HackerNews 编译，转载请注明出处： IBM《数据泄露成本报告》显示：全球泄露成本下降，但美国成本上升。最显著的变化在于新兴影响因素的出现——AI在攻击与防御中的双重作用。 全球平均数据泄露成本降至444万美元（五年来首次下降），但美国平均成本升至创纪录的1022万美元。数据泄露生命周期（驻留时间与修复时间之和）缩短至241天——创历史新低，较上年减少17天。 美国数据泄露成本较高与区域安全水平或AI影响关联有限。IBM X-Force情报部门副合伙人Kevin Albano解释：“尽管美国企业采用AI防御的比率略高，但其泄露成本仍连年居首。差异源于多重因素，包括检测与处置成本同比激增14%（部分由劳动力成本上升驱动），以及更高的监管罚款。” AI的双刃剑效应 本年报告核心结论是：无论善恶，AI时代已至——犯罪分子的重视程度甚至超过防御方。AI正成为高价值目标： 13%的泄露事件涉及AI模型或应用，其中97%的案件无访问控制 相关泄露导致60%的数据失窃与31%业务中断 安全治理在AI部署过程中被严重忽视 访问控制的缺失暴露了安全理念的崩塌，Albano指出根源在于：“企业急于利用AI实现自动化降本，但AI系统的复杂性与新颖性使安全实践仍在演进中。” 攻击技术的迭代 供应链攻击占AI相关泄露的30%，涉及应用、API及插件漏洞。直接操纵AI的三大技术占比更高： 提示词注入（Prompt Injection）：17% 模型规避（Model Evasion）：21% 模型反演（Model Inversion）：24% 随着防护机制强化，攻击者转向上下文操纵技术。Albano阐释差异：“模型反演旨在重构训练数据，模型规避通过操纵输入诱发错误输出，提示词注入则通过篡改指令影响AI行为。” 防御价值的实证 采用AI驱动的企业显著降低泄露成本： 使用AI加速攻击检测的企业，泄露生命周期缩短108天 全面部署AI安全方案的企业，平均节省153万美元成本 攻击效率的质变 生成式AI使网络攻击效率飞跃： 钓鱼攻击占比16%（首次超越凭证窃取成为主要攻击媒介） 单次钓鱼攻击成本达480万美元 AI伪造钓鱼邮件耗时从16小时压缩至5分钟 Albano强调：“犯罪分子利用信息窃取器（Infostealers）掠夺密码、浏览记录、键盘输入等数据，这些工具已成为网络犯罪支柱。” 报告采用统一核算模型： 成本涵盖检测响应、通知、事后处置及业务损失四环节 分析样本排除极大规模/极小规模泄露事件（记录数介于2960至113620条） 基于作业成本法（Activity-Based Costing）进行实际消耗分摊 尽管未披露全部泄露的企业数据可能影响绝对值准确性，但历年方法论一致性确保了趋势可比性。       消息来源：securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Veeam 和 IBM 近日发布了安全更新，以修复其 Backup 和 AIX 系统中的高风险漏洞。 Veeam 发布了安全更新，修复了影响其 Backup & Replication 软件的一个关键安全漏洞，该漏洞可能导致远程代码执行。该漏洞编号为 CVE-2025-23120，其 CVSS 评分为 9.9（满分 10.0），影响 12.3.0.310 版本及所有更早的 12 版本。 Veeam 在周三发布的安全公告中表示：“该漏洞允许经过身份验证的域用户执行远程代码。” 安全研究人员 Piotr Bazydlo（来自 watchTowr）因发现并报告该漏洞而受到赞誉，该漏洞已在 12.3.1 版本（构建号 12.3.1.1139）中得到修复。 