金融安全资讯精选 2018年第三期:上海P2P备案大考来临,新型KillDisk变种攻击拉丁美洲金融机构,WordPress 发布安全更新版本,如何在阿里云环境下搭建基于SonarQube的自动化安全
2018-02-07 17:12
1356 查看
摘要: 新型KillDisk变种攻击拉丁美洲金融机构,WordPress 发布安全更新版本,如何在阿里云环境下搭建基于SonarQube的自动化安全代码检测平台
【金融行业安全动态】新型KillDisk变种攻击拉丁美洲金融机构
概要:一种新型的KillDisk变种攻击被发现,该攻击主要针对拉丁美洲地区的金融机构。经初步研究表明,该攻击可能是另一个有效载荷的一部分,或者背后存在着更大规模的攻击。KillDisk在2015年12月份发现被用于攻击乌克兰的能源系统,以及银行、铁路和采矿等行业。该恶意软件逐渐转变成为一种网络勒索威胁,危及Windows和Linux平台。KillDisk生成的赎金信息是用来欺骗用户的,由于KillDisk会覆盖或者删除文件并且不会保存加密密钥,因此用户想要恢复文件是不可能的。(来源:绿盟科技)
点评:鉴于KillDisk的攻击能力,以及它可能牵扯到更大规模攻击的可能性,以下为一些防护建议:
保持系统及其应用程序的更新/修补,防止攻击者利用安全漏洞。
定期备份数据并确保其完整性。
强化最小特权的原则(least privilege)。网络分段和数据分类有助于防止横向感染和进一步暴露。
部署安全机制,如应用程序控制/白名单和行为监控,这些安全机制可以阻止可疑程序运行并阻止异常系统修改。
主动监控系统和网络; 启用和使用防火墙以及入侵防护和检测系统。
实施管理事件响应政策,推动积极的补救战略。
培养网络安全意识的工作场所,进一步加强组织的安全态势。
【金融行业安全动态】上海P2P备案大考来临
概要:上海市金融办协同公安部门对P2P平台开展信息安全等级保护三级测评工作进行了指导和部署,备案工作继续加速推进。
据了解,上周五相关部门组织会议上要求测评工作在3月底结束(拿到上海市公安局网络安全保卫大队回执为截止时间点),特殊情况或复杂项目最迟不超过4月底。本次要求P2P网贷系统定级为第三级,并需要按照国家标准测评,测评分不低于90分。其中,用户资金和信息安全的测评为重要项。不少从业者表示,测评要求非常严格, “北京地区网贷平台基本在75分上下”。
点评:信息系统安全,一直是国家监管机构不遗余力推进的重点工作,只有安全的业务平台才能有效保证金融业务的长期稳定发展。
【相关安全事件】微软“周二补丁日”—2018年01月
概要:美国时间2018年01月09日,微软发布2018年第一个月的安全公告,本次安全公告涉及56个新的漏洞,其中16个评级为重要,39个评级为重要,1个评级为中等。
这些漏洞影响ASP.NET,Edge,Internet Explorer,Office,Windows等微软产品。
除了解决的56个漏洞之外,微软还发布了针对Intel CPU漏洞Meltdown和Spectre的更新。 在ADV180002 中针对Windows发布了针对这两个漏洞的缓解措施。
请注意,由于与防病毒产品不兼容,用户和组织可能尚未收到此更新。( 点击查看阿里云修复公告)
本次公告披露,Windows内核存在多个信息泄漏漏洞,CVE编号为:CVE-2018-0745、CVE-2018-0746、CVE-2018-0747。攻击者可以利用这些漏洞经过身份验证的本地攻击者运行特制的程序,检索内核对象的内存地址,获取敏感信息。
这次公告中同时披露Windows内核的多个提权漏洞,CVE编号为:CVE-2018-0748、CVE-2018-0751、CVE-2018-0752。
这些漏洞是由于Windows内核API未能正确执行权限所致。 成功利用这些漏洞需要经过身份验证的本地攻击者执行特制程序,并可能导致攻击者能够模拟进程,注入跨进程通信或中断系统功能。对于企业用户存在一定的安全风险。
