谷歌周三宣布了 2024 年首个 Chrome 安全更新，解决了 6 个漏洞，其中包括外部研究人员报告的 4 个漏洞。 谷歌在其公告中指出，外部报告的所有四个安全缺陷都是高严重性内存安全缺陷，但仅针对其中三个提供了错误赏金奖励。 前两个错误分别为 CVE-2024-0222 和 CVE-2024-0223，是图形渲染引擎 ANGLE 中的释放后使用漏洞和堆缓冲区溢出漏洞。 这两个问题均由 Qrious Secure 研究人员报告，他们每个问题都获得了 15,000 美元的漏洞赏金奖励。 第三个错误 CVE-2024-0224 是 Chrome 的 WebAudio 组件中的释放后使用缺陷。谷歌表示，针对该漏洞，它向报告该漏洞的蚂蚁集团光年安全实验室研究人员提供了 10,000 美元的漏洞赏金。 最新的 Chrome 更新还解决了 WebGPU 中的释放后使用漏洞。该错误被追踪为 CVE-2024-0225，谷歌尚未透露向报告研究人员支付的错误赏金金额。 当释放内存分配时未清除指针时，就会出现释放后使用问题，通常会导致任意代码执行、数据损坏或拒绝服务。 在 Chrome 中，如果黑客针对底层操作系统或特权进程中的缺陷，则可以利用释放后使用错误来规避浏览器的沙箱。 谷歌长期以来一直致力于提高 Chrome 中的内存安全性，并强化了浏览器以防止利用释放后使用漏洞。 尽管做出了这些努力，去年浏览器中还是记录了数十个释放后使用问题，其中大多数被评为“高危”。 最新的 Chrome 迭代现已推出，适用于 macOS 和 Linux 的版本为 120.0.6099.199，适用于 Windows 的版本为 120.0.6099.199/200。Google 将 Chrome 的扩展稳定通道更新为 macOS 版本 120.0.6099.199 和 Windows 版本 120.0.6099.200。 转自安全客，原文链接：https://www.anquanke.com/post/id/292401 封面来源于网络，如有侵权请联系删除

1月4日，全球巨头谷歌开始计划全面禁用第三方Cookie，目前已经对1%的用户进行小范围测试，预计将在今年年底扩展到全部Chrome浏览器用户。这将对互联网广告行业带来巨大冲击，也将成为用户个人隐私保护的标志性事件。 Cookie，通俗来说就是指用户访问网站的缓存数据，包括用户名、密码、注册账户、手机号等公民个人信息。 当我们浏览网页时，网络服务器会创建一个小型的文本文件，并将其暂时或永久存储在用户的电脑中。当我们再次访问网页时，即可快速识别是否已经访问过该网站，并提供已存储的文本文件。 举个例子，我们使用浏览器登录一些账户时，浏览器会弹出一个提示“你是否要记住密码”如果选择是，下次访问可以不输入账号密码直接登录，这是Cookie的功能之一。 由于具有“记住和跟踪”用户网页浏览记录的神奇功能，Cookie很快就被应用至网络购物平台，并很快成为个性化广告的利器。当你浏览或搜索了某类商品后，第三方cookie就会把你的喜好记录下来，并在其他网站投放相应的广告。当你再次访问网站时，Cookie识别出你，并把你曾经浏览的商品进行推荐。 这也是为什么，越来越多的网友反馈，购物平台为什么知道我看过什么，喜欢什么。其中的原因之一就是Cookie。 Cookie侵犯隐私的争议由来已久。在互联网发展的早期，网站并不会通知用户Cookie的存在，直到1996年有媒体曝光Cookie的使用，它才开始为大众所知，潜在的隐私问题也引起监管机构介入。在欧美，有许多限制Cookie使用的法律规范。多家机构及公司都曾对Cookie的使用进行整治，例如苹果就禁止iPhone和iPad用户使用第三方Cookie。 谷歌本次的Cookie禁令，所针对的是第三方Cookie，即在线广告行业在网站上放置的用于跟踪用户、投放相关广告的Cookie，不会影响网站用来存储登录信息等基本内容的Cookie，对于用户个人隐私信息保护来说或许也将是个好的开始。 转自FreeBuf，原文链接：https://www.freebuf.com/news/388806.html 封面来源于网络，如有侵权请联系删除

