普普安全資訊一周概覽(0805-0811)

作者:

時(shí)間:
2023-08-11


01

國家網(wǎng)信辦:處理超過(guò)百萬(wàn)人個(gè)人信息每年至少開(kāi)展一次合規審計


《管理辦法》提出,處理超過(guò)100萬(wàn)人個(gè)人信息的個(gè)人信息處理者,應當每年至少開(kāi)展一次個(gè)人信息保護合規審計;其他個(gè)人信息處理者應當每二年至少開(kāi)展一次個(gè)人信息保護合規審計;對個(gè)人信息處理者在公共場(chǎng)所安裝圖像采集、個(gè)人身份識別設備的,應當重點(diǎn)對其安裝圖像采集、個(gè)人信息身份識別設備的合法性及所收集個(gè)人信息的用途進(jìn)行審查,審查內容包括但不限于:是否為維護公共安全所必需,是否存在為商業(yè)目的處理所采集信息的情況;是否設置了顯著(zhù)的提示標志;若個(gè)人信息處理者所收集的個(gè)人圖像、身份識別信息用于維護公共安全以外用途的,是否取得個(gè)人單獨同意。大型互聯(lián)網(wǎng)平臺運營(yíng)者應當成立主要由外部成員組成的獨立機構對個(gè)人信息保護情況進(jìn)行監督。審計時(shí),應當對獨立機構的獨立性、履職能力、監督作用等進(jìn)行評價(jià)。


普普點(diǎn)評

家網(wǎng)信部門(mén)會(huì )同公安機關(guān)等國務(wù)院有關(guān)部門(mén)按照統籌規劃、合理布局、擇優(yōu)推薦的原則建立個(gè)人信息保護合規審計專(zhuān)業(yè)機構推薦目錄,每年組織開(kāi)展個(gè)人信息保護合規審計專(zhuān)業(yè)機構評估評價(jià),并根據評估評價(jià)情況動(dòng)態(tài)調整個(gè)人信息保護合規審計專(zhuān)業(yè)機構推薦目錄。





02

微軟借助GPT-4打造安全運營(yíng)助手

7月,微軟宣布擴大其基于GPT-4的安全運營(yíng)中心AI助手Security Copilot服務(wù)訪(fǎng)問(wèn)范圍,將有更多客戶(hù)和一些技術(shù)合作伙伴可以使用這款AI助手。Security Copilot將在今年秋天進(jìn)入其官方“早期訪(fǎng)問(wèn)預覽”窗口,取代微軟目前的私人預覽版并添加一些新功能。Microsoft Security Copilot 是一款基于 AI 的安全分析工具,使分析師能夠快速響應威脅、以機器速度處理警報并在幾分鐘內評估風(fēng)險暴露。目前可用的版本包含了用戶(hù)反饋并添加了“提示手冊”(供安全專(zhuān)業(yè)人員開(kāi)啟分析流程的一系列常用AI提示),以及常用網(wǎng)絡(luò )安全工具集成以簡(jiǎn)化操作。微軟副總裁兼AI安全架構師Chang Kawaguchi表示,其目的是提高安全團隊的效率,緩解安全人才短缺的壓力,并簡(jiǎn)化通常十分復雜的安全活動(dòng)。

普普點(diǎn)評

推出LLM網(wǎng)絡(luò )安全助手的公司不少,微軟是最近官宣的一家。在8月舉行的美國黑帽大會(huì )上,Google Cloud的安全專(zhuān)業(yè)人員將探討該公司如何運用大語(yǔ)言模型分析其Mandiant事件響應小組的威脅。而在5月,CrowdStrike推出了其自有的生成式AI助手Charlotte,企業(yè)可通過(guò)向此網(wǎng)絡(luò )安全服務(wù)提問(wèn)來(lái)學(xué)習。這么做可以更快做出更明智的決策,還可以增強本沒(méi)有時(shí)間大力發(fā)展的能力。





03

工業(yè)和信息化部 國家標準化管理委員會(huì )印發(fā)《國家車(chē)聯(lián)網(wǎng)產(chǎn)業(yè)標準體系建設指南(智能網(wǎng)聯(lián)汽車(chē))(2023版)》

為加強網(wǎng)絡(luò )安全國家標準在國家網(wǎng)絡(luò )安全保障工作中的基礎性、規范性、引領(lǐng)性作用,全國信息安全標準化技術(shù)委員會(huì )(簡(jiǎn)稱(chēng)“信安標委”)秘書(shū)處堅持問(wèn)題導向,調研國家網(wǎng)絡(luò )安全重點(diǎn)工作和技術(shù)產(chǎn)業(yè)發(fā)展需求,研究形成了2023年度第二批網(wǎng)絡(luò )安全國家標準需求清單。為充分發(fā)揮標準在車(chē)聯(lián)網(wǎng)產(chǎn)業(yè)生態(tài)環(huán)境構建中的引領(lǐng)和規范作用,適應我國智能網(wǎng)聯(lián)汽車(chē)發(fā)展的新趨勢、新特征和新需求,加快構建新型智能網(wǎng)聯(lián)汽車(chē)標準體系,工業(yè)和信息化部、國家標準化管理委員會(huì )聯(lián)合修訂形成《國家車(chē)聯(lián)網(wǎng)產(chǎn)業(yè)標準體系建設指南(智能網(wǎng)聯(lián)汽車(chē))(2023版)》。
??

