普普安全資訊一周概覽(0805-0811)

作者:

時(shí)間:
2023-08-11


01

國(guó)家網(wǎng)信辦:處理超過百萬人個(gè)人信息每年至少開展一次合規(guī)審計(jì)


《管理辦法》提出,處理超過100萬人個(gè)人信息的個(gè)人信息處理者,應(yīng)當(dāng)每年至少開展一次個(gè)人信息保護(hù)合規(guī)審計(jì);其他個(gè)人信息處理者應(yīng)當(dāng)每二年至少開展一次個(gè)人信息保護(hù)合規(guī)審計(jì);對(duì)個(gè)人信息處理者在公共場(chǎng)所安裝圖像采集、個(gè)人身份識(shí)別設(shè)備的,應(yīng)當(dāng)重點(diǎn)對(duì)其安裝圖像采集、個(gè)人信息身份識(shí)別設(shè)備的合法性及所收集個(gè)人信息的用途進(jìn)行審查,審查內(nèi)容包括但不限于:是否為維護(hù)公共安全所必需,是否存在為商業(yè)目的處理所采集信息的情況;是否設(shè)置了顯著的提示標(biāo)志;若個(gè)人信息處理者所收集的個(gè)人圖像、身份識(shí)別信息用于維護(hù)公共安全以外用途的,是否取得個(gè)人單獨(dú)同意。大型互聯(lián)網(wǎng)平臺(tái)運(yùn)營(yíng)者應(yīng)當(dāng)成立主要由外部成員組成的獨(dú)立機(jī)構(gòu)對(duì)個(gè)人信息保護(hù)情況進(jìn)行監(jiān)督。審計(jì)時(shí),應(yīng)當(dāng)對(duì)獨(dú)立機(jī)構(gòu)的獨(dú)立性、履職能力、監(jiān)督作用等進(jìn)行評(píng)價(jià)。


普普點(diǎn)評(píng)

國(guó)家網(wǎng)信部門會(huì)同公安機(jī)關(guān)等國(guó)務(wù)院有關(guān)部門按照統(tǒng)籌規(guī)劃、合理布局、擇優(yōu)推薦的原則建立個(gè)人信息保護(hù)合規(guī)審計(jì)專業(yè)機(jī)構(gòu)推薦目錄,每年組織開展個(gè)人信息保護(hù)合規(guī)審計(jì)專業(yè)機(jī)構(gòu)評(píng)估評(píng)價(jià),并根據(jù)評(píng)估評(píng)價(jià)情況動(dòng)態(tài)調(diào)整個(gè)人信息保護(hù)合規(guī)審計(jì)專業(yè)機(jī)構(gòu)推薦目錄。





02

微軟借助GPT-4打造安全運(yùn)營(yíng)助手

7月,微軟宣布擴(kuò)大其基于GPT-4的安全運(yùn)營(yíng)中心AI助手Security Copilot服務(wù)訪問范圍,將有更多客戶和一些技術(shù)合作伙伴可以使用這款A(yù)I助手。Security Copilot將在今年秋天進(jìn)入其官方“早期訪問預(yù)覽”窗口,取代微軟目前的私人預(yù)覽版并添加一些新功能。Microsoft Security Copilot 是一款基于 AI 的安全分析工具,使分析師能夠快速響應(yīng)威脅、以機(jī)器速度處理警報(bào)并在幾分鐘內(nèi)評(píng)估風(fēng)險(xiǎn)暴露。目前可用的版本包含了用戶反饋并添加了“提示手冊(cè)”(供安全專業(yè)人員開啟分析流程的一系列常用AI提示),以及常用網(wǎng)絡(luò)安全工具集成以簡(jiǎn)化操作。微軟副總裁兼AI安全架構(gòu)師Chang Kawaguchi表示,其目的是提高安全團(tuán)隊(duì)的效率,緩解安全人才短缺的壓力,并簡(jiǎn)化通常十分復(fù)雜的安全活動(dòng)。

普普點(diǎn)評(píng)