Chrome和Excel解析库存在被利用的漏洞。在发现漏洞之后，美国网络安全和基础设施安全局（CISA）立即向联邦机构发布了紧急通知，要求机构在1月23日前完成风险缓解工作，并遵循供应商的指南迅速解决这些漏洞。 目前，美国网络安全和基础设施安全局（CISA）已经将两个识别出来的重大漏洞添加到被利用漏洞（KEV）目录中。其中一个是最近修补的Google Chrome中的漏洞，另一个是影响开源Perl库“Spreadsheet::ParseExcel”的漏洞，该库被用于读取Excel文件中的信息。 CVE-2023-7024 CVE-2023-7024是2023年12月前发现的Google Chrome中WebRTC组件的一个严重漏洞，它允许黑客通过特制的HTML页面利用堆缓冲区溢出，最终控制受害者的电脑。 Google在2023年12月已经修补了这个安全漏洞，对于那些已经更新到修补版本浏览器的用户来说，它不再构成威胁。为了保护浏览器和其他软件不受未来漏洞的侵害，建议用户将它们更新到最新版本。 CVE-2023-7101 CVE-2023-7101是一个影响Spreadsheet::ParseExcel的关键漏洞，而Spreadsheet::ParseExcel是用来解析Excel文件的Perl模块，它暴露了远程代码执行（RCE）的风险，允许黑客通过特制的Excel文件控制易受攻击的系统。 该漏洞允许黑客将恶意Excel文件上传到易受攻击的系统，也可以利用数字格式字符串在系统上执行任意代码，黑客可能通过这些操作窃取敏感数据（密码、个人信息等）、安装恶意软件、扰乱系统操作，甚至完全控制受影响的系统。 目前，Spreadsheet::ParseExcel软件版本是0.65的用户可能会受到这一漏洞的影响。值得注意的是，该漏洞的影响范围扩展到了用Perl开发的各种应用程序和框架，因此也可能会影响整个系统。 为了解决这一漏洞，Metacpan已经发布了一个修补版本0.66，作为预防措施，强烈建议用户尽快更新到修补版本。在无法立即更新的情况下，建议用户采取缓解措施，例如限制文件上传或禁用与Spreadsheet::ParseExcel相关的功能。 Qualys威胁研究部门首席威胁情报分析师奥布雷·佩林表示，“CVE-2023-7101是一个Perl库的漏洞，它已经引起了广泛关注，这一点在网络和电子邮件安全公司Barracuda的设备中的使用可以看出。” 奥布雷指出，这一漏洞已被公开，勒索软件使用者利用它来进行恶意操作的风险已经增加，建议企业彻底评估环境，检查是否有‘Spreadsheet::ParseExcel’实例需要更新或移除。 转自FreeBuf，原文链接：https://www.freebuf.com/news/388779.html 封面来源于网络，如有侵权请联系删除

在2023年12月12日上午Kyivstar 遭受大范围黑客攻击，导致技术故障，造成Kyivstar网络上的通信和互联网接入服务暂时不可用。与俄罗斯武装部队格鲁乌单位有联系的名为Solntsepek 的黑客组织此前声称对此次袭击负责。该组织声称，Kyivstar拥有的10,000台计算机、4,000多台服务器上的所有云存储和备份系统已在攻击中被擦除。 这次黑客攻击是自近两年前俄乌开战以来最严重的一次黑客攻击，俄罗斯黑客至少从去年5月起就侵入了乌克兰电信巨头Kyivstar的系统。从12月12日起，乌克兰最大的电信运营商为约2400万用户提供的服务中断了数天。 乌克兰安全局（SBU）网络安全部门负责人Illia Vitiuk 在接受采访时透露了有关此次黑客攻击的独家细节，他表示此次黑客攻击造成了“灾难性”破坏，旨在造成心理打击并收集情报。该负责人称具体情况还在调查中，没有披露黑客什么时间拿到控制权、为何选择在12月12日发起破坏性行动以及初始突破点（内鬼协助、钓鱼员工、漏洞利用）在哪里。 