服务定位协议（SLP）被曝高严重性安全漏洞，该漏洞可被用作武器化，对目标发起体积性拒绝服务（DoS）攻击。 Bitsight和Curesec的研究人员Pedro Umbelino和Marco Lux在一份与《黑客新闻》分享的报告中说：攻击者利用这个漏洞可以发动大规模的拒绝服务（DoS）放大攻击，系数高达2200倍，有可能成为有史以来最大的放大攻击之一。 据称，该漏洞为CVE-2023-29552（CVSS评分：8.6），影响全球2000多家企业和54000多个通过互联网访问的SLP实体。 这其中包括VMWare ESXi管理程序、柯达打印机、Planex路由器、IBM集成管理模块（IMM）、SMC IPMI等其他665种产品。 易受攻击的SLP实体最多的前十个国家分别是美国、英国、日本、德国、加拿大、法国、意大利、巴西、荷兰和西班牙。 SLP是一个服务发现协议，使计算机和其他设备能够在局域网中找到服务，如打印机、文件服务器和其他网络资源。 攻击者利用受CVE-2023-29552漏洞影响的SLP实体，发起放大攻击，用超大规模虚假流量攻击目标服务器。 要做到这一点，攻击者需要做的就是在UDP 427端口找到一个SLP服务器并注册 ，直到SLP拒绝更多的条目，然后以受害者的IP作为源地址反复对该服务发起请求。 这种攻击可以产生高达2200倍的放大系数，导致大规模的DoS攻击。为了减轻这种威胁，建议用户在直接连接到互联网的系统上禁用SLP，或者过滤UDP和TCP 427端口的流量。 研究人员表示：同样需要注意的是，实施强有力的认证和访问控制，只允许授权用户访问正确的网络资源，并对访问进行密切监控和审计。 网络安全公司Cloudflare在一份公告中说，预计基于SLP的DDoS攻击的普遍性将在未来几周内大幅上升，因为攻击者正在尝试新的DDoS放大载体。     转自 Freebuf，原文链接：https://www.freebuf.com/articles/364915.html 封面来源于网络，如有侵权请联系删除  

研究人员警告说，如果劫持者开始使用人工智能辅助的热成像技术来确定输入后不久的密码，目前基于密码的安全保护设施情况可能会恶化。格拉斯哥大学的研究人员公布了一种方法，通过对用户手指的热信号进行成像，来猜测键盘和手机屏幕上最近输入的密码，精确度很高。 该技术的成功率因时间、材料和密码长度的不同而不同，但可能会使最近设备盗窃案的上升趋势恶化。 盗窃者们最近开始通过观察用户在公共场合输入密码来偷窃和闯入他们的手机和其他设备。用受害者的密码登录是克服苹果和Google等公司煞费苦心实施的所有安全措施的直接方法，一旦有人偷窃并登录他们的设备，受害者就无能为力。 然而，一次成功的身份盗窃需要犯罪者记住他们看到的密码，或者在受害者输入密码时进行录音。研究人员的新方法可以给盗贼一个更广阔的窗口，让他们在有人输入密码后分辨出密码。 如果一个人在输入密码后一分钟内用热像仪拍下屏幕或键盘的照片，人工智能就能可靠地猜出按键的顺序。这个被称为ThermoScure的系统，根据不同的条件，至少有62%的成功率。 时间是关键，ThermoSecure在分析输入密码后20秒内拍摄的照片时，成功率为86%。30秒时成功率下降到76%，一分钟后下降到62%。 较长的密码在一定程度上降低了系统的有效性。ThermoSecure可以猜出一个16个字符的密码，在有人输入密码后20秒内拍摄的图片中，有67%的时间可以猜出。12个字符的密码的猜测率上升到82%，8个字符的密码为93%，6个字符的密码为100%。这些结果使任何非字母数字的iPhone密码成为该系统的主要目标，因为该设备的简单密码最多为六个数字。 