CNCERT国家工程研究中心安全资讯周报20240415期

目录

 技术标准规范

  • 我国数据出境制度2.0时代下的企业合规应对(上篇)

  • 我国数据出境制度2.0时代下的企业合规应对(下篇)

  • 提升青少年数字素养 为新时代“网络原住民”营造更美好的未来

  • 【专家观点】蔡阳:一种行业重要数据类关键信息基础设施的保护技术

  • 未成年人网络保护新规塑造网络新环境

 行业发展动态

  • 积极防范人工智能带来的安全新挑战

  • Facebook、Instagram将显著标记由AI生成的音视频内容

  • 提升人工智能安全治理的中国话语权

  • 估值超两千亿,「暗网版微信」准备上市

  • 研究人员揭露了可用于网络攻击的 Microsoft SCCM 错误配置

  • 美电信巨头公司约7300万名客户信息被泄露到“暗网”

  • 美国环保署遭黑客攻击,近千万用户数据泄露

  • 电 动汽车充电站的网络安全困扰

  • 无法禁用,苹果强制收集用户数据和隐私信息

  • 微软将OPENAI的DALL-E作为美国军方的战场工具

  • 菲律宾科技部服务器遭黑客入侵:网站被篡改 25TB数据被删除

 安全威胁分析

  • 做好2024年信息通信业安全生产和网络运行安全工作

  • 针对亚洲多国!越南黑客利用恶意软件进行攻击

  • 虚假Facebook MidJourney、OpenAI页面向 120 万人传播恶意软件

  • 五角大楼如何修复军方软件的漏洞?

  • 宠物医院巨头被黑后运营受严重扰乱,猫狗和数据都面临风险

  • StopCrypt:分布最广泛的勒索软件演变为逃避检测

  • 高度警惕!武器化SVG文件助力加密网络钓鱼攻击

  • 紧急警告:Windows系统面临被攻击的风险

  • GitHub 默认启用推送保护机制以防止信息泄露

  • 更好实现生成式人工智能健康发展

  • 超过 90000 台 LG 智能电视可能遭受远程攻击

  • Xz后门一波未平,Linux再次发生“核泄露”

 安全技术方案

  • 面向数据中心安全的密码保障体系研究

  • 提升安全数据管理能力的10个技巧

技术标准规范

1.我国数据出境制度2.0时代下的企业合规应对(上篇)

数据出境作为安全风险较高的数据处理活动之一,近年来受到越来越多国家的重视。

https://mp.weixin.qq.com/s/Dcq7aKeIiutNAMufXghbhw

2.我国数据出境制度2.0时代下的企业合规应对(下篇)

数据出境作为安全风险较高的数据处理活动之一,近年来受到越来越多国家的重视。

https://mp.weixin.qq.com/s/Dcq7aKeIiutNAMufXghbhw

3.提升青少年数字素养 为新时代“网络原住民”营造更美好的未来

在 21 世纪的信息时代,数字技术已经深深地渗透到我们生活的方方面面。作为新时代的“网络原住民”,青少年们正生活在一个数字化的世界中,数字素养已成为他们必备的核心能力。

https://mp.weixin.qq.com/s/U3tXGJnf9ONE_TblDYfNXg

4.【专家观点】蔡阳:一种行业重要数据类关键信息基础设施的保护技术

2021年7月30日,国务院令第745号公布《关键信息基础设施安全保护条例》(以下简称《条例》),自2021年9月1日起施行,2021年8月17日正式对外颁布。

https://mp.weixin.qq.com/s/EcNzuXQgVO60GSIS1BdDAw

5.未成年人网络保护新规塑造网络新环境

在信息大爆炸的时代,网络成为信息制作和传播的重要载体,使得青少年足不出户就能接触到平时无法触及的社会信息,有助于扩展青少年观察世界的视野。

https://mp.weixin.qq.com/s/p-qioK-5ohg_e7vWBX7jcw

行业发展动态

6.积极防范人工智能带来的安全新挑战

人工智能正日益成为新质生产力的重要要素和核心驱动力,推动生产方式和生产关系发生深刻变革。

https://mp.weixin.qq.com/s/tvEC_EUgbiSHfA1PMVkvhw

7.Facebook、Instagram将显著标记由AI生成的音视频内容

据CyberNews消息,Meta于4月5日宣布将对旗下Facebook 和 Instagram平台上的数字创建和更改媒体政策进行调整,以遏制在美国大选前利用人工智能进行的深度伪造内容传播。

