嘶吼
自 2018 年以来,Windows 智能应用控制和 SmartScreen 绕过技术一直存在漏洞
智能应用程序控制是一种基于信誉的安全功能,它使用 Microsoft 的应用程序智能服务进行安全预测,并使用 Windows 的代码完整性功能来识别和阻止不受信任(未签名)或潜在危险的二进制文件和应用程序。
它取代了 Windows 11 中的 SmartScreen,后者是 Windows 8 中引入的一项类似功能,旨在防止潜在的恶意内容(未启用智能应用控制时,SmartScreen 将接管)。
当用户尝试打开标有 Web 标记 (MotW) 标签的文件时,这两个功能都会被激活。
Elastic Security Labs 发现,Windows 智能应用控制和 SmartScreen 中存在设计缺陷,处理 LNK 文件时存在一个漏洞(称为 LNK 踩踏),该漏洞使攻击者能够启动程序而不会触发安全警告,可以帮助威胁者绕过旨在阻止不受信任的应用程序的智能应用程序控制安全控制。该缺陷至少自 2018 年以来就一直受到利用。
LNK 破坏涉及创建具有非标准目标路径或内部结构的 LNK 文件。当用户点击此类文件时,explorer.exe 会自动修改 LNK 文件以使用正确的规范格式。
但是,这也会从下载的文件中删除 MotW(Web 标记)标签,Windows 安全功能使用该标签来触发安全检查。
打开下载的文件时发出警告
为了利用此设计缺陷,可以在目标可执行文件路径后附加一个点或空格(例如,在二进制文件的扩展名“powershell.exe”之后),或者创建包含相对路径的 LNK 文件,例如“\target.exe”。
当用户单击链接时,Windows 资源管理器将查找并识别匹配的 .exe 名称,更正完整路径,通过更新磁盘上的文件删除 MotW,然后启动可执行文件。
Elastic Security Labs 认为,这一弱点多年来一直被滥用,因为它在 VirusTotal 中发现了多个旨在利用该弱点的样本,其中最早的样本是在六年多前提交的。
它还与微软安全响应中心分享了这些发现,该中心表示该问题“可能会在未来的 Windows 更新中得到修复”。
智能应用控制 LNK 踩踏演示
Elastic 安全实验室还描述了攻击者可以利用来绕过智能应用控制和 SmartScreen 的其他弱点,包括:
·签名恶意软件:使用代码签名或扩展验证 (EV) 签名证书对恶意负载进行签名。
·声誉劫持:查找并重新利用声誉良好的应用程序来绕过系统。
·声誉植入:将攻击者控制的二进制文件部署到系统上(例如,具有已知漏洞的应用程序或仅在满足某些条件时触发的恶意代码)。
·声誉篡改:在二进制文件中注入恶意代码而不会失去相关声誉。
Elastic Security Labs 认为 Smart App Control 和 SmartScreen 存在一些基本的设计缺陷,可能导致初始访问时没有安全警告,且用户交互最少。
安全团队应在其检测堆栈中仔细审查下载,而不能仅依赖操作系统原生的安全功能来保护这一领域。目前,Elastic Security Labs 研究员已发布用于检查文件智能应用控制信任级别的开源工具。
国投智能牵头组建“厦门市警安科技创新联合体”,助推公安工作现代化
7月26日,厦门市科学技术局发布《厦门市科学技术局关于同意厦门市警安科技创新联合体备案的批复》公告,正式批准了由国投智能牵头,联合厦门大学等2家高校院所、厦门市中盾安信科技有限公司等7家企业组建的“厦门市警安科技创新联合体”备案申请。
厦门市警安科技创新联合体将围绕大数据智能化、可信数字身份认证应用、网络空间治理、关键信息基础设施安全和警安装备等警安领域关键技术开展研究,旨在打造具有厦门特色的科技兴警创新联合体,健全完善厦门公安科技创新体系,进一步激发公安科技创新活力,持续提升公安科技服务实战成效,全面推进警务数字化转型,促进公安科技成果转化和厦门警安法务科技产业发展,牵引推动厦门公安工作现代化。同时联合体针对执法部门开展网络空间安全、大数据智能化培训,并举办技术研讨和具有影响力的行业赛事。
据了解,2022年,厦门市科学技术局就发布了《厦门市支持创新联合体建设工作指引》(以下简称《指引》);2023年,市科技局对《指引》进行修订,提出集聚产学研各方优势力量,组建创新联合体,解决制约重点产业发展的“卡脖子”技术和关键核心技术,不断激发企业科技创新活力和内生动力,打造高素质创新名城。
目前,厦门市已经成立9个创新联合体。创新联合体由科技创新资源整合能力强的产业龙头企业、新型研发机构或医疗机构(生命健康领域)牵头,联合产业上下游不少于5-7家企业和不少于2-3家高校、科研院所、医疗机构等科研力量,成员单位一般不少于7个。
荣获国际顶级认可!国投智能荣获CMMI5级权威认证
近日,经严格评估及审核,国投智能顺利通过CMMI五级认证,并荣获CMMI5级证书,标志着国投智能在软件研发管理体系、项目管理水平等方面均已达到国际领先水平,能够为客户提供更完善、成熟、优质的产品及服务。
关于CMMI
CMMI全称Capability Maturity Model Integration(能力成熟度集成模型),是全球公认的权威标准,旨在衡量企业研发能力成熟度和项目管理水平,其中CMMI5为最高等级。能否通过CMMI认证已经成为业内衡量软件企业工程开发能力的重要标志之一。
公司于2016年初开始进行高成熟度体系搭建、量化管理和持续创新方面的革新,持续优化产品研发与管理的过程,坚持自主研发,不断提升公司核心竞争力。
此次荣获CMMI5级认证,标志着国投智能在软件研发领域的卓越追求与创新实践取得了显著成效,也成为了公司研发体系向标准化、规范化以及国际化进程迈进的一座重要里程碑,彰显了公司在行业内的领先地位与持续优化的能力。
未来,国投智能将持续以CMMI5为基础,进行过程改进,不断开拓创新,不断提高产品的质量和公司管理水平,以客户为中心,持续提供优质产品及服务,创造企业价值!
2024年中盘点 | 美亚柏科电子数据取证技术实现重大突破
· 2024年中盘点
作为国内电子数据取证行业龙头企业,美亚柏科坚持科技创新和科技成果转化“双轮驱动”,加速推进全面国产化进程。近日,美亚柏科召开2024年电子数据取证产品发布会,重磅发布“星火”电子数据智能取证分析平台 、Mini版电子数据分析战训一体化平台、超级精灵等多款高能新品,再次彰显电子数据取证技术实力,持续引领国内电子数据取证发展方向。
回顾2024上半年,美亚柏科持续推进关键技术攻关,电子数据取证技术取得多项重大突破,共同回顾一下吧。
一、手机取证
Wi-Fi取证速度突破120MB/s
1、手机Wi-Fi取证平均速度70-90MB/s,最高速度可达120MB/s,取证过程中无需开启USB调试,且支持多路无线并行取证;
2、MYReader报告生成速度提升2-3倍,数据加载及数据展示效率显著提升;
3、M01案例格式基于稀疏存储技术实现秒级创建,性能更高占用空间更小;
4、新增拼多多商家版、Oplayer、小艺输入法等超10款应用,升级更新30款应用,累计支持上千款。
二、云服务器取证
OSS镜像制作速度突破100MB/s
1、OSS镜像制作平均速度80MB/s, 最快速度突破100MB/s,覆盖阿里云、华为云、腾讯云、亚马逊云等云服务商;
2、指令系统新增支持批量视频、网络直播固定,累计支持20个主流直播平台视频固定;
3、新增支持10款网页固定模板,覆盖邮箱、电商、论坛、短视频等平台,累计支持上百款;
4、新增分布式存储、自建CDN、达梦数据库、小皮面板等应用取证,累计支持超45种主流服务应用取证;
5、新增支持JAVA网站重建(JAR包及Tomcat站点)。
三、计算机取证
新增Signal、软路由配置解析、
隐写检测等超过20款应用支持
1、新增支持Signal、软路由配置解析、隐写检测、虚拟机配置等超20款应用解析小程序,作为内置取证项无需下载;
2、新增支持再生龙备份、Terabyte备份镜像及Ubuntu ZFS文件系统解析;
3、新增支持PostgreSQL 17最新版本恢复,覆盖PostgreSQL全版本;
4、新增支持Luks加密分区、OpenWrt软路由、PVE/ESXi虚拟化平台镜像仿真。
四、手机云取证
微信小程序云取证实现0突破,
应用支持率超过250款
1、微信小程序云取证实现0突破,构建更完整手机云取证生态;
2、新增支持Whatsapp、我的南京等超20款应用,升级更新70款应用,总支持率超250款,云探测支持率达600款,支持多账号并行云取证;
3、新增支持阿里巴巴系列应用云端数据取证;
4、更新华为手机云第三方应用备份下载及浏览器历史记录、百度网盘隐藏空间等多项特色功能。
五、物联网取证
新增20款新能源汽车T-Box取证,
累计支持超150款
1、新增支持20款新能源汽车T-Box取证,累计支持超150款,覆盖主流新能源车型如比亚迪、北汽、广汽、奇瑞等。
2、新增支持华为等路由器取证支持能力,具备多款主流路由器免密提取能力,累计支持300余款路由器型号的取证。
3、支持路由器、网络摄像头、汽车T-Box等累计40余款特殊型号芯片直连取证。
以上仅为部分展示,更多技术或产品突破,请联系本地销售或,扫描下方二维码填写需求进行深入了解!
三星将为 Galaxy 安全保险库的 RCE 支付 100 万美元
三星为其移动设备推出了一项新的漏洞赏金计划,将对展示关键攻击场景的报告提供高达 1,000,000 美元的奖励。
新的“重要场景漏洞计划(ISVP)”计划重点关注与任意代码执行、设备解锁、数据提取、任意应用程序安装和绕过设备保护相关的漏洞。
重点支出
Knox Vault 是三星的独立安全环境,用于在移动设备上存储敏感的生物特征信息和加密密钥。报告在三星设备上实现本地任意执行将获得 300,000 美元的奖励,而报告远程代码执行 (RCE) 将获得 1,000,000 美元的奖励。
TEEGRIS OS 是三星的可信执行环境 (TEE) 操作系统,它提供了一个与主操作系统安全隔离的环境,以执行敏感代码并处理关键数据,例如支付和身份验证。
TEEGRIS OS 上的本地任意代码执行可获 20 万美元,而 RCE 漏洞可获最高 40 万美元。Rich OS(三星设备的主要操作系统)上的本地代码执行可获 15 万美元,而 RCE 漏洞最高可获 30 万美元。
ISVP 中的最高支出
设备解锁加上完整的用户数据提取将支付 400,000 美元,如果在第一次解锁后实现则支付一半的金额。
另一项值得关注的奖励是,如果从非官方市场或攻击者的服务器实现远程任意应用程序安装,则可获得 100,000 美元,如果从 Galaxy Store 安装应用程序,则可获得 60,000 美元。本地任意安装分别可获得 50,000 美元和 30,000 美元。
要领取奖励,漏洞报告必须包含可构建的漏洞利用程序,该漏洞利用程序必须在 Galaxy S 和 Z 系列等旗舰机型的最新安全更新中持续运行,且无需特权。
要领取最高奖励,漏洞利用程序必须持久且无需点击,这意味着它不需要用户交互。
2023 年支付 83 万美元
本周,三星还宣布,它向在2023 年参与其移动安全奖励计划的 113 名安全研究人员支付 827,925 美元作为其提交内容的报酬。
据统计,自 2017 年该计划启动以来,三星已支付了超过 4,900,000 美元的漏洞赏金,最高金额为 120,000 美元。去年的最高支付额为 57,190 美元。
ISVP 的推出旨在打破这些记录,以提供强有力的激励来收集影响三星设备的更多严重问题的报告。
榜单揭晓 | 第七届(2024)数字金融创新案例征集“创·见”中国式现代化
“第七届(2024)数字金融创新案例征集”由中国电子银行网、数字金融联合宣传年主办,以“金融服务人民”为主题,历时3个月,经过案例展示与人气排行、群众喜爱的数字金融案例网络投票、专家评审与路演活动等环节,“2024数字金融创新 先锋案例榜”隆重揭晓!
