TOP5 | 头条：美国 CISA 正在制定新的国家网络事件响应计划

美国 CISA 正在制定新的国家网络事件响应计划;

标签：美国,CISA,国家网络事件响应计划

网络安全和基础设施安全局 (CISA) 正在与行业利益相关者和政府机构合作制定新版本的国家网络事件响应计划(NCIRP)，该框架概述了国家对重大网络事件的响应。

更新后的计划在2023 年国家网络安全战略中得到授权，CISA 目前正在与国家网络主任办公室 (ONCD) 合作，协调监管机构、关键基础设施组织等的意见。

CISA 网络安全执行助理总监埃里克·戈尔茨坦 (Eric Goldstein) 在周五的一份声明中表示，自七年前首次发布该计划以来，需要制定新版本的计划。

他说：“我们更新 NCIRP 的方法将以透明度和协作为基础，认识到私营部门往往是许多网络事件的第一响应者，而且对手的活动越来越超越国界。”

“我们的目标是……提供一个敏捷、可操作的框架，每个参与网络事件响应的组织都可以积极使用该框架，以确保协调一致，与我们的对手的步伐相匹配。”戈尔茨坦补充说，新计划旨在“以减少对每个可能受害者的伤害的方式，更有效地应对网络事件并从中恢复。”

该计划首次发布时，CISA 和 ONCD 都不存在，这些机构指出，网络安全形势已经发生了巨大变化，各种私营部门组织在威胁形势下使用了更成熟的事件响应计划，现在包括毁灭性的勒索软件攻击。

联邦首席信息安全官兼国家网络副主任克里斯托弗·德鲁沙 (Christopher DeRusha) 解释说，该计划对于政府变得更加“协作、敏捷和对不断变化的威胁形势做出响应”的工作至关重要。

CISA 于 9 月开始与利益相关者会面，并将在 11 月继续举行听证会。12 月，他们将开始撰写该文件，然后向公众开放以征求意见。

根据该机构分享的情况说明书，他们预计更新后的计划将在 2024 年底之前获得批准和发布。

CISA在 9 月份因拒绝针对重大网络攻击制定具体的经济连续性 (COTE) 计划而遭到两党的强烈反对。该计划已写入 2021 财年《国防授权法案》，将概述联邦政府在发生严重损害美国经济的网络攻击时将采取的措施。

国会命令白宫在 2021 年制定该计划，并最终于 8 月得到回应。CISA 这份长达 29 页的报告认为，考虑到已经制定了多项计划来帮助该国应对对美国经济造成重大破坏的网络攻击并从中恢复，因此没有必要制定新的COTE 计划。

一些行业利益相关者警告联邦政府，如果发生影响美国经济或政府关键部分的大规模网络攻击，需要制定详细的协调计划。

信源：https://www.anquanke.com/post/id/290927

美国能源公司罕见披露勒索软件攻击细节;

标签：美国,勒索软件

近日，美国能源服务公司BHI Energy罕见地披露了网络攻击详情，包括Akira勒索软件如何在攻击期间入侵其网络并窃取数据。

BHI Energy隶属于西屋电气公司，是一家专业工程服务和人员配备解决方案提供商，为私营和政府运营的石油和天然气、核能、风能、太阳能和化石发电装置以及输配电设施提供支持。

在向受影响人员发送的数据泄露通知中，BHI Energy披露了有关Akira勒索软件团伙如何于2023年5月30日入侵其网络的详细信息。

Akira首先使用窃取的第三方承包商的VPN账号初始访问BHI Energy的内部网络。

根据数据泄露通知：“在初始访问一周后，Akira使用同一受感染帐户对BHI的内部网络进行了侦察。”

Akira于2023年6月16日再次访问了BHI的内部网络并清点了将要窃取的数据。6月20日至29日期间，Akira窃取了76.7万个文件约690GB数据，其中包括BHI的Windows Active Directory数据库。

最后，在2023年6月29日，在Akira从BHI内部网络窃取了所有目标数据后，在所有设备上部署了Akira勒索软件来加密文件。此时，BHI的IT团队才意识到公司已受到攻击。

