信息安全最新文章 中国产变压器“硬件后门”妖言再起“ Weiss称,2020年5月的总统行政命令(EO)13920旨在防止在关键的大规模电网应用中引入中国制造的产品,该命令还旨在解决硬件供应链问题,因为中国已经安装了绕过所有网络安全保护的硬件后门。然而,这两种情况都没有发生。因此,中国有能力在他们选择的时间“控制”我们的电网和其他关键基础设施。这是又一次的危言耸听,还是肆意的妖言惑众? 发表于:9/16/2021 社交媒体需要塔利班还是塔利班更需要社交媒体? 自1996年塔利班最初夺取政权以来,阿富汗的社交媒体格局发生了相当显著的变化。当时,塔利班大概是这个国家唯一使用手机的人。他们发现手机在组织攻击方面很有用。然而,当时大多数阿富汗人买不起智能手机。此外,移动网络也不发达。此外,低识字率限制了人们使用移动设备的能力,即使他们有移动设备。自从2001年失去权力后,塔利班不时地在他们仍然统治的地区控制社交媒体。有一次,他们强迫该地区的网络运营商每天只开通2个小时的网络。如果互联网服务提供商不遵守,塔利班威胁要炸毁他们的传输塔,这些公司不能冒这个风险,因为塔利班过去曾毫不犹豫地炸毁过其他的传输塔。 发表于:9/16/2021 Fortress家庭网络漏洞致使智能家居网络对黑客”门户洞开“ Rapid7研究人员Arvind Vishwakarma发现了Fortress S03 WiFi家居安全系统的两个漏洞,可以让网络攻击者远程解除该系统的安全防御,使家庭容易被非法侵入。Arvind表示,“这些漏洞可能导致对控制或修改系统行为的未经授权访问,以及对存储或传输中的未加密信息的访问。”这两个未修补的安全漏洞可以让未经认证的网络攻击者关闭窗户、门和动作传感器监控。 发表于:9/16/2021 新加坡政府推出更加诱人的漏洞赏金计划 新加坡政府科技局 (GovTech) 周二在 HackerOne 上推出了一项新的漏洞奖励计划 (VRP),提供高达150,000 美元的漏洞赏金奖励。 发表于:9/16/2021 铁路网络安全警报--台湾摩莎(Moxa)公司生产的铁路设备存在批量漏洞,黑客可对设备实施操控或破坏 SecurityWeek9月2日报道,台湾工业网络和自动化公司Moxa生产的铁路和其他类型的无线通信设备受到近60个漏洞的影响。Atos(阿托斯)旗下的网络安全咨询公司SEC Consult本周透露,该公司的一名研究人员在Moxa设备上发现了两个新的漏洞,以及几个过时的第三方软件组件,在这批组件上发现了数十个漏洞。 发表于:9/16/2021 美国网络司令部警告:针对Atlassian企业软件的“持续性”黑客攻击正在爆发 美国网络司令部(Cyber Command)警告美国各机构说,黑客正在利用一个广受欢迎的项目管理工具的软件缺陷。这表明,黑客可能正在为一场令整个私营部门头疼的更大规模攻击做准备。 发表于:9/16/2021 沙特王国的网络安全态势 在联合国专门机构国际电信联盟 (ITU) 2021年6月发布的2020年世界各国网络安全指数(Global Cybersecurity Index)排名中,在统计的全球195个国家和地区中,沙特王国的GCI指数位列第2名,与英国并列(1到10名是美国、英国、沙特、爱沙尼亚、韩国、新加坡、西班牙、俄罗斯、阿联酋、马来西亚、立陶宛、日本、加拿大、法国、印度,有多个并列。中国位列第33名),在阿拉伯世界、中东和亚洲排名第一。沙特阿拉伯自2017年发布2030愿景并启动以来,GCI排名大幅跃升,从2017年全球排名第46位到2018年的13位,2020年一举跃升为全球致力于网络安全的国家排名第二位。据称沙特王国的网络安全预算正在以15.3%的复合年均增长率增长,预计其市场价值到2022年将达到51亿美元。沙特在中东是第一大经济体,但因其与美国及西方的亲密关系而遭到地区主要国家的指责与诟病。在网络安全领域,沙特的出名是2012年8月沙特阿美石油公司遭到一场恶劣的网络攻击,致使公司四分之三计算机上的数据被清除。 发表于:9/16/2021 OT漏洞管理,没你想象的那么简单! 工业企业在OT漏洞管理的成熟度方面,明显与 IT 漏洞管理的成熟度存在差距,滞后的原因与其说是OT系统先天存在缺陷或弱点,不如说是在 OT环境中发现和修复漏洞存在特别挑战。