美国网络安全和基础设施安全局(US Cybersecurity and Infrastructure security Agency,简称nsa)周五表示,至少5家美国联邦机构可能遭遇过网络攻击,攻击目标是最近发现的安全漏洞,这些漏洞让黑客可以自由支配脆弱的网络。
员工用来远程连接大型网络的VPN“脉冲连接安全”(Pulse Connect Secure)的漏洞包括,在该产品的制造商伊万蒂(Ivanti)知道之前,黑客一直在积极利用这个漏洞。瑕疵,伊万蒂上周披露,携带可能的10个额定等10.认证绕过漏洞允许不受信任的用户远程执行脉冲安全硬件上的恶意代码,并从那里开始控制网络安装的网络的其他部分。
联邦机构、关键基础设施等等
安全公司FireEye在一份报告中就在同一天,伊凡蒂披露称,与中国有关的黑客花了数月时间利用这一关键漏洞,对全球各地的美国国防承包商和金融机构进行间谍活动。伊凡蒂确认单独的文章作为CVE-2021-22893追踪的零天漏洞在主动开发区下。
今年3月,随着其他几个漏洞的曝光,Ivanti已经被修复发布脉冲安全连接完整性工具,其简化了检查易受攻击脉冲安全设备是否受到损害的过程。在上周披露之后,CVE-2021-2021-22893正在积极利用,CISA规定所有联邦机构都在运行这个工具。
“CISA知道,至少有五家联邦民用机构在运行‘脉冲连接安全完整性工具’(Pulse Connect Secure Integrity Tool),并发现了潜在的未经授权访问迹象,”CISA副执行助理主任马特·哈特曼(Matt Hartman)在一份电子邮件声明中写道。“我们正在与每个机构合作,以确认是否发生了入侵,并将提供相应的事件响应支持。”
中钢协表示,它知道联邦机构、关键基础设施实体和私营部门组织的妥协可以追溯到2020年6月。
他们只是继续来
五个机构的目标是最近几个月的大规模网络角攻击最新的大型网络攻击。12月,研究人员发现了一个感染了网络管理工具制造商Solarwinds软件构建和分配系统的操作。黑客用他们的控制推动后门更新约18000名客户。9个政府机构和不到100个私人组织——包括微软,防病毒制造商伪, 和mimecast.收到后续的攻击。 今年3月,黑客利用了微软Exchange新发现的一个漏洞妥协据估计,美国有3万台Exchange服务器,全球有多达10万台。 微软表示,在华运营的一个集团名为铪(Hafnium),是这些攻击的幕后黑手。在接下来的日子里,与铪无关的黑客开始出现感染已经妥协的服务器安装新的勒索软件紧张。 另外两起严重的违规事件也发生了,一起是针对制造者的Codecov软件开发工具另一个反对卖方的Passwordstate,一个密码管理器,大型组织使用它来存储防火墙、vpn和其他网络连接设备的凭据。这两次入侵都很严重,因为黑客可以利用它们来危害公司产品的大量客户。Ivanti公司表示,他们正在帮助调查并应对“在有限数量的客户系统上发现的”漏洞。
“Pulse团队迅速采取行动,直接为数量有限的受影响客户提供缓解措施,为他们的系统修复风险,我们计划在未来几天发布软件更新,”一位发言人补充说。
86年读者评论
我向我所有的云服务/SaaS/数据中心/IT/基础设施/网络兄弟姐妹表示哀悼、同情和最美好的祝愿。
我向我所有的云服务/SaaS/数据中心/IT/基础设施/网络兄弟姐妹表示哀悼、同情和最美好的祝愿。
使用不同的供应商并不意味着您更安全。在过去的几年里,很多非常流行的产品都有很大的漏洞。没有一个复杂的软件产品是没有缺陷的。参见Citrix, F5, Fortinet, Sonicwall, Exchange Server,太阳风猎户座…我想就连帕洛阿尔托全球保护公司过去几年也做了一些修复。
哇,事情正在按照(某人的)计划进行?
