微软任命了新的欧洲副首席信息安全官,负责确保公司遵守欧盟日益严格的网络安全法规,例如《数字运营韧性法案》(DORA)、《网络安全法案》(NIS2)和《网络韧性法案》(CRA)。 此职位对微软在欧洲的合规性和全球网络安全策略至关重要,预示着公司对欧洲数据安全和网络韧性的重视。虽然微软尚未透露更多细节,但此举表明公司正在积极应对全球不断变化的网络安全环境。
阅读更多
首席信息安全官(CISO)需要仔细评估与第三方共享数据的风险,尤其是在使用Google Analytics时。文章指出,Google Analytics可能会意外收集敏感数据,例如URL中嵌入的个人信息(姓名、邮箱、生日等)或表单字段值。为了防止此类情况发生,CISO必须确保在配置Google Analytics时,过滤掉所有可能包含敏感数据的查询参数、表单输入和动态页面元素。否则,这些数据可能会被Google Analytics追踪和收集,带来严重的安全风险。
阅读更多
美国国土安全部(DHS)终止与MITRE的25年合约,这意味着负责分配CVE漏洞编号的系统面临崩溃。这将导致NVD(国家漏洞数据库)积压的3万多个漏洞得不到及时处理,另有8万多个漏洞被搁置。此举将严重影响全球各组织的漏洞管理,依赖CVE/NVD信息的企业将面临重大挑战,而国家漏洞数据库,如中国和俄罗斯的数据库,也将受到影响。合约终止的原因尚不清楚,但可能与特朗普政府削减政府开支的政策有关。
阅读更多
文章指出,朝鲜正在利用熟练的IT人员渗透西方公司,这些IT人员使用虚假身份,冒充远程工作者,与外国公司签订自由职业合同或远程职位。他们通常伪装成韩国、中国、日本或东欧人,以及美国远程工作者。文章还列举了多起朝鲜IT人员利用虚假身份在美国公司获取工作的案例,并提出了防范措施,包括加强对求职者的审查、使用视频面试、核实简历信息、以及持续关注员工的行为等。
阅读更多
受国际制裁和网络安全环境变化的影响,俄罗斯的漏洞赏金计划正在兴起。过去,俄罗斯黑客倾向于在西方平台上提交漏洞报告,但制裁导致他们无法获得赏金。为应对这一局面,俄罗斯企业和政府机构纷纷推出自己的漏洞赏金平台,并吸引了大量来自本国和其他地区的网络安全专家参与。这一趋势反映出俄罗斯对网络安全的日益重视,但也引发了西方国家的担忧,即俄罗斯黑客可能将发现的漏洞出售给本国情报机构,从而加剧网络间谍活动。
阅读更多
网络安全公司CrowdStrike发布报告称,一个名为“千里马”的朝鲜黑客组织,通过冒充美国IT人员,渗透到超过100家公司,其中大多数是美国科技公司。这些黑客在获得员工级别的网络访问权限后,窃取数据并安装远程监控和管理工具,以便长期控制受害者系统。CrowdStrike强调,跨域分析对于应对这种日益增长的、基于身份的网络攻击至关重要。
阅读更多
微软认证器存在一个设计缺陷,当用户通过扫描二维码添加新帐户时,该应用程序会覆盖使用相同用户名的现有帐户,导致用户被锁定。与其他在添加新帐户时会包含发行者名称的认证器应用程序不同,微软认证器仅使用用户名,这会导致使用电子邮件地址作为用户名的帐户被覆盖。这个问题自 2016 年该应用程序发布以来就已存在,但微软公司将其视为一项功能而非错误,并将责任归咎于用户或使用该应用程序进行身份验证的公司。
阅读更多
Python 软件基金会的GitHub访问令牌泄露事件表明,仅从源代码中清除令牌是不够的,因为敏感凭据可能包含在二进制文件中。该事件中,PyPI管理员Ee Durbin为方便开发,将自己的访问令牌添加到本地代码中,却因疏忽导致令牌被包含在上传到Docker Hub的容器镜像的二进制文件中,暴露了一年多。该事件凸显了在构建过程中保护敏感信息安全的重要性,以及对二进制文件进行安全扫描的必要性。
阅读更多
美国最高法院近期的一项裁决可能颠覆所有联邦网络安全法规,将最终监管审批权从监管机构转移到法院。该裁决推翻了雪佛龙 deference 先例,这意味着法院而非监管机构对国会法律的最终解释权。这一裁决可能会削弱一系列网络安全法规,包括美国证券交易委员会(SEC)的网络事件报告要求、美国联邦通信委员会(FCC)的数据泄露报告规则以及美国网络安全和基础设施安全局(CISA)的网络事件报告规则等。此举将为美国各地的合规计划带来不确定性,并可能引发一系列诉讼,最终导致许多现有网络安全监管要求被淡化或取消。
阅读更多
本文回顾了美国医疗保健巨头Change Healthcare公司遭受BlackCat/ALPHV勒索软件攻击事件,并总结了八个重要教训,包括多因素身份验证的重要性、系统分段的必要性、并购后的网络安全尽职调查、网络保险的利弊、攻击者潜伏期的威胁、勒索软件支付的争议、医疗保健行业面临的攻击以及勒索软件即服务的持续威胁等。
阅读更多