安全焦点

伪造的测试包混入微软的Azure SDK网站

一名安全研究人发现能够在微软Azure SDK最新版本的官方列表中添加一个假冒的测试包。这个简单的技巧如果被攻击者滥用，就会让人觉得他们的恶意包是Azure SDK套件的一部分。

安全研究发现71%的Office 365用户遭遇恶意账户接管

网络检测和响应公司Vectra AI的最新研究显示，由于COVID-19，88%的公司已经加快了云和数字化转型项目。但它还发现，71%的Office 365用户遭遇恶意账户接管。

攻击者利用Microsoft Exchange漏洞攻击智利银行监管机构

智利的墨西哥金融市场委员会（CMF）披露，其Microsoft Exchange服务器已因最近披露的ProxyLogon漏洞而受到威胁。

2020年美国公立学校发生400多次网络攻击

2020年，美国公立学校面临着创纪录的网络事件，据报道发生了400多起攻击。

网络钓鱼站点现在可以检测虚拟机以绕过检测

钓鱼网站现在使用JavaScript来逃避检测，检查访问者是否从虚拟机或无头设备浏览网站。

黑客将盗取的信用卡数据隐藏在JPG文件中

黑客盗取信用卡数据之后，没有将数据发送到他们控制的服务器，而是将其隐藏在JPG图像中，并将其存储在受感染的网站上。

安全风险

CNNVD 关于F5 BIG-IP 多个安全漏洞的预警

近期，国家信息安全漏洞库（CNNVD）收到关于F5 BIG-IP 多个安全漏洞情况的报送。包括F5 BIG-IP安全漏洞（CNNVD-202103-770、CVE-2021-22986）、F5 BIG-IP安全漏洞（CNNVD-202103-772、CVE-2021-22987）等。攻击者可在未授权的情况下远程执行命令、创建或删除文件、开启或关闭服务等。F5 BIG-IP 16.0.0-16.0.1版本，15.1.0-15.1.2版本，14.1.0-14.1.3.1版本，13.1.0-13.1.3.5版本，12.1.0-12.1.5.2版本等多个版本均受此漏洞影响。目前，F5官方已经发布了修复漏洞的升级版本，建议用户及时确认是否受到漏洞影响，尽快采取修补措施。F5 BIG-IP是美国F5公司的一款集成了网络流量管理、应用程序安全管理、负载均衡等功能的应用交付平台。2021年3月11日，F5官方发布了多个安全漏洞的公告，F5在全球范围内拥有大量用户，主要分布在美国、中国、日本等国家。互联网检索发现，全球受影响的资产在3万左右，其中超过40%的用户在美国，共1.4万条使用记录，超过20%的设备在中国大陆，共8千余条使用记录。目前，F5官方已经发布了修复漏洞的升级版本，建议用户及时确认是否受到漏洞影响 https://support.f5.com/csp/article/K02566623

企业安全

关于业务连续性计划

业务连续性计划是为了防止正常业务行为的中断而被建立的计划，用于在发生自然或人为故障或灾难时，确保关键业务功能可以持续运行，而不造成业务中断或业务流程本质的改变。

灾难（Disaster）是指那些导致系统关键信息资源在一段时间内无法使用的中断事故，会对组织运作造成不利的影响。中断事故可能从几分钟到几个月不等，或者系统再也不能恢复运作，具体取决于信息资源的损坏程度。灾难可能由自然灾害引起，如地震、洪水、火灾等，也可能由人为事故造成，如黑客攻击、病毒、人为错误和恐怖袭击等，以及一些系统原因、技术原因等。

机构的灾难：对于机构来说，任何导致机构关键业务功能（Critical Business Functions）在一定时间内无法进行的事件都被视为灾难，其特点表现为：1.计划之外的服务中断；2.超期的服务中断；3.中断无法通过平常的事件管理程序得到解决；4.中断造成重大损失。

业务连续性计划（Business Continuity Planning，缩写为BCP）,是为了防止正常业务行为的中断而被建立的计划，是一套基于业务运行规律的管理要求和规章流程，使一个组织在面对由于自然或人为造成的故障或灾难以及由此造成的财产损和业务不能正常使用的情况时，能够迅速做出反应，以确保关键业务功能可以持续运行，而不造成业务中断或业务流程本质的改变。业务连续性是指企业有应对风险、自动调整和快速反应的能力，以保证企业业务的连续运转。实现业务连续性的目的是确保企业能够在中断期间继续提供关键服务，并使企业从灾难性的中断事故中恢复活动。为企业重要应用和流程提供业务连续性应该包括以下三个方面：

1.高可用性（High availability），是指提供在本地故障情况下能继续访问应用的能力。无论这个故障是业务流程、物理设施，还是IT软硬件故障。

2.连续操作（Continuous operations），是指当所有设备无故障时保持业务连续运行的能力。用户不需要仅仅因为正常的备份或维护而需要停止应用的能力。

