防御安全播客第268期

故事讨论

SolarWinds的安全改进

• 背景: SC Magazine文章探讨SolarWinds如何通过安全改进成为"最安全软件公司之一"
• 攻击技术细节:
  • 攻击并非针对代码库，而是针对构建系统在编译时注入代码
  • 采用三通道并行构建体系：安全团队、DevOps团队和QA团队分别独立构建
  • 通过确定性构建验证，比较三个构建结果是否一致
• 安全增强措施:
  • 从单一SOC转变为三个专用SOC监控不同环境
  • 建立专门的红队专注于构建环境安全
  • 将本地开发环境迁移到AWS实现动态创建和销毁
  • 暂停新功能开发7个月，全力投入安全改进

Log4Shell漏洞的长期影响

• 美国政府报告: 网络安全审查委员会指出Log4Shell正变得"地方性"
• 核心问题:
  • 开源软件缺乏商业软件的成熟度和资源
  • 依赖链问题：组件被多层嵌套集成，难以追踪
  • 关键开源项目由个人或小团队维护，存在可持续性风险
• 解决方案讨论:
  • 软件物料清单(SBOM)的价值和局限性
  • 需要识别和管理关键开源组件的使用
  • 可能走向经过审查的开源组件市场

新型回调钓鱼攻击

• 攻击手法: 攻击者冒充CrowdStrike等安全公司发送专业钓鱼邮件
• 技术细节:
  • 使用伪造的安全公司信头
  • 声称检测到异常活动，要求受害者拨打指定电话
  • 最终部署远程访问木马，导致勒索软件感染
• 防御观点: 不应依赖员工识别钓鱼邮件，而应设计能抵御此类攻击的环境

微软撤销Office宏禁用策略

• 政策变化: 微软撤销了阻止互联网来源宏的默认设置
• 背景: 原策略使宏相关攻击减少约三分之二
• 担忧: 政策回退可能导致攻击 resurgence
• 建议: 通过组策略重新启用宏阻止功能

行业观察

安全新闻的营销化趋势

• 许多所谓"新闻"实际上是厂商营销内容
• 建议读者关注作者身份，警惕厂商员工撰写的内容
• 行业需要更多客观的最佳实践指导

网络安全保险的影响

• 保险公司开始指定认可的EDR产品清单
• 这种粗粒度要求可能不适合所有环境
• 反映了保险业对勒索软件赔付压力的应对

播客还包含主持人的技术讨论和行业见解，涉及供应链安全、开源软件维护、社会工程防御等深度技术话题。