纵观全球态势,感知安全天下。悬镜安全精心筛选过全球一周安全大事,带你聚焦安全热点。

1

Anubis银行木马仿冒抖音国际版攻击活动

Anubis(阿努比斯)是一种主要活动在欧美等地的Android银行木马,其攻击手法主要通过伪装成金融应用、聊天应用、手机游戏、购物应用、软件更新、邮件应用、浏览器应用等一些主流的APP及用户较多的APP进行植入。Anubis自爆发以来,已经席卷全球100多个国家,为300多家金融机构带来了相当大的麻烦。

近期奇安信病毒响应中心,捕获到一款仿冒为抖音国际版“TikTok”的恶意软件,经过分析发现该恶意软件为Anubis木马变种。抖音在国内拥有广大的用户群,甚至可以说异常火爆,对于国内用户来说并不陌生,仅应用宝平台,抖音下载量就达到了5.5亿次,抖音国际版“TikTok”在国外也同样火爆,在国际市场也拥有广大的用户。

原文地址:http://985.so/e8hB

2

1亿条信息泄漏 考拉征信大量贩卖个人信息被查

目前国内多家权威媒体曝出超1亿条信息泄漏,拉卡拉旗下考拉征信被查。1亿条信息泄漏,其中包括公民的姓名、电话、身份证,甚至照片等十分敏感的个人重要隐私信息。根据相关媒体的深度挖掘,此次1亿条信息泄漏或许仅仅是冰山一角,其数字甚至有可能超过4亿条,个人信息黑产规模甚至已超千亿元。

此次1亿条信息泄漏事件爆发,起源于2018年的央视的一次暗访报道,随后警方顺藤摸瓜摸清了整个个人信息黑产错综复杂的链条。

悬镜安全丨第五十五期 全球一周安全情报(1118-1122)_职场

1亿条信息泄漏的源头被找到,考拉征信被查成为关键。

涉事公司湖南九象旗下黑爬虫网站公开提供收费查询个人信息服务被警方关注,并提供“身份核验返照”业务,付费后任何人均可在其开发的网站输入公民姓名和身份证号码,查询获取公民身份证相片,这些照片由用户在使用拉卡拉等公司软件时上传。

据悉,涉事的九象公司旗下的黑爬虫网站的“身份核验返照”业务端口来自北京黑格科技有限公司,而黑格公司是从北京考拉征信服务有限公司等四家公司购买的查询接口。

考拉征信从上游公司获取接口后又违规将查询接口出卖,并非法缓存公民个人身份信息,供下游公司查询牟利,从而造成公民身份信息包括身份证照片的大量泄露。

简单的说,考拉征信更像是这个个人信息黑产链条里面的“中间商”,考拉征信通过上游公司的数据端口可以获取查询个人信息的权限,而考拉征信却将这些敏感个人信息“缓存”在自己的服务器上,为下游公司提供查询牟利,从而大致大量个人信息泄露。

北京考拉公司非法提供查询返照9800余万次,获利3800余万元,在公司服务器中查获并收缴被非法获取、存储的公民姓名、身份证号、相片近1亿条。

参考链接地址:http://985.so/e8jd

3

ENISA发布5G网络的威胁态势

欧盟网络安全机构ENISA发布了5G网络的威胁状况,评估了与第五代移动电信网络(5G)有关的威胁。

悬镜安全丨第五十五期 全球一周安全情报(1118-1122)_职场_02

2019年10月9 日发布了欧盟范围内的5G网络协调风险评估,其中包含10个基于欧盟成员国的国家风险评估的高级别风险方案。ENISA 5G威胁状况以5G架构,资产和这些资产的网络威胁的更多技术,更详细的视角补充了协调风险评估。

ENISA 5G威胁状况包括:

详细的架构  

评估中提到的5G建筑元素的9大详细的缩放插件,概述了最重要的5G基础架构组件。这些包括安全性体系结构,切片体系结构,边缘计算体系结构,软件定义的网络体系结构,物理体系结构等。

5G基础架构组件的详细威胁评估。

所评估的威胁细化协调风险评估审查的威胁。

了解威胁暴露

ENISA的执行董事,巨汉Lepassaar,发表声明如下:

“ 5G网络的到来带来了许多安全挑战,就像从1G到4G的技术以前一样。 今天的报告将支持利益相关者进行更详细的威胁分析和风险评估,重点是5G基础架构的特定元素,以帮助了解 其威胁暴露。”

本篇经悬镜小编翻译,原文链接地址:http://985.so/e8nB

4

成千上万的企业因Oracle EBS严重漏洞而面临风险

从Oracle的电子商务套件(EBS)中发现的两个关键安全漏洞可能允许潜在攻击者完全控制公司的整个企业资源规划(ERP)解决方案。

“超过21000个全球组织使用Oracle EBS进行财务管理、客户关系管理(CRM)、供应链管理(SCM)、人力资本管理(HCM)、物流、采购等,”Onapis Research Labs称。

