TOP5 | 头条：美国政府拟确定联邦采购网络安全基线要求

美国政府拟确定联邦采购网络安全基线要求；

标签：美国政府,网络安全基线

10月8日消息，拜登政府针对各联邦部门拟定了一套全新标准化网络安全采购要求，适用于与非机密联邦信息系统合作的承包商。

《联邦公报》10月3日发布的通告称，这项拟议规定将对《联邦采购规则》（FAR）进行修订，为联邦信息系统相关合同设定网络安全最低要求，各机构不得再自行设定要求。通告称，云系统和本地系统的合同要求将有所不同。

一旦新要求生效，各机构将需要更新各自合同的网络安全要求。他们需要删除与新版《联邦采购规则》最低要求重复的规定，但可以保留高于最低要求的其他规定。

目前，不同联邦机构合同的网络安全要求各异。这带来了多种风险，包括合同之间安全要求不一致、额外成本、限制竞争等。

通告指出：“拟议规定提出了一套适用于（联邦信息系统）的最低网络安全要求标准，从而确保这些系统能更好地预防网络威胁。”

2021年，拜登政府发布了具有里程碑意义的网络安全行政令（EO 14028）。上述变化正是该行政命令要求采取的直接措施。根据该行政令，美国网络安全与基础设施安全局需要审查政府各机构的具体网络安全要求，然后“向《联邦采购规则》委员会推荐符合网络安全要求的标准合同语言”，并公开征求意见。

此次通告还呼吁美国政府改进网络威胁的识别、阻止、应对工作，同时确保产品安全构建与运营，以创造更安全的网络空间。

通告提到：“最终，美国对其数字基础设施的信任应该与数字基础设施的可信度和透明度成正比，并与这种信任被滥用会导致的后果成正比。”

通告提到了恶意网络安全活动在近期发生爆炸性增长，表示美国面临的威胁会造成高昂的代价。通告预测，未来十年，持续增长的威胁可能会给美国带来1万亿美元的损失。而白宫经济顾问委员会此前预估，2016年恶意网络活动对美国经济造成的损失在570亿美元至1090亿美元之间。

拜登政府在通告中承认，单一网络事件可能会给个别公司带来“毁灭性的”成本。

通告还指出：“政府及其承包商必须相互协调，遵守适用的安全和隐私要求。这些要求虽然来自相互独立的领域，实质上紧密相连。”

该拟议规定的征求意见期将于12月4日截止。

本周二，拜登政府还发布了另外一项拟议规定，旨在修改《联邦采购规则》，增加与技术供应商分享网络威胁和事件信息的内容。

信源：https://fedscoop.com/proposed-cybersecurity-rule-would-amend-federal-acquisition-regulation/

富士通推出日本第一台私人量子计算机;

标签：富士通,私人量子计算机

日本推出了第一台超导量子计算机，由富士通和理化学研究所开发。超导量子计算机是当今最常见的计算机之一，被Google、IBM和Rigetti 等公司使用。该设计依靠在接近绝对零的温度下运行的超导电路来生成量子位。该系统位于RIKEN RQC-Fujitsu合作中心，在集成芯片上包含 64个超导量子位。系统能够提供264种量子叠加和纠缠态，允许进行经典计算机无法达到的规模计算。然而，该系统将与运行量子模拟的经典计算机并行运行以监控其性能。富士通指出，量子计算机需要大量的纠错才能有效运行。目前，将量子计算机与模拟40个量子位的HPC集群配对将有助于科学家评估该系统可靠地生成准确结果的能力。RIKEN和富士通声称，混合系统已经被证明在将量子算法应用于化学计算时更加准确。混合系统的实验使得计算包含12个氢原子的分子的基态能量成为可能，其精度比仅使用经典算法更高。该系统现已实施，富士通和理化学研究所正在向外部公司和机构提供该系统，包括富士胶片、东京电子、瑞穗DL金融科技有限公司。此外，富士通和RIKEN已经在开发将该系统扩展到1,000个量子位所需的技术。

