私達と接続する

ZDNET

MicrosoftのCISO:パスワードを永久に追放しようとしている理由

公開済み

on

Microsoftの最高情報セキュリティ責任者(CISO)、Bret Arsenaultマイクロソフトに31年間在籍している彼は、会社で公に応援されたのは一度だけだと言います。それは、71日ごとにパスワードを変更するというマイクロソフトの内部ポリシーを打ち切ったときです。 

「セキュリティ担当者およびエグゼクティブとして称賛されたのはこれが初めてです」とArsenaultはZDNetに語っています。 「マイクロソフト内でパスワードローテーションをオフにするのは、その部分を削除したためだと言いました。」 

Arsenaultは、MicrosoftのCISOとして、Microsoft製品と160,000万人の従業員が使用する内部ネットワークの両方を保護する責任があります。 ベンダーをミックスに追加した後、彼は世界中で約240,000のアカウントを担当しています。 そして、パスワードを取り除き、多要素認証(MFA)のようなより良いオプションに置き換えることは、彼のやることリストの上位にあります。

見る: ネットワークセキュリティポリシー (TechRepublic Premium)

Microsoftは、パスワードポリシーを段階的に更新しました。 2019年2020月に、テレメトリを使用して有効性を検証し、XNUMX年の有効期限に移行しました。 XNUMX年XNUMX月に、結果に基づいて無制限の有効期限に移行しました。  

マイクロソフトも 60日間のパスワード有効期限ポリシーを実装するように顧客に推奨することをやめました 人々は既存のパスワードに小さな変更を加えたり、新しい良いパスワードを忘れたりする傾向があるため、2019年に。 

Arsenaultの場合、MFAをどこにでも配置することについて話し合うのではなく、パスワードを削除することについての変更をフレームに入れました。

「誰もパスワードが好きではないからです。 あなたはそれらを嫌い、ユーザーはそれらを嫌い、IT部門はそれらを嫌います。 パスワードが好きなのは犯罪者だけです。彼らはパスワードを愛しています」と彼は言います。 

「私たちはどこでもMFAを取得するというモットーを持っていたのを覚えています。後から考えると、それは正しいセキュリティ目標でしたが、間違ったアプローチでした。 ユーザーの結果についてこれを行うので、「パスワードを削除したい」に移行します。 しかし、あなたが使う言葉は重要です。 単純な言語シフトによって、私たちが達成しようとしていることの文化と見方が変わったことがわかりました。 さらに重要なことに、これにより、Windows Hello for businessのように、設計と構築内容が変更されました」と彼は言います。 

「パスワードを削除し、任意の形式の生体認証を使用すると、はるかに高速になり、エクスペリエンスが大幅に向上します。」

Windows 10 PCでは、その生体認証セキュリティエクスペリエンスはWindowsHelloによって処理されます。 iOSおよびAndroidでは、OfficeアプリへのアクセスはMicrosoft Authenticatorを介して行われます。これにより、MicrosoftOfficeアプリにログインするときにスムーズなエクスペリエンスが提供されます。 iPhoneやAndroid携帯で利用できる生体認証を利用します。   

「現在、ユーザーの99.9%が環境にパスワードを入力していません。 とはいえ、完璧を超えた進歩は、[パスワードの入力]を求めるレガシーアプリがまだあります」と彼は言います。

しかし、それは戦いの終わりではありません。 ただ Microsoftの顧客の18%がMFAを有効にしています

マイクロソフトのお客様はMFAを無料で利用できることを考えると、この数字はとてつもなく低いように思われますが、ランサムウェアが示すように、 数百万ドルの結果が生じる可能性があります XNUMXつの主要な内部アカウントのみが侵害された場合。 

MFAでアカウントを保護しても、攻撃者を完全に阻止することはできませんが、アカウントを保護するためのユーザー名とパスワードの固有の弱点から組織を保護することで、攻撃者の生活を困難にします。 パスワードスプレー攻撃による侵害

パスワードの再利用に依存する後者の手法は、SolarWindsの攻撃者が他にターゲットを侵害したXNUMXつの方法でした 汚染されたソフトウェアアップデートを広めるために会社のソフトウェアビルドシステムに侵入する.    

