網絡安全人才危機持續惡化

【國家安全部公布《公民舉報危害國家安全行為獎勵辦法》】

6月6日，國家安全部公布部門規章《公民舉報危害國家安全行為獎勵辦法》，自公布之日起施行。《辦法》共5章24條，根據《中華人民共和國國家安全法》《中華人民共和國反間諜法》及其實施細則等法律法規，對國家安全機關實施的公民舉報獎勵工作進行了全面規范，明確舉報獎勵工作應當貫徹總體國家安全觀，堅持國家安全一切為了人民、一切依靠人民，堅持專門工作與群眾路線相結合，堅持客觀公正、依法依規。《辦法》立足鼓勵公民舉報危害國家安全行為，依照上位法律法規規定，細化和明確了國家安全機關實施舉報獎勵的條件、方式、標準和程序。其中，規定舉報人獲得舉報獎勵應當同時符合3項條件：一是有明確的舉報對象，或者具體的危害國家安全行為線索或者情況；二是舉報事項事先未被國家安全機關掌握，或者雖被國家安全機關有所掌握，但舉報人提供的情況更為具體詳實；三是舉報內容經國家安全機關查證屬實，為防范、制止和懲治危害國家安全行為發揮了作用、作出了貢獻。《辦法》結合國家安全機關舉報獎勵實踐，明確獎勵實施方式包括精神獎勵和物質獎勵，并根據舉報發揮作用程度、作出貢獻大小，劃定了4個等級的獎勵標準。

【網絡安全人才危機持續惡化】

新發布的調查結果表明，近三分之一的網絡安全從業者打算近期轉行，企業因而面臨威脅環境急速惡化的窘境。網絡安全公司Trellix委托調研機構對全球1000名網絡安全專業人員進行問卷調查，發現30%的受訪者計劃在未來兩三年里轉行。企業已經面臨網絡安全人才短缺的情況，根本沒有足夠的人手具備維護IT系統安全所需的技術和資格，數據泄露和其他安全威脅的風險日漸上升。火上澆油的是，網絡犯罪團伙和黑客國家隊的攻勢愈演愈烈，網絡攻擊規模持續擴大，攻擊手法也越來越復雜多變。調查發現，85%的企業報告稱，網絡安全人手短缺影響到了企業保護自身IT系統和網絡安全的能力。至于網絡安全從業者本身，那些計劃離開這個行業的人之所以這樣做，是因為他們覺得自己不受重視，職業成長受限。缺乏明確的職業道路（35%）、缺乏社會認可（31%）和對技能發展的支持有限（25%）是促使安全人員離職的三大原因。其他原因還包括：已經達成了自己安全職業生涯所求的一切；職業倦怠；對薪資不滿意。企業認識到，對技能發展的支持（85%）和認證（80%）是行業充實人力資源所需解決的重要因素。促進網絡安全職業（43%），鼓勵學生從事STEM（科學、技術、工程、數學）相關職業（41%），以及加大資金支持（39%），是吸引更多人從事網絡安全工作的幾個主要途徑。

【ISACA發布全球軟件供應鏈安全報告】

ISACA（國際信息系統審計協會）本周發布《供應鏈安全差距：2022年全球研究報告》。報告收錄了1300多名IT專業人員對于供應鏈的看法。25%的受訪者證實所在組織機構在過去一年中遭到供應鏈攻擊，超過一半（53%）的受訪人員認為供應鏈問題將在未來六個月還將繼續或者更加糟糕。30%的受訪者認為所在組織機構領導人員并未充分了解供應鏈風險。另外，不到一半 (44%)的受訪者表示對組織機構的供應鏈安全很有信心，同樣比例的受訪者對于供應鏈的訪問控制很有信心。受訪人員擔心的五大供應鏈風險包括：勒索攻擊（73%）、供應商的不良信息安全實踐（66%）、軟件安全漏洞（65%）、第三方數據存儲（61%），以及對信息系統、軟件代碼或IP具有物理或虛擬訪問權限的第三方服務提供商或廠商（55%）。

