XiaoMi-AI文件搜索系统
World File Search SystemSolarWinds
俄罗斯对外情报局 (SVR) 在全球范围内利用 JetBrains TeamCity CVE
软件开发人员使用 TeamCity 软件来管理和自动化软件编译、构建、测试和发布。如果受到攻击,对 TeamCity 服务器的访问将使恶意行为者能够访问该软件开发人员的源代码、签名证书,并能够破坏软件编译和部署流程——恶意行为者可以进一步利用这种访问进行供应链操作。尽管 SVR 在 2020 年利用这种访问权限攻击了 SolarWinds 及其客户,但目前发现的受害者数量有限且看似投机取巧,表明 SVR 并未以类似的方式使用 TeamCity CVE 提供的访问权限。然而,据观察,SVR 使用通过利用 TeamCity CVE 获得的初始访问权限来提升其权限、横向移动、部署其他后门,并采取其他措施以确保对受感染网络环境的持续和长期访问。
S3C2 Summit 2022-09:行业安全供应链峰会
近年来已经表明,网络攻击的增加,针对软件供应链中安全性较低的元素,并导致企业和组织致命的大坝。过去众所周知的软件供应链攻击示例是影响数千个客户和企业的Solarwinds或Log4J事件。美国政府和行业对增强软件供应链安全同样感兴趣。我们与来自行业的19名从业者进行了六次小组讨论。我们向他们询问了有关SBOM,弱势依赖,恶意提交,建造和部署,行政命令和规定遵守的开放性问题。这次峰会的目的是实现开放讨论,相互共享并阐明这些共同的挑战,而在确保其软件供应链的实践经验的行业从业人员中,该行业从业人员会面对。本文总结了2022年9月30日举行的峰会。可以在每个部分的开头和附录中找到完整的面板问题。
FISMA、RMF 和 DoDI 5000.90 国防部采购、供应...
SCRM 通信一直在增加,美国关于 Cyber-SCRM 的监管要求也在不断发展。2020 年 SolarWinds 黑客攻击发现了软件供应链安全问题以及国防部知识产权的持续盗窃。此外,COVID 大流行和地缘政治紧张局势凸显了美国供应链面临的持续风险。这鼓励美国政府积极管理供应链风险以保护国家安全。美国总统于 2021 年 2 月 1 日签署了《美国供应链行政命令》。这启动了对整个联邦政府供应链风险的 100 天审查,包括国防、公共卫生、IT、通信、电力、交通和农业。100 天评估评估了供应链在管理经济繁荣和国家安全方面的弹性、多样性和安全性。
网络安全和供应链风险管理不仅是加性的:对风险评估,降低风险和研究的指示的影响,以确保国防工业产品的供应:研究摘要
我们在本报告中的分析以及诸如2017年网络攻击之类的事件,该事件在全球范围内损害了商业分销,而2020年的Solarewinds违反了信誉,认为昂贵的网络攻击已成为许多组织的最终性。在此背景下,空军研究实验室(AFRL)询问兰德项目空军(PAF),以帮助了解网络相关的风险与其他风险与其国防工业供应链相比,该供应链(包括硬件的供应链,不提供软件的供应链,不提供软件的供应链,并探索对风险评估和缓解和减轻研究的影响。AFRL对攻击者如何使用供应链来发动攻击感兴趣,例如通过恶意代码,以及供应链本身如何成为攻击目标,例如通过中断。
俄罗斯对外情报局 (SVR) 在全球范围内利用 JetBrains TeamCity CVE
软件开发人员使用 TeamCity 软件来管理和自动化软件编译、构建、测试和发布。如果被入侵,对 TeamCity 服务器的访问将使恶意行为者能够访问该软件开发人员的源代码、签名证书,并能够破坏软件编译和部署流程——恶意行为者可以进一步利用这种访问来开展供应链运营。尽管 SVR 在 2020 年利用这种访问入侵了 SolarWinds 及其客户,但目前发现的受害者数量有限且看似投机取巧,表明 SVR 并未以类似的方式使用 TeamCity CVE 提供的访问权限。然而,据观察,SVR 使用通过利用 TeamCity CVE 获得的初始访问权限来提升其权限、横向移动、部署其他后门,并采取其他措施来确保对受感染网络环境的持续和长期访问。
S3C2 Summit 2023-02:行业安全供应链峰会
近年来已经表明,网络攻击的增加,针对软件供应链中安全性较低的元素,并导致企业和组织致命的大坝。过去众所周知的软件供应链攻击示例是影响数千个客户和企业的Solarwinds或Log4J事件。美国政府和行业对增强软件供应链安全同样感兴趣。2023年2月22日,来自NSF支持的安全软件供应链中心(S3C2)的研究人员进行了一个安全的软件供应链峰会,其中有17家公司的17名从业人员组合。该求职者的目标是在具有实际经验和挑战的行业从业人员之间分享与软件供应链安全的挑战,并帮助建立新的合作。,我们根据有关软件材料法案(SBOM),恶意提交,选择新依赖性,构建和部署的开放式问题进行了六个面板讨论,行政命令14028和脆弱的依赖关系。公开讨论使人们能够分享并阐明具有实际经验的行业从业人员在确保其软件供应链时面临的共同挑战。在本文中,我们提供了峰会的摘要。可以在每个部分的开头和附录中找到完整的面板问题。
网络安全保护
1.2 审计人员的观察 通过审查,委员会审计人员观察到以下情况: ♦ NERC CIP 要求等联邦法规以及国土安全部、能源部和其他机构的行动为保护 DEF 和 TEC 运营的最关键的大型电力系统 (BES) 网络资产奠定了坚实的基础。 ♦ 佛罗里达州公共服务委员会管辖范围内的 DEF 和 TEC 所有资产(即 100kV 以下)均不在现有 NERC CIP 可靠性标准的范围内。 ♦ 联邦能源管理委员会 (FERC)、东南电力可靠性公司 (SERC) 和 NERC 合规审计继续是一种有效、严格且有价值的执法工具。 ♦ 虽然 SolarWinds、Colonial Pipeline 和 Kaseya 等网络攻击影响了行业运营,但针对任何美国电力公司的系统的网络攻击均未导致客户断电。 ♦ DEF 和 TEC 已评估近期针对公用事业的袭击所造成的影响,并正在解决其对流程和控制改进的需求,例如对第三方供应商和产品进行额外的筛选。
网络防御报告软件供应链...
