一、发展动向热讯

    1、国务院颁布《关键信息基础设施安全保护条例》

    8月17日消息,国务院总理李克强签署国务院令,颁布《关键信息基础设施安全保护条例》(以下简称《条例》),自9月1日起施行。关键信息基础设施是经济社会运行的神经中枢,是网络安全的重中之重。制定出台《条例》,建立专门保护制度,明确各方责任,提出保障促进措施,有利于进一步健全关键信息基础设施安全保护法律制度体系。一是明确关键信息基础设施范围和保护工作原则目标;二是明确了监督管理体制;三是完善了关键信息基础设施认定机制;四是明确运营者责任义务;五是明确了保障和促进措施;六是明确了法律责任。(信息来源:新华社)

    2、《中华人民共和国个人信息保护法》表决通过

    8月20日,十三届全国人大常委会第三十次会议表决通过《中华人民共和国个人信息保护法》,自11月1日起施行。该法明确:通过自动化决策方式向个人进行信息推送、商业营销,应提供不针对其个人特征的选项或提供便捷的拒绝方式;处理生物识别、医疗健康、金融账户、行踪轨迹等敏感个人信息,应取得个人的单独同意;对违法处理个人信息的应用程序,责令暂停或者终止提供服务。(信息来源:新华社)

   3、五部门发布《汽车数据安全管理若干规定(试行)》

    8月20日,国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、公安部、交通运输部联合发布《汽车数据安全管理若干规定(试行)》,自10月1日起施行。规定倡导,汽车数据处理者在开展汽车数据处理活动中坚持车内处理、默认不收集、精度范围适用、脱敏处理等数据处理原则,减少对汽车数据的无序收集和违规滥用。规定明确,汽车数据处理者应当履行个人信息保护责任,充分保护个人信息安全和合法权益。规定强调,汽车数据处理者开展重要数据处理活动,应当遵守依法在境内存储的规定,加强重要数据安全保护;落实风险评估报告制度要求,积极防范数据安全风险;落实年度报告制度要求,按时主动报送年度汽车数据安全管理情况。规定提出,国家有关部门依据各自职责做好汽车数据安全管理和保障工作,包括开展数据安全评估、数据出境事项抽查核验、智能(网联)汽车网络平台建设等工作。(信息来源:中国网信网)

   4、工信部加强智能网联汽车生产企业及产品准入管理

   8月12日,工信部发布《关于加强智能网联汽车生产企业及产品准入管理的意见》(以下简称《意见》)。《意见》从加强数据和网络安全管理、规范软件在线升级、加强产品管理、保障措施等方面提出11项具体意见。在强化数据安全管理能力方面,企业应当建立健全汽车数据安全管理制度,依法履行数据安全保护义务,实施数据分类分级管理,加强个人信息与重要数据保护。在加强网络安全保障能力方面,企业应当建立汽车网络安全管理制度,具备保障汽车电子电气系统、组件和功能免受网络威胁的技术措施,具备汽车网络安全风险监测、网络安全缺陷和漏洞等发现和处置技术条件,确保车辆及其功能处于被保护的状态,保障车辆安全运行。(信息来源:工信部网站)

    5、拜登召集政府官员及私企高管举行网络安全峰会

    8月25日,美国总统拜登召集政府官员及私营企业高管举行网络安全峰会,旨在提高政府、关键基础设施和私营部门的网络安全标准。会议主要目标包括三项:一是获得科技公司的承诺,将更多的网络安全融入科技产品中;二是说服能源、交通运输和制造业等关键行业的公司升级网络防护水平;三是鼓励增加网络教育和培训,以帮助填补美国约50万个网络安全职位空缺。拜登政府宣布美国国家标准与技术研究院将与行业和其他合作伙伴共同开发确保技术供应链安全的新框架,工业控制系统网络安全倡议将正式由电力领域扩展到天然气管道领域;苹果公司宣布将建立一项推动技术供应链安全改进的新计划;谷歌宣布将在未来五年内斥资100亿美元加强网络安全;IBM公司宣布将在未来三年内向15万人提供网络安全技能培训;微软宣布未来5年内将投资200亿美元以加快整合网络安全和提供先进安全解决方案;亚马逊宣布将免费向公众提供安全意识培训;网络保险提供商和教育机构也宣布将推出相应举措。(信息来源:美国白宫网站)

