5月11日，星期四，您好！中科汇能与您分享信息安全快讯：

隐私保护与数据安全的区别可归结为：数据安全是保护数据免受未授权访问或者恶意攻击，而隐私保护重点在于负责任地使用个人数据。

数据安全主要侧重于防止漏洞或泄漏事故导致未经授权访问数据。为了实现这一目标，公司使用工具和技术，如防火墙、用户身份验证、网络访问限制和内部安全措施来阻止此类访问。

隐私保护关注的是确保组织合规地收集、存储、传输和处理个人数据。隐私保护尤其需要保证透明度，在收集数据之前告知个人或者根据法律要求征得同意。

据消息，在成功完成零信任网络访问架构试点的两个月之后，美国国防信息系统局（DISA）正在制定一项采购策略，希望迅速将其转化为完整项目。

DISA局长罗伯特·斯金纳中在近日的武装部队通讯与电子协会（AFCEA）TechNet网络会议上表示，“雷霆穹顶”（Thunderdome）零信任试点计划已经在3月1日成功完成，目前该局正在努力扩大项目规模。

近日，美国联邦调查局和国际当局宣布，他们已成功拆除由克里姆林宫支持的一个臭名昭著的黑客组织使用了二十年的恶意软件植入程序。

美国司法部表示，它于近日获得法院授权，允许美国执法部门清除被称为“Snake”的恶意代码，该恶意软件与俄罗斯Turla黑客组织相关联 。Turla是一个长期隶属于俄罗斯联邦安全局 (FSB) 的组织。调查人员追踪该组织的活动到俄罗斯的一个 FSB 设施。

“我们认为这是他们的首要间谍工具。”一位联邦调查局高级官员在电话会议上告诉记者，并指出它已被部署用于对付北约国家和其他国家，目的是窃取美国的敏感信息。

医院技术巨头NextGen Healthcare表示，黑客在3月份的一次网络攻击中获取了超过100万人的个人信息。这家价值数十亿美元的医疗保健公司为美国、英国、印度和加拿大的数百家最大的医院和诊所生产电子健康记录(EHR)软件和实践管理系统。

该公司最近几天开始通知患者，从2023年3 月29日到2023年4月14日，他们网络中的黑客访问了1,049,375人的姓名、出生日期、地址和社会安全号码。该公司没有回应关于数据泄露是否与BlackCat/AlphV勒索软件团伙在1月份进行的勒索软件攻击有关的评论请求。

西门子和施耐德电气针对2023年5月发布的周二补丁公告解决了在其产品中发现的几十个漏洞。西门子发布了六个新公告，描述了26个漏洞：其中，Siveillance Video产品中的两个严重缺陷可被用于经过身份验证的远程代码执行。

Scalance本地处理引擎(LPE)受到1个严重问题和4个低严重性问题的影响，可以利用这些缺陷以提升的权限访问底层操作系统、访问数据并导致DoS条件。Sinec网络管理系统使用的第三方组件中的几个严重和高严重性漏洞已被修补。

The Hacker News 网站披露，网络安全研究人员发现一种名为 CACTUS 的新型勒索软件正在利用 VPN 设备中的漏洞，对大型商业实体进行网络攻击。

Kroll 公司在与 The Hacker News 分享的一份报告中表示 CACTUS 一旦进入受害者网络系统，就开始尝试枚举本地帐户、网络用户帐户以及可访问的端点，创建新用户帐户，随后利用自定义脚本通过预定任务自动部署和“引爆”勒索软件加密器。

据消息，美国白宫在近日宣布，OpenAI、谷歌、Antrhopic、Hugging Face、微软、英伟达与Stability AI等顶尖人工智能提供商，将在DEF CON 31上共同参与对他们的生成式人工智能系统的公开安全评估。DEF CON是每年8月在拉斯维加斯召开的黑客大会，此次安全竞赛由人工智能黑客社区AI Village主办。

自去年开始，ChatGPT等大语言模型（LLM）迅速成为加快写作和交流任务的流行方式，但官方承认这些模型中也存在固有风险。混淆、越狱和偏见等问题给安全专业人士和公众带来了挑战。正因为如此，白宫科学、技术和政策办公室才支持对这些新的生成式AI模型进行极限测试。

BlackBerry研究团队近日发布报告称，印度多产的SideWinder高级持续威胁组织(APT)正使用使用多态性技术，攻击巴基斯坦政府官员和在土耳其的个人。

报告指出，该活动的第一阶段使用针对巴基斯坦目标的服务器端多态攻击，而今年早些时候发现的后期阶段使用网络钓鱼策略向受害者发送恶意引诱文件。

不过值得注意的是，APT并没有在文档中使用恶意宏来投放恶意软件——当文档被用作诱饵时通常就是这种情况——而是利用CVE- 2017-0199漏洞来传递有效负载。

为应对不断增长的软件供应链安全事件，美国政府启动大规模网络安全计划，首个措施就是颁布白宫行政令14028，旨在改进国家网络安全状况，进而促成 NIST 软件安全开发框架安全开发最佳实践指南的产生。

最近，美国颁布了《国家网络安全战略》，为软件安全责任开设先例，旨在使软件厂商为因可防御的安全漏洞而导致的损失担责，并且免于那些能够展示遵照软件安全开发实践的组织机构担责。