点击上方蓝色文字关注我们

今日全球网安资讯摘要

特别关注

白宫秘密监视计划使警察能够访问数万亿条美国电话记录
中国工商银行美国分行遭 LockBit 黑客团队攻击，因未及时封堵 Citrix Bleed 漏洞导致
Security Copilot开启全面集成！微软发布AI安全产品路线图
欧洲防务局发布《2023年欧盟能力发展优先事项》

特别关注

白宫秘密监视计划使警察能够访问数万亿条美国电话记录

标签：数据泄露

《连线》对泄露的警方文件的分析证实，一项秘密政府计划正在允许联邦、州和地方执法部门获取没有犯罪嫌疑的美国人的电话记录。

根据《连线》杂志获得的一封信，美国参议员罗恩·怀登 (Ron Wyden) 周日向司法部 (DOJ) 发送了一封信，要求司法部解释鲜为人知的监控计划，该计划每年追踪美国境内超过一万亿条国内电话记录，参议员质疑该计划的合法性。

根据这封信，十多年来，现在被称为数据分析服务（DAS）的监控计划允许联邦、州和地方执法机构挖掘美国人的通话细节，分析无数人的电话记录。没有涉嫌任何犯罪，包括受害者。该计划使用一种称为链分析的技术，不仅针对那些与犯罪嫌疑人直接电话联系的人，还针对与这些人有过接触的任何人。

DAS 项目以前称为 Hemisphere，与电信巨头 AT&T 合作运行，该项目为执法机构（从当地警察和治安部门到美国海关和邮政检查员）捕获并分析美国通话记录。根据《连线》杂志查阅的一份白宫备忘录。记录显示，白宫在过去十年中为该计划提供了超过 600 万美元，该计划允许针对使用 AT&T 基础设施（遍布美国的路由器和交换机组成的迷宫）的任何通话记录进行定位。

怀登在周日写给美国司法部长梅里克·加兰的一封信中写道，他对 DAS 计划的合法性“表示严重担忧”，并补充说，他收到的“令人不安的信息”“理所当然地会激怒许多美国人和其他国会议员”。

根据参议员的信，怀登表示，司法部秘密向他提供的这些信息被美国政府视为“敏感但非机密”，这意味着虽然它不会对国家安全构成风险，但像怀登这样的联邦官员被禁止向公众披露这些信息。

AT&T 发言人金·哈特·琼森 (Kim Hart Jonson) 拒绝了《连线》杂志就 DAS 计划发表评论的请求，仅表示法律要求该公司遵守合法传票。

没有法律要求 AT&T 出于执法目的存储美国人数十年的通话记录。《连线》查阅的文件显示，AT&T 官员最近于 2018 年参加了德克萨斯州的执法会议，培训警察如何最好地利用 AT&T 的自愿援助（尽管可以创收）。

2020 年，透明度组织“Distributed Denial”公布了从美国各地机构窃取的数百 GB执法数据。《连线》杂志对这些文件的审查揭示了有关机构用来监控犯罪嫌疑人及其配偶、孩子、父母和朋友通话记录的流程和理由的非凡细节。

虽然 DAS 是根据一个专门打击贩毒的计划进行管理的，但北加州地区情报中心 (NCRIC) 泄露的一份文件显示，戴利城和奥克兰等当地警察机构要求 DAS 提供看似与毒品无关的未侦案件的数据。

有一次，奥克兰警察局的一名警官要求进行“Hemisphere分析”，通过分析嫌疑人亲密朋友的电话来识别嫌疑人的电话号码。

在另一起案件中，圣何塞的一名执法人员要求北加州地区情报中心确认一起未具体案件中的受害者和重要证人的身份。一名警官在该计划下向 AT&T 索取信息时写道：“我们获得了[嫌疑人]手机六个月的通话数据，以及几个密切的联系信息（他的女朋友、父亲、姐妹、母亲）。” 这些记录并未表明 AT&T 如何响应每个请求。

泄露的执法文件进一步显示，从美国邮政局检查员到纽约惩教部假释官等一系列官员都参加了 DAS 培训课程。其他参与者包括港务局、美国移民和海关执法局、国民警卫队、加州公路巡逻队以及数十个较小机构的成员。

DAS 计划于 2013 年 9 月首次被《纽约时报》披露为“半球”（Hemisphere），并于 2013 年重新命名，此后基本上没有引起人们的关注。该报当时获得的有关该计划保密的内部记录显示，执法部门长期以来一直被指示永远不要“在任何官方文件中提及‘半球（Hemisphere）’”。

