扫码订阅《中国信息安全》
邮发代号 2-786
征订热线:010-82341063
国际网安快讯
第3期
热点速览
Part.1
政策动态
Part.2
智能快讯
Part.3
关基动态
Part.4
产业纵横
Part.5
外刊声音
一、政策动态
01 | 美国加强对商业间谍软件滥用的联盟打击
2024年3月18日,美国务卿安东尼·布林肯(Antony Blinken)宣布,芬兰、德国、爱尔兰、日本、波兰和韩国已加入由11个国家组成的联盟,并发起《关于努力打击商业间谍战扩散和滥用的联合声明》(Joint Statement on Efforts to Counter the Proliferation and Misuse of Commercial Spyware)。该《声明》声称是针对近两年来美国政府人员成为侵入性商业间谍软件的攻击目标,涉及人数达50名。《声明》还称各国承诺将在其系统建立有效防护,制定防止先进监控技术扩散的保障措施,并明确滥用商业间谍软件构成的威胁。
02 | 拜登政府将任命国防部数字政策官
2024年3月21日,拜登宣布将提名美国陆军首席网络顾问迈克尔·苏尔迈耶(Michael Sulmeyer)担任国防部首位数字政策负责人。苏尔迈耶曾在国家安全委员会、美国网络司令部和国家安全局担任过各种高级职务,他将向陆军部长克里斯蒂娜·E·沃穆斯(Christine E.Wormuth)提供网络事务的建议,包括战备能力和战略问题。
03 | 欧盟《网络韧性法案》终获批
2024年3月12日,欧洲议会批准新的《网络韧性法案》(Cyber Resilience Act),以保护欧盟所有的数字产品免受网络威胁。该法案已于2023年12月与欧盟理事会达成一致,旨在确保数字产品使用安全、抵御网络威胁并提供其安全信息。该法案主要内容包括,一是由欧盟委员会根据产品的重要性和网络安全风险等级列入两份不同清单,其中较高网络安全风险的产品由指定机构进行严格检查。二是确保身份管理系统软件、密码管理器、生物识别读取器、智能家居助理和私人安全摄像头等产品均受到法案制约。三是敦促欧盟网络安全局(ENISA)密切参与网络安全事件。四是推出教育和培训计划、合作举措以及增强监管中劳动力流动性的战略。
04 | 欧盟或对中国芯片实施限制
2024年3月18日,据彭博社报道,欧盟正考虑调查并评估欧洲企业对中国进口芯片的依赖程度,渲染所谓中国传统制程芯片(legacy chips,主要基于成熟制程)给“国家安全”和全球供应链带来的“潜在风险”。报道称这一调查可能是与美国采取联合行动的第一步,后续或包含其他管制措施。报道提到美国政府担心中国企业在该领域的供应链中占据主导地位,如同太阳能和钢铁行业。
05 | 美网军开展演习强化集体韧性
2024年3月1日至14日,美国网络司令部举行了2024年首次大规模演习“网络卫士2024”(CyberGuard2024),也是首次召集整个司令部的网络专业人员融入“大规模全球演习”(LSGE24)。“网络卫士”是美国网络司令部主导的作战层面联合演习,演习规划者制定了培训目标,重点是参与场景的各个实体间的技能协作。该演习场景是根据全国性事件开发的,使操作人员能够与具有现实网络攻击能力的对手开展实地较量。演习的核心目标是在规划和执行网络空间行动方面实践全政府方法,磨练防御能力并增强集体网络韧性,通过微调协调流程,定义网络角色、责任和能力发展,以应对高级持续威胁,确保统一防御,提升美国网络司令部网络防御行动的熟练程度。
06 | 美众议院立法限制向外国对手出售数据
2024年3月20日,美众议院全票通过由众议院能源商业委员会主席罗杰斯(Cathy McMorris Rodgers)和民主党首席议员帕隆(Frank Pallone)提出的《保护美国人数据免受外国对手侵害法案》(The Protecting Americans’ Data from Foreign Adversaries Act),旨在限制国内数据经纪人向外国对手出售美国的敏感个人数据,涉及电信网络、金融、健康、教育等领域。该法案将授权联邦通信委员会,处罚向外国对手或俄罗斯、中国、伊朗和朝鲜运营实体出售信息的美国数据经纪人,其罚金至少5万美元。此外,该法案还定义了敏感数据的构成,包括生物特征、私人通讯、登入凭据、社会安全号码、地理位置资料及个人在军事部队中的身份等信息。在众议院通过该法案的三周前(2月28日),拜登总统签署行政命令,指示司法部禁止将大量敏感个人数据传输到中国等“关切国家”。
