防御安全播客第268期

主持人: Jerry Bell 和 Andrew Kallet
发布日期: 2022年7月17日

故事讨论

1. SolarWinds的安全转型

• 来源: SC Magazine文章《为什么SolarWinds可能是科技宇宙中最安全的软件公司》
• 关键点:
  • SolarWinds在遭遇供应链攻击后彻底改革了构建流程
  • 采用三通道并行构建系统：安全团队、DevOps团队和QA团队独立构建同一代码库
  • 实施确定性构建验证，确保三个构建结果完全一致
  • 从集中式SOC转变为三个专门SOC监控不同环境
  • 建立专门的红队专注于构建环境安全
  • 将本地开发环境迁移到AWS实现动态环境创建

2. Log4Shell漏洞的长期影响

• 来源: Computer Weekly文章《Log4Shell正成为常态性问题》
• 关键发现:
  • 美国网络安全审查委员会报告指出开源软件安全成熟度不足
  • 漏洞根本问题：开源组件被多层嵌套引用，缺乏可见性
  • 软件物料清单(SBOM)的重要性被强调，但实施存在挑战
  • 需要重点关注被广泛使用但维护不足的开源组件(“热点”)
  • 攻击者可能针对其他广泛使用的开源组件发起类似攻击

3. 新型回调钓鱼攻击

• 来源: Bleeping Computer文章《黑客冒充网络安全公司进行回调钓鱼攻击》
• 攻击手法:
  • 攻击者使用CrowdStrike等知名安全公司的信头发送伪装邮件
  • 邮件内容专业，无明显语法错误，声称检测到异常活动
  • 要求受害者拨打指定电话号码安排"安全评估"
  • 最终目标是通过远程访问木马部署勒索软件
  • 强调需要技术防护而非单纯依赖员工培训

4. 微软宏安全策略反转

• 来源: CyberSecurity Dive文章《微软撤销Office宏阻止功能引发混乱》
• 背景:
  • 微软原计划阻止来自互联网的宏执行，据称减少了2/3的相关攻击
  • 最新决定暂时恢复宏功能，疑似因企业生产力需求压力
  • 建议组织通过组策略手动重新启用宏阻止功能
  • 体现了安全与生产力之间的经典权衡困境

行业观察

• 安全新闻商业化: 大量安全内容实为厂商营销材料，需要批判性阅读
• 网络保险影响: 保险公司开始指定EDR产品要求，影响保费定价
• 开源安全困境: 商业软件大量依赖开源组件，但缺乏有效的供应链风险管理

防御建议

1. 实施多验证构建流程防止供应链攻击
2. 建立完整的软件物料清单管理
3. 采用技术控制而非单纯依赖员工培训应对社交工程
4. 保持宏安全设置即使微软策略变化
5. 批判性评估安全信息来源，识别营销内容