欢迎来到安联智库--网络安全新媒体资讯平台!
快捷搜索:  热点  资讯  事件  漏洞  技术  攻防  

安全周报(11.25-12.01)

 

安全周报(1125-1201)

1、企业组织易受勒索软件攻击的10大原因

勒索软件攻击并没有假期,攻击者无时无刻不在尝试突破目标防护。勒索软件的威胁不断增加,在2019年第一季度,研究人员注意到勒索软件种类增加了118%。

最近IBM进行的一项研究发现,绝大多数接受调查的组织仍然没有做好妥善应对网络安全事件的准备,他们在整个企业中没有网络安全事件应对计划。随着时间的推移,遭受重大安全事件的可能性会越来越大。

研究分析,以下10个安全问题会增加企业组织成为勒索软件攻击受害者的可能性。

一、系统老旧

二、对资产及其漏洞的可见性有限

三、忘记执行系统强化策略

四、依靠外界保护和防病毒

五、扁平网络拓扑

六、依赖在线备份

七、对用户访问实施有限控制

八、放弃安全监视和分析

九、安全意识低

十、无事件响应计划或领导团队

1LhxQIdJRMWgxmmNCkclgHNLCgDmzl3Q02pEmS0q.png

 2、2020年2月1日起,未完成ICP备案和等级保护备案的教育移动应用备案将被撤销,并予以通报

《教育移动互联网应用程序备案管理办法》已经教育部网络安全和信息化领导小组审定同意。现印发请遵照执行,并就做好教育移动互联网应用程序备案工作通知如下。

一、高度重视教育移动应用备案工作。

二、分阶段完成教育移动应用备案工作

三、设置ICP备案和等级保护备案缓冲期。

四、加强政策宣传解读。

五、提高事中事后监管能力。

微信截图_20191201181741.png

  3、勒索软件渗透纽约警察局的指纹数据库 导致系统关闭

据外媒Softpedia报道,在一个承包商连接到网络以配置数字显示器后,勒索软件感染了运行纽约警察局(NYPD)指纹数据库的计算机。该事件发生在2018年10月,导致NYPD在总共23台计算机上发现感染后,关闭了LiveScan指纹跟踪系统,该部门官员声称该感染“从未执行”。

尽管NYPD已经避免了一场网络噩梦,但该部门网络中潜在的勒索软件感染可能会带来灾难性的影响。

1574836529110083.jpg

 4、HPE即将出现的SSD存储系统故障

惠普企业(HPE)在11月15日发布最新消息,“一家供应商于11月15日通知HPE,某些HPE服务器和存储产品中使用的一些固态硬盘存在固件缺陷。

HPE声明:“SAS SSD在工作32,768小时后的数据丢失,SSD和数据都无法恢复“,但是若将数据备份在不同驱动器上的用户能够恢复数据,而且想要继续使用设备只能通过安装固件补丁。

受影响的HPE服务器: HPE ProLiant,Synergy,Apollo,JBOD D3xxx,D6xxx,D8xxx,MSA,StoreVirtual 4335和StoreVirtual3200不受影响: HPE系统3PAR,Nimble,Simplivity,XP和Primera

在固件版本低于HPD8的HPE SAS SSD都会深受其害,升级到HPD8版本可以解决该问题。

微信截图_20191201183240.png

 5、首都网警发布预警通报:OPENSSL加密组件存在重大风险隐患

 首都网警发布网络安全预警通报称,据国家网络与信息安全信息通报中心监测发现,互联网SSL协议实现组件OPENSSL部分版本存在重大安全隐患,可能导致信息泄露等风险。

此次事件发现:一是众多RSA数字证书密钥存在被破解的可能性,二是部分低版本的OPENSSL组件存在内存泄露漏洞。

以上问题涉及电信、金融、能源、医疗等多个重要行业部门,以及部分高校、企业邮件系统和多款网络设备。在通信数据被截获的情况下,攻击者可利用上述漏洞获取用户账号口令、业务系统数据、邮件内容等敏感信息。

针对该情况,请大家做好防范。一是将原有RSA数字证书替换为RSA2048国产数字证书。二是及时提示本部门、本行业、本辖区重点单位,排查OPENSSL组件使用情况,督促相关单位及时将OPENSSL升级至最新版本。三是加强网络安全意识,开展隐患排查和安全加固,提高防范能力。

微信截图_20191201183521.png

6、某国产儿童手表泄露5000多儿童信息 还能假扮父母打电话

 11月26日,测试机构AV-TEST的物联网测试部门发布报告称,他们发现一款由中国公司制造生产的智能儿童手表存在严重安全隐患,其中有5000多名儿童及其父母的个人详细信息和位置信息被曝光。

此外,SMA-WATCH-M2手表安装在父母手机上的移动应用程序也存在安全漏洞。

攻击者可以将其安装在自己的设备上,在应用程序的主配置文件中更改用户ID,并将其智能手机与孩子的智能手表配对,而无需输入帐户的电子邮件地址或密码。

攻击者将智能手机与孩子的智能手表配对后,便可以使用该应用程序的功能通过地图跟踪孩子,甚至可以拨打电话并与孩子进行语音聊天

1574928199134130.jpg


暂无

您可能还会对下面的文章感兴趣: