时间:2021-05-24 15:44:48 来源:中国信息安全、信安标委等 责任编辑:商密君
重要事件回顾,智览网安行业发展。近日国内外网安行业发生了哪些重要事件,呈现出了怎样的发展态势呢?杂志社联合中国网安科技情报研究团队将从行业大角度出发,带领大家回顾近日国内外行业的重要事件,探究其中的发展态势。
1、零信任发展趋势论坛召开 产业零信任防御体系加速部署2、《5G网络安全标准化白皮书 (2021版)》发布3、美国将在2021年5月27日公布完整的2022财年预算4、英国国家网络安全中心:专家制定蓝图,保护未来智慧城市10、美国陆军开发出深度伪造检测技术:DefakeHop11、2021年数据泄露调查报告:85%的数据泄露涉及人的因素零信任发展趋势论坛召开 产业零信任防御体系加速部署
5月14日,由中国信息通信研究院、产业互联网发展联盟指导,腾讯安全主办的零信任发展趋势论坛在上海举行。峰会以“以零信任 重建信任”为主题,汇聚了中国工程院院士倪光南,中国信息通信研究院副总工程师王爱华,产业互联网发展联盟常务副秘书长陈胜喜,腾讯副总裁丁珂,腾讯副总裁、腾讯研究院院长司晓等,来自产学研用各个领域的专家学者、行业大咖,围绕零信任的趋势解读、案例实践、合规治理等维度展开讨论,为数字时代企业安全治理,提供了从理论到实践角度的指导,加速打造零信任落地部署的“中国样本”。会上,基于腾讯自身实践的零信任解决方案正式亮相,为不同业务场景和体量的企业提供安全解决方案。与此同时,为推动国内零信任标准的统一,国内首个零信任产业标准工作组进一步升级,为产业标准的融合打开了新局面;腾讯研究院、腾讯安全联合Gartner共同发布零信任行业白皮书。5月10日上午,在全国信息安全标准化技术委员会2021年第一次工作组“会议周”上,《5G网络安全标准化白皮书》正式发布。白皮书由中国移动通信集团有限公司、中国电子技术标准化研究院、中国信息通信研究院等15家企事业单位共同编制。白皮书分析了5G网络安全相关政策背景、产业发展现状和关键技术特性,从管理、技术、应用等视角梳理了5G网络面临的安全风险和标准化需求,研究提出5G网络安全标准框架和下一步标准研制工作建议,为规范引导5G网络安全标准化工作提供参考。美国将在2021年5月27日公布完整的2022财年预算
2021年5月13日,白宫宣布,美国总统乔·拜登(Joe Biden)的第一份全面预算申请将于2021年5月27日公布,其中包括期待已久的五角大楼的细节。拜登政府在2021年4月初宣布,2022年财政预算要求7530亿美元的国家安全资金,其中包括国防部的7150亿美元。当时公布这一“精简预算”时,很多细节都省略了,当然这是新一届政府普遍需要的一个过程,他们需要更多时间来制定其第一个预算请求。新的预算请求可能不包括未来几年国防项目预算的准确数字。预计它将尝试与现有体系分割开来,而国会经常在加价过程中逆转这一做法。共和党议员对7150亿美元的预算请求进行了反击,称这与上届政府提出的国防开支每年增长3-5%的需求不符。与此同时,民主党人正在寻找进一步削减开支的方法。英国国家网络安全中心:专家制定蓝图,保护未来智慧城市
5月14日,英国国家网络安全中心发布了一系列原则,作为地方当局和合作伙伴构建安全智慧城市的参考依据。原则将帮助市政局把握智慧城市带来的机遇,同时保护关键的公共服务免受网络攻击的威胁。新原则概述了如何安全地设计、管理和建设智慧城市。智慧城市技术的示例包括使用传感器监控污染水平以减少排放,使用停车传感器提供有关空间可用性的实时信息以及配置为减少拥堵的交通信号灯。这项技术可以帮助理事会努力实现零碳净排放,提供更可持续的环境并提高服务效率。尽管智慧城市为公民带来了巨大收益,但由于它们提供的关键功能和处理的敏感数据,也成为网络攻击的潜在目标。如果设计不当,那么智慧城市中单个系统的危害可能会对整个网络产生负面影响。《智慧城市网络安全指南》的发布旨在通过帮助英国国家网络安全中心来建立英国智慧城市更高级别的安全要求和原则要求。该原则的发布是在英国国家网络安全中心的CYBERUK 2021虚拟会议(5月11日至12日)之前进行的,该会议的主题是讨论智慧城市的风险和机遇。