TOP5 | 头条：美国政府发布安全日志强制留存规定，提升事件响应能力

美国政府发布安全日志强制留存规定，提升事件响应能力；

标签：美国政府，安全日志强制留存规定

• 完整的数据包捕捉数据（PCAP）至少保留72小时，

• 网络安全事件日志必须保存长达30个月。

根据新规则，如果已经“授权用于商业用途”，则两种类型的记录均可留存更长时间。

这是自2014年确立以来，GRS的信息系统安全记录条款做出的首次更新。

数据包捕捉数据是指经由网络传输的所有数据包的概要信息。这些数据对于网络安全取证工作至关重要，其中记录着网络上所有连接设备之间的一切数据往来情况。

GRS Transmittal 33文件指出，考虑到包含“网络威胁的检测、调查和补救”等一切相关数据和行动，应进一步细化网络安全事件日志的粒度。

信源：安全内参

开源航班跟踪软件对军用飞机构成严重威胁；

标签：开源航班跟踪软件，飞行威胁

五角大楼一位高级官员最近表示，公开可用的航班跟踪数据对美国军方来说是一个日益严重的问题。ADSBExchange.com、FlightRadar24.com 和FlightAware.com等网站使用商业和民用传感器的组合，24小时实时捕捉商业、民用和军用飞机的运动，汇总美国和国外的飞行数据一天。“国防部认为我们飞机上的开源飞行跟踪和数据聚合对我们在全球范围内开展军事空中行动的能力构成直接威胁，”空军在回应国防部问题的声明中表示。它引用了一位“国防部高级航空政策专家”，但拒绝透露姓名。网站上可以看到数千架飞行中的飞机，它们显示为覆盖全球的数字地图上的剪影。单击一个轮廓，用户可以看到飞机类型、身份和所有权、高度、速度和航向/航迹以及起点和终点信息。捕获数据是可能的，因为国际法规要求飞机通过称为转发器的无线电发射器广播位置信息。转发器允许空中交通管制员协调飞机的移动，并使配备了接收转发器信号的航空电子设备和软件的飞机在飞行时能够在驾驶舱显示屏上看到周围的其他飞机。转发器信号也可以被廉价的地面接收器捕获，爱好者、航空爱好者和其他人可以使用广泛可用的硬件和软件以不到100美元的价格自行构建，其中一些可以从航班跟踪网站获得。

在美国，几乎所有类型的飞机——从客机和小型私人飞机到军用战斗机、直升机、轰炸机、加油机、情报收集飞机、运输机、特种作战飞机、无人机，甚至是搭载总统的贵宾专机和国会议员——需要在受控空域转发。大多数现在都配备了联邦航空管理局规定的自动相关监视广播转发器，称为ADS-B。五角大楼已与美国联邦航空局和其他国际空中航行服务提供商达成协议，在认为必要时关闭 ADS-B。但为了帮助促进空中交通的安全和高效移动，美国军用飞机通常通过ADS-B和其他转发器类型进行传输。这使得任何有互联网连接的人都可以获得有关美国军用飞机活动的信息。

信源：https://www.nationaldefensemagazine.org/articles/2023/2/6/open-source-flight-tracking-called-threat-to-military-aircraft

美国能源部三大实验室接连遭网络攻击，国会议员要求调查；

标签：美国能源部

在针对美国能源部掌管的三个国家实验室的一系列网络攻击之后，众议院立法者要求获得有关黑客事件的相关文件，以调查其范围和该机构当前的网络安全态势。这些攻击据称是由俄罗斯进行的，发生在 2022 年 8 月和 2022 年 9 月，可能会暴露美国敏感的科学研究。

据悉，这些攻击是由名为 Cold River 的黑客组织实施的，立法者指出该组织“卷入”了为俄罗斯政府谋利的行动。Cold River 采用的黑客策略包括为三个目标实验室创建虚假登录页面并将其发送给相关科学家，然后提示他们输入密码信息。

