Positivim.com.ua

Категорія: Обчислення в Хмарі

  • Watchdog SBA попереджає агентство уразливості з пристроїв користувачів

    Watchdog SBA попереджає агентство уразливості з пристроїв користувачів

    Сторога адміністрації малого бізнесу оприлюднив попередження агентству про можливі загрози ІТ -безпеки через відсутність багатофакторної автентифікації на особистих пристроях.

    У консультації з управління, надісланого адміністратору СБА Келлі Лоффлер, який був оприлюднений на цьому тижні, Управління генерального інспектора виявив за допомогою федеральної оцінки закону про модернізацію інформації у фінансовому 2023 та 2024 роках, що агентство не має МЗС для користувачів, які отримують доступ до безпечних мереж SBA.

    Вартовий також виявив, що пристрої для особистості можуть отримати доступ до цих агентських мереж із іноземних місць, порушення ІТ -політики SBA.

    “Інформаційні системи SBA є більш вразливими до несанкціонованого доступу, який міг би використовувати конфіденційну інформацію агентства”, – заявив консультативний.

    Користувачі змогли отримати доступ до мережі SBA з іноземних IP -адрес через портал Microsoft 365, повідомляє OIG, хоча менеджери агентства вручну заблокували один індивідуальний два дні після того, як стався доступ. Однак ця вразливість все ще існує, відповідно до консультацій.

    “Вразливість сталася через те, що програмне забезпечення безпеки, яке використовує агентство, повинно автоматично заважати користувачеві набирати в'їзд до мережевих ресурсів на всі спроби”, – пояснив консультативний. “Агентство було вразливим до загроз кібербезпеки з боку іноземних IP -адрес у минулому”.

    Ресурси SBA повинні бути доступні лише за кордоном користувачами агентства, які виконують офіційні урядові обов'язки або на офіційні урядові подорожі, додав ОГ.

    Проблема MFA з мобільними пристроями, що отримують доступ до мереж агентства, була позначена OIG в грудні минулого року, що викликало негайне повідомлення в управлінні SBA. За словами сторожової сторони, менеджери SBA з тих пір взяли участь у “план відновлення”.

    “Без мультифакторної автентифікації кожен особистий пристрій, який підключається до мережі, є потенційною кіберзагровою”, – зазначає консультативні. “Далі, конфіденційні дані не повинні завантажуватися, зберігати чи друкувати на пристроях, що належать особистій власності.”

    OIG надав чотири рекомендації SBA, які вже були розглянуті: застосування МЗС на особистих пристроях; Забезпечення особистих пристроїв, підключених до мережі SBA, оновило програмне забезпечення проти зловмисного програмного забезпечення; забезпечення того, щоб різні заходи безпеки могли застосовуватися для мобільних пристроїв; і забороняти користувачам підключатися до систем SBA через закордонні IP -адреси.

    Сторож також рекомендував SBA прийняти “постійний моніторинг даних мобільного телефону та персональних комп'ютерів у режимі реального часу з автоматизованим реагуванням та аналізом на основі правил”, що агентство заявило, що це зробить.

    Метт Брекен

    Автор Метт Брекен

    Метт Брекен – керуючий редактор FedScoop та CyberSeop, наглядаючи за висвітленням федеральної урядової технологічної політики та кібербезпеки. Перш ніж приєднатися до групи новин Scoop у 2023 році, Метт був старшим редактором Morning Consult, провідним висвітленням технологій, фінансів, здоров'я та енергетики. Раніше він працював у різних редакційних ролях на Балтіморі Сонце та Арізонській щоденній зірці. Ви можете зв’язатися з ним за адресою matt.bracken@scoopnewsgroup.com.

  • Заглучення запускає простежувану хмару WAAP для об'єднання безпеки та спостережливості для хмарних додатків, API

    Заглучення запускає простежувану хмару WAAP для об'єднання безпеки та спостережливості для хмарних додатків, API

    zagluchennya zapuskaye prostezhuvanu hmaru waap dlya ob39yednannya bezpeky ta sposterezhlyvosti Заглучення запускає простежувану хмару WAAP для об'єднання безпеки та спостережливості для хмарних додатків, APIzagluchennya zapuskaye prostezhuvanu hmaru waap dlya ob39yednannya bezpeky ta sposterezhlyvosti Заглучення запускає простежувану хмару WAAP для об'єднання безпеки та спостережливості для хмарних додатків, API

    JURNESS оголосив про нову пропозицію, яка допоможе розробникам забезпечити свої хмарні програми та API, перше головне оновлення, яке має технологію відстежуваного з моменту, коли компанії об'єдналися на початку цього року.

    Простежувана хмарна веб -додаток та захист API (WAAP) забезпечує захист веб -додатків, безпеку API, пом'якшення бота та захист DDOS. За словами Судхіра Патамсетті, старший. Директор з управління продуктами простежуваного за допомогою джгута, мета полягає в тому, щоб поєднати цей захист в єдиний, уніфікований досвід, щоб організаціям більше не доводилося використовувати кілька інструментів.

    За даними компанії, традиційні пропозиції WAAP залежать від статичних сигналів, але простежувана хмара WAAP аналізує поведінку для користувачів, API та сеансів, щоб зрозуміти, як повинен поводитися трафік, щоб він міг втручатися, коли виникає аномалія.

    «API стали універсальним вектором атаки – не лише розширюючи поверхню атаки, а переосмислюючи її. З 57% Організацій, що зазнають порушення API, за останні два роки, традиційні захисні сили вже не достатньо »,-сказав Патамсетті.

