近日，美国国家安全局发布了新的零信任指南，旨在帮助企业通过零信任框架原则来抵御外部网络攻击。零信任安全架构要求对网络资源的访问进行严格控制，无论是在物理边界内外，以最大限度地减少漏洞的影响。 一般情况下，传统的 IT 安全模式会以默认可信的模式来运行，但零信任一般直接会默认假定威胁已经存在，不允许任何人在网络内自由行动。零信任的成熟度是通过解决威胁行为者在攻击中可以利用的各种组件或支柱逐步实现的。 零信任架构的七大支柱 昨天（3月5日），美国国家安全局发布了网络和环境组件的零信任指南，其中包括所有硬件和软件资产、非人实体以及相互通信协议。 零信任模式通过数据流映射、宏观和微观分段以及软件定义网络提供深入的网络安全。对于其中的每一项，企业都必须达到特定的成熟度，才能继续按照零信任原则进行建设。 “网络和环境支柱通过定义网络访问、控制网络和数据流、划分应用程序和工作负载以及使用端到端加密，将关键资源与未经授权的访问隔离开来”–国家安全局 数据流映射首先要确定数据存储和处理的位置和方式。当企业对数据流有了全面的清点和可视性，并能减少所有当前的、新的或异常的路径时，就达到了高级成熟度。 通过宏观划分，企业可以为每个部门的用户创建网络区域，从而限制网络上的横向移动。比如，除非有明确要求，否则会计人员不需要访问人力资源专用网段，因此威胁行为者可利用的攻击面有限。 通过微分段，网络管理被分解成更小的组成部分，并实施严格的访问策略来限制横向数据流。 美国国家安全局解释说，”微分段涉及将用户、应用程序或工作流程隔离到单个网段中，以进一步减少攻击面，并限制发生入侵时的影响”。 通过软件定义网络（SDN）组件，可以对微分段进行更细粒度的控制，从而提供可定制的安全监控和警报。SDN 允许从集中控制中心控制数据包路由，提供更好的网络可见性，并允许对所有网段执行策略。 对于零信任架构中网络和环境支柱的四个组成部分，美国国家安全局描述了四个成熟度等级，从准备阶段到高级阶段，在高级阶段实施广泛的控制和管理系统，以实现最佳的可见性和监控，并确保网络的增长。 设计和构建零信任环境是一项复杂的任务，需要系统地经历各个成熟阶段。如果方法得当，企业架构就能抵御、识别和应对试图利用弱点的威胁。 美国国家安全局于 2021 年 2 月发布了第一份零信任框架指南《拥抱零信任安全模型》，该指南介绍了该模型及其背后原则的优势。 2023 年 4 月，该机构发布了达到零信任框架中用户组件成熟度的指南《在整个用户支柱中推进零信任成熟度》。   转自Freebuf，原文链接：https://www.freebuf.com/news/393427.html 封面来源于网络，如有侵权请联系删除

inforisktoday网站消息，德国警方表示，在历时2年的调查后，他们逮捕了该国最大的网络犯罪地下市场之一的幕后操纵者，并查封了其网站域名。 上周，杜塞尔多夫的执法部门宣布，他们已经成功关闭了Crimemarket论坛的网络域名。据悉，该论坛涉及销售网络犯罪工具、毒品和武器，用户可以通过暗网或普通互联网进行访问。在网站被查封时，注册用户达18万人。 在这次行动中，执法部门逮捕了三名涉嫌管理该平台的人员，其中包括一名23岁的德国莱茵-克雷斯诺伊斯镇居民，据称他是该交易市场的主要管理员。 2020年，德国执法部门开始调查该团伙，从嫌疑人手中没收了60万欧元现金，同时缴获了众多手机、计算机设备以及数据存储装置。 德国当局表示，他们正在对拦截的数据进行分析，以获取有关该平台用户的更多信息。 逮捕并解散Crimemarket是国际执法部门连续打击网络犯罪的最新行动，这一措施紧随英国和美国网络安全机构联合行动，打击LockBit勒索软件的网络犯罪几周之后。 在去年12月，德国警方还解散了Kingdom Market——一个网络黑市，专门贩卖毒品、恶意软件和提供其他非法服务的交易市场。   转自Freebuf，原文链接：https://www.freebuf.com/news/393368.html 封面来源于网络，如有侵权请联系删除

