技術標準規范
1.原創 | 權利義務框架下的移動互聯網APP個人信息保護——《個人信息保護法》
對APP個人信息保護影響分析
2021年11月1日,《個人信息保護法》正式生效施行,標志著我國個人信息保護新階段的全面開啟。當前數字經濟大背景下,移動互聯網應用程序(以下簡稱APP)的應用日益廣泛,業已成為個人信息保護首當其沖的重點領域之一。在新的法律框架下,開展APP個人信息保護應當重點關注什么?相關各方需要推進哪些工作?等等這些問題都值得我們深入探討。
https://mp.weixin.qq.com/s/SIfs45FiY0fINE9ScDJ7yQ
2.2021數據安全與個人信息保護技術白皮書
當前,以數字經濟為代表的新經濟成為經濟增長新引擎,數據作為核心生產要素成為了基礎戰略資源,數據安全的基礎保障作用也日益凸顯。伴隨而來的數據安全風險與日俱增,數據泄露、數據濫用等安全事件頻發,為個人隱私、企業商業秘密、國家重要數據等帶來了嚴重的安全隱患。
https://mp.weixin.qq.com/s/8vFIWaE8jeQTmEEVQM8KIw
3.重磅 | 數據出境“安檢”新規——《數據出境安全評估辦法(征求意見稿)》深度解讀
隨著全球化與數字經濟的發展,數據作為具有極大經濟價值的生產要素,在國際間的流動越來越頻繁,而且數量呈逐年增長趨勢。然而,數據跨境的無序流動會給數據主體和數據安全帶來風險,還關乎國家安全和社會公共利益。為了防范數據跨境流動中存在的各種風險,我國一直積極推動相關立法規范數據的跨境流動,例如《汽車數據安全管理若干規定(試行)》和《網絡安全審查辦法(修訂草案征求意見稿)》。
https://mp.weixin.qq.com/s/ooOBTSaDdy0iYsaanilZVQ
4.王源:《數據出境安全評估辦法(征求意見稿)》解讀
數據并非儲量有限的“石油”,而是可再生的數字能源。數據價值實現的本質在于流通和聯結,不同主體使用不同計算方法生產不同信息創造不同價值。
https://mp.weixin.qq.com/s/7OzDZ-p_PDczotIbXwzu7g
5.個人信息保護法,今日起實施
《中華人民共和國個人信息保護法》于2021年11月1日起施行。法律明確不得過度收集個人信息、大數據殺熟,對人臉信息等敏感個人信息的處理作出規制,完善個人信息保護投訴、舉報工作機制等,充分回應了社會關切,為破解個人信息保護中的熱點難點問題提供了強有力的法律保障。
https://mp.weixin.qq.com/s/2VZg1f50xLjI3t4lfiIMmg
6.禁止攻擊性網絡工具出口,美商務部新規90天生內效
美國商務部發布了新的規定,旨在阻止公司向中俄等國出售攻擊性網絡工具。任何目前受到美國武器禁運的國家都需要獲得許可證才能獲得某些技術。
https://mp.weixin.qq.com/s/GRROU_-H-zdI6cq4IbCXnA
行業發展動態
7.警惕!國家安全部公布三起危害重要數據安全案例
新華社北京10月31日電(記者劉奕湛、劉碩)近年來,國家安全機關堅持以總體國家安全觀為指導,統籌傳統與非傳統安全,陸續破獲了一批非傳統領域案件,消除了許多現實和潛在的危害。
https://mp.weixin.qq.com/s/2ZPc5iqfXc2_8HsuLbKETg
8.美“關基”保護新舉措--CISA啟動“具有系統性重要的關鍵基礎設施”標定工作
美國網絡安全和基礎設施安全局局長伊斯特利(Jen Easterly)當地時間10月29日表示,該機構已經開始著手規劃美國的關鍵基礎設施保護,即啟動“具有系統性重要的關鍵基礎設施”標定計劃,這類基礎設施可謂“關基”中的“關基”,如果這些設施遭到黑客攻擊,可能會對國家安全和經濟利益造成嚴重后果。
https://mp.weixin.qq.com/s/a99QHCdru_wrwe5CEiYxqg
9.疑是伊朗黑客組織“Black Shadow”攻陷了以色列互聯網公司并威脅要公布敏感數據
據以色列當地媒體報道,據信與伊朗有關的黑客組織入侵了以色列互聯網托管公司Cyberserve,關閉了其幾個網站。網絡攻擊造成包括以色列公共交通公司Dan and Kavim、兒童博物館和公共廣播電臺的在線博客在內的多個網站下線,截至30日中午,用戶都無法訪問這些網站。
https://mp.weixin.qq.com/s/i6OW-p5SR9dVBclF69KIAg
10.原創 | 美國打擊勒索軟件的難點在哪里?
