캘리포니아의 CalPERS 및 CalSTRS를 강타한 대규모 데이터 유출: 769,000명의 퇴직자의 개인 정보가 손상됨
해커는 캘리포니아 공무원 퇴직 시스템(CalPERS)에서 약 769,000명의 퇴직자와 수혜자의 개인 정보를 손상시켰습니다. 침입은 공급업체의 사이버 보안 시스템의 결함으로 인해 발생했습니다. 미국 최대의 연금 시스템인 CalPERS는 회원의 재정적 이익을 보호하고 장기적인 보안을 유지하기 위해 즉각적인 조치를 취하고 있습니다.
미국에서 두 번째로 큰 연금 시스템인 CalSTRS도 동일한 공급업체를 통해 타협을 경험했지만 자세한 내용은 제공하지 않았습니다. 두 시스템 모두 법률에 따라 영향을 받는 개인에게 통지합니다. 해커들은 전 세계의 다양한 기업과 정부 기관을 표적으로 삼았다고 주장하며 약 100개 조직에서 개인 데이터가 도난당했다고 인정했습니다.
위반은 주 공무원, 정부 기관, 학교 시스템, 법원 및 캘리포니아 입법부를 포함한 다양한 산업의 연금 수령자에게 영향을 미칩니다. CalPERS는 영향을 받는 회원들에게 Experian을 통해 XNUMX년 동안 무료 신용 모니터링 및 신원 복원 서비스를 제공하고 있습니다.
영향을 받는 개인에 대한 느린 알림이 비판을 받았습니다. 공급업체는 6월 XNUMX일 CalPERS에 침입 사실을 공개하여 회원 계정을 보호하기 위한 신속한 조치를 촉발했습니다. 해커들은 의료 산업에서 널리 사용되는 벤더의 데이터 전송 애플리케이션의 결함을 이용했습니다.
CalPERS는 자체 시스템이 안전하고 퇴직자 자금이 안전하다고 설명합니다. 퇴직자는 의심스러운 행동이 있는지 정기적으로 자신의 계정과 신용 보고서를 모니터링해야 합니다. 신원 도용 및 사기는 당국에 신고해야 합니다.
이러한 타협을 고려할 때 CalPERS 및 CalSTRS와 같은 기관이 데이터 보안 프로세스를 개선하기 위한 효과적인 솔루션을 조사하는 것이 중요합니다.
클라이언트 인증 인증서는 인증 프로세스에 추가 보안 계층을 추가하여 이와 같은 데이터 위반을 방지할 수 있습니다.
클라이언트 인증 인증서는 시스템이나 애플리케이션에 액세스하는 클라이언트 또는 사용자의 신원을 인증하는 데 사용됩니다. 이러한 인증서를 사용하여 서버는 시스템에 액세스하려는 클라이언트가 악의적인 공격자가 아닌 정품인지 확인할 수 있습니다. 이렇게 하면 무단 액세스를 방지하고 신뢰할 수 있는 클라이언트만 서버와 통신할 수 있습니다.
이 경우 위반은 공급업체의 사이버 보안 시스템의 결함으로 인해 발생했습니다. 클라이언트 인증 인증서를 구현함으로써 공급업체는 시스템에 엄격한 인증 요구 사항을 적용할 수 있었습니다. 이로 인해 해커가 취약성을 악용하고 데이터에 대한 무단 액세스 권한을 얻는 것이 더 어려워졌을 것입니다.
SSL.com 클라이언트 인증 인증서로 시작하세요!
Vincera Institute, 랜섬웨어 공격으로 인한 환자 데이터 유출 가능성에 직면: 정보 보호를 위한 긴급 조치
유명한 필라델피아 의료 센터인 Vincera Institute는 최근 랜섬웨어 공격에 대한 경고를 발표했습니다. 현재 환자 데이터에 대한 불법 액세스나 악용의 징후는 발견되지 않았지만 공격은 개인 및 의료 정보를 위태롭게 할 가능성이 있습니다. 연구소는 시스템 보안과 환자 데이터 보호에 중점을 두고 사건을 억제하고 완화하기 위해 사이버 보안 전문가의 도움을 받아 신속하게 조치를 취했습니다. 개선된 보안 프로세스, 엄격한 조사 및 청소 노력, 당국과의 협력이 조치 중 하나입니다. 영향을 받은 개인은 이상한 활동이 있는지 금융 계좌 및 보험 명세서를 확인하고 피싱 활동을 경계하고 추가 지원을 위해 연구소의 지원 팀에 연락하라는 요청을 받습니다.Vincera Institute와 같은 의료 기관은 배포를 통해 이점을 얻을 수 있습니다. 보안 이메일 인증서 데이터 보안을 개선하고 잠재적인 공격으로부터 방어합니다. 또한 ~으로 알려진 S/MIME SSL.com의 인증서, 보안 이메일 인증서는 이메일 통신을 위한 강력한 암호화 및 인증을 제공하여 중요한 환자 데이터의 보안과 무결성을 보호합니다. 의료 기업은 이러한 인증서를 채택하여 이메일 통신 채널을 강화하고 원치 않는 액세스 또는 환자 정보 가로채기의 위험을 줄일 수 있습니다.
