Connect with us

网络安全

网络安全头条新闻– 2021年1月26日

Google的Cookie替代品在测试中表现良好在测试中,提议的“联合群组学习”或FLoC API(一种建议的第三方Cookie替代品)表明,与之相比,广告客户可以预期广告花费的每一美元转化至少有95%基于Cookie的广告。 FLoC现在是Chrome浏览器扩展程序,它使用……

Published

on

Google的Cookie替代品在测试中表现良好

在测试中,提议的“同类群组的联合学习”或FLoC API(建议替代第三方Cookie)表明,与基于Cookie的广告相比,广告客户可以预期广告花费的每1美元转化次数至少达到95%。 FLoC现在是一个Chrome浏览器扩展程序,它使用机器学习将人们分为广告客户可以定位而不是针对个人的数千个相似用户。 Google的“隐私沙箱”工作正在开发其他第三方Cookie替代方案,因此这可能不是其最终的第三方Cookie替代品。

(Axios)

Twitter Birdwatch飞行员启动

Birdwatch去年曾得到Twitter的确认,它是一个系统,允许用户标记和讨论被认为具有误导性或虚假性的推文。 Birdwatch是Twitter的一个独立部分,最初面向一小群用户,其帐户与真实电话号码和电子邮件地址相关联。推文会在Twitter的主界面中被标记出来,然后便笺可以添加到“ Birdwatch”部分以获取上下文。用户还可以对其他人的注释进行评分,以防止恶意使用。 Twitter说,最终,它希望由Birdwatchers担任主持人的笔记在其全球读者的Tweets上显示。可在birdwatch.twitter.com上获得示例UI和等待列表。

(TechCrunch)

在Android上发现WhatsApp可感染蠕虫的恶意软件

ESET的安全研究人员发现了该恶意软件,该恶意软件看起来像是广告软件活动,其发送链接以下载假冒的华为移动应用程序。该链接将用户带到外观相似的Google Play商店,以刺激进一步的软件下载。完成后,该恶意软件会要求用户进行通知访问,这归功于该应用程序的快速回复功能,可直接从通知中进行回复,从而使该用户可以利用类似的链接向用户的WhatsApp联系人发送垃圾邮件。最终目的是让用户陷入订阅骗局,但研究人员警告该应用程序要求获得许可以覆盖其他应用程序并在后台运行,从而为其他类型的漏洞利用打开了大门。尽管目前仅限于WhatsApp消息,但研究人员警告说更新可能会滥用快速回复访问权限,从而传播到其他应用程序。

(黑客新闻)

卖空者称次要股票挤压股票后遭到黑客攻击

Subreddit WallStreetBets的投资者将Gametop的股票从1月11日的20美元支撑到15日的73美元。这是因为更多的传统投资者,如Citron Research创始人安德鲁·莱夫特(Andrew Left)建立了空头头寸,有效地押注该股将在不久的将来跌至20美元以下,并计划举行Twitter直播,解释该股为何会下跌。在本周晚些时候,Left建立了第二个Twitter帐户,声称人们试图入侵他的主要帐户,同一小组骚扰未成年人,向他家订购披萨,并在过去48小时内向他注册了Tinder。 subreddit的主持人说,他们不知道这些活动,“如果他们这样做,那不是我们宽容或促进的事情。”

(有线)

现在,我们的赞助商Nucleus Security为您带来“漏洞管理中的前五种反模式”:反模式2:“ CVSS优先级划分”:CVSS分数很有用,但是您需要的不仅仅是分数,而是要确定要修复的内容以及何时修复它。业务环境和漏洞情报是确定大型企业中漏洞优先级的关键。学习怎样 可以帮助智能漏洞的优先级 nucleussec.com/demo苏格兰的EPA不会将公共资金用于勒索软件

该机构一直在处理始于2020年12月24日的勒索软件攻击的后果。自攻击以来,该机构确认该攻击中泄露了约1.2GB的数据(约4000个文件),包括员工和业务记录。 SEPA确认,除了扣留公共资金赎金外,它不会与攻击者进行接触。该调查仍在进行中,因此没有透露有关攻击背后的勒索软件运营商的详细信息。

(安全杂志)

澳大利亚证券和投资委员会报告未经授权的服务器访问

金融服务监管机构ASIC在1月15日意识到了这一访问权限,并且“与ASIC用于传输文件和附件的Accellion软件有关”。所访问的服务器包含与澳大利亚信贷申请有关的文件,监管机构警告说,威胁行为者可能已经查看了有限的信息,尽管目前没有证据表明可以打开或下载任何文件。为了预防起见,ASIC禁用了服务器,并正在使用替代系统来提交信用申请附件。这是Accellion管理的第二台主要状态服务器,本月将被访问,新西兰储备银行于1月11日报告了第三方共享服务的违规行为。这两个事件似乎都是由于使用了二十年历史的File Transfer Appliance造成的,Accelion已经发布了补丁。

