扫码订阅《中国信息安全》
邮发代号 2-786
征订热线:010-82341063
国际网安快讯
第12期
热点速览
Part.1
政策动态
Part.2
网络行动
Part.3
智能快讯
Part.4
关基防护
4. 英提议强制报告勒索软件攻击并执行支付许可制度
一、政策动态
01 | 美国防部发布《网络安全互惠手册》
5月22日,美国防部(DoD)首席信息官(CIO)宣布公开发布《国防部网络安全互惠手册》。该手册参考国防部长备忘录中的互惠概念,提供了在国防部系统内实施网络安全互惠的指导,强调了国防部组件与受影响的信息所有者和互联系统所有者共享安全授权包的重要性。手册中提供了互惠用例,包括企业云、社区联盟以及情报界中执行互惠责任的情况等。美国防部表示,未能最大程度利用网络安全互惠可能会导致工作冗余,破坏机构间的协作和信息共享。网络安全互惠对于跨不同政府机构和组织共享网络安全洞察和发现的能力至关重要。
02 | 美国家安全局(NSA)发布应用程序零信任成熟度指南
5月22日,美国家安全局(NSA)发布了《在整个应用程序和工作负载支柱中推进零信任成熟度》指南,旨在帮助组织保护应用程序免受未经授权的用户侵害。该指南概述了提升针对访问控制和集成威胁防护的态势感知的方法,以缓解特定应用程序的威胁。应用程序和工作负载支柱的安全取决于各种功能,包括应用程序清单、安全的软件开发和集成、软件风险管理、资源授权和整合,以及持续监控和持续授权。指南介绍了实现应用程序和工作负载支柱功能的建议,并进一步讨论了如何将这些功能集成到全面的零信任框架中。国家安全系统(NSS)、国防部(DoD)和国防工业基地(DIB)所有者应使用此指南和其他指南来制定具体步骤,以完善其应用程序和工作负载安全性。NSA网络安全总监表示,实施零信任框架使网络安全从业者能够更好地保护敏感数据、应用程序、资产和服务。
03 | 美《多元化网络安全劳动力法案》拓展网安职业
5月22日,两名美众议院众议员提出了《多元化网络安全劳动力法案》,旨在鼓励代表性不足和弱势社区从事网络安全职业。该法案要求美网络安全和基础设施安全局(CISA)制定一项计划,扩大现有的教育和外展活动,并向不同的受众人群拓展网络安全职业。法案授权国土安全部在2030年之前每年拨款2000万美元,用于实施该计划。此外,该法案还要求CISA每年向国会报告该计划的有效性。美民主党众议员布朗表示,有数十万个高薪的美国网络安全工作岗位需要填补,需要鼓励更多人在不断发展的领域工作来满足这一需求。
04 | 俄批准长期技术发展法案
俄政府已批准经济发展部提出的《俄罗斯技术政策法案》。该法案由总统与工业和贸易部、教育和科学部共同制定,旨在实现总统在联邦议会致辞中设定的目标。法案的重点是未来10-15年的技术发展长期规划,统一从研究到产品交付的术语和方法,并定义了技术政策、技术主权、高科技产品、关键和端到端技术、合格客户等重要概念。经济发展部部长马克西姆·列舍特尼科夫(Maxim Reshetnikov)宣布,将建立专有技术开发全周期管理体系,包括概念框架、技术分类器、数字孪生等,以协调各行业的技术发展计划。政府的主要目标是创造有竞争力的国内高科技产品。通过这项新法案,俄政府强调了技术政策在国家发展中的重要性,并采取了一系列措施来推动技术创新和产业升级,以提高国内高科技产品的竞争力。
二、网络行动
01 | 美网军公布2023年在赞比亚执行“前出狩猎”任务
5月22日,美网络司令部(CyberCom)主要数字作战组织宣布,于2023年首次向赞比亚部署了防御作战人员团队,执行了“前出狩猎”任务。网络国家任务部队(CNMF)的成员与赞比亚信息通信技术局合作了约三个月,旨在识别网络漏洞和搜索恶意网络活动。此次合作帮助赞比亚查明并修复了网络中的特定漏洞,改进网络防御。这是美国网络司令部自2018年以来“前出狩猎”任务的一部分,其目的是在对手攻击前识别外国系统中的弱点并提前通知对方策略。美国驻赞比亚大使表示,这一网络安全部署将两国合作拓展到了新的层面。
02 | 美网络司令部与DARPA联合加快先进网络战研究
