扫码订阅《中国信息安全》
邮发代号 2-786
征订热线:010-82341063
国际网安快讯
第8期
热点速览
Part.1
政策动态
Part.2
网络行动
Part.3
智能快讯
Part.4
关基防护
一、政策动态
01 | 欧盟委员会发布《数据法案》指南
4月21日,欧盟委员会发布了《数据法案》指南(The Data Act)。该指南进一步明确了《数据法案》的实施目标及实际运作方式,目的是在数据经济中促进公平性,并帮助用户从联网产品数据中获取价值。《数据法案》的主要内容是:赋予联网产品用户更大的数据控制权;明确企业在共享数据时需遵循的法律义务;确保数据共享的合法性和透明度;规定数据处理服务的互操作性和无缝切换;防止第三国政府非法获取欧盟境内的非个人数据;明确欧洲数据空间的管理标准和互操作性要求等。
02 | 美涉网络安全总统行政令任务已基本完成
4月18日,美政府问责办公室(GAO)发布一份报告称,拜登签署的旨在保护联邦IT系统免受网络攻击的命令中的55项要求中,有49项已全部完成。报告称:“他们制定了改进网络威胁信息共享的程序、关键软件安全措施指南以及进行事件响应的手册”。GAO还认为另外五项已部分完成,其中一项被认为“不适用”,因为“其时间安排与其他要求有关”。GAO表示:“完成这些要求将为联邦政府提供更大的保证,确保其系统和数据得到充分保护。”此外,国家网络主任办公室“作为该命令的总体协调者,与各机构就具体实施情况进行合作,并跟踪该命令的实施情况”。GAO向美国网络安全和基础设施安全局(CISA)的上级机构国土安全部(DHS)提出了两项建议,并向美国管理和预算办公室(OMB)提出了三项建议。DHS同意GAO关于定义关键软件和改进网络安全审查委员会运作的建议,而OMB没有发表评论。
03 | 英NCSC推出新版网络评估框架
4月15日,英国家网络安全中心(NCSC)发布了3.2版本的网络评估框架(CAF)。CAF的基础框架为由四个网络安全和弹性目标以和十四条原则组成。CAF v3.2版本在顶层原则的基础上添加了更多细节,包括一系列结构化的良好实践指标(IGP)。NCSC支持人员Jason表示,“在对各种网络攻击进行分析后,我们对CAF的各个部分进行了重大更改,涵盖远程访问、特权操作、用户访问级别以及多因素身份验证的使用。我们还改进了CAF与英国网络要素计划(CE,Cyber Essentials)的一致性”。CAF的开发旨在提供合适的框架协助进行网络弹性评估。CAF v3.2的四个目标包括:在适当的组织结构、策略、流程和程序到位的情况下管理安全风险,以便了解、评估和系统地管理支持基本功能的网络和信息系统的安全风险。此外,该框架还侧重于通过适当的安全措施来防范网络攻击,以保障网络和信息系统的基本功能,使它们免受网络攻击。
04 | 美国会设立数千万网络对外援助基金
据Recorded Future News消息,美国会已向美网络空间和数字政策无任所的大使纳撒尼尔·菲克(Nathaniel Fick)提供数千万美元的网络援助基金。此举旨在帮助伙伴国家应对黑客攻击和提高互联网安全水平。网络专家希望,该基金能够保护乌克兰和以色列等伙伴国家免受俄罗斯和伊朗的侵害。国会已就如何使用该基金向菲克提出建议,包括帮助盟又提高调查网络犯罪的能力、培训国外同行参与全球网络政策的讨论,以及推动网络空间的创新和竞争。
05 | 瑞典信号情报机构接管国家网络安全中心
据Recorded Future News 4月23日消息,瑞典网络和信号情报机构将接管国家网络安全中心(NCSC)。此次重组将使瑞典网络安全中心的组织结构与英国、挪威和丹麦的网络安全中心模式趋于一致。NCSC成立于2020年12月,整合了信号机构国防无线电局(FRA)和瑞典武装部队,其任务是通过NCSC的协调机制,预防、检测和处理对抗性网络威胁及其他IT事件,并提供关于威胁、漏洞和风险的建议与支持。
