江南信安网络安全汇总专栏,每周为您提供网络安全领域「标准规范、安全热点、行业发展、深度好文、融资信息」等最新资讯的追踪与共享。
1.中央网信办等四部门发布《互联网政务应用安全管理规定》
日前,中央网络安全和信息化委员会办公室、中央机构编制委员会办公室、工业和信息化部、公安部联合制定并引发《互联网政务应用安全管理规定》。各级党政机关和事业单位(简称机关事业单位)建设运行互联网政务应用时,应当严格遵守本规定要求,保障互联网政务应用安全稳定运行和数据安全。
2.全国首个垂直行业“数据要素x”行动方案发布
近日,中国气象局印发《“气象数据要素×”三年行动实施方案(2024—2026年)》(以下简称《实施方案》),持续推动气象数据开放共享与开发利用,充分发挥气象数据要素乘数效应,赋能经济社会高质量发展。
“气象数据要素×”是自2024年1月《“数据要素×”三年行动实施方案(2024—2026年)》发布以来,第一个推出的行业垂直“数据要素×”行动方案。
1.Blackbasta声称已窃取美国最大燃料分销集团730G数据
近日,勒索软件集团 Blackbasta 声称已入侵美国最大的国家级燃料分销商之一Atlas公司, 并将其添加到该组织旗下 Tor 泄露网站受害者名单中,这表明他们已成功渗透该公司的网络。
该团伙声称,从 Atlas 窃取了 730GB 的数据,包括公司账户、人力资源、财务、高管以及用户和员工个人信息等。作为攻击证据,他们发布了一系列文件,如员工身份证、数据表和工资单付款申请单。尽管 Atlas 尚未披露此次事件,但这次入侵无疑给这家能源公司造成了严重打击。
根据Rapid7的最新报告,在2023年所发现的网络和安全设备缺陷中,超过60%可被利用为零日漏洞,这反映了攻击者越来越擅长在补丁发布之前利用系统自身的安全缺陷。2023年以来,许多大规模入侵事件的攻击方式发生了明显转变。近四分之一(23%)的广泛传播的威胁性公共漏洞和暴露(CVE)来自高度协调的零日攻击,单一攻击者能够影响数百家机构。这种"单一攻击者,多目标"的模式取代了之前常见的"多攻击者,多目标"模式。研究人员指出,2023年开始,超过三分之一(36%)的广泛利用的漏洞来自网络边界技术,几乎是前一年的两倍。大部分广泛利用的CVE源于易于利用的根本原因,如命令注入和身份验证不当问题,而远离内存损坏利用。此外,2023年41%的事件是由于未启用或未强制实施多因素身份验证(MFA)而造成的。3.产品频曝严重漏洞,罗克韦尔向全球客户发出紧急断网通知
近日,在产品接连曝出多个严重漏洞后,工业自动化巨头罗克韦尔(Rockwell Automation)向其全球客户发出紧急通知,要求他们立即采取行动切断所有未设计用于连接互联网的工业控制系统(ICS)与互联网的连接,原因是全球地缘政治局势紧张,(针对罗克韦尔设备的)网络攻击活动日益猖獗。罗克韦尔表示,网络安全人员绝不应将此类工控系统设备配置为允许来自本地网络以外的系统远程连接。通过断开互联网连接,企业可以大幅减少自身遭受攻击的风险面,确保黑客组织Akteure(德语,意为行动者,此处指网络攻击者)无法直接访问尚未修复安全漏洞的罗克韦尔工控系统,从而阻止攻击者获取目标内部网络的访问权限。4.内部VPN遭漏洞攻击未向监管报告,这家金融巨头被罚超7000万元
5月23日消息,美国洲际交易所(ICE)因未能确保其子公司及时报告2021年4月出现的VPN安全漏洞,遭美国证券交易委员会(SEC)指控,需支付1000万美元(约合人民币7245万元)罚款。
《监管系统合规性和完整性》(Regulation SCI)法规要求,如公司发现入侵等安全事件,必须立即通知SEC,并在24小时内提供更新,除非他们确定事件对其业务或市场参与者的影响微乎其微。
