关键基础设施安全资讯周报20210823期
发布日期:2021-08-28
来源:关键基础设施安全应急响应中心
技术标准规范
1.最新!个人信息保护法草案三审稿6大修改
8月13日上午,全国人大常委会法制工作委员会举行记者会。发言人臧铁伟介绍了立法工作有关情况并回答记者提问。
https://mp.weixin.qq.com/s/L8pgpcD0pfkxU0kBKw9SZg
2.《关键信息基础设施安全保护条例》自2021年9月1日起施行
《关键信息基础设施安全保护条例》已经2021年4月27日国务院第133次常务会议通过,现予公布,自2021年9月1日起施行。
https://mp.weixin.qq.com/s/PikXGt7JPGXZVn8KFV-5EQ
3.司法部 网信办 工业和信息化部 公安部负责人就《关键信息基础设施安全保护条例》答记者问
2021年7月30日,国务院总理李克强签署第745号国务院令,公布《关键信息基础设施安全保护条例》(以下简称《条例》),自2021年9月1日起施行。
https://mp.weixin.qq.com/s/UI2sKzqQE44mCrxnnzSTQg
4.浅谈如何规范有序地开展网络安全需求分析
近年来,部分大型企业尤其是关键信息基础设施行业领域,随着网络安全形势日益严峻复杂,国家对网络安全的重视也提高到前所未有的程度,网络安全监管政策趋严,最近滴滴接受网络安全审查就是最直接的明证。
https://mp.weixin.qq.com/s/V54qSV2w3B8J8XG0bRP8hQ
5.智能网联汽车发展加速,数据安全如何规范?
智能网联汽车在为社会生活带来方便快捷的同时正处于技术快速演进、产业加速布局的商业化前期阶段。而汽车智能化、网联化发展在为生活带来便利的同时,也会产生诸如未经授权的个人信息和重要数据采集、利用等数据安全问题,网络攻击、网络侵入等网络安全问题,驾驶自动化系统随机故障、功能不足等引发的道路交通安全问题等。
https://mp.weixin.qq.com/s/A30iqPxjTSVSK_OB1KgIoQ
6.汽车数据安全管理若干规定(试行)
《汽车数据安全管理若干规定(试行)》已经2021年7月5日国家互联网信息办公室2021年第10次室务会议审议通过,并经国家发展和改革委员会、工业和信息化部、公安部、交通运输部同意,现予公布,自2021年10月1日起施行。
https://mp.weixin.qq.com/s/ybyTF0qKVpShWDDyS5oG2Q
7.个人信息保护法来了
个人信息保护法来了!十三届全国人大常委会第三十次会议20日表决通过《中华人民共和国个人信息保护法》将于2021年11月1日起施行。
https://mp.weixin.qq.com/s/w-eLIitvBxC9OKD8_QcHmw
行业发展动态
8.2021年第二季度的垃圾邮件和网络钓鱼攻击趋势介绍
2021 年第二季度,企业账户仍然是网络攻击者最诱人的目标之一,为了增加电子邮件中链接的可信度,诈骗者模仿来自流行云服务的邮件。这种技术以前已经使用过很多次了。
https://mp.weixin.qq.com/s/rJajb0ABlUCsw1wZMAohFA
9.福特网站漏洞泄露内部系统客户和员工记录
福特汽车公司网站上的一个漏洞允许访问敏感系统并获取专有数据,例如客户数据库、员工记录、内部票证等。
https://mp.weixin.qq.com/s/rji4eIjkdeHizW6vh94IUw
10.信息时代“突发性网络攻击”的安全挑战与应对
网络安全是信息时代国家安全的重要领域。突发性网络攻击是当下网络空间的重要威胁,阐释突发性网络攻击的概念与特征,分析其对国家安全的挑战与应对策略,有利于构筑网络安全屏障,提升国家安全水平。
https://mp.weixin.qq.com/s/YD51CbzYH5M8C6RBmzYwfQ
11.AI网络钓鱼攻击即将成为现实
近日,来自新加坡的研究人员开展了一项实验,他们成功利用人工智能和相关API来制作令人信服的鱼叉式网络钓鱼电子邮件,而无需人工干预,该实验可验证攻击者未来可能采取的攻击策略。
https://mp.weixin.qq.com/s/NtDhluwpfNvAa8Rcz3pGjg
12.前沿 | 全球主要国家和地区数字政策及其战略考量
新科技革命促使数字技术、数字经济领域产生大量规则空白。传统国际机制在回应数字经济治理需求中遇到阻力,新规则新秩序处于建构期。世界主要国家和地区为应对数字全球化的机遇与挑战,积极出台数字政策,并深深打上本国政治经济的烙印。
https://mp.weixin.qq.com/s/LaIhxCGf8-EqWNltL_0JOA
13.被忽视的智慧农业网络安全问题:农业面临日益严重的网络威胁
网络犯罪分子的目标是农业食品供应链部门。随着对新技术的日益依赖,农场和网络安全正在寻找合作的途径。长期以来,农业、农场被认为受到潜在网络攻击的风险很低。