二、网络行动
01 | 北约将举行全球规模最大的网络安全演习
北约计划于4月22日至26日举行“锁定盾牌”网络安全演习,旨在促进跨国、跨部门的公私网络防御合作与协调,以应对国家网络安全威胁。此次演习将汇集来自不同学科的专家,包括来自40多个国家的约4000名参与者。其中,乌克兰通过与捷克组建的联合团队,首次参加本次演习。演习设计了基于现实的场景,模拟对手在数字领域的策略行为,参演人员将面临一系列与现实世界网络防御复杂性相当的挑战,包括批判性思维、战略决策、危机沟通和战略规划等方面。所有这些挑战的目的都是为了增强网络防御的能力。自2010年首次举办以来,该演习的规模不断扩大,从专注于测试参赛团队针对模拟网络威胁的技术防御能力,演变为包含战略决策、危机沟通等更广泛领域能力的演练。
02 | 欧洲警方寻求端到端加密数据解决方案
4月21日,欧洲警察局长发布联合声明,称目前推广的端到端加密(E2EE)保护措施会导致服务或网络提供商无法访问消息内容,这将妨碍科技公司主动识别其平台上非法活动的能力,还将妨碍执法部门在调查中获取和使用这些信息。因此,执法部门和科技行业之间的合作关系“面临风险”。端到端加密是一种由终端设备设计通信加密的方法。欧洲刑警组织呼吁行业和政府采取紧急措施,以确保社交媒体平台的公共安全,并主张科技公司应承担社会责任,在不妨碍执法部门收集证据的情况下,创造一个公民能够安全社交的环境。此外,该联合声明还敦促科技行业,在发布软件产品和确保网络安全的同时,提供一种可识别且可标记有害及非法内容的机制。
03 | 美对13名滥用商业间谍软件人员实施签证限制
4月22日,美国务院表宣布,正在对13名涉嫌参与开发和销售商业间谍软件或相关活动的人员及其亲属实施签证限制,旨在打击对美国家安全或外交政策利益构成风险的商业间谍软件的使用。此举基于美国务院2月5日宣布的新政策,该政策授权对参与滥用商业间谍软件的个人实施签证限制。美国政府表示,签证限制是打击商业间谍软件传播的举措之一,其他措施还将包括限制政府使用此类软件、实施出口管制和制裁,以加强问责。
04 | 美制裁与政府网络攻击有关的伊朗人
4月24日,美财政部海外资产控制办公室(OFAC)宣布,因四名伊朗公民和两家公司涉嫌参与了针对美国政府、国防承包商和私营公司的网络攻击行为,将对其实施全面制裁。被制裁的两家伊朗公司隶属于伊朗伊斯兰革命卫队网络电子司令部(IRGC-CEC)。美司法部长梅里克·加兰(Merrick B. Garland)表示,这些被制裁的人员参与了伊朗长期针对美国多家公司、美国财政部和国务院的网络攻击活动,严重威胁到美国国家安全和经济稳定。
05 | 法国要求欧盟对俄罗斯虚假信息实施制裁
据彭博社4月24日消息,法国已要求欧盟针对俄罗斯在全球范围内的虚假信息传播和选举干预行为制定新的制裁机制。该提案获得了爱沙尼亚、拉脱维亚、立陶宛、荷兰和波兰的支持,将允许欧盟对参与并支持俄罗斯破坏全球稳定活动的个人及实体加强制裁力度。法国欧洲事务部部长让-诺埃尔·巴罗(Jean-Noël Barrot)表示,法国正受到俄罗斯虚假信息的攻击,这可能会影响六月份欧盟议会选举的结果。欧盟已将反击日益增长的“俄罗斯虚假信息浪潮”视为当务之急。据彭博社此前报道,七国集团(G7)还准备采取联合行动,以应对国外的信息操纵和干涉行为,特别是针对今年要举行的选举。
06 | 澳大利亚安全总监希望访问并解读目标加密通信
