2024年第45周安全周报 | 本周安全要闻速览

根据2024年10月26日国家市场监督管理总局、国家标准化管理委员会发布的中华人民共和国国家标准公告（2024年第24号），全国网络安全标准化技术委员会归口的3项网络安全国家标准正式发布。

OWASP近日发布了一系列安全指导材料，旨在帮助各组织识别和管理与大语言模型（LLM）及生成式人工智能（GenAI）应用相关的安全风险。这些指导材料是OWASP LLM应用安全Top 10项目的重要组成部分，该项目自2023年启动以来，已发布多项研究成果和指导资源。本次发布的指导材料包含三个重要部分：一是《深度伪造事件准备和响应指南》，该指南详细阐述了"高度逼真的数字伪造"所带来的安全挑战，并提供了切实可行的防御策略；二是《卓越中心指南》，重点指导企业如何建立AI安全最佳实践框架，协调安全、法律、数据科学和运营等部门的工作，并制定相应的安全政策；三是《AI安全解决方案全景指南》，该指南全面介绍了如何保护开源和商业LLM及GenAI应用的安全，并就Top 10风险清单中识别出的威胁提供了应对建议。

美国联邦首席数据官（CDO）和首席信息安全官（CISO）委员会近日联合发布了一份全新的联邦零信任指导文件，重点关注数据安全加强工作。据FedScoop报道，该指南的发布恰逢各联邦机构需要向国家网络主任办公室和管理预算办公室提交更新后的零信任采用计划之际。这份指导文件不仅详细阐述了数据保护措施以及数据识别、定义和分类技术，还重点强调了网络安全威胁、数据存储故障等相关安全风险，并提供了数据实践的最佳建议。联邦能源监管委员会CDO兼CDO委员会主席表示："本指南凝聚了一线机构从业者在实施零信任和保护组织数据方面的宝贵经验。我们正在建立数据与网络安全之间的协作关系，以应对这一政府范围内的挑战，最终确保公众数据的安全。"

11月4日消息，据当地媒体报道，德国药品批发商AEP于10月28日遭遇勒索软件攻击，目前尚未导致药品短缺。AEP是一家总部位于德国巴伐利亚州的医药批发商，负责向全德境内6000多家药房供应药品。该公司于10月30日披露，黑客成功加密了其部分IT系统。公司发言人表示：“我们立即采取了全面的保护措施。公司正在与外部网络安全专家和IT取证专家合作，努力寻找解决方案，并迅速切断了所有外部连接，关闭了所有受影响的IT系统。”AEP补充道，此次事件还影响了公司的通信系统。AEP尚未透露此次攻击的黑客身份。该公司在接受德国制药出版物《Apotheke Adhoc》采访时表示，此次事件并未导致任何数据丢失。巴伐利亚州网络犯罪警察部门正在对此事件展开调查。

美国国家标准与技术研究所（NIST）发布了NIST SP 800-161r1-upd1文件，更新了网络安全供应链风险管理（C-SCRM）指南，以识别、评估和缓解跨组织层面的供应链网络安全风险。该文件强调了C-SCRM的重要性，提供了制定C-SCRM战略实施计划、政策和计划的指导，以及产品和服务的风险评估。NIST特别出版物强调了定制化C-SCRM实践的必要性，并提供了一个通用的优先级框架，以帮助组织根据其规模、资源和风险状况增强C-SCRM能力。文件还讨论了企业与供应商、开发商等之间的关系，以及如何将C-SCRM流程和控制措施与企业面临的风险相平衡。NIST SP 800-161r1-upd1文件强调了企业需要制定沟通策略，监控供应链网络安全控制和实践的有效性，并与同行交流C-SCRM见解，以不断评估和改进其C-SCRM计划。

日本政府计划的网络安全法案因首相更换和执政党选举失利而陷入停滞，预计无法在年底前推出。该法案旨在实施“主动网络防御”策略，包括监控和预防对政府机构和关键基础设施的网络攻击，甚至包括在必要时干扰攻击者服务器。然而，该法案引发了对通信隐私权可能被侵犯的担忧。前首相岸田文雄宣布不参加自民党党魁竞选后，法案讨论暂停。新首相石破茂面临获得反对派支持以通过法律的挑战，而自民党内部对网络防御的支持也有所削弱。政府官员表示，政府可能要到明年的下一次议会例会才能重新讨论这个问题。

施耐德电气（Schneider Electric）已确认其一个开发平台被入侵，此前有威胁行为者声称从该公司的Jira服务器中窃取了40GB的数据。施耐德电气向外媒BleepingComputer表示：“施耐德电气正在调查一起网络安全事件，涉及未经授权访问我们内部的项目执行跟踪平台之一，该平台位于一个隔离的环境中。”“我们的全球事件响应团队已立即动员应对此事件。施耐德电气的产品和服务未受到影响。”施耐德电气是一家法国跨国公司，生产从大型零售店销售的家用电气元件到企业级工业控制和楼宇自动化产品的能源和自动化产品。

澳大利亚网络和基础设施安全中心（CISC）近日宣布，将额外46个关键基础设施资产指定为国家重要系统，这是澳大利亚政府提升国家关键基础设施网络弹性的持续努力的一部分。目前，被列为国家重要系统的基础设施总数已超过200个，覆盖能源、通信、交通等多个领域。政府对这些资产的所有者和运营者施加了一系列网络安全义务，包括制定事件响应计划、进行安全演习、评估和修复漏洞，并向澳大利亚信号局提供信息。这些措施旨在加强国家安全，保护澳大利亚人免受网络攻击的威胁。

德国联邦司法部已起草一项法律，旨在为那些发现安全漏洞并负责任地向供应商报告的安全研究人员提供法律保护。在规定的范围内进行安全研究时，相关人员将不承担刑事责任，也不会面临起诉风险。联邦司法部长Marco Buschmann博士表示：“那些致力于弥补IT安全漏洞的人，应该得到的是表彰，而不是检察官的诉讼通知。”部长在同一声明中还指出：“通过这项法律草案，我们将消除从事这一重要工作的人员所面临的刑事责任风险。”此外，这项刑法修正案还引入了针对严重数据间谍和拦截行为的更严厉处罚，尤其是在关键基础设施遭受攻击的情况下。