【四維創智】-專研智能,智匯安全-網絡攻防-滲透測試-web安全-無線安全-內網安全 安全學院 – 【四維創智】

                      四維資訊中心

                      關注最新行業動態,洞悉安全態勢,做行業領跑者!創造屬于我們自己的故事!

                      愚人節不 “愚”丨干貨分享! TXPortMap實用型免費滲透測試工具

                      在滲透測試的端口掃描階段,相信很多人遇到的問題是nmap太慢,masscan不準確。 所謂工欲善其事,必先利其器,TXPortMap為天象滲透測試平臺后端使用的端口掃描和指紋識別模塊,采用Golang編寫,以期在速度與準確度之間尋找一個平衡。下面和小編一起來探究工具的使用過程。

                       

                      工具名稱:TXPortMap

                       

                      ./TxPortMap -h
                      新增加彩色文字輸出格式 對http/https協議進行title以及報文長度打印,獲取title失敗打印報文前20字節。
                      新增日志文件以及掃描結果文件。

                      TxPortMap 會直接掃描top100 加上t1000參數會掃描top1000,txportmap單ip top1000識別耗時5秒,可以通過-p 指定端口,分號指定多個。



                      下圖1:TxPortMap時間:20.171秒
                      下圖2:nmap 2分51.89秒
                      圖1
                      圖2

                      作為一個寬泛且深入的滲透測試人員怎么能允許自己沒有TXPortMap呢 ?
                      下載地址:https://github.com/4dogs-cn/TXPortMap
                      此工具開源后希望大家可以一起完善指紋和提交優化建議,快快加入TXPortMap交流群。

                      4月 1,2021 by admin

                      聚焦3·15丨誰在“偷”我的臉,我該怎樣保護?

                      近幾年,人臉識別“黑科技”已經在越來越多的領域被廣泛使用,刷臉支付、刷臉打卡、刷臉開門……大家在感受到科技便利的同時,殊不知,一些商家也在利用這些“黑科技”,偷偷精準抓取消費者的人臉信息。在中央電視臺3·15晚會上,不法商家非法獲取消費者人臉信息,并肆意濫用的行為被曝光。
                       

                      寶馬汽車 4S 店、Max Mara 專賣店、科勒衛浴,江蘇大劇院、喜茶、老百姓大藥房、良品鋪子、水星家紡、九芝堂、晨光玩具……

                       

                      很少有消費者能想到,自己在進入店門的那一刻,最先“盯上”自己的不是服務員或者導購,而是配備了人臉識別技術的攝像頭,并將自己的人臉信息牢牢記下儲存起來,而這一切,都是在自己毫不知情的情況下發生的。

                       

                      各門店紛紛表示,對于該設備的使用,僅作到店人數統計;對該設備所采集的信息不做保存、分析及轉移。被曝光的企業陸續發表聲明致歉。
                      人臉信息不單是生物識別信息,也是個人敏感信息,我國規定組織收集個人信息,應該取得個人信息主體的同意。但現實中,不法商家商業利益,基本不會提示和取得消費者同意,忽視了對消費者權益的保護。
                       
                      國家市場監管總局發布的《個人信息安全規范》明確規定,收集人臉信息時應獲得個人信息主體的授權同意。人臉信息屬于個人獨有的生物識別信息,一旦泄露,將嚴重威脅用戶的財產安全、隱私安全等。

                       

                      要想有效保護好人臉信息,三方主體的保護責任,一個都不能少。

                       

                      其一,有關機關應當盡快明確人臉識別技術的行業標準,對收集、存儲、保護、使用等嚴格規范。加大對相關App和軟件的監管,對違規收集使用人臉信息的運營商嚴肅查處,加大處罰力度。加快個人信息保護法的立法進度,進一步界定因公共安全需要收集人臉信息的行為和其他商業行為,明確責任。

                       

                      其二,有關平臺要加強自律,盡可能減少不必要的個人信息收集,對已收集的個人信息要妥善保護,建立完備的保護機制,規范有關信息的使用。堅決杜絕違法違規違約使用有關個人信息。在人臉識別行業標準出臺前,鼓勵有能力的企業牽頭制定有關誠信規范。

                       

                      其三,用戶個人要注意對個人信息的保護,注意使用經正規渠道認證的App,發現個人信息被違法售賣或使用時應當及時報案,并注意保留有關證據。對涉嫌違規收集個人信息的軟件也要及時向有關部門舉報。

                      3月 17,2021 by admin

                      網絡安全演練十大好處

                      沒有什么方法比進行常規安全演練更能確定公司企業的安全強弱了。
                       
                      即使資源豐富,保證信息安全仍是一項艱難的任務。任天堂、推特、萬豪和Zoom等大公司最近都深陷大型數據泄露之苦,網絡罪犯的魔爪無孔不入是很明顯的事實。雖然大多數公司企業都知道需要構筑防御和制定策略,來降低網絡攻擊的風險和潛在影響,但很多公司企業未能嚴格測試自身防御措施。
                       

                       
                      網絡安全演練是針對特定網絡攻擊場景的有效仿真模擬,公司企業可以借助網絡安全演練獲得關于真實響應的寶貴洞察。從基礎的小規模簡單測試到復雜的大規模持續攻擊,網絡安全演練能夠驗證公司企業的防御策略是否有效,能夠凸顯需要立即采取措施的防御漏洞。
                       
                      然而,盡管網絡安全演練如此重要,仍有74%的ISF Benchmark受訪者聲稱,不會對自身關鍵系統執行網絡攻擊模擬或演練。這可能是由于他們認為網絡安全演練不僅耗時又昂貴,還可能會造成系統中斷。但只要安排得當,以上這些都不成其為理由。網絡安全演練確實能夠帶來一些實打實的好處,比如下面這10個典型益處:
                       
                      發現優勢
                       
                      網絡安全演練中有太多目光放在了暴露弱點與問題上,但發現自身安全措施的長處同樣很有價值。健壯的措施可以在別的地方照此實施,精巧的策略可以用作模板,高效的員工能夠幫忙培訓其他人。
                       
                      改善響應
                       
                      執行網絡攻擊演練最明顯的好處,或許就是讓你有機會改善響應,能夠更好地應對未來的攻擊。網絡攻擊演練可以提供證據,支持你現有防御策略背后的理論,或者指出更新防御方法的必要性。無論如何,網絡攻擊演練都能夠促使你做出改善。
                       
                      訓練人員
                       
                      實踐經驗無可替代。網絡攻擊演練能夠賦予員工處理攻擊的實踐經驗,提升他們對各種可能性的認知,教會他們正確的響應方式。實踐出真知,實際演練一番通常是學習的最佳途徑。
                       
                      確定成本和時間表
                       
                      攻擊應對準備中需要做出很多假設和預測,假定處理不同場景分別需要用到哪些資源,預測遭受攻擊后恢復正常運營需要多長時間。網絡攻擊演練能夠描繪出更為細致的成本與時間表,提供切實的數據輔助構建更好的恢復力,或者在必要時用作合理化開支的理由。
                       
                      確定外部需求
                       
                      即使對很多大型企業而言,維護一支無需外部輔助就能應對任何攻擊場景的安全團隊都是不現實的。哪些攻擊場景需要外部幫助?外部專家最快什么時候趕到?費用大概要多少?執行安全演練就能回答上述問題。
                       
                      收集指標
                       
                      制定安全策略時非常重要的一環,就是設置對攻擊各方面應對速度和防御動作有效性的預期。但只有攻擊真正發生之時,或者執行安全演練,你才能證明能夠達到這些預期。這一數據應該支持未來安全策略的制定,指導公司的安全方法。
                       
                      發現漏洞
                       
                      無論是潛伏在網絡上的技術漏洞,還是安全控制措施中的弱點,網絡安全演練都能夠暴露出來。網絡安全演練還能夠揭示培訓或人才引進的需求。發現特定漏洞有助于制定修復計劃和立即加以改善。
                       
                      更新策略
                       
                      如果當前策略、標準和指南無效,那就是時候重新審視一番了。有效事件響應策略能夠大幅降低網絡攻擊可能造成的潛在破壞和中斷。定期策略修正很重要,而安全演練能夠提供指導策略修正的有用根據。
                       
                      暴露不合規風險
                       
                      即使是無意的,違反法律、監管或合同要求的代價也十分巨大。暴露合規問題很難,但這并不意味著這些問題不存在。網絡安全演練有助于暴露出不合規的地方,給你一個修復的機會,避免不必要的法律和財務風險。
                       
