安全焦点

大数据黑市交易触目惊心：平均每人至少有4条个人信息泄露

据不完全统计，国内个人信息泄露数达55.3亿条左右。平均算下来，每个人就有4条相关的个人信息泄露，车辆、房产、地址、职业、年龄、电话号码、身份证信息等在黑市上频繁流动。

恶意软件Purple Fox蠕虫变种侵入Windows系统

23日消息，恶意软件Purple Fox现在添加了一个蠕虫模块，它可以侵入接入网络的Windows系统。

选举前一天，黑客泄露数百万以色列选民详细信息

24日消息，黑客在大选前不到24小时泄露了超过650万以色列选民的个人和选民登记详细信息。

CISA警告GE电源管理设备中的安全漏洞

这些漏洞可能使攻击者可以访问敏感信息，重新启动UR，获得特权访问或导致拒绝服务情况。

安全风险

针对Exchange漏洞的勒索软件

根据安全研究人员的最新报道，现在出现了一个名为“Black Kingdom”的新型勒索软件，而这款勒索软件主要通过利用Microsoft Exchange服务器的ProxyLogon漏洞来对服务器数据进行加密，并实现勒索攻击。就在上个周末，安全研究人员Marcus Hutchins在推特上发布消息称，有一名攻击者正在利用ProxyLogon漏洞来入侵Microsoft Exchange服务器，并在受攻击的设备上部署勒索软件。根据该研究人员部署的蜜罐的日志记录，Hutchins表示，攻击者利用该漏洞来在目标设备上执行了一个PowerShell脚本，该脚本将从“yuuuuu44[.]com”下载并执行勒索软件，然后再利用受感染设备将勒索软件推送到网络中的其他计算机设备中。众所周知，蜜罐是技术人员专门暴露在互联网中的存在各种安全漏洞的设备，主要用于引诱攻击者对其进行攻击并监视其活动。不过，Hutchins的蜜罐系统似乎并没有被加密，因此他当时亲眼目睹的攻击可以算是一次失败的攻击了。然而，根据提交至勒索软件识别网站ID Ransomware的信息来看，“Black Kingdom”活动已经成功加密了很多其他目标用户的设备，而第一次提交是发生在2021年3月18日。在对目标设备进行加密时，“Black Kingdom”勒索软件将使用随机扩展名加密文件，然后创建一个名为decrypt_file.TxT的勒索信息。研究人员表示，目前所有的勒索信息都要求目标用户支付价值1万美元的比特币作为数据赎金，并且使用的比特币钱包地址均为同一个地址。目前，这个比特币钱包只在2021年3月18日收到了一笔付款，随后其中的比特币又被转移到了其他钱包。近期，电子产品制造商宏碁（Acer）也遭遇了一次REvil勒索软件攻击，而此次攻击也被怀疑是利用ProxyLogon漏洞实施的，但目前这一说法还未得到证实。

企业安全

一个产品和解决方案的好坏及价值，越来越取决于运营，尤其是针对高级威胁，本质是人和人的对抗，高级威胁检测分析类产品的价值呈现，三分靠产品、七分靠运营，安全运营已经成为产品和方案交付中必不可少的一部分，并且成为交付价值呈现中最重要的组成部分。基于体系化、实战化、常态化的安全运营受到越来越多用户的关注和青睐。安全运营是用户侧的概念，是站在用户角度，以体系化、实战化、常态化的方式打造和提升用户的安全能力，应对不断演化的新型威胁为目的，实现运营全过程的统筹和管理。

一般来讲，安全运维侧重于产品的日常化使用，日志、报表、日常运行状态监控等，一旦发生安全事件，还得联系专业安全人员处理；安全服务是基于厂商视角，根据用户需求或遇到的问题提供服务方案，如应急响应、渗透测试、漏洞扫描、风险评估、等保测评、安全审计等，服务具备一定的针对性和专业度，但总体上偏重短期效果、事件驱动、被动响应和安全应急，无法长期跟踪用户安全状况，随时随地解决用户的事前、事中和事后问题；安全运营是用户视角下，长期的、伴随式的，以持续的能力建设和问题解决为核心的系统性工程，而非短期、被动、碎片化地解决某个安全问题或安全需求。