对于键盘来说，打字方式和材料等其他因素也会影响ThermoSecure的准确性。通过30秒的热特征图像，系统可以猜出80%的触摸式打字员的密码，92%的情况下可以猜出猎取式用户的密码。同时，由PBT塑料制成的按键将成功率降低到14%，而ABS塑料只能将其降低到50%左右，背光键盘也更安全，因为它们会产生更多热量，隐藏热指纹。 身份盗窃者已经可以轻松而廉价地获得热敏相机。虽然将它们与人工智能驱动的猜测结合起来的方法还没有出现，但这项研究似乎证明了这一理论，使用户有更多理由制定强有力的安全措施。他们应该避免在别人看得见的地方输入密码，并尽可能使用其他认证方法，如生物识别技术。     转自 cnBeta，原文链接：https://www.toutiao.com/article/7225708353542947339/ 封面来源于网络，如有侵权请联系删除

GitHub宣布正式上线提供私人漏洞报告功能，以便研究人员和更广泛的公众可以私下报告漏洞。有了这个功能，研究人员可以在不公开披露弱点的情况下报告漏洞。这确保了恶意行为者不会在修复措施发布之前利用这些漏洞。   私人漏洞报告首先在GitHub Universe 2022年作为公开测试版提供。从那时起，30000个组织的维护者已经在超过180,000个存储库中启用了该功能。GitHub表示，这种私人报告机制启动以来，已经收到了超过1000份报告。 随着GitHub将这一功能晋升为普遍可用，它还增加了几个新功能。第一个改进让维护者可以在其组织中的所有仓库上启用该功能，而不是一次只启用一个仓库。维护者还可以为那些帮助发现问题的人指定一个类型，一些类型包括分析员、发现者、赞助者等等。 最后，还有一个新的版本库安全顾问的API，方便与第三方系统的整合，自动提交，和漏洞警报。希望随着这一功能的普及，开源项目会变得更安全一些。   转自 cnBeta，原文链接：https://www.toutiao.com/article/7223979662970946105/ 封面来源于网络，如有侵权请联系删除

在2023年第一季度中，沃尔玛被评为最有可能被网络犯罪分子在品牌网络钓鱼攻击中冒充的品牌。 根据Check Point研究公司的最新品牌网络钓鱼报告，沃尔玛在上一季度的排名中“名列前茅”，占全球所有网络钓鱼事件的16%。 世界各地都在受到网络钓鱼的侵扰，每天发送恶意电子邮件的数量更是惊人。 根据最近的网络钓鱼邮件统计数据，每天有高达34亿封网络钓鱼邮件被发送，相当于全球所有邮件发送量的1.2%。 2023年品牌网络钓鱼数据统计 预计在2023年，将有超过3300万条信息记录被勒索软件或网络钓鱼攻击勒索。网络犯罪分子将在未经授权的情况下获得全球数百万人的敏感数据。 2023年第一季度，与沃尔玛有关的网络钓鱼攻击激增。其原因与一场大型活动有关，该活动诱导人们点击一个所谓的 “供应系统故障 “的虚假链接。 DHL是本次品牌网络钓鱼报告中的“第二名”，占所有网络钓鱼事件的13%，而微软以12%紧随其后。 报告还指出，金融服务公司越来越成为网络钓鱼活动的目标。 Raiffeisen银行首次上榜，位列第八，占本季度网络钓鱼攻击的3.6%。 在Raiffeisen的网络钓鱼活动中，收件人被诱导点击一个恶意链接，以确保他们的账户免受欺诈活动的影响。然而一旦提交，信息就会被攻击者窃取。 Check Point软件公司数据组经理Omer Dembinsky说：”企业应该对员工进行适当的培训，以发现那些可疑的特征，如错误的域名、错别字、不正确的日期以及其他可能暴露恶意邮件或链接的细节。 犯罪组织精心策划的网络钓鱼活动，最终目的是获取尽可能多的个人信息。