其他
20230705-5th域安全微讯早报-No.159
网络空间安全对抗资讯速递
2023年7月5日
最新热门网安资讯
Cyber-Intelligence Brief Express
Vol-2023-159 星期三
今日热点导读
6、卡巴斯基报告显示公司对暗网数据泄露毫无准备7、今年已有33家美国医院遭受勒索软件攻击8、墨西哥黑客利用Android恶意软件攻击全球银行盗取35万欧元
9、微软在欧盟陷入困境:Teams的未来存疑10、谷歌希望根据用户数据训练其人工智能模型11、德克萨斯州沃斯堡市的官员再次否认遭到黑客攻击12、多措并举实现海底电缆网络的网络弹性
资讯详情
1、NEMA与ISA合作使用ISA/IEC 62443标准增强关键基础设施网络安全美国电气制造商协会(NEMA)宣布与国际自动化协会(ISA)签署谅解备忘录,以推广操作技术(OT)和工业控制系统(ICS)的网络安全标准和实践,特别是围绕ISA/IEC62443系列标准。最新协议的重点是在制定网络安全OT/ICS自动化和系统的规范、激励措施和指令时参考ISA/IEC 62443系列标准,推动政策的制定。“NEMA和ISA意识到推广ISA/IEC 62443系列标准的迫切需要,”NEMA技术和行业事务高级副总裁帕特里克·休斯 (Patrick Hughes)上周在一份媒体声明中表示。“这份谅解备忘录将使人们更加认可和依赖由领先的自动化专业协会ISA制定的这些关键OT网络安全标准。”ISA全球联盟和合格评定董事总经理Andre Ristaino表示:“我们对与NEMA的合作感到非常兴奋,这将使ISA已经实现的ISA/IEC 62443的影响力和认知度进一步提高。” “NEMA对供应链弹性的承诺以及在推广和宣传方面的专业知识使该组织成为ISA的优秀合作伙伴。”NEMA和ISA都是美国国家标准协会(ANSI) 授权的标准开发组织,致力于创建和推广供全球公共和私营部门组织使用的尖端标准和一致性计划。IEC 62443系列标准由ISA制定并获得国际电工委员会(IEC)认可,为保护关键基础设施和供应链提供了实用的指导和资源。该团队的首要职责之一是提高人们对ISA/IEC 62443在确保美国和国际立法、行政和监管机构的OT/ICS网络安全方面所发挥的关键作用的认识。https://industrialcyber.co/isa-iec-62443/nema-isa-partner-to-boost-critical-infrastructure-cybersecurity-using-isa-iec-62443-standards/
2、荷兰NCSC警告称该国关键OT系统容易遭受黑客攻击荷兰国家网络安全中心本周警告说,荷兰的关键服务可能成为勒索软件和与俄罗斯有联系的黑客攻击者的潜在目标,以此在该国制造大规模破坏。尽管俄罗斯入侵乌克兰并没有像预期那样立即引发高强度的攻击,但荷兰国家网络安全中心表示,与前几年相比,该国仍然遭受大量攻击。这些攻击包括来自与俄罗斯有政治关系的团体的勒索软件、黑客活动和间谍活动。尽管这些事件并未造成重大破坏,但该机构警告荷兰可能面临“动态、复杂和更广泛的威胁”,特别是在未来几年针对关键基础设施的威胁。该机构警告说,包括工业自动化和控制系统在内的该国运营技术网络尤其面临风险,因为它们往往“设计上不安全”。有关影响OT系统的漏洞的信息有限,组织正在考虑花费巨额成本来更换旧的OT系统。由于担心补丁可能会破坏操作系统的互操作性,组织还面临着修补新软件的挑战。该机构警告说,这些原因就是该行业如此容易受到黑客攻击的原因。为了降低风险,该机构敦促组织按照《2022-2028年荷兰网络安全战略》和拟议的《欧洲网络弹性法案》中的建议,通过网络分段来提高数字弹性,并执行漏洞管理。https://www.govinfosecurity.com/dutch-critical-ot-systems-vulnerable-to-hacks-a-22439
