新闻摘要：2019年的顶级零日，数据泄露和安全故事

发表评论
935 views

A+

所属分类：未分类

从勒索软件泛滥到语音助手隐私风险，Threatpost团队将总结过去一年的头条新闻。

从数据泄露和勒索软件流行到新法规以及对数据隐私的强烈抗议，2019年对于Infosec社区来说是一个疯狂的旅程。 Threatpost细分了今年的热门新闻，趋势和主题。

有关抄录的内容，请参阅下文。

Lindsey O'Donnell-Welch ：大家，欢迎来到Threatpost播客。今天，有了Threatpost，您已经拥有Lindsey O'Donnell-Welch，Tom Spring和Tara Seals。汤姆和塔拉很高兴您今天加入播客。

汤姆·斯普林（Tom Spring） ：谢谢林赛。

塔拉·海斯（Tara Seals）：是的，谢谢林赛。很高兴来到这里。

Lindsey：是的，这是一个重要的播客，因为2019年底即将来临，这是回顾过去一年并回顾我们所写过的一些最大的安全故事的好机会，当然，今年肯定很多。因此，我认为不是在本周进行新闻报道，而是在年底之前可以进行大规模新闻报道，并谈论我们在2019年看到的最大趋势和问题。确实有很多事情是对的。从勒索软件到配置错误的数据库再到隐私，无处不在。

汤姆：是的，这是非常有趣的一年。我要说的是，您真的对很多安全性，尤其是今年突然出现的一些隐私新闻感到非常惊讶。您知道，您阅读了去年的2019年预测，我对我们今年必须处理的一些问题感到非常惊讶。

Lindsey：是的，我们确实做到了。我知道从隐私的角度来看，肯定有一些不同的事件表明，人们对大型品牌连接设备的怀疑在不断增加。因此，我认为人们已经过去了，不仅怀疑中国制造的不安全的IoT设备带有默认硬编码密码（您可能会期望从中获得密码），而且还怀疑像Ring这样的较大品牌，例如Alexa ， Amazon Echo，Google Home之类的东西。因此，在数据隐私以及消费者对此的反应以及将来的发展方面肯定有很多。

塔拉：我以为Amazon Alexa会在今年早些时候处于领先地位，特别是当有消息显示要磨练他们的算法以及Alexa对人们的查询的回应时，他们实际上是对此进行了人工监督，只是为了抽查，并确保算法执行应有的方式。但是，这样做的副作用是，您使人们基本上一直在不断聆听Amazon Alexa的交互作用-几种不同的卷须是从那出来的吗？有一次，他们发现他们实际上正在记录与孩子的互动（他们不应该这样做）。并且进行了连续记录，而不仅仅是使用了唤醒词[Google Home 也被指控 ]。一堆不同的事情都同时发生。

汤姆：我觉得这是一种新兴技术，还没有证明自己或没有任何形式或形式的成熟。您知道，与这么多的数字助理相比，它的确确实像是一个荒芜的西部，争夺市场份额以达到最佳，并利用这些人来听我说是我从未想过的事情。是他们质量控制的一部分。我想我应该以为会发生这种情况，但是当考虑使用这些数字助理时，确实确实给我带来了希伯来人的嫉妒，以及在我的客厅中如何发生这种新的隐私问题。

Tara：是的，我认为这确实引起了很多消费者对隐私的兴趣，而在一年前所有GDPR对话和类似的事情之后，我觉得这只是停滞了一点。而且我认为突然之间的隐私保护真正走到了最前沿。并引发了许多有趣的对话。当然，事实上，我们在加利福尼亚州拥有庞大的立法，该立法将于1月1日生效，即《加利福尼亚消费者隐私法》。林赛，我想你是写过这件事的。但是我的意思是，这可能将成为未来的领头羊。

Lindsey：是的，我认为这是一个很好的论点。而且您知道，在过去的一年中，确实存在很多此类隐私挑战，但是围绕数据隐私以及对消费者的影响有很多法规和更多的讨论，而我认为这将给我带来更大的压力。一些像Google这样的大型科技公司，例如Amazon，我们之前提到的是有关承包商收听Amazon音频的故事。这个故事也很有趣，因为您知道，它也发生在Apple的Siri和Google Home上。这两个设备都因类似原因而受到攻击。在我看来，这个故事实际上具有积极的一面。因为在所有这些事件发生之后， Google和Apple实际上最终更新了他们的音频隐私首选项控制，以便用户可以选择退出收集的音频。因此，我认为这是一个积极的转变，并表明尽管数据隐私在2019年是一个大问题，但这些技术供应商面临的压力更大，现在可能受到监管的约束，而消费者的压力更大，将来会有一些变化。但是谁知道呢。