BHI表示，他们立即通知了执法部门并与外部专家合作恢复受影响的系统。Akira在BHI网络上的立足点已于2023年7月7日被清除。

BHI还表示，由于云备份解决方案中的数据未受勒索软件攻击影响（加密），因此能够在不支付赎金的情况下恢复系统。

此外，BHI还加强了安全措施，具体措施包括对VPN访问实施多因素身份验证、执行全局密码重置、扩展EDR和AV工具的部署以覆盖其环境中的所有资产，以及淘汰旧系统等。

信源：https://www.documentcloud.org/documents/24075435-bhi-notice

印度政府组建“网络突击队”，加强网络安全工作;

标签：印度，网络突击队

据印度媒体10月报道，为应对日增月益的网络威胁，印度政府正积极采取措施加强网络安全工作，宣布将从印度各邦和中央直辖区警察部队以及中央警察组织中抽调人员，成立一支专门的“网络突击队”。印度内政部（MHA）最近向各邦和中央直辖区发出指令，敦促其尽快选拔10名精通网络技术人员加入这支专门部队。

“网络突击队”的起源可以追溯到印度今年1月举行的 DGPs/IGPs 会议（印度总警长会议），在会议上印度总理纳伦德拉·莫迪（Narendra Modi）提出了建立“先进网络安全框架组建专门网络安全部队”的愿景。这一倡议背后的愿景是加强印度的网络防御能力，保护信息技术网络，在网络空间领域开展彻底调查。据印度官方数据，2022 年，印度政府机构遭受了 82 次网络攻击，是 2021 年的八倍，印度专家预计还会进一步增加。2023年，印度航天局局长也曾表示，他们每天面临 100 多次网络攻击。纳伦德拉·莫迪认识到网络威胁日益复杂，需要进行强有力的防御，成立专门的“网络突击队”迫在眉睫。为应对针对政府机构和基础设施的新兴网络攻击，印度每个地区都考虑设立这样的部门。

在DGPs/IGPs 会议会议上，印度各邦已同意设立此类单位。他们还表示，各邦已获悉这个新部门将如何应对针对关键政府基础设施和机构的任何可能的网络攻击，以及如何通过 CERT-In（国家网络响应机构）等机构对选定的警察人员进行培训。“网络突击队”的主要目标是大幅提升印度的网络安全能力，在应对网络威胁、保卫信息技术网络和开展全面网络调查方面发挥关键作用。

据印度媒体The420 报道，拟成立的专业部门将在应对网络威胁、保护 IT 网络和开展网络调查方面发挥关键作用。这些突击队员的选拔过程将非常严格，以其在信息安全安全和数字取证方面的熟练程度和能力为标准，从各级现役人员中选拔，被选入的人员将接受专门设计的驻地培训课程。

鉴于这一战略举措，内政事务部已颁布政令呼吁所有警察组织确定至少10名具备计算机网络和操作系统基本知识的候选人，目的是建立一个高技能人才库，为网络突击队人员筛选做好准备。内政部表示“如果认为有必要，还可以聘请专业人员来补充这支队伍”。

拟成立的“网络突击队”由来自各邦、中央直辖区和中央警察组织的高技能和装备精良的人员组成，将成为警察组织不可分割的一部分。内政事务部的指令指出，这些“网络突击队”人员将接受专门的驻地培训，以确保其做好准备，有效应对网络威胁和网络事件。该培训计划将与印度顶级机构和隶属于内政事务部的印度网络犯罪协调中心（the Indian Cyber Crime Coordination Centre，14C）合作进行。

信源：开源情报技术研究院

以色列利用“网络穹顶”筹划未来混合战争;

标签：以色列，网络穹顶

随着网络战成为现代战争的重要组成部分，以色列正在全力发展网络攻防能力，并仿照“铁穹”导弹防御系统设计了“网络穹顶”。

以色列在内盖夫城市贝尔谢巴的一座占地1800英亩的建筑群中汇聚了来自各军事单位的约14000名人员，包括以色列国防部、国防情报单位8200部队、以色列国防军（IDF）内的J6 和网络防御局、间谍机构摩萨德和国家安全局（辛贝特）的网络单位。上述人员利用“网络穹顶”与来自伊朗、哈马斯、真主党以及来自其他国家和非国家行为体的敌人作战。“网络穹顶”涉及到大数据和人工智能，是未来数字技术的混合体，成为以色列的“秘密武器”。“网络穹顶”利用了生成式人工智能平台，供各情报机构从流入其系统的海量情报中过滤重要威胁。例如，辛贝特将人工智能技术融入到该机构的拦截机器中，从而识别并拦截网络威胁。

