扫码订阅《中国信息安全》
邮发代号 2-786
征订热线:010-82341063
国际网安快讯
第2期
热点速览
Part.1
政策动态
Part.2
智能快讯
Part.3
攻防信息
一、政策动态
01 | 美联邦政府2025财年网络安全预算将超930亿元
2024年3月11日,白宫公布2025财年预算概览,拜登政府计划向各民事行政部门和机构投入130亿美元(约合人民币932亿元)用于网络安全,包括对司法部、国土安全部以及卫生部与公众服务部的额外投资,以加强数字防御。2024和2023财年民事行政机构的网络安全支出分别为118亿美元和113亿美元,此次预算申请大幅提升,同比增长超10%。预算提案包括拨款30亿美元给网络安全和基础设施安全局(CISA),其中17亿美元用于网络安全项目。此外,美国防部公布美国政府拟议的2025财年国防预算案。根据预算案,美国防部在2025财年将获得8498亿美元资金,其中网络空间活动投资将达145 亿美元,重点涉及网络安全、网络空间作战以及网络研发三大领域。
02 | 美CISA宣布新举措帮助保护开源生态系统
2024年3月12日,美国网络安全和基础设施安全局(CISA)召集开源软件(OSS)社区领导人,宣布帮助保护开源生态系统,将与开源社区、软件包存储库合作,以促进软件包存储库安全原则的运用。此外,CISA将与开源软件基础设施运营商开展自愿合作和网络防御信息共享,以保护开源软件供应链。CISA还将发布桌面演习材料,以便开源社区吸取经验教训,提高其漏洞和事件响应能力。
03 | 英国《调查权力法案》修正提案再遇阻
2024年3月8日,英国《调查权力法案》的修正提案未通过最后审查。该提案主要是授权英国执法和情报机构拦截大量个人隐私数据集,包括IP地址、用户访问网站详细信息及公共网站收集的数据,旨在消除原法案的数据收集限制。3月7日,为审查该修正案而成立的公共法案委员会指出,该修正案未考虑对隐私的限制,或可允许当局使用被黑客攻击泄露的敏感数据,因而拒绝通过该修正案。此外,人权组织对该提案涉及的隐私提出疑问,原法案立法者提议以隐私为重点对该法案进行修订。
04 | 美国家安全局发布网络和环境组件零信任指南
2024年3月5日,美国家安全局(NSA)发布全新的零信任指南,包括所有硬件和软件资产、非人实体以及相互通信协议,以在网络和环境组件中推进零信任成熟度,帮助企业抵御网络攻击,确保信息安全和数据保护。零信任安全架构对网络资源访问进行严格控制,无论是在物理边界内外,均可最大限度地减少漏洞的影响。零信任安全架构通过数据流映射、宏观和微观分段以及软件定义网络四部分提供深入的网络安全保障,据此NSA描述了从准备阶段到高级阶段四个成熟度等级,确保企业能够有效管理和保护其数据流,减少数据泄露或被未经授权访问的风险,同时提高网络安全性和响应能力。
05 | 美国家情报总监办公室任命新的选举安全官
2024年3月12日,美国家情报总监办公室(ONCD)在2024年总统大选之前重组其选举安全团队,任命杰西卡·布兰特(Jessica Brandt)为新的选举安全官。布兰特曾在华盛顿智库担任过多种重要研究职务,于2023年底被任命为外国恶意影响中心首位主任。该中心于2021年成立,隶属于ONCD,旨在领导美联邦政府阻止外国干涉美国选举并加强国家安全机构之间的协调,其中选举安全和虚假信息是重点。由于生成式人工智能和其他技术进步,美国今年选举防范重点为应对新技术带来的选举操纵。
06 | 美国水务行业申请制定其专属的网络安全规则