当然也包括其他目的，例如在Raiffeisen活动中观察到的攻击，目的是获取敏感的账户信息；针对流行的流媒体服务Netflix的攻击，是为了盗取支付细节。 现在网络钓鱼正变得越来越复杂，所以个人在回复电子邮件或点击链接时必须谨慎。 不惜一切代价保护数据 根据F5实验室2020年的网络钓鱼和欺诈报告，大多数网络钓鱼网站（55%）使用目标品牌名称来轻松捕获敏感信息。 84%的美国企业表示，定期的安全意识培训有助于降低员工受网络钓鱼攻击的比率。 令人震惊的是，根据IBM的2022年数据泄露报告，92%的网络钓鱼攻击在澳大利亚非常成功，相比前一年增加了53%。 在这些网络钓鱼攻击中，最常被冒充的品牌是亚马逊和谷歌，占13%的份额，其次是Facebook和Whatsapp，占9%，苹果和Netflix，占2%。 该报告还强调了一个问题，即由网络钓鱼引起的漏洞平均需要295天的时间来识别和控制，这是所有类型的安全漏洞中第三长的时间段。也因此企业和个人对这些攻击更要保持警惕。 在品牌网络钓鱼攻击中，犯罪分子试图使用类似的域名或URL和类似于真实网站的网页设计来模仿知名品牌的官方网站。 假网站通常包含一个表格，旨在窃取用户的凭证、付款细节或其他个人信息。 对网络钓鱼威胁的最好防御是了解网络钓鱼的攻击方式，因此公司应确保其员工接受培训，以识别可疑的电子邮件或链接。     转自 Freebuf，原文链接：https://www.freebuf.com/news/364638.html 封面来源于网络，如有侵权请联系删除

据Dark Reading 4月21日消息，谷歌云平台 (GCP) 被曝存在一个安全漏洞，可能允许网络攻击者在受害者的谷歌帐户中隐藏不可删除的恶意应用程序。 这个被称为“GhostToken”的漏洞是由 Astrix 安全研究人员发现并报告，根据该团队 4 月 20 日发布的分析，恶意程序之所以进行隐藏，是为了进一步读取受害者的 Gmail 帐户、访问 Google Drive 和 Google Photos 中的文件、查看 Google 日历以及通过谷歌地图跟踪位置，有了这些信息，攻击者就可以设计出极具迷惑性的网络钓鱼攻击。 除此之外，攻击者还可能从Google Drive 中删除文件，从受害者的 Gmail 帐户中写入电子邮件以执行社会工程攻击，从 Google Calendar、Photos 或 Docs 中敏感数据，等等。 如鬼魂般的恶意程序 谷歌云平台是谷歌所提供的一套公有云计算服务。该平台包括一系列在 Google 硬件上运行的用于计算、存储和应用程序开发的托管服务，也包括为最终用户托管各类应用程序，这些应用程序与其他应用程序生态系统一样，可通过谷歌应用市场下载。一旦用户授权下载，应用程序就会在后台收到一个令牌，根据应用程序请求的权限授予相应的Google 帐户访问权限。 但利用GhostToken 漏洞，网络攻击者可以制作一个恶意应用程序，将其植入到应用程序商店，伪装成合法的实用程序或服务。一旦用户下载并安装，便会隐藏在受害者的谷歌账户申请管理页面中，并无法从谷歌帐户中删除。此外，攻击者可以随时取消对恶意程序的隐藏状态，让其使用令牌访问受害者的帐户，然后再次隐藏并恢复成不可删除的状态。 Astrix 的研究员表示，这个特定的漏洞允许网络攻击者一方面可以访问组织的 GCP 环境，另一方面也可以访问个人 的Google Photos 和他们的电子邮件帐户，从而对企业和个人构成安全风险。     转自 Freebuf，原文链接：https://www.freebuf.com/news/364315.html 封面来源于网络，如有侵权请联系删除

