防御安全播客第268期

主持人: Jerry Bell
嘉宾: Andrew Kellett

故事讨论

1. SolarWinds的安全改进

• 来源: SC Magazine
• 标题: 《为什么SolarWinds可能是科技宇宙中最安全的软件公司之一》
• 内容摘要:
  • SolarWinds在2020年供应链攻击后实施了多项安全改进。
  • 攻击并非针对代码库，而是通过构建系统在编译时注入恶意代码。
  • 新安全措施包括：
    • 多通道构建流程: 三个独立团队（安全、DevOps、QA）并行构建同一代码，并进行确定性比较，确保输出一致。
    • 环境隔离: 构建系统互不共享访问权限，降低横向移动风险。
    • SOC扩展: 从单一SOC改为三个专用SOC，分别监控不同环境。
    • 红队专注: 成立专职红队针对构建环境进行测试。
  • 改进重点集中在防止类似攻击，但可能忽略其他安全领域。
  • SolarWinds开源了其多通道构建方法，并强调透明度和经验分享。

2. Log4Shell漏洞的长期风险

• 来源: Computer Weekly
• 标题: 《Log4Shell正成为 endemic 问题》
• 内容摘要:
  • 美国网络安全审查委员会（CSRB）发布报告，分析Log4j漏洞事件。
  • 关键问题：
    • 开源软件缺乏商业软件的成熟度和资源支持。
    • 漏洞根本原因并非开发人员技术不足，而是开源组件被深度嵌套在多层软件供应链中。
    • 行业缺乏对广泛使用的开源组件的可见性（如Log4j、OpenSSL）。
  • 建议推广软件物料清单（SBOM），但SBOM本身实施复杂。
  • 未来需关注高风险开源组件的维护状态，而非仅依赖SBOM。

3. 冒充网络安全公司的回调钓鱼攻击

• 来源: Bleeping Computer
• 标题: 《黑客冒充网络安全公司进行回调钓鱼攻击》
• 内容摘要:
  • 攻击者发送伪造的网络安全公司（如CrowdStrike）邮件，要求目标拨打指定电话。
  • 邮件内容专业，无语法错误，声称检测到异常活动需紧急评估。
  • 通话后诱导安装远程访问木马（RAT），最终导致勒索软件感染。
  • 防御重点应放在环境设计（如限制软件安装权限），而非仅依赖员工培训。

4. 微软撤销Office宏阻止策略

• 来源: Cybersecurity Dive
• 标题: 《微软撤销Office宏阻止策略引发混乱》
• 内容摘要:
  • 微软原计划默认阻止来自互联网的Office宏，但因企业合规与业务需求被迫回退。
  • 宏阻止策略曾有效减少约2/3的宏相关攻击。
  • 临时回退可能导致攻击回升，组织需通过组策略手动启用宏阻止功能。
  • 事件体现了安全与生产力的典型冲突。

播客尾声讨论

• 行业观察: 许多安全新闻实为营销内容，需谨慎甄别来源（如作者是否来自供应商）。
• 保险行业趋势: 部分网络安全保险公司要求客户使用特定EDR产品以获得优惠保费。
• 播客数据: 该播客拥有约10,000名听众，无商业赞助，仅接受捐赠。

结束语: 安全改进需平衡资源投入，供应链风险需行业协同解决，社会工程攻击需通过系统设计而非仅靠培训缓解。