關鍵基礎設施安全資訊周報20220530期
目錄
技術標準規范
- 中共中央辦公廳 國務院辦公廳印發《關于推進實施國家文化數字化戰略的意見》
- 方濱興:釋放數據使用權將成為未來技術發展取向
- 發布 | 《最高人民法院關于加強區塊鏈司法應用的意見》全文
- 俄通過《保護關鍵信息基礎設施國家政策基本原則》草案
行業發展動態
- 日經新聞亞洲子公司遭勒索軟件攻擊
- 谷歌Java OAuth客戶端庫存在高危漏洞
- 農業網絡安全:全球食品供應鏈面臨惡意黑客的威脅
- 警惕!強制滲透測試式勒索攻擊--新的“勒索之家”組織創立了新勒索市場并公布了第一批受害者
- 俄最大銀行遭到最嚴重DDoS攻擊,普京稱正經歷“信息空間戰爭”
- 新出現的NetDooka惡意軟件通過PrivateLoader傳播
- 支付巨頭PayPal曝大漏洞,黑客可直接竊取用戶資金
- 微軟警告Linux木馬XorDdos攻擊激增,主要針對云、物聯網
- 網絡安全需要怪才和鬼才--挖掘神經多樣性應聘者可以解決網絡安全技能短缺問題
- 首個針對6G網絡的攻擊手法曝光:自制簡易器件實現通信竊聽
- 2022年網絡安全趨勢報告
- 2022全球重大網絡攻擊事件盤點
- 因欺騙性定向廣告,推特遭1.5億美元巨額罰款
安全威脅分析
- 關鍵信息基礎設施網絡安全(物聯網安全專題)監測月報202204期
- 數據安全法下醫療衛生行業的信息安全挑戰
- 關鍵信息基礎設施網絡安全(物聯網安全專題)監測月報202203期
- 數據安全治理之道:安全貫穿業務發展
- 埃隆?馬斯克“助長”加密貨幣新騙局
- 朝鮮黑客組織Lazarus利用Log4J攻擊VMware服務器長達數月之久
- 智能時代教育數據風險不容忽視
- 國際刑警組織:國家網絡武器將很快在暗網上出現
- 數據流動可見 數據風險可控
- 38萬個Kubernetes API服務器暴露在公網
- 2022年新型勒索軟件發展趨勢
- 世界經濟論壇推動石油和天然氣行業網絡彈性承諾以緩解日益增長的網絡風險
- 印度第二大航司遭勒索軟件攻擊,大量乘客滯留在機場
安全技術方案
- 基于 5G 切片網絡的配電網差動保護研究
技術標準規范
1.中共中央辦公廳 國務院辦公廳印發《關于推進實施國家文化數字化戰略的意見》
新華社北京5月22日電 近日,中共中央辦公廳、國務院辦公廳印發了《關于推進實施國家文化數字化戰略的意見》(以下簡稱《意見》),并發出通知,要求各地區各部門結合實際認真貫徹落實。
https://mp.weixin.qq.com/s/JV1ROpLqDQJ1Bse0wClDHw
2.方濱興:釋放數據使用權將成為未來技術發展取向
中新財經5月19日電 進入大數據時代,一方面數據要流通,一方面個人隱私數據保護要重視,如何平衡數據要素流動與隱私保護的沖突,如何在保護數據隱私的前提下,最大限度地挖掘大數據價值是目前不少企業和機構面臨的難題。
https://mp.weixin.qq.com/s/5vJc7J36TaKV3MZutLdZQQ
3.發布 | 《最高人民法院關于加強區塊鏈司法應用的意見》全文
深入貫徹落實習近平法治思想和習近平總書記關于積極推動區塊鏈技術為人民群眾提供更加智能、更加便捷、更加優質公共服務的重要指示精神,貫徹落實《中華人民共和國國民經濟和社會發展第十四個五年規劃和2035年遠景目標綱要》和《“十四五”國家信息化規劃》,充分發揮區塊鏈在促進司法公信、服務社會治理、防范化解風險、推動高質量發展等方面的作用,全面深化智慧法院建設,推進審判體系和審判能力現代化,結合人民法院工作實際,制定本意見。
https://mp.weixin.qq.com/s/0lZDIGoUilyYX5R8eIdotA
4.俄通過《保護關鍵信息基礎設施國家政策基本原則》草案
據塔斯社5月20日報道,俄羅斯聯邦安全委員會會議通過《保護關鍵信息基礎設施國家政策基本原則》草案,并決定額外制定旨在改善俄羅斯信息安全體系的若干戰略規劃文件。
https://mp.weixin.qq.com/s/FaWQX0veJ8GPnwFlbVt-EA
行業發展動態
5.日經新聞亞洲子公司遭勒索軟件攻擊
據出版巨頭日經新聞(Nikkei)透露,該集團在新加坡的總部于近期遭到勒索軟件攻擊。
https://mp.weixin.qq.com/s/WG0Hiz_mP6P73T-BQOAdpg
6.谷歌Java OAuth客戶端庫存在高危漏洞
谷歌JavaOAuth客戶端庫存在高危漏洞,攻擊者可使用被黑的token部署惡意payload。
https://mp.weixin.qq.com/s/vitr9Mb0IYKfuqGM8tUgFg
7.農業網絡安全:全球食品供應鏈面臨惡意黑客的威脅
專家警告說,現代“智能”農業機械容易受到惡意黑客的攻擊,使全球供應鏈面臨風險。
https://mp.weixin.qq.com/s/CD2LYUjGDY_DnaRGxLBGjQ
8.警惕!強制滲透測試式勒索攻擊--新的“勒索之家”組織創立了新勒索市場并公布了第一批受害者
最近的勒索攻擊活動有些新變化。先是著名的Conti勒索組織宣布從此金盆洗手退出勒索江湖,其實只是采取新的戰略戰術,化整為零打游擊。很快,又出來一個Goodwill勒索組織,不為錢只為名,要求受害者做慈善,得做三件好事!!
