1.【政策法规】《终端计算机通用安全技术规范》等3项网络安全国家标准获批发布
点击标题可查看详情链接
根据2024年10月26日国家市场监督管理总局、国家标准化管理委员会发布的中华人民共和国国家标准公告(2024年第24号),全国网络安全标准化技术委员会归口的3项网络安全国家标准正式发布。具体清单如下:
日前,工业和信息化部正式印发《工业和信息化领域数据安全事件应急预案(试行)》(工信部网安〔2024〕214号),《应急预案》文件按照总则、组织体系、监测与预警、事件响应、事后总结、预防措施、保障措施、附则8大章节展开,并附有《工业和信息化领域数据安全事件分级》《数据安全事件上报(模版)》《数据安全事件应急处置工作总结报告(模版)》《数据安全事件应急处置流程图》4个重要文件。
施耐德电气(Schneider Electric)已确认其一个开发平台被入侵,此前有威胁行为者声称从该公司的Jira服务器中窃取了40GB的数据。施耐德电气表示:“施耐德电气正在调查一起网络安全事件,涉及未经授权访问内部的项目执行跟踪平台之一,该平台位于一个隔离的环境中”。施耐德电气是一家法国跨国公司,生产从大型零售店销售的家用电气元件到企业级工业控制和楼宇自动化产品的能源和自动化产品。
近日,有消息称诺基亚的源代码及其他敏感信息在地下黑客论坛BreachForum上被公开出售。据称,黑客使用默认凭据访问了诺基亚第三方供应商的SonarQube服务器,下载了客户Python项目,包括属于诺基亚的项目。诺基亚的发言人表示,公司正在对此展开调查。目前尚未发现任何证据显示其系统或数据受到影响,并将继续密切监控事态发展。
德国联邦司法部已起草一项法律,旨在为那些发现安全漏洞并负责任地向供应商报告的安全研究人员提供法律保护。在规定的范围内进行安全研究时,相关人员将不承担刑事责任,也不会面临起诉风险。联邦司法部长表示:“那些致力于弥补IT安全漏洞的人,应该得到的是表彰,而不是检察官的诉讼通知。”此前美国、欧洲比利时等国均有修订法律,对白帽黑客行为可豁免起诉。
秘鲁最大的金融机构之一,秘鲁国际银行(Interbank)承认遭勒索组织攻击,攻击者成功入侵其IT系统,并窃取了相关用户数据。泄露的数据包括客户的全名、账户ID、出生日期、地址、电话号码、电子邮件、信用卡信息及其他敏感信息。秘鲁国际银行成立于1897年,是秘鲁历史悠久的金融机构之一,目前拥有客户数量超过500万,主要为企业和中小企业提供储蓄、贷款等银行服务,涉及保险、零售、房地产和金融领域。秘鲁国际银行发布公告称,目前已确认黑客窃取了大量的用户数据,已立即部署相应安全措施来保障用户的金融和信息安全。
由美国联邦首席数据官(CDO)委员会和联邦首席信息安全官(CISO)委员会联合牵头,联邦政府IT领导层发布《联邦零信任数据安全指南》,旨在强化数据安全实践。这份文件共42页,重点强调了“保护数据本身,而非保护数据的边界”。官方认为这一理念是“有效实施零信任的基础支柱”之一。指南提供了一张包含五个步骤的零信任安全路线图,概述了实践者可以采取的具体行动,以确保数据安全。随后的章节则着重讨论了数据的识别、定义和分类。
在过去,首席信息安全官(CISO)的职责可能仅仅是保护企业的技术堆栈,但今天,他们的角色涵盖了风险管理、资源分配、法律合规、甚至推动业务发展等多个维度。该文阐述了2024年CISO们最关注的十大挑战,包括威胁态势不断恶化、保护动态环境而不增加“数字摩擦”、监管“雪崩”、供应链和第三方风险、安全责任的增加、在企业内部确保AI安全、防范AI驱动的网络攻击、获取充足资源、提高安全在企业内的地位、实现“零摩擦”运营。
如果企业想要对网络威胁防患于未然并知晓最新的网络安全技术,就必须密切关注全球网络安全中发生的事情。该文介绍了 2024 年全球网络安全的趋势,并列举可以操作的12种最佳网络安全实践来保护数据,包括建立健全的网络安全政策、保护企业的周边和物联网连接、教育和监控企业员工、控制对敏感数据的访问、明智管理密码、监控特权用户和第三方用户的活动、管理供应链风险、加强数据保护和管理、采用生物识别安全、使用多重身份验证、定期进行网络安全审计、简化技术基础设施。
