据The Register网站消息，微软已在本周推出两项新服务，让企业安全运营中心 (SOC) 更广泛地访问其每天收集的大量威胁情报。 这两项服务分别是Defender Threat Intelligence和Defender External Attack Surface Management (EASM)，都使用了微软在 2021 年以 5 亿美元收购网络安全公司 RiskIQ时继承的技术。微软致力于通过自己的产品和Azure云安全能力来保护企业系统，这很大程度上是处理大量的信号和威胁情报来实现。Defender EASM服务让企业以局外人的眼光看待自己的攻击面，扫描互联网及其连接，以创建其环境图，并找到企业可能不知道但可被攻击利用的面向互联网的资源。 微软负责安全合规、身份和管理的公司副总裁Vasu Jakkal在宣布新服务的博文中表示，得益于微软自身强有力平台搜集的大量情报及独特洞察力，企业不仅能从中获得关于威胁者活动、行为模式和目标的可靠预测，还可以映射他们的数字环境和基础设施，以攻击者的眼光看待他们的组织。这种由外而内的方式提供了更深入的洞察力，可以帮助企业预测恶意活动并保护未受管理的资源。 据悉，微软每天都会收集大量网络威胁信息，其安全团队跟踪了 35 个勒索软件系列以及来自 250 多个国家和地区的网络犯罪分子，该公司的 Azure 公共云每天处理和分析超过 43 万亿个安全信号。所有这些信息都会同步至供应商及其安全服务平台，包括其 Defender 以及 Azure 中的 Sentinel 安全信息和事件管理 (SIEM) 服务，并提供实时威胁检测。 随着去年的收购，RiskIQ的收集和安全情报技术也并入微软，通过检测威胁和可疑活动以及补救漏洞来保护企业的攻击面。它与微软的云计算合作，也可用于其他公有云，包括亚马逊网络服务，并被企业内部服务所使用。 Jakkal认为，有了组织的完整视图，企业可以将这些未知的资源、端点和资产置于其安全信息和事件管理（SIEM）以及扩展检测和响应（XDR）工具的安全管理范围内来降低风险。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/340995.html 封面来源于网络，如有侵权请联系删除

安全内参消息，为了避免类似SolarWinds的事件重演（恶意黑客利用IT管理外包商的访问权限与低下的身份管理水平，至少入侵了九个联邦部门），身份验证服务商越来越受到高度关注。不过日前一次研讨会上，负责相关工作的美国政府官员强调，具体实施还需要各方机构积极参与。 技术专家杰里米•格兰特（Jeremy Grant）表示，“经历SolarWinds事件后，每一家行业领先的身份验证服务商都能感受到业务更好做了。” 格兰特目前是Venable律师事务所负责技术业务战略的常务董事。在美国国家标准与技术研究院（NIST）制定关键基础设施安全性改进路线图期间，他曾经提供了身份与认证管理方面的建议。 说起市面上的顶尖身份验证提供商，如Ping、Okta、Forgerock以及微软Active Directory Federation Services（ADFS）等，他认为“在关于到底该选择哪家提供商方面，之前的争议一直比较玄学，类似于可口可乐和百事可乐到底哪种更好喝。” 周二（8月2日），参加先进技术研究中心在线会议的联邦官员普遍认为，任何机构的决策都包含大量主观性因素。因此，他们将更多关注机构所必需的通用基础要素，对具体供应商或安全方法的选择不做关注，仅视为达成管理和预算办公室（OBM）发布的建立“零信任”系统指令的手段。 网络安全和基础设施安全局（CISA）发布公告称，在SolarWinds事件曝光后，各机构纷纷开始寻求解决之道。SolarWinds事件中，恶意黑客使用微软ADFS劫持了系统管理员的凭证，借此在目标网络上横向移动。第14028号总统行政令要求，各机构应优先建立以零信任为核心的身份和访问管理系统，根据特定角色（例如人力资源人员）和属性（例如所在位置）为其授予查看/编辑某些资产的相应权限。 