2022年时间6月6日，RSA Conference 2022在旧金山召开。本届RSAC的主题为“Transform(转型)”，被认为是RSAC 2021年主题“弹性”的进一步延伸和拓展。转型在当下，是很多企业不得不面对的问题，像云计算、物联网、移动办公等新技术与业务的加速融合，让传统网络边界逐渐变得模糊，小至企业之弹性，大至行业之转型，网络安全产业正处于变革之中，传统边界防护手段已不足以有效应对新时代的威胁与挑战。 在此背景下，以“从不信任、始终验证”为核心原则的零信任概念应运而生，并迅速成为热门话题。很多企业高管将考虑开展零信任安全策略，因为他们希望零信任安全策略的实施可以让企业的安全建设取得明显进展。根据云安全联盟(CSA)的一项新调查，对80%的CxO技术领导者来说，零信任是企业的重要事项，77%的高管表示他们将增加对零信任安全建设的支出。 增加对零信任的投入对很多企业来说具有重大意义，超过五分之二的高管称企业在零信任安全建设方面的预算增加了至少26%。 根据对来自对全球800多名IT和安全专业人士的调研，以及包括200多名C级高管的回答，随着数字化转型的推进、疫情期间劳动力的转移以及美国网络安全行政命令的宣布，零信任已成为保护企业的一道盾牌。该研究表明，对于大多数企业来说，零信任策略仍然是一个相对较新的网络安全路线图，53% 的企业表示他们开始实施零信任策略的时间还不到两年。他们用来指导战略规划的标准五花八门，比如CISA、Forrester ZTX、IEEE、NIST和CSA等。其中的领跑者要数CISA标准，有33%的企业报告说他们使用的正是CISA的标注作为他们的零信任战略指导。 零信任是一种不断发展的安全模型，它将许多长期运行的安全概念(最小特权、基于风险因素的有条件访问和隔离)联系在一起——不仅在网络级别，而且在应用程序和工作负载级别。其核心概念是消除IT长期以来在用户和设备使用密码登录后对网络的无条件信任。 实施零信任的目的是用一种更具适应性和持续评估的授予访问权限的模式来代替它，该模式提供有限的访问权限，并且不仅基于身份，还基于操作和威胁环境。执行此操作需要很多部分，包括强大的身份和访问管理 (IAM)、有效的网络策略执行、强大的数据安全性和有效的安全分析。很多企业在过去的安全建设中其实已经有过对这些部分投入，而零信任策略只是重新整合和利用这些已经投入过的资源。 因此，尽管许多企业表示他们开始零信任之旅才一两年，但这项调查的受访者表示，他们在终端/设备成熟度、应用安全、IAM、数据流管理、网络安全管理、用户行为和资产管理等核心零信任领域已经有一些经验了。 在执行零信任策略时，基本策略、架构和集成工作会将冒牌者与竞争者区分开来。RackTop系统公司的首席执行官兼国防和金融领域的长期安全和技术从业者Eric Bednash表示，组织要想开展零信任之旅，他们必须先了解IT和安全堆栈如何结合。“这是关于从对企业整体架构和业务流程的深入了解开始，你需要了解它们如何联系在一起。它超越了任何单一元素。而且你还要记住，零信任不是一件具象化的东西，而是一种理念，“ 他说。“它更像是一种指导方针。而不是说，’这东西是零信任，这东西不是零信任。’ 简单来说，零信任是一种方法论，它没有捷径可走，这就是为什么它如此难以实施的原因。” 实施零信任策略需要高管的充分支持、足够的专业知识和人员配备，以及明智的变革管理。根据CSA调查，40%的企业表示缺乏专业知识，34%的企业表示他们没有内部协调或得到支持，23%的企业表示抵制变革阻碍了前进的道路。专家表示要克服这些业务和流程障碍需要外交和有纪律的沟通。“为了有效地管理变化，你需要开展行动并逐步的实施。你可能知道你想去哪里，你甚至可能已经为你的网络解决方案签订了合同，但不要一次实施所有事情”，Perimeter 81首席执行官兼联合创始人Amit Bareket说，“变革管理的艺术在于知道要实施多少——所以不要一次改变太多，但也不要无限期地拖延这个过程。”   转自 FreeBuf，原文链接：https://www.freebuf.com/news/335698.html 封面来源于网络，如有侵权请联系删除

