微软旗下的医疗科技公司Nuance透露，Clop勒索团伙窃取了北卡罗来纳州主要医院的个人数据。MOVEit Transfer是一种托管文件传输，企业使用它来安全地传输基于SFTP、SCP和HTTP的上传文件。微软认为Clop勒索软件团伙利用了MOVEit Transfer平台中的零日漏洞CVE-2023-34362。 6月份，Clop勒索软件集团声称利用MOVEit Transfer漏洞入侵了全球数百家公司。在Clop集团的受害者中，还有微软的Nuance医疗保健技术子公司。Nuance在网络安全专家和一家律师事务所的帮助下对该事件展开了调查。该公司表示，Clop集团可能窃取了北卡罗来纳州多家医院和其他医疗服务提供商的个人数据，包括： 位于夏洛特的医疗保健系统巨头Atrium Health 希科里的卡托巴山谷医疗中心 夏洛特放射科 杜克大学卫生系统 位于桑福德的DLP中卡罗莱纳医疗中心 总部位于格林维尔的ECU Health 位于卡罗莱纳州派恩赫斯特的FirstHealth 总部位于阿什维尔的使命健康系统 Winston Salem的Novant Health Novant Health位于威尔明顿的新汉诺威地区医疗中心 北卡罗来纳大学教堂山分校健康中心 总部位于罗利的Wake Radiology Diagnostic Imaging 总部位于罗利的WakeMed Health&Hospitals 泄露的数据包括人们接受的服务和他们的人口统计信息。在软件供应商披露该缺陷并发布安全更新以修复后，Nuance宣布已立即解决该问题。 Nuance表示：“补丁一有空就安装好了。数据隐私和安全是Nuance的首要任务之一。公司采取了广泛的措施来保护委托给这些信息。”研究人员建议人们查看账户对账单，并监控其免费信用报告中的可疑活动。 美国医院面临压力，多家医院遭到攻击 最近，Rhysida勒索软件集团成为头条新闻，因为它宣布Prospect Medical Holdings遭到黑客攻击，并窃取了该组织的敏感信息。 8月初，网络攻击扰乱了多家医院的计算机系统，这些医院位于多个州，包括加利福尼亚州、得克萨斯州、康涅狄格州、罗德岛州和宾夕法尼亚州。几个州多家医院的一些急诊室被迫关闭，救护车也因网络遭到网络攻击而改道。 几天前，在Prospect Medical袭击事件发生后，Rhysida勒索软件集团在其Tor泄漏现场的受害者名单上又增加了三家美国医院。 Singing River Health System经营着3家医院和10家诊所，是密西西比湾沿岸第二大雇主。旗下的三家医院和其他医疗设施的系统在8月底也遭到网络攻击。   转自E安全，原文链接：https://mp.weixin.qq.com/s/M8cktGA7HYxxUSrP5RJguA 封面来源于网络，如有侵权请联系删除

Pcmag 网站披露，一名黑客利用人工智能深度伪造了一名员工声音，成功入侵 IT 公司 Retool，致使 27  名云客户被卷入网络安全事件当中。 黑客一开始向 Retool 多名员工发送钓鱼短信，声称自己是 Retool IT 团队工作人员并表示能够解决员工无法获得医疗保险的薪资问题。收到钓鱼短信后，大多数 Retool 员工没有进行回应，但有一名员工是个例外，从而引发了此次网络攻击事件。 根据 Retool 分享的消息来看，这名毫无戒心的员工点击了短信中一个 URL，该 URL 将其转到一个虚假的互联网门户网站，在登录包括多因素身份验证表格的门户后，网络攻击者使用人工智能驱动的深度伪造技术扮成了一名 Retool 员工真实声音给员工打了电话，这个”声音“的主人很熟悉办公室的平面图、同事和公司的内部流程。 值得一提的是，整个对话过程中，虽然受害员工多次对电话表示了怀疑，但不幸的是，最后还是向攻击者提供了一个额外的多因素身份验证（MFA）代码。 可以看出，网络攻击者在打电话给受害员工之前，可能已经在一定程度上渗透到了 Retool 中。