,則可判斷有虛假網站嫌疑。

報告中以一個冒充中國工商銀行的網站為例,該釣魚網站界面雖與中國工商銀行頁面類似,但查詢備案信息卻發現是某市門診部,明顯屬於網站內容與備案信息不匹配,即可判斷出此網站屬於虛假網站。

《2019年第一季度中國手機安全狀況報告》中指出,2019年第一季度,360互聯網安全中心在PC端與移動端共為全國用戶攔截釣魚網站攻擊約73.6億次,攔截各類新增釣魚網站502.1萬個,同比去年同期下降了62.3%。從新增數量上來看,釣魚網站增長趨勢趨於平緩,但仍不可小覷,需要用戶注意。

網站內容來源http://safe.it168.com/

【精選推薦文章】

智慧手機時代的來臨,RWD網頁設計已成為網頁設計推薦首選

想知道網站建置、網站改版該如何進行嗎?將由專業工程師為您規劃客製化網頁設計及後台網頁設計

帶您來看台北網站建置台北網頁設計,各種案例分享

廣告預算用在刀口上,網站設計公司幫您達到更多曝光效益

360發布Q1手機安全報告 揭露釣魚網站域名備案黑產

如何有效應對無文件攻擊?

如何有效應對無文件攻擊?

2019-05-31 14:53    原創  作者: 高博 編輯:
0購買

近年來,一種被稱為無文件攻擊的滲透形式與日俱增,逐漸引起人們重視。這類攻擊從2016年初的3%上升到了2018年11月的13%, 並且還在持續增長,知名安全公司Carbon Black對超過1000名用戶(擁有超過250萬個包括服務器和PC在內的主機)進行分析后發現,幾乎每個組織都遭到了無文件攻擊。平均每3個感染中就有1個是無文件攻擊造成的。早在2017年4月,黑客通過新型惡意軟件 “ATMitch”,以“無文件攻擊”方式,一夜劫持俄羅斯8台ATM機,竊走80萬美元。在今年年初,全球40個國家的140多家包括銀行、電信和政府機構等組織遭到 “ATMitch”無文件攻擊,感染機構遍布美國、法國、厄瓜多爾、肯尼亞、英國和俄羅斯等國家。在全球經濟和網絡一體化的時代,中國用戶同樣不能倖免。據悉,國內54%的公司經歷過1次或多次破壞了數據或基礎設施的成功攻擊,其中77%的攻擊利用了漏洞或無文件攻擊。

 無文件攻擊並非沒有文件

以無文件攻擊中最常見的一類(無文件挖礦攻擊)舉例:如果用戶在點開文檔之後,電腦瞬間被卡,反應速度緩慢,不能工作。關機重啟之後,電腦卻照樣沒反應,散熱風扇山響,CPU資源佔用了100%……殺毒軟件查不到任何異常……一旦出現以上情況,用戶電腦十有八九是遭到無文件挖礦攻擊。

無文件挖礦攻擊並非沒有文件基礎,只是因為在此類攻擊中,系統變得相對乾淨,傳統的防毒產品識別不出,更談不上及時通知技術人員進行防禦了,這就造成了這種攻擊好像沒有文件基礎的假象。這種無文件惡意攻擊主要是靠網絡的方法,在內存里存上一串惡意代碼,沒有落地文件,這樣一來,殺毒軟件就很難發現其蹤跡了。

  對付無文件攻擊,傳統安全手段失靈

任何惡意代碼,只要重啟電腦,內存就清除。可是重啟對無文件攻擊沒有作用。無文件攻擊通常採用powershell.exe,cscript.exe,cmd.exe和mshta.exe運行遠程腳本,該腳本不落地到本機內,同時將該任務設置為計劃任務或者開機啟動,重啟無效。這些程序都是系統的合法程序,殺毒軟件自然無可奈何。無文件攻擊在成功潛入內存並安定下來后,便可以為所欲為,或進行挖礦、加密文件進行勒索、連接遠程C&C下載更多病毒文件等。一切操作都是披着合法外衣悄悄進行,不僅獲得了權限,是合法的,而且也不大,所以幾乎不會被殺毒軟件發現。

  無文件攻擊的傳播迅猛

無文件攻擊的傳播極快。以今年4月,傑思安全的某重要用戶網內大面積爆發無文件挖礦攻擊為例。這次攻擊的所有模塊功能均加載到內存中執行,沒有本地落地文件,攻擊內置兩種橫向傳染機制,分別為Mimikatz+WMIExec自動化爆破和MS17-010“永恆之藍”漏洞攻擊,堪稱火力全開,極易在內網迅猛擴散。從下圖,我們可以感受無文件無文件攻擊是有多麼兇猛。

攻擊順序如下:

1.首先,挖礦模塊啟動,持續進行挖礦。

2.其次,Minikatz模塊對目的主機進行SMB爆破,獲取NTLMv2數據。

3.然後,WMIExec使用NTLMv2繞過哈希認證,進行遠程執行操作,攻擊成功則執行shellcode使病原體再複製一份到目的主機並使之運行起來,流程結束。

對付無文件攻擊,主機防護是關鍵

截止4月25日,傑思獵鷹主機安全響應系統在該用戶已部署安全探針的1426台主機上,共阻止端口掃描行為24813次,發現端口掃描攻擊源IP共36個;共阻止暴力破解行為2021585次,發現暴力破解源IP共28個。有圖為證:

  (為了保護用戶安全,打碼處理)

  不得不說,該用戶的內網主機經歷了一場有驚無險的圍攻,最終化險為夷,安然無恙。該用戶的員工在使用中並沒有太多異樣感覺,殊不知他們在正常工作的時候,傑思獵鷹主機安全響應系統一直在默默地保駕護航。

網站內容來源http://safe.it168.com/

【精選推薦文章】

自行創業 缺乏曝光? 下一步”網站設計“幫您第一時間規劃公司的門面形象

網頁設計一頭霧水??該從何著手呢? 找到專業技術的網頁設計公司,幫您輕鬆架站!

評比前十大台北網頁設計台北網站設計公司知名案例作品心得分享

台北網頁設計公司這麼多,該如何挑選?? 網頁設計報價省錢懶人包”嚨底家”

如何有效應對無文件攻擊?

關於網絡安全防禦,每个中小企業應該知道的5件事

關於網絡安全防禦,每个中小企業應該知道的5件事

2019-05-31 16:24    原創  作者: 高博編譯 編輯:
0購買

根據美國商業促進局(BBB)的數據显示,你可能會驚訝地發現,小型企業佔北美所有企業的97%以上。根據這個統計数字,我認為好消息是,在所有網絡攻擊中,針對小企業的攻擊不到一半。壞消息是,當中小企業受到攻擊時,大多數企業將無法生存,但事實可能並非如此。接下來讓我們一起來看一下,關於網絡安全防禦,中小企業的高管們都應該知道哪些事。

1. 中小企業是有吸引力的目標:根據SCORE的數據显示,有43%的網絡攻擊是針對小企業的,而2018年Verizon數據泄露調查報告發現,58%的小企業遭遇過網絡攻擊,成功率很高。除了可以直接從中小企業竊取信息外,黑客還可以將中小企業作為更大規模攻擊的啟動平台,並滲透到更大的組織中。他們持續發動攻擊,企圖獲得最大的回報,這意味着中小企業將繼續留在他們的視野之內。

2. 攻擊的影響可能是毀滅性的:根據活動的性質和範圍,對這些企業來說,從網絡攻擊中恢復過來可能是困難的,而且代價高昂,甚至是不可能的。中小型企業擁有多個分支或業務部門的可能性較小,而且它們的核心繫統通常相互聯繫更加緊密。當這些組織遭遇網絡攻擊時,威脅可以快速且容易地從網絡傳播到其他系統,造成毀滅性的影響。BBB詢問北美的小企業高管:“如果您永久失去對基本數據的訪問權限,您的企業能持續盈利多久?”只有約三分之一的企業表示,它們的盈利能力能夠維持3個月以上。超過一半的企業表示,它們將在不到一個月的時間里無利可圖。

3.在思科對26個國家1816家中小企業的調查中,我們發現中小企業最關心的是這些網絡威脅:

•針對員工的針對性攻擊——想想精心策劃的網絡釣魚活動

•高級持續威脅——世界上從未見過的高級惡意軟件

•勒索軟件——這可能尤其有害,因為中小企業更傾向於支付贖金,因為它們根本負擔不起停機時間和無法訪問關鍵數據所帶來的損失。

4.不要忘記這些其他的威脅:儘管人們對勒索軟件感到擔憂,但隨着越來越多的對手將注意力轉向加密——竊取計算能力,以開採加密貨幣並創造收入,這種威脅正在減弱。當加密軟件進入一個環境時,它會降低系統性能,具有監管方面的影響,並表明SMB更容易受到其他類型的威脅。

此外內部威脅也在上升,沒有任何組織能倖免。但這並不意味着每家公司都有員工惡意地將公司置於風險之下。粗心大意的員工或承包商通常是根本原因。

5、這些建議可以幫助加強防禦。有許多方法——跨越人員、流程和工具,來推動網絡安全方面的改進。以下是一些建議:

•正確看待外包和雲:與規模更大的企業一樣,中小企業也面臨網絡安全人才短缺的問題,因此許多企業希望通過外包和雲計算來幫助加強防禦。兩者都是幫助企業充分利用有限資源的有效手段。然而,如果企業認為外包供應商或雲合作夥伴可以提供它們內部缺乏的所有功能,那麼它們可能會遇到麻煩。中小企業應該了解,外包安全提供商提供的分析和監視服務的範圍,以及雲提供商提供的安全控制的類型和影響。

