欧盟委员会发布内部争议巨大的《网络团结法案》提案，希望促进欧盟范围内合作，为重大网络攻击做好应对准备。 该提案是本周二（4月18日）提出的更广泛的网络安全一揽子计划的组成部分，旨在促进跨境与公私部门在预测和应对网络攻击方面的协调工作，相关预算为11亿欧元（约合人民币83亿元）。 此类立法建议最早出现于2022年3月，即俄乌战争爆发后不久，部分原因是欧盟委员会考虑到重大网络攻击的威胁正在持续增加。 该提案希望公共部门和私营实体能够相互配合，学习乌克兰已经实践的企业与政府当局合作应对网络威胁的模式。 但提案的某些内容引起了欧盟成员国的激烈争论和反对，特别是涉及情报共享以及私营企业认证和责任的条款。 欧盟委员会执行副主席玛格丽特·维斯塔格 (Margrethe Vestager)在提案发布会上表示，“近30%的欧洲中小企业在过去12个月中，至少经历过一次网络犯罪。”她补充称，《网络团结法案》标志着欧盟广泛的网络安全战略终于补齐了最后一块拼图，开始具备可操作性。 “我们将首次共同投资运营能力。网络安全能否成功将取决于我们是否能够携手并进，只有在整个欧洲的共同努力下才有可能实现。” 欧盟网络护盾 此次提案的首个核心要点，是建立起由欧盟各国和跨境安全运营中心（SOC）组成的欧洲网络护盾（Cyber Shield）。 提案目标是让安全运营中心明年投入运营，并与波罗的海和比荷卢经济联盟等近邻建立起区域网络合作中心。安全运营中心将使用AI等多项技术监控与识别网络威胁，并提醒政府当局注意即将发生的攻击活动。 在提案发布会上，负责欧盟内部市场的执行委员Thierry Breton表示，网络护盾将被用于检测、缓解和应对网络威胁。 与此同时，他试图向欧洲各国政府保证，这些措施将以成员国现有的网络安全运营中心为基础并展开配合，而非取代关系。 Breton指出，“各国可以继续保留原有设施，只是会在整个欧洲层面上来匹配这些现有网络安全设施。” “各个国家都将有自己的中心，它们将充当对接原有设施的接口，并由此建立起覆盖整个欧洲的护盾或者护罩。” 网络安全预备队 该提案的第二大要点，是通过建立网络应急机制，提高欧盟在危机中的准备和应对能力。这项机制将测试能源和交通等关键部门的漏洞，并为欧盟各成员国间的互助工作提供财政支持。 该机制还将建立欧盟“网络安全预备队”，由可信赖和经过认证的私营企业参与，并随时准备应对重大网络事件。 Breton表示，虽然最初的计划是建立一支“网络军队”，但事实证明这项工作太过复杂。于是委员会选择建立储备力量，随时待命并在危机时刻进行干预。乌克兰已经采取了这样的制度。 该计划内容也引起了一些争议。据英国《金融时报》日前看到的一份文件，有24个欧洲国家政府（即除现任和之前连续两任欧盟主席国外的其他所有国家）呼吁欧盟委员会放缓这份网络团结提案，希望能将预备队的认证和部署维持在本国范围之内。 这一问题的症结在于，网络威胁情报可以被用来侵入任何一方的IT系统，不会区分目标具体是地缘政治对手、犯罪网络还是经济竞争对手。因此，各国政府都将威胁情报视为必须严密保护的信息。 欧盟委员会内部机构对公私合作问题也存在分歧。欧盟外交部门欧洲对外行动署（EEAS）目前在修订网络外交工具箱（Cyber Diplomacy Toolbox），该工具箱也会依靠私营企业来处理恶意网络活动。 《网络团结法案》的最后一个要素，是建立起网络安全事件审查机制。该机制要求对重大网络安全事件开展事后审查和分析，以指引欧盟网络防御方法的未来发展方向。 在提案发布会上，还公布了成立欧盟网络安全技能学院（EU Cybersecurity Skills Academy）的消息。该学院旨在提高网络技能，弥合现有网络人才缺口，帮助普通民众掌握必要网络安全能力，并培训该领域的专家。 转自 安全内参，原文链接：https://mp.weixin.qq.com/s/WHBY8Z83pRTALmjVWIMyZA 封面来源于网络，如有侵权请联系删除

4月14日，谷歌正式公布了一系列举措，专门针对目前漏洞管理生态系统的不足，出台一些更透明度的制度和措施。 谷歌曾在一份公告中提到，零日漏洞作为头条新闻的“常客”，风险性确实是比较大的。即使我们一发现漏洞就立刻修复，它的风险仍然存在，而且可能出现的风险包括OEM采用的滞后时间、补丁测试的痛点、终端用户的更新问题等各个方面，所以如何去改善这件事，真的是个非常现实的问题。 不仅如此，安全威胁还可能来自于供应商应用不完整的补丁。有时候一些实验室和研究机构外部的零日漏洞有很大一部分会直接变成以前打过补丁的漏洞的“升级版本”。如果想要减轻此类风险，必须要从漏洞的根源解决问题。而在这个解决过程中，要优先考虑现代安全软件开发实践的情况，这样就能更好的消除所有同类型的威胁，同时还能阻止潜在的攻击路径。 基于上述因素，谷歌表示目前正在组建一个黑客政策委员会，该委员会将会确立新的政策和法规。同时，谷歌进一步强调，后面如果再出现某产品系列的漏洞被人利用的情况出现，掌握证据后，会直接将调查事件结果进行公开披露。 这家科技巨头表示，它还在筹备设立一个安全研究法律辩护基金，专为从事正向研究的优秀个人提供种子资金，以更好的促进网络安全问题的宣传，从而更好的发现安全问题并更加及时地报告漏洞信息。 