网络安全专业人员在确保人工智能工具安全方面责无旁贷，确保这些技术仅用于社会公益，这是 RSA 2024 大会发出的强烈信息。 人工智能在现实世界中大有可为，例如可以更快、更准确地诊断健康状况。然而，随着人工智能的创新和应用步伐以前所未有的速度加快，许多人呼吁必须及早建立安全防护措施，以确保人工智能发挥其巨大潜力。 在这一过程中，必须考虑到隐私和公平等概念。 微软负责安全、合规、身份和管理的副总裁 Vasu Jakkal 强调说：”我们有责任在人工智能快速发展的时代探索创造一个安全可靠的空间。“ 另外，人工智能安全中心创始人 Dan Hendrycks 表示，人工智能存在着巨大的风险，鉴于其在物理世界中日益增长的影响力和潜力，这些风险既是社会性的，也是技术性的。也就是说，人工智能的安全保护是一个更广泛的社会技术问题，而不仅仅是技术问题。 哈佛大学肯尼迪学院安全技术专家、研究员兼讲师 Bruce Schneier 指出，现在，人工智能安全和我们的安全紧密相连，因此我们必须更广泛地思考这些问题。 对人工智能完整性的威胁 员工正在利用 ChatGPT 等公开可用的生成式人工智能工具开展工作，Presidio 公司的 CISO Dan Lohrmann 将这种现象称为 “自带人工智能”。 Secureworks 的首席技术官 Mike Aiello 认为，这与 SASE 服务刚出现时的情况类似，当时企业中的许多员工都订阅了这些服务。现在，企业在使用人工智能方面也面临同样的情况，比如注册 ChatGPT，对于企业来说已经有点不受控制。 这种趋势给企业带来了许多安全和隐私方面的问题，比如敏感的公司数据被输入到这些模型中，可能会导致信息公开。 其他问题也威胁着人工智能工具输出结果的完整性。这些问题包括数据中毒，即通过改变模型所训练的数据无意或有意地改变模型的行为；以及提示注入攻击，即操纵人工智能模型执行非预期的操作。 这些问题有可能破坏人们对人工智能技术的信任，造成模糊、偏见和歧视等问题。反过来看，这将限制人工智能技术的应用和解决重大社会问题的潜力。 人工智能是一项治理问题 在 RSA 大会上发言的专家们主张，企业应像对待其他需要确保安全的应用程序一样对待人工智能工具。 谷歌安全工程副总裁 Heather Adkins 指出，从本质上讲，人工智能系统和其他应用程序一样，都有输入和输出，过去 30 年里开发的很多技术在这里也同样适用。 Jakkal 认为，确保人工智能系统安全的核心是建立一个强大的风险管理治理体系。她阐述了微软在这方面的三大支柱： 发现： 了解环境中使用了哪些人工智能工具，以及员工是如何使用它们的 保护： 降低整个系统的风险，并加以实施 治理： 遵守监管和行为准则政策，培训员工安全使用人工智能工具 Lohrmann 强调，企业要采取的第一步是让员工了解人工智能的使用情况，在采取行动之前，必须知道发生了什么。 Secureworks 的 Aiello 还主张，在将工作委托给人工智能模型时，员工应该保持高度参与。他解释说，公司使用工具进行数据分析，析师也要检查这些数据，并在出现模糊等问题时提供反馈。 结论 目前，我们还处于了解人工智能对社会真正影响的早期阶段。要发掘人工智能的巨大潜力，这些保护系统必须具备强大的安全性，否则可能面临跨组织和跨国家的限制甚至禁令。 如今，企业仍在努力应对工作场所生成式人工智能工具的激增，必须迅速制定能够安全可靠地管理这种使用的政策和工具，而网络安全行业对这一问题的处理方式很可能会对人工智能未来的角色产生重大影响。   转自FreeBuf，原文链接：https://www.freebuf.com/news/400461.html 封面来源于网络，如有侵权请联系删除

LockBit勒索软件团伙声称对威奇托市发动了一场破坏性的网络攻击，迫使该市政府关闭了用于在线账单支付的IT系统和包括法庭罚款、水费和公共交通系统。 威奇托位于堪萨斯州，是该州最大的城市，人口接近40万。它在该地区扮演着重要的文化、经济和交通枢纽角色，拥有多家飞机制造厂。 2024年5月5日，该市政府宣布他们正面临一场破坏性的网络攻击，LockBit勒索软件加密了部分网络。 为了遏制损失并阻止攻击进一步传播，该市IT专家关闭了用于在线服务的计算机。 官方声明中提到：“这一决定并非轻率之举，我们需要确保系统在重新投入使用之前是通过了安全审查的。” 