Are you the publisher? Claim or contact us about this channel


Embed this content in your HTML

Search

Report adult content:

click to rate:

Account: (login)

More Channels


Showcase


Channel Catalog


older | 1 | .... | 237 | 238 | (Page 239) | 240 | 241 | .... | 254 | newer

    0 0

    Background Image on Blogs "Quilted" Page: 
    Publish to Facebook: 
    No
    Twitter カードのスタイル: 
    summary

    今天,賽門鐵克通過新聞稿宣布了一項協議,根據該協議DigiCert將收購賽門鐵克的網站安全與相關的PKI解決方案。目前,作為企業防範滲透網路的高級網路安全威脅極為重要的時刻,通過此次收購,客戶將受益于這家專注於提供領先的身份與加密解決方案的企業。

    DigiCert是為企業提供可擴展的身份與加密解決方案之領先的供應商。目前,這一快速增長的企業擁有一批知名的企業和物聯網(IoT)客戶。 DigiCert享有很高的聲譽並具有很高的客戶忠誠度,該企業專注於行業領先的客戶支持,創新的市場解決方案,以及改善行業最佳實踐的有意義的貢獻。 DigiCert的創新與增長戰略已經獲得了多項殊榮,而且該企業在今年夏天被評選為Computerworld百強IT雇主(Computerworld’s Top 100 places to work in IT)之一。

    賽門鐵克的網站安全與相關的PKI解決方案加入DigiCert的產品組合,將為客戶提供經過加強的技術平台,無與倫比的支持以及市場領先的創新。DigiCert將擁有引領下一代全球網站安全的極為優秀的人才與經驗,並將充分獲得利用物聯網領域機會的能力給SSL市場帶來新的方法。

    賽門鐵克網站安全與DigiCert共同對客戶服務鄭重承諾,確保客戶及其業務連續性是重中之重。交易完成之後,我們將努力幫助我們的客戶過渡到新平台,該平台符合所有行業標準與瀏覽器要求,並為CA領域未來的創新奠定基礎。

    重要的是,我們相信這一協議將滿足瀏覽器社區的需求。DigiCert正在就本次交易及其意圖與瀏覽器社區進行溝通,並將在本次交易完成之前的這一期間繼續與他們進行緊密合作。DigiCert讚賞並共同承擔瀏覽器關於培養對數位憑證的信任並保護所有用戶的承諾。

    最後也很重要的一點是,我要感謝網站安全團隊每一名勤勞、敬業的員工。對於前方的機會,我們感到非常振奮,而且我們深切致力於為網站安全業務,相關員工,以及我們的客戶成功完成本次過渡。

    謹此

    Roxane Divol

    執行副總裁兼總經理,賽門鐵克網站安全


    0 0
  • 08/16/17--06:21: Breaking In!
  • The fundamental steps to launching a cyber security career
    Publish to Facebook: 
    No

    By Jonathan Omansky, Senior Director, Development, Security Technology & Response Team

    Symantec’s Jonathan Omansky provides a simple set of steps to launch a career in cyber security and to address the critical shortage of qualified cyber security professionals.

    “HELP WANTED!” signs are hanging outside windows of almost every private, public, and governmental organization directly or indirectly connected to the cyber security space. If you’ve spent any time looking at this field as a potential career choice or read one of the thousands of articles, blogs, studies, think tank reports, and “expert” advice columns then you know the message is quite clear: WE NEED PEOPLE!!

    Today, there are hundreds of thousands of cyber security positions that remain vacant around the world. As global consumer demand for automated, connected, and intelligent products and services grows, the risks and resulting reality of an increase in cyber attacks expands, and we will in turn see an even greater demand for people. This simple supply and demand equation is part of what the tech industry is now calling the fourth industrial revolution.

    The prospect of filling all of these positions is slim at best, and it’s time to focus on what we can actually do about the growing skills gap. I’ve observed a lot of experts recommending advice:  pursue a degree, hurry to complete any number of (a growing list of) certifications, learn to code in this language, learn to script in that one. While these are all cogent recommendations to consider if you have the financial means, competency, and time, this advice doesn’t provide the fundamental steps to launching a cyber security career. Research shows a large percentage of vacant cyber security positions could be filled by individuals without a college degree—creating a tremendous opportunity to train and prepare non-traditional candidates for these roles.

    I coach, guide, and mentor young students and re-trainees including high school students, inner-city youth, veterans, and believe it or not, elementary school aged kids. While what follows may be common sense to some, the eager minds I know aspiring to cyber security careers need a much simpler set of baseline steps to get started. I’ve used the below strategies with the students I mentor and have seen real results in the form of numerous permanent job placements. I hope sharing this set of simple approaches helps others; we need to attract as many people as we can into cyber security to keep the world safe from ever-evolving digital threats.

    Below you’ll find six simple steps to launch a career in cyber security and in this editorial, I’ll cover the first step, defining your career focus, in detail.

    1. Define your career focus
    2. Research, learn, and assess
    3. Read and write
    4. Formulate a view of the attack 
    5. Make friends, make lots of different friends
    6. Don’t be afraid to be wrong

    #1. Define your career focus

    The very first thing I hear from folks trying to break into the field, is “There’s sooo much to consider, where do I start?” Well, it all starts with making a choice. The choice here is similar to those in medicine, law, auto mechanics, or construction, where you must choose where to focus your time and training. There is an array of disciplines under the cyber security umbrella, some are moderately technical and others require a more advanced technical skill set. This choice is an individual one: get to know the industry, where it is and where it’s going, define the skills you have, decide where you want to go, and think about what interests you.

    You may be interested in network analysis, file reversing, email analytics, incident response, data mining, or one of numerous other areas. Each and every one of these areas has its own aspect of cyber threats attached to it. As such, each area has its own unique set of tools and an established baseline of knowledge that must be learned. Understanding this baseline, the analytical processes and procedures, communication protocols used, the file structures employed, the network architecture, and the programming and/or scripting language(s), is essential to establishing your career.


    Jonathan Omansky visits with Symantec Cyber Career Connection (Symantec C3) graduates from the Stride Center, a Symantec education and training partner that prepares low-income Bay Area adults to thrive in technology careers. 

    When I began my career in network security, we weren’t using a hammer and chisel to establish a TCP handshake, but it wasn’t much more advanced. My learning was relegated to books, RFCs, and manual pages and I discovered very quickly the skills I needed to be effective. I needed to understand how networks communicated, how computers “talked” to each other using protocols spanning the TCP/IP stack and its difference between UDP. I invested countless hours reading about the structure of core protocols – the languages of the Internet - such as HTTP (web), SMTP (mail), FTP, POP, IMAP, IP, and many more. In order to identify an attack, you need to know the language of how it operates. I watched these protocols in action using tools such as Ethereal, Wireshark, and TCPDump, finding sample network traffic files of attacks and figuring out how they were successful. Before long, I understood the basics of how a network attack is performed and could identify patterns that stood out as anomalies. I eventually turned those patterns into IDS/IPS rules, which enabled users to prevent future attacks based off of similar patterns.

    In the early days of my career, there were only a few hundred total people in this field, which made it hard to find someone to learn from or chat up over lunch. These days, there are a huge number of social media based learning and networking opportunities that make defining your career focus easier. You can use these tutorials, webinars, videos, and blogs to learn more about the industry, and once you’ve chosen your desired area of focus, take advantage of these tools to ramp up your knowledge and skills. 

    The approach I’ve described above is a short and simple way to begin learning basic network security concepts. My goal is not to replace the wide array of freely available online and written content that breaks down technical topics, but to provide a very basic roadmap of how to get started. I find as I speak to aspiring candidates, that this is needed just as much as a deep-dive in technical data.

    In short, pick an area, layout your roadmap of learning, and start with one tool, one protocol, or one file structure. Continue to build on that, and you’ll see just how accessible this space really is.

    Follow our CR in Action blog for more on how to launch a cyber security career. Interested in a career in cyber security? Learn more about the Symantec Cyber Career Connection (Symantec C3), which provides a mix of targeted classroom education, non-technical skills development, and cyber security internships to position students to fill in-demand cyber security jobs.


    0 0

    These mistakes can be costly !
    Publish to Facebook: 
    No

    The exposure of sensitive or compliance related documents in the cloud has become one of the primary data security threats that organizations face today. Leakage of these documents, intentional or otherwise, can be potentially disastrous for an organization and result in compliance fines, mitigation costs, and loss of customer trust. The problem is not specific to a single cloud app provider but can occur when using any file sharing app. Whether an exposure happens to just a handful of documents or millions, the damage can be severe. For instance, the loss of a single document containing a confidential business strategy can provide a significant edge to the competition, resulting in lost business opportunities and potential revenue.

    Recently, the Symantec Cloud Threat Labs team discovered a number of invoice documents that were exposed via AWS S3 buckets. Due to responsible disclosure and ethical guidelines, we are not divulging the names of the involved businesses. These documents were publicly available and could be easily accessed and downloaded using a web browser. In an earlier blog, we discussed how globally accessible AWS buckets could lead to data exposure involving sensitive documents if not audited completely.

    This incident highlights the importance of securing data in AWS buckets by restricting privileges.  Considering the competitive nature of service providers, disclosure of invoices could be very damaging to an organization if discovered by external parties. For example, one of the invoice documents reveals information about a firm’s consulting services, associated costs, and its Tax Identification Number (TIN) as shown below:


    Figure 1: Invoice disclosing business consulting charges



    Figure 2: Invoice disclosing service and product  costs


    Figure 3: Invoice disclosing professional fees charged for a specific engagement


    Figure 4: Invoice disclosing supply chain and delivery costs

     

    If documents like the ones above were exposed, the results could be devastating from a business perspective. The potential repercussions of this exposure are clear, and below we list only a few that can damage the business and benefit the competition (or attackers):

    • Glean more information about the different types of services being offered.

    • Understand the different types of fees being charged by the company for specific services.

    • Collect sensitive information such as Tax Identification Number (TIN).

    • Understand the revenue generation model being followed by the company.

    • Underbid the company on RFPs to win projects.

    Considering the above case studies, there are several points to ponder:

    • Are the documents being exposed by the business firms’ clients by mistake?

    • Are the documents being exposed by a malicious insider who wants to make the sensitive information public?

    • What would be the impact on the business if the documents were exposed and accessed by competitors?

    • Do the involved parties have a Cloud Access Security Broker (CASB) solution to monitor the activities in the cloud, analyze exposed content, and alert or remediate a business-sensitive exposure?

     As discussed earlier, exposure of sensitive documents in the cloud can have a substantial impact on the businesses irrespective of the sources and causes of the exposure. Considering the case discussed here, it shows how crucial it has become for an organizations to deploy to uncover and classify sensitive corporate data and then enable the organization to set policies around its use and sharing.