マイクロソフトはハイブリッドモードの作業に移行しており、そのシフトをサポートするために、ネットワークが侵害されたと想定し、ネットワークが企業のファイアウォールを超えて拡張され、BYODデバイスに対応するゼロトラストネットワーク設計に向けて推進しています。自宅で仕事に、または職場で個人的なコミュニケーションに使用できます。 

しかし、Microsoft、Google、Oracle、SAP、およびその他の重要なソフトウェアベンダーの重要なエンタープライズ製品でMFAを有効にする組織を増やすにはどうすればよいでしょうか。 

MFAの有効化を検討している組織の場合、Arsenaultは、リスクの高いアカウントを最初にターゲットにして、完全ではなく進捗に取り組むことをお勧めします。 最大の問題はレガシーアプリケーションですが、完璧を求めることは行き詰まるリスクがあります。 

「誰もがバイオメトリクスなどの最新の認証をサポートできないブラウンフィールドアプリを持っているので、多くの人がすべきであり、やらなければならないことは、リスクベースのアプローチを取ることだと思います。まず、高リスク/価値のあるグループにMFAを適用します。管理者、人事、法務グループなどのように、すべてのユーザーに移動します。 何かをしたい速さによっては、数年の旅になることもあります」と彼は言います。

次に、SolarWindsとMicrosoftについての難しい質問があります。 10億ドルのサイバーセキュリティビジネスを展開しています、ロシア政府のハッカーに巻き込まれました。 マイクロソフトはXNUMX月にそれがあったと主張した 事件による被害は最小限にとどまる、しかしそれにもかかわらずそれは破られました。 マイクロソフト社長ブラッドスミス ハックを「計算の瞬間」と呼びました マイクロソフト自体を含む顧客は、信頼できるベンダーから入手したソフトウェアを信頼できなくなったためです。 

「確かに、私たちは環境でSolarWinds Softwareを使用し、影響を受けたバージョンを特定して修正し、アクセスがあったことを公表しました。 私たちは、サプライチェーンプログラムの実行方法、サプライチェーンの内容の評価方法、およびそれらのことをどれだけ迅速に実行できるかを変更し続けています」とArsenault氏は述べています。 

見る: クラウドコンピューティング:マイクロソフトは、ヨーロッパの顧客向けに新しいデータストレージオプションを設定します

 Arsenaultによると、Microsoftはサプライチェーンの脅威が長い間やってくるのを見てきました。 

「多くの人が玄関のドアを保護するために何かをしているのを目にしますが、その後、バックドアは大きく開いています」と彼は言います。  

「私たちが目にした部分は、サプライチェーンが弱点であるということです。 サプライヤに対する可視性は限られています。 おもう 【米国大統領ジョー・バイデン】大統領命令 このスペースで役立ちます。 しかし、サプライヤについての考え方を理解するには、その可視性をスケーラブルな方法で取得する方法が必要です。

「インフォメーションワーカー向けのゼロトラストの概念を採用し、それをソフトウェアサプライチェーンに適用したいと思います。これは、証明されたIDから、正常なデバイスから作成されたコード行ではありません」と彼は言います。  

コインスマート。 BesteBitcoin-ヨーロッパのBörse
ソース:https://www.zdnet.com/article/microsofts-ciso-why-were-trying-to-banish-passwords-forever/#ftag=RSSbaffb68

ZDNET

遊牧民のサマーセールが始まります:すべてが30%オフになります

公開済み

on

nomad-goods-leather-sleeve-macbook-pro.jpg
画像:遊牧民

遊牧民の商品 アップル製品向けの最高のハイエンドで高品質のアクセサリーのいくつかを製造しており、来週は、サイト上のすべての正規価格のアイテムの30%オフを得ることができます。

今の私のお気に入りのノマドアクセサリーのXNUMXつは最近です レザーAirTagループを発売。 割引前の24.95ドルで、革のループはAirTagを運ぶスタイリッシュな方法を追加します。 さらに、これはAppleの公式AirTagケースに代わる価値のあるものです。 ループからAirTagを削除せずに、その時が来たらバッテリーを交換することもできます。 

私がお勧めする他の遊牧民の製品は次のとおりです 充電ケーブル、簡単に壊れないように、外側に編みこみのケブラーがあります。 遊牧民のiPhoneケース   アップルウォッチバンド また、人気があり、MagSafeとの互換性を含む豊富なカラーオプションがあります。

私はレビューしました Base StationProワイヤレス充電システム これにより、充電コイルを正確に裏打ちすることを心配することなく、Qi互換デバイスをパッドのどこにでも配置できます。 

30%オフのプロモーションを利用するには、クーポンコードを使用する必要があります SUMMER30 チェックアウト時 遊牧民のウェブサイト.

