要聞速覽

1、證監(jiān)會發(fā)布《上市公司公告電子化規(guī)范》等9項金融行業(yè)標準

2、《網絡安全標準實踐指南—粵港澳大灣區(qū)跨境個人信息保護要求》公開征求意見

3、北京市網信辦對三家企業(yè)未履行數據安全保護義務作出行政處罰

4、加拿大禁止政府雇員使用微信和卡巴斯基

5、次覆蓋“人的因素”，MITRE ATT&CK v14發(fā)布

6、波音公司疑遭Lockbit勒索軟件攻擊

一周政策要聞

證監(jiān)會發(fā)布《上市公司公告電子化規(guī)范》等9項金融行業(yè)標準

近日，證監(jiān)會發(fā)布《上市公司公告電子化規(guī)范 第1部分：公告分類》《上市公司公告電子化規(guī)范 第2部分：首次披露》《上市公司公告電子化規(guī)范 第3部分：交易類臨時公告》《上市公司公告電子化規(guī)范 第4部分：公司治理類臨時公告》《上市公司公告電子化規(guī)范 第5部分：權益變動類臨時公告》《上市公司公告電子化規(guī)范 第6部分：融資類臨時公告》《上市公司公告電子化規(guī)范 第7部分：其他臨時公告》《上市公司公告電子化規(guī)范 第8部分：定期報告》《證券期貨業(yè)信息安全運營管理指南》9項金融行業(yè)標準，自公布之日起施行。

《上市公司公告電子化規(guī)范》金融行業(yè)系列標準是對《上市公司信息披露電子化規(guī)范》金融行業(yè)標準的修訂?！渡鲜泄拘畔⑴峨娮踊?guī)范》自發(fā)布以來，對于規(guī)范上市公司信息披露電子文檔發(fā)揮了重要作用。近年來，隨著資本市場的改革發(fā)展與可擴展商業(yè)報告語言（XBRL）技術的發(fā)展，上市公司信息披露面臨新情況、新要求。修訂后的系列標準，由8個部分構成，將上市公司公開披露公告根據業(yè)務現(xiàn)狀進行了分類，從多個角度規(guī)范上市公司信息披露業(yè)務范圍和技術要求，標準的實施有利于進一步提升上市公司信息披露的標準化程度，提高相關文件披露內容的規(guī)范性、準確性、統(tǒng)一性與及時性，有助于實現(xiàn)行業(yè)內及與其他行業(yè)間的信息共享。

《證券期貨業(yè)信息安全運營管理指南》金融行業(yè)標準給出了信息安全運營管理過程中基礎安全、信息資產、漏洞、開發(fā)安全、數據安全等方面的管理思路和方法，并給出了各管理域的度量指標以及行業(yè)最佳實踐。標準的制定實施可有效指導行業(yè)機構建立完善的安全運營體系和流程，規(guī)范信息安全運營管理過程，推動相關安全措施的有效實施和持續(xù)改進。

需要獲取行業(yè)標準詳情請在評論區(qū)留言“行業(yè)標準” ，小銘哥會第一時間為您提供相關資料。

信息來源： 證監(jiān)會發(fā)布 https://mp.weixin.qq.com/s/yt0P4nxUh2v0iD3n316rhQ

《網絡安全標準實踐指南—粵港澳大灣區(qū)跨境個人信息保護要求》公開征求意見

2023年11月1日，全國信息安全標準化技術委員會秘書處發(fā)布通知，秘書處組織編制了《網絡安全標準實踐指南—粵港澳大灣區(qū)跨境個人信息保護要求（征求意見稿）》。根據《全國信息安全標準化技術委員會<網絡安全標準實踐指南>管理辦法（暫行）》要求，秘書處現(xiàn)組織對《網絡安全標準實踐指南—粵港澳大灣區(qū)跨境個人信息保護要求（征求意見稿）》面向社會公開征求意見。

