数字安全观察-每周简报 (2022.05.30 -2022.06.05)

阅读量    52878 |

分享到: QQ空间 新浪微博 微信 QQ facebook twitter


点击上方视频,悦享语音伴读

美商务部修订网络安全出口管制严控黑客工具526日,美国商务部工业与安全局(BIS)修订网络安全领域的出口管制规定正式生效,对用于监视、间谍活动或其他破坏行为的网络工具建立了更严格的控制。除非获得出口许可,美国科技公司不得向中俄等国家出售黑客软件及设备,尤其是防止密码分析项目、自动化网络漏洞分析、网络渗透工具和响应工具被打包到符合ENC例外条款中绕过管控。对于网络安全出口许可例外 (ACE),修订条款要求限制授权给D类和E类的“政府最终用户”,除非出于对此类网络安全事件进行响应、刑事或民事调查或起诉的目的;也限制授权给D类的非“政府最终用户”,除非出于“处理网络安全”、“漏洞披露”或“网络事件响应”的目的。

【点评】:美国BIS出口管制新规明显是针对中国,目的是严防漏洞的获取和利用。虽然在新规里面,“漏洞披露”和“网络事件响应”仍然属于出口管制的豁免项目,但我国公检法机关、军队、国安、科技、财务、金融、电信等政府单位属于修订版所明确的17类“敏感的政府最终用户”,因此这些机构在购买美国商用信息产品后,其网络安全响应部门能否及时获得产品的漏洞信息将成为一个巨大的问号。同时,也限制美国实体向我国的非政府用户分享漏洞信息。由此,中国用户获取漏洞信息的正常途径大幅减少。

新加坡投资建设数字信任中心。61日,新加坡信息通信媒体发展局(IMDA)和国家研究基金会(NRF)共同投资5000万新加坡元(约3636万美元)建立数字信任中心(DT C),用于开发数据隐私保护和值得信任的人工智能技术。此外,IMDA还通过DTC和蒙特利尔人工智能促进国际专业技术中心(CEIMIA)签署了一份谅解备忘录,这是世界上首个“隐私增强技术”(PET)的跨境合作,旨在为跨组织和跨境的数据应用程序开发能够应对隐私和合规挑战的PET解决方案,这些经验将指导PET的商业应用和国际标准制定。

【点评】:这是新加坡建设智慧国家和数字经济(SNDE)战略计划的一部分,旨在将新加坡打造成值得信赖的全球数字创新中心。当全球 60 多个国家和地区颁布隐私和数据保护法之后,数字交易中信任的需求凸显,新加坡将支持数字交易的信任技术视为国家及其企业的战略竞争优势。未来,新加坡的数字信任中心将从信任技术开发、信任认证和治理框架入手,加速开发满足行业需求的解决方案和服务,相关经验也必将有利于商业拓展和国际标准制定,这一思路值得借鉴。

辽宁省发布大数据发展条例。531日,辽宁省人大通过《辽宁省大数据发展条例》,从基础设施、公共数据、工业大数据、数据要素市场、数据安全、发展促进等方面深入推进数据要素市场化配置改革,最大特色是针对辽宁产业结构特点和工业应用场景优势设置“工业大数据”专章。对工业企业,提出加快实施设备数字化改造、按照协议开放数据接口、加快工业大数据融合应用、开展数据管理能力成熟度评估、加强工业数据防护等要求。对主管部门,强调推动优势企业建设行业数据资源平台,向中小企业开放数据资源,面向重点行业培育工业大数据解决方案供应商、数据服务提供商和数据服务龙头企业,并鼓励第三方服务。

【点评】:从全国范围看,目前我国地方层面已有十八个省市公布了相关数据条例。从内容看,各地的数据立法都是以产业发展为定位,重视数据安全保障,通过制度创新和进一步发挥市场的主体作用,最大程度促进数据流通和开发利用。

微软宣布发布去中心化身份和访问管理工具。531日,微软宣布推出Entra,这是一个全新的身份和访问管理解决方案产品系列,包括Azure Active DirectoryAzure AD)以及两个新的产品类别:云基础架构授权管理(CIEM)和去中心化身份验证工具(Entra VerifiedID)。

【点评】:众所周知,传统的身份认证依赖集中化的权威认证中心,然而随着万物互联、软件定义一切和Web3.0兴起,传统中心化的信任设施面临响应效率低、公信力下降、信任滥用等风险。该事件值得关注的是微软Entra计划中的去中心化身份验证工具(Entra VerfiedID),这个想法是使用区块链和其他技术来创建一个人的数字身份。它类似于驾驶执照、护照或文凭,如果需要,个人或组织还可以撤销他们的身份,其实际应用效果和后续进展值得我们跟踪。

