網安智庫|國內外最新網絡安全發展態勢
事件概覽:
1.天津國資要求市屬企業信息系統遷至“國資云”
2.中方發起“中非攜手構建網絡空間命運共同體倡議”
3.國家網信辦:企業無論在哪上市,必須確保國家網絡安全
4.美國和新加坡擴大金融、國防領域網絡安全合作
5.美國防部將成立零信任管理團隊
6.美國政府召集峰會發出改善國家網絡安全“行動呼吁”
7.諾基亞子公司遭遇勒索軟件攻擊
8.美國空軍研究實驗室開展軍用飛機網絡保護研究
9.FBI發布“1%”勒索軟件警告
10.美網絡部隊將啟用新型網絡作戰平臺
11.美國防部選擇英特爾在其國內制造芯片
12.IT、醫療保健和制造業是網絡攻擊的首要目標
13.美國國防高級研究計劃局發布人工智能探索新計劃。
國內:
01、天津國資要求市屬企業信息系統遷至“國資云”
8月27日,一份抬頭為天津市人民政府國有資產監督管理委員會下發紅頭文件《關于加快推進國企上云工作完善國資云體系建設的實施方案》引發廣泛關注。文件要求已經在華為云、阿里云、騰訊云、天翼云等第三方公有云平臺上部署建立信息系統的企業,與上述云廠商的合作租約到期日起2個月內全部遷移至國資云。
除了數據遷移要求外,文件還強調了數據中心等級保護要求,構建安全防護體系。總之,一切皆是基于數據安全考慮,強化對黨政軍及國的數據的監管力度。
02、中方發起“中非攜手構建網絡空間命運共同體倡議”
8月24日,以“共謀發展,共享安全,攜手構建網絡空間命運共同體”為主題的中非互聯網發展與合作論壇以視頻連線方式舉辦。論壇由中國國家互聯網信息辦公室主辦,來自14個非洲國家及非盟委員會的代表出席論壇。中國國家互聯網信息辦公室主任莊榮文在論壇開幕式致辭中提出中方發起“中非攜手構建網絡空間命運共同體倡議”。現將“中非攜手構建網絡空間命運共同體倡議”全文發布如下:
中非攜手構建網絡空間命運共同體倡議
2015年,中國國家主席習近平在第二屆世界互聯網大會提出“四項原則”“五點主張”,倡導維護網絡空間和平與安全,尊重網絡主權,推動構建網絡空間命運共同體,為全球互聯網發展治理貢獻了中國智慧、中國方案。當前時代背景下,構建網絡空間命運共同體的重要性和緊迫性更加凸顯。中方呼吁,中國與非洲國家政府、互聯網企業、技術社群、社會組織和公民個人堅持共商共建共享的全球治理觀,秉持“發展共同推進、安全共同維護、治理共同參與、成果共同分享”的理念,把網絡空間建設成為發展共同體、安全共同體、責任共同體、利益共同體。為此,中方提出以下倡議,歡迎非洲國家支持和參與:
(1)發展共同推進
提升互聯網接入水平,促進互聯互通。推動在光纜骨干網、國際海纜等通信基礎設施領域開展合作,在尊重各國網絡主權、尊重各國網絡政策的前提下,探索以可接受的方式擴大互聯網接入和連接,讓更多發展中國家和人民共享互聯網帶來的發展機遇。
推進信息基礎設施建設。攜手提升信息基礎設施建設、運營與服務水平。支持5G、物聯網、工業互聯網建設、應用和發展,打造新的經濟增長動能,助力經濟恢復與發展。
利用信息通信技術提升公共服務水平。推動利用數字技術應對疫情、自然災害等突發公共事件的經驗分享與合作,支持非洲國家建設“智慧城市”,提升電子政務、在線教育水平。
促進數字產業融合與經濟轉型升級。鼓勵數字技術與傳統產業融合發展,提升數字化、網絡化、智能化水平,促進經濟轉型升級。
(2)安全共同維護
增強網絡空間戰略互信。鼓勵開展區域、多邊、雙邊與多方等各層級的合作與對話,共同維護網絡空間和平與穩定,增進各國之間戰略互信,反對網絡攻擊、網絡威懾與訛詐,反對利用信息技術從事危害他國安全和社會公共利益的行為,防止網絡空間軍備競賽,營造和平的發展環境,防止技術議題政治化。
