扫码订阅《中国信息安全》
邮发代号 2-786
征订热线:010-82341063
国际网安快讯
第5期
热点速览
Part.1
政策动态
1. 德国将设立独立的网军部队
2. NSA发布文件关注混合云与多云环境
3. CISA提供推进高风险人群数字安全的公共产品
4. NIST拨款360万美元增强网络安全劳动力
Part.2
智能快讯
1. 美英欧人工智能合作现新进展
2. 俄罗斯或将成立国家人工智能CERT以应对风险
3. 科技巨头利用“军备竞赛”争夺优秀AI人才
4. 美国会禁止员工使用微软AI Copilot
5. 微软发布生成式AI应用安全的系列保障工具
6. 新人工智能应用可验证LLM结果准确性
Part.3
关基防护
1. 美商会与行业联合呼吁CIRCIA评论期延长
2. 七大开源基金会联合制定符合《欧洲网络韧性法案》的共同标准
一、政策动态
01 | 德国将设立独立的网军部队
4月4日,德国防部长鲍里斯·皮斯托里斯(Boris Pistorius)宣布将设立一个新的军种——网络与信息军(CIR),该军种将成为德国武装部队的第四个独立军种,在一个全新的中央司令部下运作。皮斯托里斯表示:“CIR与陆军、空军和海军一样,有责任在网络和信息空间采取军事行动。”他宣称,CIR的职责将包括分析混合威胁,打击虚假信息,以及执行电子战等“现场”战术任务。改造德国军队或联邦国防军的目的是使其适应“时代的变化”和应对俄罗斯日益增加的威胁。皮斯托利斯表示:“自从俄罗斯质疑欧洲和平秩序以来,德国及其盟国就面临着特殊的威胁。”他还称,在2025年,德国联邦国防军将额外需要70.6亿美元,以实现北约未来几年国防开支占国内生产总值2%的目标。
02 | NSA发布文件关注混合云与多云环境
4月5日,美国家安全局(NSA)发布了一份网络安全信息表,重点关注与实施混合云和多云环境相关的挑战,并提供解决方案。该信息表强调了混合云和多云环境带来的复杂性,同时呼吁组织考虑实施标准化云运营,以解决运营复杂性,具体包括:从集中位置部署混合云和多云基础设施;确保对所有正在使用的云环境的人员进行持续培训;最大限度地减少环境之间的数据流到日常业务运营所需的路径;确保使用商用国家安全算法套件(CNSA Suite)批准的算法;遵循NSA和美国国家标准与技术研究院(NIST)指南来确定满足组织需求的最佳身份和访问管理(IAM)解决方案。该信息表还建议:统一定义访问控制策略,以确保用户访问在所有环境中保持一致;使用集中式解决方案来聚合日志并促进主动监控和威胁搜寻;避免供应商锁定并跨多个环境启用冗余,以减轻云资产和资源的灾难恢复工作;通过策略即代码来编写安全性和合规性最佳实践。
03 | CISA提供推进高风险人群数字安全的公共产品
4月2日,美国网络安全和基础设施安全局(CISA)在其官网发布了一项指导意见,旨在协助高风险人群应对网络威胁。这些人群包括宣传所谓自由价值观的社会活动家、记者、人权工作者、学者和其他民间社会团体的成员。他们往往无法承担雇用信息安全专业人员或实施有效网络安全解决方案的成本,却比企业等其他实体更易受到网络攻击。为此,CISA与民间社会团体、政府和私营部门公司合作开发了相应资源,并在其官网中免费提供。这些资源包括帮助热线和社区、信息共享与分析中心(ISAC)以及“提升技能项目”(Project Upskill)——该项目为高风险人群提出了数点简单易行的建议,以增强其网络防护。该意见及相关资源是CISA提出的联合网络防御协作倡议(JCDC)的一部分。
04 | NIST拨款360万美元增强网络安全劳动力
4月5日,美国家标准与技术研究院(NIST)宣布拨款360万美元,15个州的18个教育和社区组织将分别获得大约20万美元。此次拨款的目的是通过教育和培训培养网络安全劳动力,从而帮助解决网络安全技能短缺问题。其中,18个选定的组织将建立区域联盟和多利益相关方合作伙伴关系,以刺激网络安全教育和劳动力发展项目(RAMPS),满足当地企业和非营利组织的需求。NIST主任表示:“投资网络安全员工队伍,不仅是填补了关键空白,更是在创造未来,让美国人有机会接受技能培训,从而获得高质量、高薪的工作。”
