网络盾牌 | 0426-借由Hack DHS计划，美国国土安全部系统发现了122个安全漏洞-NIST发布新版企业补丁管理指南

点击上方蓝色文字关注我们

借由Hack DHS计划，美国国土安全部系统发现了122个安全漏洞；

  标签：美国，DHS，安全漏洞

信源：https://www.bleepingcomputer.com/news/security/hack-dhs-bug-hunters-find-122-security-flaws-in-dhs-systems/

计划比技术重要：NIST发布新版企业补丁管理指南，重点是如何从补丁管理计划中受益，而不是补丁管理技术；

  标签：美国，补丁管理，指南

美国国家标准与技术研究院(NIST)近十年来首次彻底更新了其企业补丁管理指南。NIST还发布了一份配套出版物，展示了如何使用商业工具支持企业实施其修订后的指南。

上一个NIST补丁管理指南版本于2013年发布，侧重于帮助组织部署补丁管理技术，而新版本则侧重于开发补丁管理策略。

NIST的国家网络安全卓越中心(NCCoE)认为新版本最大的变化是：“重点是如何从补丁管理计划中受益，而不是补丁管理技术”。

新的以战略为重点的指南“讨论了影响企业补丁管理的常见因素，并建议制定企业战略以简化和实施补丁，同时还可以降低风险”。

据NIST称，在此过程中，该指南旨在弥合“业务/任务所有者与安全/技术管理人员之间关于漏洞修补价值的分歧”。

据悉，新版本指南的配套出版物NIST SP 1800-31由NCCoE与一些最大的网络安全技术提供商合作完成。例如指南基于思科、IBM和微软等公司的贡献，概述了如何部署商业技术以“实现组织处理常规和紧急修补情况所需的库存和修补功能”，以及“实施临时缓解、隔离方法，或修补的其他替代方法”。

该指南还推荐了“保护补丁管理系统本身的安全实践”。

NIST还将固件、操作系统或应用程序中的安全漏洞修补视为必要的“业务成本”。

当忽视补丁管理导致严重损失时，人们就会发现与系统停机、数据泄露和其他不利结果所带来的财务和声誉损失相比，补丁（管理）的成本微不足道。

企业补丁管理面临的最大威胁是修复速度与攻击速度的差距越拉越大。由于效率低下、对系统可用性的担忧或者其他各种原因，许多企业在修补系统方面显然仍然很慢，而攻击者在利用漏洞方面的速度越来越快。

根据网络安全公司Rapid7最近的研究，2021年攻击者利用已知漏洞的平均时间从42天骤降至12天。

信源：https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-40r4.pdf

美国众议员提出《能源网络安全大学领导力计划法案》，该法案将建立起能源网络安全大学领导力计划，为从事网络安全与能源基础设施研究的研究生及博后研究员提供助学金和财政援助；

  标签：美国，法案，能源安全

4月21日，美国国会众议员Mike Carey与Deborah Ross共同提出《能源网络安全大学领导力计划法案》，希望帮助美国能源基础设施解决日益增长的网络威胁挑战。

近一年来爆发了许多起重大网络安全事件，比如科洛尼尔输油管道公司遭到勒索软件攻击、佛罗里达州水处理厂发生投毒未遂、休斯顿港传出网络攻击未遂的消息。这推动了两党认真考虑立法，希望为能源部门增加人手，提高美国对于未来网络攻击的抵御能力。

具体来说，该法案将建立起能源网络安全大学领导力计划，为从事网络安全与能源基础设施研究的研究生及博后研究员提供助学金和财政援助。

国会议员Carey说，“针对美国能源机构的网络威胁已经达到史上最高水平，必须采取紧急行动来保护这些支撑现代生活的关键基础设施。能源网络安全大学领导力计划的建立，将进一步培养出具备能源网络安全专业知识的高水平劳动力，并增强我们的威胁应对能力。美国必须团结一致，对抗试图攻击我们能源网络的外国对手。”

国会议员Ross也指出，“为了应对美国关键能源基础设施面临的日益增长的网络威胁，我们必须投资建立一支强大且多元的劳动力队伍，借以应对一切挑战。这项立法将让北卡罗来纳州及其他地区的优秀学生及研究人员们如虎添翼，共同应对不断变化的网络安全形势。”

能源领域的许多安全漏洞，往往只有在已被尝试或成功攻击后才被发现。更麻烦的是，随着能源部门整合更为复杂的技术要素，美国的能源基础设施也越来越容易受到先进网络攻击方法的影响。健壮的能源安全人才储备，将帮助能源部门做好准备，更从容地应对日益严峻的威胁环境。

能源网络安全大学领导力计划将在能源部之内建立赠款项目，借以满足人才与研究需求：

• 为学院及大学的奖学金、研究基金及研发项目提供财政援助，支持研究生们学习如何将网络安全与能源基础设施加以融合；

• 为研究生及博后研究员提供实习机会，帮助他们在能源部国家实验室及公共事业单位内积累经验；

• 扩大对于传统黑人学院与大学、少数族裔服务机构、以及部落学院与大学的宣传力度。

此外，立法还要求能源部长在法案颁布后的一年之内，向国会提交一份关于计划制定与实施情况的报告。

信源：carey.house.gov

对俄罗斯宣战以来，匿名者通过 DDoSecrets公布了约 5.8 TB 的俄罗斯数据，并声称要泄露更多俄罗斯企业、政府、商业银行等实体组织的数据信息；

  标签：俄乌战争，匿名者，大规模数据

俄乌战争爆发后，匿名者黑客组织（Anonymous）宣布对俄罗斯发动网络战争。目前，该团伙声称已通过 DDoSecrets 公布了约 5.8 TB 的俄罗斯数据，发誓要泄露更多俄罗斯企业、政府、商业银行等实体组织的数据信息。