(寄存器)

ADT技术入侵的客户摄像头

一名家庭安全公司ADT的前技术人员承认,四年来访问客户家庭安全摄像机的次数超过9600次,尤其是监视女性。作为对计算机欺诈指控的有罪认罪的一部分,该技术员说,他经常将自己的电子邮件地址添加到客户的“ ADT Pulse”帐户中,该帐户可从其家中实时访问视频源。这是在客户不知情的情况下完成的,或作为对系统的临时短期测试向客户披露的。联邦调查局(FBI)代理调查此案时,建议任何连接设备的人定期检查哪些人被列为授权用户,并定期更改密码。

(安全杂志)

独立密码管理器的情况

PCWorld高级编辑Brad Chacos认为,虽然集成到现代浏览器中的密码管理器已经走了很长一段路,但使用分立的第三方解决方案,用户会更好,更安全。他指出,诸如双重身份验证和强大的密码生成器之类的附加功能无疑使基于浏览器的解决方案成为了一个比没有更好的密码管理器,它们也将您锁定在一个浏览器中。这会导致跨多个生态系统的零散的密码库,或者需要繁琐的登录不同帐户才能访问密码,尤其是在移动设备上的密码学。第三方密码管理器通常具有安全的工具来共享密码,其构建目的是在操作系统级别而不是在一个特定的应用程序中运行,并且现在广泛支持iOS和Android。

(电脑世界)

ESET的安全研究人员发现了该恶意软件,该恶意软件看起来像是广告软件活动,其发送链接以下载假冒的华为移动应用程序。该链接将用户带到外观相似的Google Play商店,以刺激进一步的软件下载。完成后,该恶意软件会要求用户访问通知,这归功于该应用程序的快速回复功能,可直接从通知中进行回复,从而使该用户可以利用类似的链接向用户的WhatsApp联系人发送垃圾邮件。最终目的是让用户陷入订阅骗局,但研究人员警告该应用程序要求获得许可以覆盖其他应用程序并在后台运行,从而为其他类型的漏洞利用打开了大门。尽管目前仅限于WhatsApp消息,但研究人员警告说更新可能会滥用快速回复访问权限,从而传播到其他应用程序。

Source: https://cisoseries.com/cyber-security-headlines-january-26-2021/

网络安全

美国将与大型科技金融部门合作制定新的网络安全指南

市场新闻…

Published

on

路透华盛顿 8 月 25 日 – 美国政府周三表示,将与业界合作制定新的指导方针,以提高技术供应链的安全性,因为总统乔拜登呼吁私营部门高管“提高网络安全标准”。 .”

在白宫与拜登及其内阁成员会面时,来自大型科​​技公司、金融业和基础设施公司的高管表示,他们将采取更多措施应对网络攻击对美国经济构成的日益严重的威胁。

“联邦政府无法独自应对这一挑战,”拜登在东厅告诉蒙面高管,并告诉他们,“我相信,你们有能力、能力和责任提高网络安全标准。”

会后,白宫表示,美国国家标准与技术研究院 (NIST) 将与行业和其他合作伙伴合作,制定新的指导方针,以构建安全技术和评估技术的安全性,包括开源软件。

微软 (MSFT.O), 谷歌 (GOOGL.O), 旅行者 (TRV.N),以及网络保险提供商 Coalition 等,致力于参与 NIST 领导的新计划。

在对网络管理公司 SolarWinds Corp 的一系列高调攻击之后,网络安全已成为拜登政府的首要议程 (SWI.N)、Colonial Pipeline 公司、JBS 肉类加工公司 (JBSS3.SA) 和软件公司 Kaseya。这些攻击对美国的伤害远远超出了被黑客攻击的公司,还影响了燃料和食品供应。 阅读更多

“我们有很多工作要做,”拜登说,他引用了勒索软件攻击和他推动俄罗斯总统弗拉基米尔普京追究俄罗斯网络团伙的责任,以及需要填补近 50 万个公共和私人网络安全工作岗位.