    その他の投稿者: 

    0 0

    新しく登場する Symantec Information Centric Security では、いつでもどこからでも、データの暗号化、追跡、呼び出しが自動的に行われます。
    Background Image on Blogs "Quilted" Page: 
    Publish to Facebook: 
    No

    重要なデータや情報の可視性を維持するのは、容易なことではありません。ひとつひとつのデータがどこにあるのか、把握するのもひと苦労です。ビジネスに欠かせないデータ、たとえば知的財産(IP)や、ときには個人情報(PII)さえ、さまざまなチャネル(メールや USB で、オンプレミスで、あるいは Box などのクラウドストレージシステム)を通じてチーム間で共有されることが多く、そこには可視性も管理性もほとんどありません。

    データが本当に保護されているかどうかわからない、そんな場合は、可視性と管理性について、リトマス紙のように簡単な判断基準があります。

    1. 次のように共有するとき、誰が重要なデータにアクセスできるか判断できるか

      1. 信頼しているパートナーと共有するとき

      2. 信頼しているベンダーと共有するとき

      3. BYO デバイスを使う請負業者と共有するとき

    2. 信頼しているパートナーやベンダーが他のベンダーと情報を共有しているかどうかを判定できるか

    3. 請負業者、パートナー、ベンダーとの契約が終了するとき、共有していたデータは取り戻せるか

    こうした質問に対する答えが「いいえ」だとしても、異常なことではありません。それどころか、シマンテックが実施した最近の調査によると、最高情報セキュリティ責任者(CISO)のうち 3 人に 1 人近くが、今年の事業における内部的な脅威の筆頭にデータ漏えいをあげているほどです。*

    データ漏えいが起これば、企業の IP が失われるだけでなく、EU の一般データ保護規則(GDPR)や PCI Security Standards Council といった規制順守義務に違反する恐れもあります。違反ということになれば、実質的な被害はさらに深刻になりかねません。最大 2,000 万ユーロの科料を支払わなければならないうえ、市場競争力が落ち、データ漏えいによるブランド評価も損なわれるからです。

    解決策は統合型のセキュリティ

    シマンテックの Information Centric Security(情報中心のセキュリティ)ソリューションは、可視性、保護、ID 管理を取り込んで、データセキュリティに対する新しいアプローチを採用しています。Symantec Information Centric Security では、クラウドアプリケーションや、持ち込まれる「個人所有」モバイルデバイスなど、管理対象外の環境にある場合も含めて、機密性の高いデータが保護されます。

    お客様は、どんな形のデータについても、そのライフサイクル全体で追跡と管理性が可能になります。業界をリードする DLP(データ漏えい防止)と CloudSOC CASB、クラウドベースの PGP 暗号化が ID 認証と統合されているからです。どんなユーザーについても、いつでもどこでも、データの暗号化、追跡、呼び出しが自動的に行われるようになります。セキュリティ市場で、ここまでの可視性と管理性を実現しているベンダーはほかにありません。

    従来型のデータソリューションでは真の保護にならない

    情報を保護する他の方法でも、限定された状況では十分に通用しますが、技術力の高いユーザーから見れば、やはり抜け道だらけです。

    • 従来型(オンプレミス)の DLP とユーザーのタグ付け。機械学習や、ユーザーによるデータのタグ付けといった高度な手法によって、重要なコンテンツを識別できます。しかし、認可または無認可アプリケーションを通じて、ひとたび管理対象外のデバイスに情報が共有されてしまえば、保護はそこまでです。

    • 従来型の CASB は強力なソリューションであり、DLP ポリシーと組み合わせればさらに強力になります。しかし、NDA を結んだパートナー、ベンダー、請負業者のような第三者との通信を遮断することは想定されていないため、可視性が失われます。

    • 暗号化は、手間のかかるプロセスであり、ユーザーとの間に摩擦が生じれば、ポリシーはあっさり無視されるようになります。復号されたファイルが他のベンダーに共有されてしまえば、そのファイルに関しては保護も可視性もなくなります。
    • DRM(Microsoft Digital Rights)と RMS(Risk Management Services)は、一定より広い市場に対応せず、配備とユーザビリティの問題が障壁になっています。Microsoft のエコシステムに限定されるため、データ自体にセキュリティポリシーを適用し、所定のユーザーのみ任意のプラットフォームからアクセスできるようにするにはどうするかという問題を、業界は解決するに至っていません。

    Symantec Information Centric Security は、どこが違うのか

    管理対象外の環境で情報を保護することは、容易ではありません。データの所在についても、そのデータにアクセスしているユーザーや使われているデバイスについても、管理性と可視性がまったくきかないからです。

    Symantec Information Centric Security は、業界をリードするシマンテックの DLP、CASB、暗号化と認証を以下のような形で統合する業界初のソリューションです。

    • 機密性の高いデータは、あらゆる通信チャネルで自動的に検出されるか、データを作成したユーザーによって手動で分類されます。

    • DLP が機密性の高いデータを自動的に識別して暗号化するため、不慮のデータ漏えいが起こる可能性は低くなります。

    • CASB 技術がクラウドに移動中のデータを捕捉するので、これまでは管理の届かなかったその環境にまで DLP による保護が拡大されます。

    • Symantec VIP の多要素認証機能によって、ユーザー認証の資格情報と復号鍵が統合されるため、アクセスは間違いなく所定のユーザーに限定されます。

    統合は、シマンテック製品だけにとどまりません。Symantec Information Centric Security は真にオープンであり、サードパーティ製品の統合にも利用できます。サードパーティの開発者とデータ中心型ベンダーに向けて、シマンテックはインターネットドラフトと API 拡張を公開する予定です。

    Symantec Information Centric Security では、強力なポリシーによってデータが高精度で捕捉され、追跡、保護されます。そのため、マルウェア環境の進化に順応し、時間とともに新しいリスクにも適応する動的でインテリジェントな保護によって、人的エラーが緩和されます。

    2017 年 6 月 22 日には、Forrester のシニアアナリスト Heidi Shey 氏を迎えたオンラインセミナーを開催します。データと情報の安全を確保する新しい方策として、シマンテックがいかにして、その代表的なセキュリティソリューションを統合しつつあるかをお話しする予定です。ぜひご参加ください。登録はこちらから

                                                                 ICS Training_0.png

     

    * 1,000 人の CISO を対象に、クラウドセキュリティについてシマンテックが実施した 2017 年の調査より

    【参考訳】


    0 0

    Background Image on Blogs "Quilted" Page: 
    Publish to Facebook: 
    No
    Twitter カードのスタイル: 
    summary

    Summary

    ProxySG is a Symantec Secure Web Gateway (SWG) that can serve as a forward or reverse proxy. In both deployment modes, it leverages its extremely-efficient caching capabilities to improve a customer’s Internet experience. In forward proxy mode, the customer is typically an enterprise with employees enjoying faster speeds accessing the Internet due to the proximity of caching resources. Note that in this mode there is a possibility of additional upstream caching devices (think Content Delivery Network, Reverse Proxies, Load Balancers etc.). In reverse proxy mode, ProxySG is deployed in front of the Origin Content Server (OCS) and typically is the last caching device on the way to the web server.

    Recently, an interesting research appeared online called “Web Cache Deception.” The original research dates back to February 2017, but it gained additional publicity when Omer Gil has presented it at Black Hat USA this July. In parallel, a more detailed white paper was published here. The research represents a new vector of attack that leverages the discrepancies between caching behavior on a caching device and resource retrieval behavior on the web server serving the resource behind the caching device.

    Attack

    This simple attack exploits sometimes-undefined behavior upon requesting a non-existent but cacheable resource from OCS. Depending on the web framework and server configuration, the OCS might fall back to the last known resource while retrieving the page. The researcher provides several specific examples of this behavior in PHP, Django and ASP.NET. The focus of this article is ProxySG caching behavior, rather than OCS, therefore we will use the simplest example of PHP page for demonstration purposes.

    When accessing the most basic authenticated PHP page:

    Upon successful authentication, the default PHP/Apache configuration on Ubuntu 12.04 returns status 200 and serves the content of secret_w_auth.php:

    For simplicity, we will leave the query string and request/response headers aside for now.

    On the caching side, seeing status 200 and not 404, the caching device assumes nonexistent.css was served and caches the resource under the requested URL. This is an example of impedance mismatch, this time between the logic at the middlebox (caching engine) and the endpoint (OCS). This is because the caching device does not always know what web servers / web frameworks reside upstream and, arguably, it shouldn’t know. The researcher provides several examples of caching devices that make the attack possible (Cloudflare, IIS ARR and NGINX). In addition, there were several publications from affected CDN vendors (see References section). In the next section, we will explore ProxySG caching behavior in the context of this attack in both forward proxy and reverse proxy modes.

    ProxySG Caching Logic

    ProxySG by default is very careful when caching an object. Out-of-the-box configuration obeys all the accepted cache controls, such as Cache-Control headers and expiration timestamps. In addition, additional factors affect the default caching behavior, such as existence of cookies and authentication header. The rule of thumb is not to cache private or user-specific information.

    Caching Authenticated Data

    Taking a closer look at the previous example, the GET request will carry the Authentication header:

    ProxySG has a feature to cache authenticated data which is turned on by default. This feature can be controlled via configuration. All the factors that can affect the HTTP request or response cacheability (such as Cache-Control etc.) in a non-authenticated flow apply when authenticated data is cached. In addition, the authenticated cached data is marked with “authenticated” flag when it is stored on the disk, which indicates that future requests for such content will always require clients to authenticate to the server before the cached content is served. Note that a similar flow applies to other authentication methods; HTTP basic authentication is only chosen here for the sake of simplicity.

    In these cases, ProxySG always issues a GET request with an “If-Modified-Since” header to verify that the client has provided valid authentication credentials to the origin server even when the cached authenticated data has not yet expired. Therefore, it is not possible for an unauthenticated user to access the cached authenticated data, which the server would not have served if the user tried to directly access it without authentication. In the case where the cached object is fresh and the origin server allows access to the object, the origin server can reply back to the proxy with a 304 (instead of 200) response, saving the server-side bandwidth.

    Caching Unauthenticated Data

    For unauthenticated cached objects, ProxySG would not contact the origin server if the object is still fresh in cache. So, the deception is certainly possible, but there’s no harm in this because the server would have served the same content to all users even when no caching was involved.

    This brings us to cookie-based authentication and the original Paypal vulnerability from the aforementioned white paper. Following is the request-response flow visiting the most basic PHP web page that uses custom authentication login form and standard session management support:

    The initial login page would redirect authenticated user to the next page containing private information. The PHP session module takes care of session management and embeds cookie value in HTTP requests as seen in the screenshot. Because presence of cookie in the request/response is considered to be associated with the presence of private information, one of the default ProxySG caching behaviors is to bypass caching for these transactions. So, the exploit is not possible with out-of-the-box config.

    To override this default behavior, the ProxySG administrator would have to consciously use dangerous force_cache(personal_pages) policy gesture (marked “for advanced users only” in the ProxySG CPL reference). This would open up the possibility of the exploit discussed above and thus should be used very cautiously and avoided if unsure.

    Like in many other web applications, the authentication state for Paypal session is stored in cookies that will be present even when retrieving paypal.com/home/account/nonexistent.css. However, a caching middlebox would have to disregard the presence of cookies in both HTTP requests and HTTP responses for this exploit to be successful.

    Mitigation

    From the very beginning, caching controls were developed by the Internet community to standardize caching behavior across various devices on the web. As such, following the RFCs and common recommendations on the way to and from the OCS inherently minimizes the infamous impedance mismatch. In addition, smart middleboxes can look for other signs of user-specific content such as “Authentication”, “Cookie”, or “Vary” headers to protect against serving private information when an origin server fails to set the standard cache controls correctly. ProxySG administrators should not need to do much when using the ProxySG with recommended or default settings. However, caching overrides such as force_cache() should be used with extreme caution.

    ProxySG also provides additional controls to identify content that may vary per user or which should only be served after verifying server authentication. The ProxySG’s Content Policy Language (CPL) provides the cookie_sensitive() and ua_sensitive() properties to modify caching behavior by declaring that the requested object varies based on cookie values or user agent respectively. It also provides the check_authorization() property to identify content subject to authentication when standard authentication headers are not used.

    References

    [1] https://www.blackhat.com/docs/us-17/wednesday/us-17-Gil-Web-Cache-Deception-Attack.pdf

    [2] https://drive.google.com/file/d/0BxuNjp5J7XUIdkotUm5Jem5IZUk/view

    [3] https://blog.cloudflare.com/understanding-our-cache-and-the-web-cache-deception-attack/

    [4] https://blogs.akamai.com/2017/03/on-web-cache-deception-attacks.html

    [5] http://php.net/manual/en/book.session.php

    [6] https://support.symantec.com/en_US/article.DOC10455.html

    その他の投稿者: 

    0 0

    Background Image on Blogs "Quilted" Page: 
    Publish to Facebook: 
    No
    Twitter カードのスタイル: 
    summary

    When your mobile phone gets hacked, attackers can do a lot more than rifle through your hard drive. 

    Not only can they take control of the device’s camera to watch you, they can use your mic to monitor all of your conversations. What’s more, they can also access the location-based services your phone uses to locate you. That leaves cyber stalkers free to track your every movement - by foot, car, train or plane.

    While this might sound like a page from a dystopian potboiler, it’s hardly the stuff of fiction. Last year, Berkeley PhD candidate Bill Marczakrevealed just how easily spyware can now strip iPhone users of their anonymity. In a world where repressive governments can hack their citizens’ phones, that’s bad news in bells for critics, who face their regime’s wrath for transmitting the wrong tweet or clicking on the wrong link.