听起来非常深刻。
我向我所有的云服务/SaaS/数据中心/IT/基础设施/网络兄弟姐妹表示哀悼、同情和最美好的祝愿。
使用不同的供应商并不意味着您更安全。在过去的几年里,很多非常流行的产品都有很大的漏洞。没有一个复杂的软件产品是没有缺陷的。参见Citrix, F5, Fortinet, Sonicwall, Exchange Server,太阳风猎户座…我想就连帕洛阿尔托全球保护公司过去几年也做了一些修复。
这些细节通常非常不同。例如,上次报告的Fortinet Hack需要您运行高度过时的固件。
我向我所有的云服务/SaaS/数据中心/IT/基础设施/网络兄弟姐妹表示哀悼、同情和最美好的祝愿。
使用不同的供应商并不意味着您更安全。在过去的几年里,很多非常流行的产品都有很大的漏洞。没有一个复杂的软件产品是没有缺陷的。参见Citrix, F5, Fortinet, Sonicwall, Exchange Server,太阳风猎户座…我想就连帕洛阿尔托全球保护公司过去几年也做了一些修复。
确定. .澄清一下,我并不是说Pulse是唯一一个存在安全问题的软件。只是在这具体的凯斯,这意味着我这个周末可以在很多人睡不着的时候睡个好觉。由于其他工作原因,我已经好几周没有休息了,所以我真的很期待这个周末能睡个好觉。如果我们没有取消脉冲安全VPN,这是不可能的。
什么时候会有人说Hyman Rickover.要控制这种滚动的惨败吗?
我要在床上躲几个小时。当人们对彼此友好的理想化幻想自发发生时,有人唤醒了我。
我向我所有的云服务/SaaS/数据中心/IT/基础设施/网络兄弟姐妹表示哀悼、同情和最美好的祝愿。
使用不同的供应商并不意味着您更安全。在过去的几年里,很多非常流行的产品都有很大的漏洞。没有一个复杂的软件产品是没有缺陷的。参见Citrix, F5, Fortinet, Sonicwall, Exchange Server,太阳风猎户座…我想就连帕洛阿尔托全球保护公司过去几年也做了一些修复。
“没有一个复杂的软件产品是没有漏洞的。”可能真正的;现在。
“没有一个复杂的软件产品是没有bug的”是一个更有力的说法(虽然隐含了这个意思,但你没有这样说)。为什么我们不学习一些技巧,让更强的陈述变成虚假的呢?
也许“我们”。但是,在我们能证明更有力的说法是错误的之前,也许我们应该避免使用未经证实的方法来保护信息,如果这些信息落入坏人之手,可能会导致人们死亡。
我向我所有的云服务/SaaS/数据中心/IT/基础设施/网络兄弟姐妹表示哀悼、同情和最美好的祝愿。
使用不同的供应商并不意味着您更安全。在过去的几年里,很多非常流行的产品都有很大的漏洞。没有一个复杂的软件产品是没有缺陷的。参见Citrix, F5, Fortinet, Sonicwall, Exchange Server,太阳风猎户座…我想就连帕洛阿尔托全球保护公司过去几年也做了一些修复。
“没有一个复杂的软件产品是没有漏洞的。”可能真正的;现在。
“没有一个复杂的软件产品是没有bug的”是一个更有力的说法(虽然隐含了这个意思,但你没有这样说)。为什么我们不学习一些技巧,让更强的陈述变成虚假的呢?
