标签: 网络安全评级

域名不仅是一个网络上地址，一个企业的域名还代表着企业的品牌、声誉，甚至关系到企业的生存。随着域名重要性与价值的日益凸显，其也逐渐成为网络黑客的目标。域名劫持是一种严重的网络安全威胁，如果不及时加以应对，会带来严重后果。什么是域名劫持？哪些老牌科技企业也遭遇过域名劫持？如何检测和预防？ 一、什么是域名劫持 域名劫持（Domain name hijacking） ，也称为域名盗窃，是指未经授权的个人获取域名控制权的行为。此行为通过攻击域名解析服务器（DNS）或伪造域名解析服务器，将目标网站的域名解析到错误的IP地址，从而导致用户无法访问目标网站，或者恶意引导用户访问指定的IP地址（网站）。 这种恶意行为可能导致以下后果： 流量重定向 ：劫持者将流量从合法网站重定向至欺诈网站，从而达成网络钓鱼或分发恶意软件的目的。 滥用电子邮件 ：劫持者利用域名发送垃圾邮件，损害企业的声誉，进一步可能致使域名被邮件服务提供商列入黑名单。 域名倒卖 ：劫持者在黑市上出售域名，从中牟利，导致企业失去对域名的控制权。 二、域名劫持如何发生 域名劫持通常是由于域名注册账户存在安全漏洞或遭受社会工程学攻击引起的。域名解析（DNS）的基本原理是将网络地址（域名，以字符串形式表示）映射到计算机可以识别的网络地址（IP地址），以便计算机之间进行通信，传递网址和内容等。由于域名劫持只能在特定的网络范围内进行，所以范围外的域名服务器（DNS）能够返回正常的IP地址。 攻击者正是利用这一点， 在特定范围内阻断正常DNS的IP地址，使用域名劫持技术，通过伪装成原域名持有者，通过电子邮件方式修改公司的注册域名记录，或将域名转让到其他组织。 攻击者在修改注册信息后，在指定的DNS服务器中添加该域名记录，使原域名指向另一IP地址的服务器，从而使得多数用户无法正确访问，直接访问到恶意用户指定的域名地址。 常见的攻击方式包括： 弱密码 ：企业使用了弱密码或容易猜测的密码，使攻击者更容易获得未经授权的访问权限。 网络钓鱼攻击 ：黑客使用钓鱼邮件或假冒网站，诱使域名所有者泄露登录凭据，从而劫持域名。 注册过期 ：未及时续约域名可能会使其被监控并抢注。 三、著名的域名劫持案例 （一）案例一：谷歌越南 google.com.vn 2015年，Google越南（google.com.vn）域名遭到劫持，攻击者是臭名昭著的黑客组织Lizard Squad。攻击者通过更改谷歌的DNS记录，将用户流量重定向到一个推广网络攻击工具的页面。其将谷歌的DNS服务器(例如ns1.google.com，ns2.google.com)重定向到CloudFlare的IP地址以实现攻击。谷歌迅速恢复了对该域名的控制,但此事件表明即使是大型科技公司也无法完全避免域名劫持的风险。 （二）案例二：Perl编程语言官网 perl.com 2021年，Perl编程语言官方网站Perl.com的域名遭遇黑客劫持，被指向一个恶意网站。经过数月的努力，Perl团队才终于重新掌控了该域名。该事件严重影响了Perl社区，因为许多用户在此期间无法访问官方资源，阻碍了社区内部的信息传播和交流。 （三）案例三：联想集团官网 lenovo.com 2015年，黑客通过入侵联想员工的电子邮箱账户，获取了联想的域名注册信息，并成功将域名转移到另一个注册商。此次攻击导致联想网站暂时中断，用户被重定向到一个带有黑客留言的页面。这一事件进一步披露了企业内部安全和电子邮件系统的潜在薄弱环节，同时也突显了在管理域名注册信息时需要高度警惕。 通过上述案例，能看出域名劫持不仅影响范围广泛，老牌的科技企业也往往难以幸免，而且其手段多样，造成的后果也颇为严重。 