3、美国政府拟限制中国公司获取美云计算服务美国华尔街日报星期二(7月4日)援引消息人士的话报道,美国政府准备限制中国公司获取美国的云端服务,考虑要求云服务提供商获得政府许可后才能服务利用云平台开发和训练人工智能AI模型的中国公司。华尔街日报的报道说,新的规定一旦实施,将要求包括亚马逊及微软公司在内的美国云端服务提供商申请美国政府许可,获批后才能向中国公司提供使用了尖端人工智能芯片的云计算服务。彭博社表示,拜登政府计划强化去年10月宣布的半导体产品出口限制,对向中国出口某些人工智能芯片施加新的限制,以遏止中国开发对于其地缘政治及经济未来极为关键的技术。在美国商务部预计7月提出的更广泛的限制建议下,美国将修改出口管控,使向中国无许可证出售一些尖端芯片更加困难。这一举动主要是针对英伟达Nvidia为规避美国出口限制为中国市场特制的A800芯片。去年8月,美国政府对英伟达A100和H100两款计算加速卡实施禁令,不得销售给中国企业。很快,英伟达就推出专供中国市场的A800,在已有A100的基础上将NVLink高速互连总线的带宽从600GB/s降低到400GB/s,其他完全不变。这样,A800的大规模扩展互连将受到限制,但是单卡性能没有损失。路透社报道说,商务部、微软和亚马逊都没有立即回应置评请求。中国周一宣布将对广泛在半导体行业和芯片上、电动车及国防工业使用的某些金属实行出口管制。https://www.securitylab.ru/news/539599.php
4、CISA的新“CyberSentry”计划旨在加强工业控制系统安全美国正在通过新的网络安全和基础设施安全局计划进一步加强其关键基础设施的安全,该计划利用该机构先进的威胁检测和监控能力增强参与合作伙伴的网络弹性。美国网络安全和基础设施安全局上周公布了其CyberSentry计划的详细信息,该计划旨在对关键基础设施合作伙伴的信息技术和运营技术提供关键的、跨部门的实时监控。CyberSentry计划是拜登总统于2021年12月签署的《国防授权法案》中多项网络安全条款的一部分。该法案规定了7680亿美元的国防支出,包括各个国家和联邦机构的网络安全部分。该计划旨在通过监控影响IT和OT网络的已知和未知恶意活动,支持CISA保护美国关键基础设施网络运营商的努力,这些运营商支持电力和供水、银行和金融机构以及医疗保健等国家关键功能。CyberSentry计划基于CISA与参与的关键基础设施合作伙伴之间的共同协议。该计划是自愿的,不向参与合作伙伴收取任何额外费用或设备费用。根据该计划,CISA 利用敏感的政府信息,提供针对关键基础设施的网络威胁的可见性和缓解措施。从该计划中获得的见解和关键信息将用于全国合作伙伴的基础设施集体防御。CISA将在合作伙伴设施中战略性地集成其自己的硬件和软件堆栈,以便在不干扰运营的情况下获得IT/OT网络的可见性。当检测到网络安全事件时,该机构将通知合作伙伴并予以解决。如果需要,CISA分析师可以部署额外资源来实时搜寻活跃的网络威胁或为其CI合作伙伴提供其他支持。https://www.govinfosecurity.com/cisas-new-cybersentry-program-to-tighten-ics-security-a-22435
5、瑞典数据保护局警告公司不要使用Google Analytics继去年奥地利、法国和意大利采取类似行动后,瑞典数据保护监管机构警告企业不要使用谷歌分析,因为美国政府的监控带来风险。这一进展是在瑞典隐私保护局(IMY)对CDON、Coop、Dagens Industri和Tele2这四家公司发起审计之后发生的。IMY表示:“在审计中,IMY认为通过谷歌统计工具传输到美国的数据属于个人数据,因为这些数据可以与传输的其他独特数据相关联。”“当局还得出结论,这些公司采取的技术安全措施不足以确保基本上相当于欧盟/欧洲经济区所保证的保护水平。”数据保护机构还对瑞典电信服务提供商Tele2处以110万美元的罚款,对当地在线市场CDON未能在传输前实施足够的安全措施对数据进行匿名化的处以不到3万美元的罚款。此外,CDON、Coop和Dagens Industri已被勒令停止使用Google Analytics。据称Tele2已主动停止使用该服务。IMY补充说,此次调查是基于隐私非营利组织None of Your Business (noyb)提出的投诉,指控其违反了《通用数据保护条例》(GDPR)法律。该决定的根源在于,鉴于潜在的监视担忧,即存储在美国服务器中的数据可能会被该国情报机构访问,这种欧盟与美国之间的数据传输已被认定为非法。https://thehackernews.com/2023/07/swedish-data-protection-authority-warns.html
