Denne månedens roundup diskuterer to saker som antyder sannsynlige trender som offentlige etater vil møte når det gjelder nettangrep. Som et selskap som har som mål å beskytte myndigheter og private organisasjoner mot nettangrep, har vi gitt lenker til fullstendige artikler som diskuterer produktene og tjenestene vi tilbyr som styrker enhver organisasjons nettsikkerhet. Til slutt diskuterer vi også to tjenesteoppdateringer som vi tilbyr til våre kunder. Les videre!
New Mexico fylke blir det første lokale myndighetenes løsepenge-offer i januar
Sist 5. januar ble Bernalillo County, det største fylket i New Mexico, tvunget til å stenge de fleste av sine regjeringsbygninger som svar på et løsepengeprogram.
Mange av fylkeskommunens datasystemer ble koblet fra internett for å beskytte arkiver og andre sensitive filer. Også offline var fylkets nettsider.
Innen 14. januar fortsatte innbyggerne å motta ikke-service når det kom til behandling av eiendomstransaksjoner, velgerregistrering eller ekteskapslisenser.
Ifølge en nyhetsrapport, «Fylket sendte også inn en nødmelding i føderal domstol om at den ikke var i stand til å overholde vilkårene i et forlik som involverer forhold ved fylkesfengselet fordi løsepengevareangrepet slo ut tilgangen til fengselets sikkerhetskameraer.» Unnlatelsen av å oppfylle vilkårene satte fengselsanlegget i en låst status og reduserte visse privilegier til de innsatte betydelig, inkludert ledig tid ute og telefontilgang.
Cyberangrepet påvirket også rettssystemer og tvang de ansatte til å utarbeide sikkerhetskopieringsplaner som midlertidig kunne muliggjøre straffesak.
Per slutten av januar har Bernalillo fortsatt ikke kommet seg helt etter denne hendelsen.
Med mindre offentlige etater tar alvorlige skritt for å forbedre cybersikkerheten, vil de fortsatt være i fare for ødeleggende angrep. I 2020 var 113 løsepengevareangrep kjent for å ha blitt utført mot lokale myndigheter. I 2021 innrømmet også 76 kommuner å ha mottatt samme angrep.
SSL.coms takeaway: Offentlige etater vil fortsette å være et mål for nettkriminelle i 2022. Hvis du er en del av et offentlig byrå, er den beste metoden for å beskytte nettstedet ditt, dataene og transaksjonene å anskaffe utprøvde og testede PKI tjenester fra fagfolk. Gå over til denne artikkelen for å lese hvordan vi hjelper regjeringer med å styrke deres cybersikkerhet gjennom PKI.
Forsvarsdepartementet oppfordret til å sikre deres Internet of Battlefield Things (IOBT)
Forsvarsdepartementet (DOD) har kontinuerlig utviklet det som omtales som "Internet of Battlefield Things" (IOBT). Dette er nettverk av et bredt spekter av militært utstyr som er knyttet til smart teknologi. Disse inkluderer slagmarksensorer, radioer og våpen.
Mens IOBT øker militærets kapasiteter, disponerer det dem også for mange cybersikkerhetsproblemer. Etter hvert som flere Internett-tilkoblede enheter legges til IOBT, øker også inngangspunktene for hackere for å kompromittere nettverket. Når klassifisert informasjon og teknologi blir stjålet av hackere, kan dette være en situasjon på liv eller død. I 2018 ble det for eksempel avslørt at treningssporere båret av militært personell kunne penetreres og lekke bevegelsen til tropper som bærer dem.
Forsvarsdepartementet svarte på den økende bekymringen med IOBT ved å opprette Comply to Connect (C2C)-systemet. Som forklarte av Daniel Goure fra tenketanken Lexington Institute, C2C inkluderer fire funksjoner, som er: «1) identifisere og validere nye enheter som er koblet til et nettverk; 2) evaluere deres samsvar med DoD sikkerhetspolicyer; 3) å utføre kontinuerlig overvåking av disse enhetene, og; 4) automatisk adressering av enhetsproblemer, og dermed redusere behovet for å opprettholde cyberhygiene hos cybersikkerhetsadministratorer.
Tilsynelatende har DoD vært to ganger mandat av den amerikanske kongressen for å implementere C2C sterkt. Så langt er det bare US Navy, US Marine Corps og flere DoD-elementer som har fulgt ordren, med de fleste av avdelingens undergrener som henger etter.
Den kontinuerlige veksten i Public Key Infrastructure (PKI) teknologi i privat sektor gir en umiddelbar mulighet for DoD til å samarbeide med industrieksperter når det gjelder å sikre deres IOBT. Dette partnerskapet vil gjøre det mulig for DoD å utføre sine oppgaver på en trygg måte, samtidig som de er i stand til å tilpasse seg skiftende militære behov.
SSL.coms Takeaway: SSL.com er en alliert av myndighetene når det kommer til cybersikkerhet. Lese denne artikkelen for å finne ut hvordan vi hjelper offentlige etater med å beskytte sine IoT-systemer gjennom Public Key Infrastructure (PKI) Teknologi.
SSL.com kunngjør støtte for TLS Delegerte legitimasjon
Vi på SSL.com kunngjør at vi støtter bruken av delegert legitimasjon for alle klienter. Utstedelse av delegerte legitimasjonskompatible sertifikater kan gjøres ved bruk av APIer for automatisering ved bruk av ACME-protokollen. Siden SSL.com bruker ECDSA for å implementere PKI tilbudt til kunder, er delegert legitimasjon utstedt av våre kunder ikke sårbare for signaturforfalskningsangrep.