의료 시설은 보안 이메일 인증서를 사용하여 환자 개인 정보를 보호하고 HIPAA와 같은 업계 규칙을 준수하면서 안전하고 신뢰할 수 있는 통신 프레임워크를 만들 수 있습니다. 의료 종사자는 중요한 이메일을 암호화하여 잠재적 위반 및 무단 액세스로부터 보호하여 환자 기록, 테스트 결과 및 기타 기밀 정보를 자신 있게 전송할 수 있습니다.
SSL.com의 보안 이메일 인증서를 사용하여 중요한 환자 데이터를 보호하고 HIPAA 준수를 유지하며 조직의 사이버 보안 방어를 강화하십시오.
여기에서 SSL.com 보안 이메일 인증서를 받으세요.
스텔스 USB 스파이 활동: WispRider 멀웨어, 글로벌 사이버 침공 선봉
중국 정부가 후원하는 APT(Advanced Persistent Threat) 갱단인 Mustang Panda는 WispRider라는 신종 맬웨어 버전을 USB 스틱을 통해 전 세계에 퍼뜨리고 있습니다. 유럽의 한 의료 시설이 의도치 않게 감염된 USB 드라이브를 시스템에 삽입하여 확산이 확산되면서 이 위협의 전 세계적 범위가 드러났습니다. WispRider는 USB 장치를 통해 자가 홍보할 수 있기 때문에 에어갭 시스템도 파괴할 수 있는 강력한 감염 매개체입니다.
고도로 발전된 백도어 페이로드인 WispRider는 무섭도록 정교합니다. 정상적인 USB 썸 드라이브가 감염된 시스템에 연결될 때 바이러스 백신 소프트웨어의 탐지를 피하고 파일을 변경할 수 있는 새로운 특성으로 향상되었습니다. 이 수정은 썸 드라이브에 숨겨진 폴더를 생성하여 사용자가 클릭할 가능성이 가장 높은 일반 파일로 감염을 마스킹합니다.
맬웨어를 배포하는 이 창의적이고 눈에 거슬리지 않는 기술은 특히 USB 스틱의 광범위한 사용을 고려할 때 문제가 됩니다. 에어갭 컴퓨터에 침투할 수 있는 이 맬웨어의 능력은 보안 수준이 높은 상황에 진입할 수 있는 능력을 암시하여 우려를 더할 뿐입니다. 특정 바이러스 백신 솔루션의 효과적인 우회와 보안 소프트웨어 구성 요소의 악용은 강력하고 진보된 방어 메커니즘이 절실히 필요함을 강조합니다.
클라우드 서비스를 통해 사용자는 인터넷 연결이 있는 모든 장치에서 인증 자격 증명 및 파일에 액세스할 수 있습니다. 이러한 유연성 덕분에 원활한 액세스가 가능하고 물리적 USB 토큰을 휴대할 필요가 없습니다.
클라우드 서비스는 추가 물리적 토큰 없이도 많은 수의 사용자를 수용하도록 쉽게 확장할 수 있습니다. 이는 사용자 기반이 증가하거나 분산된 인력에 대한 액세스를 관리해야 하는 조직에 특히 유용합니다. USB 토큰을 배포하거나 수집할 필요 없이 중앙에서 사용자를 추가하거나 제거할 수 있습니다.
셋째, 클라우드 서비스 공급자는 사용자 데이터를 보호하기 위해 보안 조치에 많은 투자를 합니다. 중요한 정보를 보호하기 위해 암호화 및 기타 고급 보안 메커니즘을 사용합니다. 반면에 USB 토큰은 적절하게 보호되지 않는 경우 물리적 도난, 분실 또는 무단 액세스에 취약할 수 있습니다.
