So you made it to what some may call the pinnacle of your Information Security career Chief Information Security Officer (CISO)…or at least the job interview! Any job interview can be tough but for the summit of your career, it will be the culmination of your acquired Information Security knowledge viewed through the lens of a “C” level executive. Regardless, this little fact should not dissuade you from knocking the interview out of the proverbial park. This article will help you to that end the Top 30 Chief Information Security Officer (CISO) Interview Questions and Answers for 2018.

After the predictable icebreaker level of interview questions there are three main levels that this article will focus on Ground Level, Mid-Level, and Executive Level. If you are about to sit for an interview for this prestigious position, let this article be your guide and you should not have any problem landing the job of your dreams.

This first level of questions will be beyond the quintessential “Tell me about yourself” kind of interview questions. The type that is considered Ground Level will focus a little more on your specific experience that will carry over to this position. With that said, do not sweat these questions as they should be fairly foundational for you at this point but still essential to the position. Let these questions be your guide and you will solidly ace this level of questions.

Think of questions like these as a sort of softball technical question. Of course you know what SSL is standard security technology for creating an encrypted link between clients and servers. Knock this one out of the park, slugger.

Second question in and you already have a trick question. The trick here should be apparent to you at this point in your career, though. Ping is a layer 3 protocol where as ports are elements of layer 4, but you already knew that.

Even in 2018, cloud computing is still a risk. While there are many security risks involved with cloud computing it is really up to the cloud computing customer to ensure information security. These considerations really depend upon the nature of the business as well the data being stored so a good CISO would have to make these decisions on a case by case basis.

This question may seem very open ended but there are really just a filtering type of question. Employers want to filter out those who are not qualified and a good way to see if someone is qualified is if they can properly foresee issues that may arise on the job. Bring up any common issues that may have occurred in your last CISO position and then apply them to the specific organization that you are interviewing with.

5. What Mistakes Have You Learned From While Working as Chief Information Security Officer?

Do not think that this question is trying to find out if you have a high propensity for mistakes. We all make mistake the important thing is how you learn from them. The best kind of mistakes to bring up are ones that specifically involve your position as a CISO. Think of a question like this as a good opportunity to show that you can turn mistakes into strengths.

6. Board Meetings are Important For Our Organization. Are You Able to Address the Board About Technical Matters in a Way They Can Understand?

Without a doubt you need to convey that this is within your capabilities. Often times, even in 2018, Boards of Directors are made up of people who are not exactly tech savvy. As a CISO, you will need to address the board so they can understand and to address them in a way that is business focused.

7. Have You Ever Been Faced With a Situation Where You Had To Modify a Security Policy and Why?

As CISO, you are responsible for reviewing security policy. This infers that there will be times when you have to change a security policy for a security related reason. A good example to use would be when there was a recent wide scale threat, such as the WannaCry ransomware emergency that hit the scene a few years back. Many organizations responded by requiring data encryption from that point forward.

Many organizations, especially those in highly regulated industries such as healthcare, are required to undergo regular audits. While this may sound scary to those without much experience, audits are really par for the course for organizations that are on top of their game. Unless otherwise, make sure to mention how easy it was and you basically just showed the auditors what they asked to see and everything went well. Again, if it did not go well bring up why and how you rectified the situation and what you learned.

A question like this is supposed to give an interviewer a gauge on your management style. There are many different management styles and some work better than others. Part of this comes down to personal management style and the environment that they will manage. Use this question as an opportunity to sell your personal management style and how it will fit in with the overall organization environment.

10. Can You Describe an Example of a Security Issue At a Previous Position and How You Managed It?

Ok, this question can be thought of as a sort of extension of the last one but it definitely deserves to be its own question. What this one is trying to get at is how did you apply your management style to a situation and what was the result. A good example would be when there was a data breach at a previous organization and the steps that you took to rectify the situation and steps taken to prevent it in the future.

So you made it to the second level of CISO interview questions, what this article refers to as Mid-level. This does not mean mid-level as in middle management, just intermediate in terms of difficulty. This level will focus more on your specific functional CISO knowledge and experience. Interviews can definitely be tough but do not lose any sleep over these questions, they are just a little more difficult.

11. Tell me about a Time When You Had to Collaborate With Stakeholders on Establish an Information Security Risk Management Program

Being a CISO means you will have to collaborate with key stakeholders in establishing information security risk management programs for the organization. What this question is looking for is that you have experience in collaborating with these stakeholders and that you have the ability to work with them in making a business-focused information security risk management program that addresses their needs. In some ways, being the CISO is like being the chief negotiator for the security team.

Here, the interviewer is trying to get an impression of how important security awareness training will be to you if you indeed get the position. Of course, security awareness training should be paramount to your CISO management style. Recent studies have found that the propensity for a user to be security aware has to do with how much exposure they have to security awareness issues. A great way to expose them is with training so make sure to convey just how important security awareness training is to you.

本次技术大赛，由中国通信工业协会区块链专委会指导，开源中国、火星财经、TokenSky、python中文社区、TRON、旗点咨询、GoCN、Golang、fintech4good、北大区块链俱乐部、火聘online、MPT Capital、bCamp、BCspark、陀螺财经、北京EOS、EosLists、区块链研习社、Elements Capital、AKHacks等联合发起的全球性MIIX系列技术创造赛。

本次大赛，将以开源、协同、共享的区块链精神，邀请全球300极客、30技术社区、100Dapp团队、100技术领袖、50投资方、200媒体、百万流量曝光，众创技术生态，推动技术社区发展，打造顶级大型技术赛事盛会，赋能实体经济。

时间地点：2019年1月12-13北京

亮点1：零距离接触大咖&核心技术圈

政府产业协会指导的首场大型专业技术赛事

300名极客、10003《ㄖ迫

“态势感知（Situation Awareness，SA）”是一种基于环境的、动态、整体地洞悉安全风险的能力，是以安全大数据为基础，从全局视角提升对安全威胁的发现识别、理解分析、相应处置能力的一种方式，最终是为了决策与行动，是安全能力的落地应用。

“态势感知”早在20世纪80年代被美国空军提出，覆盖感知、理解和预测三个层次。90年代，概念开始被广泛接受，并随着网络的兴起而升级为“网络空间态势感知（Cyberspace Situation Awareness，CSA）”，是指在大规模网络环境中能够引起网络态势发生变化的安全要素进行获取、理解、显示，以及趋势预测分析从而支撑决策的系列活动。

2016年4月19日，习近平总书记在于网络安全业界人士座谈会上明确指出：“加快构建关键信息基础设施安全保障体系，全天候全方位感知网络安全态势，增强网络安全防御能力和威慑能力。”另一方面，随着我国“中国制造2025”国家战略的稳步推进，将会催生一个与互联网更加紧密融合的先进工业生产体系。由此，“工业控制系统网络安全态势感知技术”成为了一个时期以来，国家监管单位以及相关行业信息中心需要着重发展并推广应用的一项重要技术。“工业控制系统网络安全态势感知技术”是指通过各种技术手段，对工业生产相关网络的关键资产数据、威胁数据和脆弱性数据进行充分采集，并根据不同行业特点建立风险模型，依据模型对数据进行融合分析，最终对该工业生产环境所面临的风险状况提出量化评价的技术手段。

本报告对上述问题一一进行了分析和解答。文中描述了关键信息基础设施安全态势感知的技术要素，介绍了关键信息基础设施安全态势感知的技术实现原理，探讨了如何通过关键信息基础设施安全态势感知系统协助完成工业企业工业网络风险的监测预警、危害评估、应急响应、安全加固以及事后复查等工作，使得在不同场景不同层面上，协助包括基础作业层、专业技术层和管理决策层用户等人员更好地完成安全工作，并此基础上结合整体防御体系在探讨了关键信息基础设施安全态势感知技术的未来发展趋势。

本报告由『网信防务』研究团队，通过调查国内在关键信息基础设施安全态势感知相关技术产品上作的较为突出的公司，并结合当前最新的相关资料撰写。

关键信息基础设施安全态势感知技术是政策导向性很强的技术门类，它有力的支撑了《网络安全法》第五章“监测预警”中对于关键信息基础设施的一些监测要求，也成为《工业控制系统安全防护指南》、《工控系统安全事件应急响应管理工作指南》落地执行的一种重要技术手段。

关键信息基础设施安全态势感知技术是一项综合性的“新技术”，需要将传统IT领域的主被动监测技术手段与工业企业特有的应用场景、协议结构、网络介质、风险指标等进行深度、广泛的融合，并基于此开发出适合于工业企业特点的关键信息基础设施安全态势感知技术类产品。

关键信息基础设施安全态势感知技术可以为不同类型的用户提供价值。不仅仅为工业企业用户感知自身企业工业风险提供技术支撑，还可以为政府监管单位掌握某个区域的关键信息基础设施的网络安全状况提供数据支撑，甚至还可以作为“网络空间识别区”，为网军作战提供重要军事情报信息。

关键信息基础设施安全态势感知技术可以为不同层面的用户提供价值。不仅仅为运维团队、安全应急团队等提供技术参考，还有一个非常重要的价值是协助用户决策层如何分配好合适的安全预算，评估企业第三方供应商的安全级别，来降低企业所面临的风险。

关键信息基础设施安全态势感知技术应该融入从威胁检测到应急响应的整个生命周期，全面减少安全风险暴露的时间，而这个时间窗口是由工业企业防护者最为关心的、也是衡量工业企业安全能力的两条重要指标共同构成的，即平均威胁检测时间和平均威胁响应时间。

行业标准及规范是建设关键信息基础设施安全态势感知体系最好的参考，然而在这方面，还是刚刚起步阶段，包括工控网络威胁分类标准、工控风险数据采集标准、工控风险监测模型等标准都还没有发布。

1技术定义

2技术实现

3应用场景

4应用价值

5标准及规范

6应用局限性和挑战

7未来趋势分析

8附录：关键信息基础设施安全态势感知技术资源

1.1. 关键信息基础设施安全态势感知技术定义

习主席在“419讲话”中专门强调：“要树立正确的网络安全观，加快构建关键信息基础设施安全保障体系，全天候全方位感知网络安全态势，增强网络安全防御能力和威慑能力”，这为近一个时期以来的工业控制系统网络安全工作指明了方向。更是随着《网络安全法》、《工业控制系统信息安全防护指南》、《工控系统信息安全事件应急管理工作指南》等一系列法律、法规颁布施行，“关键信息基础设施安全态势感知”一词开始频繁的出现在各大重要行业信息中心、以及省市监管单位的重大项目规划中。然而，由于行业信息中心、国家监管单位，以及乙方技术提供单位，对于业务的理解角度、获取信息的能力，以及获取信息后的用途各有不同，所以造成了“关键信息基础设施安全态势感知”尚无统一定义。

笔者基于多年相关领域的工作经验，对于关键信息基础设施安全态势感知定义如下：

“关键信息基础设施安全态势感知技术，是一种针对基于信息网络的生产系统运行状态信息的获取、存储、分析、反馈的能力，该类信息主要包括，针对生产系统的资产监控、脆弱性、威胁等方面的信息”。

我们知道，一方面，工业控制系统与传统IT系统不论是在软硬件架构，还是安全性要求上都具有比较大的差异；另一方面，随着大数据技术的兴起，态势感知技术也正逐渐成为信息安全技术中的一个新的门类。我们可想而知，将态势感知这样一个新兴的技术门类，应用于工业控制系统这样一个差异化较大的全新业务领域，必然会产生一些独特的特点和规律，接下来我们来通过一些关键特征来更深一步了解关键信息基础设施安全态势感知技术。

1.2. 关键信息基础设施安全态势感知技术关键特征

承载着关键信息基础设施的工业企业网络，一般会划分为信息管理网络和生产控制网络两部分，该两部分网络具有：彼此严格隔离，协议类型完全不同（IT协议、工业以太网协议）等两个特点。这就造成了关键信息基础设施安全态势感知技术的如下关键特征：

