2023年第24周安全周报 | 本周安全要闻速

为了规范工业和信息化行政处罚程序，保障和监督工业和信息化管理部门依法实施行政管理，保护公民、法人或者其他组织的合法权益，根据《中华人民共和国行政处罚法》等法律、行政法规，工业和信息化部近日公布《工业和信息化行政处罚程序规定》，对现行《通信行政处罚程序规定》进行了修订。公民、法人或者其他组织违反工业和信息化行政管理秩序，依法应当给予行政处罚的，由工业和信息化管理部门依照《中华人民共和国行政处罚法》和本规定规定的程序实施。本规定将自2023年9月1日起施行，2001年5月10日公布的《通信行政处罚程序规定》同时废止。

瑞士政府本周在其门户网站上发布新闻稿警告称，瑞士联邦管理局的各个网站及其在线服务因遭遇持续的DDoS攻击导致访问中断。造成瑞士政府在线服务中断的原因是NoName发起的DDoS（分布式拒绝服务）攻击。“由于系统受到DDoS攻击，2023年6月12日星期一无法访问几个联邦管理局网站，”瑞士政府的声明中写道：“联邦管理局的专家很快注意到了这次攻击，并正在采取措施尽快恢复网站和应用程序的可访问性。”

卡尔斯鲁厄应用技术大学成为最新受到勒索软件攻击的德国大学。该事件于近期得到确认，学校通过紧急网站宣布其“整个IT基础设施”已经下线，其中包括学校电子邮件账户和电话系统。学校表示，几乎所有面向学生的设施和服务都遭到波及，超过6200名学生受到了影响。电脑机房，甚至图书馆都将“暂时关闭，具体开放时间另行通知”。学校还在官网向学生和员工发出警告，不要打开他们的工作电脑：“这是一次加密攻击，员工工作场所的工作站可能也会受到影响。”目前尚不清楚是谁发起了这次多层次的勒索行动，也不清楚在黑客对大学系统进行加密之前，是否盗用了信息。

美国网络安全与基础设施安全局（CISA）发布了今年首个约束性操作指令（BOD），要求联邦民事部门发现问题后14天内，确保配置错误或暴露在互联网上的网络设备的安全性。CISA此次发布的指令（BOD 23-02），适用于管理界面暴露在互联网上的网络设备（如路由器、防火墙、代理服务器和负载均衡器）。这些网络设备的用户可以获得进行网络管理所需的访问权限。CISA表示，“该指令要求联邦民事行政部门（FCEB）采取措施，减少不安全或配置错误的管理界面在某些设备类别上创建攻击面。各部门必须准备将已识别的网络管理界面从互联网中移除，或者通过实施零信任功能保护它们。零信任功能实施的策略执行点与界面本身分离。

疑似与俄罗斯有关的勒索软件团伙 ALPV/BlackCat 袭击了安全门禁制造商Automatic Systems，北约、阿里巴巴、泰雷兹等多个实体组织可能受到影响。攻击事件发生后，ALPV/BlackCat 在暗网泄露网站上发布了安全门禁制造商 Automatic Systems 受影响客户的所谓机密数据，其中包括从保密协议到护照副本一百多个被盗数据样本。该组织在暗网博客上发布帖子称被盗的数据包括与北约合作、为军事公司采购设备的机密文件，以及此类设备的安装和使用的详细计划。此外，帖子显示了阿里巴巴似乎和受害者 Automatic Systems 有业务关系。Automatic Systems 公司声称目前在正在调查中，已与总部所在地比利时的执法部门取得联系。

据路透社 6 月 13 日报道，亚马逊表示，其子公司亚马逊网络服务（AWS）提供的云服务已经恢复正常，此前周二发生的大规模故障影响了纽约大都会交通局和波士顿环球报等网站。在 Downdetector.com 开始显示中断报告几个小时后，亚马逊表示，“我们很快确定了根本原因，即AWS Lambda的容量管理子系统出现问题，导致直接影响客户和通过其他AWS服务间接影响客户。问题已经解决，所有 AWS 服务都在正常运行。”

新的两党立法已提交美国众议院，重点保护农村社区免受网络攻击，这些攻击有可能切断爱荷华州、商业实体和农场的供水。该计划更新并扩展了美国农业部(USDA)的Circuit Rider计划，以包括针对农村供水系统的强大网络培训和技术专长。这将为国家农村供水和废水循环骑手计划提供网络安全技术援助。这些专家将提供关键服务，以确保农村供水系统免受网络威胁，协助小型水务公司制定行动计划以保护和防止网络攻击，并制定和报告全美农村供水系统的网络安全。目前，只有20%的供水系统具有基本级别的网络保护。

《网络安全设备性能基准测试方法（RFC9411草案）》将取代已有20年历史的《防火墙性能基准测试方法（RFC3511）》，以统一下一代网络安全设备（如NGFW、NGIPS等）的测评方法。新标准旨在制定一套针对网络安全设备的标准测试规范，即使不同测评机构使用不同工具实施，也可获得可比较的结果。