扫码订阅《中国信息安全》
邮发代号 2-786
征订热线:010-82341063
国际网安快讯
第30期
热点速览
01
NEWS
政策动态
5. 澳大利亚组织需提交关键基础设施风险管理年度报告
02
NEWS
网络行动
03
NEWS
智能快讯
一、政策动态
01 | 五眼联盟发布《检测活动目录泄露》指南
9月27日,五眼联盟国家的网络安全机构发布《检测和缓解活动目录(Active Directory)泄露》联合指南。该指南旨在帮助识别和缓解微软Active Directory泄露的威胁。指南指出,Active Directory易受到攻击,原因包括默认设置宽松、权限关系复杂、支持旧协议以及缺乏诊断安全问题的工具。攻击者可以利用这些弱点控制企业网络,可能导致大规模且昂贵的恢复和补救工作。为了降低入侵风险,组织应确保特权访问,并采用分层模型,如微软的企业访问模型。
02 | 四个欧盟国家签署美国主导的反间谍软件协议
9月22日,奥地利、爱沙尼亚、立陶宛和荷兰签署由美国领导的反间谍软件协议,从而使签署国增至21个。该协议旨在鼓励签署国采取多项措施来遏制间谍软件滥用,包括重申其对商业间谍软件信息共享计划的承诺,并禁止出口可能用于恶意网络活动的软件和技术。
03 | 美众议院通过《未来网络法案》成立6G特别工作组
9月25日,美众议院通过《未来网络法案》。该法案要求联邦通信委员会(FCC)召集行业领袖、公共利益团体和政府专家成立6G特别工作组。该工作组将围绕以下方面发布报告:标准制定机构在6G发展中的作用、6G技术的用途、6G供应链或网络安全等潜在威胁、跨部门协调和推动部署的建议。
04 | 美国土安全部斥资2.8亿美元支持地方网络安全
9月27日,美国土安全部(DHS)宣布将为2024财年的州和地方网络安全拨款计划(SLCGP)提供约2.8亿美元的资金。该计划旨在帮助州、地方和领土(SLT)政府降低网络风险并增强网络安全威胁的防御能力。网络安全和基础设施安全局(CISA)及联邦紧急事务管理局(FEMA)将负责进行资金分配,主要用于支持网络安全规划、人员招聘和关键服务改进。SLCGP计划在四年内提供约10亿美元资金支持SLT政府。国土安全部长强调,该计划将改进合作伙伴的技术工具及相关应用,以提高基础设施的安全性。CISA主任表示,此次拨款是对国家基础设施安全的投资,将帮助社区防御网络攻击。FEMA局长也承诺帮助合作伙伴应对网络安全威胁。资金申请者需满足特定的项目目标,包括制定治理结构、评估网络安全状况、实施安全保护措施和培训人员。
05 | 澳大利亚组织需提交关键基础设施风险管理年度报告
9月27日,澳大利亚网络和基础设施安全中心(CISC)提醒各责任实体注意,2023-24财年关键基础设施风险管理计划(CIRMP)年度报告的报告提交期限即将在最后一周截止。各组织需在2024年7月1日至9月28日之间提交报告。截至8月31日,CISC已收到涵盖137项资产的53份年度报告。其中,能源和卫生部门提交了大部分报告,分别占47%和19%。CISC表示,机构明确了更多关于网络安全框架和安全框架的具体问题,并推出检查组织网络韧性的工具。
二、网络行动
01 | 美总统拜登与阿联酋总统会谈寻求科技合作
9月23日,美总统乔·拜登与赴美访问的阿拉伯联合酋长国总统谢赫·穆罕默德·本·扎耶德·阿勒纳哈扬在白宫举行会谈。这是阿联酋总统首次访问白宫,科技合作是双方此次会谈的重要内容之一。白宫称,双方将寻求建立更紧密的人工智能和科技关系,并讨论深化合作的领域,如先进技术、人工智能、投资和太空探索等。
02 | 美将禁止中、俄罗斯零部件用于联网车辆