Vitiuk还说：“这次袭击是一个重大信息，一个重大警告，不仅是对乌克兰，也是对整个西方世界来说，没有人实际上是不可触碰的。” 他指出Kyivstar是一家资金雄厚的私营公司，在网络安全方面投入了大量资金。 SBU评估称，黑客能够窃取个人信息、了解手机位置、拦截SMS消息，甚至可能利用他们获得的访问级别窃取 Telegram帐户。 由于这次袭击，人们争先恐后地购买其他SIM卡，造成了大排长龙。他说，使用Kyivstar SIM卡上网的ATM机停止工作，导弹和无人机袭击期间使用的空袭警报器在某些地区也无法正常工作。 Vitiuk 表示，这次攻击对乌克兰军方没有太大影响，乌克兰军方不依赖电信运营商，并使用了他所说的“不同的算法和协议”。“这种情况并没有对我们产生强烈影响，”他说。 俄罗斯沙虫难逃干系 由于Kyivstar的基础设施遭到破坏，调查这次攻击变得更加困难。 Vitiuk 表示，他“非常确定”这是由俄罗斯军事情报网络战单位Sandworm实施的，该单位与乌克兰和其他地方的网络攻击有关。据了解，沙虫组织的武器库中拥有多个数据擦除器，并于2023年1月又添加了一个。研究人员当时表示，这种破坏性恶意软件被Eset命名为NikoWiper，它基于SDelete，这是Microsoft 的一个命令行实用程序，用于安全删除文件。 Vitiuk表示，一年前，Sandworm渗透到了一家乌克兰电信运营商，但被基辅发现，因为该SBU本身就在俄罗斯系统内。但他拒绝透露该公司的身份。之前的黑客攻击尚未被报道过。 俄罗斯国防部没有回应对维蒂克言论发表评论的书面请求。 维蒂克表示，这种行为模式表明电信运营商可能仍然是俄罗斯黑客的目标。他说，SBU去年挫败了超过4,500起针对乌克兰政府机构和关键基础设施的重大网络攻击。 SBU认为一个名为Solntsepyok的组织与Sandworm有关联，该组织表示对此次攻击负责。 俄黑客渗透的途径仍在调查中 Vitiuk表示，SBU调查人员仍在努力确定Kyivstar是如何被渗透的，或者可能使用什么类型的特洛伊木马恶意软件进行入侵，并补充说，这可能是网络钓鱼、有人在内部提供帮助或其他原因。 他说，如果这是内部工作，那么帮助黑客的内部人员在公司中并没有高级别的许可，因为黑客利用了用于窃取口令哈希的恶意软件。他补充说，该恶意软件的样本已被恢复并正在分析中。 Kyivstar首席执行官Oleksandr Komarov于12月20日表示，公司在全国范围内的所有服务已全面恢复。Vitiuk赞扬了SBU为安全恢复系统而做出的事件响应努力。 Vitiuk表示，由于Kyivsta 与俄罗斯移动运营商Beeline具有相似之处，后者采用类似的基础设施，因此对Kyivstar 的攻击可能会变得更容易。他补充说，Kyivstar基础设施的庞大规模在专家指导下会更容易被搞清楚。 Kyivstar的破坏开始于当地时间凌晨5:00左右，当时乌克兰总统弗拉基米尔·泽伦斯基正在华盛顿，敦促西方国家继续提供援助。 维蒂克表示，在人们通讯困难之际，这次攻击并未伴随大规模导弹和无人机袭击，这限制了其影响。 他说，黑客选择12月12日的原因尚不清楚，并补充道：“也许某个上校想成为将军。” 为什么没能检测到初始攻击？ My1Login首席执行官迈克·纽曼(Mike Newman)表示，Sandworm 发起攻击之前已在Kyivstar网络上存在了数月之久，这一消息引发了人们的重大疑问：为什么没有更早地发现攻击者。 他指出：“目前尚不清楚攻击最初是如何执行的，但如果黑客设法通过网络钓鱼获取员工的登录凭据，则该登录凭据可能是他们的网关。这可以解释为什么威胁检测工具没有检测到恶意活动，因为对手会被视为合法用户”。 Closed Door Security首席执行官威廉·赖特(William Wright)认为，该组织在Kyivstar网络内呆了六个多月，很可能已经访问了移动运营商的大部分数据，这些数据可用于针对该公司、其客户和乌克兰。 “可以说，这次对关键国家基础设施的攻击将被黑客用来摧毁基础设施，并在这之前收集尽可能多的信息。这让人想起2017年马士基的攻击，该攻击造成了约100亿美元的损失，”赖特警告说。 转自安全内参，原文链接：https://www.secrss.com/articles/62502 封面来源于网络，如有侵权请联系删除

