2024年第51周安全周报 | 本周安全要闻速览
● 国务院常务会议审议通过《公共安全视频图像信息系统管理条例(草案)》
据央视《新闻联播》报道,国务院总理李强12月16日主持召开国务院常务会议,学习贯彻习近平总书记在中央经济工作会议上的重要讲话精神,对贯彻落实中央经济工作会议决策部署作出安排。在本次会议中,审议通过了《公共安全视频图像信息系统管理条例(草案)》,指出要规范公共安全视频系统建设和使用,更好维护公共安全、保护个人隐私。
来源:司法部
● 2项网络安全标准实践指南公开征求意见
根据《全国网络安全标准化技术委员会<网络安全标准实践指南>管理办法(暂行)》要求,全国网络安全标准化委员会秘书处现组织对《网络安全标准实践指南——生成式人工智能服务安全应急响应指南(征求意见稿)》和《网络安全标准实践指南——移动互联网未成年人模式技术要求(征求意见稿)》面向社会公开征求意见。如有意见或建议,请于2024年12月31日前反馈至秘书处。《网络安全标准实践指南——生成式人工智能服务安全应急响应指南(征求意见稿)》旨在为提高生成式人工智能服务安全应急响应能力,指导生成式人工智能服务提供者等有关单位做好安全应急响应工作。《网络安全标准实践指南——移动互联网未成年人模式技术要求(征求意见稿)》旨在为指导应用程序提供者、移动智能终端制造商和移动应用程序分发平台提供者开展未成年人模式的研发和应用。
来源:全国网络安全标准化技术委员会
● 美国CISA发布《国家网络事件响应计划》更新草案
美国网络安全与基础设施安全局(CISA)日前发布《国家网络事件响应计划》(NCIRP)更新草案,面向公众征集意见。此次更新是 CISA 通过联合网络防御协作组织(JCDC),并与国家网络总监办公室(ONCD)密切协作完成,旨在应对自 2016 年 NCIRP 发布以来政策及网络运营领域的重大变化。NCIRP作为美国对网络安全事件进行协调响应的战略框架,围绕资产响应、威胁响应、情报支持、受影响实体响应这四大工作主线展开,涵盖网络安全事件响应生命周期中的协调机制、关键决策节点和优先行动,还明确了响应相关方在处理跨部门、公私合作或联邦层面协调的网络事件时应借助的架构,但它并非详细的操作手册。CISA 局长 Jen Easterly 表示,当下威胁环境愈发复杂,急需一套无缝、灵活且高效的事件响应框架。这个草案的主要更新包括:为非联邦利益相关方提供参与网络安全事件响应协调的明确途径;通过简化内容和与操作生命周期对齐,提高了可用性;涉及机构角色和责任的相关法律和政策变化;为未来的NCIRP更新提供可预测的循环。
来源: 安全牛
● 美国罗德岛州遭网络攻击,数十万居民或面临数据泄露风险
美国罗德岛州近日遭遇重大网络攻击,政府系统成为攻击目标,自 2016 年起参与该州社会服务项目的数十万居民个人数据恐遭泄露。德勤、执法部门及 IT 专家正全力遏制数据泄露态势。该州官员证实,用于管理医疗补助计划(Medicaid)和补充营养援助计划(SNAP)等项目的政府系统 RIBridges 遭国际网络犯罪集团入侵。该州州长确认,黑客植入了能给系统造成“灾难性破坏”的恶意软件,受影响居民社保号及银行账户等敏感信息很可能已被盗取。他敦促受影响居民采取冻结信用、更改密码等预防措施。据美联社援引州官员言论报道,黑客索要赎金,威胁若不支付就公开敏感数据。攻击致使门户网站下线,服务中断,居民和企业已处于警戒状态。为发放 12 月福利及处理 1 月支付事宜,官方已改用人工处理方式。
来源:CSO
● 法国标致汽车经销商遭遇勒索攻击,超35GB用户数据或泄露
Cicada3301勒索软件团伙近日宣称对法国标致汽车经销商 Concession Peugeot发动攻击,窃取了35GB敏感用户数据,其中包括官方和内部通信、发票和护照复印件等。此次所谓的入侵事件于12 月15日由该Cicada3301团伙在其官方暗网泄露站点公布。该团伙采用勒索软件即服务(RaaS)模式运营,收取20%佣金。在 RaaS 模式下,附属成员能租用勒索软件基础设施发起攻击,事成后与运营者分成。Cicada3301勒索软件团伙最早由网络安全公司Truesec发现,于 2024 年 6 月现身。其勒索软件使用Rust编写,可针对Windows和Linux/ESXi系统,具备跨平台能力。
来源:HACKREAD
● 英国Ofcom发布新指导方针以应对网络危害
