根据国家网络办公室周二发布的一份报告，拜登政府计划采取积极行动，增强关键基础设施部门的网络弹性，包括医疗保健和水务部门，这些部门是近几个月来重大威胁活动的目标。 美国希望加快情报共享流程并促进与私营部门更密切的合作。政府还计划增强主动破坏威胁活动并打击攻击者的能力。
“我们国家的网络安全正处于根本性变革之中。”国家网络总监Harry Coker Jr. 在一份声明中表示。“我们在实现安全、繁荣和公平的数字未来的积极愿景方面取得了进展， 报告称，国家背景的黑客组织对美国构成重大威胁，这些组织积极针对美国关键基础设施提供商进行破坏性网络攻击。...

据供应链网络安全公司Eclypsium 5月8日发布的一份报告，研究人员在 F5 的 Next Central Manager 中发现了重大安全漏洞，可使攻击者长期且隐蔽地存在于任何F5资产相关的组织网络基础设施中。 这些漏洞被追踪为CVE-2024-21793 和 CVE-2024-26026，可能允许攻击者执行危及网络安全的未经身份验证的攻击。F5 在 4 月份发布了针对这些缺陷的补丁，但Eclypsium的研究人员称披露給F5的漏洞一共有5个，尚未确认另外3个漏洞是否已经修复。...

微软表示，美国情报机构现在可以安全地利用这项强大技术（ChatGPT）来分析绝密信息。 如何将ChatGPT这样的顶流人工智能技术安全地武器化，供情报机构和军队使用？微软给出的答案是“物理隔离”。 提示注入攻击和训练数据泄露是包括ChatGPT在内的当前主流大语言模型面临的主要安全威胁，也是政府和军队将其武器化的主要障碍（虽然今年1月份OpenAI悄悄修改使用政策，默许军方和情报部门使用）。例如，美军已经禁止在内部使用ChatGPT之类的工具，因为担心军事机密可能被泄露或提取。...

thecyberexpress网站消息，近日，新加坡国会批准了《网络安全法》修正案，该法案旨在加强国家不断发展的关键基础设施的防御能力，并适应技术进步。 《网络安全法》修正案要求关键信息基础设施（CII）的所有者报告更广泛的事件，包括在其供应链中发生的事件。 新加坡通信与信息部高级国务部长 Janil Puthucheary 表示，当务之急是应对恶意网络行为者不断变化的策略，他强调，需要将警惕范围扩大到外围系统和供应链。
最新《网络安全法》修正案的意义
新立法授权当局监管 “临时网络安全关注系统”（STCC），这些系统在有限的时间内面临网络攻击的风险较高，...

日前，英美等国执法机构揭露了臭名昭著的勒索软件组织 LockBit一名主要头目——31岁的俄罗斯黑客德米特里·霍罗舍夫（Dmitry Yuryevich Khoroshev），目前已经受到英国、美国和澳大利亚的多项制裁。 据英国国家犯罪局（NCA）于5月7日发布的公告称，霍罗舍夫又名LockBitSupp，是LockBit勒索软件组织的管理员和开发人员，针对他的调查属于之前“克罗诺斯行动”的一部分，该行动由11个国家的相关执法机构组成，在今年2月曾查封了该组织的基础设施并迫使其服务下线。...

研究人员发现了一起大规模泄露事件，涉及500多万萨尔瓦多公民的个人身份信息（PII）在暗网上的曝光。 生物安全部门发现，来自萨尔瓦多的500多万公民的个人身份信息（PII）在暗网上大规模泄露，影响了该国80%以上的人口。这名化名为“CiberienteligenciaSV”的威胁行为者向Breach Forums发布了144 GB的数据转储，并写道此次泄露包括5129518张高清照片，...

MITRE 于 4 月 19 日透露，黑客已瞄准其网络实验、研究和虚拟化环境 (NERVE)，这是一个用于研究、开发、和原型设计。 黑客通过利用 Ivanti Connect Secure VPN 设备 0Day 漏洞（编号为 CVE-2023-46805 和 CVE-2024-21887）获得了初步访问权限。 网络间谍组织（Mandiant 追踪为 UNC5221）利用 0day 漏洞进行了数周有针对性的攻击，直到其存在被曝光，Ivanti 发布了缓解措施。受害者名单中包括网络安全机构 CISA，该机构表示该事件可能影响多达 10 万人。...

研究人员发现一种名为TunnelVision的攻击方法，可以窃取几乎所有VPN应用的流量。 VPN的主要功能是将互联网流量封装在一个加密隧道中，并隐藏用户的IP地址。但是近日，研究人员发现一种名为TunnelVision的攻击方法，可以窃取几乎所有VPN应用的流量。 研究人员表示除了安卓系统之外，几乎所有其他操作系统中的VPN应用目前都没有办法防御此类攻击。...

英国政府确认，一名黑客最近成功入侵国防部的网络，获取了武装部队支付网络的部分数据。这次被攻击的系统包含现役和预备役军人及一些最近退伍军人的个人数据。 国防部长格兰特·沙普斯在下议院的声明中表示，国防部最近几天才察觉此次入侵。得知入侵后，国防部立即隔离系统并停止所有支付操作。好在此次事件并没有对工资、费用支付和退伍军人养老金产生重大影响。沙普斯指出，4月份所有的工资都已支付。 国防部长澄清说，黑客的目标是由承包商管理的外部系统，该系统与国防部的核心网络完全分离，与主要军事人力资源系统没有联系。受影响的主机主要包含姓名和银行账户的详细信息，有时也包括地址。预计大约有270,000份工资记录被泄露。...

AI 安全公司 HiddenLayer 警告称，当加载和引用恶意 RDS 文件时，R 编程语言实现中的漏洞可被利用来执行任意代码，并且可能被用作供应链攻击的一部分。 该漏洞编号为CVE-2024-27322（CVSS 评分为 8.8），是在 R 的序列化和反序列化过程中发现的，该过程用于创建和加载 RDS（R 数据序列化）文件。 R 是一种开源编程语言，支持数据可视化、机器学习和统计计算，广泛用于金融、政府和医疗保健等行业的统计分析，在人工智能和机器学习应用中也很受欢迎。...