    Porous Digital Castles

    Smart phone insecurity is just one part of a much bigger story that I want to focus on: In an increasingly digitized world, our privacy has become an open book.

    Your home may still be your castle, but it’s anything from being a digitally safe bastion. Some TV’s have been discovered to have digital ears that listen to what goes on around them. Hackers are now able to remotely compromise baby monitors and other popular home audio devices. Home security cameras have been similarly hacked so that criminals can view video feeds from the home. Digital door locks and garage doors are also vulnerable to cyber criminals who can manipulate the systems to gain entry.  

    The reality of the connected world is that it’s easy to digitally follow us around. Consider the fact that your smart phone often interacts with countless beacons and base stations. If any of them get hacked, they can relay proximity information to aggregation servers and interlopers who can track your location.

    Actually, even without getting hacked, many of them aggregate the information and then sell it to the lowest bidder. And as more cars evolve into the equivalent of big computers on wheels, many have been misconfigured by manufacturers to reveal their latitude and longitude when pinged over the internet, even without requiring decent authentication.

    Other common devices -  discoverable through services like Shodan - are similarly vulnerable to hacks. When the Mirai botnet struck last year, for example, it made headlines by infecting millions of devices to bring down big chunks of the cloud. Yet the infection proliferated precisely because so many of the “smart” things were built by makers who embedded passwords such as “1234” for remote access, typically without even telling the buyer that their device would have such an obvious remote login.

    There are other ways our traditional notion of privacy is being put in jeopardy.  Simply scanning a QR code opens a link that doesn’t only reveal your location to merchants. With or without QR codes, cookies, trackers, and device profiling through “ad networks” also expose other kinds of valuable private information, such as personal interests, other web pages you’ve visited and potentially your location-based history - including your home address, along with political leaning, religious affiliations, and even sometimes likely income brackets.

    What to Do

    So how can we protect ourselves from the myriad threats to our privacy? Fortunately, lots of new digital security products are coming to market that can help. 

    At Symantec Labs, we’re doing research to broaden such protection from the traditional security coverage, to include better privacy protection, creating the ability for people to more effectively limit data collection to data they choose to share.   

    For instance, two years ago we were among the first to show how Machine Learning could be used to identify the HTTP requests carrying sensitive information to third-party trackers with very high accuracy.    

    More recently we demonstrated a new technique for a 90% reduction in spyware getting access to privacy sensitive sensors on Android smart phones.   

    Of course, many security scanning and prevention services in the market focus on blocking “security” threats, not blocking all “privacy” threats, but we’re looking to change that.  Both network and device protections can do far more to protect people’s privacy, and enable people to have genuine anonymity when they need it. In short, on the one hand, “there could be a better app for that,” and we’re working on that.   

    On the other hand, you can’t always install an app. For that, we’re working to make the network based privacy protections better so that as long as your devices are tied to a cloud-based protection service like Symantec’s Web Security Service (WSS), such cloud-based services could be protecting you not only against security threats, but also protecting you against privacy threats. That includes surveillance by ad networks, atop the geo-location threats, and atop the “server to client” attacks which have already unmasked the anonymity of people arrested or disappeared for doing no more than exercising their moral obligation to question authority. 

    In the meantime, smart phone users can take advantage of security solutions include offerings like Norton Mobile Security, SkyCure, WSS and more. Some car makers are beginning to protect their fleets of cars with services like WSS to build better building security into the car from the beginning. Smart city and smart building infrastructure can borrow a page from the car makers, using services like WSS or security gateway hardware such as ProxySG.   

    Clearly, our increasingly connected world is creating amazing new opportunities. This world wide web and emerging internet of things are powerful tools that put the world at our fingertips. But we’re also going to need good tools to deal with the thorny privacy threats that inevitably will arise. Otherwise, the absence of adequate protections will put every aspect of our lives on display for thieves, stalkers, bullies, and tyrants.


    0 0

    Publish to Facebook: 
    No

    This week Symantec CloudSOC is proud to be one of the first cloud access security broker (CASB) solutions to announce plans to provide threat protection and data governance for Cisco Spark.

    Symantec CloudSOC has a long history of integration with Cisco solutions and adding a Spark Securlet to CloudSOC will be yet another example of our commitment to providing customers a holistic cloud security solution that integrates coverage across a wide range of services.

    CloudSOC already provides the following support for Cisco solutions:

    • Analysis of Cisco cloud services, such as Cisco WebEx and Cisco Spark, as part of CloudSOC Audit visibility, analysis and intelligence
    • CloudSOC Audit’s ability to use event logs from Cisco appliances for Shadow IT use of cloud apps and services
    • Symantec Secure Web Gateways monitoring, reporting and policy controls for Cisco WebEx and Cisco Spark application traffic based on CloudSOC Audit intelligence
    • CloudSOC integration with the Cisco Identity Services Engine to enforce CASB policies such as quarantining endpoints
    • Support for Cisco Web Security Appliances, including proxy chaining and log analysis

    In addition to our work with Cisco, CloudSOC offers unique integrations with Symantec DLP, user authentication, encryption, endpoint protection, advanced threat protection, and secure web gateways as well as other industry integrations with directory services, SSO solutions, SIEM platforms, firewalls, and proxies.

    Symantec’s Integrated Cyber Defense Platform is designed to maximize security efficacy, minimize administrative overhead and improve user experience. Learn more about how CloudSOC can identify attacks, automatically classify data and mitigate risk through alerts, access controls, quarantines, and more to help organizations prevent data loss and remain compliant with data privacy regulations here


    0 0

    Background Image on Blogs "Quilted" Page: 
    Publish to Facebook: 
    No

    シマンテックの目標は、今日にいたるまで一貫しています。シマンテック製品やブラウザをお使いのお客様の業務に支障が出る可能性を最小限に抑える一方、シマンテックの証明書と、その発行業務に対して確固たる信頼を築くことです。その微妙なバランスは、コミュニティに対する最初の提案でも引き続き保っていたと考えていますが、ブラウザコミュニティ(Google、Mozilla、Opera)はその後、新しい提案で意見がまとまりつつあります。

    Google が、シマンテックの CA(認証局)について、この新しい提案をコミュニティと共有したのは、5 月 15 日のことです。シマンテックはそれ以来、この提案を吟味するとともに、シマンテックの CA をご利用のお客様など、広いコミュニティからいただいたメリットとフィードバックを比較しています。見直しの過程でシマンテックは、Google が示した提案のうち subCA に関する項の実施に必要なエンジニアリング上、契約上、業務上の策定要件について予備分析を行いました。また、subCA 方式を適切に導入するうえで考慮すべきタイムラインと統合の制約を把握するために、パートナー候補(以下、「subCA」)との間に最初の対話も設けました。目下のところ、subCA 候補の提案依頼書(RFP)に対する詳しい応答を待っているところですが、Google の現在の提案に対するシマンテックからの最初のフィードバックについては、お伝えしておきたいと思います。

    まずシマンテックは、弊社の CA 業務で発生した発行の不手際を認め、このインシデントをきわめて真摯に受け止めています。このたびの不手際はあくまでも例外的なものであり、弊社の CA 運用で常態化しているわけではありません。シマンテックの CA 業務には、全世界のお客様を相手にする経験豊富なスタッフが当たっており、証明書発行の業務が業界の要件やブラウザの要件を満たすよう万全を図っています。

    とはいえ、シマンテック発行の SSL/TLS 証明書が一般的なブラウザで認識されないという事態になれば、お客様の業務に大きな支障が出ることは間違いありません。その点を鑑みると、Google の現在の提案が、大多数のユーザーにとって互換性あるいは相互運用性にただちに影響するものでないことは高く評価しています。むしろ、subCA に関する Google の最新の提案では、最終的に大きな変更は必要になるものの、それはシマンテックの CA ユーザーとブラウザユーザーに対する影響を最小限に抑えるためのものと理解しています。特に、Google の現在の提案ではシマンテックの EV 証明書の扱いが維持されるため、業界標準の証明書有効期間でお客様のサポートを続行する道が残されます。しかも、現在の提案でも、シマンテックのお客様のほとんどは、中断や制限を受けることがありません。  

    しかしながら、現在の提案には、変更が必要と考えられる面もあります。それを変更しない限り、弊社の CA 運用を第三者に委任することまで含めた計画を妥当に、かつ責任をもって遂行することは不可能です。

    Netcraft によれば、シマンテックは EV 証明書および OV 証明書の発行者として業界最大手であり、どの CA よりも広い地域で、どこよりも大量の検証作業に当たっています。私たちの知る限り、現在のシマンテックほど大規模に運営され、かつ広範囲な機能を提供している CA はほかにありません。適切な CA パートナーを見きわめるために調査が必要なだけでなく、どんな CA でもかなりの強化期間が必要になると考えられます。高い信頼性とセキュリティ、万全のコンプライアンスで、確実にシマンテックの証明書発行数に対処するには、リソースの補強が必要になるからです。技術的な統合と移行を始める前に、シマンテックは関連する適格な CA の特性を評価しなければなりません。また、subCA 提案が順調に進むためには、適切なアカウンタビリティと監督を保証するうえで必要なガバナンス、業務構造、法的枠組みも実施する必要があります。

    1 つまたは複数の subCA とパートナーシップを結んだのち、シマンテックと subCA は subCA モデルをサポートするために、エンジニアリング作業を実行する必要があります。続いて、その実装を広範囲にテストしなければなりません。 

    このような課題を乗り越えるために必要な時間を考えて、シマンテックは修正案を提示し、最終プランを策定するまでの間、Google、Mozilla、その他のブラウザベンダー、関係各団体およびコミュニティに検討してもらえるよう求めています。私たちの目標は、合意に基づき、妥当な制限時間のうちに着手できる活動計画に移行することで、移行を円滑に進めることです。Google 提案の各部に対するシマンテックのインライン回答と、確認質問を、以下に示します。

    Google の元投稿(5 19

    概要/バックグラウンド

    シマンテック発行の証明書と、Chrome が実行を提案している手順に関する議論の更新情報。これまでの議論にご協力いただいた皆様に感謝いたします。

    5 月 12 日、Chrome チームのメンバーとシマンテックが会談し、一連の問題点と、Chrome が提案する修正案について話し合いました。話し合いの内容は、4 月にシマンテックに提示し、続いて mozilla.dev.security.policy リストで共有された提案の拡大についてでした。

    最初の「廃止案(Intent to Deprecate)」が投稿されたとき、私は確認されている問題点に最も確実に対処するための計画を提案し、包括的な保護の長期的な工程を発表しました。Blink からも、さらに広い PKI コミュニティからも、この計画による影響や、検討が必要な問題点について、有益なフィードバックを多数いただきました。そのフィードバックを参考にして、ユーザーを万全に保護するとともに、サイト運営者に対する影響を最小限に抑えられる、新しい計画を提案したいと思います。シマンテックが運用するルートにチェーンされる証明書に決定的に依存している場合に必要となる、客観的かつ妥当な工程を示すものです。

    まず、この計画の概要をコミュニティに広く共有し、具体的な要件の詳細は末尾に示すことにします。この計画の概要は以下のとおりです。

    • シマンテックは、Web サイト証明書発行に特化したプラットフォームと PKI を刷新する。シマンテックは以前のブログ記事で、これが現在のロードマップに盛り込まれているとしている。その刷新プロセスの一環として、刷新したプラットフォームはセキュリティ、設計、プロセスの面で、CA にとってのベストプラクティスに従ったものになることを我々は要求する。
    • 新しいプラットフォームの体制が整い、主なトラストストアで受け入れられるまで、証明書はシマンテックがパートナー提携する 1 つ以上の独立第三者 CA(以下、「管理下 CA(Managed CA)」と言う)を通じて発行される必要がある。

    シマンテックからのインライン回答: プラットフォームの刷新に際して、ベストプラクティスに従うことは当然ですが、その信頼を確立するには、どんなプロセスが妥当と Chrome ならびにコミュニティは予測しているのでしょうか。

