CISA 牵头开展桌面演习,重点关注遭受黑客攻击的人工智能
网络安全和基础设施安全局表示,上周在位于弗吉尼亚州雷斯顿的微软工厂的联合网络防御合作组织的协调下,与私营部门举行的首次桌面会议支持制定跨部门人工智能安全事件合作手册,该手册将于年底前发布。 为何重要 该机构在 6 月 14 日的一份声明中表示,JCDC 内部的一项专门规划工作,即 CISA 的公私合作伙伴关系模式,推动人工智能提供商、安全供应商和关键基础设施所有者和运营商之间的准备合作,解决国家关键基础设施中人工智能系统的风险、威胁、漏洞和缓解措施。 超过 50 个组织参加了最近为时四小时的准备演习,分享了他们安全采用人工智能来保护关键基础设施免受新出现威胁并实践协作响应的策略。 HiddenLayer 首席执行官兼联合创始人 Chris Sestito 表示:“在受控环境中模拟针对人工智能系统的对抗性威胁是一个非常宝贵的训练场,可以让安全团队了解当今存在的漏洞和威胁。” 其他参加会议的科技公司包括亚马逊网络服务、思科、IBM、微软、NVIDIA、OpenAI、Palantir、Palo Alto Networks、Protect AI 等领先供应商。此外,还有联邦调查局、国家安全局、国家情报总监办公室、国防部和司法部。 伊斯特利在声明中表示:“这次演习标志着我们朝着降低人工智能带来的风险的共同承诺又迈出了一步。” Palo Alto Networks 公共政策和政府事务副总裁 Sandy Reback 补充道:“随着人工智能的应用不断扩大,我们看到网络威胁环境的复杂性也随之增长。” “在此类关键演习上进行公私合作将更好地保护我们的数字生活方式。” 美国联邦调查局网络部门助理主任布莱恩·沃恩德兰 (Bryan Vorndran) 表示,这次演习体现了该机构对合作伙伴关系的承诺。 CISA 表示,在开发 AI 产品时需要采用安全设计方法,这也是除事件响应协作和桌面演习实践之外的一个重要主题。 OpenAI 安全主管马特·奈特 (Matt Knight) 在声明中承认:“这些合作有利于我们安全地开发和部署人工智能技术的努力。” JCDC 计划于 2024 年进行第二次演习,该演习将纳入美国关键基础设施中与系统集成商相关的漏洞,以便在将 AI 技术应用到现有系统时实现互操作性。AI 集成商帮助组织采用 AI 并创建更大的 AI […]
CISA 副助理主任为学校提供 5 条网络安全建议
美国各地针对学校的网络安全攻击日益频繁。 美国国土安全部下属网络安全和基础设施安全局(CISA)副助理局长特伦特·弗雷泽说:“这是一个目标丰富但资源匮乏的环境,里面实际上藏有一些最脆弱人群的极其敏感的信息。” 当这些攻击成功时 学生数据被泄露,它可以被用来勒索赎金,但对网络犯罪分子来说也具有双重价值,因为学生通常拥有完美的信用记录,并不担心身份盗窃。 网络安全现在是 学校领导最关心的问题。不过,好消息是,可以采取一些简单且廉价的措施,这将对网络安全产生巨大的积极影响,弗雷泽说。他提供了以下网络安全提示。 1. 不要不知所措 当听说网络攻击数量不断增加时,那些没有接受过网络安全培训的人可能会错误地认为无能为力。 “他们认为这是一个几乎无法克服的挑战,从事网络安全意味着获得第二学位并成为一名网络安全专家,”弗雷泽说。 事实上,最有效的网络保护形式通常是简单、常识、良好的网络安全最佳实践,我们大多数人都已经熟悉这些实践。他指出,虽然发生了更复杂的攻击,但大多数仍然是涉及基本任务的简单努力,例如破解弱密码。 改变教育的工具和想法。在下面注册。 通过消除网络安全系统中容易出现的问题,学校可以真正加强保护。