防御性安全播客第267期

音频播放器
播放链接
订阅：RSS

主持人
Jerry Bell 和 Andrew Kallet

1. Aerojet Rocketdyne 因网络安全违规支付900万美元和解

• 背景：美国司法部公告，Aerojet Rocketdyne 同意支付900万美元，以解决《虚假申报法》中关于网络安全违规的指控。
• 机制：《虚假申报法》允许与政府有业务往来的公司员工举报公司虚假陈述合同执行情况。若成功，举报人可获得部分和解金（本案中举报人获261万美元）。
• 违规细节：公司被指控在56项安全控制措施中仅5-10项达标，且存在未修补漏洞（第三方渗透测试在4小时内入侵系统）。
• 行业影响：此案突显了企业需诚实履行安全承诺，否则可能面临法律风险。未来此类法规可能扩展至非政府合同及上市公司。

2. 朝鲜使用Maui勒索软件攻击医疗行业

• 来源：CISA（网络安全和基础设施安全局）警报，朝鲜国家支持的黑客使用Maui勒索软件针对医疗和公共卫生部门。
• 攻击特点：无显著技术创新，但美国政府明确归因于朝鲜。支付赎金可能违反美国对朝鲜的制裁，导致额外法律风险。
• 防御建议：CISA提供标准建议（如使用安全网络、避免公共WiFi、安装VPN），但勒索软件防御需基于具体环境定制（如限制RDP暴露、最小权限原则）。

3. 未来网络安全威胁分析（基于ZDNet文章）

量子计算威胁

• 风险：量子计算可能快速破解当前公钥加密算法，使今日加密数据未来易被解密。
• 应对：NIST已启动量子抗性加密算法评估，但验证其有效性需时间（因缺乏量子计算机验证环境）。

软件供应链攻击

• 案例：SolarWinds、Kaseya等事件显示，攻击软件供应商可同时影响多个组织。
• 挑战：开源软件易被废弃或恶意接管，商业软件依赖复杂包网络，难以全面管控。
• 现状：行业响应仍依赖问卷和电子表格，缺乏成熟解决方案。

IoT设备漏洞

• 风险：低成本IoT设备（如打印机、温度计）固件安全性差，易成为攻击入口（例：拉斯维加斯赌场通过鱼缸温度计被入侵）。
• 趋势：联网设备增多扩大攻击面。

深度伪造技术助推商务邮件诈骗

• 技术门槛：普通人可轻松获取深度伪造工具，伪造视频或音频。
• 风险：结合商务邮件诈骗（如冒充CFO要求转账），深度伪造可模拟高管指令，绕过传统信任机制。
• 防御：需强化多因素认证和流程验证（即使面对“真人”视频通话也需身份证明）。

破坏性恶意软件

• 现状：勒索软件（如WannaCry）已具破坏性，未来可能转向固件攻击（如永久损坏硬件）。

技能危机

• 本质：非人才短缺，而是企业不愿支付市场价薪酬。深层问题是IT安全投入不足和技术债务累积。
• 趋势：设备可能转向专用化（如iPad类设备），但安全挑战仍存。

结语：
播客强调企业需诚实履行安全承诺、关注新兴威胁（如量子计算和深度伪造），并投资于安全流程和人才。网络安全环境复杂，但通过持续学习和适应可降低风险。

注意：内容基于播客对话整理，涉及观点仅代表主持人，不代表其雇主立场。