2024年3月15日,美众议院共和党议员里克·克劳福德(Rick Crawford)与水务管理人员将合作制定法案,旨在建立以电力行业为模型的水务网络安全监管系统。该法案将授权美国环境保护署(EPA)强制执行水务部门的网络安全标准,并授权非政府的“水风险和弹性组织”(WRRO)制定具体要求。CISA数据显示,美国16个关键基础设施部门中,水务拥有超过150,000个不同规模和技术复杂程度的公共供水系统,是最难保护其免受网络威胁的行业之一。
07 | 美国发布安全软件开发证明表加强政府网络安全
2024年3月11日,据美国网络安全和基础设施安全局(CISA)官网消息,为确保美国安全可靠的数字生态系统,该机构发布安全软件开发证明表(Secure Software Development Attestation Form),要求美联邦承包商详细说明与政府系统交互的软件中使用的最低安全标准,以加强联邦网络安全。该表格要求软件承包商的首席执行官在向美国政府提交时签署。新表格加强了CISA的“安全设计”原则,其原则包括对用于授权和访问的信任关系进行日志记录、监控和审计;采用多因素身份验证;加密敏感数据;使用自动化工具检查漏洞;以及维护可信源代码供应链等。
08 | 美众议院通过《2023年联邦信息安全现代化法》
2024年3月7日,美国众议院监督和问责制委员会通过《2023年联邦信息安全现代化法》(the Federal Information Security Modernization Act of 2023),标志着美国立法者再次通过联邦层面立法,加强网络安全法治现代化。该法案的主要内容包括,一是明确承担网络安全职责的机构及其主要角色和职责,涉及美国管理和预算办公室(OMB)、国土安全部(DHS)、国家网络总监办公室等(ONCD)。二是设立OMB首席信息安全官,赋予相关机构报告网络攻击和重大事件的职责和相应权力,并授权CISA持续评估联邦风险状况的职责。三是呼吁OMB出台“各机构身份管理系统和可信身份平台登录指南”,以确定相关标准问责各机构各部门是否符合网络安全要求。
09 | CISA发布五份联合网络安全公告以保护云服务使用安全
2024年3月7日,美国国家安全局(NSA)与美国网络安全和基础设施安全局(CISA)发布了五份联合网络安全公告(CSI),以保护云服务使用安全。一是云身份和访问管理解决方案。CSI解释了云身份管理的常见威胁,并推荐企业在云操作时应采用的最佳实践方法。二是云密钥管理解决方案。CSI概述基于关键管理选项所推荐使用的最佳方法。三是在云环境中实施网络分段和加密。CSI提供了有关加密传输中数据的提示,以及如何对云服务进行分段。四是加密云中数据,CSI提供了加密静态数据、保护数据免受未经授权的访问以及创建备份和恢复计划的指南。五是降低托管服务提供商(MSP)的风险。CSI提供了在保护 MSP公司账户、审计活动以及谈判协议时应考虑的事项提示。
二、智能快讯
01 | 欧盟议会通过《人工智能法案》
2024年3月13日,欧洲议会以523票赞成、46票反对通过《人工智能法案》,欧盟国家将于5月正式批准该法案。法案旨在保护基本权利、民主、法治和环境可持续性免受高风险人工智能(high-risk AI)的侵害。该法案将严格禁止“对人类安全造成不可接受风险的人工智能系统”,包括有目的地操纵技术、利用人性弱点或根据行为、社会地位和个人特征等进行评价的系统等。法案将规范基础模型或生成式人工智能,如OpenAI。该法案也成为世界上第一个监管人工智能技术的综合框架。
02 | 拜登呼吁禁止人工智能语音模仿
2024年3月7日,拜登在众议院发表国情咨文演讲,呼吁禁止人工智能语音模仿,并要求制定立法来监管人工智能。该呼吁主要源于对于新兴技术将在11月选举中加剧错误信息和虚假信息传播的担忧,再加上一月份美国曾出现“AI模仿拜登打电话”事件,拜登因而敦促国会、机构和私营部门加紧审议如何更好监管人工智能系统。CISA官员表示,该机构正在关注影响选举结果的人工智能网络活动。
