信息安全最新文章 最新研究顯示:海上鉆井平臺網絡安全狀況堪憂 工業網絡安全公司Naval Dome與荷蘭皇家殼牌(Royal Dutch Shell)的海上部門合作進行了針對海上深水鉆井平臺的網絡安全風險研究,形成的研究報告在8月16日于休斯頓舉行的海上技術大會上發布。報告認為,深水鉆井平臺通常沒有做好保護自己免受網絡攻擊的準備,鉆機需要的不僅僅是防火墻和殺毒軟件。面對網絡攻擊泛化和勒索肆虐的態勢,深水鉆井平臺面臨真正的網絡安全挑戰和明顯的應對不足。 發表于:9/16/2021 愛恨交加--塔利班的社交媒體困境 在本月早些時候控制阿富汗幾天后,塔利班在其首次新聞發布會上對Facebook進行了猛烈抨擊,以回應一個有關言論自由的問題。 發表于:9/16/2021 中國產變壓器“硬件后門”妖言再起“ Weiss稱,2020年5月的總統行政命令(EO)13920旨在防止在關鍵的大規模電網應用中引入中國制造的產品,該命令還旨在解決硬件供應鏈問題,因為中國已經安裝了繞過所有網絡安全保護的硬件后門。然而,這兩種情況都沒有發生。因此,中國有能力在他們選擇的時間“控制”我們的電網和其他關鍵基礎設施。這是又一次的危言聳聽,還是肆意的妖言惑眾? 發表于:9/16/2021 社交媒體需要塔利班還是塔利班更需要社交媒體? 自1996年塔利班最初奪取政權以來,阿富汗的社交媒體格局發生了相當顯著的變化。當時,塔利班大概是這個國家唯一使用手機的人。他們發現手機在組織攻擊方面很有用。然而,當時大多數阿富汗人買不起智能手機。此外,移動網絡也不發達。此外,低識字率限制了人們使用移動設備的能力,即使他們有移動設備。自從2001年失去權力后,塔利班不時地在他們仍然統治的地區控制社交媒體。有一次,他們強迫該地區的網絡運營商每天只開通2個小時的網絡。如果互聯網服務提供商不遵守,塔利班威脅要炸毀他們的傳輸塔,這些公司不能冒這個風險,因為塔利班過去曾毫不猶豫地炸毀過其他的傳輸塔。 發表于:9/16/2021 Fortress家庭網絡漏洞致使智能家居網絡對黑客”門戶洞開“ Rapid7研究人員Arvind Vishwakarma發現了Fortress S03 WiFi家居安全系統的兩個漏洞,可以讓網絡攻擊者遠程解除該系統的安全防御,使家庭容易被非法侵入。Arvind表示,“這些漏洞可能導致對控制或修改系統行為的未經授權訪問,以及對存儲或傳輸中的未加密信息的訪問。”這兩個未修補的安全漏洞可以讓未經認證的網絡攻擊者關閉窗戶、門和動作傳感器監控。 發表于:9/16/2021 新加坡政府推出更加誘人的漏洞賞金計劃 新加坡政府科技局 (GovTech) 周二在 HackerOne 上推出了一項新的漏洞獎勵計劃 (VRP),提供高達150,000 美元的漏洞賞金獎勵。 發表于:9/16/2021 鐵路網絡安全警報--臺灣摩莎(Moxa)公司生產的鐵路設備存在批量漏洞,黑客可對設備實施操控或破壞 SecurityWeek9月2日報道,臺灣工業網絡和自動化公司Moxa生產的鐵路和其他類型的無線通信設備受到近60個漏洞的影響。Atos(阿托斯)旗下的網絡安全咨詢公司SEC Consult本周透露,該公司的一名研究人員在Moxa設備上發現了兩個新的漏洞,以及幾個過時的第三方軟件組件,在這批組件上發現了數十個漏洞。 發表于:9/16/2021 美國網絡司令部警告:針對Atlassian企業軟件的“持續性”黑客攻擊正在爆發 美國網絡司令部(Cyber Command)警告美國各機構說,黑客正在利用一個廣受歡迎的項目管理工具的軟件缺陷。這表明,黑客可能正在為一場令整個私營部門頭疼的更大規模攻擊做準備。 發表于:9/16/2021 沙特王國的網絡安全態勢 在聯合國專門機構國際電信聯盟 (ITU) 2021年6月發布的2020年世界各國網絡安全指數(Global Cybersecurity Index)排名中,在統計的全球195個國家和地區中,沙特王國的GCI指數位列第2名,與英國并列(1到10名是美國、英國、沙特、愛沙尼亞、韓國、新加坡、西班牙、俄羅斯、阿聯酋、馬來西亞、立陶宛、日本、加拿大、法國、印度,有多個并列。中國位列第33名),在阿拉伯世界、中東和亞洲排名第一。