新闻速览
•两部门就《国家网络身份认证公共服务管理办法(征求意见稿)》公开征求意见
•《北京市推动“人工智能+”行动计划(2024-2025年)》发布,明确提出安全保障等措施要求
•第七届自主可控计算机大会举办
•已删除的GitHub代码可被任意访问?微软回应称是特别设计
•法国推出自动化PlugX僵尸木马消杀行动方案
•航班运营服务严重中断,克罗地亚一机场遭受Akira勒索软件攻击
•BIND 9 DNS中存在多个安全缺陷可能触发Dos攻击
•Telerik报告服务器严重缺陷可能被用来执行远程代码
•Mimecast收购Code42强化内部威胁管理和数据丢失预防能力
特别关注
两部门就《国家网络身份认证公共服务管理办法(征求意见稿)》公开征求意见
为强化公民个人信息保护,推进并规范国家网络身份认证公共服务建设应用,加快实施网络可信身份战略,根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《中华人民共和国反电信网络诈骗法》等法律法规,公安部、国家互联网信息办公室等研究起草了《国家网络身份认证公共服务管理办法(征求意见稿)》,现向社会公开征求意见。公众可以通过以下途径和方式提出意见建议:
1. 登录中华人民共和国司法部 中国政府法制信息网(www.moj.gov.cn、www.chinalaw.gov.cn),进入首页主菜单的“立法意见征集”栏目提出意见建议。
2. 通过电子邮件将意见建议发送至:[email protected]或[email protected]。
3. 通过信函将意见建议寄至:北京市东城区东长安街14号公安部,邮编:100741,或北京市西城区车公庄大街11号国家互联网信息办公室,邮编:100044。来信请在信封上注明“国家网络身份认证公共服务管理办法征求意见”。
意见建议反馈截止时间为2024年8月25日。
原文链接:
https://mp.weixin.qq.com/s/rtgOCzg_Dc9DbMBRLi2UdA
《北京市推动“人工智能+”行动计划(2024-2025年)》发布,明确提出安全保障等措施要求
为深入落实国家“人工智能+”战略行动,贯彻实施《北京市加快建设具有全球影响力的人工智能创新策源地实施方案(2023-2025年)》《北京市促进通用人工智能创新发展的若干措施》等文件精神,抓住人工智能大模型技术革新机遇,以应用反哺大模型技术迭代,带动产业发展,加快培育新质生产力,全力打造全球数字经济标杆城市,根据国家和本市有关政策,市发展改革委、市经济和信息化局、市科委中关村管委会联合制定《北京市推动“人工智能+”行动计划(2024-2025年)》(以下简称“《行动计划》”)。
《行动计划》围绕算力、数据、算法、资金、平台、人才等应用发展核心要素及关键环节难点问题,提出6个方面的保障措施。同时,加大安全保障,确保大模型应用合规、安全、可信。具体来说,统筹高质量发展和高水平安全,督促指导大模型企业落实国家关于生成式人工智能服务的法律要求,坚持包容审慎监管原则,加快推动本市大模型按要求上线,编制大模型分级分类管理和安全评测标准,围绕真实场景开展大模型应用质量评估、伦理对齐等方面评测,促进大模型应用安全合规发展。夯实数据安全和个人隐私保障能力,完善面向大模型行业的数据漏洞、隐私泄露等风险监测体系,支持权威机构开发大模型风险监测平台,形成“安全态势感知+风险评估预警”运作机制。压实大模型服务开发者、使用方的主体责任,引导各方依法依规使用生成式人工智能技术,注意保护个人隐私、知识产权和秘密信息,促进人工智能产业向上向善发展。
原文链接:
https://mp.weixin.qq.com/s/9TzzstBXrrKMjPmfk6Vh2A
第七届自主可控计算机大会举办
7月25日-26日,由中国计算机学会主办,中国计算机学会抗恶劣环境计算机专委会、西安微电子技术研究所、中国航天科工集团第二研究院七〇六所联合承办的“2024(第七届)CCF自主可控计算机大会”在陕西西安成功举办。
