最新文章
Top News
因漏洞数量激增,NIST 将停止评估非优先级漏洞评级
HackerNews 编译,转载请注明出处:
由于提交的漏洞数量不断增加,导致工作量日益繁重,美国国家标准与技术研究院(NIST)将停止对低优先级漏洞评定严重程度分数。
从 4 月 15 日起,该机构的相关服务仅针对符合特定风险标准的安全问题进行分析,...
NIST 推出全新漏洞评估指标
HackerNews 编译,转载请注明出处: 美国国家标准与技术研究院(NIST)推出全新漏洞评估指标“可能被利用漏洞(LEV)”,旨在帮助组织量化漏洞遭实际利用的可能性。这项发布于5月19日的技术白皮书显示,LEV模型基于2018年由事件响应与安全团队论坛(FIRST)提出的漏洞利用预测评分系统(EPSS)进行优化, EPSS系统通过机器学习模型预测特定漏洞在30天内遭利用的概率,其最新版本EPSS v4于2025年3月发布。LEV指标在此基础上增加多维数据维度,每日为漏洞管理人员提供包含历史利用概率峰值、各30天窗口期EPSS评分等参数的详细分析报告。...
美政府积极推进零信任身份改造,NIST 将发布首份全面身份管理指南
安全内参消息,为了避免类似SolarWinds的事件重演(恶意黑客利用IT管理外包商的访问权限与低下的身份管理水平,至少入侵了九个联邦部门),身份验证服务商越来越受到高度关注。不过日前一次研讨会上,负责相关工作的美国政府官员强调,具体实施还需要各方机构积极参与。 技术专家杰里米•格兰特(Jeremy Grant)表示,“经历SolarWinds事件后,每一家行业领先的身份验证服务商都能感受到业务更好做了。” 格兰特目前是Venable律师事务所负责技术业务战略的常务董事。在美国国家标准与技术研究院(NIST)制定关键基础设施安全性改进路线图期间,他曾经提供了身份与认证管理方面的建议。...
放眼后量子时代:NIST 希望新标准可防止量子计算机破解加密
针对“后量子时代”的破解加密技术,美国政府已于本周二公布了四项设计和测试标准。科学家们早就指出,随着时间的推移,先进量子计算机将对主流加密技术造成降维打击。有鉴于此,美国国家标准与技术研究院(NIST)特地对相关量子数据保护工作进行了监督。 放置谷歌量子处理器的低温恒温器 在 NIST 选择的四项技术中,预计有两项会发挥更广泛的作用。首先是 Crystals-Kyber,其旨在构建于两台计算机之间共享加密数据所需的密钥。...
注意,NIST 更新了网络安全供应链风险指南
近日,美国国家标准与技术研究所(NIST)再次更新了《网络安全供应链风险管理》(C-SCRM)指南,提供了与供应链攻击相关的趋势和最佳实践,指导企业有效管理软件供应链风险,以及在遭受供应链攻击时该如何进行应急响应。 网络供应链风险管理(C-SCRM)是识别、评估和减轻ICT产品和服务供应链分配和互联性相关风险的过程。C-SCRM覆盖了ICT的整个生命周期:包括硬件、软件和信息保障,以及传统的供应链管理和供应链安全实践。 目前,NIST发布了“系统和组织网络安全供应链风险管理实践”,以此响应“改善国家网络安全”的美国第14028号行政命令。...
美国 NIST 计划应对全球 BGP 漏洞问题,推出新安全网络域名路由标准
据外媒 10 月 4 日报道,美国国家标准技术研究所( NIST )近期发布一份新域间路由安全(SIDR)标准,旨在加强互联网边界网关协议(BGP)的安全性能。
边界网关协议(BGP)于 1989 年被研究人员提出,是早期外部网关协议的短期解决方案,但它不能处理互联网的快速增长, 原作者:Kevin Townsend,译者:青楚
本文由 HackerNews.cc 编译整理,封面来源于网络。
转载请注明“转自 HackerNews.cc ” 并附上原文链接。...
美国 NIST 提出新安全草案:首次将隐私权纳入国家核心范围
据外媒 18 日报道,美国国家标准技术研究所(NIST)近期提出新 IT 安全措施草案,其首次将隐私权纳入国家核心文本,并将安全领域扩大至物联网与智能家居技术。
该草案中的 “ 信息系统与组织的安全和隐私控制 ” 将成为美国执法的标准与指导方针,并作为更广泛行业的基准。因此, 现今,数百万用户掌握着强大的计算机设备,导致 NIST 的审查不得不考虑到公民隐私安全问题,因此隐私已成为该报告核心内容。报告指出,NIST 最终目标是使国家信息系统能够轻松抵御威胁,减少攻击破坏并使系统迅速恢复。值得注意的是,该报告部分内容此前仅影响美国联邦机构,...
NIST 密码安全新标准更新,旧版作者承认存在不妥
美国国家标准和技术协会( NIST )今年 6 月提供的最新数字身份指南的新版草案中,指出不再推荐用户使用密码混合大写字母、字符和数字,也不再要求定期修改密码。因为研究显示此类要求并不能增加密码强度,NIST 认为最重要的是储存密码必须盐化 + 哈希 + MAC 处理。 不过,对于 2003 年一篇广为流传的密码混合大写字母、字符和数字的 NIST 安全专家建议文章,其作者前 NIST 主管 Bill Burr 开始承认当时提供的建议并不成熟,后来也被证实不是太奏效,当然也有媒体的一些误导总结,导致更多的曲解。...
包含 3.06 亿密码的数据库,可查看私人密码是否泄露
2007 年 6 月,国家标准与技术研究所( NIST )发布声明,指出网站应比对用户密码,查看这些密码是否已在互联网泄露,以确保它们完全独一无二。虽然大多数网站还没有提供这种功能,但现在 haveibeenpwned.com 网站创始人 Troy Hunt 推出了一个工具, 它的工作方式很简单。只需输入一个密码,并将它与一个超过 3.06 亿个密码的数据库进行比较,这些密码是在几年内收集的泄露密码。haveibeenpwned.com 网站还提供泄露密码数据免费下载,以便开发人员将其集成到自己的网站中。...