根据 Bazydlo 和研究员 Sina Kheirkhah 的分析，CVE-2025-23120 源自 Veeam 对反序列化机制的不一致处理，导致一个允许反序列化的白名单类为一种内部反序列化铺平了道路，而这种内部反序列化采用了基于黑名单的方法来阻止公司认为有风险的数据反序列化。 这也意味着攻击者可以利用黑名单中缺失的反序列化工具（例如 Veeam.Backup.EsxManager.xmlFrameworkDs 和 Veeam.Backup.Core.BackupSummary）来实现远程代码执行。 “任何属于 Veeam 服务器 Windows 主机本地用户组的用户都可以利用这些漏洞，”研究人员表示，“更糟糕的是，如果你的服务器已加入域，那么任何域用户都可以利用这些漏洞。” Veeam 的补丁将这两个工具添加到现有黑名单中，这意味着如果发现其他可行的反序列化工具，该解决方案可能会再次面临类似风险。 与此同时，IBM 也发布了补丁，修复了其 AIX 操作系统中的两个关键漏洞，这些漏洞可能允许执行命令。受影响的 AIX 版本为 7.2 和 7.3，具体漏洞如下： CVE-2024-56346（CVSS 评分：10.0）：这是一个不当访问控制漏洞，可能允许远程攻击者通过 AIX nimesis NIM 主服务执行任意命令。 CVE-2024-56347（CVSS 评分：9.6）：这是一个不当访问控制漏洞，可能允许远程攻击者通过 AIX nimsh 服务的 SSL/TLS 保护机制执行任意命令。 尽管目前没有证据表明这些关键漏洞已被实际利用，但用户仍被建议尽快应用必要的补丁，以防范潜在威胁。 消息来源：TheHackerNews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： IBM 安全验证目录服务器容器存在两个漏洞，可能允许攻击者获得未经授权的访问权限并执行命令。IBM 已发布安全公告，详细说明了这些漏洞。 公告中提到的两个漏洞是 CVE-2024-49814 和 CVE-2024-51450，影响 IBM 安全验证目录 10.0.0 至 10.0.3 版本。 CVE-2024-49814 是一个本地权限提升漏洞，可能允许经过身份验证的用户获得更高权限，并有可能控制整个系统。该漏洞的 CVSS 基础评分为 7.8，表明其严重性较高。 CVE-2024-51450 是一个远程命令注入漏洞，可能允许攻击者通过发送特制请求在系统上执行任意命令。该漏洞的 CVSS 基础评分为 9.1，表明其严重性为关键级别。 “IBM 安全验证目录可能允许远程经过身份验证的攻击者通过发送特制请求在系统上执行任意命令，”公告中指出。 IBM 强烈建议客户更新到最新版本的软件，以修复这些漏洞。更新包括解决已识别安全缺陷的修复程序，并增强了系统的整体安全性。 使用 IBM 安全验证目录的组织应尽快应用更新，以保护其系统免受潜在攻击。优先考虑漏洞管理并确保及时应用安全更新，对于降低被利用的风险至关重要。   消息来源：Security Online, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

强生医疗健康系统公司（“Janssen”）近日通知其CarePath客户，他们的敏感信息在涉及IBM的第三方数据泄露事件中遭到泄露。 CarePath是一款应用程序，帮助患者获得杨森药物、提供针对符合条件的处方提供折扣和节省成本的建议、保险范围指导以及提供药物补充和管理警报服务。 IBM是强生公司的技术服务提供商，负责CarePath应用程序和数据库的技术服务和管理。 根据强生网站上的通知，该制药公司发现了一种可未授权访问CarePath数据库的新方法。 强生公司向IBM报告了这一情况后，IBM立即修复了安全漏洞并启动了内部调查，以评估是否有人利用了该漏洞。 