加強關鍵信息基礎設施保護。加強在預警防范、信息共享、應急響應等方面的合作,積極開展關鍵信息基礎設施保護的經驗交流。反對利用信息技術破壞他國關鍵信息基礎設施或竊取重要數據。
加強數據安全管理和個人信息保護。規范數據收集、存儲、使用、加工、傳輸、提供、公開、刪除等行為,保障個人信息權益,開展數據安全和個人信息保護及相關規則、標準的國際交流合作,推動符合《聯合國憲章》宗旨的個人信息保護規則標準國際互認。要求企業不得在信息技術設備中預設后門、惡意代碼等,不得利用提供產品、服務的便利條件竊取數據。中方歡迎非方支持和參與《全球數據安全倡議》。
深化打擊網絡犯罪、網絡恐怖主義國際合作。對網絡犯罪開展生態化、鏈條化打擊整治,進一步完善打擊網絡犯罪與網絡恐怖主義的機制建設。支持并積極參與聯合國打擊網絡犯罪全球性公約談判。有效協調各國立法和實踐,合力應對網絡犯罪和網絡恐怖主義威脅。
(3)治理共同參與
發揮聯合國在網絡空間國際治理中的主渠道作用。歡迎聯合國信息安全開放式工作組(OEWG)和政府專家組(GGE)達成報告,支持在聯合國框架下制定各方普遍接受的網絡空間負責任國家行為規則、準則和原則。
完善共享共治的國際治理機制。支持聯合國互聯網治理論壇(IGF)、世界互聯網大會(WIC)、世界移動大會(MWC)、國際電信聯盟(ITU)等平臺發揮積極作用,創設更多中非數字領域的合作平臺。
平等參與互聯網基礎資源管理。保障各國使用互聯網基礎資源的可用性和可靠性,推動國際社會共同管理和公平分配互聯網基礎資源。
推動網絡空間治理能力建設。搭建多渠道的交流平臺,深化中非數字創新領域人才交流合作,推動中非網信智庫對話交流,幫助非洲國家提升參與網絡空間治理的能力。
(4)成果共同分享
共享電子商務發展紅利。暢通貿易渠道,開展電子商務合作,助力非洲高質量產品進入中國市場。
讓中小微企業更多從數字經濟發展中分享機遇。幫助中小微企業利用新一代信息技術促進產品、服務、流程、組織和商業模式的創新,增加就業機會,積極融入全球價值鏈。
加強對弱勢群體的支持和幫助,不讓一個人掉隊。推動互聯網助力精準扶貧的經驗交流與分享,促進中非數字減貧合作。鼓勵開發適合老年人、殘疾人、婦女、兒童使用的產品和服務,提高弱勢群體的數字技能,促進公眾數字素養的普及和提升。
為落實聯合國2030可持續發展議程作出積極貢獻。呼吁各國重視發展中國家關切,彌合數字鴻溝,通過信息通信技術促進持久、包容和可持續的經濟增長和社會發展。
互聯網是人類共同的家園,我們愿同非洲國家一道,把握機遇,迎接挑戰,攜手構建更加緊密的網絡空間命運共同體,共同開創人類更加美好的未來。
03、國家網信辦:企業無論在哪上市,必須確保國家網絡安全
國務院新聞辦公室8月24日舉行國務院政策例行吹風會,介紹《關鍵信息基礎設施安全保護條例》(以下簡稱《條例》)有關情況,并回應了重要數據出境監管、《條例》對外貿以及境外上市計劃的影響等問題。
關于《條例》對外貿以及境外上市計劃有何影響的問題,國家互聯網信息辦公室副主任盛榮華強調,堅持對外開放政策是我們國家的一項基本國策,《條例》并不是針對外貿以及境外上市而出臺的,《條例》是圍繞保障關鍵信息基礎設施安全,維護網絡安全。
“長期以來,我們積極支持網信企業依法依規融資發展。”盛榮華表示,無論是哪種類型的企業,無論在哪里上市,兩條是必須符合的:一是必須符合國家的法律法規。二是必須確保國家的網絡安全、關鍵信息基礎設施的安全、個人信息保護的安全等,“符合這兩條就不受影響,不符合這兩條就一定會受影響。”