参考报道： Google Vietnam Targeted in DNS Hijacking Attack - SecurityWeek Google Vietnam domain name briefly hacked and hijacked by Lizard Squad | IBTimes UK Webnic Registrar Blamed for Hijack of Lenovo, Google Domains – Krebs on Security 四、如何预防域名劫持 对于日渐增长的安全威胁，遭遇域名劫持并导致用户数据泄露、网站服务中断以及企业声誉受损的风险也与日俱增。面对不断演变的网络攻击手段，以下措施是保护企业的数字资产的几点建议。 措施 详细说明 使用强认证 在域名注册账户中启用多因素认证（MFA），增加额外的安全层。 定期更新密码 使用强密码，定期更新。考虑使用密码管理器来生成和存储复杂密码。 监控域名到期日期 跟踪域名的到期日期并设置自动续订，以防止意外失效。定期审查域名注册详情，检测任何未经授权的更改。 限制访问权限 减少有权访问域名注册账户的人员数量，并根据其角色分配适当的权限。谨慎处理第三方服务提供商的访问权限。 员工培训 培训团队成员了解域名劫持的风险，并教育他们如何识别网络钓鱼和其他社会工程学攻击。 选择信誉良好的注册商 选择具有良好安全记录和可靠性的域名注册商。在注册前务必研究其安全功能和客户支持政策。 启用转移锁 现在不少域名注册商都提供转移锁功能，防止未经授权的域名转移。启用该功能以增加保护层。 通过了解域名劫持的风险并实施积极的安全措施，您可以减少成为域名劫持受害者的可能性。最重要的是保持警惕，确保您的域名注册账户安全，并定期监控域名状态，以维护其完整性并保护您的数字资产。在日益互联的世界中，保护您的域名对于维护在线信任和信誉至关重要。 五、结语 如果您想进一步了解如何保护您的域名和其他数字资产，请联系我们试用SecurityScorecard，实现全面的安全评估和监控，识别和解决潜在的安全威胁，在数字化时代保持企业安全。

网络风险似乎往往很难量化，这使得保险公司很难适当地承保其网络风险政策。威胁载体的数量和不断发展的威胁，如新型恶意软件/勒索软件，导致出现 对适当 定价的困惑。承保网络风险政策的公司需要衡量指标，以帮助降低其投资组合中的风险。 为什么保险公司需要“注意缺口”？ 随着网络风险的重要性不断增加，公司现在认识到，传统的商业一般责任(CGL)政策缺乏对这些新风险的覆盖。认识到这一点，保险公司试图利用专门的网络风险政策。网络风险政策充当“缺口”保险，在CGL和业务连续性政策中的排除限制投保人恢复的情况下提供保险。然而，保险公司...... 例如，在最近的一次保险纠纷中，一家保险公司声称 NotPetya 攻击是网络战，从而援引战争排除来限制保险。然而，即使包括了网络风险政策的排除，网络风险公司也需要知道投保人的控制是否应该有效地减少恶意软件和勒索软件威胁。 为什么公司难以承保网络安全政策 网络政策承保类似于上世纪90年代中后期的环境污染政策问题。正如没有人能够预测化学品泄漏将在何时以及如何发生一样，也没有人能够预测恶意行为者将在何时以及如何试图侵入公司的系统、网络和软件。然而，同样类似于环境覆盖，组织可以对其业务实践和控制负责。 谁收集数据? 许多组织收集数据，但有时公司从别人那里购买或为别人管理数据。如果你的投保人不是收集信息的人，你需要了解是谁在收集信息，并了解他们在传输、存储和收集信息方面的安全程度。 数据存储在哪里? 与了解谁收集数据类似，你还需要知道信息存储和传输的位置。用户需要知道数据是存储在本地、云端还是数据中心。你甚至可能需要知道信息所在的区域。 如何保护数据? 即使你知道数据收集的“人”和“地点”，你仍然需要知道投保人及其供应链如何保护数 据安全。供应流中的一个薄弱控制就可能导致数据泄露，保险公司必须根据其网络风险政策进行承保。 