美國NSA發(fā)布《2022年網(wǎng)絡(luò)安全年回顧》等七則

美國NSA發(fā)布《2022年網(wǎng)絡(luò)安全年回顧》

美國“國家安全局（NSA）”官網(wǎng)2022年12月15日消息，NSA當日發(fā)布了《2022年網(wǎng)絡(luò)安全年回顧》，以分享其任務(wù)重點，并展示其如何為國家創(chuàng)造網(wǎng)絡(luò)安全成果。

該報告介紹NSA的任務(wù)重點：一是與業(yè)界合作，加強數(shù)十億個端點以應(yīng)對活躍和持續(xù)的民族國家威脅；二是向供應(yīng)商披露數(shù)十個零日漏洞，以便在國家行為者利用它們之前進行補救；三是公開發(fā)布網(wǎng)絡(luò)安全指南，以防范活躍的對手和網(wǎng)絡(luò)犯罪威脅并強化系統(tǒng)；四是通過美國國家安全局網(wǎng)絡(luò)安全標準中心確保新興技術(shù)的標準；五是研究和提供保護國家網(wǎng)絡(luò)生態(tài)系統(tǒng)的工具和技術(shù)進步。但報告也指出，NSA為保護國家所做的許多關(guān)鍵工作都無法公開披露。

此外，2022年的報告強調(diào)了NSA通過強大的合作伙伴關(guān)系擴大網(wǎng)絡(luò)安全解決方案的能力，從而提高了速度和靈活性。報告指出，NSA的合作伙伴關(guān)系牢固且不斷發(fā)展。NSA的網(wǎng)絡(luò)安全協(xié)作中心（CCC）在過去一年中將其行業(yè)合作伙伴關(guān)系增加了一倍，達到300多個合作關(guān)系。而關(guān)于提供關(guān)鍵安全和安全基礎(chǔ)設(shè)施方面的努力，報告指出，NSA通過加密保護全球數(shù)百萬設(shè)備，并管理為這些設(shè)備提供密鑰的基礎(chǔ)設(shè)施。與此同時，NSA通過資助GenCyber夏令營、“破碼挑戰(zhàn)賽”、NSA網(wǎng)絡(luò)演習和國家網(wǎng)絡(luò)安全學術(shù)卓越中心等項目，加強從幼兒園到大學的網(wǎng)絡(luò)安全教育。

（程晨譯）

美國ITI為歐理會輪值主席國瑞典提出十項建議 以支持歐洲的全球 競爭力和數(shù)字領(lǐng)導力

美國“信息技術(shù)產(chǎn)業(yè)理事會（ITI）”官網(wǎng)2022年12月12日發(fā)布文件《實現(xiàn)有競爭力和開放的歐洲數(shù)字經(jīng)濟》，為即將上任的歐盟理事會輪值主席國瑞典提出十項關(guān)鍵政策建議，以支持歐洲的全球競爭力和數(shù)字領(lǐng)導力，并保持開放和具有競爭性的單一市場。這十項建議涉及歐洲關(guān)鍵技術(shù)舉措和立法程序，ITI承諾，“隨時準備支持瑞典輪值主席國為創(chuàng)新創(chuàng)造有利環(huán)境”。

ITI的十項政策建議，旨在通過支持瑞典在輪值主席國任期內(nèi)（2023年1月1日至6月30日）數(shù)字議程的發(fā)展和實施，進一步推動歐洲在全球數(shù)字經(jīng)濟中的領(lǐng)導地位：一是數(shù)據(jù)法案。為數(shù)據(jù)共享和可移植性建立一個平衡和公平的框架，并在立法過程中將監(jiān)管質(zhì)量置于速度之上；二是人工智能。確保對監(jiān)管中的人工智能采取基于風險和創(chuàng)新友好的方法，特別是通用人工智能；三是歐盟《網(wǎng)絡(luò)彈性法案》。明確立法范圍和合規(guī)性評估程序，并使該法案與現(xiàn)有立法和國際標準保持一致；四是半導體。迅速實施《歐洲芯片法案》，以提高半導體供應(yīng)鏈的彈性；五是歐洲云認證計劃。建立基于健全的技術(shù)網(wǎng)絡(luò)安全要求的云認證計劃；六是跨大西洋數(shù)據(jù)流。迅速敲定“歐盟-美國數(shù)據(jù)隱私框架”，以提供法律確定性；七是美國-歐盟貿(mào)易技術(shù)理事會（TTC）。促進合作取得碩果，避免雙方的歧視和排斥性政策；八是打擊網(wǎng)絡(luò)兒童性虐待。采取積極且穩(wěn)健的做法，保護隱私和基本權(quán)利；九是《可持續(xù)產(chǎn)品生態(tài)設(shè)計法規(guī)》（ESPR）。在保持創(chuàng)新的同時提高產(chǎn)品的可持續(xù)性；十是網(wǎng)絡(luò)使用費。評估干預(yù)的必要性，確保透明和包容的協(xié)商過程。

