2024年第10周安全周报 | 本周安全要闻速览

据中央广播电视总台中国之声《新闻纵横》报道，《株洲市公共安全视频图像信息系统管理条例》3月1日起在湖南省株洲市施行，这被称作是全国第一部管理公共安全摄像头的地方性法规。《条例》列出了禁止安装视频图像采集设备的场所，还规定市人民政府应当充分利用和整合视频图像信息系统资源，建立统一的公共安全视频图像信息共享平台。并指出摄像头的所有权人或者管理人，应当规范视频图像信息的收集、存储、使用、传输、查阅、复制等行为，包括定期维护，确保系统有效运行；建立并落实视频图像信息查阅留痕制度；除依法另有规定之外，信息存储期不得少于三十日等。对于个人在哪些情况下可以使用公共安全摄像头拍摄到的信息，《条例》限定为：因老人、儿童、智力障碍者等特殊群体人员走失，其监护人、近亲属可以申请公安机关查阅公共安全视频图像信息。

为指导汽车数据处理者对车外画面进行人脸、车牌局部轮廓化处理效果的自行验证，秘书处组织编制了《网络安全标准实践指南——车外画面局部轮廓化处理效果验证》。本《实践指南》给出了验证车外画面进行人脸、车牌局部轮廓化处理效果的流程、方法及验证指标，可为汽车数据处理者及有关机构验证车外画面局部轮廓化处理效果提供参考。

近日，美国国家安全局发布了新的零信任指南，旨在帮助企业通过零信任框架原则来抵御外部网络攻击。零信任安全架构要求对网络资源的访问进行严格控制，无论是在物理边界内外，以最大限度地减少漏洞的影响。一般情况下，传统的 IT 安全模式会以默认可信的模式来运行，但零信任一般直接会默认假定威胁已经存在，不允许任何人在网络内自由行动。零信任的成熟度是通过解决威胁行为者在攻击中可以利用的各种组件或支柱逐步实现的。

美国财政部3月5日发布公告，将对一家总部位于希腊的商业间谍软件公司 Intellexa实施制裁，该公司被指利用间谍软件来针对美国政府官员、记者和政策专家。财政部称， Intellexa 牵头开发了一套名为 Predator 的工具，使得商业间谍软件和监视技术在世界各地扩散，黑客、外国敌对分子和网络犯罪分子可以使用高度侵入性的 Predator 间谍软件来瞄准移动平台，包括 iOS 和 Android，并未经授权访问这些设备上的敏感信息。制裁将有效冻结所有美国资产，并阻止任何美国人与上述个人或其关联实体开展业务。财政部表示，任何与受制裁实体和个人进行交易的金融机构或美国公民都可能面临制裁或执法行动。美国财政部负责恐怖主义和金融情报的副部长布莱恩·纳尔逊在一份声明中表示：“今天的行动在阻止商业监控工具的滥用方面迈出了切实的一步，商业监控工具日益给美国和我们的公民带来安全风险。”

针对美国医疗IT公司Change Healthcare的勒索软件攻击是近年来最具破坏性的一次。这次攻击使得美国各地药店陷入瘫痪，就连医院内部药店也未能幸免，并对美国境内的处方药供应造成了严重困扰，已经持续了超过10天。这场灾难性事件仍在不断发展，黑客组织内部的纷争揭示了最新的进展：攻击者背后的一个合作伙伴指出，发动攻击的AlphV或BlackCat黑客组织收到了一笔疑似赎金的巨额款项，金额高达2200万美元（约合人民币1.58亿元）。这位黑客还写道，在他们侵入Change Healthcare网络的过程中，他们已经访问了与该公司合作的众多其他医疗保健公司的数据。Recorded Future研究员Smilyanets指出，如果这一说法属实，这位黑客有可能仍然持有敏感医疗信息，造成额外风险。即使Change Healthcare确实向AlphV组织支付了赎金，这位黑客仍可能要求支付额外的赎金，否则将自行泄露数据。Smilyanets说：“相关黑客仍然拥有这些数据，他们因为没有收到这笔钱感到愤怒。这给了我们每个人一个很好的教训。不能信任犯罪分子，他们的话一文不值。”

3月7日消息，英国外包公司Capita报告称，2023年的损失超过1.066亿英镑（约合人民币9.77亿元），其中约1/4由该年3月遭受的勒索软件攻击事件直接造成。该公司最初表示，预计该事件的应对成本高达2千万英镑（约合人民币1.83亿元），后来又上调了预测成本。7日公布的年度业绩报告显示，攻击造成的净成本为2530万英镑（约合人民币2.32亿元）。Capita将其余的损失归因于高成本，包括业务退出和商誉减值。在公布年度业绩时，公司CEO还宣布了旨在应对亏损的削减成本计划。Black Basta勒索团伙表示对这起事件负责。自攻击发生以来，Capita的股价已经下跌了超过54%。从去年事件首次曝光前一天到今年3月6日，股价从38.64英镑跌至16.18英镑。在事件首次曝光时，Capita最初表示，“没有证据表明客户、供应商或同行的数据遭到泄漏。”随后，该公司澄清称，随着事件分析进一步深入，可能会出现此类证据。最终，Capita确认“该公司以及第三方提供商的司法鉴定结果表明，有不到0.1%的服务器确实出现了数据被窃的情况。”被入侵服务器的百分比并不是衡量被窃取数据量的行业标准。该公司没有透露黑客成功窃取了多少千兆字节的数据，也没有透露受影响客户、供应商和同行人数。

思科Talos的研究员在一份报告中指出：“GhostSec和Stormous勒索软件组织联合发起了针对超15个国家各行业的双重勒索攻击。”该网络犯罪组织通过GhostLocker进军勒索软件即服务（RaaS），以每月269.99美元的价格向其他参与者提供服务。并宣布将采用基于Python的勒索软件进行攻击。在2024年推出了名为STMX_GhostLocker的全新RaaS计划：“新计划包括向附属机构提供的付费服务、免费服务以及用于在博客上出售或发布数据的个人服务（PYV服务）。号称完全高效并提供快速的加密/解密功能。”Talos表示，他们发现GhostSec可能使用两种新工具破坏合法网站。其中之一是“GhostSec深度扫描工具集”，用于递归扫描合法网站，另一个是名为“GhostPresser”的进行跨站点脚本（XSS）攻击的黑客工具。

近日，白宫顾问委员会建议美国联邦政府制定新的关键基础设施安全经济激励计划，推动关键基础设施所有者和运营商提高网络安全标准，围绕信息共享制定新的责任保护措施，并简化日益复杂的国家网络安全监管制度。根据美国国家安全电信咨询委员会（NSTAC）的最新报告，企业（基于商业风险、降本增效）的安全投资理念与美国政府保护关键基础设施网络安全的投资要求存在显著差距，这一差距威胁到了国家的安全态势和应急响应能力。报告指出，尽管私营部门基于成本效益分析和其他风险管理考虑进行了一定程度的网络安全投资，但这些投资未能达到联邦政府为提高国家安全态势所认为必需的水平。委员会建议美国国家网络主任办公室与业界合作，研究一系列新的财政激励措施，例如减税和联邦拨款，以帮助缩小网络安全投资缺口。对于那些资源不足以进行充分网络安全投资的组织，或市场力量未能充分激励其对国家安全或应急响应所进行充分投资的组织，报告强调联邦政府需要提供额外的激励和支持，以鼓励采用网络安全最佳实践。