一旦放弃多因素代码，网络攻击者就会将自己的设备添加到该员工的账户中，并转向访问其 GSuite 账户。 Retool 表示，由于谷歌 Authenticator 应用程序最近引入了云同步功能，该功能虽然便于用户在手机丢失或被盗时可以访问多因素验证码，但 Retool 指出如果用户谷歌账户被泄露，那么其 MFA 代码也会被泄露”。 Retool进一步指出，进入谷歌账户就能立即访问该账户中的所有 MFA 令牌，这是网络攻击者能够进入内部系统的主要原因。社会工程学是一种非常真实可信的网络攻击媒介，任何组织和个人都会成为其攻击目标，如果实体组织规模足够大，就会有员工在不知情的情况下点击链接并被钓鱼。 最后，虽然目前 Retool 已经禁止了网络攻击者的访问权限，但为了警告其它公司免受类似攻击，还是决定公布这起安全事件。   转自Freebuf，原文链接：https://www.freebuf.com/news/378413.html 封面来源于网络，如有侵权请联系删除

最新研究显示，作为间谍活动的一部分，与伊朗政府有联系的黑客瞄准了卫星、国防和制药行业的数千个组织。此次攻击背后的黑客组织被微软追踪为Peach Sandstorm，这一组织成功入侵了一些目标组织并窃取了他们的数据。微软没有透露哪些国家是目标。 最近与伊朗有关的袭击主要集中在以色列、美国、巴西和阿拉伯联合酋长国。微软表示，在2月至7月进行的新活动中，Peach Sandstorm使用公开可用和自定义工具的组合来破坏其目标并收集“支持伊朗国家利益”的情报。 为了闯入受害者的帐户，Peach Sandstorm使用了一种称为“口令喷射”的技术，他们尝试使用单个口令或常用口令列表来获得对目标设备的未经授权的访问。虽然听起来很简单，但这种技术可以让攻击者增加成功的机会，并降低触发自动帐户锁定的风险。Peach Sandstorm（之前被追踪为Holmium）在之前的攻击中也使用了口令喷射，其中包括针对航空航天、国防、化学品和采矿等行业。 当该组织设法攻击目标时，其攻击就会变得更加复杂。例如，微软注意到黑客们使用该公司的AzureHound和Roadtools工具从受害者的系统中收集信息，访问目标云环境中的数据，并将感兴趣的特定数据传输到单个数据库。 黑客组织在一个受损的设备上安装了Azure Arc客户端，并将其链接到他们自己的Azure订阅，使他们能够控制黑客云基础设施中的目标设备。他们还试图利用众所周知的漏洞，例如用于IT服务管理的Zoho ManageEngine中的漏洞，以及团队协作工具Confluence。另外，还使用了商业远程监控和管理工具AnyDesk来保持对目标的访问。 研究人员还发现了一种新的后门工具，疑似伊朗黑客使用该工具攻击巴西、以色列和阿联酋的目标。据网络安全公司ESET称，这个名为“弹道山猫”或“魅力小猫”的黑客组织在2021年3月至2022年6月期间部署了该工具，目标是至少34名受害者，其中大部分在以色列。 微软最近的一份报告称，伊朗国家支持的黑客越来越多地利用影响力行动来扩大传统网络攻击的影响，并在以色列和美国推动德黑兰的政治议程。 随着Peach Sandstorm越来越多地开发和使用新功能，相关组织必须开发相应的防御措施，以加强其攻击面并提高这些攻击的成本。   转自E安全，原文链接：https://mp.weixin.qq.com/s/bkcjRAUV1VtfFqXlh2tg_A 封面来源于网络，如有侵权请联系删除

