记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

网络安全最大盲区:“人的漏洞”   

在现代企业的网络安全防御体系中,人员是最薄弱的环节,同时也是最不受重视的环节。换而言之,人员是黑客最容易突破和利用的“漏洞”,同时也是企业安全投入最少,提升最慢的短板。GoSecurity公司2020年全球企业安全调查结果直观地反映了这个问题: 长期以来,那些手套上镶着半打零日漏洞宝石,头上顶着三个博士帽的的国家级黑客,被认为是网络空间最为危险的物种,而企业界也热衷于采购最先进的网络安全技术和方案,并试图提高安全工具集成度和自动化水平。但现实情况正如上述调查数据:最有效的网络安全措施是提升员工安全意识,但员工安全意识培训获得的预算最少。
发布时间:2020-07-28 19:58 | 阅读:14324 | 评论:0 | 标签:牛闻牛评 首页动态 内部威胁 安全意识 网络安全 漏洞

这起数据泄漏事件为“内部威胁的高昂代价”上了现实的一课!

威廉莫里森斯超市是英国的第四大连锁超市,在2017年”世界500强”企业中,排名498位。2014年,Morrisons遭遇了一起严重的数据泄露事件,致使大约10万名员工的工资账户泄露,其中包括员工的姓名、家庭住址以及银行账户和工资细节等。经调查发现,造成此次事件的罪魁祸首是Morrisons总部的高级内部审计员Andrew Skelton。他不仅通过滥用职权绕过Morrisons的安全保护盗取到了这些资料,还将部分资料发布在了网上,并刻成光盘送至了报社,引起舆论一片哗然。
发布时间:2018-01-10 19:50 | 阅读:167139 | 评论:0 | 标签:术有专攻 内部威胁 威廉莫里森斯超市 数据泄露 社会工程 集体诉讼

2018年网络安全的三个新动向

新型技术的出现,给我们的隐私、金融信息和个人资产带来了新的威胁。黑客已经准备好利用一切可用的漏洞。关于2018及未来几年的网络安全,有3大预测可供参考。每一个都不是科幻小说,因为其中技术、方法和问题已经在今日现实世界中出现了。1. 勒索软件感染新目标技术给人们的车辆带来了新的控制方法。酒精测定器可能会连上引擎,只要检测到驾驶者不清醒,车辆就不会启动。贷款买车的人还贷延迟就无法启动自己的车。至于自动驾驶汽车,可以预见,将出现勒索软件让你只有交出赎金才能开动汽车的现象。
发布时间:2017-11-29 02:05 | 阅读:149332 | 评论:0 | 标签:牛闻牛评 内部威胁 勒索软件 数据安全 网络安全

DLP:从英雄到狗熊再到英雄

10年前,数字经济开始腾飞的时候,数据防泄漏(DLP)技术被视为公司敏感内部数据和客户数据的救星。若干年来,DLP经历了从英雄到狗熊再到英雄的循环往复。在经典的“许愿需谨慎”情况下,企业开启了DLP,然后忽然发现自己的业务流程都瘫痪了,而他们的DLP管理员也被大堆警报淹没。这是初始实现者没能认识到DLP技术对日常业务流程影响的后果,他们也没有想象到该工具策略“违反”的规模会有多大。更糟的是,很多警报最终被查明是误报,浪费了分析师和调查人员的时间去扑灭并不存在的火灾,让大家都血压升高。于是,沮丧的买家大多直接关掉了DLP策略,防止其阻碍到业务流程。但同时,这也减少了从该技术获得的好处。
发布时间:2017-11-22 09:05 | 阅读:163748 | 评论:0 | 标签:技术产品 DLP UEBA 内部威胁 数据保护 监管 误报

关于内部人员威胁追捕 你需要知道这些

内部人员威胁,与滥用公司内部系统及应用访问权的内部雇员、承包商或前雇员的活动有关,无论有无恶意企图,造成的结果就是对关键信息系统或数据的机密性、完整性或可用性形成了破坏。内部人员威胁包括IT破坏、欺诈或知识产权盗窃。内部人员或自行单干,或无意辅助了外部威胁进入。企业需理解自身目标内部人员威胁用例,对正常员工基线行为建模,确保员工知晓自己可能成为高级攻击者利用来获取商业关键信息的目标。本文讨论内部人员威胁及可疑/异常事件的关键指标,呈现内部人员威胁建模设计方法,帮助读者识别此类事件和高风险内部人员。内部人员威胁指标内部人员识别,是针对性检测策略的构成部分。
发布时间:2017-09-26 17:50 | 阅读:116191 | 评论:0 | 标签:术有专攻 内部威胁

