2023年第40周安全周报 | 本周安全要闻速
● 国家标准《信息安全技术 存储介质数据恢复服务安全规范》征求意见稿发布
全国信息安全标准化技术委员会发布《信息安全技术 存储介质数据恢复服务安全规范》征求意见稿。文件规定了存储介质数据恢复服务的安全原则、安全管理要求和安全实施要求,并描述了满足安全管理要求和安全实施要求的评价方法。文件适用于指导存储介质数据恢复服务机构针对非涉及国家秘密的数据恢复服务的实施和管理、存储介质数据恢复服务机构的自评价和第三方监督评审,也适用于存储服务使用单位采购数据恢复服务的评价。
来源: 全国信息安全标准化技术委员会
● 国家网信办《规范和促进数据跨境流动规定》公开征求意见
为保障国家数据安全,保护个人信息权益,进一步规范和促进数据依法有序自由流动,依据有关法律,国家网信办起草了《规范和促进数据跨境流动规定(征求意见稿)》,现向社会公开征求意见。征求意见稿提出,国际贸易、学术合作、跨国生产制造和市场营销等活动中产生的数据出境,不包含个人信息或者重要数据的,不需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。未被相关部门、地区告知或者公开发布为重要数据的,数据处理者不需要作为重要数据申报数据出境安全评估。
来源: 中国网信网
● 葡萄牙和多米尼加共和国政府遭到了Rhysida勒索软件团伙攻击
勒索软件团伙声称对两个政府机构发动了攻击,这两个机构都证实他们因这些事件而面临一系列问题。距离葡萄牙波尔图市约20分钟路程的郊区贡多马尔市9月27日表示,该市成为网络攻击的目标,迫使官员下线系统并联系该国国家网络安全中心和国家数据保护委员会和当地执法部门。政府表示,一些市政服务将受到干扰,而专家们正在努力解决这一问题。10月2日,官员们澄清说,政府提供的所有在线服务将在本周停止运行,但居民可以亲自前来支付账单、获得许可并采取其他行动。截至10月6日,市政府报告称,其电子邮件系统仍然处于瘫痪状态,导致与当地居民的联系变得困难。该组织还宣布对负责该国移民系统的多米尼加共和国移民局发动另一次袭击。该机构10月4日证实了这一事件,并发表声明称黑客窃取了数据。并在泄密网站上分享了据称从市政府窃取的护照和其他财务文件的样本。
来源:The Record
● 美国国土安全部将发布关键基础设施的人工智能指南
美国国土安全部为帮助保护美国关键基础设施制定最佳网络安全实践所做的努力已扩大到涵盖新兴技术,并即将发布有关如何利用人工智能技术的指南。美国国土安全部政策办公室副部长罗伯特·西尔弗斯(Robert Silvers)在关键基础设施技术研究所的AI DC 2023简报会上讨论了人工智能和机器学习系统可为国家安全带来的好处,并承认护栏有限的新兴技术所伴随的风险。Silvers表示,国土安全部的首要任务是充当“先锋”,建立监管框架,以确保该机构内外安全、合乎道德地使用人工智能。“[人工智能]可以是一件美妙的事情,但你还可以做更多的工作来确保它为美国人民负责任和安全地完成,”他说。“这就是我们采取的方法。”为了促进这一目标,西尔弗斯表示,国土安全部正在努力为关键基础设施公司制定有关如何在其运营中安全部署人工智能解决方案的指南。即将发布的指南的范围将解决如何成功审核前端和后端系统、何时将人员纳入自动化流程以及如何缓解广泛的严重系统故障。
来源:nextgov
● 英国电信巨头Lyca遭受网络攻击导致客户无法拨打电话、充值
近期发生的网络攻击扰乱了英国电信巨头Lyca的网络,导致客户无法购买更多通话时间。Lyca自称是全球最大的国际移动虚拟网络运营商,拥有超过1600万客户。他们在欧洲、非洲和亚洲的23个国家/地区提供即用即付SIM卡。本周,该公司表示,在意识到客户购买更多通话时间以及拨打国际和国内电话的问题后,开始调查。该公司表示:“这些问题影响了除美国、澳大利亚、乌克兰和突尼斯之外的所有Lyca Mobile市场。”该公司聘请了技术专家与执法机构一起帮助应对。Lyca表示,受攻击影响的移动电信服务现已在所有市场恢复,但“还有一些运营服务尚未完全解决”。
来源:The Record
● 美国推动非机密联邦信息系统的网络安全标准化
根据《联邦公报》10月3日发布的通知,美国国防部(DoD)、总务管理局(GSA) 和美国国家航空航天局(NASA) 正在提议修订《联邦采购条例》(FAR)。此举有助于部分实施一项行政命令,以标准化联邦机构对非机密联邦信息系统(FIS)的网络安全合同要求,以及一项关于改善国家网络安全的法规。该通知承认政府有责任保护其计算机系统,无论它们是基于云的、本地的还是两者的混合。“保护和安全的范围必须涵盖处理数据的系统(例如信息技术(IT))以及运行确保其安全的重要机器的系统(例如操作技术(OT))。” 它还指出,政府与IT和OT服务提供商签订合同,在FIS上执行一系列日常功能,FIS是由机构、机构承包商或机构使用或运营的信息系统。该通知呼吁相关各方于2023年12月4日或之前向监管秘书处提交书面意见,以在制定最终规则时予以考虑。
来源:网空闲话plus
● CISA对ICS、OT、医疗设备的安全公告实施OASIS CSAF2.0标准
美国网络安全和基础设施安全局(CISA)宣布正式采用OASIS通用安全咨询框架(CSAF)2.0版标准,发布与ICS(工业控制系统)、OT(运营技术)和医疗设备相关的安全咨询。此举使用 CSAF 2.0 标准提供机器可读的建议,通过加入该机构采取主动措施来实现自动化、未来工具并推动及时修复。CSAF支持安全建议的生产、分发和使用的自动化,从而缩短漏洞披露与企业修复漏洞之间的时间,并支持未来用于自动化漏洞信息共享的工具。通过使用 CSAF 2.0标准提供机器可读的建议,软件和硬件的供应商和提供商可以与 CISA一起采取主动措施来实现自动化和未来工具,从而推动及时修复。该举措建立在领先安全机构去年10月推出的举措的基础上,该举措解决了漏洞管理格局转型的需要。该机构发现,在当前的风险环境中,各种规模的组织都面临着管理新漏洞的数量和复杂性的挑战,并呼吁组织使用考虑漏洞利用状态的漏洞管理框架。
来源:industrialcyber
● 英国王室网站因DDoS攻击而瘫痪
英国王室官方网站10月1日因分布式拒绝服务(DDoS)攻击而离线。据《独立报》报道,从当地时间上午10点开始,Royal.uk网站大约有90分钟无法访问。但很快Cloudflare检查已经到位,以确保寻求访问该网站的IP地址不是自动机器人,它就再次完全正常运行。据报道,臭名昭著的俄罗斯黑客组织Killnet在其Telegram频道上吹嘘自己对此次攻击负责,尽管这一消息尚未得到证实。安全供应商RiverSafe的首席技术官Oseloka Obiora认为,所有组织都应确保其安全状况符合目的。他说:“无论你是王子还是乞丐,网络犯罪分子都会对你下手,这起事件再次提醒人们,复杂的在线攻击所带来的危险。”“展望未来,各种类型和规模的组织都需要紧急更新其网络防御,无论是在技能还是软件方面,以防止恶意黑客实现其阴险的目标。”
来源:网空闲话plus