不幸的是，2023年8月2日结束的调查显示，未经授权的用户访问了以下CarePath用户详细信息： 全名 联系信息 出生日期 健康保险信息 用药信息 医疗状况信息 强生表示，社会安全号码和金融账户数据没有保存在被泄露的数据库中。 此次数据泄露事件影响了2023年7月2日之前注册强生公司在线服务的CarePath用户，这可能表明数据泄露发生在当天，或者泄露的是数据库备份。 此外，强生公司还澄清，此次安全事件不会影响杨森的肺动脉高压患者。 安全专家指出，泄露的患者数据可用于高效的网络钓鱼、诈骗和社会工程攻击，考虑到医疗数据的价值，它们很有可能在暗网市场上以溢价出售。 IBM针对该事件发布了一份单独的公告，称没有迹象表明被盗数据已被滥用。尽管如此，IBM仍敦促Janssen CarePath用户保持警惕，并密切监控其账户报表是否存在可疑活动。 强生不是IBM数据泄露的第一个医疗行业受害者，仅仅数周前，科罗拉多州医疗保健政策和融资部(HCPF)通知400万人，他们的个人和医疗数据因IBM的泄露而遭到泄露。 IBM是今年早些时候遭受Clop勒索软件攻击的数百家实体之一，后者利用了全球知名企业广泛采用的MOVEit Transfer软件中的零日漏洞。 安全媒体BleepingComputer已向IBM询问此事件是否与MOVEit攻击有关，IBM发言人回复称是由不同威胁行为者引起的单独事件。     转自GoUpSec，原文链接:https://mp.weixin.qq.com/s/LIEfgzfiK94LKjZcUTy_WQ 封面来源于网络，如有侵权请联系删除

生成随机数看似容易，但其难度却出乎意料——尤其是在随机数的概率分布非常复杂的情况下。 在科学研究中（例如在训练神经网络时），经常会遇到这种情况。在这种情况下，研究人员可以使用一种通用计算最早使用的技术：Metropolis算法。该算法于1953年首次在开创性的MANIAC计算机上运行，而它的现代版名称则是马尔科夫链蒙特卡罗（MCMC）算法。 7月12日，来自IBM Quantum的科学家Layden等人在《自然》杂志上撰文，通过使用量子计算机来加速程序的性能，报告了这一算法发展中更为现代的转折。 MCMC算法是一种根据指定概率分布生成随机数的框架，这项任务被称为采样。该框架包含多种变体，所有变体都涉及样本的迭代；经过足够多的循环后，需要保证样本的分布符合所需的目标分布。 这一过程中的每次迭代都包含两个部分： – 建议步骤，即在当前样本的基础上建议一个样本； – 接受或拒绝步骤，即接受新样本作为迭代中的下一个样本，或拒绝新样本以重复上述过程。 马尔科夫链蒙特卡罗（MCMC）算法从目标概率分布中抽取随机数，涉及的两个步骤：提出一个样本，然后接受该样本作为迭代中的下一个样本；或者拒绝该样本，从而触发该过程重新开始。这两个步骤的设计都必须保证足够的迭代次数，以便最终得到符合目标分布的样本，实现这一目标所需的迭代次数称为收敛时间(convergence time)。具体来说，样本收敛到目标分布的迭代次数比使用传统MCMC算法的迭代次数更少。 MCMC 算法的变体可通过每个步骤所使用的不同策略来区分。最重要的是，这两个步骤必须以这样一种方式构建，即保证重复这两个步骤最终得到的样本分布符合所需的分布。因此，“需要多长时间”是任何MCMC变体的关键属性。 在样本按照目标分布分布之前，这个过程需要重复1000次吗？还是一百万次？ 所需的迭代次数称为收敛时间，它取决于随机变量的维度——描述采样变量所需的比特数。维数越大，收敛时间越长。不幸的是，对于目前使用的大多数 MCMC 变体而言，收敛时间与变量维度的确切数学关系并不严格。然而，这并没有阻止人们使用MCMC算法：他们倾向于利用收敛的经验和统计特征。 Layden等人设计了一种MCMC变体：利用量子计算机在提议步骤中产生样本。