•加強安全流程:對安全實踐的全面審查有助於組織確定其防禦中的弱點。這些流程在中小型企業中並不常見,可能是由於缺乏人員配備,但最終它們可以在很大程度上減輕員工的負擔。通過回顧安全實踐,中小企業可能發現他們需要加強或添加以下內容:一致的訪問權限管理和職責隔離、網絡分段、密碼管理、備份關鍵數據並確認這些備份不會受到損害,以及正在進行的員工安全意識培訓。

•尋找集成的工具:中小企業考慮使用新工具時,要避免增加要管理的供應商數量。選擇一個開放平台,在共享數據和威脅情報方面簡化與工具的集成,而不是與單個產品進行鬥爭,每個產品都生成自己的一組警報,使識別那些構成最大風險的威脅變得困難。這樣的平台還可以提供自動化功能,從不同的安全產品中提取數據,並將它們聚合到一個易於閱讀的窗格中,從而節省大量的時間和挫折,同時提供更好的可視性和控制。

即使中小企業沒有資源進行全面的安全性評估和全面檢查,但增量更改也比沒有好。同樣重要的是要記住,隨着威脅形式和攻擊面的不斷演變,安全措施措施必須在此基礎上不斷進行審查和修訂。

網站內容來源http://safe.it168.com/

【精選推薦文章】

智慧手機時代的來臨,RWD網頁設計已成為網頁設計推薦首選

想知道網站建置網站改版該如何進行嗎?將由專業工程師為您規劃客製化網頁設計後台網頁設計

帶您來看台北網站建置套版網頁設計台北網站改版設計台北RWD響應式網頁設計,各種案例分享

廣告預算用在刀口上,網站設計公司幫您達到更多曝光效益

關於網絡安全防禦,每个中小企業應該知道的5件事

密碼設置需避開哪些雷區?

密碼設置需避開哪些雷區?

2019-06-04 10:53    原創  作者: Olli Jarva 編輯:
0購買

當今互聯網給人們的生活帶來便利的同時,也讓網絡安全、信息安全成為當下熱議的話題。比如,數據泄露問題或者密碼泄露問題都給大眾帶來了極大的擔憂。就密碼管理而言,如今許多公司都會制定密碼管理策略,但是在制定密碼管理策略時,會有哪些常見的問題也需要引起高度關注。

雖然現在身份驗證技術已經更加成熟,但是密碼仍然是保護我們最敏感信息的主要途徑。密碼是防禦潛在入侵者試圖模仿另一個用戶的第一道防線,但這樣的防護往往比較弱。用戶通常想創建易於記憶的密碼,使用出生日期或紀念日,甚至寫下來。開發人員則想盡可能少地投入密碼管理策略中。畢竟,研發新功能比密碼管理和存儲更令人興奮、更有趣。

許多密碼本身安全性非常弱,很容易猜得到,攻擊者就會有機可乘。最糟糕的是,我們信任的密碼存儲系統和其它關鍵信息的系統也面臨着許多安全挑戰。黑客會反覆嘗試密碼數據庫進行盜竊,攻擊者同夥經常會破壞那些保護數據的模式。

我們探討一下公司在密碼管理策略方面做出的一些常見錯誤。讓在下面的討論中,我們將提到“在線攻擊”和“離線攻擊”。在線攻擊是對應用程序登錄頁面的攻擊,攻擊者試圖猜測用戶的密碼;離線攻擊是攻擊者獲取密碼數據庫副本,並嘗試計算存儲在其中的用戶密碼的攻擊。

  您已限制用戶可以使用的字符數量或種類

 推理:安全人員反覆告訴開發人員驗證所有輸入以防止各種攻擊(例如,注入攻擊)。因此,根據某些規則來制定驗證密碼的規則必然是一個好主意,對吧?

攻擊:限制密碼中字符數量或種類的問題是減少了可能的密碼總數。這使得在線和離線攻擊更容易。如果我知道只允許在密碼中使用特殊字符!和@,那也就是我知道用戶密碼都沒有包含#,$,%,<和>等字符。此外,如果我知道只允許長度為8到12個字符的密碼,我也就知道所有用戶都沒有使用13個字符或更長的密碼。如果我想猜測用戶的密碼,這些規則可以讓我的工作變得更輕鬆。

但是SQL注入、跨站點腳本,命令注入和其它形式的注入攻擊呢?如果遵循密碼存儲最佳做法,您將在收到密碼后立即計算密碼的哈希值。然後,您將只處理哈希密碼,不必擔心注入攻擊。

