重要事件回顧,智覽網(wǎng)安行業(yè)發(fā)展。近日國(guó)內(nèi)外網(wǎng)安行業(yè)發(fā)生了哪些重要事件,呈現(xiàn)出了怎樣的發(fā)展態(tài)勢(shì)呢?雜志社聯(lián)合中國(guó)網(wǎng)安科技情報(bào)研究團(tuán)隊(duì)將從行業(yè)大角度出發(fā),帶領(lǐng)大家回顧近日國(guó)內(nèi)外行業(yè)的重要事件,探究其中的發(fā)展態(tài)勢(shì)。
事件概覽:
1、移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序(APP)個(gè)人信息保護(hù)治理白皮書發(fā)布
2、 IDC發(fā)布《中國(guó)政府行業(yè)IT安全軟件市場(chǎng)份額報(bào)告》
3、騰訊迎來(lái)最嚴(yán)APP監(jiān)管!
4、英國(guó)戰(zhàn)略司令部發(fā)布《戰(zhàn)略司令部戰(zhàn)略》文件
5、CISA發(fā)布聯(lián)邦政府網(wǎng)絡(luò)安全事件和漏洞應(yīng)對(duì)行動(dòng)手冊(cè)
6、美NSA和CISA聯(lián)合發(fā)布《5G網(wǎng)絡(luò)云基礎(chǔ)設(shè)施安全指南》第I部分
7、歐盟加入《網(wǎng)絡(luò)空間信任與安全巴黎倡議》
8、澳大利亞投資人工智能技術(shù)研發(fā)以建設(shè)國(guó)防軍事能力
9、美國(guó)國(guó)會(huì)研究服務(wù)局向美國(guó)會(huì)提交《國(guó)防入門:美國(guó)關(guān)于致命性自主武器系統(tǒng)的政策》報(bào)告
10、美國(guó)司法部通過“民事網(wǎng)絡(luò)欺詐專項(xiàng)”強(qiáng)化針對(duì)美國(guó)聯(lián)邦政府承包商及資助接受方的網(wǎng)絡(luò)安全執(zhí)法力度
11、美英等國(guó)發(fā)出嚴(yán)重警告,微軟、Fortinet的漏洞正在被“濫用”
12、美國(guó)國(guó)會(huì)研究處發(fā)布《網(wǎng)絡(luò)安全:2012年至2021年網(wǎng)絡(luò)攻擊》的報(bào)告
13、Gartner發(fā)布當(dāng)前需關(guān)注的八大安全和風(fēng)險(xiǎn)趨勢(shì)
國(guó)內(nèi)
01
移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序(APP)個(gè)人信息保護(hù)治理白皮書發(fā)布
11月22日,在工業(yè)和信息化部指導(dǎo)下,中國(guó)信息通信研究院組織編寫了《移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序(APP)個(gè)人信息保護(hù)治理白皮書》(以下簡(jiǎn)稱“白皮書”)。
白皮書中內(nèi)容指出,從2012年開始到2021年,國(guó)家陸續(xù)推出并施行了《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》,意味著當(dāng)前國(guó)家關(guān)于個(gè)人信息保護(hù)法律制度的頂層設(shè)計(jì)基本形成,而在針對(duì)行業(yè)領(lǐng)域個(gè)人信息保護(hù)方面,相關(guān)管理規(guī)定也在積極的推進(jìn)過程之中。
白皮書顯示,在過去一段時(shí)間中依靠專項(xiàng)整治的方式,用戶權(quán)益保護(hù)明顯改善,截至目前已開展的21批次專項(xiàng)抽查中,累計(jì)通知了5406款應(yīng)用進(jìn)行整改,公開通報(bào)2049款整改不到位,有540款應(yīng)用被下架處置。
關(guān)于未來(lái)繼續(xù)縱深推進(jìn)APP個(gè)人信息保護(hù)治理工作方面,白皮書給出了一些建議。
(1)修訂完善部門規(guī)章和管理規(guī)定,如將《個(gè)人信息保護(hù)法》的制度要求轉(zhuǎn)化為各行業(yè)各領(lǐng)域的具體規(guī)則,同時(shí)加快出臺(tái)APP個(gè)人信息保護(hù)專門規(guī)則,推動(dòng)相關(guān)標(biāo)準(zhǔn)體系的持續(xù)完善,從而實(shí)現(xiàn)補(bǔ)齊短板,持續(xù)完善監(jiān)管制度依據(jù)的目的。