回顾刚刚落下帷幕的路演评审活动,来自行业协会、商业银行、研究机构、金融媒体等领域的10余位评审专家,以及近50位路演机构嘉宾相聚北京,开启了一场贯通数字金融创新洞察与前瞻的“智享风暴”。
活动旨在搭建一个公平开放的交流平台,展现富有实效的创新成果,融合行业同仁的智慧和经验,引领开展多维度的前沿研究,携手各方构建起创新、互鉴、共赢的数字金融生态。路演最后,经评委点评、现场评分、公示,12个“全场荣耀案例”脱颖而出。
5月至6月期间,“人气排行”与“群众喜爱的数字金融案例网络投票”两个环节高燃上演。实时案例浏览量的位次可谓“瞬息万变”,各机构的重视度及参与度可见一斑,涌现出一大批创新争优争先的优秀机构,呈现了众多兼具创新实力与品牌影响力的热门案例,案例总浏览量超97万,单条热度最高案例的访问量突破21万;32个“金融为民”案例在5天的网络投票中,赢得近8万票的群众支持以及20万+的活动热度,营造了浓厚的数字金融创新为民的行业氛围。
“第七届(2024)数字金融创新案例征集”特别邀请中国银行保险报、和讯网、未央网、21世纪经济报道、第一财经、金融界、证券之星、移动支付网、蓝鲸财经、乐居财经、IT168、嘶吼、瑞财经等媒体联合宣传行业创新实践。
七年来,案例征集活动的品牌积淀以及行业价值持续提升,多家上市银行将入榜情况写入年报,活动多项关键词权重位列搜索引擎头部,来自业界的一线实践者与资深专业人士每年“慧聚”于此,探讨创新范式,前瞻产业趋势,拥抱中国式现代化新机遇!
“2024数字金融创新 先锋案例榜”
“2024数字金融创新 人气案例榜”
“群众喜爱的数字金融案例”荣誉
“2024数字金融创新 先锋案例榜”
全场荣耀案例
中国农业银行:客户经理超级工作台
交通银行:长尾客群数字普惠金融创新实践案例
民生银行:变美好 手机银行8.0创新实践
华夏银行:发力产业数字金融,助力实体经济高质量发展
北银金科:北京银行“金融操作系统”建设项目
光大银行:“财富+”开放平台集群综合运营
中国工商银行:工银“兴农通”线上触达体系
江苏银行:苏银金管家4.0
江西银行:“开放式”客户分层运营体系——One美生活
兴业银行:数据安全分类分级实践
邮储银行:面向金融行业的移动应用安全风险监测案例
中意财险:数智化统一客户洞察与服务升级项目
数智平台创新案例
中信银行:智慧网点项目
中国农业银行:机关场景智慧服务平台
中国工商银行:个人手机银行9.0
中信银行:财富产品协同管理平台
百度智能云:某企业营销内容AIGC创作管理项目
交通银行:个人手机银行8.0实践案例
中国工商银行:企业管家云
民生银行:基于生成式AI的智慧研发应用实践
西安银行:“西安人才”服务平台
腾银财智:Π Solution金融机构私域新零售体系综合解决方案
天星数科:小米官方保障服务的风控数字化
民生银行:汽车线上销售行业支付结算创新应用
杭银消费金融:“杭银消金信用大脑BRAINS”数字风控体系
联动优势:某国有商业银行消息渠道智慧运营方案
民熙科技:民农云仓云中控督导系统
江苏银行:智慧园区项目
民生银行:民生小微App—小微企业专属口袋银行
民生银行:对公放款流程数智化提升项目
趣米:基于银联本地生态的数智化运营解决方案
美团企业版:助力银行做细做实“五篇大文章”
江苏银行:苏银e链产融数智平台
吉林银行:RPA数字员工应用
锦州银行:锦银E支付—全场景收单服务平台
青岛农商银行:“人·货·场”思维打造“星智数海”企业级BI+AI智能数据平台
河北银行:零售新客户线上数智化运营
徽商银行:手机银行
徽商银行:徽行交易家APP2.0(企业手机银行2.0)
中原银行:手机银行6.0
神州信息:九天揽月·云原生金融PaaS平台
通联支付:零售银行数字化经营平台
江苏银行:企业掌银5.0版
宁夏银行:基于身份认证新手段,打造移动支付新体验
天津银行:零售重点客群全渠道数智化经营
恒丰银行:手机银行线上数智化运营
恒丰银行:为客户创造价值的新一代企业网银
天津银行:“智慧通”分布式跨行卡系统场景支付实践
内蒙古银行:手机银行6.0——以心换新离您更近
广西北部湾银行:精耕数智化应用,打造“好友用”的手机银行
苏州银行:手机银行6.0项目
长沙银行:e钱庄7.0项目
河北银行:手机银行6.0千群千面升级改版项目
桂林银行:全渠道智能投放平台
泉州银行:智慧运维与开发自动化建设实践
大连银行:企业网银“银联订单支付”业务
江西农商银行:基于稳敏双态的移动金融研发体系建设
重庆银行:手机银行App应用服务体验优化项目
蒙商银行:远程银行95352智能语音导航
北银金科:京小科企微SCRM,微信生态下银行客户经营转型
平安金服:电子签章系统助力数字金融
交通银行:金融生态云场景生态实践——党建场景金融服务案例
江西农商银行:手机银行4.0
大数据创新案例
阿里云:基于大模型技术的数据开发分析新范式
国寿财险:投资管理数据治理创新实践
微众信科:泛中心数字化供应链金融数据增信解决方案
长沙银行:数据治理实践
常熟农商银行:个体工商户信用评分体系建设
贵阳银行:零售产品管理平台建设实践
浙江农商联合银行:携手鲲鹏建设金融大数据分析平台
山西银行:云瀚平台(数据中台)赋能金融服务能力提升
三悦科技:基于企业应收账款池融资的数字资产管理平台
杭银理财:资管新规驱动合规风控平台创新
河北银行:模型平台
山东城商行联盟:一站式分析平台,构建业务用数新能力
新纽科技:生产并行流量回放验证平台
左木莲安数科:耀象金订单-基于电商票据认证交易在数字金融领域的应用
深圳农商银行:授信数据治理项目
晋商银行:监管数据治理实践
数字品牌创新案例
捷付睿通:打造行业一流的汽车支付收款解决方案
多飞科技:基于场景金融的数智化营销解决方案
杭州银行:零售嘉年华活动营销管理平台
吉林银行:数字员工创新项目
智向云中鹤:“云游系列” 搭建银行本地化全渠道用户经营生态
中原银行:数字金融创新一站式经营体系
中原银行:企业级客户画像平台
吉林银行:信用卡外呼分期推荐项目
西安银行:手机银行“小西直播间”平台搭建与应用
盈天地:苏州工业园区首家防范非法集资主题咖啡馆
青岛银行:对公线上营业厅项目
哈尔滨银行:数字营销下的马拉松客群运营
云南红塔银行:APP消息推送,让服务更贴心!
江阴农商银行:数字化营销平台
新质科创案例
珠海华润银行:基于全栈云原生架构的信创金融交易云,打造华润数字化产业银行发展新引擎
中移电商:和包支付AI图谱智能算力风控平台
银联商务:精准构建客户风险画像,助推精细化管理与稳健经营
电信数智:招商局集团数字化灾备管理平台
太平金科:AI全栈信创平台
桂林银行:大模型中台
平安人寿:基于云原生的保险业务实践
平安信托:智能风控项目
百度智能云:数智化内控合规管理平台
梅州客商银行:全栈信创核心系统
吉林银行:零售信贷工厂
四川银行:实时数据融合系统信创实践
广州银行:IT基础设备智能数字化管理创新案例
华夏银行:手机银行反欺诈机器学习模型与信识模型项目
渤海银行:基于客户交易多要素评分的反欺诈风控平台
领雁科技:某股份制银行企业手机银行-鸿蒙 NEXT
秦农农商银行:消息中心
张家港农村商业银行:信创建设能力
蒙商银行:新一代企业网银项目
沧州银行:信创云平台项目
金融为民创新案例
平安金服:中小微客户贷款ATW远程“三省”金融服务平台
交通银行:交心办-生态型数字化民生服务系统
交通银行:企业手机银行普惠场景服务方案
中信银行:手机银行【有温度的资产负债表】
江西银行:农保贷,以金融科技之笔绘乡村振兴新画卷
网信科技:数字人民币智领未来生态解决方案
江西银行:“江银i农”数字农业金融服务平台
苏州银行:境外来华人员移动支付产品(Su-Pay)
邮储银行信用卡中心:邮储信用卡APP数字普惠金融创新实践
民生银行:某市农业农村综合服务平台银政合作项目
浙商银行:小微创新产品“数易贷”
新沂农商银行:数字化体育场景建设
江西银行:个人手机银行六大特色专区
光大银行:“薪悦通”企业行政管理服务平台
宁夏银行:基于全栈信创下的双中心双活智能账单系统
吉林银行:手机银行App 金融为民,共创美好生活
数金公服:智金卫士数字人民币预付资金监管服务平台
江苏银行:无锡“菜篮子”——朝阳集团数字人民币收单
广西北部湾银行:客户综合定价管理系统项目
天真科技:“天真鹰速”-小微企业主经营贷线上业务方案
大连银行:手机银行无障碍升级改造项目
丹东银行:网上银行前后端分离改造
“2024数字金融创新 人气案例榜”
银行机构
交通银行:长尾客群数字普惠金融创新实践案例
广州银行:IT基础设备智能数字化管理创新案例
青岛农商银行:“人·货·场”思维打造“星智数海”企业级BI+AI智能数据平台
非银行机构
智向云中鹤:“云游系列” 搭建银行本地化全渠道用户经营生态
平安金服:中小微客户贷款ATW远程“三省”金融服务平台
三悦科技:基于企业应收账款池融资的数字资产管理平台
“群众喜爱的数字金融案例”荣誉
江西银行:政采易贷,引金融科技活水精准浇灌千企万户
吉林银行:手机银行App 金融为民,共创美好生活
吉林银行:“支付密码数字化应用”创新
中国工商银行:工银“兴农通”线上触达体系
天真科技:“天真鹰速”-小微企业主经营贷线上业务方案
中国工商银行:工银e缴费
中美“网络空间地图(测绘)”趋势洞察,探访盛邦安全DayDayMap
导语
美国著名智库兰德公司曾断言:“工业时代的胜利依赖于核战争,而信息时代的胜利则取决于网络战。”随着中国人民解放军网络空间部队于2024年4月19日的正式成立,网络空间安全所承载的战略价值已不言而喻。作战必先有“图”,因此,发展国家与军事领域的“网络空间测绘”能力,构建完善的“网络空间地图”,其重要性不言而喻。
我国在2016年首次相对系统地提出了“网络空间地图”与“网络空间测绘”的概念,由解放军信息工程大学的罗向阳教授等专家指出,构建网络空间地图的技术核心即是网络空间测绘。时至2022年,盛邦安全成功发布了首张网络空间地图——“网络空间坤舆图”,标志着该领域的研究与探索进入了新的阶段。
另一方面,根据IDC的预测,到2027年,中国将有40%的企业采用量化模型来管理网络风险,寻求网络风险量化供应商的协助,以评估遭受网络攻击的概率及可能的经济损失。网络空间地图(cyberspace map)相关技术正是解决这一需求的关键,成为构建数字世界不可或缺的基础技术能力,预计至2027年,其市场规模将达到61.5亿元人民币。
2024年5月,盛邦安全在网络空间地图的研究领域再次迈出重要一步,发布了产学研一体化的全球网络空间资产测绘平台DayDayMap。该平台聚焦于网络空间测绘科研领域,测绘数据作为网络空间地图构建的基石,DayDayMap在继承盛邦安全原有内网、专网测绘技术的基础上,进一步拓展为全球互联网测绘平台。尽管Shodan、Censys、ZoomEye、FOFA等国内外高水平测绘平台已有所建树,但DayDayMap凭借其在大规模IPv6测绘、跨域测绘、资产动态与隐匿测绘等方面的创新解决方案,以及参与制定国家标准《网络安全技术网络空间测绘数据交换格式》和《网络空间测绘资产信息格式》、《网络空间测绘资产分类》等标准编制工作的贡献,使盛邦安全的网络空间地图更具科研成果工程化落地的能力。同时,盛邦安全与清华大学等高校科研机构深度合作,针对产业界面临的工程问题,投入大量科研人员,致力于解决网络空间测绘领域的科学难题。
这也是其备受业界关注的重要原因。
《史记》记载,刘邦大军攻陷咸阳城后,诸将领纷纷抢夺金银财宝,只有萧何独钟地图,因为他懂得地图的价值……以图得天下,以图治天下,似乎古今皆然。
图片来源于:网络
“互联网出现已经几十年,当前的网络空间和过去有天壤之别。”盛邦安全大数据与互联网产品线及烽火台实验室总经理何鹏程解释,过去的网络安全策略是“防御”,只要守住自己的网站、数据库等即可。而现在,生成式 AI、云原生、大数据、5G、工业互联网、IPv6 等技术的快速发展,网络空间变得更为庞大而复杂,应对网络攻击挑战的难度持续加大。作为第五维的空间,网络空间同时伴生着网络攻击持续席卷全球的现状。
比如,日益多样化且难以部署传统防御措施的物联网设备容易成为网络攻击焦点;随着数据中心、云服务等技术发展,网络资源分布呈现零散、随机趋势,外围突破防不胜防。“数字经济的发展对网络安全提出更高要求。”何鹏程说,由于能源、化工等行业的设备、数据等资产实现了联网,若无有效保护,这些数据资产将面临安全风险。
我国近年来实施网络安全法、数据安全法、《关键信息基础设施安全保护条例》等法律法规,指导各单位进行实战化网络攻防演习,从各个层面加强网络安全建设。经过多年网络攻防演练的经验积累,我们认识到全面绘制网络资产并实现"地图式"的全局管理,对于安全防御、日常管理和整个建设运营流程至关重要。这种全面的网络资产测绘提供了必要的透明度和控制力,是确保网络安全和效率的关键步骤。
通过网络空间测绘(以下简称网空测绘),将无形的网络空间有形化和可视化,正是透视网络空间的关键所在。
一:网络空间地图(测绘):如何巡天遥看一千河?
