黑客50万美元售卖Zoom零日漏洞 “安全基建”应成构建办公安全的指导性原则
云栖号资讯:【点击查看更多行业资讯】
在这里您可以找到不同行业的第一手的上云资讯,还在等什么,快来!
近日,办公软件Zoom存在重大安全漏洞的的消息引发各界关注:数以万计的私人Zoom视频被上传至公开网页,任何人都可在线围观。有人还在暗网上销售了超过50万个Zoom账户。
美国时间4月15日,外媒BleepingComputer又发出了一个爆炸性新闻:比在线围观可能导致的商业机密泄露、拖走账户密码更可怕的是,黑客顺手把Zoom Windows客户端零日漏洞的利用方法以50万美元的价格出售。
据报道称,这个零日漏洞是一个远程代码执行漏洞,潜在的攻击者可以在运行 Zoom Windows 客户端的系统上执行任意代码,如果再加上其他漏洞,甚至可以完全控制用户的设备。
零日漏洞的威力可不小,它是受影响的软件或硬件供应商尚未修补的漏洞,连提供者都没发现和修补,更别提暂时有什么安全措施可以防护了。
也就是说,如同“裸奔”的用户此时面对手持“刀枪”的黑客,用户电脑上的信息一览无余,黑客想干嘛就干嘛。然后,黑客还把这种“定制化武器”出售给别人,想想就可怕。
专注办公终端及办公环境安全研究的阿里安全高级安全专家灵闻提醒,必须重视远程会议软件零日漏洞利用方法被售卖带来的安全威胁。比如,账户被盗、隐私数据泄露、设备被入侵,把入侵设备作为跳板进一步入侵企业办公和生产网络,窃取企业机密文件等。
疫情期间远程办公的广泛需求揭开了办公安全的伤疤。事实上,不只是这类远程在线会议软件,办公安全早就痛过了。
2019年5月,安全情报公司Trend Micro称,网络犯罪分子利用Atlassian公司生产的办公软件Confluence的漏洞进行挖矿攻击。这个漏洞允许网络罪犯在计算机上偷偷安装和运行门罗币挖矿软件,并隐藏恶意软件的网络活动来掩盖挖矿行为。
3个月前,安全人员发现了微软office的两个高危漏洞,这两个漏洞会导致用户的主机被远程控制。Office办公软件是最基本的办公软件,一旦漏洞被不法分子发现或利用,用户个人隐私甚至是财产、人身安全都将受到威胁。
新冠疫情发生后,远程办公助力复工复产,建设“新基建”促进经济复苏,新基建的底线建设办公安全显得更加重要。
灵闻介绍,办公安全主要面临钓鱼、漏洞攻击、数据泄露、物理入侵等风险,常见的入侵手法是,攻击并控制办公网的一个终端设备,成为入侵办公网的跳板,然后对办公网络环境进行探测,寻找其他可以入侵的终端设备,使用不同的攻击手段横向扩展,以防止被检测出来后全部清除,之后长期进行隐蔽,寻找生产网漏洞或可以获取生产网数据的特权终端或账户,最终获取公司重要数据资产或加密数据进行勒索。
经过对入侵手法的长期研究和实际场景业务的经验沉淀,阿里安全在新一代安全架构中,从安全基建出发,总结出三个构建办公安全的指导性原则。
第一,要保障新基建每一块砖可溯源,就要建立统一的终端设备的准入与认证,任何终端设备都有可能被攻击,终端设备不可信,要从传统的基于可信内网和设备的认证转向基于终端和操作人员的双重认证。
第二,要在安全运营中对威胁提前感知,整合感知和协同处置能力,要让基础设施完备,具有端到链路的完整检测、响应和处置能力。同时汇总日志,协调端和网络侧设备自适应安全策略调整。
第三,针对不同用户分层设置安全措施,重点人群重点保护。针对不同的办公人群可以分配不同的办公终端设备,如敏感人群可以配备物理防护设备和安防工作终端等。
“基于当前攻防对抗环境下,任何单点都有可能存在漏洞并被攻击者利用,不要过度依赖单点的防护能力。由于目前工作环境复杂,在外办公需求多,因此要针对不同的场景进行分层运营,完善动态行为控制策略,整体架构设计上尽量简单。”灵闻说。
【云栖号在线课堂】每天都有产品技术专家分享!