    • トラストストアにおいて既存のルートがもつ遍在性を活用できるように、管理下 CA は合意に基づく既存のシマンテックルートによってクロス署名できる。
    • 管理下 CA は、検証の要件を満たしていれば、EV 証明書を発行できる。
    • 管理下 CA が情報を完全に再検証する限りにおいて、新しい証明書の有効期間は、最大 39 カ月、または Chrome がすべての CA に許可する最大(現在は、「Baseline Requirements」と「EV Guidelines」に指定されている)まで設定することができる。移行期間中、管理下 CA は既存の検証情報を再利用できるが、存続期間は 13 カ月までに制限しなければならない。
    • 2016 年 6 月 1 日以降に発行された既存の証明書は、Chrome の CT(証明書の透明性)ポリシーに準拠している限り、引き続き信頼される。同日以降に発行された EV 証明書は、引き続き EV として取り扱われる。
    • 2016 年 6 月 1 日より前に発行された既存の証明書は、notBefore 日に基づいて段階的に失効する。

    シマンテックからのインライン回答: 提案のこの箇所では、SubCA に対してかなりの認証業務が上乗せされることになりますが、処理能力の拡大については、当初から要求がかなり厳密でした。シマンテックは 2015 年 1 月 1 日以降、EV 証明書のログをすべて CT に記録しており、2016 年 6 月 1 日より前の他の証明書についても、大部分はログに残しています。提案どおりに失効となった場合、影響を受ける証明書は 42 万 5,000 通以上となり、CT に記録されているものだけでも 13 万通に及びます。CT への記録が基盤になることを考え、2015 年 6 月 1 日以降に発行されたシマンテック CT 認証済み証明書についても、現在 Chrome で行われているように、信頼の継続を延長することを提案したいと考えます。

    • Chrome は、新しい PKI への移行を支援するために、古い証明書の信頼を認めるエンタープライズポリシーを提供する。

    計画は最終的なものではありませんが、セキュリティリスクへの対応と業務中断の最小化とのバランスという点では、妥当な点に収束しつつあると考えています。この計画の策定にあたっては、前回のフィードバックも有意義でしたので、どんなフィードバックも引き続き歓迎します。

    新しいシマンテック PKI への移行

    2017 年 8 月 8 日以降、シマンテックがチェーンするすべての証明書は、独立運営の第三者(「管理下 CA」と言う)によって発行されます。

    証明書チェーンに、仲介組織(独立運営の subCA もしくは管理下 CA)のホワイトリストが必ず含まれるように、2017 年 8 月 8 日以降、Chrome はチェックを実施します。

    シマンテックからのインライン回答: 後述の日付に関するコメントを参照してください。

    管理下 CA が情報を完全に再検証した場合、新しい証明書の有効期間は、Chrome がすべての CA に許可する最大まで設定することができます。現在その期間は、「Baseline Requirements」と「EV Guidelines」で許可される最大と指定されています。

    移行期間中は、証明書が新しい体制で発行されたものである限り、検証情報を再利用できますが、その証明書の有効期間は、13 カ月を超えてはなりません。

    シマンテックが以上のような猶予措置を必要とする場合は、以下の期限が適用されます。

    • 2017 年 8 月 8 日: 証明書の発行は管理下 CA が行わなければならないが、既存の検証情報を再利用できる(「Baseline Requirements」に定める限度まで)。
    • 2017 年 11 月 1 日: 証明書の発行とドメインの再検証は管理下 CA が行わなければならないが、既存組織の検証情報を再利用できる(「Baseline Requirements」に定める限度まで)。
    • 2018 年 2 月 1 日: 証明書の発行とすべての検証は、管理下 CA が行わなければならない。

    シマンテックからのインライン回答: 弊社の初期調査に基づき、上記で提示されている期限は実現不可能と判断します。この投稿の冒頭でも述べたように、実施が必要になる移行の規模が膨大なためです。よって、シマンテック証明書の最終的な失効日を、現時点では定めないよう Google に提案いたします。シマンテックは、潜在的な制限事項、期限、必要と思われる統合作業などを把握するために、パートナー候補(subCA)に対するアウトリーチを実施しました。また、タイミング、ロジスティクス、依存関係に関して具体的に質問する RFP も作成し、お送りしています。プロジェクト案を提示するために、必要なフィードバックを 6 月末までにお送りいただくことになっているので、その時点で改めて、前向きかつ実現可能な日程案を Google ならびにコミュニティに提示する予定です。ここでは、現在提案されている日付の再検討が必要と考える現実的かつやむをえない理由を、いくつか挙げておきたいと思います。

    • 証明書の発行、検証、提供について要求水準を設定できるように、シマンテックは厳格な RFP を作成中である。RFP には、管理とコンプライアンスの能力に関連して、subCA 候補に求める詳細な義務を盛り込む。
    • RFP 作成後の提携において、シマンテックは競合他社と協力し、関係者の全員が納得できるビジネス関係を確立しなければならない。
    • Netcraft のレポートによれば、シマンテックは現在、OV 証明書と EV 証明書の発行者として最大手である。パートナー候補(既存の競合他社)は、シマンテックの現在の要求に応える際に発生する処理量の増大に対処できるほど、インフラストラクチャを拡張していない可能性がある。インフラストラクチャと認証処理量の拡張には、準備時間がかかるからである。これまでの話し合いによると、この準備期間は 4 カ月以上に及ぶ場合もある。そのうえ、シマンテックは一定の国際市場にもサービスを提供しており、そこで検証作業を行うには、言語の専門知識が欠かせない。パートナーとなった場合は、こうした市場にも対応しなければならない。したがって、subCA 計画を遂行するには、次の 2 つのうちいずれかを選ぶ必要がある。
      • 複数の契約交渉と複数の技術統合を必要とする複数の CA との間に、関係を確立する。
      • 1 つの subCA と提携する。この場合、CA 業務のスタッフとインフラストラクチャを引き継ぐために必要な、適切で信頼できる能力を CA は確保できなければならない。
    • subCA パートナーは、OV 証明書と EV 証明書の有効性を完全に維持するために、20 万以上の組織をフルに再検証しなければならない可能性がある。そのため、パートナーに求められる能力の即時引き上げが必要となり、Google が提案している期日の順守は難しくなる。たとえば、南米パートナーについてフルレビューを実行し、CrossCert の有効な証明書発行を完全に再検証するには、膨大な時間が必要であった。以前の SSL/TLS RA パートナーが発行した約 30,000 通の証明書(組織数ははるかに少ない)の確認と再検証は、かなりのリソースを投入して実施したが、それでも 4 カ月以上を要している。現在の提案に基づく実際の再検証業務は、過小評価すべきではない。
    • 複数の subCA との整合を図るオーケストレーション層を築いたうえで、認証/検証/発行のロジックを設計、策定、テストするには、推定 14 暦週を要する。これには、subCA で必要とされるエンジニアリング業務や、各 subCA の統合およびテスト、あるいは API を統合した顧客やパートナーに対するエンドツーエンドのテストは含まれていないが、いずれも並行して発生する可能性がある。

    証明書で既存または新規の検証情報を用いたら、証明書ポリシーの拡張で新しい OID を使用して識別する必要があります。詳しくは、「技術上の詳細」の項を参照してください。管理下 CA が上記の日程で情報を検証できない場合、証明書は発行できず、信頼もされません。

    既存の証明書

    Chrome は 2016 年 6 月 1 日以降に発行された証明書を引き続き信頼します。ただし、Chrome の CT ポリシーにおける定義に従って「CT 認証」されていることが前提です。

    企業の Chrome ユーザーの場合、2016 年 6 月 1 日より前に許可するポリシーを認められます。したがって、企業の管理者は業務に応じて Chrome の動作をコントロールすることができます。これは、デバイスレベルでもユーザーレベルでも指定が可能です。

    我々は、2016 年 6 月 1 日より前に発行された Web サイト証明書をすべて段階的に失効させることを提案しています。これは、Chrome で証明書の透明性(CT)が義務付けられ、かつ実施される日付です。不適切なドメインに対して発行された証明書は高い確率で検出されることになるため、サイト運営者にとっては一定の安心材料になります。それと同時に、サイト運営の業務中断を最小限にとどめること、移行について十分に告知すること、顕著な停止が発生しないことも目標としています。計画に盛り込んだ目標日程は、相互運用性や互換性のリスクに基づいて、あるいは新しい情報によって失効の前倒しが必要になったなどで、調整が必要になる場合もあります。

    • 2017 年 8 月 31 日の時点で、notBefore が 2015 年 6 月 1 日より前の証明書はすべて信頼されなくなる。これは、Chrome 62 のリリース予定日である。
    • 2018 年 1 月 18 日の時点で、notBefore が 2016 年 6 月 1 日より前の証明書はすべて信頼されなくなる。これは、Chrome 65 のリリース予定日である。

    シマンテックからのインライン回答: 前述したように、シマンテックは 2015 年 1 月 1 日以降、EV 証明書のログをすべて CT に記録しており、2016 年 6 月 1 日より前の他の証明書についても、ほとんどログに残しています。CT への記録が基盤になることを考え、2015 年 6 月 1 日以降に発行されたシマンテック CT 認証済み証明書についても、現在 Chrome で行われているように、信頼の継続を延長することを提案したいと考えます。そうすれば、段階的な再認証の業務は、42 万 5,000 以上から 29 万 5,000 以下に抑えられます。現在の提案のこの箇所に基づいて必要な再認証は、大幅に減少します。

    証明書の失効日と、それに伴う段階的な失効に関する個々のフィードバックを踏まえると、現在の RFP プロセスで返送されてくる予定の情報を吟味しなければならず、CA ユーザーとブラウザユーザーに不要な混乱をもたらさない日付を、改めてコミュニティに提案したいと考えます。よって、シマンテック証明書の失効日を現時点では最終決定しないよう、Google に求めるものです。

    技術上の詳細

    運営

    • subCA は、2 年間以上の信頼実績をもつ Android および Chrome OS のトラストストアで現在信頼されているルート証明書を運用する、利害関係のない組織が運営しなければならない。
    • 利害関係のない当該の組織は、かかる subCA の運営について全責任を負わねばならず、その subCA で発行の不備があった場合には、その組織が運営する他の CA による発行の不備と同等に扱うものとする。同様に、組織が運営する他の CA による発行の不備があった場合には、それも subCA による発行の不備と同等に扱うものとする。このような仲介組織に対する信頼の基礎は、他の組織の CA 証明書ではなく、シマンテックが発行した既存のルート証明書とのチェーン関係に依存するのであるから、シマンテックはかかる subCA の運営について全責任を負わねばならず、その subCA で発行の不備があった場合には、シマンテックが運営する他の CA による発行の不備と同等に扱わねばならない。

    シマンテックからのインライン回答: 弊社は、subCA を権限委譲先の第三者機関として扱っているため、「Baseline Requirements」の第 8 項に基づく監査の対象となっています。ただし、弊社業務の範疇をカバーするには複数の subCA が必要な場合もあるため、1 つの subCA の行為が別の subCA の運営に自動的に反映されるべきではないということを明確にする必要があります。この点について、根拠と意図を詳しくご説明いただけますでしょうか。

    • シマンテックおよびその子会社は、権限委譲先の第三者機関(エンタープライズ RA を含む)または検証スペシャリストなど、「Baseline Requirements」で認められている情報検証の役割に当たってはならない。すなわち、証明書の発行に関する情報検証のあらゆる管理を実行する全責任は、利害関係のない組織が負う。ただし、シマンテックとその子会社は、検証プロセスを迅速かつ簡潔にするために、証明書請求プロセスの一環として、あらゆる情報の収集と集約に努めることはできる。

    シマンテックからのインライン回答: シマンテックの現在の認証モデルには 2 つのプロセスがあり、証明書の発行に先立って、オーダーされた検証は 1 人の担当者が実行し、別の担当者が独立してレビューしています。この提案を実施するタイミングを早めるために、また subCA が認証の処理能力を増強するために必要な準備期間を確保するためにも、シマンテックが subCA によるオーダーの 100% を 100% レビューするという前提で、検証の第一段階を実施し、subCA による証明書発行を決定できるように、Google による提案の変更を提案します。

    • かかる subCA は、シマンテックが運営または管理する CA の証明に利用してはならないが、シマンテックが運営または管理する既存の CA によって証明されることはできる。すなわち、既存のインフラストラクチャによってクロス署名できるということだが、既存のインフラストラクチャまたは証明書をクロス署名してはならない。
    • 権限委譲先の第三者機関を利用してドメイン検証(「Baseline Requirements」の第 3.2.2.4 項)、または IP アドレス検証(「Baseline Requirements」の第 3.2.2.5 項)の情報検証機能を実行しないものとする。
    • subCA を対象とする証明書ポリシーならびに認証業務規程(CP/CPS)では、シマンテックの代理運営として、CAA 検証を目的にシマンテックのドメインを利用できる。

