国家网信办就《网络暴力信息治理规定》答记者问；“复兴杯”第四届大学生网络安全精英赛总决赛成功举办 | 牛览

近日，国家互联网信息办公室联合公安部、文化和旅游部、国家广播电视总局公布了《网络暴力信息治理规定》（以下简称《规定》）。国家互联网信息办公室有关负责人就《规定》相关问题回答了记者提问。

一、问：请您简要介绍《规定》出台的背景？

答：制定《规定》主要基于以下几个方面的考虑：一是深入贯彻落实党中央决策部署。习近平总书记高度重视网络生态建设，强调“网络空间是亿万民众共同的精神家园”，“健全网络综合治理体系，推动形成良好网络生态”。中共中央、国务院印发的《新时代公民道德建设实施纲要》明确“反对网络暴力行为”。二是及时回应人民群众关切。全国两会期间，多名代表委员强烈呼吁加快出台反网络暴力针对性立法，关于整治网络暴力的建议提案获得人民群众广泛响应。三是着力提升网络暴力信息治理效能。在《网络安全法》《个人信息保护法》《未成年人网络保护条例》等法律法规先后出台并作出相关制度设计的基础上，《规定》进一步建立网络暴力信息治理制度体系，有力提升治理效能。

二、问：《规定》所称网络暴力信息是指什么？

答：《规定》所称网络暴力信息，是指通过网络以文本、图像、音频、视频等形式对个人集中发布的，含有侮辱谩骂、造谣诽谤、煽动仇恨、威逼胁迫、侵犯隐私，以及影响身心健康的指责嘲讽、贬低歧视等内容的违法和不良信息。

三、问：《规定》明确的网络暴力信息治理原则是什么？

答：《规定》明确，网络暴力信息治理坚持源头防范、防控结合、标本兼治、协同共治的原则。

四、问：《规定》对网络暴力信息预防预警提出了哪些要求？

答：《规定》对网络暴力信息预防预警提出了明确要求。一是规定网络信息服务提供者应当在国家网信部门和国务院有关部门指导下细化网络暴力信息分类标准规则，建立健全网络暴力信息特征库和典型案例样本库，加强对网络暴力信息的识别监测。二是要求网络信息服务提供者建立健全网络暴力信息预警模型，综合事件类别、针对主体、参与人数、信息内容、发布频次、环节场景、举报投诉等因素，及时发现预警网络暴力信息风险。三是规定网络信息服务提供者发现存在网络暴力信息风险的，应当及时回应社会关切，引导用户文明互动、理性表达，并对异常账号及时采取真实身份信息动态核验、弹窗提示、违规警示、限制流量等措施；发现相关信息内容浏览、搜索、评论、举报量显著增长等情形的，还应当及时向有关部门报告。四是规定网络信息服务提供者应当建立健全用户账号信用管理体系，将涉网络暴力信息违法违规情形记入用户信用记录，依法依约降低账号信用等级或者列入黑名单，并据以限制账号功能或者停止提供相关服务。

五、问：《规定》对网络暴力信息处置提出了哪些要求？

答：《规定》明确，网络信息服务提供者发现涉网络暴力违法信息的，或者在其服务的醒目位置、易引起用户关注的重点环节发现涉网络暴力不良信息的，应当立即停止传输，采取删除、屏蔽、断开链接等处置措施，保存有关记录，向有关部门报告。发现涉嫌违法犯罪的，应当及时向公安机关报案，并提供相关线索，依法配合开展侦查、调查和处置等工作。

六、问：《规定》对互联网新闻信息服务提供者提出了哪些要求？

答：《规定》明确，互联网新闻信息服务提供者应当坚持正确政治方向、舆论导向、价值取向，加强网络暴力信息治理的公益宣传。互联网新闻信息服务提供者不得通过夸大事实、过度渲染、片面报道等方式采编发布、转载涉网络暴力新闻信息。对互联网新闻信息提供跟帖评论服务的，应当实行先审后发。互联网新闻信息服务提供者采编发布、转载涉网络暴力新闻信息不真实或者不公正的，应当立即公开更正，消除影响。

