今月のまとめでは、サイバー攻撃に関して政府機関が直面する可能性のある傾向を示唆するXNUMXつのケースについて説明します。 政府や民間組織をサイバー攻撃から保護することを目的とした企業として、組織のサイバーセキュリティを強化するために提供する製品やサービスについて説明した記事全体へのリンクを提供しています。 最後に、クライアントに提供するXNUMXつのサービスアップデートについても説明します。 読む!
ニューメキシコ郡は今年XNUMX月に最初の地方自治体のランサムウェアの犠牲者になります
昨年5月XNUMX日、ニューメキシコ州最大の郡であるベルナリージョ郡は、ランサムウェアの攻撃を受けて、ほとんどの政府の建物を閉鎖することを余儀なくされました。
郡政府のコンピュータシステムの多くは、記録やその他の機密ファイルを保護するためにインターネットから切断されていました。 郡のウェブサイトもオフラインでした。
14月XNUMX日までに、居住者は、不動産取引、有権者登録、または結婚許可証の処理に関して、引き続き非サービスを受けました。
によると、 報道、 "郡 また、ランサムウェア攻撃が刑務所の防犯カメラへのアクセスをノックアウトしたため、郡刑務所の条件を含む和解条件を遵守できなかったという緊急通知を連邦裁判所に提出しました。」 条件を満たさなかったため、刑務所施設は封鎖状態になり、外で過ごした自由時間や電話へのアクセスなど、受刑者の特定の特権が大幅に低下しました。
サイバー攻撃はまた、裁判所のシステムに影響を及ぼし、一時的に刑事手続きを可能にする可能性のあるバックアップ計画を従業員に実行させました。
XNUMX月末現在、ベルナリージョはこの事件からまだ完全には回復していません。
政府機関がサイバーセキュリティを改善するために真剣な措置を講じない限り、政府機関は衰弱させる攻撃のリスクにさらされ続けるでしょう。 2020年には、113件のランサムウェア攻撃が地方自治体に対して実行されたことが知られていました。 2021年には、76の自治体も同じ攻撃を受けたことを認めました。
SSL.comの要点:政府機関は、この2022年も引き続きサイバー犯罪者の標的になります。政府機関の一部である場合、Webサイト、データ、およびトランザクションを保護するための最良の方法は、試行錯誤されたテストを取得することです。 PKI 専門家からのサービス。 に向かいます この記事 政府がサイバーセキュリティを強化するのをどのように支援するかを読む PKI.
国防総省は、彼らの戦場のもののインターネット(IOBT)を保護するよう求めました
国防総省(DOD)は、「戦場のもののインターネット」(IOBT)と呼ばれるものを継続的に開発してきました。 これらは、スマートテクノロジーにリンクされているさまざまな軍事機器のネットワークです。 これらには、戦場のセンサー、ラジオ、武器が含まれます。
IOBTは軍隊の能力を向上させる一方で、多くのサイバーセキュリティ問題を引き起こしやすくします。 インターネットに接続されたデバイスがIOBTに追加されると、ハッカーがネットワークを侵害するためのエントリポイントも増加します。 機密情報や技術がハッカーに盗まれた場合、これは生死にかかわる状況になる可能性があります。 たとえば、2018年には、軍人が着用しているフィットネストラッカーが侵入され、 漏れ それらを身に着けている軍隊の動き。
国防総省は、Comply to Connect(C2C)システムを作成することにより、IOBTに対する懸念の高まりに対応しました。 として 説明 シンクタンクLexingtonInstituteのDanielGoureによると、C2Cには次の1つの機能が含まれています。「2)ネットワークに接続されている新しいデバイスの識別と検証。 3)DoDセキュリティポリシーへの準拠を評価します。 4)これらのデバイスの継続的な監視を実施する。 XNUMX)デバイスの問題に自動的に対処することで、サイバーセキュリティ管理者のサイバー衛生を維持する必要性を減らします。」
どうやら、国防総省はXNUMX回されています 強制された C2Cを強力に実装するための米国議会による。 これまでのところ、米海軍、米海兵隊、およびいくつかの国防総省の要素のみが命令に準拠しており、部門のサブブランチのほとんどが遅れています。
公開鍵インフラストラクチャの継続的な成長(PKI)民間部門の技術は、IOBTの保護に関して、国防総省が業界の専門家と提携する緊急の機会を提供します。 このパートナーシップにより、国防総省は進化する軍事ニーズに適応しながら、その任務を安全に遂行できるようになります。
SSL.comの要点:SSL.comは、サイバーセキュリティに関しては政府の同盟国です。 読む この記事 政府機関が公開鍵インフラストラクチャを通じてIoTシステムを保護するのをどのように支援するかを知るため(PKI)技術。
SSL.comがのサポートを発表 TLS 委任された資格情報
SSL.comは、すべてのクライアントに対して委任されたクレデンシャルの使用をサポートすることを発表しています。 委任された資格情報に対応した証明書の発行は、ACMEプロトコルを使用した自動化のためのAPIを使用して行うことができます。 SSL.comはECDSAを利用して、 PKI クライアントに提供される、クライアントによって発行された委任された資格情報は、署名偽造攻撃に対して脆弱ではありません。
委任されたクレデンシャルは、有効期間と公開鍵(および関連する署名アルゴリズム)のXNUMXつの部分で構成されるデジタル署名されたデータ構造です。 彼らはとして機能します 「委任状 サーバーの終了が許可されていることを示すサーバーの場合 TLS 接続。