建立承保网络安全保险政策的指标 无论你的保险公司希望通过这些信息来确定一家公司是否值得投资，还是你的精算师正在努力评估你的网络风险产品的财务风险，你都需要了解你的保险客户如何保护他们的数据。 安全评级帮助保险公司更好地定价其网络风险政策，以降低其投资组合中的风险。安全评级使用公开可用的信息，并评估由控制弱点引起的潜在数据泄露风险。网络安全保险提供商可以使用安全评级来了解您的投保人及其供应 流合作 伙伴保护数据的方式，以便您可以根据指标编写政策，而不仅仅是猜测。 安全评级提供了清晰的指标，帮助网络风险保险公司分析投保人对业务的风险。就像保险公司在撰写CGL或汽车政策前审查信用评级或个人驾驶历史以获取可操作的情报一样，安全评级提供了关于投保人或潜在投保人的安全配置文件的信息。 Web应用风险 恶意行为者使用基于web的应用程序作为获取未经授权访问用户信息的方式。一些最常见的形式包括 跨站脚本 (XSS)、SQL注入和安全配置错误。安全评级平台持续监控互联网的潜在控制弱点，增加了恶意行为者使用web应用程序访问系统、网络和服务的风险。当使用安全评级来降低承保风险时，低评级的潜在投保人有一些弱点，使他们更有可能遭遇数据泄露，并增加您提出索赔的可能性。 网络安全风险 随着组织将关键任务的业务操作转移到云端，网络安全变得更加重要。一个配置错误的 云资源 可能会对整个供应流造成严重破坏。安全评级有助于收集信息，例如使公司面临数据泄露风险的令人讨厌的错误配置S3存储桶。网络安全得分低意味着该公司对您的保险公司是一个增加的责任。 IP 信誉 恶意软件和勒索软件攻击，如 NotPetya 攻击，通过在后台运行，看起来像常规程序来渗透到组织的基础设施中。安全评级可以帮助识别其网络被感染的潜在投保人。此外，由于安全评级不断监测这些类型的渗透，保险公司可以实时了解其投保人和潜在投保人的反恶意软件和反勒索软件保护的工作情况。公司越早发现潜在的恶意软件或勒索软件攻击，公司经历 的资金和停机时间就越少。知识产权声誉类别的 低安全 评级意味着投保人面临更大的风险，没有很好地管理其控制。 补丁速度 许多公司缺乏财务资源来定期更新其IT资产。无论是旧笔记本电脑还是服务器，所有IT资产都需要使用最新的安全补丁进行更新。恶意攻击者通过使用常见漏洞(CVE)和攻击组织缺乏安全补丁更新来渗透到组织中。虽然30天是普遍接受的安全更新时间框架，但并不是所有组织都定期打补丁。如果你希望承保一家安全评级较低的公司来打补丁，你可能会增加保险公司的财务风险。 虹科网络 安全 评级 如何帮助网络风险保险公司 虹科网络 安全评级持续监控互联网，摄取公开的信息，为确定一家公司是否值得冒风险提供必要的衡量标准。我们的分析和机器学习能力不断更新，以便保险公司可以监控其投资组合中的威胁。 我们的研究发现，评级为D或F的公司遭遇数据泄露的可能性是评级为A-C的公司的五倍。网络安全政策承保人可以使用我们的评级来确定投保人或潜在投保人是否保持有效的控制。例如，如果一家评级为A的公司遭遇数据泄露，疏忽的可能性很低，这意味着政策可能会弥补他们的损失。然而，安全评级为D或F的投保人可能不会保持持续有效的控制，这可能表明保险问题。 虹科网络 安全评级不仅为组织的总体安全状况提供信息，而且我们的平台还为我们的十个因素提供个人安全评级。 使用虹科网络 安全评级的网络风险保险公司可以对个人控制弱点获得可操作的洞察。例如，虽然一家公司的网络安全评级可能是A，但其 补丁速度 评级可能是D。网络风险保险公司可以定期审查其投资组合，并 使用虹科网络 安全评级平台的补救建议向投保人提供可行的反馈。这些详细的分析还可以帮助深入了解发生数据泄露索赔时的特定控制弱点。 最后， 虹科网络 安全评级易于阅读的安全评级使您的保险公司的所有成员都能够了解承保潜在政策的内在风险。承销商可以很容易地看到一家公司的风险有多大，以及这些风险在哪里，从而实现更准确的定价。 了解虹科 网络安全更多技术干货/应用案例，欢迎前往【虹科网络安全】官方网站： https://haocst.com/ 联系我们 扫码加入虹科网络安全技术交流群或微信公众号，及时获取更多技术咨询/应用案例。

