安全公告

Size: px

Start display at page:

Download "安全公告"

烨砧解
9 years ago
Views:

1 信息安全漏洞威胁通报领先的应用安全及数据库安全整体解决方案提供商杭州安恒信息技术有限公司第 1 页共 73 页服务热线

2 信息安全漏洞威胁通报安恒信息信息安全漏洞威胁通报 2016 年第 4 期根据中国国家信息安全漏洞库统计, 本周共收集整理信息安全漏洞 286 个, 其中高危漏洞 42 个中危漏洞 197 个低危漏洞 47 个上述漏洞中, 可利用来实施远程攻击的漏洞有 240 个本周收录的漏洞中, 已有 284 个漏洞由厂商提供了修补方案, 建议用户及时下载补丁更新程序, 避免遭受网络攻击其中互联网上出现 Cisco Unifi ed Contact Center Express 跨站脚本漏洞 Office Document R eader for ios 存在多个漏洞等零日漏洞, 请使用相关产品的用户注意加强防范本周, 风暴中心针对 1 月 26 日内部人员发现的拓尔思系统任意文件上传的 0day 漏洞进行了深入的分析, 相关分析报告请见 2.3 章节近期,CNVD 发布了关于 OpenSSL 加密算法破解漏洞的安全公告, 远程攻击者可利用该漏洞, 获取加密密钥, 并发起后续攻击, 获得用户的敏感信息, 建议相关单位及时采取安全措施进行防护, 详情请阅读 2.3 章节二零一六年二月三日领先的应用安全及数据库安全整体解决方案提供商第 2 页共 73 页杭州安恒信息技术有限公司服务热线 :

3 信息安全漏洞威胁通报目录 1 漏洞预警漏洞概况漏洞增长数量及种类分布情况漏洞产生原因 (2016 年 01 月 26 日年 02 月 02 日 ) 漏洞引发的威胁 (2016 年 01 月 26 日年 02 月 02 日 ) 漏洞影响对象类型 (2016 年 01 月 26 日年 02 月 02 日 ) 漏洞严重程度 (2016 年 01 月 26 日年 02 月 02 日 ) 漏洞预警 OpenSSL 加密算法破解漏洞 Google Chrome 拒绝服务漏洞 Oracle WebLogic WLS Core 组件存在未明漏洞 Solaris Kernel Zones 组件权限提升漏洞 PHP SPL 反序列化内存错误引用漏洞 Apple ios 内核内存处理任意代码执行漏洞 Fortinet FortiOS 信息泄露漏洞 SAP HANA 缓冲区溢出漏洞 Advantech WebAccess 任意代码执行漏洞北京广域齐民信息技术有限公司速剑 2005(GCMS) 存在多个漏洞 17 2 病毒及 0day 预警本周流行网络病毒预警 Worm.Win32.Gamarue.w( 蠕虫病毒 ) Worm.Win32.Autorun.tpk( 蠕虫病毒 ) Trojan.Script.VBS.Dole.b( 木马病毒 ) Worm.Mail.NetSky.lz( 蠕虫 ) 病毒防范措施 day 漏洞预警拓尔思系统任意文件上传漏洞 OpenSSL 加密算法破解漏洞网站安全及安全事件钓鱼与挂马网站统计境外恶作剧型黑客攻击事件网站安全防护建议安全资讯国内安全资讯中央政法委 : 构建维护网络安全新格局领先的应用安全及数据库安全整体解决方案提供商第 3 页共 73 页杭州安恒信息技术有限公司服务热线 :

4 信息安全漏洞威胁通报元爱奇艺会员只卖 5 元, 揭秘背后黑色产业链男子换手机号忘解绑支付宝 : 银行卡 4000 元没了警惕! 这六种微信红包千万不能碰先谎称断网后恐吓洗钱, 男子被骗 105 万元国际安全资讯美国教育部面对网络攻击毫无招架之力美国重新调整黑客工具出口军控规则欧盟美国就个人数据跨境交换达成共识知名安全公司 Norse Corp 濒临倒闭边缘匿名者组织入侵哥斯达黎加政府服务器以色列无人机被黑客入侵, 大量机密影像遭到曝光工业互联网迎来新的 SCADA 系统保护机制以色列国家电网遭受有史最大规模网络攻击美国国土安全部斥资 60 亿美元打造的防火墙可能抗不住黑客攻击..66 关于安恒注 : 本通报根据安恒信息风暴中心和国内各大信息安全机构网站整理分析而成请关注风暴中心领先的应用安全及数据库安全整体解决方案提供商第 4 页共 73 页杭州安恒信息技术有限公司服务热线 :

5 漏洞预警 1 漏洞预警 1.1 漏洞概况本周漏洞趋势图本周, 中国国家信息安全漏洞库收录了 286 个漏洞其中应用程序漏洞 212 个, 操作系统漏洞 39 个, 数据库漏洞 29 个,Web 应用漏洞 4 个, 网络设备漏洞 2 个漏洞影响对象类型漏洞数量应用程序漏洞 212 操作系统漏洞 39 数据库漏洞 29 Web 应用漏洞 4 网络设备漏洞 2 领先的应用安全及数据库安全整体解决方案提供商第 5 页共 73 页杭州安恒信息技术有限公司服务热线 :

6 漏洞预警领先的应用安全及数据库安全整体解决方案提供商第 6 页共 73 页杭州安恒信息技术有限公司服务热线 :

7 漏洞预警 1.2 漏洞增长数量及种类分布情况漏洞产生原因 (2016 年 01 月 26 日年 02 月 02 日 ) 漏洞引发的威胁 (2016 年 01 月 26 日年 02 月 02 日 ) 领先的应用安全及数据库安全整体解决方案提供商第 7 页共 73 页杭州安恒信息技术有限公司服务热线 :

8 漏洞预警漏洞影响对象类型 (2016 年 01 月 26 日年 02 月 02 日 ) 漏洞严重程度 (2016 年 01 月 26 日年 02 月 02 日 ) 领先的应用安全及数据库安全整体解决方案提供商第 8 页共 73 页杭州安恒信息技术有限公司服务热线 :

9 漏洞预警 1.3 漏洞预警 1.3.1OpenSSL 加密算法破解漏洞发布时间 : 更新时间 : 漏洞编号 : 受影响产品 : CVE(CAN) ID: CVE OpenSSL OpenSSL 1.0.2e OpenSSL OpenSSL 1.0.2d OpenSSL OpenSSL 1.0.2c OpenSSL OpenSSL 1.0.2b OpenSSL OpenSSL 1.0.2a OpenSSL OpenSSL 危害级别 : 攻击途径 : 攻击复杂度 : 漏洞描述 : 高远程网络中 OpenSSL 是一个实现安全套接层和安全传输层协议的通用开源加密库, 可支持多种加密算法, 包括对称密码哈希算法安全散列算法等 OpenSSL 存在一处加密算法破解漏洞, 当满足一定条件, 攻击者可以通过服务器发送大量的握手请求, 当有足够多的计算数据完成后, 攻击者可以获领先的应用安全及数据库安全整体解决方案提供商第 9 页共 73 页杭州安恒信息技术有限公司服务热线 :

10 漏洞预警取部分密钥值, 并结合其结果与中国剩余定理最终推导出解密密钥安全建议 : 厂商已发布了新版本修复该漏洞, 请关注厂商主页下载 : s.html#y Google Chrome 拒绝服务漏洞发布时间 : 更新时间 : 漏洞编号 : CVE(CAN) ID: CVE 受影响产品 : Google Chrome < 危害级别 : 攻击途径 : 攻击复杂度 : 漏洞描述 : 高远程网络中 Google Chrome 是一款 Web 浏览器 Google V8 是其中的一套开源 JavaScript 引擎 Google Chrome 存在安全漏洞, 允许远程攻击者可利用该漏洞构建恶意 WEB 页, 诱使用户解析, 可使应用程序崩溃领先的应用安全及数据库安全整体解决方案提供商第 10 页共 73 页杭州安恒信息技术有限公司服务热线 :

11 漏洞预警安全建议 : 用户可参考如下厂商提供的安全补丁以修复该漏洞 : 16/01/stable-channel-update_20.html 1.3.3Oracle WebLogic WLS Core 组件存在未明漏洞发布时间 : 更新时间 : 漏洞编号 : CVE(CAN) ID: CVE 受影响产品 : Oracle WebLogic Server Oracle WebLogic Server Oracle WebLogic Server Oracle WebLogic Server 危害级别 : 攻击途径 : 攻击复杂度 : 高远程网络低漏洞描述 : Oracle WebLogic server 是一款应用服务器平台, 用于构建和运行企业应用和服务 Oracle WebLogic 里面的 WLS Core 组件存在未明漏洞, 允许远程攻击者利用漏洞未授权访问数据或修改数据, 进行拒绝服务攻击领先的应用安全及数据库安全整体解决方案提供商第 11 页共 73 页杭州安恒信息技术有限公司服务热线 :

12 漏洞预警安全建议 : 用户可参考如下厂商提供的安全补丁以修复该漏洞 : curity/cpujan html 1.3.4Solaris Kernel Zones 组件权限提升漏洞发布时间 : 更新时间 : 漏洞编号 : CVE(CAN) ID: CVE 受影响产品 : Oracle Solaris 11 危害级别 : 攻击途径 : 攻击复杂度 : 漏洞描述 : 高本地低 Solaris 是一款基于 unix 的操作系统 Solaris Kernel Zones 组件存在未明漏洞, 允许本地攻击者利用漏洞提升权限安全建议 : 用户可参考如下厂商提供的安全补丁以修复该漏洞 : curity/cpujan html 领先的应用安全及数据库安全整体解决方案提供商第 12 页共 73 页杭州安恒信息技术有限公司服务热线 :

13 漏洞预警 1.3.5PHP SPL 反序列化内存错误引用漏洞发布时间 : 更新时间 : 漏洞编号 : 受影响产品 : 危害级别 : 攻击途径 : 攻击复杂度 : CVE(CAN) ID: CVE PHP PHP 高远程网络低漏洞描述 : PHP 是一款通用的脚本语言可嵌入到 HTML 中 PHP SPL 反序列化实现中存在内存错误引用漏洞, 允许攻击者利用特殊的 ArrayObject SplObjectS torage SplDoublyLinkedList 相关矢量可执行任意代码安全建议 : 用户可参考如下厂商提供的安全补丁以修复该漏洞 : Apple ios 内核内存处理任意代码执行漏洞发布时间 : 更新时间 : 漏洞编号 : CVE(CAN) ID: CVE 领先的应用安全及数据库安全整体解决方案提供商第 13 页共 73 页杭州安恒信息技术有限公司服务热线 :