近日，据彭博社的 Mark Gurman称，苹果在 iOS 17 中将首次允许 iPhone 用户下载在其官方 App Store 之外托管的应用程序。 什么是侧载？ 侧载，即允许客户下载应用程序而无需使用 App Store，意味着开发人员无需支付 Apple 的 15% 到 30% 的费用。 2022 年 11 月 1 日生效的欧盟《数字市场法》 (DMA) 要求“看门人”公司向其他公司和开发商开放其服务和平台。 《数字市场法》将对 Apple 的平台产生重大影响，它可能会导致 Apple 对 App Store、Messages、FaceTime、Siri 等进行重大更改。据 Gurman 称，Apple 计划在2023年实施侧载支持以符合新的欧洲法规。 彭博社称，Apple 的软件工程和服务员工正在努力开放“Apple 平台的关键元素”，而 Apple 使用“大量资源”来进行变革。Apple 计划在今年为iOS 17准备好该功能，这将提前截止日期。一些员工告诉彭博社，这些重大更新有可能影响为 iOS 17 设计的新功能的工作。 支持侧载有什么影响？ Apple 声称，侧载将“破坏 iPhone 用户所依赖的隐私和安全保护”，使人们容易受到恶意软件、诈骗、数据跟踪和其他问题的攻击。 为了保护用户免受上述侧载风险，Apple 正在考虑实施验证等安全要求，该过程可能会收取费用，而不是从应用程序销售中收取费用。Apple 在 Mac 上有一个验证系统，可以让用户安全地访问Mac App Store以外的应用程序。 Apple 可以向第三方应用程序开发人员开放底层应用程序框架和 API，从而提供对核心系统功能和硬件的更深入访问。第三方应用程序将来可以访问现在不可用的相机技术，Apple 正在努力以有限的方式开放 NFC，以允许Apple Pay替代方案。Apple 还在考虑进一步向 Tile 等配件制造商开放Find My网络。 截至目前，Apple 允许第三方设备制造商创建“Find My”配件，但有一项要求禁止他们使用非“Find My”应用和服务。 《数字市场法》的一个方面要求苹果允许开发者在其应用程序中安装第三方支付系统，而苹果尚未就是否遵守该规则“做出最终决定”。Apple 还未决定如何向第三方服务提供 Messages 应用程序，因为它需要消息传递平台之间的互操作性。 Apple 必须遵守《数字市场法》，因为如果违反该法律，欧盟可以对一家公司处以高达其全球收入 20% 的罚款。如果苹果不实施这些改变，罚款可能高达 800 亿美元。 古尔曼在 2022 年 12 月的一份报告中表示，苹果正在考虑实施验证等安全要求，苹果可以对这一过程收取费用，而不是从应用程序销售中收取费用。Apple 在 Mac 上有一个验证系统，可以让用户安全地访问 Mac App Store 以外的应用程序。 如果其他国家/地区引入类似立法，替代应用程序商店可能会扩展到欧盟以外。例如，美国正在考虑要求 Apple 允许侧载的立法。     转自 E安全，原文链接：https://mp.weixin.qq.com/s/KaWmdNLt7agsaOjjadwcag 封面来源于网络，如有侵权请联系删除

欧盟委员会发布内部争议巨大的《网络团结法案》提案，希望促进欧盟范围内合作，为重大网络攻击做好应对准备。 该提案是本周二（4月18日）提出的更广泛的网络安全一揽子计划的组成部分，旨在促进跨境与公私部门在预测和应对网络攻击方面的协调工作，相关预算为11亿欧元（约合人民币83亿元）。 此类立法建议最早出现于2022年3月，即俄乌战争爆发后不久，部分原因是欧盟委员会考虑到重大网络攻击的威胁正在持续增加。 该提案希望公共部门和私营实体能够相互配合，学习乌克兰已经实践的企业与政府当局合作应对网络威胁的模式。 