美国发布《灰熊草原–俄罗斯恶意网络活动》报告由刀豆文库小编整理,希望给你工作、学习、生活带来方便,猜你可能喜欢“网络营销方案策划报告”。
美国发布《灰熊草原–俄罗斯恶意网络活动》报告
美国发布《灰熊草原–俄罗斯恶意网络活动》报告
吴绍忠等
2017-01-06
联合分析报告
声明:本报告仅供参考。美国国土安全部(DHS)不对本报告的内容提供任何形式的担保。美国国土安全部不为任何形式的商业产品或者服务做背书。本报告属于TLP:白色级:符合标准的版权规则,TLP:白色级信息可以不受限制地传播。欲了解更多根据红绿灯协议[①]分类的信息,请参见https://www.daodoc.com)。利用您的电子邮件客户端和网络浏览器提供的反网络钓鱼功能。对所有系统的关键漏洞进行修补,优先及时修补处理互联网数据的软件,如Web浏览器,浏览器插件和文档阅读器。○许可,权限和存取控制将权限减少到用户职责所需要的权限。限制用户安装和运行不需要的软件应用程序的能力(权限),并将“最低权限”原则应用于所有系统和服务。限制这些权限可以防止恶意软件运行或限制其通过网络传播。在向用户授予他们自己计算机上的管理权限之前,请仔细考虑这些风险。定期清理并验证所有管理员帐户。配置组策略(Group Policy)以在可能的情况下将所有用户限制为仅一个登录会话。在可能的情况下执行网络安全验证。指导管理员使用非特权帐户的标准功能,例如浏览网络或检查网络邮件。网络的划分设置逻辑上的“特区”,并限制主机到主机通信路径。“特区”所发挥的遏制作用,使事件的善后工作成本明显降低。对防火墙加以配置,不允许远程桌面协议(RDP)生效,以禁止来自外网的远程操控,除非特定的操作——例如在进入一个较低权限的辅助VPN时。审计现存的防火墙制度,关闭所有非商用的端口,分门别类地仔细甄别哪些端口应该作为链接的通道。对网络用户执行严格的锁定策略,并密切监视登录失败的活动日志。这些日志可以警示入侵未遂的行动。如果区域间的远程访问是不可避免的商业需求,应当对这些行为进行密切记录和监视。在高风险的环境下进行拦截和入侵,组织应考虑补充其他授权方式的密码认证,(如使用生物特征或物理令牌的质询/响应或多因素身份验证)补充密码身份验证。○证书使用专用管理员工作站和专用于每个层的单独管理帐户强制执行分层管理模型,以防止有些工具(例如Mimikatz)通过收集域级凭据来盗取凭证。实施多因素身份验证(例如智能卡)或至少确保用户选择定期更改的复杂密码。要注意的是某些服务(如、FTP、telnet和.rlogin)以明文传输用户凭证。尽可能减少使用这些服务或者考虑更安全的替代方案。通过哈希密码难以保护密码文件的安全。在几秒钟内使用免费工具可以破解哈希密码。在UNIX系统上,请考虑使用影子密码文件或等同物来限制对敏感密码散列的访问。替换或修改服务,以便通过加密通道传递所有用户凭据。避免使用降低证书整体强度的密码策略。要避免的策略包括缺少密码到期日期,缺少锁定策略,低或禁用密码复杂性要求,以及密码历史记录设置为0。通过设置策略和执行定期审核,确保用户不会在区域之间重新使用密码。为每个设备的本地帐户使用唯一的密码。○日志操作要点确保事件日志记录(含应用程序,事件,登录活动,安全属性等)能够识别打开过或监听过的安全问题。设置能够提供足够信息去帮助快速准确定性安全事件的网络日志。将PowerShell平台升级到有增强日志记录功能的新版本,并监听日志以检测PowerShell命令的使用情况,这类命令经常被恶意软件利用。将安全日志统一存放并隐藏,防止其被修改。准备好面对网络入侵时能快速实施的事故应急计划。○如何提高机构的网络安全态势DHS为机构提供各类资源,帮助识别和解决其遇到的网络安全风险。资源包括需讨论的要点、机构网络安全评估计划以及机构可借助的资源清单。比如各类服务的列表,可访问https://www.daodoc.com/,了解有关CERT 承受度管控模型的更多信息。增强网络安全服务(ECS)帮助关键基础设施所有者、运营商与商业服务提供者(CSPs)、运营实施者(OLs)来共享敏感、分类的网络威胁情报。然后,CSPs通过网络威胁情报保护CI客户,OLs通过此威胁情报保护内部网络。发送电子邮件至ECS_Program@hq.dhs.gov了解更多情况。网络安全信息共享和协作计划是一个在关键基础设施合作伙伴和联邦政府之间自愿进行信息共享和协作的计划。了解更多信息,请联系邮箱CISCP@us-cert.gov。自动指标共享(AIS)项目是国土安全部的一项工作,旨在建立一个共享系统,私营公司或联邦机构一旦发现入侵企图,将即时与所有其他合作伙伴共享这一攻击指标,帮助这些合作伙伴抵御此类威胁。这意味着攻击者只能一次性的利用一种攻击,这将增加攻击者的攻击成本,最终减少网络攻击数量。尽管这一系统不能清除复杂的网络威胁,但可以帮助私营公司和联邦机构清除略简单的攻击,从而更加专注的对付复杂网络威胁。