14 漏洞预警受影响产品 : 危害级别 : 攻击途径 : 攻击复杂度 : 漏洞描述 : Apple IOS 高本地低 Apple ios 是苹果公司用于多个智能设备的操作系统 Apple ios 内核处理存在内存破坏漏洞, 允许本地攻击者执行任意代码安全建议 : 用户可参考如下厂商提供的安全补丁以修复该漏洞 : Fortinet FortiOS 信息泄露漏洞发布时间 : 更新时间 : 漏洞编号 : 受影响产品 : CVE(CAN) ID: CVE Fortinet FortiOS 4.x(<4.3.17) Fortinet FortiOS 5.0.x(<5.0.8) 危害级别 : 攻击途径 : 攻击复杂度 : 漏洞描述 : 高远程网络低 Fortinet FortiOS 是一套专用于 FortiGate 网络安全平台上的安全操作系统领先的应用安全及数据库安全整体解决方案提供商第 14 页共 73 页杭州安恒信息技术有限公司服务热线 :

15 漏洞预警 Fortinet FortiOS 存在 Fortimanager_Access 账户使用硬编码的密码, 允许远程攻击者可借助此账户, 通过 SSH 会话获取管理员访问权限安全建议 : 用户可参考如下厂商提供的安全公告获取补丁以修复该漏洞 : nt-regarding-issues-found-with-fortinet FortiOS 1.3.8SAP HANA 缓冲区溢出漏洞发布时间 : 更新时间 : 漏洞编号 : 受影响产品 : 危害级别 : 攻击途径 : 攻击复杂度 : 漏洞描述 : CVE(CAN) ID: CVE SAP HANA 高远程网络中 SAP HANA 是德国思爱普 (SAP) 公司的高性能分析应用软件, 提供高性能的数据查询功能 SAP HANA 存在缓冲区溢出漏洞, 允许远程攻击者通过精心编制的 HTTP 请求导致拒绝服务或执行任意领先的应用安全及数据库安全整体解决方案提供商第 15 页共 73 页杭州安恒信息技术有限公司服务热线 :

16 漏洞预警代码安全建议 : 用户可参考如下厂商提供的安全公告获取补丁以修复该漏洞 : curity-notes-january-2016-review/ 1.3.9Advantech WebAccess 任意代码执行漏洞发布时间 : 更新时间 : 漏洞编号 : CVE(CAN) ID: CVE 受影响产品 : Advantech WebAccess < 8.1 危害级别 : 攻击途径 : 攻击复杂度 : 高远程网络中漏洞描述 : WebAccess HMI/SCADA 软件提供远程控制与管理, 让用户在设施管理系统发电站及楼宇自动化系统中, 轻松查看与配置自动化设备 Advantech WebAccess 8.1 之前版本存在安全漏洞, 远程攻击者利用此漏洞可执行任意代码安全建议 : 目前厂商已经发布了升级补丁以修复这个安全问题, 请到厂商的主页下载 : 领先的应用安全及数据库安全整体解决方案提供商第 16 页共 73 页杭州安恒信息技术有限公司服务热线 :

17 漏洞预警 ion/webaccess 北京广域齐民信息技术有限公司速剑 2005(GCMS) 存在多个漏洞发布时间 : 更新时间 : 受影响产品 : 危害级别 : 攻击途径 : 攻击复杂度 : 漏洞描述 : 北京广域齐民信息技术有限公司速剑 2005(GCMS) 高远程网络低北京广域齐民信息技术有限公司速剑 2005(GCMS) 是一个集内容管理系统多站点管理和页面展示为一体的门户网站创建与管理系统北京广域齐民信息技术有限公司速剑 2005(GCMS) 存在 SQL 注入和跨站脚本漏洞攻击者可以利用漏洞获取数据库敏感信息 ; 在页面中插入恶意 js 代码安全建议 : 目前厂商已经发布升级补丁 / 版本以修复这个安全问题, 请用户及时下载更新领先的应用安全及数据库安全整体解决方案提供商第 17 页共 73 页杭州安恒信息技术有限公司服务热线 :

18 病毒及 0DAY 漏洞预警 2 病毒及 0day 预警 2.1 本周流行网络病毒预警 Worm.Win32.Gamarue.w( 蠕虫病毒 ) 警惕程度病毒运行后查找主流杀毒软件进程, 并尝试将其结束同时病毒还将修改用户的注册表, 以便实现开机自启动除此之外, 该病毒还在后台连接黑客指定网址, 并为恶意网址刷流量, 占用大量网络资源用户一旦中毒, 有可能出现网络拥堵等现象 Worm.Win32.Autorun.tpk( 蠕虫病毒 ) 警惕程度病毒运行后查找主流杀毒软件进程, 并尝试将其结束同时病毒还将修改用户的注册表, 以便实现开机自启动除此之外, 该病毒还在后台连接黑客指定网址, 并为恶意网址刷流量, 占用大量网络资源用户一旦中毒, 有可能出现网络拥堵等现象领先的应用安全及数据库安全整体解决方案提供商第 18 页共 73 页杭州安恒信息技术有限公司服务热线 :

19 病毒及 0DAY 漏洞预警 Trojan.Script.VBS.Dole.b( 木马病毒 ) 警惕程度病毒运行后查找主流杀毒软件进程, 并尝试将其结束同时病毒还将修改用户的注册表, 以便实现开机自启动除此之外, 该病毒还在后台连接黑客指定网址, 并为恶意网址刷流量, 占用大量网络资源用户一旦中毒, 有可能出现网络拥堵等现象 Worm.Mail.NetSky.lz( 蠕虫 ) 警惕程度病毒运行后查找主流杀毒软件进程, 并尝试将其结束同时病毒还将修改用户的注册表, 以便实现开机自启动除此之外, 该病毒还在后台连接黑客指定网址, 并为恶意网址刷流量, 占用大量网络资源用户一旦中毒, 有可能出现网络拥堵等现象领先的应用安全及数据库安全整体解决方案提供商第 19 页共 73 页杭州安恒信息技术有限公司服务热线 :

20 病毒及 0DAY 漏洞预警 2.2 病毒防范措施计算机用户在浏览 Web 网页时, 务必打开计算机系统中防病毒软件的网页监控功能同时, 计算机用户应及时下载安装操作系统已安装应用软件的最新漏洞补丁或新版本, 防止恶意木马利用漏洞进行入侵感染操作系统同时网络管理人员也要定期维护升级网站服务器, 检查服务器所存在的漏洞和安全隐患, 进行及时地修复和加固用户使用杀毒软件务必即时充分升级, 每天升级 2 到 3 次以上, 以保证病毒库获取最新信息警惕不明网站陌生邮件, 尤其注意邮件附件而对于重点网站, 或者热门网站, 如政府网站和各大媒体网站论坛, 很有可能被利用现有的漏洞进行挂马, 或跳转到其他恶意网站做好系统和重要数据的备份不浏览不良网站, 不随意下载安装可疑插件 ; 不接收 QQ 邮件微博私信等传来的可疑文件领先的应用安全及数据库安全整体解决方案提供商第 20 页共 73 页杭州安恒信息技术有限公司服务热线 :

21 病毒及 0DAY 漏洞预警 2.3 0day 漏洞预警拓尔思系统任意文件上传漏洞漏洞概述 2016 年 1 月 26 日, 安恒内部漏洞提交平台收到一枚拓尔思系统的紧急 0day 漏洞, 漏洞可以造成拓尔思的 was 系统文件上传, 这是继 2016 年 1 月 12 日, 拓尔思的 wcm 系统任意文件上传漏洞之后, 拓尔思爆发的又一重量级漏洞由于拓尔思的网站内容管理系统在我国政府行业应用范围广泛, 一旦这批网站被攻击, 将会严重影响政府在线业务的正常运营, 影响相关单位的形象与公信度, 严重者会造成数据泄露敏感信息外泄网站篡改系统被控等后果拓尔思自主研发的 TRS 系列产品已被国内外 3000 多家企业级机构客户广泛使用, 覆盖了众多国家部委和地方政府部门国内主要新闻媒体大型企业集团等漏洞检测方式安恒信息针对此次漏洞, 根据系统指纹对 25 万个全国政府网站进行了抽样检测, 发现我国有 1449 个网站可能受到该次漏洞的影响, 并随机选取了这 20 个网站进行了无危害性的人工测试, 上传了无危害文件, 发现成功率为 95%, 如有需要对全量网站进行人工验证可联系安恒信息风暴中心领先的应用安全及数据库安全整体解决方案提供商第 21 页共 73 页杭州安恒信息技术有限公司服务热线 :

22 病毒及 0DAY 漏洞预警漏洞影响范围风暴中心目前已经对我国 25 万个重要的政府网站进行了抽样检测, 发现 1449 个站点可能受该 0day 影响, 其中湖南江苏受影响情况比较严重, 且有部分部委级别网站也收到该漏洞的影响漏洞修复建议此次抽样的政府网站都可能存在严重风险, 不排除有黑客会针对该漏洞实施攻击, 建议所有受影响的用户尽快采用以下方式修复漏洞应对风险 : 生成的 jsp 模板存放到非 web 目录, 审核通过后, 可移动到 web 目录对内容进行过滤, 不允许 jsp 语言嵌入全局添加登录验证机制及时关注官方补丁漏洞解决方案风暴中心针对此次发生的拓尔思系统任意文件上传漏洞提供以下多种解决方案, 从监测到防御进行全生命周期的安全防护风暴中心网站安全服务, 实时监测网站安全状态网站安全监测服务能对用户的网站提供漏洞检测 0day 漏洞监测网页挂马页面篡改敏感言论域名劫持可用性等多方面的领先的应用安全及数据库安全整体解决方案提供商第 22 页共 73 页杭州安恒信息技术有限公司服务热线 :