普普點(diǎn)評

下一步,工業(yè)和信息化部將深入推進(jìn)智能網(wǎng)聯(lián)汽車(chē)標準體系建設,繼續指導全國汽標委智能網(wǎng)聯(lián)汽車(chē)分標委(SAC/TC114/SC34)及有關(guān)單位,加大在功能安全、網(wǎng)絡(luò )安全、操作系統等重點(diǎn)領(lǐng)域的標準研制力度,積極參與國際標準法規協(xié)調制定,推進(jìn)關(guān)鍵標準的宣貫實(shí)施,加快新能源汽車(chē)與信息通信、智能交通、智慧城市等融合發(fā)展,通過(guò)標準引導推動(dòng)我國智能網(wǎng)聯(lián)汽車(chē)產(chǎn)業(yè)高質(zhì)量發(fā)展。





04

我國牽頭提出的國際標準《網(wǎng)絡(luò )安全 工業(yè)互聯(lián)網(wǎng)平臺安全參考模型》正式發(fā)布

2023年7月,我國牽頭提出的國際標準ISO/IEC 24392:2023《網(wǎng)絡(luò )安全 工業(yè)互聯(lián)網(wǎng)平臺安全參考模型》正式發(fā)布。該提案于2018年4月提交至ISO/IEC JTC1/SC27,后經(jīng)研究,于2019年6月正式立項;2023年7月正式發(fā)布。我國3名專(zhuān)家擔任該國際標準提案的編輯和聯(lián)合編輯。ISO/IEC 24392作為首個(gè)工業(yè)互聯(lián)網(wǎng)安全領(lǐng)域的國際標準,基于工業(yè)互聯(lián)網(wǎng)平臺安全域、系統生命周期和業(yè)務(wù)場(chǎng)景三個(gè)視角構建了工業(yè)互聯(lián)網(wǎng)平臺安全參考模型。

普普點(diǎn)評

該國際標準用于解決工業(yè)互聯(lián)網(wǎng)應用和發(fā)展過(guò)程中的平臺安全問(wèn)題,可以系統指導工業(yè)互聯(lián)網(wǎng)企業(yè)及相關(guān)研究機構,針對不同的工業(yè)場(chǎng)景,分析工業(yè)互聯(lián)網(wǎng)平臺的安全目標,設計工業(yè)互聯(lián)網(wǎng)平臺安全防御措施,增強工業(yè)互聯(lián)網(wǎng)平臺基礎設施的安全性。



05

研究人員發(fā)現特斯拉汽車(chē)能被越獄,可免費解鎖付費功能

柏林工業(yè)大學(xué)的研究人員開(kāi)發(fā)出一種新技術(shù),可以破解特斯拉近期推出所有車(chē)型上使用的基于 AMD 的信息娛樂(lè )系統,并使其運行包括付費項目在內的任何軟件。實(shí)驗過(guò)程中,研究人員提取特斯拉在其服務(wù)網(wǎng)絡(luò )中用于汽車(chē)身份驗證的唯一硬件綁定 RSA 密鑰,并通過(guò)電壓故障激活軟件鎖定的座椅加熱和 “加速度提升”等付費功能。研究人員之所以能夠利用基于該團隊之前 AMD 研究的技術(shù)入侵信息娛樂(lè )系統,是發(fā)現了故障注入攻擊可以從平臺中提取機密。特斯拉的信息娛樂(lè ) APU 基于易受攻擊的 AMD Zen 1 CPU,研究人員解釋稱(chēng)為此正在對 AMD 安全處理器(ASP)使用已知的電壓故障注入攻擊,作為系統信任的根源。研究人員介紹了如何使用低成本的非自帶硬件來(lái)安裝閃爍攻擊,以顛覆 ASP 的早期啟動(dòng)代碼。然后,展示了如何逆向設計啟動(dòng)流程,從而在他們的恢復和生產(chǎn) Linux 發(fā)行版上獲得 root shell'。

普普點(diǎn)評

研究人員已經(jīng)負責任地向特斯拉披露了他們的發(fā)現,汽車(chē)制造商正在對發(fā)現的問(wèn)題進(jìn)行補救。特斯拉在接到警示后通知研究人員他們啟用后座加熱器的概念驗證是基于舊版本的固件,在較新的版本中,只有在特斯拉提供有效簽名(并由網(wǎng)關(guān)檢查/強制執行)的情況下,才能對該配置項進(jìn)行更新。在最新特斯拉軟件更新中,密鑰提取攻擊仍然有效,這個(gè)漏洞目前仍然可以被潛在的攻擊者利用。



