1、NSA分享阻止BlackLotus UEFI恶意软件攻击的技巧2、CISA命令政府机构修补俄罗斯黑客利用的漏洞3、NIST希望帮助防止对水务部门的重大网络攻击4、国土安全部发布最终规则更新联邦系统的受控非机密信息要求5、加拿大情报机构警告俄罗斯网络攻击对该国石油和天然气行业的威胁6、挪威消费者委员会呼吁对生成式神经网络进行监管7、美军在邮件中收到了一款来历不明的智能手表8、美国最大的公共养老基金受到MOVEit泄露的影响9、Mirai僵尸网络利用了D-Link、Zyxel、Netgear设备中的22个漏洞10、微软称黑客使用木马化的OpenSSH版本劫持Linux系统11、研究人员表示数以百万计的GitHub存储库可能容易受到RepoJacking的攻击12、针对Cisco AnyConnect Secure中最近的高严重性漏洞的概念验证(PoC)漏洞利用代码13、英国NCSC敦促律师事务所加强网络防御14、RangeForce推出国防准备指数来衡量企业的网络安全能力
资讯详情
1、NSA分享阻止BlackLotus UEFI恶意软件攻击的技巧美国国家安全局(NSA)22日发布了有关如何防御BlackLotus UEFI bootkit恶意软件攻击的指南。BlackLotus自2022年10月以来一直在黑客论坛上流传,以恶意软件的形式销售,能够逃避检测、抵御删除工作,并抵消Defender、HVCI和BitLocker等多种Windows安全功能。今年5月,微软发布了安全更新,以解决安全启动零日漏洞 (CVE-2023-24932),该漏洞用于绕过CVE-2022-21894发布的补丁,安全启动漏洞最初在去年的BlackLotus攻击中被滥用。但是,CVE-2023-24932 修复程序默认处于禁用状态,并且不会删除用于部署BlackLotus的攻击媒介。为了保护Windows设备的安全,管理员必须执行手动过程,需要执行多个步骤“在启用此更新之前更新可启动媒体并应用撤销”。“BlackLotus在完全更新的Windows端点、安全启动定制设备或Linux端点上非常容易被阻止。微软已经发布了补丁,并继续加强针对BlackLotus和Baton Drop的缓解措施,”美国国家安全局表示。目前可用的缓解选项将通过未来供应商安全启动证书的更改得到加强(某些证书将从2026年开始到期)。NSA平台安全分析师Zachary Blum建议系统管理员和网络维护人员对针对此漏洞修补的系统实施强化操作。建议采取以下措施作为额外的缓解措施:应用最新的安全更新、更新恢复介质并激活可选的缓解措施;通过配置端点安全软件来阻止BlackLotus恶意软件安装尝试,强化防御策略;使用端点安全产品和固件监控工具来监控设备完整性测量和启动配置;自定义UEFI安全启动以阻止较旧的(2022年1月之前)签名的Windows启动加载程序。https://www.bleepingcomputer.com/news/security/nsa-shares-tips-on-blocking-blacklotus-uefi-malware-attacks/2、CISA命令政府机构修补俄罗斯黑客利用的漏洞周四(22日),美国网络安全和基础设施安全局(CISA)在其已知的可利用漏洞(KEV)列表中又添加了六个安全漏洞。其中三个被俄罗斯APT28网络间谍利用,侵入属于乌克兰政府组织的Roundcube电子邮件服务器。该网络间谍组织(也被称为BlueDelta、Fancy Bear)此前与俄罗斯军事情报部门总参谋部主要情报局(GRU)有联系。根据Recorded Future威胁研究部门Insikt Group和乌克兰计算机紧急响应小组(CERT-UA)的联合调查显示,攻击者利用俄罗斯与乌克兰的冲突,欺骗收件人打开恶意电子邮件以利用漏洞(CVE-2020-35730、Roundcube Webmail软件中的CVE-2020-12641和CVE-2021-44026 ),并授予他们对未修补服务器的未经授权的访问权限。一旦电子邮件服务器遭到入侵,他们就会使用恶意脚本进行侦察,收集感兴趣的电子邮件,并窃取目标的Roundcube地址簿、会话cookie以及存储在Roundcube数据库中的其他有价值的信息。