https://mp.weixin.qq.com/s/TnD5zkfrxbcJZuUo-4efJQ

8.提升人工智能安全治理的中国话语权

人工智能是发展数字经济的重要引擎,是引领全球新一轮科技革命和产业变革的战略性关键技术。

https://mp.weixin.qq.com/s/HqgFhqPwrXFOwXw2oeaNCw

9.估值超两千亿,「暗网版微信」准备上市

2024年3月,英国《金融时报》刊登了对 Telegram 创始人帕维尔・杜洛夫(Pavel Durov)的专访,透露出明年在美国IPO的想法,估值约为300亿美元(约为两千多亿人民币)。

https://mp.weixin.qq.com/s/lRI5uo-K4LvxhduAGZPcQw

10.研究人员揭露了可用于网络攻击的 Microsoft SCCM 错误配置

安全研究人员基于 Microsoft 配置管理器的不当设置,创建了攻击和防御技术的知识库存储库,这将允许攻击者执行有效负载或成为域控制器。

https://mp.weixin.qq.com/s/HPmsalOuHOUnemxi6xOeMQ

11.美电信巨头公司约7300万名客户信息被泄露到“暗网”

近日,美国电信巨头AT&T公司(美国电话电报公司)发生一起数据泄露事件,约7300万名客户的数据被泄露到“暗网”上,该公司称已经开启内部调查。

https://mp.weixin.qq.com/s/-opNM95JmYSacJ-BwMYd5g

12.美国环保署遭黑客攻击,近千万用户数据泄露

据hackread报道,美国环境保护署(EPA)近日发生大规模数据泄露事件,超过850万用户数据遭泄露。化名“USDoD”的黑客上周日宣布对该事件负责,并声称泄露了EPA的客户和承包商的个人敏感信息。

https://mp.weixin.qq.com/s/eoFlSO1CnTtcDryfvM6d4g

13.电动汽车充电站的网络安全困扰

随着电动汽车销量的增加,充电站受攻击的风险以及重大网络安全漏洞的可能性也越来越大。电动汽车(EV)的日益普及不仅受到消费者的青睐,也受到专注于利用电动汽车充电站发动深远攻击的网络犯罪分子的青睐。

https://mp.weixin.qq.com/s/Z9wgiWIrAfdOCRRi3cZ3tg

14.无法禁用,苹果强制收集用户数据和隐私信息

研究人员研究了八款应用程序,分别是Safari,Siri,家庭共享,iMessage,FaceTime,定位服务,查找和Touch ID。他们发现,无论是iPhone、iPad或MacBook,默认应用程序即使在显示为禁用状态时也会收集用户数据,这表明苹果用户无法完全控制他们的隐私。

https://mp.weixin.qq.com/s/mKLyo4YGlBzARcghD-BX_Q

15.微软将OPENAI的DALL-E作为美国军方的战场工具

根据THE INTERCEPT审查的内部演示材料,微软去年提议使用OpenAI非常流行的图像生成工具DALL-E来帮助国防部构建执行军事行动的软件。

https://mp.weixin.qq.com/s/Fjr5IsMBaUitqSzIi2e3HA

16.菲律宾科技部服务器遭黑客入侵:网站被篡改 25TB数据被删除

4月11日消息,一家名为Ph1ns的黑客组织宣布,对菲律宾科技部(科学和技术部,DOST)的服务器进行了毁灭性攻击,这在菲律宾网络社区引发了热议。

https://mp.weixin.qq.com/s/T-nxx5f6svtalKj2VmjmVQ

安全威胁分析

17.做好2024年信息通信业安全生产和网络运行安全工作

工业和信息化部近日印发通知,部署做好2024年信息通信业安全生产和网络运行安全工作。

https://mp.weixin.qq.com/s/pg7q7JBbSbOSCxHxWZTF0w

18.针对亚洲多国!越南黑客利用恶意软件进行攻击

据观察,至少自 2023 年 5 月以来,一名疑似来自越南的威胁行为者利用旨在获取有价值数据的恶意软件针对多个亚洲和东南亚国家的受害者。

https://mp.weixin.qq.com/s/NKoGAk1RKITGRhohEUgoRg

19.虚假Facebook MidJourney、OpenAI页面向 120 万人传播恶意软件

黑客正在利用 Facebook 广告和劫持页面来推广虚假人工智能服务,例如 MidJourney、OpenAI 的 SORA 和 ChatGPT-5 以及 DALL-E,以窃取密码的恶意软件感染毫无戒心的用户。

https://mp.weixin.qq.com/s/4l8sSXI6NOhifSZFAq2lHw

20.五角大楼如何修复军方软件的漏洞?