    シマンテックからのインライン回答: subCA が既存の CA 運営で権限委譲先の第三者機関を利用している場合、その subCA はこの提案に基づいてシマンテックのために、その責務の履行に関して同じ代理の第三者を利用することを引き続き許可されるよう、提案します。この提案で subCA が権限委譲先の第三者機関を利用することが制限された場合、この提案に基づいてシマンテックと提携する subCA の利益が制約される可能性があります。もしくは、この提案に基づくシマンテックとの提携のコストが増える可能性があります。

    監査

    • かかる subCA のいずれかが最初の証明書を発行してから 90 日以内に、運営組織は「Trust Service Principles and Criteria for Certification Authorities(信頼サービスの原則と認証局の基準)」と「WebTrust Principles and Criteria for Certification Authorities - SSL Baseline with Network Security(WebTrust の原則と認証局の基準 - ネットワークセキュリティに関する SSL ベースライン)」に従って、期間監査報告書を提出するものとする。シマンテックが、かかる subCA の EV 証明書発行能力の認可を求める場合、シマンテックは「WebTrust Principles and Criteria for Certification Authorities - Extended Validation SSL(WebTrust の原則と認証局の基準 - Extended Validation 証明書)」も提出するものとする。すべての監査では、監査の履行日に該当する基準の現行版を用いるものとする。監査の期間には鍵生成セレモニーの時間も含まれなければならないが、全体で 120 日間を超えてはならず、また 30 日より短くてはならない。90 日というのは、報告書提出までの期間であり、期間の終了とはしないことに注意されたい。

    シマンテックからのインライン回答: 監査のタイミングについては、以下の内容に合意するものです。

         T0: 鍵生成セレモニー
         T+30-60: 最初のサーバー監査証明書を発行
         T+90-120: 期間の終了(最初の T+タイムポイントから 60 日以上)
         T+180-210: 所見を発表(期間の終了から 90 日以内)

    • 監査報告書の対象範囲には、あらゆる「原則と基準」が含まれ、主要な資料が存在するすべての場所が含まれなければならない。当該の機能の不履行により原則または基準を対象範囲から除外する場合は、運営組織も含めてどの組織も監査の期間にその役割または機能を実行しなかったことを、監査報告書および管理のアサーションレターにおいて証明しなければならない。
    • 作成した監査報告書は完全な形で公開し、監査期間の終了から 90 日以内に Google に提出されるものとする。最初の証明書を発行してから最初の 1 年間については、監査期間が 90 日を超えないものとする。2 年目については、監査期間は 6 カ月を超えないものとする。3 年目以降については、監査期間は 12 カ月を超えないものとする。

    シマンテックからのインライン回答: シマンテックが提携する subCA は CA としてすでに確立していることを踏まえると、そうした subCA に対して、現在の要件を超える監査要件を求めるべきではないと考えます。このような subCA に、監査に関する最初の条項に示されている初回の監査に加えて、現在求められているより高い頻度で監査の実行を求める必要はありません。初回の監査で、移行が適切に行われたことは確認できるからです。

    • かかる subCA によって認証された下位 CA はいずれも、subCA 自身が求められるのと同じ CP/CPS、管理アサーション、監査報告書の義務が適用されなければならない。すなわち、かかる subCA の下位にあたる subCA は、利害関係のない組織と同じインフラストラクチャおよび運営の一部でなければならない。

    証明書の詳細

    • 発行される証明書が信頼されるためには、「Chrome ポリシーの証明書の透明性」の定義に従って「CT 認証」されなければならない。
    • 各証明書では、再検証された情報の段階を明確に示さなければならない。そのためには、新たに定義された 3 つの OID を利用して割り当て、証明書ポリシーの拡張に配置して、以下のシナリオごとに個別の OID を指定するよう、シマンテックに提案します。
      • 新しいインフラストラクチャで発行されたが、シマンテックによってすでに検証または取得されている既存の情報を再利用している場合。
        • このポリシーの OID をもつ証明書の有効期間は、400 日を超えてはならない。
      • 新しいインフラストラクチャで発行され、シマンテックの管理下 CA を運営する組織によってドメイン情報が検証されている。ただし、シマンテックが以前に検証した組織情報を含むか、再利用している。
        • このポリシーの OID をもつ証明書の有効期間は、400 日を超えてはならない。
        • DV 証明書は組織情報をもたないため、DV 証明書がこのポリシー OID をもつことはない。
      • 新しいインフラストラクチャで発行され、シマンテックの管理下 CA を運営する組織によってその情報がすべて検証されている。
        • このポリシー OID をもつ証明書は、発行の時点で Chrome がすべての CA に対して許可する最大を超えてはならない。これは現在、CA/ブラウザフォーラムの「Baseline Requirements」に定義されている。

    新しいインフラストラクチャへの移行

    • 最新一般公開版のサポート対象 OS プラットフォーム上で稼働している安定版 Chrome によって使用されるルートストアで、シマンテックの新しいインフラストラクチャが、TLS サーバー証明書の発行について信頼できるものとして受け入れられるまで、subCA はここに概略を示す要件に従って、引き続き運用されなければならない。
      • 現時点で、これには Microsoft(Windows 版 Chrome)、Apple(Mac OS 版 Chrome と iOS 版 Chrome)、Mozilla(Linux 版 Chrome)、Google(Android 版 Chrome と Chrome OS 版 Chrome)の各ルートストアが含まれる。また、Google の製品およびサービスによって使用される今後の Google ルートストアプログラムも含まれる。
    • 新しいインフラストラクチャの容認度を判定する一環として、CPA Canada および WebTrust タスクフォースと協力しながら監査報告書の実現性と妥当性を判断するとき、シマンテックには認証局での管理に関する報告書の提出を求めることができる。これには、管理に関する監査人の試験と結果に関する説明が含まれ、監査期間を対象としてシステムの説明も含まれる。この報告書の想定利用者には、Chrome ならびに Google 製品における認証局の信頼ステータスに関する決定を支援する担当者を含めなければならない。

    シマンテックからのインライン回答: シマンテックは、機密保持契約のもとで、このような報告書を進んで提出します。それには機密性の詳細な情報も含まれます(SOC2 レポートを特定の顧客と共有する場合に類似)。

    ***** Google の元投稿と、シマンテックのインライン回答、引用終わり*****

    次のステップ

    シマンテックは、合意に基づく計画に到達する過程にあります。その計画は、妥当な時間枠で実施でき、お客様にとっての混乱も最小限に抑えられるものと考えています。円滑な移行を約束し、シマンテックの証明書とその発行業務に対する信頼を確立するうえで正しいと私たちが考える行動方針を、今後もとり続ける予定です。あらゆる関係者にとって最大限の利益となる最終合意に至るまで、Google とブラウザコミュニティからのご意見は引き続き歓迎します。

    【参考訳】


    0 0

    凭借赛门铁克新推出的Information Centric Security(信息中心安全),我们可以随时随地对数据进行自动加密、跟踪和撤销
    Background Image on Blogs "Quilted" Page: 
    Publish to Facebook: 
    No

    掌握数据每个字节的位置很难,因此保持重要数据和信息的可见性并不容易。而且,知识产权(IP)或个人可识别信息(PII)这样的企业重要数据经常通过各种渠道(如电邮、USB、本地部署、BOX或其他云储存系统)在团队之间分享。

    不确定您的数据是否真的安全?以下是对您观察及控制数据情况的快速测试:

    1. 您知道谁能获取您的关键数据吗:

      1. 是值得信赖的合作伙伴?

      2. 还是诚实可信的供应商?

      3. 或是使用自带(BYO)设备的承包商?

    2. 您知道您的合作伙伴或供应商是否和其他供应商分享您的数据吗?

    3. 如果您与承包商、合作伙伴或供应商结束合作关系,那么您能拿回与其分享的数据吗?

    如果对于上述问题,您的答案是否定的,那么也很正常,因为很多人和您一样。事实上,赛门铁克最近的一次调查表明,每三名首席信息安全官中就有一名认为数据丢失是今年企业所面临的首要内部威胁。*

    除了公司知识产权的损失之外,数据丢失还可能导致对法规合规性要求的违反,如通用数据保护条例(GDPR) 和PCI安全标准委员会的相关要求。因数据丢失而违反上述规定可能会带来更大的破坏性影响,有些公司因此遭受高达2000万欧元的罚款,丧失市场竞争力,或品牌名誉受损。

    综合性安全便是答案

    赛门铁克的Information Centric Security(信息中心安全)解决方案采用了新的数据保护方法,将可见性、保护和身份验证相结合。赛门铁克的Information Centric Security可提供追踪敏感数据的保护,即使数据保存在不受管理的环境之中(如云应用和自带移动设备)也是如此。

    通过将行业领先的DLP与CloudSOC CASB和基于云的PGP加密技术相结合,赛门铁克使用户能够在整个数据生命周期内任何形式的数据进行跟踪和控制。用户可随时随地对数据进行自动加密、跟踪和撤销。市场上没有任何一家供应商能够提供这种数据观察和控制功能。

    传统的数据解决方案不能提供真正的保护

    其他保护方案只有在限定情况下才能保护好数据,而且水平高的用户经常能够找到绕过这些方案的方法。

    • 传统(本地部署)DLP和用户标签方案可使用先进的方法(如机器学习和用户数据标间)识别关键内容,但是一旦信息通过经许可或未许可的应用程序分享至非托管设备,则保护功能便将停止。

    • 传统的CASB是一种强大的解决方案,而且在结合DLP策略后会更为强大。然而,这并不意味着要依据保密协议(NDA)阻止与第三方合作伙伴、供应商和承包商的通讯,这将导致对数据可见性的损失。

    • 加密可能是一个很麻烦的过程,用户间产生摩擦会导致相关策略快速遭到抛弃。如果文件遭到解密,并随后被另一个供应商共享,则该文件将不再具有任何保护或可见性。
    • 微软数字版权和风险管理服务(DRM和RMS)不能解决广泛的市场问题,以及部署和可用性问题。由于对微软生态系统的限制,网络安全行业还无法解决在数据本身应用安全策略的问题,以及确保用户可从任意平台访问数据的问题。

    赛门铁克的Information Centric Security有何不同?

    在非托管环境中保护信息非常困难。您无法控制或观察数据位置,或访问数据的设备和用户。

    上述解决方案首次整合了行业领先的赛门铁克DLP、CASB、加密与认证(Encryption and Authentication),方式如下:

    • 自动发现每个通信渠道中的敏感数据,或由创建数据的用户手动分类。

    • DLP可以自动识别和加密敏感数据,从而减少数据意外丢失的可能性。

    • CASB技术可拦截移动至云端的数据,并在之前非托管环境中扩展DLP保护。

    • 赛门铁克VIP提供多因素认证(Multi-Factor Authentication),将用户认证信息与解密钥匙相结合,确保只有目标用户才能访问数据。

    赛门铁克的产品并没有弃用整合技术,上述解决方案完全开放,可用于第三方整合。赛门铁克可为第三方开发商和以数据为中心的供应商提供互联网草案和API扩展。

    凭借赛门铁克Information Centric Security,您的数据可由一个强大的策略引擎精确地获取、跟踪和保护。该引擎使用动态智能保护功能降低了人为错误的风险,并就威胁不断增长的环境做出调整,以逐渐学习适应新的风险。

    请加入我们于2017年6月22日举行的网络研讨会,研讨会主讲人为Forrester的高级分析师Heidi Shey,演讲内容是赛门铁克如何整合先进的安全解决方案,使用新方法保护数据和信息:单击此处注册

    ICS Training_0.png

    *依据赛门铁克于2017年对1,100名首席信息安全官就云安全问题展开的研究


    0 0

    새로 소개되는 Symantec Information Centric Security를 사용하면 데이터를 언제 어디서나 자동으로 암호화, 추적 및 무효화할 수 있습니다.
    Background Image on Blogs "Quilted" Page: 
    Publish to Facebook: 
    No

    중요한 데이터 및 정보의 가시성을 유지하기는 쉬운 일이 아닙니다. 데이터의 각 바이트가 어디에 있는지는 알기가 어렵습니다. 지적 재산(IP, Intellectual Property) 또는 개인식별정보(PII, Personally Identifiable information)가 여러 팀 간에 다양한 경로(예: 이메일, USB, 온프레미스, Box 또는 기타 클라우드 스토리지 시스템)로 공유되지만 가시성과 제어가 부족한 경우가 많습니다.

