Podsumowanie tego miesiąca omawia dwa przypadki wskazujące na prawdopodobne trendy, z jakimi zmierzą się agencje rządowe, jeśli chodzi o cyberataki. Jako firma, której celem jest ochrona rządów i organizacji prywatnych przed cyberatakami, udostępniliśmy linki do pełnych artykułów omawiających oferowane przez nas produkty i usługi, które wzmacniają cyberbezpieczeństwo każdej organizacji. Na koniec omówimy również dwie aktualizacje usług, które oferujemy naszym klientom. Czytaj!
Hrabstwo Nowy Meksyk staje się pierwszą ofiarą oprogramowania ransomware władz lokalnych w styczniu tego roku
5 stycznia hrabstwo Bernalillo, największe hrabstwo w Nowym Meksyku, zostało zmuszone do zamknięcia większości budynków rządowych w odpowiedzi na atak ransomware.
Wiele systemów komputerowych rządu hrabstwa zostało odłączonych od Internetu w celu ochrony zapisów i innych poufnych plików. Niedostępne były również strony internetowe hrabstwa.
Do 14 stycznia mieszkańcy nadal otrzymywali zakaz świadczenia usług, jeśli chodzi o przetwarzanie transakcji dotyczących nieruchomości, rejestrację wyborców lub licencje na zawarcie małżeństwa.
Według Reportaż, „powiat” złożył również zawiadomienie w trybie pilnym w sądzie federalnym, że nie był w stanie spełnić warunków ugody dotyczącej warunków w więzieniu hrabstwa, ponieważ atak ransomware uniemożliwił dostęp do kamer bezpieczeństwa więzienia. Niespełnienie warunków spowodowało zamknięcie więzienia w więzieniu i znacznie ograniczyło niektóre przywileje więźniów, w tym czas wolny spędzany na zewnątrz i dostęp do telefonu.
Cyberatak dotknął również systemy sądowe, zmuszając pracowników do opracowania planów awaryjnych, które mogłyby tymczasowo umożliwić postępowanie karne.
Do końca stycznia Bernalillo wciąż nie doszedł do siebie po tym incydencie.
O ile agencje rządowe nie podejmą poważnych kroków w celu poprawy swojego cyberbezpieczeństwa, nadal będą narażone na wyniszczające ataki. W 2020 roku przeprowadzono 113 ataków ransomware na samorządy lokalne. W 2021 r. 76 gmin również przyznało się do tego samego ataku.
Na wynos SSL.com: agencje rządowe będą nadal celem cyberprzestępców w 2022 roku. Jeśli jesteś częścią agencji rządowej, najlepszą metodą ochrony swojej witryny, danych i transakcji jest pozyskiwanie wypróbowanych i przetestowanych PKI usługi profesjonalistów. Udaj się do ten artykuł aby przeczytać, jak pomagamy rządom wzmocnić ich cyberbezpieczeństwo poprzez PKI.
Departament Obrony wezwał do zabezpieczenia swojego Internetu Rzeczy Battlefield (IOBT)
Departament Obrony (DOD) nieustannie rozwija coś, co określa się mianem „Internetu rzeczy z pola bitwy” (IOBT). Są to sieci szerokiej gamy sprzętu wojskowego, które są powiązane z inteligentną technologią. Należą do nich czujniki pola bitwy, radia i broń.
Chociaż IOBT zwiększa możliwości wojska, predysponuje je również do wielu problemów z cyberbezpieczeństwem. W miarę dodawania do IOBT większej liczby urządzeń podłączonych do Internetu, zwiększa się również liczba punktów wejścia hakerów, którzy mogą włamać się do sieci. Gdy hakerzy ukradną niejawne informacje i technologie, może to być sytuacja życia lub śmierci. Na przykład w 2018 roku ujawniono, że trackery fitness noszone przez personel wojskowy mogą zostać przebite i przeciec ruch żołnierzy noszących je.