https://mp.weixin.qq.com/s/LZpq41jVK-r750tBYzDXDA
9.俄最大銀行遭到最嚴重DDoS攻擊,普京稱正經歷“信息空間戰爭”
次日,普京召開俄羅斯聯邦安全會議,稱正經歷“信息空間戰爭”。他提出了三項關鍵任務,以確保俄關鍵信息基礎設施安全。
https://mp.weixin.qq.com/s/6yzsgh6yXJqKdNjn4mJBZQ
10.新出現的NetDooka惡意軟件通過PrivateLoader傳播
研究人員最近遇到了一個相當復雜的惡意軟件框架,研究人員用它的一些組件的名字命名即NetDooka。該框架通過“按安裝獎勵”(pay-per-install,PPI )服務傳播,包含多個部分,包括加載程序、釋放程序、保護驅動程序和實現其自己的網絡通信協議的全功能遠程訪問木馬 (RAT)。
https://mp.weixin.qq.com/s/diRxoQvgreHixDTllXH2jQ
11.支付巨頭PayPal曝大漏洞,黑客可直接竊取用戶資金
據TheHacker News消息,昵稱為h4x0r_dz的安全研究人員在支付巨頭PayPal的匯款服務中發現了一個未修補的大漏洞,可允許攻擊者竊取用戶賬戶中的資金。
https://mp.weixin.qq.com/s/qut80ZF5OI2t9NtuPFK7gw
12.微軟警告Linux木馬XorDdos攻擊激增,主要針對云、物聯網
微軟發現,被稱為XorDdos的Linux木馬的網絡犯罪活動正在增加,該報告發現,在過去六個月中,針對 Linux 端點使用該惡意軟件的惡意活動增加了 254%,主要針對云、物聯網。
https://mp.weixin.qq.com/s/g88zUJnXFRzPYYBoSFtynQ
13.網絡安全需要怪才和鬼才--挖掘神經多樣性應聘者可以解決網絡安全技能短缺問題
雖然具有神經多樣性的候選人不符合傳統的申請者模式,但他們通常可以在高度專注的分析工作中表現出色。
https://mp.weixin.qq.com/s/W9h6wpamJPybbHbNWggUPg
14.首個針對6G網絡的攻擊手法曝光:自制簡易器件實現通信竊聽
消息,由美國計算機協會組織的無線與移動安全/隱私年度會議,ACM WiSec 2022大會即將于本周在圣安東尼奧舉行。美國萊斯大學及布朗大學的工程研究人員將在大會上展示,首次發現的針對6G網絡的安全漏洞和攻擊手法。
https://mp.weixin.qq.com/s/RRHlgacncGTUXKWgUHcyNA
15.2022年網絡安全趨勢報告
2021年是行業人士應該反思的一年。2020年我們的工作轉向遠程辦公,基礎設施、應用程序和訪問控制幾乎在一夜之間發生了迅速的變化,而網絡安全團隊仍在忙于防御一系列的攻擊。
https://mp.weixin.qq.com/s/Mob_-3nGFhPIPnbbhNi2kQ
16.2022全球重大網絡攻擊事件盤點
目前,網絡攻擊事件頻發,諸如數據泄漏、勒索軟件、黑客攻擊等層出不窮。
https://mp.weixin.qq.com/s/_A1erjdCxyIkPM_eQWLnPQ
17.因欺騙性定向廣告,推特遭1.5億美元巨額罰款
Bleeping Computer 網站披露,美國聯邦貿易委員會(FTC)將對推特處以 1.5 億美元巨額罰款,原因是該公司將收集到的電話號碼和電子郵件地址,用于定向廣告投放。
https://mp.weixin.qq.com/s/MCu204KjSo7pajQCjffNHA
安全威脅分析
18.關鍵信息基礎設施網絡安全(物聯網安全專題)監測月報202204期
根據《網絡安全法》和《關鍵信息基礎設施安全保護條例(征求意見稿)》對關鍵信息基礎設施定義和范圍的闡述。
https://mp.weixin.qq.com/s/gu9MBnBXuqb1xaWzvg5AtQ
19.數據安全法下醫療衛生行業的信息安全挑戰
近年來,《民法典》《個人信息保護法》《數據安全法》《醫師法》以及《國家健康醫療大數據標準、安全和服務管理辦法(試行)》等法律法規陸續出臺,從多個視角對醫療衛生行業的數據處理和安全保護進行了規定。
https://mp.weixin.qq.com/s/o90OSEG3HujxK1aqn4FLgg
