2024年第46周安全周报 | 本周安全要闻速览
● 国家密码管理局发布《关键信息基础设施商用密码使用管理规定(征求意见稿)》
11月15日,国家密码管理局发布《关键信息基础设施商用密码使用管理规定(征求意见稿)》,公开征求意见。旨在规范关键信息基础设施商用密码的使用,确保其安全性和有效性,该规定的目的是加强关键信息基础设施的安全保护,确保商用密码的有效应用,从而维护国家安全和公共利益。通过明确商用密码的使用和管理要求,为关键信息基础设施的运营者提供法律和技术指导,减少安全风险。征求意见稿共26条。第1条至第4条规定了起草目的依据、适用范围,管理部门和保护工作部门的职责。第5条至第8条强化运营者责任,包括运营者总体责任以及制度保障、人员保障、经费保障。第9条至第15条明确了商用密码使用具体要求,包括商用密码技术、产品、服务使用要求,数据安全保护、个人信息保护要求,规划、建设、运行等阶段要求以及过渡安排,商用密码应用安全性评估要求。第16条至第23条为监督检查和法律责任,包括运行安全管理、监督检查、保密义务,以及相关违法情形与法律责任。第24条至第26条规定了激励措施、制度衔接和施行日期。
来源:国家密码管理局
● 美国CISA启动关键基础设施安全保护月活动,重点关注4方面能力构建
美国网络安全与基础设施安全局(CISA)日前正式启动了年度"关键基础设施安全保护月"(CISR Month)活动,以"坚持韧性建设"为主题,致力于提高公众对保护国家关键基础设施重要性的认识。该活动聚焦电网、供水、交通、医疗和金融系统等关系国家安全、经济和民生的核心基础设施。CISA基础设施安全执行助理主任David Mussington表示,保护关键基础设施需要采取"全社会"参与的方式,这不仅是政府的责任,还需要基础设施运营商、所有者以及公众的共同参与。这种共同责任机制旨在提升社区在面对突发事件时的应对和恢复能力,最大限度地减少中断带来的影响。从技术角度来看,CISA此次重点关注基础设施组织可实施的实用策略。首先,组织需要识别其最重要的系统和资产,并了解可能影响其运营的基础设施依赖关系;其次,需要进行全面的风险评估,考虑从自然灾害到网络和物理攻击等各类威胁;第三,制定风险管理计划以及事件响应和恢复计划,确保在发生中断后能够快速恢复运营;最后,定期测试和完善事件响应计划,通过演习和过往事件总结经验,培养持续改进的文化。
来源:thecyberexpress
● 全球石油巨头因网络攻击损失超2.5亿元
美国石油巨头哈里伯顿(Halliburton)首席执行官Jeff Miller在季度财报电话会议上表示,8月的网络攻击及墨西哥湾风暴导致收入损失或延迟,致使公司调整后每股收益减少了2美分。哈里伯顿总部位于美国休斯顿,是全球最大的石油服务供应商之一。公司财报显示,此次攻击直接带来了约3500万美元(约合人民币2.51亿元)相关费用。Miller指出,网络攻击导致账单和收款延迟,对公司季度内的自由现金流产生了影响。公司因此暂停了股票回购计划,目前正在评估此次入侵的整体影响。尽管如此,哈里伯顿对未来的自由现金流和股东回报的预期保持不变。此外,哈里伯顿还表示,公司已完成了首个国家的SAP S4系统实施。然而,基于从此次事件中汲取的教训,公司决定将该项目的进一步推进延迟三到六个月,预计相关费用将增加2000万至3000万美元。
来源:cybersecuritydive
● 尼日利亚与英国联手打击网络犯罪
尼日利亚和英国建立了合作伙伴关系,以打击日益猖獗的网络犯罪。这一合作是在两国更广泛的战略伙伴关系框架内进行的。最近在阿布贾举行的高层圆桌会议上,双方讨论了打击网络威胁和增强尼日利亚数字弹性的策略。尼日利亚国家信息技术发展局局长卡西夫·因努瓦强调,尼日利亚的网络安全能力对国家安全和经济发展至关重要,通过鼓励尼日利亚和英国企业之间的合作,旨在增强尼日利亚的网络安全能力并开辟新的增长机会。英国高级委员会西非网络负责人詹姆斯·卡罗尔也呼吁合作,提出尼日利亚可以采取类似英国的战略,教育儿童网络安全,激发科技热情,发展数字素养。
来源:网空闲话plus
● 俄罗斯数字发展部建议为“白帽黑客”设立国家规范和规范Bug奖励计划
俄罗斯数字发展部副部长Alexander Shoitov在2024年SOC论坛上表示,计划参与Bug许多赏金计划的“白帽黑客”引入“国家关税”。框架旨在程序正常化,以提高检测漏洞的漏洞并明确责任范围。目前尽管政府机构使用此类计划,但尚未成为规定的范围提案正在讨论阶段,具体措施尚未确定,但可能会在关键基础设施和政府机构中强制执行。计划中的关税方案将根据漏洞严重性支付奖励金,例如在联邦地区的漏洞奖励30至5万卢布,全俄服务如Gosuslugi的漏洞奖金最高可达100万卢布。专家普遍认为,关税的引入有助于标准化支付方式,提升漏洞检测的系统性和可靠性,但也有意见认为固定关税可能影响参与者的积极性,剔除能力反映问题的实际复杂度与信息安全市场的动态。
