2024-07-22 星期一
Vol-2024-175
1.
英国将推出《网络安全和复原力法案》强化国家网络防御
3.
美国国土安全部监管机构批评
CISA
和
FLETC
未能保护数据
4.
Cadre Holdings
报告网络安全漏洞并启动应急响应
6.
西班牙警方逮捕三名涉嫌与
NoName057(16)
相关的网络攻击嫌疑人
8.
微软应对
CrowdStrik
e
更新失误影响
850
万
Windows
设备
9.
黑客利用
CrowdStrike
漏洞在
Windows
上分发
RemCos
恶意软件
10.
美国国防部未受
CrowdStrike
故障影响,强调网络安全重要性
11.
微软确认
CrowdStrike
更新故障影响
Windows 365
云
PC
12.
西南航空
"
过时
"
系统意外抵御
CrowdStrike
冲击,引发网络狂欢
13.
微软发布恢复工具修复受
CrowdStrike
更新影响的
Windows
机器
14.
CrowdStrike
推出新的“补救和指导中心”应对
Windows
崩溃事件
15.
CrowdStrike
故障影响深远,客户赔偿受限
16.
专家分析:
CrowdStrike
更新引发的全球
IT
中断反映出网络安全关键挑战
1. 英国将推出《网络安全和复原力法案》强化国家网络防御
英国政府计划提交《网络安全和弹性法案》,旨在强化国家网络防御,保护关键基础设施。法案将更新现有网络安全法规,扩大监管范围,增加报告要求,提供更好的网络威胁数据,以应对敌对分子对关键服务的攻击。法案将要求数字服务和供应链采取更严格的网络安全措施,增加企业的网络安全责任和行政负担。政府将提供资源,特别是对小型企业,以支持网络安全实践的提升。新法案亦将填补国家防御空白,防止关键公共服务遭受攻击,如近期伦敦医院所遭受的勒索软件攻击。同时,法案的实施可能提高网络保险的采用率和风险管理服务的使用率,保险公司可能需要调整政策以适应更高的监管要求和经济处罚。
来源:https://industrialcyber.co/regulation-standards-and-compliance/uk-set-to-debut-cyber-security-and-resilience-bill-to-boost-national-cyber-defenses-secure-critical-infrastructure/
美国财政部对俄罗斯民族主义黑客组织——俄罗斯网络重生军(CARR)的领导人和主要成员实施制裁。该组织与俄罗斯政府支持的“沙虫”(Sandworm)有联系,后者因成功入侵乌克兰电网和2018年冬奥会而臭名昭著。CARR的领导人尤利娅·弗拉基米罗夫娜·潘克拉托娃和主要黑客丹尼斯·奥列戈维奇·德格提亚连科因今年1月操控德克萨斯州穆尔肖的溢水箱控制装置,导致大量水泄漏而受到制裁。美国财政部表示,CARR将关键基础设施作为攻击目标,对公民和社区构成了不可接受的威胁。尽管CARR曾短暂控制工业控制系统,但因技术成熟度不足,尚未造成重大损害。美国财政部强调,将继续追究恶意网络活动者的责任。此次制裁是拜登政府对关键基础设施遭黑客攻击的常见反应。
来源:https://cyberscoop.com/treasury-sanctions-russia-hacktivist-water/
3. 美国国土安全部监管机构批评CISA和FLETC未能保护数据
美国国土安全部监察长发布报告,严厉批评网络安全和基础设施安全局(CISA)和联邦执法培训中心(FLETC)未遵守部门领导命令,继续与存在网络安全风险的“高风险”承包商合作,未能保护敏感数据。审计发现两机构使用该承包商软件,收集、存储和传播大量敏感个人信息和执法培训材料,存在泄露风险。尽管国土安全部发现承包商网络安全措施不良,并于2023年6月切断联系,CISA和FLETC仍继续使用其软件。CISA首席信息官甚至在切断联系三天后重新授权使用,理由是无软件会给用户带来不便。FLETC在被命令停止合作后,仍与承包商续约。报告指出,两机构的这一行为对运营、资产和个人构成重大风险。
来源:https://therecord.media/dhs-inspector-general-report-cisa-data-security
4. Cadre
Holdings 报告网络安全漏洞并启动应急响应
2024年7月15日,安全设备巨头Cadre
