一个利用最近披露的 WinRAR 软件零日安全漏洞的黑客组织现已被归类为全新的高级持续威胁（APT）。 网络安全公司 NSFOCUS 将 DarkCasino 描述为一个 “出于经济动机 “的行为者，该威胁行为者于 2021 年首次曝光。 该公司在一份分析报告中说：DarkCasino是一个APT威胁行为体，具有很强的技术和学习能力，善于将各种流行的APT攻击技术整合到其攻击流程中。 APT组织DarkCasino发起的攻击非常频繁，显示其窃取网络财产的强烈愿望。 DarkCasino最近与CVE-2023-38831（CVSS评分：7.8）的零日利用有关，该安全漏洞可被武器化以传播恶意有效载荷。 2023 年 8 月，Group-IB 披露了将该漏洞武器化的真实攻击，至少自 2023 年 4 月以来，该攻击一直瞄准在线交易论坛，以交付名为 DarkMe 的最终有效载荷，这是一个 Visual Basic 木马，归属于 DarkCasino。 该恶意软件可以收集主机信息、截图、操作文件和 Windows 注册表、执行任意命令，并在被入侵主机上进行自我更新。 虽然DarkCasino之前被归类为EvilNum组织针对欧洲和亚洲在线赌博、加密货币和信贷平台策划的网络钓鱼活动，但NSFOCUS表示，通过对对手活动的持续跟踪，它已经排除了与已知威胁行为者的任何潜在联系。 目前尚不清楚该威胁行为者的确切出处。 早期，DarkCasino 主要在地中海周边国家和其他亚洲国家利用在线金融服务开展活动。 最近，随着网络钓鱼方式的改变，其攻击已波及全球加密货币用户，甚至包括韩国和越南等非英语亚洲国家。 最近几个月，多个威胁行为体加入了 CVE-2023-38831 漏洞利用的行列，包括 APT28、APT40、Dark Pink、Ghostwriter、Konni 和 Sandworm。 据观察，Ghostwriter 利用该漏洞的攻击链为 PicassoLoader 铺平了道路，PicassoLoader 是一种中间恶意软件，充当其他有效载荷的加载器。 APT组织DarkCasino带来的WinRAR漏洞CVE-2023-38831给2023年下半年的APT攻击形势带来了不确定性。很多APT组织利用这个漏洞的窗口期攻击政府等关键目标，希望绕过目标的防护系统，达到自己的目的。   转自Freebuf，原文链接：https://www.freebuf.com/news/384114.html 封面来源于网络，如有侵权请联系删除

美国政府周二宣布取缔 IPStorm 僵尸网络代理网络及其基础设施，此次行动背后的Sergei Makinin已遭逮捕且已认罪。 美国司法部 (DoJ) 表示：“僵尸网络基础设施感染了 Windows 系统，然后进一步扩大到感染Linux、Mac 和 Android 设备，使世界各地的计算机和其他电子设备受害，包括亚洲、欧洲、北美和南美。其中被植入IPStorm恶意程式的受害者主要位于亚洲，前三名是香港、韩国与中国台湾。 崛起于2019年6月的IPStorm是以Golang所撰写，原本锁定Windows装置进行感染，随后并将版图扩大到Linux、macOS与Android，其恶意程式目的是令这些装置为Makinin所控制，Makinin对外宣称总共握有全球2.3万个装置的控制权，遍及亚洲、美洲与欧洲。 基于 Golang 的僵尸网络恶意软件在拆除之前，将受感染的设备转变为代理，作为营利计划的一部分，然后通过 proxx[.]io 和 proxx[.]net 向其他客户提供。 网络安全公司 Intezer在2020 年 10 月指出：“IPStorm 是一个僵尸网络，它滥用名为星际文件系统 ( IPFS ) 的合法点对点 (p2p) 网络来掩盖恶意流量。” 隐藏其恶意活动的威胁行为者“每月花费数百美元”购买对 23,000 多个机器人的非法访问权限来路由其流量。