但提案的某些内容引起了欧盟成员国的激烈争论和反对，特别是涉及情报共享以及私营企业认证和责任的条款。 欧盟委员会执行副主席玛格丽特·维斯塔格 (Margrethe Vestager)在提案发布会上表示，“近30%的欧洲中小企业在过去12个月中，至少经历过一次网络犯罪。”她补充称，《网络团结法案》标志着欧盟广泛的网络安全战略终于补齐了最后一块拼图，开始具备可操作性。 “我们将首次共同投资运营能力。网络安全能否成功将取决于我们是否能够携手并进，只有在整个欧洲的共同努力下才有可能实现。” 欧盟网络护盾 此次提案的首个核心要点，是建立起由欧盟各国和跨境安全运营中心（SOC）组成的欧洲网络护盾（Cyber Shield）。 提案目标是让安全运营中心明年投入运营，并与波罗的海和比荷卢经济联盟等近邻建立起区域网络合作中心。安全运营中心将使用AI等多项技术监控与识别网络威胁，并提醒政府当局注意即将发生的攻击活动。 在提案发布会上，负责欧盟内部市场的执行委员Thierry Breton表示，网络护盾将被用于检测、缓解和应对网络威胁。 与此同时，他试图向欧洲各国政府保证，这些措施将以成员国现有的网络安全运营中心为基础并展开配合，而非取代关系。 Breton指出，“各国可以继续保留原有设施，只是会在整个欧洲层面上来匹配这些现有网络安全设施。” “各个国家都将有自己的中心，它们将充当对接原有设施的接口，并由此建立起覆盖整个欧洲的护盾或者护罩。” 网络安全预备队 该提案的第二大要点，是通过建立网络应急机制，提高欧盟在危机中的准备和应对能力。这项机制将测试能源和交通等关键部门的漏洞，并为欧盟各成员国间的互助工作提供财政支持。 该机制还将建立欧盟“网络安全预备队”，由可信赖和经过认证的私营企业参与，并随时准备应对重大网络事件。 Breton表示，虽然最初的计划是建立一支“网络军队”，但事实证明这项工作太过复杂。于是委员会选择建立储备力量，随时待命并在危机时刻进行干预。乌克兰已经采取了这样的制度。 该计划内容也引起了一些争议。据英国《金融时报》日前看到的一份文件，有24个欧洲国家政府（即除现任和之前连续两任欧盟主席国外的其他所有国家）呼吁欧盟委员会放缓这份网络团结提案，希望能将预备队的认证和部署维持在本国范围之内。 这一问题的症结在于，网络威胁情报可以被用来侵入任何一方的IT系统，不会区分目标具体是地缘政治对手、犯罪网络还是经济竞争对手。因此，各国政府都将威胁情报视为必须严密保护的信息。 欧盟委员会内部机构对公私合作问题也存在分歧。欧盟外交部门欧洲对外行动署（EEAS）目前在修订网络外交工具箱（Cyber Diplomacy Toolbox），该工具箱也会依靠私营企业来处理恶意网络活动。 《网络团结法案》的最后一个要素，是建立起网络安全事件审查机制。该机制要求对重大网络安全事件开展事后审查和分析，以指引欧盟网络防御方法的未来发展方向。 在提案发布会上，还公布了成立欧盟网络安全技能学院（EU Cybersecurity Skills Academy）的消息。该学院旨在提高网络技能，弥合现有网络人才缺口，帮助普通民众掌握必要网络安全能力，并培训该领域的专家。 转自 安全内参，原文链接：https://mp.weixin.qq.com/s/WHBY8Z83pRTALmjVWIMyZA 封面来源于网络，如有侵权请联系删除