在任何迭代中，随机样本都被编码为量子态，并对其进行一系列量子运算以产生输出态，该输出态可被测量以生成新样本。这本身并不特别：在MCMC算法的提议步骤中，几乎任何程序都可以用来生成新样本（包括简单地对当前样本施加噪声）。 然而，此次的研究人员必须能够证明这些步骤收敛到了目标分布，而这对于任意的提议程序来说是不可能的。这就引出了Layden及其同事的关键创新：他们设计了一套量子操作，当量子提议步骤与标准的接受或拒绝步骤相结合时，就可以验证收敛性。 作者通过数值模拟和早期量子计算硬件实验相结合的方式，展示了他们的量子增强MCMC算法。他们的研究结果表明了迭代对目标分布的预测收敛性。更重要的是，他们还证明了该收敛速度快于之前为提议步骤设计的几种经典替代方案。 实际的收敛速度很难测量，作者仅对有限复杂度的过程进行了测量——那些目标变量分布最多可由10比特描述的过程；他们还对20比特变量目标分布的收敛率进行了近似计算。 在所有情况下，他们都发现了令人信服的证据，证明量子版MCMC算法的收敛速度比经典版更快。他们根据经验确定，这种速度提升是多项式的，量子增强策略的收敛时间约为传统策略收敛时间的立方根。 这种速度提升从何而来？与大多数量子增强一样，很难将其归因于量子系统的任何一个特征。Layden等人提供的数字证据表明，他们所选择的量子操作在生成多样化提案与满足目标概率分布所施加的约束之间取得了微妙的平衡：这是经典提案策略难以实现的权衡。 平均收敛速率模拟 收敛率实验 量子加速机制 尽管Layden及其同事的工作很全面，但也存在一些局限性。 首先，量子增强算法的收敛性证明只有在量子操作完美执行的情况下才是有效的：在硬件不产生任何噪声的情况下。然而，他们的实验结果表明，收敛率对噪声具有一定的稳健性，尤其是当硬件噪声可以随机化时。 其次，加速收敛仅在小规模问题中观察到，在更大规模问题中可能会消失，特别是在存在噪声的情况下。如果作者对加速原因的解释是正确的，并且如果硬件噪声可以在更大尺度上被抑制，加速很可能会持续下去——但这在现阶段还远远不能确定。 最后，尽管Layden等人已经证明他们的量子增强算法比一些常见的经典提议策略收敛更快，但他们还没有测试更多MCMC变体。因此，这一差距有可能被现有的或可能设计出的其他经典提议策略弥补，甚至有可能是受到这项工作的启发。 尽管存在这些局限性，Layden及其同事的研究为早期含噪声量子计算机生成有用的解决方案提供了一个重要而令人兴奋的应用，同时也为富有成果的未来研究确定了许多方向。     转自安全内参，原文链接:https://www.secrss.com/articles/56622 封面来源于网络，如有侵权请联系删除

IBM Aspera Faspex 是一个被企业广泛采用的文件传输应用程序，以能够安全和快速传输大型文件而广受青睐。 安全专家警告说，IBM 于2022年12月8日在软件中修补的一个漏洞（可用于回避身份验证和远程利用代码）正在被多组使用加密恶意软件的攻击者滥用。 虽然该漏洞在12月被修补，但IBM并没有立即详细说明该漏洞随后便在更新中修复了漏洞。在1月26日的安全警报中，IBM表示，该漏洞被命名为CVE-2022-47986，CVSS基本评分为9.8，可允许远程攻击者在系统上执行任意代码。 随后，恶意活动追踪组织Shadowserver在2月13日警告说，他们发现攻击者试图利用Aspera Faspex未更新版本中的CVE-2022-47986。 软件开发商Raphael Mendonça 2月16日报告说，一个名为BuhtiRansom的组织正在 用CVE-2022-47986加密多个服务器。 Buhti是一个相对较新的勒索软件组织，今年2月，该组织引导受害者通过 SatoshiDisk.com，一个目前托管在Cloudflare IP上支持比特币来支付赎金的网站。 