谷歌最新的安全计划表明，如果想要漏洞不轻易被利用，那么就要加速已知漏洞的补丁应用，制定有针对性的政策，并且让用户及时了解这些讯息，以最大程度的确保产品的生命周期。另外，安全计划中还强调了在软件开发生命周期的任何阶段，应用设计安全原则都十分重要。 在公开宣布这一消息之后，谷歌还推出了一项名为deps.dev API的免费API服务，可以向人们提供对Go、Maven、PyPI、npm和Cargo存储库中约500万个开源包中，共计约5000多万个版本的安全元数据和依赖性信息访问的服务，从而确保软件供应链的安全性。 同时，谷歌的云计算部门也宣布将为Java和Python生态系统提供开源软件（Assured OSS）服务，以保证该系统的普遍可用性。 转自 Freebuf，原文链接：https://www.freebuf.com/news/363591.html 封面来源于网络，如有侵权请联系删除

美国国土安全部运输安全管理局（TSA，以下简称运安局）周二（3月7日）公布了新的网络安全规则，以加强境内最大、最重要的机场和航空运营商的保障能力。这也是拜登政府在近一周内第二次推动关键基础设施发布网络规则。 它意味着运安局将对航空业实施最新一套网络规则。新规则要求，相关机场及航空运营商制定安全计划，围绕谁有权访问网络等具体细节设计保护方案，并提交运安局进行审批。 运安局长戴维·佩科斯克（David Pekoske）在新闻稿中表示，“我们的首要任务是保护国内的交通系统”，运安局将与行业密切合作以加强网络安全。 近期美国政府已多次强调关基设施安全。上周五（3月3日），美国环境保护署针对水务行业发布新规；上周四，拜登政府发布国家网络安全战略，其体现了通过监管手段保护关键基础设施的思路转变。 就在航空业网络规则的制定过程中，近几个月来该行业遭遇了一系列事件，影响了机场网站、导航与飞行工具、乘客数据及运安局“禁飞”名单等众多产品服务。 具体规则 运安局此前要求，受到影响的机场和航空运营商指定一名网络安全协调员，保证在24小时之内将网络安全事件上报给网络安全和基础设施安全局（CISA），同时制定事件应对计划并开展漏洞评估。 在“2019版禁飞名单”由于不安全服务器暴露后，运安局今年1月又要求各承运机构审查内部系统，确保符合对敏感安全信息的最新处理标准。美国众议院国土安全委员会成员、众议员Dan Bishop要求，运安局必须查清名单泄露的原因。 图：推特用户讨论TSA禁飞名单泄露 本周二公布的新规要求，各机场及航空运营商制定一项实施计划，包含制定网络分段与控制、访问控制、持续监控与检测、基于风险的保护方法等一系列安全防范措施。 图：TSA要求机场与航空运营商采取的措施 面对此前在监管其他行业时激起的一些反对意见，运安局决定将网络新规设定为“绩效考核”，借此淡化抵触情绪。换言之，运安局不会过多关注如何实现目标，而更多关注是否达成结果。 美国政府扩大了运安局的管辖权限，保证能够涵盖网络规则的制定范畴。根据一份行政细则，运安局的当前管辖范围有望涵盖80处机场、21家客运航空公司和4条货运航线。 行业反响 据报道，国际航空运输协会去年曾对早期网络规则提出批评，称不清楚运安局是否听取过行业反馈。在运安局周二发布新指令后，该协会暂时没有回应置评请求。 其他受影响团体在受邀评论时，没有提出对新规内容的反对意见。 美国国家航空公司联盟CEO George Novak在邮件中表示，“航空业非常重视来自一切来源的网络威胁。航空公司联盟及各成员企业正与我们的政府同仁、机场及其他合作伙伴密切配合，提高我们对此类威胁的警惕性。随着网络威胁的不断发展，运安局向受监管实体（例如我们的成员航空企业）发布要求变更的情况并不罕见。运安局一直在积极保护我们国家的关键交通基础设施，我们感谢运安局在与行业合作制定有效对策方面表现出的领导力与反应力。” 美国航空发言人Marli Collier在邮件中写道，“美国航空业致力于将安全保障放在第一位，并与联邦政府合作将风险降至最低。美国航空旗下各运营商拥有强大的网络安全计划，并将继续大力投资以保护我们的基础设施。” 美国支线航空协会在一份未署名的邮件中提到，“我们及旗下各航空运营商正在审查这些要求。紧急修正案需要一段准备时间，随后立即生效。我们的各航空运营商将履行各项要求以确保合规。” 值得注意的是，这些团体并没有就新规做太多价值判断方面的评论。 一位不愿透露姓名的业内人士解释道，“面对刚刚发布的这份新规，喜欢或者不喜欢已经无所谓了。运安局显然认为这些规则是必要的，所以我们只需要考虑如何合作制定实施中的最佳实践。”     转自 安全内参，原文链接：https://www.secrss.com/articles/52617 封面来源于网络，如有侵权请联系删除  