Holdings发现其公司某些技术系统遭到未经授权的第三方访问,并在向美国证券交易委员会(SEC)提交的8-K表格中披露了这一重大网络安全事件。Cadre Holdings立即启动了标准响应协议,包括遏制、评估和补救事件,聘请外部网络安全专家协助调查,并通知联邦执法部门。Cadre Holdings成立于2021年,总部位于佛罗里达州杰克逊维尔,主要提供防弹衣、爆炸物处理设备等安全与生存产品。尽管公司采取了紧急措施,事件的全部范围、性质和潜在影响仍未确定,调查仍在进行中。Cadre Holdings强调其对透明度的承诺,并将继续更新事件进展,同时致力于加强网络安全措施,防止未来类似事件的发生。
来源:https://thecyberexpress.com/cadre-holdings-reports-cybersecurity-breach/
近日,一名网络威胁者宣称其掌握了美国空军、海军和陆军三个军种现役人员的敏感数据,并计划将这些信息出售。泄露的数据文件涉及空军9450名、海军8681名和陆军5571名人员的信息,包括人员ID、姓名、职称、电子邮件、电话和单位等详细数据。此次数据泄露发生在2024年7月,具体泄露途径和原因尚未明确。威胁者对这些敏感信息的出售持开放态度,表示价格可以进一步协商。此事件不仅对涉事军人的个人隐私构成威胁,也暴露了军事组织在网络安全方面存在的漏洞,强调了加强网络安全措施的紧迫性。
来源:https://dailydarkweb.net/threat-actor-claims-to-sell-data-of-active-duty-personnel-from-three-us-military-branches/
6. 西班牙警方逮捕三名涉嫌与NoName057(16) 相关的网络攻击嫌疑人
2024年7月20日,西班牙警方在马略卡岛、韦尔瓦和塞维利亚逮捕了三名涉嫌参与一系列针对西班牙和其他北约国家关键基础设施和政府机构的网络攻击的个人。这些被拘留者被认为与亲俄黑客组织NoName057(16)有关,该组织以发动DDoS攻击闻名,特别是针对支持乌克兰的实体。警方在嫌疑人的住所搜查出与网络攻击相关的设备和文件,并在社交媒体上发布了突袭视频,进一步揭示了嫌疑人的亲俄关系。NoName057(16)自俄罗斯入侵乌克兰以来,频繁发动网络攻击,包括针对波兰和瑞士的DDoS攻击。此次逮捕行动标志着打击与乌克兰冲突相关的网络攻击取得重大进展,但也提醒我们需持续加强网络安全措施,以应对不断演变的网络威胁。
来源:https://thecyberexpress.com/spanish-police-arrests-noname-attacks/
7. 三分之一软件开发人员缺乏安全编码能力
最新研究显示,近三分之一的软件开发和部署专业人员不熟悉安全开发实践,这对大公司运行的许多应用程序和系统构成潜在风险。Linux基金会的David A. Wheeler强调,软件漏洞的利用可能带来灾难性后果,呼吁加强各技能水平开发人员的安全编码培训。调查发现,教育项目多关注功能和效率,而忽视了安全培训。69%的专业人士依赖实践经验学习,但达到基本安全知识水平至少需五年经验。主要挑战包括时间不足和意识及培训缺乏。经验不足一年的开发人员中,75%感到安全开发知识不足。非正式学习方法如在线教程、视频和书籍更受欢迎。未来需关注人工智能安全和供应链安全等领域的教育和培训,以提高软件开发的整体安全性。
来源:https://www.securitylab.ru/news/550313.php
8. 微软应对CrowdStrike更新失误影响850万Windows设备
微软透露,CrowdStrike在7月18日发布的软件更新错误影响了全球约850万台Windows设备,尽管这一数字不到所有Windows设备的1%,但鉴于CrowdStrike在关键服务企业中的普及,此次事件对经济和社会造成了显著影响。微软已与CrowdStrike、客户及行业伙伴紧密合作,派遣数百工程师协助恢复受影响系统,并与云服务提供商协作提供技术指导。此外,微软通过Azure状态仪表板持续提供更新,并与CrowdStrike共同开发解决方案,加速修复Azure基础设施中的错误更新。微软强调了在互联技术生态系统中安全部署和灾难恢复机制的重要性,并表示将分享此次事件的教训,以提升全球技术生态系统的弹性。
来源:https://cybersecuritynews.com/8-5-million-windows-systems-hit-by-crowdstrike-faulty-update/
9. 黑客利用CrowdStrike漏洞在Windows上分发RemCos恶意软件