23 病毒及 0DAY 漏洞预警监测服务, 通过自动化安全监测技术与安全工程师双重监测, 并提供 7*24 人工值守服务, 保障用户网站安全风暴中心云安全防御服务, 快速有效保障网站安全云安全防御服务可为用户的网站提供云端的 WEB 应用安全防御服务, 用户无需配置任何设备策略, 仅需将 DNS 解析记录进行修改, 就可实现快速有效的安全防御, 风暴中心第一时间进行了本次 0day 的漏洞防御策略更新, 能够有效防御针对此次漏洞的攻击, 保障用户站点安全部署使用安恒明御 WEB 应用防火墙, 防御针对此漏洞的攻击行为明御 WEB 应用防火墙专注于网站及 WEB 应用系统的应用层专业安全防护很好的解决了传统安全产品如网络防火墙入侵防御系统等难以对应用层深度防御的问题这次漏洞目前属于安恒内部挖掘的 0day 漏洞, 安恒公司的 WAF 已经更新策略, 已有部署安恒的 WAF 产品, 可尽快升级策略, 未部署的用户可考虑尽快部署通过部署明御 WEB 应用防火墙可以有效地缓解网站及 WEB 应用系统面临如 OWASP TOP 10 中定义的常见威胁 ; 可以快速地应对恶意攻击者对 WEB 业务带来的冲击 ; 可以智能锁定攻击者并通知管理员对网站代码进行合理的加固领先的应用安全及数据库安全整体解决方案提供商第 23 页共 73 页杭州安恒信息技术有限公司服务热线 :

24 病毒及 0DAY 漏洞预警 OpenSSL 加密算法破解漏洞漏洞概述近日, 出现了 OpenSSL 存在的加密算法破解漏洞 (CNVD , 对应 CVE ) 远程攻击者可利用该漏洞, 获取加密密钥, 并发起后续攻击, 获得用户的敏感信息 OpenSSL 是一个实现安全套接层和安全传输层协议的通用开源加密库, 可支持多种加密算法, 包括对称密码哈希算法安全散列算法等 OpenSSL 存在一处加密算法破解漏洞, 但是该漏洞需要同时满足以下条件 :OpenSSL 版本为 e; 依赖于 openssl 的应用程序的签名算法生成的临时密钥必须基于 Diffie Hellman 密钥交换算法默认情况下, 由于服务器会重复使用相同的临时密钥, 这使得服务器容易受到密钥覆盖攻击当满足上述条件后, 攻击者可以通过服务器发送大量的握手请求, 当有足够多的计算数据完成后, 攻击者可以获取部分密钥值, 并结合其结果与中国剩余定理最终推导出解密密钥漏洞影响范围漏洞影响 OpenSSL e 版本由于 OpenSSL 广泛应用于一些大型互联网企业的网站 VPN 邮件即时聊天等类型的服务器上, 因此对服务提供商以及用户造成的威胁范围较大, 影响较为严重领先的应用安全及数据库安全整体解决方案提供商第 24 页共 73 页杭州安恒信息技术有限公司服务热线 :

25 病毒及 0DAY 漏洞预警比如 : 封装 OpenSSL 应用的 Apache 服务器, 虽然开启了 SSL_OP_SINGLE_DH_USE 选项, 但用户需要检查是否使用不同的私钥算法 ; 而 LibreSSL 代码库以及 OpenSSL 衍伸出的 BoringSSL 代码库以及, 则将 SSL_OP_SINGLE_DH_USE 选项选项弃用, 会受到漏洞影响此外, 基于 DSA 的 Diffie-Hellman 配置也依赖静态 Diffie-Hellman 密钥交换算法套件, 相关应用也会受到影响漏洞修复建议目前, 厂商已发布了 1.0.2f 版本修复该漏洞, 风暴中心建议相关用户及时下载使用, 避免引发漏洞相关的网络安全事件领先的应用安全及数据库安全整体解决方案提供商第 25 页共 73 页杭州安恒信息技术有限公司服务热线 :

26 网站安全及安全事件 3 网站安全及安全事件 3.1 钓鱼与挂马网站统计图 1 截止 2 月 1 日遭受挂马和钓鱼网站攻击人数趋势图本周关注的钓鱼网站 : 钓鱼网站类型危害网址假冒小米官网类钓鱼网站假冒购物类钓鱼网站虚假购物信息, 骗取用户钱财虚假购物信息, 骗取用户钱财 / 领先的应用安全及数据库安全整体解决方案提供商第 26 页共 73 页杭州安恒信息技术有限公司服务热线 :

27 网站安全及安全事件假冒腾讯游戏类钓鱼网站假冒 Paypal 类钓鱼网站假冒 Gmail 邮箱类钓鱼网站虚假软件信息, 骗取用户账号及密码信息骗取用户邮箱账号及密码信息骗取用户邮箱账号及密码信息 s.com/newpp/ review.com/marley/view/f ox/dropbox/ 领先的应用安全及数据库安全整体解决方案提供商第 27 页共 73 页杭州安恒信息技术有限公司服务热线 :

28 网站安全及安全事件 3.2 境外恶作剧型黑客攻击事件提交时间域名备注 1 月 31 日被植入暗链 1 月 29 日被植入暗链 2 月 2 日被植入暗链数据来源 : 风暴中心领先的应用安全及数据库安全整体解决方案提供商第 28 页共 73 页杭州安恒信息技术有限公司服务热线 :

29 网站安全及安全事件 3.3 网站安全防护建议安恒信息作为一家致力于 WEB 应用安全的专业产品和服务提供商, 建议用户进行以下安全建设, 以长期保证用户应用信息系统的安全 1 使用专业的网站安全服务, 实时监测网站安全状态, 风暴中心使用自动化安全监测技术和安全工程师双重监测, 进行并提供 7*24 人工值守服务, 保障用户网站安全同时, 用户可根据监测结果针对性要求开发与安全运维人员为网站进行加固 2 配备专业的 WEB 应用防火墙, 针对来自互联网的主流 WEB 应用安全攻击进行安全防护 3 使用专业的 WEB 云安全防御服务, 及时对 0day 漏洞防御策略进行更新, 第一时间防御漏洞攻击, 快速保障网站安全 4 建立和完善一套有效的安全管理制度, 对信息系统的日常维护和使用进行规范 5 建立起一套完善有效的应急响应预案和流程, 并定期进行应急演练, 一旦发现发生任何异常状况可及时进行处理和恢复, 有效避免网站业务中断带来损失 6 定期对相关管理人员和技术人员进行安全培训, 提高安全技术能力和实际操作能力领先的应用安全及数据库安全整体解决方案提供商第 29 页共 73 页杭州安恒信息技术有限公司服务热线 :

30 4 安全资讯 4.1 国内安全资讯中央政法委 : 构建维护网络安全新格局随着信息技术快速发展和广泛应用, 网络已成为信息传播的主渠道生产生活的新空间国家主权的新疆域中共中央政治局委员中央政法委书记孟建柱 1 月 22 日在中央政法工作会议上分析, 我国面临的安全风险不少来自网络, 网络安全对国家不少领域安全具有牵一发动全身的意义, 没有网络安全就没有国家安全中央政法委要求按照建设网络强国的要求, 坚持网上治理和网下管理相统一专门力量和社会力量相统筹, 构建维护网络安全新格局全力维护网络政治安全孟建柱强调, 要健全工作机制, 及时发现打击编造和恶意传播谣言违法犯罪活动督促互联网企业落实主体责任, 第一时间发现处理有害信息提高对网络违法犯罪的防范打击水平孟建柱分析, 当前, 传统违法犯罪不断向网上蔓延, 网络黄赌毒金融诈骗贩枪传授制爆技术等违法犯罪明显增多, 严重影响公共安全要加强网站网安警务室建设, 加强网警网上公开巡查执法, 健全网上网下一体化打防管控机制, 提高对网络违法犯罪的发现处置能力针对网络犯罪分子跨地域作案等特点, 司法机关要形成打击领先的应用安全及数据库安全整体解决方案提供商第 30 页共 73 页杭州安恒信息技术有限公司服务热线 :

31 网络犯罪合力加强与银行电信及互联网企业的合作, 加大对网络违法犯罪产生链打击力度, 从根本上遏制网络违法犯罪高发势头增强网络安全防护能力孟建柱指出, 我国信息技术产品国产化率比较低, 不少缺少必要的安全防护手段, 易受网络攻击 ; 窃取泄露单位和个人信息等案事件时有发生, 侵犯公民隐私权, 影响国家安全要加大对窃取泄露单位个人信息和企业商业秘密违法犯罪打击力度, 维护公民企业合法权益领先的应用安全及数据库安全整体解决方案提供商第 31 页共 73 页杭州安恒信息技术有限公司服务热线 :

32 元爱奇艺会员只卖 5 元, 揭秘背后黑色产业链近两百元的视频网站年度会员资格, 只需要区区数元就可以买到 ; 而价值十余元的月度会员资格, 甚至只需几分钱此前, 湖北用户刘栋 ( 化名 ) 从未意识到 : 这些以超低价出售视频网站会员账号的 QQ 群淘宝店, 会同自己有什么关联 ; 直到一次偶尔事件的出现, 他才发现原来自己的账号, 也是这个产业链上被黑客觊觎的猎物刘栋以前购买乐视电视时, 曾被赠予了两年会员资格当时, 他家人也知晓该用户名和密码, 因此当他登录账号, 即使偶尔看到陌生的观影记录, 也并未多加留意直到 2015 年 12 月, 刘栋为岳母购买了一部乐视手机, 在输入自己乐视账号和密码后, 突然乐视云里多出了很多同步下载的视频照片内容, 其中还有大量女性裸体照片我当时特别尴尬, 妻子还为此怀疑我是不是生活作风有问题面对这些从天而降的图片, 刘栋百口莫辩他开始怀疑自己账号被盗, 便赶紧修改了账号密码, 同时想要查清事情的来龙去脉就在这时, 刘栋自己的微博 ( 刘栋乐视账号和微博账号一致, 均为一邮箱账号 ) 收到了一位网友的私信, 对方声称, 自己此前一直用该账号在乐视手机上看视频, 由于刘栋变更了密码, 导致其乐视手机被锁, 因此向他询问更改后的密码刘栋质问对方为何有自己的账户名和密码, 对方说是在网上购买的同时, 对方还发来一张当时的交易截图, 显示有其账号和密码领先的应用安全及数据库安全整体解决方案提供商第 32 页共 73 页杭州安恒信息技术有限公司服务热线 :

