Roundup Keamanan Siber untuk Januari 2022

Rangkuman bulan ini membahas dua kasus yang mengisyaratkan kemungkinan tren yang akan dihadapi lembaga pemerintah terkait serangan siber. Sebagai perusahaan yang bertujuan untuk melindungi pemerintah dan organisasi swasta dari serangan siber, kami telah menyediakan tautan ke artikel lengkap yang membahas produk dan layanan yang kami tawarkan yang meningkatkan keamanan siber organisasi mana pun. Terakhir, kami juga membahas dua pembaruan layanan yang kami tawarkan kepada klien kami. Baca terus!

 

Pengguna dapat menandatangani kode dengan kemampuan Extended Validation Code Signing eSigner. Klik di bawah ini untuk informasi lebih lanjut.

PELAJARI LEBIH LANJUT

Kabupaten New Mexico menjadi korban ransomware pemerintah daerah pertama Januari ini

5 Januari lalu, Bernalillo County, county terbesar di New Mexico, terpaksa menutup sebagian besar gedung pemerintahnya sebagai tanggapan atas serangan ransomware. 

Banyak sistem komputer pemerintah daerah terputus dari internet untuk melindungi catatan dan file sensitif lainnya. Juga offline adalah situs county.  

Pada 14 Januari, penduduk terus menerima non-layanan ketika datang untuk memproses transaksi real estat, pendaftaran pemilih, atau surat nikah. 

Menurut laporan berita, “Kabupaten juga mengajukan pemberitahuan darurat di pengadilan federal bahwa ia tidak dapat mematuhi persyaratan penyelesaian yang melibatkan kondisi di penjara County karena serangan ransomware melumpuhkan akses ke kamera keamanan penjara.” Kegagalan untuk memenuhi persyaratan menempatkan fasilitas penjara dalam status penguncian dan sangat mengurangi hak istimewa tertentu dari narapidana termasuk waktu luang yang dihabiskan di luar dan akses telepon.

Serangan siber juga memengaruhi sistem pengadilan yang memaksa karyawan untuk menyusun rencana cadangan yang dapat memungkinkan proses pidana untuk sementara. 

Hingga akhir Januari, Bernalillo masih belum sepenuhnya pulih dari insiden ini.

Kecuali jika lembaga pemerintah mengambil langkah serius untuk meningkatkan keamanan siber mereka, mereka akan terus menghadapi risiko serangan yang melemahkan. Pada tahun 2020, 113 serangan ransomware diketahui telah dieksekusi terhadap pemerintah daerah. Pada tahun 2021, 76 kotamadya juga mengaku menerima serangan yang sama.

SSL.com's Takeaway: Instansi pemerintah akan terus menjadi target penjahat dunia maya pada tahun 2022 ini. Jika Anda adalah bagian dari agen pemerintah, metode terbaik untuk melindungi situs web, data, dan transaksi Anda adalah dengan memperoleh yang telah dicoba dan diuji PKI layanan dari profesional. Pergi ke artikel ini untuk membaca bagaimana kami membantu pemerintah memperkuat keamanan siber mereka melalui PKI.

Departemen Pertahanan diminta untuk mengamankan Internet of Battlefield Things (IOBT) mereka

Departemen Pertahanan (DOD) terus mengembangkan apa yang disebut sebagai “Internet of Battlefield Things” (IOBT). Ini adalah jaringan beragam peralatan militer yang terhubung dengan teknologi pintar. Ini termasuk sensor medan perang, radio, dan senjata. 

Sementara IOBT meningkatkan kemampuan militer, hal itu juga membuat mereka rentan terhadap banyak masalah keamanan siber. Karena semakin banyak perangkat yang terhubung ke internet ditambahkan ke IOBT, titik masuk bagi peretas untuk menyusup ke jaringan juga meningkat. Ketika informasi dan teknologi rahasia dicuri oleh peretas, ini bisa menjadi situasi hidup atau mati. Misalnya, pada tahun 2018, terungkap bahwa pelacak kebugaran yang dikenakan oleh personel militer dapat ditembus dan bocor pergerakan pasukan yang memakainya. 

Departemen Pertahanan menanggapi kekhawatiran yang meningkat dengan IOBT dengan menciptakan sistem Comply to Connect (C2C). Sebagai menjelaskan oleh Daniel Goure dari think tank Lexington Institute, C2C mencakup empat fungsi, yaitu: “1) mengidentifikasi dan memvalidasi perangkat baru yang terhubung ke jaringan; 2) mengevaluasi kepatuhan mereka terhadap kebijakan keamanan DoD; 3) melakukan pemantauan terus menerus terhadap perangkat ini, dan; 4) secara otomatis mengatasi masalah perangkat, sehingga mengurangi kebutuhan untuk menjaga kebersihan siber pada administrator keamanan siber.”