作为美国白宫保护国家关键基础设施免受民族国家攻击及其他网络威胁侵扰的总体举措之一，联邦政府开始要求各州评估其饮用水系统的网络安全能力。 美国环境保护署（EPA，以下简称环保署）梳理了公共供水系统官员在饮用水保护方面应当采取的步骤，并要求在供水系统的“卫生检查”中强制纳入网络安全评估。 在上周五（3月3日）发布的这些要求前，环保署进行了历时数月的安全调查工作。调查结果显示，虽然许多公共供水系统（PWS）都制定了网络安全计划，但仍有相当一部分系统没有。 环保署负责水资源的助理署长Radhika Fox在一份备忘录中写道，包括公共供水系统在内的美国关键基础设施面临日益增长的攻击威胁，但表现并不理想。这份备忘录名为《在卫生检查或类似过程中解决公共供水系统网络安全问题》。 Fox指出，“如今，公共供水系统经常成为恶意网络活动的目标。安全饮用水的处理和分配，面临着等同甚至高于物理形式攻击的网络风险水平。” “因此需要强调，各州必须在卫生检查期间对供水系统的装置及运行状况进行评估，这将有助于降低供水系统被成功攻击的可能性，并在发生网络事件时提高设施的恢复能力。” 拼凑而成的供水体系 这项调查凸显出美国饮用水供应环境“东拼西凑”的特性。也正是这一特性，导致网络安全标准的制定面临挑战。 根据美国参议院共和党政策委员会去年发布的一份报告，全美约有15.3万个公共饮用水系统，为80%的美国人口提供饮用水资源。 安全软件厂商Tripwire在2022年9月一份报告中表示，美国许多供水系统“规模很小，服务于低密度社区且运营预算有限。供水设施覆盖范围的分散，再加上低预算和专业技术知识不足，意味着其中大量系统已经陈旧过时且缺乏维护。” 令人头疼的不只是供水系统的数量。环保署的Fox表示，过去二十年间，公共供水管理者越来越依赖电子工具来操作其供水系统，但这些电子系统现在极易受到网络攻击影响。 供水与废水系统行业的重要组织水业协调委员会曾在2021年的报告中指出，该行业应当从培训到教育、再到评估和工具，将网络安全视为重中之重。 曾发生过安全事件 2021年，堪萨斯州埃尔斯沃思Post Rock农村水区的一名前雇员面临指控，涉嫌远程访问并试图关闭供水系统。 同年，未知人员远程访问了佛罗里达州奥兹马尔的供水系统，并试图将氢氧化钠含量提高到正常量的100倍以上来毒化水质。 目前，环保署正在敦促所有公共供水系统，要求建立起针对此类攻击的保护措施。 负责网络与新兴技术的副国家安全顾问Anne Neuberger在备忘录中指出，“美国人民应该对自己的供水系统在网络攻击下的恢复能力充满信心。”她还提到，环保署提出的方案预设了灵活空间，供水系统管理员可以通过细节调整在保持安全供应的同时符合自身实际。 命令已经下达 根据环保署的要求，如果公共供水系统在运营当中使用了工业控制系统（ICS）等运营技术，那么作为大规模卫生检查的一部分，评估工作必须涵盖对实践和控制等运营技术的网络安全保护。 如果在网络安全保护中发现“重大缺陷”，例如设计/运营缺陷，水处理、贮存或分配系统故障等，则所在州必须保证公共供水系统解决它。 环保署也为部分组织提供更灵活的回旋空间，具体取决于之前实施的计划，包括允许供水系统运营商对其系统开展自我评估、由第三方负责评估或者由各州进行评估。 环保署还提出通过饮用水州循环基金和大中型饮用水系统基础设施恢复力与可持续性计划等，为公共供水系统提供培训、技术援助和财务支持。 在拜登政府的领导下，网络安全和基础设施安全局（CISA）及其他政府实体一直在努力加强16个关键基础设施领域的网络安全水平，包括化工、石油、电力、天然气和水资源等。这是白宫于2021年启动的工业控制系统网络安全计划的一部分。 这项计划是在此前亲俄黑客团伙DarkSide对科洛尼尔管道运输公司发动勒索软件攻击后制定的，此次攻击导致美国东海岸多个主要市场的燃油供应发生中断。不久后，全球肉类加工公司JBS Foods也遭遇复杂网络攻击，美国、加拿大及澳大利亚的多处设施受到影响。     转自 安全内参，原文链接：https://www.secrss.com/articles/52577 封面来源于网络，如有侵权请联系删除

白宫发布了一项新的网络安全战略，其中涉及大型科技公司在防止网络攻击方面的作用。该战略文件呼吁”重新平衡保卫网络空间的责任”，将勒索软件攻击等方面的责任从个人、小企业和地方政府身上转移。 乔-拜登总统的计划概述了目标，而不是立即实施的规则。但如果通过成为法律和法规，它将扩大对运行白宫认为关键的数字基础设施的公司的网络安全要求。这可能包括为网络基础设施的很大一部分提供动力的云计算服务–它们必须满足最低安全标准，否则将面临法律责任。该战略要求政府机构通过税收减免或其他激励措施鼓励合规。 除此之外，政府表示，它将与国会合作，阻止软件公司在没有采取合理的安全预防措施的情况下运送产品而逃避责任。战略文件说：”制造软件的公司必须有创新的自由，但当他们未能履行他们对消费者、企业或关键基础设施供应商的责任时，他们也必须承担责任。” 根据拜登政府的说法，其目标是支撑起一个数字生态系统，该系统让许多人只能使用自己的设备（通常是不安全的）。文件说：”一个人一时的判断失误，使用一个过时的密码，或错误地点击一个可疑的链接，不应该有国家安全的后果。保护数据和确保关键系统的可靠性必须是持有我们的数据并使我们的社会运作的系统的所有者和经营者的责任，也是建造和服务这些系统的技术供应商的责任。” 该文件指出，日益增长的勒索软件计划的威胁是一个特别关注的领域。除了关闭运行勒索软件的行动者的活动外，它还呼吁各机构对帮助勒索软件盈利的”非法加密货币交易所”采取行动，这是2022年旨在监管数字资产的命令。 拜登的战略取代了前总统唐纳德-特朗普时期制定的一份2018年文件。     转自 cnBeta，原文链接：https://www.toutiao.com/article/7206045855139234339/ 封面来源于网络，如有侵权请联系删除