“如果我们采取措施解决这些问题,我们就会给对手带来更多困难,迫使他们采取更具挑战性、坦率地说成本更高的攻击方式,攻击范围覆盖我们所有的基础设施社区,”他说。 2. 做好小事 Frazier 坚持认为小步骤可以对网络安全产生重大影响,他指出 保护我们的世界, CISA 最近针对学校和其他组织制定了一份 PSA,其中提供了四个易于实施的提示: 识别并举报网络钓鱼 使用强密码 启用多重身份验证 更新软件 3. 利用 CISA 资源 地区技术领导者应该意识到学校有很多 CISA 资源。 弗雷泽说:“我们在全国各地都有地区工作人员,可以帮助您评估系统内的漏洞。” 这些工作人员可以帮助学校领导确定优先事项,并规划如何最好地投资和建立更强大的网络安全系统。“我们开发了我们所谓的 网络安全绩效目标“这确实是一种必不可少的工具,它能帮助你确定投资的优先次序,然后最终开始进行这些投资,并随着时间的推移而发展,”弗雷泽说。 此外,CISA 还 K-12 教育的网络安全 资源,为学校提供各种建议。“应用这两种资源并与我们的人员互动将成为一种非常重要的工具,可帮助您确定最终需要设计的长期可持续项目方法,”弗雷泽说。 4.考虑增加全职网络安全资源 最近 CoSN报告 发现 66% 的 K-12 学区没有专职的网络安全资源。 增加这类全职员工是各学区应该考虑的一步,但并不总是需要雇用新员工。通常,现有的 IT 员工可以接受良好网络安全基础知识的培训。 “一旦你这样做了,这些人往往可以在帮助你建立网络安全计划的基础方面取得很大进展,”弗雷泽说。“一旦你达到了某种程度,那么开始寻找更有资格的网络安全专业人员就变得很有意义了,他们将能够在你的计划中实施更先进的缓解措施。” 但是,学校不必独自承担这一过程。“我强烈鼓励学校和学区考虑如何与当地政府和州政府机构合作,这些机构也可能为他们提供能力,”弗雷泽说。 5. 网络安全是一项团队运动 […]
CISA 执行董事讨论 CIRCIA、事件报告
旧金山——CISA 执行董事布兰登·威尔士 (Brandon Wales) 表示,我们仅了解影响美国组织的网络攻击的一小部分,这是一个严重问题。 本月初,在 2024 年 RSA 大会上,威尔士与 TechTarget 编辑部讨论了《2022 年关键基础设施网络事件报告法案》(CIRCIA)。该法案由乔·拜登总统于 2022 年 3 月签署成为法律,要求 CISA 制定法规,要求某些实体向国家网络安全机构报告涵盖的网络事件和赎金支付情况。 根据这些报告要求,CISA 将能够 机构网站“快速部署资源并向遭受攻击的受害者提供援助,分析各个部门的报告以发现趋势,并快速与网络防御者分享这些信息以警告其他潜在受害者。” 尽管 CIRCIA 已签署成为法律,但该规则仍在制定中。拟议规则 四月出版涵盖与关键基础设施相关的广泛组织,例如医疗保健、运营技术、能源、国防、教育、政府机构等。受保实体必须在合理认为事件发生后 72 小时内或在支付赎金后 24 小时内报告相关网络事件。 CISA 将在 7 月 3 日结束的公众意见征询期结束后制定最终规则,在此期间,个人和组织可以对拟议规则提供反馈意见。该机构将在制定最终规则时考虑反馈意见,CISA 必须在拟议规则发布 18 个月后公布最终规则。 在一次采访中,威尔士分享了他对该拟议规则的看法,包括他为什么认为该规则有必要、如何联系那些原本不会自愿报告的组织等等。 编者注: 为确保内容清晰和简洁,对本次采访进行了编辑。 什么使得 CIRCIA 成为必要? 布兰登·威尔士 布兰登·威尔士:这是一个重要的问题。我们早就知道联邦政府对网络生态系统中发生的事情缺乏足够的了解。如今在美国国内,我们只知道一小部分袭击我们的事件,这削弱了我们保护这个国家的能力。