Denne måneds roundup diskuterer to sager, der antyder sandsynlige tendenser, som offentlige myndigheder vil stå over for, når det kommer til cyberangreb. Som en virksomhed, der har til formål at beskytte regeringer og private organisationer mod cyberangreb, har vi leveret links til fulde artikler, der diskuterer de produkter og tjenester, vi tilbyder, som styrker enhver organisations cybersikkerhed. Til sidst diskuterer vi også to serviceopdateringer, som vi tilbyder vores kunder. Læs videre!
New Mexico county bliver det første lokale regerings ransomware-offer i januar
Sidste 5. januar blev Bernalillo County, det største amt i New Mexico, tvunget til at lukke de fleste af sine regeringsbygninger ned som svar på et ransomware-angreb.
Mange af amtsregeringens computersystemer blev afbrudt fra internettet for at beskytte optegnelser og andre følsomme filer. Også offline var amtets hjemmesider.
Inden den 14. januar fortsatte beboerne med at modtage non-service, når det kom til behandling af ejendomshandler, vælgerregistrering eller ægteskabstilladelser.
Ifølge en Nyheds rapport, "Amtet indgav også en nødmeddelelse i en føderal domstol om, at den ikke var i stand til at overholde vilkårene i et forlig, der involverede forhold i amtsfængslet, fordi ransomware-angrebet slog adgangen til fængslets sikkerhedskameraer ud." Manglen på at opfylde betingelserne satte fængselsanlægget i en låst status og reducerede i høj grad visse privilegier for de indsatte, herunder fritid tilbragt udenfor og telefonadgang.
Cyberangrebet påvirkede også retssystemer og tvang medarbejderne til at udarbejde sikkerhedskopieringsplaner, der midlertidigt kunne muliggøre en straffesag.
I slutningen af januar var Bernalillo stadig ikke helt kommet sig over denne hændelse.
Medmindre offentlige myndigheder tager alvorlige skridt til at forbedre deres cybersikkerhed, vil de fortsat være i risiko for invaliderende angreb. I 2020 var 113 ransomware-angreb kendt for at være blevet udført mod lokale regeringer. I 2021 indrømmede 76 kommuner også at have modtaget samme angreb.
SSL.com's Takeaway: Offentlige agenturer vil fortsat være et mål for cyberkriminelle i 2022. Hvis du er en del af et offentligt agentur, er den bedste metode til at beskytte dit websted, dine data og dine transaktioner at erhverve afprøvede og testede PKI tjenester fra fagfolk. Gå over til denne artikel at læse, hvordan vi hjælper regeringer med at styrke deres cybersikkerhed igennem PKI.
Forsvarsministeriet opfordrede til at sikre deres Internet of Battlefield Things (IOBT)
Department of Defense (DOD) har løbende udviklet det, der omtales som "Internet of Battlefield Things" (IOBT). Det er netværk af en bred vifte af militært udstyr, der er knyttet til smart teknologi. Disse omfatter slagmarkssensorer, radioer og våben.
Mens IOBT øger militærets kapaciteter, prædisponerer det dem også for en masse cybersikkerhedsproblemer. Efterhånden som flere internetforbundne enheder føjes til IOBT, øges også adgangspunkterne for hackere til at kompromittere netværket. Når klassificerede oplysninger og teknologier bliver stjålet af hackere, kan det være en situation på liv eller død. For eksempel blev det i 2018 afsløret, at fitness-trackere båret af militært personel kunne trænge igennem og lække bevægelsen af tropper, der bærer dem.
Forsvarsministeriet reagerede på den stigende bekymring med IOBT ved at oprette Comply to Connect-systemet (C2C). Som forklarede af Daniel Goure fra tænketanken Lexington Institute, C2C omfatter fire funktioner, som er: "1) identifikation og validering af nye enheder, der er forbundet til et netværk; 2) evaluere deres overensstemmelse med DoD sikkerhedspolitikker; 3) at udføre kontinuerlig overvågning af disse enheder, og; 4) automatisk adressering af enhedsproblemer og derved reducere behovet for at opretholde cyberhygiejne hos cybersikkerhedsadministratorer."
Tilsyneladende har DoD været to gange mandat af den amerikanske kongres for kraftigt at implementere C2C. Indtil videre er det kun US Navy, US Marine Corps og flere DoD-elementer, der har efterkommet ordren, hvor de fleste af afdelingens undergrene halter bagefter.
Den fortsatte vækst i Public Key Infrastructure (PKI) teknologi i den private sektor giver DoD en presserende mulighed for at samarbejde med industrieksperter, når det kommer til at sikre deres IOBT. Dette partnerskab vil gøre det muligt for DoD at udføre sine opgaver sikkert og samtidig være i stand til at tilpasse sig skiftende militære behov.
SSL.com's Takeaway: SSL.com er en allieret med regeringen, når det kommer til cybersikkerhed. Læs denne artikel for at finde ud af, hvordan vi hjælper offentlige myndigheder med at beskytte deres IoT-systemer gennem Public Key Infrastructure (PKI) Teknologi.
SSL.com annoncerer support til TLS Delegerede legitimationsoplysninger
Vi hos SSL.com annoncerer, at vi understøtter brugen af delegerede legitimationsoplysninger for alle kunder. Udstedelse af certifikater, der er delegerede legitimationsoplysninger, kan ske ved brug af API'er til automatisering ved hjælp af ACME-protokollen. Da SSL.com bruger ECDSA til at implementere PKI tilbudt til kunder, er delegerede legitimationsoplysninger udstedt af vores kunder ikke sårbare over for signaturforfalskningsangreb.