5月8日早些时，LockBit勒索软件团伙将威奇托添加到其勒索门户上，并威胁称除非威奇托支付赎金，否则将于2024年5月15日前发布所有被盗文件。 在攻击发生仅三天后就公布勒索软件受害者名单并不常见，因为通常来说勒索软件团伙会给公司更多时间去谈判。 然而，此次公布是在国际执法行动揭露并制裁了LockBit勒索软件运营的领导者，一个名为Dmitry Yuryevich Khoroshev的31岁俄罗斯国籍的人之后，仅几小时内完成的。此人在网上的别名是“LockBitSupp”。 将威奇托市迅速列入受害名单可能是该勒索软件对最近执法行动的报复，这些行动严重破坏了软件运营，同时玷污了运营者的声誉。 与此同时，威奇托市持续受到干扰，以下服务仍然不可用：  暂停水费的自动付款 某些地点（机场航站楼，高级学习图书馆，Evergreen和Walters图书馆分馆）的公共Wi-Fi 图书馆的在线目录、数据库和一些数字服务 图书馆工作人员通过城市网络的电子邮件通讯 图书馆的自助打印释放站和自助检查站 高级学习图书馆的自动材料处理器  图书馆的大部分电话呼入功能 社区资源中心的Wi-Fi和电话服务 由于在线付款平台关闭，公共服务，包括高尔夫球场、公园、法院和水务局，要求居民以现金或支票支付  截至2024年5月10日的任何投标、提案或资格要求的请求被推迟到2024年5月17日。此外，原定于2024年5月10日星期五的“投标开标”已取消 除上述之外，一些公共安全服务如WFD和WPD已开始使用“纸笔报告”，而威奇托市公交车和填埋场服务只接受现金支付。 该市仍在调查此次攻击是否导致数据被盗，然而LockBit勒索软件团伙在部署其加密器之前会窃取数据是公知的。 因此，如果不支付赎金，数据很可能会被泄露到勒索软件团伙的数据泄露网站上。   消息来源：bleeping computer，译者：lune；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

微软已确认，上月发布的 Windows Server 安全更新可能会导致本地安全机构子系统服务（LSASS）进程崩溃，从而重新启动域控制器。 LSASS 是 Windows 的一项用于处理安全策略、用户登录、访问令牌创建和密码更改等任务的服务。 受影响的 Windows 版本和错误安全更新列表包括 Windows Server 2022（KB5036909）、Windows Server 2019（KB5036896）、Windows Server 2016（KB5036899）、Windows Server 2012 R2（KB5036960）、Windows Server 2012（KB5036969）、Windows Server 2008 R2（KB5036967）和 Windows Server 2008（KB5036932）。 微软解释：“在极少数情况下，运行域控制器（DC）角色的 Windows 服务器可能会因为本地安全机构子系统服务（LSASS）崩溃而重新启动。”这一情况已添加到 Windows 版本运行状况仪表板的最新更新中。 为解决由于 LSASS 内存泄漏而导致的其他 Windows Server 崩溃问题，微软发布了紧急带外（OOB）更新，这是在安装了 2024 年 3 月的 Windows Server 安全更新后出现的。 此前，微软已在 2022 年 12 月和 2022 年 3 月解决了其他 LSASS 崩溃问题，这些问题曾被认为是域控制器重新启动的原因。 NTLM 认证失败和 VPN 的问题 微软此前已经确认，2024年4月的Windows安全更新还会导致NTLM认证失败和受影响域控制器的负载增加。 此外，Windows平台跨客户端和服务器的用户也受到VPN连接失败的影响。 微软尚未告知该影响的具体原因，目前仍在努力修复中。建议中小型和大型企业客户通过“Support for Business”联系微软，家庭用户可使用Windows “Get Help”应用获得帮助。 在微软发布修复程序之前，目前没有官方解决方案。但是，您仍然可以通过卸载安全问题更新来暂时解决这些已知问题。 微软表示：“将LCU包名称作为参数的情况下使用DISM/Remove-Package命令行选项，这样就可以在安装组合的SSU和LCU包之后移除LCU。可以使用DISM /online /get-packages 命令查找包名称。” 值得注意的是，Redmond在周二补丁更新中也囊括了安全修复；因此，为了解决域控制器、NTLM和VPN的问题而移除2024年4月的更新同时也会清除所有安全漏洞的修复程序。   消息来源：bleeping computer，译者：lune；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