33 在这张截图中, 卖家还特意叮嘱, 不要修改账号密码, 否则造成不能使用至此, 刘栋才知道自己乐视账号不仅被他人盗取, 而且还被用来交易牟利盗号销售已成产业链账号被盗卖, 刘栋并非是特例记者在网络上搜索发现, 很多用户都遭遇过类似的事情很多用户都反映自己的账号被盗卖, 致使自己观影受阻记者加入了多个视频会员共享 QQ 群, 发现这几个群里, 不时有用户发布低价销售各家会员账号的信息 1 月 23 日, 记者联系上了一位销售者, 得知支付 5 元, 就可以获得爱奇艺一年的黄金会员资格, 而在爱奇艺官网上一年 ( 赠送 3 个月 ) 会员价格为 195 元在记者支付了 5 元后, 对方发来一组账号和密码 ; 尽管页面提示为异地登录, 但记者还是顺利进入页面显示, 账号有效期至 2016 年 2 月 23 日该卖家表示, 账号若到期, 可以自动续费记者询问 : 账号来源于何处? 卖家称是刷出来的, 至于具体操作细节, 卖家并不愿多谈, 只是称只要缴纳 30 元代理费, 就可以低价大量拿货, 一组账号和密码一年 3 元在一个名为乐视会员批发群内, 有一位名为货源扫货器的卖家, 经常在群内发布信息优酷乐视搜狐迅雷账号批发记者以有意从事批发为由, 联系到了这个卖家领先的应用安全及数据库安全整体解决方案提供商第 33 页共 73 页杭州安恒信息技术有限公司服务热线 :

34 该卖家告诉记者, 账号分为黑号 ( 指盗取的账号 ) 和白号 ( 指自己充值购买再次售卖的账号 ), 以乐视会员为例, 使用黑号每月只要交 0.5 元, 最多可以给 3 个人使用 ; 使用白号的话, 每月需交 2 元, 最多可以给 20 个人使用该卖家还告诉记者, 即便是黑号, 也分一手黑号 ( 即刚刚被盗取进入市场售卖的账号 ) 和二手黑号相对于在市场上流通多次已被多人掌握账号及密码的二手黑号, 一手黑号的观影效果无疑更为稳定 1 月 18 日, 记者在淘宝上发现, 有一些店铺在以明显低于市场价的价格销售视频企业的会员账号, 涉及的视频网站有搜狐迅雷爱奇艺乐视等, 销售记录从三五条到上千条不等, 相关评论也有数百条在这些评论中, 有用户称便宜也能买到好货 ; 有用户则反映一登录账号就出现提示, 称会员账户已被多人使用, 暂时无法播放 ; 也有用户直呼上当, 称账号还未到期, 就提示密码错误无法登录前述卖家告诉记者, 那种反映无法播放的用户, 买到的可能就是二手黑号 ; 而提示密码错误的, 则有可能是同时登录账号人数过多, 也有可能是盗号行为已被原用户发现, 及时更改了密码张祖优是互联网安全企业知道创宇的漏洞社区负责人, 他告诉记者, 用户出现账号被盗卖的情形, 首先, 可能由于视频网站本身遭遇过拖库 ( 即黑客入侵有价值的网站, 盗走用户数据库 ) 此外, 根据腾讯最新发布的移动支付网络黑色产业链研究报告, 有超过领先的应用安全及数据库安全整体解决方案提供商第 34 页共 73 页杭州安恒信息技术有限公司服务热线 :

35 七成被调查者称, 自己多个网络账号都使用同一用户名与密码, 特别是青少年, 多账号使用同一密码的比例更是高达 82.39% 网上交易保障中心副主任乔聪军对记者表示, 这样的密码设置习惯, 使得黑客或其他不法分子一旦获得一组账号信息, 就可以尝试在其他网站, 比如视频网站进行登录, 使得黑产分子拖库撞库的成功率更高 ; 所以作为用户, 必须提高自己的安全意识移动安全专家李铁军告诉记者, 这些售卖者所谓的刷号扫号, 就是通过已有数据库中得到的账号进行撞库, 如果撞库成功, 就算扫号成功, 然后将其进行销售中国互联网协会政策与资源委员会专家成员北京市盛峰律师事务所主任律师于国富对法治周末记者表示, 早期的黑客, 并不涉及经济利益, 而是通过突破他人的技术安全措施来炫耀自己的高超技术 ; 但是, 近年来, 黑客行为越来越产业化, 有的甚至形成一整条产业链盗号销售情节严重可追刑责在网络黑产链条中, 窃取账号密码的黑客分销商等分工配合, 不仅严重损害网站方的权益, 也损害到了账号原持有人的合法权益于国富表示, 鉴于其造成严重社会危害, 对于该产业链中的任何一个环节, 都应当予以严厉打击领先的应用安全及数据库安全整体解决方案提供商第 35 页共 73 页杭州安恒信息技术有限公司服务热线 :

36 对于卖家通过黑客手段获取了他人账号和密码的行为, 可以根据不同的案情, 追究黑客非法侵入控制破坏计算机信息系统罪 ; 如果相关账号有明显的金钱权益, 还可以盗窃罪名追究黑客责任于国富说而对于明知是黑客窃取账号密码而进行销售的行为, 于国富认为, 在社会危害性已达到刑事追究程度的情况下, 该行为人应被当作共犯而予以追究而对于被盗账号密码的持有人来讲, 于国富认为他们并非没有损失一方面, 新的持有人有可能通过修改密码, 使原持有人丧失会员服务权利 ; 另一方面, 会员账号中的个人信息观看记录财产权益被他人非法获取和控制后, 原持有人必然受到个人信息泄露财产丧失等损失西安交通大学信息安全法律研究中心副主任王玥对法治周末记者表示, 在大部分的司法判例中, 侵犯公民个人信息罪里面的个人信息, 指的是可以识别公民个人的信息 ; 在视频网站的用户账号中, 可能会有用户购买视频网站服务的记录观影记录等, 这类购买记录, 就可以被视为个人信息即使卖家是以公开渠道获得用户账号和信息, 再进行售卖, 只要盗号销售数量大情节严重, 就有可能触犯刑法中的侵犯公民个人信息罪王玥说商家在出售商品前, 应当对商品的合法性承担责任, 这点毋庸置疑于国富表示,QQ 群是相对封闭的空间, 而领先的应用安全及数据库安全整体解决方案提供商第 36 页共 73 页杭州安恒信息技术有限公司服务热线 :

37 电子商务网站更为开放, 对平台上的实体商品和虚拟商品, 网站应当加大监控力度对此, 淘宝工作人员表示, 淘宝一直依据视频网站提供的线索以及阿里自身的关键词搜索大数据技术, 对违法违规销售视频企业会员账号的店铺进行定期清理在采访中, 淘宝这一做法也得到了爱奇艺等视频网站工作人员的印证视频企业已推反制措施为了保障公司正常收益, 也为了保障会员有良好的观影效果, 记者了解到, 视频企业已在会员协议明确规定, 不准转让或售卖会员资格如爱奇艺在用户协议中规定,VIP 会员服务仅限于申请账号者自行使用, 禁止赠与借用租用转让或售卖, 否则爱奇艺有权在未经通知的情况下, 取消转让账户受让账户的 VIP 会员服务资格同时, 爱奇艺明确了自己的技术反制措施 : 同一爱奇艺 VIP 账号, 只允许在最多 5 个设备上使用, 且同一时间同一账号, 仅可在两个设备上登录观影, 超出上述范围使用的, 爱奇艺系统将自动封禁该账号 1 月 25 日晚间, 记者用前述购买的爱奇艺会员账号尝试登陆, 结果就发现无法登陆, 并出现如下字样 : 您的会员账号正在被多台设备同时使用, 根据爱奇艺会员服务协议, 我们将停止在当前设备领先的应用安全及数据库安全整体解决方案提供商第 37 页共 73 页杭州安恒信息技术有限公司服务热线 :

38 上提供会员服务如想在该设备上观看, 请关闭其他正在使用该账号播放的设备或立即修改密码优酷也在用户协议中规定, 禁止将优酷网账户有偿或无偿提供给任何第三人, 禁止其通过该账户观看费他付费购买的收费视频如果同一账户在 15 分钟内有超过 4 个及以上的 IP 访问, 优酷方面将关闭该账户服务 30 分钟于国富表示, 在线会员服务协议, 在不违反法律法规的情况下, 应属有效合同, 各方均应依约履行, 账号和密码, 是网站为给注册人提供互联网信息服务而提供给注册人的使用凭证即使是所谓的白号, 于国富也表示, 在合约中明确规定服务账户不得转让受让的情况下, 初始注册人将账号密码转让出租给他人, 违反合同中的相关约定爱奇艺工作人员告诉法治周末记者, 这种盗号销售白号恶意共享不仅会影响公司的收益, 更重要的是, 也会影响初始用户的观影体验记者了解到, 很多视频企业都拥有大数据技术, 可以根据用户的观影记录, 为用户推送符合用户兴趣爱好的具有个性化特点的影片和服务如果账户一旦被盗, 或者被他人共享, 那么观影记录将会非常混乱, 公司也无法提供给用户良好的服务该工作人员说王玥认为, 针对视频行业盗号销售账号恶意共享的现象, 应该法律管理技术用户教育四位一体予以治理 : 针对个人信息领先的应用安全及数据库安全整体解决方案提供商第 38 页共 73 页杭州安恒信息技术有限公司服务热线 :

39 保护的立法应该进一步跟上, 执法机构也应当加大执法力度, 而视频网站也应当革新技术和管理手段, 防范撞库盗号等事件的发生 ; 对于用户, 也应当加强安全契约教育 ; 只有四者联动, 方能从根源上杜绝此类行为的发生男子换手机号忘解绑支付宝 : 银行卡 4000 元没了近日, 作为资深剁手族的市民李先生郁闷不已, 银行卡上的 4000 余元被莫名其妙转走了经警方调查, 竟是他以前的手机号出卖了他办案民警郑旺称 : 李先生卡内的 4000 余元, 是被他的支付宝转出的, 经过调查发现系杨某在注册支付宝时发现李先生账户有钱, 于是趁机修改密码将李先生卡中的钱财转出目前, 杨某已退还了钱财, 由于杨某系未成年人, 民警经过教导后责令其家长带回严加管教领先的应用安全及数据库安全整体解决方案提供商第 39 页共 73 页杭州安恒信息技术有限公司服务热线 :

