新闻速览
- 网络安全岗位趋势与技术需求分析(2025年2月)
- 德勤因罗德岛福利网站遭入侵支付500万美元
- 带有谷歌云端硬盘链接的武器化SVG文件攻击Gmail、Outlook和Dropbox用户
- OpenAI o3-mini 模型面临安全挑战:新防护措施未能阻止越狱攻击
- 英国网络监测中心正式启动:提升网络事件评估与响应能力
- 思科修复了ISE中的关键漏洞,这些漏洞可能导致Root命令执行和权限提升
- 微软Outlook关键漏洞(CVE-2024-21413)遭攻击利用,美国网安局(CISA)发出警告
特别关注
网络安全岗位趋势与技术需求分析(2025年2月)
随着数字化转型的深入与网络威胁的复杂化,全球网络安全人才需求呈现显著的专业化与多样化特征。根据Help Net Security于2025年2月4日发布的职位信息,当前网络安全领域呈现出以下核心特征:
一、岗位分布与地域特征
全球化布局
本次公布的22个职位覆盖14个国家/地区,包括爱尔兰、澳大利亚、美国、以色列等技术强国,以及阿联酋、印度等新兴市场。其中:
混合办公模式(Hybrid)占比41%(9个职位),反映后疫情时代弹性工作模式的常态化;
现场办公(On-site)占36%(8个职位),集中于金融机构(如美国银行)、关键基础设施(如Genuit集团)等高敏感领域;
远程办公(Remote)占23%(5个职位),多涉及应用安全架构、开源情报(OSINT)分析等技术密集型岗位。
行业热点区域
云安全:加拿大Infoblox、爱尔兰Intercom等企业聚焦多云环境安全控制;
金融安全:美国银行、澳大利亚联邦银行强化恶意软件防御与支付系统保护;
工业安全:意大利Cavotec、德国Riverty注重OT/IT融合场景下的基础设施防护。
二、核心技术能力需求
威胁检测与响应(TDR)
32%的职位明确要求具备事件响应(IR)能力,例如:
Centric软件事件响应经理需建立事件分类体系,实施根因分析(RCA);
The Warehouse集团网络安全主管工程师主导渗透测试与漏洞修复闭环管理;
Bank of America恶意软件防御分析师通过静态/动态分析技术应对勒索软件攻击链。
云与混合架构安全
27%的岗位涉及云原生安全工具与混合网络管理:
Intercom高级云安全工程师要求整合EDR、SIEM及CNAPP(云原生应用保护平台);
Sapiens高级网络专家需在Azure/AWS环境中实施微隔离(Micro-segmentation)与零信任网络(ZTNA);
Infoblox产品安全工程师主导Kubernetes微服务安全评估。
合规与认证管理
Diabolocom IT安全主管需维护PCI-DSS认证并拓展ISO 27001等标准;
Premier集团网络安全经理确保NIST框架与GDPR合规性;
Kent数据保护专家构建符合CCPA的数据安全体系。
三、新兴技术实践与工具链
主动防御技术
网络欺骗(Cyber Deception):澳大利亚联邦银行部署基于MITRE Engage框架的蜜罐(Honeypot)与诱饵系统,用于攻击者行为建模;
威胁模拟:印度Bharat Innovations通过红队演练验证防御体系有效性。
自动化安全工具
静态/动态分析工具:以色列White Hat团队使用Burp Suite、Metasploit实施渗透测试;
安全开发周期(SDLC):德国Riverty要求集成SAST/DAST工具链;
日志分析与EDR:阿联酋Paramount公司部署FireEye、CrowdStrike实现端点威胁狩猎。
开源情报(OSINT)应用
意大利Prysmian安全实习生岗位明确要求执行地缘安全风险评估,结合暗网监控与社交媒体情报(SOCMINT)识别物理/数字威胁。