根据国家网络办公室周二发布的一份报告，拜登政府计划采取积极行动，增强关键基础设施部门的网络弹性，包括医疗保健和水务部门，这些部门是近几个月来重大威胁活动的目标。 美国希望加快情报共享流程并促进与私营部门更密切的合作。政府还计划增强主动破坏威胁活动并打击攻击者的能力。 “我们国家的网络安全正处于根本性变革之中。”国家网络总监Harry Coker Jr. 在一份声明中表示。“我们在实现安全、繁荣和公平的数字未来的积极愿景方面取得了进展，但我们面临的威胁仍然令人畏惧。” 该报告于周二网络安全界聚集在旧金山举行的 RSA 年度会议上发布，强调自去年 3 月国家网络安全战略启动以来，美国网络安全态势的重大改变。 报告称，国家背景的黑客组织对美国构成重大威胁，这些组织积极针对美国关键基础设施提供商进行破坏性网络攻击。 报告称，勒索软件组织也在加大针对美国组织的双重和三重勒索活动。 随着官员们发布了政府网络实施计划的最新信息，对美国网络安全态势的审查也随之而来。 美国仍需要开展更多工作来帮助增强其私营部门合作伙伴的抵御能力，这些合作伙伴拥有并运营着美国大部分关键基础设施。人们的担忧之一是政府和关键基础设施部门使用老化技术的风险增加，容易受到复杂的攻击。 “态势报告反复强调政府、企业和公用事业公司正在向云服务提供商迁移，这既是积极的一步，也需要更多地关注安全方面的细节。”网络与安全中心高级主任马克·蒙哥马利 (Mark Montgomery) 表示。 政府正在采取措施提高私营部门合作伙伴的抵御能力，其中包括美国网络信任标志计划，该计划旨在突出安全技术产品，以及通过网络安全和基础设施安全局开发安全软件的行业承诺。 然而，分析人士对政府今后是否能够真正获得私营部门的充分合作提出了疑问。 Gartner 杰出副总裁分析师凯特尔·蒂勒曼 (Katell Thielemann) 表示：“为了在对抗网络不安全的战争中取得进展，白宫需要参与和协调。” “目前，私营企业感受到来自四面八方的大量新指令。”   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/d_AOjdw4asfUAb4GMbhlRw 封面来源于网络，如有侵权请联系删除

微软表示，美国情报机构现在可以安全地利用这项强大技术（ChatGPT）来分析绝密信息。 如何将ChatGPT这样的顶流人工智能技术安全地武器化，供情报机构和军队使用？微软给出的答案是“物理隔离”。 提示注入攻击和训练数据泄露是包括ChatGPT在内的当前主流大语言模型面临的主要安全威胁，也是政府和军队将其武器化的主要障碍（虽然今年1月份OpenAI悄悄修改使用政策，默许军方和情报部门使用）。例如，美军已经禁止在内部使用ChatGPT之类的工具，因为担心军事机密可能被泄露或提取。 据彭博社报道，微软公司近日打破常规，首次部署了一款与互联网完全隔离的生成式AI模型。微软表示，美国情报机构现在可以安全地利用这项强大技术（ChatGPT）来分析绝密信息。 微软的一位高管称，这是大语言模型首次完全脱离互联网运行。包括OpenAI的ChatGPT等大多数AI大语言模型都依赖云服务来学习和推理数据模式，但微软希望为美国情报界提供一个真正安全的系统。 世界各地的间谍机构都渴望利用生成式AI来帮助他们理解和分析每天生成的大量机密信息，但同时又面临着数据泄露或遭到网络攻击的风险。微软战略任务和技术首席技术官William Chappell表示，微软已将基于GPT-4的模型及其关键支持元素部署到一个与互联网隔离的“物理隔离”的（私有）云环境中。 美国情报机构官员曾多次明确表示渴望获得与当今主流生成式AI功能同样强大的工具，这类工具有望彻底改变传统情报工作。去年，美国中央情报局(CIA)在非密级层面推出了类似于ChatGPT的服务（编者：五角大楼甚至用ChatGPT撰写官网博客），但情报界需要能够处理更敏感数据的工具。 