1.【政策法规】全国两会政府工作报告中的“数据安全”
点击标题可查看详情链接
近日,第十四届全国人民代表大会第二次会议在北京人民大会堂隆重召开,国务院总理李强作《政府工作报告》。《报告》提出“深入推进数字经济创新发展”“健全数据基础制度,大力推动数据开发开放和流通使用”“以高质量发展促进高水平安全,以高水平安全保障高质量发展”“推动解决数据跨境流动等问题”“提高网络、数据等安全保障能力”“维护国家安全和社会稳定。贯彻总体国家安全观,加强国家安全体系和能力建设”。数据安全已经连续四年被写入政府工作报告,不仅体现了国家对数据安全的高度重视,更彰显了数据安全在国家安全、经济安全以及社会稳定中的核心地位。这也向全社会传递了一个明确的信号:数据安全不仅仅是技术问题,更是关乎国家长远发展和人民福祉的重大问题。
2.【政策法规】TC260-003《生成式人工智能服务安全基本要求》发布
点击标题可查看详情链接
近日,全国网络安全标准化技术委员会正式发布《生成式人工智能服务安全基本要求》,从语料安全、模型安全等多个维度规定了生成式人工智能服务在安全方面的基本要求,高校、研究机构、夸克代表的科技厂商等多方参与了文件起草。据介绍,安全可信是生成式人工智能健康发展的必要条件,《安全基本要求》是《生成式人工智能服务管理暂行办法》在安全领域的具体支撑,也是近期生成式人工智能领域最重磅的一个文件,将推动行业进一步健康有序发展,应用加速落地。
3.【安全事件】开源噩梦:GitHub一年泄露上千万密钥
点击标题可查看详情链接
据GitGuardian的最新报告,2023年GitHub平台上发生了大规模的敏感信息泄露事件,超过300万个公开代码库累计泄漏超过1280万个身份验证和敏感密钥,其中绝大部分信息在泄露后5天内仍保持有效。作为全球最受欢迎的代码托管和协作平台,GitHub上的密钥泄露事件自2020年以来呈快速恶化的增长趋势。2023年,GitGuardian扫描了11亿次提交(+10.6%),其中800万次提交至少暴露了一个秘密(+30.3%)。GitGuardian向泄露密钥的用户发送了180万封免费电子邮件提醒,但仅仅只有1.8%的用户采取了措施纠正错误。泄露的敏感信息包括账户密码、API密钥、TLS/SSL证书、加密密钥、云服务凭证、OAuth令牌等,这些信息一旦落入外部人员手中,可能会导致数据泄露和财务损失。
4.【安全事件】勒索软件攻击迫使全球顶尖啤酒品牌生产中断
点击标题可查看详情链接
近日,比利时督威摩盖特(Duvel Moortgat)啤酒厂日前遭遇勒索软件攻击,导致该公司啤酒装瓶设施生产陷入停顿。督威摩盖特是一家比利时啤酒公司,其生产的督威啤酒知名度极高,是一款果香浓郁的淡金色艾尔啤酒。该酿酒厂还生产其他备受世界各地欢迎的修道院啤酒,品牌包括白熊、马里斯、舒弗等。该公司的发言人表示,他们的自动威胁检测系统识别了这次勒索软件攻击,尽管尚不清楚生产操作何时能够恢复正常,但仓库存货充足,不会对配送产生影响。一家名为Stormous的勒索软件组织宣布对督威摩盖特攻击事件负责。他们声称从酿酒厂系统中窃取了88GB数据,威胁如果在3月25日之前未收到赎金,就会泄露这些数据。
5.【安全事件】乌克兰宣称入侵了俄罗斯国防部服务器
点击标题可查看详情链接