40 手机换号 : 银行卡里的钱被人转走宜宾市民李先生喜欢网购, 早在 2012 年便用手机号码注册了支付宝账户并绑定了银行卡此后, 李先生更换了手机号码, 却忘记消除与支付宝银行卡等关联绑定近日, 李先生准备把这笔钱取出来, 却发现自己的银行卡上消失了 4000 余元钱, 查询转账记录, 这笔钱到一个陌生的账户上去了 1 月 19 日中午, 李先生到宜宾筠连县公安局塘坝乡派出所报案民警调查后发现, 是李先生自己的支付宝把这笔钱转出去的李先生称 : 我敢保证近期我没有转账, 手机支付宝帐号银行卡帐号密码也没给别人说过办案民警郑旺介绍, 根据李先生提供的转账记录等线索, 追踪相关信息, 查到了未成年人杨某正在使用李先生原来的手机号, 通过侦查, 锁定杨某就是盗取李先生银行卡内现金的犯罪嫌疑人 1 月 19 日下午, 在珙县将杨某抓获领先的应用安全及数据库安全整体解决方案提供商第 40 页共 73 页杭州安恒信息技术有限公司服务热线 :

41 杨某介绍, 他是在使用新办理的手机号注册支付宝时, 意外发现该号码绑定了银行卡和支付宝, 想到通过他手机号修改李先生的密码看里面有钱没有, 得到验证码后顺利修改密码, 进到李先生账户里面去了, 看见还有 4000 余元, 于是采取购物和转账等方式将其盗取民警提醒 : 换号记得解绑支付宝等杨某称 : 被民警找到并且逮捕后, 才意识自己将李先生银行卡 4000 余元转出的行为, 已经是触犯了法律是犯罪行为, 十分悔恨自己因一时贪念而误入犯罪歧途目前, 由于杨某认识到错误, 已积极退还了李先生的全部损失, 杨某系未成年人, 民警经过教导后责令其家长带回严加管教民警提醒, 希望市民注意个人信息的安全, 在注销手机号码时, 记得向相关绑定电话的机构, 及时进行更换或者取消, 保证个人的信息不被泄露, 以免被不法分子利用, 也避免给新使用的用户造成困扰领先的应用安全及数据库安全整体解决方案提供商第 41 页共 73 页杭州安恒信息技术有限公司服务热线 :

42 4.1.4 警惕! 这六种微信红包千万不能碰现在玩微信红包的人越来越多, 尤其是春节就要临近了, 很多人早已经摩拳擦掌, 甚至提前开始预热了不过, 有专业人士提醒说, 玩微信红包也要小心, 不仅要注意防骗, 还要防止落入赌博的陷阱, 否则严重的可能涉嫌犯罪第一种是需要个人信息的比如, 领取红包时要求输入姓名手机号银行卡号等, 这种很可能是诈骗 ; 第二种是分享链接抢红包的有些朋友圈分享的红包, 比如送话费送礼品等, 点开链接的时候要求先加关注, 还得分享给朋友这种红包涉嫌诱导分享和欺诈用户, 点击右上角的举报即可 ; 第三种是与好友共抢的红包, 朋友圈有不少跟好友一起抢红包的活动, 要求达到一定金额才能提现, 这时候要格外注意红包页面的开发者是否正规, 因为它很可能只是一种吸引粉丝的骗局 ; 领先的应用安全及数据库安全整体解决方案提供商第 42 页共 73 页杭州安恒信息技术有限公司服务热线 :

43 第四种是高额红包 ; 如果收到比如之类的, 基本可以确定是假的, 因为单个微信红包的限额是 200 元 ; 第五种是 AA 红包的骗局这类红包往往对微信 AA 收款界面进行略微的改动, 并加上送钱现金礼包等这样的字样, 让用户误以为是在领红包, 但实际上是付钱给对方 ; 第六种就是拆红包输密码真正的微信红包, 一般点击就能领取, 是绝对不需要输入密码的除了这几种红包外, 还要注意的是, 有不法分子可能会效仿双十一时一些电商发红包的做法, 发布山寨网页, 借此收集网友的个人信息 ; 或是通过点击量来增加公众号的阅读量, 大家也最好不要登陆不熟悉或者是不正规的网站微信红包通常分为两种 : 一种固定金额的普通红包, 还有一种就是随机金额的拼手气红包在这种拼手气红包中, 很多都是红包接龙的玩法, 由于随机性比较强, 很容易就沦为赌博的工具如果组织者或参与者有是抱着获取数额较大的财物的想法, 而不是娱乐的目的, 那么无论是建立微信群的人还是参与人, 都可能涉嫌赌博罪只要参与下注赌博, 痕迹就都会留在微信上, 警方能联合运营商来取证调查如果微信群管理员利用手段控制开奖结果, 还可能涉嫌诈骗所以提醒公众, 娱乐归娱乐, 千万不要用微信红包来赌博领先的应用安全及数据库安全整体解决方案提供商第 43 页共 73 页杭州安恒信息技术有限公司服务热线 :

44 4.1.5 先谎称断网后恐吓洗钱, 男子被骗 105 万元房山的赵先生在家接到宽带公司的电话称要断网, 并给了赵先生客服电话赵先生随即掉进连环陷阱, 诈骗分子冒充宽带工作人员公安局刑警公证处工作人员等, 谎称赵先生涉及洗钱案, 指导其在电脑上安装远程控制软件, 将赵先生 105 万元转走记者近日从房山警方获悉, 此案正在进一步调查中在家接到诈骗电话去年 7 月 29 号, 家住房山燕山地区的赵先生正在家里上网看股票时, 座机接到一个语音电话语音电话说我家两个小时后要断网, 并给了我一个电话号码让联系客服赵先生介绍, 他通过这个电话联系了客服, 客服说我的身份证办了一张电话卡, 因为这个号码发了很多影响群众的恶意短信, 我已经上了黑名单我当即予以否认, 他们就让我联系东城公安分局的刑警, 说开一个证明才能把我从黑名单上撤下来赵先生随即按照客服给的电话联系上了东城公安分局刑警, 一名熊姓警官接了赵先生的电话当时我还在电话里听到有人叫他熊警官赵先生说, 他和熊警官解释了自己没发过这种短领先的应用安全及数据库安全整体解决方案提供商第 44 页共 73 页杭州安恒信息技术有限公司服务热线 :

45 信, 熊警官说可能别人冒用了他的身份证办的电话卡, 说可以帮赵先生查询一下很快, 熊警官告诉赵先生, 他涉及一起很复杂的洗钱案, 现在要冻结他所有资产, 并且要冻结 3 到 4 年赵先生说, 他爱人刚刚下岗, 家里还有孩子上学, 如果资产被冻结, 家里就没有生活来源了我一听说资产面临冻结就着急了, 让熊警官帮忙想办法赵先生回忆, 熊警官说可以帮他联系某公证处的主任郭某帮忙处理赵先生与郭某联系后, 郭某要求赵先生提供他所有的账户及账户内金额, 并称先将他账户内的存款转走, 之后再将存款转回随后, 赵先生按照郭某的要求, 在电脑上进行了一系列的操作骗子 5 次转走 105 万办案民警介绍, 郭某先让赵先生将电脑上所有的安全防护软件卸载, 之后让他下载了一个远程控制软件安装在电脑上赵先生说, 按照郭某的要求, 他把 U 盾插在电脑上, 还按郭某的要求关了电脑显示器, 并在 U 盾的显示屏上贴了创可贴民警介绍, 诈骗分子让赵先生关闭显示器屏幕及在 U 盾屏幕上贴创可贴, 均是为了避免让赵先生看到转账的过程据查, 赵先生的 105 万元存款被分 5 次转走, 最高的一笔转走 78 万元据民警介绍, 他们根据网上监控线索找到被骗的赵先生时, 赵先生还蒙在鼓里, 仍在和诈骗分子电话联系事后, 赵先生称, 因为他家附近的宽带线路恰巧在改造, 再加上这阶段自己家庭的原因, 所以轻易相信了诈骗分子的话, 已追悔莫及领先的应用安全及数据库安全整体解决方案提供商第 45 页共 73 页杭州安恒信息技术有限公司服务热线 :

46 4.2 国际安全资讯美国教育部面对网络攻击毫无招架之力今天华尔街日报发表了一篇题为华盛顿的下一个黑客攻击目标? 的社论, 警告称美国教育部很可能引发一场网络安全灾难今天召开的国会听证会旨在探讨教育部在保护数据免受网络攻击影响方面的不力表现该部门掌握的数据包括每年作为学生贷款的高达 1000 亿美元的相关信息在中国黑客 ( 疑似 ) 入侵美国人事管理办公室事件之后, 美国政府方面需要一流的信息管理人员而非将其视为闲职工作对待的阿猫阿狗肩负起相关职责, 这份社论指出众议院主席指出教育部体系经常性遭遇故障众议院监督主席 Jason Chaffetz 指出, 外部与内部审计人员曾反复强调教育部经常性遭遇故障他表示该部门掌握的学生贷款借款人领先的应用安全及数据库安全整体解决方案提供商第 46 页共 73 页杭州安恒信息技术有限公司服务热线 :

47 及其父母相关数据必须得到严格保护, 否则与之相关的针对性数字入侵活动将造成严重后果他同时指出, 该部门共拥有总计 1.39 亿条社保号码优秀学生贷款总额度超过 1 万亿美元, 而奥巴马总统则表示将减免这部分贷款产生的利息一旦网络犯罪分子获取到这部分信息, 将能够借此对纳税人进行疯狂掠夺, 这篇社论提到教育部监察长 Kathleen Tighe 在去年 11 月报告称, 部门内的信息安全缺陷屡次出现而审计工作亦发现, 该部门的关键性财务系统自 2009 年以来不断曝出 IT 控制缺陷, 她表示 2015 年的一次内部信息安全审计则发现了更多问题, 其中包括无法正确识别接入网络的未授权设备监察长还注意到, 其内部入侵检测与渗透防御系统存在致命缺陷她指出, 她的团队能够全面侵入教育部网络, 而承包商提供的监督系统乃至该部门本身完全未能发现这一状况监察长调查相关 CIO 监察长办公室还对教育部 CIO Danny Harris 进行调查, 根据华尔街日报披露的内部文件, 这位技术领导者被怀疑存在政府资产滥用以及其它违法行为监察长助理 William Hamel 在 2013 年曾报告称,Harris 曾经剥夺其下辖部门人员的正常收入, 并要求另一些员工帮助其个人进行车辆美容与家用热水器安装领先的应用安全及数据库安全整体解决方案提供商第 47 页共 73 页杭州安恒信息技术有限公司服务热线 :