    Ключові можливості відстежуваної хмари WAAP включають:

    • Відкриття API від трафіку, зашифровані потоки та сховища коду
    • Чутливе відображення потоку даних та оцінка ризику API
    • Захист часу виконання в режимі реального часу з відбитком пальців зловмисника, атрибуцією користувачів та сеансу та виявленням аномалії
    • Тестування API-лівого API, інтегроване в трубопроводи CI/CD

    “Простежувана хмара WAAP забезпечує глибоку видимість у режимі реального часу в застосуванні та трафік API публікація в блозі.

  • 3 НЕ БУДЕЛЬНІ ЗАКОНУВАННЯ КУПИТИ ТА ТОЧЕННЯ ДЛЯ ДЕЯКОГО ДЕЙСЯ

    3 НЕ БУДЕЛЬНІ ЗАКОНУВАННЯ КУПИТИ ТА ТОЧЕННЯ ДЛЯ ДЕЯКОГО ДЕЙСЯ

    Ринок власного капіталу в США користувався вражаючими мітингами у 2023 та 2024 роках, що підживлювалося в основному оптимізмом навколо штучного інтелекту (AI). Однак 2025 рік виявляється іншою історією, оскільки ринки стикаються зі збільшенням економічної невизначеності, зростання геополітичної напруги та ескалаційної торгової війни між США та Китаєм.

    В одному з найбільш агресивних кроків адміністрація Трампа встановила тарифи до 145% на більшість китайських імпортів і до 245% на певні китайські продукти. Китай також помстився 125% тарифами на американський імпорт, поряд з обмеженнями експорту на критичні важкі рідкісні метали Землі.

    Куди зараз інвестувати 1000 доларів? Наша команда аналітиків щойно розкрила, що, на їхню думку, є 10 найкращих запасів купувати прямо зараз. Продовжити »

    Ці тарифні війни порушують ланцюги поставок у галузях. Однак кілька високоякісних компаній, таких як Microsoft (NASDAQ: MSFT), Амазонка (NASDAQ: AMZN)і Оракул (NYSE: ORCL)здається, позиціонується, щоб протистояти цій бурі в довгостроковій перспективі. Ось чому.

    Десятиліття тому Microsoft зосередився в основному на продажу дорогих програмних ліцензій та пакетів та генеруваних грудних продажів. Однак компанія різко змінилася в минулі роки. Бізнес-модель Microsoft перетворилася на в основному модель на основі підписки, а це означає, що вона заробляє повторювані, високі маржу та передбачувані потоки доходів. Цей перехід позиціонував його як стійкий вибір у складному ринку.

    Його основні сегменти бізнесу – сегмент продуктивності та бізнес -процесів, інтелектуальний хмарний сегмент та більше сегмента персональних обчислень – допомогли створити різноманітний бізнес із постійним грошовим потоком. Основні пропозиції включають Microsoft 365, Github, LinkedIn, платформу Azure Cloud Computing, операційна система Windows, ігри та пристрої, такі як Xbox та Surface, були ключовими для забезпечення високих показників утримання клієнтів.

    Що насправді відрізняє Microsoft у 2025 році, – це його агресивна стратегія штучного інтелекту (AI). Завдяки своєму стратегічному партнерству з OpenAI, Microsoft успішно інтегрує розширені можливості AI по всій його екосистемі, що сприяє збільшенню прийняття підприємств. Копілоти, що працюють на AI, також допомагають сприяти прийняттю підприємств у різних галузях.

    Уолл -стріт очікує, що дохід та прибуток Microsoft щорічно зростатимуть на 11,9% та 12,3% відповідно, у довгостроковій перспективі. Отже, співвідношення ціни на прибуток (P/E) у 29,5x–низько, ніж його в середньому п'ятирічний 33 рази-здається розумним для компанії з твердим ровом та видимістю.

    Враховуючи надійну бізнес -модель компанії та тверду стратегію AI, Microsoft здається розумною покупкою протягом наступного десятиліття.

    Хоча електронна комерція є важливою частиною бізнесу Amazon, її екосистема набагато більше. Він охоплює платформу хмарних обчислень AWS, цифрову рекламу та кілька ініціатив, що працюють на AI. Отже, хоча зростаюча торговельна війна, побоювання спаду та тарифні невизначеності між США та Китаєм порушать ланцюги поставок для бізнесу електронної комерції Amazon, довгострокова історія зростання Amazon здебільшого неушкоджена.

    Бізнес хмарних обчислень AWS, безсумнівно, є первинним двигуном прибутку Amazon. Незважаючи на те, що він становив 17% суміші доходів у 2024 році, AWS внесла понад 58% від операційного доходу компанії. У 2024 році AWS досягла щорічної ставки доходів у розмірі 115 мільярдів доларів – вражаючі показники, незважаючи на обмеження потужностей, такі як повільніші постачання чіпів, порушення від нового запуску фірмового обладнання та кремнію компанії та дефіциту деяких необхідних компонентів.

    Amazon також рухається зі швидкістю на передній частині AI. Компанія інвестувала 8 мільярдів доларів в антропіку та запустила спеціальний чіп AI Trainium2 з 30% до 40% ефективними цінами, ніж традиційні графічні процесори для навантажень AI. Компанія також працює (побудована, або будується) на понад 1000 різних генеративних програм AI. Тим часом, очікується, що збільшення прийняття автоматизації та робототехніки за допомогою бізнесу збільшить продуктивність, зменшуючи витрати.

