超过 150 万人数据泄露：康涅狄格州和加利福尼亚州医疗系统遭遇网络攻击；纽约血液中心因勒索软件入侵而中断运营 | 牛览

新闻速览

• 2025年2月Android安全更新修复48个漏洞，包括一个已被利用的内核零日漏洞

• 微软宣布停止支持Microsoft Defender应用中的隐私保护VPN功能

• 超过 150 万人数据泄露：康涅狄格州和加利福尼亚州医疗系统遭遇网络攻击

• 我们真的需要OWASP NHI Top 10吗？

• 国际执法行动摧毁Cracked和Nulled网络犯罪中心

• 纽约血液中心因勒索软件入侵而中断运营

• ISA发布更新版ANSI/ISA-62443-2-1-2024标准，强化工业网络安全

• 2025年1月信息安全产品月度回顾

开放网络应用安全项目（OWASP）近期推出了新的 Top 10 项目——非人类身份（NHI）Top 10 。这一新项目旨在应对与 API 密钥、服务账户、 OAuth 应用、 SSH 密钥、身份和访问管理（IAM）角色、机密及其他机器凭证相关的安全风险。尽管 OWASP 的其他 Top 10 项目已经涵盖了广泛的安全风险，但 NHI 的独特挑战尚未得到充分重视，因此推出 NHI Top 10 是必要的。

NHI Top 10 的推出是为了帮助开发人员识别和应对日益频繁的针对非人类身份的攻击。这些身份在系统、服务、数据和人工智能代理之间起着关键的连接作用，开发人员在开发流程的每个阶段都会与之互动。NHI 的风险不仅限于暴露的机密，还包括权限过大、 OAuth 钓鱼攻击和 IAM 角色的横向移动等问题。

NHI Top 10 的风险包括：

人类使用 NHI：开发人员可能在开发和维护过程中错误地使用 NHI 进行手动操作，导致特权滥用。

NHI 重用：跨多个应用程序重复使用同一服务账户违反了最小权限原则，增加了风险。

环境隔离不足：测试环境中的 NHI 可能渗透到生产环境，导致敏感数据泄露。

长期有效的机密：长时间有效的机密存在显著风险，可能导致数据泄露。

不安全的云部署配置：CI/CD 管道中的错误配置可能导致未经授权的访问。

过度特权的 NHI：不当的权限分配导致许多 NHI 拥有过多权限，增加了安全事件的风险。

不安全的身份验证方法：一些平台仍支持不安全的身份验证方式，容易受到攻击。

脆弱的第三方 NHI：依赖第三方工具的开发流程可能导致凭证泄露。

机密泄露：机密泄露是攻击者的首要目标，许多组织存在硬编码机密的问题。

不当的离职管理：未能及时移除不再需要的 NHI，增加了内部威胁的风险。

OWASP NHI Top 10 为安全和开发团队提供了一个标准化的框架，帮助他们识别和管理与非人类身份相关的安全风险。通过这一框架，组织可以更好地理解当前的安全态势，识别安全漏洞，并制定优先级，以提升整体安全性。

原文链接：

https://thehackernews.com/2025/01/do-we-really-need-owasp-nhi-top-10.html

国际自动化学会（ISA）于 2025 年1 月31 日发布了更新版的 ANSI/ISA-62443-2-1-2024 标准，旨在加强工业网络安全。该标准的标题为《工业自动化和控制系统（IACS）资产所有者的安全程序要求》，明确了资产所有者在运营过程中必须实施的基本政策和程序，以确保 IACS 的安全。

新标准与 ISA-62443-1-1 中的 IACS 定义和范围保持一致，扩展了“资产所有者”的定义，涵盖了 IACS 运营商，强调了他们在维护安全措施方面的共同责任。这一更新反映了 ISA 在增强工业环境网络安全方面的承诺，为保护关键基础设施免受日益增长的网络威胁提供了清晰且可操作的框架。

