有时,无私的勇敢和自私的怯懦之间的区别是明显的。就在同一个星期,那位21岁的海军中士。达科塔·迈耶被授予荣誉勋章我们听说,42岁的勒内·昆比(Rene Quimby)因窃取16000名美国军人的身份并利用这些信息窃取650名受害者的信息而被判入狱。
在他的骗局,quimby继续在网上购物斯普利斯美国陆军和空军交换服务组织(Army and Air Force Exchange Services)网站上的账户,每年在军事基地的业务规模约为100亿美元。安全失误和数据泄露问题给了昆比机会,但上周他被判在联邦监狱服刑75个月,并必须向AAFES支付21万美元的赔偿金。
通过秘密的网络入侵被窃取是主题峰会高级持续性威胁它是由贸易组织TechAmerica和RSA组织的。你可能知道,RSA是一家安全公司,今年早些时候它承认一个入侵者进入了它的网络并窃取了与其SecurID产品相关的敏感信息。后来,这些信息被用来攻击洛克希德·马丁公司。
此后,RSA组织了相当于高科技团体治疗的组织,大约100名首席信息安全官(cio)和首席执行官(ceo)参加了7月在华盛顿举行的APT峰会。一份关于其主要发现的报告即将出炉。一个问题是,ciso对谈论apt的法律后果感到紧张,这是可以理解的。
与国土安全部(DHS)分享情报的必要性也是上周的主题。在一个国会听证会上美国国土安全部负责国家保护和计划局的代理副部长Greg Schaffer表示,国土安全部确实与金融机构直接合作,挫败网络攻击,并计划在未来做更多这样的工作。Schaffer表示,对关键银行和金融信息系统经理进行绝密/敏感信息划分,以便US-CERT能够与私人机构共享更多敏感情报。为了扩大这种合作,国土安全部正在寻求法律来减少这种共享的问题。他说:“一些机构担心与政府分享信息的隐私影响,或者担心举报事件会损害品牌形象。”
猛犸象是迫在眉睫的吗?美国国家安全局和美国网络司令部指挥官主任Keith Alexander所说准备好做大事吧.在我看来,来自网络空间的毁灭性攻击“即将来临”。这是一个时间问题。这位将军在上周的网络空间机动研讨会上说,“我们不能确定的是它离我们有多远,”以及它是否会针对商业基础设施、政府网络或移动平台。
上周其他人对美国的想法发表了声音。需要改善其在网络情报方面的姿态.情报与国家安全联盟的网络委员会 - 说是一个非盈利性,无党派,公共和私营部门的组织 - 发布了关于该主题的报告。它说困境是DHS有权威但缺乏专业知识和能力策划一套全面的网络情报手段。国防部拥有大部分实际的网络情报能力,私营企业拥有大部分的基础设施。
同时,受感染的计算机僵尸军队的邪恶基础设施继续进行组装,等待进攻的命令.
产品,Ahoy!
