信安标委《网络安全标准实践指南—远程办公安全防护》;2019年开源代码漏洞数量增长近50%

发布时间 2020-03-17

1.信安标委《网络安全标准实践指南—远程办公安全防护》



全国信息安全标准化技术委员会秘书处针对远程办公安全问题,组织相关厂商和安全专家,编制了《网络安全标准实践指南—远程办公安全防护》。《实践指南》给出了远程办公的典型应用场景,分析了远程办公可能面临的办公系统自身安全、数据安全、设备安全和个人信息保护等风险,针对远程办公系统的使用方和用户,分别给出了安全控制措施建议。其中,使用方应在管理和技术两方面开展安全防护,健全远程办公管理制度,加强运维管理,强化安全措施。用户应提高自身安全意识,重点针对设备、数据、环境等方面的安全风险进行防护。

 

原文链接:

https://www.tc260.org.cn/upload/2020-03-13/1584090952093076364.pdf


2.2019年开源代码漏洞数量首次超过6000个,增长近50%



根据开源安全与合规公司WhiteSource的一份报告,去年开源代码中的漏洞激增。该报告称,2017年和2018年开源漏洞的数量稳定在4000多个,与2017年之前从未突破2000个的数字相比,漏洞数量增加了一倍以上。然后在2019年,开源漏洞数量再次飙升,首次超过6000个,这代表了近50%的增长。到目前为止开源漏洞中最常见的类型是跨站点脚本(XSS),该类型几乎占所有漏洞的四分之一,其次是输入验证不正确、缓冲区错误、越界读取和信息泄露。

 

原文链接:

https://nakedsecurity.sophos.com/2020/03/16/open-source-bugs-have-soared-in-the-past-year/


3.2020年云配置错误报告,过去两年泄露330亿条记录



根据DivvyCloud的2020年云配置错误报告,2018年和2019年有近334亿条记录因云配置错误导致泄露,全球企业的成本为将近5万亿美元。从2018年到2019年,云配置错误暴露的记录数量同比增长了80%,与之相关的公司总成本也有所增加。不幸的是,专家们预计这种上升趋势将持续下去,因为公司继续迅速采用云服务但未能实施适当的云安全措施。Elasticsearch配置错误占所有泄露的20%,但这些事件泄露的记录数量占所有记录的44%。从2018年到2019年,由Elasticsearch配置错误导致的泄露数量几乎增加了两倍。S3存储桶配置错误占所有泄露的16%,但是与2018年相比,2019年配置错误的S3服务器减少了45%。

 

原文链接:

https://www.computerweekly.com/news/252478833/Cost-of-cloud-misconfigurations-set-at-5tn?&web_view=true


4.Android跟踪软件MonitorMinor,可跟踪Gmail用户活动



卡巴斯基安全专家发现新Android跟踪软件MonitorMinor,它可以跟踪Gmail、WhatsApp、Instagram和Facebook的用户活动。安全专家称MonitorMinor比其家族的所有现有软件功能更强大,它利用了SuperUser类型的应用程序(SU实用程序)来获得系统的root访问权限,还可以提取设备上的/data/system/gesture.key文件,该文件包含了屏幕解锁模式/密码的哈希值。MonitorMonor攻击者可以利用它来解锁设备,这是第一个实现此功能的跟踪软件。MonitorMinor还利用Accessibility Services API来拦截目标APP中的事件,即使没有root权限,它也可以使用此API在所有设备上有效运行。根据卡巴斯基的说法,该跟踪软件大多数安装在印度(14.71%)、其次是墨西哥(11.76%)、德国、沙特阿拉伯和英国(5.88%)。


原文链接:

https://securelist.com/monitorminor-vicious-stalkerware/95575/?utm_source=rss&utm_medium=rss&utm_campaign=monitorminor-vicious-stalkerware


5.研究团队发布新勒索软件家族PXJ的分析报告



IBM X-Force的安全专家发现了一种新的勒索软件PXJ Ransomware,尽管该勒索软件实现了大多数勒索软件共有的功能,但它似乎并未与已知的勒索软件家族共享底层代码。研究人员在2月29日首次发现了PXJ,当时有两个样本被上传到VirusTotal。PXJ的名称来自附加到加密文件的扩展名,该恶意软件也被称为XVFXGW,来自于恶意软件创建的“XVFXGW DOUBLE SET”及勒索单据中包含的电子邮件地址(“xvfxgw3929@protonmail.com”和“xvfxgw213@decoymail.com”)。PXJ使用AES和RSA算法来加密数据。研究人员在报告中分析了有关PXJ的技术细节,包括入侵指标(IoC)。


原文链接:

https://securityintelligence.com/posts/pxj-ransomware-campaign-identified-by-x-force-iris/


6.美国卫生与公众服务部(HHS)遭DDoS攻击



美国卫生与公众服务部(HHS)于周日遭到DDoS攻击,但该机构表示事件并未造成任何重大破坏。首次报道这一事件的彭博社最初使用了“网络入侵”一词,但后来将其从文章正文中删除-但仍然保留在副标题中。《华盛顿邮报》称HS的网站实际上从未因这次攻击而崩溃。根据一些报道,攻击可能是由外国攻击者发起的,其目的是破坏HHS对COVID-19危机的反应,但这一理论尚未得到证实。

 

原文链接:

https://www.securityweek.com/hhs-says-ddos-attack-failed-cause-disruption