来宾名单包括 Amazon.com Inc (亚马逊) 苹果公司首席执行官安迪·贾西 (AAPL.O) 首席执行官蒂姆库克、微软首席执行官萨蒂亚纳德拉、谷歌母公司 Alphabet Inc 首席执行官桑达尔皮查伊和 IBM (IBM.N) 首席执行官阿文德·克里希纳 (Arvind Krishna)。

会后,亚马逊表示将免费向公众提供其网络安全培训,并将从 10 月开始向一些云计算客户提供多因素身份验证设备。

微软表示将在五年内投资 200 亿美元,比目前的利率增加四倍,以加快其网络安全工作,并提供 1.5 亿美元的技术服务,以帮助联邦、州和地方政府帮助维护其安全系统最新。

IBM 表示,它将在三年内培训超过 150,000 人的网络安全技能,并将与历史悠久的黑人学院和大学合作,以创建更加多样化的网络劳动力。

谷歌表示,它将在未来五年内投入 100 亿美元用于网络安全,但目前尚不清楚这个数字是否代表了新的支出。它还表示,它将帮助 100,000 名美国人获得行业认可的数字技能证书,这些证书可能会带来高薪工作。

Resilience Cyber​​ Insurance Solutions 首席执行官 Vishaal Hariprasad 告诉路透社,他的公司将与政府合作制定明确的网络安全标准,并要求保单持有人满足这些标准。

“所以,如果一家公司愿意遵守最低标准,他们就会有保险,如果不是,他们就必须找出这些差距,以便他们能够达到基线,”他说。

“这不仅是为了让我们的公司更安全,也是为了确保我们正在做一些事情来对付坏人。”

国会正在权衡关于数据泄露通知法和网络安全保险业监管的立法,这两个领域历来被视为该领域最重要的政策领域。

能源公用事业公司南方公司的高管 (儿子) 和摩根大通公司 (摩根大通) 也参加了此次活动。

此次活动邀请了拜登政府的高级网络安全官员,包括国家网络安全总监 Chris Inglis 和国土安全部部长 Alejandro Mayorkas。

Andrea Shalal 和 Christopher Bing 报道; Jeffrey Dastin 和 Stephen Nellis 在旧金山的补充报道;由 Lisa Shumaker 和 Grant McCool 编辑

免责声明:本文中表达的观点是作者的观点,可能不反映 Kitco Metals Inc 的观点。作者已尽一切努力确保所提供信息的准确性;但是,Kitco Metals Inc. 和作者均无法保证此类准确性。本文仅供参考。这不是对商品、证券或其他金融工具进行任何交易的招揽。 Kitco Metals Inc. 和本文作者不承担因使用本出版物而造成的损失和/或损害的责任。

Source: https://www.kitco.com/news/2021-08-26/U-S-to-work-with-Big-Tech-finance-sector-on-new-cybersecurity-guidelines.html

Continue Reading

网络安全

HIMSSCast:网络安全、患者体验和公共卫生主导 HIMSS 对话

HIMSS 媒体编辑在拉斯维加斯坐下来讨论 HIMSS21 的关键要点。…

Published

on

本周,在 COVID-19 大流行使去年的活动搁置后,HIMSS 全球会议又回到了现场。经过一周的数百次教育课程、大量供应商演示和新见面会,HIMSS 媒体编辑坐下来听取汇报。

网络安全、患者体验和公共卫生是贯穿整个会议的一些热门主题。

随着数据泄露和勒索软件攻击的增加,卫生系统正在寻找从一开始就保护其数据的方法。

“它需要接受。它不能是事后的想法,因为赌注太高了。这不再只是一个数据泄露问题。这不仅仅是一个坏新闻问题。这是一个病人安全问题,真的,”医疗保健 IT 新闻的执行主编迈克·米利亚德 (Mike Milliard) 说。

演讲者还讨论了在创新新工具时倾听患者意见的重要性。

“我一次又一次听到的是,医疗保健部门想知道患者想要什么,”《医疗保健金融新闻》的总编辑苏·莫尔斯 (Sue Morse) 说。 “他们不想给他们不想要的东西,他们正试图通过技术找出他们想要的东西,并以他们想要的方式达到他们。”

整个节目都在讨论 COVID-19 大流行。就数字在公共卫生中的作用进行了多次讨论。

HIMSS Media 主编乔纳·康斯托克 (Jonah Comstock) 表示:“大流行向我们展示了社交媒体、短信和 WhatsApp 对政府如何与人交流、人们如何相互交流有多么重要。”

谈话要点:

  • HIMSS21 的心情和感觉。
  • 新的网络攻击需要网络安全方面的创新。
  • 更多地关注患者的声音。
  • 大流行暴露了公共卫生基础设施的差距。
  • 在互操作性方面还需要做更多的工作。
  • 将健康公平和临床试验多样性纳入对话。
  • AI/ML 扮演着低调但具有基础性的角色。
  • 星际迷航和杰森一家——医疗保健模型
  • 一些主旨亮点
  • COVID教训,正面和负面
  • 远程医疗爆炸及其后果