ANSI/ISA-62443-2-1-2024 标准由 ISA99 标准委员会开发，并与国际电工委员会（IEC）同步审查和采纳。该标准适用于所有行业和关键基础设施，提供灵活且全面的框架，以应对和缓解当前及未来 IACS 的安全漏洞。

标准的更新强调了安全措施的灵活性，允许资产所有者根据具体情况选择最合适的安全实践。标准还考虑到许多 IACS 的生命周期可能超过 20 年，许多遗留系统的硬件和软件不再受支持，因此针对这些系统的安全要求仅涵盖文档中定义的一部分内容。

新标准引入了显著的技术更新，包括重新组织的要求结构、消除与信息安全管理系统（ISMS）重叠的冗余要求，以及引入评估合规性的成熟度模型。这些改进旨在简化框架，减少冗余，并提供更结构化的方法来评估和提升安全程序的有效性。

总之，ANSI/ISA-62443-2-1-2024 标准为工业自动化和控制系统提供了一个全面的安全框架，旨在帮助资产所有者建立、实施和维护有效的安全程序，以降低 IACS 的安全风险。这一标准的发布标志着工业网络安全领域向前迈出了重要一步，强调了在面对复杂的网络威胁时，灵活性和适应性的重要性。

原文链接：

https://industrialcyber.co/isa-iec-62443/isa-releases-updated-ansi-isa-62443-2-1-2024-standard-to-strengthen-industrial-cybersecurity/

近期，多个网络安全产品的发布引起了广泛关注，涉及多个领域的创新与改进。以下是一些重要产品的概述：

authID PrivacyKey：该产品通过捕捉用户的身份证明文件和面部图像，确保用户生物识别身份的安全性。其关键管理功能增强了用户的隐私保护。

Absolute Resilience Platform：此平台更新后，提供了集成的补丁管理、漏洞扫描和自动化工作流，提升了终端的安全韧性。

BackBox Network Cyber Resilience Platform：该平台专为网络自动化设计，支持 180 种网络设备的备份和恢复，简化了合规性和审计流程。

Compliance Scorecard Version 7：此版本增强了隐私合规和数据保护的工具，帮助管理服务提供商（MSPs）简化合规管理。

Oasis Scout：此工具利用 AuthPrint 技术，提供针对国家卫生机构（NHI）的高保真威胁检测和响应能力，能够识别已知威胁行为者的活动。

Hiya AI Phone：该应用实时分析通话音频，利用 AI 模型检测潜在的诈骗语言，及时警报用户。

Lookout Mobile Intelligence APIs：该 API 为安全团队提供移动设备的可见性，防止社交工程攻击和数据泄露。

Bitsight Instant Insights：此新功能利用生成性 AI 加速供应商风险评估，帮助安全和合规团队更快地做出风险决策。

Cisco AI Defense：该产品专为企业开发，确保 AI 应用的安全性，通过自动化测试识别潜在的安全问题。

Commvault：增强了对 Microsoft Active Directory 的保护，支持快速自动恢复，减少手动恢复过程中的错误。

Atsign NoPorts：新推出的桌面客户端简化了安全远程访问，提升了连接设备的安全性。

NETGEAR Armor：该解决方案自动扫描连接设备的漏洞，提供持续的网络安全保护。

McAfee Scam Detector：该工具实时保护用户免受可疑短信、假邮件和深度伪造视频的诈骗。

BioConnect Arc Series：推出了一系列生物识别设备，增强了安全访问控制。

BreachLock Unified Platform：整合了多种安全工具的发现，提供对组织攻击面的一体化可视化。

Swimlane Hero：通过人机智能的结合，优化安全运营工作流，提高投资回报。

DataDome DDoS Protect：提供全栈保护，快速检测和缓解应用层的 DDoS 攻击，保护企业免受服务中断和声誉损害。

这些产品的发布标志着网络安全领域的持续创新，旨在应对日益复杂的安全威胁，保护用户和组织的信息安全。

原文链接：

https://www.helpnetsecurity.com/2025/01/31/infosec-products-of-the-month-january-2025/

