网络盾牌 | 1018-美陆军又一批应用程序成功迁移至cARMY云-深圳证监局通报：某券商OA系统遭受网络攻击

点击上方蓝色文字关注我们

美陆军又一批应用程序成功迁移至cARMY云；

标签：美国，陆军，应用程序，cARMY云

2022年5月，美陆军企业信息系统项目执行办公室（PEO EIS）的采办、后勤和技术企业系统与服务（ALTESS）产品部在美陆军其他几个机构的配合下，将美陆军装备司令部（AMC）的45个应用程序从国防信息系统局（DISA）的“军事云2.0”（milCloud® 2.0）迁移到美陆军企业云管理署（ECMA）的cARMY上。此次迁移标志着美陆军数字转型战略又向前推进了一步。

1 背景

陆军企业信息系统项目执行办公室（PEO EIS）专为陆军提供基础设施和信息管理系统。同时，它也负责开发、采办和部署战术信息技术系统和产品及管理信息技术系统和产品。由于美国国防信息系统局（DISA）决定于2022年5月20日关闭“军事云”（milCloud），美陆军装备司令部（AMC）在今年2月份的时候就曾与美陆军企业信息系统项目执行办公室负责采办、后勤和技术企业系统与服务（ALTESS）的产品部接洽，商讨如何在有限的时间内迁移其应用程序。作为全生命周期管理服务提供商，ALTESS产品部此前曾帮助美国陆军部总部将40多个应用程序迁移到cARMY上。此次ALTESS产品部将与美陆军装备司令部的四个下属司令部和美陆军企业云管理署密切合作，完成向云迁移的工作。

2 工作进展

2022年2月和3月，ALTESS的首席技术官安德鲁·帕尔和首席工程师约旦·克拉克与来自美国陆军坦克汽车与军械司令部、陆军保障司令部、陆军联合弹药司令部和陆军航空和导弹司令部的应用程序负责人举行了多次评估会议。3月份，迁移团队完成了项目计划和进度计划，并开始调配和配置云资源。4月份，美陆军装备司令部开始在cARMY内配置其应用程序，并进行应用程序赛博安全扫描。

此次云迁移工作时间紧，任务重，涉及美陆军装备司令部、美陆军企业云管理署、陆军分析小组、陆军网络企业技术司令部、陆军赛博司令部等多个机构和部门。为确保能在5月20日的截止日期前按时完成迁移工作，ALTESS做了大量的准备工作，在美陆军各机构的紧密配合下，云迁移工作最终按时顺利完成。云迁移团队还在所有美陆军装备司令部环境中执行并测试了备份。

企业云管理署主管保罗·帕克特表示：“此次云迁移工作量巨大，正常情况下，需要12个月以上的时间才能完成。ALTESS的联合团队能在如此有限的时间内，将美陆军装备司令部近50个任务应用程序从“军事云”迁移到cARMY，一是靠团队成员的集体工作能力、快速适应新流程和克服不可预见事件的能力，二是靠美陆军装备司令部、美陆军企业云管理署等机构密切配合的凝聚力。这个项目证明了ALTESS作为应用程序服务提供商可以将应用程序大规模迁移到云端，能够帮助陆军实现其云目标。我们希望未来继续与客户建立这种合作关系，帮助他们将应用程序迁移到云境，同时总结经验不断改进产品和流程，为客户提供心仪的云服务。”

ALTESS产品总监博伊德·威廉姆斯表示，“ALTESS拥有199名经验丰富的IT专业人员，能为美国陆军和国防部提供最好的IT服务。ALTESS已经成长为一个云托管服务提供商，而不仅仅是一个陆军企业数据中心。”ALTESS位于弗吉尼亚州雷德福的数据中心托管着115个应用程序和系统，并为系统和应用程序所有者提供IT基础设施、赛博安全和应用程序管理服务。

现在，美陆军装备司令部的云迁移项目已经完成，ALTESS预计将为司令部的应用程序提供维护工作，并进行其他的云迁移工作。

信源：https://www.secrss.com/articles/47902

深圳证监局通报：某券商OA系统遭受网络攻击；

标签：深圳，证监局，券商，OA系统，网络攻击；

10月13日，深圳证监局公布了最新一期的证券期货机构监管通讯（2022第5期），其中，通报了一起证券公司网络安全风险管理不规范的风险案例。

通报称，近期，辖区某证券公司因网络安全风险管理存在漏洞，导致公司OA系统遭受注入攻击影响公司移动端OA办公。深圳证监局核查发现，该公司渗透测试及漏洞修复机制不完备，网络安全监控方式和响应机制有待改进，安全防护策略有待加强。同时，该公司信息系统相关人员流动较大，多个重要信息系统运维主岗已离职，多个技术管理环节权限管理不严。

深圳证监局表示，辖区各证券期货经营机构应高度重视网络安全保障工作，认真落实网络和信息安全工作责任规划，加强信息技术人员保障，提升网络安全风险防控能力。

信源：https://www.secrss.com/articles/47974

谷歌正式推出“密钥登录”，逐步取代传统密码登录；

标签：谷歌，密钥登录

10 月 12 日，谷歌宣布在 Android 和 Chrome 中正式推行密钥登录 “PassKey”，以逐步替代长期使用的密码登录 “PassWord”。

推出的密钥登录可以认为是 “生物密码” 和 “授权登录” 的结合。用户可以在 Android 手机上创建一个基于公钥加密的密钥凭据，创建密钥的时候需要对本人进行生物特征识别，比如 “指纹” 或者 “面部识别” 等。