朝鲜黑客组织 Lazarus 最近似乎加大了行动力度，自 6 月 3 日以来已确认对加密货币实体发动了四次攻击。现在，他们被怀疑实施了第五次攻击，这次是在 9 月 12 日针对 CoinEx 实施的。 对此，CoinEx 发布了几条推文，表示可疑的钱包地址仍在确认中，因此被盗资金的总价值尚不清楚，但目前相信约为 5400 万美元。 在过去的 104 天里，Lazarus 已被确认从 Atomic Wallet（1 亿美元）、CoinsPaid（3730 万美元）、Alphapo（6000 万美元）和 Stake.com（4100 万美元）窃取了近 2.4 亿美元的加密资产。 最近的拉扎罗斯攻击 如上图所示，安全机构依利浦（Elliptic）分析证实，从 CoinEx 盗取的部分资金被发送到一个地址，该地址被 Lazarus 集团用来清洗从 Stake.com 盗取的资金，尽管是在不同的区块链上。之后，这些资金被桥接到以太坊上，使用的是 Lazarus 以前使用过的桥接器，然后又被发送回一个已知由 CoinEx 黑客控制的地址。依利浦曾观察到 Lazarus 将来自不同黑客的资金混合在一起的情况，最近一次是从 Stake.com 盗取的资金与从 Atomic Wallet 盗取的资金重叠。这些来自不同黑客的资金被合并的情况在下图中以橙色表示。 鉴于这种区块链活动，并且没有信息表明 CoinEx 黑客攻击是由任何其他威胁组织进行的，依利浦同意 Lazarus 集团应被怀疑盗窃了 CoinEx 的资金。 104 天内的五次 Lazarus 攻击 2022 年，几起备受瞩目的黑客攻击事件被认为是 Lazarus 所为，其中包括 Harmony 的 Horizon 桥接器和 Axie Infinity 的 Ronin 桥接器，这两起事件都发生在去年上半年。从那时起到今年 6 月，没有任何重大的加密劫案被公开归咎于 Lazarus。因此，过去 104 天内发生的各种黑客事件表明，朝鲜威胁组织的活动有所加强。 2023 年 6 月 3 日，非托管去中心化加密货币钱包 Atomic Wallet 的用户损失超过 1 亿美元。2023 年 6 月 6 日，依利浦在确定了表明朝鲜威胁组织应对此负责的多种因素后，将此次黑客攻击归咎于 Lazarus。这一归因后来得到了联邦调查局的证实。 2023 年 7 月 22 日，Lazarus 通过一次成功的社交工程攻击，获得了属于加密货币支付平台 CoinsPaid 的热钱包的访问权限。这次访问允许攻击者创建授权请求，从该平台的热钱包中提取约 3730 万美元的加密资产。7 月 26 日，CoinsPaid 发布了一份报告，声称 Lazarus 应对此次攻击负责。联邦调查局随后证实了这一归因。 同一天，即 7 月 22 日，Lazarus 发起了另一次备受瞩目的攻击，这次是针对集中式加密支付提供商 Alphapo，窃取了 6000 万美元的加密资产。攻击者可能是通过之前泄露的私钥获得了访问权限。如上所述，联邦调查局后来将这次攻击归咎于 Lazarus。 2023 年 9 月 4 日，在线加密货币赌场 Stake.com 遭到攻击，约 4100 万美元的虚拟货币被盗，这可能是私钥被盗的结果。联邦调查局于 9 月 6 日发布新闻稿，证实拉扎罗斯组织是这次攻击的幕后黑手。 最后，2023 年 9 月 12 日，中心化加密货币交易所 CoinEx 遭黑客攻击，5400 万美元被盗。如上文详述，许多因素表明，Lazarus 应对此次攻击负责。 改变策略 对 Lazarus 最新活动的分析表明，自去年以来，他们已将重点从去中心化服务转向中心化服务。在之前讨论过的最近五次黑客攻击中，有四次是针对集中式虚拟资产服务提供商的。在去中心化金融（DeFi）生态系统迅速崛起之前，中心化交易所曾是 Lazarus 在 2020 年之前的首选目标。 Lazarus 的注意力再次转移到中心化服务上可能有多种原因。 更加注重安全性： 依利浦之前对 2022 年 DeFi 黑客事件的研究发现，每四天就会发生一起漏洞利用事件，每次平均窃取 3260 万美元。跨链桥接器在 2022 年初还是一种相对较新的服务形式，但现在已成为 DeFi 协议中最常被黑的几种类型。这些趋势很可能促使智能合约审计和开发标准得到改进，从而缩小了黑客识别和利用漏洞的范围。 易受社交工程影响： 在许多黑客攻击中，Lazarus 集团选择的攻击方法是社会工程学。例如，Ronin Bridge 价值 5.4 亿美元的黑客攻击事件就是由于 LinkedIn 上的虚假招聘信息造成的。