  防禦:允許用戶選擇包含任意字符的密碼。指定最小密碼長度為8個字符,但在可行的情況下允許任意長度的密碼(例如,將它們限製為256個字符)。

  您在使用密碼組合規則

  推理:大多數用戶選擇容易猜到的密碼。我們可以通過讓用戶選擇包含幾種不同類型字符的密碼,以強制用戶選擇難以猜測的密碼。

  攻擊:安全專業人員曾經認為,讓用戶選擇包含各種字符類型的密碼會增強密碼的安全性。不幸的是,研究表明這通常沒有幫助。 “Password1!”和“P @ ssw0rd”可能遵循了許多密碼組合規則,但這些密碼並不比“password”更強。密碼組合規則只會讓用戶難以記住密碼;它們不會讓攻擊者的工作變得更加困難。

 防禦:擺脫密碼組成規則。在應用程序中添加密碼複雜性檢查功能,告訴用戶他們的密碼選擇是否明顯強度偏弱。但是,不要強制用戶在其密碼中添加数字、特殊字符等。稍後,我們將討論如何使應用程序更安全,以防止安全性弱的用戶密碼。

  您沒有安全地存儲密碼

  推理:加密哈希函數是單向函數。因此,存儲哈希密碼應該可以防止攻擊者計算出它們。

  攻擊:與前面討論過的兩個問題不同,這個問題通常只與離線攻擊有關。許多企業和組織的密碼數據庫都被盜了。當掌握了被盜密碼庫和強大的計算能力,攻擊者通常可以計算出許多用戶的密碼。

存儲密碼的常用方法是使用加密哈希函數,對密碼進行哈希處理。如果最終用戶選擇完全隨機的20+字符密碼,這種方法將是完美的。例如密碼設成:/K`x}x4%(_.C5S^7gMw)。不幸的是,人們很難記住這些密碼。如果簡單地對密碼進行哈希處理,則使用彩虹表攻擊就很容易猜到用戶選擇的典型密碼。

阻止彩虹表攻擊通常需要在對每個密碼進行散列之前添加隨機“鹽”。“鹽”可以與密碼一起存儲在清除中。不幸的是,加鹽的哈希並沒有多大幫助。 GPU非常擅長快速計算加鹽哈希值。能夠訪問大量加鹽哈希和GPU的攻擊者將能夠使用暴力破解和字典攻擊等攻擊合理且快速地猜測到密碼。

有太多不安全的密碼存儲機制,值得專門寫篇文章去探討。不過,我們先來看看您應該如何存儲密碼。

防禦:有兩種主要機制可以防止攻擊者:一種是使哈希計算更加昂貴,另一種是向哈希添加一些不可估測的東西。

為了使哈希計算更加昂貴,請使用自適應哈希函數或單向密鑰派生函數,而不是密碼哈希函數來進行密碼存儲。加密哈希函數的一個特性是它們可以被計算出來;這個屬性導致它們不適合用於密碼存儲。攻擊者可以簡單地猜測密碼並快速散列以查看生成的哈希值是否與密碼數據庫中的任何內容匹配。

另一方面,自適應哈希函數和單向密鑰導出函數具有可配置的參數,這些參數可用於使哈希計算更加資源密集。如果使用得當,它們可以有助於充分減緩離線攻擊,以確保您有時間對正在受到攻擊的密碼數據庫做出反應。

這種方法的問題在於,每次要對用戶進行身份驗證時,都必須自己計算這些哈希值。這會給服務器帶來額外負擔,並可能使應用程序更容易受到DoS(拒絕服務)攻擊。

或者,您可以添加一些不可猜測的密碼哈希值。例如,如果要生成一個長隨機密鑰,將其添加到密碼哈希值以及唯一的隨機鹽,並且穩妥地保護密鑰,那麼被盜密碼數據庫對攻擊者來說將毫無用處。攻擊者需要竊取密碼數據庫以及能夠使用離線攻擊計算出用戶密碼的密鑰。當然,這也產生了一個需要解決的非常重要的密鑰管理問題。

  您完全依賴密碼

  推理:密碼必須是驗證用戶身份的好方法。其他人都在使用它們!