Delegerede legitimationsoplysninger er digitalt signerede datastrukturer, der består af to dele: et gyldighedsinterval og en offentlig nøgle (sammen med dens tilhørende signaturalgoritme). De tjener som en "Fuldmagt" for serverne, der angiver, at de er autoriseret til at afslutte TLS forbindelse.
Delegerede legitimationsoplysninger er designet med det formål at øge sikkerheden. Derfor har de visse træk, som defineret i IEFT-udkastet. Disse egenskaber omfatter følgende:
- Den maksimale gyldighedsperiode for en delegeret legitimation er syv (7) dage for at minimere eksponeringen, hvis den private nøgle kompromitteres.
- De delegerede legitimationsoplysninger er kryptografisk bundet til slutenhedscertifikatet. Specifikt bruges den private nøgle til slutentitetscertifikatet til at beregne signaturen af DC via en algoritme specificeret af legitimationsoplysningerne.
- Delegerede legitimationsoplysninger udstedes af klienten, hvilket er meget nemmere end at oprette et certifikat, der er underskrevet af en CA. Klientudstedte certifikater er også nyttige til at holde tjenesten i gang, selvom CA har en nedetid.
- Delegerede legitimationsoplysninger har per definition korte gyldighedsperioder. Når du indstiller levetiden for delegerede legitimationsoplysninger, skal servere tage hensyn til klientens urskævhed for at undgå afvisning af certifikater.
- Der er ingen tilbagekaldelsesmekanisme for delegerede legitimationsoplysninger. De gøres ugyldige, når gyldighedsperioden udløber.
- Delegerede legitimationsoplysninger er designet til at blive brugt i TLS 1.3 eller senere. Der er en kendt sårbarhed, hvornår TLS 1.2-servere understøtter RSA-nøgleudveksling, hvilket tillader smedning af en RSA-signatur over en vilkårlig meddelelse.
- Organisationer kan bruge eksisterende automatiske udstedelses-API'er som ACME til at levere delegerede legitimationsoplysninger.
- Delegerede legitimationsoplysninger kan ikke genbruges i flere sammenhænge.
Læs mere om emnet TLS delegerede legitimationsoplysninger ved at klikke på dette link til vores fulde artikel.
SSL.com lancerer fuldt ud eSigner CKA
I januar har SSL.com frigivet eSigner CKA – et Microsoft Crypto Next Generation (CNG) plugin, der tillader Windows-værktøjer såsom certutil.exe og signtool.exe at bruge eSigner CSC til kodesigneringsoperationer. Der er fem identificerede fordele for softwareudviklere og udgivere, når de bruger eSigner CKA.
- Fungerer som et virtuelt USB-token – Kun digitale certifikater, som Windows har tillid til, vises i certifikatlageret. Fordi eSigner CKA er et program udviklet af SSL.com (a PKI virksomhed, der er anerkendt af Windows som en Certificate Authority), er det også givet tillid til det, fordi det er i stand til at indlæse EV Code Signing-certifikatet på User Certificate Store uden problemer.
- Kan bruges direkte på Windows SignTool – EV-kodesignering med eSigner CKA er så praktisk, at du bogstaveligt talt bare skal åbne SignTool og indtaste kommandolinjen. Hvis du er mere komfortabel med at modtage engangsadgangskoder på din mobiltelefon og bruge en godkendelsesapp, kan du vælge manuel tilstand. Hvis du ønsker at signere kode til din software i et hurtigere tempo, men stadig modtage det samme høje sikkerhedsniveau, og hvis du vil have kontrol over din private nøgle til signering, kan du vælge automatiseret tilstand.
- Enkel og ren brugergrænseflade – eSigner CKAs brugervenlige platform sparer softwarevirksomheder for en masse kostbar tid og giver dem mulighed for at fokusere på egentligt udviklingsarbejde. Installer programmet, vælg din underskriftstilstand, indtast dine loginoplysninger og underskriv din kode. Alle disse trin er lagt ud for dig på ligetil vinduesskærme. Hurtig installation og endnu hurtigere udførelse.
- No Lost Tokens – eSigner CKA løser begrænsningen med at bruge fysiske tokens i signeringskoden. Med dette program behøver du ikke separate USB-tokens for at kunne udføre EV-kodesignering. eSigner CKA er i sig selv "tokenet". Når du har installeret det, skal du bare hente dit EV Code Signing-certifikat fra certifikatbutikken, og du er klar til at underskrive. Dette betyder, at du ikke behøver at bekymre dig om at forlægge dit hardware-token eller blive låst ude på grund af at glemme din adgangskode og bruge dine resterende token-adgangskodeforsøg.
- Understøtter EV-kodesignering i CI/CD-miljøer – eSigner CKA kan bruges eksternt hvor som helst og når som helst. Dette program forbedrer sikkerheden i DevOps-pipelinen ved at sikre, at softwarekomponenterne, der deles af ingeniører, som arbejder på forskellige tidsplaner og steder, er autentificeret med et SSL.com EV Code Signing-certifikat. Hackere forhindres derfor i at kompromittere din softwareopbygningsproces, fordi en ondsindet fil, som de forsøger at injicere, vil blive identificeret som ikke blevet sikkert signeret.
Download eSigner CKA ved at klikke her: eSigner CKA (Cloud Key Adapter)
Få dine SSL.com EV Code Signing-certifikater link..
Og klik på dette vejlede om hvordan man installerer og bruger eSigner CKA.