众议院监督与问责委员会和科学、空间与技术委员会的领导层在致能源部长詹妮弗·格兰霍姆的一封信中概述了 2022 年 8 月至 9 月期间发生的三起独立网络攻击，目标是与美国国家安全和科学竞争力相关的信息。据报道，袭击发生在布鲁克海文国家实验室、阿贡国家实验室和劳伦斯利弗莫尔国家实验室。

信中写道：“尽管尚不清楚入侵是否成功，但令人震惊的是，对手竟将从事对美国国家安全和至关重要的从事科学研究的政府实验室作为目标。委员会要求提供与这些事件相关的文件和信息，以确定其影响，并评估美国能源部为确保其国家实验室敏感科学研究和开发的持续安全所做的工作。”

信源：E安全

2022年宣布超过450项网络安全并购交易；

标签：网络安全并购交易

SecurityWeek进行的一项分析显示，2022年宣布的与网络安全相关的并购超过450起。2022年，他们共追踪到455笔交易，而2021年为435笔。美国和英国在交易数量方面继续领先，但以色列和澳大利亚去年被加拿大和德国超越。涉及美国公司的交易数量从341宗增加到358宗，英国公司从 70宗减少到61宗。至于区域数据，北美和欧洲继续领先，并购数量与上一年大致相同。与2021年相比，涉及亚洲和大洋洲公司的交易数量有所下降，但拉丁美洲的并购活动增加了一倍多。2022年有62起交易披露了交易的财务细节，远低于2021年披露财务条款的88起交易。2022年，SecurityWeek看到已披露的交易总价值超过630亿美元。有10家公司以超过10亿美元的价格被收购，与2021年大致相同。网络安全行业最重要的交易是谷歌收购Mandiant。

Thoma Bravo以超过10亿美元的价格收购了SailPoint、Ping Identity和Forgerock ，据报道还以40亿美元的价格出售了Barracuda Networks。Vista Equity Partners以超过10亿美元的价格收购了两家公司：KnowBe4和Citrix（Citrix被Evergreen Coast Capital收购）。其他主要交易包括Kaseya收购Datto、Carlyle Group收购ManTech International以及AMD收购Pensando。与2021年大致相同数量的公司被数百万美元收购，但数千万和数亿美元的交易数量从64家下降到38家。从细分领域看，超过10笔交易的领域有：云（32笔）、应用程序（24笔）、咨询（21笔）、事件响应（20笔）、培训（20笔）、威胁情报（17笔） )，以及网络和电子邮件(16)。 

信源：https://www.securityweek.com/securityweek-cybersecurity-mergers-acquisitions-report-2022/

最新发布的OpenSSH 9.2修复了服务器身份验证漏洞；

标签：OpenSSH 9.2，服务器身份验证

OpenSSH的开发人员发布了OpenSSH 9.2版以解决许多缺点，包括在OpenSSH服务器(sshd)的身份验证阶段出现的漏洞。OpenSSH 9.1的CVE-2023-25136中的预身份验证（双重释放）漏洞发生在非特权预身份验证进程中，该进程在大多数主要平台上被chroot并进一步沙盒化。Chroot是类Unix操作系统中改变根目录的操作。使用更改的根目录启动的程序将只能访问该目录中包含的文件。OpenSSH是Secure Shell(SSH)协议的开源实现，它为客户端-服务器架构中不安全网络上的加密通信提供了一组服务。当易受攻击的代码片段调用“ free() ”函数时，双重释放的漏洞就会出现，该函数用于两次释放内存块，从而导致内存损坏和进一步的崩溃或任意代码执行。

Qualys安全研究员Saeed Abbasi表示，影响发生在内存块释放两次- 'options.kex_algorithms'。他还补充说，该问题导致“在非特权sshd进程中出现双重释放”。Abassi解释说，主动利用该漏洞的可能性不大，因为利用过程太复杂了——现代内存分配库提供了防止双重释放内存的保护，并且存在错误的“预授权”过程是用降低隔离沙箱中的权限。

信源：https://www.securitylab.ru/news/536325.php