显示注释:

ONC,CDC希望修复暴露的分散的公共卫生系统COVID-19

HIMSS21 技术新闻:云、分析和互操作性发展

MGH 的 AMAZE 平台阿斯利康的更新和经验教训

州长克里斯克里斯蒂和特里麦考利夫在 HIMSS21 交易刺戳

COVID-19 在社交媒体上揭示了公共卫生的新机遇

人工智能是预测传染病风险的新范式

前 ONC 负责人 Rucker:API 将“赋能全新的商业模式”

雷恩威尔逊让我们感谢成为第二

DHA 主任:信息和技术推动有效的流行病应对

演讲者还讨论了在创新新工具时倾听患者意见的重要性。

Source: https://www.healthcareitnews.com/news/himsscast-cybersecurity-patient-experience-and-public-health-dominate-himss-conversation

Continue Reading

网络安全

COVID并不是员工可能带回办公室的唯一病毒

尽管计算机看起来无害,但公司应该像保护员工一样努力保护其网络的健康。…

Published

on

病毒可能是最大的威胁 面对面的办公室重新开放,不止一种方式。

在临时的家庭办公室远程工作一年多之后,员工终于可以回到自己的办公桌上,以及他们在没有工作分配的台式机和笔记本电脑的情况下一直依赖的个人设备。尽管计算机看起来无害,但公司应该像保护员工一样努力保护其网络的健康。

网络安全公司 SecureW2 的联合创始人兼首席执行官 Bert Kashyap 说:“组织需要知道哪些类型的 [设备] 正在访问其核心应用程序,并确保无论它们是什么,它们都是真正安全的。” “应用程序不会歧视——当你从你的工作笔记本电脑和你的个人笔记本电脑进入你的 Gmail 帐户时,它仍然会让你进入。”

阅读更多: 如何保护您的组织免受内部和外部网络安全威胁

超过一半的 IT 领导者认为员工已经接受了 不良的网络安全习惯 根据软件公司 Tessian 的一项调查,在大流行期间,40% 的员工计划将个人电脑带入办公室,IT 决策者越来越担心远程工作人员也会携带受感染的设备和恶意软件。

与公司发行的计算机不同——它们通常完全配备顶级数据丢失和入侵防御和检测软件,以及根据公司政策的各种类型的恶意软件检测系统——个人设备并不总是具有相同的安全网.

Kashyap 表示,公司面临的挑战将是对个人设备实施正确的制衡。这需要在员工连接到网络并被授予访问敏感信息之前发生。

“理想情况下,员工 [可以使用] 他们的个人设备,”Kashyap 说。 “但公司将有机会确定他们的威胁程度,并集中制定一些政策并确保这些政策得到执行。”

阅读更多: 日常技术——甚至打印机——都需要网络安全保护

Kashyap 警告说,如果没有这些预防措施,公司将很容易受到网络安全漏洞的影响,一旦受感染的设备连接到共享网络,这些漏洞就会传播到其他系统。

Tessian 表示,大多数 IT 领导者认为,勒索软件攻击(即需要付费才能重新发布被黑客入侵的信息的病毒)和有针对性的网络钓鱼电子邮件将成为混合工作场所中更大的问题。这在一定程度上是由于三分之一的员工认为他们可以通过个人设备避免更高风险的安全行为,并且 27% 的员工害怕在发生安全错误时告诉 IT。

网络安全漏洞不仅修复成本高昂——根据网络安全测试平台公司 Cobalt 的数据,恶意软件攻击对公司的平均成本超过 250 万美元——它们的损害是广泛的,扩展到关键的员工福利信息,如 HIPAA 应用程序。

阅读更多: 数据泄露使客户数据面临风险。这是顾问可以做的事情

Kashyap 表示,解决网络安全保护问题最好采用分层方法。首先,公司应该决定哪些信息可以通过个人设备访问,哪些信息只能通过受控的、工作发布的设备访问。然后,公司可以开始实施其他级别的预防措施,例如用户身份信任(指员工在登录服务器时识别自己的方式)和设备信任,这是设备本身被视为值得信赖和安全的一种方式。

“我们在网络安全领域看到了很多实质性的增长,”Kashyap 说。 “大型企业已经在进行大量[预防]——三年前我从未想过会实施这些措施的组织。”

Source: https://www.benefitnews.com/news/cybersecurity-protection-should-be-critical-to-office-reopening-strategies-post-covid

Continue Reading

Trending