汤姆： 我们从Facebook上学到的教训很好，因为我们都开始使用Facebook和社交媒体，并且直到为时已晚才意识到发生了什么。而且我觉得我们有点像老茧，正进入数字助理的新时代，这些数字助理如何渗透到我们的生活，我们的厨房，我们的卧室，我们的汽车，我们的电话以及我感觉我们已经加强了警惕。但是，尽管如此，我仍在等待另一只鞋掉下来，因为我们从来不知道他们在用我们的信息做什么。

塔拉：是的，很好。我想肯定要对这些事情保持愤世嫉俗和厌倦。我会说这与隐私权硬币的另一面是对的，对，这基本上是数据泄露问题。共享技术或滥用数据并不一定是技术公司或任何在线公司。但是，这也正是网络罪犯能够闯入并得到它的情况。因此，今年我们发现了许多新类型的漏洞，看到了许多云配置错误。而且，在梳理交易市场和类似的事情方面，我们已经看到了很多暗网活动，这些活动确实在增加。因此，您知道，消费者数据的地下交易似乎也在膨胀。

汤姆（Tom）：服务器配置错误的整体概念以及黑客对这些数据的访问权仍然令人吃惊，就在您认为问题不会继续恶化的时候，到了2018年，情况变得更糟。我们必须扭转这个局面。我对此持乐观态度，对转弯并关闭互联网上不安全数据的烦恼感到更加乐观。我认为，这就像我们可以做的事情，您知道吗？

Lindsey：嗯，说到配置错误的数据库，几乎每天都会出现这种情况。今年我醒来的大多数日子里，都发生了新的错误配置数据库或勒索软件攻击，似乎现在几乎每天或每周都在发生这些攻击。而且我不确定与去年相比有什么不同，或者明年是否会变得更糟。但我认为这在2019年将保持不变。

汤姆：您知道，就加密货币和加密货币市场的波动而言，我已经做过一些研究，其中之一就是，在加密货币蓬勃发展的同时，发生了点击劫持和加密挖矿的情况，从勒索软件中窃取了很多利益，因为这是一个非常有利可图的市场。但是随着2019年加密货币的挣扎，我认为许多罪犯正在将勒索软件作为赚钱的绝佳机会。

塔拉：似乎加密采矿已经向更多的消费者市场转移了一点，而勒索软件的祸害确实向相反的方向转移了。过去，对于勒索软件来说，喷雾和诱骗策略在2018年确实非常重要，现在看来，威胁行动者确实特别在追捕市政当局。而且，他们正在寻求利用供应链攻击媒介并造成更大的损失，更大的损失，而且他们变得越来越聪明和聪明。

汤姆：好像确实是特定行业的。我知道去年是医院的目标，而对于所有过时的设备而言，它们在安全性方面的最差基本上让他们感到羞耻。但是现在看来，主要目标是市政当局，[攻击者]似乎改变了他们的关注点，很有趣的是，这种关注点是如何从消费者变成了更大的机构。

Lindsey：如果你们还记得的话，我想是在几个月前，针对德克萨斯州各个市政当局的协同攻击曝光后，就勒索软件攻击变得更加协调，针对性更强的意义而言，这也意义重大。。我认为与此相关的另一点是，这些受害者中有很多人也在付款。他们仍在支付赎金，这只会对网络犯罪分子继续发起勒索软件攻击有所帮助，并且只会真正点燃他们继续前进的火势。我认为这也将在新的一年中继续下去。

塔拉（Tara） ：关于是否要支付赎金的话题非常热烈，直到秋天，很多不同的受害者实际上选择支付时，这个话题才爆发。对话结束了，您知道，他们可以承受停机时间吗？就市政当局而言，他们负担得起吗？他们可以负担得起让公共安全基础设施处于休眠状态吗？因此，您是否要支付赎金有很多考虑因素。无论如何，这不是一件干事，但据我一直与之交谈的研究人员说，最终结果肯定是鼓励这种趋势继续并继续增长。因此，这将很有趣。

