网络盾牌 | 0729-​IBM数据泄露成本报告发布，创历史新高-美国国会立法实施制裁间谍软件-乌克兰已大规模部署卫星互联网终端

IBM数据泄露成本报告发布，数据泄露创历史新高；

标签：IBM，数据泄露，成本

近期，IBM发布了最新的数据泄露成本报告，据报告称，目前全球数据泄露的平均成本为435万美元，过去两年数据泄露成本增加了近13%，创下历史新高。数据泄露成本报告是IBM的年度重磅事项，至今已经是该报告发布的第17年。今年的数据泄露成本报告是根据2021年3月至2022年3月期间对17个国家/地区的550家企业的调研编制而成的。

与去年报告相比，今年的整体数据有2.6%的增长，同时，据IBM称，消费者也正因数据泄露事件而遭受不成比例的痛苦。60%的违规企业在遭受数据泄露事件后反而提高了其产品价格，约等于变相加剧了全球通胀的速度。

网络钓鱼成为代价最高的数据泄露原因，受害企业的平均成本为490万美元，而凭据泄露是最常见的原因(19%)。连续第12年，医疗行业都是数据泄露成本最高的行业，而且还在快速增长中。2022年医疗行业的平均违规成本增加了近100万美元，达到创纪录的1010万美元。在众多国家中，美国仍然是数据泄露事件里损失最昂贵的国家，平均违规成本达到了940万美元。

据调研，将近80%的关键基础设施企业都没有采用零信任策略，这使得他们的违规成本比其他人增加了近 120 万美元，平均数据泄露成本上升到540万美元，与采用零信任策略的组织相比增加了117万美元。未实施零信任方案的组织所发生的数据泄露事件中，28%与勒索软件或破坏性攻击有关。

如果企业受到勒索软件的影响，他们也会向敲诈者付款。确实发现平均违规成本仅减少了 610,000 美元。当包括赎金本身时，违规成本可能会高得多。没有支付赎金的赎金攻击的平均成本为 450 万美元。

据报告研究，在有记录的数据泄露事件里，近一半的 (45%) 事件发生在云上，那些尚未制定安全策略或处于制定安全策略的早期阶段的企业比拥有成熟云安全态势的人平均要多支付660,000美元。

数据泄露似乎是不可避免的：83% 的研究企业表示他们遭受了不止一次数据泄露事件。但是，随着技术的升级，企业对网络攻击的检测和响应也越来越快了。其中识别和遏制数据泄露的平均时间从 2021年的287天下降到2022年的277天，整体数据下降了3.5%。其中运行XDR工具的企业在检测和响应的时间整体上又要比其他企业快29天。

报告指出，最大的成本节省是安全人工智能和自动化技术的使用——运行这些技术的企业平均减少了300万美元的数据泄露成本。IBM Security X-Force 全球负责人查尔斯·亨德森 (Charles Henderson) 表示：“企业需要将安全防御置于进攻端并击败攻击者。现在是阻止对手实现其目标并开始将攻击影响降至最低的时候了。越来越多的企业试图完善自己的边界，而不是在检测和反应方面加强，所以数据泄露事件就会导致其成本增加。

信源：https://www.infosecurity-magazine.com/news/data-breach-costs-reach-new-record/

向间谍软件开战！美国国会计划立法实施制裁

标签：美国，政府，间谍软件

多起引人注目的事件之后，美国国会意识到外国间谍软件的威胁正持续提升，海外外交官及政府官员已经被笼罩在商业监视技术的阴影之下。

为此，美国众议院将就全面政策立法进行投票，意在打击甚至禁止间谍技术提供商与政府开展合作。但有专家表示，由于利润丰厚且效果拔群，监控技术已经被世界各地广泛用于追踪持不同政见者、记者、活动家等群体，且势头正越来越难以遏制。

尽管如此，间谍软件研究人员和国会工作人员都表示，除了拜登政府针对间谍软件提供商采取的措施之外，国会正开始采取行动，这一事实将向市场传达与间谍软件厂商做生意的风向。

加拿大多伦多大学公民实验室曾对间谍软件进行过广泛研究，该实验室高级研究员约翰·斯科特-雷顿（John Scott-Railton）表示，“不少企业，例如以色列间谍软件开发商NSO Group，一直将进入美国市场视为最终目标。而我们看到的是，美国政府确实有能力降低对恶意组织的投资兴趣，这一点非常关键。”

斯科特-雷顿认为，“我们正在积极寻求阻止间谍软件扩散的方法，而这些（美国政府的管控）有望带来良好成效。”他将在本周三众议院情报部门的相关听证会上作证。

在两党共同支持下，众议院情报委员会在上周通过了《情报授权法》，其中提出的几项间谍软件相关条款。包括授权国家情报总监办公室禁止与开发监视技术的外国企业签订合同，允许总统对利用间谍软件窥探情报界（IC）的公司施以制裁，并增加了调查外国商业监控软件的资金预算。

