近期， Imperva 发布的《2024 年 API 安全状况报告》中提到，2023 年的大部分互联网流量（71%）都是由 API 调用，通过 API 传输的大量互联网流量应该引起每一位网络安全专家的关注。 目前，尽管大部分企业已经尽最大努力采用了左移框架和 SDLC 流程，但 API 仍经常在编目、验证或审计之前就被嵌入到了业务流程中（企业在生产中平均拥有 613 个 API 端点），随着当下向客户更快、更高效地交付数字服务的压力不断增加，这一数字也在迅速扩大。 随着时间推移，API 可能会成为有风险、易受攻击的端点。 Imperva 在报告中指出，鉴于API 是访问敏感数据的直接途径，早已成为网络威胁攻击者的常见攻击载体。事实上，Marsh McLennan 网络风险分析中心的一项研究发现，与 API 相关的安全事件每年给全球企业造成的损失高达 750 亿美元。 API 调用量越高，会出现更多安全问题 值得一提的是，研究发现相比其他行业，银行业和在线零售业在 2023 年的 API 调用量最高，这两个行业都依赖大型 API 生态系统向客户提供数字服务。网络威胁攻击者使用各种”手段“攻击 API 端点，其中一个常见的攻击载体便是账户接管（ATO）。当网络威胁攻击者利用 API 身份验证流程中的安全漏洞，未经授权访问账户时，就会发动这种攻击。 2023 年，近一半（45.8%）的 ATO 攻击以 API 端点为目标，这些”企图“通常是以恶意机器人的形式通过自动化来实现（注:恶意机器人是指怀有恶意运行自动化任务的软件代理)。考虑到银行以及其他金融机构管理的客户数据信息价值，ATO 是一个非常令人担忧的业务风险。 这种攻击一旦成功，网络威胁攻击者就会立刻锁定受害者的账户，盗取敏感数据。不仅仅造成经济损失，还会增加违规风险。 为什么管理不善的 API 会带来安全威胁 目前来看，因为没有受到合理的监管，以及缺乏足够的身份验证控制，导致每 10 个应用程序接口中就有近一个容易受到网络攻击，降低 API 的安全风险具有很大挑战，即使最成熟的安全团队也会为此感到”棘手“。其中主要的问题源于软件开发的快节奏，以及缺乏成熟的工具和流程来帮助开发人员和安全团队更好地协同工作。 Imperva 在报告中指出了影子 API、废弃 API 和未认证 API三种常见的 API 端点管理不善类型，它们会给企业带来安全风险： 影子 API： 这些 API 也称为未记录或未发现的 API，它们不受监督、被遗忘和或不在安全团队的可见范围内。据 Imperva 估计，影子 API 占每个组织活动 API 集合的 4.7%。如果不对这些 API 端点进行适当的编目或管理，就会出现安全问题。 企业应该关注影子 API，它们通常可以访问到敏感信息，但没有人知道它们的存在位置或连接内容。一个影子 API 就可能导致合规违规和监管罚款，更有甚者，有动机的网络犯罪分子会滥用它来访问企业的敏感数据。 废弃的 API： 废弃 API 端点是软件生命周期中的一个自然过程。因此，随着软件的快速、持续更新，被废弃的 API 并不少见。 事实上，据 Imperva 估算，已废弃的 API 平均占企业活动 API 集合的 2.6%。当端点被废弃时，支持此类端点的服务就会更新，对废弃端点的请求就会失败。但是，如果服务没有更新，API 也没有删除，端点就会因为缺乏必要的补丁和软件更新而变得脆弱。 未经验证的 API： 未验证的 API 通常是由于配置错误、匆忙发布过程中的疏忽或为适应旧版本软件而放宽了严格的验证过程而引入的。这些应用程序接口平均占企业活动应用程序接口集合的 3.4%。未经身份验证的 API 的存在给企业带来了巨大的风险，因为它可能会将敏感数据或功能暴露给未经授权的用户，从而导致数据泄露或系统操纵。 