2024年第9期《网络安全国际动态》

2024年9月26日，美国国家安全局（NSA）联合美国网络安全与基础设施安全局（CISA）、加拿大网络安全中心（CCCS）、新西兰国家网络安全中心（NCSC-NZ）、澳大利亚网络安全中心（ACSC）和英国政府通信总局（GCHQ）发布了一份网络安全技术报告《检测和缓解活动目录（AD）入侵》（Detecting and Mitigating Active Directory Compromises），旨在针对入侵活动目录（Active Directory，AD）的常见技术提供预防和检测策略。

AD是全球企业信息技术网络中最广泛使用的身份验证和授权解决方案。该报告介绍了入侵AD域服务、AD联合身份验证服务和AD服务证书等常见技术。恶意行为者可以通过获得AD的控制权而拥有AD管理的所有系统和用户的特权访问权限。这使得恶意行为者可以绕过其他控制，访问包括电子邮件、文件服务器和关键业务应用程序等系统。恶意行为者还可以修改AD信息以建立持久访问权限并远程登录组织，从而不用进行多因素身份验证。

2024年9月12日，美国国土安全部（DHS）联合英国商业和贸易部、澳大利亚工业科学和资源部共同成立美英澳供应链弹性合作小组（SCRCG），旨在加强打击关键供应链威胁的力度。

英国经济安全和供应链弹性局隶属于英国商业和贸易部，负责缓解英国经济的供应侧风险，为其长期的供应链弹性提供支撑。澳大利亚供应链弹性办公室隶属于澳大利亚工业科学和资源部，专注于缓解供应链漏洞，确保用户持续获得基本商品和服务。这些参与供应链弹性合作小组的部门将有助于确保美国与英澳的基本商品和服务协调一致。另外，供应链弹性合作小组将开发一个专注于电信部门的预警试点，试点项目包括卫星和海底通信。它还将增强全球对该供应链漏洞的认知，开发共享信息的渠道，促进对干扰的联合应对。

2024年9月16日，美国网络安全与基础设施安全局（CISA）发布了《联邦民事行政部门（FCEB）运营网络安全协调（FOCAL）计划》（Federal Civilian Executive Branch (FCEB) Operational Cybersecurity Alignment (FOCAL) Plan），旨在通过该计划来协调相关机构的支持和服务，推动一系列有针对性的优先事项发展，并调整机构集体运营防御能力。

该计划的预期结果是降低百余个FCEB机构的风险。计划分为五个优先领域：

（1）资产管理：使机构充分了解网络环境，包括运营状况和互连资产；

（2）漏洞管理：指导机构主动保护企业攻击面并评估防御能力；

（3）防御性架构：使机构在设计网络基础设施时重视弹性，且具备对安全事件的理解；

（4）网络供应链风险管理：机构应快速识别和降低对联邦IT环境构成的风险，包括来自第三方的风险；

（5）事件检测和响应：机构需提高安全运营中心检测、响应和降低安全事件影响的能力。

这些领域与机构的指标和报告应保持一致。每个优先领域的目标都包括从解决常见的网络安全挑战（例如管理可访问互联网资产的攻击面和加强云安全性）到长期努力（包括构建一个面对不断变化的安全事件时具有弹性的可防御架构）。

2024年9月27日，欧盟网络安全局（ENISA）联合欧盟理事会举办第三届欧洲网络安全技能会议，旨在提升欧盟网络安全专业知识与市场需求。

会议强调了欧洲网络安全专家存在缺口，需协调相关部门重视技能认证。会议探讨了欧洲网络安全技能框架多方面内容，包括在人工智能领域应用及与网络与信息安全指令2要求对齐等。

此外，ENISA今年发布网络安全教育成熟度评估报告，推出CyberEducation平台，为提升欧盟网络安全教育水平助力，以应对网络安全准备不足与缺乏高技能劳动力的问题。

2024年9月24日，欧盟委员会向欧盟网络安全局（ENISA）提出请求，对欧盟数字身份钱包（European Digital Identity (EUDI) Wallet）认证提供支持，同时制定欧洲网络安全认证计划。