参议院情报委员会版本的《情报授权法》中，并未包含关于外国商业监视软件的内容，但委员会发言人雷切尔·科恩（Rachel Cohen）在短信中确认，该委员会“认可众议院的担忧，而且正与同行开展交流、商讨应对这一挑战的方法。”

研究人员们在身处乌干达工作的美国官员处，找到了至少11部存在飞马（Pegasus）间谍软件的iPhone设备。这是一种来自NSO Group的间谍软件产品。

2020年，公民实验室得出结论，攻击者曾利用飞马软件感染了接入英国首相鲍里斯·约翰逊办公室的设备。

今年4月，公民实验室发表的研究结果表明，西班牙东北部加泰罗尼亚地区的独立总统及三位前任领袖，也成为NSO产品的监视目标。

美国政府也越来越关注国内间谍软件引发的威胁。国家反情报和安全中心就在1月发出警告，提醒公众应注意商业监视工具引发的风险，称这些工具被用于监视记者和持不同政见者。

去年11月，拜登政府已经将NSO Group列入黑名单，理由是其明知产品会被用于“恶意针对”记者、持不同政见者及其他威权政府的潜在打压对象，仍然出售间谍软件。

斯科特-雷顿表示，他周三的证词将涉及十年前美国人员在巴拿马期间遭间谍软件攻击的事件。如果不是被引渡程序所发现，这起事件也可能跟无数其他同类案件一样因调查困难而被遗漏。

斯科特-雷顿指出，“对商业间谍软件的利用已经明显给国家安全构成了威胁。”

众议院情报委员会的一位发言人表示，成员们正在应对迅速演变的美国国家安全及人权反情报威胁。

这位发言人表示，“以往电子间谍能力有限的外国政府，现在也可以直接采购一揽子工具，借此在不被发现的情况下访问接入互联网的手机、平板电脑或计算机上存储或传输的任何信息。没人能逃离间谍软件的监视，包括美国政府官员和美国民众。”

除了雷顿，还有一位谷歌威胁调查员和一名间谍软件受害者将会出席周三的听证会。众议院情报委员会发言人称，立法和听证会等举措“表明了我们的态度，即必须采取果断行动来阻止这种有害技术的扩散。”

大西洋理事会网络战略倡议研究员、杜克大学桑福德公共政策学院数据中介项目研究负责人贾斯汀·谢尔曼（Justin Sherman）表示，追踪并打击间谍软件企业的营收是个很好的起点。在他看来，签订禁令和制裁等方式有助于拉低经营利润，至少能够“在哪怕很小的程度上”削弱这类企业。

谢尔曼还补充道，“鉴于许多民主国家似乎不愿采取充分措施，打击在其境内出售的商业间谍软件和相关技术，所以这一点（美国的立场）将尤其重要。”

然而，谢尔曼也坦言，该法案不该只把保护视野停留在情报界，而应放诸更为广泛的美国民众。

其他专家则表示，这个问题很难解决，特别是如今的间谍软件已经不再主要由民族国家开发、而更多出自私营企业之手。

前中央情报局官员、大西洋理事会斯考克罗夫特战略与安全中心高级研究员罗纳德·马克斯（Ronald Marks）直言，“我们应该担心吗？当然应该。但更大的问题是，我们到底该怎么办。”

信源：cyberscoop.com

新钓鱼平台 Robin Banks 出现，多国知名金融组织遭针对；

标签：钓鱼平台，金融组织

近期出现了一个名为 “Robin Banks “的新型网络钓鱼服务（PhaaS）平台，提供现成的网络钓鱼工具包，目标是知名银行和在线服务的客户。

该钓鱼平台的目标包括了花旗银行、美国银行、Capital One、Wells Fargo、PNC、美国银行、劳埃德银行、澳大利亚联邦银行和桑坦德银行等各国知名金融机构。

此外，Robin Banks还提供了窃取微软、谷歌、Netflix和T-Mobile账户的模板。根据IronNet的相关报告显示，Robin Banks已经被部署在6月中旬开始的大规模钓鱼攻击活动中就已经出现了Robin Banks的身影，其通过短信和电子邮件针对受害者进行钓鱼攻击。

Robin Banks是一个网络犯罪集团的新项目，据消息推测至少从2022年3月起该平台就已经开始活动，其目的是为了快速制作高质量、以大型金融组织的客户为目标的钓鱼网页。

该平台提供两种层级的7*24小时服务模板，一种是提供单项目模板，价格为每月50美元；另一个是提供对所有模板的无限访问，价格为每月200美元。

注册后，威胁者会收到一个个人仪表板，其中包含有关其操作的报告、简易页面创建、钱包管理以及创建自定义钓鱼网站的选项。

Robin Banks仪表板（IronNet）

该平台还为用户提供了一些选项，如添加reCAPTCHA以挫败防护bot，或检查用户代理字符串以阻止特定受害者参与高目标的活动。

选择网络钓鱼的目标银行 (IronNet)

IronNet在报告中指出，与16Shop和BulletProftLink相比，Robin Banks网站的webGUI更加复杂，但更具有用户友好性。这两个著名的网络钓鱼工具包也明显比Robin Banks更贵。

