金融安全资讯精选 2017年第十三期 百慕大离岸律师事务所遭黑客攻击,Google 发布HTTPS 普及度报告,Bad Rabbit攻击预警和安全建议,PCI SSC 发布新的 3DS 支付标准

【金融安全动态】


百慕大离岸律师事务所 Appleby 近期遭黑客攻击 点击查看原文

 

点评:与此前声名大噪的“巴拿马文件”一样,“百慕大”事件的目标在于掀起新一轮对全球财务、企业以及税务事务的大规模审查。从这次事件可以见到,其实对于越大型的公司或个人来说,数据泄露所最担心的问题并非是经济损失,公司名誉和品牌的杀伤力,才是致命的。

 

Google 发布HTTPS 普及度报告 点击查看原文

 

概要:一项Google发布出来的数据:64% Android设备上,75% Mac设备上,以及66% Windows设备上的Chrome网络流量是用HTTPS协议。同时,71家全球前100的网站默认使用HTTPS。

点评:从HTTP时代到HTTPS时代,意味着网站会更可信:防劫持、防篡改、防监听。这也是为什么行业巨头纷纷建议HTTPS化的原因。细数近年来各大互联网企业的HTTPS倡导举措:

(1)Google Chrome浏览器显著标注非HTTPS网站为”Not Secure”

(2)苹果强制要求APP支持HTTPS,以满足ATS准入标准,否则APP Store不给上架应用。

(3)英美政府网站已经完成HTTPS化,这波浪潮政府走在了前例。

(4)百度等搜索引擎会对HTTPS网页进行优先结果排序呈现。

(5)阿里巴巴等电商类平台,已经完成HTTPS

从业界的趋势看,没有HTTPS,未来业务会寸步难行。对企业和机构来说,建议在Webserver站点中,正确部署SSL数字证书,完成网站及业务的HTTPS化改造。

 

【相关安全事件】


Bad Rabbit(坏兔子)攻击预警和安全建议 点击查看原文

概要:2017年10月24日,国外媒体报道出现了一种新的勒索病毒——Bad Rabbit(坏兔子)通过水坑攻击将恶意代码植入到合法网站,伪装成Adobe Flash Player软件升级更新弹窗,诱骗用户主动下载并安装运行恶意程序。该程序可以加密文档类型、数据库文件、虚拟机文件等类型文件,同时还会使用账号弱口令密码扫描内网和SMB共享服务获取登录凭证尝试登录和感染内网主机,对业务存在高安全风险。

点评:BadRabbit(坏兔子)勒索软件通过入侵某合法新闻媒体网站,该媒体在乌克兰,土耳其,保加利亚,俄罗斯均有分网站。在受害者访问时会被引导安装一个伪装的flash安装程序(文件名为 install_flash_player. exe),用户一旦点击安装后就会被植入“坏兔子”勒索病毒。 

勒索病毒通过Windows局域网共享协议传播(通过IPC$、ADMIN$连接),如果同局域网已有人中招,并且开启了共享服务,可能会造成内网扩散。 勒索病毒通过读取已经中招电脑的当前用户密码和内置的弱口令列表传播,如果同局域网已有人中招,并且大家密码相同或是在列表中的弱密码,会有传播影响。 勒索病毒暂未发现通过系统漏洞传播,因此它反而可以覆盖所有的Windows系统,而不限于只存在漏洞的系统。 

 

安全建议方案:该勒索病毒并非像今年5月12日的WannaCry一样利用Windows SMB 0day漏洞传播,但仍存在较大的安全风险,为了避免遭受影响,建议所有企业和机构按照以下措施排查自身业务: 

(1)常备份数据 目前病毒样本已公开,新的变种可能会出现,建议开发或运维人员使用自动快照或人工备份方式对数据进行全备份,并养成备份好重要文件的习惯。 

(2)安装防病毒软件 Windows服务器上安装必要的防病毒软件,并确保更新杀毒软件病毒库,以便能检测到该勒索病毒。

(3)对操作系统和服务进行加固 对服务器操作系统及服务软件进行安全加固,确保无高风险安全漏洞或不安全的配置项。 

(4)配置严格的网络访问控制策略 使用安全组策略或系统自带防火墙功能,限制ECS向外访问(outbound)185.149.120.3或1dnscontrol.com域名访问,同时对ECS、SLB服务的其他端口(例如:445、139、137等端口)进行内网出入方向的访问控制,防止暴露不必要的端口,为黑客提供利用条件。

(5)禁止下载安装非官方软件

建议用户到官网下载软件安装Adobe Flash Player,所有软件下载后使用防病毒软件进行查杀。

 