这意味着我们无法足够快地发现对手的活动。这意味着在我们意识到并分享这些信息以便其他组织能够保护自己之前,新技术可能会反复出现。这意味着我们无法提供援助。在执法方面,这意味着我们无法追踪赎金支付的资金,我们无法开始识别坏人,也无法从执法角度了解有哪些选择可以施加成本。 这些差距至关重要。通过与国会的合作,我们表明我们需要弥补这些差距,而对关键基础设施实行强制性的一致报告制度对于我们获得适当的透明度至关重要,这将使我们能够更好地提供这项措施所需的网络安全水平。 根据拟议的指导方针,受 CIRCIA 影响的组织范围有多大? 威尔士:在拟议规则制定通知中,我们记录了涵盖实体的范围以及我们如何定义涵盖实体。目前,根据我们目前的估计,我们的定义将涵盖数十万个实体,不包括全国数百万家小企业。我们认为这是合适的。国会在 CIRCIA 立法中给予了我们广泛的自由度。该立法规定,在关键基础设施领域运营的任何实体都有可能受到该法规的约束。我们决定缩小范围并排除小企业,但我们确实确保涵盖所有特别重要的实体,从所有大企业开始。然后,我们逐个行业进行检查,以确保这些行业中的关键小企业也受到覆盖。我们认为,最终将有数十万个实体需要根据该规则进行报告。 过去几年,CISA […]
CISA 发布高风险非营利组织指南
网络安全和基础设施安全局发布 新指导 帮助高风险非营利组织和其他资源有限的社区组织提高对减轻网络威胁的理解和努力。 但即将到来的 2024 年选举可能会对 CISA 更广泛的努力产生巨大影响,包括最近完成的全国数据保护网络演习,以解决多个关键部门的安全缺陷,主任 Jen Easterly 上周向参议院报告。 为什么它很重要 由于包括某些医疗保健组织在内的民间社会组织对社会工程尝试和其他常见网络威胁“准备不足且容易受到攻击”,CISA 与人合着了《利用有限资源缓解网络威胁:民间社会指南》,于 5 月 14 日发布。 通过汇编最佳实践,CISA 及其国家和国际执法和安全机构合著者希望帮助那些容易依赖不安全通信渠道且防御能力较低的民间社会组织。 他们表示:“这些组织缺乏内部 IT 支持和必要的网络卫生来防止恶意活动的可能性(例如生命周期管理、补丁管理、多因素身份验证、密码管理)。” 针对这些易受攻击的组织的建议行动和缓解措施链接到 CISA 课程和其他资源,例如 Access Now 的 数字安全帮助热线,以九种语言为民间组织提供 24/7 全天候支持。 据该“从草根到全球”组织的网站称,它会在两小时内做出回应。 然而,为了进一步保护脆弱和高风险社区免受网络攻击,这些机构还建议供应商公开承诺采用安全设计实践。 “这一承诺需要拥抱“设计安全”原则,包括(1)对客户安全结果承担责任,(2)拥抱彻底的透明度和坚定不移的问责制,以及(3)从高层领导并实施自上而下的领导力,以推动旨在实现以下目标的变革:在软件开发和部署的每个阶段都优先考虑安全性,”CISA 及其合著者在新的报告中表示 指导。 他们建议软件供应商努力消除产品漏洞,默认启用多因素身份验证,向客户报告可疑的网络行为并对不安全的配置设置警报。 除了支持资源匮乏的弱势组织外,CISA 还一直忙于关注关键部门中资源较好的组织。 上个月,该机构举行了“网络风暴 IX”全国网络准备演习,让 2,200 多名参与者有机会测试他们对云资源网络攻击的响应。 定期的国家顶点网络演习将公共和私营部门聚集在一起,模拟并报告对影响国家关键基础设施的网络危机的响应情况。 参与者 之前的练习 2020 年和 2022 年的合作伙伴包括克利夫兰诊所、HCA Healthcare 和堪萨斯大学健康系统等提供商,Nuance、西门子和思科等健康 IT 供应商,CrowdStrike […]
