Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Company

Company

Google Meluncurkan Sertifikat Keamanan Siber untuk Pekerja Tingkat Awal

by

Google memperluas program Sertifikat Karirnya dengan kursus keamanan siber yang dirancang untuk mengajari pendatang baru di bidang keterampilan dasar yang diperlukan untuk bekerja sebagai analis.

Phil Venables, kepala petugas keamanan informasi di Google Cloud, mengatakan kursus ini akan mengajarkan siswa konsep dasar untuk bekerja di pusat operasi keamanan, termasuk mengidentifikasi risiko dan kerentanan, menggunakan alat keamanan standar, dan bekerja dengan bahasa pengkodean seperti Python. Staf Google mengajarkan kurikulum, yang dikembangkan bersama sejumlah perusahaan Fortune 500.

Meskipun program ini tidak dirancang untuk mengajarkan bidang khusus keamanan siber, seperti pengujian penetrasi atau keamanan cloud, program ini dimaksudkan untuk memberikan kursus intensif untuk keterampilan inti yang kemudian dapat digunakan oleh siswa untuk mendapatkan pekerjaan dan spesialisasi, katanya.

“Untuk memberi orang keterampilan nyata untuk posisi entry-level, Anda sebenarnya harus cukup dalam, yang berarti Anda tidak bisa melebar,” kata Mr. Venables.

Ada kekurangan pekerja cybersecurity yang memenuhi syarat di AS, dengan lebih dari 755.000 pekerjaan terbuka di perusahaan dan badan pemerintah, menurut data dari asosiasi industri dan pemerintah federal.

Pada Juli 2022, Gedung Putih mengadakan pertemuan puncak dengan sejumlah perusahaan, kelompok lobi, dan sekolah untuk membahas tanggapan yang tepat atas kekurangan keterampilan. Itu mengakibatkan perusahaan besar, termasuk Google, menjanjikan jutaan dolar untuk berinvestasi dalam pelatihan, magang, dan kemitraan dengan institusi akademis.

Selengkapnya: WSJ

Gmail mendapat tanda centang verifikasi biru yang benar-benar berarti

by

Terlepas dari semua ketenaran seputar “tanda centang biru” berkat Twitter Blue, verifikasi akun adalah cara yang berguna untuk mencegah penipuan, dan semakin banyak perusahaan yang menggunakannya. Meta Terverifikasi Pertama datang ke Facebook dan Instagram, dan sekarang Gmail akan memverifikasi bahwa email yang Anda terima berasal dari sumber “nyata”.

Dalam posting blog Google Workspace hari Rabu (dibuka di tab baru), perusahaan menguraikan bagaimana mereka akan menggunakan tanda centang selain sistem Indikator Merek untuk Identifikasi Pesan (BIMI) — pertama kali diadopsi pada tahun 2021 — untuk menentukan legitimasi pengirim.

BIMI memastikan bahwa hanya perusahaan yang telah memvalidasi nama domainnya dan membuktikan bahwa mereka memiliki logo merek yang dapat menampilkan logo tersebut di slot avatar di samping email. Sekarang, selain itu, pengirim yang diverifikasi BIMI juga akan memiliki tanda centang di sebelah namanya, lebih lanjut menekankan bahwa Google mengatakan bahwa mereka dapat dipercaya.

Pada contoh di bawah ini, Anda dapat melihat bagaimana, saat Anda mengarahkan kursor ke tanda centang biru di samping nama dan logo Google, sebuah kotak muncul yang bertuliskan, “Pengirim email ini telah memverifikasi bahwa mereka pemilik google.com dan logo di gambar profil.”

Dengan kata lain, Anda tidak akan mendapatkan tanda centang biru untuk memverifikasi identitas Anda dalam waktu dekat. Tetapi jika Anda mengirim email atas nama bisnis Anda, Anda dapat menyiapkan BIMI(buka di tab baru) melalui tautan Dukungan Google tersebut, dan pastikan pelanggan Anda tahu bahwa pesan Anda sah.

Selengkapnya: Android Central

Pemasok Air Italia yang Melayani 500.000 Orang terkena Serangan Ransomware

by

Perusahaan Italia tersebut mengalami beberapa gangguan teknis menyusul serangan ransomware.

Alto Calore Servizi SpA menjalankan pengumpulan, pasokan, dan distribusi air minum untuk 125 kota Avellino dan Benevento, dua provinsi di Italia selatan. Perusahaan yang dikelola pemerintah juga mengelola layanan pembuangan limbah dan pemurnian untuk kedua provinsi tersebut.