(2)需要加強(qiáng)協(xié)同,建立健全聯(lián)動(dòng)治理機(jī)制,包括各主管部門之間的協(xié)調(diào)治理機(jī)制、中央和地方建立部省聯(lián)動(dòng)治理機(jī)制以及專項(xiàng)治理與長(zhǎng)效治理結(jié)合治理機(jī)制,從而實(shí)現(xiàn)“全流程、全鏈條、全主體”監(jiān)管,有效提升行業(yè)領(lǐng)域個(gè)人信息保護(hù)監(jiān)管水平。
(3)要通過落實(shí)技術(shù)創(chuàng)新主體責(zé)任、優(yōu)化技術(shù)檢測(cè)平臺(tái)系統(tǒng)建設(shè)以及規(guī)范技術(shù)檢測(cè)工作流程的方式,充分發(fā)揮優(yōu)勢(shì),提升技術(shù)手段治理的效能。
(4)要形成政府、企業(yè)、相關(guān)社會(huì)組織、公眾共同參與個(gè)人信息保護(hù)的良好環(huán)境,形成多元共治的局面,推動(dòng)行業(yè)發(fā)展行穩(wěn)致遠(yuǎn)。
02
IDC發(fā)布《中國(guó)政府行業(yè)IT安全軟件市場(chǎng)份額報(bào)告》
北京,2021年11月25日—— 2020 年新冠疫情爆發(fā),全球各國(guó)都在努力控制疫情的同時(shí),經(jīng)濟(jì)活動(dòng)有所放緩。同時(shí),勒索軟件相關(guān)攻擊正在增加,攻擊者不但勒索贖金,并威脅公開竊取的數(shù)據(jù)。國(guó)家加快了安全相關(guān)法律法規(guī)的制定,驅(qū)動(dòng)和規(guī)范了政府企業(yè)安全相關(guān)的組織、人員、系統(tǒng)的建設(shè)。2020年IT安全的整體增長(zhǎng)率較2019年有所放緩,傳統(tǒng)網(wǎng)絡(luò)安全軟件如終端反病毒軟件、本地化身份認(rèn)證等產(chǎn)品在2020年的發(fā)展遭遇較大阻力。但在云市場(chǎng)的強(qiáng)力帶動(dòng)下,政府采用云上的安全軟件產(chǎn)品,如軟件安全網(wǎng)關(guān)(UTM、WAF等)、身份認(rèn)證和管理、主機(jī)安全等保持了高速發(fā)展態(tài)勢(shì)。
IDC認(rèn)為,在中國(guó)政府行業(yè)IT安全軟件市場(chǎng)主動(dòng)防御成為新重點(diǎn)。在傳統(tǒng)信息安全防御體系中,無(wú)論是信息安全硬件還是軟件,防御技術(shù)都已經(jīng)無(wú)法滿足各類新興網(wǎng)絡(luò)安全防護(hù)需求。面向信息系統(tǒng)應(yīng)用層的滲透攻擊,傳統(tǒng)防火墻束手無(wú)策;面向內(nèi)網(wǎng)的零日攻擊,殺毒軟件和數(shù)據(jù)防泄漏(DLP) 軟件無(wú)法識(shí)別;面向新型的大數(shù)據(jù)、云安全,傳統(tǒng)信息安全防御體系更是束手無(wú)策。傳統(tǒng)的被動(dòng)防御難以應(yīng)對(duì)全球數(shù)字化轉(zhuǎn)型趨勢(shì)下的網(wǎng)絡(luò)安全保障需求,各廠商積極構(gòu)建主動(dòng)安全防御體系,服務(wù)于各政府部門。
03
騰訊迎來(lái)最嚴(yán)APP監(jiān)管!
11月24日,一張顯示“騰訊主體下所有APP將暫停更新”的圖片在網(wǎng)絡(luò)上流傳。安全內(nèi)參關(guān)注到最新消息,工信部正在對(duì)騰訊采取過渡性的行政指導(dǎo)措施,要求其旗下所有APP需檢測(cè)合規(guī)后才可更新。
據(jù)中央廣播電視總臺(tái)央視記者從工信部了解到,今年以來(lái),在工信部開展的App侵害用戶權(quán)益專項(xiàng)整治中,騰訊公司旗下9款產(chǎn)品存在違規(guī)行為,共計(jì)4批次被公開通報(bào),違反了2021年信息通信業(yè)行風(fēng)糾風(fēng)相關(guān)要求。按照有關(guān)部署,工信部對(duì)騰訊公司采取過渡性的行政指導(dǎo)措施,要求對(duì)于即將發(fā)布的App新產(chǎn)品,以及既有App產(chǎn)品的更新版本,上架前需經(jīng)工信部組織技術(shù)檢測(cè),檢測(cè)合格后正常上架。
國(guó)外
01
英國(guó)戰(zhàn)略司令部發(fā)布《戰(zhàn)略司令部戰(zhàn)略》文件