推出LLM網(wǎng)絡(luò)安全助手的公司不少,微軟是最近官宣的一家。在8月舉行的美國(guó)黑帽大會(huì)上,Google Cloud的安全專業(yè)人員將探討該公司如何運(yùn)用大語言模型分析其Mandiant事件響應(yīng)小組的威脅。而在5月,CrowdStrike推出了其自有的生成式AI助手Charlotte,企業(yè)可通過向此網(wǎng)絡(luò)安全服務(wù)提問來學(xué)習(xí)。這么做可以更快做出更明智的決策,還可以增強(qiáng)本沒有時(shí)間大力發(fā)展的能力。





03

工業(yè)和信息化部 國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)印發(fā)《國(guó)家車聯(lián)網(wǎng)產(chǎn)業(yè)標(biāo)準(zhǔn)體系建設(shè)指南(智能網(wǎng)聯(lián)汽車)(2023版)》

為加強(qiáng)網(wǎng)絡(luò)安全國(guó)家標(biāo)準(zhǔn)在國(guó)家網(wǎng)絡(luò)安全保障工作中的基礎(chǔ)性、規(guī)范性、引領(lǐng)性作用,全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)(簡(jiǎn)稱“信安標(biāo)委”)秘書處堅(jiān)持問題導(dǎo)向,調(diào)研國(guó)家網(wǎng)絡(luò)安全重點(diǎn)工作和技術(shù)產(chǎn)業(yè)發(fā)展需求,研究形成了2023年度第二批網(wǎng)絡(luò)安全國(guó)家標(biāo)準(zhǔn)需求清單。為充分發(fā)揮標(biāo)準(zhǔn)在車聯(lián)網(wǎng)產(chǎn)業(yè)生態(tài)環(huán)境構(gòu)建中的引領(lǐng)和規(guī)范作用,適應(yīng)我國(guó)智能網(wǎng)聯(lián)汽車發(fā)展的新趨勢(shì)、新特征和新需求,加快構(gòu)建新型智能網(wǎng)聯(lián)汽車標(biāo)準(zhǔn)體系,工業(yè)和信息化部、國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)聯(lián)合修訂形成《國(guó)家車聯(lián)網(wǎng)產(chǎn)業(yè)標(biāo)準(zhǔn)體系建設(shè)指南(智能網(wǎng)聯(lián)汽車)(2023版)》。
??

普普點(diǎn)評(píng)

下一步,工業(yè)和信息化部將深入推進(jìn)智能網(wǎng)聯(lián)汽車標(biāo)準(zhǔn)體系建設(shè),繼續(xù)指導(dǎo)全國(guó)汽標(biāo)委智能網(wǎng)聯(lián)汽車分標(biāo)委(SAC/TC114/SC34)及有關(guān)單位,加大在功能安全、網(wǎng)絡(luò)安全、操作系統(tǒng)等重點(diǎn)領(lǐng)域的標(biāo)準(zhǔn)研制力度,積極參與國(guó)際標(biāo)準(zhǔn)法規(guī)協(xié)調(diào)制定,推進(jìn)關(guān)鍵標(biāo)準(zhǔn)的宣貫實(shí)施,加快新能源汽車與信息通信、智能交通、智慧城市等融合發(fā)展,通過標(biāo)準(zhǔn)引導(dǎo)推動(dòng)我國(guó)智能網(wǎng)聯(lián)汽車產(chǎn)業(yè)高質(zhì)量發(fā)展。





04

我國(guó)牽頭提出的國(guó)際標(biāo)準(zhǔn)《網(wǎng)絡(luò)安全 工業(yè)互聯(lián)網(wǎng)平臺(tái)安全參考模型》正式發(fā)布

2023年7月,我國(guó)牽頭提出的國(guó)際標(biāo)準(zhǔn)ISO/IEC 24392:2023《網(wǎng)絡(luò)安全 工業(yè)互聯(lián)網(wǎng)平臺(tái)安全參考模型》正式發(fā)布。該提案于2018年4月提交至ISO/IEC JTC1/SC27,后經(jīng)研究,于2019年6月正式立項(xiàng);2023年7月正式發(fā)布。我國(guó)3名專家擔(dān)任該國(guó)際標(biāo)準(zhǔn)提案的編輯和聯(lián)合編輯。ISO/IEC 24392作為首個(gè)工業(yè)互聯(lián)網(wǎng)安全領(lǐng)域的國(guó)際標(biāo)準(zhǔn),基于工業(yè)互聯(lián)網(wǎng)平臺(tái)安全域、系統(tǒng)生命周期和業(yè)務(wù)場(chǎng)景三個(gè)視角構(gòu)建了工業(yè)互聯(lián)網(wǎng)平臺(tái)安全參考模型。

