政府举措
《信息安全技术移动互联网应用收集个人信息基本规范(草案)》发布
《信息安全技术移动互联网应用收集个人信息基本规范(草案)》近日发布,面向社会公开征求意见。移动应用程序提供服务调取用户信息将有规范可依。
草案提出,App运营者应履行个人信息保护义务,采取必要安全措施,保障用户个人信息安全。
草案对网贷App提出了要求,应允许用户在金融借贷应用中手动输入紧急联系人信息,而不应强制读取用户的通讯录。
草案提出,App不得收集与所提供的服务无关的个人信息。对外共享、转让个人信息前,App应事先征得用户明示同意。App应对其使用的第三方代码、插件的个人信息收集行为负责。(来源:央广网)
中国信通院:《人工智能数据安全白皮书(2019年)》
近日,中国信息通信研究院(以下简称“中国信通院”)安全研究所发布《人工智能数据安全白皮书(2019年)》。
本白皮书从人工智能数据安全的内涵出发,首次提出人工智能数据安全的体系架构,在系统梳理人工智能数据安全风险和安全应用情况的基础上,总结了国内外人工智能数据安全治理现状,研究提出了我国人工智能数据安全治理建议。(来源:中国信通院)
北约网络空间战备由防御转向进攻
据悉,欧洲国家眼下正在进行网络战演习活动,演习从2019年7月至9月,目的是应对俄罗斯等国的网络空间混合威胁。此举表明,以欧洲国家为主体的北约正在逐步加强网络空间的军事能力建设,并以此配合美国在全球范围内展开的大国竞争军事战略,从而在更大的范围内发挥更广泛的影响力。
北约先后发布《塔林手册1.0》和《塔林手册2.0》两部网络空间国际交战规则。其中,包含“国际网络安全法”和“网络冲突法”两部分内容,北约意图抢先在网络空间领域制订于己有利的“网络战争法则”。与此同时,北约成员国已经成功对活跃在伊拉克和叙利亚的“伊斯兰国”实施了网络攻击,压制了其展开的网络恐怖宣传,削弱了其恐怖袭击协调能力,以及破坏其招募外国武装人员的企图,从而展现了强有力的网络进攻能力。(来源:网信防务)
新加坡发布新的网络安全法案
据外媒报道,新加坡金融管理局正式确立了旨在提高新加坡金融机构网络安全态势的新立法。
立法中规定金融机构必须遵守六项主要要求,如:为着重确保IT系统的安全性,及时进行安全更新、并部署安全设备以限制未授权的网络流量等。
此外,该立法还基本确定将强制要求企业执行现有的MAS技术风险管理指南中关键规定。据了解,该指南与2013年推出,提出了风险管理建议、安全实操建议和控制实操建议,以降低企业的技术风险。(来源:E安全)
网络安全事件
美国联邦通信委员会称5G是安全的
美国联邦通信委员会(FCC)官员对外公开表示,5G网络是安全的,目前的无线电发射准则不需要为了适应5G而改变。就在此次宣布之前,美国联邦通信委员会主席Ajit Pai曾建议对目前的无线电波辐射是否安全的标准进行微小改动,但这些改变只是为了增强规则在各种技术类型中的通用性,并不能使准则变得更严格。目前关于无线电的限制已经“是世界上最严格的限制之一”。
报道称,虽然5G的频率比4G更高,但仍属于非电离辐射范畴。即使是5G中使用的高频辐射仍比可见光的能量低。(来源:新浪VR)
单反相机已成为勒索软件攻击目标
援引安全软件公司发布的一份报告,说明了如何在数码单反相机中远程安装恶意程序。研究人员Eyal Itkin发现,黑客可以轻易地在数码相机上植入恶意软件。
标准化的图片传输协议是传递恶意软件的理想途径,因为它是未经身份验证的,可以与WiFi和USB一起使用。该报告中指出通过黑客可以在热门景点部署有风险的WiFi热点,只要单反连接到这些热点之后就能进行攻击,从而进一步感染用户的PC。在真正的勒索软件攻击中,黑客设定的赎金往往不会太高,因此很多人会愿意交付赎金来摆脱不便。
研究人员表示:“由于协议的复杂性,我们还认为其他供应商也可能容易受到这种攻击,但这取决于他们各自的实施情况。”(来源:cnBeta.COM)
数百个暴露的亚马逊云备份快照泄露了客户的数据
如果您使用了亚马逊的Elastic Block Storage快照,则可能需要评估一下数据安全。刚刚在Def Con安全会议上发布的新研究揭示了公司、初创公司和政府机构如何无意中从云中泄露自己的文件。
网络安全公司Bishop Fox的高级安全分析师Ben Morris表示,EBS快照存储云应用程序的所有数据,足以访问到有用的信息。