调查期间收集的证据表明,此次活动的主要目标是窃取军事情报以支持俄罗斯入侵乌克兰。Insikt Group表示:“我们确定BlueDelta活动极有可能针对乌克兰地区检察官办公室和乌克兰中央行政当局,以及涉及其他乌克兰政府实体和参与乌克兰军用飞机基础设施升级和翻新的组织的侦察活动。”CISA添加到KEV目录中的其他漏洞包括现已修补的允许远程代码执行的关键VMware错误 ( CVE-2023-20887 ),以及Mozilla Firefox/Thunderbird (CVE-2016-9079) 和Microsoft Win32k权限升级 (CVE-2016-0165)缺陷。美国联邦机构必须检查其系统是否受到这些漏洞的影响,并在7月13日之前应用所需的安全更新或缓解措施以确保系统安全。https://www.bleepingcomputer.com/news/security/cisa-orders-govt-agencies-to-patch-bugs-exploited-by-russian-hackers/3、NIST希望帮助防止对水务部门的重大网络攻击美国国家标准与技术研究院正在涉足水务领域,推出首个专为水务基础设施设计的网络安全框架。NIST的国家网络安全卓越中心正在寻求技术供应商、水务部门成员和其他主要利益相关者对新的实用参考设计的意见,以减轻水和废水系统中的网络风险。NIST高级安全工程师兼该项目的首席联邦研究员Jim McCarthy告诉Nextgov/FCW,目标是为水和废水处理部门提供可用于防止重大网络入侵的商业工具和技术的实际示例。该项目预计将提供参考设计和详细的实施指南,解决水和废水处理领域的四个主要网络安全挑战,包括资产管理、数据完整性、远程访问和网络分段。NIST将从网络安全公司以及拥有相关网络安全解决方案的水和废水部门成员中选择合作伙伴,以签订联盟合作研究和开发协议。然后,选定的合作者将向NIST提供网络安全解决方案和技术专业知识的示例,这些示例可用于公开发布的网络安全实践指南,预计将于明年某个时候发布。NIST本月发布了一份《联邦公报》通知,其中指出了保护整个水和废水部门关键基础设施的几个独特挑战,例如覆盖不同地理区域的公用事业,同时通常具有复杂的网络和基础设施分布。该项目特别需要能够提供自动化功能的解决方案,以建立基线安全态势,监控运营技术环境以检测潜在的数据完整性违规行为,并建立对运营环境之外的OT资产的受控远程访问。NCCoE还在寻求能够提供增强的网络分段功能的技术解决方案,以更有效地管理对隔离网络子集的访问。行业主责部门环境保护局最近采取了措施来改善该部门的整体网络状况,但由于全国有超过50,000个饮用水系统和近16,000个废水处理系统,该行业一直被认为是国家关键基础设施安全状况的薄弱环节。https://www.nextgov.com/cybersecurity/2023/06/nist-wants-help-prevent-major-cyberattack-water-sector/387794/4、国土安全部发布最终规则更新联邦系统的受控非机密信息要求美国国土安全部(DHS)发布了修改《国土安全采购条例》(HSAR)的最终规则,修改子部分、删除现有条款并保留条款编号以及更新现有条款。该机构还将添加两项新的合同条款,以满足保护受控非机密信息(CUI)的要求。最终规则制定了安全和隐私保护措施,以保护CUI并更好地向DHS报告事件。由于当DHS承包商遇到涉及DHS信息的事件时迫切需要保护CUI并做出适当反应,因此需要采取这些措施。“这项最终规则的目的是实施安全和隐私措施,以保护CUI并促进改进向DHS的事件报告。根据周三(21日)在《联邦公报》上发布的通知,该最终规则不适用于机密信息。“这些措施是必要的,因为当DHS承包商遇到涉及DHS信息的事件时,迫切需要保护CU 并做出适当反应。持续且普遍存在的联邦信息泄露事件继续表明,有必要确保合同中明确、有效和一致地解决信息安全保护问题。”最终规则将在《联邦公报》公布之日起30天后生效。