为降低管理不善的 API 带来的各种安全风险，建议企业进行定期审计，以识别未监控或未经身份验证的 API 端点。此外，开发人员应定期更新和升级 API，以确保用更安全的替代品取代过时的端点。 如何最大程度降低 API 的安全风险 API 的安全风险与日俱增，严重影响了企业正常经营生产。对此，Imperva 提出了几项建议，以帮助企业改善 API 安全状况： 发现、分类和清查所有 API、端点、参数和有效载荷，使用持续发现来维护始终最新的 API 清单，并披露敏感数据的暴露情况； 识别并保护敏感和高风险 API，执行风险评估，特别是针对易受授权和身份验证漏洞以及过度数据暴露影响的 API 端点； 为 API 端点建立强大的监控系统，主动检测和分析可疑行为和访问模式； 采用 API 安全方法，将 Web 应用程序防火墙 (WAF)、API 保护、分布式拒绝服务 (DDoS) 防范和僵尸程序保护整合在一起。   转自Freebuf，原文链接：https://www.freebuf.com/news/395332.html 封面来源于网络，如有侵权请联系删除

如今，有越来越多的恶意行为者开始利用AI大语言模型开发能够绕过 YARA 规则的自我增强型恶意软件。 根据近日Recorded Future 发布的一份新报告：AI可以通过增强小型恶意软件变种的源代码来规避基于字符串的 YARA 规则，从而有效降低检测率。 目前，已经有威胁行为者在尝试使用AI技术来创建恶意软件代码片段、生成网络钓鱼电子邮件以及对潜在目标进行侦查。 这家网络安全公司称，它向一个大模型提交了一款与 APT28 黑客组织有关联的名为 STEELHOOK 的已知恶意软件，同时还提交了其 YARA 规则，要求它修改源代码以躲避检测，这样就能保持原有功能不变，而且生成的源代码在语法上没有错误。有了这种反馈机制，由大模型生成的经过修改的恶意软件就有可能躲过基于字符串的简单 YARA 规则的检测。 但这种方法也有局限性，比如大模型一次可处理的输入文本量，这使得它很难在较大的代码库中运行。 除了修改恶意软件以外，这种人工智能工具还可用于创建假冒高级管理人员和领导人的深度假冒程序，并大规模模仿合法网站开展影响行动。 此外，生成式AI还有望加快威胁行为者对关键基础设施进行侦察和收集信息的能力，这些信息可能在后续攻击中具有战略用途。 该公司表示：通过利用多模态模型，除了航拍图像外，ICS 和制造设备的公共图像和视频也可被解析和丰富，以找到更多的元数据，如地理位置、设备制造商、型号和软件版本。 事实上，微软和OpenAI上个月就警告称，APT28利用LLMs 获取了卫星通信协议、雷达成像技术和特定技术参数，这说明他们正在深入了解卫星能力。因此，微软和OpenAI建议各组织仔细检查可公开访问的描述敏感设备的图片和视频，并在必要时删除它们，以降低此类威胁带来的风险。 就在这项研究取得进展的同时，还有学者发现，有可能通过传递 ASCII 艺术形式的输入（例如，”如何制造炸弹”，其中 BOMB 一词是用字符 “*”和空格写成的），越狱 LLM 驱动的工具并生成有害内容。 这种实际攻击被称为 ArtPrompt，它利用 LLM 在识别 ASCII 艺术方面的低劣性能，绕过安全措施，从而诱发 LLM 的不良行为。   转自Freebuf，原文链接：https://www.freebuf.com/news/395324.html 封面来源于网络，如有侵权请联系删除