拜登-哈里斯政府本周四发布了美国国家网络安全战略（以下简称《战略》）。该战略强调政府必须协调使用国家权力所有工具来保护国家安全、公共安全和经济繁荣；提供必要资源和工具确保关键基础设施安全；调整激励措施，对下一代网络空间弹性技术进行长期投资。 根据白宫发布的《战略》文本，新的美国国家网络安全战略将致力于使美国的数字生态系统： 可防御，网络防御更容易、更便宜、更有效。 弹性，最大限度避免网络安全事件产生广泛或持久的影响。 在此次以网络安全为主题的国家战略发布之前，拜登政府已经采取多项措施保护美国的网络空间和数字生态系统，包括： 国家安全战略 总统行政命令14028（改善国家网络安全） 国家安全备忘录5（改善关键基础设施控制系统的网络安全） M-22-09（使联邦政府转向零信任网络安全） 国家安全备忘录10（促进美国在量子计算方面的领导地位，同时降低易受攻击的密码系统的风险） 五大战略议题 《战略》包含五大关键议题，关键基础设施安全首当其冲，其余依次是：扰乱和摧毁威胁行为者、塑造市场力量推动安全和弹性、投资未来网络安全弹性和建立国际伙伴关系。 1.捍卫关键基础设施。让美国人民对关键基础设施的可用性和弹性及其提供的基本服务充满信心，包括： 在关键部门扩大最低网络安全要求的应用范围，以确保国家安全和公共安全，并协调法规以减轻合规负担 以保护关键基础设施和基本服务所需的速度和规模实现公私合作 联邦网络基础设施的防御和现代化，并更新联邦事件响应政策 2.扰乱和摧毁威胁行为者。美国将动用所有国家权力手段，使恶意网络行为者无法威胁国家安全或公共安全，包括： 战略性地使用国家力量的所有工具来破坏对手 通过可扩展的机制让私营部门参与颠覆活动 通过全面的联邦方法并与国际合作伙伴保持同步来应对勒索软件威胁 3.塑造市场力量以推动安全和弹性。美国将把责任交给数字生态系统中最有能力降低风险的企业，以使数字生态系统更值得信赖，包括： 促进隐私和个人数据的安全 转移软件产品和服务的责任以促进安全开发实践 确保联邦拨款计划促进对安全且有弹性的新基础设施的投资 4.投资未来的网络安全弹性。通过战略投资和协调、协作行动，美国将继续引领全球的基础设施网络安全和弹性技术创新，包括： 减少互联网基础和整个数字生态系统中的系统性技术漏洞，同时使其更能抵御跨国数字压制 优先考虑后量子加密、数字身份解决方案和清洁能源基础设施等领域的下一代网络安全技术研发 培养多元化和强大的国家网络安全人才队伍 5.建立国际伙伴关系。美国将致力于建设一个新的全球网络安全空间世界（秩序）：在其中负责任的国家行为在网络空间得到期许和加强，不负责任的行为被孤立且代价高昂，包括： 利用国际联盟和伙伴关系，通过联合准备、响应和成本征收来应对数字生态系统面临的威胁 提高合作伙伴在和平时期和危机中抵御网络威胁的能力 与盟友和合作伙伴合作，为信息和通信技术以及运营技术产品和服务打造安全、可靠和值得信赖的全球供应链     转自 GoUpSec，原文链接：https://mp.weixin.qq.com/s/9EI7T1Nbaw-K3bDAMjSzow 封面来源于网络，如有侵权请联系删除

本文回顾2022年网络安全领域热点新闻事件，涉及国际动态、黑客攻击、数据泄露、安全漏洞等方面，数据来源 https://hackernews.cc/。转载请注明出处。   · 美国国会网站遭亲俄黑客组织攻击 美国国会图书馆透露，有亲俄黑客团伙攻击了国会立法网站Congress.gov，导致系统临时宕机并“短暂影响到公众访问”。该亲俄黑客团伙名为KillNet，曾向全球被认为对俄罗斯政府怀有敌意的国家目标，发起过一系列分布式拒绝服务攻击。该团伙此次专门发布了一段视频，其中包含503错误页面以及拜登总统的图像。 详情阅读：https://hackernews.cc/archives/40006   · 美及欧洲执法机构联盟查封了黑客网站 RaidForums.com 一个由多个全球执法机构组成的联盟–包括FBI、特勤局、英国国家犯罪署、欧洲刑警组织和其他机构–最近领导了一次行动，以查封RaidForums拥有的网络域名。RaidForums.com通常被描述为世界上最大的黑客论坛之一，它承载着一个留言板系统，恶意方可以在这里购买、出售和交易来自重大漏洞的黑客和被盗数据，据悉，其中就包括最近在2021年公开的T-Mobile数据泄漏。 详情阅读：https://hackernews.cc/archives/38224   · 南非总统的个人信贷数据泄露：该国已沦为“黑客乐园” 黑客团伙SpiderLog$窃取了南非现任总统Cyril Ramaphosa自2000年代在国内四大银行之一的贷款详细记录。