随着组织机构在高度互联的数字生态系统中不断深入，如何应对来自四面八方的网络攻击是每一个首席信息安全官们不得不面对的难题。或许，孤立的单点安全产品仍是许多人的第一选择，但这些产品只能起到减速带的作用，它们已脱离时代的潮流。与此同时，安全团队也正变得日益捉襟见肘、筋疲力尽。 当然，也完全没必要过分悲观，一个得力的帮手可能正在路上。在RSAC 2022大会上，新的安全框架和先进的、以云为中心的安全技术已成为人们关注的焦点。本次大会的核心主题之一就是帮助首席信息官们清晰地了解所有网络资产，并对风险进行科学的分类，从而能够迅速地对不可避免的违规行为做出补救。 就这个问题，趋势科技（Trend Micro）产品营销总监 Lori Smith在其社交平台上分享了一些自己的心得体会。 脱离单点产品 就在短短几年前，自带设备办公（BYOD）和影子IT（Shadow IT）曝光还是RSAC的热门话题。员工们用他们自己的智能手机上传酷炫的新应用程序，这对安全团队来说就是一场噩梦。 然而到了今天，企业正在朝着一个规模巨大、相互联系日益紧密的数字生态系统前进。公司网络的攻击面呈指数级扩大，新的安全漏洞无处不在。 更重要的是，自新冠疫情爆发以来，远程劳动力的迅速崛起到了加速云迁移的作用，并扩大了随之而来的网络风险。不受管理的智能手机和笔记本电脑、错误配置的软件即服务 (SaaS) 应用程序、不安全的互联网接入等，比以往任何时候都会给企业带来更多风险。 “这些网络资产数量的增加意味着有更多的网络资产可能受到攻击”，Smith说，“这打开了一个更大、更有利可图的攻击面，网络犯罪分子对此觊觎已久。” Smith表示，在这种高度动态的环境中，一个本已备受困扰的首席信息官还需要将风险在一个高水准中可视化——就好像它在慢动作一样——然后再做出明智的战略决策。目前没有单一的安全解决方案可以做到这一点，灵丹妙药还没有出现。常用的安全工具集合——防火墙、端点检测、入侵检测、SIEM 等——通常被安排为孤立的层来保护本地网络。 检测、评估、缓释 在生活中，面对任何复杂的挑战往往需要回归其根本。在网络安全方面，企业可以采取几种可行的方式来开始实现这一点。趋势科技主张通过确保三种基本能力来实现更全面的安全态势。 首先是能洞察一切的能力。Smith说，企业需要对本地、私有云和公共云IT基础设施的每个组件都有一个清晰的认识。这不是一个简单的大致印象，这更像是一个不断发现、不断发展工具、服务和行为的过程。 Smith解释：“这是为了获得所有网络资产的可见度，无论是内部还是外部的，并对以下问题了如指掌，‘我的攻击面是什么？’；‘我能在多大程度上看到我环境中的所有资产？’；‘我有多少资产？；’什么类型的资产？’；‘我的资产有哪些配置文件？随着时间的推移，这些配置文件又是如何何变化的?’” 知晓并持续监控所有网络资产可以实现第二个基本能力：进行战略风险评估，以深入了解其网络风险和安全态势状况。需要绘制产品路线图？首席信息安全官只需遵循财产和意外伤害保险行业在过去200年中磨练出来的原则就可以轻易做到。 Smith表示，这归结于采取一种明智的方法对网络暴露进行分类。组织机构需要更好的洞察力，以便优先采取那些将帮助他们最大限度地降低风险的行动。