（陶蔓茜譯）

歐盟發(fā)布《歐盟-美國數(shù)據(jù)隱私框架充分性決定》草案

比利時“歐盟動態(tài)（EurActiv）”網(wǎng)站2022年12月13日消息，當日，歐盟委員會發(fā)布《歐盟-美國數(shù)據(jù)隱私框架充分性決定》草案，啟動了通過該充分性決定的程序，但將面臨更多的法律挑戰(zhàn)。

該草案是在美國總統(tǒng)拜登10月簽署《保障信號情報收集活動行政令》之后出臺的，該行政命令旨在為歐盟居民的個人數(shù)據(jù)引入保障措施，特別是限制美國情報機構(gòu)的訪問，并引入獨立的補救機制。歐盟司法專員迪迪?！だ锥鞯滤乖谝环萋暶髦斜硎?，在過去的幾個月里，歐盟評估了行政命令在保護個人數(shù)據(jù)方面的法律框架，“我們現(xiàn)在有信心進行下一步進程”。歐盟委員會認為，基于行政命令的新法律框架可與歐洲數(shù)據(jù)保護標準相媲美，這意味著歐盟居民的個人數(shù)據(jù)可以在大西洋彼岸安全合法地傳輸。歐盟公布這一草案，只是批準外國司法管轄區(qū)擁有足夠數(shù)據(jù)保護水平的程序的第一個正式步驟，下一步將由歐洲數(shù)據(jù)保護委員會（EDPB）發(fā)布意見。該充分性決定將需要由各成員國國家代表組成的委員會在正式通過之前批準，歐盟委員會希望在2023年夏天實現(xiàn)這一目標。

該草案也引發(fā)了質(zhì)疑。奧地利律師馬克斯·施雷姆斯表示，“該草案是基于已知的行政命令，我無法核實它的法律效力，歐盟委員會似乎只是一次又一次地發(fā)布類似的決定，這侵犯了公民的基本權(quán)利”。關(guān)于法律救濟機制，施雷姆斯還質(zhì)疑行政命令設(shè)立的數(shù)據(jù)保護審查法院是否是一個實際的法院，因為它將是美國行政部門的一部分，在他看來，這一安排是歐盟最高法院此前否決的監(jiān)察員制度的升級版。對此，歐盟司法專員雷恩代爾堅信該草案的權(quán)威性，并邀請質(zhì)疑者通過質(zhì)疑美國情報機構(gòu)的一些決定來測試補救機制。

（凌怡譯）

歐洲議會、歐盟理事會及歐盟委員會 簽署歐洲數(shù)字十年的《數(shù)字權(quán)利和原則宣言》

“歐盟理事會”官網(wǎng)2022年12月15日消息，為確保歐盟實現(xiàn)符合其價值觀的數(shù)字轉(zhuǎn)型目標，歐洲議會、歐盟理事會及歐盟委員會于當日在最高政治級別上簽署了歐洲數(shù)字十年的《數(shù)字權(quán)利和原則宣言》（以下簡稱《宣言》。該《宣言》將作為政策制定者、企業(yè)和其他相關(guān)行為者開發(fā)和部署新技術(shù)時的參考。