上个月，美国中情局跨国和技术任务中心助理主任Sheetal Patel在范德堡大学的一次安全会议上告诉与会代表：“获取用于处理情报数据的生成式AI是一场竞赛。”她表示：“率先将生成式AI用于情报工作的国家将赢得这场竞赛，我希望是我们。” 微软在过去18个月里一直致力于该系统的开发，包括对爱荷华州一台AI超级计算机进行改造。参与该项目的电气工程师Chappell此前曾为国防高级研究计划局（DARPA）开发微系统，他表示其团队在2022年开始这项工作时并不确定该如何去做。 Chappell告诉彭博社：“这是我们第一次拥有一个‘孤立’的ChatGPT版本，这里的孤立意味着它不连接互联网，而是位于一个特殊网络上，只有美国政府才能访问。” 放置在云端的GPT-4模型是静态的，这意味着它可以读取文件，但不能从中学习，也不能从开放互联网中学习。Chappell表示，通过这种方式，政府可以保持模型的“干净”，并防止秘密信息被平台吸收。“你不希望它学习你提出的问题，然后以某种方式泄露这些信息，”Chappell透露：“理论上该AI模型支持大约1万人访问。” 据悉，该服务已经于上周四上线，情报界正在对其进行测试和认证。Chappell表示：“该系统已经部署，正在回答问题，可以编写代码，这只是它能做的事情的一部分。” 美国中央情报局和国家情报总监办公室(负责监督美国18个情报机构)没有立即回应媒体的置评请求。   转自GoUpSec，原文链接：https://www.goupsec.com/news/16306.html 封面来源于网络，如有侵权请联系删除

thecyberexpress网站消息，近日，新加坡国会批准了《网络安全法》修正案，该法案旨在加强国家不断发展的关键基础设施的防御能力，并适应技术进步。 《网络安全法》修正案要求关键信息基础设施（CII）的所有者报告更广泛的事件，包括在其供应链中发生的事件。 新加坡通信与信息部高级国务部长 Janil Puthucheary 表示，当务之急是应对恶意网络行为者不断变化的策略，他强调，需要将警惕范围扩大到外围系统和供应链。 最新《网络安全法》修正案的意义 新立法授权当局监管 “临时网络安全关注系统”（STCC），这些系统在有限的时间内面临网络攻击的风险较高，如果遭到破坏，将对新加坡的国家利益构成威胁。 该修正案赋予新加坡网络安全局（CSA）监督网络安全特别关注实体（ESCI）的权力，如果这些实体遭到破坏，可能会对国防、外交关系、经济、公共卫生、安全或秩序造成重大不利影响。为防止无意中将 ESCIs 识别为目标，其具体身份将不会公开披露。 拟议的法案还将增加新的实体类别，当局将对其数字防御系统进行审计，其中包括可能持有敏感数据或履行重要职能自主大学。 此外，如果支持海外基本服务的公司所有者位于新加坡，CSA 可以对这些公司进行监管。Janil 博士强调，该法案旨在应对网络安全形势的变化和 CSA 在运营中面临的挑战。 网络安全形势不断变化，云计算的使用和对数字技术的依赖都在增加，因此有必要更新法律以保障基本服务。 在该法案制定之初，CII 通常是在办公场所内的物理系统，完全由 CII 所有者拥有或控制。但云服务的出现对这种模式提出了挑战。Janil博士说道：”随着恶意行为者的战术和技术发展到以外围或供应链上的系统为目标，我们也必须开始在这些地方设置警报。” 数字通信的普及和技术应用的激增凸显了个人和组织所面临的网络风险的增加。在此背景下，更新网络安全法对于确保新加坡的数字韧性并保持对新威胁的领先地位至关重要。 国会议员对合规成本和监管清晰度表示担忧，Janil 博士澄清说，该法案针对的是关键国家系统的网络安全，而不是对商界施加广泛义务。新法律将只监管在国家层面上具有重要意义的系统基础设施和服务的网络安全，因为这些系统基础设施和服务的中断或受损可能会影响新加坡的生存、安全、保障或其他国家利益。 “这是一组已知的、有限的系统和实体，我们的方法是有针对性的、经过校准的，因为监管将涉及合规成本，而有些合规成本是无法避免的，我·们不会在没有充分理由的情况下寻求监管。”Janil 博士说。 CSA 将为受监管的实体提供支持，在指定系统或实体之前与它们进行接触，并就合规措施提供指导。另外，指定实体的上诉程序已经到位，以确保监管决定的透明度和问责制。Janil 博士还强调了指定实体决定的重要性，因为这些决定对国家安全和利益有潜在影响。 政府将采取审慎的方法，在监管要求与最大限度降低合规成本和支持受影响实体的需要之间取得平衡。   转自FreeBuf，原文链接：https://www.freebuf.com/news/400205.html 封面来源于网络，如有侵权请联系删除