    6、美国防部筹划成立零信任安全项目办公室

    8月26日消息,美国国防部代理首席信息官约翰·谢尔曼日前透露,美国国防部正在筹划于今年10月前后成立一个零信任安全项目办公室,以统筹及管理该部与“零信任架构”相关的项目和工作。目前美国国防部已将“零信任”视作提升美国军事网络整体安全性及推进“联合全域指挥与控制”(JADC2)概念发展的关键技术手段。美国国防信息系统局也将在该办公室筹办及运作过程中发挥关键作用。(信息来源:国防科技要闻)

    7、美国土安全部发布《人工智能/机器学习战略计划》

    8月21日消息,美国国土安全部(DHS)科技司(S&T)发布《人工智能/机器学习(AI/ML)战略计划》。计划提出了开展AI/ML的3方面目标:一是推动下一代AI/ML技术在国土安全部中的运用,增加研发投资,利用这些技术建立起安全的网络基础设施。二是促进现有已成熟的AI/ML能力在国土安全部任务中的部署。三是建立、培养一支跨学科的AI/ML劳动力队伍。计划列举了科技司有效应对AI/ML给美国国防部、国土安全部及其所服务的任务带来的机遇和挑战的方法,并就发展应用AI/ML技术提出了相关启示建议。(信息来源:美国国土安全部网站)

    8、美国和新加坡扩大金融与国防领域网络安全合作

    8月25日消息,美国和新加坡宣布了三项协议,以扩大双方在国防、金融和研究与开发等领域的网络安全合作,包括加强信息共享、研究和培训,以解决全球网络安全问题。第一份协议将使两个合作伙伴加强国家之间现有的伙伴关系,以便能够密切合作,更好地抵御网络攻击。第二份协议就网络空间的众多活动进行合作,包括相互了解、数据共享和能力建设。第三份协议涉及新加坡金融管理局和美国财政部,旨在加强双边机构合作。协议内容还增加了对中国的关注。(信息来源:ZDNet网)

    二、安全事件聚焦

    9、立陶宛外交部机密文件在暗网被出售

    8月13日消息,立陶宛外交部高度敏感信息在RaidForums黑客论坛被出售,黑客声称窃取了102个Outlook数据文件,包括超过160万封电子邮件及各类文件,共300 GB,涉及立陶宛与美国总统拜登的秘密谈判,以及与白俄罗斯的战争准备。立陶宛外交部8月11日发布声明证实了此次网络攻击事件,并通知相关部门展开调查。(信息来源:LRT网)

    10、巴西国库遭勒索软件攻击

    8月17日消息,巴西经济部发表声明称,其国库内部网络在8月13日遭遇勒索软件攻击,巴西国库秘书处已立即采取遏制措施,并召集联邦警察协助调查。经初步评估,此次攻击暂未对巴西国库体系化系统造成损害。目前也无任何组织和个人表示对此次攻击负责,但巴西政府也不排除未来一段时间内会收到勒索信件的可能。(信息来源:ZDNet网)

    11、巴基斯坦联邦税务局1500台计算机访问权遭窃

    8月16日消息,巴基斯坦联邦税务局(FBR)超1500台计算机的网络访问权在俄罗斯黑客论坛被出售。FBR是巴基斯坦最高的联邦执法机构,负责调查税务犯罪和洗钱等。黑客首先攻击了Microsoft Hyper-V软件,然后入侵了该机构的官方网站及其所有子域。黑客目前以2.6万美元的价格出售FBR的访问权,黑客要求FBR支付3万美元赎金。FBR表示,其数据中心遭到严重网络攻击,所有应用程序都已关闭,附属域名仍处于离线状态。(信息来源:HackRead网)