SpiderLog$称，这批数据来自另一个名为N4ugtysecTU的黑客团伙，而后者曾于今年早些时候入侵信用报告机构TransUnion，窃取了5400万消费者征信数据，几乎覆盖该国所有公民。泄露数据集中包含Ramaphosa本人的家庭住址、身份证号码及手机号码。 SpiderLog$通过Ramaphosa的数据唤起了大众的警觉，让人们关注南非安全系统，特别是政府部门（包括国防和国家安全部门）所使用安全系统中的显著漏洞。SpiderLog$团伙在采访中表示，“南非已经成为黑客们的乐园，任何人都能轻松绘制出南非的数字基础设施分布。” 详情阅读：https://hackernews.cc/archives/39146   · 美军黑客为支持乌克兰而开展进攻性行动 美国网络司令部负责人告诉Sky News，美军黑客已经开展了支持乌克兰的进攻性行动。在一次独家采访中，Paul Nakasone将军还介绍了单独的hunt forward行动是如何让美国在外国黑客被用来对付美国之前搜索出他们的工具。 详情阅读：https://hackernews.cc/archives/39207   · 勒索软件攻击造成哥斯达黎加国家危机 自4月17日Conti勒索软件攻击爆发以来，已至少影响了哥斯达黎加27个政府机构，其中9个受到严重影响，如征税工作受阻碍、公务员工资发放金额错乱等；哥国新任总统日前表示，有证据显示，国内有内鬼配合勒索软件团队敲诈政府，这场危机是政府多年未投资网络安全的苦果；安全专家称，这些犯罪团伙财力雄厚，完全有可能以收买的方式渗透进任何目标组织。 详情阅读：https://hackernews.cc/archives/38806   · 美国悬赏 1000万 美元，征集 Conti 成员信息 美国国务院宣布悬赏1000万美元征集5名Conti勒索软件高级成员的信息，包括首次展示了其中一名成员的脸。正义奖赏计划是美国国务院的一项计划，会用高额金钱来奖励那些能够提供影响美国国家安全者相关信息的人。该计划最初是为了收集针对美国利益的恐怖分子的信息，现在已经扩大到为网络罪犯的信息提供奖励，如俄罗斯沙虫黑客、REvil勒索软件和邪恶集团黑客。 详情阅读：https://hackernews.cc/archives/40829   · 朝鲜黑客组织 Lazarus 利用 Log4J 攻击 VMware 服务器长达数月之久 作为朝鲜最著名的黑客组织之一，Lazarus 利用称为“NukeSped”的 Log4J RCE 漏洞在 VMware Horizon 服务器上注入后门，以检索信息窃取有效载荷。CVE-2021-44228 (log4Shell) 是已被跟踪并识别此漏洞的 CVE ID，它影响了包括 VMware Horizon 在内的多种产品。 自2022年1月份以来，多个威胁参与者都在利用此漏洞，1 月份 VMware 敦促客户修补关键的 Log4j 安全漏洞，这些漏洞会影响以持续攻击为目标的暴露于Internet的VMware Horizon 服务器 。 Ahnlab的 ASEC 的网络安全分析师声称，自 2022 年 4 月以来，Lazarus 组织背后的威胁行为者一直通过 Log4Shell 攻击易受攻击的 VMware 产品。 详情阅读：https://hackernews.cc/archives/38921   · 因勒索软件攻击，芝加哥公立学校 50 万学生数据遭泄露 美国芝加哥公立学校发生了一起大规模的数据泄露事件，近 50 万名学生和 6 万名员工的数据遭泄露，这一切源于其供应商 Battelle for Kids 遭受了勒索软件攻击。5 月 20 日，芝加哥公立学校（CPS）学区披露，去年 12 月 1 日对 Battelle for Kids 的勒索软件攻击暴露了其学校系统中 495448 名学生和 56138 名员工的存储数据，时间范围为 2015 学年至 2019 学年。 详情阅读：https://hackernews.cc/archives/38935   · 通用汽车遭撞库攻击被暴露车主个人信息 通用汽车表示他们在今年4月11日至29日期间检测到了恶意登录活动，经调查后发现黑客在某些情况下将客户奖励积分兑换为礼品卡，针对此次事件，通用汽车也及时给受影响的客服发邮件并告知客户。根据调查，这些违规行为并不是通用汽车被黑客入侵的结果，而是由针对其平台上的客户的一波撞库攻击引起的。 详情阅读：https://hackernews.cc/archives/38909   · Lapsus$ 再出手：泄漏 Globant 软件公司 70GB 数据 就在英国警方逮捕了 7 名嫌疑犯之后，近期非常猖獗的黑客组织 Lapsus$ 又有了新动作。在攻击微软、三星、NVIDIA 和 Okta 等公司之后，该组织再次宣布成功攻陷 Globant，后者是一家位于卢森堡的软件开发咨询公司。该组织在其 Telegram 频道上发布了一个 70G 的种子文件，其中包括据称从该公司窃取的数据，黑客声称其中包括其企业客户的源代码。 