这也有助于针对不同的网络资产采取适当的安全控制措施。例如，强身份验证和最低权限访问对于敏感资产而言是必不可少的，但对于良性资产而言可能必要性就没有那么强了。 第三个能力与降低风险有关。数据分析和自动化可以非常有效地用于大规模实现安全性和灵活性的最佳组合。“无论是使用安全手册的自动补救措施，还是优先考虑并主动实施推荐措施以降低风险”，Smith说，“这都是非常正确的控制方法”。 向整体安全迈进 企业如果要在当下如此复杂的网络环境下生存，企业的发展与网络架构和威胁环境的发展应该保持同步。然而，事实却好像非常残酷，因为攻击者似乎总会比安全团队领先那么几步。 “为了有效的安全性，你必须建立适当的保护、检测和响机制”，Smith说。 “而且必须拥有持续的攻击面检测和风险评估机制，这样你才能在行动中先发制人并适时地优化安全控制。这就是为什么我们看到安全平台总体越来越受欢迎的原因，因为当前的网络环境就是需要这种整体而全面的方法。” 为现代网络优化而生的安全平台正在兴起无疑是一个令人振奋鼓舞的趋势，而这或许仅仅只是一个开始……   转自 FreeBuf，原文链接：https://www.freebuf.com/articles/335630.html 封面来源于网络，如有侵权请联系删除

2022年6月6-9日，被誉为安全行业“奥林匹克”的RSA Conference2022在旧金山召开。作为全球顶级的网络安全大会，RSAC2022吸引全球网络安全企业、专家、大咖共聚一堂，探讨当下热门网络安全技术理念，共同寻求抵御安全风险的新解法。 近年来，网络攻击事件频频发生，其中黑客“炫技”已经越来越少，取而代之的是作战思维更加明确，趋利性更加明显的专业化网络攻击组织，包括各种勒索软件团伙，合作链条紧密的地下黑产等等。 在这样的情况下，以攻击者视角对企业数字资产攻击面进行检测发现和持续监控的网络资产攻击面管理（CAASM）已经受到越来越多人的认可。 而如何通过CAASM帮助企业全面盘点网络资产，不断提高资产可见性和云配置，减少安全漏洞风险成为RSAC2022的焦点之一。为了更好地了解CAASM是如何减少攻击面，会后，security boulevard记者邀请JupiterOne 创始人兼首席执行官Erkang Zheng进行分享。 协调已经成为新的难题 众所周知，漏洞修复工作需要多部门共同协调完成，然而企业内部负责特定网络资产的技术和团队倾向于各自为政，漏洞管理人员的职责不明确，直接导致协调组织中的人员、策略和基础设施已经成为一项无法及时完成的工作，也让安全漏洞管理沦为纸上谈兵。 随着企业数字化转型、加速上云和IoT、5G、云原生等技术的应用，更多的业务转至线上，一方面使得内部数字资产结构和复杂性迅速增加，另一方面也让暴露在互联网上的攻击面呈指数级拓展，安全漏洞数量成倍增加，最终让本就艰难的安全漏洞修复朝着更加糟糕的方向发展。 倘若无法有效解决这一问题，那么企业数字化转型将面临停滞不前的风险。此时，CAASM应运而生。 作为是一种新兴技术，CAASM倾向于以智能化的手段更高效的识别组织内部的资产和漏洞。2021年7月，Gartner发布《2021 安全运营技术成熟度曲线》，首次提出CAASM概念，并指出“它使组织能够通过API与现有工具的集成、对合并后的数据进行查询、识别安全控制中的漏洞和差距的范围，以及修复问题，来查看所有资产的风险。” 换句话说，CAASM通过利用API可以让安全团队全面、快速了解IT基础架构的所有组件，无论它们是在本地还是在私有云、公共云或混合云中。在此基础上，安全团队可以大规模实施细粒度策略，全面提升各个组织的安全性，且不会对敏捷性有任何影响。 