重要事件回顾,智览网安行业发展。近日国内外网安行业发生了哪些重要事件,呈现出了怎样的发展态势呢?中国网安科技情报研究团队将从行业大角度出发,带领大家回顾近日国内外行业的重要事件,探究其中的发展态势。
事件概览:
1、奇安信集团上榜Gartner威胁情报市场报告
2、隐私计算法律与合规白皮书发布
3 、工信部预警:Log4j2爆重大安全漏洞,行业单位需尽快处置
4、英媒分析人工智能的军事应用及其风险
5、英国推出新政策,计划在2022年成为“全球网络强国”
6、Fortinet发布2022年安全趋势预测
7、美国《2022财年国防授权法案》将新兴技术列为优先事项
8、以色列举行多国金融系统网络攻击防御演习
9、黑客利用Log4Shell漏洞攻击比利时国防部
10、尝试与黑客合作,美国国土安全部推出“Hack DHS”计划
11、Clop勒索软件团伙正在泄露英国警方机密数据
12、数十亿 WIFI 芯片存在数据泄露和流量操控
13、美陆军将制定数据结构计划
国内
01 奇安信集团上榜Gartner威胁情报市场报告
近日,国际权威机构Gartner发布《Market Guide for Security Threat Intelligence Products and Services》(安全威胁情报产品和服务市场指南)报告。其中,奇安信凭借旗下威胁情报平台(TIP)、威胁分析和研判平台(Alpha)等多项优势能力,入围该报告。
Gartner预测数据显示:“威胁情报支出预计将以15.8%的复合年增长率增长,到2025年将达到26亿美元。”但需要注意的是,威胁情报的应用并非一劳永逸,而是要持续的运营。对于相关问题,奇安信威胁情报中心具备完整的威胁情报产品和服务体系,能够为客户提供威胁情报生产、威胁情报检测、攻击者画像分析、可疑文件深度研判等威胁检测和溯源分析服务,全面覆盖了威胁情报服务的四种主流模式(威胁情报数据应用程序编程接口、威胁情报平台、威胁情报软件即服务、安全产品赋能),实现各种流行性及高级定向攻击的发现、评估与跟踪,威胁情报检测准确率可达99.99%。
02 隐私计算法律与合规白皮书发布
2021年12月21日,由中国信息通信研究院(以下简称“中国信通院”)主办的“2021可信隐私计算高峰论坛”在京召开。会上,中国信通院云计算与大数据研究所工程师仵姣姣发布了《隐私计算法律与合规白皮书(2021年)》(以下简称“白皮书”)。
《白皮书》开篇明义,提出隐私计算首先有助于参与者履行法定的安全保障义务。隐私计算可被理解为是一种加强数据安全的技术措施,有助于保障数据处理过程中各方的数据安全。
隐私计算的第二个合规意义在于有助于践行最小必要原则,防止数据滥用。“最小必要”原则可被理解为要求数据处理者以实现产品和服务目的为标准,在最小范围内收集并使用个人信息。隐私计算“可用不可见”的技术特征能够有效控制数据明文在使用时被复制等情形导致的数据滥用。
隐私计算的第三个合规意义在于有助于实现一定条件下的匿名化。白皮书对匿名化的概念进行了阐释,指出在现有技术发展水平下,绝对的匿名化会大大减损数据的使用价值,在多数应用场景中暂时无法平衡匿名化和可用性,这也和《个保法》中“促进个人信息合理利用”的原则存在一定程度的抵触。因此,匿名化应当是在合理条件下的相对匿名化,即当一种技术方案能够实现还原部分原始数据所需要的时间、算力等成本是远远超出还原、获知这部分数据可能获得的价值的情况下,这种技术方案就已经实现了事实上的相对“匿名化”。《白皮书》提出,隐私计算技术可作为匿名化技术方案的一个组成部分。