6、卡巴斯基报告显示公司对暗网数据泄露毫无准备卡巴斯基数字足迹情报团队的一份新报告显示,全球多家公司在应对暗网数据泄露时严重措手不及。该计划于2022年实施,追踪提供公司访问权限的暗网帖子、被盗账户和其他重大事件。卡巴斯基表示,它立即向受害公司通报了这些威胁。该公司特别证实已向全球258家公司发送了事件报告。在观察到的全球趋势中,欧洲公司最常受到影响,占需要立即关注的通知(66起报告事件)的25%以上。值得注意的是,涉及虚假、公开或通用数据的事件不被认为是可报告的。总体而言,该计划的结果显示,42%的公司缺乏专门的网络事件联络点,28%的公司表现出漠不关心,2%的公司完全否认这些事件。卡巴斯基表示,此类疏忽可能会导致处罚、财务损失和信任丧失,特别是在欧洲,因为严格的GDPR法规。然而,22%的公司做出了适当反应,承认信息并解决风险,而6% 的公司表现出主动监控和检测,表明事先意识到了事件。数字足迹情报部门负责人尤利娅·诺维科娃(Yuliya Novikova)对这些公司的反应表示担忧。“我们的倡议有关公司对暗网上数据泄露的反应的调查结果相当令人沮丧。只有三分之一的公司对这种情况做出了充分的反应,而大多数公司似乎都陷入了从无知到否认和无助的情绪旋风中。”诺维科娃还强调了暗网监控作为有价值且可访问的威胁情报数据来源的重要性。并称该资源能够立即响应安全事件,例如出售公司系统访问权限或数据泄露,最终有助于防止数据泄露。为了保护组织免受类似威胁,卡巴斯基专家建议保持所有设备上的软件更新并使用最新的威胁情报信息等策略。https://www.infosecurity-magazine.com/news/companies-unprepared-darknet-data/
7、今年已有33家美国医院遭受勒索软件攻击据Emsisoft称,今年迄今为止,至少有19个美国医疗保健组织(HCO)遭到勒索软件团伙的攻击。新西兰反恶意软件专家的威胁分析师Brett Callow昨天(7月3日)在推文中透露了这一消息。Callow声称,根据Emsisoft的数据,这19家提供商运营着33家医院,而这19家医院中至少有16家的数据被泄露。相比之下,去年全年影响美国医院的事件有25起,这似乎表明2023年受害率更高。然而,去年12月受影响的医院总数要高得多:290家。这是由于运营着近150家医院的CommonSpirit Health遭到攻击。去年,68%的案例发生了数据泄露,而2023年上半年这一比例为84%。违规事件不断发生。最近,卡洛在推特上透露,杰斐逊县卫生中心已被列入卡拉库特集团的泄密网站上。该组织声称窃取了俄克拉荷马州沃里卡市杰斐逊县医院超过1TB的数据,包括医疗记录、测试结果以及员工和患者的个人身份信息(PII)。最近遭受攻击的不仅仅是美国医院。Black Cat/ALPHV组织最近将Barts Health NHS Trust添加到其泄露网站,声称窃取了高达7TB的数据。该信托基金负责照顾东伦敦的250万人,其医院包括圣巴塞洛缪医院、伦敦皇家医院和Mile End医院等医院,据说正在紧急调查这些索赔。HCO 作伙伴也泄露了患者数据。Infosecurity报告称, 曼彻斯特大学的一次数据泄露事件似乎导致NHS号码和超过100万患者的其他信息遭到泄露。该大学显然是为了一个研究项目从 200家医院收集了信息。据Check Point统计,2023年第一季度,英国医疗保健行业的攻击未遂事件同比增长22%,平均每周1684 起。https://www.infosecurity-magazine.com/news/thirtythree-us-hospitals/