什么是威胁狩猎 网络威胁狩猎是指一种主动寻找和识别网络中潜在威胁的活动。 它是一种针对已知和未知威胁的持续监测和调查过程，旨在发现那些可能 已经逃避传统安全防御措施的威胁行为。 SANS研究所将威胁狩猎定义为： 从本质上讲，威胁狩猎是一种主动识别攻击迹象的方法，与之相反，安全运营中心（SOC）的分析师则采取了更加被动的方法。具有完善狩猎团队的组织更有可能在攻击早期就抓住攻击者。威胁狩猎人员利用工具和丰富的经验来主动“过滤”网络和终端数据，持续寻找可疑的异常值或正在进行的攻击的痕迹。他们利用威胁情报来更好地了解攻击者的战术、技术和过程（TTP）。最重要的是，威胁狩猎人员会就可能发生的攻击如何建立假设，并搜索数据以证明该假设 网络威胁狩猎通常涉及以下活动： 1、数据分析 对网络和系统的日志、事件和流量数据进行深入分析，寻找异常模式、异常行为或其他异常迹象。 2、威胁情报利用 利用外部威胁情报（如公开的漏洞信息、恶意IP地址、恶意软件样本等）来指导狩猎活动，并与内部数据进行对比。 3、指标定义 定义潜在的威胁指标（Threat Indicators），例如特定的网络活动、行为模式或异常事件，以帮助识别威胁。 4、线索追踪 通过跟踪和分析各种线索，如异常登录、异常网络通信、不寻常的文件操作等，来寻找潜在的攻击行为或恶意活动。 5、威胁模型开发 根据已知的攻击模式、技术和威胁行为，构建威胁模型，以指导狩猎活动，并发现类似的威胁行为。 6、响应和修复 如果发现潜在的威胁或恶意活动，及时采取措施进行响应、调查和修复。 威胁狩猎的核心思想 威胁狩猎的关键是观念的转变，从关注攻击者转向关注自身。 企业的业务通常是有规律可循的，即使大量数据产生，如果安全人员持续观察自身业务，也能发现微妙的变化。 无论攻击者采用何种入侵方式，入侵后必然会破坏系统或窃取数据，这将打乱业务规律或产生异常。若安全人员将精力集中在自身上，深入了解自身，找到自身的规律，任何攻击者的行动都能得到反映。 这即是威胁狩猎的核心思想，通过采集自身的精细数据，深度分析并总结出的规律和运转状态，以发现异常情况。 为什么狩猎威胁很重要 在当今复杂的数字环境中，网络威胁在不断发展，仅靠传统的防御机制是不够的。威胁狩猎提供了额外的安全层，以下是它至关重要的几个原因： • 主动防御 威胁狩猎不是等待警报，而是主动搜索潜在威胁，从而加快检测和响应速度。 • 高级威胁检测 威胁狩猎可以检测传统方法经常遗漏的高级和持续威胁。 • 降低风险 威胁狩猎可以通过更早地识别威胁来减轻损害并降低风险。 • 更好地了解威胁 威胁狩猎可以帮助您的组织了解其面临的威胁类型，从而改进未来的防御和策略。 威胁狩猎技术能用到的工具 您使用的工具取决于您的组织的攻击面以及您希望保护的程度。有几种工具可以帮助进行网络威胁搜索， 例如SIEM系统、EDR系统、人工智能和机器学习以及威胁情报平台。 安全信息和事件管理 （SIEM） 系统 安全信息和事件管理 （SIEM） 系统是网络安全中不可或缺的工具， 可对组织网络中生成的安全警报进行实时分析。 这些系统收集和聚合跨网络硬件和软件基础架构（从主机系统和应用程序到网络和安全设备）生成的日志数据。通过识别可能暗示安全威胁的模式和异常，SIEM 工具有助于检测和响应事件，为合规性报告提供有价值的数据并改善整体安全状况。 