七、问：针对群众普遍关心的用户权益保护问题，《规定》明确了哪些要求？

答：《规定》明确了网络暴力信息治理中的用户权益保护要求。一是建立健全网络暴力信息防护功能。要求网络信息服务提供者提供便利用户设置屏蔽陌生用户或者特定用户、本人发布信息可见范围、禁止转载或者评论本人发布信息等网络暴力信息防护选项。二是完善私信规则。要求网络信息服务提供者提供便利用户设置仅接收好友私信或者拒绝接收所有私信等网络暴力信息防护选项，鼓励提供智能屏蔽私信或者自定义私信屏蔽词等功能。三是告知用户采取防护措施。明确网络信息服务提供者发现用户面临网络暴力信息风险的，应当及时通过显著方式提示用户，告知用户可以采取的防护措施。四是及时保存证据。规定网络信息服务提供者发现、处置网络暴力信息的，应当及时保存信息内容、浏览评论转发数量等数据；应当向用户提供网络暴力信息快捷取证等功能，依法依约为用户维权提供便利。五是及时受理处理投诉、举报。要求网络信息服务提供者在服务显著位置设置专门的网络暴力信息快捷投诉、举报入口，公布处理流程，及时受理、处理公众投诉、举报并反馈处理结果；应当优先处理涉未成年人网络暴力信息的投诉、举报，发现涉及侵害未成年人用户合法权益的网络暴力信息风险的，应当按照法律法规和本规定要求及时采取措施，提供相应保护救助服务，并向有关部门报告。

八、问：《规定》对部门监督管理工作机制作出了哪些规定？

答：《规定》明确，网信部门会同公安、文化和旅游、广播电视等有关部门依法对网络信息服务提供者的网络暴力信息治理情况进行监督检查，建立健全信息共享、会商通报、取证调证、案件督办等工作机制，协同治理网络暴力信息。公安机关对于网信、文化和旅游、广播电视等部门移送的涉网络暴力信息违法犯罪线索，应当及时进行审查，并对符合立案条件的及时立案侦查、调查。

原文链接：

https://mp.weixin.qq.com/s/KL2_VC2-JRJvNibwhQwXig

6月16日，由中国信息安全测评中心指导，中国中车集团有限公司（以下简称“中国中车”）主办、中车唐山机车车辆有限公司和网安世纪科技有限公司联合承办的“复兴杯”第四届大学生网络安全精英赛总决赛及颁奖典礼，在唐山丰润数字创新示范产业园成功举办。 本届 决赛赛题涵盖WEB(web类前端技术)、MISC(网安杂项问题)、CRYPTO(密码学)、PWN(漏洞利用)、REVERSE(逆向)等诸多网络安全领域，难度层层递进，要求参赛选手在限定时间内现场解决一系列复杂网络安全问题，极大考验选手们的综合应对能力。

总决赛现场

经过激烈角逐，来自北京邮电大学的赵柏任以1250分的优异成绩摘得桂冠，中国人民警察大学的刘奕强、华北理工大学的张镇博、南昌大学的郑福祥和廖世玉、湖南警察学院的王超分别获得第二至第六名的好成绩。

原文链接：

https://mp.weixin.qq.com/s/kmMhk3fvJNa6THHdhhBeIA

据网络安全公司ESET报告，自2022年以来，他们检测到了5起针对埃及和巴勒斯坦用户的Android间谍软件活动，这些活动由Arid Viper黑客组织所发动。Arid Viper，也称为APT-C-23、沙漠猎鹰或双尾蝎子，是一个目前活跃于中东地区的网络间谍组织，自2013年以来一直在针对该地区开展恶意活动。该组织通常以个人为目标，试图通过泄露敏感和机密数据来达到其间谍目的。他们擅长开发针对Android、iOS和Windows平台的恶意软件和间谍软件，并常常将其伪装成流行应用程序的更新，或者通过网络钓鱼电子邮件发送含有恶意网站链接的内容。

ESET研究人员将这次活动中使用的间谍软件命名为“AridSpy”。AridSpy是一种新型多阶段特洛伊木马，初始特洛伊木马应用程序会从命令和控制（C2）服务器下载附加有效载荷。第二阶段有效载荷的目的是通过受害者数据泄露进行间谍活动。这些应用程序冒充了一些看似合法的聊天应用程序，如NortirChat、LapizaChat、ReblyChat、PariberyChat和RenatChat。除此之外，黑客还使用了两个看似合法的应用程序，"巴勒斯坦民事登记处"和阿拉伯语工作机会应用程序"，其中包含恶意链接导致受害者安装AridSpy代码。

研究人员指出，尽管Arid Viper黑客的具体位置仍然未知，但他们已经成为一个令人担忧的网络间谍组织，值得各方密切关注和防范。

原文链接：

https://www.infosecurity-magazine.com/news/arid-viper-egypt-palestine-spyware/

近日， Ivanti的端点管理解决方案Endpoint Manager中被发现一个严重的远程代码执行缺陷。据悉，研究人员已经成功开发出了该缺陷的概念验证（PoC）利用代码，这可能会导致大规模攻击。这个缺陷被追溯到CVE-2024-29824，它是一个SQL注入缺陷，最初由一位独立研究员发现，并被出售给了趋势科技的Zero Day Initiative（ZDI）。