HackerNews 编译，转载请注明出处： Group-IB 调查结果显示，2023 年 1 月至 10 月期间，超过 225000 个含有泄露的 OpenAI ChatGPT 凭证的日志在地下市场上售出。 这些凭证在与 LummaC2、Raccoon 和 RedLine 等恶意软件相关的信息窃取者日志中被发现。 该公司在《2023-2024 年高科技犯罪趋势》报告中表示：“受感染设备的数量在夏初和夏末略有下降，但在 8 月至 9 月期间大幅增长。” 2023 年 6 月至 10 月期间，超过 130,000 个能够访问 OpenAI ChatGPT 的主机遭到渗透，比前 5 个月增加了 36%。三大窃取者家族细分如下： LummaC2 – 70,484 台主机 Raccoon – 22,468 个主机 RedLine – 15,970 台主机 Group-IB 表示：“ChatGPT 凭证数量的急剧增加是因为感染信息窃取程序的主机数量总体增加，这些数据随后在市场或 UCL 中出售。” 微软和 OpenAI透露，来自俄罗斯、朝鲜和伊朗的民族国家行为体正在尝试利用人工智能 (AI) 和大型语言模型 (LLM)来补充其正在进行的网络攻击行动。 Group-IB 指出，LLMs 可以被对手用来创造新的间谍手段，通过诈骗和网络钓鱼攻击，该技术还可以加快侦察速度，促进黑客工具包的执行，并进行诈骗机器人呼叫。 过去，威胁行为者主要专注于企业计算机和跨网络移动的访问系统，现在他们也关注能够访问公共人工智能系统的设备。 这让他们能够获取包含员工和系统通信历史记录的日志，从而搜索机密信息（用于间谍目的）、内部基础设施的详细信息、身份验证数据（用于进行更具破坏性的攻击）以及应用程序源代码。 威胁行为者可以利用恶意软件轻松获取有效账户凭据，IBM X-Force表示：“信息窃取者的增加以及滥用有效账户凭据来获取初始访问权限，加剧了防御者的身份和访问管理挑战。 企业凭证数据可以通过凭证重用、浏览器凭证存储或直接从个人设备访问企业账户从受感染的设备中窃取。   消息来源：thehackernews，译者：dengdeng；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

近日，乌克兰国防部情报总局（GUR）声称入侵了俄罗斯国防部（Minoborony）的内部服务器，并成功窃取大量敏感文件。 乌克兰某政府网站上发布了一份新闻稿，将此次网络攻击事件定性为 GUR 网络专家实施的“特别行动”。GUR 表示，通过本次网络入侵行动，乌方获取了包含俄罗斯特工详细信息在内的大量敏感文件。主要包括如下内容： 俄罗斯国防部用于保护和加密数据的软件； 俄罗斯国防部的一系列特勤文件，包括命令、报告、指令和各种其他文件，在国防部 2000 多个结构单位中分发； 允许建立 Minoborony 系统及其链接的完整结构的信息； 属于俄罗斯国防部副部长蒂穆尔·瓦迪莫维奇·伊万诺夫的文件； 此外，GUR 还发布了四张显示数据库查询结果、日志文件和概述官方程序/指南的文件的截图，作为其成功发动网络入侵的证据。 