分类
公司新闻

天威诚信“云安全合规”闭门交流会在京召开

4月21日下午,由天威诚信主办的“云安全合规”闭门交流会在北京万豪酒店成功召开,会议汇聚了来自阿里云、京东云、金山云、火山引擎、亚马逊等国内外主流云平台代表,共同探讨云安全发展中的合规建设问题,天威诚信首席安全官李延昭出席会议并发表主题演讲,天威诚信国际认证事业部总监安垠主持会议。

天威诚信“云安全合规”闭门交流会在京召开-1

会议同时邀请到了多位来自各关键领域的专家、学者,通过聚焦“云安全合规”这一主题,专家们结合行业发展特点与应用实践,以主题演讲的方式,就云安全合规建设和发展趋势分享经验、建言献策。

中国信通院云大所专家徐秀在主题为《云密码应用与测评研究》的演讲中指出,作为云服务的重要组成部分,云密码通过提供真实性、机密性、完整性、不可否认性四个密码安全功能,保障云平台及云产品应用、安全网络通信、云租户、运维管理等环节的安全。项目建设单位应当落实国家密码管理有关法律法规和标准规范的要求,通过同步规划、同步建设、同步运行密码保障系统并定期进行评估,构建适应云架构的密码基础设施,保障云平台的安全合规。

北京德恒律师事务所合伙人、网络与数据研究中心主任张韬从法律维度出发,进行了主题为《大数据时代的数据合规—立法与实务热点解析》的分享。通过对业内典型案例和合规风险点的分析,张韬阐述了现有法律体系对云安全合规建设的监督与推动作用,明确了云平台建设和应用过程中的法律责任。

同时,通过对《个人信息保护法》以及“数据二十条”的专业解读,张韬提出了在遵循各项法律法规基础上,云平台及其他企业合规体系的建设重点,具有十分重要的指导意义。

在主题为《中国商用密码算法公共可信证书体系建设发展趋势》的演讲中,李延昭将欧洲、北美和中国的信任体系模式进行了对比分析,诠释了公共可信证书的核心价值,即“更高的服务水平、更高的责任承担”,并由此提出,当前建设国产密码算法的服务器证书信任体系是我国网络信任体系的重要组成部分,是全面提升我国网络安全保障能力的重要抓手。

李延昭通过国密算法证书在互联网平台服务商、云服务商、政府和企业的应用实践,展示了天威诚信在推进国密算法证书应用方面的改造能力和适配的解决方案,通过研发国产密码算法的开源密码库和CA 基础设施改造,天威诚信致力于打造国产密码算法服务器证书的产业链,促进国密生态环境的形成。

亚马逊云科技首席安全布道师江学森在会上做了主题为《亚马逊云安全背后的细节》的演讲,江学森开篇介绍了贯穿亚马逊业务全流程的安全文化,通过亚马逊首创的安全责任共担模型,展示了亚马逊在推动安全及合规方面的建设思路和现行制度,并通过与国内其他云平台合规建设的对比,深度诠释了亚马逊“云中的安全”和“云自身的安全”两大建设和运营核心。
江学森重点提及,在云安全合规建设中,亚马逊云科技可提供280多项安全、合规服务及功能,覆盖威胁检测与事件响应、身份认证与访问控制、网络与基础设施安全、数据保护与隐私、风险管控及合规五大领域,切实保障“云上安全”与合规发展。

闭门会上,围绕当下行业热点话题和云平台安全合规建设等议题,来自各大主流云平台产品运营和风控领域的专家展开了热烈讨论,会议重点关注了“企业级专有云如何部署”“云厂商如何兼顾企业的国产化安全保障手段”“云厂商内部数据安全与合规应用”等合规发展方向。

在云计算和大数据持续深入企业数字基础设施的今天,数字安全成为小微企业数字化发展的关键。天威诚信以电子认证服务在云安全与数据安全领域的研究及实践为依托,积极协同各大云平台、厂商和生态合作伙伴,持续深化云安全合规建设与企业数字化转型服务,通过打造云计算安全保障体系,坚持以安全合规之盾全方位护航企业数字化转型和高质量发展。

分类
安全播报

某知名汽车公司遭到网络攻击,公司如何保护网站的信息安全?

