身份服务提供商Okta周五披露了一起新的安全事件，黑客利用窃取的凭证访问了其支持案例管理系统。 Okta首席安全官David Bradbury表示：该攻击者能够查看部分Okta客户上传的文件。需要注意的是，Okta 支持案例管理系统与生产型 Okta 服务是分开的，后者是正常运行的，没有受到影响。该公司还强调，其 Auth0/CIC 案例管理系统没有受到此次漏洞的影响，并指出目前已经直接通知了受到影响的客户。 不过，该公司表示，客户支持系统也被用于上传 HTTP 存档（HAR）文件，以复制最终用户或管理员的错误路径来进行故障排除。 Okta 警告说：HAR 文件可能包含敏感数据，包括 cookie 和会话令牌，恶意行为者可以利用这些数据冒充有效用户。Okta还进一步表示，他们正在与受影响的客户沟通，确保内嵌的会话令牌被撤销，以防止它们被滥用。 目前，Okta尚未透露攻击的规模、事件发生的时间以及何时检测到未经授权的访问。尽管如此，BeyondTrust 和 Cloudflare 这两家客户已确认在最新的支持系统攻击中成为目标。Cloudflare表示：威胁者从Cloudflare员工创建的怕凭证中劫持了一个会话令牌。利用从 Okta 提取的令牌，威胁者于 10 月 18 日访问了 Cloudflare 系统。 安全公司表示，这是一次复杂的攻击，幕后的攻击者入侵了Okta平台上两个独立的Cloudflare员工账户。该公司强调，此次事件没有导致任何客户信息或系统被访问。 BeyondTrust表示，它已于2023年10月2日向Okta通报了这一漏洞，但对Cloudflare的攻击表明，对手至少在2023年10月18日之前都可以访问他们的支持系统。 这家身份管理服务公司称，其Okta管理员在10月2日向系统上传了一个HAR文件，以解决一个支持问题，并在共享文件后的30分钟内检测到了涉及会话cookie的可疑活动。针对 BeyondTrust 的攻击企图最终没有得逞。 BeyondTrust 发言人告诉记者：BeyondTrust 立即通过自己的身份识别工具 Identity Security Insights 检测到并修复了这次攻击，没有对 BeyondTrust 的基础设施或客户造成任何影响或暴露。 在过去的几年中，Okta 公司遭遇了一系列安全事故，而此次事件是其中最新的一起。该公司已成为黑客的高价值目标，因为其单点登录（SSO）服务被世界上一些大的公司所使用。   转自Freebuf，原文链接：https://www.freebuf.com/news/381522.html 封面来源于网络，如有侵权请联系删除

研究人员 发现了 巴勒斯坦军事组织哈马斯与历史悠久的阿拉伯语黑客组织之一之间可能存在合作的迹象。根据研究公司 Recorded Future 发布的一份报告，哈马斯可能已转向加沙以外的运营商和“第三方”，以保持与以色列战争期间运行的军事部门卡萨姆 (al-Qassam) 相关的新闻网站。 哈马斯对以色列发动首次重大袭击几天后，哈马斯成员和支持者使用的 Telegram 频道宣布推出一款与 Al-Qassam 相关的应用程序。该应用程序的发布是为了传播哈马斯的信息。 在加沙保持网站或应用程序运行很困难 – 以色列的空袭损坏了互联网基础设施并导致停电。该地区还经常受到出于政治动机的黑客的攻击，他们试图破坏其重要服务和网站。 哈马斯应该通过与那些能够帮助维持其运行的人共享其基础设施来解决这个问题。在以色列遭受重大攻击后，卡萨姆站点的运营商将其在不同的基础设施提供商之间转移。 通过分析该基础设施，研究人员发现了可疑的 Al-Qassam 网站重定向以及与该网站域和大约 90 个其他域相关的相同 Google Analytics 代码。 第一组域名使用了与黑客组织TAG-63类似的注册方法，也称为AridViper和APT-C-23。