如何用DMARC防止網(wǎng)絡釣魚？

DMARC是電子郵件身份驗證的全球標準，允許發(fā)件人驗證電子郵件是否確實出自其所聲稱的來源。DMARC有助于遏制垃圾郵件和網(wǎng)絡釣魚攻擊等當今盛行的網(wǎng)絡犯罪形式。近些年，Gmail、雅虎和很多其他大型電子郵件提供商都已經(jīng)實現(xiàn)了DMARC，并盛贊其防護效果。

如果你公司的域名是bankofamerica.com，想必你不希望有網(wǎng)絡攻擊者能夠頂著這個域名發(fā)送電子郵件。這樣會令品牌聲譽面臨風險，還可能傳播金融類惡意軟件。DMARC標準通過檢查電子郵件是否來自預期的IP地址或域名來防止這種情況。該標準規(guī)定了存在身份驗證或遷移問題時該如何聯(lián)系域名并提供取證信息，以便發(fā)件人能夠監(jiān)測電子郵件流量和隔離可疑電子郵件。

域名欺騙是大多數(shù)電子郵件欺騙類網(wǎng)絡釣魚攻擊的前兆。此類攻擊過程中，攻擊者偽造合法電子郵件地址或域名，并向公司客戶發(fā)送含有網(wǎng)絡釣魚鏈接和勒索軟件的虛假電子郵件。毫無戒心的收件人認為欺騙性電子郵件來自他們認識且信任的公司，并最終向攻擊者透露其公司信息或銀行往來信息，從而被釣魚。公司的聲譽由此受到影響，客戶和潛在客戶也因此流失。

谷歌收購Siemplify，獨立SOAR廠商將何去何從？

日前，谷歌稱收購了安全編排、自動化和響應( SOAR )供應商 Siemplify ，將這項安全功能收入囊中。據(jù)報道， Siemplify 之前籌到了 5800 萬美元的風險投資，谷歌斥資 5 億美元收購了該公司，但雙方均未披露交易的財務條款。分析師們認為，這宗交易預示著獨立 SOAR 市場和安全信息與事件管理( SIEM )市場將迎來變局。

Siemplify 成立于 2015 年，它聲稱提供的 SOAR 平臺可以實現(xiàn)端到端管理、更迅捷的威脅響應以及跨工作流程的可見性，從而提升安全運營中心的性能。這家供應商在 2020 年推出一款云原生 SOAR 平臺。谷歌計劃將 Siemplify 整合到 Chronicle安全分析平臺中。Chronicle 是一家網(wǎng)絡安全公司，起初是谷歌母公司 Alphabet X 研究實驗室的一部分，隨后成為一家獨立公司。

研究公司 Forrester 分析師 Allie Mellen 表示：“實際上自一開始， SOAR 工具對谷歌的 Chronicle 產(chǎn)品而言就一直是缺失環(huán)節(jié)，因為其他安全分析平臺早在 2017 年就開始直接整合了 SOAR ?！惫雀柙瓢踩笨偛眉婵偨?jīng)理 Sunil Potti 表示：“此次收購 Siemplify ，將通過 SOAR 幫助企業(yè)實現(xiàn)安全運營的現(xiàn)代化和自動化?！?/span>

All in One SEO插件漏洞威脅三百萬網(wǎng)站的安全

一個名為All in One SEO的非常流行的WordPress SEO優(yōu)化插件含有一對安全漏洞，當這些漏洞組合成一個漏洞鏈進行利用時，可能會使網(wǎng)站面臨著被接管的風險。有超過300萬個網(wǎng)站在使用該插件。據(jù)Sucuri的研究人員稱，那些擁有網(wǎng)站賬戶的攻擊者如訂閱者、購物賬戶持有人或會員可以利用這些漏洞，這些漏洞包括一個權(quán)限提升漏洞和一個SQL注入漏洞。

研究人員在周三的一篇帖子中說，WordPress網(wǎng)站會默認允許網(wǎng)絡上的任何用戶創(chuàng)建一個賬戶，在默認情況下，新賬戶除了能夠?qū)懺u論外沒有任何特權(quán)。然而，由于某些漏洞的出現(xiàn)，如剛剛發(fā)現(xiàn)的漏洞，則允許這些訂閱用戶擁有比他們原定計劃多得多的特權(quán)。