勒索软件组织针对文件传输软件或设备也不是什么新鲜事了。Clop集团在最近几个月针对Fortra公司广泛使用的文件传输软件GoAnywhere MFT的用户进行了大规模的攻击活动。通过利用一个零日漏洞以及对于以前版本未更新的用户，目前已经有超过130名受害者。 安全公司Rapid7本周建议Aspera Faspex用户立即将他们的软件卸载，或者将其升级到有补丁的版本。 该漏洞是Ruby on Rails代码中的一个反序列化漏洞，存在于IBM Aspera Faspex 4.4.2版及以前的版本中。IBM通过删除API调用来修复该漏洞。用户也可以升级到Faspex 5.x版本来避免该漏洞。 IceFire针对文件传输软件 Buhti不是唯一攻击IBM文件传输软件的勒索软件组织。SentinelOne的威胁情报部门SentinelLabs在3月9日报告说，他们观察到CVE-2022-47986被IceFire利用。 该组织以前专注于攻击Windows系统，以双重勒索战术为基础，喜欢猎杀大型游戏。从以前的报告中看，IceFire喜欢以技术公司为目标；然而SentinelLabs观察到最近他们开始转向针对媒体和娱乐部门发起攻击。 SentinelOne表示，在最新的活动中，该组织首次通过Aspera漏洞开始打击Linux系统。对Linux 发起勒索软件攻击比对Windows更困难，因为Linux往往在服务器上运行，这意味着传统的感染载体，如网络钓鱼或驱动式下载无法生效。也因此攻击者转向利用应用程序的漏洞，正如IceFire通过IBM Aspera漏洞部署有效载荷所证明的那样。当然，Buhti勒索软件组织也是如此。 发现CVE-2022-47986的功劳归功于连续安全平台Assetnote的安全研究人员Maxwell Garrett和Shubham Shah。他们在2022年10月6日向IBM报告了这个漏洞，并在2月2日发布了公开的细节，以及概念验证的利用代码。     转自 Freebuf，原文链接：https://www.freebuf.com/news/362413.html 封面来源于网络，如有侵权请联系删除

The Hacker News 网站披露，IBM 近日修复一个影响其 PostgreSQL 云数据库（ICD）产品的高严重性安全漏洞（CVSS分数：8.8），该漏洞可能被利用来篡改内部存储库并运行未经授权的代码。 云安全公司 Wiz 将该漏洞称为“Hell’s Keychain ”，一旦恶意攻击者成功利用该漏洞可能会在客户环境中远程执行代码，甚至读取或修改存储在 PostgreSQL 数据库中的数据。 Wiz 研究人员 Ronen Shustin 和 Shir Tamari 表示：该漏洞由三个暴露的秘密 Kubernetes 服务帐户令牌、私有容器注册密码、CI/CD 服务器凭据组成，再加上对内部构建服务器的过度许可网络访问。 Hell’s Keychain 始于 ICD 中的一个 SQL 注入漏洞，该漏洞可能授予攻击者超级用户（又称 “ibm”）权限，然后允许其在托管数据库实例的底层虚拟机上执行任意命令。 据悉，这个功能被武器化以期访问 Kubernetes API 令牌文件，从而允许更广泛的开发后工作，包括从 IBM 的私有容器注册表中提取容器图像，该注册表存储与用于PostgreSQL 的 ICD 相关的图像，并扫描这些图像以获取其他机密。 研究人员强调，容器图像通常包含公司知识产权的专有源代码和二进制工件，此外，它们还可以包含攻击者可以利用的信息，以发现其他漏洞并在服务的内部环境中执行横向移动。 Wiz 表示，它能够从图像清单文件中提取内部工件存储库和 FTP 凭证，有效地允许对受信任的存储库和 IBM 构建服务器进行不受限制的读写访问。 