英国数据改革法案进入二读。2022年7月18日,进入二读的《数据保护和数字信息法案》将对英国现行主要数据法规进行修订,涉及数据保护管理与问责、数据泄露报告、人工智能规制、国际数据传输、数据访问规则、主管机构调整等重要领域,其累积效应可能导致英国数据保护规则框架的重大变革。
【天枢点评】:数据法规既决定国家乃至世界数字治理格局,也关系国家科技创新和数字产业发展。脱欧后的英国快马加鞭推动新的数据治理格局建设,一方面反映出其欲摆脱欧盟治理规则的束缚的决心,另一方面也体现了其看到全球数字化转型竞争的紧迫性,欲在全球数字经济格局塑造中获得发展主动权和战略优势。这次的修订项虽不是对原有法规的取代,但反映了英国对欧盟GDPR的反思,努力在促进数据利用和保护个人信息之间探索平衡点,对各国均有借鉴意义。
多部委发布人工智能应用场景指导文件。2022年8月12日,科技部等六部门印发《关于加快场景创新 以人工智能高水平应用促进经济高质量发展的指导意见》,提出了引领人工智能发展的四大场景建设方向。三日后的8月15日,科技部发布《关于支持建设新一代人工智能示范应用场景的通知》,推出首批人工智能示范应用的10大场景。
【天枢点评】:通过应用牵引人工智能技术落地已经成为行业共识。我国人工智能发展取得了丰富成果,积淀了较好基础,具备了协调发力、精准发力的条件。国家层面推出应用场景指导,对于各地方和各主体加快人工智能场景应用,推动经济高质量发展,赋能经济社会发展,将起到积极、及时的战略性作用。
第25届黑帽大会全面展示网络安全创新。第25届Black Hat黑客大会在拉斯维加斯举行。超过300家网络安全供应商在该峰会上展出,共举办了80多场演讲。本次大会关注的重点有API安全和如何保护软件供应链等议题。其中以色列初创公司Armo(K8s开源安全项目Kubescape的创建者)等7家黑帽创新者公司引起行业关注。
【天枢点评】:Black Hat是黑客、网络安全专业人士、爱好者和供应商的年度全球会议,也是网络安全领域创新的舞台。我们不得不说今天的数字世界是由开发者构建的。最受开发者欢迎的开源容器编排解决方案K8s已成为云原生应用程序事实上的操作系统,这使得K8s的安全性比以往任何时候都更加重要。Armo为整个K8s社区提供首个开放、透明和完全可定制的安全解决方案,即意味着Armo正在构建一个保护所有现代微服务应用程序所依赖的安全基础设施,弥补了当前的开源K8s安全工具有限、分散、负责的管理和监控等不足。
安全服务边缘(SSE)市场正在快速发展。SSE是Gartner在其《2022 SASE战略融合路线图》报告中引入的新兴网络安全概念。Gartner的重点是将其SASE架构的安全部分纳入一个独立的分类和研究领域,并去除网络接入元素(SD-WAN),从而创建一个单独的细分市场。
【天枢点评】:数字化转型导致企业业务云化和用户移动优先的方式正在永久性改变网络接入和网络安全服务的方式。网络安全的未来在云中。在云驱动的世界中,安全性需要统一、一致并从其授权保护的云中交付。SSE的思想与此吻合,很可能会代表着数字安全前进的方向。SSE是一个以云为中心的安全平台,它整合了多种安全功能来保护Web、云服务和私有应用程序的访问,消除多供应商产品造成的摩擦来降低风险,简化安全管理,提升效率,改进用户数字安全体验。
IDC预测托管安全服务引领未来5年中国安全服务市场增长。2022年08月11日,IDC于近日发布了2022年V2版IDC《全球网络安全支出指南》(IDC Worldwide Security Spending Guide)。该“指南”预测,从增速来看,托管安全服务(Managed Security Services)市场增速最快,将以34.0%的五年CAGR引领服务市场增长。
【天枢点评】:在我国数字化战略推进中,企业业务正在在加速云化,混合办公等模式导致企业攻击面增加,SaaS服务的采用等复杂的数字化场景使得传统安全的交付、成本以及后期的服务都面临挑战。安全托管服务因为其交付简单、可按需订阅、易于管理等特点会成为客户尤其是中小客户的首选。
数据安全领域正在成为国内外投资热点。本期《数字安全观察》监控到国际、国内的投资机构都把目标转向数据安全领域,关注SaaS应用敏感数据保护、防止企业数据泄露、防止关键数据勒索等方向。
【天枢点评】:尽管受全球经济大环境影响,资本市场仍然在数据安全等热点方向谨慎布局。归因主要有:数字化转型、混合办公等模式导致企业攻击面增加;勒索攻击并不会受经济影响而放缓;数据泄露事件威胁企业数字化进程;各国政府相继颁布相关的数据安全和隐私保护法律法规等。危机并存,以待下一波浪潮的到来。
微软宣布破坏了俄罗斯官方背景的间谍APT攻击。2022年8月15日,微软威胁情报中心(MSTIC)宣布破坏了与俄罗斯政府有关的APT攻击,切断了该组织对用于攻击前侦察、网络钓鱼和电子邮件收集账户的访问。该组织在包括持续网络钓鱼、凭证盗窃和数据盗窃在内的活动中滥用OneDrive服务和伪造的LinkedIn账户,攻击者长期访问所收集的数据,在不止一次的情况下访问敏感群体的邮件列表数据。