化名为“Snow”的黑客成功访问了Orange Spain的RIPE账户，并对BGP路由进行了错误配置，导致互联网中断。 由于这次攻击，公司的客户在1月3日的几个小时内无法访问互联网。 该公司确认一名黑客侵入了其RIPE账户。 NOTA: Orange在IP网络协调中心（RIPE）的账户遭到未授权访问，导致一些客户的网络访问受到影响。服务几乎已经恢复。 — Orange España (@orange_es) 2024年1月3日 RIPE NCC（Réseaux IP Européens Network Coordination Centre）是区域互联网注册机构（RIRs）之一，负责在特定地理区域分配和注册IP地址和自治系统号（ASNs）。RIPE NCC主要服务于欧洲和中东地区。其主要职能包括管理和分配互联网数字资源，促进区域互联网基础设施的协调，并支持其服务区域互联网的发展。 黑客更改了Orange Spain一系列IP地址的AS号，并在其上启用了无效的RPKI配置。 资源公钥基础设施（RPKI）是设计用于保护互联网路由基础设施的系统，尤其是在边界网关协议（BGP）的背景下。BGP是用于在互联网上不同自治系统（ASes）之间路由流量的关键协议。RPKI通过将IP地址前缀与持有其合法广告权的实体进行密码学绑定，为BGP添加了一层安全性。 “正如我们所看到的，他们所做的是创建ROA /12记录，这基本上说明了在前缀上谁是RPKI授权的实体（即可以宣告它的AS），这将/22和/24前缀组合在一起，由Orange Spain宣告。” DMNTR Network Solutions的研究员Felipe Canizares在X上发布的一系列消息中解释说。 Snow联系了Orange Spain提供了新的凭据，并解释说他这样做是为了“防止实际的黑客找到这个账户并入侵它”。 @orange_es 喵喵喵！我已经修复了你们的RIPE管理员账户安全。给我发消息获取新的凭据 :^) pic.twitter.com/NKFFDWb0Ec — Snow 🏳️‍⚧️ (@Ms_Snow_OwO) 2024年1月3日 RIPE NCC也启动了对该事件的调查。 “我们鼓励用户更新密码，并为他们的账户启用多因素身份验证。如果您怀疑您的账户可能受到影响，请将其报告给security@ripe.net。” RIPE NCC发布的声明中写道。 Hudson Rock的联合创始人兼首席技术官Alon Gal推测，黑客在2023年9月一名Orange员工的计算机感染了Raccoon信息窃取器后，从Orange Spain的RIPE管理员账户中获取了凭据。 “今天，黑客接管了Orange Spain的RIPE管理员账户，导致流量减少了50%。Hudson Rock确认渗透源于Orange员工感染了信息窃取器（Raccoon） – 使用的密码也很荒谬 – “ripeadmin”。” Gal在LinkedIn上写道。 “今天早些时候，黑客发布了从他们渗透的RIPE账户内部的图片，显示了该账户的电子邮件地址。在Hudson Rock的网络犯罪情报数据库中找到了这个电子邮件地址，我们可以确认该员工在去年9月被Raccoon信息窃取器感染。 该员工拥有许多企业凭据，包括他们的RIPE凭据，很可能是黑客渗透账户的方式。” 消息来源：securityaffairs，译者：Leopold；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