Perusahaan yang mengelola 58 juta meter kubik air per tahun itu mengatakan pada Jumat bahwa peretasan baru-baru ini membuat semua sistem TI mereka tidak dapat digunakan. Mereka juga memohon maaf atas pemadaman tersebut.

Kemudian pada hari Selasa, grup ransomware Medusa mengaku bertanggung jawab atas serangan tersebut dan mengatakan bahwa mereka memberi perusahaan air waktu tujuh hari untuk membayar uang tebusan.

Medusa memberikan sampel data yang dicurinya dan menawarkan pilihan membayar $10.000 untuk memperpanjang batas waktu tebusan satu hari atau $100.000 untuk menghapus semua data yang diambil.

Mereka membutuhkan data pelanggan, kontrak, risalah dari rapat dewan, laporan, informasi distribusi pipa, dokumen ekspansi dan banyak lagi.

Namun, perusahaan tidak menanggapi permintaan komentar tentang kapan sistem dapat dipulihkan atau jika uang tebusan akan dibayarkan.

Beberapa pejabat di Badan Perlindungan Lingkungan AS (EPA) mengatakan pada bulan Maret bahwa ransomware telah menjadi perhatian yang signifikan karena peningkatan serangan.

EPA pun mengeluarkan aturan baru tahun ini yang mengamanatkan penilaian keamanan siber dimasukkan sebagai bagian dari audit negara atas sistem air publik.

Namun aturan tersebut sekarang menghadapi tuntutan hukum dari jaksa agung di Iowa, Arkansas, dan Missouri yang mengklaim peningkatan keamanan siber yang diperlukan untuk lulus penilaian akan terlalu mahal bagi pemasok, yang berencana membebankan biaya tersebut kepada pelanggan.

Selengkapnya: The Record

Google Mengambil Langkah Pertama ‘Passwordless Future’, Memulai Peluncuran ‘Passkey’

by Leave a Comment

Google mengambil langkah pertamanya untuk mencapai sebuah masa depan tanpa kata sandi dengan menambahkan opsi kunci sandi untuk masuk.

Menjelang Hari Kata Sandi Dunia, Google akan memperkenalkan cara baru yang lebih aman untuk masuk akun Google.

Kunci sandi atau ‘passkey’ memungkinkan pengguna untuk masuk ke aplikasi dan situs dengan cara yang sama seperti membuka kunci perangkat mereka misalnya dengan fingerprint, face recognition, atau PIN. ‘Passkey’ tentu lebih aman dari OTP karena lebih tahan terhadap ancaman seperti ‘phishing’.

Dari kiri ke kanan: ketik nama pengguna Anda, pilih kunci sandi, pindai jari. Gambar: ArsTechnica
Dari kiri ke kanan: ketik nama pengguna Anda, pilih kunci sandi, pindai jari. Gambar: ArsTechnica

Disamping harapan kunci sandi yang menggantikan kata sandi, Google menyatakan bahwa kata kata sandi dan verifikasi dua langkah (2SV) masih akan ada untuk saat ini.

Selengkapnya: Android Authority

Google Mengubah Ikon Kunci Chrome, karena Tidak Ada yang Tahu Artinya

by

Ikon baru akan menggantikannya akhir tahun ini untuk menghindari menyesatkan pengguna tentang bagaimana situs web ‘terpercaya’ saat browsing.

Pada hari Selasa, Google mengumumkan akan mengganti ikon kunci dengan ikon “tune” baru dengan rilis Chrome 117 pada bulan September sebagai bagian dari desain ulang browser bertema Material You yang lebih luas.

Google mengklaim bahwa dalam sebuah penelitian pada tahun 2021, hanya 11 persen peserta yang benar-benar memahami tujuan yang dimaksud dari ikon gembok. Ini pertama kali muncul kembali di tahun 90-an setelah Netscape memperkenalkan HTTPS, protokol yang memungkinkan pengguna mengirim data sensitif dengan aman. Dengan demikian, ikon gembok akan ditampilkan saat menelusuri situs web menggunakan HTTPS untuk memberi sinyal bahwa koneksi jaringan aman.

Sementara saat ini lebih dari 95% halaman web chrome menggunakan protokol dan itu menjadi koneksi default.

Sebelumnya, ikon kunci telah mengalami beberapa perubahan pada tahun 2016 dan 2021. Ikon ‘tune’ yang akan hadir ini tidak akan mendapatkan fitur tambahan dan akan terus menandai HTTP teks biasa (sedikit mungkin) sebagai tidak aman di semua platform.

