江苏龙网

  1. 首页 > 人文 > >

「黑客」对医疗行业单日攻击80万次!一文揭露疫情期间黑客都干了什么( 二 )


2. 教育行业:ThinkPHP , Struts2 , RDP成热门目标
新兴的教育行业相对传统保守的医疗行业 , 在业务研发上往往更为“激进” , 中小企业快速迭代的研发节奏 , 带来难以避免的第三方开源组件的大量使用 。 这对手中收集了大量1Day , Nday漏洞的黑客 , 很可能在一轮资产指纹识别后 , 即可启动大规模刺探甚至利用 。
从目标和手法上看 , ThinkPHP作为流行的快速搭建网站的框架 , Struts2作为Java Web生态下流行的MVC框架 , 分别是2个语言生态下高危漏洞频出的代表框架 , 非常容易成为黑客的攻破目标 , 若无及时打补丁 , 使用其的教育行业将面临较大的威胁 。
而距今不久前爆发的Windows RDP BlueKeep漏洞仍然较多地被利用刺探 , 尤其是在远程办公中一旦开启服务即可能中招 , 被黑客迅速拿到服务器权限 。
「黑客」对医疗行业单日攻击80万次!一文揭露疫情期间黑客都干了什么
本文插图
高危Nday漏洞利用:ThinkPHP , Struts2 , RDP成热门目标
从攻击源分布上看 , 高危Nday漏洞利用有绝大部分来自境内 , 少部分来自美印等地区 , 猜测由于此类手法需发出的“动静”较小 , 往往仅对目标发出1次请求即可验证或利用 。
「黑客」对医疗行业单日攻击80万次!一文揭露疫情期间黑客都干了什么
本文插图
高危Nday漏洞攻击源:境内活跃 , 境外相对较少
此外 , 由于国内秒拨IP池资源的集中 , 黑客倾向于使用此类技术快速刺探企业所有服务 , 同时利用随机变换客户端发包特征(如User-Agent , 无关参数等)规避传统封禁策略 。
远程办公期间对企业的安全建议

  1. 企业在特殊时期更需重视安全策略的响应效率 , 避免对止损时效性的人为松懈或客观限制 。 除具备实时网络流量分析能力外 , 企业应重视实时阻断网络攻击能力建设 , 降低依赖人为运营变更策略的时间差风险 。
  2. 黑客迁徙成本低 , 时刻往对发起攻击有利的环境且看似“冷门”的位置转移 。 企业应开始审视掌握的威胁情报数据 , 维度丰富性和更新时效性 , 避免安全分析落入盲区 。
  3. 远程办公是企业网络边界模糊时期 , 企业需提早预知对外暴露的脆弱点 , 对打通网络边界认证入口的全面布控 , 阻断网络异常行为 。 实时资产盘点能力尤为重要 , 网络流量除了可监控网络攻击外 , 也是帮助企业实时测绘资产关联与盘点资产指纹的利器 。
  4. 利用云战场中安全防护经验和多维度威胁情报大数据的优势 , 对AI模型的长期训练与调优 , 是安平天幕团队多次在重保战场中精准发现各类攻击绕过手法(秒拨IP技术 , 新型攻击变种)的关键原因 。 安全团队在持续对抗的战场中利用AI算法结合大数据训练 , 补齐传统策略泛化能力的先天不足 , 才能紧跟黑客技术的演化 。
  5. 漏洞情报在国内渠道披露相对滞后 , 近期使用非HTTP协议组件的漏洞频发 。 仅具备传统Web层面防护的企业容易被针对打击 。 企业应重视漏洞威胁情报的时效性 , 选择支持网络层虚拟热补丁的NIPS产品 , 为业务代码级修复争取时间 。
  6. 针对云上部署的相关业务 , 建立云原生的“CMDB” , 做好业务基础设施资产的实时自动化盘点 , 并对云产品的原生安全配置进行自动化的定期检查与及时加固 , 缩小云上“攻击面” 。 针对云上频繁变化的环境 , 建立威胁事件的自动化响应平台 , 提高威胁响应处置 。 企业应当建立云原生的安全运营平台 , 打通隔离的数据与流程 , 实现“事前-事中-事后”全流程的安全保障 , 并通过安全可视化能力 , 提升威胁感知、响应处置和安全管理效率 。
  7. 特殊时期企业需要重点关注线上数字化业务的三类安全问题:未授权访问类、信息泄漏类和数据加密类 , 尤其需要关注最新的安全威胁情报 , 及时修复最近披露的公用组件漏洞 , 如Apache Tomcat等 , 并升级IDS、IPS产品规则库 , 同时把组件更新至最新版本 。


    推荐阅读


上一篇:#鞭牛士#开源节流、自愿降薪,疫情之下的携程帮扶与自救齐行

下一篇:『环球Tech』高通多款蜂窝车联网产品获欧洲无线电设备指令认证