从厂商角度来看，可切入用户安全运营的场景大概可划分为三种：

1) 产品赋能模式：用户将其安全运营业务托管给厂商，厂商基于用户的各类安全产品提供安全运营，使得产品通过运营展现和提升安全价值，客户为最终的安全结果买单。

2) 运营赋能模式：用户自有安全运营团队，需持续提升自身安全运营能力，厂商可长期给用户提供安全运营的能力支撑，包括各类运营策略、技战术、团队建设、资源、标准、流程、知识等，帮助用户建立健全安全运营体系，起到咨询、支撑和指导的作用。

3) 业务赋能模式：顾名思义，业务赋能模式需要和用户的安全业务深度融合，比如：公安、国安、军队的反恐、反独、反黑灰产、反黄赌毒等安全业务，还比如，基于车联网的安全运营、基于电力物联网的安全运营等。在这种模式下，厂商是否了解用户的安全业务，是否具备支撑用户安全业务的相关数据显得尤为重要，也成为厂商进入这一领域的门槛。

安全运营预期发展可划分为三个阶段：

1) 本地驻场运营：本地驻场运营是目前被大多数用户所接受的安全运营模式，用户可以搭建自己的安全运营团队，也可以购买厂商的驻点安全运营服务，考虑到安全管理的风险以及日常管理的便捷性，安全运营人员通常要在用户现场执行日常安全运营的各项工作。由于高端专家资源稀缺，厂商不可能安排此类专家长期驻守在用户侧，表现出色的厂商驻场人员也常被用户挖走，安全运营的效果往往取决于驻场人员个体的经验和能力，因此参差不齐，无法标准化。分布在多个用户侧的厂商驻点人员更像是一个个孤岛，只关注自身的个体问题，而无暇兼顾其他，因此更谈不上情报、经验和知识的共享和复用，这类驻点更像厂商派驻到甲方的接口人，而非真正的运营人员，一旦用户遇到重大事件，还得第一时间请求厂商专家现场支援。

2) 云端专家运营：云端专家运营又被称为远程专家运营或远程托管运营，安全厂商提供专家团队通过远程托管运营平台给各类用户提供安全运营服务，这种模式对厂商来说有几方面好处：首先.，解决了安全运营人力资源的配比问题，一个运营人员可以同时兼顾多个客户的日常运营，同时，专家团队可以针对重大问题和突发事件群策群力，最大限度地提升运营效率；其次，通过团队化管理，可以统一运营质量、运营标准和运营流程，最大限度地降低个体因素导致的结果差异；再次，由于了解每个用户的各类安全问题和突发事件，可以对行业和区域形成“全视”，从宏观层面观察威胁动态和发展趋势，对单一用户发现的重大问题，可快速形成解决方案并统一下发到行业及区域内其他用户，帮助其他用户预防和解决；最后，由于积累了大量的基础数据，还能进一步提取安全运营的知识和规则，形成相关知识图谱，这些数据、经验和知识又可以在团队内部不断积累、继承和复用，反过来不断促进和提升团队的整体能力。

3) 云端智能运营：云端专家运营的下一个阶段就是云端智能运营，当基础运营数据积累到一定程度，就可以借助机器的力量，把大量已知的重复性的运营工作交给机器来完成，从而大幅提升运营效率，降低一般运营人员支出，高端专家则专注于发现新问题、解决新问题、形成知识和规则、最后交给机器执行。机器除了执行重复性运营工作之外，还可以为专家提供辅助决策支持，提升专家研判的效率和准确性。