針對關鍵信息基礎設施中的重要數據出境監管問題,國家互聯網信息辦公室網絡安全協調局局長孫蔚敏表示,《中華人民共和國網絡安全法》第37條規定,關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據應當在境內存儲。因業務需要確需向境外提供的,應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估;法律、行政法規另有規定的,依照其規定。
孫蔚敏介紹,今年以來,新出臺的《中華人民共和國數據安全法》《中華人民共和國個人信息保護法》對關鍵信息基礎設施涉及的個人信息和重要數據出境制度作出了延續性規定。其中,《中華人民共和國數據安全法》第31條規定“關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的重要數據的出境安全管理,適用《中華人民共和國網絡安全法》的規定”;《中華人民共和國個人信息保護法》第40條規定“關鍵信息基礎設施運營者和處理個人信息達到國家網信部門規定數量的個人信息處理者,應當將在中華人民共和國境內收集和產生的個人信息存儲在境內。確需向境外提供的,應當通過國家網信部門組織的安全評估;法律、行政法規和國家網信部門規定可以不進行安全評估的,從其規定”。
據了解,《條例》共六章51條,主要包括六個方面的內容:一是明確了關鍵信息基礎設施范圍和保護工作的原則目標。二是明確了監督管理體制。三是完善了關鍵信息基礎設施認定機制。四是明確了運營者的責任義務。五是明確了保障和促進措施。六是明確了各方面的法律責任。
國外
01、美國和新加坡擴大金融、國防領域網絡安全合作
白宮當地時間8月23日宣布,美國和新加坡宣布了包括加強信息共享、研究和培訓在內的三項協議,以擴大合作范圍,解決全球網絡安全問題。美國與新加坡簽訂的三個網絡安全合作協議面向金融、網絡戰和地區性能力建設三個領域,分別由美國財政部、國防部和國土安全部網絡安全與基礎設施安全局牽頭落實,其中:
●美國財政部與新加坡金融管理局簽署的雙邊網絡安全合作備忘錄,將聚焦實現兩國就金融市場網絡威脅的信息共享,提升兩國金融領域應對網絡風險的能力。
●美國國防部與新加坡國防部簽署的雙邊網絡合作備忘錄,將聚焦先進網絡安全信息共享、網絡威脅情報交換、合成網絡對抗演練及其他形式的網絡戰相關合作活動。
●美國國土安全部網絡安全與基礎設施安全局與新加坡網絡安全局簽訂的雙邊合作備忘錄,將聚焦加強網絡威脅信息及防范措施的共享,深化網絡攻擊事件響應合作,以及共同推動在東南亞地區的網絡安全能力建設。
02、美國防部將成立零信任管理團隊
8月25日,美國防部代理首席信息官約翰·謝爾曼(John Sherman)宣布,國防部將在2021年第三季度成立零信任安全項目辦公室,以統籌管理國防部零信任架構相關項目和實踐工作。該辦公室未來將由國防部副首席信息官戴夫·麥克歐文(Dave Mckeown)領導,美國國防信息系統局(DISA)也將在辦公室籌辦及運作過程中發揮關鍵作用。
國防信息系統局近日已向行業廠商征集針對其零信任架構項目“雷電堡壘”(Thunderdome)的原型、研發及測試建議,并計劃根據行業廠商的反饋選擇助其建設零信任工具、系統和能力的合作伙伴。與此同時,美國防部也啟動了零信任相關的若干企業級“身份識別憑證、訪問管理(ICAM)”試點項目,內部用戶正陸續向首席信息官辦公室反饋使用意見。