安全威胁监控平台 Shadowserver 最近的一份报告警告说，互联网上有近1100万台SSH服务器（由唯一的IP地址标识），很容易受到水龟攻击（TerrapinAttack），从而威胁到某些SSH连接的完整性。 “水龟攻击”是德国波鸿鲁尔大学安全研究人员开发的新攻击技术。利用了SSH传输层协议的弱点，并结合了OpenSSH十多年前引入的较新的加密算法和加密模式。后者已被广泛的SSH实现所采用，因此影响当前的大多数SSH实例。 “水龟攻击”会在握手过程中操纵序列值，损害SSH通道的完整性，特别是在使用ChaCha20-Poly1305或带有Encrypt-then-MAC的CBC等特定加密模式时。与攻击相关的三个漏洞的编号为：CVE-2023-48795、CVE-2023-46445和CVE-2023-46446。 攻击者可降级用于用户身份验证的公钥算法，并禁用OpenSSH9.5中针对击键计时攻击的防御。 “水龟攻击”的一个重要前提是攻击者需要处于中间人(MiTM)位置来拦截和修改握手交换。这意味着“水龟攻击“的威胁并不是特别严重。在许多情况下，修补CVE-2023-48795可能不是优先事项。 但值得注意的是，黑客经常会先入侵目标网络，并潜伏等待合适的时机实施水龟攻击。 全球有上千万台SSH服务器存在漏洞 安全威胁监控平台Shadowserver的报告显示，互联网上有近1100万台暴露的SSH服务器很容易受到“水龟攻击”，约占Shadoserver监控的IPv4和IPv6空间中所有扫描样本的52%。 大多数易受攻击的系统位于美国（330万个），其次是中国（130万个）、德国（100万个）、俄罗斯（70万个）、新加坡（39万个）和日本（38万个）。 虽然并非所有1100万个SSH服务器实例都面临立即受到攻击的风险，但这至少表明对手有大量可供选择的目标实例。 波鸿鲁尔大学团队发布了一个“水龟攻击“漏洞扫描器，可帮助用户检查SSH客户端或服务器是否存在水龟攻击漏洞。 转自FreeBuf，原文链接：https://www.freebuf.com/news/388636.html 封面来源于网络，如有侵权请联系删除

在最近举行的混沌计算机俱乐部黑客大会上，来自柏林工业大学的三名网络安全研究人员展示了他们破解特斯拉自动驾驶系统的过程。他们使用成本较低的设备，不仅获取到了敏感的系统文件和用户数据，还成功解锁了特斯拉自动驾驶的隐藏模式——“ Elon 模式”。 来自柏林工业大学的三名博士生使用约660美元的工具，成功破解并root了特斯拉自动驾驶仪（基于ARM64的电路板）。他们能够提取出任意代码和用户数据，包括加密密钥和重要的系统组件。他们还访问了已删除的GPS坐标视频，因为该视频未被覆盖。 侵入系统后，汽车沿路所见的视频片段，附有 GPS 坐标 最重要的是，他们发现了隐藏的“Elon模式”，这个功能是特斯拉自动驾驶技术的一部分，但从未被特斯拉公司公开承认。 特斯拉的“Elon模式”是一种全自动驾驶功能，以首席执行官埃隆·马斯克的名字命名。该模式启用时，会减少提示驾驶员将手放在方向盘上的警报频率。车辆可以在没有驾驶员操作或监控的情况下进行自动驾驶。这违反了特斯拉的官方建议并且存在潜在危险。 这个模式是在2023年6月被网络安全研究人员greentheonly首次发现的。2020年5月，@greentheonly曾在推特上透露，他在电子商务平台eBay上销售的特斯拉汽车零部件中发现了敏感的客户数据。 据柏林工业大学研究人员的说法，黑客可以利用这个模式来启用其他性能并禁用安全功能。 这不是他们第一次发现特斯拉汽车存在安全漏洞。2023年8月，柏林工业大学研究人员就在美国黑帽大会上报告了他们破解特斯拉系统的技术细节。他们利用蓝牙系统漏洞获取了对特斯拉信息娱乐系统的root访问权限。一旦获得root权限，他们就可以完全控制车辆的操作系统以及激活和停用系统，甚至可以免费启用付费功能，如座椅加热器。他们还可以对Linux进行任意更改，并解密NVMe存储以访问私人用户数据，如日历条目或电话簿。 德国新闻媒体《明镜周刊》的报道称，这项研究是在有条件的实验环境中进行的，在实验室之外操纵他人停放的特斯拉汽车的自动驾驶仪是不太可能的。 尽管如此，这项研究已经证实了关于“Elon模式”的传闻，并可能影响消费者对特斯拉安全架构的信任。它暴露了自动驾驶系统的漏洞，引发了对潜在滥用和道德影响的担忧，强调了采取强有力的网络安全措施的必要性。 转自E安全，原文链接：https://mp.weixin.qq.com/s/2f0dwliWDtXo8InONBB9VQ 封面来源于网络，如有侵权请联系删除