CISA 对主动利用的 GitLab 严重缺陷发出警报
美国网络安全和基础设施安全局 (CISA) 贴上标签 影响流行的基于 Git 的存储库管理器的严重漏洞 GitLab 作为已知被利用的漏洞 (KEV)。 此举是为了应对在野外检测到的主动利用尝试,强调了组织迅速应用安全更新的紧迫性。 该严重缺陷(CVSS 评分:10.0)被追踪为 CVE-2023-7028,攻击者可以通过向未经验证的电子邮件地址发送密码重置电子邮件来接管用户帐户。 CISA 的 KEV 目录列出了众所周知的网络安全漏洞,这些漏洞给联邦机构带来重大风险,并被威胁行为者积极利用。 GitLab 最初于 2023 年 1 月披露了该缺陷。该漏洞是在 2023 年 5 月 1 日发布的 16.1.0 版本中作为代码更改的一部分引入的,影响受影响版本中的“所有身份验证机制”。 “此外,启用了双因素身份验证的用户很容易被密码重置,但不会被帐户接管,因为他们需要第二个身份验证因素才能登录,”GitLab 指出 在其咨询中。 安全研究人员表示,成功利用该漏洞的后果可能会很严重。 云安全公司 Mitiga 警告 攻击者控制 GitLab 用户帐户可能会窃取敏感信息、凭据,甚至将恶意代码注入源代码存储库,为供应链攻击铺平道路。 “对于攻击者和内部不良行为者来说,GitLab 代表着其他东西:充满知识产权的组织价值的丰富来源。 因此,了解潜在攻击和滥用的风险对于 GitLab 用户来说非常重要。”Mitiga 解释道。 “获得 CI/CD 管道配置访问权限的攻击者可能会嵌入旨在窃取敏感数据(例如个人身份信息 (PII) 或身份验证令牌)的恶意代码,并将其重定向到对手控制的服务器。 “同样,篡改存储库代码可能涉及插入损害系统完整性的恶意软件或引入后门以进行未经授权的访问。 恶意代码或滥用管道可能会导致数据盗窃、代码中断、未经授权的访问和供应链攻击。” 此后,GitLab […]
CISA 今年将启动勒索软件警报计划
网络安全和基础设施安全局 (CISA) 今年将启动勒索软件警报计划,提醒企业注意其系统中的漏洞。 提前预警,有效防护 勒索软件攻击是当今企业面临的主要问题。 黑客闯入计算机系统,锁定有价值的数据并索要赎金来解锁它。 这些攻击可能是毁灭性的,导致数据丢失、中断和巨大的财务损失。 不过,有好消息。 为了应对这一日益严重的威胁,CISA 正在启动勒索软件警报计划。 该程序使用扫描工具来查找连接到互联网的企业设备中的漏洞。 通过及早识别这些漏洞,组织可以在攻击者利用它们之前预防它们。 事实上,自 2023 年 1 月该计划试点启动以来,CISA 已发出 2,000 多次警告,凸显了这些差距的普遍性。 CISA 的勒索软件警报计划如何保护企业 该计划预计将于 2024 年底全面实施。CISA 总监 Jen Easterly 强调了该计划的潜力,称其“致力于通过帮助企业弥补安全漏洞来减少勒索软件的传播”。 组织可以通过两种方式从 CISA 勒索软件警报计划中受益。 首先,公司可以注册 CISA 的网络卫生扫描工具。 这个强大的工具会持续扫描公开可用的 IP 地址,以查找可能被勒索软件攻击者利用的漏洞。 它超越了基本扫描,还提供有关现有和新发现的安全漏洞的每周报告和警报。 其次,CISA还可以利用其法律权力来识别未使用扫描工具注册的组织的联系方式。 然后,CISA 可以直接通知这些组织在其暴露的设备上发现的任何漏洞。 该计划已经引起了商界的极大兴趣。 已有 7,000 多个组织签署了该试点计划,凸显了采取主动网络安全措施的强烈愿望。 因此,该计划有可能成为打击网络犯罪的游戏规则改变者。 然而,其长期有效性取决于扫描的彻底性和警报速度等因素。 #CISA #今年将启动勒索软件警报计划 1714280555 2024-04-28 04:10:19
