新闻速览
ㆍ 国家标准《网络安全技术 软件物料清单数据格式》公开征求意见
ㆍ C3安全大会·2024成功举办
ㆍ 美国证券交易委员更新数据安全安全保护规则
ㆍ CISA向联邦机构发布加密DNS实施指南
ㆍ SAP快速扩张或使IT人员陷入一种虚假的安全感
ㆍ CISO对GenAI安全应用的信心正在增强
ㆍ CISA将成立人工智能技术安全应用专项工作组
ㆍ Quick Assist可被利用进行勒索软件攻击
ㆍ Wi-Fi标准中的缺陷可能导致SSID混淆攻击
ㆍ 澳大利亚电子处方公司MediSecure遭遇大规模勒索软件攻击
ㆍ 英特尔利用黑客马拉松竞赛活动来解决硬件缺陷问题
特别关注
国家标准《网络安全技术 软件物料清单数据格式》公开征求意见
日前,全国网络安全标准化技术委员会归口的国家标准《网络安全技术 软件物料清单数据格式》现已形成标准征求意见稿。根据《全国网络安全标准化技术委员会标准制修订工作程序》要求,全国网络安全标准化技术委员会秘书处将该项标准征求意见稿面向社会公开征求意见。标准相关材料已发布在网安标委网站(网址:https://www.tc260.org.cn/front/bzzqyjList.html?start=0&length=10),如有意见或建议请于2024年7月15日24:00前反馈秘书处。
原文链接:
https://www.tc260.org.cn/front/postDetail.html?id=20240301155825
C3安全大会·2024成功举办
5月18日,C3安全大会·2024在南京成功举办。本届大会以“安全AI未来”为主题,集众智汇众力,旨在探索AI+时代的数字安全之道,确保技术成为孵化新质生产力、开拓高质量增长新赛道进程中的正向力量。
C3安全大会创立于2016年,是行业中具有较高规格的网络安全盛会之一,为推动产业进步、加速各垂直行业数字化转型、助力新质生产力发展提供了可信赖的沟通与分享平台。中央网信办网络安全协调局二级巡视员张胜在开幕致辞中强调指出:当前,推动人工智能与网络安全的深度融合,一是要加强网络安全人才与创新,构建网络安全教育技术产业融合发展良性生态;二是要重视数据资源的建设与共享;三是要强化国际影响力,推动我国人工智能治理主张理念在国际社会深入人心。
中国工程院院士、清华大学智能产业研究院(AIR) 院长张亚勤在演讲中表示:新的人工智能是信息智能、物理智能和生物智能的融合。AI大模型的能力极其强大,未来可能创造出很多发展机遇,但也蕴含着不少潜在风险——例如信息智能的风险、AI本身隐含的安全风险以及可控性、可信性、边界等问题;例如幻觉的问题、深度伪造的问题,或是当大模型技术的应用范围拓展至更广更深的领域时的失控和被利用的风险等。他建议,在推动大模型相关技术进步的同时,也应未雨绸缪地做好防范工作,确保技术向善。
亚信联合创始人田溯宁在致辞中也表示:“在新的时代,数据正在成为最重要的资产,卫星互联网和5G网络正在成为‘数据生产网络’:通感一体网络将源源不断地生产出多样、多维的数据,大模型如同现代冶炼厂,在铸造出这个时代的‘钢铁’。操作系统、行业大模型与‘云网安’共同构成新时代数据的基础设施,应用开发者们在建造征服数据海洋的战舰。距离C3安全大会·2024的会场不到100公里处,600年前,郑和的大航海队伍由此启程。今天我们又将在这里再次出发:让我们重拾创业热情、坚守初心,牢记‘安全数字世界’的使命,面向波涛汹涌的数据海洋,一道开启中国人的数字大航海时代。”
大会上,网络勒索响应与治理中心暨猎狐计划正式启动。中心由亚信安全、中国联通江苏分公司、四川省数字产业有限责任公司、人民数据管理有限公司联合发起,发挥各方优势,以防范网络勒索的持续恶意攻击为目标,建立区域性和行业性的网络勒索响应与治理中心,形成常态化一体化的网络勒索安全运营。通过事前、事中、事后三个阶段完善处理“银狐”木马,这一计划的实施将为有效打击网络勒索行为提供更加坚实的有力保障。
原文链接:
https://mp.weixin.qq.com/s/82WygnOU5X6R8IHngFVv8g
热点观察
美国证券交易委员更新数据安全安全保护规则
据路透社报道,日前,华尔街的最高监管机构美国证券交易委员会(SEC)表示,它已更新规定,以确保投资公司和其他机构能够发现和应对黑客窃取客户数据的行为。这项变更获得了SEC五名成员的一致通过,并适用于2000年首次采用的规定。
SEC主席加里·根斯勒在一份声明中表示,在过去的24年里,数据泄露的性质、规模和影响发生了巨大变化,这需要规定与时俱进。根据新规定,券商、投资公司、注册投资顾问和其他机构将被要求建立事件应对计划,以检测、应对和恢复从客户个人数据中发生的网络盗窃,并通知那些可能未经授权访问其信息的个人。根据SEC的规定,受影响的公司需要在这些变化出现在《联邦公报》上后的18个月到两年内达到合规水平。
原文链接:
https://www.reuters.com/technology/cybersecurity/us-sec-updates-customer-data-hacking-rules-wall-street-2024-05-16/
CISA向联邦机构发布加密DNS实施指南
日前,国土安全与基础设施安全局(CISA)发布了《加密域名系统(DNS)实施指南》,以满足联邦文职机构有关DNS流量加密的要求,并增强其IT网络的网络安全姿态,以符合管理和预算办公室(OMB)的备忘录M-22-09《将美国政府引向零信任网络安全原则》和国家网络安全战略。
传统上,DNS协议并不支持确保信息请求或响应的机密性、完整性或真实性的方法。M-22-09明确要求机构在技术上可行的情况下加密DNS流量,而法定要求机构使用CISA的出站DNS解析功能。本指南将帮助机构实施目前可行的技术能力,包括机构网络、DNS基础设施、本地端点、云部署以及漫游、流动和移动端点。尽管本指南面向联邦机构,但鼓励所有组织对其进行审查,作为适当和适用的步骤的基准,以推进其自身的零信任努力
原文链接:
https://www.cisa.gov/news-events/news/cisa-publishes-encrypted-dns-implementation-guidance-federal-agencies
SAP快速扩张或使IT人员陷入一种虚假的安全感
据悉,《财富》100 强企业中有99家都在使用SAP平台,在全球拥有超过2.8亿云用户。而安全研究人员表示:由于SAP系统通过超大规模提供商、软件即服务 (SaaS) 模型以及本地和基于云的系统进行大规模扩展,因此许多组织需要帮助来识别新的攻击媒介。SAP的扩张使许多IT人员陷入了一种虚假的安全感,认为保护公司应用程序的责任在于其他人。幸运的是,目前有多种方法可以强化SAP实施以抵御恶意行为攻击者。
原文链接:
https://www.darkreading.com/application-security/a-comprehensive-approach-to-sap-security
CISO对GenAI安全应用的信心正在增强
根据专业协会ClubCISO领导的一项新调查,首席信息安全官(CISO)对于组织内部安全使用生成式人工智能(AI)的信心正在增强。该调查显示,在生成式AI进入主流两年后,近一半的CISO(45%)表示他们的组织现在允许在特定应用中使用某些生成式AI工具。 与此同时,同样比例的受访者表示,最终决定使用哪种AI的权力掌握在CISO办公室手中。这种监督权限赋予了CISO对于AI风险的信心。超过一半的受访者(54%)表示他们了解AI工具在使用或共享输入数据时的情况,而近六成(57%)的人表示他们的员工对于使用AI工具所涉及的数据保护和知识产权问题有意识并持谨慎态度。此外,只有少数CISO(9%)表示他们没有关于使用AI工具的政策或者已经确定了相应方向。总体而言,一半的受访者(51%)认为生成式AI是一种积极的力量和安全增强器,而只有25%的人认为其对组织安全构成风险。
原文链接:
https://www.infosecurity-magazine.com/news/ciso-confidence-ai-security-grows/
CISA将成立人工智能技术安全应用专项工作组
据FedScoop报道,路易斯安那州民主党众议员特洛伊·卡特(Troy Carter)和密西西比州民主党众议员贝尼·汤普森(Bennie Thompson)日前提出了《CISA保护人工智能工作组法案》,敦促网络安全和基础设施保护局(CISA)成立一个内部任务小组,专注处理与人工智能相关的安全问题。该法案旨在借助CISA的专业知识,改善人工智能在关键领域的设计、开发、采用和部署。
该提案建议CISA局长在议案通过后的一年内组建由该机构办事处和部门人员组成的任务小组,并负责协调CISA在总统乔·拜登签署的人工智能行政命令中明确的指令。CISA人工智能小组还将致力于评估与人工智能相关的机构安全计划、指导方针和项目,并在必要时提出变更建议。卡特和汤普森还表示,《CISA保障人工智能任务小组法案》预计将加强美国的网络安全框架,抵御新兴威胁,并确保人工智能技术的推进。
原文链接:
https://www.scmagazine.com/brief/house-bill-orders-cisa-to-create-task-force-for-ai-concerns
网络攻击
Quick Assist可被利用进行勒索软件攻击
近日,安全研究人员发现了一个名为Storm-1811的网络犯罪团伙,他们利用Windows的客户端管理工具Quick Assist进行社会工程攻击,以部署勒索软件。
根据微软发表的技术博文,自2024年4月中旬以来,Storm-1811团伙通过语音钓鱼的方式发起攻击。他们冒充微软支持或IT专业人员等可信实体,诱使用户授予他们访问设备的权限。这种欺骗手法使得恶意行为者能够建立与用户的连接,并最终部署恶意工具和勒索软件。