Erkang Zheng表示，这在大规模分布、快速变化的操作环境中实现并非一件容易的事情，因为安全团队既要尽可能地直接防止网络攻击，还要持续监控资产所有者，防止出现违规操作，并在发生安全事件时快速进行安全响应。 破除资产孤岛效应 采访中，Erkang Zheng表示，我们每个人小时候都玩过“连线画图”的游戏，让每个人将纸上的那些点全部连起来，就可以得到相同的答案。回到网络安全领域，如果那些点都特别清楚，目前云托管、数据分析等技术都可以随时智能地、大规模找出网络安全问题，并得到一个可行的答案。 但事实并非如此，上述操作听起来似乎很简单，执行起来却困难重重。 首先是存在底层技术障碍，企业网络基础设施组件不可能来自同一个供应商，大多时候供应商数量十分庞大，且每个供应商都有自己的技术和标准，彼此之间无法互通。其次，企业内部各个系统之间数据无法自由流通，完整的业务链上孤岛效应十分明显。而这些问题导致那些“点”最终无法连成图案。 因此，安全团队迫切需要一个新的解决方案，可以有效规范、整合企业网络资产信息，并快速查询、发现这些信息，包括有哪些资产，具体是什么，谁可以访问它等等。此时，安全团队就可以像“连线画图”那样直接、简单地提出问题，解决问题。 事实上，能否清楚掌握企业内部网络资产是安全体系的重要基础，也是安全团队能否改变传统工作流程，并跟上快速变化的数字化转型的关键点。Erkang Zheng表认为，安全团队并不仅仅是企业的看门人，还必须是一名审计者和建议者，而CAASM也不仅仅是一个数据平台，还是一个分析平台，一个协作平台。 缩小攻击面是企业的当务之急 随着零日漏洞披露、利用的时间间隔越来越短，零日攻击正成为多数企业的灾难，通过内部协作快速消除已披露的零日漏洞，已经成为安全团队的必备能力之一。 未来，随着CAASM技术的广泛应用，将进一步缩短漏洞的修复时间。作为新安全架构的一部分，CAASM可为漏洞修复提供支撑能力，助力安全团队系统地发现和修复安全漏洞，甚至是主动寻找新的安全漏洞。 Erkang Zheng举了一个例子。 假设企业拥有一个内部资源，其本身并没有向公众开放，但是这里面有一个直接暴露在互联网上的工作负载，且具有为其提供 API 级别访问权限的身份验证策略，此时，这个内部资源毫无疑问已经暴露在互联网上。 这恰恰是安全团队极其容易忽略的点，从Amazon Web Services 租用的云资源在实际混合和匹配中产生了新的安全漏洞。此时，这个被忽视的新漏洞将会成为企业安全的严重威胁。类似的案例还有很多，这个例子也解释了为何数字化之后，企业暴露的攻击面如此之多。 因此，企业迫切需要一个全新的解决方法，可以大规模地、及时地找到企业内部隐藏的漏洞并进行修复。 CAASM或许可以解决这一问题。而快速消除暴露的攻击面也是企业安全团队目前的首要任务。毕竟，暴露的攻击面越少，企业就越安全。   转自 FreeBuf，原文链接：https://www.freebuf.com/news/335615.html 封面来源于网络，如有侵权请联系删除

人工智能（AI）自出现以来，基础理论、技术手段日趋成熟，应用领域也逐渐扩张，甚至可以假想未来社会，人工智能将成为主角之一，但在评判其发展带来的社会价值时，盲目乐观绝不可取。 回顾 RSA Conference 2021 大会，哈佛大学肯尼迪分校安全技术专家、研究员兼讲师布鲁斯·施奈尔就曾表示，人工智能时代下的黑客攻击会以一种系统设计者无法预料甚至难以想象的方式袭来，破坏整体系统或者冲击其中的一组特定规则。 受疫情影响，网络界“奥斯卡”之称的 RSAC 2022 一直延迟到六月才得举办。今年，施奈尔对于人工智能黑客攻击又有什么新的观点？ AI 发展带来的利与害 在 RSA Conference 2021 大会上，施奈尔曾表示，如火如荼发展的人工智能技术在给全社会带来巨大收益同时，也有可能引发新一轮的安全冲击。 施奈尔在会上表示，未来的黑客攻击很可能会由某种形式的 AI 主动发起，一旦 AI 系统获得了执行黑客攻击的能力，其运行速度与运行规模都将远超人类的想象，这将极大提高风险检测的难度，即使安全人员能够及时发现，也很难理解 AI 黑客是怎样展开攻势的。 今年的大会上，施奈尔同样着重的讲述了人工智能发展、应用带来的安全风险。 AI 黑客或成现实 在 2022 RSAC 大会的主题演讲中，施奈尔“想象”了人工智能黑客的未来。他表示人工智能将以前所未有的方式入侵人类，给人类带来不可估量的附带损害。 施奈尔强调，人工智能正在成为黑客，虽然目前它们的发展还没有那么好，但是正在变得更好，最终人工智能将超过人类。 至于 AI 怎样进行黑客行为，施奈尔也提出了两个观点。一是人工智能可能被指示入侵一个系统，二是人工智能可能会自然而然地、不经意地入侵一个系统。 众所周知，在人类的语言和思维中，目标和欲望总是不完全明确的，这种情况会导致在我们给指令时不够完全，但是我们了解上下文，能够自行脑补。 对于人工智能来说，施奈尔争辩称，在不给出完整地指定目标时，不能期望人工智能理解上下文，人工智能会跳出框框思考，因为它没有任何框框的概念。 他进一步解释说，人工智能解决问题的方式和人类并不一样，比人类考虑更多可能的解决方案。另外，人工智能不会从价值、规范、影响或背景方面进行思考，走的是我们根本不考虑的道路。 AI 应用广泛，同样带来问题 施奈尔在大会上强调，一直以来，需要知识，运气，手段的黑客攻击都是专属于人类的活动，然而，当人工智能开始黑客攻击时，一切将再次改变。 人工智能将改变黑客攻击的速度、规模和范围，它们将像外星人一样行动。AI 文本生成机器人出现，已经给人类做了预示。 另外，随着人工智能能力的提高，开始应用到社会许多方面，可以看到人工智能可以审核银行贷款，也可以对求职者进行筛选，人工智能已经在可以做出影响人类生活的许多重要决策。不久的将来，社会上将看到更多的重要决定由人工智能来做。 增加人工智能使用意味着对这些系统的攻击变得更具破坏性，也将使网络更加危险。施奈尔警告说，当大量应用人工智能时，社会无法再用现有的工具来管理，黑客攻击将成为难以忽略的问题。 人工智能也可以成为防御利器 施奈尔在演讲中提到，在技术的推动下，人类走向未来会更轻松，但只有整个人类社会主动决定技术在未来时代下所应扮演的角色，我们才能真正享受技术发展带来的福祉。因此，在 AI 全面普及并覆盖整个世界之前，人类必须先用清醒的头脑做出审视与预判。 人工智能不仅可以用来黑客攻击，同样也可以用于防御。施奈尔指出，虽然人工智能黑客可以由进攻方和防守方部署，但最终它偏向于防守方。 如果一家软件公司在自己的代码上部署一个寻找漏洞的人工智能，它将快速的发现和修补漏洞，我们可以想象，在未来，软件漏洞将成为 “过去的事情”。 在去年的 RSAC 大会上，施奈尔就曾表示，软件供应商未来可能会部署更多 AI 工具，由其自主查找代码漏洞并提供修复程序。除此之外，施奈尔还乐观地提到，如果能够实现，这类工具将消除我们今天已知的一切软件漏洞。 演讲最后，施奈尔指出，人类必须思考，当计算机开始做人类的工作时，内在的风险是什么。同样人类需要决定，技术在未来社会发展中应该扮演什么角色，这些都是在黑客开始“接管”世界之前，人类需要弄清楚的事情。   转自 FreeBuf，原文链接：https://www.freebuf.com/news/335602.html 封面来源于网络，如有侵权请联系删除