03 | 美国开源情报战略关注人工智能的机遇与挑战
2024年3月8日,美国情报总监办公室(ODNI)和中央情报局发布《2024-2026年情报界(IC)开源情报 (OSINT) 战略》。该战略强调改进开源情报处理的四个基本策略,分别是改善信息交流;改进数据收集工具;开发创新以提高开源情报技能;投资人才培训。战略特别关注人工智能和机器学习在改善开源数据处理方面的潜力,以及与验证信息真实性和可靠性的相关风险,并表示情报界需调整其方法以适应人工智能和机器学习技术不断发展的趋势。中央情报局(CIA)开发了类似于ChatGPT的AI技术,从海量数据中选择信息并将OSINT处理过程自动化,突出显示关键数据以进行分析。美国参议院情报委员会主席马克·罗伯特·沃纳(Mark Robert Warner)强调了此类工具的重要性,并表示OSINT的演变代表了情报机构运作方式的根本性变化。
04 | 美国司法部强化人工智能执法
2024年3月12日,据美联社报道,美国司法部正在加强对人工智能执法的关注,并警告称故意使用人工智能操纵价格、欺诈或控制市场等行为的公司和个人,将被判处严厉刑罚。司法部副部长丽莎·摩纳哥(Lisa Monaco)表示,该执法行动旨在发现不当行为并确保企业高管和员工遵守法律和政策程序。
05 | 印度拟投资超12亿美元预算发展人工智能
2024年3月9日,据securitylab消息,印度政府宣布投资1037.2亿卢比(约合12.4亿美元),建立全面的人工智能生态系统,旨在未来五年内加强人工智能基础设施。该计划的主要内容是创建新的学术机构—印度人工智能创新中心(IndiaAI),以开发和实施基础模型,特别关注具有超过1000亿个参数的大型多模态模型 (LMM) 以及特定领域的模型。该计划重点“利用先进技术和分布式计算实现最佳效率”。此外,该计划还将创建配备至少10,000个图形处理器的超级计算机,成为IndiaAI计算能力项目的一部分。
06 | 意大利数据监管机构对OpenAI的Sora展开调查
2024年3月12日,据govinfosecurity消息,意大利数据保护监管机构对美国人工智能研究实验室(OpenAI)新推出的文本到视频人工智能模型(Sora)展开隐私调查,重点关注用于培训Sora及其数据处理程序的数据。OpenAI表示,该模型目前处于测试阶段,将在未来几个月内纳入OpenAI产品中。该公司有20天时间回应意大利数据监管机构提出的系列问题,包括该实验室如何训练Sora算法、公司收集的数据类型以及收集的数据是否包含敏感信息,如意大利和欧洲公民的政治观点、遗传和健康数据。此前,意大利数据保护监管机构于2023年对OpenAI的大型语言模型聊天机器人实施了临时禁令,声称该公司违反了欧洲《通用数据保护条例》。
07 | Meta正构建巨型人工智能模型提升视频精准推荐
2024年3月7日,美国消费者新闻与商业频道(CNBC)报道,美社交媒体(Meta)公司正在开发人工智能推荐模型,旨在改变 Meta的视频推荐引擎,涵盖其所有平台,包括类似 TikTok 的短视频服务(Reels)和更传统的长视频。Meta 的 AI 投资包括在 Nvidia 图形处理单元上花费数十亿美元,以加强其 AI 系统。该芯片已成为人工智能研究人员用来训练大型语言模型的主要芯片。Facebook负责人汤姆·艾莉森(Tom Alison)表示,Meta已在Reels上测试该系统,短视频APP观看时长提高8%-10%。
08 | 以色列研究称人工智能聊天机器人存在严重漏洞
