16项网络安全国家标准获批发布；CISA启动新的漏洞管理增强计划 | 牛览

根据2024年4月25日国家市场监督管理总局、国家标准化管理委员会发布的中华人民共和国国家标准公告（2024年第6号），全国网络安全标准化技术委员会归口的16项国家标准正式发布。具体清单如下：

原文链接：

https://mp.weixin.qq.com/s/aBnH5AgYfgR1acPRJi98gA

为促进中国（天津）自由贸易试验区（以下简称“天津自贸试验区”）企业数据依法有序跨境流动，推进高水平对外开放，更好服务加快构建新发展格局，天津自贸试验区管委会、天津市商务局日前联合发布《中国（天津）自由贸易试验区数据出境管理清单（负面清单）（2024年版）》（以下简称《负面清单》），这是国家互联网信息办公室《促进和规范数据跨境流动规定》实施以来，首个经省级网络安全和信息化委员会批准并报国家网信部门、国家数据管理部门备案的自贸试验区数据出境管理负面清单。

《负面清单》列明了天津自贸试验区企业向境外提供数据需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证的情形。天津自贸试验区企业向境外提供《负面清单》外的数据免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。涉及国家秘密的数据、核心数据、政务数据不纳入《负面清单》管理，相关数据出境按照有关法律、法规和规定执行。

原文链接：

https://mp.weixin.qq.com/s/Q6-yQ1ydwbKhzIxuubC1Fg

日前，美国网络安全和基础设施安全局（CISA）宣布推出了一项名为"Vulnrichment"的新软件漏洞增强计划，旨在应对全面的漏洞数据库管理挑战。而在此之前，由美国国家标准与技术研究所（NIST）运营的国家漏洞数据库（NVD）在漏洞管理方面遇到了一些困难。根据数据显示，NIST今年迄今为止仅对14228个常见漏洞和公开漏洞（CVE）中的4523个进行了分析。

CISA此次推出的"Vulnrichment"计划旨在为CVE添加更多的元数据，包括通用平台枚举（CPE）编号、通用漏洞评分系统（CVSS）评分、通用弱点枚举（CWE）名称标签和已知被利用的漏洞（KEV）条目。这些元数据对于组织优先处理漏洞修复、了解威胁趋势并推动供应商解决漏洞类别至关重要。CISA表示，目前已经对1300个CVE进行了增强，并将继续努力确保所有提交的CVE都得到增强。该机构还要求所有CVE编号机构（CNA）在首次提交漏洞信息时提供更完整的CVE信息。另外，CISA还计划与利益相关者共享其特定漏洞分类（SSVC）的决策信息，以便利益相关者可以立即将这些更新纳入漏洞管理流程中。

原文链接：

https://www.infosecurity-magazine.com/news/cisa-launches-vulnrichment-program/

根据IANS Research的一项最新调查数据显示，越来越多的企业安全负责人（CISO）对自己的薪酬水平感到不满意。本次调查共访问了149位来自不同规模组织的CISO，这些组织的年度营收从1亿美元到超过200亿美元不等。

调查显示，34%的CISO对自己的薪酬表示担忧，而薪酬的高低与满意度密切相关。薪酬水平主要取决于组织的规模和类型，上市公司的CISO薪酬最高，其次是风险投资支持的科技公司。然而，去年有三分之一（31%）的CISO未能得到加薪，与前一年相比下降了18个百分点。这可能与宏观经济挑战和成本节约努力有关。调查还发现，安全预算增长率从2022年的30%骤降至去年的4%。

原文链接：

https://www.infosecurity-magazine.com/news/third-tech-cisos-unhappy-income/

据SentinelOne首席信任官Alex Stamos在RSA 2024会议上的演讲，勒索软件行动者正越来越多地利用商业软件工具而非恶意软件，以规避端点检测和响应产品的成功。Stamos在名为“全球威胁概览”的演讲中讨论了地缘政治冲突、网络武器竞赛、政策法规、生成式AI以及勒索软件的演变。除了更大胆的勒索策略和勒索软件部署的减少外，SentinelOne还观察到威胁行动者越来越多地使用“混合式攻击”技术来避免被检测。尽管端点检测和响应（EDR）工具的有效性得到了强调，但Stamos强调勒索软件行动者正在迅速适应。他还指出，他更喜欢使用“网络勒索”这个术语，因为攻击者在勒索策略上变得更加复杂。