Sucuri表示，這對漏洞已經(jīng)很成熟了，很容易被利用，所以用戶應該升級到已打補丁的版本，即4.1.5.3版。一般認為是Automattic的安全研究員Marc Montpas發(fā)現(xiàn)了這些漏洞。在這兩個漏洞中更為嚴重的是特權(quán)提升漏洞，它影響到All in One SEO的4.0.0和4.1.5.2版本。在CVSS漏洞嚴重程度表上，它的嚴重程度為9.9(滿分10分)。

17家大公司的110萬個賬戶被破壞

根據(jù)紐約州的一項調(diào)查顯示，在針對17家不同公司的一系列憑證篡改攻擊中，已經(jīng)有超過110萬個在線賬戶遭到了破壞。

憑證填充攻擊，如去年對Spotify的攻擊，攻擊者使用自動腳本對在線賬戶進行了大量的用戶名和密碼組合的嘗試，并試圖接管它們。一旦進入到賬戶內(nèi)，網(wǎng)絡犯罪分子就可以利用被攻擊的賬戶達到各種目的。并以此作為入口，深入到受害者的機器和網(wǎng)絡，提取出賬戶的敏感信息。

由于用戶使用了重復的密碼和使用一些常見的容易猜解的密碼，如 '123456'，這種攻擊往往會成功。它們給企業(yè)造成的損失很高，Ponemon研究所的 '憑證填充攻擊成本' 報告發(fā)現(xiàn)，企業(yè)平均每年會因憑證填充攻擊而損失600萬美元，這些都表現(xiàn)為應用程序停機、客戶流失和IT成本增加。

安全意識倡導者James McQuiggan通過電子郵件說：'由于在野有超過84億個密碼，其中有超過35億個密碼與實際的電子郵件地址緊密相關(guān)，這為網(wǎng)絡犯罪分子提供了一個很方便的攻擊載體，來針對各種在線網(wǎng)站的客戶賬戶進行利用攻擊。

充滿潛力的未來：元宇宙將打開新的漏洞

元宇宙的興起與所有技術(shù)創(chuàng)新一樣，它帶來了新的機遇和新的風險。懷有惡意的人將利用它打開新的漏洞。

Metaverse 是一種沉浸式虛擬現(xiàn)實版本的互聯(lián)網(wǎng) ，人們可以在其中與數(shù)字對象以及他們自己和他人的數(shù)字表示進行交互，并且可以或多或少地從一個虛擬環(huán)境自由移動到另一個虛擬環(huán)境。它還可以達到虛擬現(xiàn)實和物理現(xiàn)實的融合，既通過在虛擬中代表來自物理世界的人和物體，又通過將虛擬帶入人們對物理空間的感知。

通過戴上虛擬現(xiàn)實耳機和增強現(xiàn)實眼鏡，人們將能夠在環(huán)境之間以及數(shù)字和物理之間的界限是可滲透的環(huán)境中進行社交和工作等等。在元宇宙中，人們將能夠找到與他們離線生活相一致的意義和體驗。

問題就在于此。當人們學會愛某物時，無論是數(shù)字的、物理的還是組合的，從他們那里拿走那東西都會導致情緒上的痛苦和痛苦。更確切地說，人們所珍視的東西變成了可以被那些試圖造成傷害的人利用的漏洞。有惡意的人已經(jīng)注意到元宇宙是他們武器庫中的一個潛在工具。

URL解析錯誤導致DoS、RCE等

研究人員警告說，由于16個不同的URL解析庫之間的不一致而導致的8個不同的安全漏洞，可能導致多種Web應用程序中的拒絕服務(DoS)情況、信息泄漏和遠程代碼執(zhí)行(RCE)。

這些漏洞是在為各種語言編寫的第三方Web包中發(fā)現(xiàn)的，并且像Log4Shell和其他軟件供應鏈威脅一樣，可能已被導入到數(shù)百或數(shù)千個不同的Web應用程序和項目中。受影響的是Flask(一個用Python編寫的微型Web框架)、Video.js(HTML5視頻播放器)、Belledonne(免費的VoIP和IP視頻電話)、Nagios XI(網(wǎng)絡和服務器監(jiān)控)和Clearance(Ruby密碼驗證)。

URL解析是將Web地址分解為其底層組件的過程，以便正確地將流量路由到不同的鏈接或不同的服務器?？捎糜诟鞣N編程語言的URL解析庫通常被導入到應用程序中以實現(xiàn)此功能。

來自Claroty Team82研究部門和Synk的研究人員在周一的一份分析報告中寫道：“URL實際上是由五個不同的組件構(gòu)成的：方案、權(quán)限、路徑、查詢和片段?！薄懊總€組件都扮演著不同的角色，它決定了請求的協(xié)議、持有資源的主機、應該獲取的確切資源等等。”