悬镜安全丨第五十五期 全球一周安全情报(1118-1122)_职场_03

2018年12月Onapis向Oracle安全响应团队提交了这些安全问题,并帮助修复了这些漏洞,发布了补丁,2019年4月份Oracle发布了这些漏洞修复补丁。

Onapiss研究实验室补充道:“这类风险通常会让高管和董事会担心违约的可能性,如果处理不当,还会受到后续处罚。”。这些严重的缺陷会影响企业ERP系统中所有信息的机密性、完整性和可用性。没有解决这些问题的方法,受影响的组件可以在所有Oracle EBS实现中找到,并且无法关闭。

为了防范旨在滥用CVE-2019-2638和CVE-2019-2633错误的攻击,管理员必须应用最新的Oracle关键修补程序更新,该更新还将部署最新的可用修补程序。

研究人员总结说:“本文档中解释的金融欺诈场景只是一些攻击向量,威胁行为体可以利用这些攻击向量成功利用此漏洞。”后利用不一定局限于这些攻击。”

本文经悬镜小编编译,原文链接地址:http://985.so/e8nF

5

国家互联网信息办公室有关负责人就

《网络安全威胁信息发布管理办法(征求意见稿)》答记者问

国家互联网信息办公室11月20日向社会公开征求对《网络安全威胁信息发布管理办法(征求意见稿)》(以下简称《办法》)意见,国家互联网信息办公室有关负责人接受采访,就《办法》相关问题回答了记者提问。

1.问:请您介绍一下制定《办法》的背景?

答:当前,网络安全产业迅猛发展,许多网络安全研究者和网络安全企业出于提高公民网络安全意识、交流网络安全技术、增强用户网络安全防范能力、促进网络安全产业发展等目的,积极向社会发布网络安全威胁信息,为维护国家网络空间安全做出很大贡献。但是也应看到,网络安全威胁信息的发布仍存在很多问题,有关单位、网络运营者反映强烈。例如,有组织或个人打着研究、交流、传授网络安全技术的旗号,随意发布计算机病毒、木马、勒索软件等恶意程序的源代码和制作方法,以及网络攻击、网络侵入过程和方法的细节,为恶意分子和网络黑产从业人员提供了技术资源,降低了网络攻击的门槛;有组织或个人未经网络运营者同意,公开网络规划设计、拓扑结构、资产信息、软件代码等属性信息和脆弱性信息,容易被恶意分子利用威胁网络运营者网络安全,特别是关键信息基础设施的相关信息一旦被公开,危害更大;部分网络安全企业和机构为推销产品、赚取眼球,不当评价有关地区、行业网络安全攻击、事件、风险、脆弱性状况,误导舆论,造成不良影响;部分媒体、网络安全企业随意发布网络安全预警信息,夸大危害和影响,容易造成社会恐慌。

2.问:制定《办法》的依据是什么?

答:《网络安全法》第二十六条规定,“开展网络安全认证、检测、风险评估等活动,向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息,应当遵守国家有关规定。”目前,尚无规范网络安全威胁信息发布活动的法律法规。因此,为了进一步规范网络安全威胁信息发布行为,国家互联网信息办公室会同公安部等有关部门依据职责制定了《办法》。

3.问:为什么禁止发布恶意程序源代码、制作方法,能够完整复现网络攻击、网络侵入过程的细节信息等网络安全威胁信息?

答:上述网络安全威胁信息容易被恶意分子或网络黑产从业人员直接利用,降低了网络攻击的门槛,因此从维护网络安全的角度,要求发布网络安全威胁信息时不得包含上述内容。网络安全从业者、爱好者仍可通过多种方式加强原理和技术研究,提高网络安全能力水平。

4.问:禁止发布第四条规定的信息,是否会导致这些信息流入地下黑市?

答:为网络犯罪提供技术支持是法律明确禁止的违法犯罪行为,依法要承担相应的法律责任。我们相信,作为遵纪守法、有道德操守的网络安全工作者、爱好者,以前不会为网络黑产提供技术支持,今后同样也不会。

5.问:是否会对网络安全产业发展造成影响?

答:我们鼓励和支持网络安全企业向社会展示技术能力,促进网络安全意识提升,传播普及网络安全防护技术知识,提供网络安全服务。要求安全企业不向社会发布恶意程序的制作技术、网络攻击技术,并不意味着企业不能研究网络攻击技术,企业仍可通过研究网络攻防技术,不断提升网络安全防护能力,不但不影响安全产业发展,对提高网络安全产业发展水平还产生积极的促进作用。

6.问:媒体今后还能报道网络安全事件新闻吗?