也许“我们”。但是,在我们能证明更有力的说法是错误的之前,也许我们应该避免使用未经证实的方法来保护信息,如果这些信息落入坏人之手,可能会导致人们死亡。
如果我们至少使用像Rust这样更安全的语言,而不是C和c++,这将是一个开始。
我认为组织需要认真思考远程访问是如何与最低限度的特权相交叉的,并开始将远程用户视为比那些在现场的人更不值得信任的人。网络入侵的挑战和风险比通过互联网入侵要大得多,因此将高敏感数据的访问权限限制给在场的人,将大大减少大规模入侵。如果这些攻击者真的必须走进国土安全部办公室并带走数据,我愿意打赌这种妥协不会发生。
依我之见,便利的代价太高了。
如果你试图阻止它在登录时启动,我喜欢它的崩溃(所有默认登录时启动的应用程序都应该完蛋。那些不让您禁用此行为的应该得到更糟糕的结果)。我喜欢它让管理员对运行在它上面的设备有一种不舒服的洞察力。
然而,我绝对喜欢的特性是他们可以懒得工程师的该死的应用程序正确所以我可以凭证输入窗口背景当我去得到我你觉得代码,而不是愚蠢的坐在那里在前台就像它在现实中。
最后一次编辑弗罗多Douchebaggins2021年4月30日周五下午6:03
我向我所有的云服务/SaaS/数据中心/IT/基础设施/网络兄弟姐妹表示哀悼、同情和最美好的祝愿。
使用不同的供应商并不意味着您更安全。在过去的几年里,很多非常流行的产品都有很大的漏洞。没有一个复杂的软件产品是没有缺陷的。参见Citrix, F5, Fortinet, Sonicwall, Exchange Server,太阳风猎户座…我想就连帕洛阿尔托全球保护公司过去几年也做了一些修复。
“没有一个复杂的软件产品是没有漏洞的。”可能真正的;现在。
“没有一个复杂的软件产品是没有bug的”是一个更有力的说法(虽然隐含了这个意思,但你没有这样说)。为什么我们不学习一些技巧,让更强的陈述变成虚假的呢?
也许“我们”。但是,在我们能证明更有力的说法是错误的之前,也许我们应该避免使用未经证实的方法来保护信息,如果这些信息落入坏人之手,可能会导致人们死亡。
Ada语言和正式验证技术是专门为创建大规模正确的程序而设计的。甚至还有一个商业产品: https://learn.adacore.com/courses/intro…它是什么
我不会说没有人使用它,因为显然有足够的客户来维持商业产品的运行,但我要说的是,使用仅限于特定情况下,在这种情况下,开发这种方式的成本被认为是必要的。
编辑:输入错误
最后一次编辑jhodge.2021年4月30日周五下午6:03
我们应该把攻击面最小化。做你的升级。不要存储任何数据,除非有可证明的操作需要。将敏感数据放在需要时间访问的近线存储中(AWS冰川类型)。每个位置保存较少的数据。办公时间以外关闭设备。让网络变态们不好过,他们就会向前看。
我向我所有的云服务/SaaS/数据中心/IT/基础设施/网络兄弟姐妹表示哀悼、同情和最美好的祝愿。
使用不同的供应商并不意味着您更安全。在过去的几年里,很多非常流行的产品都有很大的漏洞。没有一个复杂的软件产品是没有缺陷的。参见Citrix, F5, Fortinet, Sonicwall, Exchange Server,太阳风猎户座…我想就连帕洛阿尔托全球保护公司过去几年也做了一些修复。
“没有一个复杂的软件产品是没有漏洞的。”可能真正的;现在。
“没有一个复杂的软件产品是没有bug的”是一个更有力的说法(虽然隐含了这个意思,但你没有这样说)。为什么我们不学习一些技巧,让更强的陈述变成虚假的呢?
也许“我们”。但是,在我们能证明更有力的说法是错误的之前,也许我们应该避免使用未经证实的方法来保护信息,如果这些信息落入坏人之手,可能会导致人们死亡。
Ada语言和正式验证技术是专门为创建大规模正确的程序而设计的。甚至还有一个商业产品: https://learn.adacore.com/courses/intro…它是什么
我不会说没有人使用它,因为显然有足够的客户来维持商业产品的运行,但我要说的是,使用仅限于特定情况下,在这种情况下,开发这种方式的成本被认为是必要的。
编辑:输入错误
Ada最初是为美国国防部设计的他们和他们的承包商可能仍然是它的最大用户
也许是时候让它变得不那么“安静”了。
我向我所有的云服务/SaaS/数据中心/IT/基础设施/网络兄弟姐妹表示哀悼、同情和最美好的祝愿。
使用不同的供应商并不意味着您更安全。在过去的几年里,很多非常流行的产品都有很大的漏洞。没有一个复杂的软件产品是没有缺陷的。参见Citrix, F5, Fortinet, Sonicwall, Exchange Server,太阳风猎户座…我想就连帕洛阿尔托全球保护公司过去几年也做了一些修复。
“没有一个复杂的软件产品是没有漏洞的。”可能真正的;现在。
“没有一个复杂的软件产品是没有bug的”是一个更有力的说法(虽然隐含了这个意思,但你没有这样说)。为什么我们不学习一些技巧,让更强的陈述变成虚假的呢?