美国国家情报局局长表示，网络空间对手和商业间谍软件公司的创新，是令美国情报界越来越难以有效管理数字安全的关键因素之一。 6月6日，在RSAC 2022上，美国国家情报局局长Avril Haines发表主题演讲时表示：“我认为网络安全越来越难了。” 这一悲观评估是在因俄乌战争而激增的在线攻击以及国家恶意行为者的数字盗版或攻击的持续威胁的背景下，美国联邦政府和私营部门需要保持高度警惕的情况下做出的。 Haines承认，美国 “还没有想出如何防止应对复杂网络入侵……我认为这是一个挑战，我们将与之共存，从情报界的角度来看，现实就是如此。” 她特别提到复杂攻击性工具的商业化程度增加，”使我们更难管理，也使其他行为者更容易获得工具，允许他们以各种方式进行非常复杂的攻击。” 除了朝鲜和伊朗等长期敌对国家构成的威胁外，美国情报界还观察到跨国犯罪组织扩大其行动，特别是勒索软件攻击。 Haines说，网络安全的另一个方面被证明更具挑战性，那就是情报收集与在线隐私、公民自由之间的关系越来越紧张。 新冠疫情大流行是一个“通过接触者追踪和其他医学发展获得更多日常生活数据的完美例子”，这些信息随后可以被数据经纪人使用。 这位间谍大师还说，情报界还没有掌握从莫斯科入侵乌克兰的网络安全方面获得的所谓 “经验教训”。 她告诉听众：“我们还不知道冲突是否还在继续。关于冲突是如何发展的，还有更多的章节需要揭示。” Haines表示，一个潜在的收获是，去年年底在现在长达数月时间里，信息共享得到了加强。 “她说：”起初我们在人们中间遇到了相当多的怀疑。 因此，拜登总统敦促情报官员，”走出去，尽可能多地分享，确保人们看到你们所看到的东西。” Haines说：”我们在这个领域与合作伙伴和盟友进行了大量共享。在这个过程中，我们从他们那里学到了很多。   转自 安全内参，原文链接：https://www.secrss.com/articles/43275 封面来源于网络，如有侵权请联系删除

作为全球网络安全行业一年一度的盛宴，RSA Conference 2022于6月6-9日正在美国旧金山召开，RSAC大会不仅被誉为安全界的“奥林匹克”，更是网络安全的重要风向标之一。自1991年举办首届大会以来，RSAC大会就吸引着全球网安企业、大咖、极客和优秀创业者共聚一堂。思科作为全球领先的网络解决方案供应商也出席了此次会议。 安全领导者需重新考虑企业安全策略 在今年RSAC开幕主题演讲里，思科执行副总裁兼安全与协作总经理 Jeetu Patel发表了关于安全战略的讲话，在会议上，patel表示企业安全负责人可能需要重新考虑他们的安全策略，包括内部以及与客户、供应商、合作伙伴甚至竞争对手的关系。 Patel表示随着攻击者在不断利用新的漏洞，我们需要做的是确保采取一种更加基于风险的方法来管理漏洞。安全团队必须学会解决漏洞，不是基于它们发生的时间，而是基于它们构成的风险的大小。这种风险应该从所有类型的业务关系的角度进行评估，因为当出现问题时，它们都会受到影响。 安全策略应考虑整个业务生态系统 Patel说:“企业是作为一个整体的生态系统在竞争，而不是作为单独的组织在竞争。这意味着，根据生态系统中其他成员的情况，你自己的生产线、供应链和需求周期的运作方式可能会受到重大影响。而业务关系的相互联系现在要求更加关注访问和身份管理。你不再只有员工了。你有员工和承包商，但你有供应商、客户和合作伙伴。可以影响您的安全态势的人数越来越多。” 破坏性恶意软件的使用正变得异常普遍 除了业务生态系统带来的安全威胁，破坏性恶意软件的使用也变得越来越普遍，这种现象在未来一段时间里可能会变为常态。这是思科的外联负责人Nick Biasini和事件响应高级经理 Pierre Cadieux在会议中发表的观点，他们详细介绍了当前的威胁形势，并为企业自卫提供了可行的步骤。