《宣言》指導政策制定者反思其數(shù)字化轉(zhuǎn)型愿景，即將人置于數(shù)字化轉(zhuǎn)型的中心；通過互聯(lián)互通、數(shù)字教育、培訓和技能、公平公正的工作條件以及獲得在線數(shù)字服務(wù)，支持團結(jié)和包容；重申在與算法和人工智能系統(tǒng)交互以及在公平的數(shù)字環(huán)境中選擇自由的重要性；促進參與數(shù)字公共空間；提高數(shù)字環(huán)境中的安全、保障和賦權(quán)，特別是針對兒童和年輕人，同時確保隱私和個人對數(shù)據(jù)的控制；促進可持續(xù)發(fā)展。該宣言還提到了以開放方式實現(xiàn)數(shù)字主權(quán)、尊重基本權(quán)利、法治和民主、包容、無障礙、平等、可持續(xù)性、復(fù)原力、安全、改善生活質(zhì)量、提供服務(wù)以及尊重每個人的權(quán)利和愿望，推動歐盟建立一個充滿活力、資源高效、公平的經(jīng)濟和社會。歐盟理事會為突出國際層面做出的貢獻，特別在《宣言》的前言部分提及普遍人權(quán)，也是為了激勵歐盟境外的合作伙伴。關(guān)于隱私問題，《宣言》指出應(yīng)保證公民的通信保密性，并保護他們免受非法跟蹤或攔截。

（崔露方譯）

歐盟及愛爾蘭投資1000萬歐元建設(shè)量子通信基礎(chǔ)設(shè)施

綜合愛爾蘭“Silicon Republic”、“Business Plus”網(wǎng)站2022年12月23日消息，作為歐盟量子通信基礎(chǔ)設(shè)施（EuroQCI）項目的一部分，愛爾蘭量子通信基礎(chǔ)設(shè)施（IrelandQCI）將分別從愛爾蘭政府和歐盟獲得500萬歐元（約合人民幣3710萬元）投資，共計1000萬歐元（約合人民幣7420萬元）。

該項目將通過把量子設(shè)備和系統(tǒng)整合到傳統(tǒng)的通信基礎(chǔ)設(shè)施中，建立量子密鑰分發(fā)（QKD）基礎(chǔ)設(shè)施。項目建設(shè)期為30個月。建成的新量子通信基礎(chǔ)設(shè)施（QCI）網(wǎng)絡(luò)的主要功能將是實現(xiàn)一種超安全的加密形式，這樣數(shù)據(jù)就可以安全地傳輸，而不會有被黑客攻擊的風險。新網(wǎng)絡(luò)將用于研究目的，并允許政府、機構(gòu)和公司開始進行相關(guān)能力建設(shè)，并加強保護關(guān)鍵基礎(chǔ)設(shè)施、數(shù)據(jù)資產(chǎn)和加密系統(tǒng)的技能。IrelandQCI團隊還希望進一步建立該國的量子技術(shù)生態(tài)系統(tǒng)。領(lǐng)導該項目的愛爾蘭東南理工大學沃爾頓研究所所長戴爾德麗·基爾班博士稱該項目是“在愛爾蘭建立量子互聯(lián)網(wǎng)的第一步”。其他參與者包括多所高校、愛爾蘭高端計算中心、愛爾蘭的國家研究和教育網(wǎng)絡(luò)機構(gòu)HEAnet和ESB電信。

（王葳譯）

Check Point Software發(fā)布預(yù)測稱意識形態(tài)攻擊將在2023年繼續(xù)增長

美國“Technology Magazine”網(wǎng)站2022年12月27日報道，網(wǎng)絡(luò)安全解決方案提供商Check Point Software發(fā)布了其對2023年的網(wǎng)絡(luò)安全預(yù)測，詳細介紹了各組織在未來一年將面臨的主要安全挑戰(zhàn)。其對2023年網(wǎng)絡(luò)安全的預(yù)測分為四類：惡意軟件和網(wǎng)絡(luò)釣魚，黑客激進主義，新出臺的政府法規(guī)，以及安全鞏固。

