NIST 推出全新漏洞评估指标
HackerNews 编译,转载请注明出处: 美国国家标准与技术研究院(NIST)推出全新漏洞评估指标“可能被利用漏洞(LEV)”,旨在帮助组织量化漏洞遭实际利用的可能性。这项发布于5月19日的技术白皮书显示,LEV模型基于2018年由事件响应与安全团队论坛(FIRST)提出的漏洞利用预测评分系统(EPSS)进行优化,旨在提升企业漏洞优先级排序效率。 EPSS系统通过机器学习模型预测特定漏洞在30天内遭利用的概率,其最新版本EPSS v4于2025年3月发布。LEV指标在此基础上增加多维数据维度,每日为漏洞管理人员提供包含历史利用概率峰值、各30天窗口期EPSS评分等参数的详细分析报告。具体输出数据包括: CVE编号、发布日期及描述 LEV概率值(即历史观测到的利用可能性) 30天窗口期内EPSS评分峰值及出现日期 各窗口期具体评分与对应日期 受影响产品的通用平台枚举(CPE)信息 白皮书提出两种LEV计算模型:标准版采用30天窗口期EPSS原始数据,优化版则将EPSS评分除以30生成单日预测值,后者需更高算力支持但能反映评分动态变化。NIST建议将LEV与CISA已知被利用漏洞(KEV)目录、第三方企业及开源社区的同类数据库结合使用,形成多维度评估体系。研究团队特别指出,现有KEV清单存在覆盖不全的问题,而EPSS模型在设计上无法准确反映历史漏洞的利用情况。 不过NIST也坦承LEV存在误差范围未知的局限性,这主要源于EPSS系统未将历史利用数据纳入评分机制。此外,若某漏洞在30天内遭利用,其后续评分不会因此上调。尽管存在缺陷,NIST期望通过LEV的实践应用,推动漏洞评估体系的持续优化,为网络安全防御提供更精准的决策依据。 消息来源:infosecurity-magazine; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc”并附上原文
美政府积极推进零信任身份改造,NIST 将发布首份全面身份管理指南
安全内参消息,为了避免类似SolarWinds的事件重演(恶意黑客利用IT管理外包商的访问权限与低下的身份管理水平,至少入侵了九个联邦部门),身份验证服务商越来越受到高度关注。不过日前一次研讨会上,负责相关工作的美国政府官员强调,具体实施还需要各方机构积极参与。 技术专家杰里米•格兰特(Jeremy Grant)表示,“经历SolarWinds事件后,每一家行业领先的身份验证服务商都能感受到业务更好做了。” 格兰特目前是Venable律师事务所负责技术业务战略的常务董事。在美国国家标准与技术研究院(NIST)制定关键基础设施安全性改进路线图期间,他曾经提供了身份与认证管理方面的建议。 说起市面上的顶尖身份验证提供商,如Ping、Okta、Forgerock以及微软Active Directory Federation Services(ADFS)等,他认为“在关于到底该选择哪家提供商方面,之前的争议一直比较玄学,类似于可口可乐和百事可乐到底哪种更好喝。” 周二(8月2日),参加先进技术研究中心在线会议的联邦官员普遍认为,任何机构的决策都包含大量主观性因素。因此,他们将更多关注机构所必需的通用基础要素,对具体供应商或安全方法的选择不做关注,仅视为达成管理和预算办公室(OBM)发布的建立“零信任”系统指令的手段。 网络安全和基础设施安全局(CISA)发布公告称,在SolarWinds事件曝光后,各机构纷纷开始寻求解决之道。SolarWinds事件中,恶意黑客使用微软ADFS劫持了系统管理员的凭证,借此在目标网络上横向移动。第14028号总统行政令要求,各机构应优先建立以零信任为核心的身份和访问管理系统,根据特定角色(例如人力资源人员)和属性(例如所在位置)为其授予查看/编辑某些资产的相应权限。 网络安全和基础设施安全局的格兰•达舍(Grant Dasher)提到,“CISA在政府的身份空间中有望发挥更大作用。我们正努力提供更多指导,包括零信任成熟度模型和云安全参考架构。相信这一领域将很快出现更多解决方案。” 达舍表示,各机构最应该从SolarWinds事件中吸取的教训之一,就是“充分了解基础设施内的信任边界和接触面。” 他表示,“只要认真研究过特定架构的设计方式,就会意识到某些联合凭证虽然使用频繁,但却不一定该被纳入管理员账户。