【安全资讯】半月精选集（2021.10.25-11.14）

       1. 【政策法规】国家互联网信息办公室《数据出境安全评估办法 (征求意见稿)》公开征求意见的通知

 

        2.【政策法规】国家互联网信息办公室关于《网络数据安全管理条例（征求意见稿）》公开征求意见的通知

       3 .【行业动态】Gartner：2021-2022年8大网络安全预测

       隐私法案、勒索软件攻击、信息物理系统和董事会级别审查，逐渐成为安全和风险负责人需要优先关注的事项。“如何确保我们的消费者不会受到流氓代理造成的人身伤害？”这是安全和风险负责人在未来需要预测和规划的问题。
      信息物理系统（如自动驾驶汽车、数字孪生）的激增引发了组织的另一个安全风险。威胁行为者将如何针对这些系统发起攻击是未来几年首先要预测的内容之一。

      4.【行业动态】拜登签署“2021年安全设备法”，全面封堵华为等中企

      据英国路透社报道，美国总统拜登当地时间11日签署“2021年安全设备法”，以阻止华为、中兴等被视为所谓“安全威胁”的企业在美国监管机构获得新的设备牌照。美国仍继续加强打压中企！

       5.【行业动态】调查揭示移动网络钓鱼对能源行业的攻击激增161%

       据bleepingcomputer网站报道，一份来自网络安全公司Lookout的最新报告表明，与2020年下半年的数据相比，移动网络钓鱼对能源行业人员的攻击增加了161%，且趋势没有放缓的迹象。

       6.【安全事件】我国航空业已成境外情报机构网络攻击的重点目标

       近日，国家安全机关公布某航空公司数据被境外间谍情报机关网络攻击窃取案，其称在2020年1月，某航空公司向国家安全机关报告，该公司信息系统出现异常，怀疑遭到网络攻击。国家安全机关立即进行技术检查，确认相关信息系统遭到网络武器攻击，多台重要服务器和网络设备被植入特种木马程序，部分乘客出行记录等数据被窃取。国家安全机关经过进一步排查发现，另有多家航空公司信息系统遭到同一类型的网络攻击和数据窃取。
 

       7.【安全事件】美国全国步枪协会遭勒索软件攻击

       8.【安全事件】Lyceum 黑客团伙“重出江湖”，以色列、沙特阿拉伯等国惨遭毒手

       The Hacker News最新消息透露，Lyceum APT组织针对以色列、摩洛哥、沙特阿拉伯等国的互联网服务提供商(ISP)发动了一场大规模网络攻击。埃森哲网络威胁情报小组(ACTI)和Prevailion对抗反情报小组(PACT)等机构联合发布的技术报告显示，此次大规模网络攻击可能发生在2021年7月至202年10月之间，给以色列、摩洛哥、沙特阿拉伯等国的通讯运营商带来了巨大灾难。
 

       9.【安全技术】网络安全“流行语”的误导性

       网络安全流行语多如牛毛。对于信息安全这种快速迭代的创新行业而言，流行语是不可避免的现实，往往用于简化复杂的术语，或者促进销售和营销活动。然而，这些术语并非总是有所帮助，可能是不准确且过时的，具有误导性，甚至可能造成伤害。例如，利用恐惧、不确定性和怀疑（FUD）来最大化盈利的流行语可能具有破坏性，而曾经有用的合理术语可能会过时，继续使用和依赖这种流行语会阻碍对根本问题的深入理解。该文整理了11个容易产生误导作用的网络安全流行语。

      10.【安全技术】使用MSSP时需要避免的六个误区

       随着企业越来越多地接受安全托管服务，这些安全服务的收益和风险对当前的客户和潜在客户也都越来越明显。一项由Forrester对140名MSSP客户进行的调研发现：有一部分的客户非常成功地使用了第三方安全服务供应商，而剩下许多其他人却很难从他们的合作关系中获益。Forrester发现，几乎所有的CISO们都试图向非安全的领导层证明他们在MSSP上的开销，原因就在于相对于其他开支，安全服务缺乏合适的衡量指标，同时技术复杂性又相对更高。与此同时，安全服务供应商自己也在努力将他们的服务紧贴对企业真正重要的事情上——如何对他们的客户和利益相关方产生价值，以及他们如何能够支持业务需求。