本次会议以“信息安全筑基·智能计算赋能·助力新质生产力”为主题,设置开幕主论坛、主旨论坛、三大专题分论坛,并同步开设成果展览,特邀各领域有关领导和专家参会指导,吸引来自全国政产学研用各界1000余名嘉宾齐聚现场。
在自主软硬件创新发展、智能计算技术、关键信息基础设施自主安全3个平行分论坛上,行业领军代表性科研院所、生态厂商、中央企业和高校分享了各领域在自主软硬件研发、人工智能应用、关键信息基础设施安全保护、行业数字化转型等方面的创新实践和研究成果。
中国工程院倪光南院士在大会发表了主题演讲。他表示:“中国是开源大国,但还不是开源强国,想要在全球开源领域中发挥自己应有的作用,还必须加大对开源的投入,发展具有国际影响力的开源基金会、开源社区和开源项目,尤其要积极推进RISC-V生态构建”。
原文链接:
https://mp.weixin.qq.com/s/liRRls8s5TknmFS79sBDsQ
热点观察
已删除的GitHub代码可被任意访问?微软回应称是特别设计
日前,Truffle Security研究人员发现,即使在GitHub上删除了代码仓库,包括公开或私有的,这些代码及其分叉副本的数据仍然可以被访问。安全研究员Joe Leon提出了一个新术语“跨分叉对象引用”(CFOR),描述这种一个代码仓库的分叉可以访问另一分叉的敏感数据的情况,包括那些来自私有及已删除分叉的数据。研究人员通过创建和分叉代码仓库,展示了即便删除了初始仓库,未同步的数据依然可以通过分叉访问。GitHub的这一特性在社交媒体和论坛上引发了激烈讨论,许多用户对此表示担忧,并呼吁GitHub采取措施解决这一问题。然而,GitHub的母公司微软对此回应称,这是一个特别设计的“特性”,并非BUG。GitHub方面表示,这一设计符合官方文档中的描述,且效果也完全符合预期。
原文链接:
https://hackread.com/anyone-access-deleted-private-github-repository-data/
法国推出自动化PlugX僵尸木马消杀行动方案
日前,法国国家宪兵部队数字犯罪打击中心(C3N)在法国网络安全公司Sekoia的协助下,与欧洲刑警组织联合推出了一个“消毒方案”,旨在法国境内自动清除受感染设备中的PlugX僵尸网络木马。该行动预计将持续数月。
PlugX是一种远程访问木马。Sekoia此前曾报告,PlugX恶意软件的一个变种通过USB闪存驱动器传播,并形成了一个僵尸网络,感染了近250万台设备。后来制作者不再控制这个网络,Sekoia接管了这个僵尸网络的命令和控制服务器,阻止了恶意行为者对感染设备发出指令的能力。但恶意软件仍然活跃在受感染的系统中,存在被恶意行为者重新利用的风险。
为此,Sekoia提出了一种清理机制,堪称“自杀式”消毒方案,即通过向受感染设备推送自定义的PlugX插件,发送自删除命令来清除感染。目前尚不清楚Sekoia的解决方案实际效益如何,包括从USB驱动器中清除恶意软件的能力。然而,自动清理USB驱动器可能会损坏媒体并阻止对合法文件的访问,存在一定的风险。而且这种方法可能导致法律问题,Sekoia因此选择与执法机构共享该方案。
原文链接:
https://www.bleepingcomputer.com/news/security/french-police-push-plugx-malware-self-destruct-payload-to-clean-pcs/
网络攻击
航班运营服务严重中断,克罗地亚一机场遭受Akira勒索软件攻击
近日,克罗地亚斯普利特机场(Split Airport)遭到Akira勒索软件团伙的攻击,导致机场运营受到影响,航班和乘客服务出现严重中断。机场工作人员采取手动操作来减轻影响,并在IT人员的努力下恢复了大部分的数字运营,但官方网站仍无法正常访问。机场领导拒绝与攻击者谈判或支付赎金,这与网络安全专家和执法机构的建议一致。
Akira勒索软件团伙已活跃一年多,影响了全球众多组织。在这种情况下,受影响的组织、执法部门和网络安全专家之间的合作至关重要,以减轻即时影响、彻底调查事件,并加强防御以防止未来的攻击。