需要獲取文件詳情請在評論區(qū)留言“獲取” ，小銘哥會第一時間為您提供相關資料。

信息來源：全國信息安全標準化技術委員會 https://www.tc260.org.cn/front/postDetail.html?id=20231101123231

業(yè)內新聞速覽

北京市網信辦對三家企業(yè)未履行數據安全保護義務作出行政處罰

近日，根據國家網信辦移交的問題線索，北京市網信辦依據《中華人民共和國數據安全法》對屬地三家企業(yè)涉嫌存在網絡數據安全違法行為進行立案調查并作出行政處罰。

經查實，三家企業(yè)違反《中華人民共和國數據安全法》第二十七條規(guī)定，未履行數據安全保護義務，部署的ElasticSearch數據庫存在未授權訪問漏洞，造成部分數據泄露。北京市網信辦依據《中華人民共和國數據安全法》第四十五條第一款規(guī)定，對三家企業(yè)分別作出責令改正，給予警告，并處5萬元罰款的行政處罰，對直接主管人員和其他責任人員處以1萬元罰款處罰。

依據相關法律法規(guī)，企業(yè)應牢固樹立合規(guī)意識，規(guī)范數據處理行為，完善數據安全防護技術措施，嚴格履行主體責任，切實維護網絡安全和數據安全。下一步，北京市網信辦將持續(xù)強化相關領域執(zhí)法，堅決筑牢網絡安全、數據安全保護屏障。

消息來源：網信北京 https://mp.weixin.qq.com/s/SVmFqC40Z-8vzPfj6xPl6A

加拿大禁止政府雇員使用微信和卡巴斯基

近日，加拿大政府發(fā)布公告，禁止政府員工在移動設備上使用卡巴斯基安全產品和騰訊的微信（Wechat）應用，原因是對網絡安全和國家安全的擔憂。

該禁令的出臺是因為加拿大擔心這兩家公司秘密地將敏感信息傳輸給俄羅斯和中國的情報機構。移動設備，如智能手機和平板電腦，經常被帶入和帶出工作場所，這使得難以監(jiān)控秘密的數據竊取行為（這些指控都沒有證據）。

公告指出：

“今天，財政部長Anita Anand宣布禁止在政府發(fā)放的移動設備上使用微信和卡巴斯基的一系列應用。加拿大首席信息官認定，微信和卡巴斯基的一系列應用對隱私和安全構成了不可接受的風險?！?

“在移動設備上，微信和卡巴斯基應用的數據收集方式可以大量訪問設備的內容。”

“雖然使用這些應用的風險是明確的，但我們沒有證據表明政府信息已經被泄露。”

禁令將于2023年10月30日生效，屆時所有的微信和卡巴斯基軟件必須從加拿大政府發(fā)放的移動設備中移除。

之后，政府將實施阻止下載這些應用的措施，確保這些軟件不會再次出現(xiàn)在這些設備上。

對于公眾能否使用上述軟件，公告強調人們有選擇應用的自由，但建議參考加拿大網絡安全中心的相關指南。

消息來源： GoUpSec https://mp.weixin.qq.com/s/qc4-49sIhPLuaMDGHF8j0A

首次覆蓋“人的因素”，MITRE ATT&CK v14發(fā)布

MITRE在萬圣節(jié)期間發(fā)布了MITRE ATT&CK v14，這是流行的ATT&CK框架的一次重大版本更新，范圍首次擴大到針對“人類漏洞”的非技術攻擊。

ATT&CK是流行的事件調查框架和對手TTPs知識庫，每六個月發(fā)布一個新版本。其目標是對現(xiàn)實世界網絡攻擊中對手的行為進行編目和分類。該框架不斷進行調整，以包含攻擊者與設備、系統(tǒng)和網絡交互的最新技術、方法和流程。