乌克兰网军多次攻击俄罗斯政府部门 2023 年 11 月，乌克兰国防部下属情报部门团队成员成功侵入了俄罗斯联邦航空运输署（Rosaviatsia），揭露了所谓的俄罗斯航空业“崩溃”事件。据悉，Rosaviatsia 主要职责是监督俄罗斯民航业，负责记录飞行或紧急事件。 从乌克兰方面发布的公告来看，乌国防部下属情报部的工作人员侵入了俄罗斯 Rosaviatsia  机构，窃取了大量文件，可以确定俄罗斯航空部门因为西方国家对备件和软件更新的制裁，导致无法正常修理飞机而遭受损失。 值得注意的是，此次网络攻击事件是首次有国家公开承认的国家级黑客攻击行为，乌克兰政府将其描述为 “网络空间的复杂特殊行动”。乌克兰方面在本次网络攻击相关的公告中表示，通过黑客攻击和渗透敌方（俄罗斯）信息系统，获得了大量的数据，其中主要包括俄罗斯联邦国家航空安全局一年半多以来的报告清单。 一个月后，乌克兰政府军事情报部门又宣称成功入侵了俄罗斯联邦税务局（FNS），并清除了该机构的数据库和备份副本。 从后续乌克兰方面透露的信息来看，本次网络入侵行动由乌克兰国防情报局的网络军事部门策划实施，入侵了俄罗斯联邦税务局的中央服务器以及乌克兰被占领土上的 2300 个地区服务器，导致所有受损的 FTS 服务器都感染了恶意软件，俄罗斯税收系统中重要的配置文件被完全删除，主数据库及其备份文件被清除，一家为 FNS 提供数据中心服务的俄罗斯 IT 公司也遭到疯狂的网络攻击。 乌克兰情报总局（GUR）指出，此次网络攻击活动造成了严重影响，导致莫斯科中央办公室与 2300 个领土部门之间的通信中断，这些部门也在此次攻击中遭到重创，与税收相关的数据大量丢失，俄罗斯各地与税收数据相关的互联网流量落入乌克兰军事情报人员之手。 尽管俄罗斯正在努力尝试恢复 FNS（联邦税务局）服务，但目前仍未成功，GUR 方面估计俄罗斯税务系统瘫痪将持续至少一个月，完全恢复几乎不可能。GUR 还指出此次网络攻击的成功进行意味着俄罗斯主要国家机构之一的基础设施和大量相关税收数据将在很长一段时间内遭到彻底破坏。   转自Freebuf，原文链接：https://www.freebuf.com/news/393297.html 封面来源于网络，如有侵权请联系删除

俄罗斯间谍记录了德国高级军官讨论可能向乌克兰和潜在目标交付金牛座巡航导弹的情况。在仅仅通过参加 Webex 会议就获得了泄露的 38 分钟音频文件后，德国联邦国防军的信息安全实践现在受到质疑。 3 月 1 日，俄罗斯国家广播公司 RT 的负责人玛格丽塔·西蒙尼扬 (Margarita Simonyan) 发表了一份似乎是德国空军将军和其他高级领导人讨论的文字记录。 RT称，其确认了参加电话会议的四名德国军方官员中的两名身份，其中包括空军作战负责人弗兰克·格雷夫准将和空军参谋长英戈·格哈茨中将。 将军们正在讨论向乌克兰交付金牛座导弹的可能性、潜在目标，包括连接被占领的克里米亚和俄罗斯并具有战略和政治重要性的刻赤大桥，以及成功攻击所需的理论上的可能性。 金牛座导弹的射程约为310英里，远大于英国向乌克兰提供的“风暴之影”巡航导弹的射程约为155英里。 西蒙尼扬在她的社交媒体帐户上分享了完整的录音以及俄语翻译。RT 夸口说，空军司令英戈·格哈茨中将悲伤地说：“如果我们与乌克兰武装部队有直接联系，那将是令人担忧的。” 据德国之声报道，德国国防部已证实该机密录音的真实性，德国总理奥拉夫·肖尔茨称这是“非常严重的事件” 。 德国军官未能使用安全的加密通道进行对话，而是加入了思科 WebEx 会议平台上的通话。俄罗斯间谍设法拦截了它。 据Heise.de报道，德国联邦国防军官员经常使用思科的 WebEx 。