國家網安周發布首部《網絡安全人才實戰能力白皮書》

國家網安周發布首部《網絡安全人才實戰能力白皮書》




9月6日下午，2022年國家網絡安全宣傳周主題分論壇——“長三角網絡安全協同發展”論壇在合肥濱湖會展中心舉辦。由教育部指導，中國科學技術大學等多家單位參與編寫的《網絡安全人才實戰能力白皮書》在現場發布。

《白皮書》基于420場不同領域的專業網絡安全賽事中超過85000條實戰數據以及889份調研問卷形成的大數據，進行科學統計分析。數據覆蓋全國31個?。ㄗ灾螀^、直轄市）及新疆生產建設兵團、17個重點行業。

《白皮書》首次明確了網絡安全人才實戰能力的定義與分類，首次明確了網絡安全實戰能力的評價標準，首次從供需兩側對我國網絡安全人才實戰能力全面摸底，致力于為黨政機關、央企機構、企事業單位及高校等單位的人才戰略制定提供詳實參考。

數據顯示，到2027年，我國網絡安全人員缺口將達327萬人，而高校人才培養規模僅為3萬人/年。在我國，真正具有實戰能力，了解攻擊手段和攻擊路徑的網絡安全人才嚴重缺乏。一方面，網絡安全實戰能力欠缺的企業達92%；另一方面，我國高校人才培養最為現實的問題就是“實習實踐”。網絡安全人才實戰能力建設已經成為亟需解決的時代新命題。

1、日政府網站遭網絡攻擊 或為親俄派黑客組織發動


據日本共同社援引日本內閣網絡安全中心（NISC）等報道，政府運營的行政信息門戶網站“e-Gov”遭到網絡攻擊，造成了無法訪問等影響。前一天下午，親俄派黑客組織“Killnet”在社交網站（SNS）上傳了或為犯罪聲明的文章，宣稱將對日本政府網站實施網絡攻擊，并稱該組織“走在與日本軍國主義對抗的道路上”。

FNN稱，除了日本政府的網站，一些由日本民間企業運營的網站也受到攻擊，包括日本信用卡發行商JCB的網站。關于將日本選為攻擊對象的理由，KillNet稱，“日本正在支援烏克蘭，還侵犯千島群島”。

關于本次網絡攻擊，NHK援引日本網絡專家吉川孝志的話稱，“這不意味著現在就有信息被偷取，希望有關方面能夠冷靜應對此事”。不過，吉川還稱，KillNet正在社交媒體上征集其他有關日本政府重要網站的信息，“今后這種攻擊可能還會繼續發生，需要持續警惕”。[閱讀原文]

 

2、洛杉磯聯合學區遭勒索軟件攻擊


洛杉磯聯合學區在周末遭到勒索軟件攻擊。

據悉，勒索攻擊事件發生在學區開學的前幾天。洛杉磯聯合學區在聲明文件中稱：“Los Angeles Unified 周末在其信息技術系統中檢測到異?；顒?，經過初步審查，可以確認這是對我們信息技術資產的外部網絡攻擊。自從發現這起可能具有犯罪性質的事件以來，我們將繼續與執法機構一起評估情況。并強調盡管我們系統的基礎設施受到了嚴重破壞，但學校仍將如期于 9 月 6 日星期二開學?！?br />
目前，洛杉磯聯合學區正在調查此事件，并宣布已實施事件響應程序。調查涉及美國教育部、聯邦調查局和國土安全部的網絡安全和基礎設施安全局。該地區正在與合作伙伴合作恢復受影響的服務，并補充說關鍵業務系統、員工醫療保健和工資單不受影響。網絡攻擊并未影響學?，F有的安全和應急機制。[閱讀原文]

 

3、國際執法行動查繳PII數據犯罪市場WT1SHOP


一項國際執法行動中，葡萄牙當局查封了WT1SHOP網站，美國查獲了四個用于訪問犯罪市場的互聯網域名，包括wt1shop.net、wt1store.cc、wt1store.com和wt1store.net。