据报道,乌克兰国防部情报总局(GUR)近日声称成功侵入了俄罗斯国防部(Minoborony)的服务器,并窃取了重要敏感文件。乌克兰政府网站发布的一份新闻稿中,将这次行动定义为由GUR网络安全专家团队执行的一次“特别行动”。GUR宣称,此次网络入侵让其获得了包含机密情报的敏感文件,具体包括俄罗斯国防部用于数据保护和加密的软件;包括命令、报告、指令等在内的2000多个单位的一系列机密文件;获取了Minoborony系统完整架构及其相互联系的信息;揭露了使用“Bureaucracy”电子文档管理系统的Minoborony高层领导、副手、助理和专家的身份信息;俄罗斯国防部副部长的相关文件等。
6.【安全事件】波及4300万人!法国官方就业机构数据遭窃
点击标题可查看详情链接
法国政府机构France Travail警告称,有黑客入侵了其系统,并窃取了约4300万人的个人信息。此次遭遇攻击的两家机构分别为负责失业救济的France Travail和负责促进残疾人就业的Cap emploi。根据2023年1月的数据,法国总人口约为6804万,这意味着此次事件的受害者规模相当于法国公民总数的 63%。据悉,此次攻击事件中,黑客窃取了France Travail过去20年以来登记的求职者详细信息。攻击事件发生后,该机构立即给那些可能受到影响的人发送了提醒通知。同时也第一时间将事件汇报给了法国的数据保护机构。该机构建议可能受到影响的人要对此后收到的电子邮件、电话和短信保持特别警惕。
近日,英国外包公司Capita报告称,2023年的损失超过1.066亿英镑(约合人民币9.77亿元),其中约1/4由该年3月遭受的勒索软件攻击事件直接造成。该公司最初表示,预计该事件的应对成本高达2千万英镑(约合人民币1.83亿元)。年度业绩报告显示,攻击造成的净成本为2530万英镑(约合人民币2.32亿元)。Capita将其余的损失归因于高成本,包括业务退出和商誉减值。Black Basta勒索团伙表示对这起事件负责。自攻击发生以来,Capita的股价已经下跌了超过54%。从去年3月30日(事件首次曝光前一天)到今年3月,股价从38.64英镑跌至16.18英镑。根据年度业绩报告,受该事件影响,Capita的净推荐值(一项客户体验指标)从+26下降至+16,对其养老金管理业务造成较大影响。
近年来,零信任安全一直是网络安全领域的热议话题。为了帮助企业组织更好地部署应用零信任安全技术,美国国家安全局(NSA)日前发布了一份新的零信任技术应用指引——《全面提升零信任架构网络和环境应用的成熟度》报告,旨在为企业网络的管理者和运营者提供一个更加明确的方法及流程,以便其通过采用零信任技术有效地抵制、检测和应对利用网络威胁。在本次发布的报告中,NSA更新了最新版的网络安全信息表(CSI),并概述了组织在开展零信任安全建设时可以采取的步骤。最新版CSI在已有的零信任架构基础上,重新定义梳理了零信任采用时的7个关键性的支柱要素。报告认为,构成零信任框架主要依靠七大关键支柱支撑,分别是用户、计算设备、网络和环境、数据资产、应用程序和工作负载、自动化和编排、网络监控及可见性。
现代企业组织的内部威胁有很多种,从心怀不满的员工、勒索事件受害者和安全意识薄弱的用户,到那些对公司网络上敏感数据和系统拥有高级访问权限的用户,包括系统管理员、网络工程师甚至CISO等,都可能对企业数字化发展造成致命的威胁和损害。由于内部人员行为的复杂性,很多企业对内部威胁缺乏有效的应对措施,只能在事件发生后被动地进行补救响应。本文梳理了7种有效的内部威胁检测工具及风险管理策略,能够为企业增强内部威胁防护能力提供帮助,包括用户行为分析(UEBA)、端点检测和响应(EDR)、网络流量分析(NTA)、数据防泄漏(DLP)、用户行为监控平台(UAM)、基于机器学习的威胁检测、网络安全意识培训。