这种攻击能够覆盖到 PostgreSQL 映像构建过程中使用的任意文件，然后将这些文件安装在每个数据库实例上，因此可能会产生严重后果。 IBM 在一份独立的咨询报告中表示，所有用于 PostgreSQL 实例的 IBM 云数据库都可能受到该 漏洞的影响，但目前还没有发现恶意活动的迹象，修补措施于 2022 年 8 月 22 日和 9 月 3 日推出，已自动应用于客户实例，无需进一步操作。 研究人员表示：作为广泛攻击链的一部分，这些漏洞可能被恶意攻击者利用，最终导致对平台的供应链攻击。 为了减轻此类威胁，建议组织监控其云环境中分散的凭据，强制实施网络控制以防止访问生产服务器，并防止容器注册表损坏。 转自 Freebuf，原文链接：https://www.freebuf.com/news/351588.html 封面来源于网络，如有侵权请联系删除

近期，IBM发布了最新的数据泄露成本报告，据报告称，目前全球数据泄露的平均成本为435万美元，过去两年数据泄露成本增加了近13%，创下历史新高。数据泄露成本报告是IBM的年度重磅事项，至今已经是该报告发布的第17年。今年的数据泄露成本报告是根据2021年3月至2022年3月期间对17个国家/地区的550家企业的调研编制而成的。 与去年报告相比，今年的整体数据有2.6%的增长，同时，据IBM称，消费者也正因数据泄露事件而遭受不成比例的痛苦。60%的违规企业在遭受数据泄露事件后反而提高了其产品价格，约等于变相加剧了全球通胀的速度。 网络钓鱼成为代价最高的数据泄露原因，受害企业的平均成本为490万美元，而凭据泄露是最常见的原因(19%)。连续第12年，医疗行业都是数据泄露成本最高的行业，而且还在快速增长中。2022年医疗行业的平均违规成本增加了近100万美元，达到创纪录的1010万美元。在众多国家中，美国仍然是数据泄露事件里损失最昂贵的国家，平均违规成本达到了940万美元。 据调研，将近80%的关键基础设施企业都没有采用零信任策略，这使得他们的违规成本比其他人增加了近 120 万美元，平均数据泄露成本上升到540万美元，与采用零信任策略的组织相比增加了117万美元。未实施零信任方案的组织所发生的数据泄露事件中，28%与勒索软件或破坏性攻击有关。 如果企业受到勒索软件的影响，他们也会向敲诈者付款。确实发现平均违规成本仅减少了 610,000 美元。当包括赎金本身时，违规成本可能会高得多。没有支付赎金的赎金攻击的平均成本为 450 万美元。 据报告研究，在有记录的数据泄露事件里，近一半的 (45%) 事件发生在云上，那些尚未制定安全策略或处于制定安全策略的早期阶段的企业比拥有成熟云安全态势的人平均要多支付660,000美元。 数据泄露似乎是不可避免的：83% 的研究企业表示他们遭受了不止一次数据泄露事件。但是，随着技术的升级，企业对网络攻击的检测和响应也越来越快了。其中识别和遏制数据泄露的平均时间从 2021年的287天下降到2022年的277天，整体数据下降了3.5%。其中运行XDR工具的企业在检测和响应的时间整体上又要比其他企业快29天。 报告指出，最大的成本节省是安全人工智能和自动化技术的使用——运行这些技术的企业平均减少了300万美元的数据泄露成本。IBM Security X-Force 全球负责人查尔斯·亨德森 (Charles Henderson) 表示：“企业需要将安全防御置于进攻端并击败攻击者。现在是阻止对手实现其目标并开始将攻击影响降至最低的时候了。越来越多的企业试图完善自己的边界，而不是在检测和反应方面加强，所以数据泄露事件就会导致其成本增加。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/340388.html 封面来源于网络，如有侵权请联系删除