蓝盟IT外包,一周安全风向标

安全焦点

拜登要求制定新的网络安全标准以应对SolarWinds的攻击

拜登政府正在对一项行政命令进行最后的润色,该命令旨在帮助美国抵御复杂的网络攻击,如俄罗斯黑客最近对德克萨斯州软件制造商SolarWinds的攻击。

谷歌解决了Chrome V8引擎中的一个高危漏洞

谷歌发布了Chrome 90的更新,该更新修复了浏览器使用的V8 JavaScript引擎的一个被命名为CVE-2021-21227的高危漏洞。

恶意软件越来越多地使用TLS来隐藏通信

网络安全公司Sophos的研究人员报告说,恶意软件使用传输层安全(TLS)加密通信的情况在一年内翻了一番。TLS协议允许网络犯罪分子在C2服务器和网站之间私下分享信息,使其不受安全系统的影响。

在支付赎金的企业中,只有8%的企业拿回了所有的数据

全球调查结果还显示,只有8%的组织在支付赎金后设法取回所有的数据,29%的组织取回的数据不超过一半。

华盛顿警局遭黑客入侵,不交赎金就公开警方线人

据美国华盛顿“福克斯-5”电视台报道,首都警方的服务器成为黑客攻击的对象,目前联邦调查局正在介入调查。黑客Babuk Locker警告,警局最好在3天时间内答复并交付赎金,否则他们将泄露警方线人消息,并且继续攻击FBI、CSA等部门。

安全风险

OverlayFS漏洞允许Ubuntu下的本地用户获得root权限

Linux内核中overlayfs文件系统中的Ubuntu特定问题,在该问题中,它未正确验证关于用户名称空间的文件系统功能的应用程序。由于Ubuntu附带了一个允许非特权的overlayfs挂载的补丁,因此本地攻击者可以使用它来获得更高的特权。目前漏洞细节已公开,请受影响的用户尽快采取措施进行防护。

Linux支持存储在扩展文件属性中的文件功能,它们的工作方式类似于setuid-bit,但粒度更细。在伪代码中设置文件功能,重要的调用是cap_convert_nscap,它检查与名称空间相关的权限。如果我们从自己的名称空间和挂载上设置文件功能,就不会有问题,而且我们有权限这样做。但当OverlayFS将此操作转发给底层文件系统时,它只调用vfs_setxattr,并跳过cap_convert_nscap中的检查。这允许在外部命名空间/mount中的文件上设置任意功能,并且在执行过程中应用。更新系统软件包版本。详细版本信息请参考供应商的安全公告。参考链接,。

企业安全

DLP选型需要注意的几个方面

DLP在企业的安全团队的工具当中正在成为越来越受关注。然而,选择DLP系统的标准却往往非常模糊,而最终结果,企业最终会选择的品牌往往都有着大量的广告加成——包括价格层面的。但是,这些系统可能有很多没在市场手册上列出的功能。。安全专家们最好对这些功能进行一些正式的测试来对比。如今,许多DLP系统都会给出不同的复杂分级供选择。对比表格中的一些附加功能往往极具诱惑性,但是它不代表这个选项会达到客户的期望水准。为了快速发布自己的产品,一些开发商会忽视质量、用户体验和可靠性等因素。

DLP系统往往会基于三到五年的计划进行选购;因此,满足当下的合规需求并不是唯一标准。以下建议可以作为DLP选型的参考。

内容拦截:DLP系统的基础能力之一,就是防范因员工疏忽和恶意软件而导致的数据泄露;而主动终结一个可疑的操作是达到这个目标的唯一方式。与此同时,所有信息都储存在档案中,而安全官往往事后才能进行响应。这也就意味着,由于内容拦截功能的使用本身并没有在计划之中,其优先级被大大降低。在使用比较不侵入式的监控模式同时,信息安全人员也需要控制DLP的误报率与漏报率。如果解决方案反应过激,对可疑事件采取了中断邮件或者其他关键服务的行为,引发的后果反而会比数据泄露更严重。内容拦截的问题同样存在于一些提供极少配置选项的非复杂DLP系统中。一些通信机制因为技术问题只能被DLP工具监控而无法阻断——比如Telegram和WhatsApp因为数据加密技术就只能进行监控。如果一个DLP系统无法支持在检测到异常行为时,阻断邮件、打印机、USB端口、HTTP/HTTPS网站服务,那么显然是不合格的。