把这三个问题回答好才能算一个合格的CISO

IoT带来的风险,检测潜在恶意数据传输的困难,以及对用户和设备活动可见性的整体缺乏,这些问题,很大程度上是今天复杂庞大的网络基础设施所造成的结果。臃肿的网络基础设施,令监视用户和设备行为中微小恶意转变的工作,变得十分复杂。今天的网络延伸到了云端,有可能接入到工业控制系统中,还可能托管着大量的设备,而且往往遍布全球。高级网络攻击和内部人威胁注定隐身在繁杂噪音中。再加上IoT设备、虚拟机和智慧城市,简直不可能保持领先不断发展的威胁态势一步。因此,CISO及其安全团队面临一个根本性问题。他们有太多盲点,且缺乏区分威胁和合法活动的能力。
发布时间:2017-09-05 03:50 | 阅读:143353 | 评论:0 | 标签:术有专攻 CISO IoT 内部威胁 数据渗漏 行为监管

供应链、内鬼、内部员工、账户被盗 HBO被黑客蹂躏的岁月

全球最具影响力的有线电视公司HBO,以一场大规模的数据泄露事件拉开了8月的序幕。这场泄露中,从敏感内部文件到未发行的完整剧集,统统被黑客搜刮一空。之后不久,另外的独立事件中,两集《权力的游戏》过早放出。8月18日,黑客组织OurMine劫持了HBO主推特账户,以及几个HBO节目的推特账户。对于HBO,这简直是地狱般的几个星期。HBO这充斥着数据泄露与黑客事件的困难时期,也再次提醒了我们:当今时代,无论哪家公司,想保护好自己的东西有多么困难。虽然有些模糊不清,但这些攻击实际上是4起独立的事件,每一起都有其特别的经验教训——包括“供应链问题、内鬼、无意识内部员工、被盗账户“。
发布时间:2017-08-22 18:05 | 阅读:139852 | 评论:0 | 标签:牛闻牛评 HBO 供应链 内部威胁 数据泄露

识别并预防内部人员威胁需要做好这三样工作

即将离职的员工是否要打包并带走数据?如何更好地保护企业网络和敏感资料受到内部人员的威胁?6月,荷兰一家Web托管提供商Verelox不得不完全关停所有服务,防止客户访问其数据和虚拟服务器。这是勒索软件的另一个案例吗?外部黑客的又一次恶作剧?非也。该公司的棘手局面,完全是被心怀怨恨的前雇员造成的。《国际商务时报》引用Verelox消息称,该前雇员“删除了所有客户数据,清空了绝大部分服务器。”幸运的是,Verelox几天后便恢复了,没有遗失任何重要数据。但很多同类事件没有这么走运。专家称,企业数据面临的内部人员威胁正在上升。关于怎样最小化内部人员威胁,你应该知道下面这些内容。
发布时间:2017-07-13 00:10 | 阅读:117309 | 评论:0 | 标签:术有专攻 内部威胁 数据泄露

NCC Group白皮书(2017):解析企业内部安全威胁及缓解方案

1.引言 本文旨在为寻求内网安全解决方案的人提供一个更高层的内部威胁视角。它包括内部攻击中可能发生的攻击类型和一些常见的脆弱点,还包括一些如何实现检测、阻止和防御内部威胁的政策和控制措施。 本文的目的在于提供一个整体的视角,对内部安全威胁的主题做一个总结,文章最后会提供更多的相关资料,为感兴趣的人提供了更多资源。 有一个观念由来已久,那就是对于企业威胁而言,大多数的威胁来源是外部攻击者,黑客为了利益可以无所不用其极进行网络犯罪。另外,在进行渗透测试的过程中,内部基础设施的安全问题往往不被当作真正的威胁来进行关注和处理,防护措施主要用于阻止外部攻击者入侵到内部。
发布时间:2017-06-06 01:45 | 阅读:155771 | 评论:0 | 标签:安全报告 内部威胁 缓解方案 风险

心理分析:检测内部威胁 预测恶意行为

内部人威胁可能是最难以检测和控制的安全风险了,而对内部人威胁的关注也上升到了出台新法案的地步——2017年1月美国国会通过《2017国土安全部内部人员威胁及缓解法案》。 该法令要求国土安全部(DHS)建立内部人员威胁计划,包括培训和教育,以及执行内部威胁风险缓解行动。不过,条文里倒是没解释这些“缓解行动”到底由什么组成。 其中一个难点在于,内部人员的概念并不统一。包括通过被盗合法凭证成为“内部人员”的远程攻击者,天真不设防的雇员,机会主义雇员,以及恶意内部人士。所有这些当中,恶意内部人士是最难以攻克的问题。 传统安全控制,比如访问控制和数据丢失防护(DLP),有一点点微小的作用。
发布时间:2017-05-02 22:05 | 阅读:144076 | 评论:0 | 标签:牛闻牛评 内部威胁 心理分析 行为分析 隐私保护

如果CIA都不安全,还有谁是安全的?