CISA 证实与俄罗斯有关的黑客侵入了联邦机构与微软之间的通信
网络安全和基础设施安全局 (CISA) 周四 确认了之前的报道 与俄罗斯有关的黑客侵入了联邦机构和微软之间的通信。 该机构周四公开发布了一项紧急指令,其中告诉受此次泄露影响的机构采取行动,包括“采取措施识别该机构与受损微软帐户通信的全部内容,并进行网络安全影响分析”。 CISA 将此次泄露事件的幕后黑手描述为“俄罗斯国家支持的网络攻击者,名为 Midnight Blizzard”。 “多年来,美国政府已将恶意网络活动记录为俄罗斯剧本的标准部分; 微软的这一最新妥协又增加了他们的长名单。 我们将继续努力与联邦政府和私营部门合作伙伴合作,保护我们的系统免受此类威胁活动的影响,”CISA 主任 Jen Easterly 在 CISA 新闻稿中表示。 微软在三月份表示,午夜暴雪一直试图通过“使用最初从我们公司电子邮件系统中泄露的信息来获得或试图获得未经授权的访问”来破坏其系统。 一月份,微软透露,它“检测到来自午夜暴雪”对其企业系统的民族国家攻击,并且黑客访问了“极小比例”的企业电子邮件帐户。 微软在三月份的博客文章中表示:“很明显,午夜暴雪正在尝试使用它发现的不同类型的秘密。” 这些“秘密”包括微软和客户通过电子邮件共享的秘密,该公司表示将通知并协助他们采取缓解措施。 微软还表示,Midnight Blizzard 在 2 月份将密码喷雾等特定类型的攻击数量增加了十倍之多。 密码喷雾是一种网络攻击,其特征是在不同帐户上重复使用相同密码来尝试破解它们。 《国会山报》已联系微软征求意见。 版权所有 2024 Nexstar Media Inc. 保留所有权利。 该材料不得出版、广播、重写或重新分发。 1712919239 #CISA #证实与俄罗斯有关的黑客侵入了联邦机构与微软之间的通信 2024-04-12 00:04:58
拟议的 CISA 规则将要求报告网络事件和支付赎金
根据拟议规则制定通知,国土安全部网络安全和基础设施安全局正在提议建立一个涵盖 16 个关键部门的全面网络事件报告结构 发表在《联邦公报》上 (PDF) 周三。 CISA 表示,当拟议规则于 4 月 4 日发布时,它将提供 60 天的书面公众评论时间。 为什么它很重要 安全机构在网络事件报告规则通过后制定了拟议的网络事件报告规则。 2022 年关键基础设施网络事件报告法案,或 CIRCIA。 CISA 表示,预计最终规则将在征求意见期结束后 18 个月内发布,相关组织必须根据 CIRCIA 规定开始报告网络事件。 虽然 提议的规则 该机构表示,CISA 提供了基于行业的标准,其中以医疗器械制造为例,在考虑了这些要求在各种替代方案中的影响范围后,CISA 提出了基于实体的标准结构。 根据拟议的基于部门的标准,CISA 提出了执行某些功能的某些类型的设施,这些功能将在整个组织中扩展所涵盖实体的定义。 例如,“基于医疗保健和公共卫生部门的标准将包括制造任何 II 类或 III 类医疗器械的实体”,CISA 表示。 然而,虽然标准侧重于某些类型的设施“作为确定实体是否属于受涵盖实体的基础,但 CISA 提议整个实体(例如公司、组织)而不是单个设施或职能部门属于受涵盖实体”。实体,”该机构表示。 CISA 表示,如果报告仅限于仅影响基于部门的标准中确定的特定设施或功能的事件,则该机构“可能无法”执行特定部门的网络安全威胁和趋势分析。 这意味着,如果涵盖的实体经历重大网络事件或在任何职能或设施中支付赎金,则将触发强制性网络事件报告。 CISA 表示,在提案中,即使事件没有影响行业定义的设施,例如 II 类或 III 类医疗器械的制造商,也需要报告。 “同样,如果一个实体制造 II 类或 III 类医疗设备,除了不符合基于行业的标准之一的其他功能外,整个实体都是受覆盖实体,并且该实体的任何部分经历的任何重大网络事件需要报告,”CISA […]
