Denna månads sammanfattning diskuterar två fall som antyder troliga trender som statliga myndigheter kommer att möta när det kommer till cyberattacker. Som ett företag som syftar till att skydda regeringar och privata organisationer från cyberattacker, har vi tillhandahållit länkar till fullständiga artiklar som diskuterar de produkter och tjänster vi erbjuder som stärker alla organisationers cybersäkerhet. Slutligen diskuterar vi också två tjänsteuppdateringar som vi erbjuder våra kunder. Läs vidare!
New Mexico county blir det första lokala myndigheternas ransomware-offret i januari
Den 5 januari förra året tvingades Bernalillo County, det största länet i New Mexico, att stänga de flesta av sina regeringsbyggnader som svar på en ransomware-attack.
Många av länsstyrelsens datorsystem kopplades bort från internet för att skydda register och andra känsliga filer. Även offline fanns länets hemsidor.
Den 14 januari fortsatte invånarna att få icke-service när det gällde att hantera fastighetstransaktioner, röstregistrering eller äktenskapslicenser.
Enligt en nyhetsrapport, "landet lämnade också in ett nödmeddelande till federal domstol om att det inte kunde följa villkoren i en förlikning som involverade förhållandena i länsfängelset eftersom ransomware-attacken slog ut tillgången till fängelsets säkerhetskameror.” Misslyckandet med att uppfylla villkoren försatte fängelset i en låst status och minskade avsevärt vissa privilegier för fångarna, inklusive ledig tid utanför och telefontillgång.
Cyberattacken påverkade också domstolssystem som tvingade de anställda att utarbeta säkerhetskopieringsplaner som tillfälligt skulle kunna möjliggöra straffrättsliga förfaranden.
I slutet av januari har Bernalillo fortfarande inte återhämtat sig helt från denna incident.
Om inte statliga myndigheter vidtar allvarliga åtgärder för att förbättra sin cybersäkerhet, kommer de att fortsätta att riskera försvagande attacker. Under 2020 var 113 ransomware-attacker kända för att ha utförts mot lokala myndigheter. År 2021 erkände även 76 kommuner att ha fått samma attack.
SSL.com's Takeaway: Statliga myndigheter kommer att fortsätta att vara ett mål för cyberkriminella under 2022. Om du är en del av en statlig myndighet är den bästa metoden för att skydda din webbplats, data och transaktioner att skaffa beprövade och beprövade PKI tjänster från proffs. Gå över till den här artikeln att läsa hur vi hjälper regeringar att stärka sin cybersäkerhet genom PKI.
Försvarsdepartementet uppmanade att säkra deras Internet of Battlefield Things (IOBT)
Försvarsdepartementet (DOD) har kontinuerligt utvecklat vad som kallas "Internet of Battlefield Things" (IOBT). Dessa är nätverk av ett brett spektrum av militär utrustning som är kopplade till smart teknik. Dessa inkluderar slagfältssensorer, radioapparater och vapen.
Medan IOBT ökar militärens kapacitet, predisponerar den dem också för många cybersäkerhetsfrågor. När fler internetanslutna enheter läggs till i IOBT, ökar också ingångspunkterna för hackare att äventyra nätverket. När sekretessbelagd information och teknik stjäls av hackare kan detta vara en situation på liv eller död. Till exempel, 2018 avslöjades det att träningsspårare som bärs av militär personal kunde penetreras och läckage rörelsen av trupper som bär dem.
Försvarsdepartementet svarade på den ökande oron med IOBT genom att skapa systemet Comply to Connect (C2C). Som förklarade av Daniel Goure från tankesmedjan Lexington Institute, C2C inkluderar fyra funktioner, som är: "1) identifiera och validera nya enheter som är anslutna till ett nätverk; 2) utvärdera deras överensstämmelse med DoD säkerhetspolicyer; 3) utföra kontinuerlig övervakning av dessa enheter, och; 4) att automatiskt ta itu med enhetsproblem, och därigenom minska behovet av att upprätthålla cyberhygien hos cybersäkerhetsadministratörer."
Tydligen har DoD varit två gånger mandat- av den amerikanska kongressen för att starkt implementera C2C. Hittills har bara US Navy, US Marine Corps och flera DoD-element följt ordern, med de flesta av avdelningens undergrenar som släpat efter.
Den kontinuerliga tillväxten av Public Key Infrastructure (PKI) teknik i den privata sektorn ger en akut möjlighet för DoD att samarbeta med industriexperter när det gäller att säkra deras IOBT. Detta partnerskap kommer att göra det möjligt för DoD att på ett säkert sätt utföra sina uppgifter samtidigt som de kan anpassa sig till föränderliga militära behov.
SSL.com's Takeaway: SSL.com är en allierad med regeringen när det kommer till cybersäkerhet. Läsa den här artikeln för att ta reda på hur vi hjälper statliga myndigheter att skydda sina IoT-system genom Public Key Infrastructure (PKI) Teknologi.
SSL.com tillkännager stöd för TLS Delegerade referenser
Vi på SSL.com tillkännager att vi stöder användningen av delegerade referenser för alla kunder. Utfärdande av delegerade autentiseringscertifikat kan göras genom användning av API:er för automatisering med ACME-protokollet. Eftersom SSL.com använder ECDSA för att implementera PKI erbjuds till kunder, delegerade autentiseringsuppgifter utfärdade av våra kunder är inte sårbara för signaturförfalskningsattacker.
Delegerade referenser är digitalt signerade datastrukturer som består av två delar: ett giltighetsintervall och en publik nyckel (tillsammans med dess tillhörande signaturalgoritm). De fungerar som en "fullmakt" för servrarna som anger att de är behöriga att avsluta TLS anslutning.
Delegerade inloggningsuppgifter är utformade med syftet att öka säkerheten. Därför har de vissa egenskaper, enligt definitionen i IEFT-utkastet. Dessa egenskaper inkluderar följande:
- Den maximala giltighetstiden för en delegerad legitimation är sju (7) dagar för att minimera exponeringen om den privata nyckeln äventyras.
- De delegerade referenserna är kryptografiskt bunden till slutenhetscertifikatet. Specifikt används den privata nyckeln för slutenhetscertifikatet för att beräkna DC:s signatur via en algoritm som specificeras av referensen.
- Delegerade referenser utfärdas av klienten, vilket är mycket enklare än att skapa ett certifikat signerat av en CA. Klientutfärdade certifikat är också till hjälp för att hålla tjänsten fungerande även om CA har ett stillestånd.
- Delegerade referenser har per definition korta giltighetsperioder. När servrar ställer in livslängden för delegerade autentiseringsuppgifter måste servrar ta hänsyn till klientklockans snedställning för att undvika att certifikat avvisas.
- Det finns ingen återkallelsemekanism för delegerade autentiseringsuppgifter. De görs ogiltiga när giltighetstiden löper ut.
- Delegerade autentiseringsuppgifter är utformade för att användas i TLS 1.3 eller senare. Det finns en känd sårbarhet när TLS 1.2-servrar stöder utbyte av RSA-nyckel, vilket möjliggör förfalskning av en RSA-signatur över ett godtyckligt meddelande.
- Organisationer kan använda befintliga API:er för automatisk utfärdande som ACME för att leverera delegerade autentiseringsuppgifter.
- Delegerade autentiseringsuppgifter kan inte återanvändas i flera sammanhang.
Läs mer om ämnet TLS delegerade autentiseringsuppgifter genom att klicka här länk till vår fullständiga artikel.
SSL.com lanserar helt eSigner CKA
I januari har SSL.com släppt eSigner CKA – ett Microsoft Crypto Next Generation (CNG) plugin som tillåter Windows-verktyg som certutil.exe och signtool.exe att använda eSigner CSC för kodsigneringsoperationer. Det finns fem identifierade fördelar för mjukvaruutvecklare och utgivare när de använder eSigner CKA.
- Fungerar som en virtuell USB-token – Endast digitala certifikat som är betrodda av Windows visas i certifikatarkivet. Eftersom eSigner CKA är ett program utvecklat av SSL.com (a PKI företag som erkänts av Windows som en certifikatutfärdare), ges det också förtroende eftersom det kan ladda EV Code Signing-certifikatet på User Certificate Store utan problem.
- Kan användas direkt på Windows SignTool – EV-kodsignering med eSigner CKA är så bekvämt att du bokstavligen bara behöver öppna SignTool och mata in kommandoraden. Om du är mer bekväm med att ta emot engångslösenord på din mobiltelefon och använda en autentiseringsapp kan du välja manuellt läge. Om du vill signera kod till din programvara i en snabbare takt men ändå få samma höga säkerhetsnivå och om du vill ha kontroll över din privata nyckel för signering kan du välja automatiserat läge.
- Enkelt och rent användargränssnitt – eSigner CKA:s användarvänliga plattform sparar programvaruföretag mycket dyrbar tid och låter dem fokusera på det faktiska utvecklingsarbetet. Installera programmet, välj ditt signeringsläge, ange dina inloggningsuppgifter och signera din kod. Alla dessa steg är upplagda för dig på enkla fönsterskärmar. Snabb installation och ännu snabbare utförande.
- Inga förlorade tokens – eSigner CKA löser begränsningen med att använda fysiska tokens i signeringskoden. Med det här programmet behöver du inga separata USB-tokens för att framgångsrikt utföra EV-kodsignering. eSigner CKA är i sig "token". När du har installerat det behöver du bara hämta ditt EV Code Signing-certifikat från certifikatarkivet och du är bra att signera. Det betyder att du inte behöver oroa dig för att du ska ha felplacerat din maskinvarutoken eller att bli utelåst på grund av att du glömmer ditt lösenord och förbrukar dina återstående försök med tokenlösenord.
- Stöder EV-kodsignering i CI/CD-miljöer – eSigner CKA kan fjärranvändas var som helst, när som helst. Det här programmet förbättrar säkerheten för DevOps pipeline genom att säkerställa att programvarukomponenterna som delas av ingenjörer, som arbetar på olika scheman och platser, autentiseras med ett SSL.com EV Code Signing-certifikat. Hackare förhindras därför att äventyra din mjukvarubyggeprocess eftersom en skadlig fil som de försöker injicera kommer att identifieras som inte säkert signerad.
Ladda ner eSigner CKA genom att klicka här: eSigner CKA (Cloud Key Adapter)
Skaffa dina SSL.com EV Code Signing-certifikat här..
Och klicka på den här styra om hur man installerar och använder eSigner CKA.