2024年7月19日,CrowdStrike在Falcon传感器的内容更新中发现了一个影响Windows操作系统的问题。尽管CrowdStrike迅速部署了修复程序,但威胁行为者利用这一漏洞,通过伪装成CrowdStrike支持的电话和钓鱼邮件,积极针对CrowdStrike客户进行恶意活动。特别是在拉丁美洲,黑客分发了名为“crowdstrike-hotfix.zip”的恶意文件。该ZIP档案包含HijackLoader有效负载,并最终加载RemCos恶意软件。文件名和说明为西班牙语,专门针对LATAM客户。RemCos有效载荷联系的命令和控制服务器位于213.5.130[.]58[:]433。CrowdStrike还发现了多个冒充其品牌的域名抢注。CrowdStrike创始人兼首席执行官George Kurtz澄清,这不是网络攻击,问题已得到解决,客户系统正在恢复。用户被建议通过官方渠道与CrowdStrike代表沟通,并遵循技术指导。
来源:https://cybersecuritynews.com/threat-actor-exploits-crowdstrike-falcon-sensor-issues/
10. 美国国防部未受CrowdStrike故障影响,强调网络安全重要性
尽管全球范围内的计算机系统因CrowdStrike的软件更新缺陷而遭受大规模IT事故,美国参谋长联席会议主席CQ Brown将军表示,国防部的行动并未受到影响。他强调了网络安全的重要性,指出保护能力以确保国家保护不受故障或攻击影响是至关重要的。此次中断影响了包括一些美国政府系统在内的多个领域,但CrowdStrike已确认问题并部署了修复程序。尽管CrowdStrike和五角大楼有业务往来,国防部仍在监控其网络以防可能的影响。网络安全和基础设施安全局(CISA)警告称,威胁行为者可能利用此次中断进行网络钓鱼等恶意活动,敦促组织和个人保持警惕。白宫副国家安全顾问安妮·纽伯格也认为,此次事件应成为加强数字弹性的警示。
来源:https://breakingdefense.com/2024/07/joint-chiefs-chairman-says-dod-operations-not-affected-by-widespread-crowdstrike-glitch/
11. 微软确认CrowdStrike更新故障影响Windows 365云PC
微软证实,CrowdStrike Falcon的一个有缺陷的更新导致全球Windows系统崩溃,同样也影响到了Windows 365 Cloud PCs,使其陷入重启循环,无法使用。微软在其服务健康状态页面上表示,受影响的虚拟机运行的是Windows客户端和Windows服务器,且安装了CrowdStrike Falcon代理。微软建议通过Azure门户重启受影响的VM(最多15次)作为故障排除步骤,并提供了从Azure备份恢复的方案。此外,客户也可以使用Azure CLI或Azure Shell离线修复操作系统磁盘,删除问题驱动文件。尽管CrowdStrike已提供解决方案并部署了修复程序,但企业可能仍需一段时间来处理影响,因为无法大规模自动化应用CrowdStrike故障更新的解决方案。同时,Azure配置变更还引发了Microsoft 365的大规模中断,影响了包括Microsoft Defender、Intune、Teams等多个服务,尽管微软已采取措施恢复了大部分服务,但仍有客户报告访问和使用服务存在问题。
来源:https://www.bleepingcomputer.com/news/microsoft/microsoft-windows-365-cloud-pcs-stuck-restarting-after-crowdstrike-update/
12. 西南航空"过时"系统意外抵御CrowdStrike冲击,引发网络狂欢
2024年7月19日,全球众多企业和组织因CrowdStrike软件更新错误遭受IT中断,航空业受到重创。然而,美国西南航空因其使用的32年前Windows 3.1和Windows 95系统,意外避免了这场危机。当其他航空公司因后台系统故障取消航班时,西南航空的运营几乎未受影响。这一事件在网上引发了大量笑话和表情包,网民戏谑其"过时"技术反而成了优势。尽管如此,西南航空的老旧系统也暴露了潜在风险,此前已因系统问题遭受重罚并承诺投资13亿美元进行技术现代化。此次事件提醒西南航空需在强化网络安全的同时,逐步更新系统,以维持运营稳定性和乘客信任。