但是，通过电话或浏览器拨入时，无法在该系统上建立端到端加密连接。在许多情况下，IT 经理必须设置并激活该功能，并且必须为用户分配这些选项。 据德国媒体报道，一名军官在新加坡一家酒店用手机拨打了会议电话。据Stack 报道，俄罗斯间谍可能只是在未被注意到的情况下拨打了电话。 目前尚未正式确认俄罗斯间谍利用了哪些潜在漏洞。 该事件在德国政界引起轩然大波。德国联邦议院国防委员会主席玛丽·艾格尼丝·斯特莱克·齐默尔曼呼吁加强安全和反情报工作。据《华尔街日报》报道，国防部长鲍里斯·皮斯托利斯已对他所说的俄罗斯旨在传播虚假信息的混合攻击展开调查。 一位不愿透露姓名的前德国联邦国防军高级军官对《政客》杂志表示：“现在必须采取行动。” “通过不安全的线路进行如此高度机密的对话是严重疏忽。”   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/rF6QZtNp3A1bVUbo8BTOrg 封面来源于网络，如有侵权请联系删除

美国司法部周五公布了对一名伊朗国民的起诉，指控他参与了一场旨在损害美国政府和私人实体的多年网络活动。 据说有十几个实体成为袭击目标，其中包括美国财政部和国务院、支持美国国防部项目的国防承包商，以及一家总部位于纽约的会计师事务所和一家酒店公司。 39岁的Alireza Shafie Nasab自称是一家名为Mahak Rayan Afraz的公司的网络安全专家，同时至少在2016年左右至2021年4月左右参与了一场针对美国的持续运动。 美国南方检察官达米安·威廉姆斯表示：“正如所称，Alireza Shafie Nasab参与了一场网络活动，使用鱼叉式网络钓鱼和其他黑客技术感染了20多万台受害者设备，其中许多设备包含敏感或机密的国防信息。” 在一个例子中，威胁行为者侵入了一个属于未具名国防承包商的管理员电子邮件帐户，随后利用该帐户创建流氓帐户，并向另一个国防承包商和一家咨询公司的员工发送鱼叉式网络钓鱼电子邮件。 除了鱼叉式网络钓鱼攻击之外，共谋者还伪装成其他人，通常是女性，以获得受害者的信任，并将恶意软件部署到受害者的计算机上。 Nasab在为幌子的公司工作期间，据信负责使用窃取的真实身份来注册服务器和电子邮件帐户，从而获得活动中使用的基础设施。 他被指控犯有一项共谋计算机欺诈罪、一项共谋电信欺诈罪、另一项电信欺诈罪和一项严重身份盗窃罪。如果所有罪名成立，Nasab可能面临最高47年的监禁。 虽然Nasab仍然在逃，但美国国务院宣布悬赏高达1000万美元，以获取有关Nasab身份或位置的信息。 Mahak Rayan Afraz (MRA)于2021年7月首次被Meta曝光，该公司是一家总部位于德黑兰的公司，与负责捍卫伊朗革命政权的伊朗武装部队伊斯兰革命卫队(IRGC)有联系。 该活动集群与Tortoiseshell也有重叠，此前曾被认为与精心设计的社会工程活动有关，包括在Facebook上假扮成健美操教练，试图用恶意软件感染某航空航天国防承包商员工的机器。 这一事态发展之际，德国执法部门宣布取缔Crimemarket，这是一个德语非法交易平台，拥有超过18万用户，专门从事毒品、武器、洗钱和其他犯罪服务的销售。 与此次行动有关的六人已被逮捕，其中包括一名23岁的主要嫌疑人，当局还缴获了手机、IT设备、一公斤大麻、摇头丸和60万欧元现金。   转自E安全，原文链接：https://mp.weixin.qq.com/s/9ZdztcoTJjEQATMVXa8yPQ 封面来源于网络，如有侵权请联系删除