Departament Obrony odpowiedział na rosnące obawy związane z IOBT, tworząc system Comply to Connect (C2C). Jak wyjaśnione Daniela Goure'a z think tanku Lexington Institute, C2C obejmuje cztery funkcje, którymi są: „1) identyfikacja i walidacja nowych urządzeń podłączonych do sieci; 2) ocena ich zgodności z politykami bezpieczeństwa DoD; 3) prowadzenie stałego monitoringu tych urządzeń oraz; 4) automatyczne rozwiązywanie problemów z urządzeniami, zmniejszając tym samym potrzebę utrzymywania cyberhigieny przez administratorów cyberbezpieczeństwa.”
Najwyraźniej DoD był dwukrotnie mandat przez Kongres USA do zdecydowanego wdrożenia C2C. Jak dotąd tylko US Navy, US Marine Corps i kilka jednostek Departamentu Obrony wykonało rozkaz, a większość pododdziałów departamentu pozostaje w tyle.
Ciągły rozwój Infrastruktury Klucza Publicznego (PKI) technologia w sektorze prywatnym stanowi dla DoD pilną okazję do nawiązania współpracy z ekspertami z branży, jeśli chodzi o zabezpieczenie ich IOBT. To partnerstwo umożliwi DoD bezpieczne wykonywanie swoich obowiązków, a jednocześnie będzie w stanie dostosować się do zmieniających się potrzeb wojskowych.
Na wynos SSL.com: SSL.com jest sojusznikiem rządu, jeśli chodzi o cyberbezpieczeństwo. Czytać ten artykuł aby dowiedzieć się, jak pomagamy agencjom rządowym chronić ich systemy IoT za pomocą infrastruktury klucza publicznego (PKI) Technologii.
SSL.com ogłasza wsparcie dla TLS Delegowane poświadczenia
W SSL.com ogłaszamy, że wspieramy korzystanie z delegowanych danych uwierzytelniających dla wszystkich klientów. Wydawanie certyfikatów obsługujących delegowane dane uwierzytelniające może odbywać się za pomocą interfejsów API do automatyzacji przy użyciu protokołu ACME. Ponieważ SSL.com wykorzystuje ECDSA do wdrożenia PKI oferowane klientom, delegowane dane uwierzytelniające wydane przez naszych klientów nie są podatne na ataki polegające na fałszowaniu podpisów.
Delegowane poświadczenia to podpisane cyfrowo struktury danych składające się z dwóch części: przedziału ważności i klucza publicznego (wraz z powiązanym algorytmem podpisu). Służą jako "pełnomocnictwo" dla serwerów wskazując, że są one upoważnione do wypowiedzenia TLS połączenia.
Poświadczenia delegowane zostały zaprojektowane w celu zwiększenia bezpieczeństwa. W związku z tym posiadają pewne cechy, określone w projekcie IEFT. Cechy te obejmują:
- Maksymalny okres ważności delegowanego poświadczenia to siedem (7) dni w celu zminimalizowania narażenia, jeśli klucz prywatny zostanie naruszony.
- Delegowane poświadczenia to związany kryptograficznie do certyfikatu podmiotu końcowego. W szczególności klucz prywatny certyfikatu jednostki końcowej jest używany do obliczania podpisu kontrolera domeny za pomocą algorytmu określonego przez poświadczenie.
- Poświadczenia delegowane są wydawane przez klienta, co jest znacznie łatwiejsze niż tworzenie certyfikatu podpisanego przez CA. Certyfikaty wydawane przez klienta są również pomocne w utrzymaniu działania usługi nawet w przypadku przestojów urzędu certyfikacji.
- Poświadczenia delegowane mają z definicji krótkie okresy ważności. Podczas ustawiania okresu istnienia delegowanych poświadczeń serwery muszą wziąć pod uwagę przesunięcie zegara klienta, aby uniknąć odrzucenia certyfikatów.
- Nie ma mechanizmu odwołania poświadczeń delegowanych. Tracą ważność po upływie okresu ważności.
- Poświadczenia delegowane są przeznaczone do użytku w TLS 1.3 lub później. Istnieje znana luka w zabezpieczeniach, gdy TLS Serwery 1.2 obsługują wymianę kluczy RSA, umożliwiając sfałszowanie podpisu RSA na dowolnej wiadomości.