10月14號,美國、歐盟和其他30個國家的代表出席由美國主導的虛擬反勒索軟件倡議會議,承諾降低勒索軟件的風險并加強金融系統免受破壞生態系統的攻擊,將勒索軟件攻擊稱之為“不斷升級的全球安全威脅,具有嚴重的經濟和安全后果。”但是值得一提的是,這些國家里并不包括俄羅斯和中國。
https://mp.weixin.qq.com/s/G4wPFl5HuU19aVkDLf7QVg
11.觀測軍事基地氣象數據等,國家安全機關披露三起境外數據竊密案
手段高超的黑客隱藏在世界上某個角落的屏幕后,重要數據瞬間被竊取……這并不是只在電影中出現的場景。進入信息化時代,數據被廣泛采集、匯聚,并被深度挖掘、利用,在促進科技進步、經濟發展的同時,安全風險不斷凸顯。有的數據“看似非密、實則勝密”,一旦被竊取將威脅我國家安全。
https://mp.weixin.qq.com/s/L53dQJHDs1XppqM2upPbag
12.美國乳制品巨頭遭勒索攻擊:工廠癱瘓數天 食品供應鏈被擾亂
近日,美國乳制品供應商Schreiber Foods遭到勒索軟件攻擊,導致系統宕機。在癱瘓4天后,工廠與配送中心終于再度恢復運行。這家乳制品生產巨頭已淪為近幾個月勒索軟件攻擊下的又一家關鍵行業受害者。很明顯,網絡犯罪分子在襲擊各行各業時毫不手軟,對這家主要加工酸奶、天然奶酪及奶油奶酪的食品供應商同樣痛下重手。
https://mp.weixin.qq.com/s/BZPuoQQ3Dr7IWgfBcZ3h7g
13.Signal回應美國當局對用戶數據需求傳票
Signal在安全性和隱私方面享有無與倫比的聲譽,得到了美國國家安全局(NSA)舉報人愛德華·斯諾登(Edward Snowden)和WhatsApp創始人布萊恩·阿克頓(Brian Acton)的高度認可。
https://mp.weixin.qq.com/s/YLR0a9rki5YOblXAE8qPEA
14.加拿大最大城市遭勒索攻擊,公共交通IT系統幾乎全部癱瘓
一次突如其來的勒索軟件攻擊,擾亂了加拿大最大城市多倫多的公共交通機構正常運行,導致司機及通勤乘客使用的多個系統陷入癱瘓。
多倫多交通委員會(TTC)表示,在10月28日(上周四)晚上發現這起攻擊,上報者為委員會內部的一位IT人員,他發現了“異常網絡活動”。
https://mp.weixin.qq.com/s/giN5UAizuD26hOq9rEtx1w
15.車聯網時代的五個重點安全目標
車聯網,作為信息化與工業化深度融合的重要領域,對促進汽車、交通、信息通信產業的融合和升級,及相關產業生態和價值鏈體系的重塑具有重要意義。伴隨車聯網智能化和網聯化進程的不斷推進,車聯網網絡安全事件出現,用戶生命財產安全受到威脅,車聯網安全已成為關系到其能否快速發展的重要因素。
https://mp.weixin.qq.com/s/lp-OyXKbGUMbOKfVpUxuGQ
16.網絡攻擊×虛假新聞引發擠兌風波!巴基斯坦央行緊急澄清
據兩位消息人士披露,巴基斯坦國民銀行(National Bank of Pakistan,NBP)剛剛遭遇了一次“破壞性”網絡攻擊。這起事件發生在上周五和周六(10月29-30日)夜間,受到影響的包括銀行后端系統,以及用于實現各級分行間互連、控制銀行ATM網絡并支持銀行手機應用的后端基礎設施。