DHS于2017年1月19日在《联邦公报》上发布了拟议规则制定通知(NPRM),以实施适当的安全和隐私措施,以保护CUI免遭未经授权的访问和披露,并促进改进向DHS的事件报告。最终规则加强并扩展了现有的HSAR语言,以确保承包商和/或分包商员工访问CUI时有足够的安全性;CUI将代表该机构收集或维护;或联邦信息系统,其中包括代表该机构运行的承包商信息系统,用于收集、处理、存储或传输CUI。https://industrialcyber.co/regulation-standards-and-compliance/dhs-publishes-final-rule-updating-controlled-unclassified-information-requirements-for-federal-systems/5、加拿大情报机构警告俄罗斯网络攻击对该国石油和天然气行业的威胁加拿大通信安全中心(CSE)(加拿大情报部门的一个部门)表示 ,俄罗斯黑客可能试图破坏加拿大的石油和天然气行业。CSE表示,在地缘政治危机不断升级的情况下,俄罗斯多次对其对手发动毁灭性网络攻击。“我们估计,加拿大石油和天然气行业发生由俄罗斯支持的黑客引发的不稳定事件的可能性为50%,因为他们的风险承受能力较高,数量和活动有所增加,而且加拿大存在大量易受攻击的目标。该部门威胁报告称。加拿大是世界第四大石油生产国。CSE报告称,该国石油和天然气行业雇用了约60万人,占GDP的5%。CSE指出,亲俄罗斯黑客最有可能进行网络攻击的目标是控制大型工业资产的运营技术网络。CSE还报告称,俄罗斯支持的黑客正试图渗透加拿大石油和天然气行业关键基础设施公司和组织的网络。该机构表示:“很难高估石油和天然气行业对国家安全的重要性,因为我们的许多关键基础设施都依赖于石油和天然气产品。”CSE表示,网络攻击的目的是为了造成心理影响而扰乱关键服务的运行,并削弱加拿大对乌克兰的支持。今年2月25日,加拿大一条未命名的天然气管道上发生了一起网络安全事件 ,据当地官员称,甚至可能导致可燃物质爆炸,造成人员伤亡。他们将一切归咎于俄语黑客组织“Zarya”,大概是在俄罗斯联邦领土上进行的。https://www.securitylab.ru/news/539239.php6、挪威消费者委员会呼吁对生成式神经网络进行监管挪威消费者保护委员会(Forbrukerradet )最近发布了一份报告 ,警告生成式人工智能的风险,并敦促政策制定者和监管机构不要信任科技巨头以确保该技术安全可靠。“我们必须确保生成式人工智能的开发和使用是安全、可靠和公平的。不幸的是,历史表明,我们不能依靠大型科技公司自己解决这个问题。”挪威消费者委员会数字政策主任Find Mirstad表示。据报道,聊天机器人ChatGPT背后的OpenAI正在积极游说欧洲官员削弱欧盟的人工智能法规,来自欧洲和美国的其他14个消费者权益组织也加入了这一呼吁。欧洲消费者组织副总干事乌苏拉·帕尔 (Ursula Pahl) 表示:“欧盟必须使人工智能立法尽可能坚不可摧,以保护消费者免受这项技术的有害应用,这一点非常重要。” 她还补充道:“我们呼吁欧盟机构抵制试图破坏未来法律安全的大型科技公司的强大游说。”消费者组织表示,在欧盟人工智能法规生效和国际人工智能监管框架到位之前,国家当局必须采取行动并执行有关数据保护、安全和消费者权利的现有立法。帕尔说:“企业不能免除现有欧盟法规的约束,消费者也不应该仅仅因为这项技术是新技术而被误导。”上述报告强调了生成式人工智能的风险,挪威委员会认为不应忽视这一风险。其中包括操纵、偏见、隐私问题、对工作的影响等。该挪威组织还呼吁加强消费者保护,并根据公共部门使用生成式人工智能的强有力原则制定“全面”人工智能战略。“这项技术并不是一种完全无法控制的力量。它必须根据社会的基本权利和价值观进行调整和构建,”Find Mirstad总结道。https://www.securitylab.ru/news/539233.php7、美军在邮件中收到了一款来历不明的智能手表美国陆军军事调查部门(CID)警告军事人员不要打开他们最近在邮件中收到的智能手表。