也许我们可以为云管理员账户设置一个单独的信任根,把它的权限范围收窄,这样才不会影响到原有(本地资产)的所有接触面。” 技术专家马特•托珀(Matt Topper)透露,NIST正在更新关于身份和访问管理的出版物文件,并将“发布有史以来第一份关于联邦指导的真实、专用文件。”这份文件不仅希望能在机构之间开展身份验证,还要求在机构及其外包商/普通民众间开展身份验证。托珀是联邦身份访问供应商Uberether的总裁,也是ATARC网络研讨会的小组成员。 外包供应商尤为重要,因为这些托管服务提供商已经成为高水平恶意黑客的切入点,而且很难搞清楚,到底该由谁监督外包商们对政府系统的访问活动。 托珀表示,“我总是开玩笑地说,那些已经为机构工作了很长时间的外包商,掌握的访问权限甚至比机构主管还要高。这是因为我们在重新认证外包商访问权限上做得不够好。当他们解约又签约之后,原有权限并没有被收回,所以随着时间推移访问范围也就越来越大。我们曾为国防部做过很多工作,大家可能想象不到,就连「谁负责管理外包商?」「外包商在访问网络时出了麻烦,该由谁担责?」这样的问题都很难有明确的答案。” 托珀也表示,“我们最终还是达到了CISA对主用户记录/主设备记录的管理能力要求……开始将这些信息整合起来,以确保数据是干净的。” 卫生与公民服务部首席信息官杰拉尔德·卡隆(Gerald Caron)在会议最后总结道,“无论是借助Ping、Okta或ADFS”,联合身份“都是一件好事……毕竟包括我自己在内,没人愿意硬记几十种应用程序上的用户名和密码。” 转自 安全内参,原文链接:https://www.secrss.com/articles/45404 封面来源于网络,如有侵权请联系删除
放眼后量子时代:NIST 希望新标准可防止量子计算机破解加密
针对“后量子时代”的破解加密技术,美国政府已于本周二公布了四项设计和测试标准。科学家们早就指出,随着时间的推移,先进量子计算机将对主流加密技术造成降维打击。有鉴于此,美国国家标准与技术研究院(NIST)特地对相关量子数据保护工作进行了监督。 放置谷歌量子处理器的低温恒温器 在 NIST 选择的四项技术中,预计有两项会发挥更广泛的作用。首先是 Crystals-Kyber,其旨在构建于两台计算机之间共享加密数据所需的密钥。 其次是 Crystals-Dilithium,其用于签署加密数据,以确定到底是谁发出的数据。不过我们可能需要等待两年时间,才会等到相关标准化技术融入当今的软硬件平台。 需要指出的是,上述两项和 Falcon 都是基于格的算法(lattice-based algorithm),同时 NSA 有打算过渡到此类加密解决方案。 至于第四个 Sphince+ 选项,其被认为是不基于格的最强大的数字签名解决方案。 作为攻击用的‘矛与盾’,量子计算机仍需经历多年的稳步发展,才可创造出足够强大且可靠的机器来破解加密。 但无论怎样,比之亡羊补牢,提前制定的加密防御策略,总归是更加稳妥的路线。 毕竟寻找新的加密方法、确保其安全性并推广开来,往往需要数年的时间。 另一方面,即使当前的加密数据尚未得到破解,黑客仍可现保留当下收集到的敏感信息,并寄希望于在未来某个时刻破解仍有价值的部分。 量子计算机软硬件制造商 Quantinuum 的网络安全负责人 Duncan Jones 表示: 业界普遍认为需要预备 10-15 年的时间尺度来抵御攻击,但由于‘先到手、后解密’的可能性的存在,相关攻击或早已在秘密谋划中。 转自 cnBeta,原文链接:https://www.cnbeta.com/articles/tech/1289073.htm 封面来源于网络,如有侵权请联系删除
注意,NIST 更新了网络安全供应链风险指南
近日,美国国家标准与技术研究所(NIST)再次更新了《网络安全供应链风险管理》(C-SCRM)指南,提供了与供应链攻击相关的趋势和最佳实践,指导企业有效管理软件供应链风险,以及在遭受供应链攻击时该如何进行应急响应。 网络供应链风险管理(C-SCRM)是识别、评估和减轻ICT产品和服务供应链分配和互联性相关风险的过程。C-SCRM覆盖了ICT的整个生命周期:包括硬件、软件和信息保障,以及传统的供应链管理和供应链安全实践。 目前,NIST发布了“系统和组织网络安全供应链风险管理实践”,以此响应“改善国家网络安全”的美国第14028号行政命令。 