安全态势周刊

News information

六方云 安全态势周刊丨第243期

<<返回

2023年04月03日 16:00

01.

业界动态


1、四部门发布《关于开展网络安全服务认证工作的实施意见》

近日,国家市场监督管理总局、中央网络安全和信息化委员会办公室、工业和信息化部、公安部联合发布《关于开展网络安全服务认证工作的实施意见》

https://www.freebuf.com/news/362285.html


2、美国军方正在加速实施零信任

2023年3月,拜登政府发布新版《国家网络安全战略》,提出了加强网络防御的最新举措和构建所谓数字生态系统,进一步促进政府部门广泛采用零信任体系。

https://www.freebuf.com/news/362244.html


3、1500 万个面向公众的服务容易受到 CISA KEV 漏洞的影响

超过 1500 万个面向公众的服务容易受到 CISA 的 KEV(已知可利用漏洞)目录中列出漏洞影响,该列表包括了896个漏洞。

https://www.bleepingcomputer.com/news/security/15-million-public-facing-services-vulnerable-to-cisa-kev-flaws/


4、微软推出 GPT-4 人工智能安全保障工具,为防御者提供支持

微软2023.03.28推出了有限预览版的安全Copilot,标志着其继续寻求嵌入面向AI的功能,试图提供“机器速度和规模的端到端防御”。

https://thehackernews.com/2023/03/microsoft-introduces-gpt-4-ai-powered.html



02.

关键基础设施



1、黑客入侵英国养老金保护基金,窃取员工数据

英国养老金保护基金的一位发言人表示,黑客利用第三方数据传输服务,窃取了该基金部分员工的数据。

https://cn.dailyeconomic.com/tech/2023/03/28/26299.html


2、宝洁公司确认 GoAnywhere 漏洞泄露

美国消费品巨头宝洁公司 (P&G) 证实,其旗下一家公司受到了Fortra的GoAnywhere漏洞的影响。

https://cybernews.com/news/procter-gamble-goanywhere-bug-breach-clop/


3、印度制药公司遭网络攻击,ALPHV勒索软件声称对此负责

印度最著名的制药公司之一Sun Pharmaceutical Industries Ltd.遭受了重大数据泄露。该公司证实,IT系统在Sun Pharma网络攻击中受到影响。

https://thecyberexpress.com/sun-pharma-cyber-attack/



03.

安全事件



1、澳大利亚赌场皇冠度假集团披露遭受Clop勒索软件攻击后,发生数据泄露

澳大利亚赌场巨头皇冠度假酒店披露了Cl0p勒索软件集团攻击后的数据泄露。此外,该威胁组织声称利用Fortra的GoAnywhere MFT安全文件传输工具中的零日漏洞(CVE-2023-0669)窃取了130多个组织的敏感数据。

https://securityaffairs.com/144193/data-breach/crown-resorts-clop-ransomware.html


2、宝马表示Play勒索软件攻击只袭击了法国当地的经销商

宝马正在淡化黑客本周声称的勒索软件攻击,称它只影响了法国当地的一家经销商。宝马发言人称,宝马集团的专家正在持续监控情况,并没有发现宝马集团或宝马法国系统内有任何入侵。

https://therecord.media/bmw-says-play-ransomware-only-hit-local-dealership


3、LockBit泄露了从韩国国家税务局窃取的数据

2023年3月29日,The Lock Bit勒索软件团伙宣布入侵韩国国家税务局。该组织将韩国机构添加到其Tor泄漏站点,并宣布在2023年4月1日之前发布被盗数据,以防未支付赎金。

https://securityaffairs.com/144342/cyber-crime/lockbit-south-korean-national-tax-service.html


4、丰田汽车意大利公司意外泄露数据长达一年半

丰田意大利公司意外泄露了一年半多的敏感数据,使攻击者能够对其在意大利的庞大客户群发起网络钓鱼活动。

https://cybernews.com/security/toyota-customer-data-leak/


5、印度警方指控盗窃1.68亿公民数据的团伙

印度警方逮捕了一个涉嫌犯罪团伙的六名成员,该团伙出售了1.68亿印度公民的个人数据,其中包括国防人员和政府雇员。

https://www.inforisktoday.com/indian-police-charge-gang-stealing-168m-citizens-data-a-21534



04.

漏洞事件



1、WiFi协议曝安全漏洞,影响Linux、Android和iOS

来自美国东北大学和鲁汶大学的学者披露了一组IEEE 802.11 Wi-Fi协议标准的一个基础设计漏洞,影响到运行Linux、FreeBSD、Android和iOS的各种设备。研究人员在本周发表的一篇论文中披露,利用这一漏洞可以劫持TCP连接、拦截客户端和web流量。主要手段是利用终端设备的电源节能机制,诱使接入点泄露数据帧,或使用全零密钥对其进行加密。

https://www.freebuf.com/news/362195.html


2、QNAP发布更新,修复其NAS设备中的Sudo提权漏洞

据3月29日报道,QNAP修复了基于Linux的网络附加存储(NAS)设备中的Sudo提权漏洞。该漏洞追踪为CVE-2023-22809,被描述为“在Sudo1.9.12p1版本中使用sudoedit时绕过sudoers策略”。成功利用该漏洞,攻击者可以通过将任意条目添加到要处理的文件列表后编辑未经授权的文件来提升权限。该公司已经解决了QTS和QuTS hero平台中的漏洞,并在努力提供QuTScloud和QVP安全更新。

https://redqueen.tj-un.com/InfoDetails.html?id=45952c1ccd934e76ae3816abdf4b5242



05.

