TOP5 | 头条：美国 CISA 公布网络钓鱼演练结果，员工回报网钓与实施抗网钓 MFA 成新重点

美国 CISA 公布网络钓鱼演练结果，员工回报网钓与实施抗网钓 MFA 成新重点；

标签：美国，CISA，网络钓鱼演练

近期美国网络安全和基础设施安全局CISA公布一份网络钓鱼信息图表（Phishing-infographic），当中揭露了CISA模拟网钓测试评估的结果，同时还汇整出防范网钓攻击应关注的4大面向及具体行动。

网络钓鱼威胁已是企业组织常年关注的网络安全议题，除了每天从不间断的各种事故发生之外，目前情况究竟有多严重？我们该如何防范？

去年12月8日，美国网络安全和基础设施安全局CISA公布的网络钓鱼资讯图表（Phishing-infographic）提供了一些答案。这当中提到网络钓鱼是一种社交工程的手法，普遍冒充值得信赖的同事与组织，企图引诱受害者上当，而且可利用的渠道很多，包含电子邮件、通讯软体或SMS简讯，以及电话。特别的是，该份报告提供防御指引，也呈现组织员工面临网钓模拟攻击反应。

网钓攻击突破防护与成功的机率，可能比你想要更高

根据这份报告的内容显示，每10个接受CISA模拟网钓测试的人中，就有1人点击链接，或是下载附件，而且，每10家企业组织就有8家至少1人沦为模拟网钓测试的受害者。此外，CISA也指出，有70%的恶意程序或恶意连结未被网络边界防护服务阻挡，有15%的恶意程序未被端点防护产品阻挡，有84%的员工在收到恶意邮件的前10分钟内，就自行回复敏感信息或是点击连结与附件，并且只有13%的目标锁定员工回报自己遭遇网络钓鱼事件。

从上述公布的比例来看，虽然CISA并未公布相关细节与防护概况，但企业在执行相关教育训练时，可以让员工更了解两件事：边界防护与端点防护虽然能帮助过滤大部分的威胁，但仍有小部分不被阻挡，尤其是边界防护竟只阻挡了3成。

因此使用者本身这道防线，其防护意识也相当重要，再者，员工回报网钓事件的比例相当低，需要多建立这方面的观念。

员工要有防护意识不被诱骗，也要知道发现事件应该通报

除了揭露网钓模拟测试统计数据，CISA还特别提供了面对网钓的完整建议与行动，当中归纳为4大面向，并综合整理出多项安全建议措施。

首先，阻挡诱饵（Block the Bait）而言，有3项措施，包括：普遍熟知的基本网络边界安全防护强化，验证电子邮件合法性采用SPF、DKIM与DMARC，以及将封锁清单或网络威胁情报等资讯汇入防火墙规则，以阻挡已知恶意网域、URL与IP位址，

第二，不被诱骗（Don’t take the bait）而言，有两大重点，一是增进员工对于钓鱼邮件的识别能力，另一是要让员工知道在所有通讯平台都应保持警惕。值得留意的是，后者的预防措施过往较少针对员工，但攻击者锁定企业员工已不只是透过邮件进行攻击，利用不同管道的网络钓鱼越来越多。

第三，回报网钓事件（Report the hook）而言，这部分特别重要，毕竟前述调查提到收到网钓信的员工只有13%回报。对此，CISA建议采取的行动，包括：教育员工接收到网钓邮件时的处置方式，不论他们是否上当，其中有两个要点，首先是将该邮件回报给公司的安全团队，并且不要将恶意邮件转寄给公司内其他人，另一方面，组织应变人员要能确认事件与防范入侵范围扩大。

最后，保护整体范围（Protect the waters）而言包括：遵循最小权限，审查并减少可存取关键资料与设备的账号数量，对密码共享与重复使用做出限制，防止权限提升、取消用户不必要的高权限，以及报名免费CISA服务进行网钓演练的评估。同时，还有几项通用的防护机制，例如，做好安全更新、增加端点与EDR防护，以及实施软体限制政策。

特别的是，在此当中还提到一项关键措施，那就是导入可抗网络钓鱼的多因素身份验证（Phishing-Resistant MFA）。

什么是抗网钓MFA？CISA在2022年10月底发布的导入指引曾介绍这类型的做法，当中对于各种MFA在因应网钓威胁也有清楚说明。这份文件的主要目的，是让企业组织能了解不同MFA的强弱，并且向更强健的MFA迈进，最佳结果就是导入抗网钓MFA（如FIDO/WebAuthn验证、基于PKI的方式）。