2021年5月12日,美国总统拜登签署名为“加强国家网络安全的行政命令”(Executive Order on Improving the Nation’s Cybersecurity)以加强网络网络安全和保护联邦政府网络。SolarWinds供应链攻击事件、微软exchange漏洞、COLONIAL PIPELINE输油管道事件等近期发生的网络安全事件使得美国政府和人民意识到来自网络的复杂恶意活动,也暴露出网络安全防御能力不足等问题,使得公私部门使得更容易受到相关事件的影响。(1)政策(2)移除威胁信息共享的障碍(3)联邦政府网络安全现代化(4)增强软件供应链的安全(5)成立网络安全审查委员会(6)联邦政府网络安全漏洞和事件应急响应标准化(7)加强联邦政府网络中网络安全漏洞的检测能力(8)加强联邦政府网络安全事件的调查(9)修复能力、国家安全系统2021年5月10日,美国政府问责局(GAO)发布《国防导航能力技术评估》报告,对国防部将GPS作为其定位导航与授时(PNT)能力核心基石的策略提出质疑,并对国防部正在发展的可替代PNT技术进行评估。报告针对三个问题进行了讨论:第一、国防部如何满足未来PNT的需求和能力,以及可替代PNT技术的局限性;第二、可替代PNT技术如何实现相互集成以及与目前的PNT能力集成;第三、如何制定政策解决可替代PNT技术在发展及集成方面的各项挑战。针对上述三个问题,GAO对技术研究成果、机构文件以及其他关键报告进行了审查,并就可替代PNT技术采访了政府官员和研究人员,以及召开了为期3天,由政府、非政府机构、学院和各行业参加的专家会议,确定了政府选择方向。这份长达51页的报告全面介绍了国防部的可替代PNT政策及其主导地位。报告指出,决策者“可以考虑选择最具弹性的技术作为应用于军事任务的PNT基石,而不是默认使用GPS。”5月11日C4ISRNET网站报道,一组美国最高国家安全机构2021年5月10日在一份报告中警告称,美国的对手国对5G标准的影响是对其未来先进通信网络安全的主要威胁。美国国家安全局、美国国土安全部网络安全与基础设施安全局和美国国家情报总监办公室的报告称,“5G技术的标准制定机构易受美国对手国家的‘不当影响’,对手国希望推动专有技术,并限制未来与其他技术的互操作性”。该报告列出了第五代通信网络面临的一系列其他威胁,包括5G设备的供应链风险和网络架构不安全。美国尝试迅速采用新兴技术,以在5G领域占据主导地位,可能迫使美国在网络中使用不受信任的供应商。报告建议,5G国际标准和政策必须公开、透明并达成共识。华盛顿消息:美国国防部副部长凯瑟琳·希克斯(Kathleen Hicks)发布了一项新计划,用于管理和从国防部庞大的数据存储中学习,这是一项简单的法令:任何国防部数据都是整个机构的资源。换句话说,部门必须将数据视为战略资产,并避免将其有价值的信息固定在自己的独立存储系统中。凯瑟琳·希克斯的指令于5月10日宣布,这是美国国防部的又一个信号,它认识到利用数据进行决策是其未来作战概念的核心,该概念将跨域和军种的传感器和射击者连接在一起。希克斯优先考虑共享数据,按照通用标准进行存储以使其具有广泛的用途,并使用可靠的安全方法对其进行保护。她的备忘录于本月初签署,列出了五项指令,以确保数据可用于联合全域指挥和控制:1.“最大化数据共享和数据使用权利:所有DoD数据都是企业资源。2.“将数据资产连同通用接口规范一起发布在DoD联合数据目录中。3.“使用外部可访问且机器可读的自动化数据接口;确保接口使用行业标准的非专有(最好是开源的)技术,协议和有效负载。4.“以与平台和环境无关的方式存储数据,而与硬件或软件依赖性无关。5.“实施行业最佳实践,以进行静态、传输和使用中的数据的安全身份验证、访问管理、加密、监视和保护。5月11日,韩国国防发展局(ADD)宣布已完成态势感知与避碰导航技术的开发,旨在使无人机能够自主躲避威胁和障碍。新导航系统使用安装在无人机上的传感器收集外部信息,并自动生成操作平台算法。该项技术允许无人机自主设定最佳飞行路径,以应对近距离的潜在威胁,并安全抵达目的地。该技术将有效提高军用无人机在未来战场上的生存能力。新导航和任务管理技术的开发始于2017年,ADD表示,目前计划将其纳入集群式无人机和复杂无人机系统的开发中。美国陆军开发出深度伪造检测技术:DefakeHop