11月22日,英國(guó)戰(zhàn)略司令部發(fā)布《戰(zhàn)略司令部戰(zhàn)略》文件,闡述了戰(zhàn)略司令部將采用綜合技術(shù)和以數(shù)據(jù)為核心的方法,整合作戰(zhàn)人員、裝備和相關(guān)信息,建立一支行動(dòng)敏捷和精確的綜合部隊(duì),以應(yīng)對(duì)多變復(fù)雜的未知環(huán)境。到2030年,基本形成應(yīng)對(duì)威脅變化所需的泛在敏捷防御能力,為國(guó)家戰(zhàn)略優(yōu)勢(shì)做出重大貢獻(xiàn)。通過持續(xù)的前沿部署、改進(jìn)網(wǎng)絡(luò)和先進(jìn)情報(bào)、監(jiān)視和偵察(ISR)能力實(shí)現(xiàn)實(shí)時(shí)態(tài)勢(shì)感知;利用改進(jìn)空間和網(wǎng)絡(luò)能力,通過可靠安全戰(zhàn)略通信進(jìn)行未來(lái)戰(zhàn)場(chǎng)協(xié)調(diào)、溝通和指揮。
02
CISA發(fā)布聯(lián)邦政府網(wǎng)絡(luò)安全事件和漏洞應(yīng)對(duì)行動(dòng)手冊(cè)
CisaGov網(wǎng)站11月16日消息,網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)發(fā)布了聯(lián)邦政府網(wǎng)絡(luò)安全事件和漏洞應(yīng)對(duì)行動(dòng)手冊(cè)。該手冊(cè)為聯(lián)邦民事機(jī)構(gòu)提供了一套標(biāo)準(zhǔn)程序,以應(yīng)對(duì)影響聯(lián)邦民事行政部門網(wǎng)絡(luò)的漏洞和事件。事件響應(yīng)手冊(cè)適用于已確認(rèn)的惡意網(wǎng)絡(luò)活動(dòng)的事件,以及已經(jīng)宣布或尚未合理排除的重大事件。漏洞應(yīng)對(duì)手冊(cè)適用于任何被觀察到的、被對(duì)手用來(lái)未經(jīng)授權(quán)進(jìn)入計(jì)算資源的漏洞。?該手冊(cè)建立在CISA的約束性操作指令22-01的基礎(chǔ)上,并規(guī)范了應(yīng)對(duì)這些對(duì)聯(lián)邦政府、私營(yíng)和公共部門構(gòu)成重大風(fēng)險(xiǎn)的漏洞時(shí)應(yīng)遵循的高級(jí)流程。CISA打算不僅為聯(lián)邦政府,而且為公共和私營(yíng)部門的實(shí)體加強(qiáng)網(wǎng)絡(luò)安全響應(yīng)實(shí)踐和操作程序。?這兩本手冊(cè)包含了事件響應(yīng)、事件響應(yīng)準(zhǔn)備和漏洞響應(yīng)的核對(duì)表,可適用于任何組織,以跟蹤必要的活動(dòng)完成情況。
03
美NSA和CISA聯(lián)合發(fā)布《5G網(wǎng)絡(luò)云基礎(chǔ)設(shè)施安全指南》第I部分
近日,美國(guó)國(guó)家安全局(NSA)和網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局(CISA)近期發(fā)布了《5G網(wǎng)絡(luò)云基礎(chǔ)設(shè)施安全指南第I部分:防止和檢測(cè)橫向移動(dòng)》(以下簡(jiǎn)稱“指南”)。
該指南圍繞零信任理念展開,主要面向參與構(gòu)建和配置5G云基礎(chǔ)設(shè)施的服務(wù)提供商和系統(tǒng)集成商,關(guān)注安全隔離網(wǎng)絡(luò)資源、數(shù)據(jù)保護(hù)以及確保云基礎(chǔ)架構(gòu)的完整性等重點(diǎn)問題,涉及包括云環(huán)境下的邊界加固防護(hù)、內(nèi)生安全、軟件安全、API安全等在內(nèi)的六大重點(diǎn)內(nèi)容:
(1)身份認(rèn)證和訪問管理
企業(yè)組織無(wú)論部署任何種類的訪問控制模型,虛擬機(jī)(VM)、容器或其他產(chǎn)品,其目的都是為了能夠充分緩解5G云環(huán)境中的漏洞和橫向移動(dòng)的威脅。從IAM的角度來(lái)看,統(tǒng)一身份認(rèn)證、最小訪問控制權(quán)限、多因素身份驗(yàn)證等基本的安全控制和實(shí)踐可以大有作為。企業(yè)組織可使用證書來(lái)實(shí)現(xiàn)傳輸層安全(mTLS)和證書鎖定,以驗(yàn)證證書持有者的身份。除此之外,借助日志記錄快速識(shí)別異常行為,并及時(shí)實(shí)施自動(dòng)修復(fù)功能也很重要。
(2)及時(shí)更新軟件
云環(huán)境復(fù)雜性強(qiáng)的原因之一是大量的軟件源,其中包括為5G云消費(fèi)者提供服務(wù)的開源和專有軟件。因此,5G云供應(yīng)商實(shí)施穩(wěn)健安全的軟件開發(fā)流程至關(guān)重要,例如建立NIST的安全軟件開發(fā)框架(SSDF)以及成熟的漏洞管理程序和操作流程。該漏洞管理程序應(yīng)包含所有公開已知的漏洞(無(wú)論是否有補(bǔ)丁)、零日漏洞,程序還應(yīng)具備補(bǔ)丁管理功能。