系统和组织网络安全供应链风险管理实践明确指出,本刊物的目的是为企业提供有关如何识别、评估、选择和实施风险管理流程以及减轻企业控制措施的指导,以帮助管理整个供应链的网络安全风险。” 修订后的指南主要针对产品、软件和服务的收购方和最终用户,并为不同的受众提供建议:网络安全专家、负责企业风险管理人员、采购人员、信息安全/网络安全/隐私、系统开发/工程/实施的领导和人员等。 NIST 的Jon Boyens表示,管理供应链的网络安全是一项一直存在的需求,当供应链遭到勒索软件攻击时,制造商可能因缺乏重要组件而停摆,连锁商店也可能只是因为维护其空调系统的公司得以访问其共享资料而爆发资料外泄事件,该指南的主要读者群将是产品、软件及服务的采购商与终端用户,倘若政府机关或组织尚未着手管理供应链的风险问题,那么这就是一个从零到有的完整工具。 NIST的专家们进一步强调了现代产品和服务供应链安全的重要性。毕竟,一种设备可能是在一个国家/地区设计的,但是它的组件可能在全球多个国家/地区制造,只要生产这些组件的公司其中一个出现安全事件,那么就有可能会对整个供应链的产品和服务产生重大影响,大大增加了全球组织的攻击面和受影响的连锁性。 例如制造商可能会因为其中一个供应商受到勒索软件攻击,而导致关键制造组件的供应中断,或者零售连锁店可能会因为维护其空调系统的公司可以访问商店的数据共享网站而遭遇数据泄露事件。 转自 FreeBuf ,原文链接:https://www.freebuf.com/news/332505.html 封面来源于网络,如有侵权请联系删除
美国 NIST 计划应对全球 BGP 漏洞问题,推出新安全网络域名路由标准
据外媒 10 月 4 日报道,美国国家标准技术研究所( NIST )近期发布一份新域间路由安全(SIDR)标准,旨在加强互联网边界网关协议(BGP)的安全性能。 边界网关协议(BGP)于 1989 年被研究人员提出,是早期外部网关协议的短期解决方案,但它不能处理互联网的快速增长,并且现在面临崩溃的危险。研究人员表示,BGP 控制路由时需要互联网整个路径的所有数据信息。然而,现今的网络系统已不足信任,整个流量交通都可能被黑客劫持。 调查显示,黑客通过 BGP 漏洞可对互联网路由造成重大系统威胁,从而导致: (1)拒绝接入互联网服务; (2)允许黑客绕过互联网流量监控、加快端点路径攻击; (3)将互联网流量误导至恶意端点; (4)破坏 IP 地址信誉与过滤系统; (5)造成互联网路由不稳定现象。 知情人士透露,美国 NIST 近期一直在与国土安全部(DHS)和互联网工程任务团队(IETF)合作开发一套新 BGP 标准以消除漏洞,解决上述问题。NIST 表示,新域间路由安全标准由 资源公钥基础设施(RPKI)、BGP 源代码验证(BGP-OV)与 BGP 路径验证(BGP-PV)三部分组成: RPKI 允许第三方对互联网地址域名与互联网自主系统的所有权限进行加密验证。BGP-OV 提供了协议的扩展与工具,允许 BGP 路由使用 RPKI 数据检测与过滤未经授权的 BGP 路由通知。BGP-PV 则进一步提供了协议的扩展,允许 BGP 路由加密验证 BGP 路由的网络序列。 目前,安全研究人员正加强互联网 BGP 的安全性能,旨在抵御黑客通过路由系统的肆意攻击。 原作者:Kevin Townsend,译者:青楚 本文由 HackerNews.cc 编译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。
美国 NIST 提出新安全草案:首次将隐私权纳入国家核心范围
据外媒 18 日报道,美国国家标准技术研究所(NIST)近期提出新 IT 安全措施草案,其首次将隐私权纳入国家核心文本,并将安全领域扩大至物联网与智能家居技术。 该草案中的 “ 信息系统与组织的安全和隐私控制 ” 将成为美国执法的标准与指导方针,并作为更广泛行业的基准。因此,它可能对美国技术的使用与实施产生巨大影响。 据悉,该草案的前言参考今年早些时候发布的网络防御任务评估,即所有新设备与系统均对国家关键基础设施存在安全隐患的一说。报告还指出,针对美国关键基础设施的网络攻击超过安全漏洞威胁,美国在未来的十年中必须积极主动的采取系统性的网络防御措施。目前,NIST 试图做到这一点,并主动推出系统性方法。 