信息安全快讯(11月19日-25日网络安全资讯汇总)
工信部开展网络安全技术应用试点;网络安全行业岗位缺口300万;11家网站被依法责令整改高危漏洞...更多网络安全资讯,请看本期信息安全快讯!
政府举措
工信部:开展网络安全技术应用试点示范项目推荐工作
关键词:网络安全技术
据工业和信息化部消息,为深入贯彻落实《网络安全法》,加快建设网络强国和制造强国,促进网络安全先进技术协同创新和应用部署,推广网络安全最佳实践,提升网络安全产业发展水平,工业和信息化部在组织三批电信和互联网行业网络安全试点示范的基础上,决定开展网络安全技术应用试点示范项目推荐工作。
示范项目重点引导方向包括但不限于:
(一)网络安全防护,包括实现资产管理、病毒和恶意代码查杀、入侵检测和防御、身份管理和访问控制、数字签名、商用密码应用、数据保护等防护功能的平台或系统。
(二)网络安全监测预警,包括具备网络攻击监测发现、网络流量分析与监测、态势感知、威胁预警与情报共享等监测预警能力的平台或系统。
(三)网络安全应急处置,包括支撑攻击溯源、事件响应、取证分析、应急恢复、应急演练等应急处置需求的平台或系统。
(四)网络安全检测评估,包括提供网络安全风险评估、源代码分析、漏洞检测、渗透性测试、模拟仿真、安全培训等检测评估能力的平台或系统。
(五)新技术新应用安全,包括用于保障云计算、大数据、人工智能、区块链、下一代网络(5G和IPv6)、物联网、车联网等新技术新应用安全的平台或系统。
(六)其他,应用效果突出、创新性显著、示范价值较高的网络安全项目。(来源:证券时报)
法国试图在脸谱内部设立监管机构
关键词:网络监管
近日,脸谱公司和法国达成协议,同意向法国监管部门敞开大门,让它们研究该公司在网络上打击仇恨言论的努力。从2019年1月1日起,长达六个月的时间里,法国调查人员将可监控脸谱的政策和工具,目的是监管脸谱如何识别并删除仇恨言论,以确保企业流程健全,而并不是制定什么是允许和什么是不允许的规范。六个月结束后,脸谱和监管机构将发布一份联合报告,归纳整理双方合作中的可行事项。路透社认为这个团队可能来自电信监管机构、内政部和司法部。如果该试验成功,法国总统马克龙希望将这种监管方式扩展到亚马逊、苹果和谷歌等其他巨头。这标志着世界各国政府试图找到新的方法,以阻止有害和侮辱性内容在社交媒体上传播。(来源:路透社)
欧盟更新网络防御政策框架
关键词:网络防御
欧洲理事会通过了新版的欧盟网络防御政策框架,旨在加强其网络安全规则,以应对日益严重的网络攻击威胁。新版框架的主要内容包括:
在现有的欧盟网络和信息安全局(ENISA)的基础上建立一个更强大的欧盟网络安全机构,以帮助成员国、欧盟机构和企业应对网络攻击;
引入欧盟范围内的ICT产品、服务和流程的网络安全认证计划,减少市场分割,消除监管障碍,建立信任,从而便于跨境贸易的发展;
迅速实施网络和信息安全(NIS)指令,为公共服务部门和数字服务提供商规定安全义务,每个成员国还必须指定一个或多个国家主管部门制定网络威胁的应对战略。
新版框架是欧盟“单一数字市场战略”的重要组成部分。(来源:欧洲理事会官网)
美国将再次启动对网络中立原则的审查
关键词:网络中立原则
华盛顿特区上诉法院将于2019年2月1日重启对网络中立原则的审查,美国的互联网或将恢复到2015年奥巴马时期的规则。现行规则存在争议的原因在于:奥巴马政府和原联邦通信委员会(FCC)主席汤姆·惠勒(Tom Wheeler)的网络政策是通过一系列流程制定的,相比之下,FCC主席阿基特·帕伊(Ajit Pai)在就任后立即提出推翻网络中立原则,行事草率;“通信法”第257(c)条,授权FCC提出的任何“识别和消除市场障碍”的规定,因而美国联邦通信委员会在2018年的规则中有权决定废除任何涉及互联网接入的限制,然而,国会现已废除了FCC制定规则所依赖的这项法规。(来源:TheRegister)
网络安全事件
11家网站被依法责令整改高危漏洞
关键词:高危漏洞整改