据《纽约时报》报道，美国前总统巴拉克·奥巴马 (Barack Obama) 在 2013 年暂停了对“半球”（Hemisphere）计划的资助。尽管在接下来的三年里，可自由支配的资金被扣留，但《连线》获得的一份白宫备忘录显示，美国各地的各个执法机构允许继续与 AT&T 直接签订合同，以维持对其数据挖掘服务的访问。

根据白宫备忘录，在前总统唐纳德·特朗普 (Donald Trump) 领导下，资金恢复了，但在 2021 年再次停止。备忘录称，去年，在乔·拜登总统的领导下，资金再次恢复。

白宫承认了《连线》杂志的询问，但尚未发表评论。

DAS计划是在一个名为 HIDTA 的附属计划下维护的，该计划由白宫国家药物管制政策办公室 (ONDCP) 资助。据白宫称，HIDTA（即“高强度贩毒区”）是对美国 33 个不同地区的指定。最初的五个地区于 1990 年绘制，包括洛杉矶、休斯顿、迈阿密、纽约周边地区以及整个美墨边境，这些地区是美国贩毒最活跃的地区。

根据 DAS 收集通话记录数据并不属于窃听，而在美国境内，窃听需要基于可能原因的搜查令。AT&T 存储的通话记录不包括任何对话录音。相反，这些记录包括一系列识别信息，例如呼叫者和接收者的姓名、电话号码以及他们拨打电话的日期和时间，每次六个月或更长时间。

根据公共记录法发布的文件显示，DAS 程序已被用来生成犯罪嫌疑人及其已知同伙的位置信息，这种做法在 2018 年未经搜查令的情况下被视为违宪。

针对个人关系的命令有时被称为“利益共同体”传票，在隐私倡导者中，这个短语相当于天罗地网的监视。

怀登在给加兰的信中表示：“半球项目下为执法部门提供的数据规模和定期搜索的数据规模令人震惊。”

根据白宫官员去年撰写的一份长达两页的备忘录，自 2013 年以来，白宫已向 DAS 计划提供了至少 610 万美元的可自由支配资金。《连线》杂志审阅的一份 HIDTA 内部“参与者指南”显示，仅 2020 年 HIDTA 的资金就超过了 2.8 亿美元。目前尚不清楚 HIDTA 花费了多少资金来支持 AT&T 的大量美国通话记录收集。

目前尚不清楚 DAS 下可访问的通话记录可以追溯到多久之前。2014 年根据《信息自由法》发布的幻灯片指出，根据该计划最多可以查询 10 年的记录，这一统计数据与其他声称 AT&T 可以追溯到几十年前的内部文件形成鲜明对比。与此同时，AT&T 的竞争对手通常保留通话记录不超过两年。

DAS计划与几十年前的多项天罗地网式监视计划相呼应，其中包括缉毒局于 1992 年启动的一项计划，该计划迫使电话公司交出几乎所有往返于其他 100 多个国家的通话记录；国家安全局的大量元数据收集计划，美国第二巡回上诉法院于 2014 年认定该计划非法；以及通话详细记录项目，该项目因“技术违规”而受到影响，导致美国国家安全局收集了数百万个它“无权接收”的通话。

与过去这些受国会监督的项目不同，DAS 不受国会监督。怀登的一位高级助手告诉《连线》杂志，该计划利用了联邦隐私法中的众多“漏洞”。例如，它实际上在白宫之外运行，这意味着它不受要求评估其隐私影响的规则的约束。白宫也不受《信息自由法》的约束，从而降低了公众了解该计划的整体能力。

由于 AT&T 的通话记录收集是沿着电信“骨干网”进行的，因此《电子通信隐私法》规定的保护措施可能不适用于该计划。

本月早些时候，怀登和参众两院的其他议员提出了全面的隐私立法，即《政府监视改革法案》。该法案包含许多条款，如果颁布，将修补大部分（如果不是全部）这些漏洞，从而有效地使目前形式的 DAS 计划明显非法。

信源：

安全资讯

中国工商银行美国分行遭 LockBit 黑客团队攻击，因未及时封堵 Citrix Bleed 漏洞导致

标签：黑客，漏洞，网络安全

IT之家 11 月 20 日消息，中国工商银行（ICBC）美国分行 ICBCFS 在本月初遭到黑客组织 LockBit 攻击，使得部分系统中断，但工商银行强调此一意外并未波及总行以及其它境内外的附近机构。

