信息安全快讯丨等保2.0标准不日出台;多国承诺打击网络犯罪
政府举措
《具有舆论属性或社会动员能力的互联网信息服务安全评估规定》11 月30日起施行
关键词:互联网安全评估
上周,国家网信办发布《具有舆论属性或社会动员能力的互联网信息服务安全评估规定》,规定自 2018 年 11 月 30 日起施行。规定明确指出“具有舆论属性或社会动员能力的互联网信息服务”涵盖“开办论坛、博客、微博客、聊天室、通讯群组、公众账号、短视频、网络直播、信息分享、小程序等信息服务或者附设相应功能”,以及“开办提供公众舆论表达渠道或者具有发动社会公众从事特定活动能力的其他互联网信息服务”。同时,还对具体的评估标准以及互联网信息服务者、公安机关以及各级网信部门的具体职责做出了明确说明。(来源:网信办)
50个国家签署文件承诺将打击网络犯罪行为
关键词:打击网络犯罪
据外媒报道,来自世界各地50个国家和超150多家科技公司签署了一项名为《Paris call for trust and security in cyberspace》的承诺以表它们致力于打击网络犯罪行为的决心。获悉,法国总统马克龙在众领导人参加一战结束100周年纪念活动前一日公布了这份文件。
该文件的国家有日本、加拿大和所有欧盟国家,谷歌、微软、Facebook等国际科技巨头公司也表示将致力于打击网络犯罪。
虽然美国大量政府机构和官员近些年来表示国家经历了多起网络犯罪案件包括2016年总统大选干预等,但它并没有在这份文件上签字。另外,中国和俄罗斯也没有在这份文件上签字。(来源:cnbeta.com)
国会通过法案,将在美国国土安全部创建网络安全机构
关键词:网络安全机构
本周,美国众议院(U.S. House of Representatives)通过一项法案,将在美国国土安全部(简称DHS)创建一个新的网络安全机构。国会一致通过了立法。
该法案将国家保护与计划局(简称NPPD)重组为网络安全与基础设施安全局(简称CISA),并由CISA负责网络与物理基础设施安全。
相关负责人表示,此举反映了目前所作的工作能够切实地帮助国家更好地保护关键基础设施与网络平台。这些变化还能提升国土局的工作能力,有助于其更好地与行业及政府利益相关人合作、招募网络安全顶尖人才。”
SonicWall总裁兼首席执行官比尔·康纳(Bill Conner)认为:行业拥有最关键的信息资产,因此保护关键基础设施至关重要。显然,CISA的通过建立了一个致力于捍卫基础设施安全的网络安全机构,也表明了安全局对网络安全问题的高度重视。我们希望继续与联邦政府合作,以捍卫其网络安全。(来源:E安全)
新加坡同加拿大签署网络安全合作谅解备忘录
关键词:网络安全合作
11月14日,加拿大总理贾斯汀·特鲁多(Justin Trudeau)在访问新加坡期间,与新加坡政府签署了为期两年的《网络安全合作谅解备忘录》(Memorandum of Understanding on Cybersecurity Cooperation)。该备忘录涵盖网络安全合作的多个领域,两国将在区域网络安全能力建设方面开展合作。具体包括两国共享网络威胁和攻击的信息、分享资源开发的最新技术、相互提供网络技术和认证服务、制定互通的网络安全标准。根据加拿大政府的预算,未来五年加拿大将在网络安全领域投资超过5亿加元,这将是加拿大有史以来最大的网络安全投资项目。此外,新加坡网络安全局(CSA)表示,两国基于备忘录下的合作将加强新加坡的网络安全运营能力,提升本国保护关键基础设施的能力、推进国内建设网络安全系统的进程以及实现建立东盟区域内安全网络空间的目标。(来源:OpenGov)
网络安全事件
等保2.0标准已在国家安标委最终审批,不日出台
关键词:等保2.0