    데이터가 정말로 안전한지 확신할 수 없다면, 다음과 같은 질문으로 가시성과 제어를 간단하게 테스트해 볼 수 있습니다.

    1. 중요한 데이터를 다음과 같은 상대와 공유할 때 해당 데이터에 대한 액세스 권한이 있는 사람이 누구인지 알고 있습니까?

      1. 신뢰할 수 있는 파트너

      2. 신뢰할 수 있는 공급업체

      3. BYO 장치를 사용하는 계약업체

    2. 신뢰할 수 있는 파트너 또는 공급업체가 데이터를 다른 공급업체와 공유하는지 알고 있습니까?

    3. 계약업체, 파트너 또는 공급업체와의 관계가 종료될 경우 이들과 공유한 데이터를 회수할 수 있습니까?

    위의 질문에 '아니요'라고 대답한 기업들이 적지 않습니다. 최근의 Symantec 설문 조사에서 CISO(Chief Information Security Officer)들은 거의 3명 중 1명꼴로 올해 비즈니스에서 가장 심각한 내부 위협이 데이터 손실이라고 응답했습니다.*

    회사 IP의 잠재적 손실 외에도, 데이터 손실은 GDPR(Global Data Privacy Regulations)과 PCI Security Standards Council 같은 규정 준수 요건의 위반으로 이어질 수 있습니다. 이러한 규정 준수를 위반할 경우 많은 기업들이 이미 최대 2000만 유로의 벌금을 지불하고 시장 경쟁력 손실, 데이터 손실로 인한 브랜드 손상을 경험했듯이 더 큰 손해를 입을 수 있습니다.

    해답은 보안의 통합

    Symantec의 Information Centric Security 솔루션은 가시성, 보안 및 ID를 통합하여 데이터 보안에 대한 새로운 접근 방식을 제시합니다. Symantec Information Centric Security는 클라우드 앱과 "BYO(Bring Your Own)"모바일 장치처럼 관리되지 않는 환경에 상주하는 중요한 데이터까지도 보호합니다.

    Symantec은 업계 최고의 DLP와 CloudSOC CASB를 통합하고 클라우드 기반 PGP 암호화를 ID 인증과 통합하여 고객이 어떠한 유형의 데이터라도 전체 수명 주기를 추적하고 관리할 수 있게 해줍니다. 이제 어떤 사용자에 대해서든 언제 어디서나 데이터를 암호화, 추적 및 무효화할 수 있습니다. 시장의 다른 공급업체는 이러한 수준의 가시성과 관리 기능을 제공하지 못합니다.

    기존 데이터 솔루션은 진정한 보호를 제공하지 못함

    정보를 보호하기 위한 다른 옵션은 제한된 상황에서 효과적으로 기능하지만, 요령 있는 사용자는 이러한 보호 수단을 우회하는 방법을 찾아내는 경우가 많습니다.

    • 기존의(온프레미스) DLP 및 사용자 태깅은 기계 학습 및 사용자 데이터 태깅 같은 첨단 방법을 사용하여 중요한 컨텐트를 식별할 수 있지만, 정보가 허가된 앱 또는 허가되지 않은 앱을 통해 관리되지 않는 장치에 공유되는 순간 보호가 중단됩니다.

    • 기존의 CASB는 DLP 정책과 결합하면 더 강력해지는 솔루션이지만 NDA를 체결한 파트너, 공급업체 및 계약업체 같은 제3자와의 통신을 차단하도록 설계되지 않았기에 가시성이 손실될 수 있습니다.

    • 암호화는 까다로운 프로세스이며 사용자 마찰로 인해 정책이 쉽게 폐기될 수 있습니다. 파일이 복호화되어 다른 공급업체와 공유된다면 더 이상 해당 파일에 대한 보호나 가시성이 존재할 수 없습니다.
    • Microsoft DRM 및 RMS(Digital Rights and Risk Management Services)는 더 넓은 시장을 충족하지 못하며 배포 및 가용성 문제가 있습니다. Microsoft 에코시스템의 이러한 제약 때문에 업계에서는 아직 보안 정책을 데이터 자체에 구현하고 의도한 사용자만 플랫폼에 관계없이 데이터에 액세스할 수 있도록 하는 방법을 찾지 못했습니다.

    Symantec의 Information Centric Security는 어떻게 다른가?

    관리되지 않는 환경에서는 정보를 보호하기가 어렵습니다. 데이터의 위치 또는 데이터에 어떤 장치/사용자가 액세스하는지에 대한 제어 또는 가시성이 없기 때문입니다.

    해결책은 먼저 업계를 선도하는 Symantec DLP, CASB, 암호화 및 인증을 다음과 같은 방식으로 통합하는 것입니다.

    • 모든 통신 채널에서 중요한 데이터가 자동으로 검색되거나 데이터를 생성한 사용자에 의해 수동으로 분류됩니다.

    • DLP는 중요한 데이터를 자동으로 식별하고 암호화하여 뜻밖의 데이터 손실 가능성을 줄여줍니다.

    • CASB 기술은 클라우드로 이동하는 데이터를 차단하고 이전에 관리되지 않았던 환경까지 DLP 보호를 확장합니다.

    • Symantec VIP는 사용자 인증 신임 정보를 복호화 키와 통합하여 의도한 사용자만 액세스할 수 있도록 하는 다중 요소 인증을 제공합니다.

    이러한 통합은 Symantec 제품에만 그치지 않으며, 이 솔루션은 완전히 공개되어 타사 통합에도 사용할 수 있습니다. Symantec은 타사 개발자 및 데이터 기반의 공급업체를 위해 인터넷 초안 및 API 확장을 게시할 예정입니다.

    Symantec Information Centric Security를 사용하면 시간의 경과와 함께 새로운 위험에 적응하는 방법을 학습하여 계속 증가하는 위협 환경에 맞게 조정되는 동적이고 지능적인 보호를 통해 인간의 오류 위험을 줄여주는 강력한 정책 엔진으로 데이터가 정확하게 캡처, 포착 및 보호됩니다.

    2017년 6월 22일에 Forrester의 시니어 애널리스트 Heidi Shey가 진행하는 웨비나를 시청하십시오. Symantec이 데이터와 정보의 보호를 유지하는 새로운 방식을 제공하기 위해 우수한 보안 솔루션을 어떻게 통합하는지 보여 드립니다. 등록하려면여기를클릭하십시오.

                                                                 ICS Training_0.png

     

    * 1,100명의 CISO(Chief Information Security Officer)을 대상으로 한 2017 Symantec 연구 결과입니다.


    0 0

    全新推出的賽門鐵克聚焦於資訊的安全概念,能隨時隨地加密、追蹤及撤銷資料
    Background Image on Blogs "Quilted" Page: 
    Publish to Facebook: 
    No

    維持關鍵資料和資訊的可見度並不容易,掌握所有大小資料的所在位置相當困難。智慧財產權 (IP),甚至是個人識別資訊 (PII) 等業務關鍵資料,常常在團隊間透過各種管道分享 (如電子郵件、USB、內部部署、Box 或其他雲端儲存系統),缺乏可見度且難以控制。

    擔心資料未受到安全保護?透過以下方式,快速檢測您的資料可見度及控制能力:

    1. 與下列人員分享關鍵資料時,您知道資料落在誰手中:

      1. 信任的合作夥伴?

      2. 信任的供應商?

      3. 使用自攜裝置的承包商?

    2. 您知道信任的合作夥伴或供應商,是否有將您的資料分享給其他供應商嗎?

    3. 您與承包商、合作夥伴或供應商終止合作關係時,有辦法拿回分享過的資料嗎?

    如果您對上述問題的答案是「否」,請別擔心,因為您不是唯一個案。事實上,根據最近一項賽門鐵克調查指出,大約每三位受訪的資訊安全長中,就有一位認為資料遺失是企業在今年度的首要網路威脅。*

    資料遺失除了可能造成公司 IP 遺失,也可能導致違反全球資料隱私法規 (GDPR) 及 PCI 安全標準委員會的合規性要求。公司若違反那些合規要求,可能會因為資料遺失而受到更慘重的負面影響,像是支付高達 2,000 萬歐元的罰款、失去市場競爭力,以及品牌形象受損。

    整合式安全保護是解決之道

    賽門鐵克聚焦於資訊的安全概念解決方案,採取了全新的資料安全策略,整合可見度、防護及身分。賽門鐵克聚焦於資訊的安全概念,能夠深及雲端應用程式及「自攜」行動裝置等未受管的環境,保護每一筆機密資料。

    賽門鐵克整合了搭載 CloudSOC CASB、領先業界的 DLP,以及含身分驗證機制的雲端型 PGP 加密,讓客戶能夠追蹤並控制所有類型資料的整個生命週期。因此,能夠隨時隨地針對任何使用者,自動加密、追蹤及撤銷資料。市面上,僅有賽門鐵克提供如此縝密的可見度及控制能力。

    傳統資料解決方案無法有效防護

    其他資訊保護選項能在少數狀況下有效發揮,但技巧高深的使用者總是有辦法攻破。

    • 傳統 (內部部署) DLP 及使用者標記能使用機器學習及使用者資料標記等先進手段,辨識關鍵內容,但資訊一旦透過經認可或未經認可的應用程式分享至未受管的裝置,保護便會失效。

    • 傳統 CASB解決方案與 DLP 政策結合後變得更加強大,但並不用來封鎖與簽署保密協定的合作夥伴、供應商及承包商之間的第三方通訊,那樣做會影響可見度。

    • 加密過程可能極為費力,而使用者的不愉快體驗會導致政策遭到快速汰換。資料一經解密並與其他供應商分享,防護或可見度就不負存在。
    • Microsoft 數位版權管理及風險管理服務 (DRM 及 RMS)無法因應更大市場,且伴隨著部署及可用性問題。由於對 Microsoft 生態系統的限制,該產業尚未想出如何在資料本身加入安全政策,並確保只供目標使用者自任何平台存取。

    賽門鐵克聚焦於資訊的安全概念的優勢在於?

    在未受管環境中保護資訊極其困難,不僅無法控制資料的所在位置或取得可見度,也無法知道有哪些裝置及使用者正在存取該資料。

    此解決方案開創先例,採取下列方式整合領先業界的賽門鐵克 DLP、CASB、加密及驗證:

    • 機密資料會在每一個通訊管道自動偵測,或是由建立該資料的使用者手動分類。

    • DLP 能自動辨識並加密機密資料,降低資料意外遺失的可能性。

    • CASB 技術會攔截傳輸至雲端的資料,並將 DLP 防護延伸至原先未受管的環境。

    • 賽門鐵克 VIP 的多重驗證整合使用者驗證憑證及解密金鑰,確保只有目標使用者可以存取。

    該整合並不只涵蓋賽門鐵克產品,此解決方案全面開放,可供第三方進行整合。賽門鐵克會發佈網際網路草案及 API 擴充功能,供第三方開發人員和聚焦於資料的供應商使用。

    有了賽門鐵克聚焦於資訊的安全概念,您的資料將受到強大政策引擎所帶來的準確擷取、追蹤及防護,該引擎提供動態及智慧保護,可減少人為錯誤造成的風險,且能適應成長的威脅版圖,因應全新類型的風險。

    歡迎參加我們於 2017 年 6 月 22 日舉行的網路研討會,與 Forrester 的資深分析師 Heidi Shey 一同探討賽門鐵克如何整合其領先的安全解決方案,為確保資料及資訊受到持續保護,提供全新策略:點此報名

                                                                 ICS Training_0.png

     

     * 根據 2017 年賽門鐵克的雲端安全調查,受訪者為 1,100 位資訊安全長


    0 0
  • 08/23/17--08:00: It’s Back to School Time
  • Symantec equips students with the tools they need to succeed and stay safe this school year
    Publish to Facebook: 
    No

    As children across the U.S. go back to school this month, Symantec is helping to make sure they are prepared. Through backpack and school supply drives for local children in need and cyber education tools for parents and children, Symantec is working to make sure every student is ready for class.