Techreport网站消息，近日，美国法院下令要求以色列间谍软件开发商NSO集团将其Pegasus间谍软件的代码交给WhatsApp。 2019年，NSO集团利用WhatsApp的安全漏洞对1400名用户进行了为期两周的监视。同年，WhatsApp向该公司提起了法律诉讼。自那时起，诉讼一直在进行。 至今，美国法院下达该命令，这标志着WhatsApp诉讼的一次重要胜利。 另外，法院还要求NSO集团向WhatsApp演示这些间谍软件的工作原理，并提供完整功能的详细解读。 唯一对NSO集团有利的是，目前他们不需要披露其客户名单，也无需透露是谁指示他们监控那1400人，更不需要透露有关其服务器基础设施的信息。 NSO集团有何回应？ 目前，NSO集团未对此事件发表评论，或许是因为诉讼仍在进行中。 这项判决是由美国地方法院作出的，NSO集团对此并不满意。判决之前，该公司曾向美国最高法院申请驳回该案件。NSO集团认为，因为他们代表外国政府行事，应该获得法律豁免权。并且，他们将Pegasus间谍软件仅出售给经过“审查”的政府机构，且其使用目的仅限于打击恐怖主义活动。 在诉讼中，WhatsApp声称被监视的人包括记者、政治人物、外交官、人权倡导者以及一些外国政府的高级官员。因此，这些账户被标记为“恐怖主义调查对象”的理由并不成立，这使得NSO集团的主张显得没那么可信了。 2023年，由于间谍软件使用目的未公开，最高法院认定NSO集团的主张没有根据，并驳回了上诉请求，允许WhatsApp继续进行诉讼。 Pegasus是什么？NSO集团到底是做什么的？ Pegasus是一款间谍软件，一旦安装在目标设备上，就能够无限制地获取该设备上的所有内容，包括短信、图片、电子邮件、联系人，甚至是电话通话记录。 虽然NSO集团声称自己代表外国政府，但它在美国的声誉并不好。实际上，在2021年，乔·拜登总统将其列入黑名单，原因是发现其行为与美国的外交政策和国家安全利益相悖。 NSO集团表示，他们仅将这款间谍软件出售给全球的政府机构，并声称他们对购买者选择如何使用该软件不承担责任。 虽然从未公开披露过其客户名单，但内部报告显示，匈牙利、印度、卢旺达、沙特阿拉伯和阿联酋等国家曾与NSO集团有过商业往来。   转自Freebuf，原文链接：https://www.freebuf.com/news/393194.html 封面来源于网络，如有侵权请联系删除

研究人员表示，过去一年来，来自世界各地的至少14个国家支持的黑客组织瞄准了俄罗斯以及部分原苏联成员国，如阿塞拜疆、白俄罗斯、吉尔吉斯斯坦和哈萨克斯坦，并进行了破坏或间谍活动。 俄罗斯网络安全公司F.A.C.C.T.的报告指出，其中一些APT组织可能与乌克兰有联系，后者正在与俄罗斯交战；另一些则代表自己的国家利益行事，包括朝鲜等国。F.A.C.C.T.此前是知名网络安全公司Group-IB的子公司，于去年4月独立，Group-IB在去年退出了俄罗斯市场。 F.A.C.C.T.称，这份报告为关于俄罗斯等部分原苏联国家，面临的“网络威胁战略和战术提供了最全面的数据来源”。由于俄乌战争爆发，西方安全公司选择退出俄罗斯市场，这导致它们对这些地区的了解程度有限。 研究发现，在间谍活动方面，那些表面上是伙伴或盟友的国家正在利用网络空间相互监视。 F.A.C.C.T.的报告是用俄语编写的，只有在预定义的国家列表中的用户才能下载，这些国家包括亚美尼亚、格鲁吉亚和乌克兰。 国家级网络威胁 报告显示，2023年俄罗斯面临的出于政治动机的攻击，较前一年增加了116%。研究人员发现，至少有28次针对俄罗斯机构的重大攻击活动，是由外国国家控制的黑客组织发动。 对于这些黑客组织来说，最有利可图的目标是俄罗斯政府和军事机构、工业企业、能源公司和电信提供商。