信源：https://www.securitylab.ru/news/542489.php

以色列总统的Telegram账户遭到犯罪团伙入侵；

标签：以色列,Telegram

一个与犯罪相关的实体最近获得了以色列总统艾萨克·赫尔佐格的Telegram帐户的访问权限。虽然没有确认谁访问了该账户，但总统官邸的一份声明称，此次黑客攻击本质上是犯罪行为，与网络诈骗有关，表明这既不是敌对国家或组织所为，也不是由敌对国家或组织实施的。与以色列-巴勒斯坦冲突有关。以色列时报在总统办公室发表的一份声明称，违规行为已被关闭，“该账户已恢复正常运行”。据《巴伦周刊》报道，赫尔佐格的一位发言人表示，对该频道的访问“非常迅速”地恢复了，并且“初步检查表明没有人担心信息被获取” 。以色列内部安全部门辛贝特正在调查这一事件。以色列并未跻身该应用程序的顶级国家用户之列。然而，对加密选项的访问正在慢慢受到限制，一些国家因担心极端主义团体使用Telegram而阻止访问。

信源： https://www.darkreading.com/dr-global/suspected-crime-gang-hacks-israeli-president-telegram-account

美军前JBLM士兵因试图泄露国防机密而在旧金山被捕;

标签：美军,国防机密

美国司法部宣布，一名最后被派驻华盛顿刘易斯-麦科德联合基地的军事情报部门的一名前陆军中士因试图向外国提供国防信息而于周五（10月6日）被捕。29岁的约瑟夫·丹尼尔·施密特 (Joseph Daniel Schmidt) 在从香港乘坐商业航班抵达旧金山国际机场时被联邦特工拘留。此次逮捕是基于西雅图联邦大陪审团10月3日发布的起诉书。它指控两项重罪：试图提供国防信息和保留国防信息。每项指控最高可判处10年监禁和25万美元罚款。根据联邦调查局在该案中提交的报告，施密特于2015年1月至2020年1月期间驻扎在刘易斯·麦科德。他的主要任务是在第 109军事情报营。在他的角色中，施密特可以访问“秘密”和“绝密”信息。据FBI报告称，施密特于2020年初脱离军队后，据称曾试图联系某国驻土耳其领事馆。后来他尝试通过电子邮件直接联系某国安全部门，并向他们提供国防信息。在起诉书中，联邦调查局提供了施密特企图发送机机密信息的电子邮件示例。

信源：https://www.stripes.com/theaters/us/2023-10-06/lewis-mcchord%C2%A0army-soldier-chinese-secrets-11618368.html

NSA 和 CISA 联合揭露当下十大网络安全错误配置；

标签：NSA,CISA

10月5日，美国国家安全局 (NSA) 和网络安全与基础设施安全局 (CISA) 公布了十大目前最常见的网络安全错误配置，这些错误由红蓝团队在大型组织网络中发现。

根据发布的联合报告，团队评估了国防部 (DoD)、联邦民事行政部门 (FCEB)、州和地方政府以及私营部门的网络安全态势，并详细介绍了攻击者会使用哪些策略、技术和程序 (TTP) 来成功利用错误配置来实现各种目的，包括获取访问权限、横向移动以及瞄准敏感信息或系统。

红蓝团队以及 NSA 和 CISA Hunt 和事件响应团队发现的十大网络安全配置错误包括：

对于上述风险，NSA 和 CISA 建议网络安全人员实施以下缓解措施：

CISA 网络安全执行助理主任戈德斯坦（Goldstein）表示，软件厂商应采取一系列积极主动的做法，有效解决这些错误配置并减轻网络安全人员面临的挑战，其中包括从开发的初始阶段到整个软件开发生命周期，将安全控制集成到产品架构中。

此外，厂商应停止使用默认密码，并确保在某个单元受到攻击时不会危及整个系统的安全完整性。

最后，戈德斯坦还表示，必须为特权用户强制执行多重身份验证 (MFA)，并将 MFA 设置为默认功能，使其成为标准做法而不是可选选择。

信源：https://www.freebuf.com/news/379857.html