网络安全和基础设施安全局的格兰•达舍（Grant Dasher）提到，“CISA在政府的身份空间中有望发挥更大作用。我们正努力提供更多指导，包括零信任成熟度模型和云安全参考架构。相信这一领域将很快出现更多解决方案。” 达舍表示，各机构最应该从SolarWinds事件中吸取的教训之一，就是“充分了解基础设施内的信任边界和接触面。” 他表示，“只要认真研究过特定架构的设计方式，就会意识到某些联合凭证虽然使用频繁，但却不一定该被纳入管理员账户。也许我们可以为云管理员账户设置一个单独的信任根，把它的权限范围收窄，这样才不会影响到原有（本地资产）的所有接触面。” 技术专家马特•托珀（Matt Topper）透露，NIST正在更新关于身份和访问管理的出版物文件，并将“发布有史以来第一份关于联邦指导的真实、专用文件。”这份文件不仅希望能在机构之间开展身份验证，还要求在机构及其外包商/普通民众间开展身份验证。托珀是联邦身份访问供应商Uberether的总裁，也是ATARC网络研讨会的小组成员。 外包供应商尤为重要，因为这些托管服务提供商已经成为高水平恶意黑客的切入点，而且很难搞清楚，到底该由谁监督外包商们对政府系统的访问活动。 托珀表示，“我总是开玩笑地说，那些已经为机构工作了很长时间的外包商，掌握的访问权限甚至比机构主管还要高。这是因为我们在重新认证外包商访问权限上做得不够好。当他们解约又签约之后，原有权限并没有被收回，所以随着时间推移访问范围也就越来越大。我们曾为国防部做过很多工作，大家可能想象不到，就连「谁负责管理外包商？」「外包商在访问网络时出了麻烦，该由谁担责？」这样的问题都很难有明确的答案。” 托珀也表示，“我们最终还是达到了CISA对主用户记录/主设备记录的管理能力要求……开始将这些信息整合起来，以确保数据是干净的。” 卫生与公民服务部首席信息官杰拉尔德·卡隆（Gerald Caron）在会议最后总结道，“无论是借助Ping、Okta或ADFS”，联合身份“都是一件好事……毕竟包括我自己在内，没人愿意硬记几十种应用程序上的用户名和密码。” 转自 安全内参，原文链接：https://www.secrss.com/articles/45404 封面来源于网络，如有侵权请联系删除

一个包含印度养老基金持有人全名、银行账户号码等信息的巨大数据缓存已在网上浮出水面。安全研究员Bob Diachenko发现两个独立的IP地址存储了超过2.88亿条记录–其中一个IP地址下有约2.8亿条记录，约840万条是第二个IP地址的一部分。该研究人员说，这两个IP地址都公开向互联网暴露数据，但没有密码保护。 这些记录是名为”UAN”的集群指数的一部分，这显然是指该国国有雇员公积金组织（EPFO）分配给养老基金持有人的通用账户号码。 Diachenko表示:”据我所知，数据库中的信息可能被用来拼凑出一个印度公民的完整档案，使他们成为网络钓鱼或诈骗攻击的目标。” 每条记录都包括详细的个人信息，包括他们的婚姻状况、性别和出生日期。还有一些细节主要与他们的养老基金账户有关，包括UAN、银行账户号码和就业状况。 除了泄露持有养老基金账户的个人身份信息（PII）外，这些记录还暴露了其办理人的详细信息。这些信息包括他们的全名和与账户持有人的关系。 Diachenko本周早些时候发现了泄露敏感数据的IP地址。他在Twitter上发布了一张截图，显示了周三暴露个人信息的数据字段，同时提醒了印度计算机应急响应小组（CERT-In）。在发布他的推文后不到一天，这两个有问题的IP地址已经无法访问。 但Diachenko说，目前还不清楚谁应该对网上出现的曝光数据负责。目前也不清楚除了他之外，是否还有其他人也发现了这些曝光的数据。 印度养老金的IT系统出现安全问题已经不是第一次，2018年，印度中央公积金专员通知技术支持部门，黑客能够从EPFO网站的Aadhaar播种门户窃取数据。这一事件使约2700万养老基金成员的信息处于危险之中。然而，该养老基金机构后来在记录上声称，其方面没有数据泄漏，但没有提供证据。 转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1300399.htm 封面来源于网络，如有侵权请联系删除