8、墨西哥黑客利用Android恶意软件攻击全球银行盗取35万欧元一名来自墨西哥的电子犯罪分子与2021年6月至2023年4月期间针对全球金融机构的Android移动恶意软件活动有关,但特别关注西班牙和智利的银行。据安全研究员Pol Thill称,该活动归因于代号为Neo_Net的攻击者。该研究结果由SentinelOne与vx-underground合作举办恶意软件研究挑战赛后发布。Thill表示:“尽管使用相对简单的工具,Neo_Net通过根据特定目标定制基础设施,取得了很高的成功率,导致受害者的银行账户被盗超过35万欧元,并泄露了数千名受害者的个人身份信息(PII)”。一些主要目标包括桑坦德银行、西班牙对外银行、CaixaBank、德意志银行、法国农业信贷银行和荷兰国际集团等银行。Neo_Net与居住在墨西哥的一名西班牙语演员有联系,已成为经验丰富的网络犯罪分子,从事网络钓鱼面板的销售、向第三方泄露受害者数据以及名为Ankarex的短信诈骗服务产品。多阶段攻击的初始切入点是短信网络钓鱼,其中威胁行为者采用各种恐吓策略来诱骗不知情的收件人点击虚假登陆页面,以通过Telegram机器人获取和窃取他们的凭据。“网络钓鱼页面是使用Neo_Net的面板PRIV8精心设置的,并实施了多种防御措施,包括阻止来自非移动用户代理的请求以及对机器人和网络扫描仪隐藏页面,”蒂尔解释道。“这些页面的设计非常类似于真正的银行应用程序,并配有动画以创建令人信服的外观。”据观察,威胁行为者还欺骗银行客户以安全软件为幌子安装流氓Android应用程序,这些应用程序一旦安装,就会请求SMS权限以捕获银行发送的基于SMS的双因素身份验证(2FA)代码。https://thehackernews.com/2023/07/mexico-based-hacker-targets-global.html
9、微软在欧盟陷入困境:Teams的未来存疑未来几个月,微软可能成为欧盟反垄断调查的目标。该公司与欧洲监管机构之间旨在防止出现这种结果的对话尝试遇到了严重障碍。路透社援引可靠消息来源报道了这一消息。过去10年,微软因将两种或多种产品的销售联系起来而违反欧盟竞争法,已缴纳了22亿欧元的罚款,如今该公司又重新成为欧盟关注的焦点。始作俑者是被Salesforce收购的Slack的2020年呼吁。2017年,微软将Teams免费添加到Office 365中,该应用程序从此成为Skype for Business的替代品。Slack声称来自微软的不公平竞争,指责该公司不公平地将Teams工作聊天和视频应用程序集成到其Office产品中。Slack代表没有发表评论。去年,微软开始与欧盟委员会谈判,试图阻止调查。该公司最近提出降低其Office产品的价格,但不包括Teams应用程序。消息人士称,为了为竞争对手提供公平的竞争环境并为消费者提供更多选择,欧盟委员会正在要求微软进一步降价。欧盟委员会的代表没有发表评论。微软发言人表示,作为调查的一部分,该公司将继续积极与委员会合作,并对能够满足委员会目标并服务于客户利益的务实解决方案持开放态度。如果微软被判违反欧盟反垄断规则,将面临高达其全球营业额10%的罚款。然而,在监管机构展开调查之前,该公司有机会改进其报价。Slack的2020年投诉指责微软将Teams应用程序与Office 365工具不当捆绑。Slack指控微软强迫Office用户安装Teams软件,阻止其删除,并阻止与竞争对手进行某些类型的交互。https://www.securitylab.ru/news/539592.php
10、谷歌希望根据用户数据训练其人工智能模型谷歌每个月都越来越关注人工智能的发展。在2023年7月1日更新的隐私政策中,该公司强调了其使用用户数据训练其人工智能模型的能力。说实话,谷歌早就有权收集用户数据并将其用于“商业目的”。其中包括“研究和开发”,长期以来涵盖了谷歌翻译等产品的改进和创建。然而现在,在最新的政策更新中,谷歌将其人工智能模型纳入了收集数据的用途列表中。这也意味着谷歌可以利用这些数据来训练Bard和Cloud AI等与人工智能相关的产品。更新后的隐私政策现在写道:“谷歌利用信息来改进其服务并开发有利于用户和社会的新产品、功能和技术。例如,我们利用公开信息来训练Google AI模型,并创建Google Translate、Bard和Cloud AI等产品和功能。”在文档的其他地方,谷歌还指出,公开信息可用于训练这些模型:“例如,我们可能会收集在线或其他公共来源提供的信息,以帮助训练谷歌人工智能模型并构建产品和功能,例如如Google Translate、Bard和Cloud AI。或者,如果有关您的业务的信息出现在网站上,我们可以将其编入索引并将其显示在Google服务中。”尽管如此,这一切并不意味着谷歌计划使用其用户的个人数据来训练人工智能模型。这只是关于公共信息。无论如何,这种情况都会发生,随着ChatGPT 和其他人工智能模型的出现,这一点已经变得很清楚。然而,谷歌的新政策明确表明,该公司打算对自己的用户数据采取同样的做法。透明度永远不够,公司决定正式修改其隐私政策是件好事。https://www.securitylab.ru/news/539565.php