它是一个国家支持的网络间谍组织，以中东地区讲阿拉伯语的人为目标而闻名。据信该组织代表哈马斯行事。 第二组域名可能与伊朗有关。与伊朗相关的网页之一试图冒充世界反酷刑组织 (OMCT)。研究人员无法确认该网站是否被黑客用于网络钓鱼或社交工程。 伊朗与哈马斯保持着密切联系，伊朗的圣城军是一支专门从事非常规战争和军事情报的部队，是唯一经过验证的伊朗实体，以对哈马斯和其他巴勒斯坦威胁组织提供网络支持而闻名。 研究人员表示，尽管没有太多证据表明双方之间存在合作，但这份报告提供了有关这些团体如何互相帮助的见解。   转自安全客，原文链接：https://www.anquanke.com/post/id/290856 封面来源于网络，如有侵权请联系删除

国际刑事法院在五周前提供了有关网络攻击的更多信息，称这是一次出于间谍目的的有针对性的行动。 该政府间组织  在检测到其信息系统存在异常活动几天后，于 9 月 19 日披露了此次泄露事件。 作为一个国际法庭，国际刑事法院（ICC）设在荷兰海牙，其职责是调查犯有国际社会关注罪行的个人并追究其责任。 间谍活动 在周五的一份声明中，国际刑事法院分享了有关网络攻击后采取的行动的新细节以及对该事件的法证分析的一些初步结果。 “迄今为止现有的证据表明这是一次以间谍活动为目的的有针对性的复杂攻击。因此，这次袭击可以被解释为严重企图破坏法院的任务”—— 国际刑事法院，国际刑事法院在一份声明中表示，目前的证据不足以认定这起袭击事件，并补充说荷兰执法部门目前正在进行刑事调查。 目前尚不清楚此次攻击的影响，目前还没有证据表明委托给法院的数据受到损害。一旦出现此类证据，法院将立即通过直接消息联系受影响的各方。 加快防御改进 国际商会 ICC 表示，它已经采取“一切必要措施来解决对个人、组织和国家数据的任何损害”，并将继续这样做。 国际刑事法院正在加强其风险管理框架，并为网络攻击的潜在影响做好准备，例如受害者和证人面临的安全风险。提高数字安全的步伐也加快了。 最近的网络攻击发生在“法院面临更广泛和更高的安全担忧之际”，每天都有持续不断的企图破坏国际刑事法院系统的行为，并对包括法院法官和检察官在内的几名民选官员提起刑事诉讼。   转自安全客，原文链接：https://www.anquanke.com/post/id/290854 封面来源于网络，如有侵权请联系删除

乌克兰情报部门网络部门负责人伊利亚·维蒂克讨论了乌克兰此前一直保密的事情，特别是与美军联合开展的联合追捕行动对乌克兰的帮助，在俄乌战争一开始就阻碍了俄罗斯的网络攻击。 乌克兰与美国网络司令部的合作始于俄罗斯网络攻击前几周。俄罗斯军事情报部门对这些袭击负有责任，维蒂克表示俄罗斯认为乌克兰的基础设施将会崩溃，但事态并没有按照莫斯科计划的方式发展。因为乌克兰花了数年时间强化其系统以抵御攻击，而且来自美国和乌克兰的一个网络运营商团队已经秘密删除了数十个攻击乌克兰关键网络的俄罗斯软件。 从某种意义上说，乌克兰十年来一直在为与莫斯科的网络战做准备。早在开始之前，俄罗斯国家支持的黑客就瞄准了乌克兰的电网，一直在调查乌克兰的网络。乌克兰也因此在网络战中受到打击，开始建立欧洲最复杂的网络之一。 乌克兰方面认为他们制定了计划，制定了网络安全战略，但没有做的一件事是建立一支专门的网络部队。一群网络战士不仅对攻击做出反应，而且努力防止攻击，比如美国网络通信国家任务部队。 美国网络国家任务部队在世界各地部署了处于不同阶段的各种狩猎队。通常，头条新闻中的网络行动往往是攻击性的：一个团队关闭了东欧的一个巨魔农场，或者入侵了叙利亚恐怖组织的服务器。 组建一个专业网络部队通常需要几个月的时间。需要大使馆参与进来，律师参与进来，确定可以搜索哪些网络，如何搜索它们，以及团队将如何合作。但俄乌战争的情况下，美国第一波网络安全运营商很快出现在基辅。 在合作中，美方和乌方声称他们在乌克兰的关键网络中发现了90个恶意软件样本。这个数字令人震惊，说明俄罗斯制造了90个攻击代码来破坏乌克兰的基础设施。对于乌克兰方面来说这就像是发现了90种来自俄罗斯未知的炸弹，他们可以研究、拆除并防止它们爆炸。   转自E安全，原文链接：https://mp.weixin.qq.com/s/PUoj_fHDcOVijtOHk_Fv6g 封面来源于网络，如有侵权请联系删除

