0508-美国防部更新《定位、导航与授时体系战略》、发布《用于持续交付作战能力的软件工程》-美国网络司令部构建下一代网络武器平台

美国防部更新《定位、导航与授时体系战略》;

标签：美国，定位、导航与授时体系战略

近日，美国防部副部长希克斯批准新版《定位、导航与授时体系战略》，以提高美军在指挥控制、态势感知、信息网络等领域的关键能力。该战略明确了定位、导航与授时（PNT）战略的3项任务：保障美国及其盟友在全球范围内有效使用军事GPS及其他PNT服务；防止对手在军事行动地区有效使用PNT服务；保护军事行动地区外的非作战人员使用民用GPS服务。该战略规定由PNT监督委员会负责监管PNT可替代源，联合主席为负责研究与工程的国防部副部长。

信源： FedScoop

美国网络司令部寻求构建下一代网络武器平台;

标签：美国，网络司令部，网络武器平台

继2019年设计的“联合网络作战架构”（JCWA）后，美国网络司令部正在寻求构建下一代军事网络行动平台。

美国防部在2022年夏季对JCWA进行审查，并发现该架构中存在一些非常明显的缺陷，无法满足美军的任务需求。美国网络司令部网络采购和技术主管迈克尔·克拉克表示，当前状态下JCWA是“未集成到真正的作战平台中的能力联合体”；网络司令部正在设计所谓的JCWA 2.0，制定JCWA 2.0行动和战略概念；这将是一次根本性的重新设计和改造，重点是确定新平台支持作战人员的方式以及新平台的整体构成。

美国网络司令部于2022年10月正式接管了预算控制权，从而能够更好地监督各军种此前代表其开发能力和平台所涉及的资金。目前，网络司令部利用单一的集成需求流程来指导项目的全面采购和方向，负责管理流程、管理需求和推动标准，但仍将与各军种项目办公室合作开展采购。网络司令部向各军种项目办公室提供资金，但各军种项目办公室需要直接向网络司令部报告。与此同时，网络司令部希望在2025财年组建自身的采购部门，并于2027财年将采办责任从各军种项目执行办公室完全转移到网络司令部。网络司令部希望从根本上改变其采办方式，从而在未来更具灵活性和适应性，以快速向作战人员交付能力并应对对手威胁。

信源：奇安网情局

美国防部零信任架构试点成功，将在2个月内全面投产;

标签：美国，国防部，零信任架构

在成功完成零信任网络访问架构试点的两个月之后，美国国防信息系统局（DISA）正在制定一项采购策略，希望迅速将其转化为完整项目。

DISA局长罗伯特·斯金纳中将在周二的武装部队通讯与电子协会（AFCEA）TechNet网络会议上表示，“雷霆穹顶”（Thunderdome）零信任试点计划已经在3月1日成功完成，目前该局正在努力扩大项目规模。

“[数字能力与安全中心主任]杰森·马丁（Jason Martin）与团队正在制定采购战略，以便在未来30到60天内将项目全面投入生产。雷霆穹顶项目不仅仅是一次试点，而是SD-WAN（软件定义广域网）、SASE（安全访问服务边缘）及其他一系列能力。该项目范畴下的内容远不止于此，它代表着客户的实际需求，还代表着数据分析的具体方向。”

斯金纳表示，在国防部零信任战略要求的153项关键活动中，DISA现可通过雷霆穹顶项目提供约123项能力。

自2022年1月DISA与博思艾伦咨询公司签订一份价值680万美元的零信任架构原型开发合同以来，该部门一直在快速推进该项目。

一年多之后，DISA宣布系统开发已经完成，成为一套融合了SD-WAN、SASE、客户边缘安全堆栈和应用安全堆栈等能力的零信任软件解决方案，能够根据用户/设备属性、地理位置数据和使用时间等信息为应用程序提供带条件约束的网络访问。

在将部分非机密原型应用于机密级网络之后，DISA官员于今年3月表示正寻求一项其他生产交易协议，计划将雷霆穹顶部署至整个国防部范围。目前来看，计划似乎正在快速推进。

在更新雷霆穹顶项目的同时，斯金纳还提供了关于其他身份验证程序的细节信息。以全球联合用户域（GFUD）为例，作为系统中的身份管理附加组件，它负责管理指向国防部云端系统和服务的访问活动。

DISA托管与计算中心的云工程师加布·所罗门（Gabe Solomon）在现场表示，使用全球联合用户域的一切国防系统组件，都将使用与登录云Office软件相同的身份解决方案实现工作站登录，借此简化国防网络上各类应用的身份管理流程。

斯金纳解释称，DISA目前正以六个月为期开展多个试点，旨在更新DISA的边界防御方法，例如防火墙与网络入侵检测系统。

“我们的边界上部署着太多能力，这些能力间经常会发生冲突。我们正在研究是否有更好的方法来保障未来的边界安全，考虑能否超越当前水平更多地利用商业能力和行业成果。”

他补充称，这项工作的目标是减轻国防工作人员在保护边界安全方面的负担。

“我想说的是，我们的边界和[联合区域安全堆栈]（JRSS）太过复杂，导致我们无法将用户体验和网络安全协调起来。必须找到新的解决方案。”

信源：DOD

美国防部发布《用于持续交付作战能力的软件工程》指南;

标签：美国，国防部，软件工程

2023年4月26日，美国国防部工程与研究办公室发布《用于持续交付作战能力的软件工程》指南，旨在为软件规划、开发过程提供指导，以适应快速变化的软件技术、软件工程实践、软件开发及软件采办需求，实现快速、安全和有效地持续交付作战能力。该指南是美国国防部软件工程和采办现代化战略的重要部分，主要内容包括政策和指南、技术现代化、挑战与最佳实践、软件度量标准、软件工程和人员能力、人工智能/机器学习等。

信源：海鹰资讯

微星固件密钥遭泄露，上百款产品受影响;

标签：微星固件，密钥泄露

据Cyber News 5月5日消息，有网络攻击者泄露了著名硬件厂商微星科技的固件映像签名密钥，这些密钥是区分合法和恶意更新的关键组件。

研究人员已经确定了泄露的固件映像签名密钥和英特尔用于 MSI 产品的 BootGuard。据固件供应链安全平台 Binarly 首席执行官 Alex Matrosov 称，泄露的固件密钥影响了 57 款 微星产品，而泄露的 BootGuard 密钥影响了该公司 166 款产品。

固件镜像签名密钥是硬件安全基础设施的重要组成部分。这些密钥提供了安全信任，即固件是真实的并且没有被除软件开发人员或设备制造商之外的任何人篡改。同样，Intel Boot Guard 是一种处理器保护措施，可防止计算机运行非系统制造商发布的固件映像。

密钥的泄露会给用户带来重大风险，攻击者可以访问密钥，将受恶意软件感染的固件映像或固件更新推送为合法的更新。由于固件通常在操作系统启动之前启动，因此恶意代码可能会躲过防病毒或其他安全措施的监视。攻击者还可以使用密钥修改固件，严重影响设备的可靠性。

根据 Binarly 的说法，被曝光的设备包括多款微星的 Stealth、Creator、Crosshair、Prestige、Pulse、Modern、Raider、Sword、Summit、Vector 和 Katana 系列笔记本电脑。Github上已挂出受影响产品的完整列表。

今年早些时候，Money Message 勒索软件曾窃取了微星包括源代码在内的近1.5TB重要数据，并要求为此支付400万美元的赎金，但微星拒绝支付赎金。

信源：https://www.freebuf.com/news/365686.html