https://mp.weixin.qq.com/s/7VqKV3NYQxXDni3KmF4L2Q
17.烏克蘭披露俄羅斯APT組織人員信息與通話錄音
烏克蘭安全局(SSU)于2021年11月4日披露了俄羅斯APT組織Gamaredon的五名成員真實身份,將其成員與俄羅斯聯邦安全局(FSB)的克里米亞分部關聯了起來。
https://mp.weixin.qq.com/s/X5oqkUJiGyuL38kznmBZow
18.英國第二大黨遭受網絡攻擊
10月29日,英國工黨獲悉其第三方數據代理商遭受網絡攻擊后,立即做出應對,聯合網絡安全專家對內部數據系統重新審核,未發現自身數據系統存在安全隱患。
https://mp.weixin.qq.com/s/12nKm8JHDepEcIWIcPod3Q
19.美國務院懸賞1000萬美元劍指DarkSide頭目
美國國務院今日宣布懸賞高達1000萬美元用于獎勵提供關于臭名昭著的DarkSide勒索軟件跨國有組織犯罪集團中擔任關鍵領導職位的任何個人的身份或位置的信息。此外,該部門還提供500萬美元的獎勵,以獲取導致在任何國家/地區逮捕和/或定罪的任何密謀參與或試圖參與DarkSide勒索軟件事件的個人的信息。
https://mp.weixin.qq.com/s/V7wl4uRUPURRiBQeD3rXEA
安全威脅分析
20.航空產業已成境外情報機構重點網絡攻擊目標
2021年10月31日,國家安全機關公布某航空公司數據被境外間諜情報機關網絡攻擊竊取案,其稱在2020年1月,某航空公司向國家安全機關報告,該公司信息系統出現異常,懷疑遭到網絡攻擊。國家安全機關立即進行技術檢查,確認相關信息系統遭到網絡武器攻擊,多臺重要服務器和網絡設備被植入特種木馬程序,部分乘客出行記錄等數據被竊取。
https://mp.weixin.qq.com/s/fXGsf_uzd3JsjLXcxaPu9g
21.重要數據 | 國家安全視野中的數據分類分級保護
對數據分類分級,是開展數據安全治理的起始點。目前,在我國網絡安全和數據安全相關的法律法規中,數據分類分級的要求多有體現,但基本上這些分類分級的思路和方案均站在組織內部的視角,目的是提升組織的數據安全管理能力和水平。本文將之稱為“自下而上”的數據分類分級。
https://mp.weixin.qq.com/s/65Y1hIo5Qwz8CPUo9PRaDQ
22.深度學習如何廣泛用于惡意軟件檢測和分類
人工智能(AI)不斷發展,并在過去十年中取得了巨大進步。深度學習(DL, Deep Learning)是機器學習(ML, Machine Learning)領域中一個新的研究方向,深度學習是學習樣本數據的內在規律和表示層次,這些學習過程中獲得的信息對諸如文字,圖像和聲音等數據的解釋有很大的幫助。
https://mp.weixin.qq.com/s/JfR0wEQkgFC32AJ83t3yFw
23.勒索攻擊組織運營發展的七大趨勢
勒索軟件攻擊仍然是許多網絡犯罪分子的首選,穩妥地勒索或大或小的受害者,追求一個安全、容易和可靠的收益來源。但勒索軟件本身仍在以多種方式發展演化。例如,新玩家不斷出現,而大牌偶爾會退出江湖。一些犯罪團伙采用復雜的勒索軟件即服務的方式,吸引并利用網絡滲透、談判、惡意軟件開發等方面的專家。
