安全事件分析

MOVEit Transfer 软件数据盗窃攻击事件的启示

admin

MOVEit Transfer 数据窃取攻击是 2023 年发生的一系列网络攻击,由Cl0p 勒索软件团伙发起,目标是流行的文件传输软件 MOVEit Transfer,消息显示已经威胁到数百家组织。

这些攻击导致了重大的数据泄露,引起了依赖该软件进行安全文件传输的企业的广泛关注。以下是这些事件的根源分析和经验教训:

根本原因分析:

  1. 软件漏洞: 这些攻击利用了 MOVEit Transfer 应用程序中的一个关键漏洞 (CVE-2023-0669),该漏洞允许未经授权的远程代码执行。该漏洞的存在是由于软件中缺乏适当的输入验证和消毒机制。
  2. 补丁发布延迟: 尽管安全研究人员早在 2023 年 1 月就发现了该漏洞,但供应商 Progress Software 直到 2023 年 5 月才发布补丁。这一延迟为攻击者利用该漏洞提供了大量机会。对此,昆明亭长朗然科技有限公司网络安全专员董志军质疑,某些媒体称该漏洞为零日漏洞,显然这都几个月了,根本算不上零天,Progress Software算是文件传输领域的小厂商,安全能力不足才是关键。
  3. 缺乏及时的补丁:许多组织在补丁发布后没有及时应用,导致系统容易受到攻击。这凸显了保持强大的补丁管理流程和及时更新安全更新的重要性。对此,董志军再补充说:文件传输软件属于工具软件,人们的传统安全意识中,更新主要应该在操作系统以及主流的办公和浏览器应用软件,忽略小众的应用软件,这些小众软件的漏洞往往正是网络犯罪分子的残余生存空间。不过话说回来,小众软件也可能导致海量用户信息泄露,影响数百万人员的隐私及安危。
  4. 监控和事故响应不足: 一些组织缺乏适当的安全监控和事件响应机制,从而延误了对攻击的检测和缓解,加剧了数据泄露的影响。

经验教训:

  1. 优先考虑软件安全: 软件供应商必须在整个软件开发生命周期中优先考虑安全问题,实施安全编码实践、全面测试和强大的输入验证机制,以最大限度地减少漏洞。
  2. 及时发布补丁和沟通: 供应商应优先考虑及时发布安全补丁,并向客户有效传达漏洞信息和缓解策略。
  3. 强大的补丁管理: 企业必须建立并维护一个强大的补丁管理流程,确保在整个环境中及时测试、验证和部署安全更新。
  4. 加强监控和事件响应: 实施强大的安全监控和事件响应机制对于及早发现和有效缓解网络威胁至关重要。这包括部署安全信息和事件管理(SIEM)解决方案、定期进行漏洞评估以及制定事件响应计划。
  5. 数据保护和备份策略: 组织应实施全面的数据保护和备份策略,以最大限度地减少数据泄露的影响,并在攻击成功时迅速恢复。
  6. 供应商风险管理: 在依赖第三方软件或服务时,企业必须进行全面的供应商风险评估,并实施适当的安全控制,以降低潜在风险。
  7. 网络安全意识和培训: 提高员工的网络安全意识并为其提供定期培训,可以帮助企业培养强大的安全文化,使员工掌握识别和应对潜在威胁的知识和技能。

MOVEit Transfer 数据盗窃攻击事件严酷地提醒我们,积极主动的网络安全措施、及时的漏洞修复和有效的事件响应非常重要。通过从这些事件中吸取教训,企业可以加强其安全态势,更好地保护其敏感数据免受未来网络威胁的侵害。

自动化的补丁管理早已在不少组织实施,然而总是有些用户会使用小众软件,这需要在加强软件资产管理的同时,启迪用户们的网络安全责任感及安全漏洞修复意识。昆明亭长朗然科技有限公司创作了大量的员工信息安全意识动画视频和电子学习教程,我们也提供在线的安全意识提升服务,欢迎有兴趣的客户及伙伴联系我们,预览我们的作品,体验我们的系统,以及洽谈业务合作。

  • 电话:0871-67122372
  • 手机、微信:18206751343
  • 邮件:info@securemymind.com

酿成网络安全事件的十宗罪

admin

网络安全需要完善的系统化的管理,涉及制度、技术和人员等多种要素。网络安全事件的成因有多种,归根结底是安全管理的控管措施不到位。如下,我们将细数造成安全事件的十种常规根本原因,并简要分析和给出整改建议。

