美“芯片”与科学法案生效。美国总统拜登于2022年8月9日签署《创造有助于生产半导体的激励措施和科学法案》。该法案将拨款2800亿美元用于包括半导体产业在内的新型科技研发、制造、教育培训,其中527亿美元用于资助半导体领域,其余二千余亿美元拨给国家科学基金、商务部、能源部、国家标准与技术研究所。法案中还专门提出针对中国的限制性要求。
【天枢点评】:美高调生效这一既野心勃勃又火药味十足的法案,大有甩开臂膀开打“科技冷战”的架势。该法案虽拉出国家安全作为背书,但商业和科技发展有自己的逻辑,可能的负面影响不容忽视。从美国内看,大额补贴有可能鼓励成本较高、效率较低的企业生产;从全球市场看,可能破坏全球公平竞争环境,可能引发经济争端,如以不正当竞争为由向世贸组织对美国“提起诉讼”,或是对进口的美国芯片征收 “反补贴税”等。另外,该法案还可能毒化全球科研生态,引发危险的激进科研应用,甚至军备竞赛,威胁全球安全,因此其效果可能事与愿违。
两部委《“十四五”全国城市基础设施建设规划》。2022年7月29日,住房和城乡建设部、国家发展改革委会同相关部门发布了该规划。《规划》的一大亮点是提出加快新型城市基础设施建设,推进城市智慧化转型发展。
【天枢点评】:进入新时代,我国向高质量发展的一大路径就是数字化转型,中央相继推出“十四五”数字经济、数字政府发展规划,其中重要的基础建设就是城市基础设施的数字化、智能化。城市基础设施智能化建设行动,对信息产业企业是重大机遇和利好,其建设成果将普惠于广大百姓。
360杜跃进:保障信创软件的可信性和安全性是信创安全体系的基础。近日,在ISC联合峰会——信创安全协同创新峰会上,信创安全技术委员会主任杜跃进博士发表主题演讲。他表示,保障信创软件的可信性和安全性是整个信创安全体系的基础,“护航计划”2021(首届)信创关键产品安全挑战赛发现了信创产品大量的安全性问题和漏洞风险,暴露出信创产品安全性较弱。
【天枢点评】:随着我国信创产业的不断深入发展,信创产品及其软件供应链的安全问题将愈发凸显。信创安全关乎数字供应链安全和国家安全。要从源头上解决我国信创产品的安全性问题的方法,需要建立持续的信创安全产品漏洞检测机制(例如挑战赛等积极的方式),持续落实和跟踪信创产品漏洞修复计划,建立信创产品提供商的问责制,这样才能迈出解决信创产品安全的第一步。
美国安全公司Netskope收购Infiot加速其安全访问服务边缘(SASE)战略布局。2022年8月2日,安全服务边缘(SSE)厂商Netskope宣布收购云网络供应商Infiot,以更接近于提供完全集成的单供应商安全接入服务边缘(SASE)平台。
【天枢点评】:SASE自Gartner提出之后,迅速得到业界的积极反响,众多安全巨头均涌向该领域。根据Dell’Oro Group 的最新五年预测,到2026年,安全访问服务边缘 (SASE)市场将超过130亿美元,且这一数字不会受地缘政治或经济压力的影响。该事件的看点在于,截至目前,真正有能力提供完整SASE服务的供应商并不多。Netskope开了安全公司收购软件定义网络服务(SD-WAN)的先河。该公司正在引领和验证SASE成为未来数字安全的发展方向。
微软乘谷歌Mandiant交易悬而未决之机大力发展安全威胁情报。2022年8月2日,微软宣布推出两款新安全产品:Microsoft Defender Threat Intelligence和Microsoft Defender External Attack Surface Management,这是帮助企业主动嗅探和防止网络攻击的最新威胁情报服务。
【天枢点评】:网络威胁形势比以往任何时候都更加复杂,损失也在飙升。美国联邦调查局2021年IC3报告发现,网络犯罪的成本现在总计超过69亿美元。威胁情报能力已经成为应对未来网络威胁的基础能力。Microsoft利用其Windows终端和全球大量用户在使用其云服务的优势,不断在整个数字领域收集信号和威胁情报。耐人寻味的是,微软的新产品发布恰恰是在谷歌以54亿美元收购威胁情报公司Mandiant悬而未决之际推出的,说明网络安全已经成为科技巨头竞争的杀手锏,而威胁情报能力将是未来数字安全的制高点。
超2.8亿条印度公民身份信息在公有云上暴露。2022年8月4日,乌克兰安全研究人员发现归属微软Azure、运行Elasticsearch集群服务的两个未受保护的IP,暴露了超2.8亿条印度养老基金持有人的个人身份信息和其他敏感数据,包括印度养老基金持有人全名、银行账号、代名人等信息。该研究人员表示这些数据可被用来拼凑出印度公民的完整资料,致使他们成为网络钓鱼或欺诈攻击的目标。
【天枢点评】:印度养老金的IT系统出现安全问题已不是第一次。2018年,黑客从印度国有雇员公积金组织网站的Aadhaar播种门户窃取数据,造成2700万养老基金成员的信息处于危险之中。这次超2.8亿公民个人信息泄露,这些庞大的数字更是警示我们保护数据安全成为重中之重。数据作为国家战略性资源、企业核心资产的同时,数据泄露已经形成重大威胁。应加强数据安全治理,在不同的场景下建立数据安全生产线。
单核CPU一小时破解后量子加密候选算法 SIKE。2022年8月3日,NIST选定的后期候选加密算法SIKE被一台基于英特尔至强CPU的计算机在1小时内成功破解。首批的4个算法已于7月初公布,而此次破解的SIKE算法属于NIST发起的后量子加密(PQC)标准化过程的第四轮中的4种备选算法之一,设计用于通用加密。
【天枢点评】:NIST首批选定的4个算法以及包含SIKE在内的另外4种算法本计划在最终敲定加密标准之前一并考虑,但目前的这种局面预计会将SIKE一脚踢开,与没发现脆弱性而最终进入标准相比,这是实在是幸运之至。
瑞士工业网络安全公司Nozomi Networks发布最新OT/IoT安全报告。工业网络安全公司Nozomi Networks在其最新的 OT/IoT安全报告中披露,wiper恶意软件、IoT僵尸网络活动、以及俄罗斯/乌克兰冲突影响了今年前六个月的威胁态势。报告对下半年的威胁态势进行了研判,并建议采取主动防御措施和优先的安全实践。
【天枢点评】:勒索攻击成为数据安全面临的最凶险威胁之一,然而,俄乌在网络空间的冲突又表明了在国家对抗的大背景下,数据擦除攻击又成为一种新的值得关注的样式。可以预想,虽然同是针对数据,由于最终意图不同,勒索多是发生在“平时”、非“国家意志”行为,而擦除多是在“战时”,具有典型的“国家意志”色彩。主动防御措施和优先安全实践,大都是别人的安全事件换来的教训,相信它没错。
* 如需了解《数字安全观察》完整版信息,请联系anquanke@360.cn,关注360天枢智库