课程地址:https://yqh.aliyun.com/live立即加入社群,与专家面对面,及时了解课程最新动态!
【云栖号在线课堂 社群】https://c.tb.cn/F3.Z8gvnK
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
饿了么交易系统 5 年演化史
个人简介:2014年12月加入饿了么,当时参与后台系统的研发(Walis+Javis=>Walle),主要面向客服和BD。2015年5月开始接触订单系统的研发,7月负责订单研发组;度过单体应用到服务化这个阶段。2016年初搭建订单的测试团队,订单拆分为正逆向后,主要负责正向和交付部分。2017年做了一些平台搭建的探索。2018年初负责整个订单正逆向和交付,年中将下单、购物车部分一起归并,年底和商户订单部分整合,形成交易中台。2019年10月从交易中台转出,近期做了一小段时间的组织效能和架构。 我为什么会写这篇文章,究其缘由: 一是自己在交易域做了 4 年,有很多只有我才知道,才能串起来的故事,想把这些记录并保留下来。 二是发现后边的很多同学看交易体系时,一接触就是分布式、SOA、每日百万、千万数据量,只知道它是这个样子,很难理解背后的思考和缘由。伴随自己这几年的经验,想让大家能够更容易的理解这个演化过程的原因和历程,有甘有苦。 三是很多总结也好,方法论也好,更多是去除了“糟粕”呈现在大家面前,这里可能会稍微加一点“毒鸡汤”,现实不一定那么美好,我们有很多抉择,现在回过头来看,也许...
- 下一篇
Android Google Play app signing 最终完美解决方式
Android Google Play app signing 最终完美解决方式 在GooglePlay创建App的时候,一不小心勾选了谷歌签名保护计划,就非常坑,为什么非常坑,因为这个一旦加入,就无法退出,后面的坑就后患无穷。 这里普及一下谷歌签名保护计划: 简单来说,就是apk上传到 GooglePlay 后,GooglePlay 会替换你的签名,实际上用户下载的 APK 的签名并不是你最初上传的签名,而是 GooglePlay 自己的签名,这个签名存放在 Google 服务器,我们是不能下载的。 说到这里,大家就明白了,我前面说的坑是什么意思? 因为 线上版本 和 本地版本 的签名不一致,会导致 facebook 登录失败,google 登录失败、微信登录失败 。 那么怎么才能把 GooglePlay 的签名换成我们自己的签名呢? 是有办法的。 解决方案第一步:应用签名菜单下,请求升级密钥 第二步: 选择升级秘钥的原因,你可以选择第二个"我需要针对多个应用或此应用的预安装版本使用同一秘钥" 第三步:下载工具(pepk.jar)生成签名压缩包,并上传即可。注意,此签名一个应用只能更...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
推荐阅读
最新文章
- Eclipse初始化配置,告别卡顿、闪退、编译时间过长
- SpringBoot2整合MyBatis,连接MySql数据库做增删改查操作
- SpringBoot2整合Thymeleaf,官方推荐html解决方案
- SpringBoot2整合Redis,开启缓存,提高访问速度
- CentOS8编译安装MySQL8.0.19
- Docker使用Oracle官方镜像安装(12C,18C,19C)
- CentOS7,8上快速安装Gitea,搭建Git服务器
- Docker安装Oracle12C,快速搭建Oracle学习环境
- Springboot2将连接池hikari替换为druid,体验最强大的数据库连接池
- Windows10,CentOS7,CentOS8安装Nodejs环境