值得一提的是，在此信息图表上，所列出的一些实践措施大多附上可参考的资源，主要对应到CISA另一份简称为CPG（Cross-Sector Cybersecurity Performance Goals）的网络指引，这份文件可视为比NIST网络安全框架（CSF）更容易上手的指南，主要适用于规模较小与资源较少的组织，并鼓励这些中小企业组织都能实施最低安全基准。例如，在教育员工收到网钓邮件时的处置上，对应的是CPG 4.3，也就是治理与教育训练中的基本网络安全训练，范围是全体员工与合约商；而组织应变人员收到员工通报网钓邮件的处置，对应的是CPG 7.1、7.2，也就是回应与复原的资安事件应变（IR）的报告与计划。

整体而言，CIS通过简易呈现的资讯图表内容，不仅利于美国国内推广，也能作为其他国家企业组织在防范网络钓鱼攻击的参考。

有70%的恶意程序或恶意链接未被网络边界防护服务阻挡

●有15%的恶意程序未被端点防护产品阻挡

●有84%的员工在收到恶意邮件的前10分钟内，回覆了敏感资讯或是点击连结与附件

●仅有13%的网钓目标员工回报了网络钓鱼事件，这限制了企业组织回应事件或提醒他人注意威胁

美国CISA在2022年10月底曾发布“抗网钓多因素验证”（Phishing-Resistant MFA）导入指引，当中说明了不同MFA的安全强度，鼓励组织向导入抗网钓MFA迈进，也就是采用FIDO/WebAuthn验证，以及基于PKI的方式，至于还无法导入的中小企业，则建议先采用安全强度较低的三种MFA，包括App推送OTP验证码、App推送数字配对通知，以及基于Token的OTP。至于简讯或语音形式的MFA，则过渡到实施更高的MFA的临时方案。

信源：E安全

CSET专家分析：美国投资者对中国人工智能领域的投资；

标签：CSET，美国投资者，中国人工智能

华盛顿（路透社）--周三的一份报告显示，包括英特尔公司和高通公司的投资部门在内的美国投资者在2015年至2021年对中国人工智能公司的投资中占近五分之一。

这份由乔治敦大学科技政策小组CSET发布的文件，是在美国对人工智能、量子和半导体投资的审查越来越严格的情况下发布的，因为拜登政府准备公布对美国资助中国科技公司的新限制。

根据该报告，167名美国投资者参与了401项交易，或大约占这一时期对中国人工智能公司投资的17%。

这些交易代表了总共402亿美元的投资，或占中国人工智能公司在6年期间所筹集资金总额的37%。该报告从数据提供商Crunchbase调取了信息，但并不清楚有多少比例的资金来自美国公司。

数据显示，高通风险投资公司和英特尔资本分别参与了对中国人工智能公司的13项和11项投资，而GGV资本则以43项投资总额领跑美国公司，超过了该行业。

拜登政府预计将在今年公布一项行政命令，遏制美国在敏感的中国科技行业的一些投资，因为华盛顿的鹰派人士指责美国投资者向中国科技公司转移资本和宝贵的技术，这可能有助于推进北京的军事能力。

报道称，在一家语音识别公司被列入贸易黑名单后，美国投资者金沙江创投与中国的IFlytek Co Ltd一起投资于一家中国人工智能公司。硅谷银行和万向美国医疗投资集团在中国人工智能公司商汤科技被列入同一贸易黑名单之前，与该公司一起对中国人工智能公司进行了投资，该公司是面部识别技术领域的强者。