过去几个月，一个名为 Cyber Toufan 的黑客组织袭击了以色列 100 多个公共和私人组织，这是该地区地缘政治紧张局势加剧所推动的网络攻击活动的一部分。 CyberToufan 具有复杂的黑客特征，该组织声称由巴勒斯坦国家网络战士组成，因此迅速声名鹊起，该组织对知名以色列实体执行复杂的网络攻击。 据报道， 该组织的策略表明 Cyber Toufan 很可能是由政府赞助的，有证据表明伊朗可能参与其中。 “与其他亲巴勒斯坦的哈马斯黑客组织相比，该组织表现出了卓越的能力。他们的活动重点是破坏服务器、数据库和泄露信息，有证据表明该组织受到来自民族国家——有可能是伊朗——的支持。”国际反恐研究所 (ICT) 在 11 月底指出。 安全研究人员已跟踪超过 100 起与 Cyber Toufan 操作相关的入侵，其特点是泄露大量数据（包括个人信息）并将其发布在网络上。 威胁情报公司SOC Radar在两周前的一份报告中写道：“他们的攻击不仅导致大量数据泄露，而且还成为一种数字报复形式，符合该地区更广泛的战略目标。” Cyber Toufan 于 2023 年 11 月 18 日在 Telegram 频道上发表的一篇文章 安全研究员Kevin Beaumont 表示，迄今为止，该组织已在其 Telegram 频道上泄露了 59 个组织的数据。在针对托管服务提供商 (MSP) 的攻击中，它可能还攻击了 40 多个目标。 “他们发布的数据包括完整的服务器磁盘映像、带有许多域私钥的 SSL 证书（尚未被撤销且仍在使用）、SQL 和 CRM 转储。甚至 WordPress 备份，显然现在人们在 WordPress 上构建 CRM。”Beaumont 说。 CyberToufan 的受害实体包括以色列国家档案馆、以色列创新局、Homecenter Israel、以色列自然和公园、特拉维夫学院、以色列卫生部、福利和社会保障部、以色列证券管理局、Allot、MAX Security & Intelligence 、Radware 和丰田以色列。 博蒙特表示，一些受害实体无法从网络攻击中恢复，并且已离线数周，这可能是黑客使用擦除器针对 Linux 系统导致的。 据研究人员称，CyberToufan 使用合法工具 Shred 来“以不可恢复的方式删除文件”。为此，该组织使用自己的 shell 脚本运行 Shred，以确保即使该进程被管理员终止，该工具也能继续运行。 人们还看到该组织向受害实体的客户发送电子邮件以进行宣传，并且似乎正在与其他黑客组织进行更大规模的集体行动协调。 转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/J6zk7amcWphjOU2KbqZWRg 封面来源于网络，如有侵权请联系删除

美国《联邦公报》上周发布有关“网络安全成熟度模型认证” CMMC 2.0的拟议规则，披露了国防部对承包商和其他组织实施五角大楼CMMC计划的最新成本预测。 根据该计划要求，处理联邦合同信息（FCI）和受控非机密信息（CUI）的国防承包商及分包商，必须根据信息类型和敏感程度，实施不同等级的网络安全标准，并评估自身合规满足情况 为了简化规则，CMMC 2.0具备三大特征：首先是采用分层模型，要求承包商根据信息敏感程度，按三个不同等级实施网络安全标准。其次是要求进行评估，允许国防部核验标准的实施情况。第三是以合同的形式落实，一旦CMMC规则生效，处理敏感信息的国防部承包商必须达到特定的CMMC等级才能取得合同。 一旦CMMC纳入《联邦法规第48编》，国防部将在招标书和随后的合同中指定所需的CMMC级别。