一是2023年勒索軟件生態(tài)系統(tǒng)將繼續(xù)演變和增長，形成更小、更靈活的犯罪集團以逃避執(zhí)法。犯罪分子還將擴大目標，利用網(wǎng)絡(luò)釣魚攻擊商業(yè)協(xié)作工具。過去一年，黑客激進主義已經(jīng)從形式靈活的社會團體（如“匿名者”）演變?yōu)楦薪M織、更有結(jié)構(gòu)、更復(fù)雜的國家支持團體，且這些意識形態(tài)攻擊將在2023年繼續(xù)增長。二是深度偽造技術(shù)將越來越多地用于定位和操縱意見，或誘騙員工交出訪問權(quán)限。三是2023年，除了效仿《一般數(shù)據(jù)保護條例》等現(xiàn)有措施外，更多政府將效仿新加坡，成立機構(gòu)間的工作組，打擊勒索軟件和網(wǎng)絡(luò)犯罪，共同應(yīng)對對商業(yè)和消費者日益增長的威脅。此外，汽車行業(yè)已開始采取措施保護車主的數(shù)據(jù)，讓制造商對其產(chǎn)品漏洞負責。四是到2022年，全球網(wǎng)絡(luò)技能差距擴大了25%以上。安全團隊需要整合其IT和安全基礎(chǔ)設(shè)施，以提高防御能力，減少工作量，幫助他們防御威脅。

（胡憶琦譯）

Gartner發(fā)布2023年八大網(wǎng)絡(luò)安全趨勢預(yù)測

美國“VentureBeat”網(wǎng)站2022年12月2日消息，近日網(wǎng)絡(luò)安全機構(gòu)Gartner的頂級分析師分享其對2023年全球網(wǎng)絡(luò)安全八大趨勢的預(yù)測，并指出隨著俄烏沖突持續(xù)和經(jīng)濟不確定性增加，網(wǎng)絡(luò)安全威脅不斷增加。

主要表現(xiàn)在：一是供應(yīng)鏈和地緣政治風險將主導網(wǎng)絡(luò)安全。廣泛的地緣政治風險明年將繼續(xù)存在；許多組織將面臨供應(yīng)鏈風險、云基礎(chǔ)設(shè)施的攻擊風險、分布式拒絕服務(wù)攻擊以及數(shù)據(jù)盜竊或丟失。組織必須建立有效的安全控制來管控供應(yīng)鏈風險。二是新興的架構(gòu)模式將簡化網(wǎng)絡(luò)安全產(chǎn)品復(fù)雜程度。網(wǎng)絡(luò)安全網(wǎng)格架構(gòu)（CSMA）旨在實現(xiàn)單一控制；提供集成機器學習、編排和自動化；并支持第三方融合。CSMA將幫助組織簡化管理多點產(chǎn)品的復(fù)雜性。三是零信任將在風險管理中發(fā)揮關(guān)鍵作用。零信任架構(gòu)（ZTA）取代隱式信任的架構(gòu)，以適應(yīng)風險優(yōu)化安全態(tài)勢。到2023年，企業(yè)將越來越多地使用ZTA來增強整體安全態(tài)勢，優(yōu)化組織的風險態(tài)勢。四是DevSecOps（開發(fā)、安全和運營）將成為業(yè)務(wù)關(guān)鍵。2023年，安全團隊越來越多地使用DevSecOps（開發(fā)、安全和運營）系統(tǒng)模式。安全性必須成為開發(fā)流程和自動化不可或缺的一部分。五是自動化的安全操作（secops）將增強主動和檢測能力。安全操作自動化正處于快速發(fā)展時期。到2023年，安全運營專業(yè)人員應(yīng)該通過自動化在他們的計劃中尋求收益，通過安全操作增強主動能力。六是網(wǎng)絡(luò)安全將體現(xiàn)數(shù)據(jù)中心架構(gòu)。據(jù)估計，企業(yè)存儲的數(shù)據(jù)中有55%到80%以上是暗數(shù)據(jù)。到2023年，組織必須專注于用以數(shù)據(jù)為中心的視圖覆蓋其核心安全架構(gòu)。七是EDR和MTD模式將得到采用。端點檢測和響應(yīng)（EDR）及托管威脅檢測（MTD）等解決方案不僅可以提供預(yù)防功能，還可以提供檢測和響應(yīng)功能，有助于縮短從成功攻擊中恢復(fù)的時間。八是人為操作的勒索軟件將成為更大的威脅。隨著高級攻擊不斷涌現(xiàn)，人為操作的勒索軟件正成為不可避免的威脅，隨著這些勒索軟件團伙使用越來越復(fù)雜的技術(shù)，安全團隊必須相應(yīng)地調(diào)整他們的保護策略。

（徐陽華、任加勉譯）