分享

CISA警告5个被积极利用的安全漏洞:需要采取紧急行动

 祺印说信安 2023-04-12 发布于河南

五分之二的 IT 专业人员被告知要对违规行为保密

根据Bitdefender的一项新研究,超过五分之二 (42%) 的 IT 专业人员被告知要对安全漏洞保密,这可能会加剧监管合规风险。

这家安全供应商对 400 名 IT 专业人士进行了调查,这些专业人士从 IT 初级经理到各个行业的 CISO,他们来自拥有 1000 多名员工的组织。

由此产生的Bitdefender 2023 网络安全评估报告发现,超过一半 (52%) 在过去 12 个月内遭受过数据泄露或泄露,在美国这一比例上升至 75%。

在声称曾被告知要对泄密事件保密的受访者比例 (71%) 方面,美国也位居榜首。在所有其他接受调查的国家(法国、意大利、德国、西班牙和英国),这一数字低于全球平均水平。

另外,近三分之一 (30%) 的受访者表示,即使他们知道应该报告违规行为,他们也会对自己保密。美国的这一数字再次高得多 (55%)。

如果事件涉及个人的个人身份信息 (PII),美国所有州和整个欧盟都有违规通知要求。

未能正确披露违规行为会带来多项挑战。这意味着政府、执法人员和其他人可能低估了网络威胁活动的程度,如果事件最终被发现,可能会使公司面临法律风险。

优步 2016 年的一次大规模违规就是一个很好的例子——试图掩盖这一事件加剧了最终的后果,并导致其前 CSO 被刑事定罪。

超过半数 (55%) 的Bitdefender 研究受访者表示,他们担心他们的公司因违规管理不善而面临法律诉讼。

他们强调的头号安全威胁是软件漏洞和/或零日漏洞 (53%),其次是网络钓鱼/社会工程威胁 (52%) 和针对供应链的攻击 (49%)。

 Bitdefender 副总经理 Andrei Florescu 承认:“在全球范围内,组织面临着巨大的压力来应对不断变化的威胁,例如勒索软件、零日漏洞和间谍活动,同时还要应对跨环境扩展安全覆盖范围的复杂性和持续的技能短缺。”业务解决方案组。

CISA警告5个被积极利用的安全漏洞:需要采取紧急行动

美国网络安全和基础设施安全局 (CISA) 周五在其已知被利用漏洞 ( KEV ) 目录中添加了五个安全漏洞,并引用了在野外进行积极利用的证据。

这包括 Veritas Backup Exec Agent 软件中的三个高危漏洞(CVE-2021-27876、CVE-2021-27877 和 CVE-2021-27878),可能导致在底层系统上执行特权命令。这些缺陷已在 Veritas 于 2021 年 3 月发布的补丁中修复。

  • CVE-2021-27876(CVSS 评分:8.1)- Veritas Backup Exec 代理文件访问漏洞

  • CVE-2021-27877(CVSS 评分:8.2)- Veritas Backup Exec Agent 身份验证不当漏洞

  • CVE-2021-27878(CVSS 评分:8.8)- Veritas Backup Exec Agent 命令执行漏洞

谷歌旗下的 Mandiant 在上周发布的一份报告中透露,与BlackCat(又名 ALPHV 和 Noberus)勒索软件操作相关的附属公司正瞄准公开暴露的 Veritas Backup Exec 安装,以利用上述三个漏洞获得初始访问权限。

这家威胁情报公司正在追踪其未分类绰号 UNC4466 下的关联参与者,该公司表示,它于 2022 年 10 月 22 日首次观察到利用这些漏洞的行为。

在 Mandiant 详述的一次事件中,UNC4466 获得了对暴露在互联网上的 Windows 服务器的访问权限,随后执行了一系列允许攻击者部署基于 Rust 的勒索软件负载的操作,但在进行侦察、提升权限和禁用Microsoft Defender 的实时监控功能。

CISA 还向 KEV 目录添加了CVE-2019-1388(CVSS 评分:7.8),这是一个影响 Microsoft Windows 证书对话框的特权升级缺陷,可被利用以在已经受损的主机上以提升的权限运行进程。

列表中的第五个漏洞是 Arm Mali GPU 内核驱动程序 ( CVE-2023-26083 ) 中的信息泄露漏洞,谷歌的威胁分析小组 (TAG) 上个月披露该漏洞被未具名的间谍软件供应商滥用为漏洞利用的一部分连锁店打入三星的 Android 智能手机。

联邦民用行政分支机构 (FCEB) 有时间在 4 月 28 日之前应用补丁程序以保护其网络免受潜在威胁。

该公告还发布之际,Apple 发布了 iOS、iPadOS、macOS 和 Safari 网络浏览器的更新,以解决据称已被实际利用的一对零日漏洞(CVE-2023-28205 和 CVE-2023-28206)世界攻击。

台湾 PC 公司 MSI 成为勒索软件攻击的受害者

台湾 PC 公司 MSI(Micro-Star International 的简称)正式确认其系统遭到网络攻击。

该公司表示,在检测到“网络异常”后,它“迅速”启动了事件响应和恢复措施。它还表示已将此事提醒执法机构。

也就是说,MSI 没有透露有关攻击何时发生以及是否需要泄露任何专有信息(包括源代码)的任何细节。

“目前,受影响的系统已逐步恢复正常运行,未对金融业务造成重大影响,”该公司在周五分享的一份简短通知中表示。

在提交给台湾证券交易所的监管文件中,它表示正在加强对其网络和基础设施的控制,以确保数据安全。

MSI 进一步敦促用户仅从其官方网站获取固件/BIOS 更新,并避免从其他来源下载文件。

这一披露是在一个名为 Money Message 的新勒索软件团伙将该公司添加到其受害者名单之际发布的。上个月底,Zscaler注意到了威胁行为者。

学习保护身份边界 - 行之有效的策略

通过我们即将举行的由专家主导的网络安全网络研讨会提高您的业务安全性:探索身份边界策略!