新规则可能影响超过20万家国防工业公司。 五角大楼计划分阶段实施CMMC计划。第一步将在2026年10月1日或之后所有适用招标活动中纳入CMMC要求。当然，招标之前会视具体项目判断可否豁免。 承包商和分包商必须自我评估，判断是否达到规定的安全等级。评估也可以由第三方机构（称为C3PAO）或政府评估员实施。 评估规划、准备、实施和结果上报等活动将产生一定成本。 一级认证预计每年支出4000-6000美元 拟议规则表示，“估算公共成本时，国防部考虑了适用的非经常性工程成本、经常性工程成本、评估成本和每个CMMC等级所需的确认成本。” 规则指出，“对于CMMC 1级和2级，成本估算只考虑国防承包商、分包商或生态系统成员必须采取的评估、认证和确认活动，这些活动便于国防部核实相关基础安全要求是否得到落实。” “国防部没有考虑实施安全要求本身的成本。《联邦采购条例》（FAR）第52.204–21条款和《国防联邦采购条例补充》（DFARS）第252.204–7012条款规定的实施期限分别是2016年6月15日和2017年12月31日。因此，CMMC 1级和2级安全要求的实施成本应该已经发生，与本拟议规则无关。” 公司需每年进行一次1级自我评估和确认，证明已根据《联邦法规第32编》第170.14(c)(2)条款规定，落实了保护联邦合同信息的所有基本要求。 五角大楼估计，小型实体进行1级自我评估和确认的成本将近6000美元，较大实体约为4000美元。 二级认证预计支出10-12.8万美元 承包商每三年需进行2级自我评估和确认，证明已根据《联邦法规第32编》第170.14(c)(3)条款规定，落实了保护受控非机密信息的所有安全要求。每三年由第三方机构进行2级认证评估，亦可验证承包商符合安全要求。 拟议规则指出，“如实施合同时，需在组织信息系统中处理、存储或传输受控非机密信息，则该（寻求认证的）组织必须实施CMMC 2级评估。” 对于小型实体，2级自我评估和相关确认估计成本超过3.7万美元，较大实体约为4.9万美元（包括每三年一次的评估和确认，以及两次额外的年度确认）。对于小型实体，2级认证评估成本将近10.5万美元，较大实体约为11.8万美元（包括每三年一次的评估和确认，以及两次额外的年度确认）。 三级认证预计支出数百万美元 拟议规则表示，“进行CMMC 3级认证评估之前，用于CMMC 3级评估范围内的信息系统必须接受CMMC 2级最终认证评估。CMMC 3级认证评估由（国防合同管理局）国防工业基础网络安全评估中心（DIBCAC）负责实施，将核实（寻求认证的组织）是否按照《联邦法规第32编》第170.14(c)(4)条款规定，实施CMMC 3级安全要求。” 如执行合同时需处理、存储或传输受控非机密信息，公司信息系统必须每三年进行一次3级认证评估。 根据拟议规则，3级认证将要求“在先前规则之外，实施美国国家标准与技术研究院800–172号特别出版物（NIST SP 800-172）规定的安全要求。因此，此次成本评估包括了初步实施和维护NIST SP 800–172要求产生的非经常性工程成本和经常性工程成本。” 3级认证评估的总成本包括与2级认证评估相关的支出，以及实施、评估3级独有安全要求的支出。 对于小型组织，满足3级保障措施需承担的经常性和非经常性工程成本分别为49万美元和270万美元。认证评估的预计成本超过1万美元（包括每三年一次的评估和确认，以及两次额外的年度确认）。 对于较大组织，满足3级保障措施需承担的经常性和非经常性工程成本分别为410万美元和211万美元。认证评估及相关确认的预计成本超过4.1万美元（包括每三年一次的评估和确认，以及两次额外的年度确认）。 拟议规则指出，3级标准预计只适用于“一小部分”国防承包商和分包商。 国防工业企业预计每年需增加40亿美元支出 在计算成本时，官员们力求考虑小公司和较大国防承包商之间的组织差异。比如，他们假定小公司的IT和网络安全基础设施和运行环境较为简单、规模较小。