本次发布的公告中披露了一个Office高危漏洞,CVE编号为:CVE-2018-0802。攻击者可以利用Office内嵌的公式编辑器发起攻击,如果被诱骗不慎打开恶意文件,可能会被攻击者远程控制,对于终端办公桌面用户,需要关注。
点评:
阿里云安全团队建议关注,并根据业务情况择机更新补丁,以提高服务器安全性。点击查看阿里云修复公告;
建议不要在企业业务系统上安装与业务无关的软件,例如:Office、其他办公软件。防止被黑客利用;
建议打开Windows Update功能,然后点击“检查更新”按钮,根据业务情况下载安装相关安全补丁,安装完毕后重启服务器,检查系统运行情况
注意:在更新安装升级前,建议做好测试工作,并务必做好数据备份和快照,防止出现意外。
【安全相关事件】WordPress
发布4.9.2安全更新版本
概要:刚刚,WordPress 开发团队发布了 WordPress
4.9.2 安全维护更新版本。这次更新是针对 WordPress 3.7 版本以来的所有版本,我们建议您立即更新您的网站到这一版本。 MediaElement
的 Flash 回滚文件中发现了一个 XSS 安全漏洞,这个文件被包含在了
WordPress 之中。由于绝大多数情况下,用户们已经不再需要 Flash 支持,WordPress 的开发者决定在 WordPress 中删除这一文件。
【云上视角】147家企业未取得云服务经营许可
概要:工信部1月12日印发《关于督促互联网网络接入服务企业依法持证经营的通知》(简称“通知”)。通知显示,截至去年底,104家企业已依法取得云服务经营许可证,70家企业取得CDN业务经营许可证。另有147家企业未取得前述许可证,应自觉停止相应经营活动。(来源:亚太CDN产业联盟)
【云上视角】实践:在阿里云环境下搭建基于SonarQube的自动化安全代码检测平台
概要:近年来,随着新业务、新技术的快速发展,应用软件安全缺陷层出不穷。虽然一般情况下,开发者基本都会有单元测试、每日构建、功能测试等环节来保证应用的可用性。但在安全缺陷方面,缺乏安全意识、技能和工具,最终导致了安全缺陷的出现。
对于软件开发安全意识和软件开发安全技能方面本文中不再做详述,软件开发者可通过培训和实践提高自身意识和技能,我主要从代码检测工具方面来做介绍,工具是软件开发者可以直接使用和快速发现软件安全缺陷的高效手段,这类似我们使用汽车来满足出行的需求,只用我们掌握汽车的操作方式即可,不用了解汽车如何制造出来的。
本文目的主要是提供一种思路和方法,让软件开发者像测试软件功能一样,测试软件安全缺陷,并且能够融入到整个的软件开发过程中。本文暂不介绍软件安全开发的概念、代码审计工具及其使用、安全代码审计技术等内容,后续文章会就这些部分进行介绍,大家可关注。
【金融行业安全动态】新型KillDisk变种攻击拉丁美洲金融机构
概要:一种新型的KillDisk变种攻击被发现,该攻击主要针对拉丁美洲地区的金融机构。经初步研究表明,该攻击可能是另一个有效载荷的一部分,或者背后存在着更大规模的攻击。KillDisk在2015年12月份发现被用于攻击乌克兰的能源系统,以及银行、铁路和采矿等行业。该恶意软件逐渐转变成为一种网络勒索威胁,危及Windows和Linux平台。KillDisk生成的赎金信息是用来欺骗用户的,由于KillDisk会覆盖或者删除文件并且不会保存加密密钥,因此用户想要恢复文件是不可能的。(来源:绿盟科技)
点评:鉴于KillDisk的攻击能力,以及它可能牵扯到更大规模攻击的可能性,以下为一些防护建议:
保持系统及其应用程序的更新/修补,防止攻击者利用安全漏洞。
定期备份数据并确保其完整性。
强化最小特权的原则(least privilege)。网络分段和数据分类有助于防止横向感染和进一步暴露。
部署安全机制,如应用程序控制/白名单和行为监控,这些安全机制可以阻止可疑程序运行并阻止异常系统修改。
主动监控系统和网络; 启用和使用防火墙以及入侵防护和检测系统。
实施管理事件响应政策,推动积极的补救战略。