据估计，Makinin 从该计划中至少净赚了 55 万美元。 根据认罪协议，Makinin 预计将没收与犯罪相关的加密货币钱包。 Bitdefender 调查和取证部门高级主管 Alexandru Catalin Cosoi 在一份声明中表示：“星际风暴僵尸网络非常复杂，通过将其租用为受感染物联网设备的代理即服务系统，来支持各种网络犯罪活动。” 据了解，Makinin同时拥有俄罗斯及摩尔多瓦国籍，美国司法部并未说明FBI是如何摧毁IPStorm的基础设施又是如何逮捕Makinin，仅说是联邦调查局与西班牙警方，以及Bitdefender、Anomali Threat Research及Intezer等网络安全从业者的合作下共同破获IPStorm。其中，Intezer本周提供了IPStorm的网路入侵指标，并协助使用者侦测及终止系统所执行的恶意程序。 Makinin承认了3项罪名，涉及未经授权故意传送程序并造成损害，每项罪名最高都可判处10年刑期。   转自E安全，原文链接：https://mp.weixin.qq.com/s/luH7QvKGIOrsM6CDumvj6w 封面来源于网络，如有侵权请联系删除

乌克兰政府网络安全研究人员发现，俄罗斯国家支持的黑客在最近的一次网络间谍活动中以大使馆和国际组织为目标。 这些攻击归因于臭名昭著的黑客组织 APT29，也称为 Cozy Bear 或 Blue Bravo。分析人士此前将其与俄罗斯对外情报局（SVR）联系起来，该机构负责收集其他国家的政治和经济情报。 乌克兰国家网络安全协调中心 (NCSCC)分析了今年 9 月发生的这次活动。该组织在之前的活动中使用了类似的工具和策略，特别是在四月份针对基辅大使馆的行动中。 NCSCC 表示，最近的行动“主要目标是渗透使馆实体”，其中包括阿塞拜疆、希腊、罗马尼亚和意大利的目标。NCSCC 表示，另一个受害者是希腊主要互联网提供商 Otenet。 研究人员表示，外交账户，尤其是与阿塞拜疆和意大利外交部相关的账户，受到的影响最大。一个可能的原因是俄罗斯情报部门试图收集有关阿塞拜疆战略活动的信息，特别是导致阿塞拜疆入侵纳戈尔诺-卡拉巴赫地区的信息。 APT29 的攻击活动总共针对 200 多个电子邮件地址，但尚不清楚有多少次攻击成功。 战术和技术 APT29 利用了Windows 文件归档工具 WinRAR 中最近发现的漏洞。该漏洞被识别为 CVE-2023-3883，在 2023 年初被国家背景的黑客组织利用，然后才得到修补。该工具的未修补版本仍然容易受到攻击。 NCSCC 表示，该漏洞仍然“构成重大威胁”，因为它允许攻击者通过利用特制的 ZIP 存档来执行任意代码。 在最近的活动中，Cozy Bear 向受害者发送了包含 PDF 文档链接和利用该漏洞的恶意 ZIP 文件的网络钓鱼电子邮件，可能会授予攻击者访问受感染系统的权限。 为了说服目标打开恶意文件，黑客创建了电子邮件，声称拥有有关外交宝马汽车销售的信息。今年春天，该组织在袭击基辅大使馆时也使用了同样的诱饵。 研究人员表示，在这次活动中，攻击者引入了一种与恶意服务器通信的新技术。特别是，他们使用了一种名为 Ngrok 的合法工具，该工具允许用户将其本地服务器公开到互联网。 Ngrok 通常在 Web 开发和测试过程中用于为本地 Web 服务器提供临时公共 URL，但网络犯罪分子部署它是为了混淆他们的活动并与受感染的系统进行通信，同时逃避检测。 NCSCC 表示，通过以这种方式利用 Ngrok 的功能，攻击者可以使网络安全分析进一步复杂化，并保持在雷达之下，从而使防御和归因更具挑战性。 Cozy Bear 之前的攻击 乌克兰战争期间，APT29对乌克兰军队及其政党、外交机构、智库和非营利组织进行了网络攻击。 例如，四月份，该组织针对北约国家、欧盟以及“在较小程度上”非洲的外交部和外交实体发起了一场间谍活动。 黑客的策略与 9 月份的攻击活动中使用的策略类似。