要聞速覽

1、商用密碼應(yīng)用安全性評(píng)估試點(diǎn)工作結(jié)束，112家密評(píng)機(jī)構(gòu)名單正式發(fā)布

2、NSA聯(lián)合發(fā)布六項(xiàng)工業(yè)控制系統(tǒng)安全原則，強(qiáng)化關(guān)鍵基礎(chǔ)設(shè)施防護(hù)

3、美候任總統(tǒng)特朗普：將撤銷現(xiàn)有AI行政令，從嚴(yán)監(jiān)管轉(zhuǎn)向放松管制

4、B2B數(shù)據(jù)聚合公司DemandScience泄露超1億人數(shù)據(jù)

5、馬自達(dá)車載系統(tǒng)曝多個(gè)安全缺陷，可通過(guò)USB接口劫持車輛

6、以色列支付系統(tǒng)遭受大規(guī)模網(wǎng)絡(luò)攻擊，全國(guó)加油站和商超大范圍癱瘓

一周政策要聞

商用密碼應(yīng)用安全性評(píng)估試點(diǎn)工作結(jié)束，112家密評(píng)機(jī)構(gòu)名單正式發(fā)布

2024年11月11日，國(guó)家密碼管理局依據(jù)《中華人民共和國(guó)密碼法》、《商用密碼管理?xiàng)l例》、《商用密碼檢測(cè)機(jī)構(gòu)管理辦法》，發(fā)布《商用密碼檢測(cè)機(jī)構(gòu)（商用密碼應(yīng)用安全性評(píng)估業(yè)務(wù)）目錄》，共包含工業(yè)和信息化部密碼應(yīng)用研究中心、北京國(guó)家金融科技認(rèn)證中心有限公司等112家密評(píng)機(jī)構(gòu)。即日起，商用密碼應(yīng)用安全性評(píng)估試點(diǎn)工作正式結(jié)束，未取得商用密碼檢測(cè)機(jī)構(gòu)（商用密碼應(yīng)用安全性評(píng)估業(yè)務(wù)）資質(zhì)的機(jī)構(gòu)不得面向社會(huì)開展商用密碼應(yīng)用安全性評(píng)估業(yè)務(wù)。

信息來(lái)源：國(guó)家密碼管理局https://mp.weixin.qq.com/s/L7yITVa8Ia6h3RpAwiecCg

NSA聯(lián)合發(fā)布六項(xiàng)工業(yè)控制系統(tǒng)安全原則，強(qiáng)化關(guān)鍵基礎(chǔ)設(shè)施防護(hù)

隨著針對(duì)關(guān)鍵基礎(chǔ)設(shè)施組織的攻擊持續(xù)增加，OT安全漏洞的潛在影響十分嚴(yán)重，不僅會(huì)導(dǎo)致服務(wù)中斷，還可能在破壞能源電網(wǎng)和水資源供應(yīng)時(shí)對(duì)公共安全構(gòu)成重大威脅。在此背景下，美國(guó)國(guó)家安全局（NSA）日前聯(lián)合澳大利亞信號(hào)局網(wǎng)絡(luò)安全中心（ASD SCSC）發(fā)布了《運(yùn)營(yíng)技術(shù)網(wǎng)絡(luò)安全原則》（Principles of Operational Technology Cybersecurity）新指南，旨在為運(yùn)營(yíng)技術(shù)（OT）環(huán)境提供最佳安全實(shí)踐指導(dǎo)：

1、安全至上。與傳統(tǒng)IT系統(tǒng)不同，OT系統(tǒng)直接關(guān)系到人身安全。系統(tǒng)需要具有確定性和可預(yù)測(cè)性，即使在完全斷電的情況下，也不應(yīng)限制系統(tǒng)重啟。

2、深入了解業(yè)務(wù)。組織需要清晰識(shí)別所有關(guān)鍵系統(tǒng)和流程，記錄依賴關(guān)系，并確保OT管理人員充分理解這些內(nèi)容。

3、保護(hù)OT數(shù)據(jù)的價(jià)值。建議采取多重措施保護(hù)數(shù)據(jù)，包括定義數(shù)據(jù)存儲(chǔ)位置和方式，使用與企業(yè)環(huán)境和互聯(lián)網(wǎng)訪問(wèn)隔離的受保護(hù)數(shù)據(jù)存儲(chǔ)庫(kù)等。

4、網(wǎng)絡(luò)分段和隔離。組織應(yīng)將OT環(huán)境與所有其他網(wǎng)絡(luò)分段和隔離，限制供應(yīng)商、同行和服務(wù)的上下游數(shù)據(jù)訪問(wèn)。