3.灾难恢复（Disaster Recovery），是指当灾难破坏生产中心时，在不同的地点恢复数据的能力。

业务连续性计划组织架构，要充分规划并实现业务连续性计划，需要进行严密计划和资源投入，因此BCP主要是由高级的管理层负责，因为他们负责保护资产和维持组织的生存能力。管理层在支持建立业务连续性计划后，首先应该指定一个业务连续性协调员，并建立BCP委员会，业务连续性协调员将成为BCP团队的领导者，将监督业务连续性计划和灾难恢复计划的制定、实施和测试等。业务连续性协调人作为BCP项目负责人，全面负责项目的规划（Planning）、准备（Preparing）、培训（Training）等各项工作。BCP委员会必须由公司内不同部门的人员组成，因为每个部门在其功能上是独特的，具有独特的风险和威胁。BCP委员会应至少包括以下几个部门的代表组成：业务部门、高级管理人员、IT部门、安全部门、通信部门、法律部门等。

业务连续性计划的开发管理流程可以分解成以下几个部分：

1.项目启动和管理

获得管理层的支持与投入：为了确保该程序能够成功，高级管理层必须参与其中。BCP计划必须成为公司的战略性业务计划之一，公司必须设定合理预算，并为BCP提供独立的预算。

建立团队：必须建立一个团队，人员包括财务部，审计部，信息技术部，人事部，行政部等等。当灾难开始时，这些部门在继续扮演他们原有的工作角色时，还应承担BCP事故/灾难恢复的支援角色。

2.业务影响分析

业务影响分析（Business Impact Analysis，BIA），主要是识别关键功能和系统，并允许组织根据功能和系统的必要性，对其进行优先级排序。识别漏洞和威胁，并计算出风险。业务影响分析应该评估业务允许中断的时间长短；组织能提供多少时间的信息；当信息重新可用时，允许损失的信息是多少？这些问题可以通过恢复时间目标（recovery time objective ，RTO）、恢复点目标（recovery point objective ，RPO）和最大允许中断时间（Maximum Tolerable Downtime，MTD）来决定，中断时间过久将造成业务难以恢复，越是关键的功能或资源，RTO、RPO和MTD应该越短。

3.确定预防措施

预防的目的在于减少灾难发生的可能性。有关预防的策略应该包括制止和预防控制。制止控制可以减少风险的可能性。预防控制则是保护企业的弱点区域，以防御风险的发生并降低其影响。这两类控制在实际运营中广泛存在，比如经营场所的安全、人员控制、相关基础设施（如UPS、后备电池、烟火探测器、灭火器等）、软件控制、相关的存储和恢复等。

4.制定恢复策略

两个重要的指标：

恢复时间目标（Recovery Time Objectives，RTO ）RTO是指灾难发生后，信息系统或业务功能从停顿到必须恢复的时间要求，RTO对业务流程恢复优先级的确定有重要作用。

恢复点目标（Recovery Objectives，RPO ）RPO即灾难发生后，系统和数据必须恢复到的时间点要求，RPO标示了某项业务能容忍的最大数据损失。业务连续性计划根据BCP策略技术指标恢复点目标（RPO）和恢复时间目标（RTO）的时间长短可以有不同的恢复策略，包括磁带备份、数据复制、系统切换、人工迁移等。

5.编制计划

制定业务连续性计划应该从基于BIA收到的输入信息、重要性分析以及管理人员选择的恢复策略来制定或审核BCP计划，这些计划应解决业务流程中断所涉及的业务连续性范围内的所有问题，包括灾难恢复。

6.测试、培训和维护

制定好的BCP计划需要进行适当地演练测试才能投入使用。这一过程必须经常周期性地进行。省略了这一过程就意味着BCP只能等灾难实际发生之后进行实地测试，这样做的风险太大，恐怕任何一家企业都不敢做这种尝试。制定BCP演练测试计划应明确演练目标以及演练成功的标准，在演练中和演练后收集到的有助于提高计划效率的信息应该修订BCP计划，演练结果和学习到的经验应该记录到文档。

BCP必须周期性地加以检查和维护。一旦有新的系统、新的业务流程、或者新的商业行动计划加入企业的生产系统或者信息系统，引起企业整体系统发生变化时，就更应该强制启动这种检查程序。每一次在进行这种检查程序时，最好是与对BCP的改进相互结合，BCP的维护应该是变化和改进的结合与不断促进。每一次对BCP计划所作的改动都应该及时通知所有的BCP团队，并具体落实到每一次的培训和测试过程中去。

文/上海蓝盟    IT外包专家

• 上一篇: 中小企业喜获“上海市质量金奖” ，蓝盟IT外包以匠心品质树立行业标杆
  下一篇: 蓝盟IT外包，蓝盟IT外包聊聊企业无线组网（一）

• 分享到：