答:媒体可以正常报道网络安全事件新闻,但需满足两个条件,一是如果属于办法第五条提到的网络和信息系统网络安全事件,首次披露前要向所在地区地市级以上公安机关报告,以便有关部门及时掌握事件情况,采取处置措施,降低危害;二是不得包含网络安全事件泄露的数据内容本身,以免扩大事件的危害。

7.问:向网信部门、公安机关、行业主管部门等报告是否属于行政许可?

答:不属于行政许可,完成报告即为履行义务。

8.问:为什么发布具体网络和信息系统存在风险、脆弱性的情况时,需要事先征得其运营者书面同意?

答:如果随意发布上述信息,恶意分子有可能利用这些信息入侵相关网络和信息系统,导致网络和信息系统运营者利益受损。但如果根据发布的网络安全威胁信息,无法定位到具体网络和信息系统,如不涉及网络和信息系统的名字、位置、域名、IP地址等信息,就不需要征求其运营者同意。此外,如果相关风险、脆弱性已被消除或修复,或已提前30日向网信、电信、公安或相关行业主管部门举报,发布上述信息也可不经其运营者同意。

9.问:为什么发布网络安全威胁信息,标题中不得含有“预警”字样?

答:根据《国家网络安全事件应急预案》,网络安全预警是一种特定信息,具有权威性,应由政府部门按权限发布。但目前有的组织和个人随意发布预警,夸大事实,进行炒作,事实上破坏了预警的效力和权威性,所以我们要求发布网络安全威胁信息,标题中不得含有“预警”字样。相关组织和个人可通过风险提示、威胁情报等方式提醒公众加强风险防范。

原文链接地址:http://985.so/e8pb

6

普华永道:44%的黑客攻击冲着金融科技企业的数据来

近日,普华永道发布《2018-2019年度金融科技安全分析报告》,该报告涉及各类金融科技企业,包括支付结算、存贷款与资本众筹、投资管理、市场设施等,并包含15%的传统金融企业。

普华永道认为,随着云计算、大数据、人工智能、区块链等信息技术在金融领域的逐渐推广及应用,金融科技领域原有的网络安全技术与网络安全模式将会发生变革,并衍生出与金融科技行业业务属性及特点相吻合的金融科技特有的网络安全技术与网络安全管理模式。

报告中指出,在过去一年中,所有被调研企业均表示发生过不同类型的网络安全事件,其中,针对客户资料及企业重要业务数据的安全事件成为发生频率最高的安全事件类别,合计高达44%的比例,而“DDoS攻击” 及“ 有害程序攻击 ,如网络勒索、病毒、蠕虫”则成为传统安全攻击类别的主要手段,特别是勒索病毒及蠕虫,延续自2017年以来WannaCry的余波,仍然在2018年至2019年上半年成为持续影响金融科技企业主要的网络安全风险。

悬镜安全丨第五十五期 全球一周安全情报(1118-1122)_职场_04

其中,大数据安全因其在业务风控、精准营销以及传统网络安全防御领域等的重要性成为金融科技企业的网络安全从业人员最关注的重点之一。

71%的被调研企业表示,“数据安全及隐私保护”是企业目前及未来最需要加强的网络安全领域,这一项网络安全工作的受关注度及重要性远超过其他网络安全工作领域。

李睿也表示:“伴随大数据、云计算、区块链/虚拟货币、虚拟银行、无人银行、人工智能、RegTech等众多金融科技应用基础技术及应用场景的出现,金融科技在未来两年将持续向传统金融领域渗透,出现更多的创新应用。未来两年金融科技企业与网络安全领域的深度结合将是大势所趋。”

报告显示,截止目前,中国金融科技行业甚至互联网行业在数据利用上,依然局限在用户画像、 精准营销及风险防控上,其它利用领域的应用水平仍然远远不及;数据应用场景也十分局限,行业仍然未能发掘出更多数据应用领域。

未来两年,随着过往数据利用的经验积累,普华永道预计行业将有可能真正用好数据,使得数据真正发挥“石油”的作用。根据目前行业内的数据应用水平,谈数据应用、 数据是“石油”等,仍然为时过早。

并且,由行业数据使用的安全成熟度来看,数据使用安全合规及数据使用技术安全(如脱敏等)仍然远远落后于业 务需求的发展,所以,行业目前阶段的数据使用成熟度、数据安全成熟度仍然较低。

只有数据的融合、数据定价及数据资产化出现行业标准并得到监管认可,数据的充分融合才能提升其价值并进一步带动金融科技及互联网金融的生产力。根据普华永道的预估,数据资产化的标准将首先在金融行业或者互联网行业出现,并有可能在行业允许实践的基础上,在未来三年内得到金融监管机构或者其它监管机构的认可。

 

悬镜安全丨第五十五期 全球一周安全情报(1118-1122)_职场_05