4月24日,澳大利亚国家安全机构负责人、安全总监迈克·伯吉斯,在澳大利亚国家新闻俱乐部的一次演讲中呼吁,引入所谓的“负责任的加密”。这意味着,澳大利亚情报机构希望获得访问并解读嫌疑人加密通信的能力。伯吉斯认为,尽管加密技术在保护隐私和支持经济方面发挥着重要作用,但它也为危险的犯罪分子提供了保护空间。伯吉斯强调,澳大利亚法律允许执法部门访问加密通信,但科技公司并不总是支持这一法律要求的实施。他敦促科技公司与情报机构合作,共同解决这一问题。本周,欧洲刑警组织提出了类似的观点,呼吁科技公司在设计加密协议时,为警方留下可利用的漏洞,以便他们能够确保公民的公共安全。
07 | 英国情报部门警告该国顶尖院校正面临威胁
4月25日,英国国内情报机构负责人警告该国24所顶尖院校,外国正在针对它们并危及国家安全。来自牛津大学、剑桥大学等罗素集团内24所顶尖院校的副校长听取了关于威胁的简报。这份简报由军情五处总干事肯·麦卡勒姆、副首相奥利弗·道登和国家网络安全中心临时首席执行官费利西蒂·奥斯瓦尔德共同发表。这一警告是在内部安全部门对高等教育部门面临的威胁进行审查之后发出的,其结论是某些国家正通过“公开和秘密方式”来“获取知识产权并窃取优势”。副首相道登表示,“我们的大学正成为敌对行为者的积极攻击目标,需要防范对最敏感领域的前沿研究构成的威胁”,这一威胁需要“采取进一步措施”。其中之一是让军情五处对参与“一小部分学术工作的关键研究人员进行安全审查,特别关注在民用和军事生活中具有潜在双重用途的研究”,以及增加发展大学内部研究安全能力的资金,同时提高进入学术机构的资金流的透明度。
08 | 乌克兰黑客和情报部门攻击俄罗斯互联网提供商
4月26日至27日夜间,乌克兰黑客组织BO Team和乌克兰国防情报局对俄罗斯公司JSC MTT进行了黑客攻击。据安全消息人士称,乌克兰网络专家提前获得了该公司所有网络设备的访问权限。此后,在2024年4月26日至27日夜间,针对所有被扣押的设备发起了强大的网络攻击。攻击的目的是破坏他们的软件和配置文件。由于网络攻击,MTT JSC遭受了重大损失,在俄罗斯许多地区的服务陷入瘫痪。这些地区包括莫斯科、圣彼得堡、哈巴罗夫斯克、下诺夫哥罗德、顿河畔罗斯托夫、伏尔加河、加里宁格勒。要恢复所有设备,该公司的专家必须物理连接到每台设备,这可能需要数周时间。MTT(Interregional TransitTelecom)是俄罗斯十大电信公司之一,为俄罗斯的金融和互联网组织提供解决方案。
三、智能快讯
01 | 美国土安全部宣布成立人工智能安全委员会
4月26日,美国土安全部(DHS)部长亚历杭德罗·马约尔卡斯(Alejandro Mayorkas)宣布成立人工智能安全委员会。该委员会旨在指导人工智能在美国关键基础设施中的应用,并将就如何更好地管理人工智能在16个关键基础设施领域中的部署向DHS提供建议。该委员会的任务是为负责任的人工智能使用和对该技术的保护制定实用的建议、指南和最佳实践。委员会的成员包括OpenAI首席执行官萨姆·奥特曼、NVIDIA首席执行官黄仁勋,西雅图市长、马里兰州州长,以及民权领袖和学者。此外,来自Alphabet、亚马逊、达美航空、IBM、Adobe、Northrop Grumman和AMD的首席执行官也在委员会中。除了可行性的建议外,DHS表示,该委员会还将允许关键基础设施领域和人工智能领导者“分享有关人工智能带来的安全风险的信息”。
02 | 欧盟计划投资人工智能和量子研究1.12亿欧元
据IndustrialCyber 4月24日消息,欧盟委员会在Horizon Europe 2023-2024年数字、工业和太空工作计划中启动提案征集,计划在人工智能、量子研究和创新方领域投资1.12亿欧元。该投资将重点支持人工智能和量子技术的研究与创新活动。本次整机的提案旨在研发可生成多模态数据的生成式人工智能技术,包括但不限于文本、图像、音频、视频和3D内容。欧盟委员会计划在人工智能项目上投资超过6500万欧元,其中包括一笔5000万欧元的重大拨款,专门用于增强大型人工智能模型的性能,整合新的数据模式并扩展这些模型的功能。此外,为提高人工智能透明度和鲁棒性,还将投资1500万欧元,用于增强人工智能系统可理解性和可靠性的项目。欧盟称,其目标是在人工智能系统的创建和发展方面发挥领导作用。
