日前,软件厂商Ivanti的《勒索软件聚焦年终报告》表明,勒索软件成为2021年增长最迅猛的网络攻击工具,这股势头会持续到2022年;勒索软件漏洞在短短一年内猛增29%,通用漏洞披露(CVE)从223个增加到了288个;勒索软件攻击策划者持续紧盯零日漏洞,执行供应链攻击,微调漏洞链,搜索废旧产品中的漏洞,以提高勒索软件攻击得逞机率,他们正在不遗余力地使勒索软件武器化,同时使用漏洞链摧毁整条供应链。
勒索软件武器化日益严峻
今年有7个新的APT团伙使用勒索软件漏洞发动攻击,现在全球共有40个APT团伙在使用勒索软件。去年新增的勒索软件家族旨在扩展勒索软件即服务、漏洞利用即服务、Dropper即服务和木马即服务平台,通过平台提供勒索软件即服务的方法是勒索软件团伙的最新动向之一。Ivanti在2018年至2020年间发现了125个勒索软件家族,加上2021年的32个新家族,整体数量增加了25.6%,这157个勒索软件家族利用288个漏洞实施攻击活动。
研究发现,在这288个漏洞中,57%(164个)的勒索软件漏洞有相应的公共漏洞利用代码。其中,109个漏洞可以被远程利用(远程代码执行)。可利用的漏洞还包括23个能够提升权限的漏洞、13个可能导致拒绝服务攻击的漏洞以及40个利用Web应用程序的漏洞。勒索软件攻击者正优先考虑将漏洞利用武器化。
图1 基于远程代码执行(RCE)的勒索软件是增长迅猛的一类武器化勒索软件
远程漏洞在软目标中尤为普遍,软目标是网络犯罪分子,特别是勒索软件和APT团伙的最爱。去年对医疗保健行业、石油天然气供应链、食品分销商及其供应链、药房和学校的攻击凸显了这种策略的流行程度。众所周知,这几个关键行业部门缺少网络安全资金或具有专业知识的员工以进行威胁检测和威慑,还常常使用至少一年未打补丁的系统,这就给网络犯罪分子以可乘之机。
勒索软件军备竞赛
网络犯罪团伙在勒索软件领域的军备竞赛,正升级为武器化的有效载荷、更狡猾的漏洞链方法,以及伺机寻找机会创建X即服务软件。网络安全供应商及其服务组织需要采用一种更有效的补丁管理方法,对付武器化的勒索软件,然后确定每个端点的状态。遗憾的是,勒索软件团伙在这方面屡试不爽,他们研究长期存在的CVE并找到可利用的未修补漏洞。
比如说,Cring勒索软件悄悄利用了Adobe ColdFusion 9中的两个漏洞:CVE-2009-3960和CVE-2010-2861,该产品自2016年被标记为“报废”以来一直未见改动。该团伙利用CVE-2010-2861潜入了一家基于服务的公司 服务器 ,并使用CVE-2009-3960上传web shell、Cobalt Strike的Beacon有效载荷,最后上传了该勒索软件的有效载荷。
Ivanti的研究发现,未打补丁的漏洞是2021年勒索软件团伙最常利用的攻击途径。2020年有223个与勒索软件相关的漏洞,2021年猛增29%,漏洞总数达到了288个CVE。这65个新增漏洞中超过30%被人在网上积极搜索,这表明重视和堵住这些漏洞的重要性。但许多组织在补丁管理上慢一拍,任由端点向日益狡猾的勒索软件攻击敞开大门。
在目前的288个勒索软件CVE中,美国网络安全和基础设施安全局(CISA)、国土安全部(DHS)、联邦调查局(FBI)、国家安全局(NSA)及其他安全机构已对其中66个发出了多次警告。这些警告传达了为漏洞打补丁的紧迫性。CISA还发布了一项有约束力的指令,强制公共部门为一系列特定的漏洞打补丁,附有严格的截止日期。
图2 基于风险的漏洞策略
Ivanti安全产品高级副总裁Srinivas Mukkamala表示:“组织需要格外警惕,在为武器化漏洞打补丁方面不得拖延。这需要结合基于风险的漏洞优先级确定和自动补丁情报,以识别漏洞弱点,并确定优先级,然后加快应对。” 基于风险的漏洞策略不仅仅需要关注NVD CVSS评分分析,还要全面、系统性地了解组织目前面临的勒索软件漏洞。
参考链接:
利用结构化方法进行信息系统开发的过程中,数据字典应在哪一阶段建立
结构化数据(即行数据,存储在数据库里,可以用二维表结构来逻辑表达实现的数据)非结构化数据,包括所有格式的办公文档、文本、图片、xml、html、各类报表、图像和音频/视频信息等等。 对于结构化数据(即行数据,存储在数据库里,可以用二维表结构来逻辑表达实现的数据)而言,不方便用数据库二维逻辑表来表现的数据即称为非结构化数据,包括所有格式的办公文档、文本、图片、xml、html、各类报表、图像和音频/视频信息等等。 非结构化数据库是指其字段长度可变,并且每个字段的记录又可以由可重复或不可重复的子字段构成的数据库,用它不仅可以处理结构化数据(如数字、符号等信息)而且更适合处理非结构化数据(全文文本、图象、声音、影视、超媒体等信息)。 非结构化web数据库主要是针对非结构化数据而产生的,与以往流行的关系数据库相比,其最大区别在于它突破了关系数据库结构定义不易改变和数据定长的限制,支持重复字段、子字段以及变长字段并实现了对变长数据和重复字段进行处理和数据项的变长存储管理,在处理连续信息(包括全文信息)和非结构化信息(包括各种多媒体信息)中有着传统关系型数据库所无法比拟的优势。
网络工程专业主要做什么的?有什么发展前途吗?