07 | 美澳网安合作下沉至医疗机构
2024年3月22日,美国健康信息共享和分析中心(Health-ISAC)和澳大利亚关键基础设施—信息共享和分析中心(CI-ISAC)签署谅解备忘录。该协议旨在加强协调与合作,以应对澳大利亚卫生组织面临的网络威胁。该协议概述了两组织间的合作,开发澳大利亚卫生组织的网络安全能力,共享信息和学习机会,并协调与两个组织理念相一致的举措。Health-ISAC还将协助提高针对澳大利亚实体的威胁类型和网络攻击技术的态势感知能力。协议还将推进双方的数据共享,并将遵守CI-ISAC严格的数据处理和情报共享指南。
08 | 美国防部漏洞赏金计划已发现逾5万个漏洞
2024年3月18日,据infosecurity消息,超过50,000个漏洞已通过其漏洞披露计划(VDP)提交给美国防部(DoD)。美国防部网络犯罪中心(DC3)于2024年3月15日报告称,自2016年11月该中心已处理了50,000个漏洞。DC3表示,VDP不仅要处理国防部网站和应用程序上的调查结果,还包括美国联合部队总部-国防部信息网络(JFHQ-DoDIN)所拥有并运营的公开信息技术。此外,美国防部还将与HackerOne、Bugcrowd和Synack合作运行了40多个漏洞赏金计划,启动了持续的“黑掉五角大楼”漏洞赏金计划,使得白帽黑客能够全年持续提交漏洞报告。2023年,美国防部推出了“黑掉五角大楼网站”,帮助国防部内的组织启动漏洞赏金计划并招募安全研究人员。
二、智能快讯
01 | 联合国通过首个人工智能安全决议草案
2024年3月21日,联合国大会投票通过了第一个监管人工智能(AI)的决议草案,题为“抓住安全、可靠和值得信赖的人工智能系统带来的机遇,促进可持续发展”(Seizing the opportunities of safe, secure and trustworthy artificial intelligence systems for sustainable development)。该决议“是有史以来第一个真正的全球AI共识文件”。美国为决议草案发起国,中国和121个国家参与共同提案。该决议的主要内容包括,一是确保人工智能惠及所有国家、尊重人权并且是“安全、可靠和值得信赖的”技术。二是弥合发达国家和发展中国家之间的数字鸿沟,确保它们在人工智能讨论中处于同等地位,确保发展中国家拥有利用人工智能的技术和能力。三是鼓励所有国家、国际组织、科技界、学术界、研究机构等制定框架,以支持针对AI的监管和治理。四是承认“人工智能系统的治理是一个不断发展的领域”,需要进一步讨论人工智能治理方法并开展全球对话。
02 | 美国土安全部发布《2024年人工智能路线图》
2024年3月17日,美国土安全部发布首个《人工智能路线图》(DHS Artificial Intelligence Roadmap),旨在阐明该部对人工智能的使用及其未来计划,意图提高自动化效率的同时保护隐私权。该路线图概述了三条工作路线,一是利用人工智能推进国土安全任务,同时保护个人隐私、公民权利和公民自由。二是在全国范围内推广人工智能安全与保障。三是与私营部门、州、地方政府、国际合作伙伴等建立合作伙伴关系,针对国土安全部面临的挑战,开发部署人工智能解决方案。此外,国土安全部还在该路线图中宣布了三个创新试点项目,将在特定的任务区部署Al。一是国土安全调查(HIS)将测试Al,以加强调查过程。二是联邦紧急事务管理局(FEMA)将部署人工智能,帮助社区规划和制定灾害缓解计划,以建立恢复能力,最大限度地减少风险。三是美国公民及移民服务局(USCIS)将使用Al来改善移民官员的培训。
03 | 美两党新法案将保护消费者免受人工智能欺骗