原文链接：

https://www.techtarget.com/searchsecurity/news/366583643/SentinelOne-Ransomware-actors-are-adapting-to-EDR

根据ISACA的最新研究，尽管企业组织对人工智能（AI）的使用急剧增加，但只有三分之一的组织能够有效解决AI的安全、隐私和道德风险。这项针对3270名数字信任专业人士的调查发现，仅有34%的人认为组织对AI的安全应用给予了足够的重视，而不到三分之一（32%）的人表示组织在部署中充分解决了与AI相关的安全性问题，如数据隐私和偏见。尽管如此，60%的受访者表示他们所在的组织员工正在使用生成式AI工具进行工作，而70%的人表示员工正在使用任何类型的AI。

此外，根据ISACA的数据，42%的组织现在正式允许在工作场所使用生成式AI，相比六个月前的28%，这一比例有所增加。调查受访者表示，目前AI的三种最常见应用方式是提高生产力（35%），自动化重复任务（33%）和生成书面内容（33%）。

原文链接：

https://www.infosecurity-magazine.com/news/failing-address-ai-risks-isaca/

近日，网络安全研究人员发现，黑客正在广泛滥用武器化的快捷方式文件，以部署危险的CHM恶意软件。这种攻击方式利用了快捷方式文件的普遍性和常用性，使黑客能够在不知情的情况下执行恶意代码，绕过安全检查，将用户系统置于风险之中。研究人员指出，该恶意软件已经被用于窃取用户数据，并且专门针对韩国目标进行传播。此前，同一黑客组织还曾使用LNK、DOC和OneNote等不同格式传播恶意软件。尽管该组织的攻击手法一直依赖于多个脚本，但最新的样本表明它们的运行方式有了一些微小的变化。此前，这些恶意对象曾伪装成HWP文档、补偿表格、朝鲜相关问卷或各种主题的新闻稿。这一发现引发了对快捷方式文件安全性的担忧，并提醒用户加强对未知来源文件的警惕。

原文链接：

https://cybersecuritynews.com/weaponized-shortcut-chm-malware/

研究人员警告称，在过去七个月中，由于开源计算框架Ray默认缺乏认证，成千上万台服务器遭到入侵。Ray框架用于分发机器学习和人工智能工作负载。尽管该框架的开发者并不将缺乏内置认证视为漏洞，因为这是一个有意且有记录的设计决策，但这并没有阻止组织将部署暴露在互联网上。

运行时应用安全公司Oligo的研究人员在一份报告中表示，数千家公司和正在运行AI基础设施的服务器面临一种争议中的关键漏洞攻击，因此没有补丁可用。这种漏洞使攻击者能够控制公司的计算能力并泄漏敏感数据。到目前为止，Oligo已经确认了来自教育、加密货币、生物制药和视频分析等多个行业部门的组织中受到入侵的服务器。许多Ray服务器启用了命令历史记录，这意味着攻击者可以轻松发现在这些服务器上使用的敏感密钥。

原文链接：

https://www.csoonline.com/article/2075540/thousands-of-servers-hacked-due-to-insecurely-deployed-ray-ai-framework.html

近期，网络安全公司Mandiant的首席执行官查尔斯·卡马卡尔在RSAC大会上揭示了一种令人担忧的趋势：勒索软件黑客正利用SIM卡交换技术将受害者的手机号码转移到其他SIM卡上，然后利用被入侵的设备呼叫孩子的父母，威胁索要赎金。