微软近日通知用户，将于 2025 年2 月28 日停止对 Microsoft Defender 应用中的隐私保护 VPN 功能的支持。该功能的移除并不影响设备的其他保护措施，包括恶意软件扫描、身份盗窃监测和信用监测等，这些服务仍将继续提供，尤其是在美国市场。Microsoft Defender 能够检查下载和安装的文件或应用程序是否存在恶意软件，并对系统中已有文件进行扫描，此外，它还可以与第三方反恶意软件解决方案协同工作。

微软表示，取消 VPN 功能的决定旨在使公司能够投资于更符合客户需求的新领域。尽管更新文档未提供详细信息，但强调了公司定期评估功能有效性的做法。对于 Windows 、iOS 和macOS 用户而言，此次变更无需采取任何行动。然而，Android 用户需要手动移除 Defender VPN 配置文件，以确保设备的正常使用。

微软建议，尽管不移除 Defender VPN 配置文件不会对设备产生影响，但为了避免不必要的困扰，建议用户将其删除。具体操作步骤如下：打开设置应用，搜索“VPN”，如果用户曾启用隐私保护，列表中将显示“Microsoft Defender” VPN 配置文件。用户只需点击“信息”图标并移除该配置文件即可。

此举反映了微软在网络安全领域的持续调整与优化，以更好地满足用户的需求和市场变化。

原文链接：

https://www.darkreading.com/mobile-security/microsoft-sets-end-date-for-defender-vpn

近期，一项由德国当局主导的重大执法行动成功关闭了全球最大的两个网络犯罪论坛——Cracked 和Nulled 。此次行动名为“人才行动”（Operation Talent），于 2025 年1 月28 日至 30 日进行，得到了包括美国、法国和澳大利亚在内的八个国家及欧洲刑警组织（Europol）的支持。执法部门在行动中查获了 17 台服务器、 12 个域名和 50 台电子设备，这些基础设施的扣押为后续调查提供了重要信息，涉及约 1000 万名用户的电子邮件地址、 IP 地址和通信记录。

此次行动还摧毁了与这两个论坛相关的金融处理服务 Sellix 和主机服务 StarkRDP，并逮捕了两名涉嫌运营这些网站的德国公民，年龄分别为 29 岁和 32 岁。调查人员估计，这些嫌疑人通过非法活动获得了约 100 万欧元（约合 104 万美元）的收益。此外，执法部门还在行动中查获了约 30 万欧元（约合 31.2 万美元）的现金和加密货币。

Cracked 和Nulled 论坛在网络犯罪即服务（Cybercrime-as-a-Service）生态系统中扮演了重要角色，为网络犯罪工具和服务的销售提供了平台。这些平台使得技术水平较低的个人也能实施网络攻击，提供包括基于人工智能的安全漏洞扫描工具和攻击优化脚本等服务。Europol 指出，这些论坛不仅是网络犯罪讨论的场所，也是非法商品和网络犯罪服务的市场，包括被盗数据、恶意软件和黑客工具。

美国司法部估计，Cracked 论坛单独产生了约 400 万美元的收入，影响了至少 1700 万名美国受害者，而 Nulled 论坛的年收入约为 100 万美元。此次行动是德国警方在 2024 年12 月成功关闭该国最大的非法暗网市场 Crimenetwork 之后的又一重要成果。

原文链接：

https://www.infosecurity-magazine.com/news/operation-dismantles-cracked/

近期，康涅狄格州的社区健康中心和加利福尼亚州的NorthBay健康公司遭遇了严重的数据泄露事件，共计超过150万人受到影响。这些事件的发生引发了对医疗系统网络安全的广泛关注。

