欧盟委员会以网络安全为由禁止员工使用TikTok

欧盟委员会以网络安全为由禁止员工使用TikTok 继美国多个州以国家安全顾虑为由禁止在政府设备上使用中国短视频应用TikTok后，欧洲联盟委员会也宣布禁止员工在与公务相关的手机上使用TikTok。 综合路透社与法新社报道，欧盟执委会内部市场执委布雷顿（Thierry Breton）星期四（2月23日）宣布，为加强网络安全，欧盟委员会已决定禁止员工在其公务手机或装有委员会移动设备服务的手机上安装TikTok应用程序。 欧盟委员会在声明中说，这项措施旨在保护委员会免受网络安全威胁，以及避免受到可能被利用来对委员会的公务环境进行网络攻击的行动影响。不过，该声明没有提及是否曾出现过上述情况。 欧盟委员会新闻发言人说，欧盟委员会在做出决定时，没有受到来自美国的压力。 发言人还说，相关员工已被告知应尽快从手机上删除TikTok应用程序，并最迟在3月15日前完成操作。 另一方面，当被问及未来是否会对微信实施类似的禁令时，欧盟委员会发言人透露，目前的讨论中没有提到微信。前文： 来自：雷锋 频道：@kejiqu 群组：@kejiquchat 投稿：@kejiqubot

美国网络安全审查委员会报告称微软本可阻止中国黑客针对Exchange系统的攻击

美国网络安全审查委员会报告称微软本可阻止中国黑客针对Exchange系统的攻击 美国国土安全部（DHS）发布了一份措辞严厉的报告，认为这次黑客攻击是"可以预防的"，微软内部的一些决策导致了"企业文化将企业安全投资和严格的风险管理置于次要地位"。黑客使用获取的微软账户（MSA）消费者密钥伪造了访问网络 Outlook（OWA）和的令牌。报告明确指出，微软仍不确定密钥到底是如何被盗的，但主要的推测是密钥是崩溃转储文件的一部分。微软在 9 月份公布了这一理论，并在最近更新了博客文章，承认"我们没有发现包含受影响密钥材料的崩溃转储"。由于无法访问崩溃转储，微软无法确定密钥到底是如何被窃取的。微软在其更新的博文中说："我们的主要假设仍然是，操作失误导致密钥材料离开了安全令牌签名环境，随后在调试环境中通过一个被泄露的工程账户被访问。"微软 Exchange Online 黑客攻击事件的时间轴微软在 11 月向网络安全审查委员会承认其 9 月份的博客文章不准确，但"在委员会多次询问微软是否计划发布更正"后，微软在几个月后的 3 月 12 日才更正了该文章。虽然微软全力配合了委员会的调查，但结论是微软的安全文化需要彻底改变。网络安全审查委员会表示："委员会认为，这次入侵是可以预防的，根本不应该发生。"委员会还得出结论，"微软的安全文化不足，需要进行彻底改革，特别是考虑到该公司在技术生态系统中的核心地位，以及客户对该公司保护其数据和业务的信任程度。"就在委员会得出这一结论的同一周，微软推出了其专为网络安全专业人士设计的人工智能聊天机器人Copilot for Security。作为消费模式的一部分，微软将向企业收取每小时4美元的费用，以使用这一最新的人工智能工具。Nobelium 是SolarWinds 攻击事件的幕后黑手，它曾在数月内偷窥了一些微软高管的电子邮箱。微软最近承认，该组织访问了公司的源代码库和内部系统。继去年美国政府电子邮件泄露事件和近年来类似的网络安全攻击事件之后，微软公司目前正试图全面改革其软件安全。微软新的"安全未来计划"（Secure Future Initiative，SFI）旨在全面改革其软件和服务的设计、构建、测试和运行方式。这是自2003年破坏性的Blaster蠕虫病毒导致Windows XP机器大面积中招后，微软于2004年推出安全开发生命周期（SDL）以来，在安全方面做出的最大改变。 ... PC版： 手机版：

网络安全委员会召开本年度全体会议

网络安全委员会召开本年度全体会议 #网络安全委员会 网络安全委员会（下称委员会）今（28）日下午在政府总部召开本年度全体会议，会上审议了《2021年度网络安全总体报告》，并讨论特区推进网络安全建设的总体情况，以及对后续的网络安全重点工作计划进行部署。 会上，委员会主席、行政长官贺一诚指出，全球网络安全形势日益严峻，国际安全格局进入新的动荡期，各类黑客活动越趋活跃。去年至今，世界各地的政府机关和私人企业持续受到严重的网络攻撃威胁...