这种心理操纵手法被称为来电显示欺骗，黑客克隆受害者的SIM卡，冒充受害者并进行欺诈性电话，威胁受害者支付赎金。这种策略尤其针对企业高管，以增加威胁的真实性和支付赎金的可能性。这种趋势对受害者造成了巨大的心理压力，因为他们可能会收到看似来自自己孩子的电话，黑客通过威胁孩子的安全来迫使付款。此类勒索软件攻击通常窃取联系人信息，并威胁公开敏感数据，如照片、消息和联系人，除非受害者支付赎金。除了加密数据库的风险外，这种攻击还存在数据泄露的风险。

原文链接：

https://www.cybersecurity-insiders.com/ransomware-hackers-calling-parents-from-their-children-mobile-phone-numbers/

根据纽约南区联邦地区法院于5月3日提交的文件，前长岛铁路公司员工本杰明·瓦伦泰因（Benjamin Valentine）提起诉讼，声称他的个人信息在最近的J.P.摩根（J P Morgan）数据泄露中被不当获取，导致数千名用户的账户受到威胁。

这起集体诉讼（案件编号1:24-cv-03438-JLR）指控J.P.摩根作为金融行业的重要参与者，在保护客户员工的个人信息方面存在严重失职，造成了重大损害。诉讼文件详细描述了J.P.摩根如何收集和保存客户员工的敏感个人身份信息，包括姓名、地址、付款细节和社会安全号码。这些信息在J.P.摩根的数据泄露中遭到了泄露，落入了网络犯罪分子的手中。

该诉讼声称，作为数据泄露的后果，瓦伦泰因和约45.1万名受影响的个人遭受了实际损害，包括隐私侵犯、身份盗窃以及个人信息信任和价值的损失。此外，泄露还使他们继续面临欺诈风险和数据滥用的威胁。诉讼进一步指出，J.P.摩根未能采取足够的网络安全措施，并对敏感数据的处理不慎，直接导致了数据泄露。尽管J.P.摩根声称泄露不是由网络攻击引起的，但诉讼认为该公司的过失使其成为此类恶意活动的目标。

原文链接：

https://thecyberexpress.com/j-p-morgan-data-breach/

日前，微软发布了专为美国情报机构设计的隔离版GPT-4人工智能模型，该模型能够在安全网络环境中运行，实现了与互联网隔离的运行环境。这一举措旨在确保机密数据与潜在的网络威胁隔离开来，为情报部门提供了安全的数据分析工具。这个隔离版GPT-4模型是在微软首席技术官William Chappell的领导下开发的，经过为期18个月的项目，微软改进了位于爱荷华州的一个人工智能超级计算机，创造了这个独特的隔离系统。该系统在一个只有美国政府可以访问的特殊网络上运行，与互联网和外部网络完全隔离。

与传统的人工智能模型不同，隔离版GPT-4模型设计成只能访问和分析文件，而无法从处理的数据或互联网中学习。这种设计确保了模型的静态状态，防止敏感信息意外地融入到平台中。目前隔离版GPT-4模型于近日开始运行，正在接受美国情报机构的测试和认证。约有10,000名授权人员将获得访问权限，通过隔离和专用的政府网络，确保了绝密数据的安全性。

原文链接：

https://cybersecuritynews.com/microsoft-air-gapped-gpt-4/

近日，云安全公司Zscaler因传闻遭受入侵而将其测试环境下线，以进行详细的分析和调查。尽管公司最初表示没有发现客户或生产环境遭到入侵的证据，但后来他们确认发现了一个暴露在互联网上的孤立测试环境，并将其下线以进行取证分析。

据称，威胁行为者IntelBroker声称正在出售一家收入达18亿美元的网络安全公司的访问权限。尽管IntelBroker没有透露该公司的名称，但有关专家通过与Zscaler在ZoomInfo上列出的18亿美元收入进行联系，将其与该公司联系起来。然而，Zscaler在其发布的声明中强调，他们的调查结果显示，并没有发现任何与客户或生产环境的入侵有关的证据。相反，Zscaler发现了一个与其基础设施完全隔离、没有与Zscaler环境连接的测试环境，在没有客户数据的情况下暴露在互联网上。为了进一步进行取证分析，该测试环境已被下线。

原文链接：

https://www.bleepingcomputer.com/news/security/zscaler-says-it-was-not-hacked-after-rumors-circulate-online/