F.A.C.C.T.表示，这些攻击通常是为了完成间谍活动。 一些国家支持的黑客组织，比如跟踪代号XDSpy、Cloud Atlas等组织，过去经常攻击俄罗斯。还有一些组织，比如跟踪代号Tomiris的俄语组织，刚刚开始扩展其在该地区的攻击能力。 过去一年里，针对俄罗斯的主要网络攻击有三角测量行动，俄罗斯将其归咎于美国情报机构；与朝鲜相关的APT37组织对俄罗斯国防企业发起的攻击，导致数据泄露；以及跟踪代号为Hellhounds的新组织发起的间谍活动，针对的是俄罗斯航天、物流、能源和国有企业。 该地区的其他俄语国家也成为了国家级黑客的受害者。例如，与亚洲某国有关的SugarGh0st组织瞄准了乌兹别克斯坦外交部，而Cloud Atlas和Sticky Werewolf组织则针对白俄罗斯政府机构发动了攻击。 要弄清楚国家控制的黑客组织究竟听命于哪个国家并非易事。例如，最活跃的威胁行为者之一XDSpy至少从2011年以来一直在运作，主要针对俄罗斯的关键基础设施，然而世界各地的研究人员都无法确定其代表哪个国家的利益。 激进黑客攻击 对俄罗斯企业的另一种有政治动机的威胁，是志愿者发起的网络攻击，此类攻击者更为人熟知的称呼是激进黑客。 F.A.C.C.T.研究人员表示，从发动DDoS攻击的数量来看，乌克兰IT部队仍然是该地区最活跃激进的黑客组织。过去一年中，该组织引入了新工具，并可能与其他当地激进黑客组织合流。 去年早些时候，与乌克兰IT部队有关的分支团队启动了一项名为Activeness的在线服务，旨在在社交网络上推广某些叙事。研究人员表示，此前乌克兰网络部队已经发动过类似行动，但“可能收效甚微”。 另一个名为“白俄罗斯网络游击队”的激进黑客组织，去年针对白俄罗斯和俄罗斯发动了至少六次攻击。其中至少有两次使用了未知的加密病毒，其他几次则是破坏活动，旨在篡改网站界面或泄露机密数据。 研究人员还发现了追求金融和政治利益的组织。其中一个是犯罪集团Comet Twelve。Comet团队要求受害者支付赎金，否则将拒绝解密并分发被盗数据。而Twelve团队不提出赎金要求，直接破坏受害者的网络。这两个团队使用相同的基础设施、战术和攻击工具。 F.A.C.C.T.将Twelve与Muppets和BlackJack等黑客组织联系在一起。今年1月初，BlackJack声称对莫斯科互联网供应商的攻击负责，据信此次攻击系该组织与乌克兰安全部门SBU合作进行。 研究人员说：“在严峻的地缘政治冲突中，激进黑客活动和亲政府黑客组织的活动在近几年不会减少。他们的优先目标将是间谍活动、窃取知识产权、获取公司数据库的访问权限。” 总体而言，去年黑客和激进黑客在暗网上新发布了246个俄罗斯公司数据库。根据报告，网络犯罪分子不会立即发布泄露的数据，而是利用数据对商业和公共领域的主要参与者发动新的攻击。 根据F.A.C.C.T.的预测，今年俄罗斯会受到来自世界各地“敌对”国家和“中立”国家的持续攻击。研究人员表示，攻击还会由内部人员发动，比如已经离开俄罗斯的公司前员工。   转自安全内参，原文链接：https://www.secrss.com/articles/64064 封面来源于网络，如有侵权请联系删除