近日,陆军研究人员宣布开发出一种深度伪造检测方法,可以开发出先进的军用技术来帮助士兵快速检测和识别深度伪造相关威胁。这项研究工作的目标是开发出轻量化的、低训练成本、高性能的面部生物特征识别技术,可以满足士兵在战斗中对随身设备的尺寸、重量和功率要求。美国陆军作战能力发展指挥部(DEVCOM)、陆军研究实验室(ARL)与南加州大学教授c-c Jay Kuo的研究小组着手解决深度伪造对社会和国家安全构成的重大威胁。研究成果就是一个称为DefakeHop的创新技术解决方案。研究团队认为,深度伪造技术对军事和日常生活都有影响(威胁),而在对抗深度伪造的研究领域,DefakeHop方案相比现有技术有着显著优势,为人工智能、计算机视觉、智能场景理解和面部生物特征识别等人工智能领域的研究提供了全新的范型和知识。2021年数据泄露调查报告:85%的数据泄露涉及人的因素
近日,威瑞森发布《2021年数据泄露调查报告》,Web应用攻击导致了去年39%的数据泄露事件,而网络钓鱼攻击比上一年猛增11%,勒索软件增长6%。报告基于全球83家贡献者的5358起数据泄露事件分析,着重描述了新冠肺炎疫情所致远程办公和云端迁移潮如何为网络罪犯开辟新的途径。威瑞森发现,61%的数据泄露与凭证数据有关。与上一年的报告一脉相承,人为疏忽依然是安全的最大威胁。数据泄露调查报告中的每个行业在安全上都存在自身特有的细微差异。例如,金融和保险行业被盗数据中83%都是个人数据。医疗保健行业深受电子病历或纸质文件误投的困扰。而在公营产业中,社会工程是攻击者的技术之选。按地区划分,亚太地区的数据泄露通常出于金融动机,由网络钓鱼攻击造成。在欧洲、中东和非洲,Web应用攻击、系统入侵和社会工程攻击是常态。威瑞森《数据泄露调查报告》中还有以下一些数据值得深入思考:· 勒索软件出现在10%的数据泄露事件中,比上一年增加了一倍。· 在安全事件和数据泄露中,外部云资产被盗的情况比内部资产被盗更常见。5月17日,RSAC峰会如约在线上举行,今年大会的主题是“弹性(RESILIENCE)”。RSA公司的CEO Rohit Ghai先生在会议开始时做了一热情洋溢的主旨演讲《弹性的历程》。报告指出,目前,全球的网络正在遭受前所未有的网络攻击,但是,我们在整体上还是经受了住了这种挑战;网络安全正在变成一个以弹性为基础的行业,是一个适应、创新和发展的行业;Rohit Ghai先生呼吁网络安全行业进一步交流并探索网络弹性的经验与知识,共同保护网络网络关键设施和我们的网络家园。在5月17日当天,还举行了6个跟弹性有关的报告和研讨,涉及战略、技术、产品和应用等各个方面。RSA公司Ghai先生在报告中指出,当前网络的规模和复杂性急剧扩大;网络安全防护方要处理跨不同云提供商的多个互连技术栈,面对一片混沌(Chaos)的状态。网络防护方要正视这种现实,但要努力突破混沌、提高系统的可见性。“一旦有了可见性,就可以使用威胁情报来了解最可能的对手以及他们使用的方法。”Ghai先生强调了零信任对于实现弹性网络的重要性。零信任既是一种理念,也是一种体系结构。利用微分段来划分网络,并提供应用层威胁防护,以及使用基于风险的连续多因子身份验证作为关键组件。“最重要的是将信任限制在绝对需要的范围内,决不要基于不可靠的因素提高信任。” 弹性还与风险管理紧密相关。风险分析是开展弹性网络建设的第一步,通过基于风险确定优先级并保护最重要的事物。“我们必须保护代表最大风险的网段,而不是我们看到最多漏洞的地方。”Ghai认为NIST网络安全框架在基于风险的网络安全方法方面做得非常出色,每个组织都需要部署集成的风险管理解决方案,并实施量化的网络安全风险管理。
(文章来源:中国信息安全、信安标委等)
注:来源于互联网内容,版权归作者所有,如有侵权,请联系告知,我们将尽快处理。