◎ 生产控制网络与信息管理网络独立信息采集

由于工业企业信息管理网络与生产控制网络严格隔离，所以信息采集工作必须要从该两个网络分别着手。依据笔者相关经验，对于生产控制网络来说，应着重考虑内部资产（如PLC、DCS、RTU等）品牌类型、软硬件版本等，以及内部工业恶意行为等信息的采集工作；对于信息管理网络来说，应该着重考虑外部恶意行为，以及内部资产非法外联等信息的采集工作。

关键信息基础设施安全态势感知技术应该主要用于监测工业生产网络安全状况趋势，并支撑相应应急响应机制建设。这就要求该技术主要基于工业协议（如Siemens S7、Modbus、Bacnet、Ethernet/IP等）来开展各种维度的监测、分析等工作。

由于工业生产控制网络安全等级要求很高，一旦操作不当可能会操作物理伤害，所以不同于IT网络系统，在信息的采集过程中要首要考虑采集会否影响系统本身安全性，所以建议使用主被动结合采集手段，并且优先使用被动采集手段。

知识库作为关键信息基础设施安全态势感知技术的核心模块，应该主要包含工业设备（如各品牌PLC、RTU、IED等）指纹库、工业恶意行为指纹库（比如，支持Siemens S7、Modbus、Bacnet、Ethernet/IP等协议）、工业恶意组织指纹库、工业网络漏洞库等专业知识库。

不同行业的工业企业生产控制网络结构差异化较大，在进行基础采集探针部署阶段，要进行针对性的调整。比如，电网、燃气等应用SCADA较多的行业，可重点考虑工业设备非法外联监测和外部威胁监测；石油炼化、先进制造等应用DCS较多的行业，则可重点考虑外部威胁监测和内部威胁监测。

关键信息基础设施安全态势感知服务通常根据工业企业不同业务特征和需求，提供针对其生产控制网络的威胁、脆弱性信息，并根据知识库的各种工业指纹库，进行综合分析处理，形成针对甲方工业控制网络的整体安全状况以及发展趋势，支撑甲方单位工业控制网络安全保障机制建设。本节将根据关键信息基础设施安全态势感知技术的体系架构、工业设备主动探测技术、工控系统威胁监测技术等三个方面进行说明。

关键信息基础设施安全态势感知技术往往需要依靠多种数据采集引擎共同协作，包括（但不限于）：

全网大规模主动探测引擎（外部）

分布式威胁监测引擎（外部）

资产信息采集引擎（内部）

威胁监测引擎（内部）

具体包含的技术模块如下：

1) 工控威胁分布式监测技术，通过将探针分布式部署于工业企业内部，基于主流工业协议的深度模拟仿真，以及庞大、全面的工业协议恶意行为库、敏感组织特征库等知识库，实现针对工业控制网络的恶意攻击行为的诱捕、存储、分析。该技术需要考虑自身伪装和安全问题，需要通过一些手段，解决避免被敌手发现的问题，笔者建议可以考虑使用伪随机函数的方法将探针模拟的数据结构进行随机化构造。该技术核心价值在于事先发现恶意行为和恶意行为趋势，也可能捕获新型恶意行为（APT）代码，支撑工控系统安全保障体系建设。

2) 工控旁路审计技术，通过将设备部署于工业生产控制网络现场环境，实现工控协议的旁路监测、指令级解析、恶意行为审计。该技术需要庞大的工业协议库和恶意行为指纹库的支撑，以及对于已知恶意行为的危害分级能力。

3) 工业网络态势综合分析展示技术，根据不同工业行业的网络安全特点，建设“工业网络风险指标体系模型”，从内部工业控制网络和外部信息管理网络两个角度进行“工业威胁建模”和“工业网络脆弱性建模”，并通过充分融合上述三种技术能力所生成的数据源，依靠关联分析、机器学习、智能分析等算法引擎，实现对目标工业网络安全状况的量化分析和趋势预测。

较为常规的部署方式如下图所示：

工业网络安全态势感知系统整体架构如下图所示，由五个层面的功能构成，各层面的功能如下：

数据接入层：实现数据的接入功能，通过开放的互联网资源接入到开放联网的工控系统；基于企业工控系统流量入口的数据采集系统，通过镜像接口获取局域网通信流量数据。

数据采集与清洗层：实现工控设备及企业工控网络入口流量数据的采集与清洗功能，通过主动探测对工控设备进行设备探测、识别。

数据存储与索引层：实现探测数据、监测数据及知识库资源的数据汇聚、存储及索引功能，提供开放接口供数据建模层进行数据获取。

数据建模与分析层：实现数据的关联分析，深入分析工业互联网标识信息、工控资产信息、攻击事件和攻击源头信息，进行威胁态势展示和数据关联挖掘。

数据理解与可视化层：对标识态势、攻击源、攻击事件和工控资产的态势进行可视化展示，并通过可视化界面进行数据关联查询。

1. 工业设备深度信息扫描技术

通过工控协议的深度解析，结合智能识别技术，大数据分析算法，能快速准确挖掘出目标区域联网工控设备厂商、版本、地理位置等关键信息，结合CNVD、CNNVD等工控漏洞库，进行漏洞关联以及系统脆弱性分析，有效提升监管机构对工业控制系统信息安全的技术监管能力。

通过体系化的工控协议分析，提取协议的关键字段（比如寄存器地址、功能码等）等信息。结合机器学习、模式识别等技术，实现半自动化的工控指纹字典构建能力。支持Siemens S7、Modbus、Bacnet、Ethernet/IP、IEC 61850、IEC 104、Fins、DNP3、Melsec-Q等25种主流工业协议，支持Siemens、ABB、GE、Rockwell、Schneider等主流工控设备提供商的相关产品识别。

采用分布式调度引擎，组件扫描集群；结合负载均衡技术，实现高并发、高吞吐的快速扫描，支持灵活扫描集群扩展。

采用分布式处理机制，实现对海量应答报文快速挖掘出关键目标信息；采用分布式存储技术，对海量数据进行分片存储，支持TB级别数据存储，支持对关键字毫秒级别的检索及查询。

1. 私有协议高仿真模拟技术

对于TCP/IP应用协议仿真领域来讲，最大的难点在于协议仿真的广度和深度，团队依靠多年以来对于办公应用协议（如HTTP、SMTP等）、网关协议（SSH、SNMP等）以及工业私有化协议（如Siemens S7、Modbus等）几类的大量通信研究经验，通过逆向分析通信数据、深度研究RFC文档等手段，实现对工业协议的高精度仿真；

作为网络蜜罐，随时面临可能被敌手探测、发现的危险性，为了保证蜜罐自身安全性，团队特别设计了一套基于非对称算法进行密钥管理，基于对称算法进行数据加密、身份鉴别的安全保障体系，从而可以有效避免敌手对本系统的数据窃听，也可以防止敌手捕获我方蜜罐后的仿冒接入行为。另一方面，本系统也构造了伪随机发生器，从而保证每一个蜜罐中的任意协议引擎都是完全不同，从而也可以有效避免批量识别我方系统的风险；

本系统一旦构建完毕，则在互联网形成了一个弹性、自组织的数据采集系统，随着探针数量的增加，可以采集到海量恶意（或仅仅为探测）的数据报文。为了对这些数据进行有效识别，我们需要建立专门的知识库，它应该包括：恶意行为指纹库、恶意组织指纹库、危害等级评价等级库、外部威胁情报库等，这些知识库可以帮助我们从海量的数据当中根据行为、组织、地域、国家等维度进行精确分析。目前，我们要根据我们的业务按特性建立机器学习引擎，从而可以使得我们的系统具备自我反馈、学习能力，帮助我们的系统自动从海量的数据当中抽取有价值的特征填充到知识库中，并指导未来的深度分析。

为解决基于端口的报文识别分析所产生的问题，提出了基于载荷（Payload）的协议识别算法，即从网络数据包中提取用于识别的信息。深度报文检测（Deep Packet Inspection，DPI）技术就是在分析包头的基础上，增加了对应用层载荷的分析，是一种基于应用层的流量检测和控制技术，当数据流流经监控设备时，DPI引擎通过匹配关键代码段、数据包长度等信息对应用层协议进行识别分析。

与DPI技术进行应用层的载荷匹配不同，动态流检测（Dynamic Flow Inspection，DFI）采用的是一种基于流量行为的协议识别技术，DFI技术首先通过分析数据流的数据包长度、连接速率、传输字节数、包与包之间的时间间隔等信息来建立数据模型，将流量模型与网络传输的数据流进行比对，从而实现应用层数据的分类识别。

构建工控恶意行为知识库，对捕获的流量进行实时代码审计。流量检测主要基于协议解析与流量识别，以及特征匹配技术。在协议解析和流量识别的基础上，通过恶意行为的特征码、通信指纹、异常数据等实现恶意代码流量的检测与识别。依托的恶意行为知识库需要特征数量庞大、尽可能全面覆盖已知恶意代码，同时具备不断自我完善更新、自我反馈的能力。

关键信息基础设施安全态势感知是一项综合的信息采集、利用技术，目标是推动相关单位工业控制系统网络安全保障建设。为了有效发挥关键信息基础设施安全态势感知系统的能力，还必须了解相应的应用场景。在这里，我们更深入地探讨不同场景下不同角色分别如何使用关键信息基础设施安全态势感知系统。

3.1 为安全运维人员发现隐患提供技术支撑

近年来，随着网信办、工信部、公安部等部委在各省推动的工业网络安全检查工作的深入开展，针对工业控制系统网络安全的运维工作也逐步完善起来。日常安全运维是工业控制系统网络安全保障的重要环节，参与该层面的人员包括信息网络的日常运维人员、安全运维人员，以及生产控制网络的运维检修人员等。

一般来讲，工业企业的网络安全运维人员会分别隶属于两类部门：信息管理部门和自动化部门，其中信息管理部门的安全运维人员主要负责公司内部信息系统的网络安全相关问题，自动化部门的安全运维人员则主要负责独立的生产控制网络的网络安全事件。然而，一直以来由于缺乏有效手段，信息系统安全运维人员和生产控制网络安全运维人员都不能有效发现针对工业控制系统的潜在恶意行为。

一、概述

网络钓鱼攻击，向来是具有伊朗背景的恶意组织用于获取账户的最常见渗透形式。CERTFA分析了该恶意组织最新的网络钓鱼攻击活动，该攻击被称为“迷人小猫的归来”（The Return of The Charming Kitten）。

在此次恶意活动中，恶意组织主要针对参与对伊朗经济和军事制裁的组织，以及世界范围内的特定政治家、公民、人权活动家和记者。

通过CERTFA的调查表明，攻击者明确清楚受害者会使用两步验证（Two-step Verification），包括验证码和电子邮件帐户（例如Yahoo!和Gmail）。基于这一点，CERTFA认为，这些攻击的最有效方法，就是使用YubiKey等安全密钥。

二、背景

在2018年10月初，Twitter用户 @MD0ugh 发现一群伊朗黑客针对美国金融机构基础设施进行网络钓鱼攻击。据这名用户说，这些袭击可能是针对美国对伊朗新一轮制裁的反击。

三、攻击方法

我们的调查表明，攻击者正在利用不同的方式进行攻击，这些方式可以大致分为两类：

1、通过未知的电子邮件、社交媒体、消息帐号进行网络钓鱼攻击。

2、攻击者首先攻陷公众任务的电子邮件、社交媒体、消息帐号，然后利用它们进行网络钓鱼攻击。

我们还发现，攻击者在进行网络钓鱼攻击之前，首先收集了有关其目标的信息。攻击者根据目标的网络知识水平、联系人、活动、工作时间和地理位置，为每个目标设置了具体的计划。

