以下是本周「Lianwei周报」,我们总结推荐了本周的政策/标准/指南最新动态、热点资讯和安全事件,保证大家不错过本周的每一个重点!
政策/标准/指南最新动态
01 《网络安全标准实践指南—— 一键停止收集车外数据指引》发布
为指导汽车制造企业、自动驾驶研发企业以及相关零部件或服务提供商在装有车载摄像头、雷达等传感器的智能网联汽车上设置一键停止收集车外数据功能,秘书处组织编制了《网络安全标准实践指南—— 一键停止收集车外数据指引》。本《实践指南》给出了在智能网联汽车上设置一键停止收集车外数据功能指引,适用于重要敏感区域的管理机构对进入该区域内的汽车的数据收集状态进行判断,还可为第三方测评机构开展智能网联汽车车外数据停止收集功能性和安全性测试评估提供参考。
详情:
https://www.secrss.com/articles/73732
02 《基于模糊测试技术的金融云未知漏洞检测框架》团标正式发布
2024年12月18日,在2024中关村论坛系列活动——数字金融与科技金融大会主论坛上,团体标准《基于模糊测试技术的金融云未知漏洞检测框架》(T/ZFIDA 0005-2024)作为中关村金融科技产业发展联盟重要工作成果正式发布并实施。该标准提出了一套基于模糊测试技术的安全检测框架,旨在通过向目标系统提供非预期的输入数据,寻找潜在的安全弱点和未预见的错误状态,以期尽量提前发现内存漏洞、虚机逃逸、容器逃逸等高危漏洞。
详情:
https://www.secrss.com/articles/73735
03 美国密歇根州参议院通过个人数据隐私法案
2024年12月12日,密歇根州参议院通过了第0659号法案—《个人数据隐私法案》(Personal Data Privacy Act)。《法案》旨在通过制定数据收集、处理、销售、共享和保留标准以及建立消费者权利(例如同意、撤销和删除)来规范个人数据隐私。它还禁止某些数据处理做法,并建立由密歇根州总检察长执行的数据经纪人登记处,对违规行为处以罚款。此前,该法案已于2023年11月9日提交参议院审议。
详情:
https://www.secrss.com/articles/73695
04 中国网络空间安全协会发布六项隐私计算系列团体标准
根据《中国网络空间安全协会团体标准管理办法(试行)》有关规定,经评审组专家审查通过,中国网络空间安全协会批准《隐私计算 总体框架》(T/CSAC 005-2024)、《隐私计算 脱敏控制技术要求》(T/CSAC 006-2024)、《隐私计算 脱密算法能力评估技术要求》(T/CSAC 007-2024)、《隐私计算 脱敏效果评估技术要求》(T/CSAC 008-2024)、《隐私计算 删除控制技术要求》(T/CSAC 009-2024)、《隐私计算 删除方法和删除效果评估技术要求》(T/CSAC 010-2024)六项团体标准(见附件1-6),现予以发布,自2024年12月18日起实施。
详情:
https://www.secrss.com/articles/73741
05 CISA发布更新版《国家网络事件响应计划》草案
美国网络安全和基础设施安全局(CISA)于2024年12月16日发布了《国家网络事件响应计划(NCIRP)》草案,以征求公众意见。这是自2016年发布以来首次对该计划进行更新。
该草案由CISA、联合网络防御协作中心(JCDC)和国家网络总监办公室(ONCD)共同制定,基于2016年的第41号总统政策指令(PPD-41),为联邦政府、私营部门、国际合作伙伴以及州、地方、部落和领地(SLTT)政府提供了一个共同应对网络事件的框架。CISA指出,这份草案“考虑了网络威胁形势的演变以及从历史事件中吸取的教训”。
详情:
https://www.secrss.com/articles/73626
热点资讯
01 美国商务部拟设立人工智能安全审查办公室
12月19日,美国参议院提出了《维护美国在人工智能领域的主导地位法案》(Preserving American Dominance in Al Act),提出将在商务部内设立人工智能安全审查办公室( Artificial Intelligence Safety Review Office),该办公室将负责与前沿人工智能公司、大型数据中心和基础设施即服务提供商(IaaS)合作,旨在确保美国在人工智能行业的领导地位。
详情:
https://www.secrss.com/articles/73814
02 产品漏洞被利用致大量用户数据泄露,这家巨头被罚超19亿元
Meta(Facebook)在2018年披露了一起安全事件,攻击者利用产品功能设计漏洞,抓取了约2900万个Facebook账号的个人信息,其中约300万个账号位于欧盟;爱尔兰数据保护委员会认为,Meta违反了GDPR的数据保护设计原则,未能采取适当措施防止用户数据遭到非预期处理,决定处以 2.51亿欧元(约2.64亿美元)罚款。
详情:
https://www.secrss.com/articles/73657
03 神漏洞!任意修改车牌号码,让其他车主支付过路费和罚单
安全内参12月17日消息,美国越来越多的州已经可以合法购买数字车牌,并在全国范围内使用。与传统金属车牌相比,数字车牌具有一些优势。例如,车主可以动态更改显示内容,个性化展示车牌信息,标记车辆被盗的状态等。然而,最近一位安全研究员演示了这些车牌如何被黑客利用,执行更具威胁性的操作:随意更改车牌号码,以逃避交通罚单和过路费,甚至将罚单转嫁给他人。
详情:
https://www.secrss.com/articles/73615
04 LockBit勒索软件卷土重来:LockBit4.0发布倒计时
2024年12月19日,据The Cyber Express报道,LockBit勒索软件集团计划在2025年2月推出LockBit 4.0版本,以此重返勒索软件领域。此次发布是在该集团近一年前遭受全球执法行动打击、近7000个解密密钥被追回之后。LockBit 4.0的发布,距离上一个版本LockBit 3.0已经超过两年,期间LockBit在执法行动中遭受重创,面临信任度下降和来自其他勒索软件即服务(RaaS)集团如RansomHub的竞争。LockBit 4.0的官方发布日期定于2025年2月3日,届时将包括访问其暗网泄露站点(DLS)的密钥。随着RaaS模式在勒索软件集团中越来越受欢迎,LockBit将面临基于泄露源代码构建的自身勒索软件版本的激烈竞争,这为其回归市场带来了显著挑战。
详情:
https://www.secrss.com/articles/73752
安全事件
01 这家日企支付了超2100万元勒索软件赎金
据内部邮件和加密货币交易记录显示,日本大型媒体集团角川很可能向俄罗斯相关勒索软件组织BlackSuit支付了约2174万元赎金。攻击者声称窃取了1.5TB内部数据,尽管支付了赎金,但部分被盗数据仍被泄露。
详情:
https://www.secrss.com/articles/73722
02 纳米比亚电信遭勒索软件攻击,超40万份客户文件泄露
据《新时代报》报道,纳米比亚电信的网络攻击据称是由臭名昭著的勒索软件组织“猎人国际”(Hunters International)所为。这种勒索软件即服务操作能够窃取626.3GB的数据,包括492,633个文件,然后威胁如果不满足他们的赎金要求,就会发布被盗信息。一旦赎金期限过去,数百份敏感客户记录(包括个人身份详细信息、地址和银行信息)将被泄露并开始在社交媒体上传播。
详情:
https://www.secrss.com/articles/73641
03 针对安全人员,攻击者窃取了39万个WordPress
据BleepingComputer消息,一个被标记为 MUT-1244 的攻击者利用植入木马的 WordPress 凭证检查器进行了一次规模庞大、长达一年的攻击活动,盗取了超过 39 万个 WordPress 凭证。
详情:https://www.freebuf.com/news/417776.html