Aggregator

Join the Shared Security Podcast for a critical discussion about situational awareness with special guest, Andy Murphy, host of the Secure Family Podcast. In a world where mass shootings and violence in public places are alarming realities, staying alert to your surroundings has never been more important. Andy shares his expertise on personal and family […]

The post Situational Awareness & Family Safety: Staying Alert in Today’s World with Andy Murphy appeared first on Shared Security Podcast.

The post Situational Awareness & Family Safety: Staying Alert in Today’s World with Andy Murphy appeared first on Security Boulevard.

The OpenID Foundation (OIDF) has approved three Final Specifications, establishing the first global standards for real-time security event sharing across digital identity systems. The approved Final Specifications are: OpenID Shared Signals Framework 1.0 – Enables secure, real-time delivery of security events between any connected systems OpenID Continuous Access Evaluation Profile (CAEP) 1.0 – Defines how systems communicate session changes to maintain continuous security OpenID Risk Information Sharing and Coordination (RISC) 1.0 – Establishes standards for … More →

The post OpenID Foundation sets new standards for real-time security event sharing appeared first on Help Net Security.

近期发现的一款名为“HybridPetya”的勒索软件变种，能够绕过UEFI安全启动（UEFI Secure Boot）功能，在EFI系统分区中安装恶意程序。

HybridPetya的设计明显受2016至2017年间活跃的破坏性恶意软件Petya/NotPetya的启发——后者曾通过加密计算机数据阻止Windows启动，且未提供任何数据恢复途径。

网络安全公司ESET的研究人员在VirusTotal平台上发现了HybridPetya的样本，并指出该样本可能是一个研究项目、概念验证代码（proof-of-concept），或是仍处于有限测试阶段的网络犯罪工具早期版本。

即便如此，ESET强调，HybridPetya的出现与BlackLotus、BootKitty、Hyper-V后门等案例一样，再次证明具备“安全启动绕过”功能的UEFI引导工具包（bootkit）已构成真实威胁。

HybridPetya的技术特征与攻击流程

HybridPetya融合了Petya与NotPetya的特性，包括这两款早期恶意软件的界面风格与攻击链；此外，开发者还新增了两项关键功能：可植入EFI系统分区，以及能利用CVE-2024-7344漏洞绕过安全启动。

CVE-2024-7344漏洞由ESET于今年1月发现，该漏洞存在于微软签名的应用程序中——即便目标设备开启了安全启动保护，攻击者仍可利用该漏洞部署引导工具包。

HybridPetya的攻击流程如下：

执行逻辑

1. 环境检测与文件投放：启动后，首先判断主机是否采用“UEFI+GPT分区”架构，随后在EFI系统分区中植入包含多个文件的恶意引导工具包，包括配置文件、验证文件、修改后的引导程序、备用UEFI引导程序、漏洞利用载荷容器，以及用于跟踪加密进度的状态文件。

2. 关键文件替换与备份：ESET列出了已分析的HybridPetya变种所使用的核心文件：

1. \EFI\Microsoft\Boot\config：存储加密标识、密钥、随机数（nonce）及受害者ID；

2.\EFI\Microsoft\Boot\verify：用于验证解密密钥是否正确；

3.\EFI\Microsoft\Boot\counter：记录已加密簇（cluster）的进度；

4.\EFI\Microsoft\Boot\bootmgfw.efi.old：原始引导程序的备份文件；

5.\EFI\Microsoft\Boot\cloak.dat：在“安全启动绕过”变种中存储经XOR加密的引导工具包。  

同时，恶意软件会将\EFI\Microsoft\Boot\bootmgfw.efi替换为存在漏洞的“reloader.efi”，并删除\EFI\Boot\bootx64.efi；原始Windows引导程序会被保留，以便受害者支付赎金后恢复系统时激活。

3. 系统中断与加密执行：部署完成后，HybridPetya会触发蓝屏（BSOD）并显示伪造错误信息（与Petya的手法一致），强制系统重启；重启后，恶意引导工具包随之执行，随后勒索软件会从config文件中提取Salsa20密钥与随机数，对所有主文件表（MFT）簇进行加密，同时显示伪造的磁盘检查（CHKDSK）消息（模仿NotPetya的特征）。

