美白宫发布2024财年全政府网络安全优先项。2022年7月22日,美国白宫发布备忘录公布了拜登政府的全政府网络投资优先事项,以指导2024财年预算编制。备忘录呼吁联邦民事行政部门(FCEB)在增强防御能力和弹性、深化关键基础设施防御跨部门合作、加强数字使能基础建设三大领域进行重点投资。其中特别谈到,在IT现代化上要注意设计安全(cybersecurity by design)理念的贯彻,在部门协作时要注重各风险管理部门间的协作,在基础建设上不可忽视人力资本和技术生态建设。
【天枢点评】:美这一备忘录列出的三大重点既反映了加强网络安全建设面对的痛点,也反映了向数字化转型时,网络安全战略层面需要关注的方向。随着传统工业系统向网络物理系统(cyber-physical system)的加速演进,工业设计与网络安全分离设计的传统模式越来越难以为继,需要在工业系统设计之初纳入网络安全设计,实现设计安全,即“先天安全”。
海南省发布《海南省政府数字化转型总体方案(2022—2025)》。2022年7月25日发布的这份报告,瞄准建设“智慧海南”,力争到2025年在政府数字化发展总体水平达到全国一流。方案在附件部分还列出了包括《海南省政府数字化转型建设工程及任务分工表》《“工信数字大脑”综合系统》《海南省大数据安全体系》《车联网新型基础设施建设项目》等在内的65大工程的建设内容、完成时限、牵头单位等信息。
【天枢点评】:大规划需要大工程支撑,否则很容易流于形式。大工程也需要一体设计,否则工程间逻辑断裂,不但造成浪费,更容易埋藏隐患。海南省在发布总体方案时一并推出65大工程目录,体现了体系化设计思想。
360周鸿祎:探索能够应对数字安全挑战的中国方案。2022全球数字经济大会数字安全峰会暨第十届互联网安全大会(ISC)胜利召开。360集团创始人周鸿祎发表《360为数字安全时代探索中国方案》主题演讲,提出“看不见”已经成为数字安全时代最大的痛点,360将以“看见”为突破口,探索数字安全时代的中国方案。
【天枢点评】:数字化是国家和各行各业未来发展的主旋律。如今的网络安全,内涵和外延不断拓展,不仅关乎个人安全、企业安全,也关乎国家安全,已经成为社会治理、国家治理的重要议题。“看不见”已经成为数字时代最大的痛点之一。360经过20年的发展,在攻防方面的丰富经验,聚集了2000名安全专家,积累了2000PB的安全大数据,建立了“云、端、数、智、人、运营体系、服务能力”七大核心优势,用互联网模式和数字化基因塑造了安全的新模式。
360联合中国中小企业协会发布《2022中小微企业数字安全报告》。2022年7月30日,中国中小企业协会、大数据协同安全技术国家工程研究中心、中国工业互联网研究院、360天枢智库、中国电信股份有限公司研究院、中国人民大学网络空间发展与战略研究院联合正式发布《2022中小微企业数字安全报告》(下称《报告》)。
【天枢点评】:中小微企业好,中国经济才会好,中小微企业稳,宏观经济大盘才会稳。中小微企业所生产的产品或服务往往为大企业和政府部门所使用,其数字安全关乎供应链安全,也关乎国家安全。该《报告》是国内首份专门针对中小微企业数字安全的研究报告,调研了142家中小微企业,获得了一手的详实数据,提出的八个主要发现、五条建议和一个愿景,对推动我国中小微企业数字安全建设具有极其重要的意义。
IBM《2022年数据泄露成本报告》:数据泄露成本达到历史最高水平。2022年7月27日,IBM安全部门发布了《2022年数据泄露成本报告》(以下简称“报告”),该报告揭示了比以往更昂贵、影响更大的数据泄露,全球数据泄露的平均成本达到435万美元的历史新高。
【天枢点评】:该报告表明企业在数字化转型过程中面临着巨大的安全威胁。黑客对关键基础设施攻击正在增加。勒索软件和破坏性攻击占所研究的关键基础设施组织的28%的违规行为,突显了网络攻击者破坏全球供应链的严重趋势。该报告也揭示了传统网络安全在应对数字安全威胁时已然日渐式微。
朝鲜网络间谍使用谷歌 Chrome扩展程序窃取电子邮件。美国网络安全公司Volexity发现的相关恶意扩展名为SHARPEXT,支持Chrome、Edge和韩国Naver Whale等三种基于Chromium的浏览器,目的是窃取Google和AOL的电子邮件。据分析,SHARPTEXT活动与之前针对美国、欧洲和韩国的外交政策制定者和其他“战略利益”的Kimsuky攻击非常相似。