也许“我们”。但是,在我们能证明更有力的说法是错误的之前,也许我们应该避免使用未经证实的方法来保护信息,如果这些信息落入坏人之手,可能会导致人们死亡。
Ada语言和正式验证技术是专门为创建大规模正确的程序而设计的。甚至还有一个商业产品: https://learn.adacore.com/courses/intro…它是什么
我不会说没有人使用它,因为显然有足够的客户来维持商业产品的运行,但我要说的是,使用仅限于特定情况下,在这种情况下,开发这种方式的成本被认为是必要的。
编辑:输入错误
我想我们同意了。真正的问题是,鉴于存在可透明的更安全的开发技术的原因,在人们生命面临风险的情况下,不证明弊端不会使用它们。
什么时候会有人说Hyman Rickover.要控制这种滚动的惨败吗?
什么?从轨道上用核武器摧毁一切?
我向我所有的云服务/SaaS/数据中心/IT/基础设施/网络兄弟姐妹表示哀悼、同情和最美好的祝愿。
使用不同的供应商并不意味着您更安全。在过去的几年里,很多非常流行的产品都有很大的漏洞。没有一个复杂的软件产品是没有缺陷的。参见Citrix, F5, Fortinet, Sonicwall, Exchange Server,太阳风猎户座…我想就连帕洛阿尔托全球保护公司过去几年也做了一些修复。
“没有一个复杂的软件产品是没有漏洞的。”可能真正的;现在。
“没有一个复杂的软件产品是没有bug的”是一个更有力的说法(虽然隐含了这个意思,但你没有这样说)。为什么我们不学习一些技巧,让更强的陈述变成虚假的呢?
也许“我们”。但是,在我们能证明更有力的说法是错误的之前,也许我们应该避免使用未经证实的方法来保护信息,如果这些信息落入坏人之手,可能会导致人们死亡。
Ada语言和正式验证技术是专门为创建大规模正确的程序而设计的。甚至还有一个商业产品: https://learn.adacore.com/courses/intro…它是什么
我不会说没有人使用它,因为显然有足够的客户来维持商业产品的运行,但我要说的是,使用仅限于特定情况下,在这种情况下,开发这种方式的成本被认为是必要的。
编辑:输入错误
我想我们同意了。真正的问题是,鉴于存在可透明的更安全的开发技术的原因,在人们生命面临风险的情况下,不证明弊端不会使用它们。
这些天软件行业在敏捷方法上运行。最小可行产品的概念意味着团队将创建一个工作但最小的解决方案。然后,这个想法是逐步改进它。但由于文化有利于“创新”的维护,他们有动力只是说“发货”,所以每个人都获得奖金。
我认为组织需要认真思考远程访问是如何与最低限度的特权相交叉的,并开始将远程用户视为比那些在现场的人更不值得信任的人。网络入侵的挑战和风险比通过互联网入侵要大得多,因此将高敏感数据的访问权限限制给在场的人,将大大减少大规模入侵。如果这些攻击者真的必须走进国土安全部办公室并带走数据,我愿意打赌这种妥协不会发生。
依我之见,便利的代价太高了。
这是行业发展的方向。SASE, SDP, ZTNA,不管你想叫它什么缩写,基本vpn的“信任但验证”正在被“不信任并验证”所取代。这些概念中逻辑上的最高安全步骤就像你说的那样……会有一定程度的“不信任”,不需要远程访问,句号。
至少这是希望:你对方便的评论是现场,但不是普遍共享的。
无论如何,这对我来说是工作谈话,所以我将从星期五开始去工作并重新煮沸。干杯。
也许是时候让它变得不那么“安静”了。