详细安全建议: 点击查看原文  

 


Typecho前台无限制Getshell漏洞 点击查看原文

概要:2017年10月25日,阿里云安全情报中心监测到国内博客软件Typecho存在前台无限制getshell漏洞,攻击者可以直接远程利用该漏洞无限制执行代码,获取webshell,从而导致黑客获取网站权限,目前该漏洞利用PoC已经公开,漏洞风险为高危。 

点评:Typecho是一个简单,轻巧的博客程序。基于PHP,使用多种数据库(Mysql,PostgreSQL,SQLite)储存数据。在GPL Version 2许可证下发行,是一个开源的程序,目前使用SVN来做版本管理。 

漏洞影响范围:  Typecho <0.9版本 

漏洞检测:  开发人员检查是否使用了受影响版本范围内的Typecho,并检查install目录是否存在。 

漏洞修复建议(或缓解措施):  (1)紧急规避措施:删除install.php文件;(2)及时同步官方分支,更新代码到最新版本。

 

【云上视角】

PCI SSC 发布新的 3DS 支付标准  点击查看原文


点评:新发布的标准主要是新增了对非控制台管理登录的双因素认证要求。之前,管理员登录应该是账号和密码,新要求是要求账号和密码外加额外的安全认证机制。

期待听到您的反馈

阿里云安全微信和微博,每周与您见面。

如果您是阿里云用户,

也欢迎通过邮件、钉钉公众号查看本周行业资讯。

扫码参与全球安全资讯精选

读者调研反馈

我们会认真讨论您的每一条建议

并邀请精彩回答者加入VIP读者群

扫码加入THE LAB读者钉钉群

时间: 2024-08-24 17:06:27

金融安全资讯精选 2017年第十三期 百慕大离岸律师事务所遭黑客攻击,Google 发布HTTPS 普及度报告,Bad Rabbit攻击预警和安全建议,PCI SSC 发布新的 3DS 支付标准的相关文章

金融安全资讯精选 2017年第十期 中国台湾远东银行遭黑客入侵被盗六千万美元,GDPR成了欧洲企业“最担心的挑战”,CISO在企业中的位置会变得更加重要

[金融安全动态] 中国台湾远东银行遭黑客入侵被盗六千万美元 点击查看原文 中国台湾远东国际商业银行一度遭盗领6000万美元(折合约4.69亿港元),并被汇到斯里兰卡.柬埔寨及美国,警方获报后介入侦办追查,并透过国际刑警组织通报,成功冻结相关款项并追回大部分赃款,预估远东银行损失在50万美元以下(折合约391万港元). GDPR成了欧洲企业"最担心的挑战",CISO在企业中的位置会变得更加重要 点击查看原文 ClubCISO最近的"2017年信息安全成熟度报告"中,6

金融安全资讯精选 2017年第十四期:十大顶级终端安全提供商报告,Uber承认数据泄露,微软“11月周二补丁日”发布53个漏洞补丁

[行业动态] 1.Gartner报告:十大顶级终端安全提供商 点击查看原文 点评:Gartner的<2017年终端安全魔力象限>报告为该行业中的公司排了个序,分为"领导者"."挑战者"."特定领域厂商"或"远见厂商".前十名包括趋势科技,Sophos,卡巴斯基实验室,赛门铁克,McAfee,微软,Cylance, SentinelOne,Carbon Black,CrowdStrike. [行业动态] 2.Uber

金融安全资讯精选 2017年第十一期 银行木马利用VMvare进行传播 研究人员发现新型安卓银行木马Red Alert

[金融安全动态] 银行木马利用VMvare进行传播 点击查看原文 概要:思科的研究团队Talos近日发现一起针对对南美巴西的银行木马活动.该木马活动的对象主要是南美的银行,通过窃取用户的证书来非法获利.除了针对巴西用户外,还尝试用重定向等方法来感染用户的计算机.令人意外的是,该木马使用了多重反逆向分析技术,而且最终的payload是用Delphi编写的,而Delphi在银行木马中并不常见. 研究人员发现新型安卓银行木马Red Alert 点击查看原文 概要:安全研究员发现一款名为 "Red Al