专家表示,这些设备可能包含恶意软件。早些时候网络上有消息称,美国陆军正在考虑使用可穿戴设备来提高性能,或者只是追踪士兵在作战或训练期间的活动。美国陆军发展司令部(DEVCOM)与美国陆军医学研究与发展司令部(MRDC)目前正在开展两个科技项目,以评估使用可穿戴设备收集军事健康数据的可行性,但公开披露的信息这些项目似乎是一个错误,因为一些军事人员在邮件中收到了不请自来的D18智能手表。据该机构称,这些手表会自动连接到无线网络和附近的智能手机,而无需通知用户。军事调查部表示,这些设备可能包含恶意软件,这些恶意软件可用于窃取数据、记录对话、秘密录制视频或访问配对设备上的敏感数据。然而,该部门已经认识到这些手表的另一个看似不太危险的版本。它们可能被网络诈骗者用来进行所谓的“刷单”。这是将产品(通常是假冒产品)邮寄给随机个人的做法,以便公司代表收件人撰写正面评论,从而宣传他们所销售的产品。无论发送者的真实意图如何,CID都要求收到此类智能手表的美国陆军人员不要打开这些设备并立即报告。网络安全公司Bitdefender于2021年报告称,可穿戴设备的激增也增加了安全威胁的数量。这些小工具存储越来越多的个人数据,并且在许多情况下连接到公司网络和资源。一些可穿戴设备存在安全漏洞,可能被网络犯罪分子用来窃取帐户信息。Bitdefender表示,攻击者还可以使用可穿戴设备作为针对组织的针对性攻击的入口点。https://www.securitylab.ru/news/539240.php8、美国最大的公共养老基金受到MOVEit泄露的影响围绕MOVEit文件传输工具漏洞的争议现已波及美国最大的公共养老基金——加州公共雇员退休系统(CalPERS)。该组织周三(21日)表示,6月6日,第三方供应商PBI Research Services/Berwyn Group通知称,黑客利用MOVEit文件传输工具访问了数据。CalPERS为加州超过150万公务员、退休人员及其家人管理着超过4,770亿美元的资产。CalPERS通过该工具将数据发送给PBI Research Services/Berwyn Group,因为该公司帮助其准确地将付款分配给退休人员和受益人。PBI的主要作用是确定受益人的死亡情况、帮助防止超额支付的情况以及核实不活跃成员的信息。“下载的个人信息包括:名字和姓氏;出生日期; 和社会安全号码。它还可能包括前任或现任雇主、配偶或家庭伴侣以及儿童的姓名,”加州公务员退休基金在一份声明中表示,并指出联邦执法部门已收到通知。该事件影响到国家、公共机构、学区的退休人员以及法官退休系统和立法者退休系统的退休人员。活跃的CalPERS会员不受影响。鉴于泄露的信息,该组织在会员福利网站上添加了新协议,并为受害者创建了一个呼叫中心。益百利还为受害者提供两年的免费信用监控和身份恢复服务。他们最近将有关该事件的信息邮寄给退休人员或其家人。他们敦促受害者留意身份盗窃或欺诈的情况,但解释说,CalPERS 的系统没有受到影响,这意味着每月的养老金将继续存入。PBI 与其他几个州养老基金合作,包括新泽西州、内华达州和田纳西州的养老基金。全球最大的两家会计师事务所普华永道和安永在被添加到Clop勒索软件组织(利用该软件漏洞的幕后团伙)的泄露网站后,也确认了MOVEit违规行为。到目前为止,至少有96名MOVEit漏洞利用受害者,其中包括大学、公司和政府机构。https://therecord.media/calpers-california-pension-fund-affected-by-moveit-breach9、Mirai僵尸网络利用了D-Link、Zyxel、Netgear设备中的22个漏洞Mirai僵尸网络的一个变体针对两大漏洞,旨在控制D-Link、Arris、Zyxel、TP-Link、Tenda、Netgear和MediaTek 设备,利用它们进行分布式拒绝服务(DDoS)攻击。Palo Alto Networks的Unit42研究人员在3月14日开始并在4月和6月激增的两次持续活动中发现了该恶意软件。在22日的一份报告中,研究人员警告说,僵尸网络开发人员继续添加可利用漏洞的代码。