9月23日,美国商务部工业与安全局(BIS)发布拟议规则,禁止进口或销售装有与中国或俄罗斯有关联的VCS硬件或软件的联网汽车。美国白宫国家安全顾问杰克·沙利文(Jake Sullivan)表示,美国已经与来自印度太平洋地区、欧洲和北美的十几个国家多次讨论了国家安全风险问题。其他欧盟及印太盟友出于国家安全考虑,也将采取类似措施,以提升汽车供应链的安全性。
03 | 美英澳三边安全伙伴关系将扩展更多新兴技术领域
9月26日,美英澳三边安全伙伴关系(AUKUS)正在考虑在其第二支柱能力范围内扩展更多新兴技术领域,以加速战略能力的发展。美国、英国和澳大利亚的防务领导人在英国伦敦举行的第三次部长级会议上讨论了包括网络、人工智能、量子技术在内的六个初始技术领域,以及后来增加的高超音速技术、电子战等。此外,会议讨论了如何最大化利用出口管制豁免来增强创新和工业合作,并消除信息和技术共享的障碍。
04 | 美司法部呼吁改进勒索软件应对策略
9月24日,美司法部(DoJ)监察长办公室(OIG)发布《审计司法部打击和应对勒索软件威胁和攻击的策略》报告。该报告评估了DOJ应对勒索软件威胁的战略,包括其协调和响应勒索软件攻击的措施。报告指出,该部门缺乏衡量成功打击勒索软件的影响力指标。监察长建议司法部改进这些指标,以更有效地衡量对抗勒索软件的行动,并确保联邦检察官理解并遵守打击勒索软件的相关政策。报告还指出,司法部需明确定义国家网络调查联合特遣队(NCIJTF)在勒索软件中的角色,以确保其对政府整体勒索软件应对的贡献是有意义和有效的。
05 | 微软更新“安全未来计划”以强化六大安全支柱
9月24日,微软公司更新“安全未来计划”(SFI),旨在提升微软、其客户及更广泛行业的网络安全措施。自2023年11月启动以来,该计划已扩展至六个核心安全支柱。微软投入了相当于34,000名全职工程师的资源,使其成为历史上“最大规模的网络安全工程之一”。计划的新进展包括成立网络安全治理委员会、提供安全技能培训、改进身份验证服务和应用程序管理、优化物理资产管理、强化生产流程和安全审计日志、提高对云漏洞的响应速度。微软致力于不断改进其网络安全战略,支持美网络安全和基础设施安全局(CISA)的“安全设计”承诺,并整合美网络安全审查委员会(CSRB)的建议以提升安全框架。
三、智能快讯
01 | 美政府与八家科技巨头发起“全球人工智能包容性伙伴关系”
9月23日,美国务卿安东尼·布林肯(Antony Blinken)在纽约联合国大会第七十九届会议期间发起了“全球人工智能包容性伙伴关系”(PGIAI),并宣布了其他旨在利用人工智能的快速发展推动全球可持续发展的倡议。PGIAI汇集美国国务院、亚马逊、Anthropic、谷歌、IBM、Meta、微软、英伟达和OpenAI等科技企业与机构。美国务院表示,有效和公平的人工智能解决方案必须植根于对所服务地区的不同文化、语言和传统的理解和尊重。为此,PGIAI将重点关注三个领域,包括:增加对人工智能模型、计算信用和其他人工智能工具的访问;培养人员的技术能力;扩大本地数据集。
02 | 美DARPA将与加拿大、英国防部合作开展人工智能和网络安全研发项目
9月20日,美国防部高级研究计划局(DARPA)将与加拿大和英国防部合作,共同研究、开发、测试和评估人工智能工具、网络安全系统和信息技术。这些合作旨在降低技术风险,加速新功能向作战用途的转变。目前,三边合作伙伴关系正开展的项目之一包括安全测试和学习环境网络代理计划(CASTLE)。该项目旨在训练人工智能自主防御网络,以应对持续的网络威胁。此外,其他合作还包括开发值得信赖的人工智能工具和推进快速软件认证等。