安全焦点

大数据黑市交易触目惊心：平均每人至少有4条个人信息泄露

据不完全统计，国内个人信息泄露数达55.3亿条左右。平均算下来，每个人就有4条相关的个人信息泄露，车辆、房产、地址、职业、年龄、电话号码、身份证信息等在黑市上频繁流动。

恶意软件Purple Fox蠕虫变种侵入Windows系统

23日消息，恶意软件Purple Fox现在添加了一个蠕虫模块，它可以侵入接入网络的Windows系统。

选举前一天，黑客泄露数百万以色列选民详细信息

24日消息，黑客在大选前不到24小时泄露了超过650万以色列选民的个人和选民登记详细信息。

CISA警告GE电源管理设备中的安全漏洞

这些漏洞可能使攻击者可以访问敏感信息，重新启动UR，获得特权访问或导致拒绝服务情况。

安全风险

针对Exchange漏洞的勒索软件

根据安全研究人员的最新报道，现在出现了一个名为“Black Kingdom”的新型勒索软件，而这款勒索软件主要通过利用Microsoft Exchange服务器的ProxyLogon漏洞来对服务器数据进行加密，并实现勒索攻击。就在上个周末，安全研究人员Marcus Hutchins在推特上发布消息称，有一名攻击者正在利用ProxyLogon漏洞来入侵Microsoft Exchange服务器，并在受攻击的设备上部署勒索软件。根据该研究人员部署的蜜罐的日志记录，Hutchins表示，攻击者利用该漏洞来在目标设备上执行了一个PowerShell脚本，该脚本将从“yuuuuu44[.]com”下载并执行勒索软件，然后再利用受感染设备将勒索软件推送到网络中的其他计算机设备中。众所周知，蜜罐是技术人员专门暴露在互联网中的存在各种安全漏洞的设备，主要用于引诱攻击者对其进行攻击并监视其活动。不过，Hutchins的蜜罐系统似乎并没有被加密，因此他当时亲眼目睹的攻击可以算是一次失败的攻击了。然而，根据提交至勒索软件识别网站ID Ransomware的信息来看，“Black Kingdom”活动已经成功加密了很多其他目标用户的设备，而第一次提交是发生在2021年3月18日。在对目标设备进行加密时，“Black Kingdom”勒索软件将使用随机扩展名加密文件，然后创建一个名为decrypt_file.TxT的勒索信息。研究人员表示，目前所有的勒索信息都要求目标用户支付价值1万美元的比特币作为数据赎金，并且使用的比特币钱包地址均为同一个地址。目前，这个比特币钱包只在2021年3月18日收到了一笔付款，随后其中的比特币又被转移到了其他钱包。近期，电子产品制造商宏碁（Acer）也遭遇了一次REvil勒索软件攻击，而此次攻击也被怀疑是利用ProxyLogon漏洞实施的，但目前这一说法还未得到证实。

企业安全

一个产品和解决方案的好坏及价值，越来越取决于运营，尤其是针对高级威胁，本质是人和人的对抗，高级威胁检测分析类产品的价值呈现，三分靠产品、七分靠运营，安全运营已经成为产品和方案交付中必不可少的一部分，并且成为交付价值呈现中最重要的组成部分。基于体系化、实战化、常态化的安全运营受到越来越多用户的关注和青睐。安全运营是用户侧的概念，是站在用户角度，以体系化、实战化、常态化的方式打造和提升用户的安全能力，应对不断演化的新型威胁为目的，实现运营全过程的统筹和管理。

一般来讲，安全运维侧重于产品的日常化使用，日志、报表、日常运行状态监控等，一旦发生安全事件，还得联系专业安全人员处理；安全服务是基于厂商视角，根据用户需求或遇到的问题提供服务方案，如应急响应、渗透测试、漏洞扫描、风险评估、等保测评、安全审计等，服务具备一定的针对性和专业度，但总体上偏重短期效果、事件驱动、被动响应和安全应急，无法长期跟踪用户安全状况，随时随地解决用户的事前、事中和事后问题；安全运营是用户视角下，长期的、伴随式的，以持续的能力建设和问题解决为核心的系统性工程，而非短期、被动、碎片化地解决某个安全问题或安全需求。