培养网络安全意识的工作场所,进一步加强组织的安全态势。
【金融行业安全动态】上海P2P备案大考来临
概要:上海市金融办协同公安部门对P2P平台开展信息安全等级保护三级测评工作进行了指导和部署,备案工作继续加速推进。
据了解,上周五相关部门组织会议上要求测评工作在3月底结束(拿到上海市公安局网络安全保卫大队回执为截止时间点),特殊情况或复杂项目最迟不超过4月底。本次要求P2P网贷系统定级为第三级,并需要按照国家标准测评,测评分不低于90分。其中,用户资金和信息安全的测评为重要项。不少从业者表示,测评要求非常严格, “北京地区网贷平台基本在75分上下”。
点评:信息系统安全,一直是国家监管机构不遗余力推进的重点工作,只有安全的业务平台才能有效保证金融业务的长期稳定发展。
【相关安全事件】微软“周二补丁日”—2018年01月
概要:美国时间2018年01月09日,微软发布2018年第一个月的安全公告,本次安全公告涉及56个新的漏洞,其中16个评级为重要,39个评级为重要,1个评级为中等。
这些漏洞影响ASP.NET,Edge,Internet Explorer,Office,Windows等微软产品。
除了解决的56个漏洞之外,微软还发布了针对Intel CPU漏洞Meltdown和Spectre的更新。 在ADV180002 中针对Windows发布了针对这两个漏洞的缓解措施。
请注意,由于与防病毒产品不兼容,用户和组织可能尚未收到此更新。( 点击查看阿里云修复公告)
本次公告披露,Windows内核存在多个信息泄漏漏洞,CVE编号为:CVE-2018-0745、CVE-2018-0746、CVE-2018-0747。攻击者可以利用这些漏洞经过身份验证的本地攻击者运行特制的程序,检索内核对象的内存地址,获取敏感信息。
这次公告中同时披露Windows内核的多个提权漏洞,CVE编号为:CVE-2018-0748、CVE-2018-0751、CVE-2018-0752。
这些漏洞是由于Windows内核API未能正确执行权限所致。 成功利用这些漏洞需要经过身份验证的本地攻击者执行特制程序,并可能导致攻击者能够模拟进程,注入跨进程通信或中断系统功能。对于企业用户存在一定的安全风险。
本次发布的公告中披露了一个Office高危漏洞,CVE编号为:CVE-2018-0802。攻击者可以利用Office内嵌的公式编辑器发起攻击,如果被诱骗不慎打开恶意文件,可能会被攻击者远程控制,对于终端办公桌面用户,需要关注。
点评:
阿里云安全团队建议关注,并根据业务情况择机更新补丁,以提高服务器安全性。点击查看阿里云修复公告;
建议不要在企业业务系统上安装与业务无关的软件,例如:Office、其他办公软件。防止被黑客利用;
建议打开Windows Update功能,然后点击“检查更新”按钮,根据业务情况下载安装相关安全补丁,安装完毕后重启服务器,检查系统运行情况
注意:在更新安装升级前,建议做好测试工作,并务必做好数据备份和快照,防止出现意外。
【安全相关事件】WordPress
发布4.9.2安全更新版本
概要:刚刚,WordPress 开发团队发布了 WordPress
4.9.2 安全维护更新版本。这次更新是针对 WordPress 3.7 版本以来的所有版本,我们建议您立即更新您的网站到这一版本。 MediaElement
的 Flash 回滚文件中发现了一个 XSS 安全漏洞,这个文件被包含在了
WordPress 之中。由于绝大多数情况下,用户们已经不再需要 Flash 支持,WordPress 的开发者决定在 WordPress 中删除这一文件。
概要:工信部1月12日印发《关于督促互联网网络接入服务企业依法持证经营的通知》(简称“通知”)。通知显示,截至去年底,104家企业已依法取得云服务经营许可证,70家企业取得CDN业务经营许可证。另有147家企业未取得前述许可证,应自觉停止相应经营活动。(来源:亚太CDN产业联盟)