据报道，由于俄乌冲突后欧洲对俄实施制裁升级，微软将于本月暂停俄罗斯用户访问其云服务。 俄罗斯科技公司 Softline 是该国最大的微软产品分销商之一，该公司上周在一份声明中表示，俄罗斯用户将于 3 月 20 日失去对微软提供的云服务的访问权限。 Softline 还在其创建的私人 Telegram 频道中分享了一封来自微软的信函，该频道是为了帮助客户过渡到本地软件提供商而创建的。其他几家当地科技公司证实，他们也收到了来自微软的警告电子邮件。Softline 分享了一封来自亚马逊的类似信函。 周一，Softline又发布声明称，根据微软的非官方消息，该公司正在讨论将其在俄罗斯的服务暂停时间推迟到本月底，微软尚未回应有关推迟暂停时间的置评请求。 Softline 表示：“这并没有取消所施加的限制，但它提供了收集数据和建立替代基础设施运营的现实时间表。” 根据微软致俄罗斯客户的信函，采取最新限制措施是为了回应欧盟的制裁，该制裁禁止微软向在俄罗斯注册的实体提供某些管理或设计软件，包括基于云的解决方案。 周二，Softline根据据报道从微软收到的信息，公布了将在俄罗斯被禁止的完整产品清单。这包括流行的商业智能工具，例如 Power BI，以及 Microsoft 的 Azure 服务、SQL Server、OneDrive 和 PowerShell。 为了避免“信息全部或部分丢失”，Softline 建议所有俄罗斯公司备份与外国供应商提供的云服务相关的数据。Softline 还提供迁移到国内替代方案的帮助，包括 Yandex 360、SaaS VK 和 Softline Universe。 西方科技公司撤离俄罗斯 两年前乌克兰战争爆发后，许多西方科技公司宣布将退出俄罗斯市场或暂停在那里销售服务——要么是出于道德原因，要么是由于欧盟或美国对俄罗斯实施的经济制裁，在俄罗斯为众多客户提供服务的大型科技公司并没有立即退出市场。 俄罗斯计算机技术制造商协会会长尼古拉·科姆列夫在接受《福布斯》采访时表示：“微软提前警告了这些限制，为传输数据和制作备份副本提供了机会。”据他介绍，并非每家公司都这样做。他说，美国软件巨头甲骨文“更突然地离开了，连同预付费许可证一起”，这导致了“分销商、集成商和最终客户之间的诉讼”。 早在八月，微软就宣布将停止向俄罗斯公司续订其产品许可证，并且不会通过电汇方式处理向当地银行账户的付款。 微软在战争初期发布的一份声明中表示：“我们正在与美国、欧盟和英国政府密切协调并步调一致，并且根据政府制裁决定，我们正在停止在俄罗斯的许多业务。” 2022 年，亚马逊还暂停向俄罗斯和白俄罗斯客户运送零售产品，阻止访问 Prime Video，并宣布不再接受来自俄罗斯和白俄罗斯的亚马逊网络服务 (AWS) 新注册。该公司表示，它有“不与俄罗斯政府开展业务的长期政策”。 AWS 在回应 Recorded Future News 的置评请求时表示，自 2022 年 3 月以来，它一直不允许新的俄罗斯客户，并且这些政策没有改变。 即使在外国科技公司宣布退出俄罗斯市场的决定之后，许多当地用户也没有急于转向当地替代品。该国高达 90% 的企业和国家客户都在使用Microsoft服务。 改用俄罗斯软件意味着适应新界面或改变整个信息技术基础设施。即使是看似简单的事情（例如文件格式和字体）在微软和俄罗斯操作系统之间也有所不同。 然而，当地技术专家批评俄罗斯用户对外国服务的依赖。 开发俄罗斯操作系统 Alt 的公司总经理阿列克谢·斯米尔诺夫 (Alexey Smirnov)表示：“使用微软的服务，尤其是数据存储服务，是一个短视的决定。存在风险，风险已成为现实。” 在某些行业，例如银行业，根本没有可以与 SAP 和 Oracle 等国际公司提供的产品相媲美的俄罗斯替代品。俄罗斯大型银行和金融服务机构甚至要求政府将转向国产技术的时间推迟到 2027 年，以便他们有更多时间重建系统。 俄罗斯德诺律师事务所顾问伊万·塞津 (Ivan Sezin) 表示，制裁也可能会影响俄罗斯建筑业。Sezin告诉《福布斯》俄罗斯版，禁止供应外国软件可能会延迟这些行业的数字化进程。 据报道，为了规避这些产品在俄罗斯销售的限制，地方政府机构和大公司正在通过其他国家的中介机构获取被禁止的外国技术。例如，尽管科技巨头思科一年前离开俄罗斯，但其网络设备仍在通过亚洲和土耳其的经销商进入该国。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/DbxWINpGMLAZxXzjTg7hqQ 封面来源于网络，如有侵权请联系删除