【天枢点评】:区别于传统的网络攻击,APT攻击常用于国家间的网络攻击行动,它结合情报技术、黑客技术、社会工程学等各种手段,对特定目标进行长期持续性网络攻击,给国家、企业带来严重的损失。随着APT攻击不断演进,政府企业应提前做好适应性网络防护体系,加强员工安全意识培训,及时发现并消除威胁,最大程度降低损失。
思科被Yanluowang勒索软件团伙入侵并被盗取2.8G重要数据。2022年8月10日,思科证实Yanluowang勒索软件团伙在5月下旬入侵了其公司网络,通过多因素身份验证(MFA)疲劳攻击和一系列复杂的语音网络钓鱼攻击窃取2.8GB的数据,其中包括大约3100个文件,其中许多文件是保密协议、数据转储和工程图纸。攻击者将此次安全事件中的文件列表发布到了暗网试图进行勒索。
【天枢点评】:MFA结合多个认证方式提高系统的安全性,但目前面临着安全挑战。攻击者可以使用MFA疲劳攻击策略,向目标不断发送多因素身份验证请求直至受害者接受其中一个MFA通知。此外,中间人攻击、SIM卡交换攻击、pass-the-cookie攻击等也是挑战MFA的重要攻击手段。为消除MFA可能存在的风险,应采取增加网络钓鱼防御功能、加强MFA应用的安全意识等方式。
超9000台VNC服务器在没有口令的情况下在线暴露。2022年8月14日,研究人员发现至少9000个暴露的VNC(虚拟网络计算)端点无需身份验证即可访问和使用,导致攻击者可以轻松访问内部网络。端点未使用口令正确保护,被作为未经授权的用户的入口点访问。其中,中国暴露的服务器高达1555台。
【天枢点评】:VNC作为一种最常用的远程管理工具,广泛应用于工业自动化系统中,攻击者通过访问VNC远程控制和监视系统收集数据和信息,并转向网络中的其他系统,以造成毁灭性的影响。建议VNC管理员不要将服务器直接暴露在Internet上,通过添加VPN、口令等方式保护对VNC服务器的访问。
亚马逊等宣布OCSF框架为共享威胁检测提供标准方法。2022年8月10日,在美国拉斯维加斯BLACK HAT大会上,以亚马逊网络服务和Splunk领衔的18 家公司宣布了开放式网络安全架构框架(OCSF)。该框架旨在提供简化的、与供应商无关的分类,以标准化不同监控系统共享安全警报的方式,从而帮助安全团队更快地获取和分析安全数据。同时,贡献者可以利用和扩展该框架,并在通用威胁检测语言中映射各种数据摄取和标准化模式。
【天枢点评】:传统观点“安全是技术和产品的堆积”的问题在于,除忽略了应用部署层面的因素外,还有就是基于安全数据的产品间能力协同才是发挥“1+1>2”效应的关键所在。OCSF框架正是应对上述问题的尝试之一,也验证了Garnter关于安全平台整合趋势的预测。按照Palo Alto Networks的公共云首席安全官Matt Chiodi在RSA 2019大会上的发言,小型组织平均使用15到20、中型企业50到60、大型组织或企业130种工具。如果这些工具之间的数据标准、接口统一后,安全能力的提升显而易见。
德国政府就实施安全浏览器发布提案公开征求意见。2022年8月16日,德国计划强制要求在政府网络中使用安全、现代的网络浏览器,并公布了最低标准提案的意见征求稿。德国联邦信息安全办公室(BSI)希望通过实施和遵守最低标准草案将来自网络浏览器的风险降至最低。BSI同时强调,草案涵盖移动平台上的网络浏览器。提案通过后,将禁止联邦雇员在政府业务中使用不合规的浏览器。
【天枢点评】:在PC端甚至移动端,作为接入Web及B/S应用的窗口,浏览器承载了绝大多数的搜索流量和应用流量,同时也处于建立安全连接和实施沙盒等安全功能的最前沿,因此针对浏览器的攻击层出不穷,正所谓“病从口入”。德国政府此番安全浏览器计划即是通过做好入口安全来强化网络弹性并更好地保护敏感数据。
宾夕法尼亚州立大学研究人员发现深度伪造暴露某些人脸识别技术中的漏洞。2022年8月12日,宾夕法尼亚州立大学研究人员发现大多数使用人脸活性验证(FLV)的应用编程接口并不总能检测到个人照片或视频的数字更改。报道称,此项研究是现实世界中第一次对人脸活体验证的安全性进行的系统研究。研究人员开发了一个名为LiveBugger具有深度伪造能力的攻击框架,用于对人脸活性验证进行可定制的自动化安全评估。研究人员发现,包括基于图像、基于静默、基于语音和基于动作的FLV在内的所有四种最常见的验证方法都可以很容易绕过。
【天枢点评】:深度伪造已随俄乌冲突过程中的认知战成为人们关注的焦点,同时近期发生的几起关于利用深度伪造从事诈骗的网络犯罪更是助推了热度。当前,基于人脸的活性验证不但广泛使用,而且往往是用户在线获得高级权限的终极方式。因此,人脸活性验证技术与深度伪造技术的对抗必然持续存在,LiveBugger即是开展验证评估的技术框架,为开展深度伪造检测、对抗深度伪造提供方法思路和手段。
* 如需了解《数字安全观察》完整版信息,请联系anquanke@360.cn,关注360天枢智库