  攻擊:即使用戶執行上述所有操作,以使在線和離線攻擊更加困難,也無法阻止其它應用程序/網站執行不恰當的操作。用戶經常在許多站點上重複使用相同的密碼。攻擊者經常會在某平台嘗試從其它平台盜取密碼。

此外,用戶成為網絡釣魚攻擊的受害者,因為一些用戶無論密碼要求如何都會選擇安全性弱的密碼,等等。

  防禦:要求用戶使用多因素身份驗證登錄。請記住多因素身份驗證的含義:使用至少兩種不同因素進行身份驗證(典型因素是您知道的事情、擁有的物品、以及生物識別等等)。使用兩種不同的密碼(例如,密碼+安全問題的答案)不是多因素身份驗證。同時使用密碼和動態口令屬於多因素驗證的一種。此外,請記住,某些多因素身份驗證機制比其它多因素身份驗證機制更安全(例如,加密設備比基於SMS的一次性密碼更安全)。無論如何,使用某種形式的多因素身份驗證總是比僅依靠密碼更安全。

如果必須僅使用密碼進行身份驗證,用戶則還必須採取某種類型的設備身份驗證。這可能涉及設備/瀏覽器指紋識別,檢測用戶是否從不尋常的IP地址登錄,或類似的方式。

 結論

如您所見,處理用戶密碼時需要考慮很多事項。我們還沒有談到密碼輪換策略、帳戶鎖定、帳戶恢復、速率限制,防止反向暴力攻擊等等。

有一個很重要的問題需要考慮:您是否可以將用戶身份驗證轉給其他人?如果你是一家金融機構,答案可能是否定的;如果您要把最新的貓咪寵物視頻給別人看,在此之前需要驗證,那這種情況下答案應該是可以的;如果您正在開發面向企業員工內部使用的應用程序,請考慮基於SAML的身份驗證或LDAP集成;如果您正在開發面向公眾的應用程序,請考慮使用社交登錄(即使用Google,Facebook等登錄)。許多社交網站已經投入大量精力來保護其身份驗證機制,併為用戶提供各種身份驗證選項。您不需要全盤重來。

在不必要的情況下實施用戶身份驗證會給企業和用戶都帶來麻煩,甚至有潛在危險。創建安全的用戶驗證機制困難且耗時。可您是真的想要處理被盜用的密碼數據庫,還是攻擊者在身份驗證機制中發現漏洞?而且用戶有更重要的事情要做,而不是記住另一個密碼!

網站內容來源http://safe.it168.com/

【精選推薦文章】

自行創業 缺乏曝光? 下一步”網站設計“幫您第一時間規劃公司的門面形象

網頁設計一頭霧水??該從何著手呢? 找到專業技術的網頁設計公司,幫您輕鬆架站!

評比前十大台北網頁設計台北網站設計公司知名案例作品心得分享

台北網頁設計公司這麼多,該如何挑選?? 網頁設計報價省錢懶人包”嚨底家”

密碼設置需避開哪些雷區?

梆梆安全:做以結果為導向的安全服務商

梆梆安全:做以結果為導向的安全服務商

2019-05-24 15:56    原創  作者: 李雪薇 編輯:
0購買

【IT168評論】作為國內領先的安全服務提供商,梆梆安全不談概念,始終從基本出發,致力於解決客戶的根本性問題。通過運用領先技術提供專業可靠的服務,為全球政府、企業、開發者和消費者打造安全、穩固、可信的安全生態環境,其用戶遍及金融、政府、企業、運營商等各大行業,覆蓋亞洲、歐洲及北美等市場。

憑藉在移動應用安全領域多年的技術耕耘和積累,梆梆安全已然是當之無愧的龍頭企業。從最早的工具化技術服務到如今的整體移動安全平台化服務,包括移動安全服務平台、移動威脅感知平台、移動應用測評平台等綜合性安全產品,梆梆安全為用戶提供了全方位的移動安全保障。

  ▲梆梆安全首席安全官付傑

  現如今,梆梆安全不再只專註於移動應用安全單一領域,而是找准程序安全這根主線,向程序安全廠商轉型。付傑表示,“梆梆安全是技術人員出身,我們明白什麼是最根本最有價值的問題。市場給予我們很多信心,讓我們備受鼓舞。未來三年,我們會堅持這條路線不變,然後做橫向和縱向的拓展。”

 八年見證梆梆安全的成長

回顧梆梆安全八年的技術路線,大體處於波動式上升、漸進式增長的趨勢。從2010年到2012年,梆梆安全經歷了一段迷茫。從2012到2015年,梆梆安全用了三年的時間,來專註App保護。付傑指出,“在前五年,梆梆安全主要做最基礎的安全產品,身上真正的信息安全屬性並不是很強。”

從2016年到2017年,梆梆安全更加關注PPDR體系下的程序安全,以及更加寬泛的程序安全,包含移動、雲、物聯網、AI等。2018年是梆梆安全歷史上不平凡的一年,公司通過明確的市場定位,從App安全廠商開始向程序安全廠商轉型。

付傑表示,“梆梆安全轉型主要體現在兩個方面,在程序保護對象方面,從App變成一個泛程序對象。在安全保護技術方面,從單點的加固混淆加密技術到基於PPDR安全架構的全方位解決方案,包含預測、保護、檢測、響應安全能力。”