(3)安全的5G網(wǎng)絡(luò)配置
企業(yè)組織的云安全部署可能各不相同,并且有很多層,例如虛擬私有云(VPC)、主機(jī)、容器和Pod。因此建議企業(yè)組織根據(jù)資源敏感性的區(qū)別對(duì)資源進(jìn)行分組,并通過微分段限制爆炸半徑。
網(wǎng)絡(luò)配置和通信隔離是5G網(wǎng)絡(luò)環(huán)境下云安全防護(hù)的關(guān)鍵所在。由于云的多租戶性質(zhì)和軟件定義網(wǎng)絡(luò) (SDN) 的引入,需要一種新型的、可實(shí)現(xiàn)的、穩(wěn)定的安全防護(hù)方法。指南建議使用云原生功能(例如網(wǎng)絡(luò)訪問控制列表和防火墻規(guī)則)來(lái)正確限制網(wǎng)絡(luò)路徑,這對(duì)防止攻擊者在云環(huán)境中橫向移動(dòng)具有關(guān)鍵意義,因?yàn)椋绻粽咂茐牧藛蝹€(gè)VPC或子網(wǎng),這可以避免它成為攻擊者在云環(huán)境中繼續(xù)攻擊其他VPC和子網(wǎng)的樞紐點(diǎn)。
指南的其他建議還包括,通過防火墻的的默認(rèn)拒絕條款和出入站流量的訪問控制列表,以及通過使用服務(wù)網(wǎng)格來(lái)控制東西向流量。
(4)鎖定隔離網(wǎng)絡(luò)功能之間的通信
雖然5G云環(huán)境的網(wǎng)絡(luò)實(shí)施和架構(gòu)非常復(fù)雜,但還應(yīng)確保所有通信會(huì)話都經(jīng)過適當(dāng)授權(quán)和加密。如開篇所述,企業(yè)組織應(yīng)積極使用微分段,以最小化環(huán)境中任何特定網(wǎng)絡(luò)分段危害的“爆炸半徑”。
(5)監(jiān)測(cè)橫向移動(dòng)威脅
5G網(wǎng)絡(luò)環(huán)境下的云安全離不開適當(dāng)?shù)谋O(jiān)控、檢測(cè)、警報(bào)和補(bǔ)救措施,涉及監(jiān)控用戶行為異常和可疑網(wǎng)絡(luò)流量行為等活動(dòng),例如與已知錯(cuò)誤的外部地址通信。
(6)引入AI等新型技術(shù)
復(fù)雜且動(dòng)態(tài)的5G云環(huán)境需要使用增強(qiáng)的技術(shù)和功能來(lái)進(jìn)行安全防護(hù),以適應(yīng)5G活動(dòng)和遙測(cè)的規(guī)模,例如AI技術(shù)等。在許多復(fù)雜的云原生環(huán)境中,安全團(tuán)隊(duì)根本無(wú)法跟上活動(dòng)的范圍或規(guī)模。通過使用CSP和第三方功能,安全團(tuán)隊(duì)可憑借自動(dòng)化技術(shù)來(lái)速識(shí)別和限制惡意活動(dòng)。自動(dòng)化是實(shí)施零信任架構(gòu)的關(guān)鍵支柱,5G云安全也是如此。
04
歐盟加入《網(wǎng)絡(luò)空間信任與安全巴黎倡議》
11月11日,歐盟委員會(huì)主席馮德萊恩在巴黎和平論壇上發(fā)表講話,宣布?xì)W盟與其27個(gè)成員國(guó)一起加入《網(wǎng)絡(luò)空間信任與安全巴黎倡議》。在網(wǎng)絡(luò)安全方面,歐盟委員會(huì)已經(jīng)提議修訂歐洲網(wǎng)絡(luò)安全法,以加強(qiáng)對(duì)關(guān)鍵部門的網(wǎng)絡(luò)安全要求,并宣布了歐洲網(wǎng)絡(luò)彈性法案。在人工智能方面,歐盟的《人工智能法案》將專注于醫(yī)療、執(zhí)法或就業(yè)等高風(fēng)險(xiǎn)領(lǐng)域,并為歐盟市場(chǎng)上的產(chǎn)品設(shè)定標(biāo)準(zhǔn)。馮德萊恩主席在講話結(jié)束時(shí)呼吁對(duì)數(shù)字平臺(tái)負(fù)責(zé),以及歐盟在這方面正在采取的步驟。她強(qiáng)調(diào)如果大型平臺(tái)的算法傳播仇恨言論、非法內(nèi)容或虛假信息,那么這些算法必須做出改變。歐盟委員會(huì)已經(jīng)提出了《數(shù)字服務(wù)法案》,為歐盟成員國(guó)提供了監(jiān)管這一領(lǐng)域的工具。
05
澳大利亞投資人工智能技術(shù)研發(fā)以建設(shè)國(guó)防軍事能力