这两家公司都是在2019年被列入黑名单的，这实际上是禁止它们接受美国的技术出口，因为它们被指控与侵犯人权行为。

报告显示，一些最大的投资包括高盛集团对人工智能机器人公司1KMXC的单独投资，以及三家美国风险投资公司对自主移动机器人公司Geek+的投资。

根据CSET的数据，只有一家从美国投资者那里获得资金的中国人工智能公司参与开发用于军事或公共安全的人工智能应用。

信源：网安寻路人

背景调查服务公司Instant Checkmateh和TruthFinder2000万个帐户泄露；

标签：背景调查服务公司，数据泄露

MITRE发布了网络弹性工程框架(CREF) Navigator TM——一种免费的可视化工具，允许组织自定义其网络弹性目标、目的、技术，作为符合NIST SP 800-160，第2卷（修订版1）的举措，美国国家标准与技术研究院 (NIST)在2022年发布了关于开发网络弹性系统的特别出版物。“弹性是网络安全的最终目标，”MITRE网络技术副总裁Wen Masters说。“信息和通信系统以及依赖它们的人必须在面对持续、隐秘和复杂的网络攻击时具有弹性。虽然弹性有时被描述为一种紧急属性，但必须设计面对网络威胁的弹性。”与MITRE为公共利益开发的网络防御者的许多资源一样，CREF Navigator可免费提供给更大的网络社区。首席网络安全工程师Shane Steiger表示：“我们采用了我们与 NIST创建的原始网络弹性框架，现在使其可搜索和可视化。” “这个关系数据库使工程师能够在设计弹性网络解决方案时做出有根据和明智的选择。”计划在未来对CREF Navigator进行增强，以便为有兴趣为其关键基础设施构建更强大防御的组织提供额外的自动化支持。

在https://CREFNavigator.mitre.org上查看正在运行的CREF Navigator。作为与NIST关系的一部分，MITRe运营着美国唯一一家专门致力于网络安全的联邦资助研发中心(FFRDC)，即国家网络安全联邦资助研发中心(NCF)。NCF由NIST赞助，帮助组织解决他们最紧迫的网络安全需求，并支持国家网络安全卓越中心(NCCoE)的成功——政府、行业和学术界正在构建实用解决方案以应对企业面临的真正挑战的协作中心。

信源：https://www.hackread.com/instant-checkmate-truthfinder-data-breach/

24小时延至72小时，英国延长数据泄露事件发生后向监管部门报告时间；

标签：英国，数据泄露事件

英国信息专员办公室（ICO）于2023年1月20日发表了一份关于公共电子通信服务提供商（CSP）在《2003年隐私和电子通信条例》（PECR）第5A条下的义务的声明，将CSP需在数据泄漏事件发生后向ICO报告的时间期限从24小时延长至72小时。此前，PECR 5A要求CSP在发现个人数据泄露后24小时内通知ICO。如果没有及时收到报告，ICO可以根据PECR条例5C向CSP发出1000英镑的固定罚款。

ICO目前每年收到约10,000份根据PECR 5A提交的报告中，事件通常是由人为错误造成的，并且只影响到少数人。ICO认为，对于这些不太可能对个人权利和自由造成风险的事件，24小时报告制度会造成CSP的监管负担。因此，未来，对于未在24小时内报告的CSP，ICO将视情况不采取处罚措施，但CSP仍需事件发生后72小时内向ICO报告。

这种方法的改变将使ICO能够更好地将资源用于调查已经或可能对个人造成重大伤害的事件和场景，同时也能提升监管清晰度、提供有效支持和指导。

信源：个人信息与数据保护实务评论

网络攻击导致美国自杀求助热线中断；

标签：美国自杀求助热线

联邦官员2月3日告诉美联社，2022年年底，网络攻击导致美国新开通的988心理健康求助热线中断近一天。立法者现在呼吁负责监督该计划的联邦机构防止未来发生袭击。药物滥用和心理健康服务管理局发言人丹妮尔·贝内特(Danielle Bennett)在一封电子邮件中称，12月1日，由于网络安全事件，988生命线的语音呼叫功能无法使用。攻击发生在为帮助热线提供电信服务的公司Intrado的网络上。该机构没有透露它认为是谁发起了攻击或发生了哪种网络攻击的细节。SAMHSA表示，Intrado正在与第三方评估员合作调查此事件，执法机构已收到违规通知。Intrado公司当时表示，该公司“正在经历影响众多系统生产的事件”，并且“正在努力恢复服务”。

988电话号码可以通过短信、聊天或语音呼叫拨打，已成为数百万在精神危机期间寻求帮助的美国人的生命线，自2022年7月推出以来的头六个月里，数以百万计的电话涌入。该系统的工作原理与911类似。上周，来自加利福尼亚州的民主党众议员托尼卡德纳斯和共和党众议员杰伊奥伯诺尔特提出了一项法案，呼吁围绕988系统的网络攻击进行更好的协调和报告。

信源：

https://www.securityweek.com/feds-say-cyberattack-caused-suicide-helplines-outage/