微软将安全作为每位员工的首要任务，这是在多年的安全问题和日益增加的批评之后做出的决定。美国网络安全审查委员会最近的一份严厉报告指

微软将安全作为每位员工的首要任务，这是在多年的安全问题和日益增加的批评之后做出的决定。美国网络安全审查委员会最近的一份严厉报告指出，“微软的安全文化不足，需要彻底改革”，微软正是通过制定一系列与高级领导团队的薪酬套餐挂钩的安全原则和目标来做到这一点。 我们将安全作为微软的首要任务，高于一切其他功能。我们将通过将公司高级领导团队的部分薪酬与我们在实现安全计划和里程碑的进展挂钩来确保责任制。 去年 11 月，微软宣布启动“安全未来倡议”（SFI），以应对公司面临的压力，回应允许中国黑客入侵美国政府电子邮件账户的攻击。仅在宣布这一倡议的几天后，俄罗斯黑客就突破了微软的防御，窃取了一些微软高级领导团队成员的电子邮件账户信息。微软直到 1 月份，近两个月后才发现这次攻击，而且同一组织甚至还窃取了源代码。 这些最近的攻击造成了严重的损害，网络安全审查委员会的报告最近进一步指出微软的安全问题，得出结论称该公司本可以防止 2023 年美国政府电子邮件账户的泄露，而一系列的安全失误导致了这一事件。 微软现在有三个安全原则，这些原则是这些目标的重要组成部分：安全设计；默认安全；安全操作。这些原则旨在在产品和服务的设计阶段优先考虑安全，更加注重默认启用的保护措施，并改善对当前和未来威胁的控制与监控。 1. 保护身份和机密信息。微软承诺将在其身份和机密信息基础设施中实施“最佳行业标准”，确保 100%的用户账户通过多因素认证得到保护，以及 100%的应用程序通过像证书这样的管理凭据得到保护。 2. 保护租户并隔离生产系统。微软在这方面采取了一种方法，确保只有健康、受管理且安全的设备能够访问公司的服务集，同时对所有应用程序实施最小权限访问模式（即最低级别的访问权限或权限）。 3. 保护网络。微软承诺将通过对所有生产环境应用隔离和微分段技术，来确保其 100%的生产网络和系统的安全。这应该有助于增加针对攻击者的额外防御层。 4. 微软表示，它将通过零信任和最小权限访问策略，100%保护对其源代码的访问。任何部署到生产环境中的源代码也将受到安全最佳实践的保护，测试环境也将实施标准化的安全和基础设施隔离。 5. 监控并检测威胁。微软承诺将保留 100%的安全日志两年时间，并向客户提供六个月的“适当日志”。同时，微软还将自动检测并“迅速”响应其全部生产基础设施和服务中的可疑访问或配置更改。 6. 加快响应和修复速度。这里的目标是通过更“及时的修复”来防止未修补的漏洞被利用。微软承诺将缩短修复“高严重性”云安全漏洞的时间，并通过采用通用弱点枚举（CWE）和通用平台枚举（CPE）行业标准，增加这些问题的透明度。 微软现在正在协调其工程团队，分批次完成这项工作。贝尔表示：“这些工程分批涉及到 Azure 云、Windows、Microsoft 365 和安全等团队，每周还有更多的产品团队加入这一流程。” 标签: #微软 #网络安全 频道: @GodlyNews1 投稿: @GodlyNewsBot

金管局员工整体固定薪酬将调高2.1%　表现出色员工获奖励

金管局员工整体固定薪酬将调高2.1%　表现出色员工获奖励 金管局公布，局方员工整体固定薪酬将调高2.1%，另拨出相当于固定薪酬的1.35%奖励表现出色的员工。同时，员工将会获发总额相当于薪酬总额近两成的浮动薪酬，分配予个别员工的实际数额，会按其上年度工作表现厘定。金管局今日公布本年度薪酬检讨结果。财政司司长透过外汇基金咨询委员会，批准相关建议，又说财政司司长在决定金管局员工的年度薪酬调整时，考虑了管治委员会透过外汇基金咨询委员会提出的建议，以及管治委员会对金管局在过去一年的表现评估、独立人力资源顾问公司进行的金融业薪酬调查结果，以及其他相关因素。 2024-04-08 19:20:47

微软和IBM宣布加强网络安全领域的合作

微软和IBM宣布加强网络安全领域的合作 在这种情况下，IBM 咨询公司业界领先的网络安全服务和微软全面的安全技术组合（包括 Sentinel 和 Entra Suite）将帮助企业改善端到端的安全运营。微软与 IBM 咨询合作关系的主要细节：IBM的威胁检测和响应（TDR）云原生服务最近获得了微软MXDR验证解决方案资格，它将把Microsoft Sentinel、Microsoft Defender XDR和Microsoft Defender for Cloud与支撑IBM TDR云原生服务的人工智能安全技术相结合，帮助客户加快威胁检测和响应速度。IBM 咨询公司的全球安全分析师团队可对客户混合云环境中的安全警报进行全天候监控、调查和自动修复。IBM 咨询公司还将帮助客户转变安全运营方式，最大限度地发挥微软端到端安全解决方案的价值。为了帮助企业保护云身份，IBM 咨询公司和微软在微软 Entra 工具套件的基础上，利用 IBM 的自动化、加速器和行业领域知识对其进行了改进，推出了一种新的解决方案。"微软安全营销副总裁Alym Rayani表示："随着各行各业数字化转型的加速，企业需要一种全面、统一的云安全方法来保护整个企业从芯片到云的安全。我们与IBM咨询公司的合作使客户更容易安全地利用云和人工智能的力量推动业务创新。"作为扩大合作的一部分，微软和 IBM 咨询公司还将投资于联合市场推广计划和再培训计划。IBM提到，IBM咨询公司已经培训了1300多名微软认证的安全从业人员，以便将基于微软的安全工具原生嵌入客户的平台。IBM咨询公司网络安全服务全球主管合伙人马克-休斯（Mark Hughes）表示："要想成功驾驭不断变化且日益复杂的数字环境，就不能再事后考虑安全问题，它必须成为每个组织核心运营的基础部分。我们与微软的合作为客户提供了一种简化、高效、经济的方法来保护云工作负载，并有效管理企业经常面临的大量威胁。" ... PC版： 手机版：