我们还注意到，与此前的网络钓鱼活动不同，在某些情况下，攻击者在最新一轮攻击中，没有更改受害者帐户的密码。这样一来，攻击者的攻击行为就能够尽可能隐蔽，同时也能通过邮箱实时监控受害者的电子邮件通信。

通过使用这种手段，攻击者假装电子邮件提供商，向目标发送安全警报，并诱导用户立即点击查看并限制可以访问。在目标链接部分提供了更多的详细信息。

发送带有标题的链接（例如来自Google云盘的共享文件）是黑客近年来经常使用的技巧之一。与之前的攻击相比，这些攻击的独特之处是在于它们使用Google Site，其允许攻击者展示Google Drive的虚假下载页面，并诱使用户认为它是一个真正的Google Drive页面。

通过创建具有相同设计和外观的Google云盘文件共享页面，攻击者可以假装与用户共享文件，诱导用户下载文件并在其设备上运行。随后，攻击者使用其攻陷的Twitter、Facebook和Telegram帐户发送恶意链接，并进一步传播给新的用户。事实上，这一过程中没有任何文件产生，攻击者利用这一页面将其目标定向到假的Google登录页面，诱使用户输入他们的凭证详细信息，包括双因素身份验证。

四、攻击结构

目前来说，大多数攻击都是通过网络钓鱼邮件来实现的。因此，在最近的网络钓鱼恶意活动中，查看原始邮件会对我们的分析过程很有帮助。

1、值得信赖的阶段：全球互联网用户都认为Google的主域名（google.com）是一个安全可靠的地址。但攻击者滥用这一事实，在sites.google.com（Google的子域名）上创建虚假页面，来欺骗大众。Google的网站服务使用户能够在上面显示各种内容。攻击者如果利用此功能发送虚假警报，并将目标重定向到不安全的网站，或者将嵌入式网络钓鱼页面作为页面上的iframe。

2、不受信任的阶段：由于Google可以快速识别并删除sites.google.com上的可疑链接和恶意链接，因此攻击者也可以使用自己的网站。网络钓鱼网站的链接与过去几年的早期网络钓鱼活动具有相似的模式。例如，攻击者会在域名和网络钓鱼URL中使用诸如“管理”、“自定义”、“服务”、“标识”、“会话”、“确认”这类字词，来欺骗想要验证其网站地址的用户。

为了绕过Google的安全系统和反网络钓鱼系统，攻击者在他们的电子邮件正文中使用了图像，以此来替换文本。为此，攻击者还使用Firefox Screenshot4等第三方软件来托管他们的电子邮件图像。

攻击者在电子邮件正文中，使用单独的隐藏图像，以便在目标打开电子邮件时通知他们。这个技巧可以帮助攻击者在目标打开电子邮件并点击网络钓鱼链接后立刻开展行动。

五、钓鱼页面

除了电子邮件和网络钓鱼链接的内容结构之外，我们还确信攻击者使用了自定义的平台来创建和存储用户的详细凭据信息。我们还注意到，攻击者为桌面版和移动版Google及Yahoo!邮件服务设计了网页仿冒页面，将来还可能会扩展到其他服务。

在最近的攻击中，攻击者使用了一种有意思的技术，一旦他们的目标输入用户名和密码，攻击者会立即检查这些凭据，如果正确给出了这些信息，他们就会要求提供双因素验证码。

换而言之，攻击者会在自己的服务器上实时检查受害者的用户名和密码，即使启用了双因素身份验证（例如短信、验证APP或一键登录），他们也可以欺骗目标用户，并获取到相应的信息。

下图展现了网络钓鱼页面的一些示例，这些都是由该恶意组织精心制作的。

用于输入Gmail帐户密码的虚假页面：

用于输入Gmail帐户两步验证码的虚假页面：

用于输入Yahoo!帐户密码的虚假页面：

用于输入Yahoo!帐户两步验证码的虚假页面：

六、攻击者足迹

我们针对这一系列恶意活动展开深入研究，发现攻击者已经建立了大量的域名。根据最新调查结果显示，此类网络钓鱼活动在相对较短的时间内（2018年9月至11月）就使用了20多个域名。在撰写本报告时，网络钓鱼域名的数量有所增加。通过我们对这些服务器的更深入调查，发现了这些域名网络在近期的攻击中是如何被使用的。

我们对该恶意活动中一些域名和服务器进行了分析，发现其使用的方法、技术和目标与Charming Kitten（迷人小猫）组织非常相似，这是一群与伊朗政府有关联的黑客。因此，我们认为这一恶意组织已经重出水面，针对世界各地的用户发起新一轮网络攻击，并且更加关注以色列和美国地区。

七、总结

网络钓鱼攻击是伊朗黑客窃取数据和进行黑客攻击的最常用方法，但此次恶意活动中最重要的事实是它发生的时机。这场恶意活动是在2018年11月4日前后几周发动的，当时美国对伊朗实施了新一轮的制裁。该恶意活动试图通过渗透非伊朗的政治任务和对伊朗实施经济及军事制裁的当局帐户，来收集信息。

换而言之，与伊朗政府有关联的黑客组织，根据伊朗政府的政策、国际利益以及伊朗想要间接影响的地方来选择目标。

最后，我们向科技公司、政策制定者、民间社会学者和互联网用户提出一系列建议，从而有效减轻此类攻击的威胁，甚至抵御此类攻击。

1、停止使用文本信息或短信的双因素认证方式。

2、使用安全密钥（例如YubiKey）对涉及敏感工作或活动的高级别人士进行双因素身份验证。

3、不要使用一键登录验证过程。

1、向员工通报所有网络钓鱼威胁事件，并鼓励员工使用YubiKey等安全密钥进行双因素身份认证，并且激活Google的高级安全保护。

2、始终使用公司和机构的电子邮件帐户进行敏感通信，不要使用个人电子邮箱。根据公司或组织的通信策略，更改发件人策略框架或SPF6设置，例如限制从工作网络外部接收电子邮件。举例来说，G Suite允许管理员阻止接收未经授权的地址或域名发来的邮件。

3、鼓励公众通过Google Authenticator等移动应用进行额外验证，并在帐户中启用双因素身份验证。

1、不要点击未知链接。如果要查看帐户中的可疑活动，或更改密码，用户可以直接在电子邮箱中转到“我的帐户”设置界面，而不是点击任何链接，这样更加安全。

2、对敏感电子邮件使用PGP等加密方式进行加密，防止攻击者非法读取邮件内容。

3、不要将机密和敏感信息以纯文本的形式存储在邮箱中。

4、在URL的域名前，如果有“HTTPS”，并不意味这个网站的内容是安全或可信的，它只是HTTP协议的一种安全扩展。需要知道，许多钓鱼网站目前也在HTTPS协议下运行。

当今时代，网络攻击不是会不会发生而是什么时候发生的问题。这意味着全世界的工业设施都需重新审视和安排自身在数字工业网络安全上的投资。随着优先级的迁移，相对于传统防护战术，提升在事件检测与响应策略及工具方面的投资力度就成了当务之急。

换句话说，打造典型网络安全边界期望能拦住攻击者的做法已经不再适用，必须设计处理攻击的规程，准备好一旦有人侵入便能立即缓解并修复任意损害。

当今企业IT世界中，因披露法规和新条例公众意识的加强，这一问题的范围已经很是清晰了。但在运营技术(OT)领域，很多公司企业仍在艰难调整适应，安全支出的二八定律―― 80%投入防护，20%投入检测与响应，也依然适用 。

情况即将发生改变的迹象已经出现。对油、气、水、电、制造、交通和医疗等关键基础设施提供商来说，没做足事件应对准备可能就意味着违反新的监管规定，比如欧盟的网络与信息系统安全指令(NIS指令)。但合规只是驱动因素之一，组织良好有条理的事件处理计划也可以改善安全，有助于防止金融或声誉损失。

工业OT环境事件检测与响应的一个主要难题是其同质性远低于典型IT环境。IT环境中，一款windows恶意软件可以泛滥成灾并颇具破坏性，但故障排除技术的可用性却相对较高。

相对之下，对OT环境的成功攻击则可影响不同供应商的多个不同系统。面对这种复杂性，想要理解恰当的响应就需要高度专业化的技能和多方参与了，比如工程、供应商、系统集成商等等。由于OT系统往往缺乏全面的日志记录或长期数据保存，隔离问题的取证工具包也与IT领域的完全不同，有时候甚至是完全没有工具可用。

让问题更加棘手的是， OT环境同时面临着普通恶意软件和高端特定威胁的双重风险 ，而应对不当就有可能导致危及物理过程的灾难性后果。比如说，Triton恶意软件就是砸了大价钱设计来针对全球电站使用的那类安全仪表系统(SIS)的。若非无意中触发了该SIS，这款恶意软件或许直到交付了最终攻击载荷才会被发现。虽然我们可能永远不会知晓其创建者的目的是什么，但该恶意软件无疑具备在危险环境中制造大规模电力中断的潜力，或许还会造成人员伤亡。

Triton和其他OT恶意软件，比如震网、Duqu和Shamoon，均在目标系统中潜伏了数月之久。国家力量投入人力物力处理并调查这些事件，若说没有其他类似威胁潜藏，未免太过天真。

于是，如果工业环境中发生网络安全事件，你该做什么？检测与响应策略最佳实践指南遵循以下七步：准备、识别、遏制、根除、恢复、学习、测试和重复。

首先，事件计划中的关键字不是“事件”。凡事预则立不预则废，做好准备意味着要进行一整套深入全面的风险评估，解决从员工培训到制定事件发生时的重要联系人列表等一应事务。而且不仅仅是知道该联系谁，还必须考虑到涉及如何联系的任何潜在困难。

能断绝通信、制造危险环境，或者在钻井平台之类远程站点发生的事件，必须做好应对准备，并且经常更新应对措施。事件应对准备阶段还应确保外部各方也参与进来，就像跟进合同义务一样。

第二步涉及事件识别，也是很多公司企业困扰的地方。想要采取恰当的应对措施，发现异常行为和正确分类行为的能力就至关重要了。渗透测试往往能成功的事实就说明事件识别方面的工作还有加强。值得庆幸的是，现在确实有工具可以提供启发式监视和攻击早期预警。

事件被证实后，就应了解事件本质及其潜在破坏力。滤掉误报需要经验和高超的技术。

识别之后就是遏制，这又是个需要列出恰当行动方案保持危机时头脑冷静的活儿。过度反应与反应不足都会对运营造成伤害。断掉一台联网主机还是隔离一条生产线才能遏制威胁？有没有公司网络上发现恶意软件就隔离OT网络的计划？正确的策略可以防止不必要的宕机，也能在系统状态数据保存良好的情况下更易于取证调查。

声誉损害控制的重要性也是不言自明。危机时刻能够详实透明地沟通能防止问题继续发酵。

第四和第五步需要根除威胁并尽快让环境重新上线。理想情况下就是通过合理的过程从可信“黄金镜像”备份中恢复。

然而，备份与恢复确实存在特定的困难。一个关键问题就是定期测试该恢复能力与备份本身了。停止生产线进行全面演练不太可能，维护一个环境副本用于测试更是成本高到离谱。已经被业内广泛采用的虚拟化之类技术可以提供所需的灵活性与保障。

最后，第六步和第七步强调从每个事件中记录与学习，识别出弱点，防止同类事件重现。然后微调并测试你的过程，用攻击模拟、演习和对抗培训员工，不断重复这一过程。

但是，其中我们不断强调的一个关键词是人才。事件响应计划的有效性取决于创建并执行该计划的人，而这些人才需在长期投资不足的欠账中培养出来。公司企业将不得不利用能提供跨行业OT经验的外部实体服务，而且最好作为合作伙伴事先预测问题，而不是作为遭攻击后的受害者加入进去。

The last tutorial was all about Infrastructure as a Service (IaaS) . Today, we will learn Id entity a s a S ervice (IDaaS). An Identity as a service will build, manage, and host, by the third-party service provider. Here, we will discuss the working of Single Sign-on (SSO) with its benefits. At last, we will cover some disadvantages and applications of IDaaS.