现在,从经济习惯到社会习惯的大多数构成现代生活的元素现在都是使用挖掘技术以及依赖复杂,相互联系,跨界的商品和服务的消费来表征的,有时以及脆弱的供应链。批判性依赖性和加剧(网络)威胁与战略竞争力相结合,越来越多地将供应链安全问题转化为国家安全和国际安全问题。供应链安全通常定义为参与开发,制造和交付完成解决方案或产品的流程,人员,组织和分销商的生态系统的安全性。在过去的几年中,在全球经济的国家安全和稳定性的背景下,围绕供应链重要性的讨论是多方面的,并且经常对当前事件进行反应。在大流行期间,围绕供应链的公众讨论在很大程度上围绕着劳动力中断,海上瓶颈,飙升的能源价格以及产生的价格上涨和商品短缺。大流行之前,重点是技术产品(例如5G基础构造),超导体和芯片组件以及战略材料和稀有矿物质的供应。一直以来,网络事件(例如,Solarwinds,Sunburst,JBS,Co-Lonial Pipeline)都使供应链对网络风险的脆弱性使跨不同工具的急剧缓解。
S3C2峰会2023-06:政府安全供应链峰会
最近几年显示,网络攻击的增加,目标是针对软件供应链中较不安全的要素,并对企业和组织造成了致命的损害。过去众所周知的软件供应链攻击的考试是影响数千个客户和企业的Solarwind或Log4J事件。美国政府和行业对增强软件供应链安全同样感兴趣。2023年6月7日,来自NSF支持的安全软件供应链中心(S3C2)的研究人员进行了一个安全的软件供应链峰会,其中包括来自13个政府机构的17名从业人员。首脑会议的目标是两个方面:(1)与行业分享我们前两个峰会的观察结果,(2)使政府机构在实际经验和软件供应链安全方面的挑战之间分享。对于每个讨论主题,我们介绍了行业首脑会议的观察结果和接管力,以激发对话。我们专门针对行政命令14028,软件材料清单(SBOM),选择新的依赖性,出处和自我证实以及大语言模型。公开讨论使共享并阐明了政府机构在确保其软件供应链时影响政府和行业从业人员的共同挑战。在本文中,我们提供了峰会的摘要。可以在每个部分的开头和附录中找到完整的面板问题。
一项关于使用大语言模型分析软件供应链安全失败
随着我们越来越依赖软件系统,软件供应链中漏洞的后果变得更加严重。高档的网络攻击(例如Solarwinds和ShadowHammer)导致了大量的财务和数据丢失,这强调了对更强的网络安全的需求。防止将来违规的一种方法是研究过去的失败。但是,分析过去失败的传统方法需要手动阅读并汇总有关它们的报告。自动支持可以降低成本并允许更多失败的分析。自然语言处理(NLP)技术,例如大语言模型(LLM),可以利用以帮助分析失败。在这项研究中,我们评估了大语言模型(LLM)分析历史软件供应链漏洞的能力。我们使用LLM来复制由云本机计算基金会(CNCF)成员执行的69个软件供应链安全失败的手动分析。我们开发了LLMS通过四个维度进行分类的提示:折衷,意图,na的类型和影响。GPT 3.5的分类平均准确性为68%,而Bard的准确度比这些维度的精度为58%。我们报告说,LLM有效地表征了软件供应链失败时,当源文章足够详细以在手动分析师之间达成共识,但无法替代人类分析师。未来的工作可以在这种情况下提高LLM的性能,并研究更广泛的文章和失败。