Ternyata, DoD sudah dua kali diamanatkan oleh Kongres AS untuk menerapkan C2C dengan kuat. Sejauh ini, hanya Angkatan Laut AS, Korps Marinir AS, dan beberapa elemen Departemen Pertahanan yang mematuhi perintah tersebut, dengan sebagian besar sub-cabang departemen tertinggal. 

Pertumbuhan berkelanjutan dalam Infrastruktur Kunci Publik (PKI) teknologi di sektor swasta menghadirkan peluang mendesak bagi DoD untuk bermitra dengan pakar industri dalam hal mengamankan IOBT mereka. Kemitraan ini akan memungkinkan Departemen Pertahanan untuk melakukan tugasnya dengan aman sekaligus mampu beradaptasi dengan kebutuhan militer yang terus berkembang.

Takeaway SSL.com: SSL.com adalah sekutu pemerintah dalam hal keamanan siber. Membaca artikel ini untuk mengetahui bagaimana kami membantu lembaga pemerintah melindungi sistem IoT mereka melalui Infrastruktur Kunci Publik (PKI) Teknologi.

SSL.com mengumumkan dukungan untuk TLS Kredensial yang Didelegasikan

Kami di SSL.com mengumumkan bahwa kami mendukung penggunaan kredensial yang didelegasikan untuk semua klien. Penerbitan sertifikat kemampuan kredensial yang didelegasikan dapat dilakukan melalui penggunaan API untuk otomatisasi menggunakan protokol ACME. Karena SSL.com menggunakan ECDSA untuk mengimplementasikan PKI ditawarkan kepada klien, kredensial yang didelegasikan yang dikeluarkan oleh klien kami tidak rentan terhadap serangan pemalsuan tanda tangan.

Kredensial yang Didelegasikan adalah struktur data yang ditandatangani secara digital yang terdiri dari dua bagian: interval validitas dan kunci publik (bersama dengan algoritme tanda tangan yang terkait). Mereka berfungsi sebagai "kekuatan Jaksa" untuk server yang menunjukkan bahwa mereka berwenang untuk menghentikan TLS koneksi.

Kredensial yang Didelegasikan dirancang dengan tujuan untuk meningkatkan keamanan. Oleh karena itu, mereka memiliki ciri-ciri tertentu, sebagaimana didefinisikan dalam rancangan IEFT. Ciri-ciri tersebut antara lain sebagai berikut:

  • Masa berlaku maksimum kredensial yang didelegasikan adalah tujuh (7) hari untuk meminimalkan eksposur jika kunci pribadi dikompromikan. 
  • Kredensial yang didelegasikan adalah terikat secara kriptografis ke sertifikat entitas akhir. Secara khusus, kunci pribadi dari sertifikat entitas akhir digunakan untuk menghitung tanda tangan DC melalui algoritme yang ditentukan oleh kredensial.
  • Kredensial yang didelegasikan dikeluarkan oleh klien, yang jauh lebih mudah daripada membuat sertifikat yang ditandatangani oleh CA. Sertifikat yang dikeluarkan oleh klien juga membantu menjaga layanan tetap berfungsi meskipun CA mengalami waktu henti.
  • Kredensial yang didelegasikan memiliki periode validitas yang pendek menurut definisi. Saat mengatur masa pakai kredensial yang didelegasikan, server perlu mempertimbangkan kemiringan jam klien untuk menghindari penolakan sertifikat.
  • Tidak ada mekanisme pencabutan untuk kredensial yang didelegasikan. Mereka menjadi tidak valid setelah masa berlaku berakhir.
  • Kredensial yang didelegasikan dirancang untuk digunakan dalam TLS 1.3 atau nanti. Ada kerentanan yang diketahui ketika TLS 1.2 server mendukung pertukaran kunci RSA, memungkinkan penempaan tanda tangan RSA melalui pesan arbitrer.
  • Organisasi dapat menggunakan API penerbitan otomatis yang ada seperti ACME untuk mengirimkan kredensial yang didelegasikan.
  • Kredensial yang didelegasikan tidak dapat digunakan kembali dalam berbagai konteks. 

 Baca lebih lanjut tentang topik TLS kredensial yang didelegasikan dengan mengklik ini link untuk artikel lengkap kami.