我在某处读到过,中国的系统很容易被破解,因为他们的政府不喜欢加密。谁知道呢?无论如何,我非常肯定我们国家安全局的男男女女们正在尽自己的一份力量去了解我们对手的一切,以确保我们更安全。所以,我建议让专业人士来做他们的工作……安静的。
我向我所有的云服务/SaaS/数据中心/IT/基础设施/网络兄弟姐妹表示哀悼、同情和最美好的祝愿。
使用不同的供应商并不意味着您更安全。在过去的几年里,很多非常流行的产品都有很大的漏洞。没有一个复杂的软件产品是没有缺陷的。参见Citrix, F5, Fortinet, Sonicwall, Exchange Server,太阳风猎户座…我想就连帕洛阿尔托全球保护公司过去几年也做了一些修复。
“没有一个复杂的软件产品是没有漏洞的。”可能真正的;现在。
“没有一个复杂的软件产品是没有bug的”是一个更有力的说法(虽然隐含了这个意思,但你没有这样说)。为什么我们不学习一些技巧,让更强的陈述变成虚假的呢?
也许“我们”。但是,在我们能证明更有力的说法是错误的之前,也许我们应该避免使用未经证实的方法来保护信息,如果这些信息落入坏人之手,可能会导致人们死亡。
Ada语言和正式验证技术是专门为创建大规模正确的程序而设计的。甚至还有一个商业产品: https://learn.adacore.com/courses/intro…它是什么
我不会说没有人使用它,因为显然有足够的客户来维持商业产品的运行,但我要说的是,使用仅限于特定情况下,在这种情况下,开发这种方式的成本被认为是必要的。
编辑:输入错误
我想我们同意了。真正的问题是,鉴于存在可透明的更安全的开发技术的原因,在人们生命面临风险的情况下,不证明弊端不会使用它们。
这些天软件行业在敏捷方法上运行。最小可行产品的概念意味着团队将创建一个工作但最小的解决方案。然后,这个想法是逐步改进它。但由于文化有利于“创新”的维护,他们有动力只是说“发货”,所以每个人都获得奖金。
早在敏捷出现之前,这就已经是个问题了。你认为微软会在Windows 10上使用敏捷方法吗?然而,脆弱性仍在不断出现。
编写实体代码很难。安全性必须通过释放来从要求中烘焙。直到有一些有形的惩罚因未能这样做,这将是常态。而且通过有形,我的意思是,“C-Suite通知”。
他们可能是任何人的猜测,因为每个“机构”可能会以某种方式或更少的方式受到损害。
鉴于国家安全基础设施的优先级高于大多数常见的任命或选举结构,这些入侵肯定预示着比单纯的黑客攻击和数据破坏大得多的威胁。
外国机构对那些看似秘密的活动或偏执的野心有极大的兴趣,即使是我们自己的人员。
伟大的游戏是在运动中,让那些“知情者”保持高度警惕。
我认为组织需要认真思考远程访问是如何与最低限度的特权相交叉的,并开始将远程用户视为比那些在现场的人更不值得信任的人。网络入侵的挑战和风险比通过互联网入侵要大得多,因此将高敏感数据的访问权限限制给在场的人,将大大减少大规模入侵。如果这些攻击者真的必须走进国土安全部办公室并带走数据,我愿意打赌这种妥协不会发生。
依我之见,便利的代价太高了。
让分布在全国各地的组织以这种方式工作似乎不现实。
妥协不会发生(以同样的方式),但他们的使命也不会有效地完成。
既然你提到了国土安全部,我改变主意了,好主意!
问:私营公司在上网之前是如何设法与远程办公室交换信息的?
答:使用专用电路。
每次有人抱怨这太贵的时候,我总是问:“还要清理灾难性的数据泄漏、间谍活动和关键的机器接管。不是吗?”