拟议规则称，小公司更有可能将IT和网络安全外包给外部服务提供商。 此外，官员们预计参与2级评估的组织将咨询外部服务提供商，寻求实施支持，帮助他们为评估做好准备或参与第三方机构的评估。 根据预测，为实施CMMC 2.0，未来20年，承包商和其他非政府实体的年化成本将约为40亿美元。对于政府，年化成本将约为1000万美元。 五角大楼正在征求公众对拟议规则的反馈，截止日期为2024年2月26日。 CMMC的实施成本和程序要求一直是国防承包商和贸易协会重点关注的问题。 上周二，美国航空工业协会总裁兼首席执行官Eric Fanning发布声明，表示,“长期以来，繁重的监管一直是一大障碍。对于为国防工业基础做出贡献的中小型企业而言，尤为如此。就国防公司而言，必须获得合适的工具和标准，既能保护我们国家敏感非机密材料的安全，又能不阻碍公司为国防工业基础做出贡献。我们期待审查拟议规则并提供全面反馈，确保国防部制定的最终规则能够充分考虑到国防工业基础的复杂程度。” 转自安全内参，原文链接：https://www.secrss.com/articles/62444 封面来源于网络，如有侵权请联系删除

美国纽约州两家非营利性医院请求法院颁布命令，以取回去年8月因勒索软件攻击被盗数据。目前，这些数据存储在波士顿一家云存储公司的服务器上。 两家受害组织——迦太基地区医院和克拉克斯顿赫普本医疗中心联合成立了北极星健康联盟。这一合作组织专注于为纽约州北部地区提供医疗服务，服务范围包括杰斐逊县、刘易斯县北部、圣劳伦斯县南部、奥格登斯堡的22万多居民。 LockBit勒索软件团伙声称，2023年8月下旬入侵了两家医院的系统，并窃取了敏感文件。一周之后，两家医院发表新闻稿表示，攻击事件迫使他们将需要紧急护理的患者转至其他医院的急诊科室。 两家医院表示，“在周四晚间，迦太基地区医院和克拉克斯顿赫普本医疗中心的内部安全软件发现一起网络安全事件。双方的IT团队正在继续努力保持所有系统稳定运行。我们将通知所有需要重新安排预约的患者。任何有紧急健康问题的患者仍应联系他们的医疗保健提供者。有急诊需求的患者应前往最近的急诊科室。” 两家医院与美国联邦调查局合作调查此事件，发现Lockbit关联机构窃取的数据现存储在马萨诸塞州波士顿Wasabi Technologies云存储公司的服务器上。被盗数据包括各类个人身份信息（PII）和受保护健康信息，如患者姓名、地址、出生日期、财务信息、社会安全号码、健康保险等。 通过起诉成功取回被盗数据 为了从Wasabi公司服务器中取回被盗数据，两家医院现在已经针对被盗文件发起法律行动，要求法院命令Wasabi公司将被盗数据返还给北极星健康联盟医院，并要求勒索软件团伙销毁制作的所有副本。 北极星健康联盟首席执行官Richard Duvall表示，“我们的法律团队研究认为，最佳方案是与FBI合作追究Wasabi公司，以获取我们隐私数据。这样我们可以确定具体哪些信息遭到了泄漏。” 根据法庭文件，这家云存储公司已经向FBI提供了医院要求的数据副本。 起诉书中写道，“医院集团要求对被告和其他实体采取禁令措施，防止对被盗数据进行访问、转移或复制，并要求在被盗数据归还给医院集团后，销毁所有其他副本。根据现有信息，我们相信Wasabi公司已经向FBI提供了被盗数据的副本。” 2023年平安夜，LockBit还破坏了德国三家医院的急救服务，迫使他们将急救患者转至其他机构，或将严重延误救治工作。2022年圣诞节前一周，另一家LockBit关联机构攻击了多伦多病童医院，延误了诊断和治疗进程。 2019年9月，LockBit的勒索软件即服务（RaaS）行动首次被曝光。德国大陆汽车公司、英国皇家邮政、新西兰奥克兰市政府、意大利国税局等机构纷纷沦陷。 2023年6月，多国网络安全机构联合发布警告称，自2020年以来，这个勒索软件团伙针对美国组织发动了1700多次攻击，至少敲诈了9100万美元。 转自安全内参，原文链接：https://www.secrss.com/articles/62400 封面来源于网络，如有侵权请联系删除