创建完毕后，这个密钥凭据可用于解锁所有在线帐户 —— 既可以解锁 Android 手机上的帐户，也可以解锁附近所有设备的帐户。是的，这个 FIDO 密匙登录功能由微软 / 苹果 / 谷歌联合出品，属于行业标准。因此它是跨平台的，包括 Windows、macOS 和 iOS 以及 ChromeOS。换而言之，你可以用 Android 手机的密钥凭据解锁上述所有系统的帐户和网站。

在谷歌的眼中，密码登录这种老旧的身份验证方法很容易被钓鱼或者盗号等方法影响，安全性不高。而密钥登录则大为不同，它不能重复使用，也不会泄露服务器漏洞，还能保护用户免受网络钓鱼的攻击以及忘记密码的困扰，即使丢失了手机， FIDO 密钥也可以从云备份安全地同步到新手机。

不过，现在这个密钥登录功能还不完善，只是一个重要的里程碑，实现了两个关键功能：

1. 用户可以在 Android 设备上创建和使用密钥，密钥通过 Google 密码管理器进行同步。

2. 开发人员可以通过 WebAuthn API、Android 和其他支持的平台，使用 Chrome 在网站上为用户构建密钥支持。

如果要在网站上添加密钥登录功能，开发者需要注册 Google Play Services 测试版 ，并使用 Chrome Canary 版本。

密钥登录功能的下一个里程碑是原生的 Android 应用 API，原生 API 将为应用程序提供多种登录方式，用户可以选择密钥登录，或是使用已保存的密码登录。

信源：https://android-developers.googleblog.com/2022/10/bringing-passkeys-to-android-and-chrome.html

Uber在ESG报告上披露的数据安全内容；

标签：Uber，数据安全

Uber的2021和2022的ESG报告，在其中【Trust】章节都披露了Uber在数据隐私和安全方面开展了哪些工作，还挺有意思的。

首先，Uber的各类App（Uber、Uber司机和Uber Eats）都有一个隐私中心（Privacy Center），在这里用户能够清楚地知道Uber是如何使用他们的数据，数据在业务逻辑里如何流转，并且用户能够自己控制自己的个人信息。另外，在隐私中心里，用户还能申请自己数据的拷贝、司机查看乘客信息、管理广告配置、行使个人数据权利。

其次，在数据安全方面，Uber重点列举了组织和用户控制与请求的数据，不过2022年比2021年少披露了一组内部项目的数据。左边是2021的数据，右边是2020的数据，可以看到2021年的数据更详实。截止2021年底，Uber专职从事隐私与安全的员工有194人，比上一年度增长了5人，看起来安全团队是非常稳定了。

另外，Uber还说自己除了获得27001认证之外，为了成为美国政府的服务商，还去做了以NIST 800-171为基础的SOC2审计。同时Uber还讲了治理层面公司做了哪些事，包括由CISO和首席隐私官主持的隐私与网络安全委员会能够跨职能监督公司的隐私与网络安全运行、CISO每季度向执行领导团队汇报网络安全风险、审计委员会每季度审阅公司整体网络安全风险、公司董事会全体成员每年都会收到网络安全更新。

最后，Uber还介绍了执法部门和政府如何访问数据。

政府机构可以在一个专门的门户上提交数据申请，Uber组建了7*24小时响应团队来处理。

基本上关于数据隐私与安全的内容就以上这些，整个ESG报告还披露了很多其他内容，比如司乘安全改善、抗疫、员工关怀、节能减排啥的，内容与数据都非常丰富。

信源：https://s23.q4cdn.com/407969754/files/doc_downloads/2021/07/Uber-2021-ESG-Report.pdfhttps://uber.app.box.com/s/7otjaxo7978mio4x59kqovh47doppg4w

加密货币平台Mango Markets遭攻击损失超1亿美元，黑客宣布返还6700万；

标签：Mango Markets

10月12日，基于Solana的去中心化金融平台 Mango 遭到黑客攻击，据报道被盗价值超过 1 亿美元的加密资产。

神奇的转折是，10月17日，一位自称对此次攻击负责的黑客，称要归还部分被盗资金，约6700万美元，余下的金额则当作名义上的漏洞赏金。

据Siliconangle报道，推特用户亚伯拉罕·艾森伯格（Avraham Eisenberg）称他策划了此次攻击。他表示，“我们所有行为都是合法的公开市场行为，使用设计的协议，即使开发团队没有完全预测到按原样设置参数的所有后果。” 但他拒绝透露团队规模。

艾森伯格团队利用1000万美元的成本攻击了 Mango Markets ，获利 1.14 亿美元。“交易”通过操纵预言机将芒果代币价格从 0.30 美元提高到 0.91 美元，这提高了艾森伯格质押品的价值，使团队能够从协议中借入更多资金。

艾森伯格表示，团队进行了一次“闪电贷款”攻击，这是一种去中心化的金融攻击，网络犯罪分子通过闪电贷款操纵交易所的加密货币资产价格，然后在另一个交易所快速售出。

据了解，这次攻击导致Mango Markets资不抵债，用户帐号有被清算的危险，因为该协议无法偿还坏账。艾森伯格表示他促成了与DeFi平台谈判，芒果社区17日投票结果允许艾森伯格保留4700万美元，同时将剩余的6700万美元返还给该项目。退回的资金将用于为交易所注资，弥补由漏洞利用带来的坏账。

根据链上的数据，投票开始后不久，艾森伯格就偿还了价值约 800 万美元的代币数据。根据投票中记录的交易细节，第一次还款是艾森伯格的诚意表现。剩余的资金也已在Solana和以太坊上偿还给Mango Markets。这包括4800万美元的 SOL、1000万美元的稳定币USDC和9万美元的GoMining代币。

信源：https://siliconangle.com/2022/10/16/mango-markets-hacker-returns-funds-claims-market-manipulation-legal/

一键四连