【天枢点评】:朝鲜APT组织被指控发动网络攻击已不是第一次,且不论真假。重点是本次攻击利用的是谷歌的Chrome扩展程序,而基于Chromium的浏览器在业界占据主要地位,使用极为普遍。随着数字化转型加速,浏览器已成为各种数字化应用的入口,预计通过浏览器/扩展程序发动网络攻击将越来越普遍,而且检测起来更加困难,亟需加强对浏览器的安全保护。
中欧天然气管道公司疑遭勒索攻击导致150GB数据失窃。2022年8月2日消息,BlackCat勒索软件组织声称,对上周中欧地区天然气管道与电力网络运营商Creos Luxembourg SA遭受的网络攻击负责,并威胁要发布总计150 GB大小的18万个被盗文件,具体涵盖合同、协议、护照、账单及电子邮件。Creos的母公司Encevo目前正在调查攻击造成的损害程度。
【天枢点评】:又是一例针对关键基础设施的网络攻击!Encevo总部位于卢森堡,在欧盟五个国家拥有能源经营业务。BlackCat组织通过迫使受害者付款来实施所谓的“四重勒索”——利用加密、数据盗窃、拒绝服务和骚扰。据称本次攻击BlackCat索要的勒索金额超过200万美元。目前,勒索软件攻击已成为国际公害,对关键基础设施的勒索攻击影响巨大,去年发生在美国东海岸的“殖民地管道(Colonial Pipeline)”公司遭勒索攻击事件曾造成17个州进入“紧急状态”。关键基础设施的网络安全保障应成为国家网络防御的重中之重。
研究表明攻击者通常在通用漏洞披露(CVE)发布后15分钟内即开始扫描漏洞。2022年7月26日,美国网络安全巨头派拓(Palo Alto)发布研究报告称,黑客一直在监视软件供应商公告板上是否有新的漏洞公告,他们会在公开披露新CVE后平均15分钟内扫描易受攻击的端点,因此安全人员修补已披露的安全漏洞的时间比之前认为的要少。
【天枢点评】:这是一场网络安全人员和攻击者之间的时间竞赛,攻击者开始扫描漏洞的速度将安全人员置于风口浪尖,因为他们要抢在漏洞被利用之前修补漏洞。派拓的报告以CVE-2022-1388为例,该漏洞公告发布十小时后,他们已记录到2552次扫描和攻击尝试。实际上,很多CVE漏洞在公布的几个小时内就会被主动利用从而成功打进系统,从来没有机会修补。对安全防护人员而言,拖延漏洞修补时间的余地每年都在缩小,漏洞响应平台(SRC)要更快地运作起来。
微软发布报告《保护关键基础设施免受网络威胁》。2022年7月28日,微软在总结2021年度四次专业研讨会基础上发布报告《保护关键基础设施免受网络威胁》。报告针对水务、电力、医疗卫生和金融部门面临的安全威胁进行分析,并对欧盟和国际上的现行立法和监管框架进行了审查,最后给出缓解威胁的建议。
【天枢点评】:由于关键基础设施自身脆弱的普遍性,及其发生安全事件后可能对物理世界产生的潜在严重影响,对其保护成为各国关注的优先事项。尤其在Colonial Pipeline事件后,美国政府、安全社区、企业等均对该领域投入了大量的精力,微软组织的技术研讨和此次发布的报告就是这种背景下的动作之一。通过这种形式,挖掘关键基础设施领域的安全趋势和共性,更好地理解技术、法规和国际框架之间的联系,从而加强在安全领域的协调。
美隐私和数据保护研究机构Ponemon Institute发布由Entrust赞助的《2022全球加密趋势研究》。报告通过对17个国家/地区多个行业的6264人围绕8个方面进行充分调研,了解组织如何使用加密来保护跨多个云平台的数据和工作负载,并对多云加密战略的新兴趋势进行了分析研判,确定了数字安全的优先事项。
【天枢点评】:该报告是Entrust赞助的第17个全球加密趋势研究年度报告。今年的主题是多云安全,通过广泛调研,帮助了解云中数据的实际控制者,言外之意,密码拥有者才是数据的真正主人。作为信息安全的基础,密码学被广泛认为是安全的最后一道防线,在数字安全时代,这仍是一个真命题,攻防两个方面围绕密码的对抗将一如既往激烈。
* 如需了解《数字安全观察》完整版信息,请联系anquanke@360.cn,关注360天枢智库