四、行业挑战与人才缺口
复合型技能需求
岗位职责普遍要求技术能力(如代码审计、逆向工程)与战略思维(如安全框架设计、合规治理)的融合,显示行业对“技术+管理”双轨人才的需求激增。
区域性威胁应对
HailBot/RapperBot僵尸网络(前文历史案例)等APT组织攻击频率上升,推动企业对实时威胁情报分析岗位的投入;
地缘政治风险(如OPM 2015年数据泄露事件)促使跨国企业加强本地化安全团队建设。
教育与经验断层
初级岗位(如安全实习生)强调OSINT与风险评估基础能力;
高级职位(如安全架构师)需具备10年以上跨行业攻防经验,反映中高层人才供给不足。
五、未来趋势与建议
技术融合方向
AI驱动的安全运营:自动化威胁检测与AI辅助决策系统(如SOAR)将成重点;
量子安全预备:后量子加密算法的研究与部署需提前布局。
组织能力建设
安全左移(Shift-Left):在DevOps中嵌入安全设计(如Infoblox的SSDLC实践);
韧性架构(Resilience Engineering):通过混沌工程(Chaos Engineering)提升系统容错能力。
政策协同
需加强跨国合规协作(如EU-US数据隐私框架),降低企业跨境运营的合规成本。
综上,2025年网络安全岗位市场呈现技术深化、场景细分与全球化竞争并行的特征。企业需构建涵盖技术工具链、合规体系与人才梯队的立体化防御生态,以应对不断演变的网络威胁环境。
原文链接:
英国网络监测中心正式启动:提升网络事件评估与响应能力
英国新成立的网络监测中心(Cyber Monitoring Centre, CMC)于 2025 年2 月6 日正式启动,旨在以更清晰和精确的方式衡量网络事件。CMC 的工作方法将借鉴用于物理事件的测量标准,例如地震的里氏震级和飓风的萨菲尔-辛普森风速等级。该中心由英国保险行业建立,作为一个独立的非营利组织,经过一年的隐秘筹备后,首次公开亮相。
CMC 的主要目标是监测网络事件,并对其强度和对英国组织的影响进行分类。这些网络事件包括大规模网络事故,例如 2024 年7 月因 CrowdStrike 更新故障导致的全球技术中断、数据泄露、针对性的破坏性网络攻击以及供应链网络攻击。CMC 将免费提供其调查结果,包括事件分类,以帮助企业和个人更好地理解网络事件的影响,减轻其对人们生活的影响,并改善网络韧性和响应计划。
在启动活动中,CMC 技术委员会主席 Ciaran Martin 指出,网络安全领域存在一个悖论:尽管我们是一个高度技术化的行业,但在衡量面临威胁的损害方面却做得不够。他认为,CMC 的工作将是一个巨大的进步,能够改善人们和组织应对、学习和从网络事件中恢复的方式。他表示:“如果我们能够解决这个问题,我相信我们会做到,这将极大推动不仅是英国的网络安全工作,也将对国际社会产生积极影响。”
CMC 的监测、评估和分类工作将由技术委员会负责,该委员会由六名成员组成,包括牛津大学网络安全教授 Sadie Creese 、前 GCHQ 技术总监 Gaven Smith 、Daintta 的董事总经理 Dan Jeffery 、RUSI 的网络安全研究员 Jamie MacColl 以及达勒姆大学财务系主任 Julian Williams 。技术委员会的目标是在检测到网络事件后 30 天内发布初步公开声明,声明将包括事件的分类和详细报告。
CMC 的分类主要关注商业和财务影响。Martin 指出,媒体报道通常强调数据泄露而非破坏性攻击,尽管后者可能对财务造成更大影响。他强调,CMC 的分类应被视为衡量网络事件影响的附加工具,而不是网络事件测量的终极标准。