沙特阿拉伯自2017年發布2030愿景并啟動以來,GCI排名大幅躍升,從2017年全球排名第46位到2018年的13位,2020年一舉躍升為全球致力于網絡安全的國家排名第二位。據稱沙特王國的網絡安全預算正在以15.3%的復合年均增長率增長,預計其市場價值到2022年將達到51億美元。沙特在中東是第一大經濟體,但因其與美國及西方的親密關系而遭到地區主要國家的指責與詬病。在網絡安全領域,沙特的出名是2012年8月沙特阿美石油公司遭到一場惡劣的網絡攻擊,致使公司四分之三計算機上的數據被清除。 發表于:9/16/2021 OT漏洞管理,沒你想象的那么簡單! 工業企業在OT漏洞管理的成熟度方面,明顯與 IT 漏洞管理的成熟度存在差距,滯后的原因與其說是OT系統先天存在缺陷或弱點,不如說是在 OT環境中發現和修復漏洞存在特別挑戰。當然,在許多OT系統中處理的技術和漏洞類型與 IT 系統相同。也存在明顯的交叉,工業控制系統 (ICS) 等許多OT資產依賴于與其對應IT 系統類似的操作系統、網絡連接和架構。 發表于:9/16/2021 CISA發布托管服務提供商選擇的網絡安全風險指南 美國網絡安全和基礎設施安全局 (CISA) 日前發布了新指南,供政府和私人組織在尋求將服務外包給托管服務提供商 (MSP) 時加以考慮。為了幫助組織做出信息技術(IT)服務決策,國土安全部(DHS)下屬網絡安全和基礎設施安全局(CISA)的國家風險管理中心(NRMC)為被管理服務提供商客戶開發了一套風險考慮。該框架匯編來自CISA、IT和通信行業合作伙伴的信息,為組織提供資源,以便在確定滿足其獨特需求的最佳解決方案時做出風險決策。 發表于:9/16/2021 美國商務部成立人工智能咨詢委員會 美國商務部當地時間9月7日宣布成立一個人工智能咨詢委員會,為美國總統喬·拜登(Joe Biden)和其他聯邦機構就隱私問題、數據安全、全球競爭和固有偏見等問題提供咨詢。該委員會成員將由來自人工智能相關學科的廣泛跨學科領域的專家領袖“組成,包括學術界、工業界、非營利組織、民間社會和聯邦實驗室。委員會的主席和副主席將由商務部長雷蒙多任命。 發表于:9/16/2021 閑話零信任--肯定不是網絡安全的“萬能藥”也不見得是“金鑰匙” 近日,美國管理和預算辦公室(OMB)和網絡安全和基礎設施安全局(CISA)發布了關于零信任戰略新的指導意見。美國聯邦政府正在大力推動各機構采用零信任的網絡安全架構,政府機構擬在2024財年結束前部署新型網絡安全架構。這一路線圖的發布,再次讓零信任方法成為安全社區關注的熱點。零信任采取了一種“始終驗證,從不信任”的網絡安全方法,意味著每一個用戶和設備都會被驗證,無論他們之前是否被授予訪問權限。零信任本質上是一種安全理念,一種策略,它用徹底的身份驗證和授權策略取代了對用戶和設備的過度隱式信任。其本身不是一項技術。零信任的概念源自于Stephen Paul Marsh于1994年4月在斯特林大學發布的計算安全博士論文。Marsh對信任的深入研究認為,信任是一種有限的東西,可以用數學結構來描述,而不是簡單的對抗或純粹的人類現象。他還斷言,信任的概念超越了道德、倫理、合法性、正義和判斷等人為因素,在保護計算系統、應用程序和網絡安全方面,零信任(zero trust)勝過(surpass)不信任(distrust)。 發表于:9/16/2021 日本科技巨頭奧林巴斯遭到勒索攻擊導致部分網絡關閉 日本科技巨頭奧林巴斯關閉了其在歐洲、非洲和中東的計算機網絡,同時對其系統遭到的網絡攻擊進行調查。該公司沒有具體說明攻擊的類型,但消息人士告訴TechCrunch,奧林巴斯在9月8日早些時候受到了勒索軟件的攻擊。 發表于:9/16/2021 勒索軟件BlackMatter攻擊風險激增,美國衛生與公眾服務部發出威脅警報 盡管BlackMatter勒索團伙聲稱其并未針對醫院等“關鍵基礎設施”組織開展活動,但聯邦監管機構正在提醒醫療保健和公共衛生部門實體注意 BlackMatter潛在的勒索軟件攻擊的“高度威脅”。據統計,2020年,美國至少有92家醫療機構遭受勒索軟件攻擊,平均勒索金額為169446美元,網絡犯罪分子從美國醫療行業獲得的勒索金額估計為1560萬美元。 發表于:9/16/2021 ?…193194195196197198199200201202…?
