2023年第48周安全周报 | 本周安全要闻速
● 全国信安标委发布《网络安全标准实践指南——网络安全产品互联互通 资产信息格式(征求意见稿)》
2023年11月28日,为促进网络安全产品互联互通资产信息有效互通和整合,指导网络安全产品互联互通功能的设计、开发、应用和测试,全国信息安全标准化技术委员会秘书处发布《网络安全标准实践指南——网络安全产品互联互通 资产信息格式(征求意见稿)》。网络安全产品互联互通是高效共享网络安全信息、有效整合网络安全能力的重要基础。网络安全产品互联互通包括网络安全产品的互联互通功能和互联互通信息。其中互联互通信息的类型主要分为6类,包括资产信息、脆弱性信息、威胁信息、行为信息、告警信息和事件信息。《实践指南》规范了网络安全产品互联互通资产信息的描述格式,适用于网络安全产品互联互通的设计、开发、应用和测试。
来源:全国信息安全标准化技术委员会
● 全国信安标委发布《网络安全标准实践指南——网络安全产品互联互通 告警信息格式》
2023年11月28日,为促进网络安全产品互联互通告警信息有效互通和整合,全国信息安全标准化技术委员会发布了《网络安全标准实践指南——网络安全产品互联互通 告警信息格式》。《实践指南》规范了网络安全产品互联互通告警信息的描述格式,从不同网络安全产品告警信息有效互通和整合的角度出发,将网络安全产品告警信息类型分为恶意程序告警、网络攻击告警、数据安全告警、异常行为告警和其他告警5类,并细分为21个子类,规范了各类告警信息的通用信息和专有信息格式,并给出对应的字段表,包括字段名称、字段说明、字段类型以及是否必填等字段。
来源:全国信息安全标准化技术委员会
● 18国签署《安全AI系统开发指南》,提出四大方面的监管要求
2023年11月27日,美国、英国和其他十几个国家公布了首份关于如何保护AI免受流氓行为侵害的详细国际协议《安全AI系统开发指南》,敦促企业打造“设计安全”的AI系统。协议由英国国家网络安全中心(NCSC)主导,并与美国网络安全和基础设施安全局(CISA)共同制定,从而建立了AI领域的全球合作。作为世界各国政府为推动AI发展而采取的一系列举措中的最新一项,《安全AI系统开发指南》旨在提高AI的网络安全水平,并帮助确保AI的设计、开发和安全部署。协议分为四个关键领域——安全设计、安全开发、安全部署以及安全操作和维护。其不具备约束力,主要包含一般性建议,例如监控AI系统是否被滥用、保护数据免遭篡改以及审查软件供应商等。在一份长达20页的文件中,18个国家一致认为,设计和使用AI的公司需要以确保客户和公众免受滥用的方式开发和部署。《安全AI系统开发指南》将帮助任何使用AI的系统的开发人员在开发过程的每个阶段做出明智的网络安全决策——无论这些系统是从零开始设计的,还是建立在已有的工具和服务之上的。
来源:NCSC、SC Media
● 美国大型医院集团遭勒索攻击,多州急诊室紧急转移救护车
11月29日消息,由于遭受网络攻击,美国得克萨斯州东部地区多家医院在感恩节当天被迫转移救护车。这次网络攻击影响范围广泛,远超初期判断。医院代表表示,这次攻击还迫使新泽西州、新墨西哥州和俄克拉荷马州的医院转移救护车。所有受影响医院都由Ardent健康服务公司全资或部分拥有。该公司总部位于田纳西州,在至少五个州拥有二十多家医院。目前,部分医院无法接收救护车,包括新墨西哥州阿尔伯克基市中心一家拥有263张床位的医院、新泽西州蒙特克莱尔一家拥有365张床位的医院,以及得克萨斯州东部地区服务数千名患者的几家医院。
来源:安全内参
● 美国北德克萨斯市政水区遭勒索攻击,大量敏感数据遭窃取
DAXIN勒索软件组织将美国北德克萨斯市政水区(NTMWD)添加到其Tor泄露网站的受害者名单中。该团伙声称从该公司窃取了大量敏感数据,并威胁要公开这些数据。该勒索软件团伙声称窃取了董事会会议记录、内部项目文档、人员详细信息、审计报告等。数据泄露使该公司在未来几个月面临欺诈风险。水区在一份声明中表示,大部分网络访问已恢复,但电话系统仍处于关闭状态,已通知执法部门并聘请法医专家来调查袭击的严重程度。
来源:网空闲话plus
● 世界经济论坛新指南制定了五项指导原则以实现跨OT环境的网络安全