Kontrol halaman di bawah ikon nada akan tetap tidak berubah, tetapi Google berharap desain baru ini akan mendorong lebih banyak pengguna untuk mengklik dan melihatnya. Gambar: Google
Kontrol halaman di bawah ikon nada akan tetap tidak berubah, tetapi Google berharap desain baru ini akan mendorong lebih banyak pengguna untuk mengklik dan melihatnya. Gambar: Google

Ikon kunci Chrome saat ini di desktop dan Android akan diganti pada waktu yang sama pada “awal September 2023”. Sementara itu, Google akan menariknya sepenuhnya dari Chrome di iOS, karena ikon kunci tidak dapat diketuk di platform tersebut.

Selengkapnya: The Verge

Mengamankan lingkungan multi-cloud adalah salah satu tantangan utama DoD. Inilah cara mereka bisa berhasil

by

Saat Departemen Pertahanan mengumumkan kontrak Joint Warfighting Cloud Capability pada bulan Desember, ini merupakan langkah besar dalam perjalanan multi-cloud DoD. Dengan menerapkan tata kelola multi-cloud, yang berpusat pada keamanan, DoD memiliki peluang untuk menyelaraskan adopsi multi-cloud ini dengan strategi tanpa kepercayaan. Strategi tersebut sangat eksplisit tentang hasil yang dicari untuk mengamankan lingkungan dan memberikan metrik untuk menentukan keberhasilan – misalnya, dapatkah DoD mengidentifikasi dan melacak individu yang sama di beberapa lingkungan? Ini juga memberikan fleksibilitas, memberi DoD kemampuan untuk mencoba berbagai pendekatan untuk mencapai hasil yang diinginkan, dan memilih opsi terbaik.

“Meskipun ada manfaat operasional bagi DoD yang memanfaatkan berbagai lingkungan penyedia layanan cloud dan semua kemampuan keamanan asli yang ada, memiliki kemampuan keamanan yang dapat memperluas dan menutupi celah di lingkungan CSP tertentu akan memberi mereka pandangan holistik di seluruh sistem mereka,” kata Steve Faehl, kepala petugas teknologi keamanan untuk Microsoft Federal. “Kemampuan keamanan Azure juga dapat membantu mempertahankan cloud lain, di mana kita dapat melihat DoD menghasilkan efisiensi dan skala ekonomis yang signifikan: memiliki gambaran operasional yang sama dengan memanfaatkan komponen Azure yang terbentang secara menyeluruh.”

Untuk lebih mengamankan jaringan dan sistem DoD, dan mencapai tujuan dari strategi tanpa kepercayaannya, analis dan pembela dunia maya DoD akan membutuhkan visibilitas di seluruh lanskap cloud, daripada harus beralih di antara instance yang terpisah. DoD membutuhkan gambaran umum tentang identitas pengguna, cara umum untuk menempatkan kebijakan dan perlindungan ke titik akhir, dan lapisan pertahanan umum.

“Kami yakin bahwa kepercayaan nol dapat diukur,” kata Jay Bhalodia, direktur kesuksesan pelanggan di divisi keamanan Microsoft Federal. “Dengan memulai dengan lapisan umum untuk dapat melihat segalanya, Anda kemudian dapat menambahkan kebijakan dan tata kelola tersebut. Dan harus ada perubahan terukur dalam lingkungan yang mencerminkan hal itu. Jika Anda menangkap telemetri terlebih dahulu, dan memahami apa titik awal Anda, Anda memiliki kemampuan untuk mengukur kematangan lingkungan relatif tersebut, dan mengetahui di mana Anda perlu menghilangkan risiko atau mengatasi masalah tertentu. Pengukuran dimulai dengan visibilitas.”

Tapi ini bukan hanya tentang kemampuan itu sendiri; Analis dan pembela DoD harus dididik tentang cara mengoperasikan kemampuan ini juga. Mereka memerlukan pelatihan untuk mempelajari cara kerja alat, dan cara memahami dasbor dan visibilitas di berbagai solusi cloud. Mereka juga memerlukan pelatihan tentang cara menerapkan pengetahuan itu ke dalam konteks organisasi untuk mencapai tujuan dan hasil spesifik yang dicari DoD. Microsoft telah berinvestasi dalam keterlibatan khusus hasil DOD untuk jalur implementasi yang lebih cepat dan program pelatihan langsung untuk mendukung pengembangan kemampuan bagi karyawan DoD dan Federal.

sekengkapnya : federalnewsnetwork.com

Apple dan Google bekerja sama dalam spesifiksai untuk membuat perangkat pelacak Bluetooth, serpit AirTag, lebih aman

by

Setelah banyak kasus pelacak BLuetooth seperti AirTag Apple digunakan untuk menguntit atau aplikasi kriminal lainnya, Apple dan Google hari ini merilis pengumuman bersama yang mengatakan bahwa mereka akan bekerja sama untuk mempimpin inisiatif industri untuk menyusun speisifikasi yang akan mempringatkan pengguna jika ada pelacakan yang tidak diinginkan dari perangkat Bluetooth. Perusahaan mengatakan mereka sedang mencari masukan dari peserta industri lain dan kelompok advokasi dalam masalah ini, dan mencatat bahwa pembuat pelacak lain seperti Samsung,Tile, Chipolo, eufy Security, dan Pebblebee juga telah menyatakan minatnya pada draf tersebut.