新しい遊牧民の装備を手に入れたら、コメントであなたが決めたことを知らせてください。

ZDNet推奨

PlatoAi。 Web3の再考。 増幅されたデータインテリジェンス。
アクセスするには、ここをクリックしてください。

出典:https://www.zdnet.com/article/nomad-summer-sale-deals-coupon-promo-code/#ftag=RSSbaffb68

続きを読む

ZDNET

Verizonは2022年までにすべてのAndroidスマートフォンにRCSを導入する

公開済み

on

ベライゾン Googleと連携します をもたらす リッチコミュニケーションサービス(RCS) 来年から米国のAndroidユーザーに標準装備され、今年初めに切り替えを発表したT-MobileとAT&Tに加わりました。 

Verizonは火曜日にGoogleとのコラボレーションを発表し、RCS標準は「MessagesbyGoogleから直接よりインタラクティブで最新のメッセージングエクスペリエンスを提供する」と述べました。

Verizonの声明によると、Messages byGoogleは来年までにすべてのVerizonAndroidデバイスにプリロードされる予定です。 

GoogleとVerizonは、この切り替えにより、消費者に「高品質の写真とビデオ、Wi-Fiまたはデータを介したチャット、メッセージがいつ読まれたかを知る、よりダイナミックで魅力的なグループチャットを楽しんだり、利用可能な他のメッセージユーザーと安全にチャットしたりできるようになる」と述べました。エンドツーエンドの暗号化によるXNUMX対XNUMXの会話。」

Verizon ConsumerGroupのエグゼクティブバイスプレジデント兼CEOであるRonanDunneは、Googleと協力することで、Androidユーザーに「新しい革新的な方法で愛する人、ブランド、ビジネスと関わりを持つことを可能にする堅牢なメッセージングエクスペリエンスを提供できるようになる」と述べました。 。」

「私たちの顧客は、人生で最も重要な人々と連絡を取り合うために、信頼性が高く、高度でシンプルなメッセージングプラットフォームを提供することを私たちに頼っています」とDunne氏は述べています。

Googleが持って RCS標準の推進に何年も費やしました SMSのアップデートとして、WhatsApp、AppleのiMessage、FacebookMes​​sengerに見られるものと同様の機能を提供します。 AppleはRCSの使用を拒否しており、AndroidフォンとiPhoneの間で送信されるメッセージは引き続きSMSであるため、どちらのプラットフォームのユーザー間でも送信されるメッセージよりも安全性が低くなります。 

New NetTechnologiesのセキュリティリサーチ担当バイスプレジデントであるDirkSchrader氏は、RCSを基本的な標準として使用することは、ユーザーの連絡先を共有せずに同じ機能を提供することで、Whatsappなどのサービスへのメッセージと見なすことができるため興味深いと述べました。 

声明の中で、Verizonは、Messagesは「VerizonのネットワークおよびRCSメッセージングサービスと連携し」、「GoogleはVerizonと連携して、RCSを使用した堅牢な企業から消費者へのメッセージングエコシステムを提供する」と説明しました。

GoogleのPlatforms&EcosystemsのシニアバイスプレジデントであるHiroshi Lockheimer氏は、両社は何年にもわたってAndroidで協力してきたと語った。 

GSMAは、 月間アクティブユーザー数473万人 60か国でRCS標準が使用されており、Verizonは、Androidユーザーは「RCS標準をサポートするネットワーク上で相互にやり取りしたり、ビジネスを行ったりすることで、より高度なメッセージングエクスペリエンスを体験できる」と述べています。

年末までに、VerizonのMessage +アプリを使用しているユーザーは、高解像度の写真やビデオの埋め込み、リアルタイムの会話通知の取得、アニメーションGIFの送信などのRCS機能へのフルアクセスも利用できるようになります。