近日，英国国家网络安全中心 (NCSC) 发布了新的安全指南，以帮助使用运营技术 (OT) 的企业确定是否应将其监控和数据采集 (SCADA) 系统迁移到云端。 出于安全考虑，SCADA 系统传统上一直与互联网甚至本地企业网络隔离开来，但现实来看云技术可以带来许多额外好处，因此，许多企业都在考虑云技术。NCSC 发布的安全指南旨在帮助 OT 组织识别云托管 SCADA 的优势和挑战，使企业能够在迁移到云之前做出基于风险的决策。 NCSC 表示，云迁移必须考虑到每个企业独特的风险状况和特定的技术要求，并强调 OT 组织，尤其是关键基础设施组织，面临着复杂网络攻击的更大风险。正在考虑实施云 SCADA 的企业应首先决定是要进行全面迁移，还是仅将云用作备用或恢复解决方案，或是进行混合部署。 NCSC 机构还指出，云可以提供了更高的灵活性、抵御网络攻击和其他破坏性事件、改进远程访问以及集中身份和保密管理。但这些优点也可能带来其它安全风险。例如，与云相关的软件定义网络（SDN）组件可提供更大的灵活性，但需要对未经授权的更改进行监控。云可能会提供更大的弹性，但企业也需要考虑到云也可能出现故障。如果管理不当，远程访问也会大大增加攻击面。 在决定是否准备好将 SCADA 产品迁移到云端时，企业需要确定其是否拥有支持这一转变的技能、人员和政策。 一些缺乏必要技能的企业可能通过寻求托管服务提供商的帮助完成迁移，但 NCSC 表示这些类型的公司通常在云方面拥有丰富的经验，在特定的 SCADA 系统方面可能会缺乏经验。此外，企业还应该评估其技术是否适合云迁移，包括软件对云的适用性、现有遗留硬件、延迟影响以及敏感 SCADA 数据的保护。 Illumio 关键基础设施总监 Trevor Dearing 表示，网络犯罪分子明白通过针对 SCADA 系统，可能会导致能源和制造业等关键基础设施部门的运营停机，从而可能导致大规模的社会混乱。NCSC 目前已经认识到 SCADA 系统连接到云时对运营弹性带来的安全风险，这是一个好的”信号“。 最后，Dearing 强调，在将 SCADA 系统迁移到云端方面，完全赞同 NCSC 的‘企业准备就绪’信息。企业应采用“永不信任，始终验证”的方法，以帮助企业在入口点遏制攻击并限制 SCADA 系统的横向移动。   转自Freebuf，原文链接：https://www.freebuf.com/news/395251.html 封面来源于网络，如有侵权请联系删除

近日，微软联合伦敦大学发布了一份有关英国企业网络攻击的报告。数据显示，英国仅有13%的企业能够抵御网络攻击，另外有48%的企业经常受到攻击，还有39%面临破坏性网络事故的高风险。 微软敦促各企业增加对人工智能技术和解决方案的投资，以应对网络威胁行为者日益将人工智能武器化的问题。 每年英国企业因网络攻击损失约 870 亿英镑 研究人员表示，虽然防御系统和流程已经到位，但还需要额外的投资和支持来建立恢复能力。只有少数企业将人工智能用作安全工具。在报告中，被视为 “高风险 “的是那些对网络安全关注有限的企业，它们大多根本没有在业务中使用人工智能。 英国组织的网络安全绩效 研究发现，英国企业每年因网络攻击损失约 870 亿英镑，而加强网络安全每年可为英国经济节省 520 亿英镑。有52% 的企业高管和68%的高级安全专业人员在接受调查时对此表示担心，他们认为当前的地缘政治紧张局势将增加其组织面临的网络风险。