虚假CHKDSK消息

4. 赎金索取：加密完成后，系统再次重启，受害者在启动阶段会看到赎金通知，要求支付1000美元比特币；作为交换，攻击者会提供一个32字符的密钥——受害者在赎金通知界面输入该密钥后，系统会恢复原始引导程序、解密已加密簇，并提示用户重启电脑。

HybridPetya的勒索信

风险提示与防御建议

目前尚未观察到HybridPetya在野外发起实际攻击，但类似项目随时可能将这一概念验证代码武器化，针对未打补丁的Windows系统发起大规模攻击。

目前，微软已在2025年1月的周二补丁日中修复了CVE-2024-7344漏洞，因此安装了该补丁或后续安全更新的Windows系统可抵御HybridPetya攻击。

此外，防范勒索软件的另一重要措施是：定期对核心数据进行离线备份，确保系统可免费且便捷地进行恢复。

半年报披露季落幕，网络安全上市公司交出的成绩单令人担忧。在政策利好与市场需求增长的背后，却是企业普遍亏损、现金流紧绷的冷冰现实。虽然IDC预测中国网络安全市场规模将从2024年的112亿美元增长至2029年的178亿美元，五年复合增长率将达9.7%，但现实却是网安行业深陷亏损泥潭。

从市场需求端来看，客户预算收紧是导致网安企业销售承压的重要因素之一。受宏观经济环境及政府财政情况影响，政企客户普遍削减了网络安全预算，项目延期现象也持续存在。客户的需求似乎并未减少，但是却也更加务实，并且在采购时对产品和服务的性价比、实用性以及与现有系统的兼容性等方面提出了更高要求，上述变化给网安企业的产品研发、市场定位以及销售策略均带来显著挑战。

而从行业内部来看，各大上市网安企业财报反映出的销售费用和人力成本在网安企业的成本结构中占据较大比重，亦是导致企业亏损的关键因素。企业若欲提升业绩，则需大幅增加销售投入并扩充团队规模，然而成本攀升却难以换取相应的市场份额。对绝大多数仍处于创业发展阶段的网络安全公司而言，如何破除这个魔咒，已成为亟待解决的重大命题。

近日，于上海举办的第十届华为全联接大会（HUAWEI CONNECT 2025）上，北京可信华泰信息技术有限公司（以下简称“可信华泰”）不仅展示了其与鲲鹏深度合作的基于可信计算3.0的鲲鹏天池架构可信服务器产品，以及与昇腾合作的昇腾可信计算安全一体机产品，同时亦提出了若干市场拓展新思路，或可为安全行业拓展市场提供新的视角。

可信华泰深度参与HUAWEI CONNECT 2025

网络安全企业应该只做最核心最专业的部分

“其实我们应该将我们的技术赋能出去，我们自己做好我们擅长的部分，借助头部企业的影响力去开拓市场，而不是我们自己单打独斗去拓展业务”，可信华泰销售总监罗绍在向笔者分享自己的营销思路时介绍道。

网络安全产业发展虽已有20年历程，但整个行业的迅猛发展实则集中在近十年。得益于国家政策法规的持续完善与落实，网络安全战略已然成为国家核心战略之一；同时，行业需求的激增和资本的强势注入，催生了众多专注于细分领域的网络安全创业企业。

然而，不可否认的是，这一领域仍处于发展初期。对于大多数处于创业阶段的网络安全公司而言，在团队规模难以持续扩大、市场拓展能力受限的情况下，网络安全企业更需聚焦核心——网络安全的核心本质在于解决攻防问题，这恰恰是我们最为擅长的领域。

罗绍表示：“我们更倾向于由实力强劲的合作伙伴去开疆拓土，而我们作为专业的安全厂商，则固守后方，专注于打造卓越的产品和解决方案。”

夯实核心优势 解决客户最核心的安全问题

在可信华泰的公司战略中，他们无意成为“全能侠”。其工作核心始终聚焦于精准识别重点行业客户的强需求，并研发针对性突出、可复制的卓越产品和解决方案。例如本次HC2025大会上展出的可信华泰产品及解决方案，并非由可信华泰独家包揽，而是其与鲲鹏及昇腾深度协作的智慧结晶。

可信华泰洞见了全新安全格局下服务器市场的安全风险与客户的刚性需求——面对肆意横行的 0day 攻击、勒索病毒以及层出不穷的新型攻击手段，当前主流网络安全防护高度依赖防火墙、杀毒软件和入侵检测系统（IDS）等传统被动防御方式，已难以全面保障客户的安全需求。