截至2020年，服装行业因假货而损失了约270亿美元的年销售额，这种非法贸易给品牌和买家都带来了巨大损失。根据2022年知识产权犯罪威胁评估报告，衣服、配件和奢侈品是最受欢迎的造假产品项目。但这并不是问题的起点和终点：数字内容的爆炸性增长也导致了大量数字造假者的出现。 现在MarqVision建立了一个由人工智能驱动的知识产权（IP）保护平台，可以同时监控电子商务市场和数字内容，自动检测假冒伪劣产品，并将其从在线销售和分销中移除。而现在，这家初创公司已经筹集了2000万美元的A轮融资，以继续扩大其平台。 该公司位于洛杉矶，最初在Y Combinator孵化，客户包括拉尔夫-劳伦和Kangol等时尚品牌、LVMH、水晶图标Baccarat以及媒体巨头Pokemon，它们使用MarqVision扫描其品牌最有可能被盗用的地方。这些地方包括全球最大的1500个在线市场，以及越来越多用于商业的流行社交媒体平台、NFT平台、游戏网站和其他可能出现假冒产品的地方。 MarqVision表示，它的技术已经导致每周超过20000次的执法。它的创始团队扎根于亚洲，特别是首尔，MarqVision声称拥有该地区最广泛的知识产权执法平台，这一点很重要，因为全球约90%的假货销售都可追溯到亚洲。 DST Global Partners和Atinum Investment与现有的支持者软银创投、Bass Investment和Y Combinator一起主导了最新的融资。A轮融资使其融资总额达到2500万美元，包括2021年500万美元的种子轮融资。该公司没有披露其估值。 转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1299939.htm 封面来源于网络，如有侵权请联系删除

据报道，美国政府的网络安全机构已与其乌克兰网络安全机构签署了一项关于在网络安全方面加强合作的协议。美国网络安全和基础设施安全局（CISA）昨天宣布，它已与乌克兰国家特别通信和信息保护局（SSSCIP）签署了合作备忘录（MoC）。CISA 表示，这将进一步增进两机构之间的关系。 根据协议，这两个机构将交换有关网络事件的信息和最佳实践。SSSCIP 副主席 Oleksandr Potii 表示，他们还将实时共享有关关键基础设施安全的技术信息。商务部还授权这两个机构进行联合演习和培训课程。 “网络威胁跨越国界和海洋，”CISA主任Jen Easterly说，她还表示俄罗斯在这场无端战争中正进行“网络侵略，“因此，我们期待在与SSSCIP现有关系的基础上，共享信息并共同建立全球抵御网络威胁的能力。” 月初时期，SSSCIP报告称 ，今年第二季度的网络攻击激增。4 月，有消息称该国的国家电信提供商Ukrtelecom 使用泄露的员工凭证遭到网络攻击。同月，乌克兰的高压变电站遭受了一种新的Industroyer恶意软件变种攻击，该变种与2016年俄罗斯Sandworm组织对乌克兰的攻击有关。 CISA还一直在采取额外措施来保护美国的组织。它曾在2月发起了一项名为Shields Up的活动，并警告国内组织要为可能的俄罗斯网络攻击做好准备。 美国并不是唯一帮助乌克兰抵御俄罗斯袭击的政府。欧盟还在2月份部署了一个网络快速响应小组 (CRRT) 来帮助乌克兰。在立陶宛的带领下，该团队还得到了克罗地亚、波兰、爱沙尼亚、罗马尼亚和荷兰的支持。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/340544.html 封面来源于网络，如有侵权请联系删除