CISA 和红帽就影响 Linux 发行版的供应链妥协发出警告
根据 Red Hat 的说法,XZ Utils 的两个最新版本中已植入后门,这是一套数据压缩软件工具和库,“几乎每个 Linux 发行版中都存在”。 红帽和美国网络安全和基础设施安全局 (CISA) 周五警告称,XZ Utils 软件的供应链受到损害,影响了 Linux 发行版。 红帽在一份声明中表示,XZ Utils 是一套广泛使用的数据压缩软件工具和库,其两个最新版本“包含似乎旨在允许未经授权的访问的恶意代码”。 咨询。 [Related: ‘First’ Cyberattack Of Its Kind: 3CX Compromise Blamed On Earlier Supply Chain Breach] 据 IBM 旗下的 Red Hat 称,植入的代码存在于 XZ Utils 库的 5.6.0 和 5.6.1 版本中。 红帽表示,XZ Utils“几乎存在于每个 Linux 发行版中”。 Red Hat 表示,Fedora Linux 40 […]
CISA 称 Volt Typhoon 为紧急威胁,更新了 DDoS 响应指南
网络安全和基础设施安全局、联邦调查局以及其他美国和国际合作伙伴本周发布的指南概述了防御“靠土地生存”网络活动的最佳实践——威胁行为者使用组织自己的工具来攻击其网络——同时通过新的缓解措施和视觉辅助工具解决防御分布式拒绝服务攻击的具体需求和挑战。 为什么它很重要 在 Cisco Talos、NTT Corporation 和 Sophos 的帮助下,这些机构发布了 联合情况说明书 警告关键基础设施实体“严肃”对待中国国家支持的攻击者的攻击威胁。 新指南是在 2 月 7 日发布的 网络安全咨询 该公司警告称,由于地缘政治紧张局势加剧,Volt Typhoon 已部署大量入侵关键基础设施网络的行动,以扰乱或破坏关键服务。 它强调了领导者根据威胁做出明智和主动的资源决策所需采取的行动。 CISA 表示:“网络安全团队的关键最佳实践包括确保为应用程序和系统打开日志记录(包括访问和安全日志),并将日志存储在中央系统中。”CISA 鼓励组织领导者要求 IT 团队查找和审查日志了解 Volt Typhoon 的威胁行为者使用的已知命令。 美国编写机构在事件响应活动期间观察到的 Volt Typhoon 命令和 PowerShell 脚本可以在上个月的附录 A 中找到 网络安全咨询。 该机构在新指南中表示:“CISA 和合作伙伴正在发布这份情况说明书,为关键基础设施实体的领导者提供指导,帮助优先保护关键基础设施和功能。” “编写机构敦促领导人认识到网络风险是核心业务风险。这种认识对于良好治理来说既是必要的,也是国家安全的基础。” 此外,多州信息共享与分析中心更新了联合信息 DDoS防御指南、理解和响应分布式拒绝服务攻击,提供有关攻击向量的新技术信息、九个视觉辅助工具以及用于防御 DDoS 技术的附加缓解措施。 更大的趋势 一月份,CISA 主任 Jen Easterly 在众议院中美战略竞争特别委员会就中国预先部署破坏包括电信在内的美国关键基础设施的问题作证。 她在她的报告中说:“中国的网络攻击者,包括名为 Volt Typhoon 的组织,正在深入我们的关键基础设施,准备在与美国发生重大危机或冲突时发动破坏性网络攻击。” […]