謝爾曼表示,成立管理團隊是國防部的優先事項,另一個網絡安全優先事項是發展國防部網絡人才,將實施網絡勞動力戰略,通過招聘、留住、培訓網絡人才來擴充人才隊伍。
03、美國政府召集峰會發出改善國家網絡安全“行動呼吁”
美國白宮2021年8月25日發布簡訊,拜登與私營企業、教育部門舉行網絡安全峰會,旨在提高政府、關鍵基礎設施和私營部門的網絡安全標準。
白宮稱,近期的網絡安全攻擊事件表明美國公私實體都遭遇著越來越多復雜的惡意網絡活動。本次與會者主要為蘋果、谷歌、微軟等網絡公司巨頭,以及教育界人士。本次網絡安全會議上,各方討論了如何通過合作和個人方式加強國家網絡安全,主要圍繞完善技術供應鏈、網絡人才培訓與網絡保險三個主要議題展開。
(1)完善技術供應鏈
美國國家標準和技術研究所(NIST):拜登宣布NIST將與產業界和其他合作者協作建立增強技術供應鏈安全和完整性的新框架。該框架將作為公私實體構建安全技術和評估技術安全的指南,其中包括開源軟件。微軟、谷歌、IBM等都將參與該項目。
電力實體:拜登正式宣布工控系統網絡安全計劃(Industrial Control Systems Cybersecurity Initiative)擴展到天然氣管道行業。該計劃已經改善了超過150個電力實體的網絡安全。
蘋果:蘋果公司宣布成立新項目,通過技術供應鏈來推動持續的安全改進。在該項目中,蘋果公司將與包括美國的9000個供應商在內的供應商合作推動多因子認證、認證、安全培訓、漏洞修復、事件日志、應急響應等的大規模采用。
谷歌:谷歌宣布在未來5年投資100億美元擴展零信任項目、確保供應鏈安全、增強開源安全。
微軟:微軟宣布將在未來5年投入200億美元以融入網絡安全設計和交付先進的網絡安全解決方案。
(2)網絡人才培訓
谷歌:幫助10萬美國人獲得行業認可的數字技能認證,幫助其找到高薪、高增長力的工作。
IBM:在未來3年對15萬人進行網絡安全技能培訓,與超過20家大學、學院合作建立網絡安全領導力中心以培養更加多元化的網絡人才。
微軟:立刻在技術服務方面投入1500萬美元來幫助聯邦、州和當地政府升級安全保護,與社區學院和非盈利機構合作開展網絡安全培訓。
亞馬遜:將無償開放安全感知培訓課程,并向所有亞馬遜web服務賬戶所有者免費提供多因子認證設備以應對釣魚和密碼竊取這樣的網絡安全威脅。
Code.org公益組織:在未來3年向超過300萬學生提供網絡概念課程,教學生如何確保上網安全以及培養學生對網絡安全的興趣。
德克薩斯大學:擴大現有的網絡相關領域的課程以增強美國網絡安全人才培養。
沃特康社區學院:指定為美國國家科學基金委員會先進技術教育國家網絡安全中心,將會為教師提供網絡安全教育和培訓,并支持學生就業相關的項目。
(3)網絡保險
保險服務提供商Resilience:將要求滿足一定的網絡安全最佳實踐作為購買保險和獲得賠償的先決條件。
網絡保險服務提供商Coalition:將免費向所有組織開放其網絡安全威脅評估和持續監控平臺。
04、諾基亞子公司遭遇勒索軟件攻擊
近日,諾基亞子公司SAC Wireless遭遇勒索軟件Conti攻擊,勒索軟件運營者成功入侵其網絡,竊取了約250G數據并加密了系統。被盜數據包括個人姓名、出生日期、聯系方式、身份證號碼、工作信息等內容。
針對勒索軟件攻擊,SAC采取了多項措施來防止未來的攻擊行為,包括:更改了防火墻規則、斷開 VPN 連接、激活條件訪問地理位置策略以限制非美國訪問、提供額外的員工培訓、部署了額外的網絡和端點監控工具、擴展的多因素身份驗證、部署了額外的威脅搜尋和端點檢測和響應工具等。
05、美國空軍研究實驗室開展軍用飛機網絡保護研究