近日,一个勒索软件团伙对某知名跨国车企发起的网络攻击引起了业内外高度关注。虽然此次事件只影响了其在当地的一家经销商,但也再次为该公司的数据安全问题敲响了警钟。

据了解,勒索软件团伙使用包括钓鱼邮件、利用漏洞、破坏远程桌面协议等方法对企业信息系统发动攻击。成功的攻击后,他们可以访问客户文件、合同和财务信息。

近年来,国内外网络安全事件频发。大众、三星、微软、英伟达等大型跨国公司都遭遇过网络攻击,业务受到不同程度的影响。

数据安全,作为每个企业关注的焦点,是黑客们最喜欢的目标。一旦攻击成功,黑客会对窃取的数据进行分析,然后展开精准的钓鱼诈骗,或者直接向企业索要赎金,对企业和客户都会造成伤害。信息财产安全构成严重威胁。

进入数字经济时代,网络信息已经深入到生产生活的各个方面。无论是传统企业还是互联网平台,都要保持警惕。通过加强网络安全建设,要确保企业数字资产、品牌声誉和客户信息的安全。既是重视客户权利的具体表现,也是企业软实力的重要体现。

针对黑客组织常用的钓鱼攻击、DNS劫持、软件勒索等,天威诚信建议企业为公司网站域名、邮件等信息系统部署SSL证书,实现对服务器的可信身份认证,并对公司邮件、密钥数据进行数字签名和加密传输,确保数据的真实性和可靠性,有效阻断网络钓鱼和信息泄露等攻击。

SSL证书由可信的CA机构颁发,可以保护网站的关键信息不被窃取或篡改,是现代互联网安全的基石。天威诚信是一家经国家权威部门许可的CA机构。目前已服务超过200万家企业,并长期为客户提供包括DigiCertGeotrustGlobalSign、Entrust等全球可信CA在内的SSL证书服务。

在服务客户的同时,天威诚信自主研发的vTrus国产品牌证书通过了WebTrust CA国际审核认证,继续通过权威、可信、安全、规范的服务,为企业的网络安全和数字化转型保驾护航。

分类
知识中心

网络钓鱼攻击常见类型与应对方法

进入2023年,网络钓鱼仍然像往年一样活跃在互联网的各个角落,而且变得越发诡计多端。虽然有包括安装SSL证书、电子邮件证书等方法可以保护我们免受网络钓鱼攻击,但更有效的方法是能够及时识破它们。有鉴于此,本文整理了几种常见的网络钓鱼类型及其应对方法,帮助你识别钓鱼攻击,保护个人信息和财产安全。

域名欺骗

域名欺骗是一种最常见的网络钓鱼形式,攻击者使用与企业非常相近的域名来仿冒企业本身或企业员工进行欺诈。通常攻击者会注册一个与企业域名非常相似的域名,并搭建一个欺诈网站,欺诈网站会使用企业商标或视觉设计风格来进行仿冒。

应对方法:对于不确定的网站,应第一时间查验网站SSL证书,检查该网站的域名是否与证书中的域名一致,同时检查SSL证书是否由受信任信任的根证书机构颁发。

WiFi网络钓鱼

攻击者伪装公众场所常用的WiFi热点,诱导受害者连接使用公共WiFi,接管受害者网络,窃取网络流量数据,捕获受害者手机号、用户账号等相关信息后实施攻击或欺诈。

应对方法:谨防不需要认证的无线WiFi。公共无线WiFi分两种,第一种是店家设置的,需要向店家询问密码,第二种是商场提供的,需要进行网页二次认证。如果一个无线WiFi不需要密码也不需要认证,那么要小心了。如果你连接了公共无线WiFi,一定要杜绝和钱财有关的一切操作,尤其是输入密码这种行为。

DNS劫持

通过入侵DNS服务器的方式,将受害者导引到伪造的网站上,因此又被称为DNS服务器投毒(DNSPoisoning)。攻击者通过攻击DNS服务器,将流量重定向到钓鱼网站。一旦受害者访问这个假冒网站并进行用户照常登录,不知不觉就泄漏了个人敏感信息。

应对方法:及时部署SSL证书。SSL证书具备服务器身份认证功能,可以使DNS劫持导致的连接错误情况及时被发现和终止,同时HTTPS协议可以在数据传输中对数据进行加密传输,保护数据不被窃取和修改。

未知号码打来的电话

如果你接到一个未知号码打来的电话,而打电话的人声称来自你熟知的银行或其他机构,要非常小心,这是一种典型的网络钓鱼策略。打电话的人会通过让你输入密码、接受验证码等方式获取你的个人账户信息,非法挪用你的资金甚至注销你的账户。