위에서 언급한 클라우드 서비스의 장점은 SSL.com의 eSigner 클라우드 코드 서명 서비스. eSigner를 사용하면 USB 토큰, HSM 또는 기타 특수 하드웨어 없이도 어디에서나 소프트웨어 코드에 전 세계적으로 신뢰할 수 있는 디지털 서명 및 타임스탬프를 편리하게 추가할 수 있습니다. eSigner에 등록된 코드 서명 인증서는 개발자를 인증하고 소프트웨어 코드의 무결성을 검증함으로써 WispRider와 같은 위험으로부터 보호할 수 있으며 최종 사용자 경험에 대한 확신을 효과적으로 추가합니다. 개발자는 코드에 디지털 봉인을 적용하여 서명된 이후 코드가 변경되지 않았음을 사용자에게 확신시킬 수 있습니다. 이는 WispRider와 같이 무해해 보이는 애플리케이션 내에 묻힌 위험한 페이로드를 방지하는 데 도움이 될 수 있습니다.
악의적인 행위자가 시스템과 데이터의 보안을 위협하지 않도록 하십시오. SSL.com의 eSigner 등록 코드 서명 인증서를 사용하면 소프트웨어의 무결성을 보장할 수 있습니다.
비디오 기반 암호화 키 도용: 해커가 멀리서 파워 LED를 악용
연구원들은 전원 LED의 비디오 녹화를 사용하여 스마트 카드와 휴대폰에 포함된 비밀 암호화 키를 획득하는 새로운 공격 방법을 개발했습니다. 이 공격은 암호화 작업을 수행하는 동안 장치에서 누출되는 물리적 효과인 사이드 채널을 이용합니다. 공격자는 전력 소비, 소리, 전자기 방출 또는 작동 시간과 같은 특성을 모니터링하여 비밀 키를 복구할 수 있는 충분한 정보를 얻을 수 있습니다. 새로운 공격 방식은 보안 카메라나 iPhone을 사용하여 카드 리더나 스마트폰이 활성화될 때 표시되는 전원 LED를 기록합니다. 비디오 기반 공격은 특수 장비나 대상 장치에 대한 물리적 근접성이 필요하지 않기 때문에 사이드 채널을 악용하는 비간섭적이고 원격적인 방법입니다.이러한 공격을 방지하려면 사물 인터넷(IoT) 장치를 보호해야 합니다. SSL /TLS 인증 클라이언트와 서버 간에 암호화된 보안 연결을 설정하는 데 사용할 수 있습니다. 스마트 카드나 휴대폰과 서버 간에 전송되는 데이터를 암호화함으로써 전력 소비나 전자파 방출과 같은 부채널 모니터링에 의존하는 공격 방식이 무력화됩니다. 암호화는 데이터가 보호되고 공격자가 쉽게 가로채거나 해독할 수 없도록 합니다.
클라이언트 장치는 서버에 연결할 때 서버의 SSL/TLS 자격증. 이 인증 프로세스는 공격자가 클라이언트와 서버 간의 통신을 가로채고 합법적인 서버인 것처럼 가장하는 중간자 공격을 방지하는 데 도움이 됩니다. 서버가 정품이고 신뢰할 수 있는지 확인하면 비디오 기반 공격 접근 방식의 희생양이 될 위험이 줄어듭니다.
SSL 사용/TLS 발전하는 위협으로부터 IoT 장치의 보안을 강화하기 위한 인증서.
SSL.com 공지사항
직원을 위한 이메일 서명 및 암호화 인증서 검증 및 발급 자동화
대량 등록 지금 사용 가능 개인ID+조직 S/MIME 인증서 (IV+OV라고도 함 S/MIME), 그리고 NAESB 인증서 SSL.com 대량 주문 도구를 통해. 개인ID+단체 일괄등록 S/MIME NAESB 인증서에는 다음과 같은 추가 요구 사항이 있습니다. Enterprise PKI (EPKI) 합의. 전자PKI 계약을 통해 조직의 단일 공인 대표가 다른 구성원을 위해 이 두 가지 유형의 인증서를 대량으로 주문, 검증, 발급 및 취소할 수 있으므로 조직의 데이터 및 통신 시스템을 보다 빠르게 보호할 수 있습니다.