该恶意软件针对各种互联产品中至少22个已知的安全问题,其中包括路由器、DVR、NVR、WiFi 通信适配器、热监控系统、访问控制系统和太阳能发电监视器。其中一个漏洞CVE-2023-1389影响TP-Link Archer A21 (AX1800) WiFi路由器,ZDI报告称该漏洞自4月底以来已被Mirai恶意软件利用。然而,尚不清楚这两者是否指的是同一活动。攻击首先利用上述缺陷之一,为从外部资源执行shell脚本奠定基础。该脚本将下载与受感染设备的架构相匹配的僵尸网络客户端,包括armv4l、arm5l、arm6l、arm7l、mips、mipsel、sh4、x86_64、i686、i586、arc、m68k和sparc。bot客户端执行后,shell脚本下载程序会删除客户端的文件以清除感染轨迹并降低检测到的可能性。与流通中的标准Mirai变种相比,该变种直接通过索引访问 .rodata部分中的加密字符串,而不是设置字符串表来获取僵尸网络客户端的配置。这种方法绕过了加密字符串表初始化,从而赋予恶意软件速度和隐蔽性,并使其不太可能被安全工具检测到。Unit 42还指出,该 Mirai变体不具备暴力破解telnet/SSH登录凭据的能力,因此其分发完全依赖于操作员手动利用漏洞。通过应用设备供应商或制造商提供的最新固件更新、从默认访问凭据切换到强大而独特的凭据以及删除远程管理面板访问权限(如果不需要),可以降低感染风险。https://www.bleepingcomputer.com/news/security/mirai-botnet-targets-22-flaws-in-d-link-zyxel-netgear-devices/10、微软称黑客使用木马化的OpenSSH版本劫持Linux系统微软表示,作为最近观察到的加密劫持活动的一部分,暴露在互联网上的Linux和物联网(IoT)设备正在通过暴力攻击被劫持。获得系统访问权限后,攻击者会部署木马化OpenSSH软件包,帮助他们在受感染的设备中添加后门并窃取SSH凭据以维持持久性。微软表示:“这些补丁安装了钩子,可以拦截设备SSH连接的密码和密钥,无论是作为客户端还是服务器。”“此外,这些补丁允许通过SSH进行root登录,并通过抑制威胁行为者的SSH会话日志记录来隐藏入侵者的存在,这些会话通过特殊密码进行区分。”与木马化OpenSSH二进制文件同时部署的后门shell脚本会将两个公钥添加到authorized_keys文件中,以实现持久的SSH访问。它还允许威胁行为者收集系统信息并安装Reptile和Diamorphine开源LKM Rootkit,以隐藏被黑系统上的恶意活动。威胁行为者还使用后门消除其他矿工,方法是向/etc/hosts添加新的iptables规则和条目,以减少该操作的加密劫持竞争对手使用的主机和IP的流量。微软表示:“它还通过名称识别矿工进程和文件,终止它们或阻止对它们的访问,并删除其他对手在授权密钥中配置的 SSH 访问权限。”攻击中还部署了ZiggyStarTux开源IRC机器人的一个版本,该机器人具有分布式拒绝服务(DDoS)功能,并允许操作员执行bash命令。该后门恶意软件利用多种技术来确保其在受感染系统上的持久性,在多个磁盘位置复制二进制文件并创建cron作业来定期执行它。此外,它将ZiggyStarTux注册为systemd服务,并在 /etc/systemd/system/network-check.service处配置服务文件。在受害者网络中横向移动后,攻击者的最终目标似乎是安装针对专为加密货币挖矿而设计的基于Linux的Hiveon OS系统的挖矿恶意软件。https://www.bleepingcomputer.com/news/security/microsoft-hackers-hijack-linux-systems-using-trojanized-openssh-version/11、研究人员表示数以百万计的GitHub存储库可能容易受到RepoJacking的攻击数以百万计的GitHub存储库可能容易受到依赖项存储库劫持(也称为“RepoJacking”)的攻击,这可能有助于攻击者部署影响大量用户的供应链攻击。