關鍵基礎設施安全資訊周報20220523期
目錄
技術標準規范
- 硬件安全,科技強“芯” | “納米級芯片硬件綜合安全評估關鍵技術研究”項目啟動會線上召開
行業發展動態
- 繼美國之后,歐盟推出關鍵領域網絡安全新立法
- 加拿大空軍關鍵供應商遭勒索攻擊,疑泄露44GB內部數據
- 鏈家IT管理員刪除數據庫,被判7年有期徒刑
- 這個醫生不簡單!!美司法部指控委內瑞拉55歲心臟病專家開發、使用、銷售“Thanos”勒索軟件
- 親俄黑客攻擊意大利政府網站
- 俄黑客組織對美英德10國政府宣戰,意大利國家警察官網已淪陷
- 美發布《保護5G安全:美中安全競爭的前進方向》
- 最新動作!歐美發布聯合申明,網絡關系更加緊密
- 海運網絡安全:脆弱的海運供應鏈—對全球經濟的威脅'
- 勒索軟件攻擊已造成國家危機!該國總統說:有內鬼配合
- 贊比亞央行遭勒索軟件攻擊,部分系統中斷服務|一帶一路網絡安全
- Conti勒索軟件攻擊使得哥斯達黎加進入緊急狀態
- 英國司法部長談未來前沿的國際法-網絡空間不是無法無天的灰色地帶,英國可以合法地對敵對國家發動網絡攻擊
安全威脅分析
- 缺少乏國家級防御者的網絡防御總是會失敗-理論停滯是阻礙美國網絡不安全的根本原因
- 透過俄烏沖突談對“網絡無國界”的再認識
- 意大利多個重要政府網站遭新型DDoS攻擊癱瘓,該國CERT發布警告
- 電信領域數據安全標準體系現狀與思考
- 因在暗網出售被盜憑據,烏克蘭黑客被判四年監禁
- 美英加等五國網絡安全監管機構發布聯合咨詢公告--突破網絡防御第一道防線的十大攻擊向量
- 打破安全迷信!在iPhone關機下運行惡意軟件,研究員提出新方法
- 智能汽車曝出重大漏洞,黑客10秒開走特斯拉
- 工業領域數據安全管理體系思考
- 黑客利用Tatsu WordPress 插件漏洞,進行數百萬次攻擊
- 美國國防部軟件現代化戰略
安全技術方案
- 新形勢下電力監控系統網絡安全風險分析與防護對策
- 面向資源受限安全芯片的開放式運行環境設計
- 2022年網絡安全十大攻擊媒介
- 數字化轉型的理論體系與具體技術!
技術標準規范
1.硬件安全,科技強“芯” | “納米級芯片硬件綜合安全評估關鍵技術研究”項目啟動會線上召開
5月7日,國家計算機網絡應急技術處理協調中心牽頭主持的國家重點研發計劃重點專項“納米級芯片硬件綜合安全評估關鍵技術研究”項目啟動會以線上網絡會議形式順利召開。
https://mp.weixin.qq.com/s/0GMDdcrt2UGtNjW3IFhT9A
行業發展動態
2.繼美國之后,歐盟推出關鍵領域網絡安全新立法
近日,歐盟已就新的立法達成政治協議,將對關鍵行業組織實施共同的網絡安全標準。
https://mp.weixin.qq.com/s/MOyluxrCgsp94-bUxfXjPQ
3.加拿大空軍關鍵供應商遭勒索攻擊,疑泄露44GB內部數據
專門為空軍提供戰斗機培訓服務的的加拿大公司Top Aces(頂級王牌)表示,已經遭到勒索軟件攻擊。
https://mp.weixin.qq.com/s/HRBj6bA-dh0Va2L9wmzOFA
4.鏈家IT管理員刪除數據庫,被判7年有期徒刑
Bleeping Computer 資訊網站披露,房地產經紀巨頭鏈家的前數據庫管理員韓冰,因登錄公司系統并刪除公司數據,被判處 7 年有期徒刑。
https://mp.weixin.qq.com/s/_PajbdL4y5B0vOqroUq0sQ
5.這個醫生不簡單!!美司法部指控委內瑞拉55歲心臟病專家開發、使用、銷售“Thanos”勒索軟件
美國司法部當地時間5月16日表示,居住在委內瑞拉玻利瓦爾城的擁有法國和委內瑞拉國籍的55歲心臟病專家莫伊塞斯·路易斯·扎加拉·岡薩雷斯 (Zagala) 創建了Jigsaw和Thanos勒索軟件并將其出租給網絡犯罪分子。
https://mp.weixin.qq.com/s/l8WzXb51bUtvVOT1kHFW8A
6.親俄黑客攻擊意大利政府網站
近日,一個名為“Killnet”的親俄黑客團伙對多個意大利機構網站發動了攻擊,其中包括參議院、國家衛生研究院,國家汽車協會,即國家駕駛員協會。國防部的網站也無法訪問,但官員們卻表示,無法訪問是“由于該網站正在進行一項計劃已久的維護活動”。
https://mp.weixin.qq.com/s/AcZDdIkQsbwpzi8DWSl2rw