                      提升威脅感知
                       
                      從初級員工到董事會層次,缺乏對網絡攻擊本質及威脅范圍的感知都是災難性的。未能識別風險并據此反應,通常都會加劇問題,導致問題惡化。
                       
                      實踐出真知大家都認為排練是為真實事件做準備的重要部分。網絡攻擊無可避免,但你如何響應,決定著你的業務會受到何種影響。網絡安全演練不僅有助于摸清公司安全狀態,還能測試防御措施,發現應該繼續發揚的長處和需要彌補的弱點,并提供寶貴的實踐經驗。

                      1月 14,2021 by admin

                      物聯網安全:5個主要漏洞以及解決方法

                      物聯網全球市場,收入超過了1000億美元,而2025年的收入預測將達到1.5萬億美元。雖然這意味著更多的便利和改進的服務,但也為網絡犯罪分子創造了更多機會。
                       
                      物聯網設備面臨網絡安全漏洞。他們無需我們授權即可工作,這使得在被破壞之前威脅識別變得更加困難。但是,如果您知道危險潛伏在哪里,則可以找到一種方法最大程度地降低網絡安全風險。以下是2020年物聯網的五個重大網絡安全漏洞。
                       

                       
                      威脅是絕對真實的,首先我們了解下2016年10月發生的一個攻擊事件。黑客識別了安全攝像機模型中的薄弱環節。同時,有超過300,000臺攝像機連接了互聯網。
                       
                      黑客利用該漏洞并使用這些IoT設備對社交媒體平臺發起了大規模攻擊。一些主要的社交媒體平臺,包括Twitter,停運了幾個小時。這種類型的惡意軟件攻擊稱為僵尸網絡攻擊。它由數百個攜帶惡意軟件并同時感染數千個IoT設備的機器人提供動力。顯然,由于各種原因,物聯網設備特別容易受到這些攻擊。接下來讓我們一個個進行分析:
                       
                      系統漏洞分類
                       
                      在大多數情況下,研究人員專注于各種類型的漏洞。典型的潛在缺陷列表包括以下條目:
                       
                      未修補的軟件。許多人無視的直接漏洞。如果您是普通網民,則可以使用許多應用程序。他們中的大多數正在不斷發展。開發人員使他們適應解決問題。在某些情況下,修補程序和更新可解決嚴重的漏洞。當人們拒絕更新時,就會出現威脅。
                       
                      配置錯誤。這個概念涉及系統的各種變更。示例之一與用戶開始使用新服務時獲得的默認設置有關。通常,默認設置不關注安全性。您的路由器是不應保留其默認設置的小工具之一。相反,您應該定期更改憑據。因此,您將防止未經授權的訪問或通信攔截。
                       
                      憑據差。簡單或重復使用的密碼仍然是一個問題。盡管網絡安全行業已經為每個網友提供了選擇,但是使用原始和復雜密碼的建議仍然被忽略。取而代之的是,人們想出了舒適的密碼。這是什么意思?人們可以輕松記住的組合,以及可悲的是,黑客可以輕松猜測的組合。了解憑證填充攻擊的性質后,您將需要一個非常復雜的密碼來保證安全。
                       
                      惡意軟件,網絡釣魚和網絡。如今,惡意軟件已成為Internet不可或缺的一部分(即使我們不喜歡它)。駭客每天都會散布各種復雜的變體,研究人員并不一定總能向我們發出警告。網絡釣魚也是與到達用戶郵箱的欺詐和欺詐性報價有關的主要威脅之一。
                       
                      信任關系。這些漏洞觸發了連鎖反應。例如,各種系統可以彼此鏈接以允許訪問。如果一個網絡遭到破壞,其他網絡也可能崩潰。
                       
                      憑據受損。這種威脅是指對您的憑據的不道德勒索。后來,它們被用來獲得未經授權的訪問。例如,我們可以使用未經正確加密的系統之間的通信。然后,黑客可以攔截此交換并以純文本形式檢索密碼。
                       
                      惡毒的內幕。系統中的某些參與者可以利用他們的特權并執行惡意操作。
                       
                      加密不正確。黑客或其他惡意資源可以攔截網絡上加密不良的通信。由于存在此類漏洞,因此可能會發生許多災難性的情況。例如,騙子可以獲取機密信息或在部門之間散布虛假信息。
                       
                      零日漏洞和其他缺陷。此類漏洞無法解決,并且會繼續困擾著系統。黑客將嘗試利用此類缺陷,并查看哪些系統可能受到威脅。
                       
                      沒有經驗的用戶:是最大的漏洞
                       
                      物聯網是一個復雜的概念。大多數使用互聯網連接設備的人遠非精通技術的專家。沒有人告訴他們他們的咖啡機可能被入侵,或者他們的相機可以被用來發起DDoS攻擊。網絡安全專家在過去的二十年中一直在強調強密碼的重要性,而不是單擊電子郵件中的惡意鏈接。
                       
                      消費者認為公司和服務有責任確保其數據安全。他們甚至建議企業應采取法律行動。這是什么意思?好吧,用戶希望公司將其安全性看作不是遵守規則,而是自然而然的責任。但是,這種態度可能會導致非常嚴重的漏洞。用戶可以將所有責任留給政府和其他機構。如果不將自己視為重要變量,他們可能不會實施必要的網絡安全步驟。因此,我們認為需要保持平衡。公司和消費者都需要積極主動地保護自己的信息。
                       
                      制造過程中的缺陷
                       
                      物聯網市場爆炸性增長是因為物聯網設備提供了更多的便利,易于使用并帶來了真正的價值。但是,這個市場呈指數增長的另一個原因是-物聯網設備價格合理。您無需再變得超級富有,即可將整個家庭變成一個智能家居。
                       
                      制造商將其視為機遇,并爭先恐后地搶占了自己的物聯網市場。結果–無監督且便宜的制造過程,以及缺乏或完全缺乏合規性。這是制造難以妥協的物聯網設備的秘訣,只有政府才能通過嚴格的法律和法規來解決。因此,錯誤的生產可能導致各種問題,例如注入缺陷。
                       
                      所有程序和服務都必須在認為內容合適之前對其進行過濾。如果此類過程缺少適當的身份驗證步驟,則它們可以充當更大問題的網關。輸入的另一個問題是跨站點腳本(XSS)。簡而言之,它是指為Web應用程序提供帶有輸入的JavaScript標記的過程??梢奢斎氲哪康目赡苡兴煌???赡苁橇夹缘?,也可能是惡意的。
                       
                      不定期更新
                       
                      大多數著名的物聯網品牌一詞都在不斷地致力于發現其設備上的漏洞。一旦找到后門,他們就會發布更新和補丁以提供必要的安全修復程序。最終用戶需要更新其IoT設備,這是一個潛在的問題,因為人們仍然不愿更新其智能手機和計算機。研究人員發布了最具破壞性的漏洞列表。其中包括尚未修補的缺陷,并將繼續威脅用戶的安全。其中之一允許黑客通過誘騙的Microsoft Office文檔運行惡意軟件。另一個反映了Drupal的關鍵性質,它允許黑客傳播被稱為Kitty的惡意軟件病毒。
                       
                      有許多具有自動更新功能的IoT設備,但是此過程存在安全問題。設備應用更新之前,它將備份發送到服務器。黑客可以利用這一機會來竊取數據。公共Wi-Fi和加密網絡上的IoT設備特別容易受到此類攻擊??梢酝ㄟ^使用在線VPN來防止這種情況。它加密連接并屏蔽網絡上所有設備的IP地址。
                       
                      影子物聯網設備
                       
                      即使本地網絡完全安全,并且其上所有IoT設備的固件和軟件都已更新到最新版本,影子IoT設備也可能造成嚴重破壞。這些設備(也稱為流氓IoT設備)可以完美地復制為替代而構建的IoT設備。
                       
                      隨著BYOD成為垂直行業的主要趨勢,員工可以將自己感染的IoT設備帶入工作中。一旦連接到網絡,惡意的IoT設備就可以下載并發送或處理數據。潛在的損害是無法理解的。
                       
                      在線物聯網設備的數量每天都在增加。物聯網的這些網絡安全問題應同時涉及個人和企業用戶。如果我們想看到結果,則必須最小化與IoT相關的安全漏洞。憑著物聯網行業的當前狀況以及最終用戶的意識,可以肯定地說,我們將至少看到更多由物聯網驅動的大規模網絡攻擊。我們只有更加關注消費者和公司對待漏洞的方式。在發生前阻止破壞行動。