根据颇具影响力的网络空间日光浴室委员会的一项研究，美国应正式将太空列为关键基础设施部门，并采取措施保护卫星和其他太空系统免受网络攻击。 报告指出，“将太空系统指定为美国的关键基础设施部门将缩小目前的差距，并向国内外发出信号，表明太空安全和弹性是重中之重。太空达到了指定的门槛，因为它越来越多地卷入美国的军事和经济。” 由于没有任何一个联邦实体负责保护空间系统（如地面站和卫星）免受黑客攻击，白宫应将空间指定为第 17 个关键基础设施部门，并将 NASA 作为其“部门风险管理机构”提供监督和小组争论。当前的关键基础设施部门包括水坝、运输系统、化学部门和通信。 根据该研究的执行摘要，美国太空系统的主要部分仍然没有被指定为关键基础设施，也没有得到这样的指定所需要的关注或资源，今天的大多数太空系统都是在太空是冲突避难所的前提下开发的，但情况已不再如此。 网络空间日光浴室委员会由国会于 2019 年创建，由两党立法者小组领导。它于 2021 年底停用，但作为非营利组织继续发布报告和建议。 最近的一系列事态发展可能会为委员会在国会山提出的新建议提供动力。 在莫斯科无端入侵乌克兰之初，俄罗斯黑客将目标对准了卫星公司Viasat，以中断通信。 国土安全部还建议政策制定者考虑为太空和生物经济创建新的关键基础设施部门。国家安全委员会目前正在敲定重写总统指令 PPD-21，该指令决定哪些部门获得关键基础设施标签。 该报告指出，“有必要减轻源于太空地理和技术特殊性的独特网络安全挑战，通过国会拨款进行大量投资将势在必行，因为没有资源的政策只是空谈。” 为此，委员会建议国会每年向 NASA 提供 1500 万美元的初始投资，以及 25 名全职员工，以承担其新的风险管理职责。然而，该小组告诫不要授予该机构任何新的监管权力，而是建议国会研究服务处梳理现有法规并提出立法构想。 它还敦促航天部门建立一个协调委员会，以帮助促进工业界与联邦政府之间的信息共享。 报告还指出，“来自俄罗斯和其他国家的威胁正在增加。这些国家都将美国和合作伙伴的太空系统置于他们的十字准线之下，正如他们对反卫星 (ASAT) 能力的测试所证明的那样。美国需要一种更加协调一致的方法来进行空间系统基础设施的风险管理和公私合作。”       转自 E安全，原文链接：https://mp.weixin.qq.com/s/E8PEHH78mZYLG78Yk2XXxw 封面来源于网络，如有侵权请联系删除

4月14日，谷歌正式公布了一系列举措，专门针对目前漏洞管理生态系统的不足，出台一些更透明度的制度和措施。 谷歌曾在一份公告中提到，零日漏洞作为头条新闻的“常客”，风险性确实是比较大的。即使我们一发现漏洞就立刻修复，它的风险仍然存在，而且可能出现的风险包括OEM采用的滞后时间、补丁测试的痛点、终端用户的更新问题等各个方面，所以如何去改善这件事，真的是个非常现实的问题。 不仅如此，安全威胁还可能来自于供应商应用不完整的补丁。有时候一些实验室和研究机构外部的零日漏洞有很大一部分会直接变成以前打过补丁的漏洞的“升级版本”。如果想要减轻此类风险，必须要从漏洞的根源解决问题。而在这个解决过程中，要优先考虑现代安全软件开发实践的情况，这样就能更好的消除所有同类型的威胁，同时还能阻止潜在的攻击路径。 基于上述因素，谷歌表示目前正在组建一个黑客政策委员会，该委员会将会确立新的政策和法规。同时，谷歌进一步强调，后面如果再出现某产品系列的漏洞被人利用的情况出现，掌握证据后，会直接将调查事件结果进行公开披露。 这家科技巨头表示，它还在筹备设立一个安全研究法律辩护基金，专为从事正向研究的优秀个人提供种子资金，以更好的促进网络安全问题的宣传，从而更好的发现安全问题并更加及时地报告漏洞信息。 谷歌最新的安全计划表明，如果想要漏洞不轻易被利用，那么就要加速已知漏洞的补丁应用，制定有针对性的政策，并且让用户及时了解这些讯息，以最大程度的确保产品的生命周期。另外，安全计划中还强调了在软件开发生命周期的任何阶段，应用设计安全原则都十分重要。 