其中的关键要点包括保护凭证的重要性以及供应链威胁、破坏性攻击和零日漏洞利用的增加。 随着漏洞武器化的市场也越来越普遍，很少有企业能够及时的修复漏洞，这就导致通过部署破坏性恶意软件实时破坏性攻击的黑客数量在逐步增加，对此，Cadieux也表示出了担忧。 并且通过购买某些黑客软件，任何人无须挖掘某些系统漏洞就可以发动非常复杂的网络攻击，Biasini说，对手的广度在增加，这也导致了软件供应链风险也在增加。他说技术供应链更像是一个网络，正成为一个越来越大的问题，对手可以利用包括开源库和供应商交换数据在内的一系列途径。Biasini引用CCleaner作为一个主要的案例，这是一个在2017年被威胁行为者破坏的实用程序。攻击者将恶意代码注入到CCleaner中，这些代码最终被安装在数百万个系统上。 威胁行为者的变化 随着工作环境的变化，攻击者开发了新的方法来获取访问权限，例如设计恶意软件来破坏家庭路由器。Cyclops Blink是最近的一个例子，它归因于俄罗斯并感染了超过 500,000 台设备。Biasini说，家庭路由器为攻击者部署各种攻击提供了立足点，而家庭网络的检测能力有限，这增加了问题。而目前还没有很好的办法来区分家庭用户合法登录和黑客通过路由器登录。对他而言，你家的网络和你在当地咖啡馆连接的网络甚至没有区别。 另一个对威胁行为者有吸引力的目标是安全断言标记语言(SAML) 令牌，这是 SolarWinds 供应链攻击期间存在的向量。它们允许访问本地和云环境，而且它们还能绕过多因素身份验证 (MFA)，虽然它告诉你MFA有效，Biasini 在会议期间说。“MFA也确实减缓了他们入侵的脚步，然后我们就会看到他们试图滥用信任来获取资源。” 零日漏洞利用也造成了更广泛的损害。例如，在Kaseya供应链攻击中，REvil 勒索软件攻击者使用供应商的软件访问托管服务提供商 (MSP)，然后感染他们的客户，这些客户是资源有限的小型企业。Biasni 将其描述为基于服务的供应链攻击，“如果你在15年前告诉我，一个犯罪组织会使用多个零日对 MSP 客户发起供应链攻击，我可能不信，然而，我们现在遇到的黑客组织多数都是受资助的组织。” 尽管 MFA 已成为攻击者的目标，但思科还是建议为所有帐户实施MFA，包括限制Windows工具的可信帐户，网络分割，集中日志和保持最新的补丁。Cadieux强调访问日志的良好计划至关重要。他说，当涉及到被泄露的凭据和针对Active Directory (AD) 环境的目标时，唯一可以提供帮助的是密码重置。然而，这不是一蹴而就的事情。如果你没有在大型环境中完成它，你应该考虑如何做到这一点以及如何测试它。此外，企业需要了解他们的备份基础设施是如何工作的，如果发生勒索软件攻击，这一点至关重要。   转自 FreeBuf，原文链接：https://www.freebuf.com/news/335600.html 封面来源于网络，如有侵权请联系删除

图片来源：美国海军Flickr账号/CC BY 2.0 医疗设备基础设施复杂性和对传统技术的严重依赖，使得设备安全状态不断变化，很难找到解决方案； 高昂的价格使得医疗机构不可能仅因为“最新最好的安全功能”就下决心替换掉旧有设备； 美国国会和监管机构有望在降低医疗设备风险当中发挥关键作用。 业界正普遍达成共识，设备制造商、供应商及监管机构等角色正朝着正确方向推进改善医疗设备的安全性，但系统性挑战阻碍了这一进程。 在RSAC 2022现场，安全厂商Tenable运营技术安全副总裁Marty Edwards、医疗保险公司Humana业务信息安全官Ankit Patel以及健康信息共享与分析中心（Health-ISAC）首席安全官Errol Weiss，共同就医疗设备的安全现状和阻碍医疗保健行业安全提升的因素展开深入讨论。 