CMC 定义了一套特定的方法论来评估和分类网络事件。当网络事件发生时,CMC 团队将与技术委员会召开会议,决定是否继续并收集评估过程的意见。团队将收集和分析广泛的数据,包括媒体扫描、定制调查和与数据提供商的合作。经过数据分析后,技术委员会将在半天的研讨会上讨论、挑战并达成一致,最终将事件分类并公开发布简要声明。
CMC 的分类标准将网络事件分为五类,依据两个标准:受影响的人口(即因网络事件而对其英国业务造成 1,000 英镑或更大财务影响的组织数量)和财务影响(即受影响人口因网络事件造成的损失)。估计的财务影响包括因业务中断、数据恢复、事件响应成本、勒索和资金转移等造成的损失,但不包括因责任、罚款或监管成本、道歉支付、损失调整成本等造成的费用。
总之,CMC 的成立标志着英国在网络安全领域迈出了重要一步,旨在通过系统化的监测和评估,提升对网络事件的理解和应对能力。这一举措不仅有助于提高企业和个人的网络韧性,也为国际网络安全合作提供了新的视角和方法。
原文链接:
热点观察
德勤因罗德岛福利网站遭入侵支付500万美元
在网络安全领域,数据泄露事件的频发引发了广泛关注。最近,德勤(Deloitte)因其管理的罗德岛(Rhode Island)社会服务系统 RIBridges 遭遇网络攻击而支付了 500 万美元,以覆盖与此次数据泄露相关的恢复费用。这一事件不仅对受影响的用户造成了潜在的风险,也对德勤的声誉和财务状况带来了影响。
此次事件发生在 2024 年12 月,黑客组织 Brain Cipher 声称对 RIBridges 系统的攻击负责。该系统为罗德岛居民提供食品援助、健康保险和现金福利等服务,受影响的人数超过 709,000 人。攻击者不仅入侵了系统,还威胁要泄露数据,导致州政府不得不提醒居民警惕潜在的欺诈行为。根据报告,泄露的数据包括姓名、地址、社会安全号码、出生日期、电话号码、健康信息和银行信息等敏感信息。
德勤在事件发生后迅速采取行动,除了支付 500 万美元的费用外,还承担了为受影响客户提供的呼叫中心、信用监控和身份保护服务的费用。罗德岛州长 Dan McKee 表示,德勤承认州政府因泄露事件而产生的意外费用,并对其提供的财政支持表示感谢。这种积极的应对措施在一定程度上缓解了公众对德勤的批评。
在网络安全事件发生后,州政府采取了一系列措施来保护居民的个人信息。州官员在 1月向受影响的个人及其照顾者发送了泄露通知,并在经过第三方的取证报告后,开始逐步重新启动 RIBridges 的客户门户。经过广泛的测试和修复,州政府对系统的安全性有了足够的信心,才决定恢复在线服务。
该事件突显了在数字化时代,网络安全的重要性和复杂性。随着越来越多的个人和机构依赖数字服务,保护敏感数据的责任也随之加重。德勤的案例表明,即使是大型咨询公司也可能面临网络攻击的风险,企业必须采取有效的安全措施来防范潜在的威胁。
此外,此次事件也引发了对网络安全政策和法规的讨论。各州和联邦政府在数据保护方面的立法需要不断更新,以应对日益复杂的网络威胁。企业在处理客户数据时,必须遵循严格的安全标准,以降低数据泄露的风险。
总之,德勤在罗德岛社会服务系统数据泄露事件中的应对措施,虽然在一定程度上减轻了事件的负面影响,但也提醒了各界对网络安全的高度重视。企业和政府应共同努力,加强网络安全防护,确保个人信息的安全与隐私。
原文链接:
OpenAI o3-mini 模型面临安全挑战:新防护措施未能阻止越狱攻击
近期,OpenAI 发布了其最新的 o3-mini 模型,并引入了一项新的安全特性——“深思熟虑的对齐”(deliberative alignment),旨在提高模型对安全政策的遵循程度。然而,发布仅几天后,CyberArk 的首席漏洞研究员 Eran Shimony 便成功利用 o3-mini 教导他如何编写针对 Windows 关键安全进程 Local Security Authority Subsystem Service(lsass.exe)的攻击代码,这一事件引发了对 OpenAI 安全保护措施的质疑。