也许在未来的某一天,人们会知道,但在此期间,如果他们选择把自己的大屁股挂在窗外,而不指望被满星球的黑客鞭打,那就是他们的长期问题。别把我也拖下水。
我向我所有的云服务/SaaS/数据中心/IT/基础设施/网络兄弟姐妹表示哀悼、同情和最美好的祝愿。
使用不同的供应商并不意味着您更安全。在过去的几年里,很多非常流行的产品都有很大的漏洞。没有一个复杂的软件产品是没有缺陷的。参见Citrix, F5, Fortinet, Sonicwall, Exchange Server,太阳风猎户座…我想就连帕洛阿尔托全球保护公司过去几年也做了一些修复。
“没有一个复杂的软件产品是没有漏洞的。”可能真正的;现在。
“没有一个复杂的软件产品是没有bug的”是一个更有力的说法(虽然隐含了这个意思,但你没有这样说)。为什么我们不学习一些技巧,让更强的陈述变成虚假的呢?
也许“我们”。但是,在我们能证明更有力的说法是错误的之前,也许我们应该避免使用未经证实的方法来保护信息,如果这些信息落入坏人之手,可能会导致人们死亡。
Ada语言和正式验证技术是专门为创建大规模正确的程序而设计的。甚至还有一个商业产品: https://learn.adacore.com/courses/intro…它是什么
我不会说没有人使用它,因为显然有足够的客户来维持商业产品的运行,但我要说的是,使用仅限于特定情况下,在这种情况下,开发这种方式的成本被认为是必要的。
编辑:输入错误
Ada最初是为美国国防部设计的他们和他们的承包商可能仍然是它的最大用户
据我所知,它还被用于铁路和地铁系统。
它是在产品的名称中;为什么我们对广告中的真相感到惊讶?
安全性,具有保护的瞬态变化......
我倾向于惩罚那些使用这种易受攻击的软件的首席执行官。因为买家是一个廉价的傻瓜而惩罚他们。
我向我所有的云服务/SaaS/数据中心/IT/基础设施/网络兄弟姐妹表示哀悼、同情和最美好的祝愿。
使用不同的供应商并不意味着您更安全。在过去的几年里,很多非常流行的产品都有很大的漏洞。没有一个复杂的软件产品是没有缺陷的。参见Citrix, F5, Fortinet, Sonicwall, Exchange Server,太阳风猎户座…我想就连帕洛阿尔托全球保护公司过去几年也做了一些修复。
“没有一个复杂的软件产品是没有漏洞的。”可能真正的;现在。
“没有一个复杂的软件产品是没有bug的”是一个更有力的说法(虽然隐含了这个意思,但你没有这样说)。为什么我们不学习一些技巧,让更强的陈述变成虚假的呢?
也许“我们”。但是,在我们能证明更有力的说法是错误的之前,也许我们应该避免使用未经证实的方法来保护信息,如果这些信息落入坏人之手,可能会导致人们死亡。
因为未知的未知数。
有很多东西是一个开发团队不知道的。其中最小的部分是他们知道自己不知道的事情。其中很大一部分是他们没有意识到他们不知道的事情。安全就像这样——有很多未知的未知,根据定义,你无法缓和一个你没有意识到的威胁或缺陷,特别是如果你甚至没有意识到这种无意识。
我认为组织需要认真思考远程访问是如何与最低限度的特权相交叉的,并开始将远程用户视为比那些在现场的人更不值得信任的人。网络入侵的挑战和风险比通过互联网入侵要大得多,因此将高敏感数据的访问权限限制给在场的人,将大大减少大规模入侵。如果这些攻击者真的必须走进国土安全部办公室并带走数据,我愿意打赌这种妥协不会发生。
依我之见,便利的代价太高了。
当您只孤立地看待IT安全性时,这可能是正确的。即便如此,风险也可能只是微乎其微的增加。网络是脆弱的,即使在它们被锁定的时候。黑客成功地将永恒之蓝从国安局最安全的网络中取出!
我认为,在IT方面稍微增加风险,可以通过降低员工在流感大流行期间死亡的风险来达到平衡。
你必须登录或创建一个帐户评论。