Edwards表示，总体来看，医疗设备安全的延伸与教育工作仍有发展和改进的空间，但整个行业已经在为设备构建更多安全功能方面也取得了长足进步。 制造业社区的安全文化愈发向好。以往，研究人员在发现安全漏洞后，往往只能跟制造商的法律部门联系。Edwards提到，“过去制造商很少在官网上提供安全联络信息，只能通过法律部门回应相关漏洞披露。但现在，大多数制造商已经越来越成熟，开始朝着正确的方向靠拢。” 许多企业增设了首席产品安全官，专门负责管理产品安全问题。他补充道，虽然也有一些制造商做得还很不够，但“总体趋势正朝着积极的方向发展”。 Patel表示，“对于复杂的医疗设备或者物联网装置，我们部署的安全控制机制可能还不够全面……但至少过去五年来，行业已经取得了比以往多得多的进步。” 尽管在新设备保护方面表现积极，包括引入改进的身份验证机制等措施，但医疗设备基础设施的复杂性和对于传统技术的严重依赖，仍使得设备安全状态不断变化，很难找到解决方案。 医疗保健行业面临的最大安全问题：遗留技术 在Patel看来，真正的问题集中在遗留技术身上。例如，磁共振成像（MRI）设备和超声波设备的单台成本超过100万美元，高昂的价格使得医疗机构不可能仅因为“最新最好的安全功能”就下决心替换掉旧有设备。 新设备当然更加安全，但那些无处不在的传统设备和Windows XP系统也非常顽强。很多用户毫不犹豫地把这些设备接入网络，甚至认为“这有什么关系？哪来那么多人对医疗设备有想法？” Weiss称，“在医疗保健行业中，我们发现有大量磁共振成像系统在互联网上直接开放。网络上的每一台设备，都可能成为恶意黑客的突破口和恶意软件的传播起点。” 他强调，“这就是问题就在，最大的挑战就在这里。” Weiss还提到，过去几年来，医疗设备底层软件包也暴露出多个严重漏洞，如无线连接模块漏洞直接影响到数百万台设备。“漏洞似乎无穷无尽，总是不断涌现。” 而就在医疗保健努力解决这些长期遗留问题的同时，物联网趋势也在一刻不停地向前发展。 Patel表示，“家庭健康正在成为主流，许多卫生系统投入了大量技术资金，希望能持续监测患者体征。”另外，关于机器人远程手术的话题也得到广泛关注，“行业的创新成果和技术应用可谓进展迅速。” 降低医疗器械风险，监管与沟通将发挥重要作用 美国国会和监管机构有望在降低医疗设备风险当中发挥关键作用，同时也将在过程中持续助力各家供应商。目前，针对制造商、软件物料清单（SOMB）以及医疗保健行业多年来的种种安全诉求，已经有多项立法提案正积极酝酿。 从立法角度来看，Patel认为医疗设备安全已经有了不错的基础要素。但在制造商社区中，供应商和安全领导者需要开展更多对话，以就切实观点进行合作，并“确定更具体的实用性解决方案”。 在Weiss看来，如果能够改善医疗设备制造商和供应商间的沟通效果，那么设备的实用性乃至后续安全性的持续升级都将更有保证。 Patel说，目前看来，医疗保健行业自身也很清楚问题的存在。“但我们需要找到一种更加可行的解决方案设计思路，用分析解决问题，摒弃过去那些「人家供应商社区就是这么做的」、「操作人员根本不知道自己在干什么」之类既没意义、又没逻辑的托词。” Patel最后总结道，“制造商也面临着自己的挑战，但我们都在努力发现并解决问题。只要我们永远心系安全，并将安全视为流程中的固定组成部分，就一定能朝着正确的方向继续前进。”   转自 安全内参，原文链接：https://www.secrss.com/articles/43274 封面来源于网络，如有侵权请联系删除