TOP5 | 头条：​美国政府立法推动改善内存安全问题

美国政府立法推动改善内存安全问题；

标签：美国，政府，内存安全

美国国会上周五通过的2023财年综合拨款法案中包含一份“圣诞彩蛋”，倡导开发者使用可支持内存安全的编码语言，以阻止网络对手利用绝大多数软件漏洞。

“有史以来第一次，国会将内存安全纳入法律，要求国家网络总监研究政府层面的内存安全问题。总体法案预计将在本周通过。为在参议院期间参与制定这项法规感到自豪！”知名安全研究员Jack Cable昨天发布推文称。

Cable推文中引用的法案原文采用了更保守的用词，称“鼓励”国家网络总监研究和报告内存安全问题，而非“要求”，并提到国家网络总监办公室的领导作用仍在不断变化。

非内存安全语言存在较高安全隐患

与此同时，美国国家安全局和网络安全与基础设施安全局一直在密切关注编码语言的影响，承认多数语言并不会自动检查和控制软件开发者的内存管理方法。

网络安全与基础设施安全局高级技术顾问Bob Lord在内部网络安全咨询委员会12月6日的会议上表示，“我们年复一年，甚至可以说十年如一日地发现各类漏洞，而其中约有三分之二”跟内存管理问题有关。

在11月公布的一份信息表中，NSA表示，“质量低下或粗糙的内存管理设计，可能令恶意黑客获得可乘之机，例如随意令程序崩溃、或者篡改正在执行的程序指令以完成任何恶意操作。”

内存安全语言可解决问题，但性能消耗大

NSA认为“软件程序的内存管理机制是预防各类漏洞、保障程序健壮性的核心所在”，并建议开发者应尽可能使用内存安全语言。

典型内存安全语言包括JavaScript、Ruby、Python等。NSA指出，与C、C++等常见的非内存安全语言不同，内存安全语言可以“控制内存的分配、访问和管理方式，在很大程度上提供安全保护。”

当然，这其中也存在着权衡取舍。内存安全语言的默认检查可能会耗费大量时间和开发资源。

NSA表示，“对于极端强调内存保护的语言，即使是简单程序的编译也涉及大量检查和保护工作。必须承认，内存安全也带来了高昂的性能和灵活性成本。”

另一方面，手动检查代码中的内存管理错误同样耗时耗力，考虑到可能引发的网络攻击后果，其成本可能更为沉重。

美国政府呼吁采用内存安全语言

在12月6日的会议上，网络安全与基础设施安全局长Jen Easterly强调了技术在“设计层面上保障安全”的重要意义。她认为应当“继续呼吁软件开发企业以完全透明的方式，从设计出发构建切实安全的产品。”

除了鼓励开发商改用内存安全编程语言之外，NSA的文件还列出了推荐工具，可用于测试应用程序是否存在易遭对手利用的内存管理错误。

考虑到开发人员已经习惯于使用非内存安全语言的软件库，并积累起大量相关专业知识，国安局承认这种开发范式转换绝非易事。

Lord总结称，“好消息是，新兴的内存安全编程语言已经存在，其他配套技术、硬件和保障性元素也陆续问世。所以，我们已经有了可行的解决方案。接下来的重点是提高人们的安全意识，现在各相关组织是时候行动起来了。”

信源： 安全内参、nextgov.com

北约称人工智能已成为网络安全的重大威胁；

标签：北约，人工智能

基于AI的工具可用于更有效地检测和防御威胁，但另一方面，网络犯罪分子可以将此技术用于定期进行的攻击——它们更难防御，因为它们是大规模同时进行的。北约负责新兴安全挑战的助理秘书长戴维·范维尔表示，人工智能可用于使用凭据和黑客算法入侵网络。“AI网络攻击不仅可以用来破坏基础设施，还可以用来滥用信息，”北约网络司令部首席技术官Alberto Domingo说。虽然现在正在开发解决方案来对抗AI网络攻击，但如果我们不牺牲我们的互联网自由，我们将无法避免它们。“我们以对所有人开放的方式创建了网络空间。这是一个发展思想的环境。我们想要网络空间的自由。我们必须为这种自由付出的代价是现实并接受网络将受到攻击。应对攻击的唯一方法是使用所有机制和技术来保护、响应这些攻击并从中恢复，”Domingo总结道。

11月28日至12月2日，北约网络联盟网络演习在爱沙尼亚举行 ，规模居世界前列。来自联盟40多个国家的约1000人及其合作伙伴参加了演习。

信源：https://www.securitylab.ru/news/535430.php

美国防创新单元网络项目负责人谈如何帮助美网络司令部获得其所需的网络战新能力；

标签：美国，网络战新能力

随着其日益发展壮大，美国网络司令部开始为保持美军在网络战领域内的领先优势而积极寻求与美国国防部内的实验室及研究机构、以及私营部门建立更牢固的科研创新合作关系，而在此过程中，以代表美国军方与商业及风险投资界打交道、进而促进外部科技成果更快转化为美军实际战斗力为其主要任务的国防创新单元（DIU）发挥了不可替代的作用。国防创新单元网络项目负责人帕特里克.古尔德（Patrick Gould）近日在接受媒体采访时介绍了该机构如何帮助美网络司令部获得其所需的网络战新能力。

