《终端计算机通用安全技术规范》等3项网络安全国家标准获批发布;施耐德电气开发平台遭入侵,40GB敏感数据恐遭泄露 | 牛览
作者: 日期:2024年11月06日 阅:1,039


新闻速览

•《终端计算机通用安全技术规范》等3项网络安全国家标准获批发布

•OWASP推出三大AI应用安全指南 全方位应对生成式AI风险

•美国联邦机构发布全新零信任数据安全指南

•突破性进展!Google  AI首次发现SQLite内存漏洞

•2024网络威胁检测现状调查:专业化工具需求正在快速提升

•微软确认Windows  Server 2025系统安装存在蓝屏问题,256核以上配置需谨慎

•施耐德电气开发平台遭入侵,40GB敏感数据恐遭泄露

•警惕!新型钓鱼攻击利用Linux虚拟机入侵Windows系统

•麻省理工技术评论遭黑客入侵,29万用户数据或泄露

特别关注

《终端计算机通用安全技术规范》等3项网络安全国家标准获批发布

根据2024年10月26日国家市场监督管理总局、国家标准化管理委员会发布的中华人民共和国国家标准公告(2024年第24号),全国网络安全标准化技术委员会归口的3项网络安全国家标准正式发布。具体清单如下:

原文链接:

https://mp.weixin.qq.com/s/k-8W75M4HrN8is8iQjeEmQ

OWASP推出三大AI应用安全指南 全方位应对生成式AI风险

OWASP近日发布了一系列安全指导材料,旨在帮助各组织识别和管理与大语言模型(LLM)及生成式人工智能(GenAI)应用相关的安全风险。这些指导材料是OWASP LLM应用安全Top 10项目的重要组成部分,该项目自2023年启动以来,已发布多项研究成果和指导资源。

本次发布的指导材料包含三个重要部分:一是《深度伪造事件准备和响应指南》,该指南详细阐述了”高度逼真的数字伪造”所带来的安全挑战,并提供了切实可行的防御策略;二是《卓越中心指南》,重点指导企业如何建立AI安全最佳实践框架,协调安全、法律、数据科学和运营等部门的工作,并制定相应的安全政策;三是《AI安全解决方案全景指南》,该指南全面介绍了如何保护开源和商业LLM及GenAI应用的安全,并就Top 10风险清单中识别出的威胁提供了应对建议。

该项目负责人Steve Wilson表示:”在生成式AI蓬勃发展的两年间,攻击者正在利用AI变得更加智能和快速。安全领导者和软件开发人员也需要与时俱进。我们的新资源将为各组织提供必要的工具,以应对这些日益复杂的威胁。”

原文链接:

https://www.darkreading.com/application-security/owasp-releases-ai-security-guidance

美国联邦机构发布全新零信任数据安全指南

美国联邦首席数据官(CDO)和首席信息安全官(CISO)委员会近日联合发布了一份全新的联邦零信任指导文件,重点关注数据安全加强工作。据FedScoop报道,该指南的发布恰逢各联邦机构需要向国家网络主任办公室和管理预算办公室提交更新后的零信任采用计划之际。

这份指导文件不仅详细阐述了数据保护措施以及数据识别、定义和分类技术,还重点强调了网络安全威胁、数据存储故障等相关安全风险,并提供了数据实践的最佳建议。

联邦能源监管委员会CDO兼CDO委员会主席Kirsten Dalboe表示:”本指南凝聚了一线机构从业者在实施零信任和保护组织数据方面的宝贵经验。我们正在建立数据与网络安全之间的协作关系,以应对这一政府范围内的挑战,最终确保公众数据的安全。”

原文链接:

https://www.scworld.com/brief/new-federal-zero-trust-guide-focuses-on-data-security

热点观察

突破性进展!Google AI首次发现SQLite内存漏洞

日前,由Google Project Zero和Deep Mind团队合作开发的”Big Sleep”大语言模型(LLM)项目,在广泛使用的开源数据库引擎SQLite的生产版本中发现了一个内存安全漏洞,这是该类AI工具首次取得的重大突破。

