1.【政策法规】从《数据安全法》视角探讨重要数据保护
《数据安全法》是我国在数据安全领域的基础性法律,将在保障国家数据安全,维护公民、组织合法权益,保障数字经济发展,推进电子政务等方面发挥重要作用。该法亮点之一就是明确了国家建立数据分类分级保护制度,而数据分类分级保护的核心就是加强对重要数据的保护。该文基于《数据安全法》视角,从重要数据特别保护的重要意义、重要数据安全保护立法概况、重要数据安全保护制度、数据处理者的保护义务、高校重要数据安全保护建议等5个方面对如何保护重要数据进行探讨。
2.【政策法规】《全面与进步跨太平洋伙伴关系协定》(CPTPP) 密码管理规定
《全面与进步跨太平洋伙伴关系协定》(CPTPP)是《跨太平洋伙伴关系》(TPP)的延续版本。2017年1月23日,时任美国总统的特朗普签署退出TPP的行政令,使这一实施多年,且惠及多方的贸易协定“寿终正寝”,并直接导致CPTPP的形成。在CPTPP中,密码产品与技术的贸易问题被作为重要的协议事项出现在多款规定中。对于大众消费类的密码产品和技术,CPTPP仍然坚持相对自由的贸易态度;对于政府用途的密码产品和技术,CPTPP保留了各缔约国自主决定的方式,体现出对“国家安全例外”的尊重。
3.【安全事件】多个美国政府网站被攻击,托管“色情”和“垃圾邮件”
9月18日,Bleeping Computer 披露,安全研究员Zach Edwards发现,FBI、CIA、美国财政部、军方等政府机构软件的供应商Laserfiche,在给美国政府机构提供的Laserfiche Forms 软件产品中包含一个漏洞,该漏洞允许攻击者在政府网站上推送恶意色情内容和垃圾邮件。
4.【安全事件】勒索软件眼中最完美的受害者
9月6日,网络犯罪研究公司KELA发布报告,分析勒索软件运营商在地下黑市挂出的需求清单(包括登入目标系统的访问权限需求),揭示许多勒索软件运营商眼中的理想目标是收入超1亿美元的美国公司。初步访问权限如今是门大生意。Blackmatter和Lockbit等勒索软件团伙愿意通过购买访问权限,比如企业系统的有效凭证或漏洞信息,从而给自己省去一些网络攻击中的繁琐工作。只要想想勒索软件攻击成功可以收获的几百上千万美元,购买初步访问权的成本就可以忽略不计了。而且,利用省下的时间精力,网络罪犯还可以袭击更多目标,攫取更大利益。
5.【安全事件】过去10年的泰国游客个人信息或全部在线泄露
Comparitech网络安全研究负责人Bob Diachenko于2021年8月22日发现了一个包含大量泰国游客个人信息的未受保护的Elasticsearch数据库,该数据库公开的信息包括游客的抵达泰国日期、全名、性别、护照号、居留身份、签证类型、泰国入境卡号码。这个200GB的巨大数据库中包含可追溯到十年前的游客记录,包含超过1.06亿位国际旅行者的个人详细信息。
6.【行业动态】四年来首次更新:OWASP Top 10漏洞排名
近日,OWASP从贡献者提供的数据中选择了8个类别,从高水平的行业调查中选择了2个类别,完成了最新的OWASP Top 10 2021 榜单。总体来说,2021年新鲜出炉的OWASP Top 10榜单出现了三个新的类别,还有四个类别的名称和范围发生了变化,甚至还对一些类别进行了合并。
7.【行业动态】注入攻击新方式:通过DNS隧道传输恶意载荷
DNS在处理DNS记录时的透明性,即DNS不会尝试对DNS记录进行解释或理解,是使其成为互联网重要基础设施的一大原因。对于一个新的应用程序,只需要简单地创建一条新的DNS记录,就能立即传播至整个互联网,而不需要对服务器或平台做任何修改。这种透明性给互联网带来了一个严重的漏洞,利用DNS的透明性,可以将恶意载荷编码至DNS记录中来实现字符串注入攻击,进而导致系统崩溃、数据损坏和泄漏、远程代码执行等。由于DNS的透明性是DNS协议实现的一个标准,因此只要是符合标准的应用都有可能受到这一方式的攻击,而不是仅针对某一种应用。
8.【安全技术】浅谈安全运营的十大关系
安全运营就是调动一切的积极因素,把网络安全平台、设备、队伍、流程等统筹起来,并不断运用、持续改进的动态过程。安全运营做的好,安全风险就会低,反之,可能会出现重大安全事故,造成不必要的损失。本文提炼了安全运营的十大关系,并进行分析解读。