2024年3月21日,加利福尼亚州民主党众议员安娜·埃舒(Anna Eshoo)和佛罗里达州众议员尼尔·邓恩(Neal Dunn)提出两党立法《保护消费者免受欺骗性人工智能法案》( Protecting Consumers from Deceptive AI Act),旨在通过制定人工智能生成内容的标准,保护美国人免受深度伪造和其他手段的欺骗,同时呼吁美国家标准与技术研究院(NIST)制定新的指导方针来管理人工智能。该法案将要求对使用人工智能生成的在线图像、视频和音频进行识别和标记,并要求人工智能开发人员使用数字水印或元数据来识别使用其产品创建的内容,如照片记录图片的位置、时间和设置的方式。拟议规则的最终细节将由美国商务部下属研究所制定,违反拟议规则的人将受到民事诉讼。
04 | 可绕过人工智能安全检测的“对话溢出”网络攻击显现
2024年3月19日,据darkreading消息,网络安全公司SlashNext揭示了一种名为“对话溢出”的新型网络攻击方法。该技术旨在针对美国高层管理人员,通过人工智能(AI)和机器学习(ML)的安全平台获取凭证收集网络钓鱼电子邮件,并通过模仿合法通信的隐藏文本来逃避AI和ML算法的威胁检测,从而允许恶意负载渗透到企业网络。SlashNext现场首席技术官Stephen Kowski表示,“对话溢出”攻击的出现凸显了网络犯罪分子在人工智能安全时代规避先进安全措施的适应性,对此需要利用基于AI和ML的网络安全解决方案,以应对AI驱动的威胁。
05 | 美警告人工智能可能造成大面积失业风险
2024年3月22日,美国经济顾问委员会发布《2024年总统经济报告》,基于对16项高度依赖人工智能的工作活动的分析,发现近十分之一的美国人所从事的工作可能会被人工智能取代,而10%从事高暴露且绩效要求较低的职业可能会受到人工智能发展的负面影响。报告警告称,过多自动化流程可能会导致缺乏问责制和获得关键服务的机会,此外还会导致公共部门失业。报告承认该技术对经济影响的未来规模和范围“仍然存在很大的不确定性”。
06 | 谷歌禁止Gemini AI回答选举相关问题
2024年3月12日,TechCrunch报道称,谷歌更新限制人工智能聊天机器人Gemini在全球正在举行选举的国家和地区中回答选举的相关问题。报道称,该更新已在美国上线,并已开始向印度和未来将举行选举的主要国家推出。当询问某个政党或候选人时,Gemini会显示信息:"我还在学习如何回答这个问题。同时,请尝试谷歌搜索"。报道认为,这一转变凸显了谷歌对生成式人工智能可能被武器化并产生不准确或误导性回复的担忧。目前尚不清楚谷歌是否会在今年选举结束后允许Gemini回答选举的相关问题。
三、关基动态
01 | 澳大利亚发布强化组织韧性的工具和框架
2024年3月18日,澳大利亚网络和基础设施安全中心(CISC)推出了增强型组织韧性自我评估工具,以帮助组织评估对各种威胁的应对能力。该工具基于现代组织韧性方法设计,通过评估13个韧性指标来提供综合评价。此外,CISC发布了更新的《组织韧性:良好实践指南》(Organisational Resilience: Good Practice Guide),为用户提供了关于组织韧性成熟度框架的详细指导,包括从发展到生成的四个组织成熟度级别。该指南侧重于将组织韧性框架与组织韧性成熟度模型相结合,并为每个指标提供具体指导。
02 | 澳大利亚发布《国家重要系统网络安全指南》强化关键基础设施保护
2024年3月13日,澳大利亚网络与基础设施安全中心(CISC)发布《国家重要系统网络安全指南》(Guidance for Systems of National Significance),旨在加强国家重要系统(SoNS)的网络安全措施。报告包括对SoNS履行事件响应规划义务的具体指导,以及网络安全演习义务的详细指南,并将加强其重要基础设施以应对网络威胁的复原力和安全性。此外,该指南还详细指导了SoNS按照《关键基础设施安全(SOCI)法案》要求,履行网络安全义务,确保关键基础设施实体并制定有效计划,以应对和减轻网络攻击。
03 | 美欧比较关键基础设施的网络事件报告
2024年3月22日,美国土安全部(DHS)和欧盟委员会通信、网络、内容和技术总司(DG CONNECT)将发布比较网络事件的联合报告,旨在根据网络和信息安全指令(NIS 2)制定美国和欧盟的网络事件报告要求。该报告将由CISA和ENISA联合编写,对网络事件的建议进行全面评估和事实总结。该报告将分析CISA向联邦政府提交的《关于网络事件协调报告》(Harmonization of Cyber Incident)中所涉及的建议与欧盟NIS 2指令中网络安全事件报告框架之间的异同。其比较点主要涉及六个领域,包括定义和报告阈值;网络事件报告的时间表、触发因素和类型;网络事件报告的内容;报告机制;事件数据的汇总;以及公开披露网络事件信息。此外,报告的调查结果将为DHS和DG CONNECT未来评估网络事件报告流程提供信息。美欧合作将加强双方保护公民、关键基础设施和企业免受网络活动侵害。