目前还没有点对点加密的标准,当敏感的持卡人数据被捕获并发送到处理器网络和银行系统时,点对点加密可以用来保护支付卡不受销售点的影响。但是上周PCI安全标准委员会迈出第一步在释放基于硬件的加密和密钥管理的指南中建立一个。
理事会表示,目标是通过明年初通过支付卡处理来证明基于硬件的设备。商家将是完全自愿和可选的,以便使用这一项,但它可能会帮助他们更容易通过PCI审计。有一个问题,虽然,是很多大的商家已经采用自己的加密方法与他们的支付卡的处理器使用。
供应商长期以来一直居住在周围微软,为视窗或Internet Explorer浏览器插件。但是,当微软做某事时,他们不期望,这些供应商可以遇到麻烦的业务。
新泽西州爱迪生(Edison)的StrikeForce科技公司(StrikeForce Technologies)显然就遇到了这种情况。这家公司生产的GuardedID反间谍软件产品有一个针对微软和Firebox的浏览器插件组件。
打击部队执行副总裁乔治·沃勒上周伸出手去解释即当Microsoft在Spring中发布其IE9浏览器时,STRISTFORCE GuardedID软件中的加密,用于停止键记录有效载荷不再工作。什么在这一切陷入锋线措手不及的是,测试版IE9并没有引起这样的事情发生。“但是,候选候选者可以防止我们的技术从恶意代码中保护公司(或用户),”Waller说。
他说,StrikeForce已经与微软联系了数百次,试图找出StrikeForce所说的IE9的一个“漏洞”,而StrikeForce说这个“漏洞”并不在IE beta代码中。几个月后,StrikeForce仍然感到沮丧,还在应对一些商业问题,包括告知客户他们只能在IE8上使用GuardedID, StrikeForce上周把它的故事告诉了行业媒体。
在发送给有个足球雷竞技app和其他人,Waller在4月11日从Microsoft人员发出的电子邮件提供了Tech Press,似乎承认,可能需要修复IE9。
一封邮件说:“如你所知,产品团队已经审查了这个问题,他们已经确认这是一个意外的回归。已提交修复请求。但不幸的是,我们没有明确的时间框架围绕我们的热修复过程。我已经通知了IE产品团队这个问题对你的软件的影响,虽然他们承认这一点,但他们必须遵循常规的流程指导方针,并在他们的其他要求中适当地优先处理这个问题。”在另一封邮件中,微软显然告诉StrikeForce:“我理解这对你的影响,当然也能理解你的沮丧。”
微软,有个足球雷竞技app发送了所有这些文件的副本,回应说:“我们关心我们的每一位客户使用IE9的体验。我们的工程团队正在积极调查第三方工具栏在IE9中不再工作的说法;调查完成后,将提供任何必要的最新情况。Windows用户和ie用户应该知道,这一声明不会影响他们的安全或浏览体验。”
沃勒显然心烦意乱,他说,在趋势科技的钛产品中,StrikeForce软件充当了原始设备制造商(OEM)的角色,而其他交易也受到了该公司无法从微软那里寻求帮助的影响。
但上周,微软还在忙其他事情,比如修补12漏洞在SharePoint等其他产品中,这是微软定期在本月第二个周二举行的补丁大会的一部分。
沃勒说:“他们说有个案子没结。”“但他们一直在传递我。”他补充道:“我敢保证,如果我是赛门铁克公司,他们肯定会立即解决问题,但因为我们不是,所以我们被推下了台。”
在其他软件补丁新闻中,Oracle发布了一个紧急补丁,适用于其Oracle融合中间件和应用程序的版本服务器说没有它,他们可以被贬低.
美国能源部门找到了对建立网络安全文化的多数挑战
在保障美国关键的能源网络安全方面,美国能源部表示,还有很多工作要做。这项工作的关键是工程师、网络管理员、供应商和安全技术背后的其他人,但根据美国能源部本周发布的一份安全路线图,他们将在未来五年内大批离开该行业。
“未来五年,能源公司将面临工程师和技术工艺工人的关键短缺。例如,约有45%的工程师 - 仅预先出于其他原因退休或留下。复合,可能需要两到三倍的电力工程师来满足整个经济的需求,未来的运营需要比当今普遍存在的更广泛的技能,“报告国。
保持关键的人只是建立什么DOE要求的安全文化的诸多挑战之一。来自报告:
•能源交付系统的有限知识,培训,理解和升值安全风险抑制了能源部门内的安全行动。在失败模式和漏洞方面,还存在对决策和系统恢复性成本的不完整。目前的风险评估能力降低了确定每个成本决定在失败模式和漏洞方面对系统恢复的影响。
•虽然标准有助于将安全性提升到能源部门的基线水平,但一些标准仍然不明确或过于广泛,或者可能会促使公用事业利用不太高级的安全措施来满足要求。此外,迅速变化的风险环境意味着今天的标准合规性明天可能是不够的。
•提高安全性是要付出代价的,要向能源机构展示直接的利益是困难的。如果没有灾难性的网络事件或强有力的商业案例发生,公共和私人合作伙伴将继续在合作努力上投入有限的时间和/或资源。
•网络入侵工具越来越复杂,能源传输系统也越来越复杂,一旦发生事故,资产所有者和运营商就很难识别。使用自动入侵侦测系统及应用程序有可能引入严重的运营问题。