一位负责系统维护的前外包临时工非法获取了约900万条用户信息，并将部分信息发给其他公司。 10月17日，日本最大通信网络运营商NTT WEST两家子公司宣布，一位负责系统维护的前外包临时工非法获取了约900万条用户信息，并将部分信息发给其他公司，其中包括用户姓名、地址、电话号码以及信用卡信息等。两家子公司表示，目前尚无法确认信息泄露造成的损害，警方正对此展开调查。 据悉，2022年4月，一位使用NTT WEST子公司系统的用户指出存在信息泄露情况的可能性，于是两家子公司开展了内部调查，但未能掌握相关证据。直到今年7月，警方以违反《反不正当竞争法》为依据对上述前临时工进行调查，才曝光了信息泄露一事。 根据NTT WEST一子公司披露的案情，信息泄露事件发生在2013年7月至今年1月前后，持续时间长达十年之久。前临时工利用职务之便，滥用系统管理员的账户权限长期访问存储用户信息的服务器，非法下载大量用户信息。其后，该前临时工还将窃取的部分信息交给其他公司。 2017年至2018年间，NTT WEST一子公司曾被委托开展一个项目，即鼓励年龄在43至59岁之间，已加入国民健康保险且三年未接受特定健康检查的公民参与体检。在此次事件中，通过该项目收集的个人信息几乎全部被泄露。另外，日本西南部福冈县政府就此事表示，2015年至2019年间，约14万名纳税人的信息可能已被泄露。 值得一提的是，两家子公司表示，到目前为止，尚无法确认此次信息泄露造成的任何损害，也暂无证据证实前临时工是否与其他公司有金钱往来。为避免此类事件再发生，子公司更改了公司系统操作规范，要求多个管理员检查维护计算机的下载功能，新安装一个能对存在安全风险的行为进行快速检测的系统。 “对于给用户带来的极大担忧和不便，我们深表歉意。”NTT WEST子公司相关负责人表示。 南都记者梳理发现，这是近半年来NTT又一次深陷信息泄露丑闻，且“罪魁祸首”都是前外包临时工。7月，NTT Docomo证实其承包商NTT Nexia的一名前临时员工非法窃取了该公司约596万条用户个人信息，包括用户姓名、地址、电话号码、出生日期、电子邮箱等，该前员工后被警方拘留。   转自隐私护卫队，原文链接：https://mp.weixin.qq.com/s/jbOVSNM2el8arYoKiRc3hQ 封面来源于网络，如有侵权请联系删除

黑客利用人工智能冒充非洲联盟委员会主席穆萨-法基（Moussa Faki）与多位欧洲领导人通话。 法基的发言人 Ebba Kalondo 在 X（前 Twitter）上发文称，网络不法分子假冒法基与一些欧洲国家首都城市领导人进行了深度伪造视频通话。 据肯尼亚新闻媒体《东非人》（The EastAfrican）报道，卡隆多还证实，疑似网络犯罪分子与多位欧洲领导人进行了通话。 该报道称，黑客在通话过程中使用了深度伪造的视频篡改技术来冒充主席。同时，非洲联盟（AU）在一份声明中说，有人使用伪造的电子邮件地址要求与外国领导人通话。 非盟表示 “对这些事件感到遗憾”，并重申其官方电子邮件地址以 Name@africa-union.org 开头，任何其他电子邮件都不是合法的非盟电子邮件地址。 非盟还表示，它只会通过驻埃塞俄比亚首都亚的斯亚贝巴（非盟总部所在地）的派驻使馆，使用被称为普通照会的公函要求与外国领导人通话。 非盟没有透露哪些欧洲国家政府受到了网络钓鱼的影响，也没有透露与假冒的法基通话的领导人姓名。 据《东非日报》（The EastAfrican）报道，冒名者的意图也不明确，但他们可能是想窃取数字身份以获取机密信息。 