Aggregator

Recent reports underscore increased fraud losses driven by both old methods and new technologies. As fraudsters exploit advancements in AI and other sophisticated tools, their methods have become more difficult to combat. From AI-driven scams and sophisticated phishing attacks to advanced identity document fraud, the scope and impact of online fraud are more severe than ever before. Old methods, new technologies drive fraud losses Experian | 2024 US Identity and Fraud Report | August 2024 … More →

The post Discover how online fraud can impact your business appeared first on Help Net Security.

BianLian 和 Rhysida 等勒索软件团伙越来越多地使用 Microsoft 的 Azure 存储资源管理器和 AzCopy 从受感染的网络窃取数据并将其存储在 Azure Blob 存储中。

Storage Explorer 是 Microsoft Azure 的 GUI 管理工具，而 AzCopy 是一个命令行工具，可以促进与 Azure 存储之间的大规模数据传输。在网络安全公司 modePUSH 观察到的攻击中，被盗数据随后被存储在云中的 Azure Blob 容器中，威胁分子随后可以将其传输到他们自己的存储中。

Azure 存储资源管理器界面

然而，研究人员指出，攻击者必须进行额外操作才能使 Azure 存储资源管理器正常工作，包括安装依赖项和将 .NET 升级到版本 8。此举也表明勒索软件操作越来越关注数据盗窃，这是威胁分子在随后的勒索阶段的主要手段。

为什么选择 Azure

虽然每个勒索软件团伙都有自己的一套泄露工具，但勒索软件团伙通常使用 Rclone 与各种云提供商同步文件，并使用 MEGAsync 与 MEGA 云同步。

Azure 是企业经常使用的受信任的企业级服务，不太可能被企业防火墙和安全工具阻止。因此，通过它进行的数据传输尝试更有可能顺利通过且不被发现。

此外，Azure 的可扩展性和性能使其能够处理大量非结构化数据，当攻击者试图在最短的时间内窃取大量文件时，这一点非常有益。

modePUSH 表示，它观察到勒索软件参与者使用多个 Azure 存储资源管理器实例将文件上传到 blob 容器，从而尽可能加快这一过程。

检测勒索软件泄露

研究人员发现，威胁分子在使用存储资源管理器和 AzCopy 时启用了默认的“信息”级别日志记录，这会在 %USERPROFILE%\.azcopy 处创建一个日志文件。

该日志文件对于事件响应人员特别有价值，因为它包含有关文件操作的信息，使调查人员能够快速确定哪些数据被盗（UPLOADSUCCESSFUL）以及可能引入了哪些其他有效载荷（DOWNLOADSUCCESSFUL）。

数据传输成功日志

防御措施包括监控 AzCopy 执行情况、到“.blob.core.windows.net”或 Azure IP 范围的 Azure Blob 存储端点的出站网络流量，以及对关键服务器上的文件复制或访问中的异常模式设置警报。

如果企业已经使用 Azure，建议选中“退出时注销”选项以在退出应用程序时自动注销，防止攻击者使用活动会话进行文件窃取。

Over the past decade, ransomware has been cemented as one of the top cybersecurity threats. In 2023 alone, the FBI received 2,385 ransomware complaints, resulting in over $34 million in losses. To help businesses combat ransomware and other threats, various regulatory bodies have developed cyber compliance frameworks to standardize best security practices across industries. While following governmental and industry-focused guidelines doesn’t necessarily ensure a stronger cyber posture, these frameworks do provide useful starting points as … More →

The post How cyber compliance helps minimize the risk of ransomware infections appeared first on Help Net Security.

9月10日，国内首个聚焦“安全测试评估”的白皮书——《网络安全人才实战能力白皮书-安全测试评估篇》（以下简称“白皮书”）在国家网络安全宣传周正式发布。

作为《网络安全人才实战能力白皮书》的第三篇章，本次白皮书聚焦“安全测试评估”主题，由国务院学位委员会学科评议组（网络空间安全组）、教育部高等学校网络空间安全专业教学指导委员会指导，北京航空航天大学、中国科学技术大学、永信至诚科技集团股份有限公司担任主编单位。

据了解，白皮书通过大量一线网络安全从业人员、网络安全相关专业在校学生问卷调研数据及网络安全人才测评演练数据分析，呈现供给侧、需求侧安全测试评估人才的基本情况、培养情况和岗位实践，并以理论与实践相结合的方式创新提出了一套立体化综合评价安全测评人才能力的——GPE方法，为数字中国建设中的安全测试评估人才培养和评价提供可行方案。

随着人工智能、5G、物联网、区块链等技术的发展和进步，数字化设备数量及数据量急剧增加，数据安全威胁持续放大，已成为事关国家安全与经济社会发展的重大问题。在此背景下，培养和发现具备风险发现、风险验证能力的人才，对于保障国家安全、促进经济发展、维护社会稳定具有深远的意义。

根据白皮书调研数据，当前我国网络安全测评人才整体呈短缺的态势，从业人员规模总量不足，大量工作以“非专职”的方式完成，各类安全工作角色存在供需不平衡的现象。由于高水平、充分理解业务场景的安全测试评估人员不足，测试评估工作形式化问题逐渐显现，测试评估结果的有效性也难以得到保障。

调研显示，在需求侧，从用人单位安全测评人才所在地域来看，北京、广东、上海排名前三，分别占 13.0%、12.3%、9.0%。北京作为大型政企单位、网络安全企业总部的聚集地，人才占比较高；其次是广东，作为数字经济发展大省，也吸引了大量安全测评人才；排在第三位的是上海，数据表明，北上广表现出了人才集聚优势；其他省市安全测评人才分布则相对平衡，产业规模和人才需求在全国分布趋于均匀。

作为常态化安全检查、发现漏洞和隐患、有效预防和避免网络安全事件的主力军，安全测评人员在数字化建设中的关键作用日益凸显。白皮书指出，从用人单位安全测评人员队伍建设情况来看，61%的用人单位安全测评人员不足10人，9%的用人单位没有安全测评人员，开展安全测评工作主要依赖于外部第三方安全服务。

在供给侧方面，白皮书调研结果显示，我国院校中，有意向从业安全测评工作的在读学生，就读专业占比最高的是信息安全和网络空间安全，分别为26%、25%；其次是计算机科学与技术专业、网络工程专业和软件工程专业。对于在校学生安全测试评估能力，数据统计显示，41%的院校，具备安全测试评估能力的网络安全实战人才占比不足10%。

当前，在政治、经济、文化和社会安全等多个领域相互交织影响的背景下，网络安全测评是政府保障国家安全和社会稳定的重要手段之一，社会急需网络安全测评人才，防范化解风险提供安全保障。

据悉，结合调研成果，白皮书创新提出了一套立体化综合评价安全测评人才能力的GPE方法。围绕通用能力（GeneralAbility）、专业能力（Professional Ability）和评价等级（Evaluation Level）三个方面，形成了一种综合性框架，为安全测评人才的培养和选拔提供系统化的指导。同时，白皮书还围绕安全测评人员培养与评价提出了诸多可行建议。

文章来源自：人民网