IT之家经过查询得知，ICBCFS 是中国工商银行位于纽约的全资子公司，专门提供全球机构客户的清算、执行、融资与设施管理服务，也具备全球市场的结算能力，旗下的清算产品包括美国股票、美国国债、全球股票、欧元债券及 ETF 等。

ICBCFS 此前已在官网上证实遭到 LockBit 攻击，并在发现之后马上切断并隔离了受到影响的系统以控制灾害，并展开了一系列调查及复原工作，威胁研究员 Kevin Beaumont 日前便针对这一网络安全事件进行了分析。

据悉，黑客组织 LockBit 之所以能够攻入工商银行美国分行，这是因为美国分行未修补 Citrix NetScaler 设备的漏洞 Citrix Bleed（CVE-2023-4966，CVSS 风险评分为 9.4），而这一漏洞在今年 8 月末就已经遭到黑客利用，Kevin Beaumont 同时指出，截至 11 月 14 日，仍有大约 5000 个企业组织尚未修复 Citrix Bleed 漏洞。

▲ 图源 Kevin Beaumont

值得注意的是，这项漏洞据称相当容易利用，在黑客利用相关漏洞并全身而退的情况下，他们不会在 NetScaler 设备中留下痕迹，网络安全部门无法通过日志检测到系统遭到入侵。Kevin Beaumont 认为，这是 Citrix 需要着手修复的设计缺陷。

信源：https://www.ithome.com/0/733/725.htm

Security Copilot开启全面集成！微软发布AI安全产品路线图

标签：安全产品，安全运营

安全内参11月20日消息，在日前召开的微软Ignite大会上，微软负责安全、合规、身份等部门的副总裁Vasu Jakkal发布了一系列面向AI时代的安全产品，比如推出首款集成Security Copilot的统一安全运营平台；数据安全、身份、设备管理等领域产品全面集成Security Copilot，包括Microsoft Defender、Microsoft Defender云端版、Microsoft Sentinel、Microsoft Intune、Microsoft Entra和Microsoft Purview等；通过Defender、Purview等产品保障人工智能的使用安全等。

11月初，微软总裁Brad Smith宣布启动“安全未来倡议”，以提供其产品和平台的内置安全性。此次安全产品更新呼应了这一倡议。

人工智能安全的未来

近年来，网络攻击的速度、规模和复杂性不断增加，要求我们采取新的安全措施。传统工具已无法应对网络犯罪分子构成的威胁。仅仅两年时间，微软检测到的密码攻击数量已经从每秒579次增加到每秒4000多次。根据Cybersecurity Ventures的数据，全球网络犯罪成本预计将在2025年达到10.5万亿美元，而2015年仅为3万亿美元。

平均来说，每家组织使用多达80种环境安全管理工具。这导致安全团队面临泛滥的数据、疲于应付警报，也无法清晰地总览各种安全解决方案。安全团队面临着不对称的挑战：他们必须保护一切，而网络攻击者只需要找到一个弱点。面对这一挑战的同时，安全团队还需要应对复杂的监管、全球性人才短缺和严重的碎片化等问题。

安全团队也有诸多优势。其中之一是拥有数据领域的完整视角。他们了解基础设施、用户姿态和应用程序在网络攻击发生之前的设置情况。为了进一步帮助网络防御者，微软安全中心提供了非常大规模的数据优势：每天有 65 万亿信号，具备全球威胁情报的专业知识，监控超过 300 个网络威胁组织，并从超过 100 万客户和超过 1.5 万合作伙伴那里获得有关网络攻击者行为的见解。

微软的新一代生成式人工智能解决方案Security Copilot，结合公司大规模数据优势和端到端安全性，全部建立在“零信任”原则之上，形成了一种保护的良性循环，改变了数字威胁格局的不对称性，并在这个安全新时代中支持安全团队。

利用Security Copilot改变安全范式

安全领域最大的挑战之一是缺乏网络安全专业人员。网络安全领域中有三百万个空缺职位，而网络威胁的频率和严重程度不断增加，我们迫切需要更多专业人员。

最近进行的一项针对“新入职”分析人员的生产力影响研究显示，使用Security Copilot 的参与者在所有任务中比其他参与者的回应准确度高出44%，完成任务的速度快了 26%。同一项研究表明：

86%的参与者报告说Security Copilot帮助他们提高了工作质量。
83%的参与者表示Security Copilot减少了完成任务所需的工作量。
86%的参与者认为Security Copilot提升了他们的工作效率。
90%的参与者表示希望在下次执行相同任务时继续使用Security Copilot。

