安全焦点
Project Zero团队披露微软尚未完全修复的Windows 10提权漏洞
存在于 Windows 系统中的一个高危漏洞，允许黑客在受感染的设备上将权限提高到内核级别。这个漏洞在今年 5 月被高级黑客作为零日漏洞使用，不过近日谷歌 Project Zero 团队使用公开的概念证明，表示这个问题依然存在，只是方法有所不同。
Citrix ：正在进行的 DDoS 攻击影响 NetScaler Adc
Citrix 确认，使用 DTLS 作为放大载体的持续"DDoS 攻击模式"正在影响启用 EDT 的 Citrix 应用程序交付控制器 （ADC） 网络设备。
拜登抨击特朗普政府对SolarWinds攻击的反应
美国总统当选人拜登批评特朗普政府针对SolarWinds的响应及处理不当。拜登认为，SolarWinds黑客是“针对美国公司（其中许多公司以及联邦机构）的大规模网络安全漏洞”。
安全风险
FireEye被盗网络武器库分析
11漏洞名称：Microsoft SharePoint 远程代码执行漏洞
CVE编号：CVE-2019-0604
漏洞说明：该漏洞可造成windows系统服务器的远程命令执行，有可能完全控制服务器。攻击者可将攻击者可将精心构造的请求通过ItemPickerWebForm控件传入后端EntityInstanceIdEncoder.DecodeEntityInstanceId(encodedId)方法中，因为方法没有对传入的encodedId进行任何处理，也没有对XmlSerializer构造函数的类型参数进行限制，可直接通过XmlSerializer反序列化，造成命令执行。
12漏洞名称：Zoho ManageEngine Desktop Central 远程代码执行漏洞
CVE编号：CVE-2020-10189
漏洞说明：Zoho ManageEngine Desktop Central在FileStorage类getChartImage函数处理时候反序列化了恶意数据，导致远程代码执行。
13漏洞名称：Zoho ManageEngine ServiceDesk Plus 任意文件上传漏洞
CVE编号：CVE-2019-8394
漏洞说明：Zoho ManageEngine ServiceDesk Plus在10.0 build 10012版本之前，存在任意文件上传漏洞，攻击者可以通过上传jsp文件来实现代码执行。
14漏洞名称：Windows Netlogon 远程协议权限提升漏洞
CVE编号：CVE-2020-1472
漏洞说明：2020年9月11日，也就是微软发布补丁的三十天后，Secura的安全研究人员公开了一篇名为《Zerologon:instantlybecomedomainadminbysubvertingNetlogoncryptography》的博客。博客给出了一份白皮书，详细地介绍了CVE-2020-1472漏洞的利用流程。利用该漏洞，未经身份验证的攻击者可以通过Netlogon远程协议（MS-NRPC）连接到域控服务器以获得域管理员权限。
15漏洞名称：Microsoft Exchange Server 特权提升漏洞
CVE编号：CVE-2018-8581
漏洞说明：Microsoft Exchange Server 中存在特权提升漏洞。成功利用此漏洞的攻击者可以尝试模拟 Exchange 服务器的其他任何用户。它可以在拥有了一个普通权限邮箱账号密码后，完成对其他用户(包括域管理员)邮箱收件箱的委托接管。备注：是一个邮箱层面的横向渗透和提权漏洞。
企业安全
安全信息和事件管理（三）
在SIEM系统中，智能决策主要体现在UEBA模块上。UEBA模块适用的场景如下。
分析内部恶意者：包括有权限进入IT系统的内部员工和合同商，他们可能会对企业进行网络攻击。一般很难通过日志文件或常规安全事件来衡量内部恶意者的恶意程度或发现内部恶意者，UEBA解决方案可以通过建立用户典型行为的基线并检测异常活动来提供帮助。
检测被黑内部人员：攻击者通常会渗透到组织并破坏网络上的特权账户或可信主机，并从那里继续攻击。如果当前不了解攻击模式或杀死链（例如零日攻击），或者如果攻击通过更改凭据、IP地址或机器间横向移动传播等进行，那么传统安全工具很难检测到被黑内部人员，但UEBA技术可以根据资产的行为与已建立的不同基线来快速检测和分析攻击者通过受感染账户进行的不良活动。
安全事件上下文关联：SIEM从多个安全工具和关键系统那里收集事件和日志，并生成必须由安全人员调查的大量警报，从而导致警报疲劳。UEBA通过将安全事件进行逻辑关联，可以帮助区分哪些事件在组织环境中特别异常、可疑或存在潜在危险，可以通过添加有关组织结构的数据（例如，资产的关键性、特定组织功能的角色和访问级别）来构建基线和威胁模型。
实体分析：UEBA在处理物联网（IoT）安全风险方面的作用尤为重要。企业部署大量连接设备，通常只做很少的安全措施，甚至不做安全措施。攻击者可能会破坏物联网设备，使用它们窃取数据或获取对其他IT系统的访问权限，或者更糟糕的是利用本企业已感染的设备对第三方企业发起DDoS攻击或其他攻击。UEBA可以跟踪无数个连接设备，为每个设备或类似设备组建立行为基线，并立即检测设备是否在其常规边界之外运行。
数据泄露防护（DLP）：UEBA解决方案可以通过了解哪些事件是现有基线下的异常行为来获取DLP警报，确定报警日志的优先级并将日志合并。这为调查人员节省了时间，并帮助他们更快地发现真正的安全事件。传统安全分析技术使用人工规则和威胁建模，效果好坏取决于安全管理人员的技术水平。UEBA技术使用机器学习技术，能够在缺少匹配的情况下通过行为异常发现攻击。UEBA技术会用到的机器学习算法如下。
监督机器学习：将已知的良好行为和不良行为的数据集输入系统，用于学习分析新行为是与已知的良好行为相似，还是与不入系统，用于学习分析新行为是与已知的良好行为相似，还是与不良行为相似。
贝叶斯网络：可以结合监督机器学习和相应的规则来创建行为画像。
无监督机器学习：学习正常行为，能够检测并警告异常行为。它无法判断异常行为是好还是坏，只能判断是否偏离了正常值。
增强/半监督机器学习：混合模型，其基础是无监督机器学习。实际警报的误报百分比被反馈到系统中，以允许机器学习微调模型并降低信噪比。
深度学习：用于虚拟警报分类和调查。可以系统地训练代表安全警报及其分类结果的数据集，使其具备自我识别的功能，并能够预测新的安全警报集的分类结果。

文/上海蓝盟   IT外包专家

• 上一篇: 中小企业喜获“上海市质量金奖” ，蓝盟IT外包以匠心品质树立行业标杆
  下一篇: 蓝盟IT外包聊聊“底层防御勒索病毒”

• 分享到：