Here’s a look at the most interesting products from the past week, featuring releases from Atakama, Authlete, Symbiotic Security, and Zywave. Atakama introduces DNS filtering designed for MSPs Atakama announced the latest expansion of its Managed Browser Security Platform, introducing DNS filtering explicitly designed for Managed Service Providers (MSPs). This new feature enables comprehensive in-browser and network-level filtering, providing a full-spectrum DNS solution that secures browsers and entire network environments. Zywave enhances Cyber Quoting to … More →
The post New infosec products of the week: November 8, 2024 appeared first on Help Net Security.
最近披露的 Microsoft SharePoint 远程代码执行 (RCE) 漏洞(编号为 CVE-2024-38094)正被用来获取对企业网络的初始访问权限。
CVE-2024-38094 是一个高严重性(CVSS v3.1 评分:7.2)RCE 漏洞,影响 Microsoft SharePoint,这是一个广泛使用的基于 Web 的平台,用作内联网、文档管理和协作工具,可以与 Microsoft 365 无缝集成应用程序。
微软于 2024 年 7 月修复了该漏洞,作为 7 月补丁星期二包的一部分,将该问题标记为“重要”。
上周,CISA 将 CVE-2024-38094 添加到已知被利用的漏洞目录中,但没有透露该漏洞是如何在攻击中被利用的。
Rapid7 发布的一份新报告揭示了攻击者如何利用 SharePoint 漏洞,称该漏洞被用于调查他们调查的网络漏洞。
相关报告中写道:“我们的调查发现,一名攻击者未经授权访问了服务器,并在网络中横向移动,从而损害了整个域。”
攻击者在两周内仍未被发现。Rapid7 确定初始访问向量是利用本地 SharePoint 服务器内的漏洞 CVE 2024-38094。
使用 AV 损害安全
Rapid7 现在报告称,攻击者利用 CVE-2024-38094 未经授权访问易受攻击的 SharePoint 服务器并植入 Webshell。
调查显示,该服务器是通过公开披露的 SharePoint 概念验证漏洞被利用的。攻击者利用其初始访问权限,破坏了具有域管理员权限的 Microsoft Exchange 服务帐户,从而获得了更高的访问权限。接下来,攻击者安装了 Horoung Antivirus,这会造成冲突,导致安全防御失效并削弱检测能力,从而允许他们安装 Impacket 进行横向移动。
具体来说,攻击者使用批处理脚本(“hrword install.bat”)在系统上安装Huorong Antivirus,设置自定义服务(“sysdiag”),执行驱动程序(“sysdiag_win10.sys”),并运行“HRSword” .exe' 使用 VBS 脚本。
这种设置导致了资源分配、加载驱动程序和活动服务等方面的多重冲突,导致该公司的合法防病毒服务崩溃而无能为力。
攻击的时间轴
在接下来的阶段,攻击者使用 Mimikatz 进行凭证收集,使用 FRP 进行远程访问,并设置计划任务进行持久化。
为了避免被发现,他们禁用了 Windows Defender、更改了事件日志并操纵了受感染系统上的系统日志记录。
everything.exe、Certify.exe 和 kerbrute 等其他工具用于网络扫描、ADFS 证书生成和暴力破解 Active Directory 票证。
第三方备份也成为破坏的目标,但攻击者试图破坏这些备份却失败了。
尽管尝试擦除备份是勒索软件攻击中的典型做法,为了防止轻松恢复,Rapid7 没有观察到数据加密,因此攻击类型未知。
随着主动利用的进行,自 2024 年 6 月以来未应用 SharePoint 更新的系统管理员必须尽快执行此操作。