    Бізнес з електронної комерції Amazon також розширив сайти доставки в один день на 60% за рік у 2024 році, щоб покрити понад 140 областей метро. Працюючи над тим, щоб запропонувати покращені швидкості доставки та зручність, більше клієнтів вважає за краще неодноразово купувати у компанії. Рекламний бізнес Amazon також відчуває свою присутність і подвоївся до 69 мільярдів доларів щорічного курсу за чотири роки.

    Ціна акцій Amazon знизилася майже на 29% від його найвищого рівня на початку лютого 2025 року. Згодом вона торгується на форварді на 31,3 рази-фари нижче, ніж у п'ятирічному середньому 55,4 разів.

    Поточна ціна акцій, здається, є чудовою можливістю для довгострокових інвесторів придбати частку в цій стійкій компанії.

    Хоча Oracle наразі не входить до основних виборів акцій AI, ця ситуація може незабаром змінитися. Оскільки запас знизився майже на 35% від свого 52-тижневого максимуму, він зараз виглядає як привабливий вибір для довгострокових інвесторів, особливо враховуючи його критичну роль у створенні глобальної інфраструктури AI та міцного імпульсу зростання його хмарних послуг.

    Залишені зобов'язання Oracle (RPO), метрика, що підкреслює майбутнє блокування доходу компанії, безперечно, є найбільш переконливою причиною купівлі акцій. RPO злетів на 62% за рік до 130 мільярдів доларів у третьому кварталі фінансового 2025 року (закінчився 28 лютого 2025 р.) – незважаючи на те, що не включаючи контракти з ініціативи ініціативи AI в 500 мільярдів доларів. Отже, коли Project Stargate матеріалізується, він різко збільшить вже високий RPO компанії.

    Хмарний інфраструктурний блок Oracle також зростає з швидкістю Breakneck – 51% за рік, далеко випереджаючи декількох конкурентів Hyperscaler. Компанія стратегічно будує навчальну інфраструктуру AI, створюючи масове розгортання GPU 64 000 Nvidia's чіпси. Компанія розробила платформу даних Oracle AI, що дозволило її величезній клієнтській базі аналізувати дані, що зберігаються в існуючих базах даних Oracle, використовуючи моделі AI від декількох видатних постачальників. Ця можливість дозволяє клієнтам отримувати інформацію з даних, зберігаючи їх приватними та безпечними. Керівництво очікує, що це буде значною конкурентною перевагою, орієнтуючись на швидке розширення ринку індероматів AI.

    Завдяки кількома твердими задніми вітрами, керівництво керується на 15% зростання доходів у фіскальному 2026 та 20% у 2027 році. Компанія також підвищила свій квартальний дивіденд на 25%, підкресливши свою прихильність до повернення вартості акціонерам.

    Незважаючи на безліч задніх вітрів, Oracle торгує в 19,1 рази вперед заробіток, набагато нижчий, ніж середній показник п'ятирічного кратного в 32,6x. Враховуючи його надійну хмарну інфраструктуру, стратегічні ініціативи AI та широку географічну присутність, оцінка здається дешевою – відкриття можливості придбати акції зараз.

    Перш ніж купувати акції в Microsoft, врахуйте це:

    З Advisor Stople Fool Команда аналітика щойно визначила, що, на їхню думку, є 10 найкращих запасів Щоб інвестори купували зараз… і Microsoft не була однією з них. 10 акцій, які зробили скорочення, можуть призвести до прибутку монстрів у найближчі роки.

    Подумайте, коли Netflix склав цей список 17 грудня 2004 року … якщо ви інвестували 1000 доларів на момент нашої рекомендації, у вас буде $ 532 771!* Або коли Nvidia склав цей список 15 квітня 2005 року … якщо ви інвестували 1000 доларів на момент нашої рекомендації, у вас буде $ 593 970!*

    Тепер варто відзначити Радник з акційЗагальна середня віддача є 781%-перевищення ринку порівняно з 149% Для S&P 500. Не пропустіть останній список Топ -10, доступний, коли ви приєднаєтесь Радник з акцій.

    Див. 10 акцій »

    *Радник акцій повертається станом на 21 квітня 2025 року

    Джон Маккі, колишній генеральний директор компанії Whole Foods Market, дочірньої компанії Amazon, є членом ради директорів Motley Fool. Маналі Прадхан не має позиції в жодній із згаданих акцій. Motley Fool займає позиції та рекомендує Amazon, Microsoft, Nvidia та Oracle. Motley Fool рекомендує наступні варіанти: Довгий січень 2026 $ 395 дзвінків на Microsoft та короткі дзвінки в січні 2026 $ 405 на Microsoft. Мотлі дурня має політику розкриття інформації.

    3 Немає запасів, які можна придбати та провести протягом наступного десятиліття, спочатку опублікував Motley Fool

  • Tenable розкриває привілейований ризик у хмарній хмарній ваді Google

    Tenable розкриває привілейований ризик у хмарній хмарній ваді Google

    Tenable Research розкрила деталі вразливості привілеїв у вразливості в Google Cloud Composer, що могло б дозволити зловмисникам отримати несанкціонований доступ до критичних хмарних ресурсів.

    Було виявлено, що вразливість, яку називають ConfusedComposer, впливає на середовища композитора Google Cloud, дозволяючи користувачам з обмеженими дозволами використовувати інтеграцію між композитором та Google Cloud Build, службою безперервної інтеграції та доставки Google.

