记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

这起数据泄漏事件为“内部威胁的高昂代价”上了现实的一课!

威廉莫里森斯超市是英国的第四大连锁超市,在2017年”世界500强”企业中,排名498位。2014年,Morrisons遭遇了一起严重的数据泄露事件,致使大约10万名员工的工资账户泄露,其中包括员工的姓名、家庭住址以及银行账户和工资细节等。经调查发现,造成此次事件的罪魁祸首是Morrisons总部的高级内部审计员Andrew Skelton。他不仅通过滥用职权绕过Morrisons的安全保护盗取到了这些资料,还将部分资料发布在了网上,并刻成光盘送至了报社,引起舆论一片哗然。Andrew Skelton最终,Andrew Skelton被控“未经授权擅自使用计算机资料和泄露个人资料”而遭到了警方的逮捕。在2015年,布拉德福德皇家法庭宣判Andrew Skelton罪名成立,被判入狱8年。但是,此次泄漏事件并没有
发布时间:2018-01-10 19:50 | 阅读:13602 | 评论:0 | 标签:术有专攻 内部威胁 威廉莫里森斯超市 数据泄露 社会工程 集体诉讼

2018年网络安全的三个新动向

新型技术的出现,给我们的隐私、金融信息和个人资产带来了新的威胁。黑客已经准备好利用一切可用的漏洞。关于2018及未来几年的网络安全,有3大预测可供参考。每一个都不是科幻小说,因为其中技术、方法和问题已经在今日现实世界中出现了。1. 勒索软件感染新目标技术给人们的车辆带来了新的控制方法。酒精测定器可能会连上引擎,只要检测到驾驶者不清醒,车辆就不会启动。贷款买车的人还贷延迟就无法启动自己的车。至于自动驾驶汽车,可以预见,将出现勒索软件让你只有交出赎金才能开动汽车的现象。2. 数据被用来针对用户黑客盗取你的在线金融信息,却不是通过追寻你的亚马逊账户信用卡号,而是采用各种造假“技术”,让你以为自己在订外卖的时候,就把钱打入了永远不会给你发来食物的人手中。黑客盯上你金融信息的方法还有很多,比如当你通过语音下订单的时候让你
发布时间:2017-11-29 02:05 | 阅读:19390 | 评论:0 | 标签:牛闻牛评 内部威胁 勒索软件 数据安全 网络安全

DLP:从英雄到狗熊再到英雄

10年前,数字经济开始腾飞的时候,数据防泄漏(DLP)技术被视为公司敏感内部数据和客户数据的救星。若干年来,DLP经历了从英雄到狗熊再到英雄的循环往复。在经典的“许愿需谨慎”情况下,企业开启了DLP,然后忽然发现自己的业务流程都瘫痪了,而他们的DLP管理员也被大堆警报淹没。这是初始实现者没能认识到DLP技术对日常业务流程影响的后果,他们也没有想象到该工具策略“违反”的规模会有多大。更糟的是,很多警报最终被查明是误报,浪费了分析师和调查人员的时间去扑灭并不存在的火灾,让大家都血压升高。于是,沮丧的买家大多直接关掉了DLP策略,防止其阻碍到业务流程。但同时,这也减少了从该技术获得的好处。有些买家聘用了大量分析师来尽力过滤噪音,争取抓住作乱者。剩下的一些客户,压根儿就没实现DLP策略,让他们的公司或某些渗漏途径(比如
发布时间:2017-11-22 09:05 | 阅读:40100 | 评论:0 | 标签:技术产品 DLP UEBA 内部威胁 数据保护 监管 误报

关于内部人员威胁追捕 你需要知道这些

内部人员威胁,与滥用公司内部系统及应用访问权的内部雇员、承包商或前雇员的活动有关,无论有无恶意企图,造成的结果就是对关键信息系统或数据的机密性、完整性或可用性形成了破坏。内部人员威胁包括IT破坏、欺诈或知识产权盗窃。内部人员或自行单干,或无意辅助了外部威胁进入。企业需理解自身目标内部人员威胁用例,对正常员工基线行为建模,确保员工知晓自己可能成为高级攻击者利用来获取商业关键信息的目标。本文讨论内部人员威胁及可疑/异常事件的关键指标,呈现内部人员威胁建模设计方法,帮助读者识别此类事件和高风险内部人员。内部人员威胁指标内部人员识别,是针对性检测策略的构成部分。可基于对敏感信息、关键信息或其他商业重要信息的访问,来标定内部人员。有可能成为威胁的内部人员,一般具备以下基本特征:行为指标:因未达薪水预期或业绩表现评估太差而
发布时间:2017-09-26 17:50 | 阅读:19161 | 评论:0 | 标签:术有专攻 内部威胁