【FBI查封知名網絡黑市SSNDOB：曾交易數百萬公民信息】

美國執法部門宣布搗毀SSNDOB，這是一個臭名昭著的網絡黑市，用于交易數百萬美國人的個人信息--包括社會安全號碼即美國人最熟悉的SSN。這次行動由聯邦調查局、美國國稅局（IRS）和司法部（DOJ）在塞浦路斯警方的幫助下進行，查封了托管SSNDOB市場的四個域名--ssndob.ws、ssndob.vip、ssndob.club和blackjob.biz。據司法部稱，SSNDOB列出了美國約2400萬人的個人信息，包括姓名、出生日期、SSN和信用卡號碼，并借此產生了超過1900萬美元的收入。區塊鏈分析公司Chainalysis另外報告說，自2015年4月以來，該市場在超過10萬筆交易中收到了價值近2200萬美元的比特幣，盡管據信該市場至少從2013年就開始活躍。據Chainalysis稱，這些數字表明，一些用戶正在從該服務中大量購買個人身份信息，他們還發現了SSNDOB和Joker"s Stash之間的聯系，后者是一個專注于被盜信用卡信息的大型暗網市場，在2021年1月被關閉。司法部說，據說SSDOB的經營者采用了各種技術來保護他們的匿名性，并阻撓對其活動的檢測，包括使用與其真實身份不同的在線名稱，并在不同國家戰略性地切換和維護服務器。

【被指相冊分類功能非法收集使用人臉數據，谷歌付一億美元和解】

近日，美國伊利諾伊州庫克縣巡回法院宣布，谷歌就此前非法收集和存儲伊利諾伊州居民的個人生物特征數據與多位集體訴訟原告達成和解協議，決定向受到影響的居民支付共計一億美元的和解金，預計最多賠付每人400美元。該州居民需在9月24日前填寫表格提出索賠申請。2015年5月，谷歌上線“相冊分類”功能，該功能可通過識別照片內人物的面部特征，利用算法分析和模型創建判斷不同人臉的相似度，將擁有相似人臉的照片歸為一組，用戶還能為各個人臉分組添加姓名備注，以便“輕松找到自己或親人的舊照片與回憶”。不過，谷歌并未就其中的信息收集行為向用戶進行告知。這一功能引起了用戶對生物特征數據安全的擔憂。和解協議顯示，2016年3月起，伊利諾伊州用戶針對相冊分類功能對谷歌提起集體訴訟，指控谷歌在未獲取用戶書面同意的情況下非法收集、存儲、使用用戶生物特征數據，并認為此舉違反了伊利諾伊州于2008年頒布的《生物特征信息隱私法》。原告提供的指控文件顯示，谷歌憑借相冊分類功能收集、存儲和使用了數百萬不知情用戶的生物特征數據并創建了大量“面部模型”，他們提起訴訟是為防止谷歌進一步侵犯谷歌用戶以及用戶所上傳照片中出現的人物的法定權利，于是根據《生物特征信息隱私法》規定向谷歌提出賠償。值得一提的是，谷歌在今年5月增加了有關相冊分類功能的說明網頁，對其工作原理、數據處理方式和關閉該功能可能產生的后果等進行了介紹。網頁顯示，若用戶關閉相冊分類功能，其賬號中的分組、分組標簽、人臉模型都會被刪除，如谷歌相冊賬號閑置超過兩年，系統會刪除谷歌相冊的全部人臉分組內容。