这并不是欧洲官员第一次成为 Deepfake 视频通话的目标。去年，包括柏林在内的几个欧洲大城市的市长都中了假冒基辅市长维塔利-克里琴科（Vitali Klitschko）的虚假视频电话的圈套。 在一年前的另一起案件中，几位欧洲议员说，他们上当受骗，与假冒的列昂尼德-沃尔科夫（Leonid Volkov）进行了视频通话，后者是被监禁的俄罗斯反对派领导人阿列克谢-纳瓦尔尼（Alexey Navalny）的助手。 Deepfake 视频诈骗和宣传活动在社交媒体上也层出不穷，上周，英国反对党领袖基尔-斯塔默（Keir Starmer）向工作人员骂脏话的 Deepfake 视频在英国疯传。 网络安全专家说，深度伪造可能很快就会构成最大的网络安全威胁，而人工智能促成的网络攻击可能在短短五年内就会成为常态。   转自Freebuf，原文链接：https://www.freebuf.com/news/381328.html 封面来源于网络，如有侵权请联系删除

Bleeping Computer 网站披露，一名网络攻击者在 BreachForums 黑客论坛上泄露了 410 万份被盗的 23andMe 基因数据资料，这些数据主要来自英国和德国。 值得一提的是，这并非  23andMe 首次出现数据泄漏事件，本月早些时候，一名网络攻击者泄露了 100 万阿什肯纳兹犹太人的被盗数据资料，据称这些人使用了 23andMe 服务查找其祖先信息和遗传倾向。从 23andMe 向 Bleeping Computer 透露的信息来看，网络攻击者通过使用弱密码或其它数据泄露中暴露的凭据，对受害帐户进行凭据填充攻击，最终盗取数据信息。 本月初 23andMe 数据首次泄露 对于客户资料被盗一事，23andMe 指出只有少数选择了 “DNA Relatives “功能的账户被入侵了。 410 万个数据包遭到泄露 一个名为 “Golem “的网络攻击者先后在 BreachForums 黑客论坛上泄露了 410 万份英国和德国人的数据资料，泄露的数据包括居住在英国 23andMe 用户的 4011607 行数据和生活在德国的 139172 人的数据信息。 网络攻击者声称被盗数据包括皇室、罗斯柴尔德家族和洛克菲勒家族的基因信息，虽然 Bleeping Computer 无法证实该说法是否准确，但据 TechCrunch 报道，英国新泄露的部分数据已被证实与用户公开的基因信息相匹配。 此外，TechCrunch 还报道称 2023 年 8 月，一些被泄露的 23andMe 数据在 Hydra 黑客论坛上出售（该论坛现已关闭），并且威胁攻击者声称窃取了 300 TB 的数据资料。目前，网络攻击者正试图寻找对被盗数据感兴趣的买家。 最后，虽然 23andMe 表示只有少量客户账户被盗，但 DNA Relatives 功能使这次数据泄露的规模大大增加。鉴于 23andMe  公司没有充分保护客户的数据，泄密事件已经引发大量针对 23andMe 的诉讼。   转自Freebuf，原文链接：https://www.freebuf.com/news/381144.html 封面来源于网络，如有侵权请联系删除

美国网络安全和基础设施安全局 (CISA) 与 17 个美国和国际合作伙伴合作，周一发布了更新的“设计安全”原则联合指南。该文件为技术提供商提供了扩展的原则和指南，以提高其在世界各地使用的产品的安全性，同时还提供了对基本原则和指南的更多见解，并得到了另外八个国际网络安全机构的认可。 更新后的指南“改变网络安全风险的平衡：设计安全软件的原则和方法”敦促软件制造商采取必要的紧急措施来交付设计安全的产品，并修改其设计和开发计划，以仅允许设计安全将产品运送给客户。 