OpenAI 在推出 o3 和o3-mini 时,承认其之前的大型语言模型(LLM)在应对恶意提示时存在不足。公司指出,这些模型在处理复杂和边缘安全场景时,往往缺乏足够的推理时间,导致响应不够准确。此外,模型只能通过大量标记示例间接推断所需行为,而无法直接学习自然语言中的安全标准。为了解决这些问题,OpenAI 引入了深思熟虑的对齐机制,使 o3 能够逐步推理其响应,并直接学习 OpenAI 的安全指南文本,而不仅仅是良好和不良行为的示例。
尽管 Shimony 最初认为 o3-mini 的安全性得到了增强,且在 Reddit 等平台上,许多人未能成功越狱,但他最终还是找到了突破口。他利用自己的开源模糊测试工具“FuzzyAI”对多种流行的 LLM 进行了安全性评估,发现 OpenAI 的模型对社会工程攻击非常敏感,而 Meta 的Llama 模型则对其他攻击方式更为脆弱。Shimony 指出,尽管 o3 在防护措施上比 GPT-4 更为稳健,但他仍然能够通过伪装成诚实的历史学家,巧妙地构造提示,诱使 ChatGPT 生成恶意软件。
在这一过程中,ChatGPT 在进行推理时似乎偏离了主题,最终提供了关于如何向 lsass.exe 注入代码的详细说明。OpenAI 对此回应,承认 Shimony 可能成功进行了越狱,但指出他获得的代码是伪代码,并且并不新颖,类似的信息在开放网络上也能找到。
Shimony 认为,OpenAI 可以通过两种方式改进其模型以更好地识别越狱尝试。一种是耗时的解决方案,即对 o3 进行更多类型的恶意提示训练,并通过正负强化来提升其性能;另一种则是实施更强大的分类器,以识别恶意用户输入。他指出,试图获取的信息显然是有害的,即使是简单的分类器也能捕捉到这一点。他提到 Claude 模型在分类器方面表现更佳,认为通过改进分类器可以解决约 95%的越狱尝试,而这一过程并不需要耗费大量时间。
综上所述,Shimony 的实验揭示了 OpenAI 在安全防护方面仍存在的漏洞,尽管其新引入的深思熟虑的对齐机制旨在增强模型的安全性,但在实际应用中仍然面临被利用的风险。这一事件强调了在开发和部署 AI 模型时,持续监测和改进安全措施的重要性,以应对不断演变的网络威胁。OpenAI 需要认真对待这些反馈,进一步加强其模型的安全性,以保护用户免受潜在的恶意攻击。
原文链接:
网络攻击
带有谷歌云端硬盘链接的武器化SVG文件攻击Gmail、Outlook和Dropbox用户
近期,网络犯罪分子利用可缩放矢量图形(SVG)文件进行网络钓鱼攻击的手段日益升级,尤其是通过嵌入 Google Drive 链接的 SVG 文件,针对 Gmail 、Outlook 和Dropbox 用户。这种攻击方式自 2024 年底开始广泛传播,并在 2025 年1 月后显著增加,利用 SVG 文件的独特特性来欺骗用户并窃取敏感信息。
SVG 文件是一种基于 XML 文本指令的矢量图形格式,旨在创建可缩放的图像。与传统的图像格式(如 JPEG 或PNG)不同,SVG 文件可以嵌入活动的网页内容,如锚链接、 JavaScript 和HTML 。这种灵活性使其成为网络犯罪分子的理想工具。当用户打开恶意的 SVG 文件时,该文件会在默认浏览器中启动,并可能包含超链接或脚本,重定向用户到钓鱼页面。这些页面通常伪装成 Office365 、Dropbox 或DocuSign 等服务的合法登录门户,一旦用户输入凭据,攻击者便能实时捕获这些信息。