    Tenbeable повідомив, що зловмисники, що володіють дозволами редагування в хмарному композитору, можуть скористатися використанням композитора за замовчуванням облікового запису служби служби Cloud Build, який налаштований з широкими пільгами через послуги Google Cloud Platform (GCP). Вводячи зловмисний пакет Python під час процесу встановлення, зловмисники могли посилити свої привілеї та взяти на себе особу облікового запису служби Cloud Build.

    Під час контролю над цим обліковим записом послуги актор загрози матиме доступ до декількох критичних ресурсів GCP, включаючи хмарну збірку, хмарне зберігання та реєстр артефактів. Цей доступ може бути використаний для крадіжки даних, введення шкідливого коду в трубопроводи для створення програмного забезпечення, встановлення наполегливості через приховані заходи або посилення привілеїв далі, щоб потенційно взяти на себе повний контроль проекту GCP.

    ConfusedComposer описується як варіант раніше виявленої вразливості, відомої як ConfusedFunction, ілюструючи, як взаємопов'язаний характер хмарних служб може сприяти розробці нових методів експлуатації на основі існуючих слабких місць.

    Tenable використовував термін “концепція Jenga” для опису цього явища, де слабкі місця безпеки в одному хмарному сервісному шарі можуть каскадуватися в інших через переплетені залежності.

    “Коли ви граєте в гру Jenga, видалення одного блоку може зробити всю вежу нестабільною”, – сказала Лів Матан, старший дослідник безпеки в Tenable. “Хмарні послуги працюють однаково. Якщо один шар має ризиковані налаштування за замовчуванням, то цей ризик може поширитись на інших, роблячи порушення безпеки, швидше за все.”

    Google вирішила вразливість, і від користувачів не потрібні додаткові дії для пом'якшення проблеми в існуючих середовищах. Однак висновки Tenbable підкреслюють більш широку стурбованість організаціями, що покладаються на екосистеми хмарних служб, що складаються з складених та взаємозалежних послуг.

    Тенераційні окреслені конкретні наслідки, які можуть бути наслідком експлуатації ConfusedComposer. Потенційні наслідки включають крадіжку конфіденційних даних, компроміс з трубопроводів CI/CD, встановлення постійних методів несанкціонованого доступу та повне поглинання постраждалих проектів Google Cloud.

    Що стосується найкращих практик безпеки, то, порекомендувавши організаціям застосовувати принцип найменшої привілеї, щоб мінімізувати непотрібне успадкування дозволу, на карту прихованих залежності обслуговування, використовуючи такі інструменти, як Jenganizer, та проводити регулярні огляди журналів для виявлення підозрілих спроб доступу.

    “Відкриття ConfusedComposer підкреслює необхідність служб безпеки для виявлення прихованих хмарних взаємодій та застосування суворих привілеїв. Оскільки хмарні середовища стають складнішими, важливо визначити та вирішити ризики, перш ніж зловмисники скористаються ними”, – додав Матан.

    Розкриття ConfusedComposer звертає увагу на зростаючу складність та взаємозв'язок у безпеці хмарної платформи, що дозволяє припустити, що команди повинні активно оцінювати потенційні шляхи ескалації привілеїв та успадковані ризики у своїх хмарних архітектурах.

  • Вітер Рівер Окринк | Вітер -річка

    Вітер Рівер Окринк | Вітер -річка

    Вітрова річка OpenStack та Cloud River River Platform – це комерційно підтримувані продукти, отримані з проекту з відкритим кодом Starlingx. Starlingx-це найкраща інтеграція в декількох проектах з відкритим кодом, включаючи Kubernetes та OpenStack, що вирішує оперативні проблеми розгортання та управління контейнерними та віртуалізованими робочими навантаженнями в розподілених хмарах.

    viter river okrynk viter richka.webp Вітер Рівер Окринк | Вітер -річка

    Відкрито

    • Складається з компонентів програмного забезпечення з відкритим кодом для побудови хмарної інфраструктури з набором загальних послуг для обчислення, зберігання та мереж
    • Підтримує розгортання компонентів індивідуально або разом, що робить його дуже налаштованим та масштабованим
    • Підтримується великою глобальною спільнотою розробників та користувачів, забезпечуючи постійні інновації
    1745400802 35 viter river okrynk viter richka.webp Вітер Рівер Окринк | Вітер -річка

    Starlingx

    • Інтегрує компоненти інших усталених проектів з відкритим кодом, затверділи та оптимізовані для розподілених хмарних середовищ
    • Включає такі проекти, як OpenStack, Ceph, Kubernetes, Kubevirt та Linux
    • Підтримує критичні для місії хмарні програми та послуги
    • Має громаду, яку влаштовує Фонд OpenInfra
    1745400802 939 viter river okrynk viter richka.webp Вітер Рівер Окринк | Вітер -річка

    Кубернети

    • Представляє основу для управління контейнерами та автоматизацією з відкритим кодом
    • Керує життєвим циклом контейнерних додатків
    • Розробляється та підтримується хмарною обчислювальною основою (CNCF)

  • Thales та Deloitte Alliance для зміцнення хмарних стратегій безпеки та дотримання даних

    Thales та Deloitte Alliance для зміцнення хмарних стратегій безпеки та дотримання даних

    Suparna виконує функції старшого керуючого редактора брендів каналів Cyberrisk Alliance, включаючи MSSP Alert та Chanenle2e. Вона відіграє ключову роль у розвитку контенту, оптимізації редакційних робочих процесів, узгодження розповідей з потребами аудиторії та співпраці між командами, щоб забезпечити своєчасний вміст з високим впливом. Її фонове охоплює технології, засоби масової інформації та освіту, і вона приносить унікальну суміш стратегічного мислення, творчості та досконалості роботи в кожному проекті.