06

谷歌:安卓惡意軟件通過(guò)版本控制潛藏在Google Play商店

谷歌云安全團隊近日表示,惡意行為者在躲過(guò)Google Play商店的審查流程和安全控制后,會(huì )使用一種被稱(chēng)為版本控制的常見(jiàn)策略,在A(yíng)ndroid設備上植入惡意軟件。該技術(shù)通過(guò)向已安裝的應用程序提供更新來(lái)引入惡意有效負載,或者通過(guò)所謂的動(dòng)態(tài)代碼加載(DCL)從威脅參與者控制的服務(wù)器加載惡意代碼。它允許攻擊者繞過(guò)應用商店的靜態(tài)分析檢查,在A(yíng)ndroid設備上以原生、Dalvik或JavaScript代碼的形式部署有效負載。谷歌在今年的威脅趨勢報告中提到:惡意行為者試圖規避 Google Play 安全控制的一種方式是版本控制。比如,開(kāi)發(fā)者會(huì )在Google Play應用商店發(fā)布一個(gè)看似合法并通過(guò)谷歌檢查的應用程序初始版本,但隨后用戶(hù)會(huì )收到來(lái)自第三方服務(wù)器的更新提示,這時(shí)候終端用戶(hù)設備上的代碼會(huì )被改變,這樣威脅者就可以實(shí)施惡意活動(dòng),從而實(shí)現版本控制。

普普點(diǎn)評

為了躲避 Play Store 系統的檢測,SharkBot 的威脅制造者采用了一種現在常見(jiàn)的策略,即在 Google Play 上發(fā)布功能有限的版本,掩蓋其應用程序的可疑性質(zhì)。然而,一旦用戶(hù)下載了木馬應用程序,就會(huì )下載完整版的惡意軟件。這種方法能有效破解谷歌的應用程序分析工具,使其無(wú)法掃描惡意 APK(安卓應用程序包)。因此,盡管這些有害的 APK 被標記為無(wú)效,仍能成功安裝到用戶(hù)的設備上。



07

網(wǎng)絡(luò )犯罪分子正在訓練新的AI以協(xié)助網(wǎng)絡(luò )釣魚(yú)和惡意軟件攻擊

據網(wǎng)絡(luò )安全公司SlashNext報道,繼以惡意軟件為重點(diǎn)數據進(jìn)行訓練的WormGPT之后,又有一款名為FraudGPT的新一代生成式人工智能黑客工具面世。據稱(chēng),這兩款AI聊天機器人能為網(wǎng)絡(luò )犯罪分子在網(wǎng)絡(luò )釣魚(yú)、社交工程、漏洞利用和惡意軟件創(chuàng )建等惡意目的上提供協(xié)助。7月25日,一個(gè)名為CanadianKingpin12的用戶(hù)在各種黑客論壇上對FraudGPT進(jìn)行了宣傳,該用戶(hù)表示該工具主要面向黑客、欺詐者和垃圾郵件發(fā)送者。其還聲稱(chēng)該聊天機器人具有以下功能:編寫(xiě)惡意代碼、創(chuàng )建不被檢測到的惡意軟件、創(chuàng )建釣魚(yú)頁(yè)面、創(chuàng )建黑客工具、查找泄露及漏洞、學(xué)習編碼/黑客技術(shù)等。SlashNext研究人員的調查顯示,CanadianKingpin12正在積極訓練新的聊天機器人DarkBART,并將其介紹為谷歌生成式人工智能聊天機器人Bard的“黑暗版本”,使用從暗網(wǎng)獲取的數據集進(jìn)行訓練。

普普點(diǎn)評


這些惡意軟件據稱(chēng)能夠用于:創(chuàng )建針對人們的密碼和信用卡詳細信息的復雜網(wǎng)絡(luò )釣魚(yú)活動(dòng);執行高級社交工程攻擊,獲取敏感信息或未經(jīng)授權訪(fǎng)問(wèn)系統和網(wǎng)絡(luò );利用計算機系統、軟件和網(wǎng)絡(luò )的漏洞;創(chuàng )建并分發(fā)惡意軟件;利用零日漏洞獲取財務(wù)利益或破壞系統等。這項調查研究表明,網(wǎng)絡(luò )犯罪分子使用生成式AI聊天機器人的趨勢正在增長(cháng),在這些工具的協(xié)助下,原本技術(shù)水平欠缺的黑客也能實(shí)施更惡劣影響更廣泛的攻擊,可能會(huì )對網(wǎng)絡(luò )安全和網(wǎng)絡(luò )犯罪格局產(chǎn)生重大影響。