原文链接:
https://www.cybersecurity-insiders.com/akira-ransomware-gang-targets-split-airport-of-croatia/
BIND 9 DNS中存在多个安全缺陷可能触发Dos攻击
近日,研究人员发现Berkeley Internet Name Domain (BIND) 9域名系统(DNS)软件套件中存在多个安全漏洞,可能被利用来触发拒绝服务(DoS)条件,导致命名实例意外终止,可用的CPU资源耗尽,查询处理速度降低100倍,服务器无法响应。这些缺陷分别是:
CVE-2024-4076(CVSS评分:7.5)—由于逻辑错误,触发提供陈旧数据并需要在本地权威区域数据中进行查找,导致断言失败;
CVE-2024-1975(CVSS评分:7.5)—验证使用SIG(0)协议签名的DNS消息可能导致过多的CPU负载,从而导致拒绝服务条件;
CVE-2024-1737(CVSS评分:7.5)—为给定的所有者名称构造过多的资源记录类型,这会导致数据库处理速度变慢;
CVE-2024-0760(CVSS评分:7.5)—恶意DNS客户端发送大量查询但从不读取响应,可能导致服务器对其他客户端响应缓慢或根本不响应。
美国网络安全与基础设施安全局(CISA)在一份公告中提醒:“网络威胁行为者可以利用其中一个缺陷来发动拒绝服务攻击。”但目前尚无证据表明这些安全缺陷洞已在野外被利用。
互联网系统协会(ISC)已在本月早些时候发布的BIND 9版本的9.18.28、9.20.0和9.18.28-S1中打了补丁以解决这些缺陷。
原文链接:
https://thehackernews.com/2024/07/cisa-warns-of-exploitable.html
Telerik报告服务器严重缺陷可能被用来执行远程代码
近日,研究人员在报告管理平台Telerik报告服务器上发现了一个严重的安全缺陷,可能被攻击者在受影响的系统上执行远程代码。
该漏洞被标识为CVE-2024-6327,CVSS评分为9.9分。该漏洞影响Telerik报告服务器的早期版本,可能导致攻击者远程在受影响的系统上执行任意代码,获取敏感信息、篡改数据、破坏系统功能或进行其他恶意活动。
为此,该产品供应商Progress Software已发布了一个更新,并称目前该更新是唯一全面解决该缺陷的解决方案。强烈建议所有用户升级到Report Server 2024 Q2 (10.1.24.709)版本或更高版本。对于无法立即进行更新的用户,建议将报告服务器应用程序池的用户帐户更改为具有有限权限的帐户。
原文链接:
https://www.cybersecurity-insiders.com/akira-ransomware-gang-targets-split-airport-of-croatia/
产业动态
Mimecast收购Code42强化内部威胁管理和数据丢失预防能力
近日,全球人为风险管理平台Mimecast宣布收购内部威胁管理和数据丢失预防公司Code42,以强化内部威胁管理和数据丢失预防能力。Code42在内部风险管理领域享有美誉,其解决方案已获得FEDRAMP授权,并可配置以符合GDPR、HIPAA、PCI等框架的合规要求。
Mimecast平台通过提供完整的可见性和战略洞察力,帮助客户干预并防止由内部风险和数据外泄引起的巨额财产损失。这次收购将使Mimecast能够提供综合的内部威胁管理和数据丢失预防解决方案,帮助企业保护关键数据免受暴露、丢失、泄露和盗窃,同时加快事件响应效率。
据悉,Mimecast将继续支持Code42的现有客户群,并计划在未来几个月内将Code42的能力整合到其人为风险管理平台中。这次收购不仅丰富了Mimecast的产品组合,还强化了其通过先进、集成的安全解决方案帮助企业应对现代威胁环境的承诺。
原文链接:
https://thecyberexpress.com/mimecast-acquires-code42/