https://mp.weixin.qq.com/s/tBKAmar7VWdf9Wdu9DRFqA
14.【聚焦东盟】防范数字企业垄断 促进数据跨境流动
东盟数字总体规划2025》(后简称《规划2025》)的宗旨是指引东盟2021年至2025年的数字合作,将东盟建设成一个由安全和变革性的数字服务、技术和生态系统所驱动的领先数字社区和经济体。
https://mp.weixin.qq.com/s/zphV1t7UJoayEucgW4hjEg
15.提升网络弹性和应对政府信息安全挑战
Esti Peshin 是以色列航空航天工业 ( IAI )网络部门副总裁兼总经理。此前,她曾在以色列国防军的一个精英技术单位服役 11 年,担任副主任。
https://mp.weixin.qq.com/s/SkSd2Dkq87jRDLaNtxuogw
16.伊朗网络间谍假借人力资源招募攻击以色列目标
一个疑是与伊朗政府关联的网络间谍组织一直在试图利用供应链工具和大型基础设施来攻击以色列IT公司,这些工具和设施使他们能够冒充人力资源人员,以吸引 IT 专家并侵入他们的电脑,获取他们公司的数据。
https://mp.weixin.qq.com/s/BrmY1LSAcKRMihEkURsn8g
17.北美大型电力供应商网络事件大幅上升
北美能源可靠性公司(North American Energy Reliability Corporation, NERC)的年度报告显示,去年,在许多类别的事件中,上报给北美电力行业信息共享中心的网络安全相关事件数量增加了一倍以上。
https://mp.weixin.qq.com/s/_1KXTeTFccSIw-FZ4qZ0GQ
18.美国人口普查局被黑
正如美国监察长办公室 (OIG) 在最近的一份报告中披露的那样,美国人口普查局的服务器于2020年1月11日遭到黑客入侵,黑客利用了Citrix ADC零日漏洞。
https://mp.weixin.qq.com/s/WNxbrJLm_3lhpelcB3DbMA
19.美国石油学会发布新版管道网络安全标准
美国石油学会(API)发布了第3版标准(Std) 1164,“管道控制系统网络安全”,强调了天然气和石油行业对保护美国关键基础设施免受恶意和潜在破坏性网络攻击的持续承诺。
https://mp.weixin.qq.com/s/qQp1QR5Kqq2OjG9_gCEb0w
安全威胁分析
20.伊朗铁路系统遭黑的幕后组织终曝光--并非什么“大玩家”原来是一个“小毛贼”
上个月即7月9日对伊朗铁路系统的网络攻击造成大范围混乱,数百列火车延误或取消时,人们自然地指攻击者向与德黑兰长期处于幽灵战争中的以色列。因为近年来,伊朗及其核计划一直是一系列网络攻击的目标,其中包括2009-2010年由以色列和美国领导的针对铀浓缩设施的著名的震网攻击事件。
https://mp.weixin.qq.com/s/d5_x_d1lih6fSU-CL_V5hQ
21.5G时代电信 IT 基础设施中所潜藏的安全风险
语音通话仍然是最受信任的通信类型之一,尽管如此,攻击者仍然可以利用运营商间的信任来利用可信环境、基础设施和运营商之间的互连来实施远程攻击场景。访问国外的电信基础设施也足以进行语音呼叫重定向和拦截。
https://mp.weixin.qq.com/s/res4kwyX37Ij1f_VBgiOGQ
22.Android恶意软件“FlyTrap”劫持Facebook账户
研究人员发现了一种名为FlyTrap的新型Android木马,该木马通过第三方应用商店中被操纵的应用、侧载应用和被劫持的Facebook帐户导致10,000多名用户收到攻击。
https://mp.weixin.qq.com/s/1oiDRSdaUYncIyD1vZlGLw
23.原创 | SIMATIC S7-300-400中间人攻击
S7Comm全称S7 Communication ,是西门子为了多个PLC之间、SCADA与PLC之间的通信而设计的专属协议。在西门子S7-300 / 400系列、S7-200系列、S7-200 Smart系列上应用。S7-1200和S7-1500系列采用带有加密签名的S7 CommPlus协议。
https://mp.weixin.qq.com/s/hEMewu-zOfPxYBiGV9x9pA
24.美官员最新透露今年早些时候缅因州的两个供水设施遭遇勒索软件攻击
缅因州官员最近透露,今年早些时候,该州阿鲁斯托克县两个农村污水系统遭到勒索软件攻击。所幸的是,没有支付任何费用,也没有客户数据受到损害。攻击表明,在防范黑客方面,小城镇需要与大社区一样警惕。
https://mp.weixin.qq.com/s/qXogcLHlCkZpRic2-JyqrQ
25.物联网设备软件供应链再爆严重漏洞,数百万设备面临被操控风险