该警告来自AquaSec的安全团队“Nautilus”,他们分析了125万个GitHub存储库的样本,发现其中约2.95%容易受到RepoJacking的攻击。通过将此百分比推断到GitHub超过3亿的整个存储库库,研究人员估计该问题影响了大约900 万个项目。GitHub上的用户名和存储库名称更改很频繁,因为组织可以通过收购或合并获得新的管理层,或者可以切换到新的品牌名称。发生这种情况时,会创建重定向,以避免破坏使用更改名称的存储库中的代码的项目的依赖关系;但是,如果有人注册旧名称,则该重定向将无效。RepoJacking是一种攻击,恶意行为者注册用户名并创建一个组织过去使用过但后来更改了名称的存储库。这样做会导致任何项目或代码依赖于受攻击项目的依赖项从攻击者控制的存储库中获取依赖项和代码,这可能包含恶意软件。GitHub知道这种可能性,并针对RepoJacking攻击实施了一些防御措施。然而,AquaSec报告称,迄今为止,这些解决方案并不完整,而且很容易被绕过。例如,GitHub仅保护高度流行的项目,但这些项目可能使用来自未涵盖的不太流行、易受攻击的存储库的依赖项,因此供应链妥协也会影响它们。为了强调问题的重要性,AquaSec扫描了知名组织中是否存在易受攻击的存储库,并在Google和Lyft管理的存储库中发现了可利用的案例。https://www.bleepingcomputer.com/news/security/millions-of-github-repos-likely-vulnerable-to-repojacking-researchers-say/12、针对Cisco AnyConnect Secure中最近的高严重性漏洞的概念验证(PoC)漏洞利用代码安全研究人员发布了针对Cisco AnyConnect安全移动客户端和Windows安全客户端中最近修补的高严重性漏洞的概念验证(PoC)代码。该软件允许远程员工使用安全的虚拟专用网络(VPN)连接到组织的网络,并提供监控功能。该安全缺陷被追踪为CVE-2023-20178(CVSS 评分为7.8),影响软件的客户端更新过程,允许低权限的本地攻击者提升访问权限并以系统权限执行代码。“此漏洞的存在是因为为更新过程中创建的临时目录分配了不正确的权限。攻击者可以通过滥用Windows安装程序进程的特定功能来利用此漏洞。”思科在公告中解释道。总的来说,这是一个任意文件夹删除问题,可以在软件更新过程中触发,当创建临时文件夹来存储正在修改的文件的副本时,以便在安装过程未完成时允许回滚。了解此临时文件夹的攻击者可以运行包含可执行文件的漏洞利用程序,该文件旨在启动更新过程但中途触发回滚。同时,该漏洞不断尝试用恶意文件替换临时文件夹的内容。一旦更新过程停止,Windows会尝试将临时文件夹中的文件恢复到其原始位置,但会消耗攻击者的恶意内容。本周,向思科报告了CVE-2023-20178的安全研究员Filip Dragovic发布了一个以类似方式工作的PoC,可触发具有系统权限的任意文件删除。研究人员表示,他在安全客户端版本5.0.01242和AnyConnect安全移动客户端版本4.10.06079 上测试了PoC。仅该软件的Windows版本受到影响。思科于6月初通过发布AnyConnect安全移动客户端版本4.10.07061和安全客户端版本5.0.02075解决了CVE-2023-20178。https://www.securityweek.com/poc-exploit-published-for-cisco-anyconnect-secure-vulnerability/13、英国NCSC敦促律师事务所加强网络防御英国国家网络安全中心(NCSC)在发布一份探讨该行业面临的重大网络威胁的新报告后,敦促英国律师事务所加强网络防御。《法律部门的网络威胁》报告强调了律师事务所面临的潜在威胁,从犯罪分子的勒索软件攻击到国家行为者的知识产权盗窃,以帮助律师事务所、律师和法律实践更好地了解当前的网络安全风险以及法律风险的程度。部门正在成为目标。该报告更新了2018年的上一份报告,还提供了有关组织如何抵御这些威胁的实用指南。