                      11月 11,2020 by admin

                      紅隊必備-WEB蜜罐識別阻斷插件

                      在真實攻防演習中,藍隊不再像以前只是被動防守,而是慢慢開始轉變到主動出擊的角色。對藍隊反制紅隊幫助最大的想來非蜜罐莫屬,現在的商業蜜罐除了會模擬一個虛擬的靶機之外,還承擔了一個很重要的任務:溯源黑客真實身份。相當一部分黑客因為瀏覽器沒開隱身模式導致被利用jsonhijack漏洞抓到真實ID,雖然可以反手一個舉報到src換積分,但是在漏洞修復之前,又是一批戰友被溯源。相信很對已經被溯源的紅方選手對此更有體會。

                       
                      在這種背景下,各位紅方老司機應當很需要一個能自動識別這種WEB蜜罐,因此我們寫了個簡單的chrome插件,用來幫助我們擺脫被溯源到真實ID的困境。插件有兩個功能,一是識別當前訪問的網站是否是蜜罐,是的話就彈框預警;二是對訪問的jsonp接口進行重置,防止對方獲取到真實ID。所采用的原理非常簡單粗暴,就是判斷當前網站域和jsonp接口的域是否是同一個,不是的話就預警并阻斷。比如我訪問一個http://1.2.3.4/的網站,結果這個網站里的js去請求了一個baidu.com的api,那妥妥的有問題了。但是粗暴判斷也會帶來誤報,比如我正常訪問baidu.com,但是其引用了個apibaidu.com的jsonp,就一樣也會報警和攔截,這種情況下就暫時用白名單來解決了。

                       

                      使用方法:

                       
                      下載地址:https://github.com/cnrstar/anti-honeypot

                       
                      打開chrome的插件管理 chrome://extensions/:

                       
                      打開開發者模式,并點擊”加載已解壓的擴展程序”,選擇對應的目錄導入即可

                       

                       
                      當訪問到滿足條件的網站,會彈出警告框并阻斷這個請求,注意開啟彈窗權限。
                       

                       
                      由于時間問題,只能簡單寫個開源出來,希望能幫到大家,大家可以對源碼隨意修改,然后開源出來,紅方加油!

                       
                      原創文章,轉載請注明出處:四維創智

                      9月 17,2020 by admin

                      回顧2020兩會丨關于個人信息保護,代表委員們都說了些啥?

                      兩會代表委員談個人信息保護
                       
                      今年兩會期間,“個人信息保護”再次成為大家關注的熱門話題。萬眾矚目的《民法典(草案)》提請審議,草案可謂進一步強化了對隱私權和個人信息的保護。在5月25日的全國人大常委會工作報告中也指出,下一步的主要工作安排將制定個人信息保護法、數據安全法等。許多代表委員對于個人信息保護,都表達了自己的看法和建議。為此,小編特意整理了部分代表委員的精彩觀點,與讀者分享。
                       
                      全國政協委員、國務院參事 甄貞
                       
                      在新冠肺炎疫情防控期間,公民個人信息收集不規范、保護不到位等問題依然較為突出。因此,應當有針對性地對過度收集、疏于監管等問題加以解決,并加大對違法行為的打擊力度,使得公民個人信息得到更好地保護。
                      甄貞建議,對于收集公民個人信息的范圍作出明確規定,嚴格掛鉤疫情防控目的,凡非疫情防控所必需的信息,任何單位和個人一律不得收集,并根據重點人群與普通人群的防控特點,向社會公開發布個人信息收集名錄。
                      甄貞認為,應當建立公民個人信息定期清理機制,參照檔案保存的管理模式,明確疫情防控期間收集的不同類別個人信息的保管期限,對于期限屆滿的個人信息,由相關負責人員及時運用刪除數據庫、銷毀紙質文檔等方式予以清除,降低信息保管成本和泄露風險。甄貞建議,加大執法監督力度,嚴厲懲治侵犯公民個人信息違法行為,執法部門通過官方網站、公眾號等多元化載體公開舉報方式,進一步暢通違法行為線索收集渠道,對于查實的違法行為依法全面從嚴從重處理,并定期發布涉疫情類侵犯公民個人信息行為典型案例。
                       
                      全國人大代表、全國人大社會建設委員會副主任委員 任賢良
                       
                      任賢良帶來了一份建議,專門探討后疫情時期個人信息何去何從。在他看來,防疫期間采取的一些特殊措施,不能沒完沒了地延續下去。疫情結束后,有關部門應當對收集的個人信息進行封存、銷毀。在收集、存儲個人信息等方面,我們相關的法律也得跟上。
                       
                      全國政協委員、國務院發展研究中心原副主任 王一鳴
                       
                      王一鳴建議加快個人信息安全立法,在大力推進數字經濟發展中切實保障個人信息安全。
                       
                      全國政協委員、證監會科技監管工作委員會副主任 張野
                       
                      張野表示,在個人信息保護上,信息當事人有權決定自己的個人信息應當如何被公開、如何被使用,對個人信息的收集、使用、公開,都應當以當事人的同意為前提,法律要設計多種規范以保證當事人同意的有效性。數據收集保存方,要提高數據安全意識,在數據安全保護義務方面盡職盡責,強化其在信息保護方面的責任。
                       
                      全國政協委員、民建中央副主席、上海市社會主義學院院長 周漢民
                       
                      周漢民指出,我國現有法規明確規定個人信息不得交易,數據產業在其發展中存在著諸多不確定因素和法律風險。尤其是在個人信息交易過程中可能涉及的隱私風險,就如同懸在大數據從業者頭上的“達摩克利斯之劍”,成為從業者最為擔憂的風險之一。
                       
                      周漢民認為,可以將個人信息隱身份定義為,數據控制者將數據集中可識別個人身份的數據進行刪除或者改變的過程。簡單而言,即為去除數據集中個人可識別信息的過程?!霸趯砦覈鴤€人信息保護專門立法中,亟需對個人信息隱身份制度進行規范?!?周漢民委員指出,合理恰當地運用隱身份技術可以較好地實現個人隱私保護與信息利用之間的平衡,而一旦隱身份技術被濫用,或者隱身份的行業標準難以一致,隱身份就難以實現本應具有的法律效果,甚至可能導致新的隱私風險,及至影響大數據產業的發展。
                       
                      全國政協委員、360董事長 周鴻祎
                       
                      周鴻祎建議,從物權角度明確個人托管在廠商的信息所有權屬于自然人,廠商收集信息時應保障用戶的知情權和選擇權。同時,如果廠商沒有能力采取合理的網絡安全技術措施,不能有效地保護所收集的用戶信息,應剝奪其收集信息的權利,或者在信息泄漏后用戶可以對其進行集體訴訟。
                       
                      全國政協委員、百度董事長 李彥宏
                       
                      李彥宏建議,對疫情期間采集的個人信息設立退出機制,加強對已收集數據的規范性管理,研究制定特殊時期的公民個人信息收集、存儲和使用的標準和規范。
                       
                      全國人大代表、全國人大憲法和法律委員會委員、中國法學會副會長、中華全國律師協會會長 王俊峰
                       
                      王俊峰認為,在疫情前期,一些地區可能不同程度地存在“重采集、輕管理”的情況,進而滋生了一些不合法、不合規的個人信息收集與披露行為。他建議,一是疫情期間個人信息的采集匯聚要嚴格細化、依法合規。二是個人信息的使用存儲要因時因地、手段科學。三是個人信息的銷毀刪除要及時推進、落實責任。
                       
                      全國人大代表、中國人民銀行參事 周振海
                       
                      周振海表示,如果出現與個人金融信息有關的不當行為,不但會直接侵害個人金融信息主體的合法權益,也會增加金融機構的訴訟風險和聲譽風險,影響金融機構的正常運營。
                      周振海認為,金融機構要切實履行個人金融信息保護的主體責任。要教育員工切實樹立信息保護法治意識;要加強制度建設,將法律、法規和相關監管規定中關于個人金融信息保護的相關規定落實到位;要加強個人信息保護內控建設,通過“技防+人防”相結合的方式,有效避免個人金融信息風險事件的發生。
                       
                      全國政協委員、中華全國律師協會副會長 呂紅兵
                       
                      個人信息保護尚未出臺統一的法律,相關規定散見于民法總則、網絡安全法和侵權責任法等法律中。這些是原則性規定,在實踐中對解決各類個人信息泄露、數據收集平臺非法收集、處理個人信息等問題發揮的作用不夠。
                       
