中国黑客攻击后白宫加紧出台网络安全命令
据四位知情人士透露,拜登政府正在加紧出台一项行政命令,以在其任期即将结束时加强美国的网络安全。该行政命令已经扫清了一些内部障碍,即将公布,其中吸取了拜登政府期间一系列重大违规行为的教训,包括最近被归咎于中国的美国财政部黑客攻击事件。行政令草案显示,其中的措施包括要求政府在通信中实施强身份验证和加密。该行政命令草案还指示政府制定指导方针,以更好地保护云软件承包商使用的加密密钥,包括将其存储在硬件安全模块中。联邦承包商也将被要求更好地管理访问权限。该命令草案还旨在澄清软件提供商是否遵循基本的网络安全卫生,例如使用 MFA 和复杂密码。
—— 彭博社
美国推“网络安全”标签以表明联网设备安全
美国官员称,消费者可能很快就能购买贴有“网络安全”标签的电子产品。白宫周二宣布推出新的美国网络信任标签,表明指定产品遵循最佳实践以避免可能的黑客攻击。负责网络和新兴技术的美国国家安全副顾问安妮·纽伯格表示,贴有网络标签的产品预计将在2025年上架销售。符合条件的产品包括联网的家庭安全摄像头、声控购物设备、智能家电、健身追踪器、车库门开启器和婴儿监视器。纽伯格表示,该计划的第二阶段预计将为路由器提供网络标签。网络安全标签将帮助消费者区分值得信赖的产品,并为制造商提供动力以满足更高的网络安全标准。
—— 彭博社
英国通讯管理局敲定首套网络安全法规定
英国通讯管理局周一发表的声明称,英国计划扩大针对网络非法内容的规则,以涵盖社交媒体公司如何应对该国最近发生的骚乱等危机。该机构发布了《网络安全法》的首套指导方针,该法案于2023年通过,旨在管理互联网平台上的非法内容。英国通讯管理局在新闻稿中表示,正计划在明年春季采取更多措施,其中包括删除与儿童性虐待和恐怖主义有关的内容的新提议。还将推出“紧急事件的危机应对协议”。根据通讯管理局的首套规定,企业有三个月的时间完成对其平台上非法危害的评估。不遵守规定的企业将面临最高相当于其全球年营业额10%的罚款。
—— 彭博社
拜登政府计划支持联合国网络条约,批评人士担心该条约会被独裁政权滥用
拜登政府仍计划本周在联合国支持该条约。该协议将成为联合国首个具有法律约束力的网络安全协议,并可能成为各国合作预防和调查网络犯罪的全球法律框架。然而,批评人士担心,独裁国家可能会利用该协议追捕海外异见人士或收集政治对手的数据。
不过,官员们表示,有令人信服的理由支持该条约。例如,他们说,这将推动将儿童性虐待材料和未经同意传播亲密照片的行为定为犯罪。此外,一名官员表示,成员国的广泛参与将使美国更容易获得网络犯罪和电子证据。官员补充说,如果所有成员国都签署该协议,将更新引渡条约,并提供更多机会逮捕网络罪犯并将其引渡。尽管该条约有望在联合国获得通过,但除非实施人权控制,否则美国政府批准该条约的可能性极小。
—— 彭博社
爱尔兰为视频分享平台制定网络安全规范
爱尔兰媒体委员会通过并发布了一项网络安全规范,该规范将从下个月起适用于总部位于爱尔兰的视频分享平台,包括 TikTok、YouTube 、Instagram 等。根据该规范,相关平台必须制定条款和条件,禁止上传或分享各种有害内容类型。包括网络欺凌、宣扬自残或自杀、宣扬饮食失调或喂养障碍,此外还须禁止煽动仇恨或暴力、恐怖主义、儿童性虐待材料 (CSAM)、种族主义和仇外内容。爱尔兰媒体委员会发言人亚当·赫尔利证实,该规范的目的是解决不直接属于欧盟数字服务法 (DSA) 范围的内容类型。该网络安全规范将直接适用于向爱尔兰用户提供的视频服务,包括几个因地区总部设在爱尔兰而属于该规范范围的主要社交媒体平台。
—— Techcrunch
T-Mobile 承诺将努力避免再次遭受黑客攻击