特别是，他们向特定人员发送冒充欧洲国家大使馆的网络钓鱼电子邮件，通常在邮件正文或附件 PDF 中包含恶意链接，邀请目标外交官访问大使的日历。 APT29 因战前几起备受瞩目的事件而受到指责，其中包括2020 年SolarWinds供应链攻击，该攻击影响了全球数千个组织，并导致了一系列数据泄露。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/XHHuyhAtNyoJWFQQHHKFTA 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 根据路透社消息，Lockbit 勒索软件团伙本周一在一份声明中称中国工商银行已支付了赎金。路透社无法独立证实该声明的真实性。 工行美国分支机构 11 月 9 日受到勒索软件攻击（中国工商银行美国子公司遭 LockBit 勒索软件攻击），导致美国国债市场交易中断。工行没有立即回应置评请求。 “他们支付了赎金，交易已完成，”Lockbit 的代表通过在线消息应用程序 Tox 告诉路透社。 工商银行美国经纪自营商的停牌使其暂时欠下纽约梅隆银行 90 亿美元的债务，这一数额是其净资本的数倍。 据路透社报道，这次黑客攻击的范围如此之广，以至于该公司的公司电子邮件都停止了运行，迫使员工改用谷歌邮件。 勒索软件攻击发生之际，正值人们对 26 万亿美元美国国债市场的弹性担忧加剧，美国国债市场对全球金融管道至关重要，可能会受到监管机构的密切关注。对此，美国财政部发言人周一没有立即发表评论。 金融行业网络安全组织金融服务信息共享和分析中心说，金融公司有完善的协议来共享此类事件的信息。一位发言人在一份声明中表示：“我们提醒会员保持所有保护措施的最新状态，并立即修补关键漏洞。”他补充说：“勒索软件仍然是金融业面临的最大威胁载体之一。” 为什么支付? 最近几个月，Lockbit 入侵了世界上一些最大的组织，在受害者拒绝支付赎金的情况下窃取和泄露敏感数据。 据美国官员称，在短短三年内，它已成为世界上最大的勒索软件威胁。 而美国遭受到了最广泛的打击，从金融服务、食品到学校、交通和政府部门，1700 多家美国组织都受到了影响，几乎涉及每个行业。 长期以来，官方一直建议不要向勒索软件团伙支付赎金，以打破犯罪分子的商业模式。赎金通常被要求以加密货币的形式支付，这种形式更难追踪，并且接收者为匿名。 一些公司已经悄悄支付了赎金，以求迅速恢复运营，避免敏感数据被公开泄露对公司声誉造成损害。如果受害者没有数字备份，必须使用解密密钥才能恢复系统，他们有时别无选择，只能付费。 上周，Lockbit 团伙公布了航空巨头波音公司的内部数据（勒索不成！LockBit 泄露 43GB 波音公司数据）。并在其网站上表示，他们已经感染了安理律师事务所的计算机系统。 另外值得注意的是，Lockbit 团伙对中国工商银行、DP World、Allen & Overy 和波音等多家公司的攻击，其共同点都是利用 Citrix Bleed (CVE-2023-4966) 的公开漏洞，以破坏大型组织的系统、窃取数据和加密文件。 尽管 Citrix 在一个多月前就修复了 CVE-2023-4966，但数千个暴露在互联网上的端点仍在运行易受攻击的设备。     Hackernews 编译，转载请注明出处 消息来源：Reuters，译者：Serene

