1.【政策法规】关于国家标准《信息安全技术 软件供应链安全要求》公开征求意见
全国信息安全标准化技术委员会归口的国家标准《信息安全技术 软件供应链安全要求》现已形成标准征求意见稿。本文件给出了软件供应链安全保护目标,规定了软件供应链组织管理和供应活动管理的安全要求。根据《全国信息安全标准化技术委员会标准制修订工作程序》要求,现将该标准征求意见稿面向社会公开征求意见。标准相关材料已发布在信安标委网站,如有意见或建议请于2022年11月29日24:00前反馈秘书处。
2.【政策法规】全国信安标委发布《信息安全技术 网络安全众测服务要求》(征求意见稿) 全国信息安全标准化技术委员会《信息安全技术 网络安全众测服务要求》(征求意见稿),面向社会征求意见。《众测要求》确立了网络安全众测服务的角色及其职责,描述了服务流程,规定了服务要求,众测需求方、众测组织方、授权测试方和众测审计方开展网络安全众测服务时使用。标准相关材料已发布在信安标委网站,如有意见或建议请于2022年11月26日24:00前反馈秘书处。
3.【安全事件】某科技公司违反《数据安全法》被行政处罚
近期,上海网信办发现,某科技公司在处理政务类数据时违规操作,且未采取相应的技术措施和其他必要措施保障数据安全,导致数据存在泄露风险。上海网信办依据《中华人民共和国数据安全法》对该公司责令改正,给予警告,并处以人民币五万元罚款的行政处罚。上海网信办相关负责人表示,数据安全关乎人民群众切身利益,关乎国家安全和社会稳定,上海网信办将针对数据安全保护义务履行不力,造成重要数据泄露风险的违法违规行为加强监督检查和执法,进一步营造安全稳定的网络环境。
4.【安全事件】美国超级连锁医院因勒索攻击引发IT崩溃:救护车改道、病历失联
据报道,美国第二大非营利性医疗保健组织CommonSpirit Health正在遭遇安全“问题”,导致其被迫转移救护车路线,关闭全国各地医院的电子病历系统。CommonSpirit Health总部位于芝加哥,在全美21个州拥有1000多处设施和140家医院。该公司遭遇到影响“部分”机构的“IT安全问题”。这家非营利组织在官方网站上发布了一条非常简短的通知,表示包括“电子健康记录(EHR)及其他系统”在内的部分系统因此离线。
近日,丰田汽车公司警告说,因数据库访问密钥在GitHub上公开暴露近五年,其客户的个人信息可能已经泄露。发生数据泄露的T-Connect是丰田的官方移动应用程序,丰田车主可通过这个应用将智能手机与车辆信息娱乐系统连接起来,用于电话、音乐、导航、通知集成,以及显示驾驶数据、发动机状态、油耗等信息。
6.【安全事件】亲俄黑客组织对美国关键基础设施发起大规模攻击
近日,亲俄黑客组织“KillNet”声称对美国几个主要机场的网站成功实施了大规模分布式拒绝服务(DDoS)攻击,导致包括芝加哥和亚特兰大机场网站长时间瘫痪或失去响应,旅客无法使用网站的航班预订和机场服务。虽然DDoS攻击不会对航班飞行安全构成直接威胁,但足以对其运营产生重大影响。此外,亲俄黑客组织针对的关键基础设施目标不仅限于机场,而是包括了能源、港口、气象预报、医疗、轨道交通、证券交易等多个美国关键基础设施。
7.【安全事件】Magniber勒索软件通过JavaScript文件感染Windows用户 据报道,近期,Magniber勒索软件运营商创建了宣传网站,力推Windows 10虚假的安全更新文件,一旦用户下载了包含 JavaScript的恶意文件(ZIP档案),其文件就会遭到勒索软件加密。惠普公司威胁情报团队在一份报告中指出,Magniber 勒索软件运营商要求受害用户支付高达 2500 美元的费用,以获得解密工具并恢复其文件。以往 Magniber传播活动中,背后运营商主要使用 MSI 和 EXE 文件,最近则改用了 JavaScript 文件,这些文件经过混淆处理,使用 "DotNetToJScript "技术变种,在系统内存中执行.NET 文件,可以很好降低被主机上防病毒产品发现的风险。
8.【安全事件】豪华跑车厂商法拉利内部数据泄露,7GB数据可在线下载 意大利豪华跑车和赛车制造商法拉利近日证实,其部分内部文件正在网络上传播,泄露文件大小近7GB。RansomEXX勒索软件团伙在其数据泄露网站上发帖,声称成功入侵了知名汽车制造商并窃取了6.99GB数据,其中包括内部文档、数据表、维修手册等。据悉,这些数据在洋葱网络上公开,这意味着其可能被所有熟练使用PC的人通过TOR浏览器访问,而并不需要掌握特殊技能。据法拉利证实,这些遭到泄露的数据是真实的,但他们表示并没有发现存在网络攻击的迹象。另外,这些遭到泄露的文件的来源也尚不清楚。法拉利正在调查内部文件的泄露情况,并宣布将采取一切必要措施。
9.【安全分析】65% 的公司正在考虑采用 VPN 替代方案
新冠疫情期间,尽管对 VPN 风险的认识增加,但远程工作迫使许多公司不得不更加依赖这个传统访问方式。与此同时,Zscaler发布的VPN风险报告也表明了,网络攻击者利用长期存在的安全漏洞,增加了对VPN的攻击。Zscaler声称,从一些“高调”的漏洞和勒索软件攻击活动中可以看出,VPN 仍然是网络安全中最薄弱环节之一,其架构缺陷为攻击者提供了入口,给他们提供了横向移动和窃取数据的机会。为了防范不断变化的网络威胁,企业需要认真考虑使用零信任架构。零信任与 VPN 存在明显差别,不会把用户带到与关键业务信息相同的网络上,通过将用户应用分割防止横向移动,最大限度地减少攻击面,并提供完整的TLS检查,以防止网络破坏和数据丢失。
10.【安全技术】XDR助力改善安全态势
通过创建系统安全策略或者利用合适的工具来帮助实现良好的安全态势是非常困难的。在大多数情况下,组织所使用的工具之间往往无法彼此集成,并且对这些工具的购买和维护成本也是一笔不小的开销。因此,许多组织都会选择另辟其径来寻找一个维持良好安全态势的方法。2018年首次提出了XDR(扩展检测和响应)的概念,XDR是一种基于SaaS的、绑定于特定供应商的安全威胁检测和事件响应工具,它将多个安全产品集成到一个统一了所有许可安全组件的内聚安全运营系统中。XDR解决方案会在组织想要监控的端点上部署代理。随后,代理会从被监视的端点中收集安全事件的数据,并将它们转发到XDR的服务器中,以进行日志分析、关联以及预警的发布。