2025年第17周安全周报 | 本周安全要闻速览

新加坡网络安全局（CSA）宣布扩展其Cyber Essentials和Cyber Trust认证标志，新增云安全、人工智能（AI）安全和运营技术（OT）安全领域。扩展后的Cyber Essentials为组织提供了针对云、AI和OT相关网络攻击的防护指南。而Cyber Trust则在其评估模板中新增了风险、网络安全防范和风险处理三个领域，旨在简化组织（尤其是中小企业）在新领域的网络安全要求，促进良好网络安全实践的推广。CSA强调，获得这些认证标志表明企业致力于实施稳健的网络安全实践，有助于提升其在客户中的声誉和信任度。CSA正在评估是否要求获得敏感数据访问权限的组织在获得许可或竞标政府合同之前必须获得这些认证。此外，CSA还为符合条件的中小企业提供高达70%的共同资助，用于聘请网络安全咨询服务，帮助它们实施符合Cyber Essentials标准的网络安全措施。扩展后的Cyber Essentials将指导组织如何保护其OT环境并安全地管理OT/IT融合。例如，由于OT的投资周期通常比IT更长，OT环境中可能存在较旧的设备和系统，这些设备和系统可能无法支持强大的访问控制措施，如安全密码。因此，组织应实施补偿控制措施，例如物理访问控制或网络分段。

英国通信监管机构Ofcom宣布禁止"全球标题码"租赁，以遏制犯罪分子滥用英国移动网络。这一里程碑式的决定旨在应对网络犯罪和外国情报机构日益增长的威胁。全球标题码是移动网络信令中使用的特殊电话号码类型，用于路由确保通话和短信到达预定目的地的信令消息。然而，由于监管不力和租赁安排提供的匿名性，犯罪分子利用全球标题码拦截双因素认证码、追踪用户位置和转移短信或通话流量，对个人、金融机构和国家安全基础设施构成重大风险。新的租赁禁令即刻生效，现有租赁将分阶段淘汰。所有当前安排必须在2026年4月22日前结束，特定用例可延期至2026年10月22日。Ofcom还发布了更新的指南，概述了移动网络运营商如何监控和保护其信令资产。这一决定使英国成为移动网络保护的全球领导者，并呼吁国际监管机构采取类似措施。

英国跨国零售商玛莎百货（Marks & Spencer）近日确认正在应对一起网络攻击事件，该事件已持续数天并影响了包括"点击和收取"在内的多项业务运营。玛莎百货在全球拥有超过1400家商店和6.4万名员工，主要销售服装、食品和家居用品。该公司在伦敦证券交易所发布的新闻稿中确认了这一网络安全事件，表示公司正与网络安全专家合作管理和解决问题。事件发生后，玛莎百货对店铺运营进行了一些临时微调以保护客户和业务，目前其商店仍正常营业，网站和应用程序也在正常运行。虽然玛莎百货未提供网络事件的具体性质，但表示已通知数据保护监管机构和国家网络安全中心。此次网络攻击导致玛莎百货的"点击和收取"订单系统出现延迟，公司建议客户在收到订单准备就绪的电子邮件后再前往商店取货。目前尚无勒索软件团伙或其他威胁行为者宣称对此次攻击负责。

非营利组织MITRE宣布发布ATT&CK v17，带来关键更新。企业矩阵新增ESXi平台，移动矩阵强化，数据收集、缓解措施及威胁情报跟踪改进。数据组件提供特定平台收集指南，缓解措施含实施技巧与示例。新增140多项分析功能，覆盖入侵生命周期，助防御者提前识别、有效追踪和快速响应。MITRE还升级数据组件，支持IaaS和SaaS，关联组件与日志等。新增多个攻击组织和活动，如G1045：盐台风等，涵盖网络犯罪及国家支持的攻击。攻击活动涉及关键基础设施、边缘设备等，如C0046：ArcaneDoor等。勒索软件变种凸显RaaS成熟，网络设备、破坏性操作、后门和监视方面也有新动态。MITRE ATT&CK v17为网络安全防御提供更全面的指导和参考，助力应对复杂威胁。