Identity as a Service (IDaaS)

Identity as a Service refers to the identity and access management service which serve through the cloud by subscribing into it. It can be purchased as a subscription-based managed service. It has virtualized hardware and it can be accessed without any complexities. The service provider can host an application by charging some amount and provide access to the clients as per their demand.

They provide the service in a secure manner as the data is secured and work can share with anyone else. It relies so much on the active directory and lightweight directory access protocol for their IAM services.

In addition, there are far more things like devices and objects which configures their identity in different ways. These identities are creating and storing in the databases, which can find in the network with the help of network identity.

Employees are facing several login problems such as remembering the username and password to access the data. If the employee resigns, the data stored on the computer must be completely erased. This can be done with the help of IdaaS, which also used for electronic transactions.

Single Sign-on is an authentication process, with a user can access multiple applications. This requires only one set of log-in information. With the help of LAN, the client can access multiple resources. Through SSO, a user doesn’t have to log in again and again. The mechanism of SSO varies from application to application. Single Sign-On can use with other authentication techniques which can be either smart cards or OTP tokens.

Here, we are going to talk about several components and functions of Identity as a Service, let’s discuss them one by one:

Identity as a Service (IDaas) Components and Functions

A multitenant architecture provides lots of benefit such as the vendor can issue updates, security fixtures , and improves performance. It also modifies the capability to manage access provision and governance effectively.

The most important need of IDaaS is identity and access management. IDaaS in Cloud computing offer features like multi-factor authentication, digital access cards, and biometrics. These features help to easily retrieve the information in a secure manner.

SSO enhance the experience of the end user while maintaining security and availability of the network to users as intended. The user can use the safest password combination without working hard to remember, which use to access services on regular basis. It also benefits in another way, as it helps to manage secure authentication for third-party cloud services.

Analytics and intelligence capabilities are used to report the use of access privileges in the context of multifaceted relationships. This relationship is between users, their roles and responsibilities, job function, and data usage. This information allows the organization to identify anomalies for former employee’s awesome specific type of workforce segment.

The governance, risk and compliance supportby modifying the automation and intelligence capabilities of an Identity as a Service system. This IDaaS function helps an organization defined and automate the application specific processes, which will get familiar with the access and usage patterns.

After the introduction, let’s talk about working of Single sign-on:

It’s time to list down all the benefits of SSO in Identity as a Service:

There are several disadvantages to Identity as a Service. Provisioning identity on the website, with software like active directory domain services, are often full of prices. The team should pay hosting fees; monitor the extra turf on premises for network security; established continue servers; purchase, upgrade, and install software; keep a copy data regularly; VPNs and many more. With IDaaS, prices drop to the subscription fee and therefore the administration work. That’s it.

ROI for Identity as a Service includes an enhanced version of cybersecurity. Besides savings, it includes improvement in cybersecurity and saved time with quicker logins and fewer word resets. Whether or not a user is sign language in from open wireless local area network at a field or from a table within the workplace, the method is seamless and secure. The improved security will keep corporations from facing a hack or breach that may topple their business.

There are numerous technologies which comprise IDaaS. Accommodative multi-factor authentication is one such use. This is often a feature wherever users submit multiple factors to realize entry to the network. Thus increasing security over single-factor authentication, and dynamically access will grant, depending on what quantity risk users present.

So, this was all aboutIdentity as a Service (IDaas) Tutorial. Hope you liked our explanation.

As we can say Identity as a Service tackle any problem. The problem congestion and eliminates privilege component access, or any other defined right. Establishing IDaaS is trustworthy and can do anything that an object claims possession of.

Still, have a doubt feel free to ask in the comment section.

Many security experts, including me, predicted that in 2018 we would see a continued explosion in ransomware , as we saw in 2017. And while ransomware has continued to be a significant problem, and smaller businesses especially still struggle with it, the 2018 Isaca State of cybersecurity whitepaper indicates a decrease in the percentage of respondents experiencing a ransomware attack, from 62% in 2017 to 45% in 2018 hardly an explosion.

Part of the reason for this is that companies are better prepared to defend against and respond to ransomware attacks. The Isaca research shows that 86% of respondents have an enterprise strategy in place to reduce the odds of a ransomware attack, and 78% have a formal response to deal with ransomware. In 2017, only 53% had a formal way to deal with ransomware.

However, the other reason for the decline in the percentage who saw ransomware attacks is due to something unexpected that occurred in 2018 the emergence of malware that implemented cryptomining on the victim’s system.

The rise of cryptomining malware displacing ransomware attacks makes sense, since both allow the attacker to extract money directly from the victim. In the case of cryptomining malware, the victim’s systems’ CPU or GPU cycles are used to mine cryptocurrency on behalf of the attacker.

One advantage to cryptomining malware is that the victim may not notice that the system has been infected for a very long time. Another advantage is that all victim systems provide a monetary return to the attacker; the disadvantage is that the amount earned per system is likely to be less than $100 per year, so many systems must be infected for the attacker to extract large amounts of money.

On the other hand, a successful ransomware attack can extract more money in a shorter time. However, not all victims pay and, of course, since the ransomware has to notify the victim to pay the ransom, it is detected quickly.

In 2018, many artificial intelligence (AI) experts, along with the University of Cambridge and University of Oxford, collaborated on an important paper entitled The malicious use of artificial intelligence: forecasting, prevention and mitigation . Outlining potential dangers for AIand its malicious use, the paper calls for policy makers and technical researchers to collaborate closely to investigate, prevent and mitigate potential malicious misuse of AI.

Given the speed with which AI is progressing, this action should occur in 2019, but probably will not, due to the difficulties of getting policy makers and technical researchers to engage in such a fashion. Such a delay will increase the risk of AI being successfully misused for malicious purposes.

CW Security Think Tank contributors’ wish list for 2019 Prioritise multifactor authentication in 2019 . Let’s get back to basics in 2019 . Align security strategy to business objectives . Put collaboration on 2019 security agenda . Let’s hope for treaty on online norms . Strong 2FA should be a goal in 2019 .

坚持总体国家安全观，是习近平新时代中国特色社会主义思想的重要内容。党的十九大报告强调，统筹发展和安全，增强忧患意识，做到居安思危，是我们党治国理政的一个重大原则。习近平同志围绕总体国家安全观发表的一系列重要论述，立意高远，内涵丰富，思想深邃，把我们党对国家安全的认识提升到了新的高度和境界，是指导新时代国家安全工作的强大思想武器，对于新时代坚持总体国家安全观，坚定不移走中国特色国家安全道路，完善国家安全体制机制，加强国家安全能力建设，有效维护国家安全，实现“两个一百年”奋斗目标、实现中华民族伟大复兴的中国梦，具有十分重要的意义。

为贯彻落实习近平新时代中国特色社会主义思想和党的十九大精神，帮助广大干部群众系统学习、理解、掌握习近平同志关于总体国家安全观的重要论述，中共中央党史和文献研究院编辑了《习近平关于总体国家安全观论述摘编》。本书内容，摘自习近平同志二○一二年十一月十五日至二○一八年三月二十日期间公开刊发的讲话、报告、谈话、指示、批示、贺信等一百八十多篇重要文献，分四个专题，共计四百五十段论述。该书第二专题第八部分重点阐述“维护网络安全 ”，部分精彩论述如下：

网络安全和信息化是事关国家安全和国家发展、事关广大人民群众工作生活的重大战略问题，要从国际国内大势出发，总体布局，统筹各方，创新发展，努力把我国建设成为网络强国。

――《在中央网络安全和信息化领导小组第一次会议上的讲话》(2014年2月27日)，《人民日报》2014年2月28日

网络安全和信息化是一体之两翼、驱动之双轮，必须统一谋划、统一部署、统一推进、统一实施。做好网络安全和信息化工作，要处理好安全和发展的关系，做到协调一致、齐头并进，以安全保发展、以发展促安全，努力建久安之势、成长治之业。

――《在中央网络安全和信息化领导小组第一次会议上的讲话》(2014年2月27日)，《人民日报》2014年2月28日

没有网络安全就没有国家安全，没有信息化就没有现代化。建设网络强国，要有自己的技术，有过硬的技术;要有丰富全面的信息服务，繁荣发展的网络文化;要有良好的信息基础设施，形成实力雄厚的信息经济;要有高素质的网络安全和信息化人才队伍;要积极开展双边、多边的互联网国际交流合作。建设网络强国的战略部署要与“两个一百年”奋斗目标同步推进，向着网络基础设施基本普及、自主创新能力显著增强、信息经济全面发展、网络安全保障有力的目标不断前进。

――《在中央网络安全和信息化领导小组第一次会议上的讲话》(2014年2月27日)，《人民日报》2014年2月28日

中国是网络安全的坚定维护者。中国也是黑客攻击的受害国。中国政府不会以任何形式参与、鼓励或支持任何人从事窃取商业秘密行为。不论是网络商业窃密，还是对政府网络发起黑客攻击，都是违法犯罪行为，都应该根据法律和相关国际公约予以打击。国际社会应该本着相互尊重和相互信任的原则，共同构建和平、安全、开放、合作的网络空间。

――《在华盛顿州当地政府和美国友好团体联合欢迎宴会上的演讲》(2015年9月22日)，《十八大以来重要文献选编》(中)，中央文献出版社2016年版，第686-687页

尊重网络主权。《联合国宪章》确立的主权平等原则是当代国际关系的基本准则，覆盖国与国交往各个领域，其原则和精神也应该适用于网络空间。我们应该尊重各国自主选择网络发展道路、网络管理模式、互联网公共政策和平等参与国际网络空间治理的权利，不搞网络霸权，不干涉他国内政，不从事、纵容或支持危害他国国家安全的网络活动。

――《在第二届世界互联网大会开幕式上的讲话》(2015年12月16日)，《人民日报》2015年12月17日

一个安全稳定繁荣的网络空间，对各国乃至世界都具有重大意义。在现实空间，战火硝烟仍未散去，恐怖主义阴霾难除，违法犯罪时有发生。网络空间，不应成为各国角力的战场，更不能成为违法犯罪的温床。各国应该共同努力，防范和反对利用网络空间进行的恐怖、淫秽、贩毒、洗钱、赌博等犯罪活动。不论是商业窃密，还是对政府网络发起黑客攻击，都应该根据相关法律和国际公约予以坚决打击。维护网络安全不应有双重标准，不能一个国家安全而其他国家不安全，一部分国家安全而另一部分国家不安全，更不能以牺牲别国安全谋求自身所谓绝对安全。

――《在第二届世界互联网大会开幕式上的讲话》(2015年12月16日)，《人民日报》2015年12月17日

网络空间同现实社会一样，既要提倡自由，也要保持秩序。自由是秩序的目的，秩序是自由的保障。我们既要尊重网民交流思想、表达意愿的权利，也要依法构建良好网络秩序，这有利于保障广大网民合法权益。网络空间不是“法外之地”。网络空间是虚拟的，但运用网络空间的主体是现实的，大家都应该遵守法律，明确各方权利义务。要坚持依法治网、依法办网、依法上网，让互联网在法治轨道上健康运行。同时，要加强网络伦理、网络文明建设，发挥道德教化引导作用，用人类文明优秀成果滋养网络空间、修复网络生态。

――《在第二届世界互联网大会开幕式上的讲话》(2015年12月16日)，《人民日报》2015年12月17日

安全和发展是一体之两翼、驱动之双轮。安全是发展的保障，发展是安全的目的。网络安全是全球性挑战，没有哪个国家能够置身事外、独善其身，维护网络安全是国际社会的共同责任。各国应该携手努力，共同遏制信息技术滥用，反对网络监听和网络攻击，反对网络空间军备竞赛。中国愿同各国一道，加强对话交流，有效管控分歧，推动制定各方普遍接受的网络空间国际规则，制定网络空间国际反恐公约，健全打击网络犯罪司法协助机制，共同维护网络空间和平安全。