详情阅读：https://hackernews.cc/archives/38059   · RansomHouse 宣布盗取芯片制造巨头 AMD 450GB 数据 RansomHouse 团伙声称入侵了芯片制造商巨头 AMD 并从该公司窃取了 450 GB 的数据，并威胁说如果该公司不支付赎金，就会泄露或出售这些数据。 详情阅读：https://hackernews.cc/archives/39668   · 连锁酒店巨头万豪证实又一起数据泄露事件 酒店集团万豪国际集团已经证实了另一起数据泄露事件，黑客们声称窃取了20GB的敏感数据–包括客人的信用卡信息。该事件首先由Databreaches.net报道，据说发生在6月，一个不知名的黑客组织宣称他们利用社会工程欺骗马里兰州一家万豪酒店的员工以让他们进入他们的电脑。 详情阅读：https://hackernews.cc/archives/39794   · 西门子工控系统暴露 15 个安全漏洞 网络安全研究人员披露了西门子 SINEC 网络管理系统 (NMS) 中 15 个安全漏洞的详细信息，其中一些可能被攻击者混合使用，以在受影响的系统上实现远程代码执行。工业安全公司 Claroty在一份新报告中表示：“这些漏洞如果被利用，会给网络上的西门子设备带来许多风险，包括拒绝服务攻击、凭据泄漏和在某些情况下远程执行代码。” 详情阅读：https://hackernews.cc/archives/39503   · 甲骨文耗时 6 个月修补 Fusion Middleware 的重大漏洞 安全研究人员揭露甲骨文在今年1月及4月，所分别修补2项影响Fusion Middleware的重大漏洞细节，并指后者花了6个月才修复。 VNG公司的PeterJson和VNPT的Nguyen Jang去年10月发现Fusion Middleware 2项漏洞，分别为影响Oracle JDeveloper内ADF Faces framework的前远端程序码执行（pre-auth RCE）漏洞，以及影响Oracle Access Manager（OAM）的伺服器端请求伪造（Server Side Request Forgery，SSRF）漏洞。 详情阅读：https://hackernews.cc/archives/39590   · 邮件巨头 Zimbra 曝严重漏洞，黑客无需密码即可登录 邮件巨头Zimbra某些版本的高严重性漏洞的技术细节已经浮出水面，通过利用该漏洞，黑客可以在没有身份验证或用户交互的情况下窃取登录信息，这意味着黑客无需账号密码即可登录用户的邮箱。 详情阅读：https://hackernews.cc/archives/39462   · 360 万+ MySQL 服务器暴露在互联网上 至少有360万台MySQL服务器已经暴露在互联网上，这意味着这些服务器已经全部公开且响应查询。毫无疑问它们将成为黑客和勒索攻击者最有吸引力的目标。在这些暴露、可访问的MySQL服务器中，近230万台是通过IPv4连接，剩下的130万多台设备则是通过 IPv6 连接。虽然Web服务和应用程序连接到远程数据库是较为常见的操作，但是这些设备应该要进行锁定，保证只有经过授权的设备才能连接并查询。 详情阅读：https://hackernews.cc/archives/39197   · 黑客以 3 万美元兜售 Twitter 数据，称涉及 540 万用户 Twitter在2022年早些时候曾确认其存在并修复过一个网络安全漏洞，该漏洞可导致用户的账号ID、电话号码、电子邮件被泄露。 有黑客以3万美元（约合20万人民币）兜售540万Twitter账户数据。据了解，Twitter今年早些时候曾确认其存在并修复过一个网络安全漏洞，该漏洞可导致用户的账号ID、电话号码、电子邮件被泄露。 详情阅读：https://hackernews.cc/archives/40401    

安全内参12月6日消息，上周末，法国巴黎一家综合性医院遭到勒索软件攻击，被迫叫停医疗手术并转移了6名患者。 法国卫生部表示，凡尔赛医院中心目前已经陷入无计算机系统可用的困境，该医疗综合体旗下有两所医院与一家养老院。 6名患者中，3名转移患者来自重症监护室，另外3名则来自新生儿病房。法国卫生部长弗朗索瓦·布劳恩 (Francois Braun)周日警告称，此次攻击后可能还有更多患者需要被转移至其他位置，并导致“医院进行了全面组织调整”。 这位部长在推特上表示，“这种以法国民众健康为要挟的行为不可接受……我们正在动员一切专业人员，确保给予患者护理和照料。” 虽然医院内部重症监护室的关键设备仍在运行，但由于内部网络故障再加上员工人手不足，已经无法单独监控各设备发回的生命体征。 巴黎检察官已经对这起所谓“勒索未遂”案件展开初步调查。 近几月法国医疗机构频遭网络攻击 布劳恩表示，近几个月来，包括凡尔赛医院中心在内，法国的医疗保健服务机构“每天都会遭到攻击”。不过其中“绝大多数”攻击都被成功阻止。 今年8月，巴黎另一家医院Center Hospitalier Sud Francilien也遭到勒索软件攻击，经过数周时间才得以恢复。 该医院雇员和患者的敏感数据被勒索团伙发布至其官方主页。法国警方已将此次攻击的幕后黑手归因于LockBit勒索软件团伙。 针对本次攻击，外媒The Record已经联系卫生部、法国国家网络安全机构国家信息系统安全局（ANSSI）并提出置评请求。 就在攻击前不久，上任已有八年九个月的法国国家信息系统安全局局长Guillaume Poupard宣布即将离职。 转自 安全内参，原文链接：https://www.secrss.com/articles/49773 封面来源于网络，如有侵权请联系删除