  • Мисливець на помилки отримує SSL CERT для Alibaba Cloud в 5 кроках • Реєстр

    Мисливець на помилки отримує SSL CERT для Alibaba Cloud в 5 кроках • Реєстр

    Система перевірки домену сертифікатів SSL.com мала нещасну помилку, яка була використана зловмисниками, щоб отримати без дозволу, цифрові церти для законних веб -сайтів.

    З цими сертифікатами, зазначають, що шахраї можуть створити більш зухвалих шкідливих копій цих сайтів для таких речей, як фішинг довіри, або розшифрував перехоплення трафіку HTTPS між цими сайтами та їх відвідувачами.

    А після того, як дізнавшись про цю недолік, SSL.com відкликав 11 неправильно виданих сертифікатів – один з них для Alibaba.

    Отвір здається таким же простим, як це: як частина процесу перевірки того, що ви керуєте доменним іменем – і, таким чином _validation-contactemail Запис DNS TXT для домену зі значенням, встановленим на контактну електронну адресу.

    Після того, як цей запис DNS TXT присутній, і ви вимагаєте сертифіката для домену, SSL.com надсилає код та URL -адресу на цю контактну адресу. Ви натискаєте на посилання та вводите код і встановлюєте, що ви є контролером домену і можете отримати сертифікат для свого сайту.

    На жаль, через реалізацію баггі, SSL.com також вважає вас власником домену, який використовується для контактної електронної пошти. Якщо ви поставите в vulture@example.com, за умови, що ви можете взяти пошту на цю адресу та перейти за посиланням, SSL.com із задоволенням видав вам сертифікат для прикладу.com. Не має значення, в якому домені ви насправді намагалися перевірити право власності.

    Swap example.com для постачальника веб -пошти, і раптом це стає трохи страшною ситуацією.

    Як зазначив у п'ятницю звіт про помилку, опублікований у п’ятницю, який використовує ручку “репортер SEC”, коли SSL.com отримав запит на видання сертифіката, під час процесу перевірки домену “неправильно позначає ім'я хоста електронної адреси підтвердження як перевірений домен”.

    SEC Reporter продемонстрував, що можна було надати електронну адресу @aliyun.com для випадкового домену, а також видати Certs для aliyun.com та www.aliyun.com – веб -поштою та публічним хмарним сервісом, яким керує китайський Інтернет -гігант Alibaba.

    Подібність SSL.com з цього приводу страшно, оскільки це означає, що кожен, хто набрав хибний процес перевірки запису DNS, може вимагати та бути виданий, TLS CERT для чужого веб -сайту. Ці церти можуть бути використані для підробки законного сайту та дозволу атаки в середній середній, фішинг тощо.

    Зараз SSL.com скасував 11 сертифікатів, виданих за допомогою цієї несправної логіки перевірки. Один з них був для Aliyun.com, отриманий дослідником, щоб продемонструвати вразливість безпеки. Інші? SSL.com не говорить, хто їх отримав, але перелічив їх наступним чином:

    Важливо відзначити, що церти, створені для цих доменів, можуть бути не отримані зловмисно; Все, що ми знаємо, це те, що вони були видані через зламану систему перевірки, а це означає, що їх потрібно скасувати як запобіжні заходи.

    У попередньому звіті про інцидент, опублікованому в понеділок, офіцер технічного дотримання SSL.com Ребекка Келлі підтвердила, що в одному з методів перевірки контролю домену (DCV) є недолік.

    “Неправильна реалізація методу DCV, зазначеної в SSL.com CP/CPS, Розділ 3.2.2.4.14 (електронна пошта до контакту DNS TXT), що призвело до неправильного видання сертифіката на ім'я хоста електронної адреси затвердження”,-заявив Келлі в базі даних Mozilla Bugzilla.

    Цей конкретний процес DCV – існують альтернативні методи перевірки доменів – відключений, поки SSL.com не зможе виправити недолік. Біз обіцяв повний звіт про інцидент 2 травня або до цього.

    Ось п’ять кроків, плюс початкова фаза налаштування, репортер SEC надав для використання нагляду за перевіркою домену:

    Як зазначалося в їх написанні, дослідник не є адміністратором, хостом, ані веб-майстром для aliyun.com, і _validation-contactemail для домену взагалі не був налаштований. “Отже, це неправильно”, – підсумував мисливець на помилки.

    SSL.com подякував досліднику і пообіцяв, що “обробка цього інциденту з максимальним пріоритетом”.

    Реєстр звернувся до запитань про помилку та чи є якесь слово, яке його експлуатують для нечітких цілей. Ми оновимо цю історію, коли отримаємо більше інформації. ®

  • Як створити CBOM для квантової готовності

    Як створити CBOM для квантової готовності

    Квантові обчислення можуть вирішити певні математичні задачі з набагато більшою швидкістю, ніж класичні комп'ютери – відкриваючи світ можливостей для багатьох галузей. Однак пошкодження пошкодження полягає в тому, що давні асиметричні криптографічні алгоритми, такі як RSA, стануть трісками.