还有约 70% 的高级安全专业人员担心人工智能会给他们的企业带来风险，有49%的企业高管也提到了这一点。 虽然现实中的确存在这种安全隐患，但事实上只有 55% 的企业做好了应对网络威胁的准备。其中有49%的高管重视企业员工所需的网络安全技能，仅有 56% 的企业为员工提供了网络意识培训。另外有约 27% 的英国企业高管称他们不知道一次成功的网络攻击会给他们的组织带来多大的损失，有 53% 的人表示并不知道企业历经一次攻击后的恢复时间需要多久。 在网络安全中引入人工智能 报告中还提到，将人工智能纳入安全战略的企业可将攻击成功后的经济损失降低 20%。 在安全领域使用人工智能的企业发生事故的平均成本为16,600英镑，而未使用这些工具的企业则为20,700英镑。 根据研究人员的计算，在网络防御中使用人工智能的企业平均可以抵御 254 次成功攻击，然后相当于其年收入的部分就会化为乌有。而没有部署人工智能的企业则仅能抵御 106 次攻击。 然而，目前只有 21% 的企业在检测网络漏洞时部署了人工智能，只有 27% 的企业专门使用人工智能来加强网络防御。 报告强调，人工智能为英国企业提供了一个机会，使其在与网络犯罪分子的斗争中处于有利地位。 伦敦大学金史密斯学院创新总监Chris Brauer博士认为： 英国在人工智能的应用方面具有引领世界的巨大潜力，而这是一个前所未有的机会，可以为英国经济注入新的活力，并改变公共服务。但这一切必须建立在安全的基础之上。 目前，有诸多网络事件已经证实企业极易受到网络犯罪的侵害，此次的研究也揭示了这一问题的紧迫性。 微软宣布Copilot安全软件全面上市 2024年3月13日，微软宣布其Copilot for Security产品将于4月1日起在全球范围内全面上市。 该大型语言模型（LLM）旨在协助安全团队履行各种职能，包括对事件进行分类和响应、撰写调查报告以及分析组织的内部和外部攻击面。 微软安全营销副总裁Andrew Conway在3月12日的微软安全简报电话会议上透露，这家科技巨头目前正在整个微软安全产品组合中嵌入安全Copilot。 他认为，网络安全已成为人工智能最重要的应用领域。过去客户在与威胁行为者的对抗中一直处于劣势，但现在人们已经看到了企业利用生成式人工智能后所取得的优势。   转自Freebuf，原文链接：https://www.freebuf.com/news/395194.html 封面来源于网络，如有侵权请联系删除

快餐业巨头麦当劳指出，导致其全球数千家连锁店和加盟店系统宕机的原因，是第三方供应商在系统配置更改过程中的失误。 上周五，在全球麦当劳员工和顾客通过社交媒体发布有关系统中断的消息数小时后，麦当劳在一份更新的声明中重申，系统中断不是由 “网络安全事件 “造成的。相反，麦当劳表示，系统中断是 “第三方供应商在更改配置时造成的”。 然而，许多人依然对一个单一的故障如何影响全球范围内众多麦当劳餐厅和POS系统感到困惑。 麦当劳公司报告称，其系统故障发生在“周五午夜”。除了遍布美国五十个州和香港的金色拱门之外，来自澳大利亚、加拿大、中国、德国、意大利、荷兰、韩国、瑞典等国家的受影响的加盟店的报告纷至沓来。 多名网友在X平台上发帖： @HarleyJ ：“麦当劳经历全球性系统故障已经5个小时了，这导致他们不得不关闭澳大利亚、新西兰、日本、欧洲部分地区以及英国的许多门店。世界真的不可能只依赖一个系统来接收订单的，对吗？“ @gerwinvanroyen：“麦当劳系统故障真是太疯狂了。今晚我去麦当劳时，发现直通车和所有自助点餐机都瘫痪了。一个系统在全国范围出问题已经很糟糕了，竟然还波及多个国家，简直难以置信！“ 但根据社交媒体用户的反馈，俄罗斯的麦当劳似乎没有报告任何系统宕机事件。 麦当劳表示，该技术问题已被识别并纠正，许多门店已经恢复正常运营，其他门店正在逐步恢复中。