现今,数百万用户掌握着强大的计算机设备,导致 NIST 的审查不得不考虑到公民隐私安全问题,因此隐私已成为该报告核心内容。报告指出,NIST 最终目标是使国家信息系统能够轻松抵御威胁,减少攻击破坏并使系统迅速恢复。值得注意的是,该报告部分内容此前仅影响美国联邦机构,但现今 NIST 已开始积极将其投放至私营企业并希望建立一个更完整的弹性网络。 除此之外,NIST 还提出一个特定的隐私计划和以隐私为重点的单独培训,其中包括两个广泛的附录,这些附录可以追踪文件中所有不同名称与编号的控件隐私要求和注意事项。 NIST 呼吁各组织机构: ○ 建立和维护一个全面的隐私计划 ○ 确保符合隐私要求并管理隐私风险 ○ 监督联邦法律、法规和变更政策 ○ 指派一名高级机构官员监督项目进程 ○ 确保隐私计划与其他项目之间的协调 总体而言,虽然文档篇幅较长且密集但它是网络规则的关键文档,将适用于成千上万不同 IT 系统、囊括对隐私与传统服务器设备的多项考虑。据悉,该草案的征求意见截止于 9 月 12 日,NIST 希望能在 10 月份发布最终草案并在年底之前正式推出。 原作者:Kieren McCarthy,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。
NIST 密码安全新标准更新,旧版作者承认存在不妥
美国国家标准和技术协会( NIST )今年 6 月提供的最新数字身份指南的新版草案中,指出不再推荐用户使用密码混合大写字母、字符和数字,也不再要求定期修改密码。因为研究显示此类要求并不能增加密码强度,NIST 认为最重要的是储存密码必须盐化 + 哈希 + MAC 处理。 不过,对于 2003 年一篇广为流传的密码混合大写字母、字符和数字的 NIST 安全专家建议文章,其作者前 NIST 主管 Bill Burr 开始承认当时提供的建议并不成熟,后来也被证实不是太奏效,当然也有媒体的一些误导总结,导致更多的曲解。根据他当年写的一份文档 NIST Special Publication 800-63,媒体总结为专家建议大家采用混合大写字母、字符和数字,构成一个常用词组的方式(比如 P@ssW0rd123!)。事实证明,这种密码对于破解密码工具来说,只需要增加一些代码,根据这种规则的密码强度几乎与弱密码的破解相差无几,倒是催生了许多有创意的网名 ID。 比如一篇形象的漫画指出根据这样的规则,形似 “ Tr0ub4dor&3 ” 这样的密码只需要用标准技术在三天之内就能够破解,而且你很容易在被破解之前就忘掉自身密码。而一句完全采用英文单词组成的摸不着头脑的短语 “ correct horse battery staple ” 却需要约 550 年破解,而这组词语很容易形成独特的画面,对于人类来说非常容易形成记忆,但对于计算机来说堪比天书,随机性使得它很难被自动化工具猜出。Burr 承认当时的确找错方向。 NIST 数字身份指南的新版草案的作者 Paul Grassi 指出,NIST 此前的密码安全建议都是在摸索中前进,没有前人的尝试也无法摸索出切实有效的密码建议。NIST 也不再要求密码混合大写字母、字符和数字,因为研究显示此类的要求并不能带来强密码。NIST 认为,如果用户想要使用绘文字作为密码,那么就应该允许用户使用。NIST 认为最重要的是储存的密码必须盐化哈希 MAC 处理。 稿源:cnBeta,封面源自图片;
包含 3.06 亿密码的数据库,可查看私人密码是否泄露
2007 年 6 月,国家标准与技术研究所( NIST )发布声明,指出网站应比对用户密码,查看这些密码是否已在互联网泄露,以确保它们完全独一无二。虽然大多数网站还没有提供这种功能,但现在 haveibeenpwned.com 网站创始人 Troy Hunt 推出了一个工具,您可以在其中检查自己常用的密码,看看它们是否已被盗用。 它的工作方式很简单。只需输入一个密码,并将它与一个超过 3.06 亿个密码的数据库进行比较,这些密码是在几年内收集的泄露密码。haveibeenpwned.com 网站还提供泄露密码数据免费下载,以便开发人员将其集成到自己的网站中。 用户可以尝试一下,但不要输入任何正在使用的密码。虽然网站学习保护私人数据非常重要,但同样重要的是个人可以实施良好的密码安全,或者让自己成为密码管理员,并为您访问的每个网站使用超复杂的密码。 稿源:cnBeta,封面源自网络;