                      全國政協委員、搜狗公司CEO 王小川
                       
                      個人信息泄露和AI仿真技術造假將是監管方向。之前大家一直在討論的AI技術倫理問題,其實與現在的我們還有一定的距離?,F在我們需要完善監管的,主要就是兩個方向。一個是防止數據的泄露,因為隨著用戶開始得到更好的服務體驗,機器的個人畫像、大數據的捕捉、信息采集等,可能會侵犯到個人隱私。因此,如何進行隱私防范,防止數據的泄露,會是很重要的一個監管領域。另外需要注意的是,通過AI仿真技術來進行欺詐。
                       
                      全國人大代表、科大訊飛董事長 劉慶峰
                       
                      數據作為獨立的生產要素已成為國家戰略性重要資源,當前各國政府高度重視大數據的應用和發展,紛紛出臺各領域、各行業的數據安全保護法規,以加強大數據應用過程中對個人隱私與數據安全的保障。
                      劉慶峰建議,規范管理數據全生命周期中各環節的安全保障措施,對數據的收集、流轉、運營進行規范管理,避免數據泄露、數據資源濫用,對國家利益造成損害?!耙坏┌l生數據泄露,對人工智能和大數據產業發展是非常大的沖擊”。
                       
                      全國政協委員、中華全國律師協會副會長、吉林功承律師事務所主任 遲日大
                       
                      加快推進個人信息保護立法進程十分必要,這對于進一步推動經濟社會發展,不斷提升人民群眾的獲得感、幸福感、安全感意義重大。
                       
                      遲日大建議,首先,個人信息收集應當明確堅持最小化收集原則??梢越柚髷祿?、云計算、區塊鏈等技術手段探索建立統一的公民個人信息平臺,直接實現在各公共部門之間的互聯互通共享,并由一個確定的主體負責收集、提供和保護。其次,應當強化行政機關、事業單位等公共部門的自我規制義務。行政機關、事業單位等公共部門對于公民個人信息的收集往往具有強制性,且收集的范圍更廣、內容更為具體。因此,應賦予其更為嚴格的個人信息保護和自我規制義務。三是應當探索完善個人信息非損害類侵權行為的救濟途徑,明確個人信息保護執法機關,探索建立全國統一的個人信息侵權舉報平臺,予以被舉報者個人信息來源強制公開義務,賦予公民個人對非公共部門收集個人信息具有自主刪除權利等。
                       
                      全國人大常委會委員、農工黨中央專職副主席 龔建明
                       
                      在App快速發展的過程中,受經濟利益驅使,很多App通過收集用戶數據服務網絡營銷,但在其用戶協議中并沒有隱私政策條款,也就是說沒有收集使用個人信息的規則,形成了霸王條款。在我國相關法律尚不完備、管理尚不到位的情況下,存在大量App對用戶個人敏感信息的過度采集情況。
                       
                      為此,龔建明建議:一、加大保護個人信息安全公益訴訟力度。二、加強對保護個人信息安全的管理工作。三、加快《個人信息保護法》立法步伐。
                       
                      全國人大代表、廣汽集團董事長 曾慶洪
                       
                      曾慶洪建議,推進個人信息分類分級制度?,F行關于個人信息安全的國家標準僅將個人信息劃分為“個人信息”與“個人敏感信息”,建議后續針對網絡安全法的配套立法中,進一步從個人信息的性質、內容等方面明確、細化個人信息的類別和敏感度,從而針對不同類型的個人信息給予不同程度的保護措施,實現個人信息保護和利用的有效平衡。
                       
                      全國政協委員、香港青年聯會主席、高鋒集團董事局主席 吳杰莊
                       
                      在數字化時代,個人信息和數據應當被視作是我們的個人財產。當你把它當做財產的時候,就會重視起來。應該建立一個機制讓個人能更好地了解數據的用途,根據數據的不同性質明確所有權和使用權,被授權企業和政府在使用數據前更應該對數據的用途和使用期間進行明示,這樣才能形成用戶與平臺之間的良性互動。
                       
                      全國政協委員、重慶靜昇律師事務所主任律師 彭靜
                       
                      在5G應用背景下需要高度重視進一步加強個人信息保護。彭靜建議,在機制設置上,需要從強調“個人的知情許可”向“讓信息處理者承擔責任”方向轉變,建立“誰使用誰負責”的“使用者責任”機制,以責任壓力來強化使用者的個人信息保護意識。
                       
                      同時,通過建立相應配套制度,確立“違法必有責”、“侵權必追責”的制度環境:第一,在追責機制上,建立數據侵權的過錯推定責任,由侵權人證明自己沒有過錯,如果證明不了的,則推定其有過錯,從而減輕被侵權人的舉證責任;第二,采取由數據控制者與處理者承擔連帶侵權責任的方法,促使各方主體審慎處理和利用數據;第三,設立違法行為“處罰公示”制度,將違法企業計入“違法行為黑名單”,以有效遏制侵犯個人信息的違法行為。
                       
                      全國人大代表、致公黨上海市委專職副主委 邵志清
                       
                      伴隨科技進步,個人生物信息的采集門檻越來越低,并不需要特別的高科技,網絡平臺就可以采集和應用。因此,加強對個人生物信息采集和使用平臺的監管,十分必要。對App、“互聯網+政務”及商業機構等各類平臺采集生物信息行為實行立體式、全方位監測,打擊過度采集生物信息,嚴懲非法濫用采集信息的行為;同時,要嘗試建立符合我國國情的生物信息采集應用平臺準入制度,嚴格審核應用平臺的信息安全保護能力,通過審核才能賦予其開展相應技術活動的資格。
                       
                      全國政協委員、中國人民銀行杭州中心支行行長 殷興山
                       
                      殷興山在《關于大數據廣泛應用背景下加強個人信息保護的提案》中表示,由于個人信息的資源價值,各個層面都重視挖掘個人信息、行為模式等數據,導致個人信息使用不斷膨脹和擴散,有的被不法分子利用成為詐騙案件,保障個人信息安全迫在眉睫。
                       
                      殷興山建議,一是加快立法進程。二是設立專門監管機構。三是確立運營主體運營規范。四是賦予信息主體自我保護權力。
                       
                      全國人大代表、江西省工業和信息化委員會主任 楊貴平
                       
                      公民個人信息泄露,存在諸多方面的原因:公民個人信息安全保護意識淡薄。個人信息保護法規制度不健全。海量個人信息的系統安全防護能力薄弱。企業或個人自律不夠。
                      楊貴平建議,應加快立法進程,盡快出臺個人信息保護法。同時規范對個人信息收集、加工、使用、披露的管理,防止信息過度采集和濫用;提高承載個人信息系統的安全防護能力,有效防范系統遭受非法侵入、竊取信息等風險;加強內部監管,防止內部人員非法竊取個人信息。
                       
                      全國人大代表、中國人民銀行南昌中心支行行長 張智富
                       
                      張智富認為,國家有關個人信息保護的法律條文零散分布,難以滿足個人信息安全保護的客觀需求,應加快個人信息保護立法。張智富建議,采取分步推進的方式,整理現行法律、法規、規章中與個人信息保護相關的條文,將個人信息保護立法體系結構由低級向高級、由零散向系統化推進。
                       
                      全國政協委員、北京天達共和律師事務所主任 李大進
                       
                      全國人大代表、北京市律協會長高子程
                       
                      我國雖然出臺了一些信息安全保護的法律法規,但尚未出臺針對個人隱私保護的專門立法。對于泄露個人隱私的處罰較輕,導致侵犯個人隱私的違法成本過低,個人隱私保護力度極其有限。
                       
                      他們認為,應該明確規定哪些個人信息可以被收集,哪些不能。對于運營主體的收集行為而言,殷興山認為要有明確正當的目的,要符合“最少、必需”要求,并經過信息主體明示同意。
                       
                      全國人大代表、世紀榮華投資控股集團有限公司董事長 崔榮華
                       
                      應把個人信息上升為個人基本權利。崔榮華提出個人信息保護的知情同意、目的明確、使用限制、信息質量、安全管理、禁止泄露、保存時限和自由流通等八項原則,嚴格企業和機構的信息保護責任,加大處罰力度。
                       
                      她認為,立法應當明確侵害個人信息權利的責任。如因信息采集主體保管不善導致個人信息泄露,信息采集主體應當依法承擔相應責任;如工作人員私自泄露了個人信息,除個人應當承擔責任外,信息采集主體業應視具體情節也依法承擔責任;如信息采集主體對個人信息保管不善,同時又有第三方非法獲取并使用個人信息,則信息采集主體與第三方共同承擔賠償責任。
                       