――《在第二届世界互联网大会开幕式上的讲话》(2015年12月16日)，《人民日报》2015年12月17日

网络空间是亿万民众共同的精神家园。网络空间天朗气清、生态良好，符合人民利益。网络空间乌烟瘴气、生态恶化，不符合人民利益。谁都不愿生活在一个充斥着虚假、诈骗、攻击、谩骂、恐怖、色情、暴力的空间。互联网不是法外之地。利用网络鼓吹推翻国家政权，煽动宗教极端主义，宣扬民族分裂思想，教唆暴力恐怖活动，等等，这样的行为要坚决制止和打击，决不能任其大行其道。利用网络进行欺诈活动，散布色情材料，进行人身攻击，兜售非法物品，等等，这样的言行也要坚决管控，决不能任其大行其道。没有哪个国家会允许这样的行为泛滥开来。我们要本着对社会负责、对人民负责的态度，依法加强网络空间治理，加强网络内容建设，做强网上正面宣传，培育积极健康、向上向善的网络文化，用社会主义核心价值观和人类优秀文明成果滋养人心、滋养社会，做到正能量充沛、主旋律高昂，为广大网民特别是青少年营造一个风清气正的网络空间。

――《在网络安全和信息化工作座谈会上的讲话》(2016年4月19日)，人民出版社单行本，第8-9页

互联网核心技术是我们最大的“命门”，核心技术受制于人是我们最大的隐患。一个互联网企业即便规模再大、市值再高，如果核心元器件严重依赖外国，供应链的“命门”掌握在别人手里，那就好比在别人的墙基上砌房子，再大再漂亮也可能经不起风雨，甚至会不堪一击。我们要掌握我国互联网发展主动权，保障互联网安全、国家安全，就必须突破核心技术这个难题，争取在某些领域、某些方面实现“弯道超车”。

――《在网络安全和信息化工作座谈会上的讲话》(2016年4月19日)，人民出版社单行本，第10页

维护网络安全，首先要知道风险在哪里，是什么样的风险，什么时候发生风险，正所谓“聪者听于无声，明者见于未形”。感知网络安全态势是最基本最基础的工作。要全面加强网络安全检查，摸清家底，认清风险，找出漏洞，通报结果，督促整改。要建立统一高效的网络安全风险报告机制、情报共享机制、研判处置机制，准确把握网络安全风险发生的规律、动向、趋势。要建立政府和企业网络安全信息共享机制，把企业掌握的大量网络安全信息用起来，龙头企业要带头参加这个机制。

――《在网络安全和信息化工作座谈会上的讲话》(2016年4月19日)，人民出版社单行本，第17-18页

增强网络安全防御能力和威慑能力。网络安全的本质在对抗，对抗的本质在攻防两端能力较量。要落实网络安全责任制，制定网络安全标准，明确保护对象、保护层级、保护措施。哪些方面要重兵把守、严防死守，哪些方面由地方政府保障、适度防范，哪些方面由市场力量防护，都要有本清清楚楚的账。人家用的是飞机大炮，我们这里还用大刀长矛，那是不行的，攻防力量要对等。要以技术对技术，以技术管技术，做到魔高一尺、道高一丈。

――《在网络安全和信息化工作座谈会上的讲话》(2016年4月19日)，人民出版社单行本，第18-19页

目前，大国网络安全博弈，不单是技术博弈，还是理念博弈、话语权博弈。我们提出了全球互联网发展治理的“四项原则”、“五点主张”，特别是我们倡导尊重网络主权、构建网络空间命运共同体，赢得了世界绝大多数国家赞同。

――《在网络安全和信息化工作座谈会上的讲话》(2016年4月19日)，人民出版社单行本，第19页

网络信息技术是全球研发投入最集中、创新最活跃、应用最广泛、辐射带动作用最大的技术创新领域，是全球技术创新的竞争高地。我们要顺应这一趋势，大力发展核心技术，加强关键信息基础设施安全保障，完善网络治理体系。要紧紧牵住核心技术自主创新这个“牛鼻子”，抓紧突破网络发展的前沿技术和具有国际竞争力的关键核心技术，加快推进国产自主可控替代计划，构建安全可控的信息技术体系。要改革科技研发投入产出机制和科研成果转化机制，实施网络信息领域核心技术设备攻坚战略，推动高性能计算、移动通信、量子通信、核心芯片、操作系统等研发和应用取得重大突破。

――《在十八届中央政治局第三十六次集体学习时的讲话》(2016年10月9日)，《人民日报》2016年10月10日

要切实保障国家数据安全。要加强关键信息基础设施安全保护，强化国家关键数据资源保护能力，增强数据安全预警和溯源能力。要加强政策、监管、法律的统筹协调，加快法规制度建设。要制定数据资源确权、开放、流通、交易相关制度，完善数据产权保护制度。要加大对技术专利、数字版权、数字内容产品及个人隐私等的保护力度，维护广大人民群众利益、社会稳定、国家安全。要加强国际数据治理政策储备和治理规则研究，提出中国方案。

――《在十九届中央政治局第二次集体学习时的讲话》(2017年12月8日)，《人民日报》2017年12月10日

Citing posts by security researcher Jamie Hankins on Twitter , Bleepingcomputer reports thatWannacry ransomware is still active, but dormant, on thousands of computers across the world. Jamie Hankins reportedly contained the infection last year by setting up a "kill switch" domain in 2017. As long as infected computers can periodically ping this domain, Wannacry stays dormant. The kill switch domain, which is apparently hosted by Cloudflare now, reportedly received 17 million beacons from over 630,000 unique IPs in a one week period. While these connections came from 194 countries, around half of them originated in China, Indonesia, and Vietnam.

Discussion

Posted byalphaatlas 9:43 AM (CST)

All motor vehicles will come fitted with tamper-proof high security registration plates (HSRPs) from April 1 to protect against counterfeiting.

The transport ministry has notified mandating that HSRP (tamper-proof high security registration plates) including the third registration mark, wherever required, shall be supplied by vehicle manufacturers along with the vehicle manufactured on or after 1 April, 2019 to their dealers,” Transport Minister Nitin Gadkari told Lok Sabha in a written reply.

An HSRP is a chromium-based hologram applied by hot stamping on the number plates both at the front and back besides laser-branding of a permanent identification number.

―――

What opportunity does it open for startups (and others)?

12月25日，中国最大的网络安全公司360获人民网颁发的2018“人民匠心企业奖”，作为唯一入选的网络安全公司，360集团12年来专注网络安全核心技术研发和产品创新，得到了“人民之选”专业评审委员会的认可。

作为业内最具影响力的评选活动之一，"人民之选"活动已连续举办了15届，该评选由人民日报社指导、人民网主办，旨在遴选优质的企业和产品，用高质量的产品及服务，满足人民群众对美好生活的向往，推动中国品牌再上新台阶，努力实现更高质量、更有效率、更加公平、更可持续的发展。

国家市场监督管理总局总工程师韩毅在颁奖现场表示，质量发展是强国之基、立业之本、转型之要。

中国工程院院士倪光南表示，进入新的时代，我国要实现由制造大国向制造强国的转变，需要坚持科技创新和质量强国的双轮驱动，促进我国产业迈向全球价值链中高端，实现我国经济由高速增长阶段转向高质量发展。

人民网此次对匠心企业的评选主要看重该企业在产品创新和质量维护上持之以恒的努力。而360的各产品线产品在这个方向上都做出了表率，以360手机卫士为例，12月初，360手机卫士已经出到了8.0版本。最新版本通过搭载360安全大脑，全面实现了骚扰拦截+病毒查杀+文件清理三大功能。

公开数据显示，2018上半年,用户通过360手机卫士标记的各类骚扰电话号码约2943.7万个，平均每天标记骚扰电话16万个。而拦截总量上，360手机卫士已为全国用户识别和拦截各类强扰电话高达195亿次。

360手机卫士8.0具备如此强大的拦截功能，背后是搭载了全球最大的智能安全防御系统――360安全大脑，同时具备伪基站短信、钓鱼网站、包含木马病毒的链接等识别能力，能准确判别各种方式、各种话术、文本形式发到用户手机的垃圾信息，本地和云端的判别模型的准确率都达到了99%以上。

值得一提的是，安全大脑是360在今年5月份提出，它具备感知、学习、推理、预测和决策五项核心能力，已经在网络安全态势感知、QVM病毒木马智能查杀、大数据关联分析和推理进行的APT溯源分析、Mirai物联网僵尸网络攻击的率先预警AI辅助决策等方面得到了广泛的落地应用。

据透露，360安全大脑背后是全世界最大的安全专利技术集群，累计申请3666项中国专利和337项国际专利，合计超过4000项专利。这些专利是360安全大脑的主要技术支撑，也是360作为一家网络安全公司持续创新的印证。

360集团董事长兼CEO周鸿yN曾表示，“安全大脑”将成为未来5到10年，解决网络安全问题的一种技术思路或技术方向。而且360愿意把“安全大脑”的能力、资源和技术开放出来，与企业、科研院所、高校等深度合作，共同把“安全大脑”打造成为网络安全领域的核心技术，构建大生态，打造大产业。

雷锋网版权文章，未经授权禁止转载。详情见 转载须知 。

As we close out 2018, we at Security Boulevard wanted to highlight the five most popular articles of the year. Following is the fourth in our weeklong series of the Best of 2018.

The European Union’s General Data Protection Regulation (GDPR) takes effect May 25 and the penalties are stiff for failing to comply. Many are still unsure whether their companies are safely out of harm’s way. The regulation is long and full of terrors, to be sure. However, resistance is futile.

Recent Articles By Author

Lack of User Privacy Threatens Security Defenses State of Eavesdropping on Mobile Devices Phishers’ Favorite Brands to Spoof

“Many organizations are saying that they will simply refuse traffic from EU countries, and think that will dispense with the need to comply with GDPR,” said Anne P. Mitchell , attorney, GDPR compliance consultant, and author of Section 6 of the CAN-SPAM Act of 2003 (the Federal anti-spam law). She’s also legislative consultant and CEO/president of the Institute for Social Internet Public Policy (ISIPP), formerly known as The Institute for Spam and Internet Public Policy, among many other positions and achievements in internet law and policy issues, from both the legal and the technical sides.

“However, beyond the fact that there is simply no real way to know―because of VPNs, tethering and so forth―it is a violation of GDPR to do any sort of automated profiling of data, including to determine location,” she added. “So, the very act of detecting and geolocating an incoming IP address―unless done manually for every single IP address― is itself a violation of GDPR.”

Since there is no escape from GDPR, here are six of the trickiest obstacles security teams will have to overcome:

Cookies, IP addresses and other data points that enable someone to deduce a person’s identity are now considered personal identifying data, too. This is problematic on several fronts, since a lot of these types of data are routinely and automatically collected and because companies typically are not aware of what data they are collecting and storing. Therefore, most companies are unable to identify every instance.

“For the most part, companies already treat the standard bits of personally identifying data, such as date of birth, SSN, etc., securely, and even if it is not up to snuff for GDPR, it’s not always that difficult to get there,” said Mitchell.

“But IP addresses, for example, are a whole other ballgame because network systems take note of incoming IP addresses in a host of different ways―some of which the IT and security teams may not even think about. For example, when a sending mail server connects to your receiving mail server, your server makes note of the sending IP address. If it is storing that IP address ―which, of course, it is in mail logs―that data is subject to GDPR. Likewise, the recording and storage of IP address in the email headers in received email, which are in the mail clients of the employees, etc., at the organization. And of course, the email addresses as well.”