美国军方使用的太多应用程序都是基于充满漏洞的代码构建,并且由五角大楼本身分发。可以肯定的是,软件增强军事行动能力的宣传听越来很诱人,但它也隐藏了太多危险的安全问题。

https://mp.weixin.qq.com/s/tE5PdQfR2An3RBhyV0tHBQ

21.宠物医院巨头被黑后运营受严重扰乱,猫狗和数据都面临风险

4月9日消息,网络犯罪团伙最初针对的是医院,随后是慈善机构和癌症中心,而现在他们的目标扩展到了小狗和小猫。

https://mp.weixin.qq.com/s/jkxfG7V-K08EiPA_zt4d8Q

22.StopCrypt:分布最广泛的勒索软件演变为逃避检测

StopCrypt 勒索软件(又名 STOP)的新变种在野外被发现,它采用涉及 shellcode 的多阶段执行过程来逃避安全工具。

https://mp.weixin.qq.com/s/06wIaNKNBh3SrDh8PHpoew

23.高度警惕!武器化SVG文件助力加密网络钓鱼攻击

ARC Labs最近分析了凭证收集活动中使用的网络钓鱼电子邮件,该活动利用诱饵通知目标他们收到了语音消息,需要访问链接才能访问它。

https://mp.weixin.qq.com/s/8oHY07AYsICdZANkqb2tgg

24.紧急警告:Windows系统面临被攻击的风险

Rust标准库中发现的一个重大安全缺陷 'BatBadBut',使得Windows系统面临被攻击的风险。

https://mp.weixin.qq.com/s/V7TIMsKscNF9isCdEscjKg

25.GitHub 默认启用推送保护机制以防止信息泄露

GitHub 默认为所有公共存储库启用推送保护,以防止推送新代码时意外泄露访问令牌和 API 密钥等机密。这是一种自动防止敏感信息泄露的简单方法。该功能于 2023 年 5 月普遍适用于所有公共存储库。

https://mp.weixin.qq.com/s/ZWAy636IaGdsaJesVZD_3A

26.更好实现生成式人工智能健康发展

近期发布的文生视频大模型Sora引起了全球关注,该模型为短视频、广告、互动娱乐、影视制作、数字艺术、科学研究等领域带来了前所未有的发展机遇。

https://mp.weixin.qq.com/s/ayPNqAMEpdmSWm-7La9EBw

27.超过 90000 台 LG 智能电视可能遭受远程攻击

安全研究人员发现了四个漏洞,影响多个版本的 WebOS(LG 智能电视使用的操作系统)。这些缺陷可以对受影响的模型进行不同程度的未经授权的访问和控制,包括授权绕过、权限升级和命令注入。

https://mp.weixin.qq.com/s/c2ipL2Rn7XIUrQRGsSNgcQ

28.Xz后门一波未平,Linux再次发生“核泄露”

Xz后门风波尚未平息,Linux再次曝出“核泄漏”危机,新的“幽灵漏洞”变种导致英特尔处理器上运行的Linux内核内存再次面临数据泄露风险。

https://mp.weixin.qq.com/s/hSENnXv55FeVf8F4lJ-u2Q

安全技术方案

29.面向数据中心安全的密码保障体系研究

随着国家电子政务和各行业信息化建设工作的稳步推进,数据中心建设需求和发展趋势越来越明显。数据中心融合了云、大数据、信息安全、密码保密、隐私保护等众多技术,如何有效规范数据中心建设,确保数据安全成为当前研究热点之一。

https://mp.weixin.qq.com/s/m1NHTEjqa5mYXtEOkEzFxA

30.提升安全数据管理能力的10个技巧

安全遥测数据是确保网络安全程序健康运行的核心所在。无论是满足法规强制的日志记录合规要求、为安全运营中心(SOC)的日常操作提供必要的数据支撑、协助威胁猎手追踪未知威胁,还是提升事件应对效率,安全遥测数据都至关重要。

https://mp.weixin.qq.com/s/IAR__sWtuCwR0xGRP-IqgA



[本文资讯内容来源于互联网,版权归作者所有。由“CNCERT国家工程研究中心”整理发布]

“投稿联系方式:孙中豪 010-82992251   sunzhonghao@cert.org.cn”.

免责声明:文章内容不代表本站立场,本站不对其内容的真实性、完整性、准确性给予任何担保、暗示和承诺,仅供读者参考,文章版权归原作者所有。如本文内容影响到您的合法权益(内容、图片等),请及时联系本站,我们会及时删除处理。查看原文

为您推荐