CyberWire 每日播客：阿拉斯泰尔-帕尔谈 GDPR 和第三方风险

赞助商（CrashPlan）：您正在收听由N2K提供支持的网络电台。现在为您带来赞助商CrashPlan的广告。确保万无一失的可靠方法，就是始终制定备份计划。 CrashPlan将数据保护视为重中之重。通过每15分钟自动将终端文件备份至云端，并采用传输中与静止状态下的256位AES加密技术，实现数据弹性保护。无论是应对勒索软件入侵、数据迁移还是法律留存要求，CrashPlan都能助您攻克数据难题。面对不可避免的数据挑战，CrashPlan提供无可争议的解决方案——让备份更完善。立即访问crashplan.com免费试用。

戴夫·比特纳：美国联邦政府发布自愿性安全指南。谷歌云平台存在特权提升风险，APT攻击持续渗透。Jump Cloud Thin 8重构其讽刺性后门程序，继续向勒索软件转型。本·耶林解析马萨诸塞州出台的隐私立法动向。 本期嘉宾阿拉斯泰尔·帕尔将深入探讨《通用数据保护条例》及第三方风险问题，并剖析近期俄罗斯网络犯罪动态。这些犯罪团伙似乎不为任何政治势力效力，纯粹为金钱而行动。我是戴夫·比特纳，为您带来2023年7月18日周二的《网络情报简报》。

美国联邦政府已发布若干影响网络安全实践的标准与指南。国家安全局（NSA）和网络安全与基础设施安全局（CISA）针对5G网络切片发布了指导意见，该技术旨在基于共同基础设施构建一组逻辑网络。 该指南旨在促进移动网络运营商、硬件制造商、软件开发商、非移动网络运营商、系统集成商及网络切片客户之间的协作，以期增强网络切片架构的弹性与安全防护能力。CISA同时发布了面向云环境的免费工具清单，协助企业迁移至云端时识别保护关键资产与数据安全所需的工具及技术。 就在今晨，白宫宣布启动智能设备网络安全认证计划。 根据该计划，消费者将看到新设立的美国网络信任标识——一个独特的盾牌标志，用于标注符合既定网络安全标准的产品。该计划旨在为消费者提供工具，使其能够对选择带入家中的产品安全性做出明智判断。已自愿加入该计划的制造商和零售商包括亚马逊、百思买、谷歌、LG电子、罗技和三星。

Orca安全公司报告称，谷歌云平台存在一个名为bad dot build的特权提升漏洞，该漏洞可能为供应链攻击打开大门，使攻击者能够感染用户和客户。Orca今晨指出，正如我们所见，从SolarWinds到近期3CX和MoveIt的供应链攻击事件表明，此类漏洞可能引发深远影响。 报告指出，攻击者可通过滥用此漏洞冒用默认云构建服务账户，从而操控谷歌工件注册库中的镜像并注入恶意代码。任何基于受污染镜像构建的应用程序都将受到影响，可能导致拒绝服务攻击、数据窃取及恶意软件传播。Orca安全团队已向谷歌通报该漏洞，谷歌现已修复。 但Orca建议受影响机构密切关注实例配置细节。报告指出被撤销的权限与构建产物注册库无关，这使得供应链风险具有持久性。鉴于此，机构必须重点监控默认Google Cloud构建服务账户的行为，及时发现潜在恶意活动。建议采取最小权限原则，并部署云端检测响应能力识别异常行为，以有效降低风险。

Jumpcloud宣布其系统于6月27日遭受国家支持的威胁行为者发起的复杂攻击。该公司发现基础设施特定区域存在未经授权的访问，并确认部分入侵行为最早可追溯至6月22日。虽然初期未发现对客户造成影响的证据，但公司仍采取了包括轮换凭证和重建基础设施在内的多重预防措施，以加固网络及边界防护。 该公司确信此次攻击由国家支持，但尚未确定具体国家。后续取证调查发现，针对少数客户的命令框架中存在异常活动，表明存在进一步的未经授权操作。为此，Jumpcloud于7月5日（即异常活动被发现当日）强制轮换了所有管理API密钥。 据Ars Technica报道，Jump Cloud服务于逾20万家机构用户，其中包含cars.com、GoFundMe和Foursquare等5000家付费客户。该公司已启动预先制定的应急响应计划，包括启用安全合作伙伴支援，并已向执法机构通报事件。