2019年到未來三年,梆梆安全將要構建泛程序安全技術體系,打造可信的程序,為萬物互聯的時代構建信息基石。這意味着,未來梆梆安全將會圍繞程序安全為用戶在技術層面上提供泛程序安全的產品和方案,在服務層面上提供泛安全服務,真正成為可以託付信賴的安全服務供應商。

  ▲用計算機科學的基礎技術來解決信息安全問題

  付傑認為,“安全行業不是一個獨立存在,是生長在基礎計算機科學技術上的一個分支,編譯器、SCA、操作系統、芯片體系架構上的技術,都應該被信息安全行業所用。”

堅持做一家特立獨行的安全公司

梆梆安全讓程序更加安全、更加可信,讓程序員開發的軟件代碼,成為業務發展可以信賴依靠的基礎設施。付傑表示,“我們很像一個安全行業的苦行僧,做基礎工作很苦,也很難獲得商業價值,但我們始終堅持最基礎的目標:代碼安全可信、執行過程可信、執行環境可信。”

安全需要更加系統性、以結果為導向、關注投入產出比。一個層面的產品或技術,不會解決等保2.0的合規。程序安全是基石,但是客戶想要的是以問題及結果為導向:大型客戶期望更加體系化的安全方案,高数字資產中小客戶期望一站式解決某個專項問題。

安全更加要求系統性,安全問題從來不會獨立存在,總是依附於實體(組織架構和業務),以企業SDLC安全為例,實施一個SDLC安全需要:組織架構上設立獨立的安全部門、制定安全基線及審核標準、建立SDLC安全開發制度流程、培訓員工相關知識與意識、支撐SDLC過程安全的一系列安全工具等。

安全更加註重問題導向,客戶和供應商的對話內容正在變成:“我要你解決這個問題”,而不是“我要買一個什麼”。客戶希望供應商為某個結果負責,而不是僅僅在過程中提供幫助。作為一家信息安全公司,梆梆安全認為,客戶是否從我們這裏獲得“安全感”,是對於我們產品服務的更高要求。

安全更加註重效能,客戶更加註重控制手段投入和風險損失的衡量,對於任何安全項目的實施,耗費的不僅僅是客戶的金錢,還有人力、時間及機會。每個信息安全企業都應該把投入產品比最大化作為服務客戶的重要價值取向,提供適合客戶的安全服務。在程序安全領域,客戶需要能夠提供更大範疇可信服務的供應商。

  ▲支撐可信安全服務的產品技術體系

  為了應對這種需求變革,梆梆安全開始從產品技術供應商轉型為安全服務供應商。“我們雖然還沒有成年,但應該像成年人一樣,為客戶的結果負責。這就要求我們提供的東西不僅是簡單的產品和技術,應該是以結果為導向的整個服務解決方案,包含產品、技術、服務、知識庫,甚至駐場人員的一個完整的體系。”

記者了解到,目前梆梆安全的安全服務主要有三個方向,一個是軟件安全服務,裡面包含了諮詢、評估、滲透、培訓等軟件生命周期的安全體系。第二個是隱私合規安全服務,其中涉及諮詢、服務、產品、整改,還有法務等方面的工作。第三個是等保合規安全服務。

除此之外,付傑還說道,“我們還拓展了很多新的服務,特別是數據安全服務、數據安全治理服務。我們依託的是對核心技術的理解、核心產品,以及外部有益的補充,最終負責客戶某一層面的問題。六個月後,我們會成立獨立的安全諮詢公司,然後完成徹底的去移動化,最終成為全球安全服務的領跑者。”

,
網站內容來源http://safe.it168.com/

【精選推薦文章】

智慧手機時代的來臨,RWD網頁設計已成為網頁設計推薦首選

想知道網站建置網站改版該如何進行嗎?將由專業工程師為您規劃客製化網頁設計後台網頁設計

帶您來看台北網站建置套版網頁設計台北網站改版設計台北RWD響應式網頁設計,各種案例分享

廣告預算用在刀口上,網站設計公司幫您達到更多曝光效益

梆梆安全:做以結果為導向的安全服務商

針對新型進程注入技術Ctrl-Inject原理分析

網站內容來源http://server.it168.com/

針對新型進程注入技術Ctrl-Inject原理分析

2018-05-15 09:45    來源:安全客  作者: Rotem Kerner 編輯:
0購買

  概述

在本文中,我們將主要介紹一種新型的進程注入方法,我們稱之為“Ctrl-Inject”,它利用控制台應用程序中處理Ctrl信號的機制實現注入。在研究的過程中,我們在瀏覽MSDN時發現有一條關於Ctrl信號處理的相關評論:“這是一個與SetConsoleCtrlHandler函數( https://docs.microsoft.com/en-us/windows/console/setconsolectrlhandler )一起使用的函數,由應用程序定義。控制台進程使用此函數來處理進程收到的控制信號。當收到信號后,系統會在進程中啟動一個新的線程來執行該函數。”這也就意味着,每次我們觸發一個信號到一個基於控制台的進程時,系統都會調用一個在新線程中調用的處理函數。正因如此,我們可以藉助這一特點,來實現一個不同於以往的進程注入。