英国通信服务监管机构Ofcom发布了针对科技公司的新指导方针,以解决其平台上的网络危害,作为《网络安全法》规定的义务的一部分。该法案于2023年10月通过,要求科技公司解决包括儿童性虐待和欺诈在内的一系列网络危害。Ofcom有权对未能遵守要求的公司处以高达1800万英镑或其年收入10%的罚款。新的行为准则包括任命高级责任人、确保审核团队资源充足、改进算法测试、解决网络诱骗途径、使用技术检测非法内容、建立反欺诈报告渠道等。Ofcom警告,对于未能履行职责的平台,将采取早期执法行动,并计划在2025年春季就进一步的规范措施进行磋商。
来源:InfoSecurityMagazine
● 俄罗斯加强对SIM卡盒和虚拟PBX的监管
俄罗斯数字发展部正在与FSB和内政部合作,制定新法案以加强对SIM卡盒和虚拟PBX(自动电话交换机)系统的监管。这些技术常被用于建立呼叫中心和分配电话呼叫,但由于缺乏监管,已被网络犯罪分子滥用进行欺诈。新法案要求,只有与运营商签订协议并提供详细信息(如SIM卡标识符和使用目的)的法人或个体企业才能使用SIM卡盒。此外,虚拟PBX系统将被要求设立在俄罗斯境内,并强制使用统一的用户身份认证系统,同时必须配合SORM(国家监控系统)使用。该法案是俄罗斯“反欺诈一揽子计划”的一部分,旨在打击电话欺诈行为。包括引入冻结贷款发放、两天“冷静期”以及通过添加可信联系人来加强金融交易安全等措施。专家指出,虽然技术上这些措施可行,但攻击者可能会利用虚构企业或其他手段规避限制。为了有效打击非法行为,拟议法案将对违规使用SIM卡盒的行为实施最高三年的监禁刑罚。预计这些措施将使市场更加透明,减少约10%的非法活动。
来源:SecurityLab
● 俄罗斯数字发展部更新软件兼容性要求
俄罗斯数字发展部发布了一项决议草案,对国内软件注册中的软件提出了新的兼容性要求。新规定要求软件开发者确保其产品至少与两个注册表中的操作系统兼容。新要求将逐步实施,从2025年6月1日起影响办公软件和虚拟化工具,2026年1月1日起扩展至维护软件和云计算解决方案,到2027年1月1日覆盖工业软件和组织流程管理产品。数字发展部还将批准已注册软件的操作系统兼容性检查程序。符合新标准的软件在政府采购中将获得优势,但不满足这些标准不会从注册表中移除。此外,国有企业只能将没有类似物的产品添加到注册表中,新规则还涉及软件开发工具(SDK)的制裁限制。专家预测,如果决议草案通过,Rostelecom开发的Aurora操作系统可能在政府采购中获得优势。
来源:SecurityLab
● 美国CISA发布BOD 25-01指令加强联邦机构云环境安全
美国网络安全和基础设施安全局(CISA)发布了今年第一部具有约束力的操作指令(BOD 25-01),要求联邦民事机构实施一系列必需的安全配置基线(SCB)以保护其云环境。CISA已完成Microsoft 365的SCB,并计划为其他云平台如Google Workspace发布更多基线。BOD 25-01指令旨在通过强制云服务实施安全措施来减少联邦网络的攻击面。指令要求联邦机构部署CISA开发的自动配置评估工具,与持续监控基础设施集成,并纠正与安全配置基线的任何偏差。CISA强调,错误配置和薄弱的安全控制可能给攻击者提供未授权访问、数据窃取或破坏服务的机会。联邦机构必须在规定时间内确定云租户、部署评估工具、实施强制性SCB政策,并持续监控新的云租户。CISA鼓励所有组织采用该指令,以显著降低攻击面和违规风险。
来源:InfoSecurity Magazine
● 德克萨斯理工大学数据泄露影响140万人的个人和医疗信息
德克萨斯理工大学健康科学中心(TTUHSC)遭遇勒索软件攻击,导致140万人的个人和医疗信息被泄露。泄露的数据显示,包括姓名、社会安全号码、地址、出生日期、政府颁发的身份证号码、金融账户信息、健康保险详情以及病历(包括诊断和治疗记录)等敏感数据。此次数据泄露影响了TTUHSC的卢博克校区65万人和埃尔帕索校区81.5万人。该事件不仅导致课程和患者服务的长期中断,还影响了通信系统,包括德州理工大学医师患者门户。勒索软件团伙Interlock声称对攻击负责,并宣称盗取了2.6TB的数据。该团伙已将部分被盗文件发布在线,文件内容包括患者信息、医学研究和SQL数据库等。TTUHSC表示,事件导致攻击者未经授权访问其网络,迫使大学暂时关闭部分系统。
来源:BleepingComputer
