扫码订阅《中国信息安全》
邮发代号 2-786
征订热线:010-82341063
国际网安快讯
第11期
热点速览
Part.1
政策动态
Part.2
关基防护
Part.3
网络行动
Part.4
智能快讯
11. 俄罗斯专家开发出独特的人工智能杀毒软件
一、政策动态
01 | 美NIST发布更新保护政府系统中非机密数据的新指南
5月14日,美国家标准与技术研究院(NIST)发布更新了《保护非联邦系统和组织中的受控非机密信息》指南。该指南的更新旨在保护未经授权的机构与私营部门承包商之间敏感非机密信息的传输。此次更新增加了三个新的安全控制系列,为联邦机构保护存储在其系统中的敏感非机密数据的实施措施设定了基准。新增内容的重点是一个供应链风险管理框架,该框架进一步明确了联邦机构和私营部门供应商之间的合作方式,供应商为政府提供日常任务所需的软件、设备和培训。其他新增的安全控制系列包括针对外部服务提供商的采购部分,以及帮助各机构提前计划额外安全控制的总体监督部分。
02 | 澳发布2024-2025财年预算,网络安全投资超百亿元
5月14日,澳大利亚联邦政府公布了2024-2025财年预算案,其中涉及多项针对信息技术改进的投资。这些投资主要包括确保2026年人口普查的安全数据存储、提升监管机构的数据能力和增强网络安全等方面。澳大利亚政府将在五年内提供3,990万澳元,用于制定相关政策和提升技术能力,支持以安全和负责任的方式使用人工智能技术。具体措施包括在2024年至2025财年开始的三年内,提供260万澳元,用于应对和缓解与人工智能相关的国家安全风险。此外,澳联邦政府承诺自2024-2025财年起,在接下来的四年内向议会部门提供1280万澳元,并在此后每年持续投入230万澳元,以加强对商业生产力和网络安全的IT支持。
03 | 美与国际合作伙伴联合发布保护高风险社区安全指南
5月14日,美网络安全和基础设施安全局(CISA)、联邦调查局(FBI)与来自加拿大、日本等网络合作伙伴联合发布《利用有限资源缓解网络威胁:公民社会指南》。该指南旨在提升民间社会组织的网络安全防护能力,特别是那些面临国家支持的网络威胁的高风险组织。指南提供了一系列实用步骤和建议,旨在帮助非营利组织、倡导团体、学术机构、记者等了解网络威胁并增强数字防御。强调了针对民间社会实体的主动措施和最佳实践,包括软件更新、多因素认证、最小特权原则等,并提供了网络安全培训、供应商审查和事件响应计划等方面的建议。此外,指南还强调了国际合作的重要性,并为民间社会成员提供了密码安全、隐私保护和社会工程策略意识的指导。
04 | 美国防部《2025年国防法案》评估移动设备网络安全
据NextGov网站5月14日消息,美国防部将对军人和分析人员内部移动设备的网络安全进行评估,并将于2024年底前出台《2025年国防授权法案》。《2025年国防授权法案》(草案)中的一项措施是要求国防部长评估国防部可用的产品和服务,以帮助美国武装部队和国家安全实体保护其数十万工作人员使用的移动设备。该草案将指导评估匿名技术,如动态选择器轮换、允许在特定时间间隔内定期切换IP地址等位置标识符等,以防止网络间谍锁定特定设备。
05 | 美国家科学基金会(NSF)将发布敏感技术对国家安全影响框架
据NextGov 5月17日消息,美国家科学基金会(NSF)即将发布名为“TRUST”的风险管理框架。该框架旨在制定风险标准,指导机构决策,评估敏感技术研究项目对国家安全的潜在影响。TRUST框架源于《CHIPS和科学法案》的规定,指示NSF识别和控制可能暴露受控信息的研究。NSF主任塞图拉曼·潘查纳坦(Sethuraman Panchanathan)表示,TRUST流程将在众议院科学、空间和技术小组委员会听证会上宣布,并在未来几个月进行试点。NSF一直在扩大研究范围,特别是在人工智能方面。根据总统的行政令,NSF被赋予负责安全开发人工智能系统相关议程的任务。
06 | 美漏洞数据库因漏洞积压而陷入困境