48 Harris 在自己的证词当中表示, 他目前已经中止了与教育部之间的财务关系, 并表示从没有利用车辆美容为自己牟利另外, 他还修改了纳税申报资料, 将此前未行申报的家庭影院安装纳入收入形式美国重新调整黑客工具出口军控规则美国政府正在着手重拟一份建议, 旨在对 20 年前定稿的原有军控规则做出调整, 从而简化黑客与监控软件等可作为安全计算机网络元素之相关工具的出口流程领先的应用安全及数据库安全整体解决方案提供商第 48 页共 73 页杭州安恒信息技术有限公司服务热线 :

49 根据本周二公布的一封信件, 白宫目前表示, 其支持美国向海外提供用于合法网络安全行为的网络入侵工具各行业团体与国会议员此前曾提出, 对这类黑客工具传播做出过于宽泛的限制有可能产生意想不到的结果, 甚至给美国国家网络安全乃至研究产生负面影响作为 1996 年瓦森纳协议的 41 个成员国之一 ( 协议要求各国对全球领先级别的军备与特定技术成果的出口做出限制 ), 美国于 2013 年曾同意对那些可能落入专制政权手中的网络入侵软件做出限制奥巴马政府同意保证这些来自非法人员的技术成果绝不可被用于合法网络安全行为之外的范畴, 国家安全委员会立法事务高级主任 Caroline Tess 在一封信中指出这封信件由国会网络安全众议员 Jim Langevin 公开发布领先的应用安全及数据库安全整体解决方案提供商第 49 页共 73 页杭州安恒信息技术有限公司服务热线 :

50 Tess 指出, 白宫方面已经加强了与美国各官员以及行业的讨论, 而美国商务部将针对最终规则公开征求意见, 并在得出共识性结论后发布修订版草案不过 Langevin 在本周二的一份声明中指出, 目前这项规则的问题可能取决于其内容本身其中要求对 2013 年的协议做出重新磋商以限制此类高危工具拿出这样一份行之有效的美国黑客工具出口规则再次凸显了将物理物品之出口限制政策施加于虚拟世界的巨大难度, 这是因为虚拟领域的网络安全性主要取决于自由信息流的传播速度众多企业在多个国家拥有分支机构, 并需要跨越极广地理区划由当地员工对其企业网络进行测试去年 5 月, 美国商务部下工业与安全局提出了禁止进攻性工具传播的意见其进攻性工具之定义为利用零日漏洞或者非经补丁修复之新型安全漏洞, 从而允许使用者以管理员级别权限访问系统的软件工具不过在网络层面, 渗透其实是一种防御性工作, 其用于测试当前防御机制的实际效果, 入侵测试工具供应商 Rapid 7 有限公司发言人 Jen Ellis 表示用户出于积累经验与专业知识的目的而进行自我攻击, 这意味着出于防御的目标而实施进攻这是一类典型的实例, 我们无法对其进行一刀切式的粗暴对待方式这类攻击活动立足于内部, 而且有其必要性领先的应用安全及数据库安全整体解决方案提供商第 50 页共 73 页杭州安恒信息技术有限公司服务热线 :

51 这家总部位于马萨诸塞州波士顿市的网络安全厂商已经将业务推广到 90 个国家 2013 年的协议增项还涵盖了用于开发入侵软件的技术, 这亦成为反对者研究结论中的一大重要内容美国规则草案要求对研究结果进行公开, 但某些针对安全漏洞的修复工作则可私下进行, 从而避免恶意人士借此窥探到现存之系统缺陷为了将入侵软件或者信息交付非美国及非加拿大接收对象, 各企业需要耗时数月为此专门申请许可全球政府事务与网络安全策略副总裁 Cheri McGuire 表示 : 赛门铁克公司每年需要申请约 20 份出口许可, 并针对议案要求对未来许可需求数量进行了预估我们数到了 1000 项就放弃继续计数了, 而且我们甚至不知道最终实际数字会是多少, 因为每项实例 ( 包括信息或者工具共享 ) 都需要一份与之对应的出口许可我们需要申请上千份许可, 而目的仅仅是继续开展我们的正常业务, McGuire 解释称她将此称为一场官僚主义引发的噩梦领先的应用安全及数据库安全整体解决方案提供商第 51 页共 73 页杭州安恒信息技术有限公司服务热线 :

52 美国规则草案亦引起了网络安全专业人员活动家以及议员的广泛批评, 人们发布了近 300 项评论, 认为这将严重削弱网络安全水平工业与安全局正在对其内容进行调整, 预计将在今年上半年发布美联社就此进行求证, 但对方政府发言人没有对去电或邮件做出任何回应全部企业都就此达成了共识, 即以独裁手段压制软件供应业务是错误的, 商业软件联盟 ( 其成员包括苹果 IBM 甲骨文戴尔以及微软 ) 的 Craig Albright 表示但这一次对全部日常使用之网络安全产品进行无差别扫荡的作法根本不是对错的问题这是种极其可怕的作法欧盟美国就个人数据跨境交换达成共识据路透社报道, 欧盟和美国谈判代表周二就欧洲用户的数据跨境交换问题达成一致意见根据新协议, 类似谷歌和亚马逊等公司将不再受到欧盟个人数据保护条例的限制, 可跨越太平洋将用户信息传回至美国不过新协议目前仍然需要获得政治上的批准欧洲数据保护领先的应用安全及数据库安全整体解决方案提供商第 52 页共 73 页杭州安恒信息技术有限公司服务热线 :

53 部门当前正在布鲁塞尔进行为期两天的会议, 该机构曾一度表示会限制数据传输, 除非有好的交易达成欧盟委员会表示, 新的隐私保护条例将会让美国企业在保护欧洲公民个人数据上承担更多的责任, 并也会要求美国相关部门提供更严格的监视和执行我们第一次收到了来自美国的书面保证, 其中详细说明了美方将如何保护和限制他们的监视项目欧盟委员会副主席安德鲁斯安西普 (Andrus Ansip) 表示, 在商业领域, 我们将会获得美国商务部和联邦贸易委员会的支持, 他们将负责保证美国的公司遵守保护欧盟用户个人数据的义务领先的应用安全及数据库安全整体解决方案提供商第 53 页共 73 页杭州安恒信息技术有限公司服务热线 :

54 4.2.4 知名安全公司 Norse Corp 濒临倒闭边缘据 Brian Krebs 报道, 继上周加利福尼亚的一家网络安全公司 Norse Corp 的 CEO 被迫辞职后, 这家公司面临倒闭的处境 Krebs 称这家公司创建于 2011 年, 后来逐渐成长为最知名的网络安全公司之一, 该公司的实时攻击地图为很多新闻媒体报道帮了大忙上周, 公司董事会要求其 CEO Sam Glines 从公司离职同时董事会还通知公司员工周一可以继续上班, 但不能保证他们能得到报酬几个星期前,Norse 刚裁员 30% 同时, 公司的网站也已离线, 著名的实时网络攻击地图已停止显示任何信息, 该地图涉及 47 个国家, 有 800 万安装在服务器的传感器究其原因 :2015 年 Norse 发布的一份假报告 Krebs 试图解释了 Norse 会有如此下场的原因, 该公司进行了反向并购伪造安全威胁报告非法运作空壳公司, 这些在美国都是明令禁止的行为领先的应用安全及数据库安全整体解决方案提供商第 54 页共 73 页杭州安恒信息技术有限公司服务热线 :

55 Dragos Security 的 CEO 罗伯特李认为伪造安全报告的败露导致了该公司的衰亡早在 2015 年 4 月, 罗伯特李阐明了 Norse 公司怎样通过蜜罐服务器收集数据, 并将收集到的数据展现为来自现实生活的攻击, 部分虚假数据被写入一份报告, 将美国 ICS/SCADA 系统遭受攻击事件归咎于伊朗黑客匿名者组织入侵哥斯达黎加政府服务器匿名者组织与 LulzSec 组织的支持者们一起入侵了哥斯达黎加外交部的服务器并且泄露了在其中的注册用户的登录信息这一次活动是以 OpPuraVida 运动为旗号进行的领先的应用安全及数据库安全整体解决方案提供商第 55 页共 73 页杭州安恒信息技术有限公司服务热线 :

56 OpPuraVida 是一个正在运行中的活动, 目标是反对哥斯达黎加政府签署的中美洲自由贸易协议该协定建立了参与国间国家级的伙伴合作关系, 所有的参与国家都将受到一系列相当隐秘的经济协议约束, 许多人认为这给予了外国公司更多权利, 甚至超过本国公民可以享有的其中, 反对者主要针对的是哥斯达黎加 Harken 控股公司一家与德克萨斯州 Harken 控股公司有密切联系的前总统布什的石油公司与洛杉矶 MKJ 梅泰里探索公司的合作以色列无人机被黑客入侵, 大量机密影像遭到曝光到目前为止, 一直有报道指出无人机很可能成为黑客攻击的潜在对象, 事实上与此相关的真实案例也已经出现只不过我们一直未能获得来自被侵入无人机的影像资料领先的应用安全及数据库安全整体解决方案提供商第 56 页共 73 页杭州安恒信息技术有限公司服务热线 :

57 不过感谢 The Intercept 提供的宝贵资讯, 如今我们已经掌握到这一罕见数据 The Intercept 日前披露了美国国家安全局与英国情报部门政府通信总部联合进行的, 针对以色列无人机在塞浦路斯境内之侵入行动获得的调查结果两个机构希望能够获得以色列方面在加沙地区巴勒斯坦以及伊朗所执行之行动的信息, 同时亦计划借此了解以色列无人机的具体功能根据爱德华斯诺登提供的泄露文件以及 The Intercept 之前报道显示, 在这一代号为无政府主义者的计划之下, 英国与美国情报部门收集到了大量来自以色列无人机的快照图像以及其用于指引行进路径的地图数据这些具体图像全部收集于 2009 年到 2010 年, 不过 The Intercept 方面指出, 由 JPost 发布的来自英国政府通信总部与美国国安局的情报报告涵盖了更为广泛的时间节点 ( 从 2008 年到 2012 年 ) 领先的应用安全及数据库安全整体解决方案提供商第 57 页共 73 页杭州安恒信息技术有限公司服务热线 :