来源:https://thecyberexpress.com/spanish-police-arrests-noname-attacks/
13. 微软发布恢复工具修复受CrowdStrike更新影响的Windows机器
2024年7月21日,微软发布了一款恢复工具,旨在帮助IT管理员修复受CrowdStrike错误更新影响的Windows机器。上周五的更新导致850万台Windows设备崩溃。虽然CrowdStrike已经发布了修复更新,但并非所有机器都能自动接收。一些IT管理员发现,通过多次重启PC可以获得更新,但对于其他人来说,需手动启动到安全模式并删除有问题的文件。微软的恢复工具通过USB启动到Windows PE环境,自动删除有问题的CrowdStrike文件,使机器恢复正常启动。这避免了启动到安全模式或要求管理员权限的问题。对于受BitLocker加密保护的磁盘,该工具会提示输入恢复密钥后继续修复。微软还发布了针对在Azure上运行的Windows虚拟机和所有Windows 10及Windows 11设备的恢复步骤。
来源:https://www.theverge.com/2024/7/21/24202883/microsoft-recovery-tool-windows-crowdstrike-issue-it-admins
14. CrowdStrike推出新的“补救和指导中心”应对Windows崩溃事件
2024年7月21日,CrowdStrike发布了一个新的“补救和指导中心”,以应对其错误更新导致的全球850万台Windows电脑崩溃问题。该中心提供了中断原因、受影响系统信息、CEO乔治·库尔茨的声明以及技术信息。同时,CrowdStrike 警告威胁行为者利用此次事件传播恶意软件,特别是针对拉丁美洲的客户。恶意ZIP文件"crowdstrike-hotfix.zip"含有HijackLoader有效负载,执行后会加载RemCos。公司建议用户仅通过官方渠道与代表合作,并使用支持团队提供的指导。微软也发布了一款工具,帮助修复受影响的Windows设备。
来源:https://www.theverge.com/2024/7/21/24202923/crowdstrike-remediation-guidance-hub-windows-bsods-outage-malware
15. CrowdStrike故障影响深远,客户赔偿受限
2024年7月19日,CrowdStrike 的安全更新失误引发全球性技术故障,导致航班取消、911呼叫系统受阻和医疗记录访问受限等问题。尽管影响广泛,但根据CrowdStrike的条款和条件,大多数客户可能仅能获得退款,无法索赔收入损失或其他损害。条款将责任限制在软件支付金额内,意味着受中断影响的企业无法就其他损失获得补偿,除非他们有其他合同安排。大型企业可能通过单独合同获得更广泛保护。网络安全和数据隐私专家伊丽莎白·伯金·沃勒指出,大多数公司可能需要依靠网络保险来承担与CrowdStrike中断相关的费用,包括IT人员费用、员工生产力损失和潜在法律费用。此外,CrowdStrike可能面临股东和客户的法律挑战,以及美国证券交易委员会(SEC)的调查。
来源:https://thecyberexpress.com/crowdstrike-outage-companies-liable-refunds/
16. 专家分析:CrowdStrike更新引发的全球IT中断反映出网络安全关键挑战
CrowdStrike更新引发的全球IT中断引起了广泛关注,行业专家提供了深刻的见解。Cyble Inc的Beenu Arora赞扬了支持团队的快速响应,但强调了应对网络安全事件的重要性。Performanta的Guy Golan指出,市场压力和质量保证失败可能是导致此次事件的原因,并警告全球性中断的严重后果。Evolve的Alan Stephenson-Brown强调运营弹性的重要性,建议企业优先考虑应急计划。Quod Orbis的Martin Greenfield提醒组织不要过度依赖单点解决方案,建议采用多层防御策略和持续监控。Sigma Software Group的Dmytro Tereshchenko强调了高度互联的供应链中断带来的广泛影响,而Tenable的Satnam Narang则强调了此类事件的史无前例性和其对关键系统的严重影响。这些专家观点共同呼吁提高网络弹性、改进应急计划以及进行全面风险评估。
来源:https://thecyberexpress.com/the-massive-crowdstrike-outage/