Perusahaan mengajukan spesifikasi yang diusulkan sebagai Internet-Draft melalui organisasi pengembangan standar, Internet Engineering Task Force (IETF). Pihak berkepentingan lainnya sekarang diundang untuk meninjau dan berkomentar selama tuga bulan kedepan. setelah itu, Apple dan GOogle akan memberikan umpan balik dan akan merilis implementasi produksi dari spesifikasi tersebut.

Meskipun AirTag Apple bukan pelacak Bluetooth pertama di pasar yang menghadirkan masalah keamanan seputar penyalahgunaan — Tile dan lainnya telah ada selama bertahun-tahun — kemampuan Apple untuk mengintegrasikan AirTag dengan 2 miliar+ perangkat Apple secara global, termasuk lebih dari 1 miliar iPhone, sebagai bagian dari jaringan “Temukan Saya”, membuatnya menjadi salah satu pemain terbesar dengan segera. Itu juga mempopulerkan teknologi ceruk yang saat itu masih menggunakan pelacak Bluetooth untuk menemukan barang yang hilang, menjadikan perangkat untuk melakukannya menjadi nama rumah tangga.

Segera, cerita mulai bermunculan bahwa AirTag digunakan untuk menguntit dan masalah lain, seperti pencurian mobil. Apple pada Februari 2022 mengumumkan akan bekerja untuk mengatasi beberapa masalah yang telah dibuatnya dengan fitur-fitur baru, termasuk peringatan privasi baru, peringatan, dan dokumentasi yang diperluas. Berharap untuk mencegah penyalahgunaan, ia juga mengatakan secara aktif bekerja dengan penegak hukum pada semua permintaan terkait AirTag yang diterimanya, dan mengonfirmasi bahwa ia dapat memberikan detail akun sebagai tanggapan atas panggilan pengadilan atau permintaan penegakan hukum lainnya yang valid.

selengkapnya : techcrunch.com

Apple Merilis Perbaikan Keamanan ‘Cepat’ Pertama untuk iPhone, iPad, dan Mac

by

Pada hari Senin, Apple merilis batch pertama patch “Rapid Security” yang tersedia untuk umum, bertujuan untuk memperbaiki kerentanan keamanan dengan cepat yang berada di bawah eksploitasi aktif atau menimbulkan risiko signifikan bagi pelanggannya.

Menurut pemberitahuan, pembaruan ‘Rapid Security Response’ memberikan peningkatan keamanan penting di antara pembaruan perangkat lunak yang lebih cepat daripada pembaruan perangkat lunak biasa.

Apple mengaktifkan fitur ini secara default dan beberapa tambalan cepat dapat diinstal tanpa perlu melakukan boot ulang, meskipun tidak selalu.

Pembaruan keamanan tersebut hanya tersedia untuk pelanggan yang menjalankan iOS 16.4.1, iPadOS 16.4.1, dan macOS 13.3.1. Setelah diinstal, itu akan menambahkan huruf ke versi perangkat lunak, seperti iOS 16.4.1 (a), iPadOS 16.4.1 (a), dan macOS 13.3.1 (a).
Kredit gambar-gambar: TechCrunch (tangkapan layar)

Terdapat beberapa kendala dalam peluncuran. Beberapa pelanggan tidak dapat menginstal pembaruan. Apple belum menanggapi permintaan komentar.

Dalam beberapa minggu terakhir, para peneliti telah menemukan eksploitasi baru yang dikembangkan oleh pembuat spyware QuaDream dan NSO Group yang ditujukan untuk menargetkan pemilik iPhone di seluruh dunia.

Sementara Citizen Lab mengatakan bulan lalu bahwa Lockdown Mode, sebuah fitur yang diluncurkan oleh Apple tahun lalu untuk mencegah serangan bertarget serupa, berhasil memblokir setidaknya satu eksploit yang dikembangkan NSO yang menyalahgunakan kerentanan dalam fitur rumah pintar Apple, HomeKit.

Selengkapnya: TechCrunch+