据Securitylab 5月15日消息,由美国家标准与技术研究院(NIST)管理的全球最大漏洞数据库NVD近期遭遇重大故障,导致未发布的漏洞数量激增。自2024年2月中以来,NVD仅能分析并添加4524个漏洞至数据库中,该数字远低于待处理的14286个漏洞的总量。这严重影响了安全团队的响应速度,为攻击者提供了机会,引发了网络安全界的担忧。NIST表示,自2月12日以来NVD暂停发布新数据是由于过渡至新的CVE数据格式JSON所引发的问题,直至5月14日系统更新才告完成。美网络安全和基础设施安全局(CISA)和MITRE在采取措施来改善漏洞处理流程。尽管目前努力有助于减少积压的漏洞,但业界专家呼吁需要实施长期解决方案,如自动化漏洞披露过程。
07 | 美联邦贸易委员会(FTC)对联网汽车数据隐私发出警告
5月14日,美国联邦贸易委员会(FTC)向汽车制造商发出警告,要求他们密切关注自己的数据收集和销售行为,尤其是与广告商共享敏感汽车数据的做法。这是自2018年以来FTC首次就联网汽车数据隐私问题发表公开评论。FTC强调,根据《联邦贸易委员会法案》,该机构将采取行动保护消费者免受非法收集、使用和披露个人数据的伤害,法案还将对个人地理定位数据的贩卖实施“加强保护”。FTC还警惕授权访问客户敏感数据的公司,必须确保数据仅用于收集信息时声明的目的,并强调了数据最小化原则,即公司应避免收集不必要的数据,以减少对消费者的伤害。
二、关基防护
01 | 2024年RSA大会工业网络安全趋势总结
2024年RSA大会强调了多个将重塑工业网络安全格局的关键趋势和创新。一是软件供应链安全,会议强调了软件物料清单(SBOM)的重要性,以及提高对工业环境中使用的软件组件进行透明度和可见性的需求。二是人工智能集成,人工智能和机器学习在网络安全实践中的应用正在改变威胁检测和响应的方式。会议讨论了生成式AI工具(如ChatGPT)的使用,并强调了在缺乏适当监督的情况下采用这些技术可能带来的潜在风险。三是零信任架构,随着工业网络复杂性的增加,采用零信任安全模型成为保护网络的关键方法。四是威胁检测的创新,利用生成式AI和机器学习模型,已成为实时识别和缓解威胁的重要手段,这增强了对工业网络中异常情况的检测能力。五是协作和信息共享,加强行业、政府和技术提供商之间的合作受到高度重视。诸如RSAC 365创新展示和OT-CERT等倡议鼓励共享威胁情报和最佳实践。六是人工智能的广泛应用,人工智能在工业网络安全中的应用日益普遍,从预测控制系统的逻辑到进行更广泛的评估和精细化处理,其应用范围不断扩大。这些趋势表明,工业网络安全正在向更智能、更自动化的方向发展,同时强调了跨部门合作和透明度的重要性。
02 | 白宫表示网络信任标签将在今年年底前到位
据Recorded Future 5月15日消息,拜登政府计划在2024年底前推出一项自愿网络安全标签计划,该计划适用于消费设备。美国联邦通信委员会(FCC)今年早些时候一致投票通过了美国网络信任标志计划,旨在帮助消费者了解婴儿监视器和远程恒温器等日常家居用设备的安全性,并激励制造商纳入基线数字防御措施,以便将其与其他产品区分开来。负责网络和新兴技术的副国家安全顾问安妮·纽伯格(Anne Neuberger)表示,该项工作的目标是在今年底前在商店和线上推出带有标签的设备。目前已有许多公司签约参与,并提供其产品给认可的实验室进行测试。
03 | 英发布拒付勒索赎金最佳实践指南
5月14日,英国三大保险协会与国家网络安全中心(NCSC)联合发布新的最佳实践指南,旨在解决勒索软件的赎金支付问题。新指南主要包括对业务影响的全面评估、报告协议和获取支持的途径。遵循这些准则,各组织可以做出更明智的决策,并提高其抵御勒索软件攻击的能力。该指南还进一步说明了公司如何增强其运营韧性以对抗软件勒索。跨部门联盟敦促受害者组织遵循新指南中的步骤,以减少支付赎金的情况。NCSC首席执行官费利西蒂·奥斯瓦尔德(Felicity Oswald)表示,支付赎金会鼓励犯罪分子扩大活动,而NCSC不鼓励、认可或容忍任何支付赎金的行为。