  1. 缺乏安全策略和程序:制定明确的安全策略和程序有助于确保员工在保护组织资产时了解自己的角色和责任。定期审查和更新安全政策和程序有助于确保它们有效且最新,并获得落地实施。
  2. 缺乏安全意识:员工如果不了解组织数据和系统的潜在风险和威胁,就更有可能犯错误或成为网络攻击的受害者。有关网络安全最佳实践的定期培训和教育可以帮助员工了解其在保护组织资产方面的作用的重要性。
  3. 缺乏访问控制:访问控制不足可能会导致未经授权的个人访问敏感信息和系统,从而增加网络攻击的风险。通过部署强大的访问控制(例如多因素身份验证)可以帮助防止未经授权的访问并降低违规风险。
  4. 过时的软件和系统:使用过时的软件和系统可能会产生可供网络犯罪分子利用的漏洞。定期更新软件和系统有助于确保修补所有已知漏洞,并保护组织的系统免受已知威胁。
  5. 网络安全性差:网络安全性差可能会使组织的系统和数据容易受到攻击。通过实施强大的网络安全措施(例如防火墙和入侵检测系统)可以帮助防范外部威胁并防止对组织系统的未经授权的访问。
  6. 缺乏事件响应计划:制定应对网络攻击的计划可以帮助组织最大限度地减少漏洞的影响并快速从事件中恢复。制定事件响应计划并定期测试可以帮助确保组织准备好应对网络攻击。
  7. 缺乏员工培训:未接受过网络安全最佳实践培训的员工更有可能犯下可能导致违规的错误。这凸显了对员工进行网络安全最佳实践教育以及实施政策和程序以减少人为错误风险的重要性。
  8. 缺乏物理安全:物理安全措施,例如锁和警报器,可以帮助保护组织的资产免遭盗窃或损坏。安装和实施强大的物理安全措施有助于防止未经授权访问组织的系统和数据。
  9. 缺乏供应商安全:有权访问组织系统和数据的供应商如果没有采取足够的安全措施,可能会带来重大风险。配置和实施强大的供应商安全策略并定期审核供应商安全有助于降低违规风险和减少安全事件。
  10. 缺乏事件响应测试:定期测试事件响应计划可以帮助确保组织做好应对网络攻击的准备。测试事件响应计划还可以帮助识别组织响应能力中的任何差距或弱点。

在这其中,人为错误是网络安全事件的一个重要因素。国际商业机器公司和威瑞森公司的研究表明,人为错误分别造成了大约 95% 和 82% 的数据泄露。要修复人为错误,比修复系统以及流程中的弱点,难多了。需要建立整体的网络安全意识教育计划,该通常通过如下多种方式提供:

  • 培训视频,提供有关安全威胁、漏洞和响应的信息的在线视频或动画。动画视频是一项普及性无关具体产品的安全意识培训视频系列内容资源,该培训内容适用于各种组织的所有最终用户。动画视频短小精悍,多媒体内容丰富,所有知识点均由资深网络安全专家编写,具有强大的动态图形、故事案例或真实场景,由教学设计师、图形设计师和动画设计师开发。这些培训视频可以集成到组织内部的学习管理系统中,也可以利用组织选择的外部托管学习管理系统进行部署,还可以通过各种电子屏幕、网络沟通平台进行传播。
  • 演示文稿,有关网络钓鱼诈骗或社会工程攻击等主题的演示文稿文档。演示文稿适合比较初级的安全意识宣教活动。
  • 宣传邮件,定期发送电子邮件,涵盖密码安全或网络钓鱼等重要主题。宣传邮件中可以包含简要的策略文件、当前的威胁形势、行业相关的真实案例、以及宣传图片等。
  • 在线学习,使用交互式的电子学习课程,追踪学习进展衡量学习成效。培训模块通过涵盖组织各个级别的员工所需的关键知识培训来解决内部威胁,游戏化互动让用户保持参与,每个模块末尾都有简短的测验来评估学员的理解程度。基于网络的电子课件符合行业SCORM标准,并且可以上传到任何符合SCORM标准的学习管理系统,以用于跟踪和报告目的。员工可以随时随地通过安全意识服务网络培训进行自我教育和继续学习,安全培训负责人员可以随时随地查看学员们的学习进度报表,以了解学员们的安全认知情况并采取必要的推进措施,进而确保组织的网络安全。
  • 模拟钓鱼,使用类似黑客的网络钓鱼的手法,主动检测钓鱼识别技能。模拟网络钓鱼攻击使用无害的方式欺骗个人的活动。要谨慎和透明地进行这种类型的模拟,以避免造成不必要的恐慌或混乱。记住,模拟的目的不是欺骗员工,而是教育他们如何识别和避免网络钓鱼诈骗。 确保以透明的方式进行模拟,并为员工提供确保在线安全所需的资源。

昆明亭长朗然科技有限公司创作了海量的安全意识动画视频、电子图片和课程模块。欢迎有兴趣的客户及伙伴联系我们,预览我司的在线课程内容资源,以及体验在线学习平台的功能。

  • 电话:0871-67122372
  • 手机、微信:18206751343
  • 邮件:info@securemymind.com