与 CISA、联邦调查局 (FBI)、国家安全局 (NSA) 以及澳大利亚、加拿大、英国、德国、荷兰和新西兰的网络安全机构 (CERT NZ、NCSC-NZ) 一起，谁共同密封了最初的版本。更新后的指南得益于与捷克共和国、以色列、新加坡、韩国、挪威、OAS/CICTE CSIRTAmericas Network 和日本（JPCERT/CC 和 NISC）网络安全机构的见解和合作。 该文件以多家全球安全机构 2023 年 4 月发布的版本为基础，包含从大量个人、公司和非营利组织收到的反馈。它扩展了三个原则，即“掌控客户安全成果”、“拥抱彻底的透明度和问责制”以及“高层领导”。 该更新重点介绍了软件制造商如何向其客户和公众展示这些原则。软件制造商必须能够在安全性的基础上进行竞争。该联合指南为软件制造商提供了工具来展示其对设计安全的承诺，并为客户提供了评估其进展的方法，从而创建了设计安全的需求信号。 更新后的文件概述道：“反馈中最常见的要求是提供有关这三个原则的更多详细信息，因为它们适用于软件制造商及其客户。” “在本文件中，我们扩展了原始报告，并涉及其他主题，例如制造商和客户规模、客户成熟度以及原则的范围。” 该文件称：“软件无处不在，没有任何一份报告能够充分涵盖整个软件系统、软件产品的开发、客户部署和维护以及与其他系统的集成。” “对于以下未明确映射到特定环境的指导，我们期待听到社区的声音，本文中描述的实践如何带来特定的安全改进。本报告也适用于人工智能 (AI) 软件系统和模型的制造商。虽然它们可能与传统形式的软件不同，但基本的安全实践仍然适用于人工智能系统和模型。” 它补充说，一些设计安全实践可能需要修改，以考虑人工智能特定的考虑因素，但三个总体设计安全原则适用于所有人工智能系统。 这些机构表示，他们认识到转变软件开发生命周期 (SDLC) 以符合这些设计安全原则并不是一项简单的任务，可能需要时间。“此外，规模较小的软件制造商可能很难实施其中许多建议。我们认为，软件行业需要广泛提供使产品更安全的工具和程序。随着越来越多的人和组织将注意力集中在软件安全性的改进上，我们相信存在创新的空间，可以缩小大小软件制造商之间的 差距，从而使所有客户受益。”他们补充道。 此外，对原始设计安全报告的更新“是我们与众多相互关联的利益相关者社区建立合作伙伴关系的承诺的一部分，这些社区支撑着我们的技术生态系统。这是该生态系统许多部分反馈的结果，我们将继续倾听并从各个角度学习。尽管未来面临许多挑战，但随着我们更多地了解已经采用设计安全理念并常常取得成功的人员和组织，我们感到非常乐观。” 更新后的指导文件呼吁制造商做出艰难的权衡和投资，包括那些对客户“不可见”的投资（例如，迁移到消除广泛漏洞的编程语言）。“他们应该优先考虑保护客户的功能、机制和工具实施，而不是那些看似有吸引力但扩大了攻击面的产品功能。没有单一的解决方案可以消除恶意网络行为者利用技术漏洞的持续威胁，并且“设计安全”的产品将继续遭受漏洞的困扰；然而，大量漏洞是由相对较小的根本原因造成的。” 此外，制造商应制定书面路线图，使其现有的产品组合与更安全的设计实践保持一致，确保仅在特殊情况下发生偏差。编写组织承认，掌握客户的安全结果并确保这种级别的客户安全可能会增加开发成本。 然而，在开发“创新”技术产品和维护现有产品的同时投资安全设计实践可以大大改善客户的安全状况并降低妥协的可能性。安全设计原则可以增强客户的安全状况和开发人员的品牌声誉，并从长远来看降低制造商的维护和修补成本。 CISA 主任 Jen Easterly 在一份媒体声明中表示：“我对美国和国际之间广泛、富有洞察力和一致的合作伙伴关系感到非常自豪，这些合作伙伴关系具有共同的未来愿景，即技术产品通过设计实现安全。” “由于数百名合作伙伴的反馈，我们修订了本指南，更加关注公司如何展示其对设计原则安全的承诺。” Easterly 补充道，为了实现国家网络安全战略重新平衡网络空间责任的目标，“客户需要能够向供应商提出更多要求，而这份联合指南为他们提供了实现这一目标的工具。” “我们感谢与 CISA 和其他国际合作伙伴就这一联合成果进行的合作。