金融安全资讯精选 2018年第三期:上海P2P备案大考来临,新型KillDisk变种攻击拉丁美洲金融机构,WordPress 发布安全更新版本,如何在阿里云环境下搭建基于SonarQube的自动化安全...
【金融行业安全动态】新型KillDisk变种攻击拉丁美洲金融机构
概要:一种新型的KillDisk变种攻击被发现,该攻击主要针对拉丁美洲地区的金融机构。经初步研究表明,该攻击可能是另一个有效载荷的一部分,或者背后存在着更大规模的攻击。KillDisk在2015年12月份发现被用于攻击乌克兰的能源系统,以及银行、铁路和采矿等行业。该恶意软件逐渐转变成为一种网络勒索威胁,危及Windows和Linux平台。KillDisk生成的赎金信息是用来欺骗用户的,由于KillDisk会覆盖或者删除文件并且不会保存加***,因此用户想要恢复文件是不可能的。(来源:绿盟科技)
点评:鉴于KillDisk的攻击能力,以及它可能牵扯到更大规模攻击的可能性,以下为一些防护建议:
- 保持系统及其应用程序的更新/修补,防止攻击者利用安全漏洞。
- 定期备份数据并确保其完整性。
- 强化最小特权的原则(least privilege)。网络分段和数据分类有助于防止横向感染和进一步暴露。
- 部署安全机制,如应用程序控制/白名单和行为监控,这些安全机制可以阻止可疑程序运行并阻止异常系统修改。
- 主动监控系统和网络; 启用和使用防火墙以及入侵防护和检测系统。
- 实施管理事件响应政策,推动积极的补救战略。
- 培养网络安全意识的工作场所,进一步加强组织的安全态势。
概要:上海市金融办协同公安部门对P2P平台开展信息安全等级保护三级测评工作进行了指导和部署,备案工作继续加速推进。
据了解,上周五相关部门组织会议上要求测评工作在3月底结束(拿到上海市公安局网络安全保卫大队回执为截止时间点),特殊情况或复杂项目最迟不超过4月底。本次要求P2P网贷系统定级为第三级,并需要按照国家标准测评,测评分不低于90分。其中,用户资金和信息安全的测评为重要项。不少从业者表示,测评要求非常严格, “北京地区网贷平台基本在75分上下”。
点评:信息系统安全,一直是国家监管机构不遗余力推进的重点工作,只有安全的业务平台才能有效保证金融业务的长期稳定发展。
【相关安全事件】微软“周二补丁日”—2018年01月
概要:美国时间2018年01月09日,微软发布2018年第一个月的安全公告,本次安全公告涉及56个新的漏洞,其中16个评级为重要,39个评级为重要,1个评级为中等。 这些漏洞影响ASP.NET,Edge,Internet Explorer,Office,Windows等微软产品。
除了解决的56个漏洞之外,微软还发布了针对Intel CPU漏洞Meltdown和Spectre的更新。 在ADV180002 中针对Windows发布了针对这两个漏洞的缓解措施。 请注意,由于与防病毒产品不兼容,用户和组织可能尚未收到此更新。( 点击查看阿里云修复公告)
本次公告披露,Windows内核存在多个信息泄漏漏洞,CVE编号为:CVE-2018-0745、CVE-2018-0746、CVE-2018-0747。攻击者可以利用这些漏洞经过身份验证的本地攻击者运行特制的程序,检索内核对象的内存地址,获取敏感信息。
这次公告中同时披露Windows内核的多个提权漏洞,CVE编号为:CVE-2018-0748、CVE-2018-0751、CVE-2018-0752。 这些漏洞是由于Windows内核API未能正确执行权限所致。 成功利用这些漏洞需要经过身份验证的本地攻击者执行特制程序,并可能导致攻击者能够模拟进程,注入跨进程通信或中断系统功能。对于企业用户存在一定的安全风险。
本次发布的公告中披露了一个Office高危漏洞,CVE编号为:CVE-2018-0802。攻击者可以利用Office内嵌的公式编辑器发起攻击,如果被诱骗不慎打开恶意文件,可能会被攻击者远程控制,对于终端办公桌面用户,需要关注。
点评:
- 阿里云安全团队建议关注,并根据业务情况择机更新补丁,以提高服务器安全性。点击查看阿里云修复公告;
- 建议不要在企业业务系统上安装与业务无关的软件,例如:Office、其他办公软件。防止被黑客利用;
- 建议打开Windows Update功能,然后点击“检查更新”按钮,根据业务情况下载安装相关安全补丁,安装完毕后重启服务器,检查系统运行情况
- 注意:在更新安装升级前,建议做好测试工作,并务必做好数据备份和快照,防止出现意外。
【安全相关事件】WordPress 发布4.9.2安全更新版本
概要:刚刚,WordPress 开发团队发布了 WordPress 4.9.2 安全维护更新版本。这次更新是针对 WordPress 3.7 版本以来的所有版本,我们建议您立即更新您的网站到这一版本。 MediaElement 的 Flash 回滚文件中发现了一个 XSS 安全漏洞,这个文件被包含在了 WordPress 之中。由于绝大多数情况下,用户们已经不再需要 Flash 支持,WordPress 的开发者决定在 WordPress 中删除这一文件。
【云上视角】147家企业未取得云服务经营许可
概要:工信部1月12日印发《关于督促互联网网络接入服务企业依法持证经营的通知》(简称“通知”)。通知显示,截至去年底,104家企业已依法取得云服务经营许可证,70家企业取得CDN业务经营许可证。另有147家企业未取得前述许可证,应自觉停止相应经营活动。(来源:亚太CDN产业联盟)
【云上视角】实践:在阿里云环境下搭建基于SonarQube的自动化安全代码检测平台
概要:近年来,随着新业务、新技术的快速发展,应用软件安全缺陷层出不穷。虽然一般情况下,开发者基本都会有单元测试、每日构建、功能测试等环节来保证应用的可用性。但在安全缺陷方面,缺乏安全意识、技能和工具,最终导致了安全缺陷的出现。
对于软件开发安全意识和软件开发安全技能方面本文中不再做详述,软件开发者可通过培训和实践提高自身意识和技能,我主要从代码检测工具方面来做介绍,工具是软件开发者可以直接使用和快速发现软件安全缺陷的高效手段,这类似我们使用汽车来满足出行的需求,只用我们掌握汽车的操作方式即可,不用了解汽车如何制造出来的。
本文目的主要是提供一种思路和方法,让软件开发者像测试软件功能一样,测试软件安全缺陷,并且能够融入到整个的软件开发过程中。本文暂不介绍软件安全开发的概念、代码审计工具及其使用、安全代码审计技术等内容,后续文章会就这些部分进行介绍,大家可关注。