                      全國政協委員、北京國際城市發展研究院院長 連玉明
                       
                      連玉明建議,《個人信息保護法》應充分考慮根據應用場景對個人信息進行分類分級保護條款,對行政機關、公共機構的信息收集、使用和處理行為也要加以規范。
                       
                      全國政協委員、德勤中國副主席 蔣穎
                       
                      蔣穎提出,在防疫過程中,為了保護自己和周圍人的人身安全,我們的個人信息可能被無限制使用。短期而言,這些信息的善后處理問題亟需各方關注。長期來看,未來類似的事件發生后,個人信息的收集是否應該要有一些特別的管理模式。
                       
                      全國人大代表、今世緣酒業黨委書記、董事長 周素明
                       
                      周素明表示,收集個人信息需要在公共利益與個人信息保護之間保持平衡。一方面采集者要本著“最少原則”收集個人信息,明確個人信息收集的范圍;另一方面,要保障公眾的知情權,讓公眾知道自己的信息去哪兒了。
                       
                      全國人大代表、重慶市大數據應用發展管理局副局長 楊帆
                       
                      不同的信息采集者,對個人信息保護的意識和能力參差不齊,加強疫情期間收集的個人信息保護迫在眉睫。
                       
                      楊帆建議,應建立健全公共衛生事件數據共享開放制度,進一步明確數據采集標準、共享開放權限、融合應用流程、安全隱私保護和信息發布規則,優化完善相關法律法規,為大數據應用發展提供良好的法治環境。
                       
                      全國政協委員、未來國際董事長 王茜
                       
                      王茜委員在提交的《關于規范和促進個人信息使用和保護的提案》中建議,國家立法機構加快個人信息保護法、數據安全法等立法進程工作,明確突發公共衛生事件防控中個人信息保護相關條款。同時,建議由中央網信辦牽頭,聯合公安部、民政部、教育部、醫保局等有關個人信息重點采集使用部門,在《信息安全技術個人信息安全規范》《關于做好個人信息保護利用大數據支撐聯防聯控工作的通知》等基礎上,研究形成“公民個人信息使用保護目錄正負面清單”,建立“公民個人信息使用保護安全審查制度”,形成體系化、可操作、有針對性的個人信息使用和保護規則、指南、標準,用以規范個人信息的采集、匯聚、存儲、利用、銷毀等全生命周期。
                       
                      全國人大代表、重慶機場集團黨委書記 譚平川
                       
                      目前在個人信息法律保護方面存在以下幾個方面的問題:一是個人信息被過度收集,侵害老百姓合法權益。二是個人信息被非法濫用,電話頻繁騷擾,影響老百姓日常生活。二是個人信息被非法濫用,電話頻繁騷擾,影響老百姓日常生活。譚平川建議,加強源頭治理,綜合整治。譚平川建議,加強源頭治理,綜合整治。
                       
                      全國人大代表、人民銀行武漢分行行長 王玉玲
                       
                      全國人大代表、中國人民銀行南京分行行長郭新明
                       
                      金融領域個人信息具有特殊性,與其他個人信息相比,其與個人的資產、信用狀況等高度相關,一旦泄露,不僅會侵害個人隱私,還可能對信息主體的財產安全造成很大威脅。
                       
                      個人金融信息保護是銀行業金融機構的一項法定義務,在信息化時代如何加強個人信息保護,如何把握個人信息保護和信息合理應用之間的適度平衡,是金融監管需要深入思考的問題。
                       
                      王玉玲、郭新明均表示,對一些打著大數據、金融科技旗號,無經營資質但實質從事個人征信業務,違規獲取、泄露個人敏感和隱私信息的機構,人民銀行將配合公安部門依法嚴肅查處。
                       
                      全國人大代表、西北稀有金屬材料研究院寧夏有限公司副總經理 王東新
                       
                      王東新認為,要建立科學完備的法律保護體系,除了規定刑事責任,還要注重行政責任和民事責任,實施對公民個人信息的立體保護。只有建立起科學完備的公民個人信息保護法律體系,法律兜底才能做到有法可依,才能對侵犯公民個人信息的行為予以更有力的懲罰,并對各方不法行為實現源頭治理。
                       
                      全國人大代表、湖北得偉君尚律師事務所主任律師 蔡學恩
                       
                      公民個人信息是一種重要且特殊的資源,近年來,個人信息被侵權問題多發,新冠肺炎疫情防控期間,也有泄露個人信息的事件發生。侵害個人信息的行為不僅危害公民的人身和財產安全,也會損害社會公共利益。建議將個人信息保護納入檢察公益訴訟范圍,加強個人信息保護,維護社會公共利益。
                       
                      全國政協委員、月星集團董事長 丁佐宏
                       
                      新冠疫情暴發以來,各類健康碼應運而生。國家碼、航空公司等的行業碼、公司碼,各地的省碼、市碼、社區碼,甚至機場還有登機口碼,一次出行需要多次掃碼、多次填寫個人的相同資料,且互不通用、互不相認。目前,國家政務服務平臺上線的“防疫健康信息碼”在各地并不能替代“散裝碼”。
                       
                      丁佐宏建議,應改變“散裝碼”現狀,以制度形式使國家版健康碼成為唯一的“健康碼”。清理、清退非國家層面的各類“散裝碼”,停止“散裝碼”的信息采集和應用,禁用并銷毀已經采存的各類數據。建立具有法律效力的相應制度,對各種“散裝碼”清理清退之后違規應用、特別是將信息濫用于商業目的行為,依法給予嚴懲。
                       
                      全國人大常委會法工委近日透露,《個人信息保護法》正在研究起草中,目前草案稿已經形成。

                      8月 28,2020 by admin

                      根本防不??!不用你參與,就能用摩托羅拉手機轉空你的銀行卡!

                      近期警方抓獲了一個利用“嗅探”技術的新型銀行卡盜刷的團伙,他們利用的這個手段挺可怕的,一部摩托羅拉手機、一個特制的U盤系統,不用你參與,就能在你眼皮底下轉空你銀行卡里的錢。

                       
                      我們熟知的這些銀行卡詐騙手段一般都會給你打電話或者發信息去誘導你給騙子打錢或者訪問他們做好的假鏈接獲取你的銀行卡信息等之后進行盜取。

                       
                      只要你不和騙子進行任何互動,騙子其實也沒有辦法去盜刷你的銀行卡。
                       

                      而這次的作案手段,不需要你和騙子有任何互動!你就會一直收到銀行卡的扣款信息。警方在辦案的時候也非常奇怪,甚至很多技術細節,和作案手段都是在抓捕到犯罪團伙之后才知道的。
                       

                       
                      2019年7月4日凌晨3點多,被采訪的宋女士的手機突然收到了幾條短信驗證碼,起先宋女士以為只是詐騙的垃圾信息沒有在意,但隨后再收到短信就是5萬款的轉卡通知。
                       

                       

                      凌晨3點多,自己還在家肯定沒有進行消費了,是我我也肯定覺得這是騙子發來的詐騙短信誘導打電話或者訪問詐騙鏈接的。
                       

                      緊接著就收到了兩條銀行卡取款信息。

                       

                       

                      直到最后5萬塊被轉走,宋女士也沒有進行過任何操作,整個過程就幾分鐘,我在看到這篇新聞的時候和宋女士的反應一樣,怎么坐在家里什么也不干,這錢就沒了?