Quick Assist是用于远程故障排除的工具,但恶意行为者利用其漏洞,滥用其功能,获取用户的信任和设备访问权限。这种滥用行为是网络安全领域中技术支持诈骗的一部分,骗子们利用用户对技术支持的信任来谋取非法利益。
微软正在积极调查Quick Assist的滥用情况,并采取措施增强应用程序的透明度和信任。建议用户学会辨别和报告技术支持诈骗,以及在不使用时阻止或卸载Quick Assist等远程管理工具。然而,由于Quick Assist在Windows 11设备上默认安装,这给用户和组织带来了固有的风险,因此需要提高警觉和警惕。
原文链接:
https://www.infosecurity-magazine.com/news/windows-quick-assist-exploited/
Wi-Fi标准中的缺陷可能导致SSID混淆攻击
近日,比利时鲁汶大学的研究人员发现了IEEE 802.11 Wi-Fi标准中的一个基本设计缺陷,可能使攻击者能够欺骗用户连接到不安全的网络。这项研究的结果表明,存在一种称为SSID混淆攻击的新型威胁。这个缺陷被定为CVE-2023-52424,影响所有操作系统上的Wi-Fi客户端,包括广泛部署的WPA3协议、WEP和802.11X/EAP的网络。研究人员指出,这个问题源于Wi-Fi标准在客户端连接时未要求对网络的服务集标识符(SSID)进行身份验证,SSID用于唯一标识无线访问点和网络。
攻击者可以利用这个缺陷设置一个伪造的接入点,将其SSID伪装成一个受信任网络的SSID,并欺骗受害者连接到这个不太可信的网络。这种攻击可能会给受害者带来更高的流量拦截和篡改风险。然而,这种攻击只在特定条件下生效。例如,当一个组织拥有两个使用相同认证凭据的Wi-Fi网络时,攻击者才能成功进行SSID混淆攻击。这种情况可能在一个环境中存在,其中有一个2.4 GHz网络和一个独立的5 GHz频段,每个频段有不同的SSID但相同的身份验证凭据。
为了减轻这种威胁,研究人员建议更新Wi-Fi标准,要求对SSID进行身份验证,以防止攻击者利用这个缺陷。其次,加强对接入点定期发送的信标的保护,以便连接的客户端可以检测到SSID的变化。此外,个人和组织还应避免在不同的SSID之间重复使用凭据,以提高安全性。
原文链接:
https://www.darkreading.com/endpoint-security/flaw-in-wi-fi-standard-can-enable-ssid-confusion-attacks
澳大利亚电子处方公司MediSecure遭遇大规模勒索软件攻击
近日,澳大利亚的电子处方提供商MediSecure遭遇了一次据信源自第三方供应商的大规模勒索软件数据泄露攻击,导致其网站和电话线路被关闭。虽然对个人和健康信息的影响尚不清楚,但该公司已经采取了措施来减轻潜在的影响。MediSecure提供的电子处方服务已经在澳大利亚运营多年,通过私人和政府支持的系统发放数百万份处方。据悉,此次事件是由于该公司的第三方供应商受到了网络安全事件的影响。MediSecure已向澳大利亚信息专员办公室和国家网络安全协调员报告了此事,并与相关机构合作,以减轻该公司面临的网络攻击带来的影响。
原文链接:
https://www.bleepingcomputer.com/news/security/medisecure-e-script-firm-hit-by-large-scale-ransomware-data-breach/#google_vignette
产业动态
英特尔利用黑客马拉松竞赛活动来解决硬件缺陷问题
英特尔(Intel)通过组织黑客马拉松竞赛,如Hack@DAC,来发现和分享硬件漏洞,从而改善芯片的安全性。自2017年首次举办Hack@DAC以来,数千名安全工程师参与其中,发现了许多基于硬件的漏洞,并开发了缓解方法。这一竞赛吸引了来自学术界和行业合作伙伴的安全专业人员,旨在提高对硬件漏洞的认识,并推动更多的检测工具的开发。
由于在硬件安全领域的意识相对较低,英特尔决定通过Hack@DAC等活动在安全研究界引起关注。现在,英特尔正在接受2024年Hack@DAC的参赛作品,并计划于6月在旧金山举行。这一活动的成功促使英特尔与美国德克萨斯州农工大学和德国达姆斯塔特工业大学合作,创建了一个共同框架,用于检测现有硬件漏洞和新漏洞,并在硬件安全领域获得了广泛的认可。此外,英特尔还与MITRE的Common Weakness Enumeration (CWE)团队合作,将焦点放在硬件漏洞上,填补了CWE在硬件漏洞的根本原因分析方面的不足。
原文链接:
https://www.darkreading.com/endpoint-security/intel-harnesses-hackathons-to-tackle-hardware-vulnerabilities