据介绍,Big Sleep在SQLite的公开发布版本代码中发现了一个潜在的边缘情况模式,这需要所有使用该字段的代码进行特殊处理。在处理包含”rowid”列约束的查询时,代码中的一个函数未能正确处理这一边缘情况,导致出现可利用的堆栈缓冲区下溢漏洞。Google已于10月初向SQLite开发团队报告了这一漏洞,开发团队当天就完成了修复,在正式版本发布前解决了这一问题。

Google指出,虽然模糊测试(Fuzzing)已显著减少了生产软件中的漏洞,但变体分析更适合当前的LLM,因为它为搜索提供了明确的起点。Google Big Sleep虽然仍处于研究阶段,但其成功表明AI在软件漏洞发现方面具有巨大潜力,这可能最终帮助防御者获得不对称优势。

原文链接:

https://www.darkreading.com/application-security/google-big-sleep-ai-agent-sqlite-software-bug

2024网络威胁检测现状调查:专业化工具需求正在快速提升

网络安全专业调研机构Cybersecurity Insiders针对其60万信息安全社区成员开展的最新调查显示,尽管平台化在2024年备受关注,但安全专业人员更倾向于使用先进的专业化工具来应对日益严峻的安全挑战,包括严重的告警疲劳、网络可见性持续下降以及网络攻击日趋复杂等问题。

调查重点关注了基于网络的威胁检测(NTD)解决方案,如基于网络的入侵检测系统(NIDS)和基于网络的威胁检测与响应(NDR)等工具的应用现状。研究结果显示,虽然NTD工具已被广泛部署并获得积极评价,但仍需进一步发展以应对当前和未来的安全挑战。

调查发现,告警优先级确定是安全团队面临的首要运营挑战,而告警的准确性和可操作性则被认为是NIDS系统最大的问题。在可见性方面,全球攻击面可见性不足或较差是第二大运营挑战,55%的受访者表示加密流量这一主要网络盲点正在对安全产生负面影响。

在产品升级需求方面,71%的受访者认为AI集成对抗击高级威胁极其重要,而自动威胁评分和优先级排序被视为网络威胁检测解决方案的首要功能。在部署计划方面,66%的组织计划在未来6至24个月内实施异常检测,而目前仅有17%的组织的NTD解决方案具备此功能。此外,59%的受访者更倾向于独立的NTD解决方案(如DPI传感器、NIDS、NDR、XDR),而非集成在多功能安全平台(如SASE、SSE)中的NTD。

原文链接:

微软确认Windows Server 2025系统安装存在蓝屏问题,256核以上配置需谨慎

Windows Server 2025已正式发布,用户可以通过Microsoft Evaluation Center获取180天免费试用版。不过微软近日确认,在搭载超过256个逻辑处理器的Windows Server 2025系统上出现多个导致安装失败和蓝屏死机(BSOD)的问题。根据Windows发布健康状态更新显示,受影响的系统可能会出现安装或升级过程失败或卡死,服务器启动和重启时间可能长达三个小时或更久,同时在启动、重启或尝试运行应用程序时可能出现蓝屏。

用户可以通过使用“CTRL+SHIFT+ESC”快捷键打开Windows任务管理器,在性能选项卡中查看逻辑处理器数量,以确定系统是否受到这些已知问题的影响。微软表示正在开发修复方案,将通过即将发布的Windows月度更新提供。在修复方案发布之前,管理员可以通过将受影响设备的逻辑处理器数量限制在256个或更少来规避这些问题。

此外,微软还提到,使用CD或USB等特定媒体安装Windows Server 2025时,无论选择何种语言,部分文本可能会以英语显示。同时,在iSCSI环境中安装Windows Server 2025后可能出现启动问题,受影响的系统会显示”boot device inaccessible”错误。

原文链接:

https://www.bleepingcomputer.com/news/microsoft/microsoft-confirms-windows-server-2025-blue-screen-install-issues/

