安全态势周刊

News information

六方云 安全态势周刊丨第234期

<<返回

2023年01月30日 16:30

01.

业界动态


1、2022年中国网络安全市场需求热词排行

数说安全商业分析平台应用大数据技术对中国网络安全市场需求侧数据进行了跟踪。截止2022年12月31日,全年总计跟踪近20万个网络安全相关项目,并对相关市场数据进行了清洗、分类与汇总分析。

https://mp.weixin.qq.com/s/FfeBcJROteDQ6qUY_Aza-A


2、日本网络安全协会“2022年十大安全新闻”

日本网络安全协会(JNSA)发布了“2022年十大安全新闻”。相关媒体评论称,针对丰田汽车公司和医疗机构等的勒索攻击造成的损害不断扩大,突出了整个供应链安全的问题。此外,Emotet和Log4J并不安分,都迫切需要加强网络安全措施,确保基础设施安全。

https://www.jnsa.org/active/news10/2022.html


3、英国2022年新版《国家网络战略》

英国政府2022年12月15日发布了2022年新版《国家网络战略》,该版战略是在《2016-2021年国家网络安全战略》上的优化,旨在反映英国国家价值观的网络空间,以及形成足以影响世界的全球行动,促进网络在技术重塑的格局中对于国家利益的保护和影响。本版战略将聚焦两个方面:一是加强对网络至关重要的技术;二是限制和避免对不符合英国价值观的个别供应商或技术的依赖。英国《国家网络战略》依托于英国政府对科学和技术高达220亿英镑的投资计划,建立强大的网络韧性和安全性,为英国人民和企业蓬勃发展提供可靠支撑。

https://www.gov.uk/government/publications/national-cyber-strategy-2022/national-cyber-security-strategy-2022


02.

关键基础设施


1、美国联邦航空管理局发生系统故障,境内所有航班遭遇数小时停飞

1月11日,美国民航史上发生了可以载入史册的一幕:因为NOTAM系统故障,全美航班遭遇大规模停飞。据ABC采访的知情人士称,这次中断所造成的损失可能会高达数百万美元。但谁能想到,背后原因,竟然是因为外包程序员手抖了一下。

https://www.cnbc.com/2023/01/11/faa-orders-airlines-to-pause-departures-until-9-am-et-after-system-outage.html


2、全球最大船机社遭勒索攻击,千艘船舶运营受影响

1月20日消息,由于重要船舶软件供应商遭遇勒索软件攻击,已有约1000艘船舶受到影响。全球最大海事组织之一DNV披露,其于1月7日晚间遭勒索软件攻击,ShipManager软件系统相关的IT服务器已经被迫关闭。

https://therecord.media/ransomware-attack-on-maritime-software-impacts-1000-ships/


03.

安全事件


1、俄罗斯科技巨头Yandex内部源代码全部泄露

俄罗斯最大的IT科技公司之一Yandex的源代码仓库据传遭到前员工窃取,相关数据已在某个流行黑客论坛上以BT种子形式泄露。1月25日,泄密者公开发布了一条磁力链接,宣称这是“Yandex git sources”,包含了2022年7月从Yandex公司窃取的44.7 GB文件。据称,这批数据包含了该公司除反垃圾邮件规则之外的全部源代码。

https://www.bleepingcomputer.com/news/security/yandex-denies-hack-blames-source-code-leak-on-former-employee/


2、《英雄联盟》游戏源代码遭黑客拍卖

Riot Games发推称其开发环境遭到黑客攻击,入侵者可能已窃取英雄联盟 (LoL)、Teamfight Tactics (TFT) 和该公司的上个版本反作弊平台Packman的源代码。目前拳头公司已收到了威胁者发来的1000万美元赎金通知 ,要求支付该笔赎金以防止被盗数据公开,但该公司立即拒绝了这笔赎金交易。

https://twitter.com/riotgames/status/1617900236172857345


3、日产汽车北美数据泄露

1月16日消息,日产汽车北美公司向客户发送数据泄露通知,告知第三方服务提供商发生泄露客户信息事件,约17998名客户受到了影响。泄露的客户数据包括全名、出生日期和NMAC账号(日产金融账户)。

https://www.bleepingcomputer.com/news/security/nissan-north-america-data-breach-caused-by-vendor-exposed-database/


04.