安全内参12月5日消息，日前，有安全研究人员详细介绍了一个新漏洞，据称攻击者可使用该漏洞，远程解锁全球任意位置的本田、日产等品牌汽车。 此次漏洞披露凸显出现代汽车联网系统的又一缺陷，特别是那些同时接入司机手机端、持续收集用户数据的车辆跟踪及定位系统。事实上，这种技术已经被美国联邦执法机构所使用。目前移民和边境警察正在加大技术工具的采购力度，希望借此从上万种不同车型中提取大量数据，比如密码、地理位置等。 汽车数据取证成执法人员办案利器 美国移民和边境警察越来越重视从汽车中收集关于潜在犯罪活动的大量证据。有时候，从车上获取的证据往往远超手机数据、而且获取难度也更低。法院文件和政府合同记录显示，负责监控墨西哥边境的移民管理机构在汽车黑客工具上的开支创下历史纪录，也确实从车载计算机中获得了大量有价值证据。与此同时，隐私倡导者则发出警告，称现代汽车堪称“车轮上的监控探头”。 “虽然我们还不知道海关及边境保护局（CBP）和移民海关执法局（ICE）具体入侵了多少辆汽车，但可以肯定的是几乎每辆新车都可能受到攻击……” Eleni Manis, S.T.O.P.研究主任 在最近对墨西哥边境一辆2019款道奇“战马”汽车的搜查中，一名巡逻警员写道，负责提供GPS、远程控制和娱乐功能的信息娱乐系统对政府调查人员特别有价值。他们可以从中获取关于嫌疑人位置、电子邮件地址、IP地址和电话号码等信息，“跟踪不具备合法身份的非公民进入美国、及在美国各地的往来/移动”。其甚至可以体现“账户使用者的情绪，包括对所调查犯罪行为的了解、动机和自愿性”。 巡逻警员还提到，信息娱乐系统还会暴露用户密码，但没有提供具体细节。今年10月，密苏里州酒精、烟草、火器和爆炸物管理局（ATF）提交的一份搜查令中也做出类似的表述，但同样未做细节解释。当时他们试图从一辆2022款福特F-150上收集信息。尽管缺乏确凿的证据，但可以认定这种风险真实存在：之前曾有报道称，特斯拉的信息娱乐系统就会存储Wi-Fi密码和Spotify密码。 另外，ATF调查人员详细介绍了车载计算机如何“设计并存储大量数据”，并且“有望在无需访问手机本身的情况下，通过与车载系统的连接记录恢复大量手机信息。”调查员们还提到，使用这种数字技术能够入侵多种主流车型，包括“宝马、别克、凯迪拉克、雪佛兰、克莱斯勒、道奇、菲亚特、福特、GMC、悍马、吉普、林肯、玛莎拉蒂、梅赛德斯、水星、庞蒂亚克、公羊、土星、丰田和大众等品牌的超10000款车型。” 黑客或警方也能从汽车上获得多种公开信息。网络安全研究员Curry向媒体证实，只要在车身看一眼VIN码，就能查询到大量相关信息，这也凸显出VIN码公开的“可怕后果”。他补充道，“我们在多家汽车公司的产品中发现了很多不同功能和汽车信息条目，全都可以用VIN码进行查询。” 美国执法机构采购汽车取证预算创历史纪录 为了从被扣押的汽车身上获取有用数据，美国海关及边境保护局、移民海关执法局今年在汽车取证技术身上花掉了创纪录的预算，供应商则是总部位于马里兰州的行业龙头公司Berla。其iVe工具能够从车辆中挖掘数据，供当地/联邦执法部门以及军事机构使用。 根据政府合同记录，今年8月，海关及边境保护局在iVe上的花费超过38万美元，几乎是过去两年来最大单笔采购金额（5万美元）的8倍。移民海关执法局自2010年以来也一直在采购Berla工具和培训服务，今年9月更是在iVe身上花掉了50万美元，超过之前单笔采购纪录20万美元的两倍。在2022年5月的一份合同中，海关及边境保护局还特别要求Berla提供“车载信息娱乐系统取证工具、许可证和培训服务”。 在警方深入调查现代汽车中的大量个人信息时，隐私保护组织们对此深感忧心。今年10月，监控技术监督项目（S.T.O.P.）发布一份报告，警告称“从汽车上收集到的数据比手机数据更详细，并且获取车载数据的法律和技术门槛反而更低。” S.T.O.P.研究主管Eleni Manis认为，海关及边境保护局和移民海关执法局正在“将汽车数据武器化”。 她总结道，“Berla设备让海关及边境保护局和移民海关执法局能够对乘客的生活开展全面搜查，包括轻松访问汽车的历史位置记录、常去的地方，乘客的家人和社交联系人、彼此间的通话记录，甚至是社交媒体使用概况等。虽然我们还不知道海关及边境保护局和移民海关执法局具体入侵了多少辆汽车，但可以肯定的是几乎每辆新车都可能受到攻击。” 截至本文发布时，海关及边境保护局与移民海关执法局均未回应置评请求。 转自 安全内参，原文链接：https://www.secrss.com/articles/49723 封面来源于网络，如有侵权请联系删除