RCS標準により、企業とVerizon Androidユーザーは、製品の購入や予約などについて、より簡単に通信できるようになります。 

NTTアプリケーションセキュリティの戦略担当バイスプレジデントであるSetuKulkarni氏は、エンドユーザーをブランドや企業が利用できるようにすることで、Verizonは、電話上の顧客の個人データと個人データをデータ侵害から保護するという新たなレベルの責任を引き受けたと述べました。 。 

「アプリはGoogleによってサポートされているため、セキュリティ対策が講じられているという確信は確かに高くなりますが、サイバーセキュリティの状態は動的であり、アプリが永久に侵害されないことが保証されているわけではないことを忘れないでください」とKulkarni氏は述べています。 。

PlatoAi。 Web3の再考。 増幅されたデータインテリジェンス。
アクセスするには、ここをクリックしてください。

出典:https://www.zdnet.com/article/verizon-to-bring-rcs-to-all-android-smartphones-by-2022/#ftag=RSSbaffb68

続きを読む

ZDNET

敵対者はサプライチェーンへの信頼を乱用し続けています

公開済み

on

私たちは、ソフトウェアの展開、監視について、システム、パートナー、ベンダーなどの組織を非常に信頼しています。 ネットワークパフォーマンスパッチ適用 (システムとソフトウェアの両方)、ソフトウェア/ハードウェアの調達、および他の多くのタスクの実行。 最近のランサムウェア攻撃では、そのようなシステムのXNUMXつを使用して、数千の被害企業を標的にすることに成功しました。  

この最新の例では、攻撃者はKaseya VSA IT管理ソフトウェアを標的にしました。これは、IT管理者がシステムを監視し、日常的なタスクを自動化し、ソフトウェアを展開し、システムにパッチを適用できるように設計されています。 攻撃者はすることができました ゼロデイを悪用する 製品の顧客インスタンスにアクセスし、そのネイティブ機能を使用してランサムウェアをそれらの顧客エンドポイントにデプロイします。

さらに問題を悪化させているのは、マネージドサービスプロバイダー(MSP)がKaseyaソフトウェアを使用して顧客環境を管理していることです。 攻撃者がKaseyaを侵害したとき、MSPは不注意にそして無意識のうちにランサムウェアを顧客に広めました。  

これは、攻撃者が独自の方法で信頼を悪用し続けている一例にすぎず、多くのセキュリティおよびIT担当者は、「なぜこのようなことが早く起こらなかったのか」と疑問に思います。 

攻撃者は大胆になっています  

ランサムウェアグループREvilはさらに大胆になり続けています。 間違いなく、私たちがカセヤに対して見たような攻撃は、最も多くのターゲットに最大量のダメージを与えるための規範的で意図的なものでした。 攻撃の直後、彼らはより多くの感染について自慢しました 70万台のデバイスとXNUMX万ドルの身代金要求を設定。 XNUMXつの組織が支払いをした場合、影響を受けるすべての組織で復号化機能が機能することを約束しました。  

これは、攻撃対象が個々の組織から、複数の組織が影響を受ける可能性のあるKaseyaやSolarWindsなどの悪用プラットフォームにシフトしているという厄介な傾向に光を当てています。 攻撃者は、攻撃を効果的に実行するためにネイティブ機能を悪用する方法を見つけるために、私たち全員が依存しているツールを調査し続けています。 この最新の攻撃は、他のファイルのサイドロードを許可するMicrosoftDefenderの古いコピーを悪用しました。  

ソフトウェアはチェーン全体で脆弱です  

組織が依存するすべてのツール(税務ソフトウェア、石油パイプラインセンサー、コラボレーションプラットフォーム、さらにはセキュリティエージェントなど)は、脆弱性管理チームが丘から叫んでいるのと同じ脆弱なコード、プラットフォーム、およびソフトウェアライブラリの上に構築されていますすぐにパッチを適用または更新します。  

組織は、サプライチェーンパートナー、ベンダー、およびその他の人々に、このカードの家の上に構築したソフトウェアの脆弱性に対処する責任を負わせるとともに、そのソフトウェアを環境内に展開することによって彼らが持つ露出を理解する必要があります。 

次の男よりも速く走る; 今すぐ防御策を講じる  

Forresterブログ、 ランサムウェア:隣の男を追い抜いて生き残るは、組織をハードターゲットにするためにシステムを強化することによるランサムウェアからの保護について説明しています。 サプライチェーン攻撃は、システムへの信頼を悪用することで防御を回避します。 それらから保護するために、あなたはあなたがあなたのサプライチェーンに置いた固有の信頼を精査しなければなりません。  