可信华泰联合鲲鹏推出的“基于可信计算3.0的鲲鹏天池架构可信服务器”

长期深耕“主动免疫防御体系/自主可信3.0战略”的可信华泰，联合鲲鹏推出的天池架构可信服务器，依托可信华泰“白细胞”主动免疫防御信任系统，通过BMC内置可信根与系统内防护代理协同运作，在服务器上构建了可信计算3.0双体系架构。该方案高效保障了服务器平台在满足国家法律法规要求的同时具备了主动免疫能力，并全方位守护用户服务器部署的业务系统及存储业务数据的安全。

关键的是，搭载可信华泰可信计算3.0技术的鲲鹏天池架构服务器产品对用户也尤为友好。“有别于传统防护手段，我们的模式更底层，旨在让产品交付到客户手中时即自带安全可信能力。”罗绍介绍道，“客户采购设备后，通常不愿接受开箱加装的方案，一方面可能干扰其业务运行，另外一方面也会影响原厂维保。因此我们选择与鲲鹏、昇腾等伙伴深度协同，将自身的安全可信能力整合进其基础架构，让目标用户可以做到真正的开箱即用。”由此可见，可信华泰的战略聚焦于打造核心安全产品与解决方案，精准切入应用场景，并携手合作伙伴实现市场落地。

拥抱生态 做客户市场的“被集成者”

可信华泰所采用的“预装”模式，一方面化解了客户应用场景下的实施难题，另一方面，该企业实际上将自身定位为“被集成”的角色，也就是上文所说的“将技术赋能出去”。可信华泰以“被集成”的形式，与鲲鹏及其他OEM厂商合作，通过预装可信模块达成产品推广目的，进而凭借合作伙伴更加强大的渠道体系拓展市场覆盖范围。

可信华泰近日宣布荣获“华为鲲鹏展翅伙伴计划”认证

“像我们公司也就几百人的规模，凭借我们自己的渠道销售能力想要达到占领市场的目的是远远不够的。但是，我们的合作伙伴实力很是强劲，借助他们的市场覆盖范围，能够使我们的解决方案迅速落地到目标客户市场。”罗绍介绍道，“在市场推广策略方面，可信华泰尽量减少直销方式，而是将精力集中于技术赋能，由鲲鹏及其生态伙伴主导销售工作，以此来拓展更大的市场空间。”

同时，需与合作伙伴对市场进行深度剖析，精准定位目标客户群体。据罗绍介绍，可信华泰的产品主要聚焦于高安全需求的行业，例如金融、电力、公安等，结合国家政策与行业标准推动产品落地应用，为用户提供高安全防御能力，而非依赖通用市场推广策略。

分工协作  完成市场高效覆盖

在明确自身及合作伙伴的定位后，依然需要高效地分工与紧密协作。

“除部分特殊细分行业可信华泰直接服务客户，我们更多的市场开拓通过协同合作伙伴去实现。一方面，合作伙伴的渠道网络覆盖有助于我们迅速打开市场；另一方面，对于我们这样规模的公司而言，可避免因大量投入人力而产生的高额成本。”可信华泰罗绍介绍道。

同时，可信华泰强调，需助力生态伙伴借助实际案例开拓市场——例如在某大型运营商、某金融银行体系、高铁售票系统等场景实现应用，打造具备可复制性的标杆项目。在攻克某些重点行业领域时，可信华泰的核心任务是打造样板工程：先攻克行业内的关键标杆客户，再依托鲲鹏与昇腾强大的销售体系进行规模化复制推广。据悉，可信华泰与合作伙伴联合开发的产品，已开始逐步在行业客户规模化应用部署。

结语：

面对日益严峻的市场挑战，网络安全产业展现出多元化的应对态势。有的企业选择收缩规模以求生存，另一些企业将目光投向海外市场以寻求突破，更有企业积极投身AI大模型领域，力图开拓新机。

除上述方法外，可信华泰所选的市场路径或为各界带来新启示。当前增量市场开拓难言坦途，如何在成本可控的前提下深挖存量市场潜力，或是当下更应深思的课题。这种非“闭门造车”的模式或值得尝试——充分发挥自身核心优势，积极融入产业生态，通过强强联合、优势互补，为客户打造更契合需求的高价值产品与解决方案，唯有如此方能成就长远发展。