新闻速览

•《网络安全标准实践指南——敏感个人信息识别指南》正式发布

•CSTIS就防范新型勒索病毒Cicada3301发布风险提示

•这次是对讲机！黎巴嫩再次发生移动通讯设备群体爆炸事件

•CISA推出FOCAL计划，聚焦5大关键网络安全防护领域

•AT&T将就第三方数据泄露支付9226万元和解金

•macOS日历应用中发现零点击漏洞，或导致iCloud照片被窃取

•谷歌云平台被曝存严重远程执行漏洞，影响数百万台服务器

•SentinelOne与联想达成合作，将为PC设备嵌入AI安全防护能力

•Zscaler与CrowdStrike联合推出AI驱动的零信任网络安全集成方案

特别关注

《网络安全标准实践指南——敏感个人信息识别指南》正式发布

为指导各相关组织开展敏感个人信息识别等工作，全国网络安全标准化技术委员会秘书处组织编制了《网络安全标准实践指南——敏感个人信息识别指南》（以下简称《实践指南》），旨在围绕网络安全法律法规政策、标准、网络安全热点和事件等主题，宣传网络安全相关标准及知识，提供标准化实践指引。9月18日，《网络安全标准实践指南——敏感个人信息识别指南》正式发布。

《实践指南》给出了敏感个人信息识别规则以及常见敏感个人信息类别和示例，可用于指导各组织识别敏感个人信息，也可为敏感个人信息处理和保护工作提供参考。

相关链接：

CSTIS就防范新型勒索病毒Cicada3301发布风险提示

8月27日，工业和信息化部网络安全威胁与漏洞信息共享平台（CSTIS）发布《关于防范新型勒索病毒Cicada3301的风险提示》，指出新型勒索病毒Cicada3301正在针对中小型企业发起攻击，可能导致数据窃取和业务中断等安全风险。

 Cicada3301是一种用Rust编写的新型勒索病毒，其使用ChaCha20算法对文件加密，最早发现于2024年6月。该勒索病毒一般通过网络钓鱼、漏洞利用、供应链攻击或僵尸网络等方式渗透目标系统，并在后台静默运行，采用间歇性加密和修改系统日志等方式来规避检测。在实施勒索攻击过程中，其通常会评估加密重要文件，通过窃取敏感数据以实施双重勒索，并采取停止关键服务、删除快照、修改配置等方式增加恢复难度。遭受攻击后，其通过名为“RECOVER-[扩展名]-DATA.txt”的文件要求支付赎金以换取解密密钥。

CSTIS建议相关单位和用户立即组织排查，及时更新防病毒软件，实施全盘病毒查杀，警惕来源不明的文件或链接，并通过保持软件更新，及时修复安全漏洞，定期备份数据等措施，防范网络攻击风险。

原文链接：

热点观察

这次是对讲机！黎巴嫩再次发生移动通讯设备群体爆炸事件

据央视新闻消息，继9月17日大规模寻呼机爆炸事件造成12人死亡、约2800人受伤后，当地时间9月18日下午，包括首都贝鲁特南郊、贝卡谷地在内的黎巴嫩多地再次发生了对讲机爆炸事件！黎巴嫩已经连续两天发生移动通信设备大规模群体爆炸事件。据黎巴嫩公共卫生部公共卫生紧急行动中心消息，目前新的爆炸事件已造成20人死亡、450多人受伤。

据黎巴嫩媒体报道，这次发生爆炸的通信设备主要为ICOM V82型对讲机，据称为日本ICOM公司制造。根据其网站，ICOM是一家总部位于日本的无线电通信和电话公司。目前该公司暂未回复置评请求。

无论是9月17日的寻呼机爆炸，还是9月18日的对讲机爆炸，均已造成较严重的人员伤亡，目前还没有机构正面回应并表示对相关事件负责。

原文链接：

CISA推出FOCAL计划，聚焦5大关键网络安全防护领域

近日，美国网络安全与基础设施安全局（CISA）宣布推出联邦文职执行部门操作网络安全对齐（FOCAL）计划，旨在协调美国联邦政府机构的网络防御策略。该计划将涵盖超过100个联邦文职执行部门（FCEB），即美国中央政府的非国防部门，以提升其“集体操作防御能力”，从而降低网络风险。

FOCAL计划聚焦于五个关键的网络安全领域：资产管理、漏洞管理、可防御架构、网络供应链风险管理以及事件检测和响应。这一全面的方法旨在帮助各部门更好地了解其网络环境、管理漏洞、构建能够应对安全事件的基础设施、管理供应链风险，并有效检测和响应安全事件。

据介绍，FOCAL计划的推出源于CISA认识到当前FCEB机构之间缺乏“统一或一致的基本安全态势”。这种现状未能充分考虑到当前的威胁环境及联邦机构间复杂的数字生态系统。FOCAL计划不仅设定了“联邦网络安全的广泛组织概念”，还为机构提供了未来一年内应采取的具体安全改进措施指导。该计划强调了在联邦网络防御中实现标准化和一致性的必要性，指出这对于提高整体安全性至关重要。

原文链接：

AT&T将就第三方数据泄露支付9226万元和解金

近日，美国联邦通信委员会（FCC）宣布，知名电信服务商AT&T将支付9226万元（1300万美元）就2023年1月发生的一起涉及第三方供应商的数据泄露事件与其达成和解。这起事件导致约890万AT&T客户的数据被曝光，引发了FCC的调查。