关于那些遇到困难的门店，公司正与他们保持紧密联系，以解决问题。 这份更新的声明由麦当劳的二把手、执行副总裁兼全球首席信息官布莱恩·赖斯签署，已经分发给麦当劳全球的员工、加盟商和DL合作伙伴。 赖斯代表公司向餐厅团队和顾客表达了歉意，并感谢他们的耐心等待。他表示，这种系统宕机的情况是不常见的，公司会优先确保技术的可靠性和稳定性，全力以赴解决这一问题。 目前，麦当劳并未公开造成大规模系统中断的第三方IT供应商的名字。   转自Freebuf，原文链接：https://www.freebuf.com/news/395076.html 封面来源于网络，如有侵权请联系删除

HackerNews 编译，转载请注明出处： 美国电信公司AT&T 表示，一名黑客在网络犯罪论坛上泄露了影响超7000 万人的数据，并声称这些数据在 2021 年该公司的一次违规行为中被盗，但这些数据并非来自该公司的系统。 这些数据据称来自2021年AT&T数据泄露事件，名为 ShinyHunters 的黑客试图在 RaidForums 数据盗窃论坛上以 20万美元进行起价出售。 ShinyHunters 试图出售所谓的 AT&T 数据截图 AT&T表示：目前没有证据表明系统被入侵，被盗数据并不属于该公司。他方认为，ShinyHunters不在乎AT&T是否承认，只在乎出售数据。 目前已询问该公司数据是否来自第三方，但暂未收到回复。 据称 AT&T 数据两年后泄露 近期，另一位名为 MajorNelson 的黑客在论坛上免费泄露了此次所谓的 2021 年数据泄露事件的数据，并声称这本是 ShinyHunters 试图在 2021 年出售的数据。 黑客论坛信息截图 这些数据包含姓名、地址、手机号码、加密的出生日期和社会安全号码等。黑客解密了出生日期和社会安全号码，并将它们添加到另一个泄露文件中，使其可访问。 BleepingComputer审查了数据，通过与受影响的人确认及与拥有在线AT&T账户的用户合作，验证出部分数据包含准确信息，如社会安全号码、地址、出生日期和电话号码。 其他网络安全研究人员也确认了数据的部分准确性。目前无法找到2021年及之前已知的AT&T客户数据。 考虑到AT&T移动客户总数达到2.018亿订户，这并不罕见，意味着数据可能只是部分转储。数据的来源目前尚不清楚，但大多数迹象都表明它是AT&T客户的数据。   消息来源：bleepingcomputer，译者：dengdeng；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

今年早些时候，未知攻击者入侵了国际货币基金组织 (IMF) 的 11 个电子邮件帐户，周五，国际货币基金组织 (IMF) 披露了一起网络事件。 这个由190个成员国资助的国际金融机构也是联合国主要金融机构，总部位于华盛顿特区。 根据今天发布的新闻稿，国际货币基金组织于二月份发现了这一事件，目前正在进行调查以评估此次攻击的影响。 到目前为止，国际货币基金组织尚未发现任何证据表明攻击者可以访问被破坏的电子邮件帐户之外的其他系统或资源。 “国际货币基金组织 (IMF) 最近经历了一次网络事件，该事件于 2024 年 2 月 16 日被发现。随后在独立网络安全专家的协助下进行了调查，确定了漏洞的性质，并采取了补救措施。”国际货币基金组织表示。 “调查确定十一 (11) 个国际货币基金组织电子邮件帐户遭到破坏。受影响的电子邮件帐户已重新受到保护。目前，我们没有迹象表明这些电子邮件帐户之外还有进一步受到破坏的情况。对此事件的调查仍在继续。” 虽然 IMF 没有提供有关此次泄露的其他详细信息，但该组织确认其使用的是 Microsoft 365 基于云的电子邮件平台。 国际货币基金组织发言人称：“我们可以透露，国际货币基金组织的 11 个电子邮件帐户已被盗用。