隐私计算的第四个合规意义在于有助于减轻授权同意的合规隐患。在传统中心化的建模中参与方都可以获取到各方的原始数据,因此可能接触到原始数据的所有参与方都需要受到个人信息保护的严格限制。在隐私计算中,假设获取数据的一手数据源首先获得了个人信息主体没有权利瑕疵的授权同意,或者在获取数据后对数据进行的脱敏、加密处理满足了匿名化的要求,那么输入模型的数据也就不再属于个人信息,其他参与方也可能不再需要重复授权。 当然,为了进一步降低合规风险,我们还是建议参与方在选择授权同意作为主要合规基础时,把授权同意与去标识化/匿名化的技术方案有机融合在一起,在数据流通的全流程降低合规风险。
隐私计算的第五个合规意义在于隐私计算有助于开发数据的使用价值。隐私计算有助于在不对数据现有的控制状态产生影响的基础上,来满足数据流通的现实需求。以MPC为例,MPC能够实现在不获取明文数据的前提下来利用数据的使用价值,也就是说在保证原始数据控制权不改变的前提下把数据的使用价值分离出来,为后续数据的使用和交易提供了一种技术方案。
《白皮书》对一些常见的合规误区进行了分析和澄清,具体而言,对“使用隐私计算就可以实现个人数据的匿名化”、“如果隐私计算的参与方没有获得其他方的原始数据,就不需要获得个人的授权同意”和“当参与方没有对原始个人数据进行处理时,就不属于处理个人数据”的误读进行了刨析和澄清。
《白皮书》第二大部分是隐私计算的参与主体和相互之间的法律关系。
隐私计算的参与主体众多,承担的义务和职能又各不相同。明确各个参与方的角色和在各环节的权利、义务和责任是顺利推进项目的一个必备的前提。按照参与方在隐私计算过程中承担的职能,《白皮书》将参与方划分为数据提供方、技术提供方、结果使用方和独立的第三方机构四类主体,并对各个参与方通常需要承担的责任及其相互之间的法律关系进行了阐释。
白皮书的第三部分按照隐私计算项目的顺序,对整个流程的九个法律和合规的重要关注点进行了梳理。对于每一个关注点都仔细分析了它的重要性和风险,并且有针对性地为隐私计算的市场参与者提出了提升合规的建议。
在《白皮书》的第四部分,为了进一步解释隐私计算在各场景、各行业中保护数据、提升安全性的原理和效果,我们选取了广告营销、小微企业信贷风控、个人融资风控、金融穿透式监管和人脸识别五个场景,对各个场景特有的合规需求进行了分析,介绍了五个场景中隐私计算的技术框架,并对隐私计算是如何实现保障数据安全和用户隐私进行了分析。
在白皮书的最后,也对隐私计算产业的发展提出了四点展望。严格的合规要求一方面是隐私计算发展的巨大压力,另一方面也同时是隐私计算市场需求和技术迭代动力的重要来源。在隐私计算产业的发展中,建立行业参与者、行业协会、标准化组织、第三方机构和监管机构等主体的良性互动将帮助隐私计算技术不断修正发展的方向,不断拓宽应用的场景,形成一种稳健、有序的整体发展态势。
03 工信部预警:Log4j2爆重大安全漏洞,行业单位需尽快处置
阿帕奇(Apache)Log4j2组件是基于Java语言的开源日志框架,被广泛用于业务系统开发。近日,阿里云计算有限公司发现阿帕奇Log4j2组件存在远程代码执行漏洞,并将漏洞情况告知阿帕奇软件基金会。
12月9日,工业和信息化部网络安全威胁和漏洞信息共享平台收到有关网络安全专业机构报告,阿帕奇Log4j2组件存在严重安全漏洞。工业和信息化部立即组织有关网络安全专业机构开展漏洞风险分析,召集阿里云、网络安全企业、网络安全专业机构等开展研判,通报督促阿帕奇软件基金会及时修补该漏洞,向行业单位进行风险预警。该漏洞可能导致设备远程受控,进而引发敏感信息窃取、设备服务中断等严重危害,属于高危漏洞。为降低网络安全风险,提醒有关单位和公众密切关注阿帕奇Log4j2组件漏洞补丁发布,排查自有相关系统阿帕奇Log4j2组件使用情况,及时升级组件版本。工业和信息化部网络安全管理局将持续组织开展漏洞处置工作,防范网络产品安全漏洞风险,维护公共互联网网络安全。
国外
01 英媒分析人工智能的军事应用及其风险