把这三个问题回答好才能算一个合格的CISO

IoT带来的风险,检测潜在恶意数据传输的困难,以及对用户和设备活动可见性的整体缺乏,这些问题,很大程度上是今天复杂庞大的网络基础设施所造成的结果。臃肿的网络基础设施,令监视用户和设备行为中微小恶意转变的工作,变得十分复杂。今天的网络延伸到了云端,有可能接入到工业控制系统中,还可能托管着大量的设备,而且往往遍布全球。高级网络攻击和内部人威胁注定隐身在繁杂噪音中。再加上IoT设备、虚拟机和智慧城市,简直不可能保持领先不断发展的威胁态势一步。因此,CISO及其安全团队面临一个根本性问题。他们有太多盲点,且缺乏区分威胁和合法活动的能力。为理解该问题的严重程度,安全团队应该回答好以下3个问题:1. 能为网络上的每个设备负责吗?根据经验,即便老练的安全团队,也总是低估了网络中设备的数量,有时候甚至达到30%之多。而很多公司
发布时间:2017-09-05 03:50 | 阅读:22456 | 评论:0 | 标签:术有专攻 CISO IoT 内部威胁 数据渗漏 行为监管

供应链、内鬼、内部员工、账户被盗 HBO被黑客蹂躏的岁月

全球最具影响力的有线电视公司HBO,以一场大规模的数据泄露事件拉开了8月的序幕。这场泄露中,从敏感内部文件到未发行的完整剧集,统统被黑客搜刮一空。之后不久,另外的独立事件中,两集《权力的游戏》过早放出。8月18日,黑客组织OurMine劫持了HBO主推特账户,以及几个HBO节目的推特账户。对于HBO,这简直是地狱般的几个星期。HBO这充斥着数据泄露与黑客事件的困难时期,也再次提醒了我们:当今时代,无论哪家公司,想保护好自己的东西有多么困难。虽然有些模糊不清,但这些攻击实际上是4起独立的事件,每一起都有其特别的经验教训——包括“供应链问题、内鬼、无意识内部员工、被盗账户“。这一系列问题凸显出HBO这样的大企业所面临的挑战。不安感HBO的麻烦其实从6月末就开始了,当时黑客 Mr. Smith 放出了HBO尚未发行的
发布时间:2017-08-22 18:05 | 阅读:27395 | 评论:0 | 标签:牛闻牛评 HBO 供应链 内部威胁 数据泄露

识别并预防内部人员威胁需要做好这三样工作

即将离职的员工是否要打包并带走数据?如何更好地保护企业网络和敏感资料受到内部人员的威胁?6月,荷兰一家Web托管提供商Verelox不得不完全关停所有服务,防止客户访问其数据和虚拟服务器。这是勒索软件的另一个案例吗?外部黑客的又一次恶作剧?非也。该公司的棘手局面,完全是被心怀怨恨的前雇员造成的。《国际商务时报》引用Verelox消息称,该前雇员“删除了所有客户数据,清空了绝大部分服务器。”幸运的是,Verelox几天后便恢复了,没有遗失任何重要数据。但很多同类事件没有这么走运。专家称,企业数据面临的内部人员威胁正在上升。关于怎样最小化内部人员威胁,你应该知道下面这些内容。了解内部人员威胁背景员工流动性,承包商的全球分布,对云服务和BYOD日益严重的依赖,开创了内部人员威胁相关安全风险新时代。远程员工引入的威胁尤
发布时间:2017-07-13 00:10 | 阅读:33605 | 评论:0 | 标签:术有专攻 内部威胁 数据泄露

NCC Group白皮书(2017):解析企业内部安全威胁及缓解方案

1.引言 本文旨在为寻求内网安全解决方案的人提供一个更高层的内部威胁视角。它包括内部攻击中可能发生的攻击类型和一些常见的脆弱点,还包括一些如何实现检测、阻止和防御内部威胁的政策和控制措施。 本文的目的在于提供一个整体的视角,对内部安全威胁的主题做一个总结,文章最后会提供更多的相关资料,为感兴趣的人提供了更多资源。 有一个观念由来已久,那就是对于企业威胁而言,大多数的威胁来源是外部攻击者,黑客为了利益可以无所不用其极进行网络犯罪。另外,在进行渗透测试的过程中,内部基础设施的安全问题往往不被当作真正的威胁来进行关注和处理,防护措施主要用于阻止外部攻击者入侵到内部。 上述观点的问题是,它没有考虑到来自内部的恶意的威胁。人们观念上有一种倾向,一旦一个员工被录用并通过了背景调查之前的政策规范,那么对员工赋予信任。在寻求安
发布时间:2017-06-06 01:45 | 阅读:45892 | 评论:0 | 标签:安全报告 内部威胁 缓解方案 风险