7月28日消息，微软安全和威胁情报团队称发现一家奥地利公司销售间谍软件DSIRF，该软件是基于未知的Windows漏洞开发。当前的受害者包括奥地利、英国和巴拿马等国的律师事务所、银行和战略咨询公司。 DSIRF声称帮助跨国公司进行风险分析和收集商业情报。微软威胁情报中心（MSTIC）分析发现，间谍软件DSIRF利用Windows的零日特权升级漏洞和Adobe Reader远程代码漏洞执行攻击。微软表示，DSIRF利用的漏洞目前在更新补丁中已经修补。在内部，微软以代号KNOTWEED对DSIRF进行追踪，并表示该公司还与SubZero恶意软件的开发和销售有关。 MSTIC发现DSIRF与恶意软件之间有多种联系，包括恶意软件使用的命令和控制基础设施直接链接到DSIRF、一个与DSIRF相关的GitHub账户被用于一次攻击、发给DSIRF的代码签名证书被用于签署一个漏洞。 攻击中出现的CVE-2022-22047漏洞能从沙盒中逃脱。微软解释，该漏洞链开始时，从沙盒中的Adobe Reader渲染器进程写入一个恶意DLL到磁盘。然后，CVE-2022-22047漏洞被用来瞄准一个系统进程，通过提供一个应用程序清单，其中有一个未记录的属性，指定恶意DLL的路径。当系统进程下一次生成时，恶意激活上下文中的属性被使用，恶意DLL从给定的路径加载，从而执行系统级代码。 调查人员已经确定了DSIRF控制下的一系列IP地址，该基础设施主要由Digital Ocean和Choopa托管，至少从2020年2月开始就积极为恶意软件提供服务，并持续到现在。 微软建议保持最新的补丁和恶意软件检测，并注意破坏后的行动，如凭证转储和启用明文凭证。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/340560.html 封面来源于网络，如有侵权请联系删除

安全内参消息，美国运输安全管理局（TSA，以下简称运安局）宣布，修订并重发关于石油及天然气输送管道的网络安全指令。经过修订之后，新指令将继续努力为美国关键输送管道建立网络安全弹性。 指令修订背景 针对关键管道公司重新发布的安全指令延续了2021年7月公布的原指令，制定过程得到了行业利益相关方及联邦合作伙伴（包括美国商务部、网络安全与基础设施安全局）的广泛支持。新指令将网络安全要求再延长一年，并把关注重点放在基于效能（而非规定）的关键网络安全成果实现措施上。 运安局长大卫·佩科斯奇(David Pekoske)表示，“运安局致力于保护国家交通系统免受网络攻击。修订后的安全指令将延续运安局同石油和天然气管道行业间的重大合作，期望建立一套新模型，适应系统与运营间的差异，满足我们的安全要求。” “我们意识到不同组织间存在诸多差异，因此我们开发出与这一事实相匹配的方法，并通过持续监控和审计来评估预期网络安全成果的实现情况。我们将继续与交通运输领域的合作伙伴携手，提高整个系统的网络安全弹性，也感谢过去一年各方为保护交通运输这一关键基础设施做出的重大努力。” 在2021年5月出现针对关键管道运输商的勒索软件攻击之后，运安局发布了多项安全指令，要求关键管道所有者及运营商实施几项紧急网络安全措施。在攻击之后的近14个月内，针对该领域的威胁不断演变加剧，而降低这一国家安全风险则需要公共及私营部门间开展广泛合作。 通过此次修订和重新发布的安全指令，运安局将继续采取措施，保护交通运输基础设施免受不断演变的网络威胁的侵扰。运安局还有意启动正式的规则制定流程，让公众也有机会考量现状、提交安全意见。 指令要求 此次重发的安全指令采用基于效能的创新方法增强安全水平，使行业能够利用新技术更好地适应不断变化的环境。安全指令要求运安局指定的管道及液化天然气设施所有者/运营商采取行动，防止基础设施遭受破坏和发生退化，实现以下安全结果： 制定网络分段政策和控制措施，确保在信息技术系统受到威胁的情况下，运营技术系统仍能继续安全运行，反之亦然； 建立访问控制措施，保护并防止针对关键网络系统的未授权访问； 建立持续监控和检测政策及程序，用以检测网络安全威胁并纠正影响关键网络系统运行的异常状况； 使用基于风险的方法，及时为关键网络系统上的操作系统、应用程序、驱动程序和固件等安装安全补丁和更新，降低未修复系统遭到利用的风险。 