MITRE发布了EMB3D 2.0版本，这是自去年秋季完成内容完善后的首次更新。此次更新引入了机器可读的STIX2.1JSON格式，以支持与威胁和漏洞工具集成，并添加了新的属性、威胁和缓解措施等内容。新版本重点更新了“威胁”和“属性”部分，回应社区反馈，采用STIX 2.1标准，提升与其他工具及数据集的集成性。MITRE副总裁兼国土安全中心主任Yosry Barsoum强调，合作是安全的基石，MITRE与各行业领袖紧密合作开发EMB3D，以增强集体安全。自发布以来，EMB3D在能源、水利、航天、汽车等多行业获广泛反馈与应用。EMB3D作为嵌入式设备的全面威胁模型，适用于关键基础设施、物联网、汽车、医疗保健、制造业等，为供应商、资产所有者、测试机构和安全研究人员提供资源，增强设备软硬件安全性。EMB3D数据主要使用标准STIX数据对象及自定义扩展表示，威胁、缓解和属性分别对应漏洞对象、行动方案对象及自定义对象。威胁和缓解措施的描述文本及证据参考文本均以Markdown格式编码。不过，EMB3D2.0在STIX数据表示的初始实现上存在局限，未充分运用STIX的完整功能集，未来版本将改进这一问题。

俄罗斯联邦信息和自动化监管局建议企业不要延迟通知个人数据泄露事件。根据规定，如果企业在 2025 年 5 月 30 日之前向授权机构报告数据泄露信息，将根据现行法律处理，不会因未通知而被罚款或产生营业额罚款。若在此日期之后发现未报告的泄露事件，将实施更严格的规定，并追究责任。监管局副局长米洛什·瓦格纳强调，与泄露个人数据相关的犯罪行为日期，被认为是确认向无限数量的人泄露信息的时刻，例如入侵者发布数据库或运营商收到数据泄露通知。如果企业已掌握可靠信息，应在 5 月 30 日之前向 Roskomnadzor 发送通知，无需等待数据库可能被公布。新版《行政违法行为法典》生效后，未向俄罗斯联邦信息和通信技术监管局报告个人信息泄露也将被视为违法行为。企业必须在 5 月 30 日之前报告此前发生的事故，否则将根据新法规追究责任。调查显示，58% 的受访者正在采取组织措施准备检查，28% 的公司未采取行动或不重视这些变化。53% 的参与者已采取必要措施，但仍有不确定性。45% 的受访者表示管理层和员工缺乏对个人数据保护的理解是主要问题。

巴基斯坦电信管理局（PTA）于4月18日向三家公司发放了许可证，正式允许它们在该国提供VPN服务。这一举措是巴基斯坦当局加强对VPN服务使用控制的一部分。PTA目前要求所有在巴基斯坦运营的VPN提供商进行许可程序，以避免可能出现的关闭和封锁。与此同时，巴基斯坦国内对VPN的需求不断增长，越来越多的巴基斯坦人使用VPN访问被屏蔽的社交媒体平台，如X（前身为Twitter）、Facebook、Instagram、WhatsApp和Bluesky。PTA称此举是“开始在数据服务许可证类别下对虚拟专用网络提供商进行许可”。当局已于去年12月为监管VPN设立了单独的类别并开始制定相应的要求，旨在强制所有在巴基斯坦提供VPN服务的公司申请许可证，否则其运营可能被视为非法。《黎明报》指出，改革的目标是用更容易监管的本地VPN取代难以控制的外国VPN，这可能会对用户匿名性的保护产生质疑：如果获得许可，流量可能会受到当局的监控。PTA表示，“及时获得许可证将有助于避免服务中断并确保用户不间断访问。”然而，巴基斯坦对VPN的需求并未消失，因为没有它们，许多社交媒体平台将无法访问。一年前，当局曾试图限制未经认证的VPN访问，但因缺乏法律依据而放弃。如今，同样的情况正在重演，但采用了新的机制。TechRadar已向几家主要的VPN提供商发送了请求，但截至发稿时尚未收到回复。

美国国家安全局（NSA）发布《国家安全系统智能控制器安全指南》技术报告，针对工控系统（OT）与IT网络融合带来的新型风险提出防护措施。报告指出，智能控制器因普遍缺乏默认安全配置，成为高价值攻击目标，尤其遗留OT系统风险突出。NSA建议采取三项核心措施：定期测试更新OT固件/软件（涵盖主机、嵌入式及网络设备）、强制禁用无线接口默认模式，以及参照NIST标准与ISA技术要求建立防护体系。该研究同时支持"OT保障合作伙伴计划"试点项目，相关成果将提交美军情报支援行动标准委员会，用于工业自动化控制系统未来安全标准更新。此次指南是NSA继2月发布边缘设备防护策略后，针对关键基础设施安全的又一举措。