Bleeping Computer 网站披露，安全研究人员追踪到 Imperial Kitten 黑客组织针对以色列运输、物流和技术公司发起新一轮网络攻击活动。 据悉，Imperial Kitten 又名 Tortoiseshell、TA456、Crimson Sandstorm 和 Yellow Liderc，疑似与伊朗武装部队分支伊斯兰革命卫队（IRGC）关联密切，至少自 2017 年以来持续活跃，多次对国防、技术、电信、海事、能源以及咨询和专业服务等多个领域的实体组织，发动网络攻击。 网络安全公司 CrowdStrike 的研究人员研究了近期的攻击活动，并根据基础设施与过去攻击活动的重叠情况、观察到的战术、技术和程序 (TTP)、IMAPLoader 恶意软件的使用情况以及网络钓鱼诱饵，进行了归因分析。 Imperial Kitten 攻击 近期，研究人员在发布的一份报告中指出，Imperial Kitten 在 10 月份发起了网络钓鱼攻击活动。在邮件中使用了 “招聘 “主题，并附带恶意 Microsoft Excel 附件。一旦受害目标打开文档，其中的恶意宏代码会提取两个批处理文件，通过修改注册表创建持久性，并运行 Python 有效载荷进行反向 shell 访问。 然后，网络攻击者就可以使用 PAExec 等工具在网络上横向移动，远程执行进程，并使用 NetScan 进行网络侦察。 此外，网络攻击这还使用 ProcDump 从系统内存中获取凭证。（指挥和控制（C2）服务器的通信是通过定制的恶意软件 IMAPLoader 和 StandardKeyboard 实现的，两者都依赖电子邮件来交换信息。）研究人员表示，StandardKeyboard 作为 Windows服务键盘服务在受损机器上持续存在，并执行从 C2 接收的base64 编码命令。 CrowdStrike 向 BleepingComputer 证实，2023 年 10 月，主要攻击目标是以色列境内的实体组织。 Imperial Kitten 此多次发起网络攻击活动 值得一提的是，此前的网络攻击活动中，Imperial Kitten 利用 JavaScript 代码入侵了多个以色列网站，非法“收集”访问者的信息（如浏览器数据和 IP 地址），对潜在目标进行剖析。 普华永道的威胁情报团队指出，这些活动发生在 2022 年至 2023 年之间，威胁攻击者的目标是海事、航运和物流行业，其中一些受害者收到了引入额外有效载荷的 IMAPLoader 恶意软件。Crowdstrike 还发现威胁攻击者直接入侵网络，利用公共漏洞代码，使用窃取的 VPN 凭据，执行 SQL 注入，或通过向目标组织发送钓鱼电子邮件。       转自Freebuf，原文链接：https://www.freebuf.com/news/383615.html 封面来源于网络，如有侵权请联系删除

伊朗国家级行动者被观察到使用一种以前未记录的命令与控制（C2）框架，名为MuddyC2Go，作为针对以色列的攻击的一部分。 Deep Instinct安全研究员Simon Kenin在周三发布的技术报告中表示：“该框架的Web组件是用Go编程语言编写的。”该工具被归因于MuddyWater，这是一个与伊朗情报和安全部（MOIS）有关的伊朗国家级支持的黑客团队。 这家网络安全公司称，该C2框架可能从2020年初开始被威胁行为者使用，最近的攻击利用它代替了PhonyC2，这是MuddyWater的另一个自定义C2平台，于2023年6月曝光并泄露了其源代码。 多年来观察到的典型攻击序列包括发送带有恶意软件的压缩文件或伪造链接的钓鱼邮件，这些链接会导致合法远程管理工具的部署。远程管理软件的安装为传递其他有效载荷（包括PhonyC2）铺平了道路。 MuddyWater的作案手法已经得到改进，使用密码保护的压缩文件来规避电子邮件安全解决方案，并分发可执行文件而不是远程管理工具。 “这个可执行文件包含一个嵌入的PowerShell脚本，它会自动连接到MuddyWater的C2，消除了操作员手动执行的需要，” Kenin解释道。 作为回报，MuddyC2Go服务器发送一个PowerShell脚本，每10秒运行一次，并等待操作员的进一步命令。尽管MuddyC2Go的全部功能尚不清楚，但它被怀疑是一个负责生成PowerShell有效载荷以进行后渗透活动的框架。 “如果不需要，我们建议禁用PowerShell，” Kenin说道。”如果启用了PowerShell，我们建议密切监控PowerShell的活动。”       转自Freebuf，原文链接：https://www.freebuf.com/news/383617.html 封面来源于网络，如有侵权请联系删除