该缺陷允许未经身份验证的攻击者在程序中执行远程代码执行（RCE），使其在CVSS中获得 9.8分（满分10分）。具体缺陷存在于“RecordGoodApp”中，这是名为“PatchBiz”的动态链接库（DLL）文件中的一个方法，包含在程序的核心服务器中。攻击者可以利用 RecordGoodApp的第一个字符串，因为它没有充分验证用户输入数据就直接构建SQL查询。Horizon3.ai团队演示了一个“相当简单”的攻击请求，成功让目标系统运行了Windows记事本。Ivanti于日前发布了CVE-2024-29824 补丁，并进行了披露。对于尚未修补系统的组织来说，建议尽快实施这一修复，因为攻击者有记录会针对 Ivanti 的缺陷发动攻击，而现有的可用有效PoC无疑会进一步刺激他们。除了打补丁，组织还可以专注于保护其管理界面免受更广泛的Web影响。

原文链接：

https://www.darkreading.com/application-security/poc-exploit-critical-rce-bug-ivanti-endpoint-manager

据媒体BleepingComputer报道，近日，黑莓旗下网络安全公司Cylance证实，在名为“Sp1d3r”的威胁行为者以750000美元的价格兜售泄露信息后，其数据因“第三方平台”缺陷而受到损害。Cylance表示，被盗数据库中包括3400万封Cylance客户和员工的电子邮件，以及其客户、员工和合作伙伴的个人身份信息。不过，该公司强调，这一缺陷仅涉及2015年至2018年或黑莓收购之前使用的营销信息，并未影响其现有客户。

Cylance的声明称，虽然调查仍在进行，但BlackBerry Cylance系统和产品仍然安全，并由安全运营团队密切监控，这是公司对客户数据安全的持续承诺。根据初步审查，Cylance确认这些被盗数据并不涉及任何敏感数据，也没有影响到Cylance产品组合中任何产品或服务的使用或运营相关的客户数据。

原文链接：

https://www.scmagazine.com/brief/third-party-breach-confirmed-by-cylance-1

近日，安全研究人员发现了一种新型的机器学习（ML）模型攻击技术“Sleepy Pickle"，这种攻击方式利用了广泛使用的Pickle序列化格式来破坏ML模型本身，给企业的下游客户带来严重的供应链风险。Pickle是ML库如PyTorch常用的序列化格式，但在反序列化过程中存在安全隐患，可能导致任意代码执行。

Trail of Bits的安全研究员Boyan Milanov表示，Sleepy Pickle是一种隐蔽且新颖的攻击技术，它直接针对ML模型而非底层系统。这种攻击手法利用开源工具插入有效载荷到Pickle文件中，然后通过多种方式传递给目标系统，在反序列化时执行载荷并修改模型参数。Sleepy Pickle的攻击面相当广泛，因为只要控制了供应链中的任何一个Pickle文件，就可能危及目标组织的ML模型。这种攻击手法比直接上传恶意模型更有隐蔽性，黑客可以在不被发现的情况下持续访问ML系统。Sleepy Pickle表明高级模型级攻击可以利用底层软件组件与最终应用程序之间的连接，来利用供应链中的弱点。专家建议用户应该只从可信来源加载模型，依赖签名提交或使用TensorFlow/Jax格式，以降低Sleepy Pickle等攻击的风险。

原文链接：

https://thehackernews.com/2024/06/new-attack-technique-sleepy-pickle.html

根据谷歌旗下的网络安全公司Mandiant发布的报告，网络犯罪团伙UNC3944已将攻击重点转移到从软件即服务（SaaS）应用程序中窃取数据，而不再依赖于部署勒索软件等传统手段。UNC3944，又被称为"分散蜘蛛"等，是一个以经济利益为驱动的威胁组织，该组织自2022年5月成立以来，其攻击策略表现出了较强的适应性。Mandiant指出，UNC3944目前主要利用云同步工具从SaaS应用程序窃取数据，并滥用虚拟化平台的持久性机制以及SaaS权限，在受感染的环境中进行横向移动。

UNC3944的攻击生命周期通常始于针对企业服务的社会工程学技术，该组织利用从受害者社交媒体等渠道获取的个人身份信息，如社会安全号码、出生日期等，绕过服务台的身份验证，并借此重置多因素身份验证（MFA），获取特权账户访问权限。一旦获得初始访问权限，UNC3944会利用Mimikatz、ADRecon等工具，以及NGROK、RSOCX和Localtonet等隐蔽隧道实用程序，在受感染的虚拟机环境中保持持久访问，规避端点监控。他们还会针对vCenter、CyberArk、SalesForce等SaaS应用程序进行进一步的侦察和访问测试，并利用Airbyte和Fivetran等工具将数据导出到其控制的云存储。

为应对UNC3944的新型攻击手法，Mandiant建议企业采取以下缓解措施：实施基于主机的证书和MFA进行VPN访问；实施更严格的条件访问策略，限制云租户的可见性和访问权限；加强对SaaS应用程序和虚拟机基础架构的集中日志监控，并确保对SaaS应用程序进行全面的日志记录以及早发现恶意活动。

原文链接：

https://thecyberexpress.com/unc3944-shifts-focus-to-data-theft-from-saas/