まず、組織は、コラボレーション/メールに使用されるベンダー、インフラストラクチャを管理および監視するMSP、すべてのシステムにエージェントを展開する可能性のあるセキュリティプロバイダーなど、環境内に大きな足場を持っている重要なパートナーのインベントリを作成する必要があります。 。 リストをコンパイルした後、次のことを行う必要があります。  

  • あなたが破壊的な攻撃の次の犠牲者になるのを防ぐために彼らが何をしているのかをそれらのパートナーに尋ねてください。 ご使用の環境に更新をプッシュするためのゲーティングプロセスについて質問してください。 プッシュされる前に、どのようにQA更新を行いますか? ソリューションプロバイダーに、コードを保護する方法を尋ね、そのコードの脆弱性を評価します。 
  • 最新の攻撃で見られたタイプの横方向の動きを防ぐために、適切なプロセスとアーキテクチャが整っているかどうかを調べます。 自分の環境、特に更新サーバーをどのように保護するかを尋ねます。 サードパーティの評価者からの監査または評価結果を確認するように依頼します。  
  • サービス契約を確認します ランサムウェアやマルウェアからあなたを守るために、それらのパートナーがどのような契約上の責任を負っているのかを知るため。 サービスプロバイダーのシステムが配信手段として使用されているために攻撃の被害者である場合、補償を要求する必要がある権利を理解します。  

組織は、規範を実装するために積極的な措置を講じる必要があります ランサムウェアのアドバイス だけでなく、追加を見てください ランサムウェアリソース 攻撃の爆風半径を制限します。  

この投稿はアナリストのスティーブターナーによって書かれ、最初に登場しました 

PlatoAi。 Web3の再考。 増幅されたデータインテリジェンス。
アクセスするには、ここをクリックしてください。

出典:https://www.zdnet.com/article/adversaries-continue-to-abuse-trust-in-the-supply-chain/#ftag=RSSbaffb68

続きを読む

ZDNET

Qualtrics Q2のサプライズ利益は期待を吹き飛ばし、予測も高くなります

公開済み

on

公開会社としての第2四半期に、顧客体験管理プラットフォームとしてのブランドを確立しているSAP AGの子会社であるQualtricsは、第3四半期の収益が予想をXNUMX%超え、アナリストが損失を予想していた驚きの利益を報告しました。 今四半期および通年の同社の予測も高くなっています。

レポートはQualtricsを送信しました遅い取引で約2%をトックアップ.

「それは私たちにとって素晴らしい四半期でした」とCEOのZigSerafinはインタビューで述べました。 ZDNetの 電話で。 「あなたが目にしているのは、私たちが提供するテクノロジーがこれまで以上に関連性が高く、影響力が大きいということです。」

Serafinは、同社の前年比38%の収益成長率、および同社の48%のサブスクリプション収益成長率にその関連性があることの証拠を指摘しました。 「これは第XNUMX四半期の力強い成長に基づいています」と彼は言いました。 「需要が加速しています。」

Qualtricsの正味ドル保持率は、前年同期と比較して、平均して顧客からどれだけの収益を上げているかで、122%でした。 前四半期の120%から増加しました。 

Qualtricsは、最初に顧客を引き付けることから関係を維持することまで、顧客との相互作用を管理するためのプログラムとして知られています。

しかし、セラフィン氏によると、このソフトウェアは企業が新入社員を引き付けるのにもますます役立っているという。

顧客はQualtricsのプログラムを使用して、「既存の従業員のニーズにうまく対応するだけでなく、会社に入る可能性のある新しい候補者や従業員を引き付けています」とSerafin氏は述べています。

「私たちの調査によると、今後50か月以内に約XNUMX%の人が新しい仕事を探しています」とSerafin氏は述べています。 「人々が私たちのプラットフォーム上で従業員体験管理製品ポートフォリオをどのように活用し、企業が変化する仕事の性質に耳を傾け、行動を起こすのを支援するか。」