管道所有者和运营商必须： 制定并执行运安局批准的网络安全实施计划。此计划描述了在实现安全指令中规定的安全结果的过程中，管道所有者和运营商所需使用的具体网络安全措施。 制定并维护网络安全事件响应计划，其中包括在遭遇因网络安全事件引发的运营中断或业务严重退化时，管道所有者和运营商应当采取的措施。 建立网络安全评估计划，主动测试并定期审计网络安全措施的有效性，识别并解决设备、网络和系统中的安全漏洞。 以上要求，是对此前提出的向美国网络安全与基础设施安全局上报重大网络安全事件、建立网络安全联络点、开展年度网络安全漏洞评估等条款的额外补充。 转自 安全内参，原文链接：https://www.secrss.com/articles/45064 封面来源于网络，如有侵权请联系删除

虽然通常情况下，对CPU漏洞进行安全缓解工作在漏洞禁运日的状态良好，但Retbleed是一个例外。在Retbleed被公开近两周后，围绕它的Linux内核补丁修复工作仍在继续，今天在Linux 5.19-rc8之前有更多的补丁被送来，以解决缓解处理带来的影响。 这次的Retbleed补丁有点粗糙，许多问题直到这次投机执行攻击被公开和补丁被合并到Linux内核之后才被发现。在Retbleed补丁在”补丁星期二”登陆Linux内核后，各组织的Linux内核持续集成（CI）和构建方开始从被缓解的代码中发现一些边缘案例和不同的构建/运行时间问题。这些问题的出现要归功于于开发人员意识到并能够查看这些内核补丁。 随后一些后续的修复措施开始解决Retbleed代码的各种问题，今天又有一轮Retbleed的余波正在为情况依然不佳的Linux 5.19-rc8进行“再包扎”。 将近两周后，由于各种问题的出现，Retbleed的缓解措施仍然没有在Linux稳定系列中出现。但随着Retbleed修复措施的放缓，看起来缓解措施和所有的修复措施将很快在目前支持的稳定/LTS系列中首发。 今天早上，随着v5.19-rc8的x86/urgent新闻组列表更新，好消息终于来到，Borislav Petkov给Linus Torvalds发来消息说： Hi，Linus请再拉出几个retbleed的fallout fixes。看起来他们的紧迫性在降低，所以看起来我们已经成功地抓住了规模有限的-rc测试所暴露的任何漏洞。也许我们正在准备… 🙂 一些修复以防止返回thunks修补不需要的LKDTM模块，避免在eIBRS部分的每个内核条目上写入SPEC_CTRL MSR，从而增强错误输出；通过在AMD CPU上发出IBPB来保护EFI固件调用，以及将Retbleed缓解明确限制在x86_64内核。正如昨天所指出的，Retbleed缓解措施在x86 32位内核上不起作用，而且关键的上游开发者也没有兴趣去做这方面的支持。这些只是功能修复，但Retbleed对受影响的CPU型号仍有相当大的影响。 这些Retbleed修复和其他各种修复将是今天晚些时候推出的Linux 5.19-rc8内核的一部分。Linux 5.19稳定版预计将在下周末发布。 转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1296215.htm 封面来源于网络，如有侵权请联系删除

新浪科技讯 北京时间7月25日早间消息，据报道，2016年，美国网约车平台Uber发生了黑客攻击事件，导致5700万用户和司机的个人数据受到影响。日前，该公司和美国检方达成和解协议，Uber宣布为这次事件承担责任，作为交换，该公司也避免了检方的刑事罪名指控。 在这份双方达成的不指控协议中，Uber承认，在2016年11月的黑客袭击事件发生后，工作人员并未及时向美国证券交易委员会报告情况，而证交会之前一直在调查Uber的数据安全问题。 美国加州旧金山的检察官西兹（Stephanie Hinds）介绍说，在黑客袭击事件发生一年之后，Uber才向监管部门报告了情况。在对外报告之前，该公司调整了管理层，新管理层更加强调职业道德和合规经营。 