すでに 4 年の 2023 日目ですが、ホリデー シーズンの重要な IT/システム管理者/X-Ops セキュリティ ストーリーのいくつかは、今やメインストリーム ニュースでしか取り上げられていません。
そのため、ここ数週間で取り上げた主要な問題のいくつかを簡単に振り返り、(新年のリストをこっそり出したと非難されないように!) 深刻なセキュリティの教訓を繰り返します。私たちは彼らから学ぶことができます。
これがラスパスの最後のストローですか?
学ぶべき教訓:
- 客観的であること。 データ侵害の通知に行き詰ったことがある場合は、マーケティング上の利点のために履歴を書き換えようとしないでください。 峠を越えた攻撃の部分がある場合は、必ずそう言ってください。
- 完了してください。 それは長々と続くという意味ではありません。 実際、あなたはまったく語るのに十分な情報を持っていないかもしれません。 「完全性」には、「まだわかりません」などの簡単な説明が含まれる場合があります。 顧客が尋ねそうな質問を予測し、質問を避けようとしている印象を与えるのではなく、積極的に対応してください。
- 最善を望みますが、最悪の事態に備えてください。 データ侵害の通知を受け取り、理論上のセキュリティと実際の安心感の両方を向上させるためにできることが明らかな場合 (すべてのパスワードを変更するなど)、時間を見つけて実行してください。 念のため。
暗号化は不可欠であり、それが法律です
学ぶべき教訓:
- 暗号化は、国家安全保障と経済の機能にとって不可欠です。 それは公式です – そのテキストは、議会が米国法に可決したばかりの法律に記載されています. 次回、暗号化システムに意図的に組み込まれた「バックドア」、「抜け穴」、およびその他のセキュリティ バイパスが必要であると主張する、あらゆる分野の誰かを聞くときは、これらの言葉を思い出してください。 バックドア ひどい考えです.
- ソフトウェアは、暗号化の俊敏性を備えて構築および使用する必要があります。 より強力な暗号化を簡単に導入できる必要があります。 しかし、安全でない暗号化を迅速に廃止して置き換える必要もあります。 これは意味するかもしれません 積極的な そのため、将来簡単にクラック可能になる可能性があるシークレットは暗号化していませんが、まだシークレットであると想定されています。
私たちはあなたの秘密鍵を盗みました – しかし、私たちはそれを意味するものではありませんでした!
学ぶべき教訓:
- ソフトウェアサプライチェーン全体を所有する必要があります。 PyTorch は、PyTorch 自体に組み込まれている感染していないコードを誤って上書きするマルウェアで汚染されたコミュニティ リポジトリを介して攻撃されました。 (PyTorch チームは、ホリデー シーズンにもかかわらず、このオーバーライドをオーバーライドするためにコミュニティと迅速に協力しました。)
- サイバー犯罪者は、予期しない方法でデータを盗む可能性があります。 脅威監視ツールが、組織外へのありそうもないルートにも目を光らせていることを確認してください。 これらの詐欺師は、実際に盗み出されたデータである「サーバー名」を使用して DNS ルックアップを使用しました。
- わざわざサイバー犯罪の言い訳をする必要はありません。 どうやら、この場合の攻撃者は、「研究上の理由」で秘密鍵を含む個人データを盗んだと主張しており、盗んだデータは現在削除したと述べています。 まず、それらを信じる理由はありません。 第二に、ネットワーク パス上でコピーを見たり保存したりした人なら誰でもデータの暗号化を解除できるように、データを送信しました。
スピードがセキュリティに勝る時
学ぶべき教訓:
- 脅威の防止は、マルウェアを見つけることだけではありません。 XDR (拡張された検出と応答) は、自分が持っているものと、それがどこで使用されているかを知ることでもあります。これにより、セキュリティの脆弱性のリスクを迅速かつ正確に評価できます。 古い自明の理が言うように、 「それを測定できなければ、それを管理することはできません。」
- パフォーマンスとサイバーセキュリティはしばしば対立します。 このバグは Linux ユーザーにのみ適用されます。Linux ユーザーは、Windows ネットワークを高速化することを決意したためにカーネル内に実装するようになり、必然的に追加のリスクが追加されました。 速度を微調整するときは、何かを変更する前に、その改善が本当に必要かどうかを確認し、変更後に真のメリットが得られるかどうかを確認してください。 疑わしい場合は、省略してください。
サイバー犯罪防止とインシデント対応