普普點(diǎn)評(píng)

該國(guó)際標(biāo)準(zhǔn)用于解決工業(yè)互聯(lián)網(wǎng)應(yīng)用和發(fā)展過程中的平臺(tái)安全問題,可以系統(tǒng)指導(dǎo)工業(yè)互聯(lián)網(wǎng)企業(yè)及相關(guān)研究機(jī)構(gòu),針對(duì)不同的工業(yè)場(chǎng)景,分析工業(yè)互聯(lián)網(wǎng)平臺(tái)的安全目標(biāo),設(shè)計(jì)工業(yè)互聯(lián)網(wǎng)平臺(tái)安全防御措施,增強(qiáng)工業(yè)互聯(lián)網(wǎng)平臺(tái)基礎(chǔ)設(shè)施的安全性。



05

研究人員發(fā)現(xiàn)特斯拉汽車能被越獄,可免費(fèi)解鎖付費(fèi)功能

柏林工業(yè)大學(xué)的研究人員開發(fā)出一種新技術(shù),可以破解特斯拉近期推出所有車型上使用的基于 AMD 的信息娛樂系統(tǒng),并使其運(yùn)行包括付費(fèi)項(xiàng)目在內(nèi)的任何軟件。實(shí)驗(yàn)過程中,研究人員提取特斯拉在其服務(wù)網(wǎng)絡(luò)中用于汽車身份驗(yàn)證的唯一硬件綁定 RSA 密鑰,并通過電壓故障激活軟件鎖定的座椅加熱和 “加速度提升”等付費(fèi)功能。研究人員之所以能夠利用基于該團(tuán)隊(duì)之前 AMD 研究的技術(shù)入侵信息娛樂系統(tǒng),是發(fā)現(xiàn)了故障注入攻擊可以從平臺(tái)中提取機(jī)密。特斯拉的信息娛樂 APU 基于易受攻擊的 AMD Zen 1 CPU,研究人員解釋稱為此正在對(duì) AMD 安全處理器(ASP)使用已知的電壓故障注入攻擊,作為系統(tǒng)信任的根源。研究人員介紹了如何使用低成本的非自帶硬件來安裝閃爍攻擊,以顛覆 ASP 的早期啟動(dòng)代碼。然后,展示了如何逆向設(shè)計(jì)啟動(dòng)流程,從而在他們的恢復(fù)和生產(chǎn) Linux 發(fā)行版上獲得 root shell'。

普普點(diǎn)評(píng)

研究人員已經(jīng)負(fù)責(zé)任地向特斯拉披露了他們的發(fā)現(xiàn),汽車制造商正在對(duì)發(fā)現(xiàn)的問題進(jìn)行補(bǔ)救。特斯拉在接到警示后通知研究人員他們啟用后座加熱器的概念驗(yàn)證是基于舊版本的固件,在較新的版本中,只有在特斯拉提供有效簽名(并由網(wǎng)關(guān)檢查/強(qiáng)制執(zhí)行)的情況下,才能對(duì)該配置項(xiàng)進(jìn)行更新。在最新特斯拉軟件更新中,密鑰提取攻擊仍然有效,這個(gè)漏洞目前仍然可以被潛在的攻擊者利用。



