本月的综述讨论了两个案例,这些案例暗示了政府机构在网络攻击方面可能面临的趋势。 作为一家旨在保护政府和私人组织免受网络攻击的公司,我们提供了完整文章的链接,这些文章讨论了我们提供的增强任何组织网络安全的产品和服务。 最后,我们还讨论了我们为客户提供的两项服务更新。 继续阅读!
新墨西哥县今年 XNUMX 月成为第一个地方政府勒索软件受害者
去年 5 月 XNUMX 日,新墨西哥州最大的县伯纳利洛县(Bernalillo County)被迫关闭大部分政府大楼,以应对勒索软件攻击。
为了保护记录和其他敏感文件,县政府的许多计算机系统都与互联网断开连接。 该县的网站也离线。
到 14 月 XNUMX 日,居民在处理房地产交易、选民登记或结婚证时继续收到非服务。
根据一个 新闻报道,“县 还向联邦法院提交了一份紧急通知,称它无法遵守涉及县监狱条件的和解条款,因为勒索软件攻击破坏了对监狱安全摄像头的访问。” 未能满足条款使监狱设施处于锁定状态,并大大降低了囚犯的某些特权,包括在户外度过的空闲时间和电话访问。
网络攻击还影响了法院系统,迫使员工制定可能暂时启动刑事诉讼的备份计划。
截至XNUMX月底,伯纳利洛还没有完全从这件事中恢复过来。
除非政府机构采取认真措施来改善其网络安全,否则它们将继续面临削弱攻击的风险。 2020 年,已知对地方政府执行了 113 次勒索软件攻击。 2021 年,76 个城市也承认受到了同样的攻击。
SSL.com 的要点:到 2022 年,政府机构将继续成为网络犯罪分子的目标。如果您是政府机构的一员,保护您的网站、数据和交易的最佳方法是获得久经考验的 PKI 专业人士的服务。 前往 本文 阅读我们如何通过以下方式帮助政府加强网络安全 PKI.
国防部呼吁保护他们的战场物联网 (IOBT)
国防部 (DOD) 一直在不断开发所谓的“战场物联网”(IOBT)。 这些是与智能技术相关的各种军事设备的网络。 这些包括战场传感器、无线电和武器。
虽然 IOBT 提高了军队的能力,但它也使他们容易面临许多网络安全问题。 随着更多连接互联网的设备被添加到 IOBT,黑客入侵网络的入口点也增加了。 当机密信息和技术被黑客窃取时,这可能是生死攸关的情况。 例如,在 2018 年,据透露,军事人员佩戴的健身追踪器可能会被穿透并 泄漏 穿着它们的部队的运动。
国防部通过创建 Comply to Connect (C2C) 系统来应对对 IOBT 日益增长的关注。 作为 解释 智库列克星敦研究所的 Daniel Goure 认为,C2C 包括四个功能,它们是:“1)识别和验证连接到网络的新设备; 2) 评估他们对国防部安全政策的遵守情况; 3) 对这些设备进行持续监控,以及; 4) 自动解决设备问题,从而减少网络安全管理员维护网络卫生的需要。”
显然,国防部已经两次 授权 美国国会大力推行C2C。 到目前为止,只有美国海军、美国海军陆战队和几个国防部单位遵守了该命令,该部门的大多数分支机构都落后了。
公钥基础设施的持续增长(PKI) 私营部门的技术为国防部在保护 IOBT 安全方面提供了与行业专家合作的紧迫机会。 这种伙伴关系将使国防部能够安全地履行职责,同时能够适应不断变化的军事需求。
SSL.com 的要点:在网络安全方面,SSL.com 是政府的盟友。 读 本文 了解我们如何通过公钥基础设施帮助政府机构保护其物联网系统(PKI)技术。
SSL.com 宣布支持 TLS 委托凭证
我们 SSL.com 宣布我们支持对所有客户端使用委托凭证。 可以通过使用 API 使用 ACME 协议进行自动化来颁发具有授权凭证的证书。 由于 SSL.com 利用 ECDSA 来实现 PKI 提供给客户,我们的客户颁发的委托凭证不易受到签名伪造攻击。
委托凭证是数字签名的数据结构,由两部分组成:有效性间隔和公钥(及其相关的签名算法)。 他们作为一个 “授权书= 服务器表明他们有权终止 TLS 连接。
委托凭证的设计目的是提高安全性。 因此,它们具有 IEFT 草案中定义的某些特征。 这些特征包括以下内容:
- 委托凭证的最长有效期为 七(7)天 如果私钥被泄露,以最大限度地减少暴露。
- 委派的凭据是 密码绑定 到最终实体证书。 具体而言,终端实体证书的私钥用于通过凭据指定的算法计算 DC 的签名。
- 委托凭证由客户端颁发,这比创建由 CA 签名的证书要容易得多。 即使 CA 出现停机,客户端颁发的证书也有助于保持服务正常工作。
- 根据定义,委托凭证的有效期很短。 在设置委托凭证的生命周期时,服务器需要考虑客户端时钟偏差以避免证书被拒绝。
- 委托凭证没有撤销机制。 一旦有效期届满,它们就会失效。
- 委派凭据旨在用于 TLS 1.3 或以后。 当存在已知漏洞时 TLS 1.2 服务器支持 RSA 密钥交换,允许在任意消息上伪造 RSA 签名。
- 组织可以使用 ACME 等现有的自动颁发 API 来交付委托凭证。
- 委托凭证不能在多个上下文中重复使用。
阅读更多关于 TLS 通过单击此委派凭据 链接 到我们的全文。
SSL.com 全面推出 eSigner CKA
今年 XNUMX 月,SSL.com 发布了 eSigner CKA——一个 Microsoft Crypto Next Generation (CNG) 插件,它允许 certutil.exe 和 signtool.exe 等 Windows 工具使用 eSigner CSC 进行代码签名操作。 使用 eSigner CKA 时,软件开发人员和发布者有五个确定的优势。
- 充当虚拟 USB 令牌 – 只有 Windows 信任的数字证书才会显示在证书存储中。 因为 eSigner CKA 是 SSL.com 开发的一个程序(一个 PKI Windows 认可为证书颁发机构的公司),也为其提供了信任,因为它能够成功地将 EV 代码签名证书加载到用户证书存储中而没有任何问题。
- 可直接在 Windows SignTool 上使用 - 使用 eSigner CKA 进行 EV 代码签名非常方便,您只需打开 SignTool 并输入命令行即可。 如果您更愿意在手机上接收一次性密码并使用身份验证器应用程序,则可以选择手动模式。 如果您想以更快的速度将代码签名到您的软件,但仍然获得同样高水平的安全性,并且如果您想控制您的私钥进行签名,您可以选择自动模式。
- 简单干净的用户界面——eSigner CKA 的用户友好平台为软件公司节省了大量宝贵的时间,让他们可以专注于实际的开发工作。 安装程序,选择您的签名模式,输入您的登录凭据,然后签署您的代码。 所有这些步骤都在简单的窗口屏幕上为您列出。 快速安装,甚至更快执行。
- 没有丢失的令牌 - eSigner CKA 解决了在签名代码中使用物理令牌的限制。 使用此程序,您无需单独的 USB 令牌即可成功执行 EV 代码签名。 eSigner CKA 本身就是“代币”。 一旦你安装了它,你只需要从证书存储中获取你的 EV 代码签名证书,你就可以签名了。 这意味着您不必担心因为忘记密码和使用剩余的令牌密码重试次数而导致硬件令牌放错地方或被锁定。
- 支持 CI/CD 环境中的 EV 代码签名——eSigner CKA 可以在任何地点、任何时间远程使用。 该计划通过确保在不同时间和地点工作的工程师共享的软件组件通过 SSL.com EV 代码签名证书进行身份验证,从而增强了 DevOps 管道的安全性。 因此,可以防止黑客破坏您的软件构建过程,因为他们尝试注入的恶意文件将被识别为没有经过安全签名。
单击此处下载 eSigner CKA: eSigner CKA(云密钥适配器)
获取您的 SSL.com EV 代码签名证书 这里.
然后点击这个 指南 关于如何安装和使用 eSigner CKA。