近日，黑客组织“匿名苏丹”声称对导致Cloudflare网站瘫痪的大规模分布式拒绝服务（DDoS）攻击负责。后经Cloudflare证实，DDoS攻击使其网站瘫痪了几分钟，并表明它不会影响其他产品或服务。 “需要明确的是Cloudflare没有漏洞。此次DDoS攻击没有影响Cloudflare提供的任何服务或产品功能，也没有客户受到此事件的影响。Cloudflare的网站有意托管在单独的基础设施上，不会影响Cloudflare服务。我们的网站功能齐全，运行良好。”该公司向媒体发布了一份声明。 匿名苏丹在其Telegram频道上取笑Cloudflare，并报道称攻击持续时间为1小时。 该组织Telegram频道上发布的消息写道：“使用cloudflare的公司，他们甚至无法保护自己的主网站，你认为他们可以保护你吗？没有任何保护措施可以阻挡我们的攻击。” “匿名苏丹”组织自2023年1月以来一直很活跃，它声称针对任何反对苏丹的国家。然而，一些安全研究人员认为，匿名苏丹是亲俄威胁组织Killnet的一个子组织。 威胁行为者依赖于访问多个虚拟专用服务器（VPS）以及租用的云基础设施、开放代理和DDoS工具。 6月初，微软的一些服务严重中断，包括Outlook电子邮件、OneDrive文件共享应用程序和云计算基础设施Azure。匿名苏丹声称对袭击该公司服务的DDoS攻击负责。 7月，匿名苏丹公司宣布，它窃取了3000万客户账户的凭据。 9月，匿名苏丹在Telegram暂停了该组织的账户后，对其发起了DDoS攻击。 本周，该组织对OpenAI进行了攻击，证实ChatGPT及其API周三遭受的中断是由分布式拒绝服务（DDoS）攻击造成的。 匿名苏丹声称最近通过天网和哥斯拉僵尸网络发起了DDoS攻击。 天网于2012年首次被发现，此后发展成为世界上最大的僵尸网络之一。据估计，天网已在全球范围内感染了100多万台设备。 哥斯拉僵尸网络至少自2021年以来一直活跃，它被用来发动大规模分布式拒绝服务（DDoS）攻击，以及窃取登录凭据和挖掘加密货币。 据估计，哥斯拉僵尸网络已在全球感染了超过100000台设备，每秒能够产生超过100千兆比特的DDoS流量。       转自E安全，原文链接：https://mp.weixin.qq.com/s/sYcBTRanUUySB0wjUO49IQ 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： LockBit 勒索软件团伙公布了从波音公司窃取的数据，波音公司是为商用飞机和国防系统提供服务的最大航空航天公司之一。在泄露之前，LockBit 黑客表示，波音公司无视有关数据将被公开的警告，并威胁要公布约 4GB 的最新文件样本。 在波音公司拒绝支付赎金后，LockBit 勒索软件泄露了超过 43GB 的文件。 LockBit 网站上列出的大多数数据都是不同系统的备份，其中最近的时间戳是10月22日。 该勒索软件于10月27日在其网站上发布了波音公司的信息，并要求波音公司在11月2日的最后期限前与他们联系并进行谈判。 黑客当时表示，他们已经窃取了“大量敏感数据”，并准备公布这些数据。 波音在 LockBit 数据泄露网站的页面 波音公司从 LockBit 的受害者名单上消失了一段时间，但在11月7日再次被列入名单，当时黑客宣布他们的警告被忽视了。LockBit 勒索软件团伙决定表明他们有讨价还价的筹码，并威胁要公布“大约 4GB 的样本数据”。 黑客还威胁说，“如果我们看不到波音公司的积极合作”，他们将公布这些数据库。 LockBit 勒索软件威胁波音公司泄露被盗文件 11月10日，LockBit 在他们的网站上公布了他们从波音公司获得的所有数据。