英國(guó)陸軍技術(shù)網(wǎng)站2021年11月18日?qǐng)?bào)道,澳大利亞政府宣布,澳大利亞國(guó)防創(chuàng)新中心將撥款727萬(wàn)美元用于支持新的人工智能技術(shù)研發(fā)。這項(xiàng)投資將擴(kuò)大澳國(guó)防軍的軍事能力,并支持新的“關(guān)鍵技術(shù)藍(lán)圖和行動(dòng)計(jì)劃” (11月17日由澳總理公布),旨在增加關(guān)鍵技術(shù)帶來(lái)的經(jīng)濟(jì)機(jī)會(huì)并應(yīng)對(duì)國(guó)家安全風(fēng)險(xiǎn)。人工智能已被澳大利亞政府列為關(guān)涉國(guó)家利益的九項(xiàng)關(guān)鍵技術(shù)之一,根據(jù)澳政府的關(guān)鍵技術(shù)計(jì)劃,澳國(guó)防工業(yè)部長(zhǎng)梅麗莎·普萊斯宣布了十項(xiàng)新的國(guó)防創(chuàng)新中心合同,這些合同將有助于開發(fā)新的人工智能技術(shù)。新的人工智能技術(shù)將通過使用澳國(guó)防部的情報(bào)任務(wù)數(shù)據(jù)來(lái)提高態(tài)勢(shì)感知能力,并通過智能化的虛擬現(xiàn)實(shí)來(lái)增強(qiáng)作戰(zhàn)人員的模擬、建模和培訓(xùn)來(lái)實(shí)現(xiàn),將改善澳軍的訓(xùn)練和作戰(zhàn)方式。吸引人工智能行業(yè)的企業(yè)與國(guó)防部門合作是實(shí)現(xiàn)這一目標(biāo)的重要舉措,本次授出的合同也將促進(jìn)澳大利亞企業(yè)的發(fā)展,幫助澳大利亞建立并強(qiáng)化技術(shù)主權(quán),使其能夠開發(fā)并將領(lǐng)先的人工智能技術(shù)整合到澳大利亞國(guó)防力量中。
06
美國(guó)國(guó)會(huì)研究服務(wù)局向美國(guó)會(huì)提交《國(guó)防入門:美國(guó)關(guān)于致命性自主武器系統(tǒng)的政策》報(bào)告
美國(guó)國(guó)會(huì)研究服務(wù)局2021年11月17日向國(guó)會(huì)提交《國(guó)防入門:美國(guó)關(guān)于致命自主武器系統(tǒng)政策》報(bào)告。報(bào)告認(rèn)為,致命自主武器系統(tǒng) (LAWS)是一類特殊的武器系統(tǒng),其使用傳感器套件和計(jì)算機(jī)算法來(lái)獨(dú)立識(shí)別目標(biāo),并使用機(jī)載武器系統(tǒng)來(lái)攻擊和摧毀目標(biāo),而無(wú)需人工控制系統(tǒng)。雖然致命自主武器系統(tǒng)還沒有得到廣泛的發(fā)展,但它們將能在傳統(tǒng)系統(tǒng)無(wú)法運(yùn)行的通信惡劣或被拒止的環(huán)境中進(jìn)行軍事行動(dòng)。
致命自主武器系統(tǒng)(致命自主武器系統(tǒng))是一類特殊的武器系統(tǒng),它使用傳感器套件和計(jì)算機(jī)算法自主識(shí)別目標(biāo),并使用機(jī)載武器系統(tǒng)攻擊和摧毀目標(biāo),無(wú)需人工控制系統(tǒng)。致命自主武器系統(tǒng)尚未得到廣泛開發(fā),但它們將能在傳統(tǒng)系統(tǒng)無(wú)法運(yùn)行的通信降級(jí)或被拒止的環(huán)境中進(jìn)行軍事行動(dòng)。
與許多新聞報(bào)道相反,美國(guó)的政策并未禁止開發(fā)或使用致命自主武器系統(tǒng)。美國(guó)目前的武器清單中尚無(wú)致命自主武器系統(tǒng),但一些高級(jí)軍事和國(guó)防領(lǐng)導(dǎo)人表示,如果美國(guó)的競(jìng)爭(zhēng)對(duì)手選擇開發(fā)或使用致命自主武器系統(tǒng),美國(guó)未來(lái)將被迫開發(fā)致命自主武器系統(tǒng)。與此同時(shí),越來(lái)越多的國(guó)家和非政府組織出于道德考慮,呼吁國(guó)際社會(huì)管制或禁止致命自主武器系統(tǒng)。自主武器技術(shù)的發(fā)展和國(guó)際法律討論可能對(duì)國(guó)會(huì)監(jiān)督、國(guó)防投資、軍事作戰(zhàn)概念、條約制定和戰(zhàn)爭(zhēng)未來(lái)產(chǎn)生影響。
07
美國(guó)司法部通過“民事網(wǎng)絡(luò)欺詐專項(xiàng)”強(qiáng)化針對(duì)美國(guó)聯(lián)邦政府承包商及資助接受方的網(wǎng)絡(luò)安全執(zhí)法力度
