关键基础设施安全资讯周报20230911期

1.推动网络强国建设取得新成效

当前，新一轮科技革命和产业变革深入发展，信息化快速推进。

2.浅谈《商用密码管理条例》对推进行业协会发展的重大意义

2023年 4 月 14 日，国务院第 4 次常务会议审议通过了新修订的《商用密码管理条例》（以下简称《条例》），于 2023 年 7 月 1 日起正式实施。

3.数据跨境国际规则的日本方案：“基于信任的数据自由流通”（DFFT）倡议解读

数字贸易蓬勃发展的全球化浪潮下，跨境数据流动被视为打破数字巨头（如美国谷歌、苹果等企业）的数据垄断1，惠及发展中国家2及中小企业3，促进全球经济发展的重要途径。

4.国家互联网信息办公室对知网（CNKI）依法作出网络安全审查相关行政处罚

根据网络安全审查结论及发现的问题和移送的线索，国家互联网信息办公室依法对知网（CNKI）涉嫌违法处理个人信息行为进行立案调查。

5.英国国防部数千份绝密文件被俄罗斯黑客泄露

据镜报当地时间9月2日21：21分更新的报道，英国军事和情报网站的绝密安全信息已被与俄罗斯有关的黑客在网上泄露。

6.全球数据跨境流动合规 半月观察（第十五期）

全球数据跨境流动合规 半月观察（第十五期）

7.影响Windows 和macOS平台，黑客利用 Adobe CF 漏洞部署恶意软件

FortiGuard实验室的网络安全研究人员发现了几个影响 Windows 和 Mac 设备的Adobe ColdFusion 漏洞。

8.译文 | 欧盟关注全球互联网海缆的安全问题

对全球互联网海缆面临的安全安全挑战进行了较全面深入的分析，特摘译如下。

9.基于安全多方计算的两方推理

数字基础设施的发展加速了个人隐私数据在机器学习中的应用。随着机器学习即服务的市场规模逐步扩大，服务提供商和用户在双向获利的同时也面临着严重的隐私泄露风险。

10.印度海军发布《海事基础设施远景计划2023-2037》

印度国防部长阿贾伊·巴特(Ajay Bhatt)在周一（9月4日）开始的第二届两年一度的海军指挥官会议上发布了《2023-2037年海事基础设施展望计划》(MIPP)。

11.Chrome扩展可从网站窃取明文密码

研究人员发现谷歌、Cloudflare等知名网站的网页HTML源码中都以明文形式保存密码，恶意扩展可从中提取明文密码。

12.西方对乌克兰的网络安全援助总结与回顾

俄罗斯入侵乌克兰一年多以来，基辅在击退俄罗斯网络攻击方面取得了显著成功。

13.越南黑客横扫社交媒体：Facebook和Meta账户成攻击焦点

根据WithSecure发布的一份新报告，针对Meta Business和Facebook账户的网络攻击在越南的犯罪分子中越来越受欢迎。

14.IT军队：从未见过的独特现象，网络冲突的未来模式？

“乌克兰IT军队”，一个为应对俄罗斯军事行动而组织起来、与乌克兰政府密切关联的黑客组织，为了解战争中如何利用网络空间、新的网络攻击形态提供了的独特视角。

15.美国白宫发布《国家网络安全战略实施计划》

7月 13 日，美国白宫发布《国家网络安全战略实施计划》，作为 3 月美拜登政府 2023 版《国家网络安全战略》所设愿景的实施路线图。

16.关于网络安全网格，企业应该了解的十个问题

“网络安全网格（CyberSecurity Mesh）”是国际研究机构Gartner 提出的一个创新网络安全技术发展理念，近两年连续入选其年度网络安全战略技术趋势研究报告，成为当前网络安全领域的一个热门概念，也受到全球网络安全从业者的高度关注。

17.传说中的威胁：针对微星设备BootGuard重签名实现UEFI攻击链

近日，华硕三款高端WiFi路由器（RT-AX55、RT-AX56U_V2和RT-AC86U）曝出三个远程代码执行高危漏洞，黑客可远程访问并劫持用户路由器，建议以上三款产品用户立刻安装安全更新。

18.卡巴斯基：2023年第二季度IT威胁演变

通过3CX供应链攻击植入后门Gopuram

19.美网军司令部官宣：伊朗黑客利用Zoho、Fortinet漏洞侵入美国航空组织

美国CISA、FBI和网络司令部(USCYBERCOM)当地时间9月7日（周四）发布的一份联合报告显示，国家支持的黑客组织利用针对Zoho和Fortinet关键漏洞的漏洞攻击了美国一家航空组织。

20.新的安卓恶意软件利用OCR从图像窃取凭据

近日谷歌应用程序商店Google Play上惊现两个新的安卓恶意软件家族：“CherryBlos”和“FakeTrade”，它们旨在窃取加密货币凭据和资金，或者从事诈骗活动。

21.黑客可利用 Windows 容器隔离框架绕过端点安全系统

新的研究结果表明，攻击者可以利用一种隐匿的恶意软件检测规避技术，并通过操纵 Windows 容器隔离框架来绕过端点安全的解决方案。

22.鼓励新兴技术健康发展 探索人工智能治理法治路径

《生成式人工智能服务管理暂行办法》（下文简称《办法》）颁布，标志着我国迈出了加快人工智能立法的重要一步。

23.利用被攻击的网站发起网络钓鱼诈骗

发起网络钓鱼的攻击者希望他们设计的虚假钓鱼页面尽可能花费最少的成本来产生尽可能多的收入，所以他们会倾向使用各种工具和技术来逃避检测，以节省时间和成本，比如使用网络钓鱼工具包或Telegram木马的自动化。

24.Kinsing恶意软件利用新颖的Openfire漏洞

Aqua Nautilus近日发现了一起新的攻击活动，该活动利用今年5月披露的Openfire漏洞（CVE-2023-32315）来部署Kinsing恶意软件和加密货币挖矿软件。

25.未来网络攻击的雏形：ChatGPT的7个“邪恶孪生”

像任何技术创新一样，生成式AI工具也有它的阴暗面，甚至可以被利用来危害人类的生活。

26.加快建设中国政务数据资源体系

近年来，党和国家密集出台健全数据资源体系、畅通数据共享利用的相关政策。

27.Chaes恶意软件的新Python变种以银行和物流业为目标

银行和物流行业正遭受一种名为 "Chaes "恶意软件变种的攻击。

28.电信运营商运营域商用密码改造应用实践

随着互联网技术的飞速发展和数字经济的快速推进，全球数据量呈现出指数级增长、海量聚集的特点。

29.2024年第三方风险管理（TPRM）趋势预测

无论您的组织是否做好了准备，与第三方合作伙伴关系相关的风险都将继续增加。

30.勒索软件攻击防护中的6个常见错误

勒索软件攻击已经成为影响所有行业和组织的大问题，考虑到这些攻击可能对企业造成的影响，安全专业人员正在尝试以各种方式保护企业的网络、应用和数据。

31.黑客入侵APP向数百万人推送反政府信息

9月7日消息，以伊朗为主要目标的黑客组织“黑色奖励”（Black Reward）在上周四宣布，针对数百万伊朗人使用的金融服务应用程序“780”发起网络攻击。

32.Gartner：2023年数据安全五大新兴技术

Gartner最新发布的2023数据安全技术成熟度曲线（炒作周期图）增加了五项新技术：加密敏捷性、后量子密码学、量子密钥分发、主权数据策略和数字通信治理。