    Symantec employees in Tempe, Arizona write notes to include with the school supplies they donated to Curry Elementary.

    This month students across the U.S. head back to school and Symantec is focused on keeping them safe online, and prepared for the classroom. While some students need school supplies to start their school year off right, others need to learn a few essential cyber basics to enable them to explore the digital world safely.

    Symantec provides school supplies for kids in need

    Symantec’s Consumer Business Unit in Mountain View, California is hosting a virtual backpack drive to help send low-income children back to school with the essential, grade-appropriate supplies they need to succeed. Symantec has partnered with the Family Giving Tree, a nonprofit that has served more than one million Bay Area children from low-income families since 1990. In 2016, the demand from schools and agencies was greater than ever and more than 39,000 backpacks filled with supplies were delivered to students in grades K – 12 who were enrolled in the Federal Free or Reduced Price Meal Program. Backpacks with STEM supplies can cost between $50 (Elementary) and $95 (High School) dollars, and students without a calculator, protractor, or compass have a hard time learning geometry or algebra, participating in the classroom, and completing their homework. For children living in poverty, a lack of crucial school supplies means they start their school year off at a large disadvantage.

    Symantec’s virtual Backpack Tree hopes to empower a low-income high school student to graduate, equip two middle school students with the tools needed to succeed in the classroom, provide five elementary school students with fundamental school supplies, and fill an entire classroom with the supplies needed to elevate their learning.  

    Symantec’s Tempe, Arizona office also hosted a schools supply drive and wrote hand-written notes for the students at Curry Elementary. The office provided a financial donation to the school to use for whatever they need, which meant buying new shoes for all of the students in 2016. Curry Elementary is located right down the street from Symantec’s Tempe office and is a Title 1 school; out of the 539 students 23% are limited in English proficiency and 81% have subsidized lunches. We have worked with the school for the past few years, first as LifeLock and now as Symantec, providing much needed resources for the cash-strapped public school, and opportunities for the students to start their school year off with items they desperately need. 


    Symantec employees sent 600 inspiring notes to students heading back to school at Curry Elementary.

    Symantec provides resources to keep kids safe online

    As children head back to school, they also face increasing threats that emerge as a result of cyber behavior. Cybercrime is a multibillion-dollar industry and hackers exploit poor cyber habits, including those of children. According to a recent Norton survey, 60% of parents worldwide allow their children access to the Internet before age 11. These children are often on a quest to constantly learn new things, and may unintentionally engage in risky online behavior, like inadvertently disclosing too much information. Even though 78% of parents agree that children today face more online risks than children five years ago, only 50% check their children’s browser history and 46% limit access to certain websites and apps.1

    This month, children will be accessing the Internet from numerous devices, including computers and tablets at school, messaging each other through the newest social media sites and downloading the latest apps. We believe that, in the same way that we educate our children about other risks, it is imperative that we educate them about avoiding online dangers. Symantec has developed free cyber safety educational tools for parents to address new and emerging risks to children's online safety, including a guide to identify the signs of cyberbullying and how to start a conversation about it. To learn more and download the guide, visit Norton.com/cyberbullying. For children not yet using technology, we provide tips on how to decide when a child is ready for technology and offer free Cyber Safety Guides for grade school kids, middle school kids, and high school students.

    The Smart Talk, another online tool, is designed to help parents empower their children to become smart digital citizens in an increasingly connected world. It’s the result of a collaboration between LifeLock, a Symantec company, and the National PTA, and gets parents and kids together for a conversation about being responsible with new technology. Parents and children answer a series of questions together to make sure everyone is on the same page, and through The Smart Talk parents can print out their Internet rules agreement and posit it where the whole family can see it.

    You can visit Norton’s Kid Safety Security Center to read more about keep kids safe online, and we wish you all a safe and successful school year.


    0 0

    Mobile ransomware can now be created automatically without the need to write code.

    続きを読む

    0 0

    Radicati, IDC MarketScape and SE Labs provide objective comparisons for ATP solutions
    Publish to Facebook: 
    No
    Twitter カードのスタイル: 
    summary

    While every vendor claims market leadership, the industry benchmark of leadership is an objective third-party comparison.  Independent assessments and lab tests confirm Symantec's leadership in the ATP market.

    Getting Beyond the Noise

    Technology products often are overhyped, and products that address advanced threats are no exception. Advanced Threat Protection players proliferate in the market, and self-proclaimed market and technology leadership is common.  Customers rely on independent sources to cut through the noise and provide a clear picture of what vendors have to offer.

    Symantec has demonstrated leadership in the Advanced Threat Protection (ATP) market with multiple independent assessments.

    Top Player Radicati Advanced Persistent Threat Protection Market Quadrant*

    Radicati Group has published a deep-dive assessment of the APT Protection market, and the overall leader is Symantec Advanced Threat Protection.

    The Radicati APT Protection MQ report is a comprehensive assessment of vendors that analyzes functionality, strategy, customer support, and more.

    The report assesses vendors on critical criteria including:

    • Deployment options
    • Malware detection
    • Web and Email Security
    • Forensics and Analysis of zero-day and advanced threats
    • Sandboxing and Quarantining
    • Remediation

    The extensive analysis provides an independent source for customer evaluation.

    In the 2017 report to compare APT Protection vendors in detail, Radicati assessed Symantec as the overall leader and the highest ranked Top Player.


    Figure 1

    In Radicati's review of the APT Protection market, the analyst firm cited as one as Symantec's strength our integrated ATP solution that covers critical control points including Endpoint, Email, Web and Network threat vectors.  The ability to add visibility and threat correlation for multiple control points is essential. Firms that invest in point products that focus on a single threat vector may find the task of integrating and managing a disparate set of products costly.

    Radicati highlighted this strength stating, "Symantec provides a fully integrated portfolio of solutions to guard against threats across all vectors including endpoint, network, web, email, applications and more."

    Just as important as addressing control points is providing a multi-layered approach to protection.  Radicati recognized Symantec's integrated solutions support the entire threat lifecycle. Symantec's integrated cyber defense approach includes Network Forensics via Symantec Security Analytics giving customers real-time content inspection and sophisticated anomaly detection for all network traffic including SSL traffic (using Symantec SSL Visibility). 

    The Radicati report highlighted Symantec Malware Analysis for its customizable hybrid sandbox and noted that Symantec’s cloud sandbox offers virtual and physical execution modes to thwart threats designed to be “VM aware.”

    Lastly, Radicati cited Symantec ATP’s Endpoint Detection and Response capability that ensures stealthy threats can be exposed and any impacts of a breach quickly resolved across all impacted endpoints.

    SE Labs Network Security Appliance Test

    In July, SE Labs published the lab results comparing several popular network security appliances including Symantec ATP.  The test used real-world threats that were active on the internet at the time of the test.  The threats utilized in the analysis were web-based, malware downloads and targeted attacks.

    SE labs found that Symantec ATP had the highest rating for Total Accuracy a measure that combines the effectiveness of threat protection and the handling of non-malicious objects (99%).  In addition, SE Labs found that Symantec protected against 100% of the public web-based threats, malware downloads and targeted attacks used in the test.

    Symantec ATP received SE Labs AAA Award for strong overall performance in the test.


    Figure 2

    IDC MarketScape on Endpoint Specialized Threat Analysis and Protection 2017**

    In another major analyst report, the IDC MarketScape named Symantec a leader, citing the combination of technology and services that support threat detection and remediation of known and targeted attacks.

    Among the strengths highlighted in the report, stating "Symantec Advanced Threat Protection is tightly integrated into SEP 14 and provides incident responders with complete visibility through a single agent and the ability to conduct active threat hunting and live response on endpoint devices."

    The Bottom Line

    Claiming you're a leader is one thing, many vendors make this claim. 

    Having an independent assessment from Radicati that your solution is the highest ranked among Top Players for APT Protection and has the highest rating for total accuracy in real-world lab tests from SE Labs are the kind of validations customers should consider when comparing vendors.


    Figure 3

    Download your free copy of the 2017 Radicati APT Protection Market Quadrant Report and SE Labs Network Security Appliance Test

    Related content:

    Symantec Advanced Threat Protection Solution

    Symantec Endpoint Detection and Response

    Symantec Content & Malware Analysis

    Symantec Security Analytics

    Symantec SSL Visibility

    Endpoint Security - Market Quadrant 2016, Radicati, Nov 2016

    ** IDC MarketScape: Worldwide Endpoint Specialized Threat Analysis and Protection 2017 Vendor Assessment (Doc # US42385717, April 2017)


    0 0

    エンドポイントセキュリティへの多層的なアプローチ
    Cross Post Blogs: 
    Thought Leadership
    Background Image on Blogs "Quilted" Page: 
    Publish to Facebook: 
    No

    昨年 1 年間だけでも、マルウェアの新しい亜種は 1 日 100 万種以上も発見され、ランサムウェアのファミリーも 3 倍に増えました(「2017 年インターネットセキュリティ脅威レポート、ISTR22」による)。ランサムウェアに伴う支払い金額の平均は昨年比 266% と急増し、1,077 ドルに達しています。こうした厳しいデータを見るだけでも、セキュリティの専門家が毎日のように直面している困難の大きさが察せられます。複雑なネットワークと、変異し続ける無数の外的な脅威から生じるセキュリティ需要に対応するには、適切なエンドポイントセキュリティソリューションの導入が不可欠です。

    最近のブログで、Gartner の Avivah Litan 氏は、顧客にこう提案しています。「アプリケーションのホワイトリストおよびブラックリストや、たいていの EPP(エンドポイント保護)プラットフォームに組み込まれているコントロールなど、多層的なエンドポイントセキュリティのアプローチを用いるべきである」

    まさに、我が意を得たりの提案でした。企業は、急速に変化するセキュリティ環境への対処を前提として、保護・検出・対応までのサイクルを網羅した保護を実現する、万全のエンドポイントセキリティを必要としています。運用する保護の機能に限界があれば、その結果は火を見るより明らかです。

    昨今のひときわ深刻な脅威から組織を確実に保護していただくために、万全のエンドポイントセキュリティに欠かせない一連の特長を紹介しましょう。

    1. 攻撃チェーンの全体をカバーする総合的なセキュリティ

    感染は、ネットワーク侵害につながる大きいチェーンのなかで 1 つのリンクにすぎません。最高のエンドポイントセキュリティシステムは、実績のある技術と新世代の技術を融合して、場所や経緯にかかわらず脅威を防ぎます。これまでより包括的なアプローチをとって初めて、企業は可能な限り最大の保護を受けられるようになります。特に強力なエンドポイントセキュリティ製品になれば、侵入から感染、データ漏えい、修復まであらゆる段階で高度な機能を有しているものです。そんな各段階で必要とされる中心的な機能を、詳しく見てみることにしましょう。

    侵入の段階

    1. 電子メール由来の脅威から保護する: 最近の調査によると、ランサムウェアが含まれるメールは、131 通中 1 通に及ぶといいます(ISTR22)。ステルス性を備えた攻撃から身を守るには、メール添付ファイルをすべてスキャンするエンドポイント保護が必要です。
    2. 悪質な Web ダウンロードから保護する: スキャンの対象となった Web サイトのうち 76% は脆弱性があり、攻撃者がマルウェアの侵入に悪用できるという結果が出ています(ISTR22)。着信と発信のトラフィックをすべて解析してブラウザを保護する侵入防止の技術があれば、エンドポイントに到達する前にそうしたマルウェアを遮断できます。
    3. 強力なエンドポイント保護では、アプリケーションとデバイスの制御も簡単にできる必要があります。情報のアップロードやダウンロード、ハードウェアへのアクセス、レジストリへのアクセスなどをデバイスごとに制御するためです。

    感染の段階

    万全のエンドポイントソリューションは、こうした保護機能を侵入レベルで実装したうえで、どんな攻撃の手口に対しても高度な保護機能を備えています。たとえば、以下に挙げるような機能です。