网络越透明,越有利于早期检测 无论是否已被黑,安然无恙地享受联网生活的几率,就跟河北想要看到纯净的蓝天一样渺茫。各种角度看来,当前的网络安全状况都十分令人担忧。 试想一下。CIA够安全了吧?入职之前要经过严密的背景调查,拿个安全许可和确定个密级还要经过测谎。中国式丈母娘审查在CIA面前根本不够看。 然而,恶意内部人依然可以带着大批CIA黑客工具扬长而去。 内鬼的可怕 情报机构无法保护自身免受内部人和丑闻困扰是挺令人忧伤的。路透社曾报道,政府机构估测,每6千到8千名雇员中间,就会出一个内部人威胁。
发布时间:2017-05-02 05:10 | 阅读:121349 | 评论:0 | 标签:术有专攻 内部威胁 网络可见性

应对内鬼违规泄露信息成风 360发布业务安全解决方案

4月25日,针对目前业务安全的痛点问题, 360企业安全在首都网络安全日前夕发布了国内首个业务安全解决方案,满足政企用户的防违规、堵死角、补缺陷和捉内鬼等业务安全管理需求,全面提升政企的业务安全。这是国内首个以规范业务管理、降低整体业务风险为目的的安全解决方案。 业务安全问题带来七大严重危害 今年3月,某电商巨头被曝出,因员工监守自盗,发生严重数据泄露事件,涉及50亿条公民信息。2016年11月,警方破获一起重大侵犯公民信息案件,其源头为银行员工利用权限,获取和出售用户征信报告。此前曾有报道, Gucci离职员工删除公司的档案与电子邮件,导致Gucci全美分店与电商网站无法交易。
发布时间:2017-04-26 08:55 | 阅读:145380 | 评论:0 | 标签:技术产品 360企业安全 业务安全 内部威胁

检测内部威胁比想象中简单

内部威胁指的是公司内部员工,但入侵者却不再仅仅局限于身处公司大楼内部的人。甚至本地咖啡馆这种公共场所,都能连上公司网络。 由于企业系统的边界正在模糊,网络安全的难度加大,企业需要调整策略和规程。虽然很多技术都在改变,但限制依然留存,公司必须在阻止恶意攻击上继续保持积极主动。他们必须了解自己的威胁,并调整自己的技术以适应威胁。更重要的是,招募合适的团队,打造正确的技术。 对内部威胁的遏阻,应与期望缓解的风险类型相匹配,要基于环境因素制定计划,比如公司文化、公司状态(健康度、弱点、裁员情况等),还有公司看待/监测/合法管理承包商的方式。
发布时间:2017-04-18 14:50 | 阅读:112625 | 评论:0 | 标签:术有专攻 内部威胁 意识培训 资产统计

如何利用UBA技术解决内部威胁问题

今天,如果我们谈起威胁这个词,大家感悟比较深的还是外部威胁,比如黑客DDoS攻击、APT攻击等等,却忽略对企业伤害更加大内部威胁。事实上,据2013年美国的CERT调查显示,53%的企业认为内部威胁的危害要远大于外部威胁; 2014年Spectorsoft的调查报告指出75%的内部威胁事件没有对外报告出来; 2015年的FortScale的调查也反馈85%的数据泄露是来于内部威胁。 内部威胁VS外部威胁 这些数据都证实了内部威胁已经不可忽略,并且成为网络安全事件头号“通缉犯”。那为什么我们很少听到内部威胁引发的安全事件呢?也许用一句话解释比较合理,“家丑不可外扬”,但这绝不代表没有。
发布时间:2016-08-22 23:45 | 阅读:124955 | 评论:0 | 标签:技术产品 UBA 内部威胁

企业内部威胁案例:被炒鱿鱼的网络工程师,造成花旗银行北美90%网络瘫痪

普通的公司常常会忽略来自企业内部的威胁。从安全管理的角度来说,对IT和HR这类特殊人员进行策略和特权限制是非常有必要的。花旗银行的一个案例2013年12月23日晚6点,美国德克萨斯州欧文花旗银行一名叫Lennon Ray Brown的网络工程师因为绩效评定不佳而被责令解雇,于是他在下班后对公司展开了「报复」。Brown他有着公司内部较高的权限,可以比任何外部黑客都更容易肆意妄为。“晚上大约在18:03的时候,Brown故意发送了恶意代码指令到花旗银行的10个全球控制中心的路由器上,抹去了其中9个路由器的线上配置文件。这一行为,直接导致了花旗银行在北美地区约90%的网络瘫痪。
发布时间:2016-08-03 22:45 | 阅读:137920 | 评论:0 | 标签:安全管理 内部威胁 内部黑客 花旗银行