尽管如此，去中心化服务通常拥有较小的员工队伍，而且顾名思义，在不同程度上是去中心化的。因此，获得开发人员的恶意访问权限并不一定等同于获得智能合约的管理访问权限。 与此同时，集中式交易所的员工人数可能会更多，从而扩大了可能的目标范围。它们还可能使用集中的内部信息技术系统进行操作，从而使 Lazarus 恶意软件有更大的机会渗透到其业务的预期功能中。 转自cnBeta，原文链接：https://www.toutiao.com/article/7279614873636487714/?log_from=61ee17c088e3e_1695000055869 封面来源于网络，如有侵权请联系删除

微软在 ncurses（new curses 的缩写）编程库中发现了一组内存损坏漏洞，威胁者可利用这些漏洞在易受攻击的 Linux 和 macOS 系统上运行恶意代码。 微软威胁情报研究人员 Jonathan Bar Or、Emanuele Cozzi 和 Michael Pearse 在今天发布的一份技术报告中说：利用环境变量中毒，攻击者可以利用这些漏洞提升权限，在目标程序的上下文中运行代码或执行其他恶意操作。 这些漏洞被统一标记为 CVE-2023-29491（CVSS 得分为 7.8），截至 2023 年 4 月已得到修复。微软表示，它还与苹果公司合作修复了与这些漏洞相关的macOS特定问题。 环境变量是用户定义的值，可被系统中的多个程序使用，并可影响它们在系统中的行为方式。操纵这些变量会导致应用程序执行未经授权的操作。 微软的代码审计和模糊测试发现，ncurses 库会搜索包括 TERMINFO 在内的多个环境变量，这些变量可能会被病毒化，并与已发现的漏洞相结合，从而实现权限升级。Terminfo 是一个数据库，可使程序以独立于设备的方式使用显示终端。 这些漏洞包括堆栈信息泄漏、参数化字符串类型混淆、逐一错误、在 Terminfo 数据库文件解析过程中出现堆越界，以及使用取消的字符串拒绝服务。 研究人员表示，攻击者可以利用发现的漏洞提升权限，并在目标程序的上下文中运行代码。即使如此，攻击者通过利用内存损坏漏洞获得程序的控制权也需要多阶段攻击。 攻击者可能需要将这些漏洞串联起来才能提升权限，例如利用堆栈信息泄漏获得任意读取原语，同时利用堆溢出获得写入原语。   转自Freebuf，原文链接：https://www.freebuf.com/news/378176.html 封面来源于网络，如有侵权请联系删除

9月7日，美国最大的博彩娱乐集团——凯撒娱乐遭遇了一次网络攻击，黑客入侵了其数据库，据悉该数据库存储了众多客户的驾照号码和社会安全号码。为避免这些客户数据在网上泄露，该公司近日表示已经支付了赎金。 周四（9月14日），凯撒公司向美国证券交易委员会提交了一份8-K表，其中写道：我们仍在调查未经授权的行为者获取的文件中，究竟包含了多少敏感信息。 凯撒方面表示，迄今为止并没有证据表明任何会员密码/PIN、银行账户信息或支付卡信息（PCI）被未经授权的行为者获取。 但据《华尔街日报》的报道称，该公司为了防止被盗数据在网上泄露，已经支付了大约 1500 万美元的赎金，这是最初黑客索要的3000万美元赎金的一半。 不过，凯撒方面还明确表示，目前仍然存在黑客出售或泄露客户被盗信息的可能性，凯撒方面无法提供任何保证。但他们已对此采取措施确保未经授权的行为者删除被盗数据。凯撒方面正在对网络进行监控，没有发现任何证据表明这些数据被进一步共享、公布或以其他方式滥用。 虽然凯撒没有将这次攻击与特定的网络犯罪团伙或威胁行为者联系起来，但彭博社周三（9月14日）发表的一篇报道称，这次攻击是由一个名为 “Scattered Spider “的黑客组织实施的。该威胁组织被追踪为 UNC3944 和 0ktapus，最早自2022年5月起就开始有所行动。它结合使用社交工程、多因素身份验证（MFA）疲劳和短信凭证钓鱼攻击来窃取用户凭证并入侵目标网络。 