5、確保供應(yīng)鏈安全。組織需要建立涵蓋軟件、設(shè)備供應(yīng)商和管理服務(wù)提供商的供應(yīng)鏈保障計(jì)劃。

6、重視人員因素。訓(xùn)練有素的人員是保護(hù)OT系統(tǒng)的關(guān)鍵資產(chǎn)。組織應(yīng)招募具有基礎(chǔ)設(shè)施開發(fā)、網(wǎng)絡(luò)安全、控制系統(tǒng)工程等不同背景的專業(yè)人才。

消息來(lái)源：Security Intelligence

https://securityintelligence.com/posts/6-principles-operational-technology-cybersecurity-nsa-initiative/

業(yè)內(nèi)新聞速覽

美候任總統(tǒng)特朗普：將撤銷現(xiàn)有AI行政令，從嚴(yán)監(jiān)管轉(zhuǎn)向放松管制

美國(guó)候任總統(tǒng)特朗普日前表示，將撤銷拜登政府于2023年10月頒布的人工智能行政令，并削減政府對(duì)AI技術(shù)的監(jiān)管力度。這一舉措將可能重塑美國(guó)人工智能發(fā)展的監(jiān)管格局。

特朗普在其競(jìng)選經(jīng)濟(jì)政策綱領(lǐng)中明確指出，拜登的行政令"阻礙了AI創(chuàng)新"。該行政令此前要求大型AI系統(tǒng)開發(fā)商進(jìn)行安全測(cè)試，并強(qiáng)制聯(lián)邦機(jī)構(gòu)制定AI安全標(biāo)準(zhǔn)。artner分析師Avivah Litan表示，雖然特朗普的具體AI政策走向尚不明確，但其經(jīng)濟(jì)政策主張"共和黨支持以言論自由和人類福祉為根基的AI發(fā)展"。

值得關(guān)注的是，特朗普在上一任期間曾發(fā)布"保持美國(guó)在人工智能領(lǐng)域的領(lǐng)導(dǎo)地位"行政令，旨在降低聯(lián)邦政府獲取AI技術(shù)的障礙。此外，社交媒體內(nèi)容審查也是特朗普的核心關(guān)注點(diǎn)，這可能涉及AI技術(shù)的應(yīng)用。

消息來(lái)源：CSDNhttps://blog.csdn.net/LinkTime_Cloud/article/details/143639157

B2B數(shù)據(jù)聚合公司DemandScience泄露超1億人數(shù)據(jù)

據(jù)BleepingComputer消息，今年2月，一個(gè)名為“KryptonZambie”的黑客者開始在 BreachForums論壇 上出售 1.328億條個(gè)人信息記錄，目前已證實(shí)，這些數(shù)據(jù)來(lái)自一家聚合數(shù)據(jù)的 B2B 需求生成公司 DemandScience（前身為 Pure Incubation）。

數(shù)據(jù)聚合是從公共來(lái)源收集、編譯和組織數(shù)據(jù)，以創(chuàng)建一個(gè)對(duì)數(shù)字營(yíng)銷人員和廣告商有價(jià)值的綜合數(shù)據(jù)集，從而創(chuàng)建豐富的 "檔案"，用于生成線索或營(yíng)銷信息。在 DemandScience 的案例中，該公司從公共來(lái)源和第三方收集業(yè)務(wù)數(shù)據(jù)包括全名、實(shí)際地址、電子郵件地址、電話號(hào)碼、職稱和職能以及社交媒體鏈接。

盡管黑客聲稱是從泄露的系統(tǒng)中獲取的數(shù)據(jù)，DemandScience否認(rèn)了這一說(shuō)法，表示其系統(tǒng)運(yùn)行正常，無(wú)任何被黑或數(shù)據(jù)泄露的跡象。然而，8月15日，黑客以 8 個(gè)論壇積分（相當(dāng)于幾美元）的價(jià)格出售數(shù)據(jù)集，基本上是免費(fèi)泄露數(shù)據(jù)。

11月13日，數(shù)據(jù)泄露查詢網(wǎng)站Have I Been Pwned的創(chuàng)始人Troy Hunt確認(rèn)了數(shù)據(jù)的真實(shí)性，并指出受影響的個(gè)人在聯(lián)系DemandScience后，被告知數(shù)據(jù)來(lái)自兩年前已停用的系統(tǒng)。

消息來(lái)源：FREEBUF  https://www.freebuf.com/news/415274.html

馬自達(dá)車載系統(tǒng)曝多個(gè)安全缺陷，可通過(guò)USB接口劫持車輛

據(jù)Zero Day Initiative（ZDI）安全研究團(tuán)隊(duì)最新披露，在馬自達(dá)汽車的車載信息娛樂(lè)系統(tǒng)中發(fā)現(xiàn)了多個(gè)高危安全缺陷。這些缺陷主要存在于2021年前后生產(chǎn)的Mazda 3等多個(gè)車型搭載的連接主控單元中，攻擊者可通過(guò)USB設(shè)備實(shí)現(xiàn)任意代碼執(zhí)行。