应对方法:如果有陌生号码打电话给你,不要透露任何个人信息,挂断电话,使用你知道正规的号码打给陌生人声称的那家组织。

非个性化邮件

如果你收到的电子邮件没有尊称你的大名,或者只是称呼你为“尊敬的用户”或“尊敬的客户”,就要警惕了。网络钓鱼邮件常常使用通用的问候语,这是由大规模自动化钓鱼活动批量发出的,他们的目的是诱导用户点击邮件中的链接。

应对方法:不要点击不明链接,直接删除邮件,同时企业应及时部署电子邮件证书,通过HTTPS安全通道帮助企业阻挡诈骗、钓鱼和勒索病毒的攻击,确保用户Web邮件收发过程中的信息安全。

综上可知,在应对网络钓鱼攻击方面,为网站、电子邮件系统部署SSL证书实现HTTPS加密是较为有效的解决方案,通过SSL证书可以确认网站和电子邮件发送者的真实身份,避免用户点击假冒网站和不明链接而上当受骗。

在没有万无一失的方法可以避免网络钓鱼诈骗或恶意攻击的情况下,部署SSL证书可以尽量降低网络钓鱼攻击带来的风险,帮助用户实现放心浏览,安全交易。

分类
知识中心

企业如何避免SSL攻击

以下是企业网络中应避免的SSL攻击的常见方法:

避免使用自签名证书

很多时候,系统配置为使用未由授权和受信任的证书颁发机构签名或颁发的自签名证书。此类自签名证书没有证书颁发者的有效凭据或信息。他们也可能使用弱算法和弃用算法,如SHA1或RSA算法,具有弱密钥强度。此类服务器很容易被利用进行攻击,恶意用户可能能够在此类服务器上托管恶意代码。自签名证书只能用于测试,切勿在生产系统中使用。此外,服务器永远不应信任自签名证书

避免使用通配符证书

在面向公众的Web服务器上使用通配符证书会增加组织的风险,即黑客将使用服务器在各种恶意活动中托管恶意网站。为了克服此问题,组织应避免在生产系统上使用通配符证书,尤其是面向公众的系统。请改为为每个域和子域使用特定的证书。

避免未知的证书颁发机构

维持双方之间的信任取决于CA的可信度。在现实世界中,许多客户可能会依赖未知且在市场上不受欢迎的CA,因为它们提供更便宜的解决方案。从长远来看,这可能会使他们(客户)付出代价,因为攻击者可能会破坏这些CA并冒充合法CA来窃取大量关键信息。为了防止这种情况,组织应识别来自未知和不受信任来源的所有CA和证书,并丢弃或替换为来自受信任来源的CA和证书。

防止使用加密通信的攻击者

在当今世界,攻击者使用加密作为针对组织的工具。越来越多的网络犯罪分子正在使用SSL/TLS加密通信在企业网络和系统中植入恶意软件。随着这一趋势的发展势头,Gartner的一份报告称,50%针对企业的网络攻击将使用加密。对于企业来说,检查和解密这种流量将是一项繁琐的工作,特别是当他们没有能力这样做时。为了克服这个问题,组织应利用网络安全解决方案对SSL流量实施出站Web策略。他们还应该仔细区分应考虑在入站和出站方向上解密哪些加密流量配置文件。

避免使用过期的SSL/TLS证书

过期的SSl/TLS证书是全球服务中断的最常见原因。微软在其Azure服务中遇到了臭名昭著的服务中断,不得不向客户提供服务积分,给他们造成了巨大的损失。过期的证书还会导致组织容易受到MITM(中间人)攻击,因为攻击者可以轻松利用过期的证书。

为了保护您的组织免受这种情况的影响,应立即将所有过期的证书从系统中取出,并替换为活动/有效证书。

避免网络钓鱼攻击

网络钓鱼攻击旨在利用人类情感漏洞来欺骗他们并向攻击者提供敏感/个人信息。当用户以html等形式获取链接以提供有关自己的一些个人信息时,他们应注意该链接是安全的还是不安全的。安全链接的地址栏中有“https”,而不安全的链接只有“http”。

为了保护自己免受此类网络钓鱼攻击,如果您尝试访问的html页面不安全,SSL/TLS会向您发出警告消息。此外,如果您要离开安全页面并转到不安全的页面,SSL/TLS仍会向您发出警告。作为最佳实践,用户应始终使用真实的URL/网站以避免网络钓鱼攻击。

使用严格的SSL

在严格SSL(也称为完整SSL)中,对源服务器的身份执行额外的验证,以防止主动窥探和修改您在Internet上的流量。在现实世界中,SSL/TLS加密客户端和网站/服务器之间的通信。但是,MITM攻击诱使用户/客户端在不知不觉中与合法网站/服务器的虚假对应物进行交互。这就是严格的SSL出现的地方。SSL强制客户端的浏览器检查任何网站的身份验证证书,以确保它是否具有有效的证书。MITM攻击无法更改身份验证证书,因此达到了完整SSL的目的。

