2024年第20周安全周报 | 本周安全要闻速览

为了预防和制止网络不正当竞争行为，维护公平竞争的市场秩序，鼓励创新，保护经营者和消费者的合法权益，促进数字经济规范持续健康发展，市场监管总局根据《中华人民共和国反不正当竞争法》、《中华人民共和国电子商务法》等法律、行政法规，制定、发布《网络反不正当竞争暂行规定》，2024年9月1日起施行。提出，鼓励和支持经营者依法开展经营活动，公平参与市场竞争。经营者通过互联网等信息网络从事生产经营活动，应当遵循自愿、平等、公平、诚信的原则，遵守法律法规规章，遵守商业道德。在经营过程中，经营者不得实施网络不正当竞争行为，扰乱市场竞争秩序，影响市场公平交易，损害其他经营者或者消费者的合法权益。

澳大利亚最主要的非银行类贷款机构Firstmac日前遭遇了一起由网络攻击导致的数据泄露事件，被称为Embargo的勒索软件团伙从该公司窃取了超过500G的数据。Firstmac给客户发送通知信告知他们发生了严重的数据泄露事件，并称在外部网络安全专家的协助下确定泄露的信息包括了客户姓名、住址、电子邮箱、电话号码、出生日期、外部银行账户信息和驾照信息。尽管如此，Firstmac 向客户保证，他们的账户和资金是安全的，该公司的系统现在已经得到了适当的支持。为此，Firstmac已将所有帐户更改为必须使用双因素身份验证或生物识别技术来确认用户的身份。IDCare也将为收到通知的客户提供免费的身份盗窃保护服务，并建议对未经请求的通信保持谨慎，并定期检查其帐户对帐单是否有异常活动。

5月14日消息，美国政府警告称，Black Basta勒索软件团伙已经攻击了全球500多家组织，包括北美、欧洲和澳大利亚等地的关键基础设施实体。Black Basta最早于2022年4月被发现。该团伙采用勒索软件即服务商业模式运作。该模式下，Black Basta的附属机构发动网络攻击，向受害组织部署恶意软件，并按比例领取赎金。2023年11月，区块链分析公司Elliptic发布的报告估计，Black Basta的附属机构从至少90家受害组织处获得了超过1亿美元的赎金。据美媒CNN报道称，四位消息人士称，Black Basta勒索软件也是本月针对非营利医疗系统Ascension攻击的幕后黑手。这家天主教组织在美国各地经营着数百家医院，由于攻击事件造成的技术中断，导致被迫拒接救护车、使用纸笔记录并取消非紧急预约。

5月14日，美国网络安全局与国土安全部、联邦调查局和英国、加拿大、日本等盟友合作，发布了《利用有限资源减轻网络威胁：公民社会指南》，该文件旨在提高美国及其盟友应对网络威胁的能力。该文件为民间社会组织和个人提供了降低网络入侵风险的建议行动和缓解措施。此外，该指南还鼓励软件制造商积极实施并公开承诺“安全设计”实践，这是帮助保护脆弱和高风险社区所必需的。由非营利组织、宣传组织、文化组织、信仰组织、学术组织、智库组织、记者组织、持不同政见者组织和散居国外者组织等各类组织和个人组成的民间社会，以及参与捍卫人权和民主的社区，都被美国视为高风险社区。指南认为，这些组织及其员工经常成为国家支持的威胁分子的攻击目标，这些威胁分子试图破坏西方价值观和利益。

5月14日，联邦生态系统获得了一套新的安全标准，旨在保护机构和私营部门承包商之间经常交换的敏感非机密信息的未经授权的传输。美国国家标准与技术研究院的发布更新了该文件的2020年版本，在政府的受控非机密信息计划中添加了三个新的安全控制系列，该计划为联邦机构应如何保护存储在其系统中的敏感非机密数据设定了基准。新增加的内容中最主要的是供应链风险管理框架，该框架进一步考虑了联邦机构和私营部门供应商之间的频繁合作，这些供应商为政府提供日常任务所需的软件、设备和培训。其他新系列包括针对外部服务提供商的采购部分，以及帮助各机构提前计划额外安全控制的总体监督部分。根据更新后的NIST标准，美国政府将有一年的时间将现有业务过渡到新的CUI口径，而新的联邦计划必须立即达到门槛。CUI涵盖数十种数据类型，包括个人军事记录、出口管制研究和内部情报界数据。CUI标签用于内部机构或国防部数据，用于表示那些被认为不够敏感而无法“分类”的信息，该信息只允许具有安全许可的人员访问该信息，但如果不加以保护，就会带来风险。

白宫高级官员5月15日表示，拜登政府希望在今年年底前将获得自愿网络安全标签计划批准的消费设备上架。美国联邦通信委员会今年早些时候一致投票批准了美国网络信任标志计划，以帮助消费者了解婴儿监视器和远程恒温器等日常家居用品的安全性，并激励制造商纳入基线数字防御措施，将其与其他产品区分开来。负责网络和新兴技术的副国家安全顾问安妮·纽伯格表示，该项工作正在经历一些法律程序，目标是在今年年底前在商店和网上推出带有标签的设备，大量公司已经签约提交其产品以供认可的实验室进行测试。她指出，联邦政府是世界上最大的科技买家之一，准备“启动泵”并“利用金钱的力量”向制造商发出信号，一旦他们的联网设备通过了认证，“明确表示我们尽头处等待着一个大市场。”

英国国家网络安全中心（NCSC）推出了一个名为“共享和防御”的新平台，旨在提升全国范围内的网络安全防护，特别是在打击网络犯罪和在线欺诈方面。该平台在CyberUK会议上发布，通过向通信提供商共享恶意域列表，帮助他们将这些域添加到阻止列表中，从而保护用户免受网络钓鱼、凭据收集页面和恶意软件命令与控制服务器的威胁。这些恶意域名来源于包括银行、商业威胁情报公司以及情报机构的多种渠道。NCSC还计划允许高风险个人，包括预计今年晚些时候大选的候选人，配置其移动设备以运行与政府网络相同的保护性DNS系统。此外，该平台将与互联网服务提供商（ISP）共享用于保护高风险个人和网络的相同阻止列表，以提高普通用户的网络安全级别。尽管用户无需采取行动即可受益，但NCSC鼓励公众保持警惕，因为该服务仅针对已知的恶意威胁。Share and Defend是一个自愿系统，BT和Jisc作为首批注册组织，NCSC也正在与沃达丰和TalkTalk合作，以帮助他们实施这一系统。这是NCSC使英国成为网络犯罪分子难以操作的环境的努力的一部分，预计将增加攻击者的成本并减轻目标者的负担。

美国网络安全和基础设施安全局（CISA）发布了新指南，旨在帮助联邦民事机构加强网站加密和提升内部网络安全。指南的核心是推动采用零信任安全模型，该模型要求对网络上的所有用户进行持续验证，无论其位置如何，都不允许未经验证访问敏感系统和数据。CISA特别关注域名系统（DNS）的加密，因为传统的DNS协议缺乏加密，易受网络间谍攻击，可能导致用户浏览路径被锁定和篡改。CISA建议联邦机构加密设备间通信，并逐步实施包括HTTPS流量在内的特定加密措施。此外，所有联邦机构都在努力按照成熟期限要求，在9月底前采用零信任架构。美国国家标准与技术研究所（NIST）也发布了新的安全标准，以防止敏感非机密信息在机构和私营部门承包商之间的未授权传输。