04 | 美CISA推出联邦机构加密DNS实施指南
5月17日,美国网络安全和基础设施安全局(CISA)发布了针对联邦民事行政部门(FCEB)机构的加密域名系统(DNS)实施指南。该指南旨在提升网络安全弹性,并确保符合管理和预算办公室(OMB)备忘录M-22-09和国家网络安全战略中提出的零信任原则。指南提供了实施加密DNS协议的指导,强调了美国政府在推进零信任网络安全原则方面取得的进展,以及机构网络配置的重要性,目的是防止端点设备和应用程序与第三方DNS提供商直接通信。指南包含了一份实施清单,提供了所需变更的概览,并根据资产类别组织了行动项目。此外,还提供分阶段实施的建议和技术指南,以支持变更的实施。该指南将帮助机构实施当前可行的技术功能,包括机构网络、DNS基础设施、本地端点、云部署以及漫游和移动端点。CISA网络安全执行局长助理埃里克·戈尔茨坦(Eric Goldstein)表示,该指南将帮助联邦机构在迈向零信任安全的旅程中取得进展,并将继续与各个机构合作,共同推进联邦机构网络安全的现代化。
三、网络行动
01 | 美网络司令部举行2024年度“网络旗帜”演习
5月5日至11日,美网络司令部在弗吉尼亚州举行2024年度“网络旗帜”演习。此次演习是美国网络司令部领导的多国网络演习,涉及18个国家,包括五眼情报联盟国家以及韩国等其他伙伴国家。该演习旨通过跨国合作,提高应对网络威胁的技能并分享针对敌方网络活动的情报。此次参演人员合作模拟防御复杂的网络攻击以提高技能,活动包括举办研讨会和进行网络实地训练。自2011年首次举办以来,“网络旗帜”演习已经吸引了多个国家的参与,重点在于提升网络防御、情报共享和行动协调方面的技能,并加强国际联盟和伙伴之间的关系。
02 | 联合国举办首届全球网络安全能力建设会议
5月10日,联合国举办了首届全球网络安全能力建设高级别圆桌会议。该会议旨在缩小全球在信息和通信技术安全方面的能力差异,推进信息和传播技术安全能力的发展,促进公私伙伴关系和发展中国家间的经济技术合作。会议讨论了几个主要议题,一是全球普遍缺乏对网络威胁的认识以及网络安全专业人员的短缺;二是鼓励私营部门开展国际合作以建设网络安全能力;三是多利益相关方的合作框架有助于发展成员国的国家能力。联合国秘书长古特雷斯(António Guterres)在会议上强调了采取新的数字和平与安全方法的重要性,以及缩小数字鸿沟和加强信息与传播技术安全的必要性,并特别强调了全球安全与数字技术之间日益紧密的相互依存关系。
03 | 英国家网络安全中心(NCSC)保护选举候选人免受网络攻击
5月15日,英国家网络安全中心(NCSC)推出一项个人互联网保护(PIP)的新服务,旨在保护高风险个人的手机免受网络攻击。该服务特别针对即将参加大选的议会候选人以及政治、学术、新闻和法律领域的工作人员。PIP服务通过为用户的设备配置特定的DNS服务器,防止它们连接到可疑的域名,从而为个人设备增加了一层额外的安全保护。此外,该服务还会在用户尝试访问已知恶意域名时发出警告。
04 | 英国家网络安全中心(NCSC)推出新防御系统保护互联网服务提供商
5月16日,英国家网络安全中心(NCSC)推出了一个名为“共享和防御”的新平台,旨在增强全国范围内的网络安全防护能力,特别是在打击网络犯罪和在线欺诈方面。该平台在CyberUK会议上发布,它通过向通信提供商共享恶意域列表,帮助他们将这些域添加到拦截名单中,从而保护用户不受网络钓鱼、凭证窃取页面和恶意软件命令与控制服务器的威胁。此外,该平台还将与互联网服务提供商(ISP)共享用于保护高风险个人和网络的相同拦截名单,以提高普通用户的网络安全等级。
05 | 美国会参议院推出《五眼AI法案》
