谷歌推出安全浏览功能,提供实时保护
谷歌增强了其安全浏览服务,以在桌面版Chrome、iOS版和即将推出的Android版Chrome中提供针对危险网站的实时保护,同时不会将浏览历史数据发送到广告行业。 安全浏览是谷歌提供的非商业性API,允许客户端应用程序查询数据库以查找网站,以确定其是否构成已知风险。 安全浏览的标准版本将支持实时数据查询,但不会将浏览历史数据发送回谷歌。 谷歌Chrome安全部门的Jasika Bawa、Xinghui Lu,以及谷歌安全浏览部门的Jonathan Li和Alex Wozniak解释说,本地存储的可疑网站列表每30到60分钟更新一次,并使用基于哈希的检查。然而,这已经不够了。 因此,在本月的桌面版、iOS版和Android版Chrome中,安全浏览的标准层将获得隐私保护和实时保护。 这些信息将被加密并发送到由Fastly运营的Oblivious HTTP隐私服务器,该服务器将删除任何潜在的用户标识符,并将清理后的结果转发到谷歌安全浏览服务器。 转自安全客,原文链接:https://www.anquanke.com/post/id/293989 封面来源于网络,如有侵权请联系删除
美国政府如何管控供应商数据安全?以国土安全领域为例
新规旨在确保受控非机密信息的安全和隐私保护,并改进向国土安全部报告事件的流程。 安全内参6月26日消息,美国国土安全部(DHS)发布了一项最终规定,对《国土安全采购规章》(HSAR)进行修改,删除一条现有条款,保留该条款编号,并更新了一条现有条款。该机构还将新增两条合同条款,提出对受控非机密信息(Controlled Unclassified Information,简称CUI)的保护要求。 最终规定旨在确保受控非机密信息的安全和隐私保护,改进向国土安全部报告事件的流程。这些措施十分有必要,因为国土安全部承包商遇到涉及该部门信息的事件时,亟需保护受控非机密信息,并做出适当响应。 供应商需满足新的处理要求和安全流程与程序 根据国土安全部6月21日在《联邦公报》上发布的通知,“持续且普遍的联邦信息高调泄露事件不断证明,必须在合同中明确、有效和一致地解决信息安全保护问题。因此,这些措施十分有必要。最终规定将在《联邦公报》上发布之日起30天后生效。” 2017年1月19日,国土安全部在《联邦公报》上发布过一条拟议规定制定通知(NPRM),表示该部门正在制定一项规定,要求落实充分的安全和隐私措施,以保护受控非机密信息免受未经授权的访问和披露,并改进向国土安全部报告事件的流程。 最终规定加强和扩展了《国土安全采购规章》现有措辞,以确保承包商和(或)分包商员工能足够安全地访问受控非机密信息。受控非机密信息将由承包商代表机构收集或维护,或由联邦信息系统(包括代表机构运行的承包商信息系统)收集、处理、存储或传输。 具体而言,最终规定确定了适用于联邦信息系统(包括代表机构运行的承包商信息系统)的受控非机密信息处理要求和安全流程与程序。它还确定了事件报告要求,包括报告时间表和必需数据元素、检查规定和事件后活动,并要求对政府和与政府活动相关的文件和信息进行清除认证。 最后,最终规定要求承包商制定相关程序并具备相关能力,保证在事件发生时,向那些个人身份信息(PII)或敏感个人身份信息(简称SPII、敏感PII)由承包商控制或驻留在信息系统中的任何个人发出通知。 合规成本与效益如何? 此次发布的通知称,最终规定将适用于有下列需求的国土安全部承包商:需访问CUI;需代表政府收集或维护CUI;需运行联邦信息系统(包括代表机构运行的承包商信息系统),收集、处理、存储或传输CUI。 “国土安全部估算,在折现率为7%的情况下,最终规定的年化成本为1532万美元至1728万美元;在同一折现率下,十年总成本为1.0762亿美元至1.2137亿美元。”这些成本的主要来自独立评估、报告和记录保存。此外,熟悉最终规定、安全审查也会产生额外的小额、可量化成本。 国土安全部无法量化事件报告、PII和敏感PII通知、信用监控等要求的相关成本。所以,这些成本仅做定性讨论。 此次发布的通知称:“预计最终规定将缩短操作授权(ATO)时间、减少国土安全部审核和重新发布提案时间(因为承包商资质会得到提升)、减少数据泄露识别时间,从而节约成本。” 最终规定的效益不止于此。根据最终规定,一旦公众数据被泄露,将更好地通知受害者,并提供信用监控服务,帮助受害者有效监控数据泄露、规避数据泄露带来的高昂后果;及时报告也能降低事件的严重程度。 近日,网络威胁黑客利用MOVEit传输漏洞攻击了美国多个地方、州和联邦机构。国土安全部发布最终规定,正是对这些攻击的回应。 上周五,美国国家网络安全和基础设施安全局(CISA)更新了一份早期的网络安全建议,称Clop勒索软件团伙正在利用Progress Software的托管文件传输解决方案MOVEit Transfer中的SQL注入零日漏洞(CVE-2023-34362)。CISA在文件更新中,删除了旧的Fortra GoAnywhere Campaign IP地址,并添加了新的IP地址。 转自 安全内参,原文链接:https://www.secrss.com/articles/55980 封面来源于网络,如有侵权请联系删除
美国发布针对管道部门的首个网络安全规定
据外媒报道,美国国土安全部(DHS)于当时间周四发布了针对管道部门的首个网络安全规定。本月早些时候,Colonial Pipeline遭遇勒索软件攻击,进而导致美国东海岸燃料供应中断。DHS交通安全管理局(TSA)发布的新安全指令将要求关键管道公司向美国网络安全和基础设施安全局(CISA)报告确认的、潜在的网络攻击。 美DHS部长亚历杭德罗·马约卡斯Alejandro Mayorkas周四在一份声明中说道:“网络安全形势在不断变化,我们必须适应以应对新的和正在出现的威胁。最近对一条主要石油管道的勒索软件攻击表明,管道系统的网络安全对我们的国土安全至关重要。” 该指令还要求管道公司对其当前的安全措施进行审查以确定任何风险或漏洞。这些公司必须在30天内向TSA和CISA报告这些审查结果。 5月7日,当Colonial在其计算机系统中发现勒索软件感染后关闭了其管道运营。这次关闭影响了东海岸部分地区的天然气供应,一些人在加油站等了一个小时或更长时间或者根本汽油。此外,Colonial所在州的州官员和联邦官员警告称,囤积和恐慌性购买汽油可能会加剧问题。据Colonial披露,管道于5月13日重启运营并于5月17日恢复全部产能,不过燃料全线供应恢复正常则需要更长的时间。 Colonial的勒索软件感染突显出该国关键基础设施的脆弱性,这些基础设施一直是越来越多网络攻击的目标。城市、学校和医院都曾遭到网络罪犯的攻击,它们扰乱受害者的电脑然后勒索一笔钱用来解密这些电脑。 美FBI将此次袭击归咎于一个名为Darkside的黑客组织,据信该组织总部位于俄罗斯。美国总统乔·拜登表示,FBI并不认为俄罗斯政府直接参与了此次袭击。 目前,Darkside的网站已经下线,组织显然正在解散。 5月12日,拜登曾发布了一项旨在加强美国网络安全的行政命令。这项范围广泛的命令包括成立一个网络安全审查委员会,该委员会将在重大事件发生后召开会议。委员会成员将由美国防部和司法部的成员、几家安全机构的成员及私营部门的专家组成。 (消息及封面来源:cnBeta)