A privacy audit and risk assessment are in your future, if you haven’t done it already. Several experts are recommending the use of OCTAVE Allegro methodology for that.

“Unlike some risk assessment methodologies that deal with the security of a particular system, OCTAVE deals with data assets, what they are, who has access, where they are stored, and what threats they are exposed to,” said Tom DeSot, EVP and CIO of Digital Defense .

“As an example, when looking at GDRP and personal information, you would want to look at the common components of the data, say ID number, and then look to see how the ID number is being collected and stored, who inside and outside the company has access to the captured information, and what threats such as a hacking breach or insider action may place the data at risk,” DeSot added. “Once you’ve done this you can begin putting mitigating controls in place.”

But wait…

“The first thing that companies need to understand is, “Where is ALL of our data that pertains to EU citizens? Where does it reside (what specific databases) and where is it in transit?” explained Greg Reber, CEO at AsTech , a San Francisco-based security consulting company. “This is more than simply a data-mapping effort, as many companies have grown organically and most likely there is not a single data architecture documentation that is all-encompassing.”

And Reber is right: Knowing where your data is can be a complicated exercise.

Dallas N. Bishoff, director of security services at PCM , an IT products retailer, gave the following examples in a scenario involving a U.S. citizen who lives in the EU as a resident and works for a U.S. company subsidiary in Europe―keeping in mind that EU residency creates the basis for GDPR protected data:

“Organizations that outsource anything related to their data in which they are providing/sharing that data to the outsourced entity can be on the hook for liability if the organization to whom they outsourced it―for example, a ‘data processor’―has a breach and especially if that data processor is not GDPR-compliant,” Mitchell warned.

Mitchell gave as an example scenario: Acme Widgets uses Great Email Newsletters to send email newsletter to Acme’s customers. To do so, it upload the list of its customers’ email addresses to GEN. GEN has a data breach. Acme can be equally on the hook for liability.

“This is why we urge our clients to add an indemnification clause in their third-party data processing contracts,” she said.

You know that part in GDPR that refers to “the right to be forgotten?” That means you’ll need to be able to delete all data about any customer or user who demands to be forgotten. But, you’ll also have to be able to provide a copy of that data if a user wishes to review what you have prior to telling you to delete it, or simply wants to see what information you have. Be sure you can find, copy and deliver or delete such information on short notice.

This regulation makes no delays or exceptions in reporting a breach. You must find it fast and report the breach immediately or your company will be hit with potentially catastrophic fines and penalties.

“One particular aspect of GDPR that requires greater consideration is the role of application development in the requirement to implement ‘data protection by design and by default,’” said Paul Farrington, solutions architect at CA Veracode. To comply with this clause, he said, you must be able to demonstrate that your application development processes are secure “by design and by default.

“This requires a shift-left of security throughout the software life cycle: from secure design and threat modelling to educating developers on secure coding practices,” Farrington explained. “Developers really need to be empowered to identify and remediate any security defects in their code―preferably, as they write it. Organizations should invest in automated and human code review, before it’s released, to ensure appropriate ‘pseudonymization’ and encryption of data.”

One more word of warning. Before you finish mastering all those hurdles in GDPR, another big challenge is headed your way. It’s called the Network Information Systems Directive ( NISD ); it pertains to network and systems security and it also comes to bear in May. At least there may be some good news in becoming compliant with NISD.

“While the GDPR and NISD have different criteria, their intent―to minimize risk―is mostly the same,” said Alexey Sapozhnikov, co-founder and CTO of prooV , an all-in-one proof-of-concept software provider. “NISD compliance is relevant for digital service providers, such as online marketplaces, online search engines and cloud service providers, and organizations should take the necessary security network and information systems measures to make sure that they are compliant.”

Good luck and may the odds be ever in your favor!

As we close out 2018, we at Container Journal wanted to highlight the five most popular articles of the year. Following is the fourth in our weeklong series of the Best of 2018.

If you use Kubernetes, you know how much it can increase development velocity and reduce operational complexity. But did you know that Kubernetes settings can also help you secure your applications? Taking advantage of orchestrator security features is one of the highest-impact steps you can take to improve your security posture.

Unfortunately, your cluster might be less secure than it could be because:

Check these nine configurations right now to ensure your Kubernetes cluster is configured for maximum security.

New security features―and not just bug fixes―are added to every quarterly update, and to take advantage of them we recommend you run the latest stable version. The best thing to do is to run the latest release with its most recent patches; but, if you can’t do that, at least run the last one or two versions. Upgrades and support can become more difficult the farther behind you fall, so plan to upgrade at least once per quarter. Using a managed Kubernetes provider can make upgrades very easy.

Check your version now:

Control who can access the Kubernetes API and what permissions they have with role-based access control (RBAC). RBAC is usually enabled by default in Kubernetes 1.6 and beyond (later in some environments), but if you have upgraded since then and haven’t changed your configuration, you’ll want to double-check your settings. Because of the way Kubernetes authorization controllers are combined, you must both enable RBAC and disable legacy attribute-based access control (ABAC).

If you are running in Google Kubernetes Engine, you can check this setting using gcloud :

Once RBAC is being enforced, you still need to use it effectively. Cluster-wide permissions should generally be avoided in favor of namespace-specific permissions. Avoid giving anyone cluster admin privileges, even for debugging―it is much more secure to grant access only as needed on a case-by-case basis.

You can explore the cluster roles and roles using kubectl get clusterrolebinding or kubectl get rolebinding all-namespaces . Quickly check who is granted the special “cluster-admin” role; in this example, it’s just the “masters” group:

If your application needs access to the Kubernetes API, create service accounts individually and give them the smallest set of permissions needed at each use site. This is better than granting overly broad permissions to the default account for a namespace.

Most applications don’t need to access the API at all; automountServiceAccountToken can be set to “false” for these.

Creating separate namespaces is an important first level of isolation between components. We find it’s much easier to apply security controls such as Network Policies when different types of workloads are deployed in separate namespaces.

Is your team using namespaces effectively? Find out now by checking for any non-default namespaces:

To limit the potential impact of a compromise, it’s best to run sensitive workloads on a dedicated set of machines. This approach reduces the risk of a sensitive application being accessed through a less-secure application that shares a container runtime or host. For example, a compromised node’s kubelet credentials can usually access the contents of secrets only if they are mounted into pods scheduled on that node―if important secrets are scheduled onto many nodes throughout the cluster, an adversary will have more opportunities to steal them.

You can achieve this separation using node pools (in the cloud or on-premises) and Kubernetes namespaces, taints, tolerations and other controls.

Sensitive metadata, such as kubelet admin credentials, can sometimes be stolen or misused to escalate privileges in a cluster. For example, a recent Shopify bug bounty disclosure detailed how a user was able to escalate privileges by confusing a microservice into leaking information from the cloud provider’s metadata service. GKE’s metadata concealment feature changes the cluster deployment mechanism to avoid this exposure, and we recommend using it until it is replaced with a permanent solution. Similar countermeasures may be needed in other environments.

Network policies allow you to control network access into and out of your containerized applications. To use them, you’ll need to make sure that you have a networking provider that supports this resource―with some managed Kubernetes providers, such as Google Kubernetes Engine (GKE), you’ll need to opt in. (Enabling network policies in GKE will require a brief rolling upgrade if your cluster already exists.) Once that’s in place, start with some basic default network policies, such as blocking traffic from other namespaces by default.

If you are running in Google Kubernetes Engine, you can check whether your clusters are running with policy support enabled:

In other environments, check that you’re using one of the network providers that support policies .

Once you know policies are supported, check to see if you have any:

LCG Kit是一个不同寻常的工具，代码使用多态shellcode和线性同余发生器（Linear Congruential Generator, LCG）来加密最后一阶段代码及payload的位置，LCG是生成伪随机数序列的算法。因为使用LCG这一特征，研究人员将其命名为LCG kit。

因为LCG kit工具创建的恶意附件在邮件攻击活动中被广泛传播，因此研究人员猜测该工具已经在暗网论坛出售了。LCG kit被小型犯罪组织用于传播RAT、窃取器，包括Loki Bot, FormBook, Agent Tesla, Remcos, AZORult, Revcode RAT, Quasar RAT。

LCG kit有许多可能的目标文档：

RTF文档

含有公式编辑器代码的OLE对象的微软Word/Excel 2007+文档

含有加载嵌入RTF文档的javascript的PDF文档

含有漏洞利用的嵌入远程RTF对象的微软Word/Excel 2007+文档

研究人员最早发现kit时，主要的攻击目标为RTF文档。之后，excel文档也被广泛使用。目前，研究人员发现了使用LCG kit创建的恶意RTF和excel文档。

M是 2^8,2^16,2^32或2^64 。在LCG Kit中， seed 值 X0 是 0 ， M 是 2^32 。乘数 m 和常数 c 是随机选择的。

然后LCG Kit会用伪随机的32位值来解密代码中的payload区，代码使用的是 XOR 。解混淆后，LCG路径是这样的：

图1: 反混淆的LCG Kit shellcode中的LCG routine

LCG Kit shellcode会用一些特征的结合使分析和逆向变得很难：

不同文档样本的Shellcode在不同的寄存器中保存LCG参数

垃圾代码( NOP, PUSH/POP pairs 等)有时是嵌套出现的(P USH x/PUSH y/POP y/ POP x ) (图2)

关联跳转(图3 and 4)

最有效的反分析特征就是使用垃圾代码，这些垃圾代码最终会使混淆分析人员，导致逆向工具产生错误的结果。

如下图所示，加密payload的起始位置保存在ESI寄存器中，当前XOR seed保存在EDX中，加密payload的结束位置保存在EAX中。代码段中包含5种无用的 NOP, PUSH, POP 汇编指令。

图2: 5个误用的NOP, PUSH, POP汇编指令

下一个汇编代码段是LCG Kit在其他指令部分使用跳转指令来混淆反汇编程序。比如其中一个反汇编程序在 JMP 0x1108 指令后就给出了错误的指令：

图3: 混淆反编译器使用其在JUMP指令后产生错误代码的代码段

下面是jump指令后正确的指令：

图4: 这是JMP 0x1108指令后正确的汇编指令

下图是LCG Kit shellcode解密路径中有效代码的图像表示：

图5: 有用代码的区块表示

解密后，生成的shellcode是与位置无关的代码，它使用windows API来下载和执行payload。也有一些变种使用 URLDownloadToFile API这样的API，如下图所示：

图6:用 URLDownloadToFile API 来下载payload的解密指令

另一个final解密的shellcode变种是用 WinHTTP API 来下载payload：

图7:用 WinHTTP* API 来下载payload的解密指令

2018年9月底，研究人员发现一个使用不同漏洞利用的LCG kit邮件攻击活动。附件的微软Excel文档会下载一个含有VBScript和实现CVE-2018-8174漏洞的HTML文件。VBScript中的shellcode是正常的LCG Kit shellcode，会下载Agent Tesla。

HTML文件名为test4.html，说明这是一个测试的实现。

图8:含有使用CVE-2018-8174的Excel文档的邮件消息

图9:消息中包含的诱饵PDF文档

11月底，研究人员又发现一起使用Word附件的垃圾邮件攻击活动，其中附件中含有可以加载LCG Kit shellcode到内存中的宏，最终安装Loki Bot stealer。

这说明随着可利用的有漏洞的机器数量减少，诱使用户启用恶意宏来进行漏洞利用也是一种可行的方式。

图10: 含有恶意宏文档附件的邮件消息

图11: 使用宏来加载LCG Kit shellcode的文档

利用LCG Kit和ThreadKit这样的漏洞利用文档构建器可以很容易的创建垃圾邮件活动中使用的恶意文档。因为LCG Kit支持漏洞利用和宏，因此运营者有许多方法来确保恶意软件payload的传播，比如使受害者在有漏洞的PC上打开文档或使用社会工程方法来启用宏。