両方の素晴らしい概要については、 サイバー犯罪防止 および インシデント対応、最新のホリデー シーズンのポッドキャストをお聴きください。専門家が知識とアドバイスの両方を惜しみなく共有しています。
下の音波をクリックしてドラッグし、任意のポイントにスキップします。 あなたもすることができます 直接聞く Soundcloudで。
下の音波をクリックしてドラッグし、任意のポイントにスキップします。 あなたもすることができます 直接聞く Soundcloudで。
- SEO を活用したコンテンツと PR 配信。 今日増幅されます。
- Platoblockchain。 Web3メタバースインテリジェンス。 知識の増幅。 こちらからアクセスしてください。
- 情報源: https://nakedsecurity.sophos.com/2023/01/04/serious-security-vital-cybersecurity-lessons-from-the-holiday-season/
- 2023
- a
- できる
- 私たちについて
- 正確にデジタル化
- 行為
- 実際に
- NEW
- 利点
- アドバイス
- すべて
- 既に
- および
- 予想する
- 誰も
- 攻撃
- 著者
- バック
- バックドア
- になる
- さ
- 信じる
- 以下
- 恩恵
- BEST
- 違反
- バグ
- ビルド
- 内蔵
- これ
- 場合
- チェーン
- 変化
- コード
- コミュニティ
- コンプリート
- 紛争
- 議会
- 可能性
- カップル
- カバー
- クルックス
- 暗号
- 暗号
- Customers
- サイバー犯罪
- サイバーセキュリティ
- データ
- データ侵害
- 中
- にもかかわらず
- 検出
- 決定
- DNS
- そうではありません
- すること
- ドント
- 疑い
- 簡単に
- 経済
- 暗号化
- 十分な
- 全体
- 本質的な
- さらに
- EVER
- 専門家
- 目
- 素晴らしい
- もう完成させ、ワークスペースに掲示しましたか?
- 発見
- から
- 機能します
- 未来
- 与え
- 向かって
- history
- 休日
- HTTPS
- 実装する
- 重要
- 改善します
- 改善
- in
- 事件
- include
- 含めて
- 情報
- 紹介する
- 問題
- IT
- 自体
- キープ
- キー
- 知っている
- 知っている
- 知識
- 姓
- 最新の
- 法律
- LEARN
- コメントを残す
- レッスン
- 生活
- 可能性が高い
- linuxの
- 見て
- 主流
- 主要な
- 主要課題
- make
- 作成
- マルウェア
- 管理します
- マーケティング
- 手段
- だけど
- かもしれない
- マインド
- モニタリング
- 国民
- 国際セキュリティー
- 必要
- ネットワーク
- ネットワーキング
- 新作
- ニュース
- 次の
- 通知
- 客観
- 明白
- 公式
- 古い
- 組織
- その他
- 概要
- 自分の
- 部品
- 渡された
- パスワード
- path
- Paul Cairns
- 個人的な
- 個人データ
- プラトン
- プラトンデータインテリジェンス
- プラトデータ
- ポッドキャスト
- ポイント
- 投稿
- 実用的
- 準備
- 防止
- プライベート
- 秘密鍵
- 目的
- パイトーチ
- 質問
- クイック
- すぐに
- 理由
- 受け取ります
- 覚えています
- replace
- 倉庫
- リスク
- ルート
- シーズン
- 秘密
- セキュリティ
- 深刻な
- シェアする
- So
- ソフトウェア
- 一部
- 音
- スピード
- 文
- まだ
- ストール
- 盗まれました
- ストーリー
- 強い
- そのような
- 供給
- サプライチェーン
- 想定
- システム
- 取る
- チーム
- 未来
- アプリ環境に合わせて
- 理論的な
- 物事
- 脅威
- 時間
- 〜へ
- 今日
- 豊富なツール群
- 予期しない
- URL
- us
- つかいます
- users
- 、
- 極めて重要な
- 脆弱性
- 方法
- ウィークス
- この試験は
- while
- 誰
- 意志
- ウィンドウズ
- 言葉
- 働いていました
- 最悪
- XDR
- 年
- あなたの
- ゼファーネット
より多くの 裸のセキュリティ
Google が 2FA の秘密を漏らしている – 研究者は今のところ、新しい「アカウント同期」機能に反対するようアドバイスしている
ソースノード: 2611989
タイムスタンプ: 2023 年 4 月 26 日