另外，新的PhaaS平台不断增加新的模板，并更新旧的模板，以反映目标实体的风格和色彩方案的变化。这些优势使得Robin Banks在网络犯罪领域很受欢迎，在过去几个月里，许多网络犯罪分子都采用了它。

在IronNet上个月发现的攻击活动中，Robin Banks的一个使用者通过短信针对花旗银行的客户，警告他们借记卡的 “异常使用”。

发送给随机目标的网络钓鱼信息（IronNet）

所提供的解除所谓安全限制的链接将受害者带到一个钓鱼网站页面，要求他们输入个人信息。在登陆钓鱼网站后，会自动对受害者的浏览器进行识别，以确定他们是在台式机还是手机上，并加载适当的网页版本。一旦受害者在钓鱼网站的表单字段上输入了所有需要的细节，一个POST请求就会被发送到Robin Banks API，其中包含两个独特的令牌，一个是活动运营商的，一个是受害者的。

转移被盗数据的POST请求(IronNet)

钓鱼网站为受害者填写的每一个网页发送一个POST请求，以尽可能多地窃取细节，因为钓鱼过程可能在任何时候因怀疑或其他原因而停止。所有发送到Robin Banks API的数据都可以从平台的webGUI中查看，供操作员和平台管理员使用。为方便起见，Robin Banks还提供了将被盗信息转发到运营商的个人Telegram频道的选项。

一个新的高质量PhaaS平台的出现对互联网用户是一个不好的消息，因为它促进了低技能的网络犯罪分子的钓鱼行为，并增强了有害信息的轰炸力。为了使互联网用户免受这些恶意企图的影响，IronNet建议千万不要点击通过短信或电子邮件发送的链接，并始终确认登陆的网站是官方的。最后建议用户在自己的所有账户上启用2FA，并使用一个私人电话号码来接收一次性密码。

信源：https://www.bleepingcomputer.com/news/security/new-robin-banks-phishing-service-targets-bofa-citi-and-wells-fargo/

微软阻止一家奥地利公司销售间谍软件，其能够进行未经授权的监控；

标签：微软，间谍软件

微软的威胁情报中心（MSTIC）声称它抓住了一家奥地利公司销售间谍软件的证据，该恶意软件实现了针对律师事务所、银行和咨询公司的未获授权的监视任务。微软为此发表了一篇详细的博客，声称一家名为DSIRF的奥地利公司开发并销售名为SubZero的间谍软件，微软方面将其称为Knotweed。

MSTIC已经发现DSIRF与这些攻击中使用的漏洞和恶意软件之间有多种联系。其中包括恶意软件使用的命令和控制基础设施直接与DSIRF相连，一个与DSIRF有关的GitHub账户被用于一次攻击，一个发给DSIRF的代码签名证书被用于签署一个漏洞，以及其他开源新闻报道将SubZero归于DSIRF。

攻击是通过一个通过电子邮件发送特别设计后的PDF文件传播的，结合一个0day Windows漏洞，该攻击获得了目标机器上的高级别权限。SubZero同时本身是一个rootkit，可以对被攻击的系统进行完全控制。

DSIRF可以利用以前未知的Windows 0day特权升级漏洞和Adobe Reader远程代码执行攻击来破坏系统，微软将该安全漏洞标记为CVE ID CVE-2022-22047，并已确认该漏洞已被修补。

在商业基础上开发和部署恶意软件的公司被称为私营部门攻击者（PSOA），微软也将其称为”网络雇佣兵”。DSIRF很可能是将其间谍软件作为访问即服务和黑客雇佣来提供。微软表示，该公司没有参与任何目标或行动的运行。

DSIRF网站的一个存档副本指出，该公司为”技术、零售、能源和金融领域的跨国公司”提供服务。该公司拥有”一套收集和分析信息的高度精密技术”。

该网站还提到该公司可以”通过提供对个人和实体的深入了解，进行强化的尽职调查和风险分析过程”。它有”高度复杂的红蓝队演练来挑战目标公司最关键的资产”。

微软通过其提交给”打击外国商业间谍软件扩散对美国国家安全的威胁”听证会的书面证词文件，基本上重复了上述信息。

信源：https://www.cnbeta.com/articles/tech/1297691.htm

乌克兰已部署13000多台 Starlink 卫星互联网终端；

 标签：乌克兰，Starlink，卫星，互联网终端

乌克兰副总理兼数字转型部长米凯洛•费多罗夫称，乌克兰已部署和运行超过13000台Starlink终端，以确保关键基础设施的不间断通信。

据Ukrinform网站2022年7月23日报道，乌克兰副总理兼数字转型部长米凯洛•费多罗夫称，乌克兰已部署和运行超过13000台Starlink终端，以确保关键基础设施的不间断通信。

Starlink使用卫星网络提供宽带互联网接入。每用户速度高达1 Gbit/s，在所有大陆地区都可以进行访问。

正如Ukrinform早些时候报道的那样，据乌克兰国家特殊通信和信息保护局称，Starlink互联网将于2022年底出现在乌克兰的火车上。

信源：https://www.secrss.com/articles/45151