03 | 美CISA举办网络安全竞赛表彰人才
4月17日至18日,美网络安全和基础设施安全局(CISA)举办了第五届年度“总统杯网络安全竞赛”。该竞赛旨在选拔、奖励并表彰联邦政府内顶尖的网络安全人才,展示美国政府和军队的在网络安全领域的专业技能。竞赛挑战项目包括零信任架构、物理工业控制系统以及人工智能和大型语言模型等多个方面。来自联邦政府多个部门的参赛者参与了此次竞赛,包括联邦调查局(FBI)、交通部、国防部、美国陆军、美国空军、美国海军和美国海军陆战队。竞赛获胜团队名为“人工智能”,由国防部、美国陆军和美国空军的成员组成。
04 | 生成式人工智能的监管面临争议
据securitylab 4月24日消息,美国圣克拉拉大学法学教授埃里克·戈德曼(Eric Goldman)称,生成式人工智能将面临“监管海啸”。戈德曼表示,人工智能训练的版权侵权问题已经成为其发展的重大障碍,相应的监管压力可能会严重削弱人工智能的发展潜力。据美商业软件协会统计,自2024年1月起,在短短一个月内,就有超过400项人工智能相关法案被纳入政府立法议程,与之前相比增加了六倍。戈德曼表示,希望未来制定更加灵活和平衡的法律,促进人工智能行业的健康发展。
05 | 美国土安全部任命AI专家团负责人
4月24日,美国土安全部(DHS)宣布,任命迈克尔·博伊斯(Michael Boyce)作为由50人组成的AI专家团的负责人。博伊斯曾在白宫管理和预算办公室(OMB)担任高级政策分析师以及美数字服务局的数字服务专家,专注于FedRAMP和AI政策,包括撰写联邦生成式AI的政策和拜登总统2023年AI行政命令。该AI团队于2024年2月7日启动组建并招募专家,其模式以美国数字服务(U.S. Digital Service)为蓝本,负责管理DHS的人工智能项目并利用AI技术执行任务,如增强供应链网络安全和保护关键基础设施等。
06 | 美国司法小组正在讨论如何监管人工智能生成的证据
4月19日,在一场于华盛顿特区举行的听证会上,美国司法会议证据规则咨询委员会讨论了人工智能在法律领域带来的机遇和挑战。会议中,委员会提出了深度造假的定义,以及人工智能生成的虚假媒体证据可能给法律审判带来的问题。同时会议还讨论了现有规则是否足以确保在法庭上提供的证据的可靠性和真实性。讨论包括涉及对联邦证据条例中涉及验证或识别证据的901(b)(9)条的修改,并提议添加一条新规则901(c):“当一方质疑计算机或其他电子证据的真实性时,向法院证明:它很可能是被伪造的,或者全部或部分被篡改的,只有当其证明价值超过其对证据质疑方的负面影响时,此类证据才可以采信。”一位专家建议,应确保机器生成的证据具备与专家证人的证词相同的可靠水平。截止目前,尚未做出明确的法律条例更改决策。
07 | 微软警惕朝鲜黑客组织利用人工智能开展网络活动
据HackerNews网站4月22日消息,微软的最新报告指出,朝鲜黑客组织正在学习利用基于大语言模型(LLM)的人工智能工具,以提高其网络攻击效果。他们还利用LLM解决技术问题、执行基本脚本任务以及编写鱼叉式网络钓鱼邮件内容。报告特别提到了Emerald Sleet组织,该组织利用LLM支持针对朝鲜半岛专家的鱼叉式网络钓鱼活动。微软称,近几个月,朝鲜黑客组织还滥用基于域的消息认证体系(DMARC),通过伪装各种身份和植入网页信标(即追踪像素),以绘制目标人物的概况,这显示了他们的策略调整能力。