    Це може бути п’ять-10 років, але Ніст та Агентство національної безпеки консультують організаціям розпочати міграцію криптографії після кванту (PQC). Це не тільки допоможе запобігти нападам “урожаю, розшифровувати пізніше”, але й забезпечити, щоб організації готували криптографічно, коли квантові обчислення будуть мейнстрімі.

    Ключовим кроком у вдосконаленні квантової гігієни безпеки та запуску міграції PQC є інвентаризація всіх криптографічних систем, що використовуються, визначаючи, як вони взаємодіють із програмним забезпеченням організації та розумінням, яке може потребувати оновлення для світу PQC. Цей процес створює криптографічний рахунок матеріалів (CBOM).

    Що таке CBOM?

    CBOM – це повний інвентаризація всього відкритого коду, фірмового та комерційного програмного забезпечення, яке компанія використовує для розуміння своїх криптографічних активів. Він записує саме там, де організація використовує криптографію в даний час, де вона використовувала її в минулому, і допомагає оцінити, де вона могла б потребувати в майбутньому.

    CBOM дозволяють організаціям робити наступне:

    • Визначте та контролюйте, де використовуються криптографічні алгоритми.
    • Проаналізуйте, чи підходять поточні стандарти.
    • Вирішіть, які алгоритми потребують оновлення та коли.
    • Стати або покращити криптовалютність.
    • Забезпечити дотримання галузевих норм.

    Крім того, CBOM особливо корисні при плануванні міграції PQC. Організації можуть відображати, які активи можуть бути вразливими, коли квантові обчислення широко поширені, точно визначають їх позицію ризику, а потім приймати рішення щодо управління ризиками.

    CBOM проти SBOM

    CBOM – це розширення програмного законопроекту матеріалів. SBOM – це структурований перелік всього програмного забезпечення, яке використовує організація, розбита за її складовими частинами. SBOM допомагають організаціям зрозуміти кожен компонент програмного забезпечення, бібліотеку та залежність, що використовується, а також потенційні ризики безпеки, які можуть ввести кожен.

    CBOM – це додатковий рівень SBOM, який детально описує криптографічні активи організації, включаючи апаратні, мікропрограмні та програмні компоненти.

    Як створити CBOM

    Під час побудови CBOM спочатку розглянемо сферу. Використовуйте поточні бази даних та SBOMS, або починайте їх розробляти, якщо їх не існує. Обсяг може включати пошук кожного криптографічного активу або, під час підготовки до квантової готовності, він може бути обмежений активами, як відомо, використовують PKI.

    Після інвентаризації активи приходять найбільш трудомісткий крок: виявлення, які алгоритми шифрування використовують кожен компонент кожної системи. Інструменти SBOM можуть допомогти прискорити цей процес. Наприклад, Cyclonedx додав можливості CBOM до свого SBOM для відстеження криптографічних компонентів.

    CBOM повинен містити все, що включає SBOM – компоненти програмного забезпечення, бібліотеки, залежності від коду, історію патчів, постачальники, номери версій, ліцензії тощо – плюс наступне:

    • Криптографічні алгоритми та ключові довжини.
    • Криптографічні залежності.
    • Відповідність криптографічним стандартам.
    • Криптографічні сертифікати та їх термін придатності.
    • Криптографічні ключі та їхні держави.
    • Протоколи безпеки та політики.

    Якщо ви використовуєте CBOM для квантової готовності, після завершення використання інвентаризації активів та картографування, що використовуються, настав час провести оцінку ризику для кожного активу у світі після квант. Це буде довгий процес, саме тому NIST радив організаціям розпочати зараз. Багато активів, особливо застарілих додатків, можуть мати криптографічні алгоритми, які неможливо легко модернізувати або навіть взагалі – наприклад, якщо вони жорстко кодуються на пристрої IoT.

    Частина процесу управління ризиками передбачає запитів у постачальників, якщо і коли вони підтримають PQC. Потім організації повинні визначити, чи потрібно їм перемикати постачальників та продуктів, щоб мати можливість прийняти PQC вчасно. Це також допомагає організаціям зрозуміти наслідки вартості міграції PQC на всій організації.

    Завдяки завершеному CBOM організації можуть точно проаналізувати програмне забезпечення, яке використовується для PQC, та визначити, де спочатку реалізувати квантово-безпечне програмне забезпечення та що може чекати.

    Пам'ятайте, CBOM – це живий документ. Організації повинні постійно оновлювати його, коли нове програмне забезпечення додається або видалено, щоб забезпечити підтримку криптографічних – і незабаром PQC – безпека.

    Роб Шапленд – це етичний хакер, що спеціалізується на хмарній безпеці, соціальній інженерії та навчанні кібербезпеки компаніям у всьому світі.

  • CISA видає керівництво на тлі непідтверджених хмарних порушень Oracle

    CISA видає керівництво на тлі непідтверджених хмарних порушень Oracle

    Американське агентство з питань безпеки кібербезпеки та інфраструктури (CISA) закликає організації та осіб вживати запобіжних заходів на тлі занепокоєння щодо потенційного компромісу, що включає спадщину хмарного середовища Oracle.

    У сповіщеннях, опублікованому в середу, CISA визнала постійні повідомлення про підозрілі активності, орієнтовані на клієнтів Oracle. Незважаючи на те, що повний обсяг загрози залишається незрозумілим, агентство позначило кілька ризиків, особливо навколо розкритих або повторно використаних облікових даних.