二、智能快讯
01 | 美英、美欧人工智能合作现新进展
4月1日,美国商务大臣吉娜·雷蒙多(Gina Raimondo)和英国技术大臣米歇尔·多尼兰(Michelle Donelan)签署谅解备忘录。两国将密切合作,共同开发测试最先进的人工智能模型,履行2023年11月在人工智能安全峰会上做出的承诺。两国的人工智能安全研究所已经制定了计划,将建立一种通用的人工智能安全测试方法,并分享这一能力,以确保能够有效应对人工智能安全风险。美英打算在可公开访问的模型上进行至少一次联合测试,并探索两研究所之间的人员交流制度。两国还将分享有关人工智能模型和系统相关能力及风险的重要信息,以及有关人工智能安全的基础技术研究。此外,美欧在更新人工智能分类法上达成一致并建立新的研究联盟。4月5日,美国和欧盟贸易和技术理事会宣布更新欧盟-美国人工智能术语和分类法,本次更新主要基于2023年10月27日至2023年11月24日收集的外部专家对第一版分类法的评论。更新后的分类法增加了13个新术语,并更新了24个术语。术语合作被视为美欧人工智能领域科学合作的基础,双方将重点利用人工智能系统赋能能源优化、应急响应、城市重建和极端天气预报等领域,并进一步落实美国人工智能安全研究所和欧盟人工智能办公室于2022年12月提出的人工智能治理联合路线图。
02 | 俄罗斯或将成立国家人工智能CERT以应对风险
4月2日,俄罗斯和独联体国家卡巴斯基实验室董事总经理安娜·库拉索娃 (Anna Kulashova)称,俄罗斯可能将于2024年成立类似于计算机事件响应小组(CERT)的人工智能安全研究中心。库拉索娃表示:“在网络安全领域,已经对软件开发的安全性进行了定期测试,类似的方法也应该应用于人工智能算法。”据报道,俄数字发展部已与各方开展行动致力于创建人工智能CERT。俄罗斯已运行多个CERT,如卡巴斯基实验室的ICS-CERT、GosSOPKA、FSB的GOV-CERT以及专门从事金融领域的中央银行FinCERT中心。上述CERT致力于共同防范与人工智能相关的网络风险,快速共享应对事件的信息和建议。
03 | 科技巨头利用“军备竞赛”争夺优秀AI人才
据SecurityLab报道,在人工智能领域,争夺知识人才的竞争十分激烈。为了吸引优秀的人才加入,以亚马逊、微软和Facebook等为代表的科技巨头正利用自身的优势开展争夺。首先是利用丰厚的物质报酬允诺求职者,例如丰厚奖金、高新报酬、股票期权,以及提供健身房、游泳池等公司福利。其次是提供人才实践发展的机会,例如参与知名科研机构的研究项目,使其处于创新潜力的工作环境中。最后是为员工提供持续的培训,例如定期的进修课程,专门的技能课程,利用先进工具,以及与知名专家之间合作的实践。
04 | 美国会禁止员工使用微软AI Copilot
路透社3月29日报道,美国众议院已严格禁止国会工作人员使用微软的Copilot生成式人工智能助手。众议院首席行政官凯瑟琳·斯平多(Catherine Szpindor)称:“Copilot有可能将众议院数据泄露给未经众议院批准的云服务。”而微软发言人对此称:“我们认识到政府用户对数据有更高的安全要求,这就是为什么我们发布了Copilot等微软人工智能工具的路线图,这些工具符合我们计划在今年晚些时候交付联邦政府的安全合规性要求。”实际上,这一决策并非孤例,政策制定者一直在关注联邦机构使用人工智能的潜在风险。例如,2023年众议院对议员使用ChatGPT的范围进行了限制,仅允许使用付费订阅版本。此外,2023年还有四位美国参议员提出法案,旨在防止AI技术在政治广告中虚假描述候选人,以保护联邦选举的公正性。
05 | 微软发布生成式人工智能应用安全的系列保障工具