研究人员创造了一个生成式人工智能蠕虫，它能够通过互连的人工智能系统传播，并可能造成大规模破坏。 该项目由 Ben Nassi、Stav Cohen 和 Ron Bitton 组成的康奈尔科技团队领导，被称为“Morris II” ——指的是 1988 年在互联网上传播的臭名昭著的 Morris 计算机蠕虫。 他们的发现展示了 Morris II 如何利用生成式人工智能电子邮件助手，从电子邮件中窃取数据并发送垃圾邮件，甚至绕过 ChatGPT 和 Gemini 等流行人工智能系统中的一些安全措施。 大型语言模型 (LLM)作为生成人工智能的支柱，正日益变得多模态，不仅能够生成文本，还能够生成图像和视频。 LLM 通常通过处理提示来发挥作用 – 指导系统生成响应或创建内容的文本指令。然而，这些提示可以被武器化。 攻击方法包括“越狱”、绕过安全协议并迫使系统生成有害或攻击性内容，以及对话中毒，其中攻击者操纵 LLM 遵循一系列指令。大型语言模型 (LLM)还可能泄露他们可能接受过培训的私人数据。 研究人员表示，他们通过一种称为“对抗性自我复制提示”的新技术创造了Morris II，该技术欺骗人工智能模型生成另一个提示作为其响应的一部分。这种策略类似于 SQL 注入等传统网络攻击，对人工智能系统的完整性构成重大威胁。 为了展示蠕虫病毒的能力，研究人员构建了一个电子邮件系统，可以与ChatGPT、Gemini 和开源 LLaVA 模型等生成人工智能系统进行交互。 研究团队发现了两种利用方法：一种使用基于文本的提示，另一种在图像文件中嵌入恶意提示。 在一种情况下，研究人员模拟攻击者发送一封包含对抗性提示的电子邮件。该提示实际上是通过利用称为检索增强生成（RAG）的功能“毒害”电子邮件助理的数据库。RAG允许大型语言模型 (LLM)访问外部数据源以增强他们的响应能力。当通过 RAG 检索包含恶意提示的电子邮件并将其发送到 GPT-4 或 Gemini Pro 等系统进行处理时，它实际上越狱了 AI 服务，使其能够从电子邮件中窃取数据。 这些被盗数据嵌入生成的响应中，然后用于回复毫无戒心的用户电子邮件时感染新系统。 第二种方法涉及在图像中编码恶意提示，将任何图像文件变成蠕虫病毒的潜在载体。这使得受感染的电子邮件助手能够将受感染的消息转发给其他用户，从而进一步传播感染。 两种类型的应用程序可能面临来自类似于 Morris II 的现实世界蠕虫病毒的风险。第一个是 genAI 支持的应用程序，其执行流程取决于 genAI 服务的输出。第二种类型是使用 RAG 的应用程序。 研究人员表示，他们的工作旨在“作为创造 GenAI 蠕虫的可能性，以防止它们出现”。他们向 Google 和 OpenAI 报告了他们的发现。 OpenAI 承认了这项研究，并承认可能存在与未经充分过滤或检查的用户输入相关的漏洞。该公司表示正在努力提高系统弹性，并敦促开发人员实施防止恶意输入的方法。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/QYRFDho-lc4KTnsaOpyb5Q 封面来源于网络，如有侵权请联系删除

微软推出了一套安全DNS框架——零信任DNS(ZTDNS)，企业可在Windows网络内部锁定域名解析。 微软的零信任DNS能否破除困扰企业数十年的DNS安全悖论？它会给企业带来新的麻烦吗？ 长期以来，将人类可读的域名网址转换为数字IP地址的DNS服务存在着巨大安全风险，因为域名解析过程很少采用端到端加密。提供域名解析的服务器会为几乎任何IP地址（即使是已知的恶意地址）进行解析。许多终端用户设备的DNS配置也很容易被篡改成恶意服务器。 为了治理DNS顽疾，上周五微软推出了一套安全DNS框架——零信任DNS(ZTDNS)，企业可在Windows网络内部锁定域名解析。该框架的两个主要功能是： 终端用户客户端和DNS服务器之间采用加密和密码身份验证的连接。 管理员可以严格限制这些服务器所能解析的域名。 破解 DNS 安全悖论 DNS之所以成为网络安全最顽固雷区之一，主要原因之一是存在一个安全悖论：在DNS解析中实施加密和身份验证会降低管理员的可见性，（无法看到和组织用户设备连接恶意域名或检测网络内异常行为）。