金融安全资讯精选 2017年第十二期 Gartner预测未来安全技术,Q3安全投融资分析,WPA2 KRACK漏洞分析报告,云上数据保护方法论

[金融安全动态] Gartner对未来安全技术和市场的最新预测 概要: (1)到2020年,0DAY漏洞在攻击中发挥的作用将会不到0.1%,这里面不包括敏感的政府目标: (2)到2020年,渗透测试智能化工具将会从2016年的0%增加到10%: (3)到2020年,企业将会有产生一个重大的安全事件是由于安全造成的,并且造成重大损失: (4)目前IRM风险管理.SIEM.IGA身份治理.EPP终端保护.PAM权限访问管理市场规模较大,但是年复合增长率较低:EDR.安全培训.RASP.UEBA虽然市

金融安全资讯精选 2017年第十五期:普华永道消费者隐私信息保护调研称69%的企业无力面对网络攻击,中小银行转型系统整合中的建议

[金融安全动态]普华永道消费者隐私信息保护调研:69%的企业在面对网络攻击和黑客时手无缚鸡之力.点击查看原文 概要:2017年8月-9月,普华永道通过网络和视频采访的方式调研了2000名18周岁以上的来自全国各地的美国公民.45%的受访者认为明年最有可能发生在自己身上的事情是"电子邮件账户或社交账号被黑".只有25%的受访者相信大多数企业具有良好的个人隐私信息保护机制.只有15%的人认为这些企业会利用这些数据提升消费者的生活质量. 点评:金融行业内,网络安全和客户隐私保护的优先级已经被

金融安全资讯精选 2017年第十八期:4个月内P2P网贷企业信息安全未合规将被取缔,全球100起重大投融资看未来网络安全发展热点,Gartner2017年安全投入以及人员投入占比相关数据

[金融行业安全动态]只剩4个月,P2P网贷企业信息安全未合规将被取缔 概要:12月8日,银监会P2P网络借贷风险专项整治工作领导小组办公室发布<小额贷款公司网络小额贷款业务风险专项整治实施方案>,旨在通过专项整治,严格网络小额贷款资质审批,规范网络小额贷款经营行为,严厉打击和取缔非法经营网络小额贷款的机构.在专项整治进度上,<方案>要求2018年1月底前完成摸底排查,并在3月底前,对排查结果分成合规类.整改类.取缔类三类分类处置.对确认符合资质要求.依法合规开展业务的纳入合规类机构

金融安全资讯精选 2017年第十九期:习近平谈维护金融安全,Forcepoint预测:大量收集用户数据的机构将成2018年攻击目标,广东农信与阿里云达成战略合作

[金融行业安全动态]习近平谈维护金融安全 概要:金融是国家重要的核心竞争力,金融安全是国家安全的重要组成部分,是关系我国经济社会发展全局的一件带有战略性.根本性的大事.金融活,经济活:金融稳,经济稳.党的十八大以来,习近平总书记反复强调要把防控金融风险放到更加重要的位置,牢牢守住不发生系统性风险底线,采取一系列措施加强金融监管,防范和化解金融风险,维护金融安全和稳定,把住发展大势.1号线上编辑整理了总书记关于维护金融安全的相关论述,让我们共同学习. 点评:习近平指出,防止发生系统性金融风险是金融

政府安全资讯精选 2017年第十三期 网信办发布《互联网新闻信息服务新技术新应用安全评估管理规定》;Facebook颁布新广告政策,加强内容安全

  [国内政策分析] 网信办发布<互联网新闻信息服务新技术新应用安全评估管理规定> 点击查看原文   概要:网信办发布了针对新闻行业信息技术新应用的安全评估规定,要求根据新闻舆论属性.社会动员能力及信息内容安全风险确定评估等级.要求服务提供者开展自评估,接受各级网信办组织的安全评估,并根据结果进行相应整改.网信办还同步发布了<互联网新闻信息服务单位内容管理从业人员管理办法>,加强对内容安全负责人的管理.   点评:该规定针对社交网络.微博.论坛.自媒体.即时通信工具.搜索引擎.网络

金融安全资讯精选 2017年第十六期:逐条解读现金贷整顿对P2P影响,工信部宣布1亿以上用户信息泄露为特大网络安全事件,太平保险集团信息安全主管的企业安全方法论

[金融安全动态]逐条解读现金贷整顿对P2P影响 概要:12月1日,互联网金融风险专项整治.P2P网贷风险专项整治工作领导小组办公室正式下发<关于规范整顿"现金贷"业务的通知>(下文简称"通知").此通知比较全面的对现金贷业务进行了规范,包括了资格监管,业务监管和借款人适当性监管,并给出了存量逐步退出的安排.通知涉及的业务主体包括现金贷助贷类机构.网络小贷公司.银行类金融机构.P2P网贷类机构等,其中对助贷类机构影响最大,下面网贷之家研究院将进行逐条解读.