2024年3月15日。据securitylab消息,以色列本古里安大学(Ben-Gurion University)进攻性人工智能研究实验室新研究表明,人工智能驱动的聊天机器人存在严重漏洞。研究发现,攻击者可以利用侧信道攻击——聊天机器人和用户之间传输数据的一种方式,窃取聊天对话,通过分析加密消息长度猜测其内容,并通过训练的语言模型重新构建原始文本。这种攻击威胁用户的隐私,并可能在无人察觉的情况下进行。虽然一些解决方案已提出,如批量发送令牌或使用“夯实”技术,但它们可能会影响对话的流畅性。开发人员和相关公司正在采取紧急措施来解决这一漏洞,以保护用户数据隐私。
09 | 俄罗斯进入算力领先十强
2024年3月13日,俄罗斯经济发展部长马克西姆·列舍特尼科夫(Maxim Reshetnikov)表示,俄罗斯的生成式人工智能模型数量位居世界第四,在人工智能总计算能力方面进入世界前十名,经济优先领域的人工智能实施总体水平已达到31.5%,且人工智能在医学和交通领域的应用增加了一倍半。此外,俄政府已制定《2030年人工智能发展国家战略》,将确保人工智能在行业中的大规模使用和复制。俄罗斯政府官方报道称,2025年开始,所有教育项目都将包含人工智能模块,并且将建立一个由高素质科学家组成的科学学院,为市场提供能够为特定任务创建和调整神经网络的专家。
10 | 美软件巨头Workday推动州立法来监管人工智能
2024年3月7日,据Recorded Future News消息,美科技巨头Workday积极协助州立法者借鉴亚马逊的成功模式,制定人工智能监管法案。尽管这些努力受到一些公民自由倡导者的批评,指责法案未能充分保护消费者和员工的权益。然而,Workday公司坚称他们致力于负责任的人工智能开发和部署。该行动突显了科技公司在塑造人工智能监管政策方面的重要性,以及在保护公民权益和促进技术创新之间平衡的挑战性。
11 | 国际刑警组织称人工智能诈骗助长全球网络犯罪激增
2024年3月15日,国际刑警组织在《全球网络犯罪和金融欺诈》中评估称,利用人工智能、大型语言模型和加密货币的技术,网络犯罪活动日益增长,对全球金融欺诈构成严重威胁。此外,恶意人工智能聊天机器人如WormGPT和FraudGPT的出现,及基于服务欺诈模型的崛起,使有组织犯罪集团能够以低成本和最低技术专长进行专业和复杂的欺诈活动。专家强调员工培训的重要性,以识别并抵御人工智能生成的网络钓鱼诈骗,并呼吁加强全球合作来应对这一威胁。
三、攻防信息
01 | 《2024年美国情报界年度威胁评估》关注勒索软件攻击
2024年3月11日,美国家情报总监办公室(ODNI)发布《2024年美国情报界年度威胁评估》报告,全面揭示美国家安全面临的主要威胁。报告称,美国重要的服务和关键基础设施(例如医疗保健、学校和制造业)继续遭受勒索软件攻击;且参与勒索软件的跨国犯罪分子正在改进攻击,旨在勒索资金,破坏关键服务并暴露敏感数据。据ODNI报告,薄弱的网络防御和经济数字化,使得低收入国家的网络成为有吸引力的目标。
02 | 英议会委员会指责政府对勒索软件采取“鸵鸟策略”
2024年3月11日,英议会国家安全战略联合委员会(JCNSS)指责英国政府采取“鸵鸟策略”,对勒索软件构成的“大规模且迫在眉睫”的国家网络威胁视而不见。报告称,英国的勒索软件攻击数量达到了创纪录的水平,2023年前六个月的攻击数量几乎与前一年全年的数量一样多。报告称,政府的失败意味着该国随时面临“灾难性勒索软件攻击”的“高风险”。英国政府同日发布了对该报告的正式回应,拒绝了JCNSS报告中的关键建议,辩称其现有法规和当前的国家网络战略已经足够。
03 | 法国政府机构遭受“前所未有强度”的网络攻击
2024年3月11日,据法新社报道,法国多个政府部门日前遭受了大规模的网络攻击,攻击目标包括法国总理办公室、经济部、生态转型部、卫生部和文化部等。攻击活动一度造成了部分政府网站和公共服务访问中断,目前攻击事件的影响已经在逐渐减少,相关政府网站的访问已恢复正常。法政府表示,这次袭击“使用了熟悉的技术手段,但强度前所未有”。法国政府没有透露事件的起因。