    12、美国一家医疗机构遭Hive勒索软件攻击

    8月15日,美国医疗机构Memorial Health System遭受了Hive勒索软件攻击,计算机被加密,导致临床及财务运营中断,16日紧急手术病例和放射学检查被取消,工作人员被迫使用纸质图表工作。Memorial Health System是一个非营利性综合卫生系统,拥有3000多名员工。IT部门调查发现,攻击者窃取了含有20万患者敏感信息的数据库,包括姓名、出生日期、社会安全号码等,但员工数据未遭泄露。Hive勒索软件组织于6月下旬出现,目前已有多个组织遭其攻击。(来源:安恒威胁情报中心)

    13、美国大通银行意外泄露客户信息

    8月17日消息,美国大通银行证实,其网上银行网站和应用程序存在技术漏洞,可能允许其客户在大通银行网站或移动应用程序中查看其他客户的账户信息(包括姓名、账号、交易清单等)或接收账户对账单。目前尚不清楚客户在什么情况下能够看到其他客户的信息。大通银行正在通知受影响的客户,并为他们提供免费的信用监控服务。(信息来源:BleepingComputer网)

    14、T-Mobile美国公司超过4000万用户数据遭泄露

    8月14日,黑客在暗网声称入侵了T-Mobile美国公司的服务器,窃取了大约1亿客户的个人数据,包括姓名、出生日期、电话号码、PIN、社会安全号码、驾驶执照号码等,并以6个比特币的价格出售其中3000名用户数据。黑客为证明其入侵了T-Mobile的服务器,还分享了部分截图,并决定在暗网出售这些数据。T-Mobile发表声明证实,黑客窃取了4865万名客户数据,包括4000万曾向T-Mobile提出申请的潜在客户、780万付费客户及85万预付费客户。(信息来源:BleepingComputer网)

    15、诺基亚子公司遭勒索软件攻击致250GB数据失窃

    8月24日消息,诺基亚子公司SAC Wireless披露在遭遇勒索软件Conti攻击后发生了数据泄露事件。Conti勒索软件运营者成功入侵其网络、窃取250 GB的数据并加密了系统。泄露数据包括用户姓名、出生日期、联系方式、身份证号码、病史、健康保险政策信息、纳税申报信息以及该公司现任和离职员工的个人信息。SAC公司与美国各地的电信运营商、主要信号塔所有者和原始设备制造商合作,帮助客户设计、构建和升级蜂窝网络。SAC目前已采取多项措施,包括更改防火墙规则,断开VPN连接,扩展多因素身份验证等。(信息来源:安全牛网)

    16、微软低代码开发平台暴露3800万条客户数据

    8月24日消息,微软低代码开发平台Power Apps因默认配置不安全,导致上千款应用的3800万条记录在线暴露,涉及多个COVID-19接触者追踪平台、疫苗接种登记、工作申请门户以及员工数据库。此次事件给包括美国航空公司、福特、马里兰州卫生部、纽约市交通局以及纽约多所公立学校造成影响。目前,未发现数据遭滥用。(信息来源:互联网安全内参)

    17、日本加密货币交易所遭攻击致9400万美元失窃

    8月21日消息,日本加密货币交易所Liquid遭网络攻击,热钱包遭攻击者控制,价值9400万美元的加密资产被窃取,这是该交易所第二次遭遇大型网络攻击。该交易所目前正在展开调查并将定期提供更新,其存款与取款服务将暂停。(信息来源:TheRecord网)

    三、安全风险警示

    18、CISA建议立即修补Exchange ProxyShell漏洞

    8月25日消息,美国网络安全与基础设施安全局(CISA)发布警报,敦促组织解决被积极利用的本地Microsoft Exchange服务器漏洞ProxyShell。ProxyShell是预身份验证路径混淆导致的ACL绕过漏洞CVE-2021-34473,Exchange PowerShell后端特权提升漏洞CVE-2021-34523和授权后任意文件写入导致的RCE漏洞CVE-2021-31207的统称。攻击者利用这些漏洞可在易受攻击的机器上执行任意代码。(信息来源:CISA网站)

