周刊 | 网安大事回顾(2023.4.17—2023.4.23)
政策法规:最高检印发《关于加强新时代检察机关网络法治工作的意见》;关于调整网络安全专用产品安全管理有关事项的公告…
热点新闻:阿里云数据库曝出两个严重漏洞,全球公有云漏洞层出不穷;马斯克爆料,美国全面监控推特…
融资动态:霍因科技完成数千万元战略融资;云科安信完成数千万A+融资…
网络攻击:国际支付巨头NCR遭勒索攻击,POS机服务已中断多天;俄罗斯黑客劫持乌克兰境内摄像头,收集军队动向情报…
近日,最高人民检察院印发《关于加强新时代检察机关网络法治工作的意见》。《意见》共6方面21条,围绕党的二十大关于健全网络综合治理体系的重要部署,结合检察履职实际,从网络立法、执法、司法、普法以及法治研究、队伍建设等方面,对加强新时代检察机关网络法治工作提出具体要求。
一周网安风云回顾,GoUpSec带你安全看世界。
1、政策法规
关键词:网络法治 网络安全产品 数据安全
近日,最高人民检察院印发《关于加强新时代检察机关网络法治工作的意见》。《意见》共6方面21条,围绕党的二十大关于健全网络综合治理体系的重要部署,结合检察履职实际,从网络立法、执法、司法、普法以及法治研究、队伍建设等方面,对加强新时代检察机关网络法治工作提出具体要求。
为加强网络安全专用产品安全管理,推动安全认证和安全检测结果互认,避免重复认证、检测,依据《中华人民共和国网络安全法》、《关于发布〈网络关键设备和网络安全专用产品目录(第一批)〉的公告》、《国家认监委 工业和信息化部 公安部 国家互联网信息办公室关于发布承担网络关键设备和网络安全专用产品安全认证和安全检测任务机构名录(第一批)的公告》、《关于统一发布网络关键设备和网络安全专用产品安全认证和安全检测结果的公告》,国家网信办发布调整网络安全专用产品安全管理有关事项的公告。
《网络安全标准实践指南——网络数据安全风险评估实施指引(征求意见稿)》公开征求意见
为指导数据处理者开展网络数据安全风险评估工作,秘书处组织编制了《网络安全标准实践指南——网络数据安全风险评估实施指引(征求意见稿)》。根据《全国信息安全标准化技术委员会<网络安全标准实践指南>管理办法(暂行)》要求,秘书处组织对《网络安全标准实践指南——网络数据安全风险评估实施指引(征求意见稿)》面向社会公开征求意见。
2、热点新闻
关键词:ChatGPT 勒索攻击 阿里云 推特
根据Check Point的研究,自3月以来,失窃ChatGPT帐户凭据的交易,尤其是高级帐户的交易,在暗网上呈快速上升趋势,这使网络犯罪分子能够绕过OpenAI的地理围栏限制并无限制地访问ChatGPT。同时,失窃ChatGPT高级账户还成为犯罪分子窃取敏感信息的潜在途径。
根据NCC集团最新发布的报告,2023年3月份发生了459次勒索软件攻击,环比增长91%,同比增长62%,是近年来勒索软件攻击次数最多的月份。根据报告,3月份勒索软件攻击创下新高的原因是Fortra的GoAnywhere MFT安全文件传输工具中的一个零日漏洞(CVE-2023-0669)利用。勒索软件组织Clop利用该漏洞在十天内从130家公司窃取了数据。
4月21日消息,阿里云数据库ApsaraDB RDS for PostgreSQL和AnalyticDB for PostgreSQL曝出一组两个严重漏洞,可用于突破租户隔离保护机制,访问其他客户的敏感数据。美国云安全公司Wiz发布报告称,“这些漏洞可能允许对阿里云客户的PostgreSQL数据库进行未经授权访问,并对阿里巴巴的这两项数据库服务开展供应链攻击,从而实现对阿里巴巴数据库服务的远程命令执行(RCE)攻击。”
推特首席执行官埃隆·马斯克近日在采访中表示,他上任之前得知美国政府可以完全访问推特用户的私聊信息,这让他感到非常震惊。马斯克此前在接受塔克·卡尔森采访的片段中表示,之前推特管理层一直和政府机构有所联系,因为政府机构有时候会安排他们直接禁止推特上的一些内容。
3、融资动态
关键词:霍因科技 云科安信 ID.me
数据治理安全领先企业霍因科技于近期完成新一轮战略融资,投资方为合肥高投国有资本,航行资本担任本轮独家财务顾问。目前公司已累计完成数千万元融资。本轮融资完成后,霍因科技将加大投入和加速对数据安全底座建设的前沿技术研发、产品技术升级和高端人才储备等方面。
北京云科安信科技有限公司宣布已于日前完成数千万元级别的A+轮融资。本轮融资由朗玛峰创投领投,耀途资本跟投,密码资本再次担任独家FA。本轮融资的主要目的用于加速以攻击面管理为起点,以度量被防御目标的变化为本质的风险管理产品矩阵的深化落地、核心团队升级以及渠道体系的搭建。
ID.me获得1.32亿美元的D轮融资
ID.me近日宣布获得1.32亿美元的D轮融资,投资方为Viking Global Investors领投,CapitalG、PSP Capital Partners、FTV Capital、Moonshots Capital、Scout Ventures、Morgan Stanley、Auctus Alternative Investment等跟投。
4、网络攻击
关键词:勒索软件 黑客 勒索攻击
4月17日消息,支付巨头NCR公司遭受勒索软件攻击,旗下Aloha POS系统平台发生中断。BlackCat/ALPHV团伙已经宣布为此负责。在发给媒体的声明中,NCR表示此次中断影响到其部分Aloha POS酒店客户,而且中断的只是“一定数量的附属Aloha应用程序”。但是,有Aloha POS客户在Reddit论坛上分享称,中断事件已经导致其业务运营出现重大问题。
4月18日消息,美国高级安全官员表示,俄罗斯黑客已经侵入乌克兰咖啡厅内的私人安保摄像头,借此收集援助车队经过时的动向情报。美国国家安全局网络安全主管罗伯·乔伊斯称,作为乌克兰战争的一部分,俄罗斯政府和政府支持黑客一直在攻击乌克兰的信息技术系统。而黑客攻击的一大重点,正是乌克兰地方当局和私营企业用于监控周边环境的闭路电视摄像头。
近日,Microsoft SQL(MS-SQL)服务器遭到攻击,因其安全性较差,入侵者进入服务器后直接安装了Trigona勒索软件,并加密了所有文件。入侵者是利用了那些极易被猜到的帐户凭据为突破点,暴力攻击了MS-SQL服务器,并安装了名为CLR Shell的恶意软件,这次攻击是被韩国网络安全公司AhnLab的安全研究人员发现的。