03 | 美众议院通过《人工智能事件报告和安全增强法案》
9月26日,美众议院科学、空间与技术委员会批准《人工智能事件报告和安全增强法案》,要求美国家标准与技术研究院(NIST)将人工智能系统纳入国家漏洞数据库。该两党法案要求NIST更新国家漏洞数据库,以反映人工智能系统的漏洞,并研究自愿报告人工智能安全和安保事件的必要性。该法案还要求NIST与美国网络安全与基础设施安全局(CISA)等利益相关者合作,为人工智能安全事件建立通用定义、术语和标准化报告规则。
04 | 美联邦机构发布遵守白宫人工智能治理备忘录的计划
9月26日,美政府各联邦机构发布了遵守美国白宫管理和预算办公室(OMB)关于人工智能治理备忘录的计划。根据OMB最终确定的M-24-10备忘录,各机构需在180天内提交合规计划,内容涉及更新的内部政策、收集人工智能使用案例信息、消除负责任地使用人工智能工具的障碍以及判断某项使用是否会影响权利或安全等措施。截至9月24日,各联邦机构被要求在其网站上公开初始合规计划,或发布声明表明其机构未使用或预计不使用备忘录中涉及的任何人工智能技术。美国联邦机构发布的这些计划将每两年更新一次,直至2036年。
05 | 欧盟公布《人工智能公约》首批签署方名单
9月25日,已有超过100家公司成为《人工智能法案》的首批签署方,包括OpenAI及跨国公司和欧洲中小企业(SMEs),涵盖IT、电信、医疗保健、银行、汽车和航空等多个领域。然而,此次公约并未得到苹果、英伟达、Meta等科技巨头以及一些知名的人工智能初创公司积极响应。协议签署者将合作分享合规最佳实践,并在高风险系统和人工智能生成内容标记等领域提高透明度。该法案支持行业自愿承诺在《人工智能法案》生效前开始应用其原则,并加强欧盟人工智能办公室与所有相关利益攸关方(包括行业、民间社会和学术界)之间的合作。
06 | 美OpenAI发布大规模多任务语言理解数据集
9月23日,美OpenAI公司发布了多语言大规模多任务语言理解(MMLU)数据集。该数据集用于评估阿拉伯语、德语、斯瓦希里语、孟加拉语和约鲁巴语等14种语言的语言模型的性能。这项新评估以流行的大规模多任务语言理解(MMLU)基准为基础。该基准测试了人工智能系统在从数学到法律和计算机科学的57个学科领域的知识,但仅限于英语。OpenAI将多种语言纳入新的多语言评估,有助于提高人工智能模型对于多种语言的适配能力,促进人工智能技术面向不同语种人群的推广。
07 | 微软将在墨西哥投资13亿美元开发云计算和人工智能
9月24日,美国微软公司将在墨西哥投资13亿美元开发云计算和人工智能。微软表示,投资将用于改善连通性和促进中小企业采用人工智能技术,计划在3年内覆盖500万墨西哥人口和30000家当地中小企业。微软董事长兼首席执行官萨蒂亚·纳德拉(Satya Nadella)表示,人工智能将为包括墨西哥在内的每个角色、行业和国家创造包容性经济增长和机遇。
08 | 美微软、黑石等公司宣布多项人工智能与数据中心投资计划
9月26日,美国微软、黑石和Alphabet等公司分别宣布了多项人工智能与数据中心投资计划。微软公司承诺将在巴西投资27亿美元于云计算基础设施和人工智能,并在未来3年内为约500万人提供人工智能培训。黑石公司将投资100亿英镑,在英格兰东北部建立一个人工智能数据中心,预计将创造4000个就业岗位。Alphabet公司计划投资33亿美元,在美国南卡罗来纳州建设两个新的数据中心。
分享网络安全知识 强化网络安全意识
欢迎关注《中国信息安全》杂志官方抖音号
《中国信息安全》杂志倾力推荐
“企业成长计划”
点击下图 了解详情