在欧盟内部，《网络弹性法案》旨在加强产品安全和消费者安全。”捷克共和国国家网络和信息安全局局长 Lukáš Kintr 表示。“在全球互联和技术驱动的世界中，我们对“设计安全”方法的集体认可旨在增强我们的弹性，并保护各大洲的公民和关键基础设施。” “‘安全设计’是利益相关者之间网络安全责任范式的改变。INCD 希望看到责任从最终用户转移到制造商和服务提供商。在现代世界，网络安全是一项基本商品，就像水、能源和环境保护一样；因此，它在设计和默认情况下应该是安全的。”INCD 总干事 Gaby Portnoy 表示。“INCD 很荣幸能够参与 CISA 发布该产品，我们认为这是向所有客户提供安全、弹性技术的关键一步。INCD 将鼓励以色列市场的制造商采用这一指南。” “设计和默认的安全性是保护渗透到我们日常生活的技术的基本原则。新加坡网络安全局网络安全专员兼首席执行官 David Koh 表示：“技术制造商应该从一开始就有意识地确保网络安全成为产品开发的一个关键方面，这样他们的产品对于所有用户来说本质上都是安全的。” 。“安全不应该是一个‘可选的额外’。CSA 很荣幸能够与 CISA 和其他合作伙伴机构合作开发安全设计指南。CSA 强烈鼓励采用它。” “由软件漏洞引起的网络攻击不断增加，鉴于其巨大影响，对这些漏洞的安全管理至关重要。在韩国，存在特定攻击团体在广泛使用的解决方案中存在多个漏洞的实际案例，这些漏洞被利用进行攻击。”KISA 副总裁兼 KrCERT/CC 负责人 Choi Kwang Hee 表示。“回顾本指南让我们深入了解了国际附属机构的观点。为了保证国产软件产品的安全发展，我们还计划推出韩文版本。” “设计安全的产品和服务构成了我们共同网络弹性的基石。这一概念通过纳入零信任和软件供应链风险管理等元素，提高了我们指导和咨询的质量。”挪威国家网络安全中心主任 Martin Albert-Hoff 说道。“NCSC NO 很荣幸能够与 CISA 和其他伙伴机构合作，这种合作有助于在当今不可预测的全球形势下增强网络弹性。” “网络安全领域的成功成果只能通过协作的方式取得。因此，我们很高兴利用 OAS/CICTE CSIRTAmericas 网络积累的经验为本指南做出贡献，该网络汇集了来自美洲 21 个国家的政府计算机安全事件响应小组 (CSIRT)，并促进他们之间有价值的信息的交流。”美洲国家组织美洲反恐怖主义委员会执行秘书艾莉森·奥古斯特·特雷佩尔说。“根据网络的经验，本指南认识到技术制造商和 CSIRT 需要从被动思维转变为持续衡量和改进风险缓解服务的模式。” 特雷佩尔补充说，该指南是美洲国家组织过去 20 年来一直在开展并将继续开展的工作的明确范例，旨在支持成员国加强网络安全能力，建设更加安全、有弹性和开放的网络空间对全部。 “‘设计安全’的概念已被纳入日本的网络安全战略（以下简称日本战略）。日本国家网络安全事件准备和战略中心 (NISC) 总干事铃木敦夫 (Atsuo Suzuki) 表示：“这项更新后的指南明确了“设计安全”的概念，并与日本的战略保持一致。” “我们对这份更新后的指导方针的密封感到高兴，这有助于实施基于日本战略的具体措施。” 该指南旨在进一步促进投资和文化转变的进展，以显着改善客户安全；扩大有关关键优先事项、投资和决策的国际对话；并创造一个技术设计安全可靠且具有弹性的未来。认识到许多私营部门合作伙伴为推进安全设计做出了宝贵贡献，并为本次更新提供了意见，编写机构正在积极寻求有关新版本联合指南的更多反馈。 编写组织建议组织要求其供应软件制造商对其产品的安全结果负责。作为其中的一部分，编写组织建议管理人员优先考虑购买设计安全和默认安全产品的重要性。 