一位化名IntelBroker、曾入侵通用电气、 惠普企业和 DC Health Link 的黑客 声称，这次他成功入侵了洛杉矶国际机场（LAX）的数据库，窃取了私人飞机所有者的机密数据。 黑客表示，此次黑客攻击是在本月进行的，并未影响普通乘客的数据。大约 250 万条记录因该事件而被泄露，包括全名、注册会计师号码、电子邮件地址、公司名称、飞机型号和飞机机尾识别号。 黑客攻击的信息由黑客 IntelBroker 本人在网络犯罪论坛BreachForums上发布， 该论坛自去年 3 月 清算后由 ShinyHunters 组织恢复。 IntelBroker 从 2 月 23 日起在 BreachForums 上发帖 IntelBroker表示，该数据库是通过利用机场使用的CRM系统中的漏洞获得的。还需要注意的是，在发布的帖子中，此次黑客攻击被归咎于化名“kwillsy”的黑客，尽管 IntelBroker 随后表示后者与此次事件无关，IntelBroker 及其团队个人承担全部责任。 该事件是 2024 年初以来发生的众多数据泄露事件之一，影响了企业和政府部门。   转自安全客，原文链接：https://www.anquanke.com/post/id/293451 封面来源于网络，如有侵权请联系删除

近日，拜登政府正不断向科技行业施压，要求企业使用能够防止内存相关错误的编程语言，从设计之初就确保产品的安全性。 自80年代以来，这种内存错误就一直存在，攻击者可以滥用软件对计算机内存的管理方式，入侵系统、破坏数据或运行恶意代码。目前，国家网络安全局（ONCD）正在采取措施，以降低这种错误带来的风险。 ONCD领导人哈里·科克尔（Harry Coker）在介绍白宫为科技行业制作的一份新报告时表示，为了减少网络空间的攻击面，必须通过保护网络空间的基础构建来大规模消除整个类别的漏洞。 白宫指出，这份报告得到了包括SAP、惠普企业和霍尼韦尔在内的科技公司和学术界领导者的支持，意味着网络安全的责任从个人和小型企业转向科技公司这一样的大型组织迈出了重要一步，因为这些大公司更有能力应对不断变化的网络威胁。 报告提到，C和C++等编程语言在关键系统中的使用非常广泛，但它在内存安全性方面缺乏相关特性，建议采用像Rust、Python和Java等编程语言作为替代。 拜登政府的一位高级官员表示，白宫希望除工程师外的高管们也要开始关注这个问题，希望内存安全成为许多公司下一次董事会议程中的一项。 据介绍，该报告编制工作耗时超过一年，期间与科技行业进行了多次接触和讨论，那些拥有大量产品线的大型公司在这个议题上会面临繁重的工作量。需要明确的是，迁移到内存安全代码可能需要长达数十年的努力，具体取决于公司的规模，并且需要所有人的关注和支持。但是，那些做出改变的公司将对国家的安全产生重大影响。 政府官员表示：“这种转变之所以困难，是因为在过去的35年里，威胁行为者一直在利用这种错误向我们发起攻击。而现在，我们已经具备了做出改变所需要的技术，正是进行转型的恰当时机。” 回顾三十多年前，计算机内存漏洞不仅促成了最初的互联网安全事件之一——1988年的莫里斯蠕虫，而且直至今日仍然为攻击者提供可利用的机会，例如2023年间谍软件供应商所使用的BLASTPASS漏洞攻击链。 报告还提到，科技行业应该建议制定更精确的软件安全性评估指标，但根据白宫发布的简报，这需要在软件工程和网络安全研究领域进行新尝试。 事实上，该报告是对乔·拜登总统2021年发布的网络安全行政命令以及2023年发布的国家网络安全战略的最新跟进。 其他机构也倡导技术行业在产品开发过程中尽早考虑安全性。例如，网络安全和基础设施安全局（CISA）的“安全设计”倡议，以及商务部关于软件物料清单（SBOM）最低要素的报告。去年12月，国家安全局（NSA）和CISA还发布了一份关于内存安全编程的指南。   转自Freebuf，原文链接：https://www.freebuf.com/news/392666.html 封面来源于网络，如有侵权请联系删除