11月7日至8日,2024大湾区网络安全大会在广州市长隆国际会展中心盛大举行。本次大会围绕“共筑网络安全防线,护航大湾区数字未来”为主题,汇聚了来自医疗、教育等关键行业的领导、院士、权威专家、学者以及企业精英,共同探讨和交流。
作为国内邮件行业引领者,Coremail不仅受邀参加并设展,更凭借其CACTER邮件安全网关解决方案,在大会的评选活动中荣获“信息网络安全建设优秀案例”奖项。
2024大湾区网络安全大会
本次大会由广东省计算机信息网络安全协会与广东省粤港澳合作促进会联合主办,围绕“共筑网络安全防线,护航大湾区数字未来”为主题,重点聚焦于医疗、教育等民生关键行业,深入分析这些行业在数字化转型过程中面临的网络安全挑战与机遇。通过主题演讲、圆桌论坛、学术研讨会等多种形式,分享行业市场的前沿科技、先进理念以及企业最佳实务发展案例,为参会者提供丰富的知识盛宴与灵感启迪。
现场返图
经过激烈的网络投票和专家评审,CACTER邮件安全网关解决方案不负众望,荣获“信息网络安全建设优秀案例”奖项。这一荣誉不仅是对Coremail在邮件安全领域技术创新和实践成果的认可,也是对其专业实力的肯定。
Coremail将持续致力于提供卓越的邮件安全解决方案,满足各行业用户对安全性和可靠性的高标准要求,并为邮件安全的持续进步贡献力量。
CACTER邮件安全网关解决方案
CACTER邮件安全网关基于自主研发的神经网络平台NERVE2.0深度学习能力,全面检测并拦截各类恶意邮件,包括垃圾邮件、钓鱼邮件、病毒邮件及BEC诈骗邮件,并融合智谱AI大模型,反垃圾准确率高达99.8%,误判率低于0.02%。CACTER邮件安全网关拥有独家完整域内安全管控方案,且支持Coremail、Exchange、O365、Gmail 、IBM Domino、lotus notes、网易企邮、飞书企邮等几乎所有邮件系统。
CACTER的核心技术依托自研国产反垃圾引擎和国内头部的企业级邮件安全大数据中心,拥有多项发明专利与软件著作权,与中国科学院成立邮件安全AI实验室,并与清华大学、奇安信、网易等国内权威机构持续开展前沿研究与合作,为客户提供从建立安全意识到数据保护的多层次邮件安全防护。
独家完整域内安全管控方案
CACTER邮件安全网关基于多项自主研发的世界领先级反垃圾邮件技术,针对用户账号被盗后,域内互发垃圾钓鱼邮件场景,推出独家域内安全解决方案。不仅具备独家域内发信行为检测模型,还支持自定义域内邮件处置策略,域内安全数据统计分析以及域内高级恶意威胁邮件事后处置等,确保钓鱼邮件、病毒邮件、垃圾邮件精准拦截,异常发信行为及时发现,以保障邮件系统不受恶意邮件威胁。
高级恶意威胁事后处置方案
针对新型高级威胁邮件,可能绕过反垃圾引擎检查、反病毒引擎甚至云沙箱检测引擎,投递至邮件系统的情况,CACTER邮件安全网关推出邮件召回事后解决方案。CACTER邮件安全网关不仅支持管理员一键召回已经投递至邮件系统的威胁,还支持接收Coremail邮件安全大数据中心情报,自动召回已经投递至邮件系统的高级恶意威胁邮件,对高级恶意威胁邮件及时处置,守住邮件系统安全最后一道防线。
"知行合一"是明代思想家王阳明提出的重要哲学理念,强调认识与实践的统一,即“知是行的开始,行是知的成果,而真切笃实的行已自有明觉精察的知在起作用了”。在当下的网络安全人才培养的场景中,“知行合一”理念同样能够发挥重要的现实指导意义,其中,“知”是:我们要培养怎样的人?是认知,是标准,也是目标;“行”是我们在标准指导下的实践,“行”可以校验和精进“知”,双方共同作用力下达成更有效的教学成果。但在实践过程中,真正的要做到“知行合一”并不容易。
长期以来我国存在网络安全人才短缺的问题,而教育机构、社会组织、企业所培养的网络安全人才,又存在缺乏实战能力的现象,即“难以在实际工作岗位上发挥应有作用”,根源就在于没有达成“知行合一”。
在网络安全人才培养领域,以网络仿真为核心技术的网络靶场产品,通过复现高度仿真的虚拟网络环境,供人员进行网络安全攻防知识的学习、实操,已经成为主流工具。如何利用网络靶场更好的在人才培养中实现“知行合一”?丈八网安作为网络仿真技术及应用服务提供商,通过创新型网络靶场产品和技术提供了行之有效的解决方案。
首先,我们要知道网安人才培养的“知”到底是什么?也就是我们要培养什么样的人?他们要具备怎样的能力?2023年10月1日,国家标准《信息安全技术 网络安全从业人员能力基本要求》(GB/T 42446-2023) 正式实施,为网络安全从业人员的识别、培养和管理提供了指导。国标可以作为指导实践的“知”。