5.Fluent Bit高危漏洞威胁全球云计算大厂
Fluent Bit不仅兼容Windows、Linux和macOS系统,还嵌入在各大主流Kubernetes发行版中,其中就包括亚马逊AWS、谷歌GCP和微软Azure的产品。截至2024年3月,Fluent Bit的下载部署量已超过130亿次,相比2022年10月报告的30亿次呈现爆炸式增长。
Crowdstrike、趋势科技等网络安全厂商以及思科、VMware、英特尔、Adobe和戴尔等科技公司均在其系统中部署了FluentBit。Tenable安全研究人员发现此漏洞并将其命名为“CVE-2024-4323-语言伐木工(Linguistic Lumberjack)”,这是一个内存损坏高危漏洞,出现在Fluent Bit嵌入式HTTP服务器解析跟踪请求过程中,版本号则最早可追溯至2.0.7。
1.陕西商用密码法治协同创新中心揭牌
5月19日,“陕西商用密码法治协同创新中心”揭牌仪式在“2024年陕西省首届密码技术竞赛”闭幕式上举行。国家密码管理局、陕西省委办公厅及相关单位领导、专家隆重出席了本次揭牌仪式。
据了解,2023年陕西省部署密码发展规划,决定成立“陕西商用密码法治协同创新中心”(以下简称“中心”)。该中心将依托国家知名密码法专家马民虎教授及其团队智力支持,整合运用“密码法治实践创新基地”现有学术资源和影响力,以组建商用密码法治工作组、创新联合体等多种方式开展好法治协同创新中心工作,并通过“商密大参考”公众号等平台发表最新研究成果,不断推动新时代商密法治建设壮大发展。
2.2024中国互联网发展创新与投资大赛(商密)暨商用密码创新应用大赛半决赛成功举行
5月17—18日,2024中国互联网发展创新与投资大赛(商密)暨商用密码创新应用大赛半决赛,在北京丰台科技园成功举行。大赛主办方中国互联网发展基金会、工信部网安中心、丰台区政府领导出席。
来自全国多个省市的34个企业项目团队和13支创客团队通过路演和答辩的形式展示了各自以密码技术为核心的最新产品、服务、技术及应用等成果,并在答辩环节就评委的提问进行了充分的互动。
3.智绘安全 乘数而上 2024西湖论剑·数字安全大会召开
5 月18日,以“智绘安全 乘数而上”为主题的2024第十二届西湖论剑·数字安全大会在杭州国际博览中心成功举行。
杭州市人民政府副市长胥伟华,中央网信办网络安全协调局副局长、一级巡视员郭涛等出席开幕式并致辞。中国工程院院士邬江兴,中国工程院院士吴世忠,中国新一代人工智能发展战略研究院执行院长龚克,全国数字经济联盟学术委员汪玉凯,安恒信息董事长范渊等作主题演讲。 大会聚焦探讨“数字安全助力数据要素×产业落地”“AI引领数字安全变革”等议题,全面、深入探讨人工智能浪潮下的数字安全新质生产力实现路径,旨在为国内数字安全领域的监管者、建设者、参与者提供一个交流与合作的平台,共同探索数字安全在AI时代的发展趋势,共同预见数字安全新未来。4.亚信安全信舱ForCloud全新品牌重磅发布
5月18日,亚信安全云安全全新品牌ForCloud正式发布。基于“全栈安全 为云而生”的创新理念,亚信安全云安全完成全新、全面、全栈升级。ForCloud的发布仪式在C3安全大会“云领未来:全栈一体化”云安全论坛上隆重举办,同时亚信安全还联合多家单位发布了《云安全技术发展白皮书》,获得现场与会嘉宾及观众们的高度关注与讨论。
5.国家数据局印发《数字中国建设2024年工作要点清单》
近日,国家数据局印发《数字中国建设2024年工作要点清单》(以下简称《工作要点》),对2024年数字中国建设工作作出部署。