    Керівництво CISA підкреслює небезпеку облікових матеріалів – таких як імена користувачів, паролі, жетони аутентифікації та клавіші шифрування – вбудовані в сценарії, інструменти автоматизації або інфраструктурні шаблони. Якщо компрометувати, ці повноваження можуть надати довгостроковий доступ до зловмисників і їх часто важко виявити.

    Агентство радить організаціям зробити кілька ключових кроків:

    • Скиньте паролі для користувачів, які, можливо, зазнали впливу, особливо там, де облікові дані не керуються через централізовані системи ідентичності.
    • Перегляньте та оновлюйте будь -які файли сценаріїв, коду або конфігурації, які можуть містити жорсткі дані, замінюючи їх захищеними методами аутентифікації.
    • Контролюйте журнали аутентифікації на будь -яку незвичну діяльність, з додатковою увагою на облікових записах з адміністративними або підвищеними привілеями.
    • Забезпечте фішинстійну багатофакторну автентифікацію як для облікових записів користувачів, так і для адміністратора, де це можливо.

    Цей консультаційний консультації слідкує за претензіями, поданими протягом останніх тижнів про масштабне порушення, що передбачає до 6 мільйонів записів та 140 000 оракуючих оркад. Дослідники Cloudsek вказали на вразливість в системі Login Oracle Cloud, тоді як SpiderLabs Trust Wive SpiderLabs заявила, що його аналіз набору даних підтримує ці претензії на порушення.

    Oracle публічно заперечував будь -який компроміс своєї хмарної інфраструктури Oracle (OCI) і стверджує, що дані клієнтів не впливали. Незважаючи на ці відмови, компанія не випустила офіційних рекомендацій чи громадських консультацій, що окреслила наступні кроки для клієнтів. Фахівці з безпеки кажуть, що Oracle спілкувався з деякими клієнтами приватно, але в основному мовчав у публічному доступі.

    “Не було порушення Oracle Cloud (OCI)”, – прес -секретар Oracle повторював занурення в кібербезпеку на початку цього місяця, додавши, що розповсюдження облікових даних не пов'язані з OCI.

    Незважаючи на це, уже подані два судові позови – один проти Oracle Health в Міссурі, а інший проти корпорації Oracle в Техасі.

    Деякі галузеві групи закликають до більшої відкритості від Oracle. Еррол Вайс, головний директор з питань безпеки Центру обміну та аналізу охорони здоров'я, сказав, що Oracle ще не відповів на запрошення на взаємодію з членами групи. “Ми розчаровані відсутністю прозорості від Oracle”, – сказав він.

    Джонатан Брейлі, директор з питань розвідки про загрозу в IT-ISAC, заявив, що консультація CISA пропонує певний напрямок, поки зацікавлені сторони продовжують чекати більш детальної інформації. “Консультативність корисна тим, що ми маємо надійний звіт, яким ми можемо поділитися, хоча, схоже, CISA зайняла активну позицію пом'якшення” потенційний несанкціонований доступ “, оскільки ми всі чекаємо деталей від Oracle”, – сказав він.

    Наразі експерти з безпеки продовжують контролювати ситуацію, закликаючи Oracle забезпечити подальшу чіткість своїм клієнтам та широкій спільноті кібербезпеки.

    (Фото від Unsplash)

    Див. Також: Oracle Cloud заперечує порушення, оскільки хакер пропонує 6 мільйонів записів на продаж

    Хочете дізнатися більше про кібербезпеку та хмару від лідерів галузі? Ознайомтеся з Cyber ​​Security & Cloud Expo, що проходить в Амстердамі, Каліфорнії та Лондоні.

    Вивчіть інші майбутні події технологій підприємства та вебінари, що працюють від Techforge тут.

  • Серія SLM – Agiloft: Мова моделі в управлінні життєвим циклом контракту

    Серія SLM – Agiloft: Мова моделі в управлінні життєвим циклом контракту

    Це гостьова публікація для комп'ютерної щотижневої мережі розробників, написаної Томас Леві у ролі старшого директора AI та ML в Агітофт.

    Agiloft є налаштованою, платформою автоматизації бізнес-процесів без коду, відомою своїми рішеннями управління життєвим циклом контракту (CLM). Розроблений для упорядкування та автоматизації складних робочих процесів, Agiloft дозволяє організаціям керувати контрактами, юридичними процесами, столами обслуговування та іншими бізнес -операціями з мінімальним технічним втручанням.

    Як пояснив Енді ПатріціоCLM – це систематичний підхід до управління діловим договором на кожному етапі. CLM поєднує технологічні та бізнес -процеси для впорядкування та автоматизації завдань, включаючи складання, переговори, закупівлі, виконання, моніторинг та поновлення контрактів.

    Леві пише повністю так …

    Критичність компаній, що керують ризиком в умовах геополітичних, регуляторних чи економічних коливань, ніколи не була більш гострою. Вживання безмежного інтелекту договорів може допомогти підприємствам зрозуміти, хто несе відповідальність, хто несе відповідальність, хто збирається робити що і якою вартістю. Я б стверджував, що наявність цієї інформації під рукою – це найбільша сила технології управління життєвим циклом контракту (CLM). Наявність єдиного рішення для управління кожним зобов'язанням на дотику кнопки, що використовує AI, – це справжнє стратегічне значення CLM, крім того, що просто керує операційною ефективністю договорів обробки.

    Для CLM як великі мовні моделі (LLMS), так і мало мовні моделі (SLM) пропонують цінні можливості. Вибір між ними або поєднання їх залежить від складності завдання та бажаної роботи. Незважаючи на те, що LLM часто використовуються через їх великі параметри, деякі завдання в процесі перегляду контракту повторюються та прості та можуть обробляти SLM.