因此，DNS流量要么以明文形式发送，要么以允许管理员在传输过程中解密的方式进行加密，这实质上是一种中间人攻击。 管理员经常面临以下两难选择： 要么以明文形式路由DNS流量，服务器和客户端设备之间无法相互进行身份验证，因此恶意域名可以被屏蔽，并且网络监控成为可能。 要么加密和验证DNS流量，并放弃对域名的控制和网络可见性。 微软的ZTDNS通过将Windows DNS引擎与Windows筛选平台（Windows防火墙的核心组件）直接集成到客户端设备中来解决这个存在了数十年的互联网安全问题（矛盾）。 咨询公司Hunter Strategy的研究和开发副总裁Jake Williams表示，这种引擎结合可以对Windows防火墙进行以域名为基础的更新。这产生一种机制，可让企业系统管理员将客户端DNS配置为：“只使用我们的DNS服务器，该服务器使用TLS，并且只解析某些域名”。微软将这种DNS服务器称为“保护性DNS服务器”。 默认情况下，防火墙会拒绝解析允许列表（白名单）中列出的域名之外的其他所有域名的解析。单独的允许列表将包含客户端运行授权软件所需的IP地址子网。网络安全专家Royce Williams将其称为“防火墙层的一种双向API，用户可以同时触发防火墙操作（通过输入‘到防火墙’），并根据防火墙状态触发外部操作（输出‘来自防火墙’）。因此，如果您是防病毒供应商或其他任何供应商，就不必重新发明防火墙，只需连接到WFP即可。” ZTDNS 的工作原理 微软公布了一个ZTDNS的概念图（下图），展示ZTDNS如何融入微软的移动设备管理平台（该平台可帮助管理员保护和控制获准联网的远程设备）以及与从家庭或其他远程位置连接的设备进行交互。 微软表示，除了连接到保护性DNS服务器、DHCP、DHCPv6和NDP服务器（用于网络发现）的连接，ZTDNS会阻止客户端设备到所有其他IPv4或IPv6 IP地址的出站连接。 微软指出： 当应用程序和服务尝试将IPv4或IPv6流量发送到未通过ZTDNS发现的IP地址（并且不在手动例外列表中）时，该流量将被阻止。这使ZTDNS成为一种很有价值的零信任工具：它对流量是“零信任”的，管理员可使用策略感知的保护性DNS服务器定义基于域名的锁定。或者，可以使用客户端证书向服务器提供影响策略的客户端标识，而不是依赖客户端IP地址，后者既不是安全的信号，也不太适用于“随时随地工作”的设备。 通过使用ZTDNS增强零信任部署，管理员可以实现所有出站IPv4和IPv6流量的名称标记，而无需依赖拦截明文DNS流量、卷入识别和阻止来自应用程序或恶意软件的加密DNS流量的技术军备竞赛、检查即将加密的SNI，或依赖于特定供应商的网络协议。相反，管理员可以阻止无法识别关联域名或命名异常的所有流量。这意味着企业不再依赖硬编码IP地址或加密DNS服务器，也不必牺牲端到端加密的安全优势。 对于用作ZTDNS锁定的保护性DNS服务器，最低要求是支持DNS over HTTPS (DoH)或DNS over TLS (DoT)，因为ZTDNS将阻止Windows使用明文DNS。此外，在加密DNS连接上使用mTLS可支持对每个客户端配置细粒度的DNS解析策略。最后，ZTDNS没有引入任何新的网络协议，这使其成为基于域名锁定的一种有前景的可互操作方法。 Peculiar Ventures首席执行官瑞安·赫斯特(Ryan Hurst)表示，网络内部大规模采用加密连接给一些大型组织带来了困难，因为管理员使用的许多安全工具都依赖于其检查和监控明文流量的能力。Hurst指出： 微软的零信任DNS解决方案的重点是：通过将DNS转变为所谓的网络策略执行点，部分恢复可见性；在不获取明文流量的情况下可靠地控制和审核所解析的域名。当企业将ZTDNS其与出口网络过滤相结合时，可创建一个闭环，使企业可以对流量的去向和时间有一定的掌控。当发生网络攻击时，零信任DNS还有可能被用作一种迟滞或阻止攻击者在网络中横向移动的方法，在某些情况下可让数据泄露变得更加困难。 但是安全专家警告说，ZTDNS引入了一种新颖的DNS方法，除非管理员对其当前的设计进行重大更改，冒然部署可能会破坏关键的网络运营。企业在部署ZTDNS前需要指定一个团队来处理升级，进行严格测试和文化转变。“为了从ZTDNS获得最大的安全价值，系统管理员需要枚举他们希望客户端连接到的域名和/或IP范围，”Jake Williams指出：“不然将导致（自我造成的）拒绝服务。” 微软官方发布了一篇文章专门介绍了部署ZTDNS的注意事项。目前，ZTDNS的开发已经进入内部预览版，但微软没有透露内部人士何时可以对其进行评估以及何时推广使用。   转自GoUpSec，原文链接：https://www.goupsec.com/news/16262.html 封面来源于网络，如有侵权请联系删除  