  控制信號處理

當用戶或進程向基於控制台的進程(例如cmd.exe或powershell.exe)發送Ctrl + C(或Break)信號時,系統進程csrss.exe將會在目標進程中創建一個新的線程來調用函數CtrlRoutine。CtrlRoutine函數負責包裝使用SetConsoleCtrlHandler的處理程序。接下來,我們深入研究一下CtrlRoutine,首先注意到了下面這段代碼:

該函數使用名為HandlerList的全局變量來存儲回調函數列表,在該函數中會循環執行,直到其中一個處理程序返回TRUE(通知該信號已被處理)為止。為了使處理程序成功執行,它必須滿足以下條件:1、函數指針必須正確編碼。處理程序列表中的每個指針都使用RtlEncodePointer進行編碼,並在執行之前使用RtlDecodePointer API進行解碼。因此,未經編碼的指針很有可能會導致程序崩潰。2、指向有效的CFG(Control Flow Guard,控制流防護)目標。CFG通過驗證間接調用的目標是否為有效函數,來嘗試對間接調用進行保護。我們來看一下SetConsoleCtrlHandle,看看它如何設置一個Ctrl處理程序,以便我們以後可以模仿其方式。在下圖中,我們可以看到各個指針在添加到HandlerList之前是如何編碼的。

接下來,我們看到了一個名為SetCtrlHandler的內部函數調用。該函數更新了兩個變量:一個是HandlerList,用於添加一個新的指針;另一個全局變量是HandlerListLength,增加了它的長度以適應新的列表大小。

現在,由於HandlerList和HandlerListLength變量駐留在kernelbase.dll模塊中,並且該模塊會映射到所有進程的相同地址,所以我們可以在進程中找到它們的地址,然後使用WriteProcessMemory在遠程進程中更新它們的值。我們的工作還沒有完成,考慮到CFG和指針編碼的存在,我們需要找到一種方法來繞過它們。

  繞過指針編碼

在Windows 10之前的版本中,我們需要理解指針編碼、解碼的工作原理,從而應對指針編碼保護。接下來,我們一起深入了解一下EncodePointer的工作原理。

開始,存在一個對NtQueryInformationProcess的調用,其定義如下:

NTSTATUS WINAPI NtQueryInformationProcess(

_In_HANDLE ProcessHandle,

_In_PROCESSINFOCLASS ProcessInformationClass,

_Out_ PVOIDProcessInformation,

_In_ULONGProcessInformationLength,

_Out_opt_ PULONG ReturnLength

);

根據上述定義,我們可以做出以下假設:1、ProcessHandle:當傳遞-1的值時,它代表引用調用進程的函數。2、ProcessInformationClass:該參數的值為0x24,這是一個未公開的值,要求內核檢索進程加密Cookie。Cookie本身駐留在EPROCESS結構中。在檢索加密Cookie后,我們可以看到幾個涉及輸入指針和加密Cookie的操作。具體為:

EncodedPointer = (OriginalPointer ^ SecretCookie) >> (SecretCookie & 0x1F)

一種繞過的方法,是使用CreateRemoteThread執行RtlEncodePointer,並將NULL作為參數傳遞給它,如下所示:1) EncodedPointer = (0 ^ SecretCookie) >> (SecretCookie & 0x1F)2) EncodedPointer = SecretCookie >> (SecretCookie & 0x1F)這樣一來,返回值將被Cookie旋轉的值增加到31倍(在64位Windows 10環境上該值為63,即0x3f)。如果我們在目標進程上使用已知的編碼地址,就能夠暴力猜測出原始Cookie值。以下代碼展示了如何對Cookie進行暴力猜測:

在Windows 10及以上版本中,微軟非常慷慨地為我們提供了一組新的API,稱為RtlEncodeRemotePointer和RtlDecodeRemotePointer。顧名思義,我們傳遞一個進程句柄和一個指針,該API將會為目標進程返回一個有效的編碼后指針。此外,還有另一種提取Cookie的技術,請參考: https://github.com/changeofpace/Remote-Process-Cookie-for-Windows-7/blob/master/Remote%20Process%20Cookie%20for%20Windows%207/main.cpp 。

  繞過CFG

到目前為止,我們已經將我們的代碼注入到目標進程,並修改了HandlerList和HandlerListLength的值。如果我們現在嘗試發送Ctrl+C信號來觸發代碼,該進程會引發異常,最終自行終止。其原因在於,CFG會注意到我們正在嘗試跳轉到一個非有效調用目標的指針。幸運的是,微軟對我們一直非常友善,他們發布了另外一個有用的API,名為SetProcessValidCallTargets。