    Візьміть автоматичну ідентифікацію та вилучення стандартних контрактних застережень, таких як “розірвання”, “відшкодування збитків” або “умови оплати”. Повна потужність LLM не завжди потрібна для цих завдань. Спеціалізований SLM, навчений спеціально для таких пунктів, може Виконайте ці завдання швидше і за меншими витратами.

    SLM для CLM

    Наприклад, ви можете використовувати SLM, навчений для виявлення та вилучення всіх пунктів, пов’язаних із «відповідальністю виключно»… і коли вони подали договір, SLM швидко знайде всі відповідні екземпляри, заощаджуючи час та ресурси під час процесу перегляду.

    Аналогічно, SLM може бути навчений для отримання даних за всіма графіками платежів та термінами. При застосуванні до набору контрактів цей SLM послідовно та точно витягував відповідні дати та фінансову інформацію, автоматизуючи завдання, яке часто стомлює та схильні до помилок, якщо виконати вручну.

    Гібридний підхід – використання SLM для звичайних завдань та резервування LLM для більш складних – часто може забезпечити солодке місце для оптимізації продуктивності, забезпечуючи точність та швидкість, контролюючи експлуатаційні витрати. Подумайте про це: SLM міг би вирішити початковий показ договорів, визначення стандартних пропозицій та позначення потенційних проблем. Тим часом, LLM може забезпечити поглиблений аналіз складних юридичних формулювань або складання договірних положень.

    Розумна маршрутизація

    Інтелектуальна маршрутизація може підтримувати реалізацію гібридної стратегії, але вашій системі AI повинна точно розрізнити складність даного завдання та направити її на найкращу модель. Маршрутизація може зводиться до різних факторів, включаючи тип договору

    (наприклад, закупівлі, продажі, юридичні) або тип застереження, що аналізується. Наприклад, договір, пов’язаний з інтелектуальною власністю, може бути направлений на спеціалізований LLM, який навчається в угодах про патентне законодавство та ліцензування, тоді як стандартна угода про нерозголошення може бути повністю оброблена набору SLMS.

    Рішення між LLM та SLM не завжди повинно зводиться до вибору одного над іншим, а як стратегічне розгортання ресурсів на основі конкретних потреб завдання. [As has been discussed at length already, we know that] LLMS перевершує складні міркування та завдання, які потребують широких знань, як тлумачення правових прецедентів або складання нюансових пунктів. З іншого боку, SLM ідеально підходять для повторюваних дій, таких як видобуток даних та визначення стандартних пропозицій. Ретельний експеримент та порівняльний аналіз пройдуть довгий шлях у визначенні, яка модель або комбінація моделей підходить для ваших потреб CLM.

    Однією з важливих переваг SLM є їх розмір. Вони значно швидше тренуються, потребують меншої кількості обчислювальних ресурсів і, як правило, більш економічно. Це робить їх ідеальними для локальних або приватних хмарних середовищ, де безпека та контроль даних є першочерговими. За його словами, немає причин, які SLM повинні бути обмежені цим середовищем.

    Вплив на навколишнє середовище мовних моделей є ще одним важливим фактором. Хоча SLM, як правило, демонструють менший слід вуглецю, загальна стійкість їх розгортання залежить від таких факторів, як споживання енергії, пов'язане з навчанням та розгортанням. Якщо для повтолу функціональності одного LLM потрібно багато SLM, екологічні переваги зменшуються.

    SLM також не без властивих обмежень. Їх ефективність може погіршитися, зіткнувшись із завданнями, які значно відхиляються від своїх навчальних даних і можуть бути сприйнятливими до упереджень. Тому важливо суворо оцінювати та перевірити їх Виконання для забезпечення їх надійності та точності.

    Спеціалізовані набори даних

    seriya slm agiloft mova modeli v upravlinni zhyttyevym czyklom Серія SLM - Agiloft: Мова моделі в управлінні життєвим циклом контракту

    Томас Леві, старший директор AI & ML в Agiloft.

    Поява LLM-специфічного домену вводить ще один шар складності. Ці моделі, які навчаються на спеціалізованих наборах даних, іноді можуть перевершити SLM в певних областях, але часто припадають на більш високі експлуатаційні витрати. Вибір специфічного домену LLM або SLM залежить від вашої програми та потреб CLM. Наприклад, якщо ваш Юридичний департамент повинен проаналізувати складні договори в корпоративному законодавстві, LLM, що стосується домену, може стати кращим вибором. SLM був би більш ефективним для більш звичайних завдань, таких як видобуток пункту.

    SLMS чудово підходить для більш цілеспрямованих завдань з обмеженою областю та складністю. Якщо вам потрібен чат, щоб відповісти на запитання про умови договору, такі як графіки платежів або дати доставки, SLM ідеально підходять для роботи. Однак, LLM буде необхідним, якщо ви хочете, щоб цей чат поводився з більш складними запитами, як -от інтерпретація юридичної мови або оцінка ризику.

    Зрештою, кожна галузь повинна враховувати стратегічне використання SLM. Ключовим є вирівнювання розміру моделі зі складністю завдання. У CLM це означає використання SLM для звичайних завдань, таких як видобуток прямих застережень та збереження LLM для глибших Юридичний аналіз та складання. Підприємства можуть оптимізувати витрати, підвищити ефективність та покращити свої операційні процеси, зосереджуючись на найменшій ефективній моделі.