当然,在许多OT系统中处理的技术和漏洞类型与 IT 系统相同。也存在明显的交叉,工业控制系统 (ICS) 等许多OT资产依赖于与其对应IT 系统类似的操作系统、网络连接和架构。 发表于:9/16/2021 CISA发布托管服务提供商选择的网络安全风险指南 美国网络安全和基础设施安全局 (CISA) 日前发布了新指南,供政府和私人组织在寻求将服务外包给托管服务提供商 (MSP) 时加以考虑。为了帮助组织做出信息技术(IT)服务决策,国土安全部(DHS)下属网络安全和基础设施安全局(CISA)的国家风险管理中心(NRMC)为被管理服务提供商客户开发了一套风险考虑。该框架汇编来自CISA、IT和通信行业合作伙伴的信息,为组织提供资源,以便在确定满足其独特需求的最佳解决方案时做出风险决策。 发表于:9/16/2021 美国商务部成立人工智能咨询委员会 美国商务部当地时间9月7日宣布成立一个人工智能咨询委员会,为美国总统乔·拜登(Joe Biden)和其他联邦机构就隐私问题、数据安全、全球竞争和固有偏见等问题提供咨询。该委员会成员将由来自人工智能相关学科的广泛跨学科领域的专家领袖“组成,包括学术界、工业界、非营利组织、民间社会和联邦实验室。委员会的主席和副主席将由商务部长雷蒙多任命。 发表于:9/16/2021 闲话零信任--肯定不是网络安全的“万能药”也不见得是“金钥匙” 近日,美国管理和预算办公室(OMB)和网络安全和基础设施安全局(CISA)发布了关于零信任战略新的指导意见。美国联邦政府正在大力推动各机构采用零信任的网络安全架构,政府机构拟在2024财年结束前部署新型网络安全架构。这一路线图的发布,再次让零信任方法成为安全社区关注的热点。零信任采取了一种“始终验证,从不信任”的网络安全方法,意味着每一个用户和设备都会被验证,无论他们之前是否被授予访问权限。零信任本质上是一种安全理念,一种策略,它用彻底的身份验证和授权策略取代了对用户和设备的过度隐式信任。其本身不是一项技术。零信任的概念源自于Stephen Paul Marsh于1994年4月在斯特林大学发布的计算安全博士论文。Marsh对信任的深入研究认为,信任是一种有限的东西,可以用数学结构来描述,而不是简单的对抗或纯粹的人类现象。他还断言,信任的概念超越了道德、伦理、合法性、正义和判断等人为因素,在保护计算系统、应用程序和网络安全方面,零信任(zero trust)胜过(surpass)不信任(distrust)。 发表于:9/16/2021 日本科技巨头奥林巴斯遭到勒索攻击导致部分网络关闭 日本科技巨头奥林巴斯关闭了其在欧洲、非洲和中东的计算机网络,同时对其系统遭到的网络攻击进行调查。该公司没有具体说明攻击的类型,但消息人士告诉TechCrunch,奥林巴斯在9月8日早些时候受到了勒索软件的攻击。 发表于:9/16/2021 勒索软件BlackMatter攻击风险激增,美国卫生与公众服务部发出威胁警报 尽管BlackMatter勒索团伙声称其并未针对医院等“关键基础设施”组织开展活动,但联邦监管机构正在提醒医疗保健和公共卫生部门实体注意 BlackMatter潜在的勒索软件攻击的“高度威胁”。据统计,2020年,美国至少有92家医疗机构遭受勒索软件攻击,平均勒索金额为169446美元,网络犯罪分子从美国医疗行业获得的勒索金额估计为1560万美元。 发表于:9/16/2021 美网络司令部司令再放狠话--将严惩网络攻击的幕后元凶 美国NSA局长/网络司令部司令中曾根将军(Paul Nakasone)称,美国将大力挫败来自外国的网络攻击,并惩罚那些对此负责的人。他领导的机构正在竭尽全力打击网络入侵活动,这些入侵已经削弱了负责关键基础设施的政府机构和公司。 发表于:9/16/2021 美国情报机构前雇员为他国提供网络间谍技术服务被起诉 美国司法部当地时间周二对三名前美国情报人员提出指控,罪名是网络攻击和共谋,与他们帮助阿拉伯联合酋长国监视民主活动人士和政治对手的工作有关。指控称,被告马克·拜尔(Marc Baier)、瑞安·亚当斯(Ryan Adams)和丹尼尔·格里克(Daniel Gericke)在未经美国政府批准的情况下,“蓄意和故意”向阿联酋提供网络间谍技术。 发表于:9/16/2021 «…195196197198199200201202203204…»