NextGov网站5月21日报道称,继2022年10月启动“星座”试点计划后,美网络司令部(CyberCom)和美国防部高级研究计划局(DARPA)5月签署了一份具有约束力的备忘录。该备忘录明确了将网络技术“从实验室转移到网络战场”所需的预算、角色和治理结构,为加快美国防部先进网络软件技术的研发开辟了必要的途径。美国防部表示,此次合作将加快落实“星座”计划,推进加速新兴网络能力的采用,提高美国网络司令部、国防部乃至整个国家的网络安全。这将提供一个以用户导向、增量式和迭代为特征的渠道,以加速高风险、高回报的网络技术能力的创建、验证、采用和交付。“星座”计划有助于培养从研究到作战的敏捷流程,解决美国防部在开发软件系统时面临的挑战,促进网络技术跨越原型转变为作战能力的技术。
03 | 美国民警卫队举行2024年度“网络扬基”演习
5月6日至17日,美国民警卫队举行了2024年度“网络扬基”演习(Cyber Yankee 2024)。“网络扬基”演习是美国民警卫队的年度战术级防御性网络作战(DCO)演习,旨在评估美政府对涉及关键基础设施和关键资源的重大网络事件的响应能力。此次演习的参演人员主要来自美国地方、州和联邦政府以及美国军队现役和预备役部队、私营企业。值得注意的是,美国太空军成员及“国家合作伙伴计划”参与国(以色列、日本、肯尼亚、乌拉圭等)首次参加了此次演习。此次年度演习模拟了来自未知行为者针对新英格兰各州关键基础设施发起的网络攻击,涉及运营技术和工业控制系统。这有助于促进美国民警卫队与公用事业公司建立信任关系,为公用事业公司了解国民警卫队职责任务奠定基础,并让国民警卫队了解相关“网络禁区”。
04 | 美国土安全部四年内广泛收集150万移民DNA数据
根据乔治城隐私与技术法律中心的研究,美国土安全部(DHS)在过去四年中收集了超过150万移民的DNA数据,并将其存储在刑事调查数据库中。研究发现,许多移民在未经允许的情况下被采集DNA,且DNA的无限期存储可能导致隐私和宪法问题。自2020年特朗普政府规定强制收集所有被拘留移民的DNA以来,收集的DNA样本数量激增了50倍。此外,DNA收集计划不仅限于试图入境的移民,也适用于几乎任何环境下被拘留的移民,包括在边境检查站或机场被拦截的人。
05 | CISA网络安全执行助理主任将易主
Govinfo Security网站5月23日报道,前白宫网络安全官员杰夫·格林(Jeff Greene)将于6月初加入美网络安全和基础设施安全局(CISA),接替即将离任的埃里克·戈德斯坦(Eric Goldstein),担任网络安全执行助理主任。格林目前是阿斯彭研究所网络安全项目的高级主管,并曾在国家安全委员会(NSC)和美国家标准与技术研究所(NIST)担任重要职务。CISA主任Jen Easterly赞扬了Goldstein在任期间对机构运营协作和网络风险检测能力的重大贡献。格林的加入被视为CISA加强网络安全防御能力的重要一步。
三、智能快讯
01 | 欧洲理事会批准《人工智能法案》
5月21日,欧洲理事会最终批准了《人工智能法案》。作为全球首部全面的人工智能法规,该法案可能为人工智能监管制定全球标准。《人工智能法案》旨在促进欧盟单一市场内安全可信的人工智能系统的开发和采用,包括私营部门和公共部门的应用,保障欧盟公民的基本权利,并鼓励全欧洲在人工智能领域的投资和创新。法案主要内容包括:人工智能系统的风险分类;通用人工智能(GPAI)模型;人工智能的治理执行及处罚;以及人工智能透明度和基本权力保护。然而,该法案仅适用于欧盟管辖范围内的领域,军事、国防和研究用途除外。欧洲理事会主席米歇尔(Charles Michel)表示,通过《人工智能法案》,欧洲强调了在处理新技术时信任、透明度和问责制的重要性,同时确保这种快速变化的技术能够蓬勃发展并促进欧洲创新。
02 | 美NIST公布人工智能安全工作战略愿景
5月21日,美商务部发布了由美国家标准与技术研究院(NIST)下属的人工智能安全研究所(AI Safety Institute)的运营指南。新战略愿景旨在解决全球标准和测试指标缺失的问题,以有效评估人工智能系统的安全性。它希望通过为人工智能系统的开发、测试和验证制定指标来促进国际合作,并要求国家实验室和其他联邦机构参与其中。新战略愿景包含三个重点目标:推进人工智能安全科学;阐明、展示和传播人工智能安全实践;支持协调人工智能安全协议的机构和实体。战略愿景倡导的方法之一是在新兴系统中进行评估、A/B测试和红队工作,以评估各种安全威胁,从而确保AI系统在部署之前得到安全保护。
03 | 英政府高调资助人工智能安全研究并强化与美合作