该报告的编写参考了行业专家和利益相关者的意见,包括律师协会、律师协会、律师监管局、反诈骗局、国家犯罪局(NCA)以及NCSC的行业100合作伙伴。报告指出,出于五个关键原因,法律行业成为网络攻击的主要目标。首先,律师事务所经常处理高度敏感的客户信息(例如,与正在进行的刑事案件或并购有关),这些信息对于有兴趣利用内幕交易机会、在谈判和诉讼中占据上风的犯罪组织可能很有价值,或颠覆司法公正。其次,日常业务运营的中断可能会给法律实践带来高昂的代价,无论是由于中断而损失的计费时间还是依赖这些服务的客户的成本。这使得勒索软件团伙对法律实践特别感兴趣,这些勒索软件团伙旨在勒索金钱以换取恢复IT服务。报告指出,接下来的事实是,在从并购到产权转让的许多领域,法律实践都处理着大量资金。“与交易相关的时间压力(以及律师事务所处理的大量供应商和客户以及复杂的工资单)为网络钓鱼攻击和商业电子邮件泄露[BEC]创造了有吸引力的条件。”此外,报告称,许多法律实践,尤其是规模较小的公司、商会和个人从业者,都依赖外部 IT 服务提供商,这使得他们很难自行评估他们所采取的控制措施是否适合他们所面临的风险。“如果遭遇(例如)勒索软件攻击,资源匮乏的小型律师事务所可能会遭受毁灭性打击。他们更容易受到攻击,可能是由于未受管理的设备上未修补的漏洞,或者是由于未经培训的员工或离职人员离职不当造成的。” 一旦受到攻击,相对较小的财务或声誉损失可能是灾难性的。最后,声誉对于法律业务至关重要,这使得法律实践成为勒索的有吸引力的目标。https://www.csoonline.com/article/3700609/uk-ncsc-urges-legal-firms-to-strengthen-cyber-defences.html14、RangeForce推出国防准备指数来衡量企业的网络安全能力网络防御技能提升公司RangeForce宣布发布防御准备指数(DRI),使公司能够衡量和提高其网络安全能力。该公司在一份新闻稿中表示,DRI集成到 RangeForce的Threat Centric平台并映射到MITRE ATT&CK和D3FEND框架,对组织应对网络攻击的准备情况进行评分。它还补充说,它还提供植根于美国国防部和北约培训的网络安全技能提升,以帮助团队为威胁做好准备。强大而有效的网络准备对于许多组织来说可能具有挑战性。最新的思科网络安全准备指数对公司的网络安全准备程度分为四个阶段(初级、形成期、渐进式和成熟期)进行排名,发现超过一半的组织属于初级或形成期类别,只有15%处于成熟期。58%的组织(无论是新手还是新手)认为身份管理是最重要的关注领域,而56%的组织处于网络保护准备度的较低端。DRI按1到5的等级对组织的网络安全准备情况进行排名。RangeForce表示,DRI查明了组织网络安全能力的弱点,使他们能够评估技能差距并实施战略建议来弥补这些差距。它还向高级管理层提供客观指标,让他们了解网络安全团队的实力。RangeForce表示,DRI按1到5级对组织进行排名,每个组织都有自己的一套控制措施和实践,以了解防御团队在抵御网络攻击的能力方面的情况。此外,它还提供了对团队所展示的技能组合、检测和破坏威胁的能力、协作调查的能力、存在技能差距以及相关成本的深入了解。路线图可帮助公司专注于提升到下一个级别(或随着威胁形势随着时间的推移而变化而保持在同一水平)所需的技能,同时增强评估和报告机制以帮助企业衡量进展情况。DRI借鉴了与美国国防部(DoD)和北约的合作成果。https://www.csoonline.com/article/3700449/rangeforce-launches-defense-readiness-index-to-measure-businesses-cybersecurity-capabilities.html
THE END
冷观网域风云激荡
智察数字安全博弈
THINK LIKE A HACKER
ACT LIKE AN ENGINEER
Cyber Intelligence Insight
Digital Security Enhencement