大家好，爱写靶机入侵文章的我又来了！本次靶机分2种第一种为CTF中的PWN，该靶机设计在linux 32位系统中，一共分为3个等级，本次先实战使用 level-0 ，第二个靶机为SolidState，还是跟原来一样我们入侵进去拿到root权限。

靶机ROP下载地址： https://pan.baidu.com/s/1rYDOK-EDZDEfEYk2_IfRMg

靶机IP：172.16.24.48

SolidState靶机下载地址： https://pan.baidu.com/s/1UvSFf-8wMAtRFZ5qNkjMJg

靶机IP：172.16.24.66

老规矩探测IP：

通过nmap探测可以看到该靶机开了3个端口，我们访问http看一下

这里给出来了，该等级的c语言代码和一些需要我们关注的信息，比如该等级靶机让我们锻炼ret2libc技术，还给出了一个ssh的账号密码为： level0 : warmup ，通过上面的源码可以看到这里有很明显的栈溢出漏洞，下一步我们就登陆该等级ssh，查看调试一下吧

登陆成功，在目录下面有一个flag文件，我们现在的权限说没办法读取的，下一步我们运行一下该level0，看看是怎么样的

可以看到程序接收用户的输入，如果经常挖漏洞的小伙伴一看就知道这样的方式很有可能是出现溢出漏洞的（假如没有源码的情况下），下面我们来调试一下这个level0看看，

通过上图可以看到小弟是先确认一下系统版本，确认其为32位Linux操作系统，后面才使用gdb加载level0文件

通过查看main可以看到比较敏感的函数：gets

下一步使用checksec来检测一下开启了那些防护，

如上图可以看到只开启了NX，满足可以使用ret2libc技术，下一步我们来确认偏移地址，我们使用pattern来完成，gdb peda插件已经内置，因为我们有源码所有我就不把偏移指设的那么多，如图：

生成完后，我们继续运行一下该程序，在gdb里直接输入 “r” 即可，如何输入生成的值执行

通过上图可以看到程序如我们预想的那样奔溃，EIP变成了 0x41414641

接下来我们通过pattern_offset来判断溢出点为44

下一步我们来确认一下溢出点是否真确

通过上面的调试已经确认该溢出点是正确的，eip也可控，存在栈溢出漏洞，下一步我们使用vmmap查看内存映射，寻找选择可读可写和可执行的内存块

到了这里有经验的小伙伴肯定知道该怎么做了，

我们找到了2个，下一步我们找pop3ret，我们使用 ropgadget 来帮我们完成，pade插件里已经有了，如图：

，我们找到了一个，是否正确呢，我们去 http://ropshell.com 上验证一下，小弟这里就把这个level0 下载到本机然后上传到该站分析，

确认无误后，下一步我们就来编写这个exp吧，

上图中 0xbffdf000 为 堆栈地址

下面的0x21000 为 堆栈的空间地址

最后的 0x666 为发送的shellcode字节，其实小伙伴们可以写小一点，我就不一样了我喜欢大的。。。。

最后我们运行该exp，拿flag

如图所示，已成功拿到shell和flag

【完】

看完比较枯燥的，下面我们来点有趣的。

老规矩探测IP：

下一步使用nmap探测一下，

发现其开放了多个端口，我们先看看80端口，看有没有什么可利用的

下一步我们使用目录猜解工具跑一下看看

发现其过滤了我们的探测,我们在上面扫描时，看到4555端口开放了一个很敏感的服务：JAMES Remote Admin 2.3.2

到了这里我们访问一下该端口看看，

让我们登陆，哈哈哈，不用怀疑谷歌一波，发现其默认账号密码为：root ：root

试一下，然后就直接进去了。。。。

通过上图提示，我们直接输入 help

看到了其给了我们几个命令，下面小弟就直接列出用户，然后选择一个账户修改其密码，如图：

可以看到 我重置了 mindy 账户的密码改为 666

下面我又搜索了关于 JAMES 的漏洞，发现一个远程命令执行漏洞，如图：

地址： https://www.exploit-db.com/exploits/35513

那这个漏洞需要配合登陆ssh触发，我们看到上面我已经重置了其邮箱密码，下面我们登陆其邮箱看看有没有什么发现，（关于邮箱怎么设置连接，请查看小弟的前面几篇文章）

成功拿到ssh密码：P @55W0rd1 !2@

下一步我们修改一下我们找到的exp脚本，

直接修改第19行代码，把payload改成我本机的ip，然后在本机接收1234 端口

下一步就是登陆该ssh账户，

我们已经成功拿到shell，（注，这里要说一下，如果没有利用这个漏洞，直接用ssh登陆，得到的shell是“rbash”的，小弟试了试没办法绕过）。

下面我们直接提权吧，老规矩在/tmp目录下上传提权脚本看看

我在/tmp目录下操作的时候，发现刚刚下载完的文件突然就不见了，我去。。。

当然我的手速还是挺快的，刚刚已经运行完了该脚本，分析中发现了一个可写文件且权限较高，如图：

我们访问查看一下这个文件，

看了源码应该就知道了为什么/tmp目录下的文件会突然不见。。。

下面不用怀疑直接替换这个文件，即可

因为刚刚我们可以看到，这个文件是自己默认隔段时间执行的，所以我们只需要在本机上运行监听端口静静等待美丽的shell自己送来门了就行，如图：

成功拿到root_shell

祝您生活工作愉快！

This is just an article I wanted to share that I found useful. I figured it would also be useful to others that are looking at local dev on windows using HTTPS.

The only difference I want to mention, having followed these steps using Git Bash, is something that should be done slightly differently in Step 2 under 2 steps to issue Certificate for a local Domain :

This step provides the following snippet:

Running this using a process substitution as the argument for the -extfile option results in this error:

From what I understand, this is because a temporary directory is created in /proc named after the sub process's pid , but the sub process closes and the temporary directory is deleted before the result can be passed as an argument to the above command.

To work around this, I put the temporary config string in a file named similarly to demo.local.cnf , then I used that filename as the argument in place of the process substitution shown above.

I guarantee there are others more experienced with this; this is my first time successfully generating a cert for use locally, and I haven't had a chance to test it out yet.

Feel free to let me know where terminology and understanding needs correction/improvement. It would definitely help me better understand as I learn to work with local dev over HTTPS.

作为在GoSecure为期四个月的实习的一部分工作，我们创建一个远程桌面协议（RDP）的蜜罐。为了实现这一点，我们使用了一个linux服务器，上面带有一个RDP中间人（MITM）程序，它可将流量重定向到真正的windows Server上。

在搜索利用工具时，我们发现了RDPY，一个自带MITM的python RDP代码库。然而，RDPY在实现我们想象中的用例时，在特性和设计选择方面都存在若干限制。这迫使我们创建了自己的代码库，它重用了RDPY中的一些部分代码以及其概念。

在这篇文章中，我们将展示我们最新开发的开源项目PyRDP（ https://github.com/gosecure/pyrdp ），它既可以当作MITM，也可以用作研究RDP协议的代码库之一。我们将通过描述蜜罐所捕获的恶意用户的恶意行为来演示以下两个用例。

理解RDP中使用的所有底层协议是编写这个库最困难的部分之一。仅仅彻底明白部分底层代码就是一个不小的挑战。单单连接序列就使用了四个协议：TPKT、X224、MCS(T.125)和GCC(T.124)。此外，有时连接会使用TLS加密，有时使用会RC4加密。这意味着如果协议要求，我们就必须在几个连接数据包之后启动TLS。此外，有时客户端希望使用CredSSP进行身份验证，有时则不希望，因此我们需要特别注意这一点。而且，一旦建立了连接，就可以切换到一个不使用上述任何协议的快速传输路径方案。此外，有时图形作为位图图像发送，有时通过动态虚拟信道发送，有时它们传送时时GDI绘图命令。

是不是已经头晕了？我们也是。这就是为什么我们会制作一个简单的图表（ https://gosecure.net/wp-content/uploads/2018/12/rdeepfried-1.png ）来解释连接顺序。

严格来说，如果您想要更深入地了解RDP如何工作，MSDN是一个很好的起点。为了更好的帮助到你，这里有一个PyRDP解析RDP流量的图表：

RDP是一个拥有非常丰富特性的协议。它支持基本的用户交互，如鼠标和键盘以及图形更新。它还具有诸如声音回放、剪贴板共享和设备重定向（用于打印机和驱动器）等高级特性。换句话说，在搭建PyRDP的MITM代码时，我们有很多工作要做。不幸的是，在实习期间，我们无法实现RDP中的所有内容――这需要很长时间。我们主要关注于对蜜罐来说非常重要的特性。当然，我们试图使核核心代码心具有较强的通用性，以便更容易地添加新特性。

对于那些不熟悉这个概念的人，这里有一个图表解释我们的MITM做了什么：

对于MITM，我们想要实现的特性之一是能够自动更改用户输入的用户名和密码。这样经过MITM的任何桌面连接，不管使用的是何用户名和密码，都会连接成功。这可以让我们观测到恶意用户在获得实际的RDP会话（而不仅仅是登录屏幕）时做了什么。

我们所实现的RDP的高级特性之一是虚拟通道。这属于RDP“插件”，具有各种用途：剪贴板共享、驱动器映射、声音回放等。当客户端连接到驱动器重定向通道并发送文件时，我们的MITM会将其保存到磁盘。这对恶意软件分析人员来说很有用，因为他们可以仔细检索文件并进行文件分析。

当客户端连接到剪贴板通道并将文本复制到其主机上的剪贴板时，MITM会记录复制的数据――即使没有生成粘贴操作。即使鼠标不在RDP窗口内，这也是有效的。

其他虚拟通道会为客户端无缝配合工作。而且MITM不执行任何特殊处理：它只是将数据转发到真正的服务器，不会解析或修改它。

我们真正喜欢的RDPY的一个特性是能够重放RDP会话并查看发生了什么。我们的RDP播放器能够接收实时RDP连接数据，来能实时查看。通过这种方式，您可以观测到攻击者通过RDP干了啥！

截至目前，MITM记录了以下操作事件：

Wireshark有一个RDP解析器，但是RDP中的底层协议的不会被正确解析。这导致只能解析最初的几个数据包。因为Wireshark是我们的主要工具之一，所以我们认为需要解决这个问题。Wireshark团队很快改进程序，并将在未来的版本中提供。让我们从这出发：

to：

一旦有了PyRDP的初始版本，我们就把它部署到了互联网上。我们在公网上公开了虚拟Windows主机的RDP端口，并配合MITM，以了解它在公网会接受到什么样的数据。

我们首先注意到的是，我们收到了很多陌生的客户端的连接。这些客户端进入验证页面后按5次shift，然后断开连接。这些是扫描器在扫描后门，他们期望在五次按键后弹出一个命令框提示，而不是通常的粘性键窗口。这主要涉及到一个将粘性键可执行文件进行替换的后门（将C:WindowsSystem32sethc.exe替换为cmd.exe来实现）。我们发现这些扫描器很可能就是GitHub上的工具。

由于我们希望这些扫描器认为我们的服务器存在漏洞，所以我们在虚拟机上上部署了后门作为诱饵。

几天后，我们发现到我们的VM上的帐户都不能访问：我们被攻击了！但是，我们找不到任何关于此次攻击的重放文件。我们发现，早期版本的PyRDP中有一个bug阻止了重放文件的保存。尽管如此，我们还是想知道发生了什么以及何时发生的。于是，我们开始对这个恶意用户――我们称为Debbie――进行调查。

我们在MITM机器上的数据包捕获文件（pcaps）找到了攻击发生时段的数据包。使通过使用Wireshark的mergecap，我们将10天的pcap文件合并为一个600兆字节的pcap文件。我们使用了一个非常酷的Wireshark特性，它将隐藏在Statistics -> Conversations -> TCP中，展示了两个端点之间的对话分组：