为落实《网络安全法》和《通信网络安全防护管理办法》的相关要求,广东省通信管理局近日开展专项行动,对公共互联网的安全状况进行技术检测。经网络安全检测,共有11家企业的网站存在不同类型的高危漏洞,安全隐患问题突出。依据《网络安全法》第二十二条和工信部11号令《通信网络安全防护管理办法》第十九条,责令11家企业及时整改,对于拒不整改的,将按规定予以处罚。
通过此次集中整治公共互联网安全领域的突出问题,督促企业整改漏洞,排查隐患,加强系统的安全防护,强化企业安全意识和安全管理责任落实,提高企业对网络安全法等法律法规的重视程度。今后,各机关单位将继续加大互联网企业网络安全监督检查力度,对网络安全常抓不懈,促进全行业共同提升安全风险防范能力,净化公共互联网网络环境,切实保障公共互联网安全稳定运行。(来源:广东省通信管理局)
Flash Player 被曝类型混乱安全漏洞 Adobe 推荐升级新版本
关键词:Flash Player
Adobe近期修复了存在于Flash Player的类型混乱安全漏洞,潜在攻击者可以利用该漏洞执行任意代码。Adobe表示Flash Player 31.0.0.148以及此前版本,Windows、macOS和Linux系统均受影响。该漏洞编号为CVE-2018-15981,被Adobe评为关键漏洞,攻击者可以在用户不知情的情况下执行各种恶意代码。
正如Common Weakness Enumeration平台所详述的,当“程序使用一种类型进行分配或者初始化资源(例如指针、对象或者变量),稍后使用与原始类型不兼容的类型访问该资源时,会出现类型混淆错误。”该错误是由处理恶意制作的.swf文件时触发的类型混淆错误引起的,这些文件可能使攻击者能够使用当前用户的系统权限在目标系统上执行任意代码。(来源:太平洋电脑网)
亚马逊部分用户信息被泄露:包括姓名和邮件地址
关键词:亚马逊信息泄露
据美国财经媒体CNBC报道,亚马逊向给用户发邮件称,由于出现技术问题,一些用户的姓名和邮件地址被泄露。目前已经有一些人在网上发布他们收到的邮件截图。
这些邮件中说,用户没有必要因此次事故而修改密码。但CNBC指出,有了名字和邮件地址,黑客仍然可以借此重设用户帐号,或利用邮件发起“钓鱼攻击”。
而在一份声明中,亚马逊表示:“我们已经修复问题,并通知可能受到影响的用户。”但该公司并没有透露受影响的用户数量,以及具体泄露的信息量。
亚马逊新闻发言人表示,公司网站和系统并没有出现问题。他也没有透露在何处发现被泄露的用户信息。(来源:新浪科技)
重庆警方打掉一DDoS团伙
关键词:DDoS犯罪
近日,重庆巴南警方通报了一起网络犯罪案件——巴南区28岁小伙徐某,因在网络赌博时赢了一万多元无法提款,怒而自学DDOS黑客技术,并组建黑客团伙,从去年开始专门黑赌博网站、游戏私服的服务器赚钱。
在重庆市公安局网安总队指导下,巴南区公安分局成立了专案组,经过2个多月的缜密侦查,收集掌握大量违法犯罪证据,并同时分赴重庆、湖南两地,将以徐某为首的5人黑客团伙一举抓获。
据侦办此案的巴南区公安分局网络安全支队马警官透露:一年半以来徐某“生意兴隆”日进万金,现在徐某及其团伙因涉嫌非法控制计算机信息系统罪被捕。(来源:凤凰网)
美国邮政服务网站漏洞可暴露6000万用户数据
关键词:邮政服务系统漏洞
美国邮政服务系统刚刚修复了一个严重的网站漏洞,该漏洞使得拥有usps.com帐户的任何人都可查看和修改约6000万用户的账户详情。该漏洞源于USPS Web组件中的身份验证API,根据USPS的说法,基于该API构建的”通知可见“功能可为企业、广告商和其他批量邮件发件人提供几乎实时的数据跟踪和获取能力,以“做出更好的业务决策”。
该漏洞除了公开USPS商业客户发送的包裹和邮件实时数据外,还允许任何登录usps.com的用户向系统查询其他用户的帐户详情,例如电子邮件地址、用户名、ID、帐号、街道地址、电话号码、授权用户、邮寄活动数据和其他信息。通过“通知可见”API获得对帐户相关数据库条目的修改能力,可能会给USPS的大客户带来问题。(来源:freebuf)
数据统计