赛门铁克威胁追踪团队发布报告，详细披露了与网络犯罪团伙Sisfinx（又称Finn 8）相关的恶意后门程序Sardonics的新变种。该变种旨在传播Nobaris勒索软件。 该"sysfix"工具最初于2022年被发现时，正用于传播"白兔"勒索软件。赛门铁克指出，Finn 8转向勒索软件的迹象可追溯至2021年——该团伙曾利用"雷纳"勒索软件感染金融领域多个受损系统。赛门铁克分析称，该组织转向勒索软件的举动表明，威胁行为者可能正通过多元化攻击目标来最大化从受损机构获取的利润。 赛门铁克指出，该网络犯罪团伙已升级其工具链：新版本后门程序采用C语言重写（此前为C++版本）；新型后门变种通过PowerShell脚本间接植入，区别于旧版需经中间下载器Shell代码下载执行后门的模式。 赛门铁克在报告结尾指出，该团伙持续发展并提升其能力，定期优化恶意软件投放基础设施及工具战术以规避检测。其从销售点攻击转向勒索软件部署的战略，彰显了该威胁行为者从受害组织榨取最大利润的决心。本报告详述的工具与战术，进一步印证了这个技术高超的金融威胁行为者对组织构成的严重威胁。

最后是"完整性"（integritas）。据说罗马军团士兵向百夫长报告时会这样说：他们的盔甲与装备完好无损，整齐有序，而他们自己也昂首挺立，精神抖擞。"完整性"意味着与职责——或更广泛地说，与自身价值观——保持一致的坚实品格，即诚信。值得铭记的是，即便在罪犯之中，也存在某种形式的诚信。 盗亦有道。在俄罗斯对乌克兰发动的混合战争中，我们早已习惯看到犯罪团伙和黑客活动分子充当私掠者或辅助力量，为交战方（通常是俄罗斯）效力。俄罗斯安全情报机构对本国犯罪阶层的利用程度，堪称这场网络战争的显著特征。 然而至少有一个俄罗斯或俄语系网络犯罪团伙"红卷发"始终保持纯粹犯罪性质，未明显为任何政府效力。研究人员发现该团伙（记录中被描述为IB组织的分支）同时针对俄罗斯和澳大利亚目标展开行动。其初始手段是钓鱼攻击。 其目标既非植入勒索软件，亦非通过曝光个人隐私实施敲诈，而是从事商业间谍活动——窃取高价值商业情报转售于C2C黑市。约半数攻击针对俄罗斯目标，其余则分布于乌克兰、加拿大及欧洲多国。我们不得不承认，这支纯粹为牟利而战的团伙倒有几分令人耳目一新。 他们漠视国家利益与荣誉，却展现出某种犯罪者的"正直"——虽卑劣可鄙，但价值观始终如一。我们仍期盼他们能受到某种程度的惩罚，无论是由FBI、FSB、警方还是民兵组织来执行，都无所谓。 无论你身在何处，执法者们，祝狩猎顺利。顺带一提，但愿军团士兵、百夫长和"integrity"（正直）那些事确有其真。消息源自我们的历史部门——他们通常很靠谱，但偶尔我们怀疑他们是从塔西佗史书里获取罗马史知识，还是靠在网飞重温《角斗士》得来的。无论如何，"integrity"专题将在广告后播出。

赞助商（Strata）：Ben Yellin 解析马萨诸塞州出台的隐私立法。本期嘉宾Alastair Par将探讨GDPR与第三方风险。敬请继续收看。正为如何用现代身份认证方案保障本地应用安全而苦恼？别担心，您并非孤军奋战。加入《财富》500强企业的行业领袖行列，无论环境多么复杂，都能在任意云平台、使用任何身份提供商（IDP）实现应用安全防护。 认识Strata的身份编排平台Mavericks。告别应用重构和遗留技术债务的困扰。通过身份编排，您可在数周内实现遗留应用现代化，支持多因素认证或无密码认证。无需修改应用即可实现IDP迁移等功能。无论您的IAM应用场景如何，Strata都能提升现有身份投资的价值。最棒的是，您今天就能免费试用。 访问strata.io/cyberwire分享您的身份管理难题，即可获赠AirPods Pro耳机一对。切勿错过良机，立即访问strata.io/cyberwire——请记住网址：strata.io/cyberwire。