Morris在一个地区发现了几十份公开的快照,包括应用程序密钥,关键用户或管理凭据,源代码等等,数据涉及几家大公司,包括医疗保健提供商和科技公司。
最具破坏性的内容当属一个政府承包商的快照他们确实为联邦机构提供了数据存储服务,数据中包含收集的对外情报,以及有关边境口岸的数据。
研究人员估计所有亚马逊云地区的数据暴露事件可能多达1250次。(来源:cnBeta.COM)
苹果推出100万美元漏洞攻击报告赏金计划
Apple宣布它已经扩展了现有的漏洞赏金计划,包括macOS、tvOS、watchOS和iCloud;对于0Day攻击、全链内核代码执行攻击等的发现都将包含进高达100万美元的奖励当中。
这笔100万美元的奖金将会给予不需要用户任何操作就能够远程进入iPhone内核的安全人员。苹果之前提供的最高奖金是20万美元,给予善意上报漏洞的人员,这样公司就能在下次软件升级中修复漏洞,不让漏洞暴露给犯罪分子或间谍。
实际上,为了能获取iPhone中的信息,政府部门的承包商或中介代理已经为最有效的黑客手段悬赏高达200万美元。苹果的新奖金只是与一些政府承包商提供的公开价格范围差不多。(来源:澎湃新闻)
中国黑客以游戏公司为目标
美国安全公司 FireEye 发布了对中国黑客组织 APT41 的研究报告(PDF),称其攻击范围极为广泛,除了使用现有的工具外,还有自己开发的独有工具,还会用窃取的证书给恶意程序签名。FireEye 还识别了与该组织相关的两名成员 “Zhang Xuguang”和“Wolfzhi”。除了进行网络间谍活动外,APT41 被还发现从事盈利性活动:攻击游戏公司,操纵虚拟货币,甚至尝试部署勒索软件。APT41 会在游戏公司的网络内移动,寻找到生产环境,窃取源代码和数字证书,然后利用数字证书给恶意程序签名。通过访问生产环境,APT41 还会向合法文件内注入恶意代码,在受害者组织内进行扩散,发动供应链攻击。FireEye 根据黑客的活动时间认为, Zhang 等 APT41 成员多数是晚上到凌晨活动的夜猫子。(来源:solidot.org)
数据统计
电信网络诈骗中90后被骗概率最高,男性受害者占63%
近日,腾讯发布了《电信网络诈骗治理研究报告》。报告显示,2019上半年,交易诈骗、兼职诈骗、交友诈骗、返利诈骗合计占比70%;在各类电信网络诈骗中,被害人性别男女比例分别为63%和37%,男性受骗比例几乎是女性两倍。18-28岁之间的被害人所占比例高达54%。90后成为被骗概率最高的群体。 (来源:freebuf.com)
调查显示网络安全人才市场需求比去年增长3倍
近日发布的《2019网络安全人才市场状况研究报告》显示, 2019年6月网络安全人才市场需求的规模达到2016年1月需求的24.6倍,相比2018年7月也增长了3倍。网络安全人才需求规模呈现大幅增长态势。
北京、深圳、上海、成都、广州是网络安全人才需求量最大的城市,这5个城市对网络安全人才需求的总量占全国需求总量的48.8%。这一比例去年为60.7%,今年降低了16.5个百分点,说明网络安全人才需求不再集中于少数的几个大城市。
对网络安全人才需求量最大的行业是IT信息技术,其发布的网络安全人才招聘数量占所有网络安全人才招聘总人数的42.4%,其次为互联网,占13.7%。安全企业提供给网络安全相关岗位的平均薪酬约为12004.8元/月。
对全国范围内超过600名95后新晋网安人才做专项调研发现,88.1%的新晋网络安全人才更关注重大网络安全事件;其次关注安全知识与技能,占84.1%。(来源:中国青年报中青在线)
人才培养
美国公司开始对安全培训项目进行改革
公司内部的安全培训通常缺乏衡量标准与反馈机制,而且培训内容过于笼统,培训结果通常并不理想。一直以来,员工们希望得到一个充分考虑到其技能水平、日程安排,并带有激励性质的安全培训。为实现这一目标,Autodesk与Elevate Security合作,制定了“个人安全快照”计划。
该计划的第一步是创建员工安全行为清单,告诉他们哪些行为可以提高安全性;第二步是要求团队创建一个问题清单,以优先考虑员工活动;第三步是找到衡量进步的数据并以此制定未来的策略。(来源:E安全)
免责声明:
信息安全快讯的内容及图片出于传递更多信息之目的,属于非营利性的转载。如无意中侵犯了某个媒体或个人的知识产权,请联系我们,我们将立即删除相关内容。其他媒体、网络或个人从本网下载使用须自负版权等法律责任。