网络攻击

施耐德电气开发平台遭入侵,40GB敏感数据恐遭泄露

施耐德电气近日确认,公司的一个开发者平台遭到入侵,黑客声称从该公司的JIRA服务器窃取了40GB数据。施耐德电气表示,该公司正在调查一起针对其内部项目执行跟踪平台的网络安全事件,该平台位于隔离环境中。施耐德电气全球事件响应团队已立即投入应对,目前该公司的产品和服务均未受到影响。

作为一家法国跨国公司,施耐德电气主要生产能源和自动化产品,产品范围涵盖从大型商场销售的家用电气组件到企业级工业控制和楼宇自动化产品。不久前,一名自称”Grep”的威胁行为者在社交平台X上宣称,其使用暴露的凭证入侵了施耐德电气的Jira服务器;获取访问权限后,他们使用MiniOrange REST API抓取了40万行用户数据,其中包括7.5万个独特的电子邮件地址,以及施耐德电气员工和客户的完整姓名。

值得注意的是,Grep还表示,他们最近成立了一个名为国际合约机构(ICA)的新黑客组织,该名称源自游戏《杀手:代号47》。该组织声称不会勒索被入侵的公司,但如果公司在48小时内不承认遭到入侵,他们就会泄露所窃取的数据。

原文链接:

https://www.bleepingcomputer.com/news/security/schneider-electric-confirms-dev-platform-breach-after-hacker-steals-data/

警惕!新型钓鱼攻击利用Linux虚拟机入侵Windows系统

安全研究人员最新发现了一种代号为”CRON#TRAP”的新型网络钓鱼攻击活动,攻击者通过在Windows系统中安装预装后门的Linux虚拟机,以获取对企业网络的隐蔽访问权限。

Securonix研究人员报告,这次攻击以”OneAmerica survey”为诱饵发送钓鱼邮件,其中包含一个285MB的ZIP压缩包,用于安装带有预装后门的Linux虚拟机。该压缩包包含一个名为”OneAmerica Survey.lnk”的Windows快捷方式和一个”data”文件夹,其中QEMU虚拟机应用程序的主要可执行文件被伪装成fontdiag.exe。当用户点击快捷方式时,系统会执行PowerShell命令将下载的压缩包解压,并启动”start.bat”来安装和运行定制的QEMU Linux虚拟机。

这个名为”PivotBox”的定制TinyCore Linux虚拟机预装了一个后门程序,核心工具是Chisel网络隧道程序,通过WebSockets与特定的命令控制(C2)服务器建立安全通信通道。Chisel通过HTTP和SSH传输数据,即使在防火墙保护的网络中也能与受害主机上的后门程序进行通信。为确保持久性,QEMU环境通过修改’bootlocal.sh’实现主机重启后自动启动,同时生成并上传SSH密钥以避免重新认证。攻击者可以执行监控、网络和负载管理、文件管理以及数据窃取等多种操作。

为防御此类攻击,建议监控来自用户可访问文件夹的’qemu.exe’进程,将QEMU和其他虚拟化套件列入黑名单,并在关键设备的系统BIOS中禁用虚拟化功能。

原文链接:

https://www.bleepingcomputer.com/news/security/windows-infected-with-backdoored-linux-vms-in-new-phishing-attacks/

麻省理工技术评论遭黑客入侵,29万用户数据或泄露

黑客”Intel Broker”近日声称通过第三方承包商成功入侵麻省理工技术评论网站,并在黑客论坛Breach Forums上泄露了290,762名用户的个人数据。据分析,这些泄露的数据可能来自该网站的新闻通讯订阅者名单。

经过验证,泄露的数据包括用户全名、活动日期、教育背景和电子邮件地址(去重后共1343个)。虽然泄露的信息中并未包含密码、社会安全号码或金融数据等高度敏感信息,但这些个人身份信息仍可能被用于钓鱼诈骗或身份验证攻击,对用户隐私构成威胁。

作为麻省理工学院旗下的知名科技类出版物,麻省理工技术评论以其对新兴技术及其社会影响的深入分析而闻名。此次数据泄露不仅可能影响该平台的读者和贡献者的隐私,还可能对出版物的声誉造成挑战。

原文链接:

https://hackread.com/hackers-leak-mit-technology-review-user-records/

关键词:

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章