数据泄露仅影响忠诚计划会员 据 Caesars 称，未加入 Caesars 忠诚度计划的客户不会受到数据泄露的影响。公司将在未来几周内通知所有受影响的个人。 该公司在一份单独的数据泄露通知中提供了更多细节，并表示已向执法部门报告了这一事件。 这次攻击没有影响其面向客户的运营，包括在线/移动博彩应用程序和实体物业，因为它们的运营没有中断。 凯撒是近期受到网络攻击影响的第二家连锁赌场，周一（9月11日），美高梅国际酒店集团称该公司的网站、预订系统和赌场服务（即 ATM、老虎机和信用卡刷卡机）遭遇网络攻击，IT 系统被迫下线。 2020 年，美高梅国际酒店集团还披露了 2019 年的一次网络攻击事件，该事件导致其云服务遭到破坏，黑客窃取了超过 1000 万条客户记录。   转自Freebuf，原文链接：https://www.freebuf.com/news/378174.html 封面来源于网络，如有侵权请联系删除

欧洲跨国航空航天公司空中客车公司表示，正在调查一起网络安全事件，此前有报道称，一名黑客将该公司3200家供应商的信息发布到暗网上。 一名绰号“USDoD”的黑客周一发帖称，他们在泄露了一名土耳其航空公司员工的账户后，获得了对空客门户网站的访问权限。黑客声称掌握了数千家空客供应商的详细信息，包括姓名、地址、电话号码和电子邮件。  “USDoD”曝光了3,200家敏感空客供应商信息的同时声称洛克希德·马丁公司和雷神公司可能是下一个目标。考虑到所涉及的公司类型，此次泄密事件高度敏感。 威胁行为者通常不会透露他们的入侵技术，但在这次极其罕见的泄露中，“USDoD”透露，他们通过利用“土耳其航空公司的员工访问权限”获得了空客的数据。利用这些信息，研究人员成功追踪了上述员工的访问情况——一台于2023年8月感染了信息窃取恶意软件的土耳其计算机。从信息窃取者感染中获得的凭据已成为近年来主要的初始攻击媒介，为威胁行为者提供了进入公司的简单入口点，从而促进了数据泄露和勒索软件攻击。 在Hudson Rock的数据库中发现的受感染员工的凭据 来自受感染计算机的技术信息 空中客车公司发言人Philippe Gmerek证实，黑客入侵了一个“与空中客车客户相关的IT账户”。该账户用于从空客门户网站下载客户的专用商业文件。该公司正在调查该事件，安全团队也立即采取了补救和后续措施，以防止系统被破坏。 据《哈德逊岩报》报道，这名黑客似乎与2022年12月FBI InfraGard系统遭到破坏有关，他在没有提出任何要求的情况下公开发布了泄露的信息。关于攻击者的动机，目前知之甚少。但攻击者表示自己是相对较新的勒索软件组织“Ransomed”的成员。 “Ransomed”正在迅速获得关注，并自豪地在Twitter上声称在2023年9月期间针对大多数公司发起了勒索软件攻击。 取自 ransomwatch.telemetry.ltd 航空航天公司经常因其持有的敏感数据和技术而成为黑客攻击的目标。上周，美国联邦调查局、美国网络司令部和网络安全与基础设施安全局警告称，今年有多个民族国家的黑客利用漏洞瞄准了一家未具名的航空航天公司。 转自E安全，原文链接：https://mp.weixin.qq.com/s/LOp-pJWr_K-0FOX5QbiVow 封面来源于网络，如有侵权请联系删除

据BleepingComputer消息，一种名为“MetaStealer”的新型信息窃取恶意软件可以从基于 Intel 芯片的 macOS 系统电脑中窃取各种敏感信息。 MetaStealer是一种基于Go语言编写的恶意软件，能够逃避 Apple 内置防病毒技术，主要目标针对商业用户。网络安全公司SentinelOne在 VirusTotal 上发现了一个恶意软件样本，其中有一条评论称利用MetaStealer的攻击者正在冒充企业客户来传播恶意软件。 根据SentinelOne的报告， MetaStealer 能够伪装成Adobe软件，如如“AdobeOfficialBriefDescription.dmg”和“Adobe Photoshop 2023（带 AI）installer.dmg”。在进行安装时，这些文件包含具有欺骗性名称的可执行文件，这些可执行文件显示为 PDF 文件，以诱骗受害者点击打开。 该恶意软件的应用程序包包含最基本的内容，即 Info.plist 文件、带有图标图像的 Resources 文件夹以及带有恶意 Mach-O 可执行文件的 macOS 文件夹。SentinelOne 检查的样本均未经过签名，尽管某些版本具有 Apple 开发者 ID。 MetaStealer 试图窃取被入侵系统钥匙串所保存的各类账号密码以及系统中保存的文件，并通过 3000 端口上的 TCP 外渗。 目前，MetaStealer 仅在 Intel x86_64 架构上运行，意味着它无法危害在 Apple Silicon 处理器（M1、M2）上运行的 macOS 系统，除非受害者使用 Rosetta 运行恶意软件。 然而，MetaStealer 可能会发布一个新版本，增加对 Apple Silicon 的本机支持。因此，MetaStealer是一个需要警惕的威胁。   转自Freebuf，原文链接：https://www.freebuf.com/news/378037.html 封面来源于网络，如有侵权请联系删除

不久前，研究人员在 Kubernetes 中发现的三个可被利用并相互关联的高危安全漏洞，这些漏洞可在集群内的 Windows 端点上以提升权限的方式实现远程代码执行。 这些漏洞被标记为 CVE-2023-3676、CVE-2023-3893 和 CVE-2023-3955，CVSS 评分为 8.8，影响所有带有 Windows 节点的 Kubernetes 环境。继 Akamai 于 2023 年 7 月 13 日披露后，这些漏洞的修复程序于 2023 年 8 月 23 日发布。 Akamai 安全研究员 Tomer Peled表示：该漏洞允许在 Kubernetes 集群内的所有 Windows 端点上以 SYSTEM 权限远程执行代码。要利用这个漏洞，攻击者需要在集群上应用恶意YAML文件。 亚马逊网络服务（AWS）、谷歌云（Google Cloud）和微软Azure都发布了针对这些漏洞的公告，这些漏洞影响到以下版本的Kubelet kubelet < v1.28.1 kubelet < v1.27.5 kubelet < v1.26.8 kubelet < v1.25.13，以及 kubelet < v1.24.17 简而言之，CVE-2023-3676 允许拥有 “应用 “权限（可与 Kubernetes API 交互）的攻击者注入任意代码，这些代码将在具有 SYSTEM 权限的远程 Windows 机器上执行。 Peled 还指出，CVE-2023-3676要求的权限很低，因此为攻击者设置的门槛也很低。他们需要的只是访问节点和应用权限。 该漏洞与 CVE-2023-3955 一样，都是由于缺乏输入清理而导致的，从而使特制的路径字符串被解析为 PowerShell 命令的参数，从而有效地执行命令。 另一方面，CVE-2023-3893 与容器存储接口（CSI）代理中的权限升级案例有关，它允许恶意行为者获得节点上的管理员访问权限。 具体来说，在处理 Pod 定义时，软件未能充分验证或清理用户输入。这一疏忽使得恶意用户能够制作带有环境变量和主机路径的 pod，这些环境变量和主机路径在处理时会导致权限升级等后果。   转自Freebuf，原文链接：https://www.freebuf.com/news/378035.html 封面来源于网络，如有侵权请联系删除

有消息称，英国《信息自由法》披露的数据显示，2023年上半年，英国运营关键信息技术基础设施服务的组织，向政府报告网络攻击严重干扰其运营的事件数量，已经超过了以往任何一年的报告总数。 尽管攻击总数似乎较低，只有13起影响到运营关键技术服务的组织（如国家互联网节点或回程运营商）的攻击，但这个数字较2022年和2021年分别记录的4次有显著增加。 NIS指令规定了事件报告要求 从发电厂到运输和医疗领域以及信息技术基础设施公司，英国各地的重要服务提供商都根据英国《网络和信息系统指令》（NIS指令）要求，向各行业主管机构报告干扰性网络事件。相关规定还为这些重要服务提供商的计算机网络设立了最低安全标准。 只有网络攻击造成的干扰满足某些门槛才会被报告。以配电网络的网络和信息系统事件为例，报告门槛是导致至少50000个客户发生计划外供电中断，且持续时间超过三分钟。以影响国家重要DNS解析器的事件为例，报告门槛是导致服务带宽在15分钟或更长时间内缩减超过25%。 事件报告数量增多不代表威胁形势更严峻 据了解，两个特定行业管理机构在今年上半年收到的报告比以往任何一年都要多。它们分别是从数字基础设施提供商那里接收报告的英国通信管理局（Ofcom），和监管云计算服务等数字服务提供商的英国信息专员办公室（ICO）。 经联系，其他管理机构没有提供自从2018年《网络和信息系统指令》生效以来的年度报告细分数据。因此，尚不清楚2023年上半年创记录数量的网络攻击事件是否涉及通信、数字服务领域之外的行业。 有私营部门专家表示，报告数量增加的原因更可能是服务提供商更清晰地意识到了他们的报告职责，加大了对检测能力的投资，而不是复杂威胁行为者发起了更多敌对活动。 一位政府发言人表示：“随着监管机构和受监管机构对报告要求有更清晰的理解，我们预计报告事件将继续增加。没有证据表明目前的增加与敌对活动增多有任何关联，任何这样的看法都毫无依据。” NIS事件报告暂无法准确量化行业威胁分析 但数据还显示，大量受监管组织提交的报告最终没有记录为NIS事件报告，这是因为指令对于网络攻击是否需要报告设置的门槛尚待优化。 这些门槛主要基于网络安全事件对基本服务提供的影响程度。比如，网络攻击是否干扰了发电厂的能源生产，是否阻止了铁路公司开行一定数量的列车。 然而，这些门槛没有衡量攻击者对计算机网络的访问深度，也没有衡量威胁行为者是否有能力干扰任何基本服务。所以，政府管理机构无法清晰地看出他们负责的行业面临的网络攻击风险有多大。 交通、数字服务、通信等行业事件报告数量居前 2020年，NIS指令修订后，ICO开始接收数字服务提供商的报告。该部门表示，截至目前已收到了10份有关服务干扰的报告（2020年1份，2021年2份，2022年2份，2023年5份），以及9份未达到门槛的报告（2020年1份，2021年1份，2022年1份，2023年1份）。 Ofcom在2022年记录了一起NIS事件，但该机构累积接收了7份未达到门槛的报告（2020年3份，2021年1份，2023年3份）。 卫生与社会保健部表示，自2018年以来，已收到2份网络和信息系统事件的报告，而交通部则透露，自法规生效以来，已收到关于25起事件的报告。但这两个部门没有说明这些报告的具体提交年份。 交通部表示，没有收到任何未达到门槛的报告。这与2021年天空新闻所报道的内容相矛盾，当时该部门表示已收到9份未达到门槛的报告。外媒The Record询问为何二者不一致，该部门未能提供解释。 能源安全与零排放部表示，自2018年法规生效以来，未收到网络和信息系统事件的报告，但已收到3份未达到报告门槛的报告。 政府发言人表示：“我们致力于保护英国关键服务免受网络威胁，强化事件报告是《网络和信息系统法规》的关键要素。去年，作为对公众咨询的回应，我们规划了扩大报告事件范围的详细计划，不再局限于影响基本或数字服务交付的事件。” 去年11月，英国政府发表题为“更新网络法律以增强英国对在线攻击的抵御力”的新闻稿，承诺将在“议会时间允许的情况下”更新法规。然而，政府尚未宣布任何新的法律。政府预计，2024年11月7日大选之前，标志议会开幕的国王演讲中将概述最终的立法议程。   转自安全内参，原文链接：https://www.secrss.com/articles/58791 封面来源于网络，如有侵权请联系删除