“网空测绘”借用了地理测绘的概念,二者形似而神殊。地理测绘是将有形的地理环境通过测绘手段(如遥感卫星等)获取的数据进行描述和还原。
图片来源于:网络
解放军信息工程大学游雄教授认为,网络空间地图 (cyberspace map)是对网络空间的抽象视觉表达,描述了网络空间的结构、要素或实体属性及其时空关系和逻辑关系,以及网络空间现象及其过程。截至目前,网络空间测绘的概念还在不断发展,测绘广度由区域、国家视角不断拓展至全球,测绘深度也将由网络空间物理域、逻辑域拓展至认知域、社会域。图片来源于:盛邦安全,《全球网络空间资产测绘平台:DayDayMap》
然而,IPv4仅有42亿可用IP地址资源,目前已经接近饱和,互联网正在快速转向IPv6(IPv6协议将IP地址的长度扩展至128位,约有“340亿亿亿”个可用的IP地址,完全覆盖现有互联网规模)。由于不同的交互协议特性,诸如Shodan和Censys这样的传统网络空间测绘工具在对IPv6网络的兼容性和支持方面尚未达到理想的水平。在这样的背景下,盛邦安全和清华大学合作研究探索,聚焦全球IPv6网络空间测绘,攻克IPv6网络空间设备隐匿性强、探测效率低、探测成本高等难题,提出活跃IPv6地址探测方法体系,采用高效的拓扑发现技术和网络安全策略遥测等先进技术,大大提升网络空间测绘的精确度和效率。
从国内外发展看,网空测绘是典型的军民两用技术,可广泛应用于诸多场景。
在军事领域,“网空测绘”是掌控网络战场的基础和前提,它能够实现网络战场要素的可视化,支撑网络空间作战筹划及指挥控制。通过整合网络空间测绘结果和多源情报数据,形成的网络通用作战图是指挥控制网络空间作战的关键工具。
"网空测绘"在民用领域的应用通过系统的网络测量技术,创建了一个全面的网络空间图谱,它能够详细展示网络空间的全息全景。这种图谱显著提高了网络空间的透明度、可控性和可管理性,对于维护国家网络安全具有重要意义。其应用范围广泛,包括但不限于网络监管、网络安全管理、互联网广告行业、关键基础设施保护以及数字政府的构建等多个方面。通过这种方式,"网空测绘"为相关领域提供了强有力的支撑和保障。
网络空间地图(测绘)典型应用场景分析
1/网络空间安全风险监管与预警
网络空间地图,通过全面搜集资产信息,为网络安全态势提供了精确的视图。这一工具在监管网络安全风险和预警方面扮演着至关重要的角色。监管机构可以利用网络空间地图实时监控安全风险,全面了解安全状况和趋势,及时发现问题资产、违规配置以及潜在的安全威胁。
借助网络空间地图的直观可视化功能和多维数据关联,监管单位能够迅速识别问题所在,并提前发现风险,为及时响应提供数据支撑。资产状态、漏洞情况和安全影响都清晰可见,使得在安全漏洞或事件发生时,相关单位能够立即收到警报,快速定位受影响资产,并立即采取必要的应急措施。
这种全面的网络空间测绘不仅提高了网络安全的透明度,也为风险管理和应急响应提供了强有力的工具,确保网络安全防护工作更加高效和有针对性。
2/网络空间军事行动指挥控制
网络空间地图作为攻防双方进行网络攻防演练的态势底图,可实时展示演练进展,为网络对抗演练活动指挥提供清晰的视图基础。它汇聚地理域、网络域、社会域等多维度交叉信息,是防御方全面理解和掌握网络对抗演练态势的关键工具。网络中的信息中枢、关键设施、防御要点和可用资源都能通过网络空间地图系统得到深度感知和明确标识,为相关单位提供有力的态势感知和指挥支持。
3/智慧城市数字资产感知与运营
网络空间地图是智慧城市深度感知和高效运营的基础。通过网络空间地图,管理者可清晰辨识环境中的数字资产,深度感知其 IT 环境,并了解其生命周期阶段,从而有效控制安全风险并提升安全运营效率。基于网络空间地图获取的状态信息,管理者可制定并执行针对性的数字资产管理计划,分析资产利用率,进行预算规划,提高资产利用效率,优化成本。此外,网络空间地图还为漏洞发现、威胁感知、事件响应和故障排除等工作提供了技术和数据支持,进一步提升智慧城市的整体运营效率。
4/企业外部攻击面管理
大型企业级客户,尤其是跨国企业,在面对传统网络资产管理不足所带来的风险之外,还必须应对广泛存在的泛资产风险。例如境外云服务上部署的仿冒/钓鱼网站、源代码托管平台上泄漏的企业重要系统代码、在线文库泄露的敏感文件、暗网/黑市上正在出售的企业人员邮箱和密码或者业务客户信息、疏于管理或被伪造的小程序或公众号等。企业除了使用本地测绘平台对自己管辖的内、外网地址段进行测绘之外,还需要借助具备全球网络空间(含泛资产空间》的空间测绘广商的数据,收集泛资产测绘数据,形成企业攻击面管理的重要部分,快速发现和处置隐患。
5/网络空间资产多维度整合治理
通过整合网络空间内分散的各种资产数据,构建一个全面、精确且实时更新的资产数据库,可以有效地管理和监控网络空间资产,帮助企业更好地了解自己的网络环境,管理网络资源,并做出数据驱动的决策。通过建立统一的数据标准,比如实施标准化的资产分类、标识和描述流程,能够实现不同来源和格式资产数据的兼容性与共享性,从而提升数据的准确性和实用性。这一过程还需确保资产数据的收集、处理和共享遵循所有适用的法律法规,包括但不限于个人信息保护法和网络安全法等,以保障数据的合法合规使用。同时,也需要遵守企业内部的数据管理政策和道德规范,例如数据隐私政策、数据归档政策等。通过对资产数据的分析和控掘,可以发现隐藏在数据中的有价值的信息和知识。有助于企业更好地管理和利用自己的网络资产数据,实现数字化转型和升级。
6/国内运营商 IPv6 资产管理
面对IPv6地址空间的巨大和复杂性,运营商和城市运营中心采取了部署可扩展的扫描集群、先进的IPv6测绘引擎、服务赋能、共享成果的方式,提升了自身的网络安全管理能力的同时,还为不具备大算力资源的普通企业,梳理了自身的IPv6资产。
7/暗网等隐蔽空间测绘
暗网和深网的测绘正成为网络安全的新焦点。这些隐蔽的网络空间不仅难以用传统方法测绘,而且常常是非法活动的温床。随着监管部门对这些空间的重视增加,暗网测绘不仅需要技术手段,还需要多维度的治理策略。这有助于及时发现并应对其中的违法犯罪行为,从而减少网络犯罪,增强网络空间的透明度和安全性。
8/威胁情报数据生产
网络空间测绘厂商基于主动探测获取的资产数据,配合进一步研发的恶意应用识别、AI 智能分析等恶意识别技术,自动提炼出黑灰产资产名单(包括黄赌毒网站、钓鱼网站、被篡改网站、代理服务网站、黑客控守资源网站、C&C 地址等),成为威胁情报数据的服务提供商。
9/面向网络安全防护策略调优的网络空间测绘数据分析
主动感知、研判全网安全态势,提供智能数据取证,为专网安全管理工作提供全面可靠的数据支撑。通过多维度捕捉网络攻击痕迹,深度挖掘异常网络行为,从而强化网络暴露面及边界设备风险隐患监测,帮助管理者消除网络监管盲区,强化网络管控能力。
网络空间地图(测绘)面临的问题和未来展望
尽管网络空间资产测绘的重要性已被广泛认识,但在实际应用中仍面临一系列挑战:
1.IPv6海量数据处理:IPv4资源接近饱和,互联网正在快速转向IPv6(IPv6协议将IP地址的长度扩展至128位,约有“340亿亿亿”个可用的IP地址),现有测绘技术尚未较好适配;
2.隐私保护与法律合规:资产测绘过程中可能涉及敏感信息和隐私数据,如何在合法合规的前提下进行测绘,避免侵犯他人权益,是技术与法律交织的复杂问题;
3.加密与反测绘技术:部分资产可能具有动态IP、隐藏服务、加密通信等特点,增加了发现与识别难度;
4.跨域测绘技术:全球网络空间资产分布广泛,跨越不同地域、网络环境和权限边界,实现跨域测绘需要突破技术壁垒。
5.缺乏统一标准:资产测绘数据格式、接口、分类标准等缺乏统一规范,导致数据互动操作性差,阻碍了跨组织、跨平台的数据共享与整合。随着 AI 大模型的普及,AI 能力也将在网络空间地图中发挥重要的作用,积极拥抱 AI 大模型相关技术是提高网络空间地图精准度的关键。
随着《关键信息基础设施安全保护条例》、《网络安全审查办法》和《网络数据安全管理条例》等法律法规政策的相继出台、实施,合规性要求将对网络空间地图相关市场起到正向促进作用。IDC预计到 2027 年市场规模将达到 61.5亿元,复合增长率将呈现 43.4%的高速发展态势。
二:国内外网络空间地图(测绘)发展情况
“网络空间测绘”是一个发展迅速但历史相对较短的领域,其起源尚不明确。由美国国家安全局发起的“藏宝图计划”,被认为是该领域首个具有里程碑意义的项目。在美国,众多新兴企业和老牌公司正活跃于这一行业。在中国,也有多家企业和机构开始涉足网络空间测绘。
不过,资源分散和缺乏统一的数据格式标准一直是影响该领域发展的瓶颈。为了解决这些问题,2023年4月,中国指挥与控制学会成立了网络空间测绘专委会。在专委会的引领和努力下,预期上述挑战将得到有效应对,推动网络空间测绘领域的规范化和进一步发展。
美国网络空间地图(测绘)发展现状
从发展脉络看,美国的网空测绘始于情报机构的大胆构想,扩散至诸多网络技术公司,尤其是网络安全技术公司,呈现出多点开花之势。从国家安全局的“藏宝图”计划,国防高级研究计划局的X计划以及与X计划关系极为紧密的艾克工程(Project Ike),网空测绘都是其关注重点。1/藏宝图计划
“藏宝图计划”源自美国家安全局瞰视全球网络的野心。
据掌握,该计划始于2006年,2013年在斯诺登事件中首次曝光。
藏宝图计划宣称“绘制全网地图,无论何时、何地、何设备”,“藏宝图计划”的主要目标是对网络空间进行多层次的信息探测和数据分析,持续绘制整个网络空间图景,包括整个IPv4和部分IPv6,涉及逻辑层、物理层、数据链路层、社交层数据的捕获和快速分析。
藏宝图计划通过对网络地理层,物理网络层以及逻辑网络层的探测,赋能对网络角色层以及个体层的分析
藏宝图计划多源数据关联分析