11、德克萨斯州沃斯堡市的官员再次否认遭到黑客攻击在同一网络犯罪组织发布了另一批据称从政府网络窃取的信息后,德克萨斯州沃斯堡市的官员再次否认遭到黑客攻击。周六(7月1日),SiegedSec黑客组织表示,其“最后”攻击涉及从沃斯堡交通和公共工程部窃取的40GB数据。该组织分享了该市使用的文件传输服务的屏幕截图,该市有近100万居民。该组织泄露了这些数据以及从几家公司窃取的信息。在之前对沃斯堡市和美国其他地方政府的攻击中,黑客声称他们的动机是惩罚禁止性别肯定护理的美国各州。一些专家对这种动机提出质疑,并在随后的攻击中,该组织将目标瞄准了尚未禁止这种做法的州。“这将是SiegedSec对美国的攻击的结束,”该组织周六表示。“我们整个行动的目的是发表声明并鼓励其他人也这样做。我们自豪地成功实现了我们的目标。直到下一次。”沃斯堡市发言人最初表示,他们的IT部门正在调查这一问题,但沃斯堡市助理城市经理费尔南多·科斯塔 (Fernando Costa) 后来告诉Recorded Future News,该市的IT部门已确定发布的数据“包含不构成身份风险的公共信息”盗窃或财务欺诈。”“IT工作人员验证了数据来源是之前根据《公共信息法》要求发布的数据。底层服务器、数据库和存储再次没有受到损害,”IT部门表示。“攻击组织发布的所有数据都是公共信息,而不是可能导致身份盗窃或财务欺诈的敏感信息。”上周,该市证实,一个包含政府信息的网站被同一组黑客攻破并访问。但他们在向媒体发表的评论中淡化了该事件的严重性,并解释说这些数据来自城市工作人员用来管理维护活动的网站。https://therecord.media/fort-worth-officials-say-leaked-data-was-public
12、多措并举实现海底电缆网络的网络弹性媒体报道强调,俄罗斯试图破坏北欧关键的海底光缆,这是削弱西方经济和破坏国家安全战略的邪恶战略的一部分。4月9日,丹麦、芬兰、挪威和瑞典的国家广播公司播出了一系列节目,暗示俄罗斯政府实施了一项秘密行动,破坏该地区的海底电缆。据报道,俄罗斯已经在北海运营了一支由秘密水面(和水下)船只组成的舰队,冒充商业拖网渔船和研究船,负责识别海底电缆。最近,英国《金融时报》报道称,去年俄罗斯与欧洲之间的天然气管道被炸毁前几天,有人观察到几艘俄罗斯军舰靠近北溪管道。北欧广播公司还指出,俄罗斯“幽灵船”已经在北欧运行,通过关闭用于跟踪海上交通的强制自动识别系统(AIS)来避免被发现。如今,全球有400多条海底电缆活跃,通常集中在大西洋、地中海和北太平洋。在数字时代,海底电缆负责传输全球90%以上的数据,以支持各种用例,包括通信、经济和金融交易。它们对于支持使用它们来共享重要通信的政府的国家和国际安全战略也至关重要。这个全球海底电缆网络几乎完全由一些私营企业拥有和运营,其中包括法国的阿尔卡特海底网络、中国的华为海洋网络、日本的NEC和美国的SubCom。市场还见证了亚马逊、Facebook、谷歌和微软等公司的投资水平不断增加,所有这些公司都在寻求确保全球数据中心互连的安全。政府可以采取多种行动来保护海底电缆网络,可能采取的措施包括:鼓励加强国际合作,共享情报并成功发现和阻止威胁;要求私营部门运营商提高安全性;对海底电缆实施更有效、实时的监控和修复。最有效的还是连接多样化——实施一个安全且有弹性的网络网络,以海底电缆、高频通信和多轨道卫星通信为特色,特别是低地球轨道(LEO),可以提供弹性用于最高优先级的流量。https://www.infosecurity-magazine.com/opinions/cyber-resilience-undersea-cable/
THE END
往期推荐
冷观网域风云激荡
智察数字安全博弈
THINK LIKE A HACKER
ACT LIKE AN ENGINEER
Cyber Intelligence Insight
Digital Security Enhencement