赞助商（Cinteot）：现在请听赞助商辛西娅的介绍。作为一家8A级少数族裔与女性共同拥有的小型企业，Synthet不仅专注于软件工程，更深耕人工智能与网络安全领域。 Synthet的客户群体涵盖美国国防部、情报机构、国务院及司法部等核心部门。其使命是守护那些守护我们的人所依赖的系统。若您正在寻找使命共进的合作伙伴，请访问cynthia.com（网址为c-i-n-t-e-o-t.com）。您在数据与网络安全领域的全方位合作伙伴。

戴夫·比特纳：谢谢。欧盟《通用数据保护条例》（GDPR）已实施五年有余。在2023年第三方风险管理研究中，安全公司Prevalent团队重点考察了GDPR如何通过将隐私保护作为核心要求，影响第三方管理实践。阿拉斯泰尔·帕尔是Prevalent全球产品与交付高级副总裁。

阿拉斯泰尔·帕尔：我们正经历着数据泄露事件数量及第三方影响的增长。其中部分增长可归因于人们对安全态势的可视性提升。 当我们审视整个领域的整体趋势时，会发现问题和事件的数量确实有所增加。这归因于如今存在大量工具和技术能够大规模聚合数据——而这些在几年前并不一定具备。因此可见性确实有所提升，但人们在自动化和修复方面仍面临普遍挑战。

戴夫·比特纳：在我看来，这似乎是项极其艰巨的任务——毕竟当你想到所有第三方供应商及其供应商时，情况就变得复杂了。您建议采取什么方法来将这项任务分解为可控的子任务？

阿拉斯泰尔·帕尔：完全同意。挑战确实在于，我们通常要应对成千上万的第三方供应商，这确实令人望而生畏。因此我们常看到人们试图理解：如何将规模调整到可控范围？无论我拥有何种自动化工具，无论第三方参与度如何，无论供应商库存数据多么精准。 人们最终需要理解的是：如何合理调整规模，才能将有限的时间和精力投入到正确领域。那么在这一领域取得成功的人，是否存在共同特质？

戴夫·比特纳：是的。

阿拉斯泰尔·帕尔：确实如此。我们观察到最成功的第三方风险与生命周期管理项目，往往在关注外部的同时，同样注重内部聚焦。 当然，供应商互动至关重要——既要整合数据，又要协同第三方弥补核心缺陷与依赖关系。但内部环节同样关键：需建立供应商名录，让业务部门与利益相关方参与其中，最终促使其对项目形成投入，这才是根基所在。我们的核心发现是：约71%的项目实际由信息安全团队主导。 我们观察到约63%或53%的第三方关系分别由采购部门或业务负责人主导。这种跷跷板式的管理模式表明：要有效推进项目，必须获得业务部门的认同、其固有的能力支持以及实质性投入。

戴夫·比特纳：那么这究竟是技术层面的问题——即是否具备应对这类问题的正确工具——还是人员层面的问题，比如员工培训之类？

阿拉斯泰尔·帕尔：我认为大多数情况下，问题首先出在流程层面。现有技术旨在辅助、支持、自动化和扩展流程。但根本上，如果流程本身存在缺陷——比如如何接触第三方、如何处理数据输出结果——这本质上就是流程导向的问题。 必须让业务部门深度参与，需要合规、审计、采购、业务负责人、高管团队以及信息安全与风险管理等部门协同运作，形成紧密协作的整体。

戴夫·比特纳：对于那位需要向董事会和决策层论证此类项目必要性的安全人员，您有什么建议？

阿拉斯泰尔·帕尔：我认为他们面临的最大挑战之一在于，这并非必然产生收益的职能。本质上这是种保险机制——通过将风险管控在合理范围内来预防事故发生。当第三方发生数据泄露等事件时，若能及时发现并作出响应，无疑会带来显著助益。 因此，运用传统保险机制避免历史事件引发的声誉损害确实有效。但更重要的是探索如何通过该项目在采购周期中实现成本节约。例如，当发现第三方运营韧性问题或合同存在漏洞时，可利用谈判周期中的议价优势，推动服务优化、成本削减等目标。可见其中也蕴含着潜在的经济效益。