從技術(shù)角度分析，這些缺陷涉及多個(gè)關(guān)鍵安全問(wèn)題：首先是SQL注入缺陷，攻擊者可通過(guò)偽造Apple設(shè)備的iAP序列號(hào)注入惡意SQL代碼，實(shí)現(xiàn)數(shù)據(jù)庫(kù)操作和文件創(chuàng)建；其次是兩個(gè)操作系統(tǒng)命令注入缺陷，由于共享對(duì)象中的REFLASH_DDU相關(guān)函數(shù)未對(duì)用戶輸入進(jìn)行充分過(guò)濾，導(dǎo)致可執(zhí)行任意系統(tǒng)命令；此外還發(fā)現(xiàn)硬件信任根缺失和代碼簽名缺失等問(wèn)題。這些安全缺陷的利用方式相對(duì)簡(jiǎn)單：攻擊者只需準(zhǔn)備一個(gè)FAT32格式的USB存儲(chǔ)設(shè)備，創(chuàng)建包含操作系統(tǒng)命令的特定文件名（以.up結(jié)尾），即可觸發(fā)軟件更新處理代碼。ZDI研究人員表示，在實(shí)驗(yàn)環(huán)境中，完整的攻擊鏈條僅需數(shù)分鐘即可完成。一旦攻擊成功，不僅可以實(shí)現(xiàn)持久化控制，還可以安裝特制的VIP微控制器軟件，獲取對(duì)車輛網(wǎng)絡(luò)的無(wú)限制訪問(wèn)權(quán)限。研究人員表示，市場(chǎng)上運(yùn)營(yíng)多年且有長(zhǎng)期安全修復(fù)歷史的成熟汽車產(chǎn)品，也可能存在高影響力的漏洞安全漏洞。

以色列支付系統(tǒng)遭受大規(guī)模網(wǎng)絡(luò)攻擊，全國(guó)加油站和商超大范圍癱瘓

日前，一場(chǎng)針對(duì)支付系統(tǒng)的網(wǎng)絡(luò)攻擊導(dǎo)致以色列境內(nèi)數(shù)千臺(tái)信用卡讀卡器無(wú)法正常工作，造成全國(guó)加油站和連鎖超市的支付系統(tǒng)大面積癱瘓。

據(jù)《耶路撒冷郵報(bào)》報(bào)道，周日清晨，負(fù)責(zé)運(yùn)營(yíng)支付設(shè)備的Hyp CreditGuard公司遭遇疑似分布式拒絕服務(wù)（DDoS）攻擊，導(dǎo)致其支付網(wǎng)關(guān)系統(tǒng)通信中斷。這次攻擊影響范圍廣泛，涉及Maccabi衛(wèi)生基金、Gett出租車服務(wù)、Wolt食品訂購(gòu)應(yīng)用程序，以及Rav Kav Online和Hop-On等公共交通支付系統(tǒng)。

Hyp CreditGuard公司在聲明中表示：公司部分服務(wù)和相關(guān)通信供應(yīng)商遭受DDoS攻擊。目前攻擊已被成功阻止，服務(wù)已恢復(fù)正常運(yùn)營(yíng)；我們正在與所有安全機(jī)構(gòu)協(xié)調(diào)，以確保持續(xù)正常運(yùn)營(yíng)。該公司同時(shí)表示，此次事件未造成個(gè)人或財(cái)務(wù)數(shù)據(jù)泄露。

數(shù)據(jù)顯示，自去年以來(lái)，針對(duì)以色列企業(yè)的網(wǎng)絡(luò)攻擊增長(zhǎng)了100%，這與以色列在加沙和黎巴嫩發(fā)起的軍事行動(dòng)有關(guān)。

消息來(lái)源：安全牛 https://mp.weixin.qq.com/s/UwD7JFZsMLkthQpcORJjhQ

來(lái)源:本安全周報(bào)所推送內(nèi)容由網(wǎng)絡(luò)收集整理而來(lái)，僅用于分享，并不意味著贊同其觀點(diǎn)或證實(shí)其內(nèi)容的真實(shí)性，部分內(nèi)容推送時(shí)未能與原作者取得聯(lián)系，若涉及版權(quán)問(wèn)題，煩請(qǐng)?jiān)髡呗?lián)系我們，我們會(huì)盡快刪除處理，謝謝！