根据微软11月29日发布的一篇博客文章，该近几个月与BAE Systems和其他公司建立了合作伙伴关系，以寻求国防部的游戏、演习、建模和模拟或GEMS合同。 微软联邦国防副总裁韦斯·安德森在博文中表示，该公司及其合作伙伴正在使用微软Azure的云平台和服务来开发GEMS功能。微软很乐意再次参加今年022年11月28日至12月2日在佛罗里达州奥兰多举行的军种/行业培训、模拟和教育会议(I/ITSEC)，分享其如何支持美国武装部队，通过带来最好的游戏、演练、建模和模拟(GEMS)功能，帮助他们比以往更安全、更有效地分析、实验和训练。借助超大规模Microsoft Azure的力量，Microsoft和其强大的合作伙伴生态系统正在开发创新功能，为任务领导者释放新机会，将数据转化为行动。微软对GEMS的关注旨在实现跨越物理和虚拟世界的人与机器之间的新水平协同推理。 为此，Microsoft实现了快速的世界级数据摄取和洞察力生成，并提供了解决特定目标所需的灵活性和适应性。Lockheed、BAE Systems其他公司正在使用这家西雅图巨人的Azure云平台来开发培训和演练系统。 国防部将更先进的GEMS能力视为维持现代军事力量的重要组成部分。国防科学委员会2021年1月的一份关于GEMS的报告指出，在“系统开发、采购、训练、威慑和作战”方面，“有必要增加GEMS的使用，以确保国防部能够应对未来的挑战”。 国防部进行更准确模型和模拟的能力对于五角大楼预测和充分准备应对未来威胁的能力也起着重要作用。国防部2022年核态势评估——其公开版本于10月27日发布——部分指出，“情报分析、模拟和兵棋推演、‘红队’和其他手段为美国领导人提供了可操作的见解，有助于减轻”核升级和误判的风险。 鉴于国防部增强其GEMS能力的需求日益增长，微软最近几个月更加重视与致力于为国防部门开发和支持建模和仿真技术的公司和机构合作。这些合作在很大程度上集中在使用Microsoft Azure来支持被视为对下一代作战至关重要的平台和新兴技术的公司。 BAE Systems也于29日宣布，他们将使用Microsoft Azure来托管他们的Pioneer兵棋推演平台，他们将其描述为“一个系统的系统，可以实现跨多个领域的兵棋推演，包括陆地、空中、海洋、太空和网络。” 同一天，总部位于伦敦的云计算初创公司Hadean还宣布，它将致力于将其“元宇宙基础设施”与Microsoft Azure集成，以“生产适合用途的强大解决方案，这些解决方案可以快速切割数据并为政府机构、国防承包商和武装部队的客户。” 周一（28日），虚拟现实和增强现实公司VRAI发布了类似的公告，称他们还将使用Microsoft Azure“为军事终端用户带来下一代模拟能力”。 微软在其博文中表示，通过将物理世界带入数字规模，利用数字孪生和人工智能服务的力量在全球范围内构建解决方案，并推动自主努力以帮助获得新的见解和分析，他们正在帮助任务领导者跟上快速发展的步伐世界。 无论您是在开发严肃的游戏还是模拟游戏以加快自主资产的使用，Microsoft决方案都是模块化的并且可以适应任务需求。这意味着您可以构建、训练和部署专为特定任务目标设计的 AI 模型——帮助推动洞察力，从而在需要的时间和地点做出关键决策。分布式培训解决方案支持通过云进行远程参与，所有这些都受到最高机密级别的保护。 这些功能是推动任务领导者实现价值的关键。Microsof的GEMS解决方案允许实时交互、迭代和适应性，减少模拟与现实世界之间的差距。可重复、可复制的模拟减少冷启动，并帮助国家安全规划人员随着全球环境的变化快速启动和调整模拟。借助一套丰富的值得信赖的生产力和协作工具，战略游戏分析师可以从包括文本和语音数据在内的大量数据源中获取参与者的见解，以推动更深入的理解和洞察力。 本月早些时候，微软还宣布与洛克希德马丁公司达成协议，共同致力于国防部四个关键的GEMS相关技术领域，包括机密云创新；人工智能/机器学习和建模与仿真能力；5G.MIL技术；和数字化转型工作。 安德森表示，与洛克希德马丁公司的战略合作伙伴关系将使该公司能够“以微软GEMS技术和Azure功能为基础，使洛克希德马丁公司及其客户能够测试军事平台和技术，为数字平台上的联合全领域作战提供动力。” 虽然微软最近优先考虑与其他以国防为重点的公司建立合作伙伴关系，但他们此前曾于5月宣布与海军研究生院合作，研究将新兴技术引入海军的方法。这项正在进行的工作包括探索“海军和海军陆战队可以利用游戏、演习、建模和模拟来帮助作战指挥官做出更快更好的决策的方式。” 微软还将与多个行业合作伙伴一起支持国家培训和模拟协会的Multi-Verse Training Environment (MVTE)。MVTE展示一种端到端的沉浸式解决方案，该解决方案利用创新技术来压缩空间和时间并同时提供上下文和内容，从而提供更快、更有效的培训。 微软最近与BAE Systems、Hadean和VRAI合作的消息发布之际，该公司参加了本周在佛罗里达州奥兰多举行的服务间/行业培训、模拟和教育会议，组织者称其为“世界上最大的建模、模拟和培训事件。” 转自 安全内参，原文链接：https://www.secrss.com/articles/49645 封面来源于网络，如有侵权请联系删除