更新后的文件认识到安全应该是此类关系的关键要素，组织应努力在关系的正式（例如合同或供应商协议）和非正式层面上强调设计安全和默认安全实践的重要性。组织应该期望其技术供应商就其内部控制状况以及采用设计安全和默认安全实践的路线图提供透明度。 除了将默认安全作为组织内的优先事项之外，IT 领导者还应该与行业同行合作，了解哪些产品和服务最能体现这些设计原则。这些领导者应该协调他们的请求，以帮助制造商优先考虑他们即将推出的安全计划。 指南指出，通过共同努力，客户可以帮助向制造商提供有意义的意见，并激励他们优先考虑安全性。“在利用云系统时，组织应确保他们了解与技术供应商的共同责任模型。也就是说，组织应该明确供应商的安全责任，而不仅仅是客户的责任。组织应该优先考虑那些在安全状况、内部控制以及履行共享责任模型下义务的能力方面保持透明的云提供商。” 上周，美国 CISA、FBI、NSA 和美国财政部发布了针对运营技术 (OT) 供应商和关键基础设施的高级领导和运营人员的新指南。该情况说明书将有助于更好地管理 OT 产品中使用开源软件 (OSS) 带来的风险，并提高利用可用资源的弹性。   转自安全客，原文链接：https://www.anquanke.com/post/id/290821 封面来源于网络，如有侵权请联系删除

美国联邦调查局（FBI）和国家反情报与安全中心（NCSC）发布联合公告，强调尽管乌克兰冲突后军事上遭遇重大挫折，但俄罗斯情报部门仍然对美国构成重大威胁。俄罗斯情报部门及其同伙持续关注通过间谍活动、影响力行动和网络活动瞄准美国，同时努力削弱美国及其盟国对乌克兰的支持。 “他们的目标包括美国政府、商业和私营部门，以获取有关美国计划和意图、军事和技术进步的宝贵信息。他们还针对美国公众在我们的社会中散播异议。” 公报称，近几个月来，美国政府对几名俄罗斯情报人员及其同伙实施了针对美国的活动的制裁，欧洲各国当局也逮捕并指控了一些涉嫌在本国从事俄罗斯间谍活动的人。“即便如此，联邦调查局局长克里斯托弗·雷 (Christopher Wray) 在 2023 年 9 月的公开讲话中警告说，在美国开展活动的俄罗斯情报官员的数量‘仍然太多’。” 关于间谍活动，FBI-NCSC 公告指出，俄罗斯情报部门招募消息来源和特工来收集影响俄罗斯利益的经济、政治、安全和技术发展信息。 “俄罗斯继续瞄准广泛的行业，以获得信息并采购感兴趣的材料。这些目标部门包括政府实体、学术机构和智库、非政府组织和活动团体、国际组织、媒体实体和高科技公司，”公告指出。“通过现有的专业渠道或网络，RIS 还寻找同情俄罗斯事业的个人作为组织内的收藏家。RIS 通过面对面会议和在线联系方式进行接触，通常打着看似无害的专业或个人外展的幌子，接触那些拥有感兴趣行业内部知识的个人，他们希望将其用作消息来源，”它补充道。 公告指出，在网络行动领域，俄罗斯情报部门将重点瞄准政府和私营部门的计算机网络以及特定的利益相关者，其目的是窃取信息、监控目标并为潜在的破坏性行为奠定基础。或对关键基础设施造成破坏性的网络攻击。它补充说：“他们利用已知和未知的软件漏洞，通常利用安全性薄弱的弱点，包括修补速度慢、配置差、密码弱以及缺乏双因素身份验证。” 俄罗斯的恶意影响力仍在继续，并将秘密情报行动与俄罗斯政府机构、国家资助媒体、第三方中介机构和社交媒体人物的公开行动相结合，在美国公众中播下和加剧分歧，破坏民主进程。 FBI-NCSC 公告。俄罗斯试图利用不知情的美国人和其他人传播信息，通过转发、分享、点赞或讨论未经证实或误导性的叙述，以及传播被盗、泄露或捏造的信息，扩大原始信息的影响范围，从而影响公众。 该公告指出，俄罗斯情报部门的持续重点是针对美国公共、私营部门、学术界和其他机构。意图通过失去美国政府敏感信息、专有科学研究和新技术来阻碍美国政策目标的实现，削弱美国的战略优势；并通过知识产权盗窃给个人和美国公司造成经济损失。它还削弱了公众对美国机构的信任；加剧社会分歧，削弱美国在国内和国际上的地位；并加强对俄罗斯首选政策立场的支持。 