端点检测和响应 （EDR） 系统 端点检测和响应 （EDR） 系统是 监控和分析端点设备活动的网络安全工具，以识别、预防和响应潜在威胁。 这些系统从端点收集和存储数据，采用高级分析来检测可疑行为或入侵指标。在发生安全事件时，EDR 系统提供全面的洞察和响应功能，使安全团队能够快速调查和缓解威胁。 人工智能和机器学习工具 人工智能 （AI） 和机器学习 （ML）工具是用于创建能够 从数据中学习、进行预测和自动化决策 过程的系统。人工智能是机器执行通常需要人类智能的任务的更广泛概念，而 ML 是人工智能的一个子集，涉及使用算法解析数据、从中学习，然后做出决定或预测。这些工具广泛应用于从医疗保健到金融的各个行业，推动了图像识别、自然语言处理和预测分析等领域的进步。 威胁情报平台 威胁情报平台 （TIP） 是一种安全工具，可帮助组织收集、关联和分析来自各种来源的威胁数据，以支持针对网络安全威胁的防御措施。它们 收集有关潜在威胁的数据 ，例如攻击者使用的入侵指标 （IOC）、策略、技术和程序 （TTP），并 提供可操作的见解 ，以主动防御未来的攻击。TIP 有助于实时威胁检测，并通过更好地了解威胁形势来促进战略决策、事件响应和风险管理。 威胁狩猎和ATT&CK框架的联系 ATT&CK（Adversarial Tactics, Techniques, and Common Knowledge）框架是由MITRE组织开发的一个知识库，旨在描述和分类对手（攻击者）在网络攻击中使用的战术、技术和常见知识。 ATT&CK框架的主要目标是提供一个结构化的参考，以帮助安全专业人员了解和对抗不同类型的攻击者。它详细记录了攻击者在执行攻击时可能使用的各种战术、技术和过程。 威胁狩猎团队可以利用ATT&CK框架作为指南来规划和执行威胁狩猎活动。 他们可以根据ATT&CK框架中的攻击技术和战术，模拟和测试组织的防御机制。这有助于发现防御漏洞和弱点，并改进安全策略和控制措施。同时ATT&CK框架通过提供对手行为的共享知识，促进了安全社区之间的情报共享和合作。威胁狩猎团队可以参与到这种共享中，从其他组织的经验和发现中获益，并将自己的发现与社区分享，以提高整个行业的安全水平。 您可以使用我们的虹科网络安全评级产品来查看网站是否存在上述说到的这些威胁，从而能够与您的安全团队进行进一步的安全评估以及安全方案的实行。如果您需要EDR和MTD结合的终端保护方案也可以联系我们了解这种终端保护方案。 //网络安全评级// 虹科网络安全评级是一个 安全评级平台 ，使企业能够以非侵入性和由外而内的方式，对全球任何公司的安全风险进行即时评级、了解和持续监测。获得C、D或F评级的公司被入侵或面临合规处罚的可能性比获得A或B评级的公司高5倍。虹科网络安全评级对企业的安全状况以及任何组织的安全系统中所有供应商和合作伙伴的网络健康状况提供即时可见性。 该平台使用 可信的商业 和 开源威胁源 以及非侵入性的数据收集方法，对全球成千上万的组织的安全态势进行定量评估和持续监测。 网络安全评级提供 十个不同风险因素评分 的详细报告： 虹科网络安全评级为各行各业的大小型企业提供 最准确、最透明、最全面 的安全风险评级。

‘ 将 敏感数据存储在云中 的概念曾被视为荒谬可笑。现在，随着更大的存储空间、更低的成本和更高的性能，企业正在以指数级的速度进入云安全领域。然而，如此巨大的好处也伴随着严重的风险。 No . 1 数据泄露的财务风险 由于云中的机密数据数量巨大，攻击者的目标是从小型企业到大公司的各种云基础设施，包括CapitalOne等财富500强公司，该公司在2019年成为 2.7亿美元数据泄露的受害者。 最近，在2022年5月，一家名为Pegasus的航空公司拥有一个开放的S3存储桶(一种用于存储数据的亚马逊云存储服务)，其中包含6.5TB的敏感数据，包括明文密码、源代码和PII。 