根据 Sophos Labs 的报告,这些钓鱼邮件通常使用诱人的主题行来吸引用户打开附件,例如“来自[邮箱用户名]的新语音邮件”、“付款确认 – SWIFT [随机字符].pdf”以及“电子签名要求:资本融资文件通过 e-Docs Ref-[随机字符]”。这些信息常常冒充知名品牌,如微软 SharePoint 、Google Drive 或DocuSign,从而增加了骗局的可信度。
许多钓鱼页面使用 CloudFlare 的CAPTCHA 挑战来防止自动安全扫描。一旦用户绕过这些挑战,便会看到逼真的登录表单,通常会自动填充他们的电子邮件地址。此外,一些 SVG 文件还包含 JavaScript,能够在用户无需点击任何链接的情况下自动重定向到钓鱼页面。高级攻击活动会根据目标的电子邮件域定制钓鱼页面的语言和地区。
在某些情况下,SVG 文件中嵌入的 Base64 编码数据会解压成包含恶意软件(如基于 AutoIt 的键盘记录器)的压缩文件。例如,一项攻击活动利用 SVG 文件传递一个密码保护的压缩文件,其中包含一个特洛伊木马(Troj/AutoIt-DHB),该木马会安装键盘记录器。另一项活动则伪装成 DocuSign 门户,诱使用户下载恶意 HTML 文件。
为了应对这些威胁,用户和组织应采取以下缓解策略:首先,将 Windows 配置为在文本编辑器(如记事本)中打开 SVG 文件,而不是在浏览器中打开;其次,避免打开来自未知发件人或主题行异常的邮件附件;再次,核实浏览器地址栏中的 URL,钓鱼网站通常使用可疑的域名(如“.ru”)而非合法域名;最后,定期更新杀毒软件和操作系统,以检测新兴威胁(如 Cxmail/EmSVG-C)。
SVG 文件在钓鱼活动中的滥用突显了网络犯罪分子旨在绕过传统防御措施的不断演变的战术。个人和组织必须保持警惕,采取主动措施以减轻这些复杂攻击的风险。通过增强安全意识和实施有效的防护措施,可以有效降低遭受此类攻击的可能性。
原文链接:
安全漏洞
思科修复了ISE中的关键漏洞,这些漏洞可能导致Root命令执行和权限提升
思科(Cisco)近期发布了针对其身份服务引擎(Identity Services Engine, ISE)中的两个关键安全漏洞的更新。这些漏洞可能允许远程攻击者执行任意命令并提升在易受攻击设备上的权限。以下是这两个漏洞的详细信息:
CVE-2025-20124(CVSS 评分:9.9):这是一个不安全的 Java 反序列化漏洞,存在于 Cisco ISE 的一个 API 中。该漏洞允许经过身份验证的远程攻击者以根用户身份在受影响设备上执行任意命令。
CVE-2025-20125(CVSS 评分:9.1):这是一个授权绕过漏洞,同样存在于 Cisco ISE 的一个 API 中。该漏洞允许持有有效只读凭据的经过身份验证的远程攻击者获取敏感信息、修改节点配置并重启节点。
攻击者可以通过向未指定的 API 端点发送经过精心构造的序列化 Java 对象或 HTTP 请求来利用这两个漏洞,从而导致权限提升和代码执行。思科表示,这两个漏洞相互独立,并且没有可用的缓解措施。针对这些漏洞,思科已在以下版本中进行了修复:
Cisco ISE 软件版本 3.0(迁移至修复版本)
Cisco ISE 软件版本 3.1(在 3.1P10 中修复)
Cisco ISE 软件版本 3.2(在 3.2P7 中修复)
Cisco ISE 软件版本 3.3(在 3.3P4 中修复)
Cisco ISE 软件版本 3.4(不受影响)
这些漏洞的发现和报告归功于德勤(Deloitte)安全研究人员 Dan Marin 和Sebastian Radulea 。尽管思科表示尚未发现恶意利用这些漏洞的案例,但用户仍被建议保持系统的最新状态,以确保最佳保护。