策略与内容分析:并非市面上所有的DLP系统最早都是出于完全防护的效果进行设计的。一些开发者只是从最开始加了一层安全能力,然后之后再补充其他管控能力。由于最初模型的限制以及其独特的功能需要和之后的结构相匹配,最终产品的性能往往会成问题。因此,DLP系统进行内容分析的方式特点反而可以给企业作为思考其演化进程的起点。举个例子,如果一个被监控设备的终端探针用SMTP协议将数据提交给DLP服务器进行分析,那么就可以推测这个解决方案可能诞生时只有邮件检查组件。这样一来,探针可能就不会从服务器端收到诊断信息。一旦探针无法获取诊断信息,那么文件在被打印或者转存到一个便携式设备的时候就无法被阻断。这种部署模式的另一个问题是需要一直和服务器进行连接,那么网络堵塞会中断分析的流程。因此,最好能看一下DLP解决方案能否优化网络流量。如果整个DLP的架构是精心设计而成的,内容分析应该处于一个能实现策略的位置,比如终端探针的位置。这样就不需要通过网络提交大量数据,而流量优化也不再是需要考虑的问题之一。

未连入企业网络情况:除了进行内容分析和应用企业的策略之外,DLP探针还需要给服务器发送事件日志、不同文件的卷影副本等其他信息。这些重要的细节信息即使在服务器的数据仓无法接入的时候,也不该遗失。一般情况下,这些信息应该存储在本地,然后在连接恢复后尽快上传给服务器。针对服务器不同的连接状态,应该有不同的策略应对,比如连接建立的时候、终端通过VPN连接、或者连接中断。这点在员工带着企业下发的笔记本离开办公室的时候尤为重要,比如出差或者远程办公的时候。

便捷性:不同用户会对系统使用和管理的便捷性看法不一。有些人喜欢用命令行来管理DLP,有一些却更偏向于用脚本语言设置策略和规则。在评估界面的用户体验的时候,有几个小点需要进入考虑范围。首先,最好有一个全合一的管理板。时下最多的应该是Web操作面板。这一类面板可以跨平台支持,不需要额外的软件,而且也能在移动设备上被使用。一个显示出设计优秀的点是所谓的“全渠道”策略。比如需要一条策略管理合法文件的话,可以只进行一次操作,然后选择所有需要覆盖的途径(电子邮件、USB、网站服务等)。在一些设计得不怎么样的DLP系统里,相关人员可能就需要对每个途径创建类似的策略。尽管一开始这看上去可能不是什么大事,但一旦策略数量增长就会让情况一团糟。当有几十条策略,而且要根据时间和用户组进行不同的设定的时候,让这些策略同步就会变得异常困难。

灵活部署:DLP系统在部署机制层面应该有足够多的调整空间。这样不仅能快速融入现有的数字化架构,还能在保持多个渠道控制的情况下平衡功能性和负载能力。在网关层对网络管理比较有效。对于大规模的DLP部署,这可能是唯一合理选项。除了使用终端探针作为控制数据移动的来源外,主流厂商会提供他们自己的代理服务器,和DLP系统无缝集成,比如说直接监控HTTP和HTTPS流量。

多平台兼容性:一个好的DLP系统应该能够和多种端点平台兼容。最基础的能力至少要支持Windows。那这显然是不够的,毕竟没准哪一天我们就会大规模转向Linux系统。不过,现在已经有多家DLP系统提供Windows、Mac和Linux的模组。运行iOS和安卓的移动设备也需要被考虑到。出于技术原因,当前几乎不可能建一个针对智能手机平板完全有效的探针——尤其是苹果的设备。在某些情况下,通过一个Web控制器和DLP交互是个不错的选择。因此,当采用BYOD模式的时候,企业还需要启用MDM解决方案。MDM能够进行嵌在移动操作系统内的安全能力、创建隐私策略,从而减小数据泄露的风险。

DLP系统的发展路径各不相同。这一点会决定他们的完整度、功能协调度、对不同的信息传播渠道的支持能力等。稳定的DLP解决方案仍然是一个值得企业进行投入的选择,因为它能够解决多种不同的安全问题。

文/上海蓝盟 IT外包专家