在有明确“知”的前提下,丈八网安的新型网络靶场平台,通过在其自主研发的网络仿真操作系统上,灵活“插嵌”多款功能性APP,用技术手段将“知”的指导价值贯穿到所有与“行”相关的APP上,实现科学指导、数据联通、综合评估,践行“知行合一”,最终达成“实战型”网络安全人才的建设目标。以下,为解决方案的概况及案例:
首先,丈八网安提取国标中最重要的TKS元素,也就是对应岗位任职要求或人才培养目标拆解出来的,需要学员完成的任务(Task,简称T),及对应的知识(Knowledge,简称K)和技能(Skill,简称S),将复杂的TKS做出映射关系,形成TKS模型,也就是将“知”具象化、模型化了,并将TKS模型内置在丈八知识库中,实现对后续所有“行”的连贯式指导。
这里,丈八人才培养解决方案中的核心APP——“人员能力评估”在实现有效的“知行合一”过程中发挥了重要作用。它调用丈八知识库中的TKS模型,在模型指导下进行初步的学习路径、培养方案设计,去制定每个阶段的学习和行动计划,涉及到后续会关联到哪些教学类APP的使用,具体使用哪些内容,比重如何等等,在这款APP中,我们可以看到“知”到底如何在指导“行”。
然后,根据初步学习路径、方案指导,通过与“行”有关的APP:“授课教学”、“考试测评”、“攻防演练”、“创新竞赛”等,完成专项理论知识、实战技能、综合习题的学习和考核。培训过程以“计划-执行-检查-行动”(Plan-Do-Check-Act Cycle)的循环方式进行,过程中所涉及的每一款APP,都在“知”的指导下分配了不同比例的TKS,比如在“授课教学”APP中K的比重更大,而竞赛APP中S的比重更大,学员的每一次实践都会累积相应的TKS数据,这些数据会连贯的沉淀在“人员能力评估”APP中,逐步形成动态的人员能力图谱,作为差距分析的依据辅助学习方案的更新,直至人员能力与岗位需求高度匹配。
这便是丈八网络靶场平台不断地以真切笃实的“行”对“知”进行明觉精察,最终达到“知行合一”的网络安全人才培养解决方案。
在具体实践中,某高校为推进产教融合示范基地建设,采用了丈八网络靶场平台所提供的这套人才培养解决方案,进行匹配国家标准《信息安全技术 网络安全从业人员能力基本要求》的人才培养。以其中数据安全保护人员为例,该岗位TKS模型要求人员承担网络安全需求分析等三项T,网络安全基础知识、数据安全知识等24项K,通用技能、网络安全需求分析技能等9项S。根据该TKS模型要求,系统生成培养方案,涉及“人员能力评估”、“授课教学”、“考试测评”、“HVV”、“攻防演练”五款APP的使用。
其中,“授课教学”APP是一款综合性培训教学应用,可供教师进行内容、排课管理,学员进行自由、自主学习和排课,系统同时提供丰富的课程库、教案库,提供理论学习、实验实操、教学管理等功能。两端用户可实现实时互动与协作推进学习。
图:以“数据安全保护人员”为岗位目标的学员们进行相关课程学习
“考试测评”APP是一款教学成果评测工具,也可用于学习初期对学员情况的摸底,支持多种试题类型,如单选、多选、判断、填空等客观题,简答等主观题,以及flag、自动裁决等实验题。教师可以根据目标规划灵活组卷。丈八知识库也提供海量试题资源供用户直接调动。判分过程支持自动化与人工判分,同时有防作弊系统保障考试的权威与公正。
图:在考试评测APP教师端,教师进行相应的考试管理
“攻防演练”APP提供“有剧本”的演练模式,打造基于固定剧本的红蓝对抗、渗透攻击、防御训练,实现指引式对抗演练模拟。学员通过参与相应攻防场景的演练,理解组织业务,识别网络安全管理基本知识等K,掌握对风险管理、供应链安全管理、运营管理、应急管理、业务连续性、管理体系、认证认可、漏洞管理基本知识等S。
“HVV”APP提供创新型竞赛模式,支持打造实网级场景及操作方式、竞赛规则,可以从根本上解决传统竞赛模式重知识、轻技能,和实战脱节的问题。学员体验了大规模网络架构和业务场景模拟仿真环境下的逼真对抗,在此过程中充分发挥所学K和S,酣战淋漓。
该案例中,学生在“授课教学”、“考试测评”、“实战演练”以及“HVV”等APP中的行为,均沉淀为相应的TKS数值。这些宝贵数据被统一集成至“人员能力评估”中,通过算法深度挖掘,形成每位人员详尽、多维且不断更新的TKS画像。此画像经过和预设的“数据安全保护人员”岗位TKS理想模型进行智能对比,即时获取能力差距与短板。
图:通过对比分析,引导用户进入新一轮的PDCA循环
可以说,丈八网安以网络靶场产品为舞台,通过技术手段有效实现“知行合一”,为逐步填补我国网络安全人才缺口而努力。在科技赋能与标准引领的双重驱动下,一个培养实战型网络安全精英的新时代正缓缓拉开序幕。未来,我们有理由相信,更多具备高度实战能力的网络安全人才将不断涌现,为守护网络空间安全贡献智慧与力量。