https://mp.weixin.qq.com/s/-kGzL1uHPOuL7k34-GQoww
24.Shrootless:macOS漏洞可繞過系統完整性保護
微軟在macOS系統中發現了一個安全漏洞,該漏洞CVE編號為CVE-2021-30892。攻擊者利用該漏洞可以繞過macOS的系統完整性保護(System Integrity Protection,SIP),并在設備上執行任意操作。研究人員還發現了一個類似的技術使得攻擊者可以在受影響的設備上實現root級的權限提升。
https://mp.weixin.qq.com/s/x7dH-QwErsm4Z-cDneDRsw
25.工控網絡攻擊后果堪比武器
鑒于工控(OT)威脅的加速增長,IBM Security X-Force觀察到的一些針對OT網絡組織的最常見威脅,包括勒索軟件和漏洞利用。IBM還將強調幾種可以增強OT網絡安全性的措施,這些措施基于X-Force 紅隊滲透測試團隊的見解和X-Force事件響應經驗,幫助OT客戶應對安全事件。其中包括對數據記錄系統和網絡架構(如域控制器)的關注。
https://mp.weixin.qq.com/s/l3D0uXDPRotXV0O2RvkUeg
26.來自印度的網絡攻擊者攻擊我國國防軍事企業單位
11月1日,《環球時報》記者獲悉,今年以來集團捕獲了多起針對我國和南亞次大陸國家的釣魚攻擊活動,來自印度的網絡攻擊者試圖攻擊我國國防軍事以及國企單位。這份分析報告即將對外公開發布。
https://mp.weixin.qq.com/s/9BL2znReMFeSwxQh-p3DCQ
27.工業網絡安全:OT和IT融合有多么艱難?
數字化轉型背景下,IT與OT的融合早已不是一個新鮮的話題,但卻仍然是一個永恒的話題。工業網絡安全的范式轉變也在期盼IT安全與OT安全的融合,二者各為其主、自說自話的現狀并不鮮見。原因就在于IT和OT之間的鴻溝是根深蒂固的。
https://mp.weixin.qq.com/s/7QAFFHhZTAK3ylCM81JTEw
28.原創 | CVE-2021-35052:WinRAR遠程代碼執行漏洞分析
WinRAR是一款功能強大的壓縮包管理工具,廣泛應用于Windows系統的RAR、ZIP等類型的壓縮文件的創建與解壓中。2021年10月20日,Positive Technologies公司的Psych0tr1a(https://twitter.com/Psych0tr1a)公開披露WinRAR 5.70試用版及以前版本存在遠程代碼執行漏洞,此漏洞允許攻擊者攔截和修改發送給用戶的請求,以達到執行遠程代碼的目的。
https://mp.weixin.qq.com/s/FVNXzkKZXw-BcJn1yNojnA
29.黑客們正在“深海釣魚”,我們該如何應對?
黑客正在使用一種我稱之為“深海網絡釣魚”的方法提升他們的攻擊水平,即結合使用下面我將提到的一些技術來使自己變得更具攻擊性。為了跟上步伐,網絡安全創新者一直在努力開發工具、技術和資源來提高防御能力。但是,組織如何才能應對尚未啟動甚至尚未構想出來的不斷演變的威脅呢?