20.關鍵信息基礎設施網絡安全(物聯網安全專題)監測月報202203期
根據《網絡安全法》和《關鍵信息基礎設施安全保護條例(征求意見稿)》對關鍵信息基礎設施定義和范圍的闡述。
https://mp.weixin.qq.com/s/O85xqytA2hbtPUr6FVxulw
21.數據安全治理之道:安全貫穿業務發展
近年來,數據價值在各行業領域所發揮的作用與日俱增,構建與之相適應的數據安全保障體系顯得尤為關鍵,即系統性降低數據安全風險,以合理的安全成本保障數字化轉型,適應新的數據應用技術和應用場景等。
https://mp.weixin.qq.com/s/iptpdRdeWEsUDnTa6GXdVw
22.埃隆?馬斯克“助長”加密貨幣新騙局
近日,有觀察發現,詐騙者正在深度偽造埃隆·馬斯克(Elon Musk)和其他知名加密貨幣倡導者的視頻以推廣BitVex交易平臺并竊取存儲貨幣。
https://mp.weixin.qq.com/s/sJ-3falC3FRjOpre-NzrmA
23.朝鮮黑客組織Lazarus利用Log4J攻擊VMware服務器長達數月之久
作為朝鮮最著名的黑客組織之一,Lazarus 利用稱為“NukeSped”的 Log4J RCE 漏洞在 VMware Horizon 服務器上注入后門,以檢索信息竊取有效載荷。
https://mp.weixin.qq.com/s/rjiTAdX98QPaezIIOpCfbg
24.智能時代教育數據風險不容忽視
智能時代,大數據技術在教育領域的應用不斷深入,應用場景與范圍加速擴展,為教育決策提供了科學依據,為教學改革創新、教育高質量發展提供了強大動力,但教育數據采集、存儲、分析、共享等環節面臨的隱私安全等風險也不容忽視,教育數據安全事件時有發生。
https://mp.weixin.qq.com/s/s7Y_aJmgEPKZcYYGodTuuQ
25.國際刑警組織:國家網絡武器將很快在暗網上出現
國際刑警組織高級官員警告稱,軍方在網絡戰中使用的數字工具,最終有可能落入惡意黑客手中。
https://mp.weixin.qq.com/s/0CM2a9huqaX8MoQBKPxQvQ
26.數據流動可見 數據風險可控
數據流動有多種視角,在傳統安全的體系里,往往用數據生命周期階段如采集、存儲、傳輸、使用來描述數據流動。
https://mp.weixin.qq.com/s/p0Us5HYjFhke-N0skNPwYQ
27.38萬個Kubernetes API服務器暴露在公網
研究人員發現,有超過38萬個Kubernetes API服務器允許對公共互聯網進行訪問,這就使得這個用于管理云部署的流行開源容器成為了威脅者的一個攻擊目標和廣泛的攻擊面。
https://mp.weixin.qq.com/s/PnUugpEjrgqTEbXcpblVzQ
28.2022年新型勒索軟件發展趨勢
由于多年來越來越流行的大型狩獵 (BGH) 計劃,攻擊者已經滲透到越來越復雜的系統環境中。為了造成盡可能多的破壞并使恢復變得非常困難,他們試圖對盡可能多的系統進行加密。這意味著他們的勒索軟件應該能夠在不同的架構和操作系統組合上運行。
https://mp.weixin.qq.com/s/5RKGA4dH4QHIy-4GEorTww
29.世界經濟論壇推動石油和天然氣行業網絡彈性承諾以緩解日益增長的網絡風險
在數字化和網絡攻擊以前所未有的速度增長之際,確保整個石油和天然氣行業的有效網絡彈性需要多學科聯合和協調一致的努力,以實現有凝聚力的業務和數字化支持。
https://mp.weixin.qq.com/s/Dms7h70BcTIGXzhcC-ZO1A
30.印度第二大航司遭勒索軟件攻擊,大量乘客滯留在機場
5月26日消息,印度香料航空公司(SpiceJet)表示,由于系統在周二(5月24日)受“勒索軟件攻擊”影響,已有多次航班延誤,大量乘客滯留機場。
https://mp.weixin.qq.com/s/Kah6qhKj6AcuXLkpe8HWNw
安全技術方案
31.基于 5G 切片網絡的配電網差動保護研究
隨著以新能源為主體的新型電力系統的發展,傳統的配電網保護難以滿足堅強配電網的建設需求及自愈要求。