5月11日,美国会参议院推出《五眼AI法案》(S.4306/Five AIs Act),目前该法案文本尚未公布。法案主要内容为要求美国防部长成立一个专门工作组,在五眼情报联盟内部谋划并协调人工智能专项计划。该法案的众议院版本已在2023年12月由美国会众议院提出,有较大概率通过下一财年《国防授权法案》或其他重要拨款法案条款。众议院版本的《五眼AI法案》要求五角大楼成立一个专门为五眼情报联盟成员国在AI领域的合作进行评估的工作组,其职能包括:与五眼情报联盟成员国合作,对先进AI系统进行比较、测试、评估和采购;找出潜在可行方案,以推进用于情报共享和作战环境感知的AI互操作性;为五眼情报联盟成员国联合开展的AI系统研究、开发、测试、评估和应用制定共同战略。
四、智能快讯
01 | 中美就人工智能风险进行会谈
5月14日,中美人工智能政府间对话首次会议在瑞士日内瓦举行,双方围绕人工智能科技风险、全球治理、各自关切的其他问题深入、专业、建设性地交换了意见。双方介绍了各自对人工智能技术风险的看法和治理举措以及推动人工智能赋能经济社会发展采取的措施。双方均认识到人工智能技术发展既面临机遇也存在风险,重申继续致力于落实两国元首在旧金山达成的重要共识。
02 | 美参议院公布人工智能路线图
5月15日,美两党参议员组成的小组公布了人工智能路线图,旨在详细说明参议院两党审议的人工智能政策优先事项。该路线图重点关注八个领域,包括创新、劳动力用例、选举和民主、隐私和责任、透明度、可解释性、知识产权和版权,以及人工智能风险防范和国家安全。该路线图还包括每年提供320亿美元用于民用研究的提案,为非国防人工智能创新项目提供至少320亿美元的联邦资金。美国家安全委员会下属的人工智能委员会呼吁国会确保联邦政府将至少1%的国内生产总值(GDP)投入科学人工智能研究,预计到2024年这一支出总额将达到80亿美元。
03 | 英发布人工智能网络安全行为准则征求意见稿
5月15日,英国政府正在就一套新的《人工智能网络安全行为准则》征求意见。该指南强调了人工智能对英国经济及日常生活的重要影响,旨在加强人工智能网络安全,并建立保护模型免受恶意行为者攻击的全球性标准。指南中包含了对开发人员的建议,阐述了如何更好地保护人工智能产品和服务免受破坏或篡改。此外,指南还讨论了AI技术在不同领域的应用,以及英政府为确保人工智能安全所采取的各种措施和未来的工作规划。英技术和数字经济部长萨奇布·巴蒂(Saqib Bhatti)表示,新准则将有助于建立全球性的人工智能网络安全标准,增强人工智能模型的韧性,并为英国企业在网络攻击面前提供更强大的网络保护。
04 | 欧美推进人工智能和网络安全双边会谈
据Govinfosecurit 5月15日消息,欧盟委员会最高技术官员与美国领导人在华盛顿就人工智能监管、网络安全以及5G和6G蜂窝网络的发展进行了会谈。本次会谈的目的是推进欧盟和美国在2023年签署的关于人工智能和计算的行政协议。该协议旨在改善欧盟与美国在利用新兴技术应对气候变化、自然灾害以及医疗保健、能源和农业等领域面临的全球性挑战方面的合作。
05 | 新研究表明人工智能生成代码存在安全问题
据NextGov 5月14日消息,最新的研究表明,利用人工智能生成安全代码存在严重的安全问题。大多数新的生成式人工智能均可编写计算机代码,或监控人类编写的代码以查找漏洞。根据GitHub最近的一项调查,超过90%的开发人员已经在使用人工智能编码工具来帮助加快工作速度。这意味着如今大多数应用程序及程序的底层代码部分是由人工智能编写的,其中包括由政府机构编写或使用的代码。经过检测,人工智能编写的程序有超过50%的漏洞,且大多数人工智能还将安全代码标记为易受攻击,而实际上并非如此,导致误报率很高。生成式人工智能在安全编码方面遇到的最大困难之一是,缺乏对大型项目或整体基础设施适应性以及后续程序安全问题的相关代码。
06 | 美网络和情报负责人称人工智能对选举安全构成挑战