网络工程专业主要做什么?网络工程师的职责是:1、负责计算机间的网络连接及网络共享,并负责网络间安全性的设置。 2、负责机房线路的布置和协议的规范工作。 3、负责网络平台的推广方向和推广模式。 4、负责网络平台框架的布局和设置。 5、负责网络平台信息的采集和录入支持。 6、利用网络测试分析仪,定期对现有的网络进行优化工作;7、负责对网络障碍的分析,及时解决网络中出现的问题。 8、负责系统网络的建立和完善,并做好系统路由的解析和资料的整理。 9、负责机房内的网络联接及网络间的系统配置。 想成为网络工程师,一定要系统的进行学习培训,基于硬、软件两方面的工程师,根据硬件和软件的不同,认证的不同,将网络工程师划分成很多种类
中国统战部和工信部是什么职能?
工信部主要职责(一)提出新型工业化发展战略和政策,协调解决新型工业化进程中的重大问题,拟订并组织实施工业、通信业、信息化的发展规划,推进产业结构战略性调整和优化升级,推进信息化和工业化融合,推进军民结合、寓军于民的武器装备科研生产体系建设。 (二)制定并组织实施工业、通信业的行业规划、计划和产业政策,提出优化产业布局、结构的政策建议,起草相关法律法规草案,制定规章,拟订行业技术规范和标准并组织实施,指导行业质量管理工作。 (三)监测分析工业、通信业运行态势,统计并发布相关信息,进行预测预警和信息引导,协调解决行业运行发展中的有关问题并提出政策建议,负责工业、通信业应急管理、产业安全和国防动员有关工作。 (四)负责提出工业、通信业和信息化固定资产投资规模和方向(含利用外资和境外投资)、中央财政性建设资金安排的意见,按国务院规定权限审批、核准国家规划内和年度计划规模内固定资产投资项目。 (五)拟订高技术产业中涉及生物医药、新材料、航空航天、信息产业等的规划、政策和标准并组织实施,指导行业技术创新和技术进步,以先进适用技术改造提升传统产业,组织实施有关国家科技重大专项,推进相关科研成果产业化,推动软件业、信息服务业和新兴产业发展。 (六)承担振兴装备制造业组织协调的责任,组织拟订重大技术装备发展和自主创新规划、政策,依托国家重点工程建设协调有关重大专项的实施,推进重大技术装备国产化,指导引进重大技术装备的消化创新。 (七)拟订并组织实施工业、通信业的能源节约和资源综合利用、清洁生产促进政策,参与拟订能源节约和资源综合利用、清洁生产促进规划,组织协调相关重大示范工程和新产品、新技术、新设备、新材料的推广应用。 (八)推进工业、通信业体制改革和管理创新,提高行业综合素质和核心竞争力,指导相关行业加强安全生产管理。 (九)负责中小企业发展的宏观指导,会同有关部门拟订促进中小企业发展和非国有经济发展的相关政策和措施,协调解决有关重大问题。 (十)统筹推进国家信息化工作,组织制定相关政策并协调信息化建设中的重大问题,促进电信、广播电视和计算机网络融合,指导协调电子政务发展,推动跨行业、跨部门的互联互通和重要信息资源的开发利用、共享。 (十一)统筹规划公用通信网、互联网、专用通信网,依法监督管理电信与信息服务市场,会同有关部门制定电信业务资费政策和标准并监督实施,负责通信资源的分配管理及国际协调,推进电信普遍服务,保障重要通信。 (十二)统一配置和管理无线电频谱资源,依法监督管理无线电台(站),负责卫星轨道位置的协调和管理,协调处理军地间无线电管理相关事宜,负责无线电监测、检测、干扰查处,协调处理电磁干扰事宜,维护空中电波秩序,依法组织实施无线电管制。 (十三)承担通信网络安全及相关信息安全管理的责任,负责协调维护国家信息安全和国家信息安全保障体系建设,指导监督政府部门、重点行业的重要信息系统与基础信息网络的安全保障工作,协调处理网络与信息安全的重大事件。 (十四)开展工业、通信业和信息化的对外合作与交流,代表国家参加相关国际组织。 (十五)承办国务院交办的其他事项。
发表评论