这些文件包括 IT 管理软件的配置备份，以及监控和审计工具的日志。 Citrix 设备的备份也被列出，这引发了人们对 LockBit 勒索软件使用最近披露的 Citrix Bleed 漏洞(CVE-2023-4966)的猜测，该漏洞的概念验证漏洞代码已于10月24日公布。 虽然波音公司证实了网络攻击，但该公司没有提供有关该事件的任何细节，也没有提供黑客是如何侵入其网络的。 LockBit 勒索软件已经活跃了四年多，在各个行业造成了数千名受害者。受害者包括大陆汽车巨头、英国皇家邮政、意大利国税局和奥克兰市。 美国政府 6 月表示，自 2020 年以来，该团伙对美国各组织进行了近1700次攻击，勒索了约 9100 万美元。 不仅如此，今年8月西班牙国家警察警告称，一场针对该国建筑公司的网络钓鱼活动，目的是用 LockBit 的 locker 恶意软件对系统进行加密。 而上周，LockBit 确认对中国工商银行美国子公司的勒索攻击负责 >>>中国工商银行美国子公司遭 LockBit 勒索软件攻击       Hackernews 编译，转载请注明出处 消息来源：bleepingcomputer，译者：Serene

Hackernews 编译，转载请注明出处： 世界上最大的银行之一正在处理勒索软件攻击。 英国《金融时报》报道称，中国最大的国有银行中国工商银行(ICBC)本周遭到勒索软件攻击。 据报道，代表证券公司、银行和资产管理公司的行业组织证券业和金融市场协会(Securities Industry and Financial Markets Association)在美国国债市场的某些交易无法结算后，向其成员发出了有关这一事件的信息。 中国工商银行在美全资子公司——工银金融服务有限责任公司（ICBCFS）在官网发布声明称，美东时间11月8日，ICBCFS遭勒索软件攻击，导致部分系统中断。 ICBCFS表示，发现攻击后立即切断并隔离了受影响系统，已展开彻底调查并向执法部门报告，正在专业信息安全专家团队的支持下推进恢复工作。ICBCFS称，已成功结算周三执行的美国国债交易和周四完成的回购融资交易。 声明称，中国工商银行及其他国内外附属机构的系统未受此次事件影响，中国工商银行纽约分行也未受影响。 消息人士告诉英国《金融时报》，此次攻击的幕后黑手是 LockBit 勒索软件团伙。整个 2023 年，该组织对政府、公司和组织进行了几次大规模攻击，远远超过了目前任何其他勒索软件团伙。 网络安全专家 Kevin Beaumont 分享了一份 Shodan 搜索报告，显示中国工商银行有一个 Citrix Netscaler 盒子没有打 CVE-2023-4966 的补丁，专家称这个漏洞为“CitrixBleed”，影响 Netscaler ADC 和 Netscaler 网关设备。这些产品被公司用来管理网络流量。 Beaumont 说，这个盒子目前已下线，但他指出，勒索软件团伙正在利用这个问题，因为它“允许完全、轻松地绕过所有形式的身份验证”。他补充说，超过 5000 家组织尚未修补该漏洞。 Beaumont 解释说:“它就像你在组织内部的指向和点击一样简单——它为攻击者提供了一个完全交互式的远程桌面PC。” Halcyon 首席执行官 Jon Miller 表示，针对中国工商银行的所谓攻击“有可能对全球金融市场产生严重影响，因为美国国债是全球银行和金融体系的核心。” 他说:“金融、制造业、医疗保健和能源等关键基础设施提供商仍然是勒索软件运营商的首要目标，因为迅速解决攻击并恢复运营的压力增加了受害组织支付赎金要求的可能性。” 据《财富》杂志报道，按收入计算，工商银行是中国最大的银行，也是全球最大的商业银行，2022年的收入为2147亿美元，利润为535亿美元。它拥有1070万企业客户和7.2亿个人客户。除了在国内拥有1.7万家分行外，工商银行还在41个国家设有分行，其中包括美国东西海岸的13家分行。       Hackernews 编译，转载请注明出处 消息来源：TheRecord、bleepingcomputer、每日经济新闻，译者：Serene