戴夫·比特纳：您认为第三方风险管理的未来会如何发展？您认为我们未来会走向何方？

阿拉斯泰尔·帕尔：问得好。我认为第三方风险管理中长期存在的一个难题，在于供应商与企业内部的互动机制。当前体系过度依赖评估等手段。 评估体系缺乏标准化，这种状况不会消失，因为每个组织通常都有自己的变体。事实上，仅我们管理的数百个项目中，就有超过70家客户在其项目中使用定制内容和评估。这种情况不会改变。因此，我们开始关注并期待看到诸如人工智能等技术最终能帮助将各种内容来源转化为我们需要的答案。 项目方关注的并非评估本身，而是结果与风险。无论数据源自SOC 2报告还是专有政策文档，只要能实现大规模分析，并将之转化为可量化的风险与情境，这正是整个第三方资产与环境管理领域的发展方向。

戴夫·比特纳：是的，这真是个很有意思的见解。我的意思是，我认为特别是那个翻译层——能够向董事会和同事阐明你的观点——至关重要。然而根据我的经验，很多人仍然在这方面挣扎。

阿拉斯泰尔·帕尔：是的，完全正确。某些程序可能无法准确传达风险等级的颜色标识——比如红色代表危险——这类技术性风险语言。所以你的观点完全正确。当我们为董事会和高管团队构建关键绩效指标（KPI）和关键风险指标（KRI）材料时，往往会高度聚焦于用户画像。 我们致力于确保数据点精准匹配决策者的关注点，通过他们真正关心的指标帮助其识别风险态势。

戴夫·比特纳：这位是普瑞文特公司的阿拉斯泰尔·帕尔。再次与我同台的是本·耶林。他来自马里兰大学健康与国土安全中心，同时也是我在《Caveat播客》中的联合主持人。本，很高兴再次见到你。

本·耶林：很高兴与你相见，戴夫。

戴夫·比特纳：马萨诸塞州出台的这项关于位置数据买卖的立法提案真是耐人寻味。呃，本，这究竟是怎么回事？

本·耶林：这项法律将成为全美各州立法机构中首例此类法规。马萨诸塞州众议院和参议院的立法者正审议一项法案，拟对本州移动设备位置数据的买卖实施近乎全面的禁令。 尽管由民主党和共和党共同掌控的其他州议会已通过广泛的数据隐私法案，但该法案将成为首个对位置数据买卖实施近乎全面禁令的立法。其中一项重要条款规定执法部门获取此类数据须持有搜查令，这实质上将最高法院2018年"卡彭特案"裁决——禁止无搜查令获取历史基站定位信息——纳入法律体系。

戴夫·比特纳：这是否也会阻止执法部门在没有搜查令的情况下购买该数据？

本·耶林：是的。任何未经搜查令的执法部门访问都将被禁止。

戴夫·比特纳：好的。

本·耶林：这项法律中更具深远意义的广泛禁令在于，数据经纪商未经法院授权不得买卖州居民的位置信息。当然存在有限例外情形，例如为网约车服务或天气应用共享位置数据等对消费者有益的情况。但该法案无疑将成为全美范围最全面的立法，将产生重大影响。 公民自由与隐私保护团体联盟支持该法案，认为这可能成为全国性立法的试金石——即全面禁止买卖位置数据。联邦层面虽曾提出类似法案，但至今远未通过。不过该法案也面临广泛反对。 某行业协会在近期联合听证会上公开反对该法案。代表该协会的律师安德鲁·金曼表示，他们支持加强对特定类型个人数据的保护，但认为该法案范围过于宽泛。他建议参考其他州的做法——例如邻近的康涅狄格州虽通过了数据隐私法，却未像纽约州这样彻底禁止数据经纪商买卖此类数据。 该法案赋予消费者拒绝数据销售的选择权。若消费者认为企业收集的数据对其无益，可拒绝此类数据收集行为。 但对于部分隐私及公民自由倡导者而言，这显然远远不够。他们指出，不仅企业购买数据，地方警察部门和联邦机构也购买位置信息用于执法目的，这种做法实质上绕开了宪法第四修正案的限制，被美国公民自由联盟等组织视为极度危险的行径。