据NextGov 5月15日消息,美高级网络和情报官员表示,美国正在准备应对今年大选期间的干扰威胁,人工智能生成的内容或将对当局核实虚假信息的能力构成挑战。官员们强调了外国势力可能利用AI技术散布虚假信息的风险,这些信息可能包括伪造的视频或音频内容,目的是影响选举结果或破坏公众对选举过程的信任。美网络安全和基础设施安全局(CISA)主任珍·伊斯特利(Jen Easterly)表示,CISA正在与人工智能公司合作,以应对选举威胁,并鼓励这些公司引导用户访问选举官方网站。科技AI公司已承诺对与选举相关的内容添加水印,以帮助减少社交媒体上虚假和误导性信息的传播。
07 | 白宫和美国劳工部希望保护工人免受人工智能引发的伤害
5月16日,美国劳工部与白宫联合宣布了一项新框架,旨在保护美国工人免受部署人工智能系统可能带来的不利后果,以履行拜登政府2023年10月关于人工智能的行政命令任务。新框架为人工智能开发人员和雇主在工作场所利用人工智能提出了八项原则:以员工赋权为中心;道德地开发人工智能;建立人工智能治理和人类监督;确保人工智能使用的透明度;保护劳动和就业权利;利用人工智能为工人赋能;支持受人工智能影响的工人;并确保负责任地使用员工数据。白宫和美国劳工部指出,这些原则代表了在劳动力中负责任地管理人工智能解决方案的开始,其他联邦机构正努力在即将到来的人工智能工具采用之前,继续为联邦劳动力做好准备。
08 | 美太空军发布数据及人工智能战略行动计划
据美国太空军网站5月14日消息,近日美太空军发布了《2024财年数据与人工智能战略行动计划》。该计划为整个组织实现数据中心化提供具体指导,旨在更好地利用数据建立流程、建设能力和调整现有工作,以实现在竞争激烈的环境中开展行动。美太空军种将专注于以下四项工作,旨在使数据可见、可访问、可理解、可信且具有互操作性。一是开展成熟的全部门级数据和AI治理;二是推动数据和AI驱动的任务;三是优化数据、推进分析AI技术的发展;四是加强与政府、学术界、工业界以及国际伙伴的合作。根据该行动计划,美太空军将采用现代、自适应和敏捷的数据和分析能力,旨在发现、访问、集成和使用有关情报数据。
09 | 美国家航空航天局(NASA)任命首席人工智能官
5月13日,美国家航空航天局(NASA)任命了其第一位官方首席人工智能官大卫·萨尔瓦尼尼(David Salvagnini)。该任命履行了拜登总统2023年10月关于人工智能的全面行政命令的授权,该命令要求各机构指定首席人工智能官。这一新角色将扩大萨尔瓦尼尼作为NASA首席数据官的职责范围,他将指导NASA在宇宙和地球上负责任地使用人工智能,尤其是在NASA和外部合作伙伴之间建立和执行人工智能的战略愿景。
10 | 国际货币基金组织(IMF)警告大规模失业和信息失控
据Securitylab 5月15日消息,国际货币基金组织(IMF)发出将面临大规模失业和信息控制问题的警告。随着人工智能技术的广泛应用,全球劳动力市场将遭遇一场巨大冲击。IMF预测,人工智能技术可能会影响全球40%的就业岗位和发达经济体60%的岗位,而这60%的就业岗位中有一半可能会被完全淘汰。瑞士国际研究所格奥尔基耶娃(Kristalina Georgieva)表示,如果管理得当,人工智能可以显著提高生产力,但它也可能导致错误信息的扩散并加剧社会不平等现象。
11 | 俄罗斯专家开发出独特的人工智能杀毒软件
5月16日,俄罗斯专家开发了一种基于人工智能的防病毒软件,该软件能够在无互联网连接的情况下独立检测和清除恶意软件。这款新型防病毒软件可以使用机器学习算法分析计算机的软件行为,并通过神经网络和神经特征分析两种方法来识别恶意活动。该产品的主要优势在于它不需要持续的互联网连接。该软件预计于2024年完成开发,计划面向个人和公司市场,采用订阅模式提供。业内专家认为,该软件可以显著提高计算机的安全性。神经网络技术和机器学习算法在网络安全领域具有巨大的潜力,应作为现有解决方案的补充。
编译:尚丹琦
审核:桂畅旎 母颖
分享网络安全知识 强化网络安全意识
欢迎关注《中国信息安全》杂志官方抖音号
《中国信息安全》杂志倾力推荐
“企业成长计划”
点击下图 了解详情