世界经济论坛近期发布了一份文件,提供了在OT和IT(环境日益数字化和融合之际确保操作技术环境中网络安全的指南。确保OT网络安全是工业运营持续运行的基础,而工业运营对于保持全球经济和基础设施的运行至关重要。世界经济论坛与电力、制造、石油和天然气行业的合作伙伴合作,制定了一系列指导原则和一套最佳实践。这些可以帮助网络领导者保护、维护和监控其工业OT环境并确保业务连续性。尽管许多组织可能已经采取了一些措施来确保网络弹性的OT环境,但共享指南可以帮助管理生态系统层面的网络风险,从而提高系统弹性。五项原则”的论文中列出了:原则1:执行全面风险管理OT环境;原则2:确保OT工程师和安装操作员对OT网络安全负责;原则3:与高层组织领导、战略规划团队和第三方保持一致,使设计安全成为现实;原则4:使合作伙伴和供应商可以通过合同强制执行网络安全标准和最佳实践,以构建网络安全的OT环境;原则5:进行联合桌面演习,确保在发生实际事件时做好准备。
来源:industrialcyber
● 日本宇宙航空研究开发机构遭遇网络攻击
日本航天局发言人29日表示,遭到网络攻击,但黑客获取的信息不包括任何对火箭和卫星运行重要的信息。日本宇宙航空研究开发机构(JAXA)发言人表示:“有可能利用网络设备的漏洞进行未经授权的访问”,但拒绝详细说明攻击发生的时间等细节。该发言人表示,航天局在收到外部组织的信息并进行内部调查后,了解到存在未经授权访问的可能性,但拒绝透露该组织的名称。发言人表示,调查正在进行中。JAXA此后关闭了部分网络,包括内联网,寻求帮助以确定事件的严重程度。
来源:The Register
● 加州隐私监管机构提出激进的人工智能新规则
加利福尼亚州隐私监管机构近日提出了新规则,该规则将使居民能够更好地控制他们的数据如何用于人工智能驱动的广告技术以及自动分析或跟踪。该监管机构称为加州隐私保护局(CPPA),表示希望在明年之前敲定管理企业如何使用自动决策技术(ADMT)的新法规。拟议的法规包括赋予消费者在其数据用于ADMT之前获得通知的权利的条款,并在他们选择的情况下选择退出其使用。该规则草案也是对2020年生效的加州具有里程碑意义的消费者隐私法案如何处理人工智能处理的预览。CPPA官员指出,拟议的规则只是该州在隐私监管方面开拓性工作的最新例子。
来源:The Record
● 美国农业部公布新数据战略
透明度和问责制是构成农业部新数据战略核心的两项指导原则,该战略是农业部2024年至2026年处理敏感数据的蓝图。该数据战略于11月30日启动,预览了农业部未来两年的数据管理计划,因为现代化仍然是联邦机构的当务之急。新版本以2021-2023年战略迭代为基础,进行了一些更改,以实现更先进的数据分析功能、清晰的治理结构以及机构运营中数据驱动的透明度。新战略包含五个重点领域:数据治理和领导力、数据和分析劳动力、通用数据和分析、开放数据架构和有目的的分析。对美国农业部选定的数据操作进行现代化改造和提高现有劳动力的技能是五个支柱的共同主题。随着农业部转向更先进的数字工作空间,成本效率也是一个优先考虑的问题,特别是为了实现共享数据架构的第三个目标。
来源:NEXTGOV
● 美国陆军正在放弃基于合规性的网络安全
随着陆军对其网络进行现代化改造,它希望将网络安全运营作为成熟的下一步,超越合规性。官员们表示,要更加主动地应对网络威胁,而不是采取被动的姿态,包括加强信号部队的培训和能力、改进政策以及开发新的概念和能力,例如集中提供服务。G6副参谋长约翰·莫里森中将在接受采访时表示:“我们确实正在从基于合规性的方法转变为真正积极参与网络安全运营。我认为这是一个巨大的转变,不仅在陆军内部,而且在整个国防部都看到了……我认为我们大力开展网络安全行动的原因是确保人们知道我们正在从合规性过渡基于非常被动的网络安全方法,并迅速转向日常中更加主动的方法。”陆军经过多年的努力才使其网络更加成熟,整合了战术层面和企业层面的各种实例,以创建军种所谓的统一网络,让士兵可以在世界各地访问,无论是战区还是梯队。作为这一努力的一部分,陆军希望更好地整合网络安全和网络安全行动的功能——网络安全行动被认为是防御性网络行动,旨在更加主动地追捕网络上的恶意活动,而不是更加被动地应对威胁。
来源:DEFENSESCOOP