探测内容包括:BGP、AS和IP地址空间信息,世界各地的 Wi-Fi 网络和地理位置数据,以及3000万到5000万个唯一互联网提供商地址。该计划被斯诺登称为是“互联网的30万英尺视图”,其测绘覆盖面之广可见一斑。藏宝图计划路由跟踪分析
2/X计划
2012年,美国国防部国防高级研究计划局启动“X计划”。
按照美公开说辞,该计划旨在为美国防部开发一个防御性网络平台,用于支撑网络战的筹划、作战方案制定、网络战的实施及作战评估,其技术重点之一就是通过网空测绘形成网络空间地图。
X计划功能示意图
X计划的核心是网络空间的新图形视图,类似于大型电脑游戏,可显示正在进行的作战和实时网络数据。其网络空间地图包含网络世界的实时渲染以及连接网络空间的组件(如路由器、交换机等)的详细互联图。
X计划运用构想图
据该计划项目经理弗兰克·庞德(Frank Pound)表示,X 计划能让网络作战人员根据对关键网络地形(如邮件和文件服务器、路由器和网关等对其防御至关重要的地形)的防御情况来规划网络任务,并深入了解这些关键网络地形中的活动以及安全状况等。
庞德称,X 计划“以视觉方式识别关键的网络地形,以便作战人员能够看到它,就像通过双筒望远镜看到物理地形一样。”换而言之就是通过网空测绘实现了网络空间的有形化和可视化。2017年,美将X计划由国防高级研究计划局移交给网络司令部,其后续发展融入该司令部相关技术项目。
3/艾克工程
艾克工程最早于2013年启动,作为X计划下的子项目。从多方情况综合判断,艾克工程是X计划中聚焦于网空测绘的项目。
2019年7月,美将该项目移交给国防部战略能力办公室,并与承包商“二六实验室”(Two Six Labs)签了一份9500万美元的合同,由后者具体负责技术开发。2021年4月,项目又被移交给美网络司令部,置于联合网络指挥与控制 (JCC2) 项目管理办公室之下。
二六技术公司公布的艾克工程技术特点
据了解,艾克工程形成的技术主要用于绘制网络地图、网络战备评估、以及网络空间指挥控制。“二六实验室”网络与电子系统副总裁杰夫·卡雷尔斯(Jeff Karrels)表示,由于“艾克”是联合网络作战指挥控制的基础架构,“二六实验室”打算将联合网络作战指挥控制打造为一个基于应用程序的模型编排平台,用户可以从单个仪表板访问所有类型的信息和数据馈送,从而为指挥官提供更好的态势感知和决策辅助。未来,则计划利用机器学习为特定指挥官或网络团队的行动方案提供建议。
艾克工程界面示意图
“二六技术”公司网站显示,截止2024年“艾克”的用户已达9000个,涵盖美网络司令部、各军种和情报界。
在此,不得不提一下这家名为“二六技术”的公司。该公司由全球投资公司凯雷集团一家子公司收购的北弗吉尼亚州“IST研究”公司和“二六实验室”合并而成,是一家为情报界和国防部等参与者提供服务的国家安全技术公司。
艾克工程界面示意图
合并前,“IST研究”公司聚焦于开源数据收集和参与,而“二六实验室”主要从事网络安全业务。“二六技术”公司网站显示,其旗下产品有四种,包括:“西格玛”SaaS 系统、TrustedKeep数据加密平台、“艾克”军用数据分析工具、“脉冲”(Pulse)安全云工具。从“二六技术”公司公布的信息看,“艾克”已成为一个融合了网空测绘的自动化编排和分析平台,能够利用机器学习和交互式用户界面,加速和扩展对复杂的全领域情况的态势理解,从而达到掌控全域战场的目的。
艾克工程界面示意图
由此衍生出国外比较知名的网络空间资产测绘平台有Censys、Shodan。
Censys是一个测绘专用的互联网在线平台、易用性高且性能卓越的网络空间测绘工具,Censys通过对互联网进行全面的扫描,收集并整理了大量的互联网数据,包括主机、证书、协议等。同时,Censys还提供了多种实用工具,例如指纹识别、漏洞检测、安全策略管理等,帮助用户更好地进行网络安全管理和威胁情报分析。Shodan被誉为“暗黑谷歌”,是全球首个专门搜索互联网连接设备的搜索引擎。随着时间的发展,Shodan已经成长为一个功能强大、资源全面的网络资产搜索引擎。其核心能力在于能够识别和发现与互联网相连的设备及其特征。
国内网络空间地图(测绘)发展现状
国内的网空测绘起步虽晚于美国,但近年来也呈快速发展之势。在国家科技部重点研发、军委装备发展部预先研究等项目的牵引下,中科院信工所、中国电子科技网络信息安全有限公司、中国电子、清华大学等分别围绕网络空间资源探测、网络拓扑测量等技术展开关键技术攻关,取得了丰富的研究成果。一些企业敏锐把握网空测绘技术发展大势,纷纷发力该领域,形成了契合我国市场应用场景的技术产品。
见微知著,近日,由主管研究机构公安部第一研究所、公安部第三研究所、国家计算机网络与信息安全管理中心、国家工业信息安全发展研究中心、 国家互联网应急响应中心等牵头,全国网络安全标准化技术委员会发布了关于《网络安全技术网络空间测绘数据交换格式》国家标准编制需求,拟规范资产测绘时的资产分类、数据格式,以统一来自不同资产测绘源的测绘数据。解决不同测绘源数据格式不统一问题,并为资产测绘数据共享、网络空间安全图谱构建提供基础数据。汇聚行业智慧,形成高质量的标准成果,是国家标准化建设的重要工作。从产学研一体化深入构建国家网空测绘的立体架构,一些企业敏锐把握网空测绘技术发展大势,纷纷发力该领域,形成了契合我国市场应用场景的技术产品。
DayDayMap(盛邦安全)
盛邦安全推出的一款产学研一体的聚焦空间测绘科研领域的全球网络空间资产测绘平台DayDayMap,致力于让网络空间资产可感知、易定位、更有价值。
DayDayMap自动扫描和智能识别用户在互联网上的多元资产,包括域名、IP地址、端口、服务、组件等信息。通过构建详尽的资产和主机画像,能够揭示出互联网资产的暴露边界,并精准识别各类资产属性,实现互联网资产的可查、可定位。
DayDayMap具备领先的IPv6探测探测技术(IPv6地址池资产数据62亿条)、强大的科研加持,迅捷的指纹检索能力,可定位资产社会属性、多维资产画像、漏洞详情以及友好的使用界面而获得业内认可。其在相似性检索、空间定位、资产拓线等方面,有计划加大重点投入。
DayDayMap优势创新点
网络空间的瞬息万变及浩渺庞杂对网空测绘提出了极大挑战。充分利用机器学习和其他人工智能技术实现网空测绘的智能化是未来发展大势,多层次网络发现、微分段、IPv6、则是重要技术着力点。2024年5月,盛邦安全针对IPv6的新一代网空测绘平台——DayDayMap全球网络空间资产测绘平台正式发布,受到业界广泛关注。
DayDayMap可以对目标资产梳理,挂图作战,绘制网络空间资产底图,对抗先机,提升网络攻防实战能力,而DayDayMap全球网络空间资产测绘系统,处于ATT&CK攻击矩阵的第一个步骤“侦察”。是攻击前的情报侦察,为制定战术、战法、武器选配提供数据和脆弱性分析提供辅助支撑。一般用于目标网络打点攻击前情报获取,平台同时做无痕化处理和设计。DayDayMap提供卫星互联网测绘服务,能够分析和测绘全球的卫星网络资产,如星链starlink等。
该平台具有如下几大特点:
领先的IPv6探测技术
为保证资产覆盖的全面性,DayDayMap支持IPv4和IPv6类型资产的测绘能力, IPv6地址池数量62亿,在线IPv6资产不少于37亿。同时通过无状态防溯源探测、高性能端口扫描等技术、大规模分布式扫描引擎资源,覆盖60亿+IPV6数据,在业界处于领先地位。
对于海量的IPv6数据,基于传统的扫描机制很难遍历全部存活数据,因此,而采用基于IP集的熵预测算法能够极大程度解决这个问题。
IPv6测绘技术涉及对IPv6地址空间的分布情况、网络拓扑结构、流量分析等方面的研究内容。常用的方法包括基于网络探测的活跃测绘技术、基于路由信息的passively测绘技术、基于流量数据的passively测绘技术等通过无状态防溯源探测、高性能端口扫描等技术、大规模分布式扫描引擎资源。创数百篇科研佳作 聚焦空间测绘科研领域
打造最具科研属性的网络空间资产测绘平台,与清华大学、中科院计算所等科研机构开展深入合作,保证探测数据的准确性、可靠性和科学性。
闭环资产归属 落地社会属性和行业标签
多维度数据关联融合分析,精确识别资产归属与行业等信息,智能关联分析资产的归属单位,发现未知或未监控资产、服务和数据。
联动DayDayPoc社区漏洞平台 定位资产漏洞
联动DayDayPoc漏洞社区,基于指纹信息精确定位资产漏洞,实现紧急漏洞的快速评估、响应与全生命周期的监控。
深度构建空间资产多维画像 闭环资产归属
精细化指纹识别,内置多种资产标签,有效识别蜜罐、挖矿、仿冒等多类站点,提升资产价值挖掘和风险控制能力。
针对DayDayMap采集到的网站样本数据,利用大预言模型编码技术对网站内容进行编码,并基于长短时记忆神经网络算法对序列化数据实现分类任务,识别网站是否含不合法内容。
·利用大语言模型中Transformer-Encoder技术对自然语言进行编码。结合Bert模型对不同国家语言的良好兼容性,具有极高的编码效率和模型通用性。
·通过长短时记忆神经网络算法LSTM对编码后的序列化文本进行分类,准确率高。
·不依赖于传统非法网站识别的关键字,排除人为关键字收集不全导致的模型不准确因素。
·具有一定的自学习能力,通过少量的人工结果标注反馈,能自动化对模型进行优化。
总而言之,通过网空测绘透视网络空间,将变幻莫测的网络空间具形化、透明化,甚至通过一张图将网络空间尽收眼底,是掌控网络空间和制胜网络空间的法宝。
增长稳健 盈利卓越 | Fortinet 发布 2024 年第二季度财报
2024年8月8日,全球网络与安全融合领域领导者Fortinet(Nasdaq:FTNT),于近日公布2024年第二季度财报。