作为国家和跨国战略的一部分，以色列国家网络局正在与合作伙伴合作，建设和扩大“网络穹顶”。以色列军事网络人员负责开展对外工作，而以色列国家网络局则负责内部工作，后者从前者获取警报并用于提高自身技能。一旦网络威胁进入以色列网络空间，以色列国家网络局下属的以色列计算机应急响应小组（CERT-IL）的小型作战室就会发现并处理威胁。CERT-IL小型作战室采取“人机协作”的模式，其中工作人员通过屏幕监控从全国各地汇入的实时图形数据,而机器方面则利用了运行在人工智能和机器学习上的数字化系统，从而收集、读取和解析数据以检测异常并向国家系统发出警报。

近年来，以色列军方、学术界、政府和私营企业在网络空间方面开展快速“异花授粉”，所有人员都活跃于以色列内盖夫沙漠地区。以色列在网络领域采取了将劣势转变为优势的做法，利用创新和技术方面的专业知识发展了强大的网络安全产业，然后将其应用于军民两用技术。以色列的服役制度助推了以色列网络产业，催生了一个拥有世界顶尖人员和技术的网络生态系统。据悉，全球超过33%的网络独角兽企业来自以色列，全球超过40%的网络私人投资都来自以色列。以色列网络产业的核心是独创性和创新性，日常需要面对的大量网络攻击促使以色列网络安全公司不断发展专业和创新的解决方案。

信源：奇安网情局

DARPA提出基于抽象和不精确模型的自主技术项目;

标签：DARPA

2023年10月17日，美国国防高级研究计划局（DARPA）在其官方网站，发布项目信息寻求自主系统建模和仿真的新方法，加速自主模型应用于多样化任务场景的能力与速度。

当前多种因素限制了无人车、无人机、无人船等自主系统的应用潜力。当前系统自主功能是通过建模和仿真、在现实环境中进行训练实现的。典型自主模型开发过程如下：（1）针对特定平台的自主功能需求，创建自主模型；（2）尽可能模拟现实环境，进行大量仿真生成数据，对自主系统进行训练，使其能够进行正确决策；（3）经充分的模型训练后，将训练数据和模型转移至物理系统，进行测试验证训练的有效性。

在高保真度军用平台环境中，进行模型训练有时可能需要数月甚至数年。而训练出来的模型在面对现实世界中的未知情况时，仍存在脆弱性；此外，与商业自主系统相比，军用系统具有更多未知变量，而且战场环境也具有多变特性（如人口密集的城市和滨海地区的环境截然不同），建模和仿真也无法精确地模拟实际作战对手。这给军用自主系统的有效性和战场应用带来诸多挑战。

DARPA拟改变自主系统模型训练思路，放弃传统高保真度模拟的方式，在低保真度模拟环境中利用共享语义（如交战规则）进行模型训练，加速自主模型从仿真环境到现实环境的应用，将传统数周/数月的模型训练时间缩短到一天，利用抽象和不精确的模型使自主系统能更好地适应快速变化的动态战场环境。

传统的自主系统开发中，利用对各种情况进行高保真度建模，使得智能体（AI agent）过渡拟合仿真动态；而转入现实环境使用时，实际情形很难出现与模拟完全相同的情况。因此，DARPA希望开发能适用多样性平台和领域的通用自主技术，利用低保真度模拟更快速生成、更大规模的数据，通过对多样化和抽象的模拟进行自主学习，实现自主系统的泛化能力。通过搜集现实环境的经验和知识，完善自主系统的抽象、模型、模拟和语义表示，构建学习反馈回路实现更稳健的迁移学习。

信源：https://www.secrss.com/articles/59927