58 4.2.7 工业互联网迎来新的 SCADA 系统保护机制 2014 年 11 月, 来自本古里安大学的研究人员披露了 AirHoppe r 这是一种恶意软件, 能够迫使计算机设备以键盘记录的形式将敏感信息通过 FM 波段传输至移动接收端该研究团队还进一步展示了基于 AirHopper 的攻击行为, 其能够在不存在网络短信乃至 Wi-Fi 连接条件的环境下成功完成攻击具体来讲, 这一发现意味着计算机间连接体系安全保护的关注范围进一步扩大即使是与互联网以及本地可用网络间完全隔离 ( 理论上 ) 的计算机也有可能受到攻击影响当时, 一部分观察人士仍然认为这种断网机制能够切实保护系统安全举例来说,Dark Reading 网站的 Erika Chickowski 认为系统管理员可以通过切实音频功能限定相关功能使用以及禁止在设备附近使用移动设备的方式阻止以声音乃至红外线为载体的恶意命令, 从而对抗 AirHopper 及其它新兴攻击向量然而他们的观点如今正受到一波波沉重冲击领先的应用安全及数据库安全整体解决方案提供商第 58 页共 73 页杭州安恒信息技术有限公司服务热线 :

59 目前, 安全行业中的大部分从业者认为利用物理间隔实现安全保障的方式已经不再可行当然, 这并不是说真正的物理间隔已经不复存在监控与数据采集 ( 简称 SCADA) 安全领域权威专家 Eric Byres 在 Belden 的博客上发布了一篇讨论小型系统的文章, 其中写道像数字化恒温控制热泵这类装置很有可能与任何网络保持隔离, 但与之连接的温控器无线智能插头以及家居系统中的其它零散设备仍然可能给其带来日益高企的安全隐患当然, 物理隔离在那些负责保护国家关键性基础设施包括电网设施以及交通系统的系统中早已彻底消失 : 根据我们开展的数百项针对私营部门的安全漏洞评估, 我们迄今尚未发现任何能够彻底将企业网络同 SCADA 系统以及能源管理系统彻底隔绝的现行方案, 美国国土安全部下辖国家网络安全与通信集成中心 ( 简称 NCCIC) 主任 Sean McGurk 先生指出平均来讲, 我们发现这些网络之间的直接连接通道数量为 11 条在某些极端情况下, 我们发现生产网络与企业网络之间的连接通道数量高达 250 条简单来讲, 大部分现代控制系统都在高度依赖利用无线通信机制从外部来源处获取信息流企业与各机构一直需要新的补丁以保证软件处于最新版本, 因此新的传输通道也在被不断建立例如通过 U 盘或者笔记本设备而这就使得隔离系统与基于 SCADA 的恶意软件之间存在对接可能性, 包括恐怖的 Stuxnet 领先的应用安全及数据库安全整体解决方案提供商第 59 页共 73 页杭州安恒信息技术有限公司服务热线 :

60 而这种状况仅适用于外部威胁正如 Belden 博客在一篇文章中所指出, 大多数工业安全事故都源自其控制网络内部这不仅使得物理隔离毫无用武之地, 同时也揭示了关键性系统很可能由于错误配置的防火墙糟糕的网络分割方式未更新软件设备错以及 BlackEner gy 等恶意软件 ( 其最近刚刚被发现, 感染了乌克兰境内鲍里斯波尔国际机场中的一套工作站, 并且造成了世界上第一起基于恶意软件的电力中断事故 ) 而遭遇入侵如果物理隔离已经成为过去, 那么系统管理员与控制工程师们应该如何保护现代 SCADA 系统? 未来的道路取决于基础网络与运营安全实践 Trend Micro 公司资深威胁研究顾问 Paul Ferguson 在一份报告中解释了人们需要如何集中精力以最大程度降低风险, 同时保持对不断变化的安全态势的适应能力工业控制系统网络与企业网络内其它组件间的对接架构决定了实际安全性水平, Ferguson 评论称为了保护敏感工业控制系统网络, 必须采取适当的流量划分机制访问限制控制与验证方案, 同时对流量及警示日志进行分析, 并对警示通知加以妥善处理通过 IEC 之说明将防御机制深层嵌入至设计方案当中, 人们将能够充分享受到以风险为基础的安全体系所带来的种种便利而将系统划分为若干个分区并对各分区间通信内容加以保护, 我们可以领先的应用安全及数据库安全整体解决方案提供商第 60 页共 73 页杭州安恒信息技术有限公司服务热线 :

61 使用能够理解工业系统间各类通信协议的特定防火墙实现安全水平强化与保护同样的纵深防御方法也适用于 SCADA 系统与企业或者外部世界相对接的场景, 而这类场景也正在以工业互联网或者工业物联网的姿态快速普及在 Computing 网站发布的一篇文章当中, 通用电气公司 CTO 兼副总裁 Harel Kodesh 将工业互联网描述为三层式构成 : 边缘层中间层与云环境层通过保护边缘设备并在网关层安装传感器, 企业能够进一步实现云环境保护, 特别是配合针对安全性进行过优化的服务器并确保其根据边缘设备与网关间共享信息进行配置的情况之下大家可以采用态势感知机制, Kodesh 指出如果大家发现某个 IP 地址正尝试接入位于波兰的一座发电站, 但同样的 IP 亦在连接英国本土的某座电站, 那么务必马上对其进行检查如果大家单纯运营自己的系统, 那么肯定得不到此类情报虽然有点反直觉, 但必须强调的是, 云运营环境的安全性并不比内部隔离运行环境更差在制造每款工业物联网设备时, 都应当遵循安全第一, 功能第二的原则, 更不用提以持续性基础为前提对三大结构层进行独立验证, 这一切都将能够切实提升安全性水平,Kodesh 指出而在采取实际行动的过程中, 来自 IT 部门的人员也应当从 OT( 即运维技术 ) 人员身上学习经验 : 领先的应用安全及数据库安全整体解决方案提供商第 61 页共 73 页杭州安恒信息技术有限公司服务热线 :

62 对于希望以安全方式同 OT 团队开展协作的 IT 安全专家而言, 了解 OT 工作内容是种很好的起点, Tripwire 公司首席研究官 David Meltzer 解释称他同时补充称 : 无论是采取购买 PLC 培训教程以了解 OT 环境下各设备实际运作方式的途径, 抑或是参加工业安全控制课堂阅读相关书籍, 安全专家都能够借此开阔思路并学会从另一个角度审视问题以色列国家电网遭受有史最大规模网络攻击宕机事故得以避免, 不过关键性基础设施如今已经成为网络攻击的重要目标领先的应用安全及数据库安全整体解决方案提供商第 62 页共 73 页杭州安恒信息技术有限公司服务热线 :

63 以色列能源与水力基础设施部部长 Yuval Steinitz 已经披露称, 该国电力供应系统受到重大网络攻击侵袭, 且已经有多份报告表明勒索软件正是造成事故的直接原因在 CyberTech 2016 大会上,Steinitz 谈到以色列的网络安全现状时指出昨天 (2016 年 1 月 25 日 ) 我们确认了有史以来出现过的规模最大的网络攻击尽管此次针对国家关键性基础设施的攻击活动规模极大, 但 Steinitz 指出其使用的病毒已经被查明, 而且我们准备了应急预警方案对其进行处理我们不得不中止了该以色列电力设施当中大量计算机的运行我们目前正着手处理这一状况, 我希望这一严重事故能够很快得到平息, 他表示相关计算机设备已经关闭了两天, 并于 1 月 26 号重新上线以色列电力局已经向各方记者确认了此次攻击行为, 而其出现时机恰好选在了以色列当地的严冬时节领先的应用安全及数据库安全整体解决方案提供商第 63 页共 73 页杭州安恒信息技术有限公司服务热线 :

64 在针对 Sans 工业控制系统博文的回应意见当中,Dragos Security 公司 CEO Robert Lee 指出一位以色列网络分析师与他取得了联系, 并提供消息称以色列电力局局长表示此次攻击与以色列电力企业传输或者供电站网络并无直接关联 Lee 根据来自各地的数据以及攻击情况给出猜测, 认为防御一方正在讨论具体举措, 旨在以系统离线的方式作为事件响应并借此遏制恶意软件的进一步扩散在此次会议的发言当中,Steinitz 指出这证明了基础设施对于网络攻击活动的敏感性, 也强调了确保我们自身做好准备以抵御这类攻击活动的重要意义目前尚不清楚到底是谁策划并实施了此次攻击, 这位局长并没有就此给出评论相反, 他指出 : 我们需要相关网络技术以预防此类攻击行为针对基础设施的网络攻击活动能够导致发电站乃至整套能源供应链发生瘫痪, 其中涵盖天然气石油汽油以及供水系统, 并可能造成人员伤亡等严重后果以达伊沙真主党哈马斯以及基地组织为代表的各恐怖组织已经意识到, 他们能够通过网络攻击手段对目标国家造成巨大破坏 Lee 指出, 以色列必须认真考虑其日常运作体系可能面临的攻击威胁关键性基础设施正越来越多地成为安全威胁的指向目标, 而且虽然尚缺乏有效的个案研究结论, 但业界普遍认为这类状况正有愈演愈烈之势领先的应用安全及数据库安全整体解决方案提供商第 64 页共 73 页杭州安恒信息技术有限公司服务热线 :