SSL.com sepenuhnya meluncurkan eSigner CKA

Januari ini, SSL.com telah merilis eSigner CKA – plugin Microsoft Crypto Next Generation (CNG) yang memungkinkan alat Windows seperti certutil.exe dan signtool.exe menggunakan eSigner CSC untuk operasi penandatanganan kode. Ada lima keuntungan yang teridentifikasi bagi pengembang dan penerbit perangkat lunak saat menggunakan eSigner CKA.

  1. Bertindak seperti token USB virtual – Hanya sertifikat digital yang dipercaya oleh Windows yang muncul di Toko Sertifikat. Karena eSigner CKA adalah program yang dikembangkan oleh SSL.com (a PKI perusahaan yang diakui oleh Windows sebagai Otoritas Sertifikat), kepercayaan juga diberikan kepadanya karena berhasil memuat sertifikat Penandatanganan Kode EV di Toko Sertifikat Pengguna tanpa masalah.  
  2. Dapat digunakan langsung di Windows SignTool – Penandatanganan kode EV dengan eSigner CKA sangat nyaman sehingga Anda hanya perlu membuka SignTool dan memasukkan baris perintah. Jika Anda lebih nyaman menerima kata sandi satu kali di ponsel Anda dan menggunakan aplikasi autentikator, Anda dapat memilih mode manual. Jika Anda ingin menandatangani kode ke perangkat lunak Anda dengan lebih cepat tetapi tetap menerima tingkat keamanan yang sama dan jika Anda ingin mengendalikan kunci pribadi Anda untuk penandatanganan, Anda dapat memilih mode otomatis.
  3. Antarmuka Pengguna yang Sederhana dan Bersih – Platform ramah pengguna eSigner CKA menghemat banyak waktu berharga bagi perusahaan perangkat lunak dan memungkinkan mereka untuk fokus pada pekerjaan pengembangan yang sebenarnya. Instal program, pilih mode penandatanganan Anda, masukkan kredensial login Anda, dan tandatangani kode Anda. Semua langkah ini disajikan untuk Anda di layar jendela langsung. Instalasi cepat dan eksekusi lebih cepat. 
  4. Tidak Ada Token yang Hilang – eSigner CKA memecahkan batasan dengan menggunakan token fisik dalam kode penandatanganan. Dengan program ini, Anda tidak perlu token USB terpisah untuk berhasil melakukan Penandatanganan Kode EV. eSigner CKA sendiri adalah "token". Setelah Anda menginstalnya, Anda hanya perlu mengambil sertifikat Penandatanganan Kode EV Anda dari toko Sertifikat dan Anda siap untuk menandatangani. Ini berarti Anda tidak perlu khawatir kehilangan token perangkat keras Anda atau terkunci karena lupa kata sandi Anda dan menggunakan percobaan ulang kata sandi token yang tersisa.   
  5. Mendukung penandatanganan kode EV di lingkungan CI/CD – eSigner CKA dapat digunakan dari jarak jauh di mana saja, kapan saja. Program ini meningkatkan keamanan saluran DevOps dengan memastikan bahwa komponen perangkat lunak yang dibagikan oleh para insinyur, yang bekerja pada jadwal dan lokasi yang berbeda, diautentikasi dengan sertifikat Penandatanganan Kode EV SSL.com. Oleh karena itu, peretas dicegah untuk mengkompromikan proses pembuatan perangkat lunak Anda karena file berbahaya yang mereka coba masukkan akan diidentifikasi sebagai tidak ditandatangani dengan aman.

Unduh eSigner CKA dengan mengklik di sini: eSigner CKA (Adaptor Kunci Cloud) 

Dapatkan sertifikat Penandatanganan Kode EV SSL.com Anda di sini

Dan klik ini membimbing tentang cara menginstal dan menggunakan eSigner CKA.

Pengguna dapat menandatangani kode dengan kemampuan Extended Validation Code Signing eSigner. Klik di bawah ini untuk informasi lebih lanjut.

PELAJARI LEBIH LANJUT

Tim Dukungan SSL

Semua Tulisan

Posting Blog Terkait

Lihat Semua Posting Blog
Facebook Linkedin Twitter Youtube Github

Apa itu SSL /TLS?

Putar Video

Berlangganan Newsletter SSL.com

Jangan lewatkan artikel dan pembaruan baru dari SSL.com

Kami sangat menantikan tanggapan Anda

Ikuti survei kami dan beri tahu kami pendapat Anda tentang pembelian terakhir Anda.

Ikuti Survei