美國空軍研究實驗室授予博思艾倫漢密爾頓公司和鮑爾航空航天公司兩份價值2億美元、無限期交付、無限期數量的研究合同,以研究先進的網絡安全和數字工程,開發并集成下一代航空電子網絡安全工具和新的系統架構,旨在保護軍用飛機電子系統免受網絡攻擊和數字威脅。
該合同作為美國空軍研究實驗室敏捷和彈性平臺架構計劃之一,將研究網絡評估和測試工具、網絡加固技術、彈性網絡保護和開放系統架構等內容,使其應用于多樣化、有爭議的環境中運行的多種相關平臺,幫助空軍快速有效地增強作戰能力,以便在競爭激烈且不斷變化的環境中保持技術優勢。博思艾倫公司將在美國俄亥俄州比弗克里克市完成研究工作,而鮑爾航空公司將在俄亥俄州懷特帕特森空軍基地進行研發。
06、FBI發布“1%”勒索軟件警告
近日,美國聯邦調查局(FBI)發布了關于一個名為OnePercent Group(1%)的勒索軟件團伙的警告,該團伙自2020年11月以來一直在攻擊美國公司。
該團伙的電子郵件針對組織內部的個人使用社會工程技巧欺騙員工打開包含在附件ZIP文件中的惡意Word文檔。該釣魚郵件會在受害者的計算機上安裝一個名為IcedID的模塊化銀行木馬,可以在用戶嘗試訪問其在線銀行賬戶時竊取金融機構的登錄憑據,同時它還可以下載和投放其他惡意軟件。同時,IcedID可以下載滲透測試工具Cobalt Strike,為遠程黑客泄露敏感數據并將其加密在企業受害者的系統上提供了機會。
除了確保將防病毒產品配置為檢測已知OnePercent Group在攻擊和數據泄露期間使用的工具外,FBI提供了以下一些預防和緩解措施建議:
離線備份關鍵數據;
確保管理員沒有使用“管理員批準”模式;
如果可能,實施 Microsoft LAPS;
確保關鍵數據的副本位于云端或外部硬盤驅動器或存儲設備上。不應從受感染的網絡訪問此信息;
保護您的備份并確保無法從原始數據所在的系統訪問數據以進行修改或刪除;
保持計算機、設備和應用程序打補丁并保持最新狀態;
考慮為從組織外部收到的電子郵件添加電子郵件橫幅;
禁用未使用的遠程訪問/遠程桌面協議 (RDP) 端口并監控遠程訪問/RDP 日志;
審核具有管理權限的用戶帳戶,并以最低權限配置訪問控制;
實施網絡分段;
使用具有強密碼短語的多因素身份驗證。
07、美網絡部隊將啟用新型網絡作戰平臺
8月中旬,美陸軍計劃執行辦公室電子戰與網絡項目負責人烏特羅斯卡表示,陸軍正在為網絡司令部開發名為“聯合通用訪問平臺”(JCAP)的網絡作戰平臺,統一協調網絡部隊實施進攻性網絡行動。
將于2024財年交付的“聯合通用介入平臺”是美國軍方新一代網絡武器平臺的代表之一,該平臺交付后將替代美國網絡司令部當前使用的所有網絡對抗用基礎設施,并充當該司令部旗下網絡戰單位向敵方網絡目標“投射網絡火力”的首要網絡武器平臺。
美國國防部于2020年與ManTech公司簽署了價值2.65億美元的項目合同,由后者在三年半的項目執行期內支持該平臺的研發和交付。
08、美國防部選擇英特爾在其國內制造芯片
美國當地時間23日,英特爾官方表示,美國國防部通過“國家安全技術加速機構”(National Security Technology Accelerator, NSTXL) 給予英特爾一項服務合同。根據合同,英特爾將為美國國防部“快速保證微電子原型-商業計劃”(RAMP-C)第一階段提供商業晶圓代工服務。RAMP-C項目旨在強化在美商業半導體代工生態,以確保國防部關鍵系統隨時都可獲得先進技術提供商以及集成電路主商業化產品。