                       

                       
                      宋女士在經歷了這一切之后,確認自己的錢已經被盜走,馬上撥打了110報警,但民警也傻了,以前接到電信詐騙的案子無不例外都是點個鏈接、發個信息、下個軟件之類的,而這次的案子居然什么都沒有就把錢刷走了。
                       

                       
                      雖然不知道犯罪分子用什么手法作案,但是警方通過被盜刷資金的流向,找到犯罪分子取款的ATM取款機,通過攝像頭等等線索盤查,最終在廣東惠州將犯罪嫌疑人抓獲。

                       

                      通過審訊,警方才從犯罪嫌疑人口中了解到了整個犯罪的全過程。
                       

                      先是如何獲取到被害人的動態驗證碼:
                       

                       
                      犯罪嫌疑人通過下家在被害人居住附近“嗅探”被害人的動態驗證碼,然后經過洗錢通道將錢轉出。如何操作呢?他們還有一個自己的“偽基站”設備:

                       

                       

                      將摩托羅拉118手機進行一番改造成一個“接收天線”,再配合上特定的U盤系統,一個“偽基站”就做好了。
                       

                      一個改裝方案特別成熟的“偽基站”設備,成本一個手機15塊錢,整個拼接過程非常簡單,稍微有點動手能力的都能完成。做好之后連上電腦就可以進行模仿基站的信號,嗅探周圍手機短信。
                       

                       

                      為什么這么簡單就能嗅探到短信進行盜刷?因為2G網絡的加密方式太過簡單,早就已經被人獲取。
                       

                       

                      犯罪分子通過設備干擾手機迫使信號降到2G網絡,然后進行嗅探截獲短信驗證碼。
                       

                      而且,在犯案過程中,犯罪嫌疑人會先利用其他平臺進行充值、注冊等方式獲取你的銀行卡、姓名、身份證號、手機號等信息,挑選有“價值”的被害人進行犯案。
                       


                       

                      只要獲取你一個部分信息,就可以順藤摸瓜找出你所有信息。
                       

                      通過各種腳本進行跑卡。
                       

                       
                      從獲取你一點信息到最后使用“偽基站”嗅探將你的錢轉走,就是這么簡單。
                       

                      真的是防不勝防,真要說如何防范的話,斷網!卡里沒錢!不綁定各種信息!應該可以吧。

                       
                      其實這次的案件使用的技術并不高超,但反應出來的問題卻很嚴重,現在我們都已步入5G時代,極少數有人會去使用2G網絡,但2G網絡現在儼然已經成為了一個“后門”,而且隨著網絡現在越來越便捷,“免密支付”等方便操作方式的出現,讓我們在便利的同時也多了許多危險的可能性。

                      8月 24,2020 by admin

                      “新基建”定義網絡安全技術創新新范式

                      2020年初,中央層面密集出臺相關政策,全面部署提速“新基建”戰略進程?!靶禄ā睅有乱淮畔⑼ㄐ偶夹g的集成創新和融合應用,持續驅動高質量發展,加速國家數字化轉型進程,促進國家網絡空間治理體系和治理能力現代化建設。與此同時,全球政治、經濟和治理格局都在發生著深刻而復雜的變化。在各國激烈角逐制網權的網絡空間新變局下,網絡安全在保障“新基建”建設、保障高質量可持續發展中的戰略性、全局性和基礎性地位尤為凸顯?!靶禄ā毕碌木W絡安全場景更加復雜、風險更加突出、形勢更為嚴峻,網絡安全理念和技術實踐將面臨時代賦予的全新挑戰。
                       
                      一、“新基建”為網絡安全發展注入新動能
                       
                      2020年4月20日,國家發改委明確定義了“以新發展理念為引領,以技術創新為驅動,以信息網絡為基礎,面向高質量發展需要,提供數字轉型、智能升級、融合創新等服務的基礎設施體系”,界定了包括信息基礎設施、融合基礎設施、創新基礎設施等在內的“新基建”概念范疇。其中,信息基礎設施泛指以5G、物聯網、工業互聯網、衛星互聯網等為代表的通信網絡基礎設施,以人工智能、云計算、區塊鏈等為代表的新技術基礎設施,以數據中心、智能計算中心為代表的算力基礎設施等;融合基礎設施主要表征互聯網、大數據、人工智能等技術在傳統基礎設施轉型升級中的深度應用,包括智能交通基礎設施、智慧能源基礎設施等;創新基礎設施則指代重大科技基礎設施、科教基礎設施、產業技術創新基礎設施等,支撐科學研究、技術開發、產品研制的具有公益屬性的基礎設施。
                       
                      從對“新基建”概念范疇的定義可以看出,“新基建”是新一代信息通信技術與傳統基礎設施的深度融合,呈現高度網絡化、數字化、智能化的顯著特征。數字經濟時代,“新基建”將加速網絡世界和物理世界的全面融合。屆時,垂直行業應用從隔離孤立走向深度網聯,網絡架構從自律中心化走向分布自組織,連接場景從人機互聯走向萬物互聯。在“新基建”構建的全連接網絡物理世界中,網絡安全無疑將成為保障“新基建”安全建設中固其本源的基礎性工程。新基礎建在推動質量變革、效率變革和動力變革的同時,也將為網絡安全技術產業創新發展提供寶貴機遇。一方面,人工智能、云計算、區塊鏈等新一代信息技術不斷驅動安全技術迭代創新、智能升級,將加快擬態防御、安全自動化、零信任安全等安全新理念落地發展;另一方面,“新基建”安全的同步建設,也將大量激發網絡安全市場活力,為網絡安全產業提供充沛的市場需求和廣闊的增長空間。
                       
                      二、“新基建”給網絡安全帶來新挑戰
                       
                      (一)“新基建”拓展多元化應用場景,帶來從“通用安全”向“按需安全”轉變的新需求
                       
                      “新基建”加速數字經濟與實體經濟融合發展,不斷推動傳統行業數字化轉型,隨之而來的是網絡安全威脅風險從數字世界向實體經濟的逐漸滲透。在此過程中,網絡安全的內涵外延不斷擴大,“新基建”網絡安全保障需求從“通用安全”向“按需安全”拓展延伸。例如,數字孿生、網絡切片等技術加速“5G+垂直行業”應用落地,智慧城市、智慧能源、智能制造等領域融合基礎設施組網架構更新迭代周期各異、終端設備能力高低不一、數據流量類型千差萬別,投射出千人千面的網絡安全保障需求;工業互聯網打破傳統工業控制系統封閉格局,工業現場側與互聯網側安全基準需實現按需對接;數據中心加快云化整合,算力基礎設施中海量資源集聚風險突出,與傳統基礎設施相比攻擊容忍度更低,重要生產要素資源面臨“一失盡失”的安全威脅。因此,“新基建”下,網絡安全的效能將不再由漏報率、誤報率、抗DDoS攻擊流量峰值等統一指標來簡單衡量,而是需要構建場景化的按需安全能力供給模式。
                       
                      (二)“新基建”帶動新技術融合應用,倒逼智能安全防御能力加速成型
                       
                      “新基建”加速人工智能、區塊鏈等新一代信息通信技術的落地應用。一方面,新技術本身的安全缺陷和安全隱患不容忽視。近年來,人工智能等新技術開源平臺、開發框架屢次被曝安全漏洞,導致其上開發的應用權限被控制、用戶數據被竊取等事件頻頻發生。另一方面,新技術的融合應用較之傳統技術而言在計算能力、傳輸能力、存儲能力等方面帶來大幅躍升,也可能誘發更加高效、有針對性、難于發現和追溯的網絡攻擊,對既有網絡安全防御規則形成了極大的挑戰。例如,泛在技術在5G、物聯網等通信網絡基礎設施中的融合應用驅動了大規模機器通信(mMTC)業務的不斷成熟,構建了全連接的物物互聯網絡,而網絡攻擊威脅范圍也隨著泛在技術的發展而急劇擴張;區塊鏈技術防篡改、分布式等技術特性為其上存儲和傳播的有害信息提供了天然的技術庇護;人工智能技術可通過對數據的再學習和再推理進行數據的深度挖掘分析,導致現行的數據匿名化等安全保護措施失效,個人隱私變得更易被挖掘和暴露。隨著新技術在“新基建”中的加速融合應用,網絡安全也需提早形成“以技術對技術、以智能對智能”的安全能力。
                       
                      (三)“新基建”加大安全邊界泛化程度,催生“緊耦合”的一體化安全需求
                       
                      “新基建”浪潮下,傳統基于物理界限、實體域劃分的安全邊界概念快速模糊泛化。例如,5G
                       
                      打造了“通信網絡基礎設施+網絡切片+業務平臺+垂直行業應用”的深度融合新業態,運營商網絡環境與垂直行業應用場景間的安全邊界加速泛化;物聯網依托智能感知、泛在接入等技術,實現人與人、人與物、物與物之間無障礙的信息獲取、傳遞、存儲、認知、決策與使用,帶來了網絡形態的持續快速變動,加大了網絡安全邊界變化延伸的不可預測性;虛擬化技術的全面應用推動新型基礎設施的開放性和服務化進程,也使得傳統基于實體隔離的安全邊界劃分方式不再適用。因此,在“新基建”時代,面臨深度融合、快速變化的外部環境,先建設再定界、先定界再加固的傳統安全防護模式將加劇網絡安全攻防不對稱性,防御方若一味跟隨式被動應對,將難以形成高效敏捷的安全防線,需進一步將網絡安全工作前置,打造架構即安全的一體化安全能力。
                       