采用问卷调查评估形式，而非CMMC强调的第三方安全评估，以减少对小企业供应商的成本压力。 有消息称：美国国土安全部将开展“网络安全准备度”评估，在签订合同之前确定承包商是否已经采取适当的网络防御措施。 11月1日，美国国土安全部发布通知，公开新的“网络安全准备度评估因素”的详细信息。该通知由国土安全部首席信息安全官Kenneth Bible和采购政策与法规执行主任Sarah Todd共同签署。 通知确认，美国国土安全部计划采用自己的方法来评估承包商的网络安全，不再采用美国国防部的网络安全成熟度模型认证（CMMC）计划。 采用问卷调查审核评估形式 美国国土安全部官员在通知中写道：“国土安全部旨在确保，承包商已经采取了有效且适当的网络安全措施以支持工作。有了新的评估因素，国土安全部将能在适用合同招标前，评估承包商的网络安全状况，进行价值权衡，做出最佳决策。” 通知没有说明新的评估因素将何时生效。但美国国土安全部希望在11月17日之前收到对其计划的反馈意见。 在通知的附件中，美国国土安全部详细说明将如何分析承包商对问卷调查的回答，并以此为基础评估“网络安全准备度”。 如果招标使用准备度因素，投标公司需要展示他们如何落实美国国家标准与技术研究院的网络安全控制要求（如NIST SP 800-171r2、NIST SP 800-172），从而保护敏感政府数据CUI（受控非机密信息）。 投标公司将填写美国国土安全部“标准化安全评估工具问卷”。根据填写内容，公司将收到“准备度结果”和评级。从高到低，有“高度可能具备网络安全准备度”、“可能具备网络安全准备度”、“不太可能具备网络安全准备度”等多个等级。 美国国土安全部在通知中指出，这些指标“将根据具体的招标进行调整”。此外，公司的网络安全评级可能会对他们的投标产生积极或消极的影响。 通知附件指出：“目前，网络安全准备度因素将只用于适用招标工作，帮助进行价值权衡，做出最佳授标决策。当然，如果中标方在授标时并不符合美国国土安全部期望的要求，需要在招标文件中加入行动计划和里程碑节点，在授标后交付。” 美国土安全部弃用国防部CMMC标准 美国国土安全部去年向400家承包商发送自我评估问卷，以评估行业网络卫生情况，并在此基础上设计了全新的准备度评估工具。 在近日由Leadership Connect主持的网络研讨会上，Kenneth Bible表示，网络卫生工作围绕美国国土安全部的一项优先任务展开，即“通过采购提高行业承包商的网络安全态势”。 美国国土安全部的承包商需要遵循与美国国部防承包商相同的CMMC网络安全标准。不过Kenneth Bible此前表示，国防部要求许多承包商依照网络安全成熟度模型认证计划进行第三方网络安全评估，这一要求并不适合国土安全部。 Kenneth Bible在此次活动上重申了这一立场，表示该计划“不太适用于我们的行业承包商”，其中包括大量的小型企业。美国国防部正被迫对网络安全成熟度模型认证计划进行重大改革，以降低计划给中小型企业带来的成本。 Kenneth Bible表示，美国国土安全部可以在不制定任何规则的情况下实施网络安全评估机制。与之相比，国防部的网络安全成熟度模型认证流程仍处于规则制定阶段，不太可能在今年生效。 Kenneth Bible说：“这有助于我们在签订合同之前就进行审查。我们正在努力落实现在就可以落实的措施。只管动手去做就好。我认为，公众只要看到政府正在采取他们希望采取的行动，就会更加有信心。我们开始以此为工作标准，这对我们的工作会有很大帮助。或许我们无法做到每次都达到目标，但是，不动手去做，就永远无法达到目标。”   转自会安全内参，原文链接：https://www.secrss.com/articles/60508 封面来源于网络，如有侵权请联系删除