今年剛設立的英特爾晶圓代工服務部門(Intel Foundry Services)將發揮主導作用。英特爾晶圓代工服務部門將與IBM 、楷登電子(Cadence)、新思科技(Synopsys)及其他公司一起合作,在Intel 18A 的技術基礎上,開發制造測試芯片,來滿足美國防部的需求。
英特爾代工服務部門總裁Randhir Thakur在一份聲明中表示,RAMP-C計劃將使商業代工客戶和美國國防部都能利用英特爾在尖端工藝技術上的重大成果。
09、IT、醫療保健和制造業是網絡攻擊的首要目標
Avanan 宣布發布一份報告,該報告分析了當今的威脅格局、網絡釣魚媒介和基于行業的攻擊,將醫療保健和制造業列為今年上半年網絡攻擊的兩個首要目標。
網絡攻擊的主要行業目標
根據研究和分析,受攻擊最多的行業是 IT、醫療保健和制造業。IT 部門在一個月內發現了 9000 多封網絡釣魚電子郵件,平均總共收到 376914 封電子郵件;在平均 451792 封電子郵件中,醫療保健部門發現了 6000 多封網絡釣魚電子郵件;在平均 331184 封電子郵件中,制造業發現了不到 6000 封網絡釣魚電子郵件。
這些行業是最有針對性的,因為它們擁有從健康記錄到社會安全號碼的非常有價值的數據,再加上醫療保健和制造業往往使用過時的技術并且通常有非技術董事會。尤其是在醫療保健領域,該行業在很大程度上還沒有做好準備。盡管每個行業都受到攻擊,但擁有最多數據的行業面臨的風險最大。
網絡攻擊趨勢
由于威脅已經變得如此先進,因此需要人工智能來阻止傳統解決方案遺漏的大多數攻擊。如果不使用復雜的人工智能,51% 的攻擊將被錯過并到達最終用戶。
假冒和憑據收集攻擊仍然是主要的網絡釣魚媒介。憑證收集占所有網絡釣魚攻擊的 54%,與 2019 年相比增加了近 15%;20.7% 的網絡釣魚攻擊是商業電子郵件入侵 (BEC);并且只有 2.2% 的網絡釣魚攻擊是敲詐勒索。
黑客們開始瞄準更容易實現的目標,而不是 C 級高管。現在,所有冒充電子郵件中有 51.9% 試圖冒充組織中的非執行人員。事實上,非執行董事被攻擊的頻率高出 77%。
錯誤配置在網絡釣魚中扮演著越來越重要的角色。超過 8% 的網絡釣魚電子郵件最終進入用戶收件箱僅僅是因為允許或阻止列表配置錯誤,比去年增加了 5%,15.4% 的電子郵件攻擊在允許列表中。
最常用的策略是使用非標準字符和有限的發件人信譽。50.6% 的釣魚鏈接中使用了非標準字符,84.3% 的釣魚電子郵件在受害者中沒有顯著的歷史聲譽。
隨著醫療保健和教育受到最嚴重的打擊,網絡攻擊將繼續爆炸式增長,預測未來六個月對教育部門的攻擊將激增,秋季開學時將大幅增加。
此外,與COVID相關的網絡釣魚電子郵件將減少,而與辦公場所相關的網絡釣魚電子郵件將增加。隨著全球各地的員工重返辦公室,利用傳真、掃描儀、復印機等服務的網絡釣魚攻擊將激增,針對過去一年半處于休眠狀態的辦公室生活中使用的東西。
10、美國國防高級研究計劃局發布人工智能探索新計劃
美國國防高級研究計劃局 (DARPA) 近日發布了人工智能探索 (AIE) 新計劃。該計劃可使 DARPA 能夠資助開創性的人工智能研究,通過新的研發項目推動新型技術發展,為美國國家安全帶來改變游戲規則的新人工智能技術,幫助其取得技術優勢。DARPA目前計劃研究和開發“第三波”人工智能理論和應用,以解決第一波和第二波技術的局限性。該計劃包括兩個階段的快速項目,最終目標都是投資于研究并開發樣機,在該計劃將開展概念證明;項目演示試播;用于國防目的的商業技術新應用;技術或操作效用的創造、設計、開發、演示等樣機項目。