12月7日,英国无人机战争网站发布报告称,人工智能备受各国军事部门青睐,在军事领域得到广泛应用。但是,军事人工智能系统也存在一定的潜在风险。鉴于英国所面临的安全挑战与其他大国不同,应当回避人工智能有关风险,另辟蹊径以维护国家安全。
(1)人工智能基本情况
英国政府将人工智能描述为“能够执行需要人类智慧才能完成任务的技术,如视觉感知、语音识别和语言翻译等”。人工智能系统具有学习或适应新信息的能力。由于人工智能系统通过识别数据集内的统计关系来工作,常用于处理以下问题:自动化任务;处理复杂或大型数据集;预测行为;标记异常情况或感兴趣事件;数据标记和错误纠正。人工智能速度快、善于处理大型复杂数据集、以及准确执行重复性任务的特点,奠定了其在军事领域中的作用。军事部门比较感兴趣的人工智能属性包括:快速分析和行动;大型简单任务的自动化;机器人与自主系统;识别模式以预测未来趋势或检测异常;对目标和信号进行分类与识别;系统优化;改进决策质量。
(2)人工智能的军事应用
①远程工作机器人和自动化系统可代替人类执行“枯燥、肮脏或危险”的军事任务。自主技术可以执行爆炸物探测与处理、海上或陆上扫雷行动,在敌对环境中进行侦察等任务。②情报监视侦察情报收集汇集了大量数据,包括文本文件、视频和图像、电子拦截信息以及互联网开源信息。人工智能已经在处理和分析这些数据方面发挥作用。③流程自动化通过应用人工智能,可将军事部门的人事、后勤、财务和会计等日常工作流程自动化,在提高工作效率的同时,让工作人员处理其他更复杂的事务。④网络战人工智能系统可以主动识别可疑活动并实时应对网络攻击。通过扫描可疑的行为模式以及潜在的恶意代码,人工智能系统可以发现表征新型网络威胁的信号。此外,人工智能也可以参与进攻性的网络作战,例如用来识别网络防御的薄弱点,或者设计新型恶意软件。⑤电子战人工智能的支持者认为,人工智能在电子战的所有要素中都可以发挥作用,因为它有能力应对新的和意想不到的威胁,而且与传统技术相比,人工智能的快速运行速度更具优势。⑥指挥控制与决策辅助在指挥控制与决策中,人工智能工具的速度和能力可以帮助处理外围任务,使指挥官专注于人类更擅长的事务。不久的将来,可能会使用人工智能将一系列传感器数据整合到通用作战图中,供指挥官使用。⑦自主车辆与军用机器人自主车辆通过传感器和人工智能软件来感知环境、识别障碍物、融合传感器数据、导航并与其他车辆通信。该技术现已足够成熟,主要军事大国正着手部署军用自主车辆。另外,能够自主飞行的无人机也在开发之中,如美空军研究实验室“天空博格人”(Skyborg)项目。⑧蜂群人工智能可以使自主系统以一个相互连接的智能群体的形式运行,有关软件正在研发之中。受昆虫群的启发,蜂群机器能够合作战胜对手。蜂群自主运行,没有中央控制,单个组成单元能够感知周围环境和蜂群其他成员,并与其他成员合作完成任务。⑨致命性自主武器系统(LAWS)LAWS是一种人工智能武器系统,能够识别、打击和摧毁目标,无需人类参与。它们是基于监测周围环境的传感器系统、识别潜在目标并决定是否发起攻击的人工智能系统和能够摧毁目标的武器的组合。⑩信息战基于人工智能的互联网机器人可以通过创建虚假的网络身份,以比人更快的速度传播信息。人工智能应用程序还可以用于从社交媒体中挖掘数据,为政府官员、政治家和军人创建数字“生活模式”,以达到强制目的。人工智能技术能够生成日益逼真的照片和视频(深度伪造技术),最终可能被用于支持意在误导和操纵的网络攻击。
(3)英国军事人工智能发展情况