                      (四)“新基建”重塑網絡安全生態,推動構建以能力為導向的協同安全局面隨著
                       
                      “新基建”戰略部署進程的不斷深入,運營商、云服務商、行業用戶等各相關方將跳出傳統的單一供需關系,形成“你中有我、我中有你”的融合發展局面。例如,5G通過網網絡能力開放,將業務路由、計費、擁塞控制等網絡功能,以及鑒權認證等5G安全能力開放給上層應用和業務,打通了移動通信網基礎業務能力與第三方服務間的流通通道;利用網絡切片技術在統一的基礎設施平臺上實現邏輯隔離、定制化、端到端的網絡切分,通過在不同網絡切片上動態分配網絡資源和能力,延伸了通信行業與OTT公司業務合作的手段。隨著網絡建設、業務供需等模式的轉變,運營商的安全責任范疇逐漸拓寬,行業用戶的安全參與度變得更高,安全企業也從單一的安全產品、安全服務的提供商轉變為網絡安全基礎設施的建設者,甚至是具備安全屬性的新型基礎設施建設者?!靶禄ā毕?,各相關方安全角色的變化將打開全新的網絡安全協同局面。
                       
                      三、“新基建”下網絡安全技術創新展望
                       
                      (一)按需安全防御理念加快落地
                       
                      按需安全是網絡安全技術體系從全面到專精的必然產物。面向“新基建”下不同基礎設施類型、不同業務應用性質、不同安全威脅表征等高度異構化的安全保障需求,按需安全的意義是構建網絡安全決策中樞和調度中心,通過對安全需求進行針對性的建模,將已有漏洞掃描、入侵監測、特征匹配等基礎安全能力規范化封裝,從而建立流程化、可編排、可調度的安全技術和能力體系,以實現對不同安全等級、不同事件類別、不同應用場景安全事件的自動化防御和響應,實現強針對性、高自動化的安全決策和部署?!靶禄ā敝械陌葱璋踩粌H有助于實現對已有安全能力的有機整合,也將有效降低實現不同安全技術產品耦合所需的人力和時間成本,解放網絡安全人力、緩解網絡安全人才短缺現狀,在面對國家級、高級別網絡安全威脅時有助于形成網絡安全防護合力。
                       
                      (二)智能安全防御能力加速成型
                       
                      目前,我國智能安全防御體系的構建仍處于早期階段,但現有威脅情報、態勢感知、安全大數據分析等技術和產品的快速成熟為智能安全防御能力的構建累積了良好的發展基礎。面對網絡攻擊對抗手段日趨精細復雜、新技術不斷融合催生新型攻擊手段的客觀安全形勢。在“新基建”網絡安全中需進一步加強擬態安全、自適應安全、安全自動化等主動智能的防御理念和技術體系布局,深化網絡安全與大數據、人工智能、區塊鏈等前沿技術的融合創新,形成覆蓋新型基礎設施的未知安全風險預先感知、行為預判、路徑預測和提前阻斷能力,在提前感知威脅、預判攻擊行為、提升攻擊發現和防御實效等方面構筑非對稱戰略優勢。
                       
                      (三)一體化安全防御體系雛形初現
                       
                      “新基建”下安全邊界的逐漸泛化不斷沖擊邊界即安全、隔離即安全的“松耦合式”安全防御體系。一方面,外掛式的安全防御和應用場景間交互性不高;另一方面,一旦攻擊者突破外圍安全防線便可長驅直入,造成一點突破、全盤皆失的影響。當前,Google、Illumio等大型互聯網企業和安全廠商均已部署各自的“架構即安全”產品和相關平臺,通過防范內部威脅與外部防御形成有機互補?!靶禄ā本W絡安全也需同步構建可信的底層安全基礎設施,以零信任安全、分布式信任管理體系等搭建一體化的安全架構,以實現網絡架構和安全架構相輔相成、內源安全能力和外防安全手段有機互補的一體化安全防御體系。
                       
                      (四)高效協同的網絡安全生態不斷優化
                       
                      在國家大力發展數字經濟和“新基建”背景下,隨著網絡安全生態結構優化的驅動力逐步由安全合規性建設向按需安全、智能安全、一體化安全轉變。安全企業在新型基礎設施建設早期的參與度將快速提升,在網絡部署、業務上線和場景構建之初合力構建高效協同、精準施策的安全指南和解決方案。行業主管部門、行業用戶等可探索通過推薦目錄等方式,打造涵蓋“新基建”網絡安全先進技術產品和服務的“一攬子”解決方案,推進先進技術應用普及,增強網絡安全能力建設體系化水平。政企間進一步加強覆蓋“新基建”網絡安全技術、最佳實踐和威脅應對等方面的協同聯動和信息共享;逐步打造“新基建”網絡安全公共服務生態,形成集聚發展效應,促進市場供需對接。(本文刊登于《中國信息安全》雜志2020年第5期

                      6月 3,2020 by admin

                      滲透測試的8個步驟

                      滲透測試這個事情不是隨便拿個工具就可以做了,要了解業務,還需要給出解決方案
                       
                      滲透測試與入侵的區別
                       
                      滲透測試:以安全為基本原則,通過攻擊者以及防御者的角度去分析目標所存在的安全隱患以及脆弱性,以保護系統安全為最終目標。
                       
                      入侵:通過各種方法,甚至破壞性的操作,來獲取系統權限以及各種敏感信息。
                       
                      一般滲透測試流程
                       

                       
                      1. 明確目標
                       
                      確定范圍:測試目標的范圍、ip、域名、內外網、測試賬戶。
                       
                      確定規則:能滲透到什么程度,所需要的時間、能否修改上傳、能否提權、等等。
                       
                      確定需求:web應用的漏洞、業務邏輯漏洞、人員權限管理漏洞、等等。
                       
                      2. 信息收集
                       
                      方式:主動掃描,開放搜索等。?開放搜索:利用搜索引擎獲得:后臺、未授權頁面、敏感url、等等。
                       
                      基礎信息:IP、網段、域名、端口。
                       
                      應用信息:各端口的應用。例如web應用、郵件應用、等等。
                       
                      系統信息:操作系統版本
                       
                      版本信息:所有這些探測到的東西的版本。
                       
                      服務信息:中間件的各類信息,插件信息。
                       
                      人員信息:域名注冊人員信息,web應用中發帖人的id,管理員姓名等。
                       
                      防護信息:試著看能否探測到防護設備。
                       
                      3. 漏洞探測
                       
                      利用上一步中列出的各種系統,應用等使用相應的漏洞。
                       
                      方法:
                       
                      (1) 漏掃,awvs,IBM appscan等。
                       
                      (2) 結合漏洞去exploit-db等位置找利用。
                       
                      (3) 在網上尋找驗證poc。
                       
                      內容:
                       
                      系統漏洞:系統沒有及時打補丁
                       
                      WebSever漏洞:WebSever配置問題
                       
                      Web應用漏洞:Web應用開發問題
                       
                      其它端口服務漏洞:各種21/8080(st2)/7001/22/3389
                       
                      通信安全:明文傳輸,token在cookie中傳送等。
                       
                      4. 漏洞驗證
                       
                      將上一步中發現的有可能可以成功利用的全部漏洞都驗證一遍。結合實際情況,搭建模擬環境進行試驗。成功后再應用于目標中。
                       
                      自動化驗證:結合自動化掃描工具提供的結果
                       
                      手工驗證,根據公開資源進行驗證
                       
                      試驗驗證:自己搭建模擬環境進行驗證
                       
                      登陸猜解:有時可以嘗試猜解一下登陸口的賬號密碼等信息
                       
                      業務漏洞驗證:如發現業務漏洞,要進行驗證
                       
                      公開資源的利用
                       
                      exploit-db/wooyun/
                       
                      google hacking
                       
                      滲透代碼網站
                       
                      通用、缺省口令
                       
                      廠商的漏洞警告等等。
                       
                      5. 信息分析
                       
                      為下一步實施滲透做準備。
                       
                      精準打擊:準備好上一步探測到的漏洞的exp,用來精準打擊
                       
                      繞過防御機制:是否有防火墻等設備,如何繞過
                       
                      定制攻擊路徑:最佳工具路徑,根據薄弱入口,高內網權限位置,最終目標
                       
                      繞過檢測機制:是否有檢測機制,流量監控,殺毒軟件,惡意代碼檢測等(免殺)
                       
                      攻擊代碼:經過試驗得來的代碼,包括不限于xss代碼,sql注入語句等
                       
                      6. 獲取所需
                       
                      實施攻擊:根據前幾步的結果,進行攻擊
                       
                      獲取內部信息:基礎設施(網絡連接,vpn,路由,拓撲等)
                       