戴夫·比特纳：没错，默认选择加入和默认选择退出之间存在巨大差异。

本·耶林：当然了。我的意思是，选择退出意味着你必须具备足够的技术能力来采取行动退出。可以肯定的是，他们会把这个选项藏在某个角落。

戴夫·比特纳：他们会把它藏在设置的某个深处，没错。

本·耶林：没错，你得费劲翻找那个能选择退出页面的位置，拇指都要按到抽筋了。 而选择加入机制恰恰相反——这其实源自马萨诸塞州学者卡斯·桑斯坦提出的"轻推理论"。默认选项的设定至关重要，因为人们往往缺乏主动选择加入或退出服务的意愿，默认机制的选择最终会产生巨大影响。

戴夫·比特纳：是啊，有趣的是这同样引起了堕胎权倡导者的关注。他们对此有何兴趣？

本·耶林：是的，堕胎权倡导者们有力地指出，手机定位数据——尤其当其可被出售时——可能导致各州政府（特别是去年多布斯裁决后限制或完全禁止堕胎的州）追踪跨州寻求堕胎服务的人员，从而实施或启动起诉程序。这对堕胎权倡导者而言无疑是合理担忧。 我认为真正危险的是这类数据普遍可获取——无需搜查令，只需支付一笔费用就能买到。 我认为这对跨州寻求堕胎服务的个人尤其危险。不仅堕胎问题引发隐私担忧，该报道还提及数字跟踪、国家安全威胁等——当数据可被买卖时，这些问题都可能浮现。正是这些特殊情境引发了相关团体的忧虑，我认为这正是推动立法的动因之一。

戴夫·比特纳：鉴于马萨诸塞州立法机构的构成，这项提案有希望推进吗？您怎么看？

本·耶林：是的。我必须说前景相当乐观。马萨诸塞州议会由民主党主导，整个州议会里共和党人只有五位。 马萨诸塞州参议院现任多数党领袖正是这项法案的发起人。她在听证会上为法案作证。可见有位颇具实权的人物支持这项立法。州长同样是民主党人——不过这其实无关紧要，因为州议会拥有足以否决州长否决权的多数席位。

戴夫·比特纳：对。

本·耶林：不过我认为这项立法的前景相当乐观。

戴夫·比特纳：好的，我们会继续关注这个情况。这确实是个有趣的进展。本·耶林，感谢您参与我们的讨论。

本·耶林：谢谢。

赞助商（Drata）：这虽不有趣，但数据泄露或客户流失同样令人头疼。正因如此，Drata通过自动化证据收集实现了流程自动化。凭借80余项集成与24小时监控，Drata全年无休地自动化合规流程，确保您随时通过审计。 Drata支持14项以上合规框架，涵盖SOC 2、GDPR、HIPAA及ISO 27001。凭借455颗星的用户评价，Drata荣登G2平台最高评分云端合规平台。网络安全电台每日听众访问drada.com/partner/cyberwire，可享9折优惠并免除实施费用。

戴夫·比特纳：感谢收听《网络线报》。今日所有报道的链接请访问cyberwire.com查看每日简报。我们期待您对本播客的反馈，欢迎发送邮件至[email protected]。您的意见将帮助我们持续提供前沿信息与深度洞察，助您在瞬息万变的网络安全领域保持领先。 我们深感荣幸，N2K及《网络电讯》等播客已成为众多公共与私营领域最具影响力的领导者及运营者的日常情报来源，同时服务于支撑《财富》500强企业及全球顶尖情报与执法机构的核心安全团队。N2K战略性人才情报服务，助您最大化最大投资——人才的价值。 我们助您更明智地管理团队，同时让团队更具智慧。更多详情请访问N2K官网。本期节目由Liz Ervin与高级制作人Jennifer Iben联合制作，音频混音由Trey Hester完成，原创音乐出自Elliot Peltzman之手。节目内容由编辑团队撰写，执行主编Peter Kilpi。我是Dave Bitner。感谢收听，明日再会。

赞助商（M-Wise）：在众多网络安全大型会议中，M-Wise独树一帜。凭借聚焦议程与精准问题解决能力，这里是顶尖安全专家精进技艺的殿堂。9月18日至20日，您将在华盛顿特区与安全领域最锐利的头脑汇聚一堂。获取别处难觅的行业洞见，攀登全新境界，为未来挑战蓄势待发。 立即访问mwise.mandient.com/conf23抢先注册享优惠。网址为：mys.mandient.com/c-o-n-f-2-3。