防御性安全播客第267期

音频播放器
点击播放
使用上下箭头键调整音量。
播客：在新窗口中播放 | 下载 | 嵌入
订阅：RSS

链接

• Aerojet Rocketdyne同意支付900万美元解决虚假索赔法案指控
• CISA警报：朝鲜国家支持的网络行为者使用Maui勒索软件攻击医疗行业
• ZDNet文章：今日应思考的明日网络安全威胁

开场与背景

Jerry: 今天是2022年7月10日星期日，这是防御性安全播客的第267期。我是Jerry Bell，今晚和我一起的是Andrew Kalat。
Andy: 晚上好，Jerry。
Jerry: 我很好。亚特兰大天气炎热潮湿。
Andy: 是啊，我从海滩回来一个月了，今天是第一个没有高温预警的日子。

故事1: Aerojet Rocketdyne和解案

Jerry: 美国司法部报道，Aerojet Rocketdyne同意支付900万美元解决虚假索赔法案指控，涉及联邦政府合同中的网络安全违规。

• 虚假索赔法案允许与政府有业务往来的公司员工起诉公司，指控其在合同执行中虚假陈述。
• 如果诉讼成功，举报人可获得部分和解金。本案中举报人获得261万美元（占900万的29%）。
  Andy: 公司可能在安全控制上撒谎，举报人因此获利。这让我想起商业软件联盟举报盗版软件的时代，但金额小得多。
  Jerry: 政府可能将此类法案范围扩大到非政府合同和上市公司，但目前尚未成文。
  Andy: 根据案件摘要，公司56项安全控制中仅5-10项达标，且第三方渗透测试在4小时内入侵成功，存在未修补漏洞。
  关键点: 企业需诚实履行安全承诺，否则可能面临法律风险。

故事2: 朝鲜Maui勒索软件攻击

Jerry: CISA发布警报，朝鲜国家支持的行为者使用Maui勒索软件攻击医疗和公共卫生部门。

• 攻击手法无创新，但美国政府明确归因于朝鲜。
• 朝鲜受严厉制裁，受害者支付赎金可能违反制裁，面临额外处罚。
  Andy: 这导致受害者需通过壳公司或律师代理支付赎金，但仍有风险。
  Jerry: CISA建议使用安全网络、避免公共WiFi、安装VPN等，但多数是常规建议。
  关键点: 勒索软件是攻击链的最终环节，需通过安全实践（如限制RDP暴露、最小权限）预防。

故事3: 未来网络安全威胁（ZDNet文章）

Jerry: 文章列出明日威胁，需今日思考：

1. 量子计算威胁:
   • 量子计算机可能快速破解当前公钥加密，威胁历史加密数据。
   • NIST已启动量子 resistant 加密算法评估，但过程漫长。
   • 量子计算不同于传统计算，需全新算法设计。
2. 软件供应链攻击:
   • 如SolarWinds和Kaseya事件，攻击软件供应商可波及大量客户。
   • 行业响应多为问卷和电子表格，缺乏实质解决方案。
   • 开源软件易被废弃或恶意接管，增加风险。
3. 物联网（IoT）漏洞:
   • 低成本设备固件质量差，成为网络入口点（如拉斯维加斯赌场通过鱼缸温度计被黑）。
4. 深度伪造助力商业邮件欺诈:
   • 深度伪造技术易得，可伪造视频指令（如CFO要求转账）。
   • 人类信任感官，需多因素认证和严格流程验证身份。
5. 破坏性恶意软件攻击:
   • 如WannaCry和NotPetya，勒索软件已属此类。未来可能攻击固件，导致硬件永久损坏。
6. 技能危机:
   • 实为薪酬问题，企业不愿支付市场价导致人才短缺。
   • IT安全投资不足和技术债务加剧问题。

结尾

Jerry: 深度伪造威胁最令人担忧，需强化身份验证流程。
Andy: 技术复杂度可能转向专用设备（如iPad），但IoT安全同样挑战。
Jerry: 感谢听众支持，播客因生活忙碌延迟，但会持续制作。

分享至: X | Facebook | LinkedIn

相关播客:

• 第299期: Disney员工AI工具失误导致黑客事件、VMware漏洞等
• 第289期: 供应链攻击泄露39万凭证、朝鲜IT工人农场漏洞
• 第307期: Coinbase数据泄露、加密货币安全挑战

作者: jerry
发布时间: 2022年7月10日
分类: 播客