11月9日,以“主动安全 护航数字未来”为主题的2018合肥网络安全大会成功召开,来自公安部、国家信息中心、合肥市政府、合肥高新区的政府嘉宾;中国科学院、中国工程院、国家创新与发展战略研究会、中科大网络空间安全学院、以色列云安全联盟、IDC等学术与产业界领先机构的权威专家,以及相关企业的高层领导济济一堂,共商数字化转型过程中网络安全产业的挑战、机遇与转型方向。
公安部十一局郭启全总工在技术论坛上谈等保最新情况:
一、等保2.0标准已在国家安标委最终审批,不日出台。
二、关于等保可信计算要求,都是可,不是应。
最后强调五个重要工作内容:
1、等级保护制度;
2、通报预警机制;
3、关键基础设施保护;
4、态势感知大平台;
5、人才培养。目标是应对网络战(来源:搜狐科技)
美国圣地亚哥通信公司Voxox泄露2600万短信信息
关键词:短信泄露
近日,研究人员发现由于配置错误,美国加州圣地亚哥的通信公司 Voxox 的数据库信息暴露,泄露 2600 万条短信,具体内容包括密码重置链接、双因素验证码、送货通知等。此外,这些信息都有详细标记和记录,记录涵盖收信人的手机号码、邮件、发送短信的 Voxox 客户以及所使用的短代码等。被发现时,数据库所在的服务器没有密码保护,只要能找到查看通道,很轻易就能获取实时信息流。研究人员担心这些数据可能被恶意攻击者利用劫持用户账号。目前,Voxox 正在调查此事,相关数据库已经下线。(来源:techcrunch)
Facebook再曝漏洞,可使私人信息泄露
关键词:Facebook安全漏洞
近日,Facebook报告了一个安全漏洞,可允许攻击者获取用户及其朋友的某部分个人信息,使得海量用户的隐私受到威胁。该漏洞由Imperva的网络安全研究人员发现,漏洞存在于Facebook搜索功能显示输入查询结果的方式。根据Imperva研究员Ron Masas的说法,显示搜索结果的页面包含与每个结果相关联的iFrame元素,这些iFrame的端点URL没有任何保护机制来防止跨站点请求伪造(CSRF)攻击。Facebook报告该漏洞已修复。(来源:thehackernews)
西门子修复防火墙漏洞,确保运营商安全
关键词:防火墙漏洞
西门子公司周二发布了一系列解决方案,修复了其工业产品线中的八个漏洞。最严重的漏洞包括西门子SCALANCE防火墙产品中的跨站点脚本漏洞。该漏洞允许攻击者未经授权访问工业网络,使得运营商面临严峻风险。SCALANCE防火墙用于保护安全工业网络免受不受信任的网络流量影响,并允许以不同方式过滤传入和传出网络连接。西门子S602、S612、S623、S627-2M和V4.0.1.1之前的软件版本的SCALANCE设备受到影响。
发现该漏洞的Applied Risk的研究人员表示,攻击者可以通过制作恶意链接并欺骗管理员(登录到Web服务器)来单击该链接来执行攻击。管理员执行此操作后,攻击者可以代表管理员在Web服务器上执行命令。“如果管理员被误导访问恶意链接,集成的Web服务器就会允许跨站点脚本攻击,”Applied Risk研究员Nelson Berg在对该漏洞的分析中表示。“漏洞利用成功的话可会导致绕过防火墙提供的关键安全措施。”(来源:threatpost)
黑客在Windows安装文件中隐藏加密货币挖掘恶意软件
关键词:恶意软件
安全研究人员表示,黑客现在伪装加密货币挖掘恶意软件,并将其作为合法的Windows安装包传递出去。研究人员表示,这种恶意软件,通常被称为Coinminer,使用了一系列混淆方法,使其攻击特别难以检测。
