数字安全观察每周简报【技术趋势篇】2022.11.17-2022.11.23

阅读量199627

发布时间 : 2022-12-01 10:36:45

开源安全基金会采用微软以消费为中心的供应链安全框架。20221116日,开源安全基金会宣布采用安全供应链消费框架,这是微软构建的以消费为中心的开源管理框架,在微软自己使用2年后的今年8月份开放。该框架基于威胁的风险降低方法来缓解现实世界的威胁,主要优势之一是它可以与任何以生产者为重点的框架(如SLSA,软件构件的供应链级别)形成很好的衔接。该框架将关注重点划分为八个实践领域并提出相应要求,并对每项要求划分为四个成熟度等级,同时提供了评估指南,帮助组织满足框架要求。

(来源:Microsoftsecurityweek

【天枢点评】:供应链安全是当前继勒索软件攻击之后最炙手可热的话题之一,目前主要从最佳实践方面着手应对,微软、谷歌、MITRE等在该领域走在前列。从结构上看,微软的这个框架一方面兼顾了与其他框架的衔接,降低了使用者的开发和应用成本,另一方面,提供了自评估指南,使用者能够在采用框架时自行确认风险水平并完善迭代。这是微软提出和使用的管理框架,相信会对微软系的生态产生积极影响。

NASA发现航天器、工业控制系统网络中的安全漏洞。20221115日,美国宇航局和密歇根大学的研究人员曝光了广泛用于航天器等关键基础设施的高危漏洞,可影响网络时间触发以太网(TTE),当被利用攻击时,会造成TTE设备失去时间同步。在NASA的模拟实验中,攻击使乘员舱偏离了既定航线。

(来源:engadetumich

【天枢点评】:时间触发以太网是航空航天、发电厂和工业控制系统中广泛采用的网络协议,此次曝光的漏洞虽然需要物理接触相关设备,不能远程利用,但如果融合如社工程手段,其利用风险仍处于较高水平。另一个角度看,利用该协议的场景基本都属于关键基础设施,其本身就是当前高级威胁关注的重点,一旦攻击达成,其后果具有严重危害性。

 

* 如需了解《数字安全观察》完整版信息,请联系anquanke@360.cn,关注360天枢智库

本文由360天枢智库原创发布

转载,请参考转载声明,注明出处: https://www.anquanke.com/post/id/283883

安全客 - 有思想的安全新媒体

分享到:微信
+10赞
收藏
360天枢智库
分享到:微信

发表评论

内容需知
  • 投稿须知
  • 转载须知
  • 官网QQ群8:819797106
  • 官网QQ群3:830462644(已满)
  • 官网QQ群2:814450983(已满)
  • 官网QQ群1:702511263(已满)
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 360网络攻防实验室 安全客 All Rights Reserved 京ICP备08010314号-66