英国重视人工智能的发展。战略规划方面,2021年9月,英国发布《国家人工智能战略》,提出“使英国成为全球人工智能超级大国”的十年计划。2021年3月,英国发布《综合评估报告》,明确要“成为科技超级大国,在人工智能等关键领域建立领先优势”。同月,英国防部公布题为《竞争时代的国防》战略文件,表示在未来四年内投资66亿英镑用于国防研究和开发,重点关注人工智能、自主系统等新兴技术。部门设置方面,2018年5月,英国防部宣布成立新的人工智能实验室,加强和加快人工智能技术在国防和安全挑战中的应用。2021年5月,媒体披露,英国防部装备与保障总局与英国陆军合作,成立“远征机器人专家中心”来开发自主系统,集合了政府、学术界和工业界的机器人和自主系统专家,共同评估“未开发、高风险但迅速成熟的技术”。军种方面,海军成立NELSON数字加速实验室,并建立名为NavyX的军工加速器,致力于开发自主水面舰艇和无人机。英国陆军正打造一支作战实验部队,该部队以一个步兵营为基础,成员来自全军,对半自主无人系统等新技术及其整合进行试验。空军有一个快速能力办公室,2017年以来一直在探索轻量级廉价新型作战飞机(LANCA)的选项,旨在作为“忠诚僚机”与有人飞机一起高速飞行,提供支持保护或独立执行任务。
(4)潜在风险
军事人工智能系统面临的潜在风险分为三类:①伦理与法律层面机器人系统(尤其是自主武器)如何遵守战争法的相关规定;人工智能系统造成意外时难以问责;人工智能系统对人权和个人隐私构成潜在威胁;人工智能不当使用也将导致一定风险。②作战层面被破坏的训练数据会对人工系统性能产生很大影响;当人类误用系统或误解其输出时,或者操作人员对系统信任不足时,可能会产生偏见;人工智能系统易受恶意行为者的干扰、欺骗或入侵。③战略层面军事人工智能系统可能降低战争门槛,加速局势升级,引发人工智能军备竞赛,破坏战略稳定等。
(5)小结
世界主要大国为取得军事人工智能领先地位,在许多技术、法律和伦理问题没有解决之前,就急于引进这种技术,并寻求广泛部署。需要指出的是,英国所面临的安全挑战与其他国家截然不同,先进技术并非解决安全问题的唯一手段。英国应该将保护民众安全和福祉作为安全政策的核心,转向其他可能维护国家安全的方法。
02 英国推出新政策,计划在2022年成为“全球网络强国”
英国当地时间12月15日晚,英国政府在发布了新政策。文件中制定了其在2022年成为“全球网络强国”的计划。在该声明从英国国家网络安全中心(NCSC)发布并表示,明年将会看到国家和工作人员在网络空间的“进步”。
这项决定意味着劳动力更加多元化,提升英国所有地区的网络部门水平,扩大进攻和防御网络能力,并优先考虑工作场所、董事会和数字供应链中的网络安全。事实上,多样性和包容性是该计划的关键驱动因素。英国国家网络安全中心NCSC表示,明年将推出一项新的成人计划,“将确保来自所有背景的人都能获得这些高技能、高优先级的工作”。政府机构还将支持 Cyber Runway计划,该计划旨在支持107名创新者发展和发展他们的业务,其中大多数成员公司位于伦敦和英格兰东南部以外,另外45%由女性领导,52%运营由黑人和少数民族的创始人组成。这些增长和技能计划的资金将重新定位,从大型的、通常以伦敦为基地的举措转向区域性交付模式,这将意味着英国各地的人们有更多的就业机会和更好的机会。除了重点关注多样性外,政府还计划通过Cyber Explorers 计划改善年轻人的网络教育,其中包括一个在线学习平台。
03 Fortinet发布2022年安全趋势预测
时至年关,全球网络安全领导者Fortinet的FortiGuard Labs 全球威胁情报响应与研究团队发布了《2022年全球网络安全趋势预测报告》。报告显示,2022年将是网络犯罪的高峰,勒索软件数量将显著增长,攻击者的数量也将达到空前的程度。同时,勒索软件攻击也将迅速蔓延至整个攻击面,勒索软件威胁将无处不在。在这种形势下,企业组织的IT团队将面临空前挑战。更具挑战的是,越来越多的企业组织机构转向现场和远程混合办公模式,并采用更多基于AI(人工智能)和ML(机器学习) 的技术,启用更多新的连接形式,还将更多关键业务应用和设备部署到云中,使得攻击面也随之扩大。
04 美国《2022财年国防授权法案》将新兴技术列为优先事项