【醫療設備公司Shields泄露200萬美國患者數據】

近日，美國醫療設備公司Shields遭遇黑客攻擊，泄露了大約200萬美國人的醫療數據。Shields是一家位于馬薩諸塞州的醫療服務提供商，專門從事MRI和PET/CT診斷成像、放射腫瘤學和門診手術服務。根據公司網站上發布的數據泄露通知，Shield于2022年3月28日發現遭受網絡攻擊，并聘請網絡安全專家調查事件。對日志文件的檢查表明，黑客在2022年3月7日至2022年3月21日期間可以訪問Shields的系統，從而可能訪問包含患者全名、社會安全號碼、家庭地址、保險號碼和信息、賬單信息等信息的數據。這些信息可用于社會工程、網絡釣魚、詐騙，甚至敲詐勒索，通常被認為是極其敏感的信息。Shields聲稱沒有證據表明任何被盜信息被濫用或通過非法渠道傳播。不過，這些數據公開傳播可能只是時間問題。通常，此類被盜信息會在網絡黑市交易并用于小規模的針對性攻擊，然后再轉售給參與批量利用的較低級攻擊者。雖然事件通知沒有透露有多少患者數據遭到泄露，但Bleeping Computer從美國衛生部的民權辦公室門戶網站獲悉，有200萬人受到影響。由于Shields的業務與醫院和醫療中心合作緊密，該安全事件的后果是深遠的，影響到56家醫療設施及其患者。一些著名的醫療機構，包括塔夫茨醫療中心、艾默生醫院、溫徹斯特醫院、法爾茅斯醫院和緬因州中央醫療中心都受到該事件影響。

【大規模Facebook網絡釣魚活動，預計產生數百萬美元收益】

據Bleeping Computer網站披露，研究人員發現了一項大規模網絡釣魚活動。攻擊者濫用Facebook和Messenger引誘數百萬用戶訪問網絡釣魚頁面，誘騙用戶輸入帳戶憑據。經研究人員分析，釣魚活動背后的操作者可以利用這些被盜賬戶，向用戶的朋友進一步發送釣魚信息，通過在線廣告傭金獲得了大量收入。根據一家專注于人工智能的網絡安全公司PIXM稱，釣魚活動至少從2021年9月就開始活躍，在2022年4月至5月達到頂峰。PIXM通過追蹤威脅攻擊者，繪制了釣魚活動地圖，發現其中一個被識別出的釣魚網頁承載了一個流量監控應用程序（whos.amung.us）的鏈接，該應用程序無需認證即可公開訪問。目前，尚不清楚釣魚活動最初是如何開始的，但PIXM表示，受害者是通過一系列源自Facebook 、Messenger的重定向到達釣魚登陸頁面的，在更多的Facebook賬戶被盜后，威脅攻擊者使用自動化工具向被盜賬戶好友進一步發送釣魚鏈接，造成了被盜賬戶大規模增長。另外，雖然Facebook有自身保護措施，可以阻止釣魚網站URL的傳播，但威脅攻擊者使用某個技巧，繞過了這些保護措施。

【知名安全廠商Mandiant否認遭LockBit勒索軟件入侵】

知名的勒索軟件團伙LockBit2.0當地時間6月6日聲稱它擁有來自谷歌子公司Mandiant的數據，該公司是威脅情報和事件響應領域的明星企業。據多家新聞網站報道，LockBit團伙的數據泄露網站現在將Mandiant.com列為受害者之一，并附有“所有可用數據將被公布”的通知。該勒索軟件組織當天早些時候在其數據泄露網站上發布了一個新頁面，稱他們據稱從Mandiant竊取的356,841個文件將在網上泄露。該團伙的暗網泄密網站在計時器顯示距離倒計時結束僅剩不到三個小時的時間。由于泄漏頁面上的文件列表為空，LockBit尚未透露它聲稱從Mandiant的系統中竊取了哪些文件。但是，該頁面顯示一個名為“mandiantyellowpress.com.7z”的0字節文件，該文件似乎與mandiantyellowpress[.]com 域（6日當天注冊）有關。訪問此頁面會重定向到ninjaflex[.]com站點。BleepingComputer聯系LockBit索賠的更多細節時，這家威脅情報公司表示尚未找到違規的證據。Mandiant通過發表聲明迅速回應了記者的置評請求：“Mandiant知道這些與LockBit相關的聲明。在這一點上，我們沒有任何證據支持他們的說法。我們將繼續關注事態的發展。”Mandiant營銷傳播高級經理Mark Karayan向BleepingComputer做了如上表態。

來源：聚銘網絡

原文鏈接：https://baijiahao.baidu.com/s?id=1735225888420772009