WT1SHOP，最大的PII數據犯罪市場之一，主要出售被盜信用卡、身份證和數百萬登錄憑據?？梢哉f，WT1SHOP聚集了大批不法黑客。該網站使用的其他域名是wt1store.biz、wt1store.me、wt1store.xyz和wt1store.org，現在似乎沒有被查封。但是，隨著網站被查封，訪問這些域中的任何一個都不再允許訪問商店。警方調查顯示，該網站出售了數百萬用戶的個人信息，具體涉及被盜的登錄憑證、銀行賬戶、信用卡和掃描的政府身份證明，如護照和駕駛執照。

執法部門將WT1SHOP的比特幣支付、電子郵件地址和管理員賬戶追溯到摩爾多瓦共和國36歲的Nicolai Colesnicov。Colesnicov 被懷疑是犯罪市場的管理者和經營者。Colesnicov被控串謀和販賣未經授權的訪問設備，如果被判有罪，將面臨最高10年的聯邦監獄刑期。[閱讀原文]

 

4、洲際酒店集團因網絡攻擊擾亂預訂系統


本周，洲際酒店集團(InterContinental Hotels Group PLC, IHG)表示其部分技術系統遭到了未經授權的訪問，該公司正在努力全面恢復這些系統。這家在倫敦上市的連鎖酒店表示，其預訂渠道和其他應用程序自周一開始受到沖擊，但盡管這個問題還沒得到解決，其酒店仍然能夠直接接受預訂。

洲際酒店相關人員稱，“已經啟動應對計劃，正在通知相關監管部門，并與技術供應商密切合作。外部專家也已參與調查這一事件?！盵閱讀原文]

 

5、Moobot僵尸網絡盯上D-Link路由器，速打補??！


繼?？低晹z像頭后，被稱為“MooBot”的 Mirai 惡意軟件僵尸網絡變種轉戰 D-Link 路由器，盯上未打補丁的D-Link 路由器預行不軌。

MooBot惡意軟件僵尸網絡最早于2021年12月首次被發現，當時其利用?？低晹z像頭中的一個漏洞，迅速傳播并對大量設備進行DDoS攻擊。而在最新發現的攻擊活動中，該僵尸網絡盯上新目標，染指未更新補丁的D-Link 設備。據安全人員分析，MooBot主要利用的是D-Link 設備中的四個漏洞，分別為CVE-2015-2051：D-Link HNAP SOAPAction 標頭命令執行漏洞；CVE-2018-6530：D-Link SOAP 接口遠程代碼執行漏洞；CVE-2022-26258：D-Link 遠程命令執行漏洞；CVE-2022-28958：D-Link 遠程命令執行漏洞。

上述漏洞，均已發布安全更新，但并非所有的用戶都進行了補丁修復，這就讓惡意軟件僵尸網絡有了可乘之機。為避免安全隱患， D-Link 路由器用戶可及時更新漏洞補丁。[閱讀原文]

 

6、TA505使用TeslaGun面板管理ServHelper后門


近日，有安全公司發現一名為TeslaGun，且未被記錄的軟件控制面板，據悉該控制面板為網絡犯罪團伙TA505所用。黑客組織TA505 ，又名Evil Corp，自2014年以來一直活躍，主要針對零售和銀行等領域目標。

黑客組織TA505以規避技術而聞名，PRODAFT 專家分析認為該組織已經針對至少8160個目標開展了大規模的網絡釣魚活動，受害者多為金融機構或相關從業人員。

至于ServHelper 后門，則是一款由Delphi 編寫的惡意軟件。下載ServHelper 后門設置反向 SSH 隧道，則可通過端口3389上的遠程桌面協議 (RDP) 訪問受感染的系統。TA505黑客組織就是使用 TeslaGun 控制面板來管理 ServHelper 后門，用它充當 C2 基礎設施，允許操作員發出命令。[閱讀原文]