这位检察官表示，之所以决定不对Uber提出刑事指控，主要考虑到两个情况，一是Uber现任管理层在积极调查和信息披露上的表现，二是Uber在2018年和美国联邦贸易委员会签署了一个长达20年的协议，公司承诺实施全方位的用户隐私保护计划。 据悉，检方仍将对Uber当时担任网络安全一把手的高管苏利文（Stephanie Hinds ）提出控罪，罪名有关他在隐瞒黑客攻击事件中所扮演的角色。在对这位前高管的指控中，Uber也向检方提供了配合。 对于这一报道，Uber并未发表评论。 苏利文最早遭到检方指控是在2020年9月。检方指出，苏利文做出决定，向黑客支付10万比特币的封口费，并且让黑客签署保密协议，黑客在协议中谎称，并未窃取Uber任何数据。 在网络安全方面，Uber很早之前就推出了一个“有奖捉虫”计划，对发现公司系统漏洞的外部安全研究人员提供奖励，不过这一计划并不包括向黑客支付费用，掩盖数据盗窃事件。 之前，美国50个州和华盛顿特区的检方也对Uber迟报黑客攻击事件的问题展开调查，在2018年9月，Uber一共赔付1.48亿美元，和这些州的检方达成了和解协议。 上周五，Uber股价小幅下跌。上述的检方不指控协议是在美国股市收盘后宣布的。 转自 新浪科技，原文链接：https://finance.sina.com.cn/tech/it/2022-07-25/doc-imizmscv3384660.shtml 封面来源于网络，如有侵权请联系删除

近日的一个Microsoft Teams小故障，却使得多个与Teams整合的Microsoft 365服务瘫痪，其中包括了Exchange Online、Windows 365和Office Online。 微软在其官方的微软365状态Twitter账户上向外界透露，他们收到了用户无法访问Microsoft Teams或使用Microsoft Teams功能的报告，导致此次问题的原因是最近关于Microsoft Teams的部署，该问题的关键是在于与内部存储服务的连接中断。 然而，Microsoft Teams并不是唯一受此故障影响的产品，因为用户也开始报告无法连接到各种Microsoft 365服务。微软证实了这些问题，并表示此次故障仅影响到Microsoft 365服务中与Microsoft Teams整合的部分。 “我们已经确定了对与Teams整合的多个Microsoft 365服务的下游影响，如Microsoft Word、Office Online和SharePoint Online。”微软解释说。 微软在Microsoft 365服务健康状态页面上发表了进一步的详细说明，告知受影响的客户可能会遇到以下问题中。 Microsoft Teams（访问、聊天和会议） Exchange Online (延迟发送邮件) 微软365管理中心（无法访问） 多个服务中的Microsoft Word（无法加载） Microsoft Forms (无法通过Teams使用) Microsoft Graph API (任何依赖此API的服务都可能受到影响) Office Online（Microsoft Word访问问题） SharePoint Online (Microsoft Word访问问题) 项目在线（无法访问） PowerPlatform和PowerAutomate（无法创建一个带有数据库的环境） 微软托管桌面内的自动补丁 Yammer (对Yammer实验的影响) Windows 365 (无法配置云电脑) 在将流量重定向到一个健康的服务器以减轻影响后，微软的遥测结果表明，Microsoft Teams的功能开始恢复。微软对外界进行了补充说明，并表示大部分服务已经恢复可用性，仅有少部分服务功能仍需要关注，微软也将继续监测服务，以确保该问题完全修复前，相关服务的状态不会出现波动。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/339838.html 封面来源于网络，如有侵权请联系删除