按照《数字中国建设整体布局规划》要求,《工作要点》围绕高质量构建数字化发展基础、数字赋能引领经济社会高质量发展、强化数字中国关键能力支撑作用、营造数字化发展良好氛围环境等四个方面部署重点任务。主要包括:加快推动数字基础设施建设扩容提速,着力打通数据资源大循环堵点,深入推进数字经济创新发展,健全完善数字政府服务体系,促进数字文化丰富多元发展,构建普惠便捷的数字社会,加快推进数字生态文明建设,加强数字技术协同创新运用,稳步增强数字安全保障能力,不断完善数字领域治理生态,持续拓展数字领域国际合作交流空间。下一步,国家数据局将会同有关部门抓好各项任务落实,深化数据要素市场化配置改革,充分发挥数据要素潜力,全面提升数字中国建设的整体性、系统性、协同性,促进数字经济和实体经济深度融合,进一步赋能经济发展、丰富人民生活、提升社会治理现代化水平。
1.100项能源领域网络与数据安全政策全集(2024版)
能源是工业的粮食,能源安全事关国家根本安全。当今国际局势风云变幻,全球地缘政治、经济、科技体系正经历深刻变化,能源局势将更加错综复杂,威胁能源安全的各种“灰犀牛”“黑天鹅”事件时有发生,促使国际能源版图深刻变迁。作为世界最大的能源消费国,如何有效保障国家能源安全、有力保障国家经济社会发展,始终是我国能源发展的首要问题。只有把能源的饭碗端在自己手里,充分保障国家能源安全,才能把握未来发展主动权,牢牢守住新发展格局的安全底线。当下,随着新一代信息技术的蓬勃发展,能源行业的数字化和智能化程度也在不断加深,网络与数据安全深刻影响着整体能源安全的各个方面。随之,能源领域敏感数据的泄露、滥用、篡改等安全威胁也接踵而至,影响整体能源安全,进而威胁国家安全。因此,制定相关政策和标准,从合规维度赋能能源网络与数据安全体系建设至关重要。
https://mp.weixin.qq.com/s/utL7iUipOeS2sdcxDQVRZQ
由于无人机的控制系统和任务系统的集成度高且地面维护环境更为恶劣,单一的无线通信方式难以满足无人机通信扩展性和鲁棒性要求,研究了无人机单一通信方式的特点及缺陷,以及多种通信方式混合使用的关键技术,并以此提出了面向具体使用需求的无人机混合通信方案,为无人机间、无人机与地面站间、无人机与移动终端间的通信方案设计提供了参考。https://mp.weixin.qq.com/s/teWlqkw3JfrQBrv1vWPw1Q
3.邬江兴院士:关于数字经济安全的思考
5月18日,2024西湖论剑·数字安全大会在杭州隆重举行。作为西湖论剑的老朋友,中国工程院院士邬江兴出席开幕式及主题大会并作主题演讲。邬江兴院士的演讲不仅揭示了数字时代网络安全的深层次问题,也为未来安全范式的转变提供了前瞻性的思考和可行的策略建议,多次引发全场的共鸣和掌声。邬江兴首先指出,随着数字经济的蓬勃发展,数据已成为关键生产要素,网络安全问题日益严峻。他强调,尽管网络安全概念提出已有50多年,但问题非但未减,反而愈演愈烈。欧盟报告中的数据显示:网络犯罪造成的经济损失,仅次于中美两国的经济规模,网络安全对全球经济和社会稳定造成巨大威胁。
4.充分利用ATT&CK框架的5个典型用例与实践建议
MITRE ATT&CK框架已成为现代企业组织开展网络安全防护工作的宝贵资源,提供了基于真实世界观察的网络攻击战术、技术和流程的全面映射,能够帮助企业安全运营团队更加有效地应对这些威胁和攻击。多年来,这套框架随着组织和威胁领域的创新和升级而不断发展。不过由于涉及180余种技术和数百种子技术,这套框架看起来非常复杂,因此让很多企业在实际应用时挑战重重。