04 | 白宫敦促受勒索医疗企业加强网络安全第三方认证
2024年3月19日,据Recorded Future News消息,白宫敦促联合健康集团(UnitedHealth Group)向客户提供第三方网络安全详细评估。该公司于3月7日遭受勒索软件攻击,成为美国多年来最大的医疗危机之一。3月18日,美国卫生与公众服务部(HHS)部长贝塞拉(Xavier Becerra)和白宫副国家安全顾问纽伯格(Anne Neuberger)等高级官员与该公司高管、保险公司和医疗保健提供者举行了第二次会议,纽伯格敦促联合健康集团实施HHS的网络安全绩效目标(CPG),并向客户提供网络安全的第三方认证结果。
05 | 美发布指南以防御针对关基的DDoS攻击
2024年3月21日,CISA、FBI和多州信息共享与分析中心(MS-ISAC)发布更新的《理解和响应分布式拒绝服务攻击》(Understanding and Responding to Distributed Denial-Of-Service Attacks)联合指南,涵盖了组织在防御DDoS(分布式拒绝服务)攻击面临的特定需求和挑战。该指南概述了DoS和DDoS的攻击类型、动机、对政府运营的潜在影响、预防措施的实施步骤,以及针对DDoS和DoS技术类型的事件响应。其中,该指南强调了三种主要攻击类型:基于卷积神经网络的攻击,旨在通过大量流量淹没目标来消耗可用带宽或系统资源;基于协议的攻击,专注于弱协议以降低目标的性能或导致其出现故障;基于应用层的攻击,针对目标系统上运行的特定应用程序或服务中的漏洞,消耗其处理能力或导致其故障。此外,该指南还强调美国政府应敦促公共部门实体制定事件响应计划,制定在发生DDoS攻击时应采取的步骤。其中主要包括,一是告知互联网服务提供商或托管服务提供商攻击事件。二是在攻击发生期间让所有利益相关者了解情况,包括内部团队、客户和第三方服务提供商。三是利用内容交付网络(CDN)服务跨多个服务器和数据中心发布攻击事件。四是详细记录攻击信息,包括时间戳、IP地址以及日志或警报。五是从攻击事件中吸取教训,并更新事件响应计划和安全措施。
06 | 英加快推进SCADA迁移到云
2024年3月18日,英国家网络安全中心(NCSC)发布《关于云托管的监督控制和数据采集(SCADA)的新指南》(Cloud-hosted supervisory control and data acquisition),主要是将SCADA 解决方案迁移到云的运营技术(OT)组织,以帮助OT组织确定云解决方案的适用性。该指南解决了数据敏感性问题,强调实施安全控制的重要性,包括静态和传输数据的加密措施,并建议OT组织投资建设内部专业知识,或考虑聘请具有云特定技能的托管服务提供商来支持其迁移策略。此外,NCSC建议OT组织与云服务提供商和SCADA供应商密切合作,以确保有效满足安全需求。该机构还强调需评估支持向云迁移所需的技能、政策和流程的可用性。
07 | 黑客声称入侵以色列核设施的计算机网络
2024年3月19日,据Recorded Future News消息,黑客组织“Anonymous”在推特上宣称侵入了以色列敏感核设施的计算机网络,以抗议加沙战争。该组织称他们从Shimon Peres Negev核研究中心窃取了数千份文件并发布,包括PDF、电子邮件和PPT。此外,该研究中心声称其有与以色列未公开的核武器计划的核反应堆。以色列驻伦敦大使馆对此事件未予回应。
四、产业纵横
01 | SpaceX正为美国情报机构建设低轨间谍卫星网络
2024年3月16日,据路透社报道,SpaceX公司正在与美国情报机构签订机密合同,将建立由“数百颗具有地球成像能力,可在低轨道集群运行”间谍卫星组成的网络,该网络由SpaceX的星盾业务部门根据2021年与管理间谍卫星的情报机构—美国国家侦察局(NRO)签署的18亿美元合同建造。埃隆·马斯克(Elon Musk)表示,该网络将由美国政府拥有,并由国防部太空部队控制。路透社报道,如果NRO合同取得成功,将帮助美国政府和军方提升快速发现全球潜在目标的能力。
