|
|
DHS发布《关键基础设施中人工智能的角色和责任框架》
|
|
|
NSA发布《可信平台模块的使用指南》
|
|
|
ENISA发布有关NIS2指令中的安全措施实施指南文件
|
|
|
ENISA推进《网络弹性法案》的实施
|
|
|
CISA联合其他网络机构发布年度利用安全漏洞报告
|
|
|
NIST发布《系统和组织的网络安全供应链风险管理实践》
|
|
|
NIST发布了两项关于个人身份验证(PIV)证书的指南
|
|
|
NIST发布《硬件安全故障场景:潜在的硬件弱点》
|
|
|
NIST举办2024年手风琴密码模式研讨会
|
DHS发布《关键基础设施中人工智能
的角色和责任框架》
2024年11月14日,美国土安全部(DHS)发布了《关键基础设施中人工智能的角色和责任框架》(Roles and Responsibilities Framework for Artificial Intelligence in Critical Infrastructure)。该框架是与行业和民间社会的首次合作,为推进美国关键基础设施中负责任地使用人工智能提供了有益指导。
该框架为人工智能供应链每个层面的实体进行指导,这些实体包括云服务和计算机提供商、人工智能开发者、关键基础设施所有者和运营商,以及保护消费者的民间社会和公共部门实体等。该框架是由DHS设立的公私咨询委员会和人工智能安全与安保委员会进行大量研究形成的成果。DHS认识到,需要明确指导人工智能供应链的各个层面,让其在美国关键基础设施中安全可靠地部署人工智能。
2024年11月7日,美国国家安全局(NSA)发布了《可信平台模块的使用指南》(Guidance for using Trusted Platform Modules,TPMs),旨在保护计算设备,加强国防部(DoD)企业基础设施的安全性。
TPM是一种嵌入大多数企业计算系统的安全解决方案。当前DoD的许多设备都要求配备TPM,以帮助保护用户凭证和存储的数据。这份使用指南涵盖了使用TPM进行资产管理、检查硬件供应链以及在启动时监控系统完整性等内容。该指南还提出了使用TPM的潜在方式,包括持续供应链安全、持续完整性监控以及无需手动干预的设置。
ENISA发布有关NIS2指令中
的安全措施实施指南文件
2024年11月7日,欧盟网络安全局(ENISA)发布《NIS2指令中的安全措施实施指南》(Implementation guidance on NIS2 security measures),面向公众征求意见。
该指南旨在支持欧盟成员国和相关实体实施NIS2指令的网络安全风险管理措施。具体内容包括:
(1)执行要求的建议和概念解释;
(2)满足要求的证据示例;
(3)将实施指南中的安全要求映射至相关标准的对应关系。
NIS2指令要求欧盟成员国将其纳入本国法律,旨在提高欧洲的网络安全水平,并增强欧盟关键部门的弹性。该指南特别提及DNS服务、云计算、数据中心、CDN等多个子部门的技术和要求,由ENISA与欧盟委员会及成员国合作制定。
2024年11月4日,欧盟网络安全局(ENISA)召开网络安全弹性和市场会议,以“通过加强协作保障数字统一市场”为主题,聚焦于推进欧盟网络安全监管框架建设及《网络弹性法案》(Cyber Resilience Act,CRA)的实施。
此次会议的中心主题旨在通过强有力的欧盟网络安全监管框架来保护数字统一市场。与会者呼吁各利益相关方与欧洲网络安全能力中心(ECCC)、英国国家计算教育中心(NCC)和ENISA联合,建立统一的监管制度,促进市场准入。与会者分享了对欧盟网络安全市场未来发展的见解,强调合作和公开对话对加强数字统一市场的重要性。此外,会议讨论了新兴技术发展趋势,强调了各方合作在保护数字生态系统中的关键作用。
CISA联合其他网络机构发布
年度利用安全漏洞报告
2024年11月12日,美国网络安全和基础设施安全局(CISA)、美国国家安全局(NSA)、联邦调查局(FBI)、联合澳大利亚信号局网络安全中心(ASD ACSC)、加拿大网络安全中心(CCCS)、新西兰国家网络安全中心(NCSC-NZ)、新西兰计算机应急响应小组(CERT NZ)以及英国国家网络安全中心(NCSC-UK)发布了《2023年最常被利用漏洞》(2023 Top Routinely Exploited Vulnerabilities)年度网络安全公告。
该公告公布了2023年网络犯罪分子最常利用的15个公开披露的网络安全漏洞(Common Vulnerabilities and Exposures, CVE),还附带了一份更全面的常被利用漏洞清单,以帮助从业者进行趋势分析和回顾历史数据。该公告呼吁软件供应商、设计人员和开发者加强安全设计,优先采用默认安全配置,并在发布CVE时确保包含正确的常见缺陷枚举(CWE),以便更好地识别漏洞。同时,报告建议终端用户组织及时为系统打补丁,实施集中式补丁管理系统,部署如端点检测与响应(EDR)、Web应用程序防火墙(WAF)、网络协议分析仪的安全工具,并向软件供应商了解其安全设计计划。
NIST发布《系统和组织的网络安全
供应链风险管理实践》
2024年11月1日,NIST发布特别出版物SP 800-161 r1《系统和组织的网络安全供应链风险管理实践》(Cybersecurity Supply Chain Risk Management Practices for Systems and Organizations)初版草案,面向公众征求意见。
NIST SP 800-161 r1旨在为组织在其所有级别的供应链中识别、评估和减轻网络安全风险提供指导。该指南中给出了通过应用多层级的、专注于网络安全供应链风险管理的方法,包括网络安全供应链风险管理的战略实施规划、策略、计划以及对产品和服务的风险评估等方面的实践指南,将网络安全供应链风险管理集成到组织的风险管理活动中。