漏洞事件


1、Zoho ManageEngine OnPremise多款产品远程代码执行漏洞

ManageEngine是专业研发和销售IT管理软件、网管软件的品牌,逐步改变了企业级IT运维管理方法。ManageEngine全面管理IT业务,包括IT服务管理、服务器监控、网络监控、应用性能管理、网络管理配置、活动目录管理等自动化产品,管理日益复杂的企业IT基础设施监控、应用性能管理及IT服务管理交付。ManageEngine官方发布Zoho ManageEngine OnPremise 多款产品远程代码执行漏洞(CVE-2022-47966)通告。

https://www.cisa.gov/known-exploited-vulnerabilities-catalog


2、微软Azure曝出新漏洞可导致RCE,研究员获3万美元奖励

微软Azure关联的多款服务中存在一个严重的远程代码 (RCE) 漏洞,可被恶意人员用于完全控制目标应用。发现该漏洞的Ermetic 公司的研究员 Liv Matan 在报告中提到,“该漏洞是通过SCM服务Kudu 上的跨站请求伪造 (CSRF) 实现的。通过利用该漏洞,攻击者可将包含 payload的恶意ZIP文件部署到受害者的Azure应用上。”

https://thehackernews.com/2023/01/new-microsoft-azure-vulnerability.html


3、Oracle WebLogic Server远程代码执行漏洞 (CVE-2023-21839)

Oracle WebLogic Server远程代码执行漏洞(CVE-2023-21839),该漏洞允许未经身份验证的远程攻击者通过T3/IIOP协议网络访问并破坏易受攻击的WebLogic服务器,成功利用此漏洞可能导致Oracle WebLogic服务器被接管或敏感信息泄露。

https://www.oracle.com/security-alerts/cpujan2023.html


05.

政策监管


1、全国首个获批数据出境安全评估案例落地北京

为贯彻落实国家数据出境安全评估制度,促进北京市数据跨境安全、自由流动,北京市互联网信息办公室在国家互联网信息办公室的指导下,积极开展数据出境安全评估申报受理工作,以开通咨询热线、组织政策解读、推动试点案例为抓手,指导本市企事业单位按照规范路径开展评估申报,取得数据合规出境重要突破。


首都医科大学附属北京友谊医院与荷兰阿姆斯特丹大学医学中心合作研究项目成为全国首个数据合规出境案例,该项目的审批通过,标志着国家数据出境安全评估制度在北京市率先落地,为强化医疗健康数据出境安全管理,促进国际医疗研究合作提供了实践指引。

https://mp.weixin.qq.com/s/mCS7dZIuqs7LCevDUnd58g

 

2、国务院两部门鼓励高效开展重要数据和个人信息出境安全评估

近日,国务院办公厅转发了商务部和科技部关于进一步鼓励外商投资设立研发中心若干措施的通知,措施中提到支持研发数据依法跨境流动。落实网络安全法、数据安全法、个人信息保护法等有关法律法规要求,加强数据跨境安全管理,保障国家安全和社会公众利益,保护个人信息权益。高效开展重要数据和个人信息出境安全评估,促进研发数据安全有序自由流动。

http://www.gov.cn/zhengce/content/2023-01/18/content_5737692.htm

 

3、中国信通院发布《网络立法白皮书(2022年)》

2023年1月13日,中国信通院互联网法律研究中心在北京举办第六届互联网法律研讨会。会上,中国信通院发布了《网络立法白皮书(2022年)》,中国信通院互联网法律研究中心高级研究员刘耀华对白皮书内容进行了深度解读。


党的十九大、二十大明确“加强重点领域、新兴领域、涉外领域立法”,对结构性网络立法工作提出深层次要求,在此基础上,白皮书确立了“3+1”的网络立法框架,“3”是指数据、设施、技术三个要素,“1”是指平台。2022年,我国网络立法主要在“3+1”的框架下,围绕数据、网络基础设施、网络平台、数字技术四个方面展开,数据安全立法体系基本形成,基础设施立法不断完善,数字技术立法持续创新,网络平台立法成为重点。

http://www.caict.ac.cn/kxyj/qwfb/bps/202301/t20230112_414232.htm


06.

安全/行业标准


1、《数据安全工程技术人员国家职业标准(征求意见稿)》等公开征求意见

为适应数字经济发展需要,加强数字技术人才培养,促进数字经济和实体经济深度融合,根据《劳动法》《职业教育法》有关规定,人力资源社会保障部组织开发了“机器人工程技术人员”“增材制造工程技术人员”“数据安全工程技术人员”“密码工程技术人员”等4个职业标准的征求意见稿,并面向社会公开征求意见,反馈截止日期为2023年2月2日。


其中,数据安全工程技术人员定义为从事数据安全需求分析挖掘、技术方案设计、项目实施、运营管理等工作的工程技术人员,密码工程技术人员定义为从事密码算法与协议实现、密码设备和系统研制、密码产品检测与认证、密码服务系统设计建设、密码标准编制、密码管理、密码专业技术培训咨询的工程技术人员。

http://www.mohrss.gov.cn/xxgk2020/fdzdgknr/jcgk/zqyj/202301/t20230117_493635.html