新的一周又開始了,以下是本周「Lianwei周報」,我們總結推薦了本周的政策/標準/指南最新動態、熱點資訊和安全事件,保證大家不錯過本周的每一個重點!
政策/標準/指南最新動態
01 國家工信資訊安全中心釋出軟件物料清單 (SBOM) 標準社區版
10月24日,國家工業資訊保安發展研究中心(簡稱「國家工信資訊安全中心」)正式釋出軟件物料清單(SBOM)標準——【軟件物料清單構成和要求】,旨在規範軟件開發過程中物料清單構成及相關要求,提高軟件產品的質素和可維護性,促進軟件產業健康發展,對於提升中國軟件產業鏈供應鏈韌性和安全性水平具有重要意義。
詳情:
https://www.secrss.com/articles/71651
02 美國政府釋出首份關於人工智能的國家安全備忘錄
美國政府10月24日公開釋出首份關於人工智能的國家安全備忘錄,旨在確保美國在抓住人工智能的前景和管理人工智能風險方面發揮領軍作用,鼓勵聯邦政府采用人工智能來推進國家安全使命,並尋求塑造圍繞人工智能使用的國際規範。除了該備忘錄外,美國白宮還釋出了【國家安全領域推進人工智能治理和風險管理框架】,對此前針對非國家安全任務的指南進行了補充。該框架提供了實施備忘錄的進一步細節和指導,包括要求建立風險管理、評估、問責和透明度機制。
詳情:
https://www.secrss.com/articles/71668
03 美國CISA頒布史上最嚴數據安全規定
近日,美國網絡安全與基礎設施安全域(CISA)宣布了一項史無前例的,極為嚴苛的數據安全規定,旨在防止「敵對國家」獲取美國政府和公民敏感數據。這一提案主要針對從事受限交易的(科技)企業,特別是那些涉及美國政府和個人敏感數據且有可能暴露給「重點關註國家」或「受限人員」的企業。
透過這一提案,CISA希望提升相關行業的數據安全標準,防止「重點關註國家」或個體透過技術手段獲取美國的關鍵數據。
詳情:
https://www.secrss.com/articles/71600
04 荷蘭政府釋出【歐盟人工智能法案】指南
近日,荷蘭政府釋出了【歐盟人工智能法案】(EU AI Act,以下簡稱為AI法案)指南,以供組織內的人工智能(AI)開發人員和部署人員參考使用。指南提出相關組織適用AI法案需要考慮的四個主要問題。
詳情:
https://www.secrss.com/articles/71572
05 美國CISA釋出【軟件元件透明度框架】報告
近日,美國網絡安全與基礎設施安全域(CISA)釋出【軟件元件透明度框架】。該框架由CISA通用軟件物料清單(SBOM)和實施工作群組建立,旨在提高軟件元件透明度。CISA表示,本次檔擴大了2021 年釋出指南中參照的建立軟件透明度所需的基線內容。新檔闡明了每個SBOM基線內容內涵,添加了兩個新的基線內容「特許證」和「版權所有者」,並且強調SBOM消費過程中的風險管理。據悉,國土安全部科學技術理事會2023年4月已選擇七家公司構建基於SBOM 的產品。
詳情:
https://www.secrss.com/articles/71567
熱點資訊
01 IBM推出Guardium數據安全平台,以應對AI與量子計算帶來的安全風險
10月22日,IBM宣布推出IBM Guardium Data Security Center。該平台整合了AI和量子安全技術,其目的是保護數據在整個生命周期中的安全,以應對混合雲、AI和量子計算帶來的新興風險。
詳情:
https://www.secrss.com/articles/71585
02 石家莊市政府與360達成戰略合作樹立全國數碼經濟創新發展標桿
10月24日,2024中國國際數碼經濟博覽會在石家莊(正定)國際會展中心召開。在開幕式上,石家莊市人民政府與360數碼安全集團正式簽訂了戰略合作協定,雙方將在數碼安全能力體系建設、人工智能大模型創新基地建設以及產業生態構建等方面開展全面合作,推動該市躍升為全國數碼經濟創新發展標桿城市的同時,以石家莊市為核心,輻射河北省全省範圍內的數碼安全和人工智能產業升級。石家莊市副市長李為軍、360數碼安全集團總裁胡振泉共同參加了簽約儀式。
詳情:
https://www.anquanke.com/post/id/301291
03 思科修復了數十個漏洞,其中包括一個被積極利用的漏洞
思科修補了Adaptive Security Appliance (ASA)、Secure Firewall Management Center (FMC)和Firepower Threat Defense (FTD)產品中的多個漏洞,包括一個被追蹤為 CVE-2024-20481的主動利用漏洞。
CVE-2024-20481 漏洞(CVSS 得分為 5.8)是一個拒絕服務(DoS)問題,影響ASA 和 FTD的遠端存取VPN (RAVPN)服務。
未認證的遠端攻擊者可利用該漏洞導致 RAVPN服務拒絕服務(DoS)。
詳情:
https://www.anquanke.com/post/id/301263
04 AI 和 deepfakes 助長了網絡釣魚詐騙,使檢測變得更加困難
Teleport 公司稱,人工智能冒充現在是網絡安全專業人員保護公司免受攻擊的最難媒介。該研究調查了250位美國和英國的高級決策者,結果顯示社交工程仍然是網絡犯罪分子用來安裝惡意軟件和竊取敏感數據的最主要手段之一,而人工智能和深度偽造的進步則進一步助長了網絡釣魚欺詐的有效性。
詳情:
https://www.anquanke.com/post/id/301251
05 四家上市公司因網絡安全信披違規被罰5000萬元
安全內參10月24日訊息,美國證券交易委員會(SEC)22日宣布,因四家公司在2019年「太陽風」(SolarWinds)數據泄露事件中做出誤導性披露,決定對其處以民事罰款, 四家上市公司被罰698.5萬美元(約合人民幣4968萬元)。
詳情:
https://www.secrss.com/articles/71570
安全事件
01 知名手表廠商遭遇災難式勒索攻擊:系統癱瘓、交付延遲、財報推遲
知名手表廠商遭勒索攻擊,系統癱瘓且恢復無進展,公司營運受到極大影響,交付嚴重延遲,財報也推遲了約一周釋出。
詳情:
https://www.secrss.com/articles/71557
02 多款雲端儲存平台存在安全漏洞,影響超2200萬使用者
Mandiant釋出的一份新報告指出,最近披露的據蘇黎世聯邦理工學院研究人員Jonas Hofmann和Kien Tuong Turong的發現,端到端加密(E2EE)雲端儲存平台存在一系列安全問題,可能會使使用者數據暴露給惡意行為者。在透過密碼學分析後,研究人員揭示了Sync、pCloud、Icedrive、Seafile和Tresorit服務的問題,這些服務共同被超過2200萬人使用。
詳情:
https://www.bleepingcomputer.com/news/security/severe-flaws-in-e2ee-cloud-storage-platforms-used-by-millions/
03 美國線上家具零售1StopBedrooms泄露100萬訂單資訊
一名暗網行為者聲稱已泄露來自美國線上家具零售商1StopBedrooms.com的數據。據報道,此次泄露暴露了大約100萬個訂單的詳細資訊,包括客戶地址、電子郵件地址和電話號碼。
詳情:
https://www.hendryadrian.com/1stopbedrooms-database-breach-exposes-1-million-orders/