一周安全头条(20190414-0420)
作者:星期六, 四月 20, 20190

政策法规 国有资产保护 央企考核标准2019年3月7日,国务院国有资产监督管理委员会发布了新版《中央企业负责人经营业绩考核办法》,该办法将于自2019年4月1日起施行。与旧版的考核办法不同的是,新的考核办法中增加了对网络安全事件的考核要求。据悉,随着新办法的落地实施,将极大的增强相关企业负责人的网络安全意识并增加网络安全相关的投入,为《网络安全法》的贯彻落实提供支撑,为专业从事网络安全的企业或机构带来新的机遇。

国家安全 俄罗斯俄罗斯周二通过一项法案,政府将有能力进一步控制网络。该法案通过后,俄罗斯政府将可以在服务器上安装设备来监控俄罗斯内部网络流量。政府可以通过这个方式进行信息监控,并且封锁信息类应用。

调查报告 风险量化标准近日,埃森哲公司和波耐蒙研究所的《网络犯罪成本研究》量化了最能节省成本的安全技术。两家机构对355家公司的2,600位高级主管进行了调查访问,指明了减去技术投资之后还能降低成本的安全技术,包括威胁情报、自动化与分析,以及身份与访问管理等,但报告同时指出基础网络安全也同样值得关注。

调查报告 公共基础设施安全近日,网络安全公司Tenable联合波耐蒙研究所发布调查报告。此次,报告调查对象涵盖美国、英国、德国、澳大利亚、墨西哥和日本的700多位IT安全决策者,涉及能源与公共设施、工业与制造业、医药行业和交通运输业。调查结果显示,90%的受访者承认在过去两年间至少遭遇过一次破坏性网络攻击,接近2/3的受访者遭遇过至少两次;半数受访者称其OT基础设施经历过导致工厂和运营设备宕机的攻击;很多公司企业还承认因网络攻击而遭遇了严重的业务中断和宕机。甚至,近1/4的受访者认为自身被民族国家黑客盯上了。

硬件安全 英特尔英特尔周二发布了自己的第八代Intel Core vPro手机处理器。新的处理器不仅在性能上大大增强,同时也增加了新的安全功能来应对固件攻击。新处理器使用了Hardware Shield功能,从而不需要任何额外IT架构就能进行保护。

安全工具 FireEye安全公司FireEye本周发布名为FLASHMINGO的开源工具,可以自动化分析Flash文件,并识别恶意软件以及防止病毒入侵。该工具的本质是大量SWFObject插件的集成,从而获取各种信息,进而识别可疑方式名称、常数、循环等。

安全罚款 FortinetFortinet因“告密”事件被美国政府罚款54.5万美元。在2009年到2016年期间,一名Fortinet的前雇员被指使将“原产地”标签进行修改,从而满足美国的贸易协定法(TAA);部分商品被重新售卖给美国政府用户。而在2016年1月,其中一名员工和美国政府一起发起诉讼,表示自己受上级指使,进行了上述行为。

漏洞补丁 WPA3 边信道攻击 降级攻击近日,研究人员曝光了5种不同边信道和降级攻击方法,并表示可借此侵入受WPA3保护的WiFi网络,进而通过协议握手时推测出受害者的密码、个人信息。据悉,两名研究人员已私下向WiFi联盟和计算机应急响应小组(CERT/CC)报告了此问题,确保供应商有时间在公开披露前进行修复。

漏洞补丁  甲骨文甲骨文周二发布了自己的季度补丁,在多个企业级产品,修复了包括MySQL、Database、Fusion等产品上296个漏洞。尤其对Java SE而言,不仅修复了5个漏洞,同时发布了新了证书条款。其中,对于个人用户以及开发者用户而言,依然可以使用免费Java SE;对于企业用户,他们可以继续使用免费版本,但是如果他们希望获得一些关键的安全更新,则需要进行订阅。

漏洞补丁 思科思科本周发布了四月中旬的安全警报,共有31个安全建议以及告警。其中,2个高危、6个有较大影响、23个有中等风险。大部分的中等风险警告都涉及XSS、DoS、以及未认证的访问。而两个高危漏洞分别存在于思科的集群管理协议(CMP)以及在ASR 9000系列路由器上的虚拟机。第一个漏洞已经有补丁进行修复。第二个漏洞会使攻击者接入虚拟机上运行的应用。这个漏洞也已经在之前的软件发布中被修复,并且暂时并没有发现有攻击者进行使用。

黑客攻击 TRITON恶意软件近日,曾蓄谋发动2017年阿拉伯石油工厂爆炸事件的TRITON恶意软件框架被发现又对其他工业目标下手了。目前,火眼在其网站上发布了TRITON最新的战术、技术和流程(TTP),并将其杀伤链发布到了 MITRE ATT&CK 框架。

数据泄露 亚马逊 Alexa  

近日,亚马逊被曝偷偷收集用户语音片段,并发往训练团队以改善Alexa的语音识别功能。据悉,亚马逊已经在罗马尼亚雇佣了一只庞大的分析师大军队伍,旨在帮助该声控助手响应用户指令。截至目前,亚马逊之前从未承认过该该消息的真实性,也未公开过对训练Alexa的语音识别功能的人工干预的程度。

数据泄露 微软 邮件安全近日,微软发布声明称其客户支持账户遭黑客入侵长达数月,部分用户电子邮件账户信息及邮件内容被泄露。据悉,泄露信息包含用户出生日期、电子邮件文件夹名称、主题行、用户通信录中电子邮件地址名称等,电子邮件及附件内容不受影响。截至目前,微软尚未披露受影响用户总数,但已通过禁用受破坏凭据来阻止黑客入侵,专家建议用户重置密码以保护隐私数据.

数据泄露 FBI一个和FBI相关的非营利性机构数据库遭到黑客攻击,造成上千名执法人员以及相关其他人员的个人信息被泄露。其中包括了1,400名FBI、秘密机构、高速警察、停车巡警、以及北卡和佛罗里达州警察的姓名、邮箱和电话信息;总共有23,000人的信息被泄露。

 

分享:
0

相关文章

写一条评论

 

 

0条评论