Cyble在本周发表的一份分析报告中指出:“该组织利用双重勒索技术来锁定受害者,这涉及在加密之前泄露受害者的数据。” “如果未支付赎金,该组织会将数据上传到他们的泄密网站。”

一个月前,宏碁确认自己的漏洞导致 160 GB 的机密数据被盗。它于 2023 年 3 月 6 日在现已解散的BreachForums上发布了出售广告。

>>>等级保护<<<

开启等级保护之路:GB 17859网络安全等级保护上位标准

回看等级保护:重要政策规范性文件43号文(上)

网络安全等级保护实施指南培训PPT

网络安全等级保护安全物理环境测评培训PPT

网络安全等级保护:等级保护测评过程要求PPT

网络安全等级保护:安全管理中心测评PPT

网络安全等级保护:安全管理制度测评PPT

网络安全等级保护:定级指南与定级工作PPT

网络安全等级保护:云计算安全扩展测评PPT

网络安全等级保护:工业控制安全扩展测评PPT

网络安全等级保护:移动互联安全扩展测评PPT

网络安全等级保护:第三级网络安全设计技术要求整理汇总

网络安全等级保护:等级测评中的渗透测试应该如何做

网络安全等级保护:等级保护测评过程及各方责任

网络安全等级保护:政务计算机终端核心配置规范思维导图

网络安全等级保护:什么是等级保护?

网络安全等级保护:信息技术服务过程一般要求

网络安全等级保护:浅谈物理位置选择测评项

闲话等级保护:网络安全等级保护基础标准(等保十大标准)下载

闲话等级保护:什么是网络安全等级保护工作的内涵?

闲话等级保护:网络产品和服务安全通用要求之基本级安全通用要求

闲话等级保护:测评师能力要求思维导图

闲话等级保护:应急响应计划规范思维导图

闲话等级保护:浅谈应急响应与保障

闲话等级保护:如何做好网络总体安全规划

闲话等级保护:如何做好网络安全设计与实施

闲话等级保护:要做好网络安全运行与维护

闲话等级保护:人员离岗管理的参考实践

信息安全服务与信息系统生命周期的对应关系

>>>工控安全<<<

工业控制系统安全:信息安全防护指南

工业控制系统安全:工控系统信息安全分级规范思维导图

工业控制系统安全:DCS防护要求思维导图

工业控制系统安全:DCS管理要求思维导图

工业控制系统安全:DCS评估指南思维导图

工业控制安全:工业控制系统风险评估实施指南思维导图

工业控制系统安全:安全检查指南思维导图(内附下载链接)

工业控制系统安全:DCS风险与脆弱性检测要求思维导图

>>>数据安全<<<

数据治理和数据安全

数据安全风险评估清单

成功执行数据安全风险评估的3个步骤

美国关键信息基础设施数据泄露的成本

备份:网络和数据安全的最后一道防线

数据安全:数据安全能力成熟度模型

数据安全知识:什么是数据保护以及数据保护为何重要?

信息安全技术:健康医疗数据安全指南思维导图

金融数据安全:数据安全分级指南思维导图

金融数据安全:数据生命周期安全规范思维导图

>>>供应链安全<<<

美国政府为客户发布软件供应链安全指南

OpenSSF 采用微软内置的供应链安全框架

供应链安全指南:了解组织为何应关注供应链网络安全

供应链安全指南:确定组织中的关键参与者和评估风险

供应链安全指南:了解关心的内容并确定其优先级

供应链安全指南:为方法创建关键组件

供应链安全指南:将方法整合到现有供应商合同中

供应链安全指南:将方法应用于新的供应商关系

供应链安全指南:建立基础,持续改进。

思维导图:ICT供应链安全风险管理指南思维导图

英国的供应链网络安全评估

>>>其他<<<

网络安全十大安全漏洞

网络安全等级保护:做等级保护不知道咋定级?来一份定级指南思维导图

网络安全等级保护:应急响应计划规范思维导图

安全从组织内部人员开始

VMware 发布9.8分高危漏洞补丁

影响2022 年网络安全的五个故事

2023年的4大网络风险以及如何应对

网络安全知识:物流业的网络安全

网络安全知识:什么是AAA(认证、授权和记账)?

美国白宫发布国家网络安全战略

开源代码带来的 10 大安全和运营风险

不能放松警惕的勒索软件攻击

10种防网络钓鱼攻击的方法

Mozilla通过发布Firefox 111修补高危漏洞

Meta 开发新的杀伤链理论

最佳CISO如何提高运营弹性

5年后的IT职业可能会是什么样子?

累不死的IT加班人:网络安全倦怠可以预防吗?

网络风险评估是什么以及为什么需要

美国关于乌克兰战争计划的秘密文件泄露

五角大楼调查乌克兰绝密文件泄露事件

湖南网安适用《数据安全法》对多个单位作出行政处罚

    转藏 分享 献花(0

    0条评论

    发表

    请遵守用户 评论公约

    类似文章 更多