古尔德指出：国防创新单元早期主要关注如云迁移、机构数据环境、信息技术基础设施构建、生产力工具及网络安全实施等通用类型的信息技术项目。随着美国国防部跨过运用云服务来提升其作业效率这一阶段，国防创新单元开始重视面向网络战领域的新项目组合，其项目团队构成也随之发生变化，除纳入来自美军各军种的一线网络战工程师或作战人员外，也有之前没有在美国政府机构中工作但曾创立企业的商界精英。现在国防创新单元大部分信息技术类项目都是由美网络司令部、美军各军种网络部门、国防信息系统局等客户的需求所驱动，每一个项目通常会在40至50家候选公司中征集解决方案，并花短则六个月长则两年的时间完成从原型到产品化的全研制周期。

古尔德透露，由于国防创新单元与活跃在硅谷的私募基金及风险投资机构建立了深入的合作关系，因此从美国军方用户处拿到新需求后，该机构会在其官方网站DIU.mil上发布方案征集通知，同时通过其在风险投资界的合作伙伴更快地从商业市场确定合格项目承接方并完成相应的背景调查。

古尔德还表示，在过去的两到三年里，网络威胁情报、威胁数据分析、威胁遥测及威胁数据集成是国防创新单元与美国军方用户间的合作重点之一。他以该机构与美网络司令部合作的一个此类项目为例指出，国防创新单元采取“四步走“的形式来推动项目执行：首先是从商业市场采购网络威胁数据源，其次是开发一个导入并让美军一线网络战分析师及作战人员可使用相关数据的平台，之后是在平台上叠加各种分析手段，最后才是考虑如何叠加如非IP联网系统、联网设备电磁辐射等非常规网络情报、使之发挥更大作用的成果运用阶段。

信源：国际安全简报

防御面管理创新厂商Interpres获TE投资，安全有效性验证概念持续升温；

标签：防御面，Interpres，安全有效性验证

2022年12月8日，硅谷知名网络安全投资基金Ten Eleven Ventures宣布，对一个专注于「安全有效性验证」方向的新种子Interpres 投资8.5M美金。

旋即，Interpres便被CSO Online列为2023值得关注的网络安全初创公司之一。安全建设理念早已过了零散的工具采购阶段，如何达成一个更有韧性的体系，以及如何评估体系的有效性并针对性的持续优化，成为当前阶段CSO们的关注重心。

「防护面」和有效性验证

Interpres提供了一个让客户能够更好地管理其「防御面Defense Surface」的平台，通过持续的威胁分析识别网络防御中的漏洞和低效之处，展示客户当前安全工具的能力，使安全团队能够通过数据驱动来改善安全态势，企业的安全性能变得可理解和可证明。

根据Panaseer的调研和Infosecurity Magazine的报道，在过去两年中，云和远程化的转变促使企业的安全工具数量增加了19%，从64个增加到76个，投入在增加，但仍然不知道这些工具面对威胁有多有效。

信源：

https://interpressecurity.com/interpres-security-emerges-from-stealth-to-help-companies-to-optimize-security-performance/

https://www.1011vc.com/news/why-we-invested-in-interpres/

https://www.csoonline.com/article/3679689/cybersecurity-startups-to-watch-for-2023.html

https://www.infosecurity-magazine.com/news/organizations-76-security-tools/

CrowStrike对2023年网络安全风险的预测；

标签：CrowStrike，网络安全风险

CrowStrike对2023年网络安全风险的预测，主要包括对手将利用基于身份的攻击进行初始访问和横向移动从而缩短突破时间、API是下一个攻击向量、勒索将成为电子犯罪的第一大TTP而导致数据泄露市场蓬勃发展、零日星期二/黑客星期三恶性循环将继续和2023年的不确定性场景中的组织限制将导致备受瞩目的网络事件。最后一条预测结论指出，不确定性在全球范围内普遍存在，从而为威胁行为者利用创造了成熟的环境。在当今瞬息万变的经济和地缘政治环境中，公司面临越来越大的压力，要求他们用更少的资源做更多的事情，用类似或可能更少的资产保护他们的业务免受数量和严重程度不断增加的网络攻击。引人注目的网络攻击将对受害组织造成更严重的后果，因为当企业无法承受停机时间时，单一的重大数据泄露可能会削弱整个公司。

网络安全事件代价高昂，可能会持续数年，包括攻击后的补救成本、从支付事件响应和取证调查、律师费、更换安全供应商，到通知客户和监管机构。到2023年，我们将看到更多引人注目的事故，这是由于这些不确定时期典型的组织约束压力增加所致。

信源：https://www.ilcorrieredellasicurezza.it/le-previsioni-2023-sui-rischi-della-cybersecurity-secondo-crowstrike/