现在我们可以根据地址、端口、发送的数据包数量、持续时间等进行排序。要准确定位我们寻找的网络对话，我们需要一个指标。人们可能会认为会话持续时间是一个好的起点。然而并不是，因为我们有很多很长（最多4天）的对话，很少进行数据交换。发送的总字节数也是一个糟糕的指标，因为我们有很多会话的大多数通信量仅来自服务器之间（没有用户交互）。最后解决方案是通过数据包A->B的会话进行排序，因为它含有一个确实与服务器进行过交互的ip：

Bingo！我们现在得到了两组清晰而突出的会话。幸运的是，Debbie使用TLS加密连接。由于MITM记录了TLS主机密钥，所以我们能够使用Wireshark来解密会话。

通过对流量的快速分析，Debbie使用驱动器重定向通道将文件传输到虚拟机来攻击它。我们还发现Debbie使用了RDesktop，因为该软件有很多硬编码常数，所以我们很容易就识别出了它。

我们决心重放整体流程。尽管我们的早期版本的PyRDP没有保存重放文件，但我们拥有建立重放所需的所有数据。所以，我们决定编写一个脚本，从捕获的数据包中创建重放。这同样也是测试我们项目是否可用作RDP库的好机会。我们使用Wireshark的“Export PDUs to file”特性来生成已解密流量的pcap文件。

脚本链接如下（注意：在您阅读本文时，库文件可能已经更改，并且脚本可能不能正常工作）： https://gist.github.com/xshill/a4a41b76bb980f766657a28989c84a

如您所见，使用scapy和PyRDP从pcap文件创建重放需要100多行代码。考虑到RDP协议的复杂性，这很正常。这就是我们用来创建重放的所有数据。

我们在重放中看到的一件事是，Debbie从她的计算机上传了一个名为“o.bat”的文件，并执行它。我们通过仅使用驱动器重定向信道（t124.channelId==1007）过滤，导出数据来实现文件复现。最后我们得到了以下o.bat文件：

如您所见，这个脚本会将4个其他文件复制到系统中。在简要分析之后，我们发现这些文件中有一个是LimeRAT程序，它是一个带有Monero miner模块的远程木马。LimeRAT会使用Pastebin网站来获取其控制者命令。但是，当我们为这个Pastebin的URL时，已经太晚了：该文件拥有者已经将文件设置为私有。

我们发现的其他文件在VirusTotal网站上都有所属的散列标识：

https://www.virustotal.com/#/file/aee1df712280d3c60ef60f6a01c1de97813eb7782bfcaf30445196217a68e8d2/detection

https://www.virustotal.com/#/file/c76a06608117953a946badff6c6b59385d0aede8f12673adb68c9c6bb9b191eb/detection

https://www.virustotal.com/#/file/4f5b2b0831f53b4ec0ad234c0225a9596fc9c7a9ef366dd01be31ae9e324f47e/detection

有趣的是，我们还发现了一个脚本，它利用Bitbucket向受害者机器传递恶意软件：

在编写本文时，Bitbucket上的文件已经被下载了30000多次。

支持我们开发这个工具的另一个原因是关于渗透测试。很多系统管理员都不知道在证书错误的情况下单击RDP连接的风险。我们希望我们的工具在ARP中毒或流量重定向场景中能够很好地工作，以收集高权限的用户凭证。还有什么比在LAN上执行Bettercap中毒攻击并将用户重定向到特殊机器更好的攻击展示吗？任何试图在该网络上使用RDP并忽视密钥警告的人都会有特殊的礼物在等待他们。以下是演示：

在互联网上公开我们的MITM的这段时间，我们最后看到的完整连接比我们预期的要少。基本都是扫描器（每天数百次）。与虚拟机进行有意义的交互其实很少。

我们注意到的另一件事情是，RDP代码库要兼容各种RDP客户端和扫描器是有多么困难。尽管RDP规范编写得很好，但在每个客户机和服务器上的实现都有差异。例如，RDP规范要求客户端在连接序列的开始发送ErectDomainRequest这个包。但由于这个包实际上没有任何效果，所以Windows RDP在实际应用上并不需要它。而很多像这样的小问题使得我们很难支持所有的客户端和扫描器。

本着圣诞节的精神，我们决定立即在Github上发布我们的项目，由GPLv3授权。现在，我们想看看我们能够捕获什么样的恶意软件，并在渗透业务中对我们的MITM进行业务使用测试。我们还想往MITM加入更多的特性，比如一个活动驱动器枚举程序来列出客户机映射的驱动器的内容。

Emilio and Francis

作者： i9n0re

看到了国外有大佬发了关于WordPress的一个非常有名的插件，contact form 7的漏洞，之前见到过很多WordPress站点使用这个插件，大佬写的比较笼统，一些详细的利用方式没有说的太明白.

这个漏洞是由于插件开发者对WordPress的使用不当造成的，其实跟WordPress的逻辑有一定的关系，导致了可以发布普通文章的用户，可以绕过权限认证，进行发表原本插件作者只允许管理员创建和修改的自定义类型的"post"。

漏洞作者发现了contact from 7插件存在这样的缺陷，导致了任意一个可以发表普通文章的用户，可以新建一个contact，而且在5.0.3版本下，附件可以跨目录进行添加文件，进而可以读取网站的 wp-config.php 。

首先我们了解下什么是nonce？nonce相当于 csrf token 是WordPress用来防御csrf问题的，并进行了相关的权限验证。

post_type 是插件作者注册的自定义 post 类型，与WordPress的文章类似，插件作者要实现一个页面来进行管理文章类型。只有在后台的新建或者编辑页面当中可以获取到 nonce 随机数，提交的时候只有代入了nonce才能进行相应的操作。

以contact form 7 v5.0.3为例。

插件作者只允许WordPress的 editor 才能新建和编辑contact。

如果是文章的发布者，就没有修改和创建权限，会显示下面的页面。

contact form 7也是一种自定义类型的 post ，数据里面都是存在了 wp_posts 表当中，通过 post_type 进行区分。

正常情况，插件作者是通过 current_user_can('publish_pages') 进行权限的判定，也就是说editor以上的权限可以编辑，防止普通用户打开新建和修改文章的页面。

但是用户仍可以操作普通的文档，通过请求接口 wp-admin/post.php 的方式进行新建和编辑文章，只不过 post_type 变为了 post 等普通文档类型。由于插件作者在 register_post_type 的时候没有进行相关权限的配置，仅仅依靠了 current_user_can('publish_pages') 验证用户编辑权限，出现了安全问题。

正常流程上，普通文档上传接口是请求 post-new.php后先生成一个 post ，然后再进行编辑，请求post.php，设置参数 action 为 editpost 。

通过函数 check_admin_referer 检测nonce是否合法。

漏洞利用的地方是通过传入action为 post ，调用下面这个逻辑。

其中 post_type 是通过传入的 post_id 去数据库里面查询得到。

可以看到，如果传入的 post_id 为正常帖子创建请求，这个地方的 nonce 普通用户就可以通过页面进行获取了。

所以如果我们构建一个存在的并且 post_type 为 post 的帖子ID作为参数传入的话， check_admin_referer 的参数变为了固定值 add-post 这样的话，如果我们拿到了nonce就可以绕过了检测。有同学会问，怎么得到这个nonce呢？通过跟代码，我发现在 dashboard 页面当中，下面这个功能里面就有我们需要的nonce，通过查看源代码，获取这个表单的input这样就绕过了检测。

绕过了nonce检测后，我们来看 post 那个case，流程会进入到 write_post 函数，然后我们看到这个逻辑。

问题就出现在这，因为作者在注册post_type的时候没有进行权限限制，导致了权限提升。

v5.0.3 的插件配置:

就导致了如果绕过了nonce检测，普通用户也就可以成功的创建只有editer权限才可以创建的 contact form 7了。

权限提升已经完成，下面就是利用了contact from 7 v5.0.3的一个问题。

当发送邮件的时候，可以携带附件，但是这个附件可以跨目录读取，导致了用户可以直接携带 wp-config.php 进行发送，实现敏感信息的泄露。

理清了漏洞触发逻辑，利用方式就简单了，在后台登录页面，直接引用 poc.js 。

注意修改几个参数

然后可以在控制台里面引用，会发现新建了一个表单，然后在帖子里面正常引用这个表单，再页面中使用，并点击发送后，在自己的收件箱当中收到 wp-config.php 的附件。

在注册 post_type 的时候，配置权限。

如果进行了这样的配置的话，在进行 write_post 这个函数逻辑的时候

这个判断才会生效，导致权限认证失败。

原文链接

poc.js

Sophia Armstrong , a computer science major at East Carolina University, provided an overview of BigchainDB in her Lightning Talk, "Blockchain database for a cybersecurity learning environment," at All Things Open 2018 , October 23 in Raleigh, NC.

Sophia's project, which is funded by a National Science Foundation grant, gives students a hands-on, game-based experience to learn about cybersecurity. Her team uses BigchainDB, an open source blockchain database, behind the firewall to securely store the data they collect.

Watch Sophia's talk to learn about BigchainDB and why it came out on top when her team went in search of the "best and most secure technology" for their project.

Preparing your organization for a future built on blockchain

Smart contracts. Distributed Autonomous Enterprises. Computerized Autonomous Agents. These aren't...

Blockchain

Security and privacy

Databases

I am a senior at East Carolina University and I am super excited to be graduating in May 2019. I am currently a part of two research projects where I am researching strategies to improve the current computer science pedagogy, as well as developing a web-based user interface for a game-based cyber security learning system.

More about me

As the retail industry follows suit with today’s digital transformation, customer expectations are at an all-time high. Retailers are looking to address these demands with interconnected experiences to give customers more personalized and immediate experiences both in-stores and online. But do these connected experiences actually live up to the hype? They might at first glance, but retailers are now exposing themselves to a whole host of security risks as these connected shopping technologies evolve. As we head into 2019, one thing is clear: more convenience is directly proportional to industry-wide risk.

An example of these interconnected risks is the trend of cashierless environments which already started taking hold this past holiday season. No doubt, the convenience is there consumers don’t need to wait in line or interact with cashiers, and their payments are automatically processed. Seems great, right? Wrong. While a cashierless store might feel like an ideal option for customers who are looking for more convenient shopping experience, the security risks are endless. And when you add on top of that the complementary in-store WiFi that stores are offering, the potential for risk increases exponentially. Connected customers become walking databases of personal information with the potential of having their every move tracked by hackers.

Our recent Data Threat Report, Retail Edition showed that 52 percent of U.S. retailers have suffered a data breach in the past year and what’s more, 75 percent have had one at some point in the past. The numbers don’t lie. Security is a necessity for retailers, especially in 2019 as emerging technologies are breaking into the market and cyberattacks are getting more advanced.

It’s never too early to plan for the next big retail season and one question retailers need to ask themselves in 2019: is a top-notch customer experience worth the cost of a data breach?

As we know, the answer is tough. Retail is competitive and the customer experience is an important differentiator. However, there is no question that a data breach results in a poor customer experience and a tarnished brand. For that reason, balanced and pragmatic security will take center stage for retail in the next year as companies begin to realize that a seamless customer experience must include security. This is necessary for companies to protect their brand and customers, and to protect their businesses from the costs associated with breaches in a post-GDPR world. In order to succeed here, retailers should approach security more proactively, rather than reactively, to ensure that customers have a positive experience and aren’t negatively impacted by threats like credit card fraud or data theft. Retailers will also see the payoffs once they bake security into their IT strategy, as they work to avoid the financial and reputational costs of recovering from a data breach.

Leave a comment below or follow Thales eSecurity on Twitter , LinkedIn and Facebook.

The post Retail in 2019 needs security precautions appeared first on Data Security Blog | Thales eSecurity .