来源:SecurityLab
● 白宫支持联合国网络犯罪公约以增强全球网络空间控制
拜登政府宣布美国将支持联合国网络犯罪条约,此决定是在与多方协商和长时间讨论后达成。白宫官员表示,美国此举旨在确保在条约实施中能够发挥监督作用,确保条款不侵犯人权。美国支持该公约的背景是期望对其未来内容和实施进行影响,同时加强与其他国家在打击跨国网络犯罪方面的合作。该公约自2017年由俄罗斯提出,旨在制定全球应对跨国网络犯罪的标准,但自2019年起推进工作以来,国际社会对其必要性和目标尚存争议。尽管如此,该公约在经过三年谈判和多次会议后获得通过。人权活动人士和部分参议员,如罗恩·怀登领导的团体,批评该决定,认为条约可能被用作加强独裁国家对公民监控的工具。科技公司和人权组织亦对条约中允许执法机构向外国互联网服务商索取数据的条款表达了担忧。该公约需美国参议院三分之二多数通过,面临政治挑战。尽管有分歧,公约意在促进跨国合作打击网络犯罪,但其实施细则和潜在影响仍备受关注。
来源:SecurityLab
● 2024 年澳大利亚关键基础设施风险审查:新兴威胁与国家安全保障
作为关键基础设施安全月的一部分,澳大利亚网络和基础设施安全中心(CISC)发布了其第二版《关键基础设施年度风险评估》,重点分析了澳大利亚关键基础设施面临的现有和新兴风险。审查指出,网络事件、全球供应链不稳定、技能短缺及恶劣天气等因素对国家安全和经济稳定构成威胁。基础设施的互联性提高了国家安全、主权及经济脆弱性。报告强调了网络攻击和第三方风险治理不足,尤其是在IT、OT和物联网安全协调上,增加了系统易受攻击性。人工智能的发展使网络攻击更具针对性和复杂性。供应链方面,地缘政治紧张推动了转型需求,清洁能源转型加剧技术和材料竞争。CISC还关注了间谍活动和内部威胁,并强调有效的内部威胁管理以应对劳动力短缺及内部风险。展望未来,技术变革将加剧人员和技能短缺,供应链中断风险持续存在。CISC承诺与行业合作,促进信息共享,增强风险应对能力,以保障服务的弹性和国家安全。
来源:工业网络安全网站
● 美国NSA联合发布六项工业控制系统安全原则,强化关键基础设施防护
随着针对关键基础设施组织的攻击持续增加,OT安全漏洞的潜在影响十分严重,不仅会导致服务中断,还可能在破坏能源电网和水资源供应时对公共安全构成重大威胁。在此背景下,美国国家安全局(NSA)日前联合澳大利亚信号局网络安全中心(ASD SCSC)发布了《运营技术网络安全原则》新指南,旨在为运营技术(OT)环境提供最佳安全实践指导:1、安全至上。与传统IT系统不同,OT系统直接关系到人身安全。系统需要具有确定性和可预测性,即使在完全断电的情况下,也不应限制系统重启。2、深入了解业务。组织需要清晰识别所有关键系统和流程,记录依赖关系,并确保OT管理人员充分理解这些内容。3、保护OT数据的价值。建议采取多重措施保护数据,包括定义数据存储位置和方式,使用与企业环境和互联网访问隔离的受保护数据存储库等。4、网络分段和隔离。组织应将OT环境与所有其他网络分段和隔离,限制供应商、同行和服务的上下游数据访问。5、确保供应链安全。组织需要建立涵盖软件、设备供应商和管理服务提供商的供应链保障计划。6、重视人员因素。训练有素的人员是保护OT系统的关键资产。组织应招募具有基础设施开发、网络安全、控制系统工程等不同背景的专业人才。
来源:BLEEPINGCOMPUTER
● 欧盟新法案扩大数字产品责任规则
欧盟通过了一项新立法,改变了所有软件开发者的规则,扩大了产品责任规则,将软件和在线平台等数字产品纳入其中。2024年10月10日,欧盟理事会批准了包含数字产品概念的缺陷产品责任指令,唯一例外的是开源程序。新规则规定,对于在欧盟以外供应的产品造成的损害,进口商或制造商代表将承担责任,网络平台在履行职能时也将承担与其他经济运营者相同的责任。该法律适用于可能在使用过程中造成损害的操作系统、固件、应用程序和人工智能系统,无论是本地软件还是通过云技术和SaaS模型提供的软件。受影响的用户现在可以更轻松地通过法庭寻求赔偿,要求制造商提供证据。如果产品被第三方修改,这些第三方将对缺陷承担责任。法律还规定了对物理损坏、财产损坏和数据丢失的赔偿,但不包括可免费恢复的数据丢失。该指令排除了数据泄露的责任,但制造商需对产品不符合安全要求的网络安全负责。
来源:SecurityLab