また: Qualtrics Q1レポート、ウォール街の期待のトップを予測:経営幹部が賛成しているとCEOは述べています

これには、ソフトウェアを使用して「物理的な作業スペースとデジタルスペースを設計する」企業も含まれます。

249.3月に終了した4か月間の収益は、XNUMX億XNUMX万ドルに増加し、一部のコストを除いて、XNUMX株あたりXNUMXセントの純利益を生み出しました。

アナリストは、241.7 万ドルと 2 株あたり XNUMX セントの純損失をモデル化していました。

利益は、旅行や娯楽などの経費の削減によって部分的に助けられましたが、「アウトパフォーマンスの大部分は、収益のアウトパフォーマンスによるものです」とCFOのロブバックマンは語った。 ZDNetの 同じ電話で。

今四半期の売上高は257億259万ドルから1億3万ドル、純損失は246.6セントから5セントの範囲で、一部のコストを除きます。 これは、XNUMX億XNUMX万ドルのコンセンサスとXNUMX株あたりXNUMXセントの損失に匹敵します。

通年の売上高は1.007億1.011万ドルから2億984万ドル、EPSは損益分岐点から11株あたりマイナスXNUMXセントの範囲です。 これは、XNUMX億XNUMX万ドルのコンセンサスとXNUMX株あたりXNUMXセントの純損失に匹敵します。

予測に関して、セラフィンは語った ZDNetの 「私にとって最もエキサイティングなのは、私たちのガイダンスが2021年にXNUMX億ドルの収益を超える軌道に乗っていることです。これにより、SaaS企業の非常に異なるリーグに入ることができます」とSerafin氏は述べています。

同社はこの事業への投資を継続する予定であると、バックマンとセラフィンの両方が述べた。 Qualtricsはこの四半期に400人を雇用し、今後も支出を続ける予定です。  

「私たちはビジネスに深く投資し続けます」とバックマンは言いました。 「私たちには投資するユニークな機会があります。これからもそうしていきます。」

技術収益

PlatoAi。 Web3の再考。 増幅されたデータインテリジェンス。
アクセスするには、ここをクリックしてください。

出典:https://www.zdnet.com/article/qualtrics-q2-surprise-profit-blows-away-expectations-profit-higher-as-well/#ftag=RSSbaffb68

続きを読む
エスポート2日前

ポケモンユナイトでラグを減らしてFPSを上げる方法

エスポート3日前

リーグ・オブ・レジェンドのために明らかにされたアッシュ、イブリン、アーリ、マルファイト、ワーウィック、カシオペアのコーヴンスキン

エスポート3日前

ニューワールドのクローズドベータ版の進捗状況は、ゲームのフルリリースに引き継がれますか?

航空4日前

そして、これが明日正式に発表されるロシアの新しい戦闘機コンセプトのさらに別のイメージです

エスポート3日前

新世界で全力疾走できますか?

エスポート3日前

新世界で友達を追加してパーティーを開く方法

エスポート3日前

New WorldTwitchドロップを請求する方法

AR / VR3日前

Moth + Flameは、米国空軍と提携して、バーチャルリアリティの性的暴行防止および対応トレーニングを開始します

航空産業 4日前

パイロットなしのテスト飛行のためにアトラス5ロケットに搭載されたボーイングクルーカプセル

エスポート4日前

FIFA21アルティメットチームでFUTTIESアレッサンドリーニの目標を達成する方法

HRTech4日前

ウォルマートは障害者差別事件で125億XNUMX万ドルを支払うのですか?

Blockchain3日前

RothschildInvestmentがGrayscaleBitcoinとEthereumTrustsの株式を購入

エスポート3日前

乳牛を搾乳した後、Twitchストリーマーが新世界で禁止される

HRTech4日前

TCSは、英国を代表するソフトウェア/ ITサービス会社およびリクルーターです。

エスポート4日前

エーペックスレジェンドのSeerについて私たちが知っていることはすべて

エスポート4日前

リーグオブレジェンドパッチ11.15は何時に公開されますか?

エスポート4日前

Evil GeniusesのトップレーナーImpactは、ディグニタスに勝利し、LCSのゲーム初期のゴールドレコードを更新しました。

Blockchain3日前

Uniswap(UNI)とAAVEテクニカル分析:何を期待しますか?

賭博4日前

ポケモンユナイト–知っておくべき13のこと

Blockchain2日前

BNYメロンがステートストリートに参加して暗号取引に参加し、純粋なデジタル取引プラットフォームを支援

トレンド