网络盾牌 | 1219-美国陆军投资8.86亿美元用于提升ISR能力-NIST明确在2030年后彻底废弃哈希算法

美国陆军投资8.86亿美元用于提升战场情报、监视和侦察 (ISR) 能力；

标签：美国，陆军， ISR能力

近日，美国陆军通信电子司令部(CECOM)授予L3Harris Technologies一份价值高达 8.86 亿美元的合同，以支持美国陆军、国防部和情报界的情报、监视和侦察(ISR) 能力。L3Harris Technologies 是一家全球航空航天和国防技术公司，提供跨太空、空中、陆地、海洋和网络领域的先进国防和商业技术。

这份无限期交付、无限期数量的合同包括一份为期五年的基础合同和五个为期一年的后续选项，以提供数据链架构、空中和地面通信的网络设计改进以及生命周期管理支持。

为作战人员和分析人员加快关键数据共享、跨多个领域的传播

为空中和地面部队提供灵活、隐蔽的全球通信能力

通过为期五年的延期合同提供数据链路架构和网络设计增强功能

根据 L3Harris 的说法，美国陆军ISR能力的现代化将允许在具有挑战性的作战场景中及时做出决策。它还将为军事数据链和智能网络提供更好的保护。

这份价值 8.86 亿美元的合同是美国陆军为增强其 ISR 能力而进行的最大投资之一。

去年，该部门授予雷神公司一份1750万美元的合同，以改进Mode 5 和ADS-B系统的监视能力。据报道，这项交易将支持陆军的“识别敌我”技术，以更好地识别敌方资产是友好的、敌对的还是中立的。

此外，美国陆军还计划在其“下一代班组武器”（NGSW）上整合一个情报平台，以提高其性能并降低操作成本。

信源：开源情报技术研究院

NIST明确在2030年后彻底废弃安全哈希算法SHA-1；

标签：NIST，哈希算法，SHA-1

上周四（12月15日），NIST发布公告，建议IT专业人员在2030年12月31日之前用SHA-2和SHA-3组中更安全的算法替换安全哈希算法 (SHA-1)，以保护电子信息。

SHA-1于1995年成为联邦信息处理标准(FIPS 180-1)的一部分，尽管更强大的计算机对它的攻击越来越严重，但网站验证器等安全应用程序对它的有限使用仍在继续。NIST计算机科学家Chris Celi在公告中表示：“联邦政府2030年后将不允许购买仍在使用SHA-1的模块。” “公司有八年时间提交不再使用SHA-1的更新模块。”NIST的密码模块验证计划(CMVP) 每五年评估一次联邦加密中使用的模块（加密系统的构建块）是否有效。该机构计划在2030年12月31日之前发布验证密码模块和算法的过渡策略。NIST还打算发布FIPS修订版FIPS 180-5，并在截止日期前修订受SHA-1停用影响的其他出版物。

SHA-1通过对消息的字符执行复杂的数学运算以生成称为散列的短字符串来保护信息。最近的碰撞攻击使用当今更复杂的计算机来创建欺诈性消息，这些消息会重新创建原始散列以破坏消息。NIST已经警告机构不要使用SHA-1来保护关键流程，例如创建数字签名。

信源：https://www.fedscoop.com/nist-retires-sha-1-algorithm/

美国政府强调加强核武器网络安全；

标签：美国，核武器，网络安全

随着现代武器系统的数字化应用不断推进，其面临网络威胁也愈演愈烈。尤其是近年来网络武器加速向非国家行为体扩散，全球范围内针对核武器的网络攻击频发，网络攻击成为核武器系统面临的重大风险来源。如2020 年美国核武器承包商 Westech 遭 Maze 勒索软件攻击，敏感数据泄露；2021 年核武器承包商 Sol Oriens 遭黑客团队 REvil 勒索软件攻击，内部数据泄露。

在《美国 2020 财年国防授权法案》相关管理要求下，美国政府问责局（GAO）于 9 月 22 日发布《核武器网络安全：国家核安全管理局（NNSA） 应全面实施网络安全风险管理实践做法》，报告全面评估了 NNSA 及其承包商、分承包商实施的网络安全风险管理实践及监管措施，并就评估结果向NNSA 提出加强核武器网络安全的建议举措。报告高度重视美国核武器网络安全举措的落地情况，也向 NNSA 及其承包商强调仍需进一步加强核武器网络安全。

（一）核武器系统数字化、智能化水平持续深入，使其更易遭受网络攻击

近年来，NNSA及其承包商逐步增加了对先进计算机和数字化信息系统的使用，通过将信息系统集成至核武器系统中，从而实现核武器设计及自动化生产，利用计算机能力评估武器性能等目标。随着基于信息系统的核武器全生命周期支持功能增多，其嵌入式组件、系统也呈现指数级增长，其可能遭受的攻击面也随之极大增加，使得核武器系统更易遭受网络攻击。同时，人工智能、机器学习、大数据等新兴技术在武器系统中的扩展应用，亦加剧了核武器系统遭受网络攻击的风险。在高度数字化、智能化的核武器信息系统中，恶意对手极可能开发持续性威胁工具，采取秘密行动、欺骗等手段，控制或欺骗核武器系统，从而威胁国家核安全。

