各位Buffer早上好，今天是2019年3月22日星期五。今天的早餐铺内容主要有：ISACA发布针对区块链、CASB和GDPR的全新审计程序；谷歌白帽子发现Windows系统全新漏洞门类；铝业巨头Norsk Hydro遭勒索攻击，多个工厂IT系统崩溃；AT&T和Comcast正开展合作打击智能骚扰电话；谷歌开源内部沙箱安全策略Sandboxed API。

ISACA发布针对区块链、CASB和GDPR的全新审计程序

审计人员面临着将新技术、新系统和新法规纳入评估程序的挑战。国际信息系统审计协会（ISACA）推出全新的审计程序，为审计人员提供了额外的工具包框架，以便为区块链、云访问安全经纪人（CASB）和欧盟GDPR提供审计支持。

该计划涵盖区块链的所有方面，从实施前、治理、开发、安全、交易和共识，指导审计人员确定和制定关键政策，程序和控制，旨在在区块链实施之前降低风险和简化流程，并包括区块链技术审计准备计划工作表。为了帮助IT审计人员评估CASB解决方案的有效性，ISACA发布了云安全访问经纪人（CASB）审计计划。企业通常使用CASB来管理风险，例如与各种部署模型、身份管理以及数据合规相关的风险。ISACA为中小企业审计提供了一个审计框架，用于评估GDPR的管理，监控和管理的有效性。[来源：helpnetsecurity]

谷歌白帽子发现Windows系统全新漏洞门类

Google Project Zero白帽研究员James Forshaw发现位于Windows kernel模式驱动中的漏洞，利用该漏洞可以进行权限提升。该漏洞是由于处理特定请求时缺乏必要检查导致的。Windows使用PreviousMode域来设置UserMode或KernelMode，然后确定调用的参数是否来源于可信源。该机制也用于文件创建和打开，kernel模式代码可以从不同的API函数中选择，包括到I/O管理器内部函数IopCreateFile的函数。在这种情况下，PreviousMode会被分配一个特定的变量来确定是否检查有效的参数和缓存。操作系统使用该变量进行设备对象的检查，即是否是UserMode。IopCreateFile中的Options参数会暴露给一些API函数，这些API函数只能从kernel模式来调用以设定覆盖AccessMode的flag，并设置为KernelMode。

研究人员认为第三方驱动也存在被攻击者利用的风险，因此建议所有的kernel驱动开发者尽快检查带来确保IRP请求的正确处理，并对文件打开API的使用进行防护。微软称会在未来的Windows操作系统版本中解决该bug，会在Windows 10 19H1中应用大多数的补丁。[来源：securityaffairs]

铝业巨头Norsk Hydro遭勒索攻击，多个工厂IT系统崩溃

全球最大的铝制造商之一 Norsk Hydro （挪威海德鲁公司）位于欧美的多个工厂运营遭受“大规模的网络攻击”，导致 IT 系统无法使用，因此不得不关闭。Norsk Hydro 公司发布新闻稿称，该公司临时关闭多个工厂并将挪威、卡塔尔和巴西等国家的工厂运营模式改为“可以使用的”手动运营模式，以继续执行某些运营。

这次网络攻击始于美国，是由该公司的 IT 专家在周一晚上晚些时候（欧洲中部时间）首先检测到的，目前该公司正在缓解攻击并调查了解攻击的蔓延程度。该公司表示，“Hydro 的优先任务是继续确保安全操作并降低运营和金融影响。该问题并未导致任何与安全相关的事件发生。”[来源：代码卫士]

AT&T和Comcast正开展合作打击智能骚扰电话

AT&T和Comcast正开展合作，验证两个通讯网络之间的来电呼叫，以便让用户知道来电是正常的电话——还是垃圾骚扰电话。尽管目前这项验证功能不会覆盖所有的AT&T和Comcast用户接听到的电话，但起码这是打击机器人电话泛滥的正确一步。AT&T表示，这次合作或可意味着“全国第一个”通过SHAKEN/STIR协议，来验证两个通讯服务供应商之间往来电话呼叫的服务。

SHAKEN/STIR（分别为协议“使用toKENs安全处理宣称信息”和“安全电话身份重访问”的缩写）可以让用户在接到来电时，知道呼叫方是否为来电显示号码的真正主人。AT&T和Comcast称，他们希望尽快完善这一系统并在今年晚些时候为用户提供该功能。SHAKEN/STIR协议通过使用数字证书来验证来电呼叫是否真的为显示的呼叫方拨打的电话。虽然目前还不清楚你如何可以分辨来电是否为骚扰电话，但是当来电为合法的呼叫时，用户可以看到认证标志。目前系统也存在一些局限性：它只能用来识别合法来电呼叫——但不能检测垃圾骚扰电话。[来源：cnbeta]

谷歌开源内部沙箱安全策略Sandboxed API

周一，谷歌宣布称将开源 Sandboxed API 以促使软件开发人员更容易地创建安全的产品。应用程序受内存损坏或其它类型漏洞影响从而导致远程代码执行或其它后果的情况并不少见。使用沙箱能够确保负责处理用户输入的代码智能访问需要访问的资源，从而通过将利用代码限制到受限环境中并阻止它和其它软件组件交互的方法缓解缺陷的影响。

虽然沙箱能够发挥重大作用，但谷歌表示通常实现起来并不容易。这也是谷歌决定开源其 Sandboxed API 的原因，它应当能够更容易地对 C 和 C++ 库进行沙箱操作。谷歌还开源了其核心沙箱项目 Sandbox2，它可用于确保 Linux 处理器的安全。谷歌 ISE 沙箱团队成员解释称，“Sandboxed API 使得为单个软件库创建安全策略成为可能。这种理念能够创建存在于流行软件库中的可复用且安全的功能实现，而且也具有足够的颗粒度保护余下所使用软件基础设施的安全。”[来源：安全内参]