英国最近通过了一项具有里程碑意义数据安全法案，禁止使用容易被猜到的弱密码，这是全球首部明令禁止弱密码的法案，覆盖广大消费者和设备制造商，有望推动全球性的安全意识和安全文化提升。 密码不得少于 12 个字符 该法案已经生效，所有在线实体，包括服务、组织和个人，均被禁止使用诸如“12345”、“qwerty”和“admin”等易于预测的密码。英国政府强制规定，如果在创建账户过程中尝试使用此类弱密码，将被提示选择更安全的密码。 易于猜解的弱密码极易受到攻击，黑客经常利用自动化工具针对弱密码发起攻击。为了应对这一漏洞，英国政府编制了一个全面的弱密码禁用列表，被禁止的密码包括常用短语，例如“123456”、“password”、“qwerty”、“123456789”，以及足球相关术语（例如“arsenal”、“Liverpool”、“Chelsea”）和知名人士姓名（例如贝克汉姆“David Beckham”）。 此外，法案还要求智能设备制造商在用户首次启动设备时要求其更改密码，或使用安全且长度为12-15个字符的密码来保护消费者免受密码攻击。 这项将于2024年4月29日开始强制执行的法案使英国站在了全球网络安全意识和文化倡导者的前列。值得注意的是，智能互联设备（包括智能手机、智能门铃、联网电视和其他技术先进的小工具）的制造商将被强制执行严格的密码策略，从而提高整体的网络安全韧性。 不仅仅是密码 网络安全业界对该法案普遍持支持态度，安全专家强烈建议个人采取强密码安全措施，以有效降低安全风险。这包括采用至少15-18个字符长度的密码，并确保密码的复杂性和唯一性以阻止潜在的黑客攻击。利用密码管理器工具可以简化密码管理，减轻记忆负担并增强整体安全态势。 此外，实施多因素认证(MFA)可提供额外的安全保障，进一步保护账户免遭非法访问。 最后，保持警惕至关重要，用户在遇到可疑链接或要求输入账号密码的网站时应格外谨慎。验证此类请求的真实性可以防止成为网络钓鱼攻击和数据泄露的受害者。   转自GoUpSec，原文链接：https://www.goupsec.com/news/16272.html 封面来源于网络，如有侵权请联系删除

过去十年中，美国海陆空三军的关键作战平台以及涉密系统大量采购并使用了质量低劣、故障频发的假冒伪劣思科路由器设备，是美国军方近年来曝光的最为严重的网络安全危机事件。 美国司法部(DOJ)上周四宣布，佛罗里达州居民 OnurAksoy（又名Ron Aksoy和Dave Durden）因售卖假货被判处 78 个月监禁。Aksoy 通过销售假冒（思科）网络设备非法获利 1 亿美元，并危及美国军方的网络安全。 Aksoy 于 2022 年 6 月 29 日在迈阿密被逮捕，并于同日被指控贩运假冒商品、实施邮件欺诈和电信欺诈等多项罪名，2023 年 6 月 5 日 Aksoy 对起诉书中的两项罪名供认不讳。 2024 年 5 月 1 日，Aksoy 被美国法院判处 78 个月监禁，宣判结果还包括向思科支付 1 亿美元的赔偿金、4 万美元的罚款以及三年的监管释放期。美国司法部表示，Aksoy 还需在法院未来确定的日期向其他受害者支付一笔金额。 根据起诉书，Aksoy 大约从 2013 年 8 月开始策划售假骗局，一直持续到至少 2022 年 4 月。 Aksoy 使用了至少 19 家公司和约 15 个亚马逊商店、10 个 eBay 店铺以及直接销售渠道（统称为 Pro Network Entities）来销售数万台计算机网络设备。他从中国大陆和中国香港进口二手和报废产品，并使用假冒的思科包装、标签和文件将它们伪造成全新正品出售。根据起诉书，按照正品价格计算，这些假货的总售价将超过 10 亿美元。 进货成本只有正品的 2% 根据美国司法部的起诉书，Aksoy 售卖的大部分“欺诈性产品”确实是思科产品，但通常是二手翻新产品（“较旧、较低型号或更便宜的思科产品，其中一些已经售出或被丢弃”）。 