（二）核武器供应链安全落实不到位，无法切实阻止恶意组建植入

美国国防工业供应链尤其是微电子技术对非本土企业的依赖程度呈逐年上升趋势，同时针对软硬件供应链的网络攻击也随之增加由点及面的供应链攻击已逐渐成为一种战略性武器。NNSA依靠管理和运营承包商执行其研发、生产任务，而总承包商则依赖于数量众多的分包商提供各种服务、设备和组件，私营化的核武器开发和系统管理可能会带来供应链安全问题，严重破坏国家核武器系统安全。例如，2020年“太阳风日爆木马（SolarWinds SunBurst）供应链APT攻击侵入NNSA及多家承包商，导致承包商数据泄露，NNSA下属办公室部分职能受到影响。

（三）核武器设计不完善，网络安全问题缺乏思考

当前美国核武器是于冷战时期发展起来的，因为计算机能力有限最初设计核武器系统的时候并未考虑到潜在的网络漏洞问题，网络安全措施并未纳入结构设计的发展规划。随着信息技术快速发展和作战需求的不断变化，核武器系统持续升级迭代、功能集成和现代化改造，老旧组件与新元素的混合导致系统复杂性和受攻击面大幅提升，难以全面评估、预测网络脆弱性。核武器网络安全问题涉及武器发射能力、无意发射的阻止能力、核武器指挥与控制能力、信息传输及其它通信能力、可维护性和可靠性。

信源：信息安全与通信保密杂志社

GitHub推出对所有公共存储库的秘密信息的免费扫描服务；

标签：GitHub，公共存储库，扫描服务

GitHub正在推出对其代码托管平台上所有公共存储库的免费扫描公开秘密（例如凭据和授权令牌）的支持。秘密扫描是一种安全选项，组织可以启用它以进行额外的存储库扫描，以检测已知类型的秘密的意外暴露。

它通过匹配合作伙伴和服务提供商提供的或组织定义的模式来工作。如果合作伙伴模式触发了匹配，每个匹配项都会在存储库的“安全”选项卡中作为安全警报报告或报告给合作伙伴。之前，秘密扫描服务仅适用于使用GitHub Enterprise Cloud和GitHub Advanced Security许可证的组织。GitHub扫描存储库以查找 200多种令牌格式 （包括API密钥、身份验证令牌、访问令牌、管理证书、凭据、私钥、秘密密钥等）。仅今年年初以来，该公司就发布了超过170万次关于公共存储库中暴露的潜在机密的警报。“今天，我们开始免费对GitHub社区中的所有免费公共存储库进行秘密扫描，”GitHub的Mariam Sulakian和Zain Malik周四（15日）表示。“我们将在今天开始逐步推出对公共存储库进行秘密扫描的公开测试版，并希望所有用户都能在2023年1月底之前拥有该功能。”一旦在存储库上启用，GitHub将自动通知开发人员代码中泄露的秘密，从而使组织能够轻松跟踪警报、识别泄漏源并迅速采取行动，以防止意外盗用提交给公共仓库的任何秘密。

暴露的凭据和秘密导致了严重的违规行为，启用机密扫描是一种提高供应链安全性并保护自己免受意外泄露的简单方法。这对于使用GitHub 的组织来说是一个极大的福音。

信源：https://www.bleepingcomputer.com/news/security/github-rolls-out-free-secret-scanning-for-all-public-repositories/

Meta取缔雇佣监控公司并呼吁政府对该行业采取行动；

标签：Meta，监视雇佣

Facebook的母公司Meta上周三（14日）表示，在过去的一年里，Facebook的母公司Meta禁止至少7家参与监视雇佣活动的公司进入该平台，以打击一个越来越容易在网上秘密跟踪人们的行业。

Facebook安全政策负责人Nathaniel Gleicher在一份报告中说：“这个行业有效地使监视民主化，使更多的政府和非政府组织可以使用它，而不是自己建立它们，因此他们正在成倍地增加世界上威胁行为者的供应。”向记者介绍情况。他呼吁世界各地的民主国家采取行动取缔这些类型的公司和活动，他说：“没有任何一家公司可以单独应对像这样的全社会挑战。”在过去几年中，Meta已将与平台上的间谍软件作斗争作为优先事项。它正在对臭名昭著的以色列间谍软件供应商NSO Group提起诉讼，指控该公司在针对Meta拥有的WhatsApp的1,400名用户部署其间谍软件后违反了联邦反黑客法。NSO Group对这些指控提出异议，并曾尝试撤销诉讼，但未能成功。Meta在周四（15日）发布的一份报告中披露了其最新行动，该报告还附有一份政策文件，其中提供了13条应对雇佣监控行业的建议。建议包括禁止销售监控软件、建立机构帮助受害者寻求法律追索权以及使用出口管制清单来限制监控技术的可用性。

信源：https://www.cyberscoop.com/meta-surveillance-for-hire-government-action/