防御安全播客第267期
音频播放器
点击播放
使用上下箭头键调整音量。
播客:在新窗口中播放 | 下载 | 嵌入
订阅:RSS
链接
开场与背景
- Jerry: 今天是2022年7月10日,周日,欢迎收听防御安全播客第267期。我是Jerry Bell,今晚的嘉宾是Andrew Kalat。
- Andy: 晚上好,Jerry。亚特兰大天气炎热潮湿。
- Jerry: 我从海滩回来一个月了,今天是第一个没有高温预警的日子。
- Andy: 你的海滩房产太多,得给它们起名字区分了。
- Jerry: 提醒:本节目观点仅代表个人,与雇主无关(但给够钱可以改口)。
故事一:Aerojet Rocketdyne和解案
- Jerry: 美国司法部报道,Aerojet Rocketdyne因违反联邦政府合同的网络安全要求,支付900万美元和解虚假索赔法案指控。
- 虚假索赔法案允许员工举报公司虚假陈述合同执行情况,成功后举报者可分得部分和解金。
- 本案举报者获得261万美元(占900万的29%)。
- Andy: 公司可能在安全控制上撒谎,举报者获利。这让我想检查自己公司的合规情况。
- Jerry: 律师可能分走大部分,但仍是笔钱。政府可能将此类法规扩展到非政府合同和上市公司(SEC管辖),但目前仅是猜测。
- Andy: 搜索案件细节发现,公司56项安全控制中仅5-10项达标,第三方渗透测试4小时入侵成功,存在未修补漏洞。
- 关键点: 与政府合作需诚实履约,否则可能面临法律风险。
故事二:朝鲜勒索软件攻击
- Jerry: CISA报告朝鲜国家支持的黑客使用Maui勒索软件攻击医疗和公共卫生部门。
- 攻击手法无创新,但美国政府明确归因于朝鲜(全球制裁最严国家)。
- 受害者支付赎金可能违反制裁,面临额外处罚。
- Andy: 这催生了通过壳公司或律师代理支付赎金的灰色操作(如之前报道)。
- Jerry: CISA建议使用安全网络、VPN、避免管理员权限等常规措施,但勒索软件是攻击链终点,防御需多层面。
- Maui勒索软件需手动命令行启动,推断入侵方式为暴露RDP、横向移动利用管理员凭据。
- 警告: 勿支付朝鲜相关赎金,否则可能“双倍打击”。
- Andy: 朝鲜可能通过中国或俄罗斯网络访问(无制裁)发起攻击。
故事三:未来网络安全威胁(ZDNet)
- 量子计算威胁:
- 量子计算机可能快速破解当前公钥加密(如RSA),威胁现有加密数据。
- NIST已启动量子抗性加密算法评估,但过程漫长(上次更新需3-5年)。
- 量子计算机用数学原理差异破解加密,非暴力破解。
- 软件供应链攻击:
- 如SolarWinds、Kaseya事件,攻击软件供应商可波及大量客户。
- 行业响应多为问卷和电子表格,缺乏成熟解决方案。
- 开源软件风险高(易废弃、维护者变恶意、依赖复杂)。
- 物联网(IoT)漏洞:
- 低成本设备固件差、易废弃,成为网络入口点(如拉斯维加斯赌场通过智能温度计被黑)。
- 深度伪造助力商业邮件欺诈:
- 深度伪造技术易获取,可伪造视频/音频冒充高管指令转账。
- 人类信任感官,需多因素认证和严格流程验证身份。
- 破坏性恶意软件:
- 如WannaCry、NotPetya,未来可能攻击固件(主板/硬盘级),导致硬件永久损坏。
- 技能危机:
- 实为薪酬问题:企业不愿支付市场价,而非人才短缺。
- 根本问题是IT安全投资不足和技术债务累积。
- Andy: 深度伪造最令人担忧,可能颠覆法庭证据和商业流程。
- Jerry: 复杂性可能转向专用设备(如iPad),但IoT安全同样薄弱。
结尾
- Jerry: 深度伪造威胁最值得关注。感谢收听,节目更新慢因生活繁忙。
- Andy: 感谢听众支持,我们尽力制作有价值内容。
- 结束语: 保持警惕,遵循最佳实践。
相关播客:
- 第299期:迪士尼员工AI工具失误导致黑客事件
- 第289期:供应链攻击泄露39万凭证
- 第307期:Coinbase数据泄露与加密货币安全
作者: jerry
发布时间: 2022年7月10日
分类: 播客