3月28日,微软在其官网发布了一项通知,旨在帮助其客户应对生成式人工智能安全与质量方面的挑战。通知称:在安全方面,生成式人工智能领域正面临恶意行为等重大风险;在质量方面,人工智能系统产生错误或添加未证实的信息可能会削弱用户的信任。为应对这些问题,微软宣布在Azure AI Studio上陆续推出面向生成式人工智能应用程序开发人员的新工具,这些工具将用于检测和阻止提示注入攻击、检测模型输出中的“幻觉”情况,引导模型朝着安全、负责任的方向发展,评估应用程序在越狱攻击和生成内容风险方面的脆弱性,测试生成各环节中风险内容过滤触发机制。通过这些工具,微软将向其客户提供创新性技术,以保护他们的应用程序在整个生成式人工智能生命周期中的安全。
06 | 新人工智能应用可验证LLM结果准确性
DeepMind的研究人员开发的人工智能应用“搜索增强事实评估器”(SAFE),可以检查大语言模型(LLM)给出的结果,并自动指出不准确的地方。该方法实质上是利用一个新的人工智能系统解析LLM所提供的答案,并使用谷歌搜索找到可用于验证的网站,进而比较两个答案以确定准确性。在实际测试中,研究人员将通过LLM获得的16000个答案用SAFE与人工进行核查,在结果比较中发现SAFE在72%的情况下与人工结果相符。当测试产生分歧时,发现SAFE在76%的情况下是正确的。由此可见,人工智能系统在验证LLM的信息准确性方面,可能比人工核查更有效。
三、关基防护
01 | 美商会与行业联合呼吁CIRCIA评论期延长
4月5日,美国商会与代表银行、航空公司、电信、铁路、医院和管道的20多个行业团体联合发布公开信,呼吁将《关键基础设施网络事件报告法案》(CIRCIA)的447页法规评论期延长30天。公开信表示,“拟议的规则广泛而复杂,反映了解决关键基础设施部门网络安全所固有的复杂性。因此,其广度和深度需要一个全面的审查过程,以确保所有利益相关者充分理解其影响”。网络安全联盟协调员阿里·施瓦茨(Ari Schwartz)称,“这些法规要求超过350,000个组织实施通知制度,所有这些组织(除了化学行业的一些组织)都不认可CISA是其监管机构之一”。CISA则在文件中表示,“相信60天的意见征询期为利益相关者提供了足够的时间来审查拟议规则并提供意见,同时确保CISA有足够的时间在法定期限内完成规则制定流程”。而包括美国银行家协会、全国零售联合会、美国航空公司、美国铁路协会、美国医院联合会和核能研究所的信件署名方则拒绝对CISA的回应发表评论。
02 | 七大开源基金会联合制定符合《欧洲网络韧性法案》的共同标准
4月2日,Apache软件基金会、Blender基金会、Eclipse基金会、OpenSSL软件基金会、PHP基金会、Python软件基金会和Rust基金会联合发布公告,宣布它们将为欧洲议会上个月通过的《欧洲网络韧性法案》(CRA)制定通用规范和标准。这项工作将由位于布鲁塞尔的Eclipse基金会AISBL主持,旨在建立基于现有开源最佳实践的安全软件开发通用规范。工作组的管理将遵循Eclipse基金会通常的成员主导模式,但需确保决策的多样性和平衡。该小组的初步工作将是列举各个开源基金会的现有安全政策和程序,以及描述最佳实践的类似文档。以这些最佳实践为起点,目标是加速开发监管合规所需的网络安全流程,同时提供一个中立的环境,以便与广大开源社区进行技术讨论。此次合作不仅在于满足合规性要求,还在于满足软件(尤其是开源软件)可靠性、安全性和保密性的要求。
03 | 美国卫生部警告医院黑客攻击IT服务平台
4月6日,美国卫生与公众服务部(HHS)警告称,黑客正在利用社会工程策略攻击医疗保健和公共卫生(HPH)部门的IT服务平台。卫生部门网络安全协调中心(HC3)发布行业警报称,该策略允许攻击者通过注册多因素身份验证(MFA)设备来访问目标组织的系统,威胁者伪装成财务部门的员工声称手机出现故障,要求IT服务台为新设备注册MFA,借此访问企业资源,并在邮件攻击中“重定向”银行交易。
编译:桂畅旎 尚丹琦 曾一涵 郭宏伟
审核:桂畅旎 母颖
《中国信息安全》杂志倾力推荐
“企业成长计划”
点击下图 了解详情