Fortinet 创始人、董事长兼首席执行官谢青(Ken Xie)表示“2024年第二季度,公司实现了业绩的稳健增长与非凡的盈利能力,非GAAP营业利润率实现历史性飞跃,同比飙升820个基点至35.1%,创下新高。同时,账单收入与营收业绩指引均显著超越市场预期,彰显了Fortinet强大的发展势头与卓越的市场竞争力。Fortinet 持续践行既定发展战略,重点聚焦并持续投资快速增长的Unified SASE(统一 SASE)和SecOps(安全运营)两大市场,不断拓展安全组网市场份额。Fortinet是目前业内唯一一家入围 Gartner《单一供应商 SASE 魔力象限TM》,并同时斩获五大不同网络安全领域魔力象限TM报告权威认可的安全厂商。我们有信心成为网安行业SASE(安全访问服务边缘)领域市场领航者。”
2024年第二季度财报摘要
• 营收 14.3 亿美元,较去年同期增长 11%
• 服务收入 9.82 亿美元,较去年同期增长 20%
• 产品收入 4.519 亿美元
• 账单收入 15.4 亿美元
• 递延收入 59 亿美元,较去年同期增长 15%
• GAAP 营业利润 4.372 亿美元
• GAAP 营业利润率 30.5%
• GAAP 净利润 3.798 亿美元
• GAAP 每股摊薄净收益 0.49 美元
• 非 GAAP 营业利润 5.036 亿美元
• 非 GAAP 营业利润率 35.1%
• 非 GAAP 净利润 4.399 亿美元
• 非 GAAP 每股摊薄净收益 0.57 美元
央行就《修改〈中国人民银行关于进一步加强征信信息安全管理的通知〉有关公告(征求意见稿)》公开征求意见
中国人民银行关于《修改〈中国人民银行关于进一步加强征信信息安全管理的通知〉有关公告(征求意见稿)》公开征求意见的通知
为贯彻落实《中华人民共和国行政处罚法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》有关要求,中国人民银行拟对《中国人民银行关于进一步加强征信信息安全管理的通知》(银发〔2018〕102号)部分条款进行修改,起草了《修改<中国人民银行关于进一步加强征信信息安全管理的通知>有关公告(征求意见稿)》,现向社会公开征求意见。公众可通过以下途径和方式提出反馈意见:
1.通过电子邮件方式将意见发送至:[email protected]。
2.通过信函方式将意见邮寄至:北京市西城区金融大街30号中国人民银行征信管理局(邮编:100033),并在信封上注明“102号文修改意见”字样。
3.通过传真方式将意见传真至:010-66016489。
意见反馈截止时间为2024年8月25日。
附件1:修改《中国人民银行关于进一步加强征信信息安全管理的通知》有关公告(征求意见稿).pdf
附件2:《修改〈中国人民银行关于进一步加强征信信息安全管理的通知〉有关公告(征求意见稿)》起草说明.pdf
中国人民银行
2024年7月26日
修改《中国人民银行关于进一步加强征信信息安全管理的通知》有关公告(征求意见稿)
为贯彻落实《中华人民共和国行政处罚法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》有关要求,现对《中国人民银行关于进一步加强征信信息安全管理的通知》(银发〔2018〕102号)部分条款作出如下修改。
一、在第二条“(二)健全征信信息查询管理”中增加第三段,内容为“采用人工查询的,要实现查询、审核等环节的分离,坚决杜绝‘一手清’操作;采用自动触发查询的,要严格设置规则、专人管理,不因系统触发而放松合规管理。对于查得的原始PDF文件数据、包含原始返回XML消息体全部要素的记录数据,接入机构要按高敏感性数据进行全流程安全管理;未经个人信息主体同意不得向第三方提供征信信息,或将征信信息用于约定以外的用途”。
二、删除第六条及附件3《金融信用信息基础数据库接入机构征信合规与信息安全年度考核评级管理办法》。
三、将第七条修改为:“六、建立征信信息安全监管走访机制中国人民银行及其分支机构围绕上述政策措施的贯彻落实情况,针对接入机构逐级建立征信信息安全监管走访机制”。同时,删除附件4《征信信息安全巡查试行办法》。
四、将第八条调整为第七条。其中,将“考核评级与巡查结论”和“考核评级结果、巡查结论”修改为“监管走访情况”,将“对于问题严重的机构,中国人民银行责成其调整其用户管理权限,直至暂停为其提供征信查询服务”修改为“对于问题严重的机构,由运行机构或接入机构调整其用户管理权限”,删除“在金融系统内部予以通报”和“确定金融机构存款保险评级结果”。
五、删除“其他征信机构、信用评级机构及其接入机构的征信信息安全管理,参照本通知执行”。
六、将全文中的“人民银行”修改为“中国人民银行”;“副省级城市中心支行以上分支机构”修改为“各省、自治区、直辖市及计划单列市分行”。
本公告自××××年×月×日起施行。
文章来源:中国人民银行网站
SEC 终止对 MOVEit 零日漏洞攻击事件的调查
美国证券交易委员会已结束对 Progress Software 处理 MOVEit Transfer 零日漏洞被广泛利用事件的调查。据悉,该漏洞导致了 9500 多万人的数据泄露。
在提交给美国证券交易委员会的表格中,Progress Software 表示,美国证券交易委员会执法部门不会针对该安全事件采取任何执法行动。
在美国证券交易委员会提交的文件中写道:“美国证券交易委员会已通知 Progress,目前不打算建议对该公司采取执法行动。”
如之前披露的那样,Progress 于 2023 年 10 月 2 日收到了美国证券交易委员会的传票,作为事实调查的一部分,要求提供与 MOVEit 漏洞相关的各种文件和信息。
SEC 一直在调查 Progress Software 对通过 MOVEit Transfer 软件中的零日漏洞进行的大规模数据盗窃攻击的处理情况。
据外媒报道,在 2023 年阵亡将士纪念日假期周末期间,Clop 勒索软件团伙利用零日漏洞对全球公司发起了大规模数据盗窃活动。
据一直在追踪此次攻击影响的 Emsisoft 称,超过 2,770 家公司和 9500 万人的数据通过零日漏洞被窃取。
由于攻击影响广泛,包括政府机构、金融公司、医疗保健组织、航空公司和教育机构,Clop 团伙预计将获得 7500 万至 1 亿美元的赎金。虽然美国证券交易委员会不建议采取任何行动,但 Progress Software 仍然会面临数百起集体诉讼。
CACTER直播预告:重保期间邮件网关与SMC2如何多维度防护
在数字化时代,信息安全已成为企业和个人无法回避的话题。面对日益复杂的网络威胁,如何确保我们的邮件系统坚不可摧?CACTER为您揭晓答案!
8月14日(周三)15:00-16:00
重保期间邮件网关与SMC2如何多维度防护
直播亮点抢先看:
·邮件安全网关升级后的效果展现:深入解析邮件安全网关升级后的新特性,展示如何有效防御各类邮件威胁。
·SMC2攻击场景构想及推演:通过模拟攻击场景,让您直观感受SMC2的防御效果。
·重保期间系统加固建议:提供专业的邮件系统加固建议,帮助您在重保期间加强邮件系统的安全防护。
直播互动福利:
参与直播有机会获得巴黎奥运会纪念物玩偶&钥匙扣、罗技鼠标、小米手环9、京东购物卡等丰厚奖品
8月14日15点,与CACTER高级安全解决方案专家刘骞一起交流分享最新的邮件安全防护经验,共同提升邮件系统的安全防护能力。
立即扫码预约,锁定直播席位
不错过任何精彩瞬间!
报名通道已开启!| CCS 2024邀您共话“万象AI,安全新生”
数字化转型浪潮席卷全球,人工智能产业蓬勃发展,显著加速网络攻击速度和扩大攻击范围,网络安全的重要性日益凸显,为共同探索构建网络安全新生态的有效路径和策略,CCS 2024成都网络安全系列活动 (简称“CCS”)将于 2024年9月11日至9月12日在成都举办。
本届CCS将结合行业发展热点及时下高关注度议题内容,满足不同嘉宾的多样化需求,搭建更专业的跨地区、跨国界交流平台。目前观众报名通道已全面开启,扫描下方二维码即可参与报名!
菁英力量聚首 共议网安行业新生态
CCS 2024成都网络安全系列活动广邀国内外领域从业者、知名专家学者、技术精英围绕“数字化逐渐走向智能化高峰、AI赋能网络安全防御新范式、加强实战化网安人才培养”等议题展开讨论,深度挖掘网络安全技术内核与未来可能的发展路径,推动建立校院企地人才协同机制,实现人才资源的优化配置与高效利用。同时,本届CCS面向广大市民,深入普及网络安全前沿技术与核心理念,激发全民参与网络安全建设的热情与主观能动性。
以赛促学 共筑网络安全人才培养阵营
网络空间的竞争,归根结底是人才竞争,建立一支规模宏大、结构优化、素质优良的网络安全人才队伍已成为维护国家网络安全和建设网络强国的核心需求。作为CCS 2024的重要组成部分,2024“巅峰极客”网络安全技能挑战赛、第四届极客少年挑战赛也在火热进行中。两大重磅赛事覆盖成人与少年群体,旨在“以赛促学”,促进全年龄段网络安全技能的提升与普及,从而培养出一批既具备扎实理论基础又拥有丰富实战经验的专业人才。
01 报名方式:
进入CCS 2024官网(https://www.cdccs.cn/#/),在报名页面提交报名信息。
02 报名须知:
1 - VIP仅对定向邀请嘉宾及合作伙伴开放申报。如您有疑问,可通过邮件方式告知组委会(CCS组委会邮箱: [email protected]),并耐心等候回复。
2 - CCS主场区域对专业观众及定邀嘉宾开放,闭门区域为定向邀请制。
3 - 主题活动街区自9月11日下午面向公众开放。
欢迎各位踊跃参与,多样化议题精彩纷呈,期待与您分享!