行业首款集成Copilot的

统一安全运营平台

安全运营团队在管理来自独立技术和应用程序的各种安全工具集方面面临挑战。考虑到安全人才稀缺，这一挑战愈发严峻。为了增强威胁情报工作，组织一直在投资传统的人工智能和机器学习。但是，部署人工智能和机器学习也存在独特的挑战和数据科学人才短缺。

如今，我们行业需要一个飞跃性的进展。感谢生成式人工智能，我们现在可以弥补安全和数据专业人才缺口。我们需要创新的方法保护组织，以机器速度预防、侦测、打击网络攻击，并提供简单易懂、对话式体验，帮助安全运营中心（SOC）团队加速行动，并整合目前散落在不同工具中的所有安全信号和威胁情报。

今天，微软宣布这一定义行业愿景的重要的一步：将安全信息和事件管理（SIEM）、扩展式检测与响应（XDR）的解决方案以及生成式人工智能促进安全等方面的领先解决方案融合成全球首个统一安全运营平台。

将Microsoft Sentinel、Microsoft Defender XDR（之前称为Microsoft 365 Defender）和Security Copilot结合在一起，安全分析人员现在拥有了统一的事件体验，分类工作得到简化，获得完整的端到端视图，以展现跨数字资产的威胁。使用生成式人工智能加持的自动化规则和工作手册，各级分析人员都能更加轻松、快速地协调响应。此外，统一的搜索使分析人员能够在一个地方查询所有SIEM和XDR数据，从而发现网络威胁并采取适当的应对措施。有兴趣尝试统一安全运营平台预览版的客户可以与其客户团队联系。

信源：https://www.secrss.com/articles/60905

欧洲防务局发布《2023年欧盟能力发展优先事项》

标签：欧盟，防务

该文件基于欧盟内部防务规划以及防务相关举措基线提出了22个优先事项，包括5个作战领域的14个优先事项，以及8个与战略推动和作战力量倍增相关的优先事项。

2023年11月14日，欧洲防务局(EDA)发布《2023年欧盟能力发展优先事项》报告，该文件基于欧盟内部防务规划以及防务相关举措基线提出了22个优先事项，包括5个作战领域的14个优先事项，以及8个与战略推动和作战力量倍增相关的优先事项。该报告为欧洲提供了一个有影响力和可操作的框架，将推动以能力为导向的研究和创新活动，为研究议程和行业参与提供信息，将指导解决欧洲全方位防御能力的需求。

一、背景

俄乌冲突突显了多层次综合防空、导弹防御以及多种能力领域的重要性，而合作和投资不足造成了欧洲当前防御能力的巨大差距。在此背景下，欧洲急需制订军事能力发展优先事项，为欧洲提供一个有影响力和可操作的框架，用于指导欧盟内部防务规划以及防务相关举措。自2008年以来，欧洲防务局与其成员国密切合作，并在欧盟军事委员会和欧盟军事参谋部的积极协助下，定期更新其核心发展计划。在过去的18个月里，欧盟成员国与欧洲防务局和欧盟军事参谋部合作，对军事能力需求的各个方面进行了评估和概念化，形成了五个作战领域的14个优先事项，以及8个与战略推动和作战力量倍增相关的优先事项，以解决欧盟全方位防御能力需求。当前是将这些优先事项转化为具体防务合作项目的最佳时机，以确保欧洲武装部队更有弹性、更灵活和更强大，做好随时应对当前和未来威胁的准备。根据战略方针，这套优先事项也将作为国家规划的主要参考。

二、主要内容

《2023年欧盟能力发展优先事项》涉及22个优先事项，涵盖五个作战领域的14个优先事项，以及与战略推动和作战力量倍增相关的8个优先事项。

三、结语

《2023年欧盟能力发展优先事项》报告是经商定27位欧盟国防部长批准同意优先发展22种军事能力的成果，为欧洲提供了一个有影响力和可操作的框架。欧洲防务局将指导实施这些优先事项的协作活动，建立从优先事项到行动的关联。这些优先事项同等关注短期、中期和长期规划，强调利用尖端能力和加强欧洲武装力量。在俄乌冲突影响下，欧盟将加快这些优先事项转化为具体的防务合作项目，成员国将发展必要的能力，使欧盟能够成为一个有能力的安全提供者，确保欧盟成员国及其武装部队能够保持行动自由，进一步提高随时准备应对当前和未来威胁的能力，为捍卫欧洲乃至全球安全秩序作出应有贡献。

信源：https://www.secrss.com/articles/60913