基于用户行为动态变化的内部威胁检测方法

*原创作者:木千之写在前面基于用户行为建模(Profile)的威胁检测方法早已不是个新事物,早在2008年的一篇综述中【1】作者就列举出了大量已有的主动检测的研究实例。然而时至今日在现实的安全产业中依然很少见到成熟应用的内部威胁主动检测系统,其中一个最大的原因就是学界提出的检测方法误报率实在太高,虽然看上去貌似只有1%-2%,但是对于动辄上万的日常日志来说,安全管理员/审计管理员的工作负担相当巨大,结果造成了现在虽然组织中部署了审计系统,但是管理员对当天的警报基本不看的现状,不是不想看,是实在不知道看的目标,人力实在看不过来。所以误报率过高是制约主动检测实际应用的最大桎梏之一。
发布时间:2016-03-04 21:55 | 阅读:138807 | 评论:0 | 标签:安全管理 系统安全 内部威胁 动态变化

基于用户命令行为的内部威胁检测实验

原创作者:木千之0×00 前言之前在FreeBuf上看到过针对机器学习在安全领域应用的介绍,或许在信息爆炸的大数据时代,从数据中寻找安全解决方案不失为一种好的选择。概念容易理解,但是如果项目落地到底是什么样呢?作为抛砖引玉,今天我就为大家带来一个基于用户命令行为数据的内部威胁检测实验,希望在FreeBuf上可以涌现更多机器学习在安全领域应用研究的好文章。0×01 实验数据集机器学习的核心思想是从大量数据集中训练,进而学习出我们目前还无法知晓或描述的知识,然后基于获得的知识对新的情况进行预测或判断。因此,作为机器学习研究或应用的第一步关键工作就是获取数据。
发布时间:2016-01-17 04:05 | 阅读:118901 | 评论:0 | 标签:安全管理 数据安全 观点 内部威胁 命令行为 威胁检测 机器学习

浅析PRODIGAL:真实企业中的内部威胁检测系统

‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍本文原创作者:windhawk0×00 写在前面2013年2月份美国白宫发布了一份总统备忘录,专门就当前面临的内部威胁(Insider Threats)进行了分析,并且督促行政部门紧急出台一份应对内部威胁的解决方案。无独有偶,DARPA也在2012年出台了ADAMS项目,该项目专门用于美国国内敏感部门、企业的内部威胁检测。
发布时间:2015-12-21 04:05 | 阅读:140645 | 评论:0 | 标签:安全管理 Insider Threats PRODIGAL 内部威胁 威胁情报 威胁检测

内部威胁杀伤链

  在Google搜索杀伤链(kill chain)的时候无意搜到dtexsystems公司有一篇介绍内部威胁5步杀伤链(insider threat kill chain)的文章。内部威胁和外部威胁不管从过程还是IOC都有很大不同,感觉还是值得参考。这里简单介绍一下此方法论。 和杀伤链一样,内部威胁杀伤链也分成多个阶段:侦察、规避、打包、混淆、泄漏。外部入侵者如果冒充内部人员身份在内网巡游,也应该适用此方法论。可以认为这是kill chain在command&control和actions on target阶段的细化。
发布时间:2015-12-06 23:30 | 阅读:124531 | 评论:0 | 标签:安全威胁情报 内部威胁 杀伤链

小心身边人!信息安全内部威胁让企业防不胜防!

总能挖到独家新闻的记者,《纸牌屋》里手握“筹码”,如鱼得水的党鞭,业绩惊人,被幸运之神加持的销售,那些身边最熟悉的面孔,他们是拥有一手消息,机密信息,批量数据的幸运儿,但也有可能是泄漏、共享、买卖数据的罪魁祸首。据联合国对有组织犯罪进行的一项调查指出,80%的网络攻击由经过精心组织的犯罪团伙发起,这些团伙会广泛地共享数据、工具和专业知识,从而每年获得4450亿美元的非法利润,并且倒卖超过10亿条个人身份信息。而在众多网络攻击中,有一组数据让人不寒而栗。
发布时间:2015-11-13 03:00 | 阅读:103256 | 评论:0 | 标签:牛观点 IBM 内部威胁

ADS

标签云