    1. 高度な機械学習。グローバルインテリジェンスネットワークに存在する正常なファイルと不正な兆単位のサンプルファイルを、高度な機械学習によって解析します。シグネチャに依存しない技術なので、マルウェアの新しい亜種であっても実行前に遮断することが可能です。
    2. 悪用の防止。ブラウザや生産性ソフトウェアのように広く使われているソフトウェアでは、新しいゼロデイ脆弱性が毎週のように報告されています。IT 部門でさえ、新しく公開されたパッチのテストと適用が追いつかないため、ゼロデイ脆弱性が放置されて、攻撃者による悪用を許しかねません。その多くは、メモリベースの攻撃も伴っています。悪用防止の技術があれば、このようなゼロデイ脆弱性も、メモリベースの攻撃も防ぐことができるのです。
    3. グローバルに広がる人工知能に基づくファイル評価解析。最新の解析機能でユーザー、Web サイト、ファイルからの百万単位の相互リンクを解析し、変異の急速なマルウェアも検出して防御します。最新の評価解析によって、主な属性(ファイルのダウンロード元、ダウンロードされた回数など)を解析し、ファイルがエンドポイントに到達する前に、リスクを評価して評価スコアを割り当てます。
    4. エンドポイントにおける高速なエミュレーションが、軽量かつ高速の短期サンドボックスとして機能するため、ポリモーフィックなマルウェアや変異マルウェアも検出されます。
    5. 動作モニタリング。万一、マルウェアが攻撃チェーンの奥深くまで進んでしまった場合には、動作モニタリングが機械学習の力を利用して、広範囲でファイルの動作を監視し、検出されたリスクを遮断します。これもランサムウェア対策になり、悪質な PowerShell スクリプトなどステルス性の攻撃を防ぎます。調査によると、昨年の 1 年間に解析された PowerShell スクリプトの 95% は悪質なものでした(ISTR22)

    賢明な組織であれば、組織内をマルウェアが自在に移動することを警戒し、エンドポイントソリューションの漏えい対策機能にも注意を払うことでしょう。侵入防止、ファイアウォールポリシー、動作モニタリングはここでも重要な役割を果たすため、最新のエンドポイントプラットフォームには必須の機能です。これらの技術は、先日流行した WannaCryランサムウェアの拡散防止にも絶大な効果を発揮しました。

    2. 強力なインシデント捜査とインシデント対応

    執拗な攻撃は必ず防御網を突破するものと、ほとんどの組織は理解しています。それでもなお、侵害があればできるだけ速やかに検出できる強力な検出機能と、インシデント操作およびインシデント対応の使いやすいワークフローが求められています。この機能を業界アナリストは EDR(Endpoint Detection and Response)と呼ぶようになりました。先進の EDR ソリューションがあれば、侵害を捜査する一方でエンドポイントを隔離し、ブラックリストを利用してマルウェアの拡散を封じ込めることができます。また、マルウェアを削除してエンドポイントを感染前の状態に戻せるので、修復も容易です。

    まとめると、攻撃チェーンの各レベルから検出、対応まで徹底的に保護できるのが、効果の高いエンドポイントセキュリティということになります。「セキュリティの強さは最も弱いリンクで決まる」と、以前から言われているように、総合的なアプローチをとることが欠かせません。

    3. 先進の機能に裏打ちされたパフォーマンスとスケール

    以上に述べたように、攻撃チェーンに対する防御では総合性がきわめて重要です。とはいえ、パフォーマンスもけっして軽視はできません。最高のエンドポイントセキュリティは、ネットワークの速度低下によってユーザーを阻害しないよう最適化されていなければなりません。また、企業の成長に合わせたスケールアップも必要です。

    4. 低い総保有コスト

    通常は複数のエージェント(機械学習、悪用防止、EDR など)を利用しなければならない技術を、1 つのエージェントだけで複合できるのが、最終的には理想です。エージェントが 1つであれば、複数のエージェントの管理と維持を統合できるため IT の負荷が減り、総保有コストの削減というメリットも得られます。

    5. シームレスな統合により組織化された修復

    最新のエンドポイントソリューションでは、オープン API システムを介した容易な統合が重視されています。そのため、ネットワークセキュリティ、IT チケット発行システム、SIEM といった既存のセキュリティインフラストラクチャが無駄になりません。

    まとめ

    エンドポイントセキュリティソリューションは、どれも同じではありません。最高、最新の製品には主に 3 つの特長があります。1 つ目は攻撃チェーンの全体にわたる総合的な保護検出・対応。2 つ目は効率を損ねない高いパフォーマンスとスケーラビリティ。そして 3 つ目が、既存のインフラストラクチャとのシームレスの統合です。

    この 3 つの特長が、単一の軽量なパッケージに統合されていれば、言うことはありません。複数のエージェントを管理するとなると、効率が低下し、コストもかさむからです。新しいエンドポイントセキュリティソリューションを検討する際には、以上のような特長を重視すれば、投信を無駄にすることなく最大限の保護を実現できることでしょう。

    Gartner 2017 Magic Quadrant.jpg

    【参考訳】


    0 0

    手机勒索软件现可自动生成,无需编写代码。

    続きを読む

    0 0

    今や、モバイルランサムウェアはプログラムを 1 行も書かずに自動的に作成できるようになりました。

    続きを読む

    0 0

    Introducing Advanced Email Security Analytics
    Publish to Facebook: 
    No
    Twitter カードのスタイル: 
    summary

    Email continues to be a top incursion vector for attackers.  As a result, organizations need to gain better visibility into their email, which is the most critical and exposed control point. Understanding threat actors and the email threat landscape has become imperative for customers today, as they are looking to quickly investigate, correlate, and respond to threats.

    Symantec Advanced Threat Protection for Email already provides deep visibility into the threat landscape with Indicators of Compromise (IOCs) on malicious emails such as file hashes and URLs as well as attacker information such as sender IPs & sender countries. This intelligence can be seamlessly ingested into third-party Security Incident and Event Management tools (SIEM) such as Splunk, IBM QRadar, and HP ArcSight, which enables Security Operations Center (SOC) teams to investigate and respond to advanced email attacks. Customers are leveraging this information for use cases such as correlating malicious file hash information from emails with their endpoints, feeding malicious links into their Web proxies to gain insight into attackers, and increasing protection by understanding targeted threats against their organizations.


    Figure 1 – Intelligence on malicious URLs found by deep link analysis in Symantec Cloud Email Security.  This includes both the original URL and as well as the destination URL from where malicious payloads are served.


    Figure 2 – Symantec offers visibility into the threat landscape, including where attacks originate.

    Last month, we announced new Business Email Compromise protection and deeper visibility into advanced email attacks. Today, we are excited to announce the launch of new APIs as part of our Advanced Email Security Analytics, which provide deep visibility into both clean and malicious emails by extending our intelligence to all emails scanned by our Symantec Email Security.cloud service. These APIs enable organizations to:

    • Gain near real-time visibility and analytics into the email threat landscape
    • Investigate and correlate threats by providing actionable intelligence about IOCs, including spoofed domains, spoofed users, malicious URLs, detailed sandbox behaviors and associated network communication
    • Accelerate response to targeted and advanced threats by tracking email-based attack campaigns and outbreaks
    • Understand end-user risk profiles and improve the overall security posture and awareness of email threats


    Figure 3

    Over the next couple of months, we will release an updated version of our free Splunk application that will leverage these new data sources to provide enhanced advanced analytics at your fingertips.


    Figure 4 – Ability to create campaign view to track email outbreaks.

    Getting Started

    This feature is available to Symantec Advanced Threat Protection for Email customers today. To enable the data feeds, please refer to settings section under Advanced Threat Protection:Email in Email Security.cloud portal. You can also download our admin guide that provides detailed information about the data points provided and sample Python scripts to get started quickly.


    Figure 5 – Email data feed settings in Symantec Email Security.cloud console.

    Join our webcast on August 30 to learn more about the latest capabilities and see them in action!


    0 0

    PowerShell の便利な応用サンプルをご紹介します。
    Background Image on Blogs "Quilted" Page: 
    Publish to Facebook: 
    No

    ご存じのように、先日、ユーザー登録の際にユーザーの CSV または XLSX ファイルを Endpoint Cloud にインポートする機能が追加されました。

    それに伴って、オンプレミス AD(Active Directory)の管理者には、そのファイルを作成する義務が発生しています。そこで筆者は、AD ユーザーを CSV ファイルに出力できる Powershell スクリプトがないかどうか調べ、ちょうどいいサンプルを見つけました。

    https://gallery.technet.microsoft.com/scriptcenter/Powershell-script-to-5edcdaea

    もちろん、パス(2 カ所)、ターゲットサーバー、データ取得元の OU は書き換えが必要です (OU は組み込みの "Users"を使うの、OU= ではなく CN= を使ってください)。

    また、取得するフィールドとその名前も変更する必要があります。筆者の場合、各フィールドは次のとおりです。

    $AllADUsers |
    Select-Object @{Label = "Email";Expression = {$_.Mail}},
    @{Label = "FirstName";Expression = {$_.GivenName}},
    @{Label = "LastName";Expression = {$_.Surname}},
    @{Label = "Phone";Expression = {$_.telephoneNumber}}|

    ここから、ポータルでダウンロードした CSV ファイルに、必要なユーザーをコピーして貼り付け、インポートすれば完了です。

    【参考訳】


    0 0

    Publish to Facebook: 
    No

    銀行がサイバー犯罪から身を守るのは、容易なことではありません。銀行を業務停止に追い込もうと躍起になっているハッカーを相手にするのは、なおのこと骨が折れます。サイバー犯罪者に勝つために、銀行にはかなり強力なセキュリティが必要です。

    2012 年、スペインは深刻な経済危機に陥りました。欧州連合は、1,000 億ユーロ(1,250 億米ドル)の財政支援を決定しましたが、そのとき提示された条件のひとつは、スペインが「バッドバンク」を設立することでした。「バッドバンク」とは、不良債権を買い取り、経営難に苦しむ国内の銀行の経営立て直しを図るための銀行です。

    そこでスペインが設立したのが Sareb でした。Sareb は、不動産価格の暴落によって破綻の危機に瀕していた銀行から、不良不動産と不良融資を買い取るというミッションに乗り出します。Sareb はほぼ 20 万件、総額 540 億米ドル相当の資産を買い取りました。次の段階は、優先順位を付けて資産を選別し、救済可能な資産を市場に戻すことです。

    これでもう大丈夫、とはいきませんでした。スペイン市民の一部が、経営難に陥っている銀行の緊急援助を非難し始めたからです。そして、標的の出現を常に待ち構えているハッカーも、Sareb に狙いを定めます。大がかりなゼロデイ攻撃や、CryptoLocker を使ったランサムウェア攻撃がしかけられました。「Sareb Go」という悪質なアプリ(「Pokemon Go」にちなんだ名前です)まで作られ、ハッカーたちは無理矢理 Sareb の資産を奪い取ろうとしました。

    Sareb にはセキュリティの防備がほとんどなく、ファイアウォールも、データ漏えい防止も、脅威対策もありませんでした。強力なセキュリティインフラストラクチャが必要です。しかも、資産の弁済スケジュールが厳格である以上、整備は急務でした。

    Sareb は、すかさず上層部で意思決定を下し、シマンテックと、実装パートナーである Hewlett Packard Enterprise(HPE)を頼ります。両社によって、エンドポイントとメールゲートウェイの万全なソリューションが配備されました。

    これでミッション完了です。Sareb は、疑わしい事象があれば調査・解明できるようになり、あらゆるエンドポイントで所定の侵害指標の検索、徹底的な脅威の可視化、攻撃による影響の修復が可能になりました。

    シマンテックと HPE の専門家にいつでもサポートを依頼できるというのも魅力です。Sareb の企業セキュリティマネージャー、Gabriel Moline 氏はこう語っています。「フェラーリのオーナーになれたら、きっと素晴らしいでしょう。しかし、正しい運転のしかたを知らなかったら、宝の持ち腐れです。シマンテックと HPE のおかげで、最高級車を所有して、しかもプロのように運転できます」

    この話の続きは、Sareb のケーススタディ全編をお読みください。

    【参考訳】


older | 1 | .... | 237 | 238 | (Page 239) | 240 | 241 | .... | 254 | newer