- Organizacje mogą korzystać z istniejących interfejsów API automatycznego wystawiania, takich jak ACME, do dostarczania delegowanych danych uwierzytelniających.
- Poświadczeń delegowanych nie można ponownie używać w wielu kontekstach.
Przeczytaj więcej na temat TLS delegowane dane uwierzytelniające, klikając to link do naszego pełnego artykułu.
SSL.com w pełni uruchamia eSigner CKA
W styczniu tego roku firma SSL.com wydała eSigner CKA — wtyczkę Microsoft Crypto Next Generation (CNG), która umożliwia narzędziom systemu Windows, takim jak certutil.exe i signtool.exe, używanie eSigner CSC do operacji podpisywania kodu. Istnieje pięć zidentyfikowanych korzyści dla twórców oprogramowania i wydawców podczas korzystania z eSigner CKA.
- Działa jak wirtualny token USB – W magazynie certyfikatów pojawiają się tylko certyfikaty cyfrowe, które są zaufane przez system Windows. Ponieważ eSigner CKA to program opracowany przez SSL.com (a PKI uznaną przez system Windows za urząd certyfikacji), zaufanie jest mu również zapewnione, ponieważ jest w stanie z powodzeniem załadować certyfikat EV Code Signing do magazynu certyfikatów użytkownika bez żadnych problemów.
- Może być używany bezpośrednio w Windows SignTool – podpisywanie kodu EV za pomocą eSigner CKA jest tak wygodne, że dosłownie wystarczy otworzyć SignTool i wprowadzić wiersz poleceń. Jeśli wygodniej jest Ci otrzymywać hasła jednorazowe na telefon komórkowy i korzystać z aplikacji uwierzytelniającej, możesz wybrać tryb ręczny. Jeśli chcesz podpisywać kod do swojego oprogramowania w szybszym tempie, ale nadal otrzymywać ten sam wysoki poziom bezpieczeństwa i jeśli chcesz mieć kontrolę nad swoim prywatnym kluczem do podpisywania, możesz wybrać tryb automatyczny.
- Prosty i przejrzysty interfejs użytkownika – przyjazna dla użytkownika platforma eSigner CKA oszczędza firmom zajmującym się oprogramowaniem wiele cennego czasu i pozwala im skupić się na rzeczywistej pracy programistycznej. Zainstaluj program, wybierz tryb podpisywania, wprowadź dane logowania i podpisz swój kod. Wszystkie te kroki są ułożone dla Ciebie na prostych ekranach okiennych. Szybka instalacja i jeszcze szybsze wykonanie.
- No Lost Tokens – eSigner CKA rozwiązuje ograniczenie używania fizycznych tokenów w kodzie podpisywania. Dzięki temu programowi nie potrzebujesz oddzielnych tokenów USB, aby pomyślnie wykonać podpisywanie kodu EV. eSigner CKA sam w sobie jest „tokenem”. Po zainstalowaniu wystarczy pobrać certyfikat EV Code Signing ze sklepu z certyfikatami i gotowe do podpisania. Oznacza to, że nie musisz się martwić o zgubienie tokena sprzętowego lub zablokowanie z powodu zapomnienia hasła i wyczerpania pozostałych ponownych prób hasła.
- Obsługuje podpisywanie kodów EV w środowiskach CI/CD – eSigner CKA może być używany zdalnie w dowolnym miejscu i czasie. Ten program zwiększa bezpieczeństwo potoku DevOps, zapewniając, że komponenty oprogramowania udostępniane przez inżynierów, którzy pracują w różnych harmonogramach i lokalizacjach, są uwierzytelniane za pomocą certyfikatu SSL.com EV Code Signing. W ten sposób hakerzy nie mogą naruszyć procesu tworzenia oprogramowania, ponieważ złośliwy plik, który próbują wstrzyknąć, zostanie zidentyfikowany jako niepodpisany bezpiecznie.
Pobierz eSigner CKA, klikając tutaj: eSigner CKA (adapter klucza w chmurze)
Zdobądź certyfikaty SSL.com EV Code Signing tutaj.
I kliknij to poprowadzi jak zainstalować i używać eSigner CKA.