Mandianat公司的研究人员当地时间周二表示,数百万智能家居设备使用的软件存在漏洞,此漏洞已被分配CVSS3.1基础分数为9.6,并被跟踪为CVE-2021-28372和FEYE-2021-0020。黑客可能会窃取婴儿监视器和网络摄像头等设备上的音频和视频数据。
https://mp.weixin.qq.com/s/fsi5OP5XzEX4eJ4kkW3EeQ
26.190万美国秘密监视名单在线曝光
一个包含190万条记录的秘密恐怖分子观察名单在互联网上曝光,其中包括机密的“禁飞”记录,该列表可以在没有密码的Elasticsearch集群上访问。
https://mp.weixin.qq.com/s/HgwY_ImCsIx0xGdDr_qR2g
27.最危险的Microsoft 365攻击技术
APT组织正在开发新技术,使他们能够避免检测并从电子邮件、SharePoint、OneDrive以及其他应用程序中窃取数百GB的数据。
https://mp.weixin.qq.com/s/8o1lyic7IX1py9V5cSS-Dg
28.巴西经济部内部网络遭遇勒索软件攻击
据了解,DGS在经济部管理和数字政府特别秘书处下运作,在巴西网络部署中发挥战略作用。DGS 还是SISP的中央机构,该系统被用于规划、协调、组织、运营、控制和监督联邦政府200多个机构的信息技术资源。
https://mp.weixin.qq.com/s/9tkReJBsv33NSec9YkJzrA
29.Firefox91支持用户一键清除指定或全部网站的Cookie
Firefox研发者宣布对 Firefox 的 cookie 处理进行了一项新的重大隐私功能的增强设计,可让用户完全清除任何网站的浏览器历史记录。
https://mp.weixin.qq.com/s/5Nwp1WsxxkarfLdvUfeUHQ
30.美国放弃驻喀布尔大使馆会带来网络安全风险吗?
安全专家评估美国撤离阿富汗的影响。一些安全专家说,由于应急计划已经落实到位,美国放弃驻阿富汗大使馆和其他设施不太可能造成网络风险。
https://mp.weixin.qq.com/s/RA3uE5W3e2SiSIW9kJDFUQ
31.日本最大财险公司遭勒索软件攻击:保险行业已成为主要攻击目标
日前,日本跨国保险公司东京海上控股(Tokio Marine Holdings)披露称,新加坡分公司新加坡东京海上保险(TMiS)遭受勒索软件攻击。
https://mp.weixin.qq.com/s/MPja51IppAS6d4p9s4lRaQ
32.更多网络欺诈的潜在威胁
在2021年,随着恶意行为者将欺诈重点从金融服务转移到旅游和休闲等行业,针对企业和消费者的数字欺诈(指非法用户有意冒充合法用户接受或发送数据,欺骗、干扰、破坏软硬件的正常运行或获取交互数据)比率在持续上升。
https://mp.weixin.qq.com/s/U66qeATVQ5RzWI3-QLyyZQ
安全技术方案
33.原创 | 一头扎进 IoT Bugs 中是种什么体验?
91个物联网开源项目,5565个 Bug,9 次采访,194 位 IoT 开发人员验证,从这里面,我们能对物联网bug有什么了解?在本篇文章中,我们将跟随来自ICSE 2021的论文——“IoT Bugs and Development Challenges” 一探究竟。
https://mp.weixin.qq.com/s/sEFIvfho88i0r9kbmr7zCw
34.能源行业最需要的七项网络安全技能
想要投身抗击网络攻击的永恒事业?那你可能需要提升或获得一些(或全部)市场上最热门的技能。
https://mp.weixin.qq.com/s/4i7451bYGGOwoADpWq-4kQ
35.原创 | 东盟数字规划与电子政务
为指引东盟2021年至2025年的数字合作,将东盟建设成一个由安全和变革性的数字服务、技术和生态系统所驱动的领先数字社区和经济体,《东盟数字总体规划2025》(后简称《规划2025》)制定了八项预期行动,其中第五项,以“提高电子政务服务的质量和使用”为目标(后简称为“电子政务行动”)。
https://mp.weixin.qq.com/s/Gi613syzbpR4mQ3sox_0dw
36.原创 | 钓鱼邮件攻击出现新手法,黑客利用摩尔斯电码、ASCII等多种编码来逃避检测
微软揭露了一项自2020年7月开始出现的为期一年的钓鱼邮件攻击的细节。攻击者在钓鱼邮件里挟带了伪装成发票的HTML文档,来窃取Office 365账户凭据。
https://mp.weixin.qq.com/s/xLNDYkr9sQnuFofYI8vSCw
37.网络安全是企业转向数字化改革模式的重中之重
91%的企业承认他们无法为其客户、员工和业务合作伙伴提供高质量的数字体验。他们同意在整个组织中只有不同数字策略和流程的拼凑而成,以形成的服务。
https://mp.weixin.qq.com/s/VY_PXFr7Fh1nyKjCdFazKA