近日,美國(guó)司法部目前正在強(qiáng)化其針對(duì)美國(guó)聯(lián)邦政府承包商及資助接受方的網(wǎng)絡(luò)安全執(zhí)法力度——若這兩個(gè)從美國(guó)聯(lián)邦政府獲得資助的群體無(wú)法滿足美國(guó)政府網(wǎng)絡(luò)安全標(biāo)準(zhǔn)的要求,那么將面臨來(lái)自美國(guó)司法部依照美國(guó)《虛假陳述法案》所施加的嚴(yán)厲懲罰。這個(gè)專項(xiàng)行動(dòng)將由美國(guó)司法部民事部門商業(yè)訴訟分部(Commercial Litigation Branch)牽頭開展。
美國(guó)司法部副部長(zhǎng)麗莎。莫納克(Lisa Monaco)上月在一份聲明中指出,“虛假陳述法案”將是美國(guó)聯(lián)邦政府用于懲處涉及美國(guó)政府項(xiàng)目及運(yùn)作相關(guān)聯(lián)邦基金或財(cái)產(chǎn)之虛假陳述行為的主要法律工具,而“民事網(wǎng)絡(luò)欺詐專項(xiàng)”將讓那些“讓美國(guó)政府系統(tǒng)或信息陷于危險(xiǎn)境地”的實(shí)體或個(gè)人付出代價(jià);美國(guó)司法部目前已在“民事網(wǎng)絡(luò)欺詐專項(xiàng)”框架內(nèi)組織其網(wǎng)絡(luò)欺詐執(zhí)法、政府采購(gòu)及網(wǎng)絡(luò)安全三大領(lǐng)域的專業(yè)力量,以打擊試圖損害美國(guó)政府關(guān)鍵系統(tǒng)和敏感信息的“新型網(wǎng)絡(luò)威脅”;美國(guó)司法部將與美國(guó)聯(lián)邦政府其他機(jī)構(gòu)、領(lǐng)域?qū)<壹皥?zhí)法機(jī)構(gòu)密切配合,加強(qiáng)網(wǎng)絡(luò)安全執(zhí)法力度。
雖然美國(guó)司法部不會(huì)披露其當(dāng)前在“民事網(wǎng)絡(luò)欺詐專項(xiàng)”框架內(nèi)開展調(diào)查的案子數(shù)量,但行業(yè)人士認(rèn)為,美國(guó)司法部可能將著重調(diào)查以下三類網(wǎng)絡(luò)安全問題:
①故意提供存在缺陷的網(wǎng)絡(luò)安全產(chǎn)品或服務(wù);
②掩蓋其實(shí)施網(wǎng)絡(luò)安全建設(shè)的真實(shí)情況;
③瞞報(bào)網(wǎng)絡(luò)攻擊及入侵事件。
美國(guó)司法部啟動(dòng)“民事網(wǎng)絡(luò)欺詐專項(xiàng)”將迫使美國(guó)聯(lián)邦政府承包商及資助接受方加強(qiáng)網(wǎng)絡(luò)安全方面的合規(guī)建設(shè),雖然早在1863年就獲得通過的《虛假陳述法案》并不是一個(gè)新的合規(guī)要求;而這個(gè)專項(xiàng)與美國(guó)國(guó)防部現(xiàn)行之復(fù)雜網(wǎng)絡(luò)安全標(biāo)準(zhǔn)體系的疊加,也可能讓美國(guó)防務(wù)行業(yè)無(wú)所適從。
08
美英等國(guó)發(fā)出嚴(yán)重警告,微軟、Fortinet的漏洞正在被“濫用”
近日,美國(guó)、英國(guó)和澳大利亞等國(guó)的網(wǎng)絡(luò)安全機(jī)構(gòu)發(fā)布聯(lián)合聲明,稱疑似受伊朗政府資助的攻擊者,正在積極利用Fortinet和Microsoft Exchange ProxyShell的漏洞。攻擊者利用漏洞獲得受害者系統(tǒng)初始訪問權(quán)限后,開始竊取數(shù)據(jù)和部署勒索軟件。
據(jù)美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)、聯(lián)邦調(diào)查局(FBI)、澳大利亞網(wǎng)絡(luò)安全中心(ACSC)和英國(guó)國(guó)家網(wǎng)絡(luò)安全中心(NCSC)對(duì)受害網(wǎng)絡(luò)系統(tǒng)分析后稱,攻擊者利用的Fortinet FortiOS漏洞和影響微軟Exchange服務(wù)器的遠(yuǎn)程代碼執(zhí)行漏洞,可追溯到2021年3月。根據(jù)The Hacker News等媒體披露,遭受網(wǎng)絡(luò)攻擊的受害者眾多,其中受損嚴(yán)重的有澳大利亞的多家組織和美國(guó)多個(gè)關(guān)鍵基礎(chǔ)設(shè)施部門。
CISA和FBI等部門的網(wǎng)絡(luò)安全專家通過分析攻擊者近期活動(dòng),發(fā)現(xiàn)該組織異常活躍,不僅利用FortiOS 漏洞“訪問”易受攻擊的澳大利亞部分企業(yè)網(wǎng)絡(luò),早在2021年5月就已經(jīng)利用 Fortigate 設(shè)備漏洞,對(duì)美國(guó)市政府托管的網(wǎng)絡(luò)服務(wù)器展開了網(wǎng)絡(luò)攻擊。