下列是过去三天被匿名者组织攻击的俄罗斯企业名单：

Enerpred：俄罗斯最大的一家液压工具生产商，专门从事能源、石化、煤炭、天然气和建筑等行业。匿名者泄露了该组织一个 432GB 的档案，其中包含 64.5 万封电子邮件。

Accent Capital：一家俄罗斯商业房地产投资公司，主要持有或参与管理其客户投资的房产。匿名者泄露其包含 36.5 万封电子邮件在内的 211GB 档案。

Sawatzky：一家物业管理公司，其客户包括杜邦、联想、惠而浦、Aveva、Wella、强生、思科、谷歌、斯沃琪、Avito、三星、微软、西联、圣戈班、土耳其航空公司和英美烟草公司等。匿名者黑客组织泄露 Sawatzky 一个大小 432GB 的档案，其中包含 57.5 万封电子邮件。

Invest ：一家与爱沙尼亚和俄罗斯铁路有关联的投资公司。匿名者已经成功泄露了一个 130GB 的档案，包含 25万 封邮件。

信源：https://securityaffairs.co/wordpress/130554/hacktivism/anonymous-leaked-5-8-tb-russian-data.html

南美洲金融中心里约财政系统遭勒索攻击，420GB数据被盗；

  标签：里约，财政，攻击，数据泄露

4月22日，巴西里约热内卢州的财政大臣披露，目前该部门正在处理一起针对其系统的勒索软件攻击。

LockBit勒索软件团伙宣称为此次事件负责。他们入侵了接入政府办公室的系统，并窃取到约420 GB数据。该团伙还威胁，将在25日公布这批被盗数据。

里约热内卢州财政大臣发言人在声明中表示，在发现网络犯罪分子入侵系统并发出威胁后，他们已经联系了巴西数字犯罪执法机构。

发言人指出，“在上周四（21日）发出的威胁中，恶意黑客要求支付赎金，否则将披露据称窃取自Sefaz-RJ系统中的数据。这批失窃数据约占州财政部门全部数据存储量的0.05%。”

里约热内卢市是巴西第二大城市，GDP仅次于圣保罗，同时也是巴西国家石油公司、巴西国家电力公司、巴西联邦储蓄银行、国家经济和发展银行、巴西淡水河谷等多家国有企业的总部所在地。

作为南美洲的金融中心之一，里约热内卢GDP在全球所有城市中排名第30位。2021年，该市出口商品总值达325亿美元。

信息与通信技术副秘书处也在接受媒体采访时指出，他们已经提出与警方合作开展调查。

发言人还提到，“自2020年以来，副秘书处一直将加强信息安全作为优先工作。也正是归功于此，本次攻击并没有造成特别严重的后续影响。”

信源：https://www.xmyeditor.com/

研究人员通过人工智能利用推特预测粮食短缺问题；

  标签：社交媒体，冲突源，人工智能

宾夕法尼亚州立大学和卡塔尔哈马德-本-哈利法大学的研究人员表示，推特上的推文所表达的情绪和情感可以被实时用来评估大流行病、战争或自然灾害供应链中断可能导致的粮食短缺。

他们发现，在COVID-19大流行的早期，在美国某些州，表达愤怒、厌恶或恐惧的与食品安全有关的推文与实际的食品不足密切相关。研究人员说，这些发现有可能被用来开发一个低成本的早期预警系统，以确定哪里最需要食品安全干预措施。

研究人员表示，COVID-19大流行病的发生及其相关的供应链中断引发了全世界对食物获取和供应的担忧，许多人在社交媒体上表达了这些担忧。研究人员想看看实时推文是否可以用来确定面临粮食供应或不安全问题的特定州或地区。研究人员不是只看与食物不足有关的推文数量，而是想知道人们对他们的食物状况的实际感受。利用人工智能，他们确定了与推文相关的情绪和情感，这使他们能够将表达对食品供应的担忧的推文与表达救济或满足的推文分开。

在分析的推文中，最常表达的情绪是喜悦，研究人员将其解释为反映了广泛的宽慰，即尽管早期对食物短缺的担忧，美国的食物供应在大流行期间仍然相对稳定。表达愤怒、厌恶和恐惧等负面情绪的推文与某些州的实际食物不足问题密切相关。为了开展这项上周在线发表在《应用经济视角与政策》杂志上的研究，研究人员使用了一个被称为GeoCoV19的数据集，其中包含来自世界各地的数亿条与COVID-19有关的多语言推文。他们只选择了源自美国并在2020年2月1日至8月31日期间发布的英语推文。他们进一步缩小了所得推文的范围，只包括那些含有与粮食不安全有关的语言的推文。

他们使用的人工智能语言模型可以检测出这些推文中负面、中性和正面的情绪；以及愤怒、厌恶、恐惧、喜悦、悲伤、惊讶或中性的情绪。研究人员还绘制了美国各州的推文，以便将他们的发现与美国人口普查家庭脉搏调查（HPS）的实际食物不足数据进行比较，该调查是每周在网上对随机选择的美国家庭代表样本进行的全国性调查，询问参与者在前一周和大流行病开始之前是否有时或经常没有足够的食物。

当对所有州的六个月期间进行平均时，表达愤怒、厌恶和恐惧情绪的推文与HPS中报告的实际州级食物不足率明显相关。在州一级，表达恐惧的推文与加利福尼亚州、伊利诺伊州、纽约州、德克萨斯州和威斯康星州的实际食物不足率的相关性最强。表达愤怒或厌恶的推文与加利福尼亚州、伊利诺伊州、纽约州、德克萨斯州和威斯康星州的食物短缺率呈正相关。

信源：https://www.cnbeta.com/articles/tech/1261545.htm

一键四连