06

谷歌:安卓惡意軟件通過版本控制潛藏在Google Play商店

谷歌云安全團(tuán)隊(duì)近日表示,惡意行為者在躲過Google Play商店的審查流程和安全控制后,會(huì)使用一種被稱為版本控制的常見策略,在Android設(shè)備上植入惡意軟件。該技術(shù)通過向已安裝的應(yīng)用程序提供更新來引入惡意有效負(fù)載,或者通過所謂的動(dòng)態(tài)代碼加載(DCL)從威脅參與者控制的服務(wù)器加載惡意代碼。它允許攻擊者繞過應(yīng)用商店的靜態(tài)分析檢查,在Android設(shè)備上以原生、Dalvik或JavaScript代碼的形式部署有效負(fù)載。谷歌在今年的威脅趨勢(shì)報(bào)告中提到:惡意行為者試圖規(guī)避 Google Play 安全控制的一種方式是版本控制。比如,開發(fā)者會(huì)在Google Play應(yīng)用商店發(fā)布一個(gè)看似合法并通過谷歌檢查的應(yīng)用程序初始版本,但隨后用戶會(huì)收到來自第三方服務(wù)器的更新提示,這時(shí)候終端用戶設(shè)備上的代碼會(huì)被改變,這樣威脅者就可以實(shí)施惡意活動(dòng),從而實(shí)現(xiàn)版本控制。

普普點(diǎn)評(píng)

為了躲避 Play Store 系統(tǒng)的檢測(cè),SharkBot 的威脅制造者采用了一種現(xiàn)在常見的策略,即在 Google Play 上發(fā)布功能有限的版本,掩蓋其應(yīng)用程序的可疑性質(zhì)。然而,一旦用戶下載了木馬應(yīng)用程序,就會(huì)下載完整版的惡意軟件。這種方法能有效破解谷歌的應(yīng)用程序分析工具,使其無法掃描惡意 APK(安卓應(yīng)用程序包)。因此,盡管這些有害的 APK 被標(biāo)記為無效,仍能成功安裝到用戶的設(shè)備上。



07

網(wǎng)絡(luò)犯罪分子正在訓(xùn)練新的AI以協(xié)助網(wǎng)絡(luò)釣魚和惡意軟件攻擊

據(jù)網(wǎng)絡(luò)安全公司SlashNext報(bào)道,繼以惡意軟件為重點(diǎn)數(shù)據(jù)進(jìn)行訓(xùn)練的WormGPT之后,又有一款名為FraudGPT的新一代生成式人工智能黑客工具面世。據(jù)稱,這兩款A(yù)I聊天機(jī)器人能為網(wǎng)絡(luò)犯罪分子在網(wǎng)絡(luò)釣魚、社交工程、漏洞利用和惡意軟件創(chuàng)建等惡意目的上提供協(xié)助。7月25日,一個(gè)名為CanadianKingpin12的用戶在各種黑客論壇上對(duì)FraudGPT進(jìn)行了宣傳,該用戶表示該工具主要面向黑客、欺詐者和垃圾郵件發(fā)送者。其還聲稱該聊天機(jī)器人具有以下功能:編寫惡意代碼、創(chuàng)建不被檢測(cè)到的惡意軟件、創(chuàng)建釣魚頁面、創(chuàng)建黑客工具、查找泄露及漏洞、學(xué)習(xí)編碼/黑客技術(shù)等。SlashNext研究人員的調(diào)查顯示,CanadianKingpin12正在積極訓(xùn)練新的聊天機(jī)器人DarkBART,并將其介紹為谷歌生成式人工智能聊天機(jī)器人Bard的“黑暗版本”,使用從暗網(wǎng)獲取的數(shù)據(jù)集進(jìn)行訓(xùn)練。

普普點(diǎn)評(píng)


這些惡意軟件據(jù)稱能夠用于:創(chuàng)建針對(duì)人們的密碼和信用卡詳細(xì)信息的復(fù)雜網(wǎng)絡(luò)釣魚活動(dòng);執(zhí)行高級(jí)社交工程攻擊,獲取敏感信息或未經(jīng)授權(quán)訪問系統(tǒng)和網(wǎng)絡(luò);利用計(jì)算機(jī)系統(tǒng)、軟件和網(wǎng)絡(luò)的漏洞;創(chuàng)建并分發(fā)惡意軟件;利用零日漏洞獲取財(cái)務(wù)利益或破壞系統(tǒng)等。這項(xiàng)調(diào)查研究表明,網(wǎng)絡(luò)犯罪分子使用生成式AI聊天機(jī)器人的趨勢(shì)正在增長(zhǎng),在這些工具的協(xié)助下,原本技術(shù)水平欠缺的黑客也能實(shí)施更惡劣影響更廣泛的攻擊,可能會(huì)對(duì)網(wǎng)絡(luò)安全和網(wǎng)絡(luò)犯罪格局產(chǎn)生重大影響。