65 Glasswall Solutions 公司产品副总裁 Lewis Henderson 在接受 CBR 采访时指出, 此次攻击表明工业世界还没有为此类攻击活动做好准备, 而基础设施在面对网络攻击侵袭时确实表现得非常敏感虽然此次事件并未真正导致停电, 但其昭示了攻击者的袭扰手段正变得越来越复杂, 并开始以积极进攻的姿态利用关键性基础设施在目标国内散布恐惧与混乱事实上, 像以色列这样的发达国家会在极短时间内被迫进行系统下线, 从另一个方面证明了黑客们已经拥有极为先进的数字化武器与高超的技术水平针对关键性基础设施的攻击活动正日益受到重视去年 12 月 23 号乌克兰电网遭遇的攻击活动被视为实际出现的首例针对供电体系的恶意行为, 当时成千上万乌克兰民众陷入无电可用的窘境在乌克兰遭遇攻击期间,Darktrace 公司资深网络安全专家 Andrew Tsonchev 在 CBR 采访中指出, 该次攻击标志着第一次转折性恶意行为已经出现, 未来网络攻击将不仅仅以经济损失或者声誉破坏为目标领先的应用安全及数据库安全整体解决方案提供商第 65 页共 73 页杭州安恒信息技术有限公司服务热线 :

66 4.2.9 美国国土安全部斥资 60 亿美元打造的防火墙可能抗不住黑客攻击根据一项由联邦审订机构发布的秘密调查, 这套防火墙方案由国土安全部负责运行, 旨在检测并防止国家支持型黑客行为对美国政府职能进行侵扰爱因斯坦计划 ( 下面简称 :EINSTEIN) 利用攻击模式 ( 或者称之为签名 ) 以审查可疑流量, 但在实际运行当中, 高达 94% 的常规已知安全漏洞或者包含在网络流量中的恶意内容都未被正确识别出来领先的应用安全及数据库安全整体解决方案提供商第 66 页共 73 页杭州安恒信息技术有限公司服务热线 :

67 而这两项缺陷还仅仅是此次只限政府内部传阅之政府问责办公室 ( 简称 GAO) 报告披露的众多问题中的一小部分除此之外, 该系统的预防功能仅在 23 个主要非防御机构中的 5 个得到切实部署 2015 年 11 月国会议员对 EINSTEIN( 现其正式名为国家网络安全保护系统, 或者简称 NCPS) 进行了保密审计, 并证明这套黑客监控系统尚未准备好进行政府环境部署而此次最新发布的审计结论亦证实了这些观点, 并指出这个耗资高达 60 亿次美元的防火墙开发项目存在大量未能实现的目标, 且尚无法有力打击黑客活动, 审计人员表示在 NCPS 的既定功能得到全面开发之前, 国土安全部将不会允许其被部署至联邦政府机构以提供与网络安全相关的行之有效的技术支持, GAO 信息安全问题主管 Gregory C. Wilshusen 与 GAO 技术与工程中心主管 Nabajyoti Barkakati 在于近期发布的审计报告当中表示审计人员此次研究目标主要针对能源部退伍军人事务部总务管理局国家科学基金会与美国核管理委员会无法应对来自民族国家的高级持续性威胁这套系统的总体目标在于保护政府免受民族国家发起的威胁活动, 本次审计报告指出, 然而 EINSTEIN 并不能切实应对此类所谓高级持续性威胁领先的应用安全及数据库安全整体解决方案提供商第 67 页共 73 页杭州安恒信息技术有限公司服务热线 :

68 此类攻击活动属于外国敌对方所采取的常见战术, 其中拥有大量资源可供调配的黑客集团会在目标系统中建立一个立足点, 并潜伏长达数个月直到找到执行破坏目标的机会 EINSTEIN 并不具备入侵检测功能, 这意味着其无法充分解决我们审查的各类高级持续性威胁, 报告作者表示在对报告草稿做出回应时, 国土安全部官员表示 EINSTEIN 只是各部门用于保护其敏感数据的众多技术方案之一其职责在于帮助个别机关保障 IT 与数据安全, 而国土安全部的任务则仅限于提供基础性保护以及涵盖政府层面的宏观安全控制视角, 他们解释称 EINSTEIN 在运作当中会将大量已知攻击模式签名推送至 228 个入侵检测传感装置当中, 而这些传感器则分布于整套美国联邦.gov 网络体系这些传感器负责对各机构网络流量进行模式分析, 并审查其是否与已知签名相符合 EINSTEIN 无法识别多种常见安全漏洞不过这些签名并不能解决由各类常见安全漏洞所引发的攻击威胁, 因此其实际效果非常有限, 审计人员们指出 EINSTEIN 的质量取决于其选用的漏洞签名的质量不过, 用于支持 NCPS 入侵检测功能的签名只能够识别出一部分与常用应用软件相关联的漏洞, 报告作者写道在此次进行审查的五款消费级应用程序 Adobe Acrobat Flash IE Java 以及微软 Office 当中, 该系统在某种程度上只领先的应用安全及数据库安全整体解决方案提供商第 68 页共 73 页杭州安恒信息技术有限公司服务热线 :

69 能检测出全部已知安全漏洞中的 6% 具体来讲, 只识别出了 489 个已知安全漏洞中的 29 个之所以产生如此严重的盲区, 根据审计人员们的分析, 是因为 EINSTEIN 并没有与由国家标准与技术研究所负责维护的标准国家安全漏洞数据库进行同步国土安全部官方表示, 他们在最初开发 EINSTEIN 时并没有收到将其签名库同安全漏洞数据库进行同步的要求国土安全部承认这方面存在不足, 并计划未来对此加以解决, 审计报告提到在正式公布之前, 无法对未知零日漏洞进行识别在本次人事管理办公室遭遇黑客入侵之后的背景调查工作当中, 国土安全部方面承认 EINSTEIN 无法处理其中涉及的恶意软件据称此次黑客活动由中国所支持, 且攻击执行者使用的是尚未被正式发现因此根本不可能存在相关签名的零日漏洞在零日漏洞利用方面, 国土安全部官方指出, 尚没有办法在其被正式公布前加以识别, 报告指出一旦零日漏洞遭到披露, 国土安全部可以马上根据其攻击模式建立签名并将其导入至 EINSTEIN 当中有时候, 情报界的各合作伙伴会在零日漏洞被公开披露之前向美国国土安全部提供消息, 而其实际利用方式通常以恶意软件为载体, 审计报告表示国土安全部官员则向审计人员们坦言, 他们并不会为零日漏洞情报支付报酬领先的应用安全及数据库安全整体解决方案提供商第 69 页共 73 页杭州安恒信息技术有限公司服务热线 :

70 EINSTEIN 能够以近实时方式在特定数据流内实现入侵预防然而, 该系统仍有相当一部分网络流量无法确切把握举例来说, 该系统能够阻断恶意域名系统服务器并实现电子邮件过滤, 但还存在着其它一些网络流量类型 ( 例如 web 内容 ), 其同样属于常见的攻击向量但却无法被作为潜在恶意内容进行分析, 审计人员们解释称信息共享往往是种浪费国土安全部正在努力克服重重障碍, 而正是这些障碍导致目前 23 个政府机构中只有 5 个部署了 EINSTEIN 系统,GAO 官员表示这是因为各机构的 IT 基础设施有所区别,EINSTEIN 要想接入其业务流程, 必须适应其具体配置除此之外, 并非所有机构都符合正确执行 EINSTEIN 的安全规范总体来讲, 各机构都在关注电子邮件等关键性应用程序的正常运作信息共享属于 EINSTEIN 高度关注的另一项目标, 此次审计报告表示国土安全部与其它各机构间的信息共享机制并不一定能够起效, 各方在关于通信发送与接收乃至具体使用等层面存在分歧, GAO 审计人员们解释道根据国土安全部提供的 2014 财年内发出的总体通知数量来看, 高达 24% 的通知内容根本未被各受审查机构所收到而成功送达的相当一部分信息对于 IT 人员来说亦毫无价值, 审计报告强调称在 56 条成功送抵的通知当中, 有 31 条具备时效性与实用性, 其余的则属于迟缓无用或者干脆属于误报甚至与入侵检测毫无关系领先的应用安全及数据库安全整体解决方案提供商第 70 页共 73 页杭州安恒信息技术有限公司服务热线 :

71 与此同时, 国土安全部还制定出一系列与 EINSTEIN 相关的指标从该系统功能中提取到的值根本得不到确切解释, 审计人员指出领先的应用安全及数据库安全整体解决方案提供商第 71 页共 73 页杭州安恒信息技术有限公司服务热线 :

72 关于安恒关于安恒杭州安恒信息技术有限公司 (DBAPPSecurity) 是由国家千人计划专家范渊先生于 2007 年创办, 是国内跻身全球网络安全 500 强仅有的四家企业之一, 是中国领先的专注于信息安全产品和服务的解决方案提供商曾先后为北京奥运会国庆 60 周年庆典上海世博会广州亚运会深圳大运会首届世界互联网大会等重大活动提供全方位信息安全保障公司主营业务涵盖应用安全, 数据库安全以及云计算安全移动互联网安全大数据安全等智慧城市安全, 包括顶层设计标准制定课题和安全技术研究产品研发产品及服务综合解决方案提供等安恒信息通过智慧监测智慧防护智慧审计智慧应用四大产品线形成一整套全生命周期的信息安全支撑体系, 成为应用安全数据库安全以及智慧城市安全市场的绝对领航者是政府军工公检法司运营商金融能源财税审计教育医疗互联网 + 等行业信息安全领域最值得信赖的首选品牌! 风暴中心全称智慧城市安全风暴中心, 是公司顺应当前信息化发展中云计算化大数据化智慧智能化的大趋势, 专门设立的网络安全态势监测感知分析及预警部门通过智慧城市安全风暴中心大数据平台分布在全国各省的监测节点中心大数据分析平台与专业网络安全情报分析团队, 对全国网络安全态势进行主动监控与攻击预警, 日均处理攻击事件数百个, 为数万个网站领先的应用安全及数据库安全整体解决方案提供商第 72 页共 73 页杭州安恒信息技术有限公司服务热线 :

73 关于安恒提供实时安全监测服务同时, 利用大数据与安全情报分析技术, 为政府金融电力单位等提供行业整体性安全态势感知与安全预警服务联系方式如下 : [email protected] 7*24 小时风暴中心电话 : 安恒信息官方微信公众账号风暴中心官方微信公众号领先的应用安全及数据库安全整体解决方案提供商第 73 页共 73 页杭州安恒信息技术有限公司服务热线 :

IQ

TRITON APX IQ TRITON APX TRITON APX TRITON TRITON APX TRITON AP-WEB Websense ACE Web DLP TRITON APX IT TRITON APX Web TRITON APX DLP TRITON APX DLP Web (DLP) TRITON AP-WEB TRITON AP-EMAIL DLP (OCR) TRITON