FBI-NCSC 文件概述了一系列措施，帮助各组织提高认识并加强针对俄罗斯情报部门活动的准备。其中包括通过实施报告机制进行员工培训来保持内部威胁意识；并酌情对员工、学生和研究网络进行适当的审查。该公告还建议加强该组织的网络态势；遵循身份和访问管理、保护控制和漏洞管理的最佳实践。 该文件还建议核实主动提供的专业外展服务，并评估外展来源的来源和专业网络。它还建议评估在线、新闻媒体以及大众或社交媒体中遇到的信息来源和叙述；从多个来源寻找信息；并比较多个媒体平台的信息。 在最近一次有关国土防御未来的论坛上，美国北方司令部司令、空军上将格伦·D·范赫克强调了国家安全面临的深刻挑战。他强调，国家在面对这些多方面挑战时表现出韧性的能力对于国防部（DOD）有效遏制威胁和维护全球稳定至关重要。他在表达形势的严重性时指出，当前的威胁形势是他在长达三年的服役生涯中遇到的最复杂的威胁。   转自安全客，原文链接：https://www.anquanke.com/post/id/290794 封面来源于网络，如有侵权请联系删除

拜登政府正在努力改进美国关键基础设施网络安全，环保署声明对此造成重大打击。 有消息称：美国环保署将不再强制要求，美国供水设施在卫生检查过程中执行网络安全审计。这对于正在努力改进美国关键基础设施网络安全的拜登政府不啻为重大打击。 上周四，环保署给各州饮用水管理机构致信表示，由于共和党执政州和贸易协会提起诉讼，质疑对供水设施网络安全进行监管的提案不具备长期法律可行性，环保署决定废除3月要求实施水务部门网络安全规定的备忘录。 环保署的上述声明，标志着白宫加强关键基础设施部门网络安全法规的努力遭受了重大挫折。拜登政府的国家网络安全战略将改善关键基础设施的数字防御能力视为重要任务。 关键基础系统的所有者和运营商正努力应对泛滥的勒索软件攻击和国家网络攻击，以及对美国最敏感网络的渗透行为。在关键基础设施领域，一次重大网络攻击可能会造成极其严重的后果。美国的供水设施在网络安全方面尤为薄弱。 环保署发言人在声明中表示：“尽管备忘录因诉讼而撤销，改善水务部门的网络安全依然是环保署的最高优先事项之一。供水和废水设施面临严重网络安全威胁，这种威胁在不断增加。” 环保署表示，他们鼓励“所有州自愿审查公共供水系统的网络安全计划，确保发现并纠正任何漏洞，并为需要帮助的系统提供支持。” 推动强制性网络安全阻力重重 对于未来如何协调现有16个关键基础设施领域的各项法规而言，水务部门网络安全管理规定的撤销并不是一个好兆头。许多关键基础设施领域，譬如供水和废水领域，缺乏网络安全法规。美国国家网络安全战略认为，如果这些行业按照自愿原则来规范网络安全，会面临“成效不充分或不平衡”等问题。 通过环保署规范供水设施网络安全是拜登政府的创造性政策举措。然而，此举从一开始就备受争议。水务行业强烈反对使用环保署现有权限增加网络安全法规。一些专家质疑卫生检查并非执行网络安全法规的正确工具，因为传统上卫生检查并不涉及任何了解保护工业系统复杂性的审计人员。 水务部门网络安全规定颁布后一个月，密苏里、阿肯色和艾奥瓦州即提起诉讼，试图阻止环保署通过卫生检查执行网络安全规定。美国第八巡回上诉法院裁定在诉讼期间停止实施该措施。 美国供水协会和全国农村供水协会也提起诉讼，导致水务部门网络安全规定实施受阻。两家协会发表声明，表示他们“对（法院）决定感到满意，并再次呼吁在水务部门采用与电力部门类似的合作性网络安全措施。” 这两家贸易团体再次呼吁采用与电力部门相似的共同监管模式。该模式将赋予环保署对标准的监督和审计权，并与业界合作制定标准。 环保署因未能保护美国供水与废水系统而受到批评。一些人建议设立新的水务部来承担这项任务。   转自安全内参，原文链接：https://www.secrss.com/articles/59684 封面来源于网络，如有侵权请联系删除