04 | 美高级网络安全官员强调为联邦机构提供更多资金
2024年3月13日,据cyberscoop消息,总统科学技术顾问委员会提出的《网络物理弹性战略:加强数字世界的关键基础设施》总统咨询报告,获得美国顶级网络安全专家普遍认可。该报告呼吁面对网络攻击时,提高关键基础设施部门的韧性,并为负责网络安全的机构提供更多资金。国家网络总监和网络安全局局长都对该报告表示赞赏,认为向行业风险管理机构提供额外资金是优先考虑的事项。报告还呼吁更新关键基础设施实体名单,并提出了行业特定的网络安全绩效目标。
05 | 美国政府问责办公室关注网络安全运营技术风险
2024年3月7日,美国政府问责办公室(GAO)发布《解决网络安全运营技术风险所需的改进方案》(Improvements Needed in Addressing Risks to Operational Technology)报告,表示由于美国网络安全和基础设施安全局(CISA)劳动力不足,无法应对国家关键运营技术系统(OT)的网络攻击风险。通过GAO对CISA的13款OT网络安全产品和服务的审查发现,CISA从漏洞报告到公开披露经常遇到超过一年的延误,这与CISA缺少必要运营技术技能的员工有关。GAO向CISA主任提出了四项建议,一是衡量其OT产品和服务的客户服务;二是为OT员工进行有效的劳动力规划;三是向行业风险管理机构发布“关于如何更新其关键基础设施问题协调计划”指南;四是与行业风险管理机构制定合作协议政策。美国土安全部同意GAO对CISA的建议。
06 | 美国联邦通信委员会采用“网络信任标记”标签
2024年3月13日,据Recorded Future News消息,美国联邦通信委员会(FCC)投票通过针对无线消费物联网(IoT)产品的“自愿网络安全标签计划”(voluntary cybersecurity labeling program)。该计划允许制造商在符合美国国家标准与技术研究院(NIST)网络安全标准的设备上贴上新的“美国网络信任标志”(U.S Cyber Trust Mark),其中包括白宫去年公布的“默认密码、 数据保护、软件更新和事件检测功能。”该标志将通过扫描二维码,以获得产品网络安全信息,包括安全支持的持续时间、是否获得软件补丁以及安全更新是否自动。FCC表示,预计该标签将适用于家庭安全摄像头、互联网连接设备、健身追踪器等产品。
07 | NSTAC称关键基础设施安全不能完全指望市场力量
2024年3月8日,白宫顾问委员会建议美国联邦政府制定新关键基础设施安全经济激励计划,推动关键基础设施所有者和运营商提高网络安全标准,围绕信息共享制定新责任保护措施,并简化国家网络安全监管制度。美国国家安全电信咨询委员会(NSTAC)报告称,企业安全投资理念与美国政府保护关键基础设施网络安全的要求存在显著差距,这一差距威胁到国家安全态势和应急响应能力。据此,NSTAC建议美国家网络安全总监办公室(ONCD)与业界合作,研究新的财政激励措施,以帮助缩小网络安全投资缺口。NSTAC因此向拜登政府提出建议,一是ONCD与政府和行业利益相关者合作,并制定战略,同时要求国会授予实施该战略所需的权限。二是ONCD与网络安全和基础设施安全局(CISA)、国家安全局(NSA)、国防部(DoD)和国家标准与技术研究院(NIST)等联邦机构协调,针对资源匮乏的中小企业开发面向关键基础设施提供商的全国性教育和推广计划,并指示管理和预算办公室(OMB)确保未来年度预算请求能充分支持计划的扩展。
编译:尚丹琦
审核:桂畅旎
《中国信息安全》杂志倾力推荐
“企业成长计划”
点击下图 了解详情