心理分析:检测内部威胁 预测恶意行为

内部人威胁可能是最难以检测和控制的安全风险了,而对内部人威胁的关注也上升到了出台新法案的地步——2017年1月美国国会通过《2017国土安全部内部人员威胁及缓解法案》。 该法令要求国土安全部(DHS)建立内部人员威胁计划,包括培训和教育,以及执行内部威胁风险缓解行动。不过,条文里倒是没解释这些“缓解行动”到底由什么组成。 其中一个难点在于,内部人员的概念并不统一。包括通过被盗合法凭证成为“内部人员”的远程攻击者,天真不设防的雇员,机会主义雇员,以及恶意内部人士。所有这些当中,恶意内部人士是最难以攻克的问题。 传统安全控制,比如访问控制和数据丢失防护(DLP),有一点点微小的作用。最近几年,这些方法有了用户行为分析(UBA)的增强,使用机器学习来检测网络中的异常用户行为。 Exabeam首席执行官尼尔·颇拉克解
发布时间:2017-05-02 22:05 | 阅读:27596 | 评论:0 | 标签:牛闻牛评 内部威胁 心理分析 行为分析 隐私保护

如果CIA都不安全,还有谁是安全的?

网络越透明,越有利于早期检测 无论是否已被黑,安然无恙地享受联网生活的几率,就跟河北想要看到纯净的蓝天一样渺茫。各种角度看来,当前的网络安全状况都十分令人担忧。 试想一下。CIA够安全了吧?入职之前要经过严密的背景调查,拿个安全许可和确定个密级还要经过测谎。中国式丈母娘审查在CIA面前根本不够看。 然而,恶意内部人依然可以带着大批CIA黑客工具扬长而去。 内鬼的可怕 情报机构无法保护自身免受内部人和丑闻困扰是挺令人忧伤的。路透社曾报道,政府机构估测,每6千到8千名雇员中间,就会出一个内部人威胁。百分比看起来蛮低的,但如果考虑到全国、全省、全州、全市和社区街道办的政府雇员人数呢?出了一例数据泄露,余波震荡都有可能深远到难以想象,比如大部分中国人都离不开的12306用户数据泄露事件(似乎21号又泄了……)。 而且
发布时间:2017-05-02 05:10 | 阅读:29698 | 评论:0 | 标签:术有专攻 内部威胁 网络可见性

应对内鬼违规泄露信息成风 360发布业务安全解决方案

4月25日,针对目前业务安全的痛点问题, 360企业安全在首都网络安全日前夕发布了国内首个业务安全解决方案,满足政企用户的防违规、堵死角、补缺陷和捉内鬼等业务安全管理需求,全面提升政企的业务安全。这是国内首个以规范业务管理、降低整体业务风险为目的的安全解决方案。 业务安全问题带来七大严重危害 今年3月,某电商巨头被曝出,因员工监守自盗,发生严重数据泄露事件,涉及50亿条公民信息。2016年11月,警方破获一起重大侵犯公民信息案件,其源头为银行员工利用权限,获取和出售用户征信报告。此前曾有报道, Gucci离职员工删除公司的档案与电子邮件,导致Gucci全美分店与电商网站无法交易。据调查,95%的世界500强企业都遭遇过如上的业务安全问题。 如何利用安全工具落地各种规章制度,如何对员工访问进行合理授权,如何抓住不
发布时间:2017-04-26 08:55 | 阅读:30366 | 评论:0 | 标签:技术产品 360企业安全 业务安全 内部威胁

检测内部威胁比想象中简单

内部威胁指的是公司内部员工,但入侵者却不再仅仅局限于身处公司大楼内部的人。甚至本地咖啡馆这种公共场所,都能连上公司网络。 由于企业系统的边界正在模糊,网络安全的难度加大,企业需要调整策略和规程。虽然很多技术都在改变,但限制依然留存,公司必须在阻止恶意攻击上继续保持积极主动。他们必须了解自己的威胁,并调整自己的技术以适应威胁。更重要的是,招募合适的团队,打造正确的技术。 对内部威胁的遏阻,应与期望缓解的风险类型相匹配,要基于环境因素制定计划,比如公司文化、公司状态(健康度、弱点、裁员情况等),还有公司看待/监测/合法管理承包商的方式。 公司应提供“按需知密”的访问控制,审计所有行为,且审计应由具备足够能力的人来实施,比如管理员。企业能做的最重要的一件事,是减小内部人对敏感数据拥有的权限。这是安全厂商之间的共识,
发布时间:2017-04-18 14:50 | 阅读:32384 | 评论:0 | 标签:术有专攻 内部威胁 意识培训 资产统计