【云上视角】实践:在阿里云环境下搭建基于SonarQube的自动化安全代码检测平台
概要:近年来,随着新业务、新技术的快速发展,应用软件安全缺陷层出不穷。虽然一般情况下,开发者基本都会有单元测试、每日构建、功能测试等环节来保证应用的可用性。但在安全缺陷方面,缺乏安全意识、技能和工具,最终导致了安全缺陷的出现。
对于软件开发安全意识和软件开发安全技能方面本文中不再做详述,软件开发者可通过培训和实践提高自身意识和技能,我主要从代码检测工具方面来做介绍,工具是软件开发者可以直接使用和快速发现软件安全缺陷的高效手段,这类似我们使用汽车来满足出行的需求,只用我们掌握汽车的操作方式即可,不用了解汽车如何制造出来的。
本文目的主要是提供一种思路和方法,让软件开发者像测试软件功能一样,测试软件安全缺陷,并且能够融入到整个的软件开发过程中。本文暂不介绍软件安全开发的概念、代码审计工具及其使用、安全代码审计技术等内容,后续文章会就这些部分进行介绍,大家可关注。
相关文章推荐
- 金融安全资讯精选 2017年第十九期:习近平谈维护金融安全,Forcepoint预测:大量收集用户数据的机构将成2018年攻击目标,广东农信与阿里云达成战略合作
- 金融安全资讯精选 2017年第八期:Equifax数据泄露事件本周五个进展,企业用户如何使用SOC 2 报告来评估CSP安全性,Alert Logic发布云安全报告:云上发生安全事件数更少
- 金融安全资讯精选 2017年第五期:2017年金融安全威胁演进趋势,纽约发布金融安全新政策,金融企业如何选择安全的云
- 游戏安全资讯精选 2018年第一期:融资与乱象,2017的游戏之年;中宣部等8部委联合印发意见,要求严格规范网络游戏市场管理,阿里云安全2017年盘点
- 金融安全资讯精选 2017年第六期:阿里云等3家单位具备CNVD技术组成员单位资格
- 金融安全资讯精选 2017年第十一期 银行木马利用VMvare进行传播 研究人员发现新型安卓银行木马Red Alert
- 金融安全资讯精选 2017年第五期:WireX 僵尸网络袭击全球,金融企业如何选择安全的云
- 金融安全资讯精选 2017年第十八期:4个月内P2P网贷企业信息安全未合规将被取缔,全球100起重大投融资看未来网络安全发展热点,Gartner2017年安全投入以及人员投入占比相关数据
- 游戏安全资讯精选 2017年 第四期:游戏行业上周最大DDoS流量超770G, 魔兽世界遭遇DDoS攻击,开源CMS Drupal 8发布更新修复多处高危漏洞补丁
- 金融安全资讯精选 2018年第二期:正确区分ICO与区块链,加快区块链金融技术化工作,Intel CEO回应“漏洞门”,Gartner视角看安全与风险管理,八招应对短信验证码攻击
- 政府安全资讯精选 2018年第二期 工信部发布《工业控制系统信息安全行动计划》;平昌冬奥会或成为黑客攻击目标 部分组织已遭钓鱼;多部门联合开展公共信息资源开放试点工作
- 资讯精选 | 如何使用阿里云虚拟主机搭建博客
- 游戏安全资讯精选 2018年第八期:3975款游戏被查处,游戏圈重击;Memcached被利用UDP反射攻击漏洞预警;VentureBeat称区块链或可定位和消除恶意可执行代码的安全问题
- 如何搭建基于C#和 Appium 的 Android自动测试环境
- Oracle SOA Suite环境搭建详解(基于版本11.1.1.6.0)
- Mobicents记录1:如何搭建和运行mobicents3.0环境(基于jboss7.2)
- 【Red5】如何搭建环境以及调试Red5(1.0.6版本)应用(三)
- npm 命令 & 【npm】利用npm安装/删除/发布/更新/撤销发布包 & 如何升级nodejs版本
- 自动化部署与统一安装升级 - 类ansible工具 udeploy0.3版本发布 (更新时间2014-12-24)
- 如何在ubuntu系统下搭建一个opendaylight Beryllium版本环境