盛邦安全荣登网络安全优秀创新成果大赛优胜榜单,100G超高速低时延链路密码机初试锋芒
近日,“2024年网络安全优秀创新成果大赛-数据安全和个人信息保护专题赛”评选结果出炉,盛邦安全“100G超高速低时延链路密码机”凭借其前瞻性的技术创新、卓越的性能表现以及广阔的应用前景,在众多参赛产品中脱颖而出,荣登大赛优胜奖榜单。这一殊荣彰显了盛邦安全在数据安全保护领域的卓越能力与突出表现,再次获得业界专家及行业的高度认可。
“2024年网络安全优秀创新成果大赛-数据安全和个人信息保护专题赛”由中国网络安全产业联盟(CCIA)主办,旨在征集各行业领域在解决数据安全和个人信息保护问题、促进数据价值释放等方面取得显著效益的应用案例,以及符合行业发展方向、具有重大技术创新或广阔市场应用前景的数据安全领域创新产品。盛邦安全此次获奖,不仅是对公司在技术创新、产品应用及市场潜力方面的肯定,更是对其在推动数据安全价值释放所做出的努力与成果的重要认可。
专网通信市场前景广阔
高速链路密码机应用广泛
据权威报告显示,未来五年,我国专网通信市场规模将保持在10%左右的增速,预计到2029年,市场规模有望超过860亿元,其中高速骨干网络链路加密市场规模将突破200亿元。高速链路密码机将在智慧城市、能源、交通、水利、金融、政府、电信、国防、东数西算等多个行业中得到广泛应用。
八大核心优势
全面提升数据通信链路安全防护能力
盛邦安全“100G超高速低时延链路密码机”,具备全国密、超高速、低时延、超安全、即连即通、全国产、易扩展、开销低的八大核心优势。该产品采用2U机架式结构设计,提供近100G的双向密通能力,加解密能力高达181Gbps,时延控制在5微秒以内,实现了器件全国产化。
超高速链路密码机基于CPU+FPGA+MCU的全新硬件架构设计。支持国密算法,支持在点到点、点到多点的多链路复杂网络环境中部署,同时支持密钥和策略的集中管理控制。此外,该机还具备自动生产、分发、更换及应急销毁等多种密码服务管理功能,实现了对业务数据安全的国家级强度保护。
今年五月,盛邦安全宣布公司战略全面升级,正式进入卫星互联网及密码安全领域。此次入选“CCIA网络安全优秀创新成果大赛-数据安全和个人信息保护专题赛”优胜奖名单,不仅是对“100G超高速低时延链路密码机”这一创新产品的充分认可,更体现了公司在前沿技术领域的持续深耕和战略布局能力。展望未来,盛邦安全将继续坚持走技术创新的发展道路,不断拓宽业务边界,紧密围绕全新战略,致力于为广大用户提供更加全面、高效、安全的产品与服务,携手各界共同守护网络空间的安全与有序。
【突发】国内大量家用路由器网络访问异常和流量劫持事件分析
以下内容由WebRAY和Panabit联合发布
0x01 事件背景
0x02 事件分析
盛邦安全烽火台实验室联合Panabit对该事件进行了专项分析,这起事件是属于典型的DNS劫持攻击事件,符合国外黑灰产组织的攻击特征。攻击者通过搜集公网可访问的路由器地址,利用漏洞或弱口令获取路由器控制权限,修改路由器DNS服务器地址,达到中间人攻击的效果。整体的攻击流程如下图所示:
(图中假设攻击者对webray.com.cn进行了dns劫持)
用户在发起HTTP请求之前首先会进行DNS请求,由于绝大部分个人用户不会自定义DNS服务器,所以默认情况下会使用路由器的DNS服务器来进行域名解析。攻击者通过漏洞把路由器DNS服务器篡改为自己可控的恶意DNS服务器,并添加解析记录webray.com.cn到恶意IP地址。用户拿到webray.com.cn响应的IP地址之后会与攻击者可控恶意IP建立链接,攻击者可控恶意IP通过实现中间人代理功能,把用户的请求转发的真实目标服务器并响应真实服务器结果给用户。
基于DNS劫持的中间人攻击一般可以造成做到用户无感知,但这个事件还是导致了用户访问异常,从而慢慢发酵了出来,引起用户访问异常的原因有以下两点:
经过攻击者可控的服务器进行代理转发之后,会明显降低系统访问速度,造成访问请求延迟增大。
用户访问https协议的网站目标时,会因为中间人可控服务器没有受信任的证书而导致访问失败。
0x03 排查过程
中间人攻击是一种常见的网络攻击方式,一般情况下可以造成下面的两种危害:
造成信息泄漏,通过中间人攻击可以劫持用户流量,通过对流量中的敏感信息进行提取,获取用户认证信息等敏感内容。
造成远程权限获取,通过中间人攻击可以篡改用户流量,一般情况下中间人会把用户请求转发到真实服务器,但是部分情况下可以通过对流量进行篡改达到RCE的效果。其中经典的用法是通过修改软件的升级更新包的响应内容,通过把响应内容替换为木马文件,达到自动运行的效果。
由于事件还在发酵,很难判断攻击者的最终目的是属于流量获取还是远程权限获取。但是不论何种情况,对用户来说都是属于较大的安全隐患。
那么用户应该如何排查自己的DNS服务器是否正常呢?我们把目前的情况做了总结,本次事件中的恶意DNS服务器普遍具有以下特征:
能解析的域名ttl改为了86400秒,即1天
使用unbound-1.16.2作为版本名称
以已知的恶意DNS 60.205.130.150为例,查询DNS服务器中ttl时间,可以通过dig发送任意一个未解析过的域名,此处的daydaymap.com可替换为随机其它域名。
查询DNS服务器中版本名称,可以通过dig发送version.bind的txt查询请求,并通过chaos的方式进行展示。
如果满足以上两个特征,基本就可以认定是被劫持的DNS服务器。
0x04 用户自查
我们基于以上特征对互联网上的DNS服务器做了全网摸排,情况不容乐观。典型的被劫持IP包括:
目前这些IP都还存活,且基本都是国内公有云上的IP,更多被劫持的IP我们会在www.daydaymap.com上陆续公开出来,查看方式如下:
访问DayDayMap首页,点击DNS劫持标签:
点击后会检索语法ip.tag="DNS劫持",列出已探测到的被篡改的DNS地址:
用户自查方式:
1、登陆路由器后台,查看现有的DNS配置,如果备用DNS地址已被改为了1.1.1.1,需要尤其引起注意!
2、将主备DNS地址输入www.daydaymap.com进行查询,看是否有“DNS劫持”的标签,如存在该标签,尽快更换路由器并进行终端安全检测。
0x05 参考文献
办公室安全:信任还是检测
声明:本文主要为RC²反窃密实验室研究成果分享,仅供交流与参考。
0x01 为什么要检测办公室?
对于绝大多数高管而言,办公室显然是私密交流的主要场所,交谈频率远超过了会议室和咖啡厅。
毕竟,理论上,
它是确保人们能在公司角落敞开发牢骚的保障地。
它是两三个人喝着茶吃着零食讨论公司业务的避风港。
是公司明争暗斗是是非非的一个见证地。
这么一个既开放又私密的房间,你说重要不重要?
0x02 办公室窃密真实案例
发生在办公室的故事,那可就多了。
案例一:公司COO遭到窃听/录音
2019年5月30日晚23时左右,甲乙丙丁所有高管收到了一封匿名邮件(该邮件并未发送给COO),邮件中附带一段被剪辑的音频。
在相关技术产品的人员帮助下,发现这段音频是由至少6-7段COO的谈话内容剪辑而成。音质清晰,是被录音窃听后合成的,时间跨度约为2019年1月至2019年4月,历时长达三个月。
这三个月窃听剪辑而成的音频,只截取了COO个人的讲话片段,无上下文,无与COO对话人的讲话内容。
而实际上,COO的办公室外就是员工的工位,外面还有前台,园区也有保安,要实现这个窃听需要里应外合才能实现。
那么,又是谁在监听COO的办公室谈话内容?这留下了不少悬念。
案例二:办公室里的针孔偷拍
具体的例子不太方便举,大家看一则新闻。
所以,在办公室里安装针孔,到底是什么目的呢?
案例三:办公室电话机遭窃听
固话/座机的非法窃听,也一直是商业间谍、企业内鬼、恶意调查公司、非政府组织、国际犯罪团伙等所使用的主要手段之一。
0x03 办公室的小物件才最麻烦
很多人压根想不到,一个高管的办公室里,会有多少小物件?
仅仅看办公桌,小的物件就包括:
蓝牙鼠标、计算器、无线键盘、公仔、台历、电子钟、抽纸盒、电源线、手机充电头、充电线、插线板等等。
更不用说那些在书架上堆放着各类祈福摆件、公仔和文玩的复杂环境。
“所以说,透检是一个非常重要的检测环节,不可或缺。”杨叔原话。
正如我们在L2商业安全课程中给学员准备的模拟场景一样,学员小组需要在指定时间内,对一小批办公室内常见物件开展X光机透检,找出存在窃密器材的物件。
如下图是典型的窃密鼠标,内置了微型SIM卡电路,一旦放进办公室,窃密者就可以像拨打电话一样,随时随地从远程窃听。
在上图的透检图片上,可以清晰地看到有个小型电路板,与下方电路彼此独立。
而这个透检实验,就是为了加深学员对办公室安全的概念。所有参与过课程的学员,都会被这些真实的器材所震惊。
PS:自这项实验科目开设以来,几乎没有小组得过满分
看看这个安装了窃听器材的灯泡,若不是全面开展TSCM专业检测,怎么可能会发现?
所以,普通人仅仅想从物品外观上看出有问题,实在太难了。
0x04 企业该怎么做?
对于企业,解决办公室安全风险,最好的办法只有2个:
1 开展商业安全专项培训,提高内部人员意识。
2 定期开展高管办公室的商业安全检测。
很简单的道理:
很多需要人牢记的知识,不是仅仅看一遍书本就会记住。
重要的安全习惯和意识,也不是简单地听一遍就能牢记。
唯有亲身经历实战性质的体验,才会形成可靠的记忆。
对于非常重视安全的企业,也很有必要成立一个常态化机制:对高管办公室等高密级环境开展定期检测,包括对新购置设备开展检测等。
在当前的国际形势下,对于任何大型企业来说,内部安全与稳定都非常重要。
但若是并不清楚自己的实际需求,建议不要急着去采购设备。一般而言,急忙采购的设备很可能会并不适用,也同样建议先通过参加培训,来评估下可能面临的风险后再做打算。
0x05 最后
说起来挺有趣,因为“华强北”的威名,国内很多器材曝光度最高的地区都源自广东
但这些年根据不同渠道的反馈,广东很多企业及高管群体,在“商业安全概念”上,却出现了明显的两极分化:
有的人非常有商业反窃密意识,有的人却完全没概念?
私家车跟踪器自检手册
一般来说,可能会使用车辆GPS跟踪设备的群体,主要有以下几类:
1)企业/上市公司的商业竞争对手 2)同一家企业/公司的中高层 3)家庭纠纷/婚姻/两性问题的其中一方 4)媒体暗访 5)欺诈/绑架等心怀恶意目的人员 6)政府机构/相关部门的秘密调查 7)娱乐圈的绯闻记者 8)黑吃黑其中,就真实案例而言,以1、2、3方面的情况最多。当然,新闻报道上也常能看到5和7的情形。所以,如何保护自己,如何防范可能的非法或者恶意行为,经常性地检查自家车辆会是一个非常好的习惯。下面杨叔会仔细讲述下私家车的标准检查步骤,至于大型或特种车辆在主体方法上类似,只是细节上会有所不同。OK,那我们开始吧......
Part1 外部检查步骤1:准备好手电和自己的车辆使用手册。
是的,你只需要这两样东西。强调下,虽然目前市面较多的GPS追踪器外型都是一个体积较大的带磁吸的盒子,但注意并不是所有的设备都会这么明显。 甚至在某些情况下,唯一能够识别追踪器的途径可能仅仅是条不合适的电线。在开始自检前,一定要强调的是:除非你非常熟悉自己的车,否则请勿轻易自行手动拆除车辆的重要部件。
步骤2:检查车底盘。
如果没有车辆维修专用的修理槽,可以背朝下滑入车底,用手电检查车底盘。大多数跟踪器需要链接到GPS卫星信号,所以一般不会在车底部有较厚金属阻隔的区域。仔细观察并寻找有无可疑的盒状物体或天线,给些小建议:
• 先检查油箱。油箱的外壳多数为金属,是较为容易安装磁性装置的位置。
• 如果看到奇怪的附着物,可以尝试先加些劲看能否拽下来。因为大多数跟踪设备都是磁吸式,可以轻松拆卸。特别强调:本项不适用于高级安保环境或身份敏感人士(好可怕,万一是爆炸物可别找杨叔)
步骤3:检查车轮口和轮辋凹区。
检查每个车轮的塑料防护罩/挡泥板,特别是感觉松动或弯曲的地方。默认情况下车辆在这个位置不会有任何外置设备,所以若是有跟踪器,那都应该是很容易观察到的。
• 如果在4S店或者维修车间,你可以选择拆下轮胎检查其后面的位置。注意,在某些制动器后面会有一个正常的有线传感器,这个可不要误会成跟踪设备了,最好现场咨询下维修人员。
步骤4:检查前后保险杠。
前后保险杠是放置追踪器的一个常见位置,在保险杠内部及前后仔细检查任何可疑的物件。
• 前保险杠下方可能会有线路连接到汽车的电气系统,所以在拆除任何东西之前,应先仔细比较维修手册里的原厂接线。
步骤5:检查车顶。
一般不太可能,不过存在下述两种情况下时应当检查:
• 车辆为SUV或其它车身高大的款型,并在车顶已安装了行李托盘或者行李箱。
• 车顶有可以隐藏缩回槽内的天窗。
步骤6:最后看看发动机罩。
通常老司机们自己都会定期检查汽车的前部发动机罩区域,加上高温、导热的金属壳体,一般而言跟踪器很难会部署到这里。不过也不一定,某些偏执狂也许会这样做。
• 注意下车载电池,上面若出现可疑的接线可能意味着跟踪设备。不过不要轻下结论,还是需要与车辆维修手册的布线图进行仔细比较。
Part2 内部检查步骤1:检查车里的内饰。
如果可能,拆开座椅(包括头枕部分),查看任何可移动的部件。这个地方其实是检查时极难发现的区域,所需部署技巧极高,所以也是一般人根本不会想到的地方之一。
步骤2:检查座椅底部和地垫下面。
把手电观察座椅的底部。请注意,某些高配版车辆前排座位内置的加热部件可能会有外露,不要误认为是跟踪设备(汗......拆坏了找4S店,不要找杨叔-_-|||)。仔细比较两个前座的外观,找出异常情况。
步骤3:检查仪表板/面板及下方脚踏区域。
对于大多数车辆,都可以拆下手套箱隔间,再拆下方向盘下方的面板。检查所有的电线(包括ODB接口),查看是否存在松散的电线,尤其是贴合度较差或粘贴依附在其他电线上的,若发现应尽可能追溯到其源头。注意包括油门、离合和刹车后面。
步骤4:检查车辆尾部。
牢记一点:大多数跟踪器不能穿透金属接收信号。在检查后备箱之前,重点关注车辆后窗下的区域,必要时应拆下备胎(无论是挂在车屁股上的,还是在后备箱底板下面的那个)做彻底检查。
Part3 进阶检查步骤1:聘请专业人士
如果按照上述步骤没有找到一个跟踪器材,那么理论上而言应该是相对安全的。如果你仍然不能释疑,也可以雇用专业人士做深度细致的检查。建议选择下列专业人士:
• 具有追踪器检测经验的安防公司技术人员
• 专业安保人员
• 汽车报警器/GPS追踪器销售厂商的工程师
• 杨叔所在的RC²反窃密实验室^_^
步骤2:使用检测设备扫描车辆。
手持式检测设备可以较为精确地定位GPS追踪设备。 当然,如果愿意支付一些服务费用,也可以由专业安防公司提供更好的解决方案及产品。
• 有的跟踪器会设置为只在车辆移动时进行定位和数据传输,因此需要开车到偏远的地段进行测试。
• 检测时注意附近的手机数据传输也可能会干扰判断,建议检测时搬出车内一切不必要的电子设备和物品。
• 注意某些GPS跟踪设备能够自动存储定位信息以供后期的检索,并不一定会向外实时发送数据。
步骤3:参加“商业反窃密”专项培训。
和所有行业一样,解决方案和设备只能解决当前的问题,并不能完全杜绝以后的威胁和疏忽。关键的因素始终是人,所以,提高企业管理层及核心人员的反窃密意识更为重要。在这个飞速发展却又物欲横流的世界,飞到地球另一边也只需要10个小时,花上1~2天耐心学习下如何保护商业机密和个人隐私,才对得起曾经那么多的拼搏和心血付出。
不同Level课程包含数十个技术面,远不限于以下内容:
• 旅行/出差/酒店个人隐私保护
• 无线空口窃密技术及演示
• 数据保密:擦除与还原技术
• 常见偷窥/窃听/跟踪器材识别与自查
• 私家车自查体验
• 女性尾行识别与反跟踪
• 非常规监控技术
• .....