ENISA将与欧盟成员国及利益相关方紧密合作，利用现有认证方案，如通用准则、云服务和5G认证等，通过特别工作组和欧洲网络安全认证小组协调开展这些工作。

2024年9月20日，欧委会发布了网络弹性法案（Cyber Resilience Act, CRA）专家团队征集通知，旨在建立一只包含数字元素产品的网络安全领域专家团队。

该专家团队将就实施CRA的相关问题为欧委会提供协助和建议，并举办论坛收集相关方意见，促进CRA的成功实施。该法案将通过提高安全属性的透明度和促进对含数字元素产品的信任，使企业用户和消费者受益，并有助于提高欧盟的竞争力和创新潜力。

该专家团队将由欧委会通信网络、电子信息和技术总司的一名代表担任主席，由成员国当局、欧洲网络安全局以及具有相关专业知识的个人和组织中选出的60余名成员组成。专家们将讨论与具有数字元素产品的网络安全问题，并协助起草授权法案并制定指导文件。

2024年9月5日，欧盟委员会代表欧盟签署了《人工智能、人权、民主和法治框架公约》（Artificial Intelligence（AI） and Human Rights,Democracy and the Rule of Law）。

该《公约》是全球首个具有法律约束力的人工智能国际协议，与其他欧盟通用法案尤其是《人工智能法》（AI Act）高度一致，旨在确保人工智能系统在生命周期内的活动符合人权、民主和法治。

该《公约》关注以人为本的AI，强调可信AI的核心原则（如透明性、稳健性、安全性等）。该《公约》规定了组织采用基于风险的方法使用AI，确保AI产生的内容和AI系统互动的透明度，加强组织使用AI时的记录、问责和补救；还规范了AI的风险管理义务和归档义务，明确了监管AI活动的监管机制。该《公约》适用于公共和私营部门，通过提供一个统一框架，以管理AI对人权等领域的潜在风险，并推动信任和创新发展。

2024年9月4日，NIST提议更新FIPS 202《安全散列算法-3（SHA-3）函数标准：基于置换的哈希和可扩展输出函数》（SHA-3 Standard: Permutation-Based Hash and Extendable-Output Functions），和修订特别出版物SP800-185《SHA-3衍生函数》（SHA-3 Derived Functions），并面向社会征求意见。

每个SHA-3函数都基于NIST选择的KECCAK算法实例，该算法是SHA-3加密散列算法竞赛的获胜者。该标准还指定了KECCAK-p数学排列家族，包括KECCAK基础的排列，以促进其他基于排列的加密函数的开发。NIST SP 800-185标准指定了四个SHA-3衍生函数：cSHAKE、KMAC、TupleHash和ParallelHash。cSHAKE是FIPS 202中定义的SHAKE函数的可定制变体。

NIST提议更新FIPS 202，编辑有关SHA-1和Triple DES的文本，反映这些技术的撤销；提议修订NIST SP 800-185，以提供两个可扩展输出函数（XOF）SHAKE128和SHAKE256的“流式传输”规范。

2024年9月10日，NIST发布内部报告IR 8425A《消费级路由器产品的网络安全要求》（Recommended Cybersecurity Requirements for Consumer-Grade Router Products）。该报告为消费级物联网（IoT）产品提供了一个核心基线概况，旨在帮助制造商、零售商、技术支持公司以及测试和认证机构建立IoT产品的网络安全能力基线。

确保消费级路由器的安全性对保护个人数据，甚至对保护整个网络的完整性和可用性都至关重要。智能家居IoT设备和远程工作设置通常都依赖于家庭中的路由器来连接互联网，随着这些设备的日益普及，消费级路由器网络安全的重要性也随之扩大。该报告介绍了消费级路由器的配置文件，其中包括消费级路由器产品的网络安全成果和路由器标准的相关要求。该报告是根据内部报告IR 8425《消费级物联网产品物联网核心基线简介》（Profile of the IoT Core Baseline for Consumer IoT Products）编写的技术报告，而NIST IR 8425则是美国网络信任标识计划的基础。