四、关基防护
01 | 美警惕网络连接带来海洋网络安全风险
4月22日,美国海岸警卫队网络司令部(CGCYBER)宣布,网络连接的操作技术(OT)可能对海洋环境构成威胁。海洋基础设施组织广泛采用联网的OT系统,增加了网络威胁的攻击范围。海岸警卫队网络保护团队(CPT)发现,OT网段包含组织中最关键的系统,且这些系统较为脆弱。同时,OT系统上运行的生命周期终止软件具有可利用漏洞。此外,OT系统经常使用易受攻击的网络协议,从而允许进一步利用和权限升级。如果OT网络缺乏足够的访问控制,这些风险会进一步加剧,攻击者可以从IT网络跳转到OT网络,在物理领域造成影响。
02 | 美CISA发布投票地点物理安全清单以保障美国选举
4月23日,美网络安全和基础设施安全局(CISA)发布了投票地点物理安全清单,旨在向选举工作人员提供指导,以增强美国选举的安全性。该清单包涵预先规划和选举日程序,可根据各个设施的需求和资源进行调整,使选举工作人员和志愿者能够通过清单审查现有从而安全措施,评估潜在的网络威胁和事件,以建立和加强实体安全。此外,负责选举日投票地点的个人或团体可以利用此资源评估潜在的安全漏洞,并确定选举前所需的行动。
03 | 美CISA勒索软件警告计划将于2024年底全面启动
4月24日,美网络安全和基础设施安全局(CISA)局长珍·伊斯特利(Jen Easterly)表示,基于2022年《关键基础设施网络事件报告法案》,该机构计划将在2024年底前全面实施自动漏洞预警计划。该计划旨在提醒运行软件的组织,他们正在被勒索软件团伙利用。该计划目前处于试点阶段,旨在警告易受攻击系统的所有者和运营商,在遭到勒索软件攻击之前,对其进行修补来减少攻击的数量。伊斯特利表示,自2023年1月启动试点以来,该机构已经发出了2,049次警告。此后,该计划已扩展到包括CISA已知的被利用漏洞数据库,以及与勒索软件攻击相关的常见错误配置。
04 | 美CISA将于9月底发布软件产品清单
为遵循拜登政府网络安全行政令,美国网络安全和基础设施安全局(CISA)计划2024年9月30日之前,向联邦机构提供一份对联邦政府网络态势至关重要的软件产品清单。清单上的软件产品必须符合美国家标准与技术研究所(NIST)定义的11项标准,例如,具有对网络或计算资源的直接访问权限;能够控制数据或运营技术的访问等。此类软件产品在管理权限、网络保护和运营技术方面都发挥着至关重要的作用。该清单将协助各机构更好地识别他们所依赖的产品中的潜在网络漏洞。
05 | 美CISA通过勒索软件通知试点解决了800多个漏洞
4月25日,美国网络安全和基础设施安全局(CISA)表示,一项主动通知组织其设备可能容易受到勒索软件攻击的试点计划已经取得成果。该计划于2023年1月推出,旨在“识别存在可通过互联网访问的漏洞的组织,这些漏洞通常与已知的勒索软件行为者有关”。该计划根据拜登总统于2022年签署的网络事件报告立法授权,并由CISA和FBI共同领导的勒索软件联合工作组负责管理。CISA表示,2023年它向互联网设备易受攻击的组织发出了1,754份通知。其中,852个“在CISA通知后已进行修补、实施补偿控制或下线”。CISA的三名官员在一篇博客文章中表示,该计划强调与各级政府机构和关键基础设施实体的沟通。他们提到:“参与这项免费服务的组织通常会在前12个月内将风险和暴露程度降低40%,并且大多数组织会在前90天内看到改善。”CISA认为,该计划正在增加勒索软件团伙搜索易受攻击系统的运营成本,并“通过否定其攻击机会来实现威慑”。
编译:桂畅旎 郭宏伟 尚丹琦
审核:桂畅旎 母颖
分享网络安全知识 强化网络安全意识
欢迎关注《中国信息安全》杂志官方抖音号
《中国信息安全》杂志倾力推荐
“企业成长计划”
点击下图 了解详情