2021年，云漏洞的平均成本计算为七位数，其中公共云基础设施约为480万美元，私有云基础设施为455万美元，混合云基础设施(公共和私有混合)为361万美元。在这些数据中，发现94%的企业使用云，其中 91%使用公共云服务 ，如AWS(Amazon Web Services)、Azure或GCP(Google Cloud Provider)。 由于新冠肺炎的存在，公司转向了远程工作方式，这也增加了员工的在线参与度。这导致数据泄露的严重性增加。平均而言，拥有81%-100%远程员工的公司估计会因 数据泄露而损失554万美元 (比远程工作不是数据泄露因素的公司高出100多万美元)。 云仍处于初级阶段，因此企业基础设施中存在的严重和高度严重的漏洞让人想起互联网早期阶段内部环境中存在的简单漏洞。 No . 2 公有云的复杂性 这些漏洞的存在不仅是因为云基础设施是一个新概念，还因为云本身的复杂性。公共云通常由两种不同的职责组成： ◎客户责任-云中的安全 ◎公共云服务责任-云的安全 云服务提供商负责确保其数据中心不受数据泄露的影响。 因此，这些数据中心无懈可击，并实施安全最佳实践。然而，尽管公有云服务具有安全性，但当客户使用公有云服务构建自己的基础设施时，可能会出现严重的漏洞。公共云服务为客户提供了许多不同的使用案例，了解他们希望如何定制其基础架构，而这种能力很容易导致配置不安全。 No . 3 资源匮乏 云的复杂性导致对云安全工程师的需求激增。新冠肺炎的流行加剧了这一需求，它增加了在线人气。然而，安全工程师的供应远远落后于需求，随着针对云基础设施的攻击不断增加，这种失衡正变得更加极端。 No . 4 如何保护云环境 仅靠安全工程师不能承担整个云基础设施的重量，因为它的安全性仅限于其最薄弱的环节。在云环境中找到这样一个薄弱环节类似于大海捞针，因为错误配置通常隐藏在数百甚至数千个策略、身份和实例。 因此，对公司的云基础设施执行 渗透测试(模拟攻击) 变得极其重要。这一领域训练有素的专业人员习惯于在此类环境中找到薄弱环节，进行验证，并直接向他们的联络点报告，以便在恶意行为者利用这些漏洞之前对其进行修补。 以下是安全工程师和开发人员在云环境中常犯的三个错误： 没有遵循最低特权原则： 云环境的配置通常不正确，无法提供比必要的更多访问。 开发不安全的应用程序和功能： 不安全的应用程序和功能可为攻击者提供一条利用漏洞进入云环境的途径。 如果更高权限的身份或角色受到损害(例如通过损害VM)，则可以在云环境中提升权限： 安全组配置不正确，允许的流量超过必要的数量。 云基础设施很容易配置错误，这可能会导致极端的后果。因此，每次应用重大更改时，都应该测试云基础设施的安全态势。 No . 5 为什么选择SSC 在SecurityScorecard，您的安全状况可以从所有角度进行测试和加强，从云到外部、内部、移动、网络和Wi-Fi基础设施。SecurityScorecard的渗透测试服务确保您的环境安全，同时帮助您实现合规。在网络安全问题上，这句格言“最好的防御是最好的进攻”比以往任何时候都更加正确。 推荐阅读 虹科SecurityScorecard 虹科SecurityScorecard（SSC ） 是一个安全评级平台，使企业能够以非侵入性和由外而内的方式，对全球任何公司的安全风险进行 即时评级、了解和持续监测 。获得C、D或F评级的公司被入侵或面临合规处罚的可能性比获得A或B评级的公司高5倍。 虹科SSC对企业的安全状况以及任何组织的安全系统中所有供应商和合作伙伴的网络健康状况提供 即时可见性 。该平台使用可信的商业和开源威胁源以及非侵入性的数据收集方法，对全球成千上万的组织的安全态势进行定量评估和持续监测。 虹科SSC为各行各业的大小型企业提供 最准确、最透明、最全面 的安全风险评级。