安全态势周刊

News information

六方云 安全态势周刊丨第291期

<<返回

2024年04月02日 08:00

01.

业界动态


1、违规使用数据训练大模型 谷歌被罚5亿欧元

由于谷歌公司在未经许可的情况下,使用法国新闻机构和出版商提供的内容训练其旗下人工智能服务Bard的基础模型,违反了欧盟版权法相关规定。

http://www.anquan419.com/knews/24/6747.html


2、Gartner 公布 2024 年八大网络安全预测

Gartner 研究总监 Deepti Gopal 表示,随着 GenAI 的不断发展,一些长期困扰网络安全的问题(尤其是人才短缺和员工安全意识薄弱等问题)出现转机,有望依靠该技术解决问题。而且今年的预测范围并不局限于技术问题,更侧重于人为因素,任何希望建立有效和可持续网络安全计划的 CISO 应该重点关注。

https://www.freebuf.com/news/396041.html


3、CISA 和 FBI 敦促开发人员“全力消除” SQL 注入漏洞

网络安全与基础设施安全局(CISA)和联邦调查局(FBI)发布了 "安全设计 "警报。他们将 SQL 注入漏洞(SQLi)归入"不可饶恕的 "一类漏洞。

https://new.qq.com/rain/a/20240328A058RS00



02.

关键基础设施


1、苏格兰国家医疗服务系统(NHS)据称被盗 3TB 数据

作为攻击证据,网络犯罪团伙附上了几份据称盗取的文件,包括医院报告、电子邮件对话、临床报告、文件扫描以及来自苏格兰各医疗机构的其他敏感信息。

https://cybernews.com/news/nhs-scotland-ransomware-breach/


2、美国食品连锁巨头Panera Bread 遭遇全国性 IT 故障

该公司包括在线订购、POS 系统、电话和各种内部系统均受到影响。

https://www.bleepingcomputer.com/news/security/panera-bread-experiencing-nationwide-it-outage-since-saturday/



03.

安全事件


1、越南头部券商遭黑后服务中断,当地股市交易量骤降10%

越南第三大证券经纪公司VNDirect(越南直接投资证券股份有限公司)在上周末遭遇网络攻击,目前正全力恢复运营。

https://www.secrss.com/articles/64786


2、印度国防、能源部门遭遇黑客攻击

EclecticIQ 研究人员发布了一份报告称:黑客攻击了印度政府和能源公司,目的是传播一种名为 HackBrowserData 的开源信息窃取恶意软件。

https://thehackernews.com/2024/03/hackers-target-indian-defense-and.html


3、GitHub遭遇严重的供应链“投毒”攻击,影响GG平台

多年来,黑客一直尝试各种攻击战术,包括劫持 GitHub 账户、分发恶意 Python 软件包、使用伪造的 Python 基础架构和社交工程等等。

https://www.bleepingcomputer.com/news/security/hackers-poison-source-code-from-largest-discord-bot-platform/#google_vignette


04.

漏洞事件


1、XZ Utilѕ 工具库恶意后门植入漏洞(CVE-2024-3094)安全风险通告

XZ是一种高压缩比的数据压缩格式,由Tukaani项目开发,几乎存在于每个Linux发行版中,无论是社区项目还是商业产品发行版。它帮助将大文件格式压缩(然后解压缩)为更小、更易管理的大小,以便通过文件传输进行共享。

https://mp.weixin.qq.com/s/R2KIYeJw8fXXnSRvBReR-Q



05.

安全标准


1、全国网安标委发布《网络安全标准实践指南——网络安全产品互联互通 资产信息格式》

为促进网络安全产品互联互通资产信息有效互通和整合,秘书处组织编制了《网络安全标准实践指南——网络安全产品互联互通 资产信息格式》。《实践指南》给出了网络安全产品互联互通时资产信息的描述格式,可用于指导网络安全产品互联互通功能的设计、开发、应用和测试。

https://www.tc260.org.cn/upload/2024-03-25/1711337374117063549.pdf


2全国网安标委发布GB/T 43697-2024《数据安全技术 数据分类分级规则》

在国家数据安全工作协调机制指导下,全国网安标委根据《中华人民共和国数据安全法》《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》及有关规定,制定出 GBT 43697-2024《数据安全技术 数据分类分级规则》,给出了数据分类分级的通用规则,用于指导各行业领域、各地区、各部门和数据处理者开展数据分类分级工作。

https://www.tc260.org.cn/upload/2024-03-21/1711023239820042113.pdf


06.

政策发布


1、广东算力基础设施规划发布 |《广东省算力基础设施高质量发展行动暨“粤算”行动计划(2024-2025年)》

为加快推动广东高质量发展、推进广东现代化建设,构建多元泛在、智能敏捷、安全可靠、绿色低碳的算力服务生态体系,培育信息通信行业新的增长点,不断塑造发展新动能新优势,在高质量发展上走在前列、当好示范广东省通信管理局、中共广东省委网络安全和信息化委员会办公室、广东省发展和改革委员会、广东省工业和信息化厅、广东省政务服务和数据管理局、广东省教育厅、广东省卫生健康委员会、中国人民银行广东省分行、广东省人民政府国有资产监督管理委员会联合发布《广东省算力基础设施高质量发展行动暨“粤算”行动计划(2024-2025年)》。

https://cagd.gov.cn/v/2024/03/4773.html



—【 THE END 】—