以色列安全浏览器初创公司Talon Cyber Security 获得RSAC2022创新沙盒冠军。这家公司成立于2021年,创始人来自以色列精英军事技术和情报部门Unit 8200Talon Cyber Security去年推出了基于浏览器(基于Chromium 构建)的网络安全平台TalonWork,并宣称为业界第一个安全企业浏览器(注:360公司在2018年就推出了安全浏览器并率先商用)。Talon声称,TalonWork通过在浏览器中放置“虚拟哨兵”并以分布式运行,可实现完全的可见性,只需一次集成即可在一小时内完成部署,没有隐藏的复杂性、运营开销或端点所需的管理权限。

【点评】:在现代数字场景中,企业经常需要跨不同位置、设备、SaaS服务与合作伙伴来保护和控制动态、复杂的数字环境。传统安全方案如VDI/DaaSVPN等方式容易导致操作复杂、费用昂贵、用户体验差及出现大量的安全盲点。TalonWork 将高级数据隔离技术(如屏幕截图预防和剪贴板限制)与工作区安全性(包括策略实施和针对浏览器漏洞的保护)相结合,可以有效缓解两大网络安全问题:勒索软件和内部威胁。浏览器已经变为现代数字空间的枢纽,是构建在操作系统之上的操作系统。随着Talon夺冠,可以预见未来浏览器安全市场将受到更大关注。

2021年勒索攻击的平均时长缩短至不到4天。IBM安全团队基于收集的2021年勒索事件,研究发现从初始网络访问到有效负载部署,2021年勒索攻击从突破目标到加密系统的平均花费时间为92.5小时。2020年,勒索攻击平均花费230小时,2019年则平均花费1637.6小时。这种变化反映了大规模勒索攻击的实施将更加便利。

【点评】:2021年勒索攻击的平均时长缩短为92.5小时,是2020年的40%2019年的5.6%,有些勒索团伙甚至只需几分钟即可完成目标攻击,可见,随着勒索攻击技术和手法的日益娴熟,留给防御者的响应时间变得越来越少。作为抵御勒索接入的第一跳,端点检测显得尤为重要,目前只有36%的目标组织具备端点检测能力。因此,增加端点威胁检测与响应系统(EDR)部署规模,提升端点防护能力至关重要。在国家层面,应该尽快建立国家级威胁监测与预警响应能力体系,提升应对勒索攻击的协同防御能力,保障我国网络空间安全。

美国国家标准与技术研究院(NIST)发布零信任实施架构。63日,NIST国家网络安全卓越中心(NCCoE)发布了《SP 1800-35:实施零信任架构》(Draft)的实践指南初稿第一卷,并公开征求意见。该指南总结了NCCoE及其合作者如何使用商用技术来构建可互操作的、基于开放标准的零信任架构实施,这些实施符合NISTSP800-207零信任架构》中的概念和原则要求。随着计划进展,初稿将被更新,将发布更多的卷征求意见。

【点评】:美联邦政府行政令已明确要求联邦各机构在2024财年完成零信任安全架构部署,该指南的发布为这一要求提供实践和技术参考,更有利于零信任战略的推进。鉴于NIST的特殊地位,其标准指南在具有广泛的影响力,这一实施方法有望成为联邦机构从传统安全架构向零信任框架迁移的样板。

美国自动化网络安全领导厂商Forescout发布《R4IoT:下一代勒索软件》报告。61日发布的这份报告指出,如果攻击者成功通过物联网设备访问IT,然后通过IT/OT融合获得对OT的访问权限,可能会对Purdue 2层及以上层造成一些危害(这些层主要是Windows/Linux系统),但Forescout专注于攻击PLC,因为其效果更加显着、直接且难以缓解。Forescout基于自主开发的PoC R4IoT进行了实验,并验证了上述假设,致使依赖PLC的业务运营中断。

【点评】:伴随ITOT的快速融合,勒索软件攻击路径也在进化,逐渐从信息技术向操作技术拓展:攻击者从物联网入手,借助IT跳板,实施对OT的攻击,包括导致OT业务运营中断。鉴于OT内部漏洞修复状况堪忧的情况,实验证明,这种攻击的门槛甚至阻挡不了普通的黑客。未来,加强这种场景中IT的防护可能是未来防范针对OT攻击的重要方面。

 * 如需了解《数字安全观察》完整版信息,请联系anquanke@360.cn,关注360天枢智库

分享到: QQ空间 新浪微博 微信 QQ facebook twitter
|推荐阅读
|发表评论
|评论列表
加载更多