為應(yīng)對(duì)攻擊者的持續(xù)性威脅,美國(guó)政府不得不第二次發(fā)布警告,提醒高級(jí)持續(xù)性威脅集團(tuán)正在利用CVE-2018-13379、CVE-2020-12812和CVE-2019-5591等漏洞破壞屬于政府和企業(yè)等實(shí)體的網(wǎng)絡(luò)系統(tǒng)。
09
美國(guó)國(guó)會(huì)研究處發(fā)布《網(wǎng)絡(luò)安全:2012年至2021年網(wǎng)絡(luò)攻擊》的報(bào)告
美國(guó)國(guó)會(huì)研究處(CRS)于2021年11月22日發(fā)布了題為《網(wǎng)絡(luò)安全:2012年至2021年網(wǎng)絡(luò)攻擊》的報(bào)告。該報(bào)告匯總了過去10年內(nèi)針對(duì)美國(guó)實(shí)體的重大網(wǎng)絡(luò)攻擊,并介紹了網(wǎng)絡(luò)攻擊的溯源信息和常見類型。該報(bào)告將美國(guó)遭受的網(wǎng)絡(luò)攻擊分為兩大類,其中包括23起出于國(guó)家利益而發(fā)起的網(wǎng)絡(luò)攻擊,以及30起出于個(gè)人利益而發(fā)起的網(wǎng)絡(luò)攻擊。
10
Gartner發(fā)布當(dāng)前需關(guān)注的八大安全和風(fēng)險(xiǎn)趨勢(shì)
隨著網(wǎng)絡(luò)安全和監(jiān)管合規(guī)成為企業(yè)董事會(huì)最關(guān)注的兩件事情,一些企業(yè)正在增加網(wǎng)絡(luò)安全專家來(lái)專門審核安全和風(fēng)險(xiǎn)問題。這只是我們的八大安全和風(fēng)險(xiǎn)趨勢(shì)之一,其中許多趨勢(shì)被最近的事件所推動(dòng),例如安全漏洞和持續(xù)的新冠疫情等。
今年的安全和風(fēng)險(xiǎn)趨勢(shì)突出了安全生態(tài)系統(tǒng)中正在進(jìn)行但尚未被廣泛認(rèn)可的戰(zhàn)略轉(zhuǎn)變。每一個(gè)趨勢(shì)都有望產(chǎn)生廣泛的行業(yè)影響和巨大的變革潛力。
趨勢(shì)一:網(wǎng)絡(luò)安全網(wǎng)格
網(wǎng)絡(luò)安全網(wǎng)格是一種使分布式企業(yè)能夠在最需要的地方部署和擴(kuò)展安全的現(xiàn)代化安全架構(gòu)概念方法。
新冠疫情在加速數(shù)字化業(yè)務(wù)的同時(shí),也加速了另一個(gè)趨勢(shì):許多數(shù)字資產(chǎn)和個(gè)人越來(lái)越多地位于傳統(tǒng)企業(yè)基礎(chǔ)設(shè)施之外。此外,網(wǎng)絡(luò)安全團(tuán)隊(duì)正在被要求保護(hù)無(wú)數(shù)種形式的數(shù)字化轉(zhuǎn)型和其他新技術(shù)。這就需要具有靈活性、敏捷性、可擴(kuò)展性和可組合性的安全選項(xiàng),這些安全選項(xiàng)將使企業(yè)能夠以安全的方式邁向未來(lái)。
趨勢(shì)二:精通網(wǎng)絡(luò)的董事會(huì)
隨著公共安全漏洞的增加和勒索軟件造成的業(yè)務(wù)中斷日益普遍,各企業(yè)機(jī)構(gòu)的董事會(huì)正愈加關(guān)注網(wǎng)絡(luò)安全問題。他們認(rèn)識(shí)到這已成為企業(yè)的一個(gè)巨大風(fēng)險(xiǎn)并正在組建專門專注于網(wǎng)絡(luò)安全事務(wù)的委員會(huì)。委員會(huì)通常由具有安全經(jīng)驗(yàn)的董事會(huì)成員(如前首席信息安全官[CISO])或第三方顧問領(lǐng)導(dǎo)。
這意味著首席信息安全官將受到更多的監(jiān)督和期望,同時(shí)獲得更多的支持和資源。應(yīng)做好改善溝通的準(zhǔn)備并預(yù)測(cè)到董事會(huì)因此提出更苛刻的問題。
趨勢(shì)三:廠商整合
當(dāng)今的安全現(xiàn)狀是安全領(lǐng)導(dǎo)人所擁有的工具過多。Gartner在2020年首席信息安全官效能調(diào)查中發(fā)現(xiàn),78%的首席信息安全官在他們的網(wǎng)絡(luò)安全廠商組合中擁有16個(gè)以上的工具;12%的首席信息安全官擁有46個(gè)以上的工具。安全廠商過多會(huì)導(dǎo)致安全運(yùn)行變得復(fù)雜并且安全人員人數(shù)增加。