7.俄黑客組織對美英德10國政府宣戰,意大利國家警察官網已淪陷
當地時間5月16日,俄羅斯黑客組織Killnet在社交媒體上發布視頻,正式向英美德等10個國家政府網站宣戰。
https://mp.weixin.qq.com/s/J3M5COTgnva3l4ngF96K9A
8.美發布《保護5G安全:美中安全競爭的前進方向》
5G網絡正在全球范圍內部署,它最終將取代3G和4G。5G將比過去的蜂窩網絡能提供更高的數據速率和更低的消息延遲,同時還能提供或支持各種新應用,如全息通信、汽車自動駕駛和物聯網通信等。
https://mp.weixin.qq.com/s/LNbEE4_fuC5kaBmjyriSjA
9.最新動作!歐美發布聯合申明,網絡關系更加緊密
5月15日至16日,美國-歐盟貿易和技術委員會(TTC)在巴黎舉行了第二次會議,歐盟和美國政府代表聯合宣布了一系列新舉措,涉及中小企業和供應鏈安全、應對虛假信息、逃避制裁以及開發可信賴的人工智能和隱私增強技術等領域。
https://mp.weixin.qq.com/s/7ezcGeFShi7s8ux7j62SpA
10.海運網絡安全:脆弱的海運供應鏈—對全球經濟的威脅'
在某個階段,大約90%到95%的所有運輸貨物都是通過海上運輸的。這使得全球海運業成為世界上最大和最重要的單一供應鏈。針對海上供應鏈的成功網絡攻擊將有可能損害個別公司、國家財政甚至全球經濟。
https://mp.weixin.qq.com/s/ek6MzLdSHZMwVB799ROLNw
11.勒索軟件攻擊已造成國家危機!該國總統說:有內鬼配合
5月16日(周一),哥斯達黎加新任總統Rodrigo Chaves在新聞發布會上表示,國內有合謀者協助Conti勒索軟件團伙敲詐政府,這坐實了Conti團伙日前在網站上發布的聲明內容。
https://mp.weixin.qq.com/s/KVF0CldELXbLAkevZaqudw
12.贊比亞央行遭勒索軟件攻擊,部分系統中斷服務|一帶一路網絡安全
安全內參5月19日消息,據彭博社報道,贊比亞銀行表示,不會向Hive勒索軟件團伙支付贖金。此前Hive團伙對該銀行發動攻擊,但系統受到的損害相當有限。
https://mp.weixin.qq.com/s/FVVlwslaJ5aPayF3n0fTUA
13.Conti勒索軟件攻擊使得哥斯達黎加進入緊急狀態
哥斯達黎加總統RodrigoChaves在周末宣布哥斯達黎加進入國家網絡安全緊急狀態。
https://mp.weixin.qq.com/s/O8CwJ7y25qKAwWvwKscGWA
14.英國司法部長談未來前沿的國際法-網絡空間不是無法無天的灰色地帶,英國可以合法地對敵對國家發動網絡攻擊
英國司法部長Suella Braverman于倫敦時間5月19日晚間在查塔姆研究所外交事務智囊團發表講話,闡述英國在網絡安全和國際法方面的立場,以及它如何幫助就構成非法行為的決定提供信息。
https://mp.weixin.qq.com/s/z61Ue6qVLM7dIAnBreTJmQ
安全威脅分析
15.缺少乏國家級防御者的網絡防御總是會失敗-理論停滯是阻礙美國網絡不安全的根本原因
關于國家網絡力量的辯論必須重新關注一個非技術問題:如何刺激和引導國防任務、戰略、理論、部隊和組織的有效變革。
https://mp.weixin.qq.com/s/NlKxo8bnyZH3yEhsc9eb9Q
16.透過俄烏沖突談對“網絡無國界”的再認識
隨著通信技術和互聯網日新月異的發展,由美國等西方發達國家主導提出的“網絡無國界”論調正披著華麗的外衣向全世界各個國家、各個領域滲透和延伸。
https://mp.weixin.qq.com/s/of-wix4pKNZWipgsfKf2Dg
17.意大利多個重要政府網站遭新型DDoS攻擊癱瘓,該國CERT發布警告
意大利計算機安全事件響應小組(CSIRT,類似于國家CERT)警告稱,近期已出現多起針對意大利重要政府網站的DDoS攻擊。
https://mp.weixin.qq.com/s/qFxHTtPPzmdb1LZapGSzYg
18.電信領域數據安全標準體系現狀與思考
數據安全問題涉及公眾利益、社會穩定與國家安全,亟需規范安全管理,加強安全防護。而數據安全標準是開展數據安全管理、規范行業數據安全要求、指導企業提升數據安全能力的重要抓手。