    19、中国台湾芯片设计商Realtek软件存在漏洞

    8月16日消息,研究人员发现,中国台湾芯片设计商Realtek的WiFi模块附带的三个软件开发工具包中存在四个严重漏洞:(1)CVE-2021-35392,由于SSDP NOTIFY消息的不安全构造引发的WiFi Simple Config 服务器中的堆缓存溢出漏洞,CVSS评分8.1;(2)CVE-2021-35393,由于对UPnP SUBSCRIBE/UNSUBSCRIBE Callback header的不安全处理引发的WiFi Simple Config 服务器的堆缓存溢出漏洞,CVSS评分8.1;(3)CVE-2021-35394,UDPServer MP工具中的多缓存溢出漏洞和任意命令注入漏洞,CVSS评分9.8;(4)CVE-2021-35395,由于部分过长参数的不安全复制引发的HTTP web服务器boa中的缓存溢出漏洞,CVSS评分9.8。上述影响包括华硕、贝尔金、D-Link等至少65家供应商生产的近200款数十万物联网设备,包括VoIP、无线路由器、旅行路由器、Wi-Fi中继器、IP摄像头、智能照明控制等。未经验证的攻击者利用这些漏洞能够完全破坏目标设备,并以最高权限执行任意代码。目前,Realtek已向用户提供补丁。(信息来源:HelpNetSecurity网)

    20、物联网云平台存在严重漏洞影响数百万台设备

    8月18日消息,火眼公司与美国网络安全与基础设施安全局联合披露,中国台湾物联网厂商ThroughTek的Kalay P2P SDK云平台存在远程代码执行漏洞CVE-2021-28372,CVSS评分为9.6,影响使用ThroughTek Kalay云平台连接的数百万台物联网设备。攻击者可利用该漏洞收听实时音频、观看实时视频数据、破坏设备凭据以及使用远程过程调用功能完全接管设备。Kalay P2P SDK用于视频监控产品和大型音视频文件的传输,拥有超过8300万台活跃设备,每月管理超过10亿个连接。目前ThroughTek已发布更新,建议受影响用户及时更新或升级系统。(信息来源:BleepingComputer网)

    21、黑莓QNX实时操作系统存在严重漏洞BadAlloc

    8月17日,黑莓公司公开披露其QNX实时操作系统(RTOS)受到BadAlloc漏洞CVE-2021-22156的影响。BadAlloc是影响多个RTOS和支持库的漏洞集合。黑莓QNX实时操作系统是管理网络数据的软件,被广泛应用于航空航天和国防、重型机械、铁路、机器人、工业控制、医疗设备、汽车和手机等各类产品和系统中,可能导致攻击者获得对高度敏感系统的控制,从而增加国家关键功能的风险。目前尚未发现该漏洞被利用。(信息来源:CISA网站)

    22、福特汽车被曝存在数据泄露漏洞

    8月16日消息,福特汽车被曝一个较为严重的数据泄露漏洞CVE-2021-27653,存在于福特公司配置不当的Pega Infinity客户管理系统中。黑客可通过该漏洞获取包括客户和员工个人身份信息、财务账号、数据库名称和表格、OAuth访问令牌、内部支持票证、组织内的用户配置文件、Pulse活动、内部接口、搜索栏历史记录等,还可执行账户接管操作。福特已在漏洞披露后24小时内将这些终端离线,但尚不清楚是否有攻击者利用该漏洞破坏福特的系统,或访问客户和员工的敏感信息。(信息来源:FreeBuf网)

