1.【政策法规】三部门发布《网络数据安全风险评估办法》,明确数据评估全流程合规要求
点击标题可查看详情链接
近日,国家网信办、工信部、公安部联合发布《网络数据安全风险评估办法》,明确境内网络数据安全风险评估全维度管理规则。《办法》根据《中华人民共和国数据安全法》、《中华人民共和国网络安全法》、《网络数据安全管理条例》等法律法规制定,旨在规范网络数据安全风险评估活动,保障网络数据安全,促进网络数据依法合理有效利用。新规划定适用主体与评估频次:重要数据处理者须每年开展风险评估,数据安全状态重大变动时需追加专项评估;一般数据处理者建议每 3 年评估一次。
近日,全国网络安全标准化技术委员会归口的《网络安全技术 零信任能力成熟度模型及评价方法》等5项国家标准现已形成标准征求意见稿。根据《全国网络安全标准化技术委员会标准制修订工作程序》要求,现将该5项标准征求意见稿面向社会公开征求意见。
近日,Gartner发布了2026年网络安全领域的八大发展趋势。八大趋势以AI发展为主线,串联起底层技术改造、顶层治理重构、一线运营落地全维度安全变革等。 八大趋势包括:(1)IAM需升级转型,保障AI智能体安全并赋能其应用;(2)后量子密码从理论风险走向实战部署 ;(3)代理型AI需纳入程序化监管;(4)全球监管环境动荡催生大规模网络韧性建设浪潮;(5)AI与网络韧性重塑CISO职责边界 ;(6)AI普惠化推动协同式数据安全治理;(7)生成式AI突破传统网络安全意识策略;(8)AI驱动的SOC解决方案颠覆安全运营常态。
近日,一份报告指出,2026年前四个月,设备代码钓鱼攻击数量较2025年下半年增长了1380%。这类攻击活动大量集中在“钓鱼即服务”平台上,这些平台将身份窃取基础设施、钓鱼工具包和AI驱动的工作流程打包成订阅服务,出售给其他犯罪分子使用。在数百起事件中,研究人员没有发现两起钓鱼诱饵完全相同。这意味着威胁行为者正在利用生成式AI,对消息进行大规模的个性化定制。而在此之前,犯罪分子主要利用AI让钓鱼消息更具欺骗性,或者针对特定受害者进行定制化攻击。这表明主要网络犯罪团伙正在将生成式AI与自动化工作流程结合起来,推动钓鱼活动走向规模化。AI生成内容、自动化工作流程和订阅式攻击平台这三者的结合,正在降低网络犯罪的入门门槛,同时让攻击速度不断加快。
全球最具持久性的黑客组织之一找到了新的隐匿方式。这个被称为Fancy Bear(又称APT28,隶属于俄罗斯军事情报机构GRU第26165部队)的威胁组织正在悄然改变其网络攻击运作模式。该组织不再依赖传统基础设施,转而劫持家用路由器和消费设备构建几乎无法追踪的暗影网络。追踪APT28多年的分析师发现,该组织在攻击基础设施管理方式上发生了重大结构性转变,已将其大部分操作转移到被入侵的SOHO路由器和边缘设备上,取代了此前作为指挥中心的租用虚拟专用服务器。
点击标题可查看详情链接
据报道,国际足联(FIFA)用于管理世界杯的微软Entra环境存在严重访问控制漏洞,道德黑客“BobDaHacker”仅通过注册虚假经纪账户便绕过了前端“访问拒绝”提示,直接进入后端API,获取了对直播管理、比分修改、解说信息系统及内部开发环境的完全控制权,理论上可随时中断全球转播或替换内容。该事件凸显了“客户端授权并非真正授权”的普遍安全误区,即服务器端必须强制执行权限检查。据悉,美国网络安全与基础设施安全局(CISA)实际上是2026年世界杯联邦网络安全的负责机构。
近日,印度代工巨头塔塔电子发生数据泄露事件,勒索组织声称窃取了超20万个文件,总规模630GB,里边含有苹果、特斯拉的工厂组件设计及规格文件等;目前塔塔电子、苹果据悉已开展调查,有消息人士称塔塔电子向部分参与iPhone组装的内部员工通报了此次事件;此次事件凸显了跨国企业面对日益复杂的网络攻击和勒索攻击时所面临的脆弱性,供应商已成为数据泄露高发环节。
近日,为AI工作流、聊天机器人和检索增强生成(RAG)管道提供支持Dify平台曝出四类高危安全漏洞,含两个CVSS超9分严重漏洞,存在跨租户数据泄露隐患,沃尔沃、松下等多家知名企业均在使用。漏洞可让攻击者无授权窃听对话、窃取租户文档,还存在路径遍历、老旧PDF组件缺陷。目前官方已推送部分补丁,剩余修复待更新。此次研究揭示多租户AI架构隔离机制短板,亟需尽快升级版本并做好访问防护。