从网络安全的角度来看,这两个漏洞的严重性不容忽视。首先,CVE-2025-20124 的高 CVSS 评分(9.9)表明,该漏洞的利用可能导致严重的安全后果,攻击者能够以根用户身份执行任意命令,这意味着他们可以完全控制受影响的设备,进而可能影响整个网络的安全性。其次,CVE-2025-20125 的授权绕过漏洞同样危险,攻击者可以在未获得足够权限的情况下访问敏感信息和修改配置,这可能导致数据泄露和服务中断。
在当前网络环境中,企业和组织面临着越来越多的网络安全威胁,及时更新和修补系统漏洞是保护信息安全的关键措施。思科的这一安全更新提醒用户,必须定期检查和更新其网络设备和软件,以防止潜在的安全风险。此外,组织应建立健全的安全策略,确保所有设备和应用程序都能及时获得安全补丁,并进行定期的安全审计和风险评估。
综上所述,思科针对其身份服务引擎发布的安全更新不仅是对已知漏洞的修复,更是对网络安全态势的积极响应。用户应高度重视这些安全更新,确保其系统的安全性和稳定性,以应对日益复杂的网络安全挑战。
原文链接:
微软Outlook关键漏洞(CVE-2024-21413)遭攻击利用,美国网安局(CISA)发出警告
近日,美国网络安全和基础设施安全局(CISA)发布了针对一个严重的 Microsoft Outlook 漏洞(CVE-2024-21413)的紧急警告,指出该漏洞正在被积极利用。这一漏洞涉及远程代码执行(RCE),是由于在处理包含恶意链接的电子邮件时,输入验证不当所导致的。
根据 CISA 的描述,成功利用该漏洞的攻击者可以绕过 Office 保护视图,直接以编辑模式打开文件,而非安全的只读模式。这一特性使得攻击者能够在不经用户同意的情况下,执行恶意代码,从而对系统造成严重威胁。该漏洞被称为“MonikerLink”漏洞,攻击者可以利用file://协议的超链接,通过在 URL 中插入感叹号和任意文本,来操控链接,从而绕过 Outlook 的内置保护机制。
CVE-2024-21413 漏洞影响多个 Office 产品,包括 Microsoft Office LTSC 2021 、Microsoft 365 Apps for Enterprise 、Microsoft Outlook 2016 和Microsoft Office 2019 。更为严重的是,CISA 指出,甚至在 Outlook 的预览窗格中预览恶意构造的电子邮件时,也可能触发漏洞的利用,这使得该漏洞成为一种零点击攻击向量。这种攻击方式的成功利用可能导致 NTLM 凭证被盗、远程代码执行,甚至完全控制系统。
CISA 于2025 年2 月6 日将 CVE-2024-21413 添加至其已知漏洞利用目录(KEV),并要求联邦机构在 2025 年2 月27 日前对其系统进行安全加固。CISA 强调,此类漏洞通常被网络犯罪分子和国家行为者利用,给政府和私营组织带来了显著风险。
为了应对这一威胁,CISA 和Microsoft 建议采取以下措施:
应用安全补丁:确保所有受影响的产品更新到最新的安全补丁版本。
禁用 NTLM 身份验证:在可行的情况下,减少对 NTLM 身份验证的依赖,以防止凭证被盗。
监控网络活动:关注异常的外发连接,特别是与攻击者控制的服务器的连接。
用户教育:培训员工识别网络钓鱼尝试,避免点击可疑链接或附件。
启用高级威胁防护:使用 Microsoft Defender 等工具增强安全监控。
综上所述,CVE-2024-21413 漏洞的发现和利用提醒我们,网络安全形势日益严峻,尤其是在广泛使用的应用程序中。组织和个人应当高度重视安全更新和补丁管理,建立有效的漏洞管理机制,以降低潜在的网络攻击风险。同时,增强用户的安全意识和教育也是防范此类攻击的重要环节。只有通过综合的安全策略,才能更有效地保护信息系统和用户数据的安全。
原文链接:
