XiaoMi-AI文件搜索系统
World File Search SystemSBOM
2022 年物联网安全报告 - ONEKEY
因此,该研究明确呼吁对所包含的设备软件进行来源证明,从而也要求进行安全检查。作为“2022 年物联网安全报告”研究的一部分,在接受调查的 318 名 IT 行业专业人士和高管中,75% 的人赞成对所有软件组件进行精确证明,即对所有组件(包括端点中包含的所有软件)进行所谓的“软件物料清单”(SBOM)。总体而言,物联网领域的安全性并不好——该研究明确支持这一结论。公司几乎没有任何指导方针,制造商随机工作,只有在系统运行时才会进行安全性 beta 测试。随着经济网络化程度的提高,未来几年的损害可能会变得更糟。此外,责任问题将更加严格,这也将在未来把责任推给公司的决策者。显然,在可预见的未来,管理层将直接因 IT 安全方面的疏忽而承担责任。
对CRA和GDPR之间的要求的映射分析
摘要 - 最近在欧盟(EU)同意了一项新的网络弹性法(CRA)。本文通过将CRA与较旧的通用数据保护法规(GDPR)进行对比,研究并阐述了CRA所带来的新要求。根据结果,术语,完整性和可用性保证,数据最小化,可追溯性,数据擦除和安全测试存在重叠。The CRA's seven new essential requirements originate from obligations to (1) ship products without known exploitable vulnerabilities and (2) with secure defaults, to (3) provide security patches typically for a minimum of five years, to (4) minimize attack surfaces, to (5) develop and enable exploitation mitigation techniques, to (6) establish a software bill of materials (SBOM), and to (7) improve vulnerability协调,包括建立协调漏洞披露政策的任务。通过这些结果和随附的讨论,本文为专门针对法律要求的要求进行了要求的工程研究,证明了新法律如何影响现有要求。索引条款 - 法律要求,基本要求,安全性,法规,合规性,一致性,冗余
您的责任和挑战
PCERT®战略:准备下一个由证书引起的商业事件的下一个数字化产生约3-500万美元的损害赔偿(来源Ponemon&Gartner)。企业通常每年经历3-5个事件。想象您可以防止一个!还是全部?您的公司遇到不固定?喜欢验证?摘要和USP:您要去数字化,但是您安全吗?在数字信任锚点中揭露您未知的未知数是当今C套件的全面挑战,也是我们产品套件pcert®的业务目的,由数据仓库提供了超过25年的研究和10年的加密处理领域的产品经验。帮助您的企业,供应商和客户建立完整的范围自动加密清单,使您能够以透明且最小的侵入性集成在安全水平上发展到一个安全水平您的产品合规性并自动化您的管理流程,例如在运营和业务连续性团队中处理证书或信息交换,以及通过自动化减少管理团队的工作量,无论您的技术基础架构和运营概念的使用情况如何或年龄。您的责任和挑战:摆脱您的加密孤岛,启用加密清单并建立您的SBOMPCERT®整体方法,无论涉及网络服务,都可以调查,发现,评估,评估,自动化和管理一系列非常广泛的IT-Trust关系。PCERT®方法是识别任何证书,钥匙(例如私人,公共,对称,SSH,PGP),任何设备中的密钥库,用于识别漏洞,弱点,人类或系统的错误,以避免基础架构,程序和产品问题,准备和产品问题,准备或在新技术上做好变换(Post Quantum on the Hormon)。您对PCert®的好处不仅使您的技术环境和公共密钥基础设施(PKI)充分透明度,还可以增强您的网络安全性,包括供应链和符合多种标准的供应链(SOX,ISO,ISO,FEDRAMP,NIS 2等)。
第20届信息系统国际会议...
系统安全隐私OS,VM,容器,云宠物,匿名技术网络:SDN,NFV,SD-WAN去识别攻击IoT,RFID,SCADA系统监视和审查沟通协议的推理推理,相关性,相关性IDS IDS,IPS,IPS,IPS,SIEM,SIEM,SIEM,SIEM,XDR,XDR,BOCKCHAIN HOYERENICIT,ETTECTERTINS等级,botoctnentiment,botoctnentimention等,等级,botoctnentiment,botoctnentimention等, scalability Authentication, MFA Smart contracts, concurrency Authorization model/policy DIDs, NFTs, CBDCs, AML PKI & Trust management Security in AI/ML Information flow control Adversarial learning/inputs Application Security Prompt injection, RLHF strategies Vulnerabilities, DevSecOps Model stealing, poisoning API security, WAF, OWASP Emerging Tech/Standards Static/Binary analysis, Zero trust ChatGPT, LaMDA, Dall-E 2, etc Malware, Ransomware, APTs Security-by-design, SBOM Hardware Security Privacy-by-design, STIX/TAXII Remote attestation, PUFs S&P Use Cases Trojans, Backdoors, FPGA e-voting, e-gov, smart cities TEE, TRNG, 2FA, payment wallets COVID-19 contact tracing
分布式能源供应链网络安全差距分析
ARIES 综合能源系统高级研究 C2M2 网络安全能力成熟度模型 CECA 清洁能源网络安全加速器 CIP 关键基础设施保护 CISA 网络安全与基础设施安全局 CVE 常见漏洞与暴露 CVSS 通用漏洞评分系统 CWE 常见弱点枚举 CyTRICS 弹性工业控制系统网络测试 DER 分布式能源资源 DER-CF 分布式能源资源网络安全框架 DHS 美国国土安全部 DOC 美国商务部 DOE 美国能源部 ENISA 欧盟网络安全局 ES-C2M2 电力子行业网络安全能力成熟度模型 HMAC 基于散列的消息认证码 IBR 基于逆变器的资源 ICS 工业控制系统 ICT 信息和通信技术 IEC 国际电工委员会 IEEE 电气电子工程师协会 NATF 北美输电论坛 NERC 北美电力可靠性公司 NIST 国家标准与技术研究所 NREL 国家可再生能源实验室 NVD 国家漏洞数据库 PLC 可编程逻辑控制器SBOM 软件物料清单
S3C2峰会2023-06:政府安全供应链峰会
最近几年显示,网络攻击的增加,目标是针对软件供应链中较不安全的要素,并对企业和组织造成了致命的损害。过去众所周知的软件供应链攻击的考试是影响数千个客户和企业的Solarwind或Log4J事件。美国政府和行业对增强软件供应链安全同样感兴趣。2023年6月7日,来自NSF支持的安全软件供应链中心(S3C2)的研究人员进行了一个安全的软件供应链峰会,其中包括来自13个政府机构的17名从业人员。首脑会议的目标是两个方面:(1)与行业分享我们前两个峰会的观察结果,(2)使政府机构在实际经验和软件供应链安全方面的挑战之间分享。对于每个讨论主题,我们介绍了行业首脑会议的观察结果和接管力,以激发对话。我们专门针对行政命令14028,软件材料清单(SBOM),选择新的依赖性,出处和自我证实以及大语言模型。公开讨论使共享并阐明了政府机构在确保其软件供应链时影响政府和行业从业人员的共同挑战。在本文中,我们提供了峰会的摘要。可以在每个部分的开头和附录中找到完整的面板问题。
S3C2 Summit 2023-02:行业安全供应链峰会
近年来已经表明,网络攻击的增加,针对软件供应链中安全性较低的元素,并导致企业和组织致命的大坝。过去众所周知的软件供应链攻击示例是影响数千个客户和企业的Solarwinds或Log4J事件。美国政府和行业对增强软件供应链安全同样感兴趣。2023年2月22日,来自NSF支持的安全软件供应链中心(S3C2)的研究人员进行了一个安全的软件供应链峰会,其中有17家公司的17名从业人员组合。该求职者的目标是在具有实际经验和挑战的行业从业人员之间分享与软件供应链安全的挑战,并帮助建立新的合作。,我们根据有关软件材料法案(SBOM),恶意提交,选择新依赖性,构建和部署的开放式问题进行了六个面板讨论,行政命令14028和脆弱的依赖关系。公开讨论使人们能够分享并阐明具有实际经验的行业从业人员在确保其软件供应链时面临的共同挑战。在本文中,我们提供了峰会的摘要。可以在每个部分的开头和附录中找到完整的面板问题。
软件供应链安全状态2024
开发人员秘密泄漏持续16打开您的AIS!18个私钥,Web服务凭据顶部泄漏的秘密列表18开发人员:请注意这些快捷方式!20 State of SSCS Report: Timeline 21 What Comes Next: The Post-Trust Supply Chain 22 Change Is Constant 22 Regulators Rush In 22 Mind the Guidance 23 Recap: Federal Guidance 24 The NIS2 Directive 24 National Cybersecurity Strategy 24 Secure by Design, Secure by Default 24 Cybersecurity Information Sheet on Defending CI/CD Environments 25 SEC Rules for Cybersecurity Risk Management, Strategy, Governance, and Incident Disclosure 25 Cybersecurity in Medical Devices 25 The Digital Operational Resilience Act (DORA) 25 Software Identification Ecosystem Option Analysis 25 Recommended Practices for SBOM Consumption 25 Recap: Industry Initiatives 26 Open Software Supply Chain Attack Reference (OSC&R) 26 Exploit Prediction Scoring System (EPSS), v.3.0 26 Supply Chain Levels for Software Artifacts, v.1.0 26 SPDX, 3.0 Release Candidate 26 CycloneDX, v.1.5 26 OWASP大型语言模型应用的前10名SSCS状态2024方法论27关于反向列表28
人工智能驱动的供应链攻击
OLADOYIN AKINSULI 人工智能和网络安全策略师,萨里大学,英国吉尔福德 摘要- 供应链攻击在网络安全中发展成为一个强大的主题和攻击,它使用复杂的人工智能策略来渗透和颠覆有保障的供应商和软件开发商。这些复杂的攻击利用供应链中现有的信任,通过看似正常的软件更新、固件或服务来传播恶意软件,这意味着人工智能的集成提高了这些攻击的准确性和隐蔽性,并提高了目标获取、恶意软件适应性和软件产品中机器学习模型的操纵。本研究的研究目标有三点:确定人工智能如何加剧供应链风险,这涉及了解最近众所周知的安全漏洞的特征;提出可以保护组织网络的缓解措施。通过使用案例研究以及案例研究和数据分析等分析工具,该研究表明提高安全性和确保实时安全性对于防范人工智能威胁至关重要。先进且影响深远的洞察表明,人工智能在供应链攻击中的持续发展,不仅提升了攻击速度,还加速了攻击过程,而传统防御对此束手无策。研究结果表明,零信任态势、行为分析和安全的软件物料清单 (SBOM) 是可行的,有助于加强供应链。就对未来研究的影响而言,它为以前的研究增加了对供应链攻击中使用人工智能所带来的新挑战的考虑,这是构建安全网络空间保护架构的一个关键研究领域,对于在日益互联的世界中保护关键组织和敏感信息的完整性至关重要。
批准公开发布:分发不受限制
SAAL-ZE 备忘录供分发主题:陆军助理部长(采购、后勤和技术)软件物料清单政策 1. 参考文献。见附件。2. 目的。本备忘录的目的是实施陆军使用软件物料清单 (SBOM) 的政策,以加强软件供应链风险管理实践并有效降低软件供应链风险。3. 背景。2021 年 5 月 12 日发布的总统行政命令 14028(改善国家网络安全)通过重点实现联邦政府网络安全的现代化和提高软件供应链的安全性来加强美国网络安全。 2022 年 9 月 14 日,管理和预算办公室 (OMB) 备忘录 M-22-18(通过安全软件开发实践增强软件供应链的安全性)要求联邦机构遵守国家标准与技术研究所 (NIST) 安全软件开发框架 SP 800-218 和 NIST 软件供应链安全指南。OMB 备忘录 M-23-16 强化了 M-22-18 中规定的要求,并就 M-22-18 要求的范围提供了补充指导。陆军指令 2023-16(武器系统的供应链风险管理)规定,原始设备制造商在开发和生产过程中实施供应链风险管理 (SCRM),政府有共同的责任来管理该风险。软件是 SCRM 风险的一个子集,并且 SCRM 将在系统的整个生命周期中进行。陆军指令 2024-02(支持现代软件开发和采购实践)强调了陆军对软件的依赖,以及了解系统可能给网络带来的风险以及如何最大程度地降低这些风险的重要性。4. 适用性:本政策适用于计划或当前正在执行软件采购途径、紧急能力采购、中间层采购、主要能力采购和国防业务系统的当前和未来计划。