https://mp.weixin.qq.com/s/kKnjvjjLpYau7gERHAXM2Q
19.因在暗網出售被盜憑據,烏克蘭黑客被判四年監禁
Security Affairs 網站披露,因盜取大量服務器登錄憑據,并在暗網出售, 28 歲的烏克蘭人 Glib Oleksandr Ivanov-Tolpintsev 被判處 4 年監禁。
https://mp.weixin.qq.com/s/BBJPW-EFR0dWQH46zq5hwQ
20.美英加等五國網絡安全監管機構發布聯合咨詢公告--突破網絡防御第一道防線的十大攻擊向量
美國、加拿大、新西蘭、荷蘭和英國的網絡安全監管機構于5月17日發布了聯合安全公告,揭示了威脅行為者最常利用的十大攻擊媒介來突破網絡防御。該聯合安全咨詢公告指出了經常被攻擊者利用的弱安全控制、糟糕的安全配置和不良實踐的清單。
https://mp.weixin.qq.com/s/TY-1PX-CXqMLzycf15yrnA
21.打破安全迷信!在iPhone關機下運行惡意軟件,研究員提出新方法
針對iOS FindMy功能的安全研究發現了一種全新攻擊面,已證實可以篡改固件,并將惡意軟件加載至藍牙芯片上。由于藍牙芯片在iPhone關機時仍在運行,因此攻擊在關機狀態下同樣有效。
https://mp.weixin.qq.com/s/E57jx2gt0U-F5ETDMk1Naw
22.智能汽車曝出重大漏洞,黑客10秒開走特斯拉
據Bleeping Computer消息,NCC集團的安全研究人員近日已成功攻破特斯拉無鑰匙系統,在中繼通道建立起來后,整個攻擊過程只需要不到10秒鐘即可打開車門,并且可以無限重復攻擊。
https://mp.weixin.qq.com/s/9EZ7LWrlcqZLWBQPFzygKg
23.工業領域數據安全管理體系思考
工業領域數據涉及主體多、種類多、格式多,既有工業企業產生和收集的研發設計、生產制造、運行維護等數據,也有工業互聯網平臺企業產生和收集的平臺運營數據、知識庫模型庫數據,還有工控廠商產生和收集的設備生產運維數據、產品測試數據等。
https://mp.weixin.qq.com/s/OmivDUoMOFxERAaZsiq4dw
24.黑客利用Tatsu WordPress 插件漏洞,進行數百萬次攻擊
Bleeping Computer 網站披露, WordPress 插件 Tatsu Builder 中存在遠程代碼執行漏洞 CVE-2021-25094,黑客正在利用其進行大規模網絡攻擊。(該插件安裝在大約10 萬個網站上。)
https://mp.weixin.qq.com/s/01McW84u8E6CqTpW3ksqyg
25.美國國防部軟件現代化戰略
為實現“以相應的速度提供彈性軟件能力”的愿景,美國國防部發布了《國防部軟件現代化戰略》。該戰略是 2019 年美國發布《國防部數字現代化戰略》的附屬戰略之一,其繼承并發展了 2018 年美國發布的《國防部云戰略》。
https://mp.weixin.qq.com/s/L-ML7Stgv36tB3suxUM4zw
安全技術方案
26.新形勢下電力監控系統網絡安全風險分析與防護對策
移動互聯網、物聯網及云計算等新技術在電力監控系統得到了廣泛應用,提高了電力生產控制效率,但卻增加了網絡安全風險,面臨新的攻擊威脅。
https://mp.weixin.qq.com/s/TcOnIZX9VF5GVTEonG41DA
27.面向資源受限安全芯片的開放式運行環境設計
安全芯片開放式架構實現了用戶程序和操作系統的分離,降低了應用程序與安全芯片操作系統的耦合性,但同時存在國外壟斷、執行效率低、內存易泄露等弊端。
https://mp.weixin.qq.com/s/9OxJD2N3ikJWVbWeJ9p3aQ
28.2022年網絡安全十大攻擊媒介
近日,美國、加拿大、新西蘭、荷蘭和英國等多個國家網絡安全政府機構發布聯合安全公告,揭示了網絡攻擊者最常利用的十大攻擊媒介。
https://mp.weixin.qq.com/s/n9hmluvZ7rb_ndP49hIZgQ
29.數字化轉型的理論體系與具體技術!
談到工業4.0時,人們經常會說起個性化定制;而談到工業互聯網時,人們又容易聯想起設備故障診斷。但是,有心人會想:這些技術的意義難道這么大嗎?值得用“第四次工業革命”、“第三次創新與變革浪潮”這樣讓人驚悚的說法來描述嗎?