据美国下一届政府网站12月10日报道,该法案重点关注人工智能、量子信息科学、5G等国防新兴技术领域。①人工智能。要求国防部全面审查人工智能投资,为人工智能融入国防部行政职能建立更清晰的路径;建立与人工智能软件、技术相关的国防部数据库,开发增强的人工智能与机器学习能力等。②量子信息科学。成立量子信息科学经济与安全影响委员会,负责评估量子信息系统投资、技术出口的经济或安全影响等主题并提出建议;要求DARPA启动项目,以“识别出军民两用量子技术相对于竞争技术具有明显优势的国防应用”,并加快该能力的发展与部署等。③5G。要求开展部署电信基础设施的试点计划,促进国防部军事设施对5G服务的使用。④数字化。要求国防部长制定数字健康战略,将新兴技术(3D打印、虚拟现实、可穿戴设备、大数据与预测分析等)纳入军事卫生系统的临床护理;增加武器系统(特别是针对电子战和辐射等非动能威胁)的生存能力与杀伤力测试,并开发应对这些威胁的数字技术等。
05 以色列举行多国金融系统网络攻击防御演习
12月9日,由以色列领导10个国家模拟了对全球金融系统的大规模网络攻击,此次演习试图加强全面合作,以共同遏制对金融市场和银行的任何潜在损害。原计划在迪拜世界博览会上举行的本次模拟演习,因新冠肺炎疫情转移到了以色列。这项称为“集体力量”倡议的邀请到美国、英国、阿拉伯联合酋长国、奥地利、瑞士、德国、意大利、荷兰和泰国的财政官员,以及国际货币基金组织(IMF)、世界银行(World Bank)、际清算银行(BIS)等国际金融机构的代表参与。
组织者表示,在最近几次针对大公司的高调网络攻击之后,类似这样的威胁是可能的。遏制此类攻击并限制其影响的最好办法是通过此类模拟演习和更密切的国际合作。与会者讨论了应对危机的国际政策,包括国际银行假日、债务偿还宽限期、主要货币脱钩。据路透社报道,演习中的模拟“显示了影响全球市场、流动性、数据完整性和进出口贸易的几种类型的攻击”。
这次网络攻击演习是以色列面临更加复杂严峻的网络安全形势下举办的。8日,以色列国家保险协会(National Insurance Institute)表示,其网站遭到黑客攻击,导致其离线。所谓的“拒绝服务”攻击并不是针对访问数据库或信息。大约两小时后,该网站重新上线。今年10月,全国网络指挥部发出一般警告所有以色列企业提醒他们潜在的网络威胁,以色列医院——希勒尔Yaffe地区医疗中心,遭遇严重的攻击,迫使它关闭其医疗保健网络。“黑影”黑客组织在没有支付赎金的情况下,于2021年10月和11月泄露了LGBTQ约会软件“Atraf”和医疗机构“Machon Mor”被黑客入侵的数据库中数十万名以色列人的个人信息,成为媒体关注的焦点。尽管缺乏确凿的证据,但该组织只针对以色列人的事实引发了他们与伊朗有关的指控。
06 黑客利用Log4Shell漏洞攻击比利时国防部
Security Affairs 网站披露,比利时国防部遭到了网络攻击,研究人员发现,威胁者似乎利用了Log4Shell漏洞。比利时国防部发言人称,黑客利用了Log4j软件中被爆出的Log4Shell漏洞。并没有提供关于这次攻击更详细的信息。但据当地媒体报道,这一安全漏洞使国防部日常工作受阻数日。比利时国防部长Ludivine Dedonder的发言人称:过去几天,国防部网络安全团队一直在努力工作,以确保其网络安全。为了防止未来发生类似事件,政府将继续投资于网络安全。据悉,Log4Shell漏洞披露后,许多APT组织立即开始在其行动中利用该漏洞。
07 尝试与黑客合作,美国国土安全部推出“Hack DHS”计划
12月14日,美国国土安全部部长亚历杭德罗·马约卡斯表示,美国国土安全部 (DHS) 推出了一项名为“Hack DHS”的漏洞赏金计划,旨在识别某些DHS系统中的潜在网络安全漏洞并提高网络安全弹性,允许黑客报告其系统中的漏洞,以换取金钱奖励。