政策监管



1、四部门联合发布《关于开展网络安全服务认证工作的实施意见》

为推进网络安全服务认证体系建设,提升网络安全服务机构能力水平和服务质量,根据《网络安全法》《认证认可条例》,市场监管总局、中央网信办、工业和信息化部、公安部就开展国家统一推行的网络安全服务认证工作提出意见。


意见中提到网络安全服务认证目录由市场监管总局会同中央网信办、工业和信息化部、公安部根据市场需求和产业发展状况确定并适时调整,现阶段包括检测评估、安全运维、安全咨询和等级保护测评等服务类别。认证规则和认证标志由市场监管总局征求中央网信办、工业和信息化部、公安部意见后另行制定发布。

http://www.cac.gov.cn/2023-03/29/c_1681731020460560.htm

 

2、市场监管总局公布《互联网广告管理办法》

为切实维护广告市场秩序,保护消费者合法权益,推动互联网广告业持续健康发展,近日,市场监管总局修订发布了《互联网广告管理办法》(以下简称《办法》),《办法》将于2023年5月1日起施行。


《办法》适应我国互联网广告业发展新特点、新趋势、新要求,对原《互联网广告管理暂行办法》进行修改完善,创新监管规则,进一步细化互联网广告相关经营主体责任,明确行为规范,强化监管措施,对新形势下维护互联网广告市场秩序,助力数字经济规范健康持续发展具有重要意义。

https://gkml.samr.gov.cn/nsjg/fgs/202303/t20230320_353974.html



06.

安全标准



1、《国家汽车芯片标准体系建设指南(2023版)》(征求意见稿)发布

为系统部署和科学规划汽车芯片标准化工作,引领和规范汽车芯片技术研发和匹配应用,推动汽车芯片产业的健康可持续发展,工业和信息化部科技司组织有关单位编制完成了《国家汽车芯片标准体系建设指南(2023版)》(征求意见稿)


意见稿中提到汽车芯片标准体系技术结构,根据标准内容分为基础通用、产品与技术应用和匹配试验三类标准:基础通用类标准包含汽车芯片的共性要求;产品与技术应用类标准基于各类汽车芯片产品技术和应用特点分为多个技术方向,结合我国汽车芯片产业成熟度和发展趋势确定标准制定需求,制定相应标准;匹配试验类标准包含芯片与系统和整车两个层级的匹配试验验证。三类标准共同实现不同应用场景下汽车关键芯片从器件-模块-系统-整车的技术标准全覆盖

https://www.miit.gov.cn/gzcy/yjzj/art/2023/art_51d111baad0d4bf8980f29bc2173b01d.html


2、《区块链和分布式记账技术标准体系建设指南(2023版)》(征求意见稿)发布

区块链和分布式记账技术标准体系结构包括A-基础、B-技术和平台、C-应用和服务、D-开发运营、E-安全保障五个部分,主要反映标准体系各部分的组成关系。

https://www.miit.gov.cn/gzcy/yjzj/art/2023/art_e0217500160748019de8590225400065.html


3、三部门颁布数据安全工程技术人员国家职业标准

根据《中华人民共和国劳动法》《中华人民共和国职业教育法》有关规定,人力资源社会保障部、中央网信办、工业和信息化部共同制定了数据安全工程技术人员国家职业标准。


该《标准》在充分考虑产业结构变化、市场需求的发展和科技进步对数据安全工程技术人员专业要求的基础上,以客观反映数据安全发展水平及从业人员的专业能力要求为目标,对数据安全工程从业者的专业活动内容进行规范细致描述,明确了各等级专业技术人员的工作领域、工作内容以及知识水平、专业能力和实践要求。《标准》提到依据有关规定将本职业分为初级、中级、高级三个等级,包括职业概况、基本要求、工作要求、权重表和附录五个方面内容。

http://www.mohrss.gov.cn/xxgk2020/fdzdgknr/qt/gztz/202303/t20230327_497436.html


4、两部门颁布密码工程技术人员国家职业标准

近日,人力资源社会保障部联合国家密码管理局发布《密码工程技术人员国家职业标准(2023年版)》 (以下简称 《标准》)。该《标准》为首次制定, 依据有关规定将本职业分为初级、 中级、 高级三个等级, 包括职业概况、 基本要求、 工作要求、 权重表四个方面的内容。

http://www.mohrss.gov.cn/xxgk2020/fdzdgknr/qt/gztz/202303/t20230327_497435.html