这些帐户已被重新保护。出于安全原因，我们无法透露更多细节。” “是的，我们可以确认，IMF 确实使用了 Microsoft 365 电子邮件。根据我们迄今为止的调查结果，此事件似乎不是 Microsoft 目标的一部分。” 微软公司今年 1 月透露，与俄罗斯对外情报局 (SVR) 相关的 Midnight Blizzard 黑客组织在长达一个月的入侵活动中窃取了微软公司的电子邮件，该组织通过密码喷洒攻击入侵了 Exchange Online 帐户，以访问遗留在非生产测试环境中的租户。 几天后，惠普企业 (HPE) 还透露，自 2023 年 5 月以来，俄罗斯黑客未经授权访问了其部分 Microsoft Office 365 电子邮件帐户并窃取了数据。 目前尚不清楚这些事件是否与导致国际货币基金组织电子邮件帐户被盗的安全漏洞有关。 2011 年，国际货币基金组织也遭到黑客攻击，一名官员称这是一次“非常重大的违规行为”，迫使世界银行切断两个组织网络之间的连接作为预防措施。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/vyIQ1OpjYgr2TOGrZnaOdA 封面来源于网络，如有侵权请联系删除

思科发布了针对IOS RX软件中多个漏洞的补丁，其中包括三个高严重性缺陷，导致拒绝服务（DoS）和特权提升。 最严重的高严重性错误是CVE-2024-20320，这是IOS RX的SSH功能中的问题，攻击者可以通过向CLI发送精心设计的SSH命令来将权限提升到root。 该安全漏洞影响了8000系列路由器以及网络融合系统（NCS）540系列和5700系列路由器。通过IOS RX版本7.10.2的发布，该安全漏洞已得到修补。运行旧版本操作系统的设备应升级到已修补的版本。 第二个高严重性缺陷（CVE-2024-20318）影响启用了第2层服务功能的线卡。攻击者可以通过向易受攻击的设备发送特定的以太网帧，导致线卡网络处理器重置，并且可以重复该过程来重置线卡，从而导致拒绝服务（DoS）情况。 该漏洞已在IOS RX软件版本7.9.2和7.10.1中得到解决。 思科还发布了软件维护升级（SMU）来解决该错误。另外，思科还修补了CVE-2024-20327，这是一个影响ASR 9000系列路由器的以太网PPP（PPPoE）终止功能的高严重性DoS错误。对格式错误的PPPoE数据包处理不当会导致攻击者导致ppp_ma进程崩溃，从而导致PPPoE流量出现DoS状况。 思科表示，该问题影响路由器“在基于 Lightspeed 或 Lightspeed-Plus 的线卡上运行带有 PPPoE 终端的宽带网络网关 (BNG) 功能”。IOS RX 软件版本 7.9.21、7.10.1 和 7.11.1 包含针对此缺陷的补丁。 思科还宣布修复了 IOS XR 软件中的几个中等严重程度的漏洞，这些漏洞可能允许攻击者绕过保护、导致 DoS 情况或安装未经验证的软件映像。 这些缺陷已作为思科 2024 年 3 月半年度 IOS RX安全建议包的一部分得到解决，其中包括八项建议。   转自安全客，原文链接：https://www.anquanke.com/post/id/293995 封面来源于网络，如有侵权请联系删除