WINAPI SetProcessValidCallTargets(

_In_HANDLEhProcess,

_In_PVOID VirtualAddress,

_In_SIZE_TRegionSize,

_In_ULONG NumberOfOffsets,

_Inout_ PCFG_CALL_TARGET_INFO OffsetInformation

);

簡而言之,我們傳遞進程句柄和指針后,該API會將其設置為有效的調用目標。此外,如果使用我們此前介紹過的( https://blog.ensilo.com/documenting-the-undocumented-adding-cfg-exceptions )未記錄的API也可以實現這一點。

  觸發Ctrl+C事件

現在一切準備就緒,我們需要做的就是在目標進程上觸發Ctrl + C,以調用我們的代碼。有幾種方法可以觸發它。在這種情況下,我們可以使用SendInput的組合,來觸發系統範圍的Ctrl鍵按鍵,以及用於發送C鍵的PostMessage。同樣,也適用於隱藏或不可見的控制台窗口。以下是觸發Ctrl-C信號的函數:

  揭秘底層

從實質上來說,在這個進程注入技術中,我們將代碼注入到目標進程中,但是我們從不直接調用它。也就是說,我們從來沒有自己調用CreateRemoteThread或使用SetThreadContext改變執行流。相反,我們正在讓csrss.exe為我們調用它,這樣一來就顯得是一個正常的行為,不會被懷疑。其原因在於,每次將Ctrl + C信號發送到基於控制台的應用程序時,conhost.exe會調用類似於調用堆棧的內容,如下所示:

其中,CsrClientCallServer會傳遞一個唯一索引標識符(0x30401),然後將其傳遞給csrss.exe服務。在其中,會從調度表中調用一個名為SrvEndTask的函數。調用鏈具體如下:

在這個調用鏈的最後,我們看到了RtlCreateUserThread,它負責在目標進程上執行我們的線程。注意:儘管Ctrl-Inject技術僅針對於控制台應用程序,但也可能會在很多控制台應用程序上被濫用,最值得注意的就是cmd.exe。

  總結

現在,我們已經了解了這個新型的進程注入方法,掌握了該方法的工作原理以及其背後到底發生了什麼。在最後,我們可以總結一下Ctrl-Inject技術。這種技術與傳統線程注入技術相比,主要優點是遠程線程是由可信的Windows進程csrss.exe創建,這使得它得隱蔽性更強。但同樣存在缺點,就是這種方法僅適用於控制台應用程序。

要進行這種進程注入技術,所需的步驟如下:1、將OpenProcess附加到控制台進程。2、通過調用VirtualAllocEx,為惡意負載分配一個新的緩衝區。3、使用WriteProcessMemory將數據寫入分配的緩衝區。4、使用目標進程cookie將指針指向指定的緩衝區。通過調用帶有空指針的RtlEncodePointer並手動編碼指針或通過調用RtlEncodeRemotePointer來實現。5、通知遠程進程,新指針是可以使用SetProcessValidCallTargets的有效指針。6、最後,使用PostMessage和SendInput的組合觸發Ctrl + C信號。7、恢復原始處理程序列表。

,
網站內容來源http://safe.it168.com/

【精選推薦文章】

自行創業 缺乏曝光? 下一步”網站設計“幫您第一時間規劃公司的門面形象

網頁設計一頭霧水??該從何著手呢? 找到專業技術的網頁設計公司,幫您輕鬆架站!

評比前十大台北網頁設計台北網站設計公司知名案例作品心得分享

台北網頁設計公司這麼多,該如何挑選?? 網頁設計報價省錢懶人包”嚨底家”

針對新型進程注入技術Ctrl-Inject原理分析

一圖讀懂:新華三安全風險態勢感知系統

網站內容來源http://server.it168.com/

一圖讀懂:新華三安全風險態勢感知系統

2017-12-11 14:38    原創  作者: 閆志坤 編輯:
0購買

【IT168 技術】IDC與新華三聯合發布的《網絡安全風險態勢感知系統》白皮書研究表明,利用大數據分析及認知系統等相關技術,構建網絡安全風險態勢感知系統,並將主動安全防禦體系中各個組件有機結合在一起,才能使構建智能的主動安全防禦體系得以實現。

 

,
網站內容來源http://safe.it168.com/

【精選推薦文章】

智慧手機時代的來臨,RWD網頁設計已成為網頁設計推薦首選

想知道網站建置網站改版該如何進行嗎?將由專業工程師為您規劃客製化網頁設計後台網頁設計

帶您來看台北網站建置套版網頁設計台北網站改版設計台北RWD響應式網頁設計,各種案例分享

廣告預算用在刀口上,網站設計公司幫您達到更多曝光效益

一圖讀懂:新華三安全風險態勢感知系統