大多數(shù)企業(yè)機(jī)構(gòu)認(rèn)識(shí)到,廠商整合是提高安全效率的途徑之一,80%的企業(yè)機(jī)構(gòu)正在執(zhí)行或?qū)@一戰(zhàn)略感興趣。大型安全廠商正通過整合得到更好的產(chǎn)品來(lái)應(yīng)對(duì)。但整合具有一定的難度,往往需要幾年時(shí)間才能推出。雖然一般情況下推動(dòng)這一趨勢(shì)的驅(qū)動(dòng)力是更低的成本,但所產(chǎn)生的結(jié)果往往是更加精簡(jiǎn)的運(yùn)行和更低的風(fēng)險(xiǎn)。
趨勢(shì)四:身份優(yōu)先安全
混合工作模式的日益盛行以及向云應(yīng)用的遷移鞏固了身份作為外圍的趨勢(shì)。身份優(yōu)先安全并不是一個(gè)新的概念,但隨著攻擊者開始以身份和訪問管理功能為目標(biāo)來(lái)獲得“沉默的持久性”,身份優(yōu)先安全又呈現(xiàn)出新的緊迫性。
濫用憑證現(xiàn)在已成為最常用的入侵技術(shù)。國(guó)家級(jí)攻擊者正在以動(dòng)態(tài)目錄和身份基礎(chǔ)設(shè)施為目標(biāo)并取得了驚人的成功。身份識(shí)別是在氣隙網(wǎng)絡(luò)之間實(shí)現(xiàn)橫向移動(dòng)的關(guān)鍵技術(shù)。多重認(rèn)證的使用正在增長(zhǎng),但它不是萬(wàn)能的。必須正確配置、維護(hù)和監(jiān)控身份基礎(chǔ)設(shè)施并給予高度重視。
趨勢(shì)五:管理機(jī)器身份已成為一項(xiàng)關(guān)鍵的安全功能
隨著數(shù)字化轉(zhuǎn)型的發(fā)展,構(gòu)成現(xiàn)代應(yīng)用的非人類實(shí)體數(shù)量出現(xiàn)了爆炸性增長(zhǎng)。因此,機(jī)器身份的管理已經(jīng)成為安全運(yùn)行的一個(gè)重要部分。
所有現(xiàn)代化應(yīng)用都是由通過API連接的服務(wù)所組成的。由于攻擊者可以利用供應(yīng)商API訪問關(guān)鍵數(shù)據(jù)來(lái)達(dá)到自己的目的,因此這些服務(wù)中的每一項(xiàng)都需要被認(rèn)證和監(jiān)控。全企業(yè)機(jī)器身份管理工具和技術(shù)仍在不斷涌現(xiàn)。一項(xiàng)能夠管理機(jī)器身份、證書和秘密的全企業(yè)戰(zhàn)略使您的企業(yè)機(jī)構(gòu)能夠更好地保護(hù)數(shù)字化轉(zhuǎn)型。
趨勢(shì)六:“遠(yuǎn)程辦公”成為工作常態(tài)
根據(jù)2021年Gartner首席信息官調(diào)查,64%的員工現(xiàn)在可以在家辦公,五分之二的員工實(shí)際上正在家中辦公。曾經(jīng)只有高管、高級(jí)職員和銷售才可以使用的工具現(xiàn)在已經(jīng)成為主流。向混合工作模式(或遠(yuǎn)程辦公模式)轉(zhuǎn)變是一個(gè)持久的趨勢(shì),超過75%的知識(shí)工作者期待未來(lái)在混合工作環(huán)境中工作。
從安全角度看,為了更好地減輕風(fēng)險(xiǎn),企業(yè)機(jī)構(gòu)需要完全重新定義政策和工具。
趨勢(shì)七:入侵和攻擊模擬
一個(gè)幫助企業(yè)機(jī)構(gòu)驗(yàn)證安全態(tài)勢(shì)的新市場(chǎng)正在出現(xiàn)。入侵和攻擊模擬(BAS)可以對(duì)安全控制進(jìn)行持續(xù)的測(cè)試和驗(yàn)證,并且能夠測(cè)試企業(yè)機(jī)構(gòu)應(yīng)對(duì)外部威脅的態(tài)勢(shì)。該工具還能進(jìn)行專項(xiàng)評(píng)估并突出顯示保密數(shù)據(jù)等高價(jià)值資產(chǎn)的風(fēng)險(xiǎn)。此外,BAS還提供使安全組織邁向成熟的培訓(xùn)。
趨勢(shì)八:增強(qiáng)隱私的計(jì)算技術(shù)
增強(qiáng)隱私的計(jì)算技術(shù)能夠在數(shù)據(jù)被使用時(shí),而不是在數(shù)據(jù)靜止或移動(dòng)時(shí)提供數(shù)據(jù)保護(hù),從而實(shí)現(xiàn)安全的數(shù)據(jù)處理、共享、跨境傳輸和分析,包括在不可信的環(huán)境中。
這項(xiàng)技術(shù)正在迅速?gòu)膶W(xué)術(shù)研究轉(zhuǎn)變?yōu)樘峁┱嬲齼r(jià)值的實(shí)際項(xiàng)目,不但實(shí)現(xiàn)了新形式的計(jì)算和共享,還減少了數(shù)據(jù)泄露風(fēng)險(xiǎn)。
