2024年第11周安全周报 | 本周安全要闻速览
● 《民航数据管理办法(征求意见稿)》&《民航数据共享管理办法(征求意见稿)》正式发布
为落实数字中国建设整体部署,进一步加强和规范民航数据管理,保障数据安全,促进数据共享,激发数据价值,提升行业治理能力和服务水平,更好支撑民航高质量发展,按照智慧民航建设工作安排,智慧民航建设领导小组办公室组织编制了《民航数据管理办法(征求意见稿)》、《民航数据共享管理办法(征求意见稿)》。《民航数据管理办法(征求意见稿)》适用于任何单位和个人在中华人民共和国境内从事民航数据的收集、存储、使用、加工、传输、提供、公开等数据处理活动。《民航数据共享管理办法(征求意见稿)》中所称数据共享是指依托各级数据共享与服务平台开展数据共享活动的行为。民航数据共享主体包括数据提供方、数据使用方、数据管理方和数据平台方。其中数据提供方指开展数据收集、存储、加工并提供数据的部门或单位;数据使用方指通过数据共享获取、应用数据的部门、单位或个人;数据管理方指依照国家法律法规和政策文件的授权,对行业、本领域、本单位民航数据共享进行指导、监督管理的部门;数据平台方指负责建设、管理和运营各级数据共享与服务平台的部门或单位。
来源:中国民航局
● 美CISA因漏洞攻击紧急关闭2个业务系统,此前多次就此发布预警
美国国家网络安全与基础设施安全局(CISA)日前遭到黑客攻击,黑客利用了Ivanti产品的安全缺陷侵入了该机构的网络系统,并导致CISA不得不紧急关闭两个关键的业务系统。据CISA发言人介绍,已有专业的事件响应团队开始对本次攻击活动展开调查,初步调查结果显示,攻击者是通过利用Ivanti产品上的安全漏洞发起了本次攻击行动,目前攻击的主要影响范围包括了两个系统,分别是基础设施保护(IP)网关和化学安全评估工具(CSAT)。CISA已经将这两个业务系统紧急下线,目前还没有发现对其他业务运营造成影响。这一事件显示出,任何组织都可能受到网络漏洞的威胁,即使是国家级安全监管机构如CISA也不例外。对于任何组织来说,制定健全的网络安全措施和应急响应计划都是至关重要的。任何类型的企业组织和机构都应加强系统升级和漏洞修复工作,以保障网络安全。
来源:securityaffairs
● 微软披露被黑后内网进一步失陷,源代码和内部系统遭访问
3月11日消息,微软表示,俄罗斯支持黑客在1月入侵公司网络以后,已扩大了入侵范围并对客户发起进一步攻击,成功侵入了微软的源代码和内部系统。这起入侵事件的实施者是名为“午夜暴雪”的黑客组织,该组织通常被认为是俄罗斯联邦安全局的附属组织。该组织还有多个代号,包括APT29、Cozy Bear、CozyDuke、The Dukes、Dark Halo和Nobelium。在1月事件初次披露时,微软表示,“午夜暴雪”首先利用了接入公司网络的一台测试设备的弱密码,经过数月尝试成功进入了高管的电子邮件帐号。在新的公告中微软称他们发现了证据,表明“午夜暴雪”利用最初获得的信息进一步渗透了公司网络,并成功攻破了源代码和内部系统。他们已经开始使用这些专有信息对微软及其客户发起后续攻击。
来源:安全内参
● 美国国家安全局推出推进零信任成熟度的详细任务
美国国家安全局 (NSA) 发布了一份网络安全信息表 (CSI),详细介绍了如何限制组织网络内的对抗性横向移动以访问敏感数据和关键系统。零信任网络和环境支柱通过采用控制和功能,通过精细的策略限制在逻辑和物理上分段、隔离和控制访问,从而减少对抗性横向移动。它还加强了内部网络控制,并使用零信任原则遏制对网络分段部分的网络入侵。CSI 题为“在整个网络和环境支柱中推进零信任成熟度”,概述了网络和环境支柱的关键功能,包括数据流映射、宏观和微观分段以及软件定义网络。NSA 正在协助国防部 (DoD) 客户试点零信任系统,并正在制定额外的零信任指南,以将零信任原则和设计纳入企业网络。该指导文件主要针对国家安全系统 (NSS)、国防部和国防工业基地 (DIB),对于可能成为复杂恶意行为者目标的其他系统的所有者和运营商也可能有用。它融合了国防部零信任战略、零信任参考架构和网络安全参考架构 (CSRA) 的指导。美国国家标准与技术研究院 (NIST) 和网络安全与基础设施安全局 (CISA) 还提供了针对其他系统所有者和运营商的额外指导。
来源:安全客
● 增幅超10%!美国联邦政府2025财年网络安全预算将超930亿元