如何利用UBA技术解决内部威胁问题

今天,如果我们谈起威胁这个词,大家感悟比较深的还是外部威胁,比如黑客DDoS攻击、APT攻击等等,却忽略对企业伤害更加大内部威胁。事实上,据2013年美国的CERT调查显示,53%的企业认为内部威胁的危害要远大于外部威胁; 2014年Spectorsoft的调查报告指出75%的内部威胁事件没有对外报告出来; 2015年的FortScale的调查也反馈85%的数据泄露是来于内部威胁。 内部威胁VS外部威胁 这些数据都证实了内部威胁已经不可忽略,并且成为网络安全事件头号“通缉犯”。那为什么我们很少听到内部威胁引发的安全事件呢?也许用一句话解释比较合理,“家丑不可外扬”,但这绝不代表没有。事实上,内部人员相对外部攻击更容易接近重要信息或系统,并且内部人员也会有更大动力或倾向利用他们的职权去让自己获得利益,正所谓“祸
发布时间:2016-08-22 23:45 | 阅读:39879 | 评论:0 | 标签:技术产品 UBA 内部威胁

企业内部威胁案例:被炒鱿鱼的网络工程师,造成花旗银行北美90%网络瘫痪

普通的公司常常会忽略来自企业内部的威胁。从安全管理的角度来说,对IT和HR这类特殊人员进行策略和特权限制是非常有必要的。花旗银行的一个案例2013年12月23日晚6点,美国德克萨斯州欧文花旗银行一名叫Lennon Ray Brown的网络工程师因为绩效评定不佳而被责令解雇,于是他在下班后对公司展开了「报复」。Brown他有着公司内部较高的权限,可以比任何外部黑客都更容易肆意妄为。“晚上大约在18:03的时候,Brown故意发送了恶意代码指令到花旗银行的10个全球控制中心的路由器上,抹去了其中9个路由器的线上配置文件。这一行为,直接导致了花旗银行在北美地区约90%的网络瘫痪。而后在约18:05的时候,Brown淡定地打了卡,然后离开了花旗银行。”Brown很淡定地发了一条短信给同事:“这帮老
发布时间:2016-08-03 22:45 | 阅读:32047 | 评论:0 | 标签:安全管理 内部威胁 内部黑客 花旗银行

基于用户行为动态变化的内部威胁检测方法

*原创作者:木千之写在前面基于用户行为建模(Profile)的威胁检测方法早已不是个新事物,早在2008年的一篇综述中【1】作者就列举出了大量已有的主动检测的研究实例。然而时至今日在现实的安全产业中依然很少见到成熟应用的内部威胁主动检测系统,其中一个最大的原因就是学界提出的检测方法误报率实在太高,虽然看上去貌似只有1%-2%,但是对于动辄上万的日常日志来说,安全管理员/审计管理员的工作负担相当巨大,结果造成了现在虽然组织中部署了审计系统,但是管理员对当天的警报基本不看的现状,不是不想看,是实在不知道看的目标,人力实在看不过来。所以误报率过高是制约主动检测实际应用的最大桎梏之一。所以今天我们给大家介绍一个降低主动检测误报率的方法,该方法考虑了用户行为的变化,从而建立了一个动态的分类器。Out
发布时间:2016-03-04 21:55 | 阅读:33438 | 评论:0 | 标签:安全管理 系统安全 内部威胁 动态变化

基于用户命令行为的内部威胁检测实验

原创作者:木千之0×00 前言之前在FreeBuf上看到过针对机器学习在安全领域应用的介绍,或许在信息爆炸的大数据时代,从数据中寻找安全解决方案不失为一种好的选择。概念容易理解,但是如果项目落地到底是什么样呢?作为抛砖引玉,今天我就为大家带来一个基于用户命令行为数据的内部威胁检测实验,希望在FreeBuf上可以涌现更多机器学习在安全领域应用研究的好文章。0×01 实验数据集机器学习的核心思想是从大量数据集中训练,进而学习出我们目前还无法知晓或描述的知识,然后基于获得的知识对新的情况进行预测或判断。因此,作为机器学习研究或应用的第一步关键工作就是获取数据。目前数据本身就是一种稀缺资源,往往一个分析项目最大的难点就是如何获取到需要的数据。比如想进行交通路况状态的大数据分析,
发布时间:2016-01-17 04:05 | 阅读:30252 | 评论:0 | 标签:安全管理 数据安全 观点 内部威胁 命令行为 威胁检测 机器学习

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云