Aksoy 以正品 2-5% 的价格大量采购二手思科产品甚至报废产品，然后改装翻新，以次充好（冒充更高级别产品）。具体方法包括使用盗版软件和“未经授权、低质量和不可靠的组件”对硬件进行改装，其中一些组件可以骗过软件许可和设备真伪检查方法。此外，Aksoy 还涉及制造假产品序列号，这些序列号通常是以前使用过的思科序列号。 根据起诉书，Aksoy 将这些破解和翻新过的设备以低于正品厂商建议零售价 60% 至 88% 的超低折扣价进行销售。 假冒伪劣思科设备充斥美国空军、陆军和海军关键基础设施 美国国防部政府官员证实，由于美国军方从 Aksoy 大量采购了假冒伪劣思科设备，严重威胁到了美国军队的敏感应用，包括美国战斗机和其他军用飞机的支撑平台。 美国国防部(DoD)监察长办公室国防刑事调查局西部现场办公室负责人 Bryan Denny 本周在一份声明中表示，Aksoy “故意欺骗国防部，将其供应链中引入假冒产品，这些产品经常出现故障或根本无法工作”。 他补充道：“Aksoy 将假冒的思科产品出售给国防部，这些产品被发现部署在众多军事基地和各种系统中，包括但不限于美国空军 F-15 和美国海军 P-8 飞机的飞行模拟器。” 司法部声明称，Aksoy 的假冒设备最终“用于高度敏感的军事和政府应用，包括涉密信息系统，其中一些涉及美国海军、美国空军和美国陆军的作战和非作战行动，支持 F-15、F-18 和 F-22 战斗机、AH-64 阿帕奇攻击直升机、P-8 海上巡逻机和 B-52 战略堡垒轰炸机的平台。” 声明还表示，除军方和政府外，Aksoy 的假冒思科设备还流入了医院和学校。 “IT 灰色供应链”与思科的困扰 美国司法部并未进一步说明美国军方是如何购买到假冒思科设备，以及从 Aksoy 处购买了多少假冒技术和产品。据调查，亚马逊和 eBay 等电商平台充斥着大量有问题的 IT 产品，但是如果美国政府实体，尤其是军方，居然也通过此类方式和渠道采购“低价”设备，将是一件令人震惊的事情。另据 Arstechnica 报道，与美国政府机构合作的买家和转销商也可能直接购买了 Pro Network Entities 的产品。 与其他知名 IT 品牌一样，思科也一直饱受“IT 灰色供应链”困扰，未经授权的公司在“灰市”上销售其产品的仿冒版本。2022 年，思科估计 IT 灰市每年让思科渠道损失 12 亿美元，三年新冠疫情加剧了 IT 灰市的泛滥。 同年，思科全球品牌保护法律总监 Al Palladin 在接受 CRN 采访时表示，即使是正规的思科渠道合作伙伴也会为了提高周转速度通过非正规渠道采购产品。当时，思科渠道负责人 Oliver Tuszik 表示，如果合作伙伴被发现参与此类销售行为，将面临严厉处罚，但除非被抓到两次，否则不会被禁止加入思科的经销商计划。 根据起诉书，亚马逊和 eBay 已经删除了 Aksoy 店铺的 listings 页面，并有可能对其 storefront 商家账户采取了冻结或终止措施。 有史以来最大规模的 IT 售假案 令人费解的是，早在 2014 年思科和美国政府就知道 Aksoy 在销售假货，但过去十年 Aksoy 的业务越做越大，甚至美国军方和政府的关键基础设施也大量采购了 Aksoy “物美价廉”的假货。 根据美国司法部的声明，2014 年至 2022 年间，美国海关和边境保护局（CBP）共查获了大约 180 批从中国大陆和中国香港运往 Aksoy 公司的设备。Aksoy 使用了用虚假报关文件（化名 Dave Durden），他的供应商则将“货物拆解成小包裹，在不同的日子运送”。声明补充说：“在边境保护局查封货物并发出通知后，Aksoy 仍继续向同一家供应商订购假冒的思科产品。” 据报道，思科从 2014 年到 2019 年也向 Aksoy 发送过七封停止并终止售假活动的信函，据称，Aksoy 对其中至少两封信函做出了回应，“让律师向思科提供了伪造的文件”。 美国司法部表示，官员们在 2021 年曾突袭了 Aksoy 的仓库，没收了 1156 台假冒思科设备，零售价值超过 700 万美元。 新泽西州地区法院检察官 Vikas Khanna 在一份声明中表示，Aksoy 经营着“有史以来最大规模的 IT 假货销售和贩运活动之一”。   转自GoUpSec，原文链接：https://www.goupsec.com/news/16275.html 封面来源于网络，如有侵权请联系删除