https://mp.weixin.qq.com/s/yyZb9PkvIDUlnU3VGQ1eQw
30.美國CISA命令聯邦機構緊急修復數百個正在被利用的安全漏洞
CISA發布了今年的第一個約束性操作指令(BOD),命令聯邦民事機構在規定的時間范圍內消除安全漏洞。根據CISA管理的漏洞目錄中規定的時間表修復每個漏洞。該目錄詳細列出對聯邦企業帶來重大風險的已利用漏洞,并要求在6個月內修復具有2021年之前分配的通用漏洞和暴露 (CVE) ID編號的漏洞,并在即日起兩周內修復所有其他漏洞。
https://mp.weixin.qq.com/s/ypD6qqsqI_JD0-MgrfLq2A
31.《個人信息保護法》正式實施的意義
11月1日,《中華人民共和國個人信息保護法》正式實施,標志著我國個人信息保護立法體系進入新的階段。該法立足于數據產業發展的實踐和個人信息保護的迫切需求,標志著我國在個人信息保護方面的制度更加完備,法律保障更加堅實。
https://mp.weixin.qq.com/s/4iUPozSwaRXNA3egK3HO5g
32.實戰化背景下,網絡安全如何運營?
近年來,在合規驅動,以及實戰演練成為常態化的大背景下,網絡安全防護體系建設不再是簡單的堆砌設備,也不再是頭疼醫頭、腳痛醫腳式的應付做法,開始呈現走向實戰化攻防的趨勢,注重建立實戰化安全運營的能力。
https://mp.weixin.qq.com/s/p2C-AlRdL84pSlyEolvT-A
33.過程傳感器的網絡安全問題--危言聳聽還是真實存在?
2021年10月28日,美國能源部長格蘭霍姆召開了她的顧問委員會(SEAB)第一次會議。本次會議議題包括能源部的“能源地球射擊(Earthshot)計劃”和對清潔能源的關注。Michael Mabee、Joe Weiss、David Bardin 和 Tommy Waller 等行業專家在會上陳述了意見建議。
https://mp.weixin.qq.com/s/6QcDFavrIR1oS8aFjnONHw
安全技術方案
34.NSA和CISA發布關于保護5G云基礎設施的安全指南第一部分--預防和檢測橫向移動
美國國家安全局和國土安全部的網絡安全和基礎設施安全局(CISA)當地時間10月28日發布了保護5G云基礎設施的一系列指導文件中的第一份,關于保護云原生5G網絡免受旨在通過拆除云基礎設施來破壞信息或拒絕訪問的攻擊的指南,該第一部分的主題是防止和檢測橫向移動。
https://mp.weixin.qq.com/s/d4Jcs-e_lbiI0NvkMqaLkA
35.原創 | 從研究工控設備到發現供應鏈威脅
近年來供應鏈攻擊頻發,供應鏈攻擊和勒索軟件攻擊正成為黑客謀利的重要手段,對社會危害非常巨大。供應鏈攻擊是一種以軟件開發人員和供應商為目標的威脅, 攻擊者通過感染合法應用的方式分發惡意軟件來訪問源代碼、構建過程或更新機制從而達到對開發人員和供應商進行攻擊的目的。
https://mp.weixin.qq.com/s/9XYNqpW0vXivykvmFx0HEQ
36.國內首個汽車數據安全技術文件《汽車采集數據處理安全指南》發布
2021年10月,我國首個汽車數據安全技術文件《汽車采集數據處理安全指南》(以下簡稱《指南》)正式發布。《指南》通過技術文件建議的方式明確了境內汽車重要及敏感數據的采集、傳輸、存儲和出境要求,將對汽車制造商實施數據安全保護產生廣泛影響。
https://mp.weixin.qq.com/s/o3lej6bc4QIx0pGbw9Im2g
37.密碼技術在5G安全中的應用
隨著第五代移動通信(Fifth Generation:5G)技術標準的完善,5G 在各個領域受到前所未有的關注,然而 5G 依然面臨一些安全挑戰。針對 5G 終端的接入安全和數據安全問題,指出合適的密碼技術解決方案。
https://mp.weixin.qq.com/s/fmd4wSx3zdmGb0B865iX0Q
38.原創 | 云內微隔離幫助企業安全上云
網絡病毒如同新冠病毒一樣在云環境中擴散,云內安全防護越來越引人關注。運用零信任的云內微隔離技術,可以有效地使企業上云更加放心、安全。
https://mp.weixin.qq.com/s/JKBPGD5rDfbZnDr93eLg7A