TSCM发展史 | 一位改变了全球反窃密检测行业的人
篇首语:这些年,杨叔发现,虽然越来越多的人都开始使用NLJD,但似乎很多人对这些设备的发展史,以及那些行业中曾经赫赫有名的公司和专家均一无所知。
我们都知道:很多技术的发展,都是要经过“引进--研究--学习--超越”这几个步骤,所以杨叔特别准备了「TSCM发展史」系列软文,希望能让更多人真正了解和走进TSCM行业。
声明:以下内容符合OSINT国际开源情报搜集定义,不涉及任何非法行为,仅供交流与参考。
0x01 先说说NLJDNLJD,Non Linear Junction Detector,非线性结点探测器,可以说是当今开展TSCM反窃密检测、物理安全检测的必备专业设备之一。
通过识别PN结的非线性反应,NLJD能够轻易地检测到地板、家具及墙面里隐藏的电子器材,所以自1980年起,从欧美到亚洲,各国反间谍部门、情报机构、重要保密单位都开始大量装备NLJD,对内部环境开展严格的TSCM安全检测。
分享一份美国FBI的内部TSCM检测记录,这份写于1987年3月23日的报告,充分展现了定期检测的工作内容。
如上图可以看到,里面提及了无线检测、物理搜检及电话线路检测等等,均没有发现异常。
嗯,是的,自TSCM检测开展以来,在一个完整的TSCM检测流程里,不仅仅是非线性设备的使用,专业电话线路检测都是必查的内容,这是衡量TSCM检测能力专业与否的关键判断点之一。
更多内容,可以参加RC²的深度专家课程,也可以翻阅杨叔之前的这篇:
那么,
可能有人注意到了
为什么选择今天发这篇软文呢?
因为对于TSCM行业而言,
2月18日,
是非线性结点探测器发明人的诞辰纪念日。
0x02 NLJD发明人Charles Bovill
The Special Operations Executive ,即鼎鼎有名的英国S.O.E特别行动局,囊括了各种各样的专家,今天要提到的是其中一位:
Charles Bovill,查尔斯-博维尔(1911年2月18日-2001年5月09日),他后来也被业内人誉为“电子反侦察之父”。
Bovill是一个剧作家的儿子,但他却走了完全不同的路。他于1933年开始在HMV公司担任无线电工程师,仅仅两年后就被任命到空军部的无线电报部门。
1938年,他转到马可尼公司,但随着第二次世界大战的爆发,他被借调到英国皇家空军轰炸机和海岸司令部担任无线开发工程师。
1941年,他的能力引起了英国S.O.E特别行动局的注意,被招入到军种间研究局(I.S.R.B)的无线电实验和飞行部门工作,这是S.O.E技术研究和开发部门的一个掩护名称。
Bovill 在创造和使用Eureka(尤里卡)和 S-Phone(S型电话)方面发挥了关键作用,Bovill 经常陪同S.O.E空勤人员在法国上空安装和操作S型电话等无线电设备,并于1944年被派往S.O.E在意大利的399部队。在那里他为巴尔干地区空军装备飞机,及与铁托的游击队进行通信。
Eureka(尤里卡),按照当时的标准算是一个比较小的设备,使特工能够为飞机引导武器和供应品投放区。S型电话的主要特点是它能够减少特工被发现的可能性。这种电话可以装在手提箱里,使S.O.E的空勤人员可以和战场上的特工相互通话,而几乎没有被拦截的风险,最远可达30英里。
在薄雾和低云的恶劣天气条件下,尤里卡和S型电话的组合可以帮助提高英国皇家空军在投放武器、物资和人员时的准确性。
1942年4月,他成为皇家空军志愿后备队技术、信号和雷达分部的一名飞行中尉。在那个时候,为了探查飞机上被腐蚀的金属部件,Bovill 开发出了非线性结点探测器(NLJD)
1972年,离开S.O.E数年后,Bovill 加入Allen International(艾伦国际)担任技术总监,正式推出NLJD产品并向市场销售。
这家公司在威斯敏斯特(伦敦)有一个商店,专门生产微型麦克风、窃听器和其他间谍设备。据他的朋友和同事Lee Tracey(也是S.O.E专家)回忆说,艾伦国际实际上也是MI6军情六处某些活动的掩护公司。
很快地,艾伦国际公司开始为著名的007詹姆斯-邦德电影提供间谍小工具。
1973年,爱尔兰共和军担心他的这些发明被用来对付他们,试图炸毁他所在公司的威斯敏斯特办公室和陈列室。幸运的是,被他的同事Tracey提前发现,最终炸弹没有爆炸。
1999年,88岁的Bovill在第四频道的纪录片《The Walls Have Ears(墙有耳)》中展示了他发明的初代NLJD:Broom(扫帚)。这是他在战时开发的非线性结点探测器。
在二战期间,Broom(扫帚)被用来寻找被腐蚀的飞机零件,但博维尔发现它也可以用来寻找其他半导体,如二极管、晶体管和集成电路。
2001年5月9日,Charles Bovill 去世,享年90岁。
由于他在电子反侦察事务方面的丰富知识和能力,被整个 I.B.A英国国际刑事事务局尊称为 "Mr.Q"(Q先生)。
TIPS:
在某些资料中,认为俄罗斯人率先发明了非线性结点检测器(NLJD),因为他们在1972年与Bovill 同时提出了一个类似装置的发明申请。
但由于Bovill在二战期间,已经开始使用NLJD来探查飞机上被腐蚀的部件,所以在西方TSCM行业,普遍认为Charles Bovill 才是NLJD的原始发明者。
有本专门介绍这位二战无线电专家Charles Bovill 的回忆录,杨叔没能找到电子版,若有朋友收集到,也盼能分享给杨叔,感谢感谢~
007迷们都知道,Mr.Q是007系列电影中MI6(英国军情六处)的军需官,负责给邦德提供各种高科技工具。作为007背后的男人,他提供的武器和工具,多次协助邦德化险为夷。
而这一个角色的来源,正是007系列书籍的作者,在与S.O.E特别行动局合作后,才产生了007专用间谍器材的灵感。于是,Bovill的公司便开始为007系列电影里提供各式各样的经典间谍器材。
呐,现在大家都知道啦,007系列电影里“Mr.Q”的原型是Charles Bovill,而且直到去世,他在英国反间谍系统里的绰号就是“Mr.Q”
考考眼力:下面这些器材出现在哪几部007电影?
0x04 历史上知名的NLJD设备及制造商
这些历史上闻名遐迩的NLJD公司,均和Charles Bovill有着千丝万缕的关系。
1978年,Charles Bovill的S.O.E同事Lee Tracey离开英国军情六处,成立了自己的公司:即Audiotel International Ltd,最初的地址在伦敦的城市路。
Audiotel第一个产品是Scanlock Mark I 非线性结点探测器,不久又推出了Scanlock Mark 2和Scanlock Mark 3,最终演变成传奇产品Scanlock Mark VB。这些产品在英国和欧洲大陆流行起来,甚至至今仍在使用。也使得Audiotel 成为了TSCM反窃密领域的国际顶尖专业品牌。
1987年,Audiotel 搬到了位于科比(英国北安普敦郡)的新址。在那里,Scanlock 2000的后续产品被开发出来,形成了数字控制的多功能Scanlock ECM。
1989年,Audiotel 收购了Security Research Ltd.安全研究有限公司,从而获得了非线性结点检测器(NLJD)的最新技术。
2015年,Audiotel被Tioga公司收购。
Security Research Ltd.