5月22日,英国承诺提供850万英镑(1082万美元)的资金,用于资助新的人工智能安全研究,旨在应对包括深度伪造在内的网络威胁。英技术部长米歇尔·多内兰(Michelle Donelan)表示,研究资助将侧重于“系统性人工智能安全”,即了解如何更好地保护社会免受人工智能风险的影响并利用其好处。人工智能安全研究所主任克里斯托弗·萨默菲尔德(Christopher Summerfield)表示,新资金代表了人工智能在社会中安全部署的“重要一步”,需要仔细考虑如何调整基础设施和系统,以适应人工智能的快速融合。此外,英人工智能安全研究所宣布将在美旧金山设立新办事处,以加强人工智能监管的国际合作,促进知识交流并协调跨境监管工作。
04 | 专家警告科技巨头正在转移人工智能生存风险焦点
Securitylab网站5月26日报道称,物理科学家兼人工智能安全倡导者马克斯·泰格马克(Max Tegmark)警告,科技巨头正在分散人们对AI生存风险的注意力,并将AI的潜在风险与二战时期的核物理事件相提并论。泰格马克指出,当今能够通过图灵测试,并在交流沟通方面无法与人类区分的人工智能模型可能对算法控制构成威胁。尽管一些行业领袖开始发出警告,但国际科学界的关注点却从解决潜在安全威胁转向了制定监管规范。泰格马克呼吁政府采取行动,制定强制性安全标准以确保人工智能的安全性,政府的干预是实现安全人工智能的唯一途径。
四、关基防护
01 | 美证券机构要求发现数据违规后于30天内披露
5月15日,美证券交易委员会(SEC)通过修正案,要求机构在发现未经授权进行网络访问或使用客户数据后,于30天内通知受影响个人,详细说明事件、受损信息以及受影响者需采取的措施。修正案将对美证券市场的经纪交易商(包括融资门户)、投资公司、注册投资顾问和转账代理人具有约束力。SEC主席加里·盖斯勒(Gary Gensler)表示,数据泄露的性质、规模和影响已发生巨大变化,修正案将有助于保护客户的金融数据隐私。
02 | 超60%的网络安全设备缺陷被利用为零日漏洞
5月21日,根据Rapid7的最新报告,2023年超过60%的网络和安全设备中发现的漏洞被利用为零日漏洞,这表明攻击者擅长在补丁发布之前利用这些漏洞。零日漏洞引起的大规模泄露事件数量已超过已知漏洞的数量。这一趋势表明,零日攻击的利用已经从偶尔发生的事件转变为常态。近四分之一的广泛威胁来自精心策划的零日攻击,而超过三分之一的广泛利用漏洞出现在网络外围技术中。Rapid7观察到的事件中,有41%是由于面向互联网的系统(特别是VPN和虚拟桌面基础设施)缺失或未强制执行多重身份验证(MFA)造成的。同时,越来越多的安全市场开始转向闭环方式而非公开方式共享和利用漏洞。
03 | 关键基础设施老化问题激化网络威胁
5月22日,GHD Digital研究表明,关键基础设施系统正面临日益复杂的网络威胁,尤其是针对老化的运营技术(OT)系统中的漏洞。去年约90%的关键基础设施组织遭受了网络攻击,全球超过一半的关键基础设施供应商经历了试图控制和关闭其系统的事件。报告强调,许多组织缺乏必要的网络安全成熟度,导致关键基础设施脆弱。保护关键基础设施需要深入了解其运行的OT控制系统,并采用有针对性的方法来应对独特挑战。政府机构、基础设施运营商等需要优先考虑对OT安全的投资,包括漏洞评估、管理补丁和实施网络分段。组织可通过投资全面的网络安全意识和培训计划显著降低风险。实施强有力的访问控制措施和定期更新安全策略有助于限制违规机会。GHD Digital呼吁进行“变革性转变”,将技术、专业知识和协作结合起来,培养主动警惕的文化。GHD Digital表示,结构化且适应性强的网络安全操作模型(CSOM)对于管理和缓解威胁至关重要。
04 | 英提议强制报告勒索软件攻击并执行支付许可制度
Recorded Future News 5月21日报道称,英国官员提议对国内应对勒索软件攻击的方式进行重大改革。提案要求所有受害者向政府报告事件,并执行一项支付许可制度,该制度要求在支付赎金前需获得许可证,以消除黑客攻击的动机。提案旨在通过补充强制报告要求,帮助受害者了解其他选择。本次提案将纳入下月的公众咨询中。
编译:尚丹琦
审核:桂畅旎 周萌
分享网络安全知识 强化网络安全意识
欢迎关注《中国信息安全》杂志官方抖音号
《中国信息安全》杂志倾力推荐
“企业成长计划”
点击下图 了解详情