在公开宣布这一消息之后，谷歌还推出了一项名为deps.dev API的免费API服务，可以向人们提供对Go、Maven、PyPI、npm和Cargo存储库中约500万个开源包中，共计约5000多万个版本的安全元数据和依赖性信息访问的服务，从而确保软件供应链的安全性。 同时，谷歌的云计算部门也宣布将为Java和Python生态系统提供开源软件（Assured OSS）服务，以保证该系统的普遍可用性。 转自 Freebuf，原文链接：https://www.freebuf.com/news/363591.html 封面来源于网络，如有侵权请联系删除

美国网络司令部申请8940万美元(约合人民币6.14亿元)预算，计划在2024财年建设一个关键的进攻性网络平台——联合通用访问平台（Joint Common Access Platform，JCAP）。这是该部门首次公开此类项目的预算数字。 JCAP项目将使美国防部的网络作战人员能够在友方（friendly）防火墙之外与他们的目标进行连接。自2020年以来，JCAP一直由陆军负责运营，网络司令部担任执行机构。此前，JCAP在预算文件中被列为机密级，几乎不公布关于计划的任何细节或资金数额信息。到目前为止，有关该项目的公开信息只有国安服务提供商ManTech在2020年获得一份价值2.65亿美元的合同，负责为JCAP计划提供为期三年半的支持服务。 此次预算金额是在网络司令部的2024财年研发预算中列出。以往，各军种只负责为网络司令部提供资金和人员。但在2022财年国防授权法案中，国会增强了网络司令部的预算权限，允许其根据网络任务部队的维持需求直接控制和管理各类资源的规划、编排、预算及执行。 美国各大军种过去都有自己的网络支持平台。但网络司令部正在主动将这些能力纳入其联合网络作战架构，希望以该架构指导所有军种的联合网络任务部队的采办优先事项。出于这个目的，网络司令部必须将各军种的不同系统整合起来。 JCAP将作为联合网络火力平台，各大军种的系统预计将在2024年全部迁移到该平台。 鉴于这项计划的敏感性，此前几乎没有公布任何信息。美国政府问责局（GAO）将其描述为“供网络作战人员通过使用一套综合工具套件实现战斗力投送的通用访问平台。” JCAP采用敏捷软件方法，每两个月举行一次论坛，评估差距、威胁、要求和新兴技术，以期在更短周期内注入能力，以超越克服威胁。去年JCAP已经交付了首个最小可行功能版本。 美国网络司令部在预算申请中指出，“JCAP可提供一个受保护、被托管、已编排的环境与通用网络火力平台，支持网络司令部协调和执行对已获批网络目标的网络行动。这种能力使网络任务部队有能力在处理检测和归因工作的同时执行作战行动。JCAP计划利用现有服务访问平台项目，目标是通过组合、增强和发展现有项目基准，打造出‘同类最佳’JCAP。” 2024财年申请的8940万美元预算，将用于改进能力并增强网络任务部队的行动与支持任务准备水平。此外，预算还将用于联合网络作战架构及其他要素的进一步整合。 网络司令部将JCAP项目列入了研发预算的“健壮基础设施与访问”部分。计划内容还包括另一项工作，名为“其他网络作战基础设施”，目前仍属于高度机密。除了在2024财年内为其申请8070万美元预算之外，文件中没有提供任何相关细节。二者相加，令整个计划内容的预算申请总额达到1.701亿美元。 在采购方面，网络司令部为“健壮基础设施与访问（JCAP）”申请了5050万美元。不过文件提到，这笔资金将用于为联合任务作战中心（网络作战的指挥、控制与执行中心）内各系统提供服务台、技术支持、许可证及技术更新。 转自 安全内参，原文链接：https://mp.weixin.qq.com/s/jKWORCQ0Bc05kgJ3HSt-eA 封面来源于网络，如有侵权请联系删除