Google-Temasek:到2025年,东南亚的互联网经济将达2400亿美元
关键词:互联网经济
谷歌和淡马锡联合进行的一项研究显示,到2025年,东南亚的互联网经济预计将超过2400亿美元,是目前的三倍。该研究包括南洋六大经济体——印度尼西亚、马来西亚、菲律宾、新加坡、泰国和越南,涵盖出行、电子商务、在线旅游和在线媒体等消费领域。六国今年互联网经济将达到720亿美元,高于去年的500亿美元和2015年的191亿美元。其中,世界人口第四大国印度尼西亚的互联网经济预计到2025年将达到1000亿美元,超过泰国(430亿美元)和越南(330亿美元)。(来源:路透社)
“双十一”流氓软件病毒化 侵权推广1.7亿次
关键词:双十一
根据火绒安全团队的监测、统计和分析,刚刚过去的"双十一"成为年度流氓软件爆发最高峰。10余款知名软件通过"广告弹窗"、"静默推广桌面快捷方式"等方式,日均袭扰近8000万台电脑,日均流氓推广1.7亿次。
据统计,这段时间侵权弹窗的样式有上百种之多,形式也是多种多样,包括全屏弹窗、居中弹窗、右下角弹窗、托盘闪烁提示弹窗等。根据"火绒威胁情报系统"监测和评估,日均遭遇2345弹窗的电脑626余万台、弹出897余万次;日均遭受布丁弹窗的电脑250余万台,弹出706余万次。
除了"弹窗广告"外,"创建桌面推广链接"是流氓软件的另一大危害。排在前三位的分别是2345、搜狗输入法以及WPS。2345日均创建推广链接1463万次,受影响电脑台数约612余万台,而在10月份,2345无论是推广次数还是骚扰的终端数量,仅在日均10万左右;此外,搜狗输入法与WPS日均创建推广链接也高达百余万次。(来源:火绒安全)
人才培养
全球网络安全行业岗位缺口已上升至300万
关键词:网络安全人才缺口
根据(ISC)2发布的2018年网络安全行业调查报告显示,2018年网络安全行业岗位空缺数量为290多万个,亚太地区的网络安全人才紧缺最为严重,缺口约为214万。
(ISC)2在对1500名组织负责人进行了采访调查之后发现,其中有半数的组织已经受到了网络安全人才紧缺所带来的真实影响。
此外,由于网络攻击的数量和难度一直在不断增加,那些受过全面训练的专业技术人才很可能会被其他组织挖走,也就是人才外流的不可避免性,这对公司和组织来说绝对是一个不小的“打击”。所以,各大组织机构应该建立可持续发展的人才培养及招聘方案,尽可能地留住已具备相应技术的人才,以增强该组织的网络安全弹性。”(来源:freebuf)
漏洞速递
苹果macOS曝三个零日漏洞,可导致Mac电脑被劫持
关键词:macOS
近日,Dropbox团队公开披露了有关苹果macOS操作系统中三个零日漏洞的详细信息。这三个漏洞分别为CVE-2017-13890、CVE-2018-4176和CVE-2018-4175。如将三者结合,将赋予攻击者在目标Mac电脑上远程执行任意代码的能力。
Dropbox团队表示,这些漏洞会影响到所有运行最新版本Safari浏览器和操作系统的Mac电脑。其中,CVE-2017-13890影响的是macOS CoreTypes组件,在处理恶意网页时会导致自动挂载磁盘映像。CVE-2018-4176源于磁盘映像处理.bundle文件的方式,安装恶意磁盘映像可能导致应用程序的启动。CVE-2018-4175则允许攻击者使用恶意设计的应用程序绕过macOS Gatekeeper安全功能。
需要指出的是,这几个漏洞早在今年2月份就已经提交给了苹果安全团队,而苹果公司也在在3月份发布的安全更新中对它们进行了修复。因此,我们强烈建议Mac用户应该养成及时更新系统的好习惯。(来源:黑客视界)
其他漏洞
11月19日-11月25日:
国家信息安全漏洞共享平台(简称 CNVD)共收集、整理信息安全漏洞170个,其中高危漏洞76个,中危漏洞79个,低危漏洞15个。
免责声明:
信息安全快讯的内容及图片出于传递更多信息之目的,属于非营利性的转载。如无意中侵犯了某个媒体或个人的知识产权,请联系我们,我们将立即删除相关内容。其他媒体、网络或个人从本网下载使用须自负版权等法律责任。
评论