从厂商角度来看，可切入用户安全运营的场景大概可划分为三种：

1) 产品赋能模式：用户将其安全运营业务托管给厂商，厂商基于用户的各类安全产品提供安全运营，使得产品通过运营展现和提升安全价值，客户为最终的安全结果买单。

2) 运营赋能模式：用户自有安全运营团队，需持续提升自身安全运营能力，厂商可长期给用户提供安全运营的能力支撑，包括各类运营策略、技战术、团队建设、资源、标准、流程、知识等，帮助用户建立健全安全运营体系，起到咨询、支撑和指导的作用。

3) 业务赋能模式：顾名思义，业务赋能模式需要和用户的安全业务深度融合，比如：公安、国安、军队的反恐、反独、反黑灰产、反黄赌毒等安全业务，还比如，基于车联网的安全运营、基于电力物联网的安全运营等。在这种模式下，厂商是否了解用户的安全业务，是否具备支撑用户安全业务的相关数据显得尤为重要，也成为厂商进入这一领域的门槛。

安全运营预期发展可划分为三个阶段：

1) 本地驻场运营：本地驻场运营是目前被大多数用户所接受的安全运营模式，用户可以搭建自己的安全运营团队，也可以购买厂商的驻点安全运营服务，考虑到安全管理的风险以及日常管理的便捷性，安全运营人员通常要在用户现场执行日常安全运营的各项工作。由于高端专家资源稀缺，厂商不可能安排此类专家长期驻守在用户侧，表现出色的厂商驻场人员也常被用户挖走，安全运营的效果往往取决于驻场人员个体的经验和能力，因此参差不齐，无法标准化。分布在多个用户侧的厂商驻点人员更像是一个个孤岛，只关注自身的个体问题，而无暇兼顾其他，因此更谈不上情报、经验和知识的共享和复用，这类驻点更像厂商派驻到甲方的接口人，而非真正的运营人员，一旦用户遇到重大事件，还得第一时间请求厂商专家现场支援。

2) 云端专家运营：云端专家运营又被称为远程专家运营或远程托管运营，安全厂商提供专家团队通过远程托管运营平台给各类用户提供安全运营服务，这种模式对厂商来说有几方面好处：首先.，解决了安全运营人力资源的配比问题，一个运营人员可以同时兼顾多个客户的日常运营，同时，专家团队可以针对重大问题和突发事件群策群力，最大限度地提升运营效率；其次，通过团队化管理，可以统一运营质量、运营标准和运营流程，最大限度地降低个体因素导致的结果差异；再次，由于了解每个用户的各类安全问题和突发事件，可以对行业和区域形成“全视”，从宏观层面观察威胁动态和发展趋势，对单一用户发现的重大问题，可快速形成解决方案并统一下发到行业及区域内其他用户，帮助其他用户预防和解决；最后，由于积累了大量的基础数据，还能进一步提取安全运营的知识和规则，形成相关知识图谱，这些数据、经验和知识又可以在团队内部不断积累、继承和复用，反过来不断促进和提升团队的整体能力。

3) 云端智能运营：云端专家运营的下一个阶段就是云端智能运营，当基础运营数据积累到一定程度，就可以借助机器的力量，把大量已知的重复性的运营工作交给机器来完成，从而大幅提升运营效率，降低一般运营人员支出，高端专家则专注于发现新问题、解决新问题、形成知识和规则、最后交给机器执行。机器除了执行重复性运营工作之外，还可以为专家提供辅助决策支持，提升专家研判的效率和准确性。

文/上海蓝盟   IT外包专家

• 上一篇: 中小企业喜获“上海市质量金奖” ，蓝盟IT外包以匠心品质树立行业标杆
  下一篇: 蓝盟IT外包 2020年社会责任报告

• 分享到：