恶意软件作为Windows Installer MSI文件到达受害者的计算机上,因为Windows Installer是用于安装软件的合法应用程序,使用真正的Windows组件使其看起来不那么可疑,并可能允许它绕过某些安全过滤器。一旦安装,恶意软件目录包含充当诱饵的各种文件,除此之外,安装程序还附带了一个脚本,可以杀掉在受害者电脑上运行的任何反恶意软件进程,以及受害者自己的加密货币挖掘模块。(来源:太平洋电脑网)
数据统计
欧洲刑警组织称勒索软件仍居2018年恶意软件威胁榜首
关键词:勒索软件
据欧洲刑警组织(Europol) 2018年版的“互联网有组织犯罪威胁评估(IOCTA)”(internetorganized Threat Assessment,简称IOCTA)报告,在大多数欧盟成员国,勒索软件仍是最主要的恶意软件威胁,而加密攻击正变得越来越普遍。欧洲刑警组织发现,勒索软件的威胁就像其他恶意软件一样,一旦恶意软件工具变得更容易获取,变得越来越复杂和强大,攻击就会慢慢转移到商业领域,为威胁行为者提供更高的报酬。此外,由于密码攻击所需的资源要少得多,所投入的工作量也会带来更高的回报,威胁行为者越来越多地使用它来利用受害者的处理能力来挖掘加密货币。
2018年互联网有组织犯罪威胁评估报告称,“73%的入侵活动为外部恶意行为者所为,但28%的入侵活动与内部人员有关。50%的入侵活动为OCGs所为,而行业报告将12%的入侵活动归属为国家支持行为。”(来源: europol])
全球网络安全行业岗位缺口已上升至300万
关键词:网络安全行业缺口
根据(ISC)2发布的2018年网络安全行业调查报告显示,2018年网络安全行业岗位空缺数量为290多万个,而2017年同期的调查数据仅为180万个。目前,亚太地区的网络安全人才紧缺最为严重,缺口约为214万,仅次于亚太地区的北美地区人才需求量约为50万个,排名第三的是拉丁美洲,目前的空缺岗位为13.6万个。有59%的组织已经受到了网络安全人才紧缺所带来的真实影响,40%的受访者表示他们的岗位空缺情况并不严重,28%的人认为他们公司目前的工作人员配比是正常的,另外还有3%的人表示他们的网络安全人员数量过剩。(来源:freebuf)
人才培养
英国政府继续推行青少年网络安全计划
关键词:青少年网络安全培养
11月14日,英国一项培养青少年网络安全素养的“网络探索”计划将进入第二年,由英格兰扩展到苏格兰和北爱尔兰。现有超过23000名年龄介乎14至18岁的青少年通过使用互动游戏,学习有关网络安全的知识。该计划属于英国国家网络安全战略中名为“网络第一”的网络安全技能项目,也是英国政府现代工业战略的关键部分,项目为学生提供有关数字取证、防范网络攻击和密码学的课程,它由IT安全培训公司SANS研究所提供。SANS研究所研究与发展主任詹姆斯·林恩(James Lyne)称,在参加项目之前,40.4%的女生和35.5%的男生甚至没有考虑过网络安全方面的职业,而这一比例在学生参加课程后分别降至9.6%和6.3%,我们希望第二年将这种对网络安全的热情扩散到整个英国。(来源:互联网研究前沿)
漏洞速递
Instagram下载数据副本工具出漏洞:用户密码或泄露
关键词:密码泄露
据美国科技媒体The Information报道,Facebook旗下的Instagram可能出现用户密码泄露事件,原因与帮助用户下载数据副本的工具有关。Facebook称,Instagram用户如果有意利用相关工具下载数据副本,帐号密码可能会以明码形式在URL中出现。出于某种原因,密码同时会存储到Facebook服务器。但Facebook告知用户,相关数据已经删除,工具也已经更新,不会再出现类似问题。(来源:cnbeta)
其他漏洞
11月12日-11月18日:
国家信息安全漏洞共享平台(简称 CNVD)共收集、整理信息安全漏洞173个,其中高危漏洞81个,中危漏洞75个,低危漏洞17个。
评论