    23、SonicWall Analytics中存在配置错误漏洞

    8月17日, SonicWALL发布安全公告,修复了SonicWall Analytics中的一个远程代码执行漏洞CVE-2021-20032,CVSSv3评分为9.8。SonicWall Analytics是美国SonicWall公司一款适用于网络的高性能管理和报告引擎。该漏洞由Java调试线协议接口安全配置错误导致,攻击者可利用该漏洞在未授权的情况下远程执行恶意代码,最终控制目标设备。SonicWall Analytics 2.5.2518及其之前的版本均受影响。目前,SonicWall已发布更新,建议用户及时确认是否受到影响,并尽快采取修补措施。(信息来源:启明星辰网站)

    24、Fortinet防火墙存在高危命令注入漏洞

    8月18日消息,研究人员在Fortinet的FortiWeb Web应用程序防火墙(WAF)中发现了一个操作系统命令注入漏洞CVE-2021-22123,影响FortiWeb WAF的管理界面。攻击者可能会安装持久性Shell、加密挖掘软件或其他恶意软件利用该漏洞,但攻击者需要同时拥有用户名和密码,或者使用另一个身份验证绕过漏洞CVE-2020-29015。因此该漏洞只能被恶意内部人员利用或错误地将其管理界面暴露在互联网的设备利用。目前尚不清楚供应商是否发布补丁。(信息来源:SecurityWeek网)

    25、VPN路由器存在RCE 0day漏洞

    8月20日消息,思科发布安全公告称多个小企业VPN路由器的UPnP服务中存在一个严重漏洞CVE-2021-34730,CVSS评分为9.8。攻击者可利用该漏洞重启设备,或在底层操作系统上以root用户身份远程执行任意代码。思科表示,由于Small Business RV110W、RV130、RV130W 和 RV215W路由器已达生命周期,因此不予修复。建议仍然使用这些路由器的客户迁移至新版本。目前未发现该漏洞遭在野利用。(信息来源:BleepingComputer网)

    26、新版Neurevt恶意软件攻击墨西哥金融机构

    8月17日消息,Cisco Talos发现具有间谍软件和后门功能的新版Neurevt恶意软件,主要攻击墨西哥金融机构的用户。该恶意软件可以通过访问受害者的系统服务令牌来提权,从而访问操作系统、账户信息、银行网站凭据、屏幕截图并发送至C2服务器。此外,该恶意软件还能检测虚拟化和调试器环境,禁用防火墙,修改受害者机器中的Internet代理设置以逃避检测和阻止分析。(信息来源:安恒威胁情报中心)

    四、前沿技术瞭望

    27、中科大成功研发新型量子机器学习技术

    8月25日消息,中国科学技术大学中国科学院微观磁共振重点实验室杜江峰院士团队在量子人工智能算法领域取得重要进展,研发出新型量子特征提取算法,实验实现了对未知量子系统矩阵的分析与信息提取。研究团队开发了新型基于共振的量子主要成分分析技术,将辅助量子比特的需求降低到1个,降低实验难度。为减少实验中的噪音干扰,该技术可以结合量子相干保护手段,有利于在实际量子处理器物理平台上达到高精度与高效率的量子计算。同时,该技术还可以将量子算法的并行加速特性应用于应用于人工智能领域中,提升人工智能系统的效率与能力,未来有望在较大规模量子处理器上得到应用。(信息来源:中国科技大学)

    28、康奈尔大学研究员发现“代码投毒”攻击

    8月18日消息,康奈尔大学科技校区团队的研究人员发现了一种新型的后门攻击,可操控自然语言建模系统,生成错误的输出并躲避任意可知防御措施。该团队称无需访问原始代码或模型,只需将恶意代码上传到很多企业和程序员经常使用的开源站点即可操纵自然语言建模系统,研究员将其命名为“代码投毒”攻击。这种新型攻击在模型存在或数据收集之前就能提前实施攻击,单次攻击即可影响多个受害者。(信息来源:ZDNet网)

网络安全 网络空间安全 网络攻击 网络安全防护 漏洞挖掘 个人管理 客户信息 汽车安全 信息安全 数据安全 漏洞
撤稿纠错
本作品采用《CC 协议》,转载必须注明作者和本文链接