安全焦点
新的APT集团瞄准航空业和移民
一个与某些其他已知的高级持续威胁(APT)组织有一些相似之处的新APT组织正在攻击国际航空运输协会(IATA),多家航空公司以及计划移民到加拿大进行政府工作的个人。
乌克兰指责俄罗斯国家黑客袭击了政府文件管理系统
乌克兰政府指责与俄罗斯有联系的APT团体袭击了政府文件管理系统,即行政机关电子互动系统(SEI EB)。乌克兰官员说,这些黑客旨在将恶意文件散布到政府机构。
全球近3万台Mac电脑已感染恶意软件Silver Sparrow,尚不清楚其目标
最近几天,安全研究人员连续发现两款针对苹果M1芯片的恶意软件,一款是Silver Sparrow(银雀),另一款是GoSearch 22,而此时距离M1芯片发布才3个月。
美对华网络攻击长达11年,中方公布证据
涉美国中央情报局网络攻击组织,对中国关键领域进行了长达11年的网络渗透攻击,并披露了该组织使用“穹窿7”项目中专属网络武器的重要证据。
安全风险
Jenkins自动化部署可以解决集成、测试、部署等重复性的工作,工具集成的效率明显高于人工操作;并且持续集成可以更早的获取代码变更的信息,从而更早的进入测试阶段,更早的发现问题,这样解决问题的成本就会显著下降:持续集成缩短了从开发、集成、测试、部署各个环节的时间,从而也就缩短了中间出现的等待时间;持续集成也意味着开发、集成、测试、部署得以持续。Jenkins使用Stapler框架开发,其允许用户通过URL PATH来调用一次public方法。由于这个过程没有做限制,攻击者可以构造一些特殊的PATH来执行一些敏感的Java方法。通过这个漏洞,可以找到很多可供利用的利用链。其中最严重的就是绕过Groovy沙盒导致未授权用户可执行任意命令:Jenkins在沙盒中执行Groovy前会先检查脚本是否有错误,检查操作是没有沙盒的,攻击者可以通过Meta-Programming的方式,在检查这个步骤时执行任意命令。
修复建议:
1.升级到最新版本或打上相关补丁
2.尽量不要开放到公网上
3.限制IP访问
企业安全
等级保护管理制度关注要点
等级保护制度是由技术和管理两大部分组成。可能很多技术人员觉得管理没那么重要,只是一些条条框框的规定而已,但是如果一些制度没有或者落实地不好,也是百分之百的高风险,以下是需要关注的要点总结。
一、安全管理制度
二级及以上系统未建立任何与安全管理活动相关的安全管理制度或者制度无法满足适用于当前系统。
二、网络安全领导小组
三级及以上系统未成立指导和管理网络安全工作的委员会或领导小组,或其最高领导未由单位主管领导担任或授权。
三、开展网络安全意识和安全技能培训
二级及以上系统未定期组织开展与安全意识、安全技能相关的培训。这要求我们各家网络运营者每年至少开展一次相关培训,并留痕。
四、外部人员接入受控网络的管理制度
二级及以上系统未建立外部人员接入受控网络访问系统的相关管理制度,同时无法提供外部人员接入受控网络访问系统的申请、审批等相关记录文档。
五、运维工具管控措施制度
三级及以上系统应严格控制运维工具的使用,经过审批后方可接入使用,操作过程中应保留审计日志数据,操作结束后应删除工具中的敏感数据。使用开源的运维工具,应保证工具自身的安全,做好病毒检测、漏洞扫描等。一哥在此推荐大家使用商用的运维工具,不要随意使用来源不明的工具。
六、设备外联管控措施制度
三级及以上系统管理制度上无关于外部连接的授权和审批流程,也未定期进行相关的巡检同时无技术手段对违规上网及其他违反网络安全策略的行为有效控制、检查、阻断。这里要求我们在三级及以上系统中配备安全准入系统进行技术管控。
七、外来接入设备恶意代码检查措施制度
二级及以上系统未在管理制度中明确外来计算机或存储设备接入安全操作流程同时外来计算机且存储设备接入网络前未进行恶意代码检查。这在实际工作中不少单位没有落实或者落实不彻底,这也是为什么内网会中毒的一个重要原因。
八、变更管理制度
二级及以上系统无变更管理制度,或变更管理制度中无变更管理流程、变更内容分析与论证、变更方案审批流程等相关内容且实际变更中无任何流程、人员、方案等审批环节和记录。不能随意对系统进行变更,有时一些安全事件就是因为误操作而导致的。
九、重要事件的应急预案
二级及以上系统未制定重要事件的应急预案或应急预案内容不完整,未明确重要事件的应急处理流程、系统恢复流程等内容,一旦出现应急事件,无法合理有序的进行应急事件处置过程。在三级及以上系统中不仅要有预案,还需要定期培训与演练,对未定期(至少每年一次)对相关人员进行应急预案培训,未根据不同的应急预案进行应急演练,无法提供应急预案培训和演练记录的也是为高风险。这就要求我们应急预案不只是一个预案,更要成为发生突发事件后实际操作的一个规范应对流程。总结下来:应急演练大家要认真认真做,不要走过场。
十、云计算平台运维方式
二级及以上云计算平台的运维地点不在中国境内且境外对境内云计算平台实施操作运维未遵循国家相关规定。建议大家至少选择物理位置及运维地点在中国境内的平台。
文/上海蓝盟 IT外包专家
中文
电话咨询
微信咨询
公众号