该项目的参与者都与一个国土安全部管理的系统相连接。该系统位于美国国家网络安全和通信整合中心(NCCIC),允许参与者双向共享网络威胁信息。每台参与者的主机允许参与者与NCCIC交流威胁信息。参与者将不仅能收到国土安全部发出的威胁信息,也可以共享在自己网络防御工作中发现的威胁信息,国土安全部将把这些信息与其他参与者共享。了解更多信息,请登录https://www.dhs.gov/ais。网络安全框架(框架),是由国家标准与技术研究所(NIST)与其他公共和私营部门合作研制,该框架能够提升各机构的网络安全准备工作。该框架允许各个机构,无论其规模、受网络威胁程度或网络复杂度,都可以应用一些准则和风险管理的最佳实践做法来提升关键基础设施的安全和弹性。框架提供了当今行之有效的标准、指导原则和实践做法。该框架包括3个部分——框架核心、框架轮廓和框架实施层级——并突出了5个职能:确认、保护、防御、回应和恢复。框架的使用是完全自愿的。了解更多信息,请登录https://www.nist.gov/cyberframework 或联系邮箱cyberframework@nist.gov。联系信息希望该报告的读者能够提供更多与报告中所提威胁相关的信息。请在回复邮件的主题添加该报告的索引编码(JAR-16-20296)。关于该报告如有任何问题,请联系NCCIC或联邦调查局(FBI)。NCCIC:电话:+1-888-282-0780邮箱: NCCICCustomerService@hq.dhs.govFBI:电话: +1-855-292-3937邮箱: cywatch@ic.fbi.gov反馈NCCIC将不断提升产品和服务品质。可通过回答关于此报告的一些问题(URL:https://www.us-cert.gov/forms/feedback),为我们提供帮助。○[①]译者注:TrafficLight Protocol(红绿灯协议,简称TLP):一组标准和规范,将可能被共享的情报分为四个等级(红色,黄色,绿色,白色),以控制共享范围。[②]译者注:鱼叉式网络钓鱼(spearphishing)是面向特定组织的欺诈行为,目的是不通过授权访问机密数据。和用于常规钓鱼(phishing)活动的电邮信息一样,鱼叉式网络钓鱼信息看上去来源可靠。(以下内容来自网络)以下是鱼叉式网络钓鱼(spearphishing)攻击的一种形式:犯罪者找到目标组织的网站,这个网站提供员工的联系信息和公司的其它相关数据。犯罪者运用详细信息来让他们发出的信息看上去更可信,他们冒用某人身份编写的邮件,被冒用身份的人需要这些机密信息应该是合理的,如网络管理员。一般来说,鱼叉式网络钓鱼人需要用户名和密码或者是叫接收人点击会让用户下载间谍软件(spyware)或其它恶意程序的链接。这样的信息应用社交工程(欺诈,非技术性)的战略来获得接收人的相信。如果一名员工掉进了鱼叉式网络钓鱼者的陷阱,攻击者可以伪装成该员工然后获得机密数据的访问权。[③]译者注:Dropper是一种在电脑中释放木马的病毒。[④]译者注:YARA是一款旨在帮助恶意软件研究人员识别和分类恶意软件样本的开源工具,使用YARA可以基于文本或二进制模式创建恶意软件家族描述信息,当然也可以是其他匹配信息。YARA的每一条描述或规则都由一系列字符串和一个布尔型表达式构成,并阐述其逻辑。[⑤]译者注:webshell就是以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境,也可以将其称做为一种网页后门。黑客在入侵了一个网站后,通常会将asp或php后门文件与网站服务器WEB目录下正常的网页文件混在一起,然后就可以使用浏览器来访问asp或者php后门,得到一个命令执行环境,以达到控制网站服务器的目的。
美国国防部发布《2018年度中国军力报告》王仁宣译本文由北京振华领创科技组织翻译,供相关研究机构和人员参考。美国国会授权国防部提交题为“涉及中华人民共和国的军事和安全......
武山县2017年草原监测报告草原监测是开展草原保护、建设和合理利用草原的重要基础性工作。2017年,我县草原监测按照省市统一部署,主要采取地面监测的方法,重点监测了草原生产力......
美国农业部(USDA)各类报告发布时间汇总一、美国农业部(USDA)报告发布时间:1、月度供需报告:每月8-12日左右;2、出口检验报告:每周2;3、出口销售报告:每周5。每季度公布的数据:季度谷物......
美国国防部发布《2018核态势评估》报告概要导言2017年1月27日,唐纳德·特朗普总统指示国防部长詹姆斯·马蒂斯起草一份新的《核态势评估》。总统明确指出,他的第一要务是保护......
美国发布2017版《国防部重大武器项目评估》报告美国发布2017版《国防部重大武器项目评估》报告2017-05-13 战略前沿技术战略前沿技术微信号 Tech999功能介绍 【战略前沿技术......