委任された資格情報は、セキュリティを強化することを目的として設計されています。 したがって、IEFTドラフトで定義されているように、それらは特定の特性を持っています。 これらの特性には、次のものが含まれます。
- 委任されたクレデンシャルの最大有効期間は次のとおりです。 7日 秘密鍵が危険にさらされた場合の露出を最小限に抑えるため。
- 委任されたクレデンシャルは 暗号的にバインドされています エンドエンティティ証明書に。 具体的には、エンドエンティティ証明書の秘密鍵を使用して、クレデンシャルで指定されたアルゴリズムを介してDCの署名を計算します。
- 委任されたクレデンシャルはクライアントによって発行されます。これは、CAによって署名された証明書を作成するよりもはるかに簡単です。 クライアントが発行した証明書は、CAにダウンタイムが発生した場合でもサービスを機能させ続けるのにも役立ちます。
- 委任された資格情報は、定義上、有効期間が短いです。 委任された資格情報の有効期間を設定する場合、サーバーは、証明書の拒否を回避するために、クライアントのクロックスキューを考慮する必要があります。
- 委任された資格情報の失効メカニズムはありません。 有効期間が終了すると、無効になります。
- 委任されたクレデンシャルは、 TLS 1.3 またはそれ以降。 既知の脆弱性があります TLS 1.2サーバーはRSAキー交換をサポートしており、任意のメッセージに対してRSA署名を偽造できます。
- 組織は、委任された資格情報を配信するためにACMEなどの既存の自動発行APIを使用できます。
- 委任された資格情報は、複数のコンテキストで再利用することはできません。
のトピックについてもっと読む TLS これをクリックして委任されたクレデンシャル 私たちの完全な記事に。
SSL.comはeSignerCKAを完全に起動します
今年XNUMX月、SSL.comはeSigner CKAをリリースしました。これは、certutil.exeやsigntool.exeなどのWindowsツールがコード署名操作にeSignerCSCを使用できるようにするMicrosoftCrypto Next Generation(CNG)プラグインです。 eSigner CKAを使用する場合、ソフトウェア開発者と発行者にとってXNUMXつの特定された利点があります。
- 仮想USBトークンのように機能します –Windowsによって信頼されているデジタル証明書のみが証明書ストアに表示されます。 eSigner CKAはSSL.comによって開発されたプログラムであるため( PKI Windows によって認証局として認識されている会社)、ユーザー証明書ストアに EV コード署名証明書を問題なく正常にロードできるため、信頼も提供されます。
- Windows SignToolで直接使用できます– eSigner CKAを使用したEVコード署名は非常に便利なので、文字通りSignToolを開いてコマンドラインを入力するだけです。 携帯電話でワンタイムパスワードを受信し、認証システムアプリを使用することに慣れている場合は、手動モードを選択できます。 より速いペースでソフトウェアにコードを署名したいが、それでも同じ高レベルのセキュリティを受け取りたい場合、および署名用の秘密鍵を制御したい場合は、自動モードを選択できます。
- シンプルでクリーンなユーザーインターフェイス– eSigner CKAのユーザーフレンドリーなプラットフォームは、ソフトウェア会社の貴重な時間を大幅に節約し、実際の開発作業に集中できるようにします。 プログラムをインストールし、署名モードを選択し、ログイン資格情報を入力して、コードに署名します。 これらの手順はすべて、わかりやすいウィンドウ画面に表示されます。 迅速なインストールとさらに迅速な実行。
- トークンの紛失なし – eSigner CKA は、コードの署名に物理トークンを使用することで制限を解決します。 このプログラムを使用すると、EV コード署名を正常に実行するために個別の USB トークンは必要ありません。 eSigner CKA 自体が「トークン」です。 インストールが完了したら、証明書ストアから EV コード署名証明書を取得するだけで、署名することができます。 これは、ハードウェア トークンを置き忘れたり、パスワードを忘れたり、残りのトークン パスワードの再試行が消費されたりしてロックアウトされることを心配する必要がないことを意味します。
- CI/CD 環境での EV コード署名をサポート – eSigner CKA はいつでもどこでもリモートで使用できます。 このプログラムは、さまざまなスケジュールと場所で作業しているエンジニアが共有するソフトウェア コンポーネントが SSL.com EV コード署名証明書で認証されるようにすることで、DevOps パイプラインのセキュリティを強化します。 したがって、ハッカーが挿入しようとする悪意のあるファイルは安全に署名されていないと識別されるため、ハッカーはソフトウェア ビルド プロセスを危険にさらすことができません。
ここをクリックしてeSignerCKAをダウンロードします。 eSigner CKA(クラウドキーアダプター)
SSL.com EV コード署名証明書を取得する こちら.
そしてこれをクリック ガイド eSignerCKAのインストール方法と使用方法について。