分类
知识中心

SSL/TLS漏洞攻击

就像我们对其他协议一样,SSL/TLS协议也有其缺陷。以下是影响SSL/TLS1.2及更早版本的攻击。

BEAST攻击:
BEAST(针对SSL/TLS的浏览器漏洞利用)攻击通过利用此漏洞影响SSL3.0和TLS1.0(CVE-2011-3389)。在此攻击中,攻击者可以利用TLS1.0中CBC(密码块链)实现中的漏洞。这使攻击者能够通过使用MITM技术将构建的数据包注入TLS流来解密两个用户/系统之间的加密数据。这些技术允许攻击者猜测与注入的消息一起使用的初始化向量。然后,他们可以将结果与他们想要解密的块中的结果进行比较。此攻击需要访问客户端的(受害者)计算机浏览器作为先决条件。为了成功执行此攻击,攻击者可能会在初始阶段使用其他一些攻击媒介。若要克服此攻击,请使用支持TLS1.1或更高版本的浏览器。

CRIME攻击:
在CRIME(压缩比信息泄露变得容易)攻击中,利用了压缩算法的机制,该机制包含在漏洞(CVE-2012-4929)中。通常,压缩方法包括在服务器问候消息中以响应客户端问候消息,以减少数据交换的带宽要求。为了简化此过程,服务器将“压缩方法”(最常用的是DEFLATE)发送到客户端,而服务器将“NULL”压缩方法发送到客户端(如果不需要压缩)。

压缩算法使用的主要技术之一是将消息中的重复字节序列替换为指向该序列的第一个实例的指针。重复序列越大,压缩比越高。若要修复此攻击,请使用浏览器支持最新的TLS协议(TLS1.3)。

BREACH攻击:
BREACH(浏览器侦察和通过压缩超文本进行渗透)攻击旨在利用HTTP而不是TLS使用的压缩机制,就像CRIME攻击一样。此漏洞列在NISTNVD数据库下,编号为CVE-2013-3587。即使关闭了TLS压缩,也会利用此漏洞。这是通过将客户端(受害者)浏览器的流量重定向到启用了TLS的任何第三方URL,并使用MITM攻击技术监视服务器和客户端之间的流量来完成的。使用HTTP压缩的Web服务器在HTTP响应正文中反映用户输入/机密,并且容易受到此攻击。要控制此漏洞,您可以禁用HTTP级别压缩,将机密与用户输入分开,并屏蔽机密。

HEARTBLEED攻击:
Heartbleed是一种严重攻击,它发现了openssl库心跳扩展中的漏洞,并在NISTNVD数据库下列为CVE-2014-0160。检测信号扩展用于保持连接处于活动状态,只要双方都还在那里。

让我们了解openssl库中的Heartbleed功能。客户端将包含数据和大小的检测信号消息发送到服务器。然后,服务器使用收到的客户端数据和大小数据进行响应。Heartbleed漏洞旨在利用以下事实:如果客户端向服务器发送虚假数据长度,则服务器将使用其内存中的一些随机数据进行响应,以满足客户端指定的长度要求。来自服务器内存的随机未加密数据可能包含关键信息,例如私钥、信用卡详细信息和其他敏感信息。要修复Heartbleed漏洞,请升级到最新版本的openssl库或使用标志“DOPENSSL_NO_HEARTBEATS”重新编译已安装的版本。

分类
知识中心

SSL劫持攻击

会话劫持(也称为cookie劫持)是通过未经授权访问会话密钥/ID信息来利用有效会话。在此过程中,当用户尝试登录到Web应用程序时,服务器会在客户端的浏览器中设置一个临时远程cookie来验证会话。这使远程服务器能够记住客户端的登录状态。为了执行会话劫持,黑客需要知道客户端的会话ID信息。这可以通过不同的方式获得,例如诱骗用户单击包含准备好的会话ID的恶意链接。通过这两种方法,攻击者可以在自己的浏览器会话中使用被盗的会话ID来接管目标会话。最终,服务器被欺骗认为攻击者的连接与真实用户的原始会话相同。为了保护自己免受SSL劫持,请避免连接到不安全(HTTP)URL,连接到公共Wi-Fi时要小心,使用安全cookie标志,在客户端和服务器计算机上使用反恶意软件,以及超时非活动会话。