“作为联邦政府的网络安全四分卫,国土安全部必须以身作则,不断寻求加强我们自己的系统的安全性,”部长亚历杭德罗·N·马约卡斯 (Alejandro N. Mayorkas) 说。“Hack DHS 计划激励高技能黑客在我们系统中的网络安全弱点被不良行为者利用之前识别它们。该计划是该部门如何与社区合作以帮助保护我们国家的网络安全的一个例子。”
Hack DHS 将在 2022 财年分三个阶段进行,其目标是开发一种模型,可供各级政府的其他组织使用,以提高其自身的网络安全弹性。在第一阶段,黑客将对某些 DHS 外部系统进行虚拟评估。在第二阶段,黑客将参加现场的、面对面的黑客活动。在第三个也是最后一个阶段,国土安全部将确定和审查吸取的教训,并计划未来的漏洞赏金。
Hack DHS 将利用该部门网络安全和基础设施安全局 (CISA) 创建的平台,将受多项参与规则的约束,并由 DHS 首席信息官办公室进行监控。黑客将向 DHS 系统所有者和领导层披露他们的发现,包括漏洞是什么、他们如何利用它以及它如何允许其他参与者访问信息。识别每个错误的赏金是通过使用滑动比例确定的,黑客在识别最严重的错误时获得最高的赏金。
08 Clop勒索软件团伙正在泄露英国警方机密数据
根据Security Affairs网站消息,Clop勒索软件团伙成功窃取了英国警方的机密数据,并在暗网上泄露。据悉,Clop网络犯罪团伙首要攻击目标是IT公司Dacoll,网络犯罪分子利用网络钓鱼攻击破坏了该公司系统。糟糕的是,该公司可以访问英国警方计算机中心,勒索软件操作者成功进入系统后,盗取了一些英国警方掌握的机密信息。
《邮报》披露,安全漏洞发生在10月,Clop勒索软件运营商获得了由Dacoll管理的数据,包括PNC(英国警察计算机网络)的数据,共包含有1300万人的个人信息和记录。该团伙正在暗网的泄漏网站上发布被盗数据。Dacoll发言人称。可以确认,公司在10月5日遭遇了网络攻击,但是已经迅速恢复了正常运营工作。此次事件仅仅影响了企业的内部网络,不影响任何客户的网络或服务。
据《每日邮报》报道,Dacoll公司拒绝付款,也没有透露勒索软件团伙所要求的赎金数额。该公司还没有透露安全漏洞的程度,以及还有哪些信息被盗。但是根据媒体消息,Clop组织盗窃的文件包括从国家自动车牌识别(ANPR)系统中流出的驾驶者图像、录像以及犯有交通违法行为的驾驶者的面部特写图像。因Dacol公司拒绝支付赎金,网络犯罪团伙Clop已经在暗网上公布了这些资料并威胁说接下来还会有更多的爆料。
09 数十亿WIFI芯片存在数据泄露和流量操控
2021年12月15日,来自达姆施塔特大学、布雷西亚大学、CNIT 和安全移动网络实验室的一组研究人员发现WiFi芯片中的安全漏洞,通过利用这些漏洞来定位设备的蓝牙组件,并提取密码和操纵WiFi芯片上的流量。
根据专家发表的研究论文,现代移动设备使用独立的无线芯片来管理蓝牙、Wi-Fi 和 LTE 等无线技术。这些芯片共享组件和资源,例如相同的天线或无线频谱,以提高设备的效率,从而降低能耗和通信延迟。利用这些共享资源跨无线芯片边界就可以发起横向提权攻击。
10 美陆军将制定数据结构计划
据美国《防务新闻》12月11日报道,美陆军网络跨职能小组负责人杰斯·雷伊、陆军“联合全域指挥控制”工作牵头人丹尼斯·克拉尔等多名网络领域负责人举行研讨会,探讨“陆军对最新网络技术的需求”,会议提出,创建一个允许各级部队之间共享信息的数据结构,是美陆军整体网络现代化的关键内容。陆军当前的数据环境主要面临以下挑战:如何了解可用的数据、如何访问受限环境中的数据、如何部署数据分析工具并准确实现分析结果的可视化。
来源:奇安信威胁情报中心、互联网安全内参、隐私计算联盟、国防科技要闻、E安全、Fortinet防特网、互联网安全内参、FreeBuf
热门跟贴