据FCC报告，这次数据泄露发生在AT&T曾经使用的一家未具名供应商的云环境中。泄露的数据包括客户账户的线路数量等信息，但AT&T表示信用卡号码、社会安全号码和账户密码等敏感信息并未受到影响。据了解，这些数据本应在供应商完成合同义务后被销毁或归还，但实际上却在云环境中存留了多年。FCC在声明中指出，AT&T未能确保供应商妥善保护客户数据并在不再需要时归还或销毁这些信息。根据和解协议，被泄露的数据是在2015年至2017年间AT&T与第三方供应商共享的。

随着云服务的普及，确保第三方供应商妥善处理和保护客户数据变得越来越重要。此次和解协议不仅对 AT&T 产生直接经济影响，也将推动整个行业重新审视其数据管理实践和供应商关系。

原文链接：

漏洞预警

macOS日历应用中发现零点击漏洞，或导致iCloud照片被窃取

近日，安全研究员Mikko Kenttala披露了苹果macOS日历应用中一个严重的零点击安全漏洞CVE-2022-46723。该漏洞允许攻击者在不需要用户任何操作的情况下，在日历沙箱环境中添加或删除任意文件，并执行恶意代码。该漏洞不仅影响日历应用，还可能危及用户存储在iCloud上的敏感照片数据。

该漏洞利用始于攻击者发送一个带有附件的日历邀请。这个附件经过精心构建，并含有恶意代码。这使攻击者能够进行目录遍历攻击，将文件放置在受害者文件系统中的意外位置。攻击者可以覆盖或删除日历应用程序文件系统中的文件，并通过注入恶意日历文件来进一步升级攻击。这些注入的文件包含会触发警报的事件，当系统处理日历数据时会被激活，特别是在macOS从Monterey升级到Ventura时。通过将照片配置为使用未受保护的目录作为系统照片库，攻击者可以获取存储在iCloud上的私人用户图片。

苹果公司在2022年10月至2023年9月间修复了所有相关漏洞。建议用户及时更新软件，因为苹果经常发布补丁以解决安全缺陷。

原文链接：

谷歌云平台被曝存严重远程执行漏洞，影响数百万台服务器

近日，安全研究机构Tenable Research披露了谷歌云平台（GCP）中一个严重的远程代码执行（RCE）漏洞CloudImposer。该漏洞可能使攻击者能在数百万台谷歌服务器上运行恶意代码。

该漏洞存在于GCP中基于Apache Airflow的托管工作流编排工具Cloud Composer服务中。问题源于Cloud Composer在安装私有Python包时使用了“–extra–index–url”参数，这可能导致依赖混淆攻击。攻击者可以利用此漏洞将恶意包上传到公共PyPI仓库，并在具有提升权限的Cloud Composer实例上自动安装。这一漏洞影响了包括App Engine、Cloud Functions和Cloud Composer在内的多个GCP服务。如果被成功利用，攻击者可能执行任意代码，窃取服务账户凭证，并横向移动以破坏其他GCP服务。由于云环境的特性，一个受损的包可能影响到谷歌基础设施及其客户环境中的数百万台服务器。

当前，谷歌已采取措施修复该漏洞，确保受影响的Python包只能从私有仓库安装。同时，公司还实施了额外的保护措施，如校验和验证，以确保包的完整性。谷歌还建议用户在安装包时使用更安全的”–index–url”参数，并推荐客户使用GCP的Artifact Registry虚拟仓库来管理多个包源。

原文链接：

产业动态

SentinelOne与联想达成合作，将为PC设备嵌入AI安全防护能力

近日，网络安全公司SentinelOne与联想宣布达成为期多年的战略合作。根据合作协议，SentinelOne将为全球数百万台联想设备提供基于AI的终端安全解决方案，其中包含Singularity平台和Purple AI的生成式 AI 能力。

据介绍，本次合作旨在提升联想 ThinkShield 安全组合的防护能力，为新出厂的PC预装SentinelOne的安全解决方案，同时也为现有客户提供升级选项。作为全球领先的企业 PC 供应商，联想每年销售数千万台设备。此次合作有望大幅增加搭载 SentinelOne AI安全解决方案的联想设备数量。

作为合作的一部分，联想还将基于SentinelOne的Singularity平台的AI和EDR（终端检测与响应）能力，构建新的托管检测和响应（MDR）服务，旨在进一步增强联想在网络安全和网络韧性服务方面的实力。

原文链接：

Zscaler与CrowdStrike联合推出AI驱动的零信任网络安全集成方案

近日，云安全厂商Zscaler与网络安全厂商CrowdStrike宣布将联合推出一系列基于人工智能和零信任理念的创新集成方案，旨在全面提升企业安全运营能力。这一合作将Zscaler的零信任交换平台、安全数据架构，与CrowdStrike Falcon下一代安全信息和事件管理（SIEM）系统紧密结合，为现代化安全运营中心（SOC）提供先进的威胁检测、响应和风险管理能力。

在当前日益复杂的网络威胁环境下，SOC 团队面临着巨大挑战。分散的安全数据流和不统一的风险评估机制严重影响了运营效率，延长了响应时间，增加了组织的网络安全风险。

通过整合两家公司的优势技术，新的集成方案旨在提高运营效率，缩短响应时间，从而降低组织的网络安全风险和数据泄露可能性。具体而言，Zscaler和CrowdStrike的最新合作提供以下关键功能：一是协同的威胁共享、检测和响应；二是全面的网络风险量化与可视化；三是安全数据上下文化和统一漏洞管理；四是自适应访问策略执行。

原文链接：