                      進一步滲透:內網入侵,敏感目標
                       
                      持續性存在:一般我們對客戶做滲透不需要。rookit,后門,添加管理賬號,駐扎手法等
                       
                      清理痕跡:清理相關日志(訪問,操作),上傳文件等
                       
                      7. 信息整理
                       
                      整理滲透工具:整理滲透過程中用到的代碼,poc,exp等
                       
                      整理收集信息:整理滲透過程中收集到的一切信息
                       
                      整理漏洞信息:整理滲透過程中遇到的各種漏洞,各種脆弱位置信息
                       
                      8. 形成報告
                       
                      按需整理:按照之前第一步跟客戶確定好的范圍,需求來整理資料,并將資料形成報告
                       
                      補充介紹:要對漏洞成因,驗證過程和帶來危害進行分析
                       
                      修補建議:當然要對所有產生的問題提出合理高效安全的解決辦法
                       
                      流程總結:
                       

                      來自:freebuf

                      4月 27,2020 by admin

                      漏洞警告!發封電郵就可入侵iPhone?

                      iOS系統出現驚天漏洞導致任意iPhone均可被感染 蘋果正在緊急修復。
                       
                      你的iPhone不安全,就算靜靜地躺在那里也不安全。
                       
                      最新曝光,來自國外安全團隊ZecOps公布了一個驚天大漏洞,估測涉及5億用戶。
                       
                      而且該漏洞在iOS系統里已存在8年之久,從iOS 6到iOS 13.4.1的設備全部中招……
                       
                      什么概念?
                       
                      此次安全漏洞值得關注的只要有以下原因 :
                       
                      1.無需用戶交互即可利用 ;
                       
                      2.可遠程觸發 ;
                       
                      3.攻擊者已在野外進行利用。
                       
                      幾乎所有的iPhone用戶和iPad用戶,都可能會中招——除非你在用的是運行iOS 5的iPhone 4s或者更低版本的iPhone。
                       
                      更可怕的是,這個漏洞不需要用戶任何點擊,只要給用戶發送一封電子郵件,甚至郵件還在下載過程中,就能觸發漏洞攻擊。
                       
                      但鬼故事還在后面。
                       
                      該團隊發現最早的攻擊行為出現了2018年1月,也就是說黑客已經肆無忌憚地利用這個漏洞攻擊了兩年。
                       
                      而且蘋果只能等到下一次iOS更新才能徹底堵上它。
                       

                       
                      中毒后會有什么癥狀?
                       
                      除了手機郵件App暫時的速度下降之外,用戶一般不會觀察到任何其他的異常行為。
                       
                      黑客在iOS 12上嘗試利用漏洞后,用戶可能會遭遇郵件App突然崩潰的現象,之后會在收件箱里看到“此消息無內容”這樣的郵件。
                       
                      而在iOS13上,攻擊更為隱蔽。
                       
                      如果黑客在攻擊成功后再進行一次攻擊,還能刪除電子郵件,用戶看不到任何跡象。
                       

                       
                      如果看到自己的郵件App里有類似的信息,那你就要小心了,說明黑客已經盯上了你。
                       
                      現在,這一漏洞使攻擊者,可以在默認的郵件App的上下文中運行代碼,從而可以讀取、修改或刪除郵件。
                       
                      附加的內核漏洞還可以提供完全的設備訪問權限,所以ZecOps團隊懷疑黑客還掌握著另一個漏洞。
                       
                      不過,ZecOps團隊發現,黑客攻擊的目標主要集中在企業高管和國外記者的設備上,如果你不在此列,暫時不必過于擔心。
                       
                      漏洞是什么?
                       
                      這一漏洞可以允許執行遠程代碼,通過向設備發送占用大量內存的電子郵件使其感染。
                       
                      另外有很多方法可以耗盡iPhone的內存資源,比如發送RTF文檔。
                       
                      ZecOps發現,導致這一攻擊成功的原因是,MFMutableData在MIME庫中的實現,缺少對系統調用的錯誤檢查,ftruncate()會導致越界寫入。
                       
                      他們找到了一種無需等待系統調用失敗,即可觸發OOB寫入的方法,還發現了可以遠程觸發的棧溢出漏洞。
                       
                      OOB寫入錯誤和堆溢出錯誤,都是由這樣一個相同的問題導致的:未正確處理系統調用的返回值。
                       
                      該漏洞可以在下載整封電子郵件之前就觸發,即使你沒有將郵件內容下載到本地。
                       
                      甚至不排除攻擊者在攻擊成功后刪除了郵件,做到悄無聲息。
                       
                      對于iOS 13設備的用戶,無需點擊就能觸發,對于iOS 12的用戶,需要單擊這類郵件才能觸發,不過在郵件加載完成之前,攻擊就已經開始了。
                       
                      關于此次漏洞的基本情況如下:
                       
                      1.該漏洞允許遠程執行代碼并且攻擊者可以通過濫發郵件的方式遠程感染目標設備,用戶遭到攻擊時無明顯感知。
                       
                      2.攻擊者嘗試進行攻擊和感染時不需要用戶執行任何交互操作,也就是用戶即便夜間將手機鎖屏充電也可能感染。
                       
                      3.攻擊原理主要是通過郵件耗盡目標設備內存來觸發漏洞,如何耗盡內存有多種方式例如郵件轟炸或者惡意代碼。
                       
                      4.堆棧溢出漏洞被廣泛使用、攻擊者借助漏洞甚至不需要目標設備完整下載郵件即可觸發進而秘密感染目標設備。
                       
                      5.郵件內容不需要保留在設備上即可利用漏洞因此難以發現異常、攻擊者也可能可以通過其他方式自動清空郵件。
                       
                      6.在iOS 13.x系列上只要系統自帶的郵件應用在后臺運行即可 , 在這種條件下攻擊者無需用戶執行交互即可感染。
                       
                      7.在iOS 12.x系列上攻擊者需要用戶打開垃圾郵件才可以利用漏洞 , 但是用戶打開郵件不會發現有任何異常情況。
                       
                      8.如果攻擊者有能力控制郵件服務器甚至還可以在iOS 12.x系列上不需要用戶操作 , 即直接發送郵件即可感染等。
                       
                      9.該漏洞自2012年的iPhone 5發布時推出的iOS 6.0 版中就出現,到最新的iOS 13.4.1版中該漏洞依然還是存在。
                       

                       
                      如何補救?
                       
                      其實,在今年的2月份,ZecOps就向蘋果公司報告可疑漏洞。
                       
                      3月31日,ZecOps確認了第二個漏洞存在于同一區域,并且有遠程觸發的能力。
                       
                      4月15日,蘋果公司發布了iOS13.4.5 beta 2版,其中包含了針對這些漏洞的補丁程序,修復了這兩個漏洞。
                       

                       
                      如果沒有辦法下載安裝beta 2版的話,那就盡量別使用蘋果自帶的郵件App了。
                       
                      注意!后臺運行也不可以哦~一定要禁用這款原裝程序才行。
                       
                      也是時候試試其他郵箱了。
                       
                      比如微軟Outlook、谷歌Gmail、網易的郵箱大師……
                       
                      歡迎列舉補充~
                       
                      用戶反饋:已泄露的怎么辦?
                       
                      驚天漏洞,自然也少不了我伙呆。
                       
                      不過除此之外還有一些有意思的評論:
                       
                      有乖巧學習型:
                       

                       
                      學到了,不使用系統Mail程序了。
                       
                      有借勢推薦型:
                       

                       
                      不論如何,Gmail app>>mail app
                       
                      有角度新奇型:
                       

                       
                      看到這個讓我想起了那些說 “Mac不會得病毒 “的人?。▽嶋H上Mac確實沒中招,中招的是iPhone)
                       
                      還有擔心這事兒長尾影響的:
                       

                       
                      黑客刪掉一些沒用的,但可能還有一些副本,即便漏洞堵上了,一些之前的信息還是可能會泄露……
                       
                      總之,搞不好就是哪位知名人物或驚天大瓜被曝光了。
                       
                      潘多拉魔盒已經打開……
                       
                      雖然這是被一直認為比安卓更安全的iOS,比安卓更安全的iPhone,但也不是鐵板一塊。
                       
                      嗯,不說了,我要去禁用iOS郵件應用了。
                       
                      如果你有iPhone和iPad的朋友,也別忘了告訴TA~

                      4月 24,2020 by admin
                      国产小视频精品_国产小视频网站_国产小视频在线播放