数字安全观察-每周简报(2022.07.13 -2022.07.19)

美国政府与国会发布两份后量子密码相关文件。202276日美国网络安全和基础设施安全局发布《后量子密码倡议》,712日,美国众议院通过《量子网络安全准备法案》。倡议将以国土安全部(DHS)和商务部国家标准与技术研究所(NIST)在后量子方面的工作成果为基础进一步协同推进,帮助关键基础设施和政府网络所有者和运营商向后量子加密时代过渡。“法案”旨在推动联邦政府信息技术系统向抗量子的密码学算法过渡。

【天枢点评】:随着量子计算技术的发展,量子计算对传统密码的威胁不断显现,美国近年高度重视由此带来的安全问题,仅2022年拜登总统就签署了两份涉及后量子安全的国家安全备忘录,显示美不但要占领量子计算的高地,也在积极抢占量子网络安全的高地。

网信办召开提升全民数字素养与技能工作推进会议。202278日的推进会,深入贯彻落实习近平总书记重要指示精神,全面推进《提升全民数字素养与技能行动纲要》实施,加快推动2022年重点任务落实。

【天枢点评】:国家正在加速向数字时代转型,没有全民数字素养的提升,特别是领导干部数字素养的提升,难以从根本上真正建成数字中国、网络强国。

美国初创公司HiddenLayer推出首个保护人工智能的安全方案。2022719日,美国初创公司HiddenLayer推出业界第一个也是唯一一个机器学习检测和响应 (MLDR) 平台。该平台可保护企业的机器学习模型,检测和防止针对机器学习系统的网络攻击。

【天枢点评】:国际权威的IT咨询机构Gartner预测,到2022年,30% AI网络攻击将利用训练数据中毒、模型盗窃或对抗样本来攻击机器学习系统。HiddenLayer将攻击面管理与自动化的人工智能技术和持续的人工测试相结合,该方法不仅可以确认哪些暴露(exposures)是可利用的,还可以确认它们在利用后所带来的危险程度。随着人工智能的大量普及,其自身的网络防护需要高度关注。

以色列安全公司Cynet63%的中小型安全团队正在转向XDR2022715日,以色列公司Cynet发布《2022小安全团队CISO调查报告》,称中小微企业面临着比大型企业更大的风险,扩展检测和响应(XDR)等先进技术整合平台成为小型安全团队的首选。

【天枢点评】:Cynet发现,几乎所有接受调查的首席信息安全官(96%)都计划将其安全平台整合到更强大,更全面的工具,以便获得更多的安全控制和可见性。 当前的网络防护方法迫使企业使用昂贵、复杂的多个产品安全堆栈和繁琐的手动流程,导致安全团队不堪重负。数字安全时代,“简单”将是衡量安全的一把标尺,也是数字安全发展的方向。(注:360依托安全大脑能力推出的新一代XDR,值得关注。)

英国网络安全公司Darktrace推出“预防(PREVENT)”主动人工智能安全产品。2022719日,英国著名安全公司Darktrace 宣布推出 Darktrace PREVENT™,这是一套相互关联的人工智能产品,可提供主动的网络安全能力,帮助企业预先防范未来的网络攻击。预计该产品将于81日全面上市。

【天枢点评】:Darktrace将自主学习的人工智能技术从检测分析发展到主动防御,正在引领该行业发展。值得关注的是,英国国防部自去年9月发布国家人工智能 (AI) 战略以来,正在大力推进人工智能战略,以帮助其巩固其作为全球科学大国的地位。人工智能技术正在成为未来大国博弈的主要手段,而人工智能赋能安全将是数字时代维护网络安全的利器。

阿尔巴尼亚因网络攻击关闭数字服务和政府网站。2022717日,在来自国外的持续同步网络攻击之后,阿尔巴尼亚国家信息社会机构被迫关闭在线公共服务和政府网站。在过去的 18个月里,阿尔巴尼亚发生了一系列数据保护和隐私丑闻,包括政府机构在公共领域看到姓名、电话号码、汽车牌照、雇主、工资等的泄密事件。

【天枢点评】:欧洲东南部小国阿尔巴尼亚遭到境外黑客攻击,致使该国总理办公室、议会和政府公共服务网站等都陷入了瘫痪,其背后攻击者众所纷纭,但至少证明网络攻击可以深刻影响国家安全,而小国防御起来也更加困难。

黑客可以通过提交虚假的元数据欺骗GitHub存储库。2022715日,以色列代码安全公司Checkmarx的安全人员警告称,发现一种新的供应链攻击技术,可以通过提交虚假的元数据欺骗GitHub存储库的版本控制机制,从而使伪造的数据有可能被应用程序开发人员选中。

【天枢点评】:又是开源软件供应链安全问题!新的供应链攻击技术通过操纵时间戳、伪造提交者的身份,从而欺骗GitHub来提交元数据,而且研究人员称这种欺骗技术很难被检测。可怕的是,据工信部相关文件显示,目前全球97%的软件开发者和99%的企业使用开源软件,这里面不知道有多少安全漏洞和风险。加强开源软件安全治理迫在眉睫!

联想笔记本发现的三个UEFI固件漏洞足以影响70款数百万台笔记本电脑。美国网络安全公司ESET的研究人员发现了联想笔记本UEFI固件中的三个缓冲区溢出漏洞,黑客可以在启动的早期触发这些漏洞执行任意代码,而避免被操作系统安全功能检测到。2022713日,联想发布了安全修复程序,并建议受影响设备尽快更新到最新的固件版本。

【天枢点评】:联想笔记本这次被发现的三个UEFI固件漏洞风险较大,因为这些漏洞工作在固件层,能够绕过或禁用操作系统级别的安全保护并逃避检测,而且这三个UEFI固件应用面很广,足以影响70款数百万台笔记本电脑。大厂商用户越多,责任也越大,尤其应该更加重视网络安全问题。

美网络安全审查委员会发布报告称Log4j为“流行漏洞”。2022714日,美国土安全部网络安全审查委员会(CSRB)发布组建以来的首份审查报告,主要就Log4j事件进行了全面审查,报告将Log4j描述为“近年来发现的最严重的漏洞之一”,并明确宣称Log4j为“流行漏洞”,未来数年内仍将影响相关的系统,并针对政府和行业提供了419条应对建议。

【天枢点评】:审查Log4j事件是CSRB组建以来的第一项任务,这也无愧于Log4j漏洞被称为“近年来发现的最严重的漏洞之一”、“核弹级”的称号。事件之后,美政府、国土安全部、研究机构、产业界各种动作频频,开源软件安全成为最热话题之一。鉴于CSRB职能定位,其建议可直达总统以便处理和落实。因此,通过CSRB 19条”,我们可以大胆预测未来美在开源软件安全领域的发展方向。同时,我们也要思考自己现有的开源之路走得怎么样,未来的路该怎么走,供应链安全该怎么办。

 

 * 如需了解《数字安全观察》完整版信息,请联系anquanke@360.cn,关注360天枢智库

(完)