作为与美国联邦通信委员会达成和解协议的一部分,T-Mobile 投资数百万美元改进其网络安全实践。该公司还需要向美国财政部支付1575万美元的民事罚款。T-Mobile 在过去几年中发生的数据泄露事件泄露了数百万人的社会保险号码、地址和驾驶执照号码。该和解协议清除了2021年、2022年和2023年涉及网络安全事件的几项 T-Mobile 调查。美国联邦通信委员会新闻稿称,“这些调查发现的证据表明,发生的入侵事件影响了数百万手机用户,其性质、漏洞利用和明显的攻击方法各不相同。”
—— The Verge
Cloudflare 重新开始推出 ECH 功能并推出 Zstandard 压缩和 HTTP/3 优先级特性
Cloudflare 今天通过博客更新了多项网络架构重大改进。加密客户端问候 (ECH) 是 ESNI 的后继者,可屏蔽用于协商 TLS 握手的服务器名称指示 (SNI),防止中间人窥探用户正在访问的网站。每当用户访问启用了 ECH 的 Cloudflare 网站时,除了用户、Cloudflare 和网站所有者之外,没有人能够确定访问了哪个网站。Cloudflare 称其弥补了互联网隐私最后的重大缺陷。该特性于2023年9月首次启用,数星期后因兼容性问题而被全局禁用。在与浏览器厂商合作解决该问题后,今天该特性已开始重新开始推出,默认对所有免费用户启用,付费用户可以从控制面板手动启用。
Cloudflare 还为所有用户启用了 Zstandard (zstd) 压缩算法,其数据压缩速度比 Brotli 快 42%,同时保持几乎相同的压缩级别。与 GZIP 相比,Zstandard 还将文件大小减少了 11.3%,同时保持了相当的速度。在第四季度,Cloudflare 将启用 HTTP/3 优先级支持。HTTP/3 优先级旨在通过智能管理向用户提供 Web 资源的顺序来提高网页加载的效率和速度。
—— Cloudflare 博客
网络安全公司飞塔称部分客户数据遭泄露
网络安全公司飞塔 (Fortinet) 周四表示,有人入侵了有限数量包含其部分客户相关信息的文件。这家总部位于加州桑尼维尔、销售网络安全解决方案的公司表示,已就此事与客户进行了直接沟通。该公司自身的运营和服务并未受到影响。飞塔表示:“有人未经授权访问了飞塔第三方云共享文件驱动器上存储的少量文件,其中包括与少数飞塔客户相关的有限数据。”“到目前为止,没有迹象表明这起事件已导致影响任何客户的恶意活动。”
—— 彭博社
联合国机构评估各国网络安全措施
联合国专门机构国际电信联盟12日发布网络安全报告,对各国应对网络攻击的措施进行打分。国际电信联盟在完善法律、技术、组织、能力开发、合作共五个领域评估194个国家和地区。美国和日本等为第一梯队,第二梯队包括中国、俄罗斯、以色列等,古巴第三梯队、伊拉克第四梯队,朝鲜第五梯队。国际电信联盟强调,近年来网络攻击中,索要赎金型的“勒索病毒”等趋于高级,得分较高的国家也应一直采取对策。去年有80亿份信息等受到侵害。信息外泄等平均受害金额估算为445万美元,过去三年增加了15%。
—— 共同社、彭博社
微软员工的网络安全贡献将计入其薪酬
微软总裁布拉德·史密斯在周四美国众议院委员会就该软件制造商的安全实践举行的听证会之前表示,微软将评估员工在网络安全方面的贡献,并将其计入员工的薪酬。史密斯在周三提交给众议院国土安全委员会的书面证词附录中写道,在2025财年 (从7月1日开始) 中,安全将与其他领域一起成为公司员工与管理人员每年两次审查的新的核心优先事项。史密斯写道,对于定期与首席执行官萨蒂亚·纳德拉会面的高管来说2025财年奖金中“个人绩效”部分的三分之一将与董事会薪酬委员会对其网络安全工作的审查挂钩。
—— CNBC