【华安星安全资讯】半月精选集（2023.7.31-8.13）

1.【政策法规】国家网信办就《个人信息保护合规审计管理办法（征求意见稿）》公开征求意见

       为指导、规范个人信息保护合规审计活动，根据《中华人民共和国个人信息保护法》等法律法规，国家互联网信息办公室起草了《个人信息保护合规审计管理办法（征求意见稿）》，现向社会公开征求意见。《办法草案》细化落实了《个人信息保护法》提出的个人信息处理者合规审计要求，明确了个人信息保护合规审计触发条件、频次、流程、审计机构、审计活动规范等。

3.【政策法规】关于征求国家标准《信息安全技术 敏感个人信息处理安全要求》（征求意见稿）意见的通知

       全国信息安全标准化技术委员会归口的国家标准《信息安全技术 敏感个人信息处理安全要求》现已形成标准征求意见稿。根据《全国信息安全标准化技术委员会标准制修订工作程序》要求，现将该标准征求意见稿面向社会公开征求意见。

4.【行业分析】2023年最活跃的十大勒索软件组织

       根据GRIT最新发布的勒索软件报告，2023年二季度观测到的勒索软件事件数量明显多于一季度。这主要有三大原因：MOVEit等漏洞的大规模利用、勒索软件工具技术的“民主化”以及新兴勒索软件组织的野蛮生长。报告公布了2023年最活跃最多产的十大勒索软件组织如下图所示。尽管第二季度观察到的受害者数量较第一季度下降了10%，但LockBit仍然是最多产的勒索软件组织。AlphV是二季度第二活跃的勒索软件组织，其受害者数量比第一季度增加了50%。

5.【安全事件】英国发生重大数据泄露事件！近10年选民数据全部曝光

       近日，英国国家选举委员会披露了一起大规模的数据泄露事件。2014年至2022年间，所有在英国注册投票者，个人信息均遭泄露。该委员会在十个月前检测到此次泄露事件，那时距首次泄露发生已经过去了两年时间。这不禁让人质疑，委员会为何花了如此之久才公开报告泄露事件。在这次网络攻击事件中，威胁行为者访问了英国选举委员会的服务器，其中存储了该部门的电子邮件、控制系统以及选民登记册副本，可能导致约4000万选民的数据泄露。

6.【安全事件】特斯拉越狱成功，可一键解锁付费功能

       近日，柏林某大学研究人员开发出一种可以破解特斯拉近期推出车型上使用的基于AMD信息娱乐系统的新技术，并使其运行包括付费项目在内的任何软件。实验过程中，研究人员提取特斯拉在其服务网络中用于汽车身份验证的唯一硬件绑定RSA密钥，并通过电压故障激活软件锁定的座椅加热和“加速度提升”等付费功能。

7.【安全事件】网络攻击扰乱美国多州医院和医疗保健系统

       近日，美国大型医疗机构前景医疗遭到网络攻击，在多州运营的医院和诊所受影响，急诊被迫关闭，救护车被迫转移。美国数州的医院和诊所启动了网络攻击后的漫漫恢复之路。这起攻击扰乱了它们的计算机系统，一些急诊室被迫关闭，救护车被转移。截至当时，由前景医疗控股公司（Prospect Medical Holdings）运营的许多初级保健服务机构仍然关闭。安全专家们正努力确定问题范围并加以解决。美国医院协会的全国网络安全和风险顾问表示，恢复过程通常需要持续数周，与此同时，医院将临时回归纸质系统，依靠人工完成设备监控、部门间病历传输等事务。

8.【安全事件】俄黑客组织发起大范围网络钓鱼攻击，影响全球多个政府机构！

       近日，微软称有一个与俄罗斯对外情报局有关的名为APT29的黑客组织，针对全球数十个组织包括政府机构等进行了网络钓鱼攻击。微软方面透露，根据目前调查显示，此次攻击活动影响了全球约40个组织。并且此次攻击活动表明该黑客组织将政府、非政府组织(ngo)、IT服务、技术、离散制造业和媒体部门等设置成了特定间谍目标。黑客利用被入侵的 Microsoft 365 租户创建了新的技术支持主题域并发送技术支持诱饵，试图利用社交工程策略欺骗目标组织的用户。他们的目的是操纵用户批准多因素身份验证（MFA）提示，最终窃取他们的凭证。

9.【安全技术】简析社会工程攻击的5种常见类型和防护

       在网络安全领域，社会工程学就是指攻击者利用“人的因素”这个薄弱点，通过诱导、欺骗的手段获取到他们想要的信息，从而对目标计算机系统进行攻击。据IBM发布的《2022年数据泄露成本》报告显示，以社会工程学作为初始攻击的数据泄露事件平均损失超过400万美元。更糟糕的是，社会工程造成的数据泄露很难被追踪和遏制，报告显示，受害企业平均要花费约9个月的时间才能发现并封堵数据泄露。网络攻击者善于操纵受害者的心理来获得对敏感信息、网络或系统的非法访问，该文收集了包括网络钓鱼攻击、虚假冒充攻击、诱饵攻击、Quid Pro Quo（交易交换）、尾随攻击在内的5种常见的社会工程攻击类型以及对应的防护方法。