1.【政策法规】中国网络安全产业联盟(CCIA)发布《中国网络安全产业分析报告(2023年)》
近日,2023年国家网络安全宣传周“网络安全服务产业发展分论坛”在福州召开。论坛上,中国电子技术标准化研究院副院长刘贤刚介绍了由中国网络安全产业联盟(CCIA)发布的《中国网络安全产业分析报告(2023年)》。报告坚持发展思维,尊重产业发展客观规律,以科学、严谨、中立的视角,深入剖析我国网络安全产业面临的国内外形势,以数据为基础,以企业为核心,从政策、技术、服务、资本、市场等多个方面,对网络安全法律法规、政策标准、产业现状、竞争格局、资本市场和发展热点等进行了全面详实的分析。在此基础上,对我国网络安全产业未来数年的发展进行了展望,希望能够为网络安全政策制定部门、监管机构、从业人员、行业组织、研究机构等提供参考。
2.【政策法规】新一版《云计算服务安全评估专业技术机构》名单公布
近日,中央网信办官网公布了新一版《云计算服务安全评估专业技术机构》名单,将原有的4家评估机构扩展到了8家,新增国家计算机网络与信息安全管理中心、国家信息中心、中国电子科技集团公司第十五研究所、国家工业信息安全发展研究中心4家评估机构。本次评估专业技术机构扩容,将为进一步推动我国政府部门和企业组织开展云计算服务安全管理与评估工作提供支撑和帮助。
3.【政策法规】关于征求国家标准《网络关键设备安全技术要求 可编程逻辑控制器(PLC)》(征求意见稿)意见的通知
全国信息安全标准化技术委员会归口的国家标准《网络关键设备安全技术要求 可编程逻辑控制器(PLC)》现已形成标准征求意见稿。根据《全国信息安全标准化技术委员会标准制修订工作程序》要求,现将该标准征求意见稿面向社会公开征求意见。标准相关材料已发布在信安标委网站,如有意见或建议请于2023年11月20日24:00前反馈秘书处。
4.【安全事件】微软人工智能部门泄漏38TB敏感数据
近日,云安全公司Wiz撰文披露微软AI研究部门从2020年7月开始公开泄漏了高达38TB的敏感数据,该部门当时正在向一个公共GitHub代码库贡献开源AI学习模型。此次数据泄漏事件持续三年之久,直到一位Wiz研究人员发现一名微软员工不小心分享的一个URL指向包含泄露信息的Azure Blob存储桶(该URL被配置为可分享该账户下所有38TB的文件)。微软将数据泄露归咎于团队使用了过于宽松的共享访问签名(SAS)令牌,该令牌允许对共享文件进行完全控制。Wiz研究人员描述说,这一Azure功能使数据共享变得难以监控和撤销。Wiz研究团队发现,除了开源模型外,泄露数据的内部存储帐户还无意中允许访问额外的38TB私人数据。这些暴露的数据包括:微软员工个人信息备份,微软服务密码、密钥,以及来自359名微软员工的超过3万条微软Teams内部消息的存档。
5.【安全事件】边检延误超1小时!网络攻击迫使加拿大边境检查站系统中断服务
据报道,由于亲俄罗斯黑客组织NoName057(16)发动网络攻击,加拿大多家机场出现大规模服务中断。加拿大边境服务署(CBSA)表示,影响机场自助值机机器和电子门的连接问题,是由DDoS攻击引发。此类攻击通过发送大量垃圾流量干扰系统运行。边境服务署发言人表示,他们在短短几个小时内恢复了所有系统。据悉,由于自助值机机器发生计算机故障,加拿大全国边境检查站处理到达人员工作出现重大延误。延误时间超过一小时之久。受影响边境检查站包括蒙特利尔特鲁多国际机场。边境服务署表示:“我们正在与合作伙伴密切合作,评估、调查此情况。加拿大公民和旅客的安全是边境服务署的首要任务。这些攻击并没有泄漏个人信息。”
6.【安全事件】890所学校受影响!美国学生信息交换中心发生数据泄露
据报道,美国非营利性教育机构全国学生信息交换中心(National Student Clearinghouse)近期披露一起数据泄露事件,全美890所使用其服务的学校受到影响。Clearinghouse为大约 22000所高中和大约3600所高校提供教育报告、数据交换、验证和研究服务。数据泄露事件可以追踪到2023年5月,Clearinghouse第三方软件供应商Progress Software向其通报,该供应商的MOVEit 传输解决方案存在网络安全问题。得知这一问题后,Clearinghouse立刻组织顶尖网络安全专家,迅速展开调查分析并与执法部门进行协调。最终发现被盗文件中包含的个人身份信息(PII)主要包括姓名、出生日期、联系信息、社会保险号、学生证号和一些与学校相关的记录(如注册记录、学位记录和课程数据)。
7.【安全事件】一家美国公司被黑,一个拉美国家政务服务瘫痪
近期,哥伦比亚的多个重要政府部门正在应对一次勒索软件攻击,官员们被迫大幅变更部门运作方式。哥伦比亚卫生和社会保护部、司法部门、工商监管部门上周宣布,由于美国技术提供商IFX网络公司遭遇网络攻击,引发一系列问题,限制了这些部门的运作能力。IFX网络公司号称拉丁美洲最大的云业务服务商,为当地十余个国家提供网络托管服务。哥伦比亚总统府发表声明,称此次袭击影响了762家位于拉丁美洲的公司,当地媒体称有34个哥伦比亚实体以及阿根廷、巴拿马、智利等国家的其他实体受到影响。
8.【安全技术】7款热门的自动化渗透测试工具及特点分析
随着当前网络安全威胁的不断扩展与升级,开展渗透测试工作已经成为众多组织主动识别安全漏洞与潜在风险的关键过程。然而,传统的渗透测试对测试人员的经验水平有很强的依赖,对相关知识的掌握有很高的要求,企业需要投入较大的时间和人力成本才能完成。在此背景下,很多企业开始借助自动化渗透测试工具来缓解传统渗透测试的弊端,这些工具能够自动分析目标系统所在网络环境,将安全团队从复杂的测试流程中解放出来,降低了企业开展渗透测试的成本。本文收集整理了当前市场上应用热度较高的7款自动化渗透测试工具(服务),并对其主要应用特点进行了分析。
9.【安全技术】关于网络攻击面,企业应该仔细思考的10个问题
网络攻击面已经成为现代企业的安全领导者重点关注的防护领域,据调查,几乎所有(93%)的受访CISO都表示遭受过一次以上的网络攻击,而了解和管理组织的攻击面将是他们未来12个月中的首要任务。研究人员同时发现,尽管很多企业已经开始高度关注网络攻击面的监测与管理,但是对自身网络攻击面的了解程度却远远不够。持续而准确地理解攻击面绝非易事,企业在正式开展攻击面管理工作之前,应该仔细思考以下10个问题:组织有哪些面向互联网的资产?在组织的攻击面上有哪些未知的资产?组织攻击面视图的更新频率是多少?企业安全团队应该优先处理哪些风险?企业是否有云上所有资产的完整视图?攻击面上是否存在安全合规性风险?企业攻击面上的资产是如何相互连接的?企业的网络攻击面是如何变化的?企业的网络攻击面上是否存在人为的错误配置?企业分支机构的资产状况如何?是否会对组织构成风险?