汤姆：是的，另一件真正有趣的事情是有关支付赎金的许多故事，这些公司拥有一些保险，并在数学上进行了恢复数据的工作，而不是冒险与勒索软件背后的罪犯打交道。但是看到它如何成熟和发挥作用会很有趣。我们肯定正处于勒索软件流行中。我认为我们肯定会再有一个播客，展望2020年，但我认为我们可以预见到更多勒索软件攻击。

Lindsey：是的，这本身就是一个故事，这是网络保险真正改变了那些未采取适当步骤进行备份和恢复的公司正在改变他们处理勒索软件的方式的方式。攻击，然后实际上导致他们支付赎金的许多案件，因为对于网络保险提供商而言，鼓励他们走这条路便宜。所以，是的，这绝对就像您说的那样，汤姆将成为我们应该关注的事情。

汤姆：是的。好吧，您知道，我认为在考虑修补程序并考虑勒索软件进入这些公司的方式时，它确实也通知了安全意识强的人，无论它是零日漏洞，还是从未出现过的修补漏洞收到了修补的恶意垃圾邮件，或者您可能知道远程桌面协议应用程序存在漏洞。我认为，纵深防御是一种行话，但我认为围绕安全性新方法的讨论很多。考虑到更好的补丁程序管理和更好的网络安全实践可以大大缓解许多此类问题。

塔拉：就出现的错误类型而言，我们肯定看到了一些困惑。您知道， BlueKeep显然会立即引起人们的注意，但是Tom过去曾指出，BlueKeep实际上只是今年发现的一系列更广泛的漏洞中的一部分。对？

汤姆： BlueKeep确实在这一年开始了，您知道，这很难思考，因为网络安全中的一切都发生得如此之快，但是不久之前，我们对这种新的，可蠕虫的病毒确实感到非常担忧。 BlueKeep漏洞，该漏洞实际上是针对Microsoft的Remote Desktop协议中的远程代码执行漏洞的。

它引起了人们的担忧，以至于我知道微软对Windows进行了很多修补，不仅是最新的操作系统，甚至是XP，Windows Server 2003和Windows Server 2008，也确实有一个担忧，那就是我们将继续使用WannaCry我们的手。 WannaCry和勒索软件–回到勒索软件–我的意思是当时这是一个巨大的问题。而且您知道，BlueJeep的某些问题在全年都伴随DejaBlue出现。这些是可解决的问题，业界需要在补丁管理和确保系统更新方面变得更好。

Lindsey：是的，我认为整个BlueKeep故事情节非常有趣。几乎可以感觉到，在此之前的一年中，安全行业正在处理来自WannaCry的少量PTSD，他们将其描述为什么？我认为这是“巨型蠕虫？”，这绝对是2019年的大故事。

然后，今年移动领域也发生了很多事情。我知道，从应用程序安全性到苹果的漏洞赏金计划所需要解决的一切。在过去的一年中发生了很多事情。

塔拉：是的，我绝对觉得这种光确实以一种新的方式显示在应用程序的生态系统中。正如您指出的那样，您知道Apple Bug赏金的确是个大新闻。好消息。然后，您遇到了所有这些零日漏洞，而这些零日漏洞在Android平台上就暴露出来了。这些只是我在这一年中看到的一些对话。

汤姆（Tom）： Google在应用安全性方面一直处于领先地位，而且…安全性薄弱没有借口。但是，我只是觉得Google与Apple相比，App的应用方式与众不同，无论是好是坏，仅是因为有成千上万的人（例如成千上万的人）看到了标题，受移动漏洞x的影响，我总是一丁点地接受它，因为当您考虑整个生态系统时，所有安全性都非常重要。但相对而言，我不知道–再说一次，我也没有得到报酬–但是我认为Google在积极解决安全问题方面做得很好，而且我认为今年以来，Google继续采取措施在锁定并保护其移动用户免受恶意攻击方面是正确的方向。

塔拉：这是一个很好的观点，汤姆。而且我认为，在所有这些对话中都迷路了，因为人们想谈一谈：Apple更好吗？ Google更好吗？实际上，答案是它们是非常不同的。我的意思是，苹果是垂直整合的。 Google拥有更加开放的生态系统，他们拥有更多的OEM合作伙伴，或者他们首先拥有OEM合作伙伴以为其操作系统授予许可。我认为Google面临着不同的挑战。我觉得这方面的意识增强了。