MITRE ATT&CK包括以下三大矩陣：

• 企業(yè)版，涵蓋用于針對Windows、macOS、Linux、PRE、云平臺（AzureAD、Office365、GoogleWorkspace、SaaS、IaaS）、網絡設備和容器的策略和技術
• 移動設備（安卓、iOS）
• ICS（工業(yè)控制系統(tǒng)）

首次覆蓋針對人員的非技術攻擊

MITRE高級網絡安全工程師AmyL.Robertson表示：“隨著攻擊者不斷發(fā)展對人類漏洞的利用，ATT&CK在此版本中擴大了其范圍，涵蓋了更多鄰近但會導致直接網絡交互或影響的活動。”

“新增的范圍覆蓋了可能沒有直接技術成分的欺騙行為和社會工程技術，包括金融盜竊、冒充和魚叉式網絡釣魚?！?

MITRE ATT&CK v14的其他重大更新：

• 增強的檢測注釋可幫助防御者在分析網絡流量時檢測對手行為的跡象
• 增強檢測、數據源和緩解措施之間的關系
• ICS矩陣中包含的新資產（設備和系統(tǒng)）
• 更廣泛的移動矩陣（添加了新的網絡釣魚向量，包括quishing）和結構化檢測
• 新軟件、攻擊組織和記錄的活動

實施 MITRE ATT&CK需要循序漸進

MITRE ATT&CK項目負責人Adam Pennington指出：“ATT&CK最初是一個識別對手及其策略的Excel電子表格，現(xiàn)在已經轉變?yōu)橐粋€被世界各地用戶引用和貢獻的框架?！?

企業(yè)可以使用ATT&CK框架打磨其威脅模型、評估供應商能力、映射檢測以簡化分析師的工作、進行員工培訓等。

企業(yè)應該從小范圍小規(guī)模開始，循序漸進地實施ATT&CK框架。

“該框架分為多種技術，因此組織可以從與其系統(tǒng)相關的單個策略開始。例如，如果您關心身份管理，可以深入研究對手如何竊取密碼并識別他們行為之間的重疊。一旦達到這些優(yōu)先級點，就可部署針對性的保護措施?！盤ennington建議道。

MITRE還致力于開發(fā)D3FEND框架，一個針對常見進攻技術的防御技術知識庫，也是一個供網絡安全專業(yè)人員針對特定網絡威脅定制防御的框架，D3FEND與側重對手知識庫的ATT&CK框架形成互補。

消息來源： GoUpSec https://mp.weixin.qq.com/s/38fS-QB1cHYTRQ9yu3Dlxw

波音公司疑遭Lockbit勒索軟件攻擊

上周日，Lockbit勒索軟件組織將波音公司列入其受害者名單。據Foxbusiness和Register等媒體報道，Lockbit宣稱從波音公司竊取了大量“敏感數據”，而波音公司則表示正在核實Lockbit的說法。

Lockbit于10月27日在泄露網站上發(fā)布帖子（下圖），威脅稱如果波音公司不與其聯(lián)系談判，將在UTC時間11月2日13:25:39截止日期之前發(fā)布數據。

Lockbit表示，其勒索軟件附屬團伙利用零日漏洞獲得了波音公司系統(tǒng)的訪問權限。然而，Lockbit并未詳細說明此漏洞，因此安全研究人員無法驗證這些聲明是否真實。

Lockbit沒有透露據稱從波音公司竊取了多少數據，也沒有透露所要求的贖金金額。波音公司沒有進一步置評。

截至本文發(fā)稿，波音公司已經被Lockbit從泄露名單中移除，這可能意味著波音公司已經與該勒索組織展開談判或者支付贖金。

消息來源：GoUpSec https://mp.weixin.qq.com/s/2ormJCk0ohfmv5UW_D2DgQ

來源:本安全周報所推送內容由網絡收集整理而來，僅用于分享，并不意味著贊同其觀點或證實其內容的真實性，部分內容推送時未能與原作者取得聯(lián)系，若涉及版權問題，煩請原作者聯(lián)系我們，我們會盡快刪除處理，謝謝！