美国律师协会 (ABA) 是一个由律师和法学院学生自愿组成的律师协会；它不特定于美国的任何司法管辖区。截至 2022 年，ABA 拥有 166,000 名会员。 据悉，攻击者可能已经获得了对 2018 年停用的遗留会员系统的会员凭证的访问权限。 安全漏洞于 2003 年 3 月 17 日被发现，入侵始于 2023 年 3 月 6 日左右。该组织于周四开始通知成员。 “2023 年 3 月 17 日，ABA 观察到其网络上存在异常活动。事件响应计划立即启动响应，并聘请网络安全专家协助调查，”据 BleepingComputer 报道，发送给受影响成员的数据泄露通知电子邮件中写道。 “调查确定，未经授权的第三方从 2023 年 3 月 6 日前后开始访问 ABA 网络，并可能获取了某些信息。 对该事件展开的调查显示，未经授权的第三方在 2018 年之前或自 2018 年以来在 ABA 网站或 ABA 职业中心获取了会员在线账户的用户名以及散列和密码。 据 BleepingComputer 称，有 1,466,000 名会员受到此次违规的影响。 需要强调的是，即使密码经过哈希处理和加盐处理，威胁行为者也可以获得明文密码，尤其是弱密码。 坏消息是，许多会员使用了平台分配的默认密码，并且一直没有更改过。 建议会员在新的 ABA 门户网站和共享相同凭据的所有在线服务上更改密码。     转自 E安全，原文链接：https://mp.weixin.qq.com/s/vfFxjYH8XYHM2Vc-YlNGYQ 封面来源于网络，如有侵权请联系删除

继去年美军被曝光秘密采购基于网络日志的大规模监控工具后，日前又有多个美国联邦政府机构遭曝光，向私人数据公司购买互联网流量日志，或存在侵犯公民隐私嫌疑。 美军秘密采购大规模监控工具 2022年有报道称，美国海军刑事调查局、国防情报局、国防反情报与安全局、海关与边境保护局等多个军事情报单位花费数百万美元向数据经纪机构购买互联网流量日志。 美国参议员罗恩·怀登称，上述部门购买的互联网流量日志，“能够展示民众的个人身份，以及人们在网上的阅读内容等极其敏感的信息。”这意味着政府机构可能会绕过宪法的保护，从见不得光的数据经纪机构和其他私营企业那边获得公民的隐私数据。 美国公民自由联盟等主要权利组织对此事件表达了担忧，称有必要以更高的透明度关注政府机构如何使用这些信息。多位联邦议员也在努力调查美国政府在未获授权的情况下获取互联网数据的行为，要求有关部门颂涉嫌购买数据的细节，以确定是否侵犯了公民隐私。 FBI也被曝出多次采购Netflow数据 但美国联邦机构对议员和权利组织对此质疑置若罔闻，近日又被曝出向私人数据公司购买互联网流量日志，继续表现出对互联网数据和产品的极大兴趣。 据外媒Motherboard报道，美国联邦调查局（FBI）内部文件显示，FBI分别于2009、2011、2013和2017年向私人公司购买了互联网流量日志（netflow），其中最新一次交易（2017年）花费了76450美元。所谓“互联网流量日志”包括服务器之间的通信、本应只能够被服务器所有者或互联网服务提供商获取的信息等流量数据。 文件显示，FBI是为其下属的网络部门进行上述交易的。据悉，FBI网络部门的主要职责，是调查网络犯罪和国家安全领域的黑客。 但按照参议员罗恩·怀登的说法，对这些数据进行分析可以识别黑客所用的基础设施，更能够“揭示美国人访问的网站以及其他敏感信息，比如一个人看什么医生、他们的宗教信仰或他们使用的约会网站”等等，所以“政府这种在未得到法院授权的情况下购买私人数据是不可接受的”。 Team Cymru公司为核心供应商 值得注意的是，向FBI提供“货品”的，仍然是出现在2022年报道中的Team Cymru公司（或其子公司），这表明该公司在去年的曝光事件后并未收敛，美国政府部门也未终止与它的合作。Team Cymru公司的产品优势由此可见一斑。 Motherboard称，这家公司的上市产品主打“通过虚拟专用网络跟踪流量的能力”，并可显示访问流量来自哪个服务器。另外，Team Cymru公司的产品清单上还包括URL访问数据、cookie和PCAP数据等。尽管被曝光的内部文件显示FBI并未购买或获得此类数据，但在2022年的报道中，一名举报人曾明确表示海军犯罪调查处涉嫌在没有授权的情况下使用了这些数据。 Motherboard称，Team Cymru公司是通过“交换服务”的方式从互联网服务提供商处获取上述数据和信息的——前者承诺向后者提供威胁情报做为回报。但很有可能的是，两者之间的交易是在互联网用户不知情的情况下进行的。罗恩·怀登毫不客气地指出，FBI从Team Cymru公司手里购买这样的数据，“欠美国人民一个解释。” 国税局也被曝光采购Netflow数据 然而，FBI的解释还没等到，美国联邦政府机构向Team Cymru公司购买互联网流量日志的另一笔交易新闻却先到了。这次的主角是美国国税局（IRS）。 公开采购记录显示，国税局希望向Team Cymru公司购买一款互联网监控工具，并从其他网络安全公司购买定制服务。据悉，国税局寻求购买的互联网监控工具，是Team Cymru公司出品的“Recon—Advanced”。公司官网介绍称，Recon—Advanced具备“互联网流量遥感”功能，可通过主动向采集器上送监测数据的方式采集类型丰富的互联网数据，该网站将这些数据描述为“世界上最大的威胁情报数据海洋”。所以使用Recon—Advanced产品，就能够“通过十多个代理和VPN追踪恶意活动，以确定网络威胁的来源”。 综合上述信息，国税局购买Recon—Advanced产品的目的似乎是防御性的，可以帮助本部门网络安全专业人员监控本部门网络之外的活动，并对互联网上正在发生的事情进行观察。如果真的如此，那么这可能有利于防御者对黑客进行识别。 众多行业人士表达怀疑和担忧 但是，多名网络安全专业人士对此表示了怀疑和担忧。 首先，Team Cymru公司互联网监控工具的数据收集对象不仅仅针对黑客或疑似黑客，而是无差别式的。一位消息人士表示，他在Team Cymru收集到的数据仓库中甚至看到了一个自己熟识的组织的流量，当时大吃了一惊。言下之意，即谁也不能保证Team Cymru公司收集的数据不会侵犯公民或社会团体的隐私。 其次，国税局或其他政府部门从Team Cymru公司购买的数据将用于何处无法得到有效监督。正如网络大数据分析公司Kentik总裁艾唯·弗里德曼（Avi Freedman）所说，尽管Team Cymru公司宣称本公司出售的数据将用于网络安全，但仍有些人想将这些数据用于其他目的。所以最好的办法是取消互联网数据交易。他举例称，曾有一家对冲基金试图以研究经济的名义从Kentik公司获取网络数据流量，但遭到了自己的拒绝。他表示，对冲基金求购的数据“是我们客户的数据，不是我们的。所以我们的回答是‘不’”。 Team Cymru公司一再向政府部门出售流量数据的行为已引起不满和怀疑。参议员罗恩·怀登在表示此类行为“不可接受”的同时，还强调自己已提出出台《禁止出售法》的建议，禁止政府部门或相关机构购买此类私人数据。 旨在为用户提供绕过审查匿名访问网站服务的非营利性项目Tor Project则表示，将对Team Cymru公司捐赠的基础设施敬而远之。该组织称，远离Team Cymru公司基础设施的迁移工作预计将在今年春天完成。     转自 安全内参，原文链接：https://www.secrss.com/articles/53850 封面来源于网络，如有侵权请联系删除  

根据颇具影响力的网络空间日光浴室委员会的一项研究，美国应正式将太空列为关键基础设施部门，并采取措施保护卫星和其他太空系统免受网络攻击。 报告指出，“将太空系统指定为美国的关键基础设施部门将缩小目前的差距，并向国内外发出信号，表明太空安全和弹性是重中之重。太空达到了指定的门槛，因为它越来越多地卷入美国的军事和经济。” 由于没有任何一个联邦实体负责保护空间系统（如地面站和卫星）免受黑客攻击，白宫应将空间指定为第 17 个关键基础设施部门，并将 NASA 作为其“部门风险管理机构”提供监督和小组争论。当前的关键基础设施部门包括水坝、运输系统、化学部门和通信。 根据该研究的执行摘要，美国太空系统的主要部分仍然没有被指定为关键基础设施，也没有得到这样的指定所需要的关注或资源，今天的大多数太空系统都是在太空是冲突避难所的前提下开发的，但情况已不再如此。 网络空间日光浴室委员会由国会于 2019 年创建，由两党立法者小组领导。它于 2021 年底停用，但作为非营利组织继续发布报告和建议。 最近的一系列事态发展可能会为委员会在国会山提出的新建议提供动力。 在莫斯科无端入侵乌克兰之初，俄罗斯黑客将目标对准了卫星公司Viasat，以中断通信。 国土安全部还建议政策制定者考虑为太空和生物经济创建新的关键基础设施部门。国家安全委员会目前正在敲定重写总统指令 PPD-21，该指令决定哪些部门获得关键基础设施标签。 该报告指出，“有必要减轻源于太空地理和技术特殊性的独特网络安全挑战，通过国会拨款进行大量投资将势在必行，因为没有资源的政策只是空谈。” 为此，委员会建议国会每年向 NASA 提供 1500 万美元的初始投资，以及 25 名全职员工，以承担其新的风险管理职责。然而，该小组告诫不要授予该机构任何新的监管权力，而是建议国会研究服务处梳理现有法规并提出立法构想。 它还敦促航天部门建立一个协调委员会，以帮助促进工业界与联邦政府之间的信息共享。 报告还指出，“来自俄罗斯和其他国家的威胁正在增加。这些国家都将美国和合作伙伴的太空系统置于他们的十字准线之下，正如他们对反卫星 (ASAT) 能力的测试所证明的那样。美国需要一种更加协调一致的方法来进行空间系统基础设施的风险管理和公私合作。”       转自 E安全，原文链接：https://mp.weixin.qq.com/s/E8PEHH78mZYLG78Yk2XXxw 封面来源于网络，如有侵权请联系删除

美国网络司令部申请8940万美元(约合人民币6.14亿元)预算，计划在2024财年建设一个关键的进攻性网络平台——联合通用访问平台（Joint Common Access Platform，JCAP）。这是该部门首次公开此类项目的预算数字。 JCAP项目将使美国防部的网络作战人员能够在友方（friendly）防火墙之外与他们的目标进行连接。自2020年以来，JCAP一直由陆军负责运营，网络司令部担任执行机构。此前，JCAP在预算文件中被列为机密级，几乎不公布关于计划的任何细节或资金数额信息。到目前为止，有关该项目的公开信息只有国安服务提供商ManTech在2020年获得一份价值2.65亿美元的合同，负责为JCAP计划提供为期三年半的支持服务。 此次预算金额是在网络司令部的2024财年研发预算中列出。以往，各军种只负责为网络司令部提供资金和人员。但在2022财年国防授权法案中，国会增强了网络司令部的预算权限，允许其根据网络任务部队的维持需求直接控制和管理各类资源的规划、编排、预算及执行。 美国各大军种过去都有自己的网络支持平台。但网络司令部正在主动将这些能力纳入其联合网络作战架构，希望以该架构指导所有军种的联合网络任务部队的采办优先事项。出于这个目的，网络司令部必须将各军种的不同系统整合起来。 JCAP将作为联合网络火力平台，各大军种的系统预计将在2024年全部迁移到该平台。 鉴于这项计划的敏感性，此前几乎没有公布任何信息。美国政府问责局（GAO）将其描述为“供网络作战人员通过使用一套综合工具套件实现战斗力投送的通用访问平台。” JCAP采用敏捷软件方法，每两个月举行一次论坛，评估差距、威胁、要求和新兴技术，以期在更短周期内注入能力，以超越克服威胁。去年JCAP已经交付了首个最小可行功能版本。 美国网络司令部在预算申请中指出，“JCAP可提供一个受保护、被托管、已编排的环境与通用网络火力平台，支持网络司令部协调和执行对已获批网络目标的网络行动。这种能力使网络任务部队有能力在处理检测和归因工作的同时执行作战行动。JCAP计划利用现有服务访问平台项目，目标是通过组合、增强和发展现有项目基准，打造出‘同类最佳’JCAP。” 2024财年申请的8940万美元预算，将用于改进能力并增强网络任务部队的行动与支持任务准备水平。此外，预算还将用于联合网络作战架构及其他要素的进一步整合。 网络司令部将JCAP项目列入了研发预算的“健壮基础设施与访问”部分。计划内容还包括另一项工作，名为“其他网络作战基础设施”，目前仍属于高度机密。除了在2024财年内为其申请8070万美元预算之外，文件中没有提供任何相关细节。二者相加，令整个计划内容的预算申请总额达到1.701亿美元。 在采购方面，网络司令部为“健壮基础设施与访问（JCAP）”申请了5050万美元。不过文件提到，这笔资金将用于为联合任务作战中心（网络作战的指挥、控制与执行中心）内各系统提供服务台、技术支持、许可证及技术更新。 转自 安全内参，原文链接：https://mp.weixin.qq.com/s/jKWORCQ0Bc05kgJ3HSt-eA 封面来源于网络，如有侵权请联系删除

美国空军认为，过去数年，他们在武器系统网络安全这一新兴领域的提升取得重大进展，足以让他们开始向太空军推广长期使用的策略。 近年来，人们越发深刻地认识到武器平台容易受到网络威胁，需要不同于传统信息技术系统的安全策略加以应对。为此，美国空军于2017年首度采取措施，成立了武器系统网络弹性办公室（CROWS）。 兼顾新旧系统 过去三四年间，美国空军主要采用将专家团队“嵌入”采购办公室，帮助项目经理将网络安全问题纳入采购和维护方案。这些方案不仅针对新系统，也针对已经服役数十年的老系统。 这些专家团队被美国空军称作网络焦点小组，现在分别驻扎在马萨诸塞州汉斯科姆空军基地、俄亥俄州怀特-帕特森空军基地、犹他州希尔空军基地，佛罗里达州埃格林空军基地、俄克拉荷马州廷克尔空军基地、佐治亚州罗宾斯空军基地。 “对于我们的新系统，我们不受任何旧系统的限制，可以从零开始设计。”CROWS项目主管Joe Bradley在接受美媒联邦新闻网采访时说，“所以，我们正在和项目经理、后勤人员、测试和评估人员、系统工程师，甚至我们的财务人员合作，因为他们有切身利益。我可以开发一个非常复杂的解决方案，但如果它在财务上不可行，那么我就浪费了时间和金钱。这就需要整个采购团队从一开始就正确地构建它……网络安全不仅仅是工程问题，而是全局性问题。” 对于已部署系统，CROWS也一直在想方设法“补强”老旧武器平台的网络弹性。这些武器平台是数年乃至数十年前设计的。当时，网络威胁还不是多么重要的问题。 “CROWS通过我们的网络焦点小组推动对网络健康进行多方面评估，具体包括项目保护方案、获得操作授权需提交的各类信息和文档、风险管理框架的相关元素、网络威胁演化如何影响我们的应对方式。”CROWS物资主管Zach Lehmann中校表示，“我们会通过年度报告披露这些信息，同时也提供给项目执行人员和他们的工程总监，让大家思考‘怎样才能更好地理解采购实践，合理应用资源，逐步改进产品？’” 将网络安全融入采购流程 一直以来，整个美国国防部都面临一大难题——应该怎样将网络安全问题融入采购流程，比如怎样拟定合适的合同。美国政府问责署（以下简称“问责署”）在2021年报告中指出，大多数军种没有制定指导方针，说明如何为武器系统采购订立网络安全需求合同。问责署指出，美国空军是唯一的例外。2019年以来，美国空军通过CROWS办公室，持续发布《武器系统项目保护和系统安全工程指南》。该《指南》的最新版（5.0版）即将公开发布。 “在涉及网络安全的行业领域，我敢说，有一万多页的政策和指导方针散见于不同的职能部门。少数指导意见已经触达了部分从业人员。” Lehmann说，“这份《指南》视角广阔，提出了一系列问题‘我们如何从纷繁的信息中提炼出系统安全工程最佳实践？我们如何简化所有这些指导方针，消解重复或矛盾之处？我们如何只编制一份文件，就能覆盖任何盲点？我们如何整合不同职能视角，初步拟定采购时间表，并确定在哪里应用这些最佳实践？’” 当然，Lehmann表示，美国空军的供应商也是这份《指南》的目标读者。 “《指南》本质上是进行预期管理。打个比方，我们要在需求里塞入一个标准的关键绩效参数，用来衡量系统生存能力。具体的项目办公室决定了参数描述会转化为怎样的合同措辞。不同的办公室会有不同的解读。”他说，“《指南》告诉我们如何对采购流程中的设计审批加以管理，如何为政府采购方和行业伙伴简化设计审批流程，因为各方需要携手走完整个收购流程。” 至于CROWS具体如何推广到太空军，大多数细节仍然有待明确。Bradley表示，他们办公室在一月份和太空军官员进行了初步讨论，太空军系统可能采取空军的既有策略：引入多学科团队协助项目办公室，保证大型复杂系统可以逐渐提升网络弹性。 “我们正与太空军合作，确定他们希望将哪些系列、类别、级别的工件加入他们的项目组合”，他说，“我们在讨论的是在非太空军项目组合中使用过，并被证明行之有效的模板。因此，尽管还在起步阶段，我们已经开始借鉴我们与非太空军人员的合作经历，逐步将架构丰富起来。” 转自 安全内参，原文链接：https://mp.weixin.qq.com/s/O6uzo6UDEfJELWiamxdGUg 封面来源于网络，如有侵权请联系删除

美国总统拜登发布2024财年预算提案，计划为网络安全和基础设施安全局（CISA）增加预算，同时提高联邦调查局（FBI）的网络调查能力。新的预算案还呼吁加强联邦政府的IT现代化工作，围绕性别相关网络犯罪推进网络安全工作，帮助乌克兰在数字战线上增强自我保卫能力。 “本预算案将继续投资网络安全计划，强调网络安全对于美国经济的基本运作、美国关键基础设施的正常运营、美国民主及民主制度的力量、美国数据和通信隐私及美国国家安全至关重要。”白宫在预算案的随附概述中表示，“日前签署的美国国家网络安全战略已经详细介绍一种全面方法，旨在更好地保护网络空间，确保美国处于最有利的地位，把握住数字未来所蕴含的一切收益和潜力。” 控制众议院的共和党已经对预算案内容表达了明确反对，这份预算规划恐怕不太可能直接通过。不过，预算法案中的网络安全条款一般会得到两党共同支持，因此相较于众议院领导层更为反感的债务上限和社会问题，网络安全条款得到保留和通过的可能性应该更高。 1、主要网络安全预算梳理 下面来看预算案中涉及网络安全的主要条款： CISA预算资金首次突破30亿美元 白宫表示，在新一年中将CISA的预算再增加1.45亿美元，总额达到31亿美元，以确保网络空间更具弹性和灵活性。这一前所未有的预算额度，也意味着CISA这个成立于2018年11月的年轻机构，掌握的资金首超30亿美元大关。 CISA的预算包括：9800万美元用于实施2021年《关键基础设施网络事件报告法》；4.25亿美元用于提高CISA内部的网络安全与分析能力，这也是其新的网络分析数据系统中的组成部分。国土安全部表示，该系统“是一个强大且可扩展的分析环境，能够为CISA的网络操作人员提供高级分析功能。” 能源部获得2.45亿美元，用于加强清洁能源安全和能源供应链安全 拜登政府提供2.45亿美元预算，用于加强清洁能源技术和能源供应链安全。预算还将增加对各州、地方、部落及领地政府的应急计划与准备援助，包括应对气候变化所造成的相关事件。 财政部新增1.15亿美元，用于改善“企业安全” 根据拟议预算，财政部将分得2.15亿美元，用于保护和捍卫敏感机构的系统和信息，其中包括被指定为高价值资产的各类系统和信息。这一数字比2023年的预算水平增加了1.15亿美元，增幅达51%。 此外，预算还上调了集中资金，用以加强财政部的整体网络安全工作，并继续实施零信任架构以保护财政部系统免受未来攻击影响。 司法部获得额外6300万美元，用于追查网络威胁 新的预算旨在扩大对司法部网络威胁调查能力的投资，其中6300万美元将用于扩充人员规模、增强响应能力并加强情报收集和分析能力。政府在预算案中指出，“这些投资符合国家网络安全战略，战略中强调应采取全国性方法来应对持续存在的网络威胁。” 技术现代化基金获得2亿美元预算 为了支持IT现代化改造，预算中还包含2亿美元的技术现代化基金（TMF），设立依据源自2017年的《政府技术现代化法案》。预算案称，“技术现代化基金占据着有利位置，能够寻求跨机构运用技术方案的机会，并投资于IT现代化、网络安全和面向用户的服务，借此显著推动联邦政府提供卓越、公平和安全的服务/客户体验的能力。” 近4亿美元用于加强全球网络和数字发展 预算案要求，投入超3.95亿美元用于推进全球网络和数字发展计划，包括国务院网络空间和数字政策局、美国国际开发署（USAID）的数字战略、全球基础设施和投资伙伴关系（PGII）数字连接工作，以及非洲数字化转型等区域性举措。 预算案还提到，政府计划增加国防部对印太地区的安全合作投资，将重点建设包括领域意识、后勤、网络安全以及指挥与控制等多个方面的能力。 投资解决涉及性别的网络犯罪活动：在总额达10亿美元的终止性别暴力预算提案中，将有1400万美元用于资助更新之后的《反暴力侵害妇女法》（VAWA，最初颁布于1994年）以解决技术滥用问题，应对指向个人的网络犯罪。 援助乌克兰专项资金 预算案还要求向乌克兰提供7.53亿美元，用以继续对抗俄罗斯的恶意影响，并满足关于安全、能源、网络安全、虚假信息、宏观经济稳定和公民社会恢复的新需求。 2、还需接受国会审查 在美国总统拜登向国会提交预算提案后，各联邦机构将向相关拨款委员会和小组委员会提交预算申请理由。这些提交的文件将启动新一轮涉及预算流程的国会监督行动。众议院也有责任对预算分配提案表达质疑。由于两党间的对立情绪高涨，今年的争论恐怕将趋于白热化。 拜登在宾夕法尼亚州的预算演讲中，对下一步行动做出部署。在谈到与众议院议长凯文·麦卡锡的对话时，拜登说他告诉麦卡锡，“我将在3月9日公布预算案，你也公布你的。我们一起坐下来逐条讨论、一一沟通。我们看看各自同意哪些内容、不同意哪些内容，之后再到国会里确定个结果来。”     转自 安全内参，原文链接：https://mp.weixin.qq.com/s/iPjZahHaZqOOER7lGhhL2Q 封面来源于网络，如有侵权请联系删除  

美国国土安全部运输安全管理局（TSA，以下简称运安局）周二（3月7日）公布了新的网络安全规则，以加强境内最大、最重要的机场和航空运营商的保障能力。这也是拜登政府在近一周内第二次推动关键基础设施发布网络规则。 它意味着运安局将对航空业实施最新一套网络规则。新规则要求，相关机场及航空运营商制定安全计划，围绕谁有权访问网络等具体细节设计保护方案，并提交运安局进行审批。 运安局长戴维·佩科斯克（David Pekoske）在新闻稿中表示，“我们的首要任务是保护国内的交通系统”，运安局将与行业密切合作以加强网络安全。 近期美国政府已多次强调关基设施安全。上周五（3月3日），美国环境保护署针对水务行业发布新规；上周四，拜登政府发布国家网络安全战略，其体现了通过监管手段保护关键基础设施的思路转变。 就在航空业网络规则的制定过程中，近几个月来该行业遭遇了一系列事件，影响了机场网站、导航与飞行工具、乘客数据及运安局“禁飞”名单等众多产品服务。 具体规则 运安局此前要求，受到影响的机场和航空运营商指定一名网络安全协调员，保证在24小时之内将网络安全事件上报给网络安全和基础设施安全局（CISA），同时制定事件应对计划并开展漏洞评估。 在“2019版禁飞名单”由于不安全服务器暴露后，运安局今年1月又要求各承运机构审查内部系统，确保符合对敏感安全信息的最新处理标准。美国众议院国土安全委员会成员、众议员Dan Bishop要求，运安局必须查清名单泄露的原因。 图：推特用户讨论TSA禁飞名单泄露 本周二公布的新规要求，各机场及航空运营商制定一项实施计划，包含制定网络分段与控制、访问控制、持续监控与检测、基于风险的保护方法等一系列安全防范措施。 图：TSA要求机场与航空运营商采取的措施 面对此前在监管其他行业时激起的一些反对意见，运安局决定将网络新规设定为“绩效考核”，借此淡化抵触情绪。换言之，运安局不会过多关注如何实现目标，而更多关注是否达成结果。 美国政府扩大了运安局的管辖权限，保证能够涵盖网络规则的制定范畴。根据一份行政细则，运安局的当前管辖范围有望涵盖80处机场、21家客运航空公司和4条货运航线。 行业反响 据报道，国际航空运输协会去年曾对早期网络规则提出批评，称不清楚运安局是否听取过行业反馈。在运安局周二发布新指令后，该协会暂时没有回应置评请求。 其他受影响团体在受邀评论时，没有提出对新规内容的反对意见。 美国国家航空公司联盟CEO George Novak在邮件中表示，“航空业非常重视来自一切来源的网络威胁。航空公司联盟及各成员企业正与我们的政府同仁、机场及其他合作伙伴密切配合，提高我们对此类威胁的警惕性。随着网络威胁的不断发展，运安局向受监管实体（例如我们的成员航空企业）发布要求变更的情况并不罕见。运安局一直在积极保护我们国家的关键交通基础设施，我们感谢运安局在与行业合作制定有效对策方面表现出的领导力与反应力。” 美国航空发言人Marli Collier在邮件中写道，“美国航空业致力于将安全保障放在第一位，并与联邦政府合作将风险降至最低。美国航空旗下各运营商拥有强大的网络安全计划，并将继续大力投资以保护我们的基础设施。” 美国支线航空协会在一份未署名的邮件中提到，“我们及旗下各航空运营商正在审查这些要求。紧急修正案需要一段准备时间，随后立即生效。我们的各航空运营商将履行各项要求以确保合规。” 值得注意的是，这些团体并没有就新规做太多价值判断方面的评论。 一位不愿透露姓名的业内人士解释道，“面对刚刚发布的这份新规，喜欢或者不喜欢已经无所谓了。运安局显然认为这些规则是必要的，所以我们只需要考虑如何合作制定实施中的最佳实践。”     转自 安全内参，原文链接：https://www.secrss.com/articles/52617 封面来源于网络，如有侵权请联系删除  

白宫发布了一项新的网络安全战略，其中涉及大型科技公司在防止网络攻击方面的作用。该战略文件呼吁”重新平衡保卫网络空间的责任”，将勒索软件攻击等方面的责任从个人、小企业和地方政府身上转移。 乔-拜登总统的计划概述了目标，而不是立即实施的规则。但如果通过成为法律和法规，它将扩大对运行白宫认为关键的数字基础设施的公司的网络安全要求。这可能包括为网络基础设施的很大一部分提供动力的云计算服务–它们必须满足最低安全标准，否则将面临法律责任。该战略要求政府机构通过税收减免或其他激励措施鼓励合规。 除此之外，政府表示，它将与国会合作，阻止软件公司在没有采取合理的安全预防措施的情况下运送产品而逃避责任。战略文件说：”制造软件的公司必须有创新的自由，但当他们未能履行他们对消费者、企业或关键基础设施供应商的责任时，他们也必须承担责任。” 根据拜登政府的说法，其目标是支撑起一个数字生态系统，该系统让许多人只能使用自己的设备（通常是不安全的）。文件说：”一个人一时的判断失误，使用一个过时的密码，或错误地点击一个可疑的链接，不应该有国家安全的后果。保护数据和确保关键系统的可靠性必须是持有我们的数据并使我们的社会运作的系统的所有者和经营者的责任，也是建造和服务这些系统的技术供应商的责任。” 该文件指出，日益增长的勒索软件计划的威胁是一个特别关注的领域。除了关闭运行勒索软件的行动者的活动外，它还呼吁各机构对帮助勒索软件盈利的”非法加密货币交易所”采取行动，这是2022年旨在监管数字资产的命令。 拜登的战略取代了前总统唐纳德-特朗普时期制定的一份2018年文件。     转自 cnBeta，原文链接：https://www.toutiao.com/article/7206045855139234339/ 封面来源于网络，如有侵权请联系删除

拜登-哈里斯政府本周四发布了美国国家网络安全战略（以下简称《战略》）。该战略强调政府必须协调使用国家权力所有工具来保护国家安全、公共安全和经济繁荣；提供必要资源和工具确保关键基础设施安全；调整激励措施，对下一代网络空间弹性技术进行长期投资。 根据白宫发布的《战略》文本，新的美国国家网络安全战略将致力于使美国的数字生态系统： 可防御，网络防御更容易、更便宜、更有效。 弹性，最大限度避免网络安全事件产生广泛或持久的影响。 在此次以网络安全为主题的国家战略发布之前，拜登政府已经采取多项措施保护美国的网络空间和数字生态系统，包括： 国家安全战略 总统行政命令14028（改善国家网络安全） 国家安全备忘录5（改善关键基础设施控制系统的网络安全） M-22-09（使联邦政府转向零信任网络安全） 国家安全备忘录10（促进美国在量子计算方面的领导地位，同时降低易受攻击的密码系统的风险） 五大战略议题 《战略》包含五大关键议题，关键基础设施安全首当其冲，其余依次是：扰乱和摧毁威胁行为者、塑造市场力量推动安全和弹性、投资未来网络安全弹性和建立国际伙伴关系。 1.捍卫关键基础设施。让美国人民对关键基础设施的可用性和弹性及其提供的基本服务充满信心，包括： 在关键部门扩大最低网络安全要求的应用范围，以确保国家安全和公共安全，并协调法规以减轻合规负担 以保护关键基础设施和基本服务所需的速度和规模实现公私合作 联邦网络基础设施的防御和现代化，并更新联邦事件响应政策 2.扰乱和摧毁威胁行为者。美国将动用所有国家权力手段，使恶意网络行为者无法威胁国家安全或公共安全，包括： 战略性地使用国家力量的所有工具来破坏对手 通过可扩展的机制让私营部门参与颠覆活动 通过全面的联邦方法并与国际合作伙伴保持同步来应对勒索软件威胁 3.塑造市场力量以推动安全和弹性。美国将把责任交给数字生态系统中最有能力降低风险的企业，以使数字生态系统更值得信赖，包括： 促进隐私和个人数据的安全 转移软件产品和服务的责任以促进安全开发实践 确保联邦拨款计划促进对安全且有弹性的新基础设施的投资 4.投资未来的网络安全弹性。通过战略投资和协调、协作行动，美国将继续引领全球的基础设施网络安全和弹性技术创新，包括： 减少互联网基础和整个数字生态系统中的系统性技术漏洞，同时使其更能抵御跨国数字压制 优先考虑后量子加密、数字身份解决方案和清洁能源基础设施等领域的下一代网络安全技术研发 培养多元化和强大的国家网络安全人才队伍 5.建立国际伙伴关系。美国将致力于建设一个新的全球网络安全空间世界（秩序）：在其中负责任的国家行为在网络空间得到期许和加强，不负责任的行为被孤立且代价高昂，包括： 利用国际联盟和伙伴关系，通过联合准备、响应和成本征收来应对数字生态系统面临的威胁 提高合作伙伴在和平时期和危机中抵御网络威胁的能力 与盟友和合作伙伴合作，为信息和通信技术以及运营技术产品和服务打造安全、可靠和值得信赖的全球供应链     转自 GoUpSec，原文链接：https://mp.weixin.qq.com/s/9EI7T1Nbaw-K3bDAMjSzow 封面来源于网络，如有侵权请联系删除

联邦网络安全和基础设施安全局局长Jen Easterly敦促微软和Twitter改进其安全协议，以更好地保护用户的安全。伊斯特利说，使用这些公司的多因素认证（MFA）的用户数量”令人失望”，但赞扬了苹果公司在iCloud用户中的MFA高使用率。 周一，伊斯特利在卡内基梅隆大学发表演讲，其中提到苹果是为其客户执行安全实践的榜样。据这位美国官员称，95%的苹果iCloud用户使用多因素认证，并解释说，高采用率是由于该公司决定将该功能作为默认功能。据此，Easterly将这一数字与微软和Twitter目前的MFA使用率进行了比较，其中前者只有四分之一的企业客户使用，而后者只有不到3%的用户使用。 虽然Easterly称赞这些公司分享了他们服务中的MFA使用数字，但她表示需要新的立法来坚定地对待这些必须提供有效安全做法的企业。根据Easterly的说法，法律需要”防止技术制造商通过合同免除责任，为特定的关键基础设施实体的软件建立更高的护理标准，并推动安全港框架的发展，使那些安全地开发和维护其软件产品和服务的公司免于承担责任。” 多因素认证只是用户在网络安全领域可以采取的确保安全的步骤之一。然而，如果没有公司本身的启动，大多数客户确实倾向于忽视采用这样的安全措施。尽管如此，向客户推送这样的功能，只是像微软这样的公司为确保客户的安全应该做的许多事情之一。但是，即使有一堆不同的安全努力，一时的失败似乎也是任何企业的一部分。 例如，微软在2019年遇到了其MFA的一个普遍问题，尽管该公司在经过数小时的调查后设法解决了这个问题。同时，在去年10月，据透露，由于过时的脆弱驱动程序阻止列表和低效的安全保护功能，其用户已经被暴露在恶意驱动程序中三年了。     转自 CnBeta，原文链接：https://www.toutiao.com/article/7205129143225319991/ 封面来源于网络，如有侵权请联系删除