Delegert legitimasjon er digitalt signerte datastrukturer som består av to deler: et gyldighetsintervall og en offentlig nøkkel (sammen med tilhørende signaturalgoritme). De fungerer som en "fullmakt" for serverne som indikerer at de er autorisert til å avslutte TLS tilkobling.
Delegert legitimasjon er utformet med det formål å øke sikkerheten. Derfor har de visse egenskaper, som definert i IEFT-utkastet. Disse egenskapene inkluderer følgende:
- Den maksimale gyldighetsperioden for en delegert legitimasjon er syv (7) dager for å minimere eksponeringen hvis den private nøkkelen kompromitteres.
- Den delegerte legitimasjonen er kryptografisk bundet til endeenhetssertifikatet. Nærmere bestemt brukes den private nøkkelen til endeenhetssertifikatet til å beregne signaturen til DC via en algoritme spesifisert av legitimasjonen.
- Delegert legitimasjon utstedes av klienten, noe som er mye enklere enn å lage et sertifikat signert av en CA. Klientutstedte sertifikater er også nyttige for å holde tjenesten i gang selv om CA har nedetid.
- Delegert legitimasjon har per definisjon korte gyldighetsperioder. Når du angir levetiden til delegert legitimasjon, må servere ta hensyn til klientens klokkeskjevhet for å unngå avvisning av sertifikater.
- Det er ingen tilbakekallingsmekanisme for delegert legitimasjon. De blir gjort ugyldige når gyldighetsperioden utløper.
- Delegert legitimasjon er designet for å brukes i TLS 1.3 eller senere. Det er en kjent sårbarhet når TLS 1.2-servere støtter RSA-nøkkelutveksling, som tillater smiing av en RSA-signatur over en vilkårlig melding.
- Organisasjoner kan bruke eksisterende automatiserte utstedelses-APIer som ACME for å levere delegert legitimasjon.
- Delegert legitimasjon kan ikke gjenbrukes i flere sammenhenger.
Les mer om temaet TLS delegert legitimasjon ved å klikke på denne link til hele artikkelen vår.
SSL.com lanserer eSigner CKA fullt ut
I januar har SSL.com gitt ut eSigner CKA – en Microsoft Crypto Next Generation (CNG) plugin som lar Windows-verktøy som certutil.exe og signtool.exe bruke eSigner CSC for kodesigneringsoperasjoner. Det er fem identifiserte fordeler for programvareutviklere og utgivere ved bruk av eSigner CKA.
- Fungerer som et virtuelt USB-token – Bare digitale sertifikater som er klarert av Windows, vises i sertifikatlageret. Fordi eSigner CKA er et program utviklet av SSL.com (a PKI selskap som er anerkjent av Windows som en sertifiseringsinstans), er det også gitt tillit til det fordi det er i stand til å laste EV Code Signing-sertifikatet på brukersertifikatlageret uten problemer.
- Kan brukes direkte på Windows SignTool – EV-kodesignering med eSigner CKA er så praktisk at du bokstavelig talt bare trenger å åpne SignTool og skrive inn kommandolinjen. Hvis du er mer komfortabel med å motta engangspassord på mobiltelefonen og bruke en autentiseringsapp, kan du velge manuell modus. Hvis du ønsker å signere kode til programvaren i et raskere tempo, men fortsatt motta det samme høye sikkerhetsnivået, og hvis du vil ha kontroll over din private nøkkel for signering, kan du velge automatisert modus.
- Enkelt og rent brukergrensesnitt – eSigner CKAs brukervennlige plattform sparer programvareselskaper for mye verdifull tid og lar dem fokusere på faktisk utviklingsarbeid. Installer programmet, velg signeringsmodus, skriv inn påloggingsinformasjonen din og signer koden din. Alle disse trinnene er lagt ut for deg på enkle vindusskjermer. Rask installasjon og enda raskere utførelse.
- No Lost Tokens – eSigner CKA løser begrensningen med å bruke fysiske tokens i signeringskoden. Med dette programmet trenger du ikke separate USB-tokens for å kunne utføre EV-kodesignering. eSigner CKA er i seg selv "tokenet". Når du har installert det, trenger du bare å hente EV Code Signing-sertifikatet fra sertifikatbutikken, så er du klar til å signere. Dette betyr at du ikke trenger å bekymre deg for å feilplassere maskinvaretokenet eller bli utestengt på grunn av at du glemmer passordet ditt og bruker gjenværende forsøk på gjenværende tokenpassord.
- Støtter EV-kodesignering i CI/CD-miljøer – eSigner CKA kan brukes eksternt hvor som helst, når som helst. Dette programmet forbedrer sikkerheten til DevOps-pipelinen ved å sikre at programvarekomponentene som deles av ingeniører, som jobber på forskjellige tidsplaner og steder, er autentisert med et SSL.com EV Code Signing-sertifikat. Hackere forhindres derfor i å kompromittere programvarebyggingsprosessen din fordi en ondsinnet fil som de forsøker å injisere vil bli identifisert som ikke sikkert signert.
Last ned eSigner CKA ved å klikke her: eSigner CKA (Cloud Key Adapter)
Få SSL.com EV Code Signing-sertifikater her..
Og klikk på denne veilede om hvordan du installerer og bruker eSigner CKA.