02 | 微软和亚马逊禁用俄罗斯50多个云产品
2024年3月17日,据kyivpost消息,俄罗斯IT公司Softline投资副总裁埃琳娜·沃洛托夫斯卡娅(Elena Volotovskaya)证实,微软和亚马逊已通知该公司,自3月20日起俄罗斯用户将无法访问其50多种基于云产品或访问存储在其中的信息,并且该公司已告知其客户。俄罗斯数字发展部部长马克苏特·沙达耶夫(Maksut Shadayev)表示,为应对这种情况,许多用户正在转向基于俄罗斯linux的操作系统,以替代美国软件。
03 | 面部识别公司纳入美国防采购引争议
2024年3月19日,面部识别技术公司Clearview AI宣布被纳入由首席数字和人工智能办公室(CDAO)管理的美国联邦机构数字工具存储库——Tradewinds Solutions Marketplace。此举措使得该公司面部识别平台可在美国防合同中合法使用。Clearview AI的面部识别系统拥有庞大的数据库,其中包含公开来源挑选的超400亿张图像。该公司表示,大量数据的收集使该平台能够高度准确地识别个人,可成为情报和国防机构的强大工具,助其识别未知人员并结合开源情报(OSINT)加强国家安全工作。然而,反对者认为,该公司无限制地抓取公开图像侵犯隐私,引发对该技术被滥用的质疑。
04 | 美司法部就垄断和信息安全起诉苹果
2024年3月22日,美司法部长梅里克·加兰(Merrick Garland)与其他16名州和地区总检察长联合指控苹果公司利用其对苹果产品硬件和软件的控制垄断智能手机市场,从而损害了消费者、开发者、内容创作者和竞争对手公司等方面的利益,损害了用户在向非iPhone用户发送消息时的安全和隐私。美司法部长声称,苹果通过让其他产品变得更糟,而不是通过让自己的产品变得更好的方式,巩固了其垄断权力,并表示苹果在智能手机市场保持垄断地位违反了《联邦反垄断法》。苹果公司否认该指控,并称该诉讼可能开创“危险的先例”,阻碍其推出新产品或服务,损害客户需求。
五、外刊声音
01 | Gartner提醒网络安全专家追求零容忍不现实
2024年3月19日,据securitylab消息,Gartner分析师米克斯特(Chris Mixter)和徐(Dennis Xu)在悉尼安全与风险管理峰会提出,网络安全专业人员无法实现零容忍,声称该理念阻碍网络安全部门的运作。米克斯特和徐认为,网络攻击风险不可能完全消除,组织不应试图阻止所有威胁,而应关注响应的质量和速度。此外,Gartner专家克里斯汀·李(Christine Lee)强调,网络安全从业人员的倦怠问题是网络空间的新型威胁。网络安全的成功不仅需要尖端技术,还需要基于实际运营能力的以人为本方法,来创造健康的团队。
02 | 美战略与国际研究中心(CSIS)建议基于TikTok案通过国家隐私法
2024年3月13日,CSIS发布文章炒作在手机或设备上安装或更新TikTok存在严重风险,认为迫使字节跳动剥离TikTok并将其出售是不可能的,更可行的办法是引入第三方审查,对TikTok软件和更新进行外部监督。CSIS称面对美国使用的部分主要应用程序中存在中国软件模块的问题,立法和行政部门的授权可以最大限度地降低风险:第一步是让商务部信息和通信技术与服务办公室(OICTS)通过调查来确定问题的范围,并确定所需权限来强制删除对国家安全构成威胁的中国软件;第二步包括通过一项国家隐私法,扩大软件供应网络的透明度等。
03 | 美媒称《以色列国家安全局法》修订草案扩大监控权
2023年12月11日,美评论媒体Lawfare发表文章称,《以色列国家安全局法》修订草案扩大了以色列国家安全局(ISA,又称辛贝特或GSS)进行安全审查的法定职责范围,为政府提供了新的监控和远程干预权力。该草案授权ISA可接收或收集履行核心法定职责所需的数据;规定总理可授权ISA雇员在计算机所有者不知情的情况下进行远程搜查,破坏或干扰计算机及其软件或数据的运行。
编译:尚丹琦 曾一涵 郭宏伟
审核:桂畅旎
《中国信息安全》杂志倾力推荐
“企业成长计划”
点击下图 了解详情