安全内参3月14日消息，微软日前宣布，将于4月1日正式推出订阅式AI安全服务Copilot for Security（也称Security Copilot）。 为了展示微软对软件即生产力的承诺，该公司在周二邀请了数位记者参加媒体简报会。会议期间，记者们向参会员工和客户询问微软提供的自动化服务细节。 早在去年10月，微软就开放了Copilot for Security的预览版访问。Copilot for Security提供了两种模式，既可以作为独立门户与第三方产品集成，也可以嵌入微软安全产品如Sentinel、Defender XDR、Purview、Priva和Entra等。 基于GPT-4和微软专用安全模型，Copilot for Security能够接受来自人或脚本的输入内容，通过编排器层、上下文层和应用插件传递文本，然后由底层AI模型返回响应。期间会涉及文档总结、标记可疑交互，或者生成加强安全实践的建议等任务。 无论哪种情况，Copilot for Security都将通过与Azure云服务绑定的“按使用付费”许可来提供服务。微软已经创建了一个名为Security Compute Unit的新计费单元，预计将按月收费，费率为每小时4美元。 网络威胁态势日益恶化，亟需提升智能防御手段 微软负责安全、合规、身份与管理的副总裁Vasu Jakkal表示：“过去一年里，各类攻击的速度、规模和复杂性有了极大提升。” “身份验证仍然是安全主战场。据我们观察，每秒会发生4000次密码攻击。仅在两年前，每秒只有567次密码攻击。同期的身份验证攻击数量从30亿次增加到了300亿次，一年增长了10倍。” “攻击者获取数据的时间也在缩短。一旦用户点击了钓鱼链接，攻击者平均最多只需要72分钟即可获取用户数据、侵入用户收件箱。” Jakkal指出，除了上述困难，安全人才也存在严重短缺。 Jakkal表示，设计Copilot for Security“旨在帮助客户和用户以机器速度进行防御，捕捉到其他人可能忽略的问题，缓解我们面临的人才短缺，让每个人都得到想要的结果。” Jakkal解释说，Copilot for Security的设计初衷是保障安全运营、保护任务免受威胁，比如进行威胁调查、恶意软件逆向、事件报告和引导式事件响应计划。在去年10月，这项服务已扩展到与身份、数据安全和IT技能相关的任务。 最新版Copilot for Security包含以下功能：1.支持自定义提示手册，客户可以为常见任务制作并保存自己的提示；2.公司特定的知识库集成；3.支持八种语言的提示和响应，通过独立界面提供25种语言；4.与合作伙伴服务的第三方集成；提供显示团队如何使用Copilot的使用报告。 Jakkal说：“我坚信这将是我一生中最重要的技术。” Copilot在分析/总结场景提效佳，响应场景略不足 Copilot for Security的主要价值在于提高生产力。根据微软官方对Microsoft XDR的研究报告，与比没有AI辅助的用户相比，使用安全服务并得到Copilot for Security协助的用户在分析脚本、事件报告及总结事件等任务上平均快22%。 不过，并非所有工作都能实现生产力提升。对于响应任务，Copilot反而会让响应速度变慢约26%。研究报告称：“我们还注意到，Copilot目前往往需要20多秒才能打开。这必然会减慢Copilot用户的速度。后续通过产品改进需要减少等待时间，将进一步降低Copilot用户的时间成本。” 总体而言，微软的数据对Copilot for Security表示肯定，指出这一产品改进了准确性和质量，提高了员工积极性。 瑞士信诺工业集团安全运营中心经理Rui Correia告诉外媒The Register，他们自去年11月以来一直在使用Copilot for Security，主要用于恶意软件分析、事件响应和警报调查等任务。 他说：“每当公司发生可疑事件并生成警报时，我们都利用Copilot加速调查。” Correia表示，通过对比使用和不使用Copilot的调查过程，发现“每个步骤，Copilot都要快出20%到50%，因为人工操作需要访问并登陆多个门户，并等待所有内容加载。”   转自安全内参，原文链接：https://www.secrss.com/articles/64430 封面来源于网络，如有侵权请联系删除