由Charles Bovill一手创立,他既是二战时期的S.O.E老兵。也是Lee Tracey多年老友,自1970年代以来一直在开发和改进初代NLJD:Broom。
前面提到Charles Bovill 加入的Allen International(艾伦国际公司)后来被Security Research Ltd.收购,但这两家最终都归入了Audiotel 旗下。
Audiotel International Ltd
是欧洲领先的TSCM设备制造商,主要生产用于有效检测电子窃听器材的专业设备。Audiotel TSCM设备通常以Scanlock品牌名称在全球范围内销售。该公司成立于1978年,被认为是国际TSCM领域的主要领导者之一。
呐,现在明白了吧,关于NLJD的商业化产品,最初就是英国S.O.E出来的这几位专家捣鼓出来的。从那以后,通过研究仿制升级,更多的厂商才陆续冒了出来,比如英国JJN,美国REI等。
咳咳,有些时候,搞研究和技术的人,还是会有些“面基”的热情。
2017年,带着这份对引领国际TSCM行业发展先驱的敬佩和学习交流的态度,杨叔在参加完英国伦敦IFSEC安防展后,专程拜访了Audiotel International 的技术负责人,并现场交流学习了ScanLock设备的使用。
作为中国第二家拜访Audiotel International 的 TSCM公司,他们也专门在官网上做了报道。
PS:哈哈,猜猜第一家到访的是谁?估计只有真正懂行的人才说得出来。
0x03 NLJD的优势与缺点
随着技术的不断发展,NLJD在TSCM领域的地位也受到了很多挑战。越来越多的专业技术监视设备厂商,专门针对全球主流的NLJD做了对应性的开发和设计。
比如针对目前市场占有率最高的美国REI生产的ORION 2.4 HX非线性检测设备,就一直受到靶向性关注。
关于美国REI的介绍,可以关注杨叔写的这篇:
PS:原本是一个厂商情报库系列,打算把美国、欧洲、俄罗斯等有影响力的TSCM厂商介绍一番的,但似乎关注的人不多,懒得写了,还是在RC²专家课程上再分享吧。
但即使如此,NLJD依旧在全世界每个TSCM设备库中都占有一席之地。只要在检测过程中使用得当,它就可以发现其他仪器所遗漏的非法器材。
所以,请牢记:
NLJD只是完整TSCM装备中的一个组成部分,它的效果好坏只取决于操作者。
最后,
放一张照片:
杨叔在结束Audiotel 拜访后,专程到英国MI6 军情六处的外景打卡(007迷必选),也就是在那个时候,杨叔坚定了深入TSCM研究学习的决心。
所以,同步给大家分享一个心得:
「忧患之心不可无」
也正因为技术对抗一直在不断发展,所以我们更加不能过度地“迷信”某类专业设备的所谓唯一性,更不能“封闭造车”;
还是要通过辨证的思维来不断学习、研究和分析,综合发挥好各类技术和设备的优势,取长补短,始终保持自我的升级与提高,才能真正保持领先走在国际前列。
非法监视防范指南 | 技术篇
直接切入主题,那些试图继续干扰女孩子生活的前男盆友们,往往都会采用非法监视,一般有以下几种可能:
一,针孔偷拍窃听。在对方家中或者曾经的合租房里安装针孔摄像头、窃听器材,偷拍女孩子的生活起居,暗地了解新交往的对象等等,这样的事情在日本和台湾地区的新闻报道里屡见不鲜,但国内一般很少报道此类事件。
下图是台湾《苹果日报》的新闻报道截图,讲述的就是一位28岁女性遭到40岁前男友部署在屋里器材的偷拍和窃听。
二,相机偷拍。这一项常常和尾行跟踪在一起,一般远距离会使用到专业相机+专业镜头,近距离则是用微单或者手机实现。主要目的还是在于跟踪女孩子的生活状况、有没有新的约会对象或者喜欢的人等等。当然,对于狗仔队而言,其有着完全不同的特殊意义。
三,非法定位。跟踪女孩子的出行状况,比如出差到哪个城市、订哪个酒店、和谁一起游玩等等。有些通过在女孩子背包或者车辆上安装跟踪器实现,有些则需要借用到专业的基站定位技术和地下信息数据支持。
防范建议:
(注意:以下建议仅适用于关系僵硬、出现崩离趋势的时期)
1)在分开的这段时间里,要改变下自己的平日上下班习惯,包括路线、常去吃饭的地点、下班时间等,防止被蹲守跟踪。
2)安装多个智能家居摄像头,可以随时远程查看房内情况,确保其中一台对准正门口。再设定移动侦测报警,这样家中有人进入会自动录像并向你提示告警。
3)更换门锁,找个周末,邀请多个好友来家陪伴,然后让物业或专业的锁业公司上门更换门锁。
4)检查浴室透气窗户密闭性,确保能够从里锁死,外部无法打开。
5)在怀疑有人进入过房间,可以使用便携式反针孔探测设备(如之前团购的台湾罗美RD-10)、手机反偷拍APP或者强光手电检查下房间主要区域是否被安装偷拍器材,或者直接向专业公司咨询处理。
0x02 尾行跟踪虽然感觉比较Low,但实际上尾行始终都是一种非常有效的监控手段。不过大多数尾行跟踪行为都建立在一个基础上,就是“对你平时工作生活的了解”。
虽然不至于为了一个前男友就去辞掉工作,但是无论是为了确保自己安全,还是为了新的开始做铺垫,改变下以往的生活作息习惯,显然是恰当的。
先说明,以下建议并不适用于专业跟踪偷拍人士/团队,若是遇到下图这样情况,那就需要专业对专业,需要委托个人隐私安全保护服务(一般不到这个程度,某些打羽毛球的拍电影的,似乎更需要这个级别的安防保护)。
防范建议:
(注意:以下建议仅适用于关系僵硬、出现崩离趋势的时期)
1)同样的,在分开的这段时间里,要改变下自己的平日上下班习惯。当然,尽量在下班人多的时候回家,应避免在深夜或者低峰时人少时一人回家。
2)随身准备一两个随身报警器(淘宝上也就几十元)和强光手电。
3)怀疑被人尾随跟踪时,应挤入商场等人流多的地方,换个出口迅速离开。
4)乘地铁时若确定有陌生人跟踪,可直接向警方或站内工作人员求助。也可选择临时下车再换乘,反复几次直到甩脱。
0x03 基于人物关系的情报研判听起来似乎很高大上,但实际描述很简单,就是很多人忽视的微信朋友圈的关联性。
举个例子:你和老朋友老同学聚会,即使你已经屏蔽了前男友,但那些老朋友老同学却会发朋友圈晒图,那上面就有你。而对于前男友而言,用小号配美女图标去加这些人好友,总会有人通过的,20%的通过率也不低了。然后就可以间接获知你的动态,当然,不仅仅是微信圈,还有公开性更强的微博、QQ空间等等。
作为专业的OSINT开放情报分析来说,从各种论坛、微信圈、微博到Facebook、Twitter、Instagram等等获得的数据进行综合研判,就属于典型的人物关系拓扑研判了。
还记得美剧《潜行追踪》么?相信我,只要愿意,那些专业的Guys甚至可以分析出你的初高中好友,预测你的下一步行为。
防范方法:说实话,屏蔽微信朋友圈是一个办法,虽然效果不一定好,但确实能减少打扰。
0x04 手机监控APP控制欲强烈的前男友,一定会想尽办法去窥视对方的私人信息,特别是手机。不过在手机上实现偷听貌似是件不可能的事情,嘿嘿,但实际上有些工具可以间接实现这一点,比如一些商业监控APP。
所谓商业监控APP,这是委婉点的说法,直接的说,这就是一种间谍类手机跟踪应用程序,专为监视儿童、亲人及员工设计。
一旦安装在手机上,就可以跟踪及记录目标人员在该手机设备上的任何操作,包括短信、通话、GPS定位、电子邮件、短信、各类主流聊天工具(如Skype、Facebook、WhatsApp...以及微信)、上网记录,甚至照片、视频等。
具体的效果,可以参考杨叔之前写的一篇软文《没有任何隐私:商业监控APP》,可以点击本文左下角的“阅读原文”来查阅。
至于手机木马,这就需要有专门研究的人才会知道如何部署,利用最新的Android或者iPhone漏洞会是个办法,配合WIFI的植入更是公安临侦的主要方法之一,但很多时候需要的前提是要先干掉对方手机上的杀毒软件。
不过有趣的是,现在有很多人智能手机上都没有杀毒软件,好吧,杨叔也想问问,是什么让你们放弃了保护自己?
防范建议:
(注意:以下建议中第1项仅适用于关系僵硬、出现崩离趋势的时期)
1)最大的原则:不要轻易借出手机。特别是不要相信什么我就看看照片打个电话之类的鬼话,看照片打电话就当面打,OK?打电话不方便?不方便我把SIM卡拆下来你拿去用,用完还我谢谢。
2)及时更新手机系统补丁,关注下手机“设置”--“系统更新”这一位置,出现更新就尽快打上补丁。
3)安装杀毒软件,正版杀毒软件其实很便宜,比如俄罗斯的大蜘蛛,Android版本一年的使用费用只需要12元,为何不装?
4)及时备份手机数据,保存到一个从不公开的移动硬盘、加密U盘或者带密码的网盘等等。特别要注意的是物理保存的隐蔽性以及相关密码一定要强劲(16位以上),否则反而会成为隐私泄密源。
0x05 地下信息经常有新闻报道,一些事关个人隐私的大站数据库由于被黑客攻入下载并曝光,类似XX平台的酒店住宿信息数据库被拖,导致数千万人的历史开房记录曝光等。但实际上,在地下市场,早有很多包含了大量个人和商业隐私的数据库被交易和私下查询。
甚至,某些公司/平台的内鬼,还能够提供几乎实时的信息查询,比如半小时前的机票订单等。这里面水比较深,很多内容通过一篇软文也根本讲不清,所以本文点到而止。
防范建议:虽然目前国内对于公民隐私保护方面的法规正在完善中,但仍需要些时间才能真正起到作用。
对于个人而言,在不同平台是使用不同账号去订酒店行程会是个好习惯。当然,若是在那些过于小众的网站上订酒店,也可能面临隐私直接被卖的可能。
0x06 第三方调查公司在日本,有很多探侦公司的主要业务都有婚姻调查(在日本称之为“浮気调查”)。而之所以日本人将婚姻问题称为“浮気”,解释为:“浮気”如同水上泡沫一般,处理好了会归之于水,处理不好也会如同泡沫一般飞去。
日本《关于侦探行业业务规范化法律》将私人侦探业务限定为:收集当事人具体位置及相关活动信息,通过走访、跟踪、盯睄等方式调查,并将调查报告以书面形式提供给委托人。
所以,日本女人在感觉丈夫有所异常时,一般不会听信传言,也不会同丈夫大吵大闹,往往更注重现实证据。日本女人有许多在家料理家务,由于掌握家中财权,容易动用特殊手段解决问题。也就是说日本女人更愿意雇用私人侦探来追查小三等婚姻问题。
在国内,调查公司会有其它的名字,并不会叫做侦探公司之类。当然,由于缺乏行业标准,所以鱼目混珠良莠不齐,具体就要靠口碑及委托人自行判断,本文不做判断讨论和引荐。
防范建议:
(注意:以下建议中仅适用于关系僵硬、出现崩离趋势的时期)
1)在分开的这段时间里,要做防尾行跟踪措施,方法前面已经提及。
2)换个手机号码,放进新手机使用。原号码不注销,原手机调成静音,仅作接收短信消息用。
3)分离期内,发微信圈时注意不要附上定位地址。
4)不轻易加新的好友,特别是没有见过面直接发好友请求的。
5)和好友聊私事时,选择在封闭的环境聊,一定要临时选择,不要提前约定。
0x07 小结还有些可怕的招数杨叔就不介绍了,别反而教会了那些Bad guys,其实在线下的研习课里杨叔已经提到过很多。
不过应特别注意很多数据都是可以伪造的,比如微信聊天记录抓图等等,搞取证的朋友们都知道如何对一个PS过的图片进行伪造识别,但是大多数人都不会。所以,对数据的二次分析和溯源比愤怒冲动的头脑更重要。
法国巴黎大皇宫披露奥运会期间遭受网络攻击
法国巴黎大皇宫是负责管理法国多家博物馆和文化场所的机构。它负责监督博物馆运营的各个方面,包括展览、文化节目和运营。 据了解,该馆于 2024 年 8 月 3 日星期六晚遭受了网络攻击。
其本身是巴黎的一处历史遗址和展览馆,目前举办奥运会的大型艺术展览和文化活动,包括击剑和跆拳道比赛。
据外媒透露,大皇宫剧院的运营中断是勒索软件攻击造成的。然而,卢浮宫馆长在社交媒体上反驳了有关此次袭击影响到其他博物馆的说法,包括著名的卢浮宫,该博物馆在当前的旅游繁荣时期尤为重要。
据法国媒体报道,此次攻击导致巴黎大皇宫博物馆关闭系统,以此防止攻击蔓延,此次攻击导致法国多家博物馆的书店和精品店停业。不过,当局已制定解决方案,让这些书店和精品店能够自主运营。
大皇宫博物馆方面表示,此次网络攻击没有对其管理的博物馆造成其他影响,博物馆仍在正常运营,奥运会赛事也顺利进行。
“至于大皇宫博物馆管理的 36 家博物馆商店,它们正在正常、自主地运营,博物馆及其商店在正常情况下仍向公众开放。”大皇宫博物馆表示,它立即向 ANSSI(法国网络安全工作组)、国家信息和自由委员会 (CNIL) 和文化部通报了此次网络攻击事件。
ANSSI 目前正在协助补救和网络恢复过程,而初步调查尚未发现任何受感染系统数据泄露的迹象。
然而,据称威胁者留下了一张勒索信,要求以加密货币支付,否则他们会泄露在攻击中窃取的数据。
有可靠证据表明,此次攻击可能是由 Grand Palais Rmn 合作者的账户被劫持引起的,其凭证被信息窃取恶意软件窃取。
目前还没有任何勒索软件组织出面对此次攻击负责,威胁者仍然未知。