3月12日消息,在美国国会尚在讨论2024财年的网络安全支出细节之时,拜登政府刚刚发布了2025财年预算申请文件,要求为多个关键网络计划和项目增加资金。根据白宫公布的2025财年预算概述,拜登政府计划向各民事行政部门和机构投入130亿美元(约合人民币932亿元)用于网络安全。白宫对网络安全支出的分析显示,2024和2023财年民事行政机构的网络安全支出分别为118亿美元和113亿美元,而此次预算申请则大幅提升了这些支出,同比增长超10%。拜登政府此前曾要求2024财年联邦网络安全支出达到127亿美元,但由于该财年几乎没有新增预算,该计划未能实现。在国会议员们就支出法案进行谈判的同时,相关机构仍在按照延续决议案运作。针对2025财年,白宫已明确要求相关机构将网络投资重点放在“设计安全”技术、零信任架构和遗留技术的现代化等方面。
来源:安全内参
● 法国多个政府机构遭受”猛烈“的网络攻击
法国总理府11日发表声明证实,始于周日晚上的一系列DDoS攻击,导致法国多个政府机构遭到了密集的网络攻击,规模“前所未见”。攻击事件发生后,法国政府立刻启动了一个网络危机小组来部署相关应对措施。政府网络安全专家表示,尽管网络攻击的强度非常猛烈,但并不复杂,威胁攻击者使用的都是常见的技术手段。目前网络攻击事件对大多数服务部门的影响已经在逐渐减少,国家网站的访问也已恢复。
来源:CSO
● 欧洲议会正式通过人工智能监管法案
新华社消息,欧洲议会13日以压倒性票数通过《人工智能法案》,这标志着欧盟扫清了立法监管人工智能的最后障碍。在法国斯特拉斯堡举行的欧洲议会全会上,该法案获得523张赞成票,46张反对票。欧盟内部市场委员蒂埃里·布雷东在社交媒体上发文说,对欧洲议会通过“世界上第一部针对可信人工智能的全面、具有约束力的法规”表示欢迎。据悉,该法案将在走完所有审批程序后在欧盟公报上予以公布并于20天后生效。法案中的相关条款将分阶段实施。
来源:新华网
● 澳大利亚CISC发布更新的国家重大系统网络安全指南
澳大利亚网络和基础设施安全中心(CISC)近期发布了更新的指导材料,旨在加强国家重要系统(SoNS) 的网络安全措施,这些系统代表了该国最重要的基础设施资产。综合指南包括针对SoNS履行事件响应计划义务的具体说明以及履行网络安全演习义务的详细指南。这些增强的义务是澳大利亚不断努力加强其重要基础设施抵御网络威胁的弹性和安全性的一部分。根据《关键基础设施安全(SOCI)法案》,SoNS可能须遵守一项或多项增强型网络安全义务,旨在确保关键基础设施实体制定经过充分测试的计划来响应和减轻网络攻击。SOCI法案对关键基础设施实体施加了多项安全义务,以实现安全提升。这包括关键基础设施资产登记义务;风险管理义务;数据服务提供商义务通知;强制性网络事件报告义务。事件响应计划是一份书面计划,概述了SoNS的责任实体将如何响应网络安全事件。第二份文件涉及网络安全演习义务,测试实体应对网络安全事件以及减轻这些影响的能力和准备情况。
来源:Industrial Cyber
● 主要CPU、软件供应商受到新GhostRace攻击的影响
近期,来自IBM和荷兰阿姆斯特丹自由大学的一组研究人员披露了影响所有主要CPU制造商以及一些广泛使用的软件的新型数据泄露攻击的详细信息。这种新的攻击被称为GhostRace,与研究人员所描述的投机竞争条件(SRC)有关。此类攻击可能允许威胁行为者从内存中获取潜在的敏感信息,例如密码和加密密钥,但它通常需要对目标计算机进行物理或特权访问,并且实际利用在大多数情况下并不简单。当多个线程尝试同时访问共享资源时,就会出现竞争条件,这可能会产生可用于各种目的的漏洞,包括执行任意代码、绕过安全防御和获取数据。操作系统使用同步原语来避免竞争条件,但研究人员对这些原语进行的安全分析表明,竞争条件可以与推测执行相结合,这种技术在过去几年中经常被用于CPU攻击。研究人员表示:“我们的主要发现是,使用条件分支实现的所有常见同步原语都可以使用Spectre-v1攻击在推测路径上从微架构上绕过,将所有架构上无竞争的关键区域转变为推测竞争条件 (SRC),从而允许攻击者泄露信息来自目标软件。”
来源:网空闲话plus
● 美国FCC采用针对物联网设备的自愿“网络信任标记”标签规则
美国联邦通信委员会批准了针对无线消费物联网(IoT)产品的自愿网络安全标签计划。该计划允许制造商在符合美国国家标准与技术研究院(NIST)制定的网络安全标准的设备上贴上新的“美国网络信任标志”,其中包括白宫去年所描述的“独特且强大的默认密码、 数据保护、软件更新和事件检测功能。”委员们在3月13日的公开会议上一致投票通过了该计划。官员们将其与显示能源效率的设备上的“能源之星”标志进行比较。该标志将有一个二维码,买家可以扫描该二维码以获得有关产品网络安全的更多信息,包括支持的持续时间、是否获得软件补丁以及安全更新是否自动。FCC将监督该计划,“经批准的第三方标签管理员”将评估每个产品的应用、授权标签等。经认可的实验室将负责测试产品的合规性。美国联邦通信委员会表示,预计该标签将适用于家庭安全摄像头、互联网连接设备、健身追踪器、车库门开启器、婴儿监视器和声控设备等产品。
来源:The Record