社区健康中心的网络在长达数月的时间内遭到渗透，最终在上个月被发现。此次泄露涉及超过106万名现有和前任患者的个人信息，包括姓名、电话号码、地址、社会安全号码、治疗信息及健康保险详情。该健康系统在通知中强调，泄露的数据并未被删除或加密。尽管其表示已在数小时内阻止了黑客的访问，并认为当前系统没有威胁，但这一事件仍然暴露了其网络安全防护的不足。

与此同时，NorthBay健康公司确认，约569,012人的财务、医疗和健康保险信息，以及社会安全号码、护照和信用卡信息在一场名为“Embargo”的勒索软件攻击中被盗取。该攻击发生在今年1月至4月之间，进一步凸显了医疗行业在面对网络攻击时的脆弱性。

这些事件不仅影响了患者的个人隐私和财务安全，也对医疗机构的信誉和运营造成了潜在的长期影响。随着网络攻击手段的不断演变，医疗行业亟需加强网络安全防护措施，包括数据加密、入侵检测和员工培训等，以降低未来类似事件的发生风险。

总之，近期的医疗数据泄露事件提醒我们，网络安全在保护个人信息和维护公共健康系统的完整性方面至关重要。医疗机构必须采取更为严谨的安全策略，以应对日益严峻的网络安全挑战。

原文链接：

https://www.scmagazine.com/brief/over-1-5m-compromised-in-regional-health-system-intrusions

近期，纽约血液中心（New York Blood Center Enterprises）遭遇了一次严重的勒索软件攻击，导致其血液采集和捐赠中心的活动被迫推迟。尽管目前尚未有任何已知的网络威胁组织对此次攻击进行认领，但该中心已表示正在与第三方专家合作，努力尽快且安全地恢复系统。尽管血液捐赠仍在进行，但处理时间可能会比正常情况更长。

此次事件反映出针对血液中心及病理服务提供者的网络攻击日益增多。近期，非营利性血液捐赠服务机构 OneBlood 也遭遇了类似的攻击，导致其患者的姓名和社会安全号码被泄露，并触发了关键的血液短缺应急协议。此外，英国的病理服务提供商 Synnovis 和南非国家健康实验室服务机构也在去年遭遇了勒索软件的侵袭，进一步凸显了该领域面临的网络安全风险。

在当前网络安全形势下，医疗机构尤其是血液中心亟需加强对勒索软件攻击的防范措施。针对这一问题，专家建议组织应采取有效的网络安全策略，包括定期进行系统安全评估、实施数据备份和恢复计划，以及加强员工的网络安全意识培训。这些措施能够有效降低网络攻击的风险，保护患者和机构的敏感信息安全。

综上所述，纽约血液中心的勒索软件攻击事件不仅影响了其正常运营，也为整个医疗行业敲响了警钟，提醒各方关注网络安全的重要性。

原文链接：

https://www.scmagazine.com/brief/new-york-blood-center-disrupted-by-ransomware-intrusion

2025 年2 月的 Android 安全更新修复了 48 个漏洞，其中包括一个在实际攻击中被利用的内核零日漏洞，编号为 CVE-2024-53104 。根据谷歌的公告，该漏洞可能正处于有限的针对性攻击之中。该漏洞属于特权提升类型，涉及内核的 USB 视频类驱动程序。经过身份验证的本地攻击者可以利用此漏洞，通过低复杂度的攻击提升其权限。

该漏洞的根源在于对 UVC_VS_UNDEFINED 帧的不当解析，导致帧缓冲区大小的错误计算，可能引发任意代码执行或拒绝服务攻击。谷歌的安全通告指出，已解决的漏洞涉及媒体处理模块，具体为在解析格式时跳过对 UVC_VS_UNDEFINED 类型帧的解析，这可能导致缓冲区溢出，因为在计算帧缓冲区大小时未考虑此类帧。

谷歌在 2025 年2 月发布了两个安全补丁集，分别为 2025-02-01 和2025-02-05 。此外，谷歌还修复了一个关键漏洞，编号为 CVE-2024-45569，CVSS 评分为 9.8，涉及高通的 WLAN 组件。该漏洞是由于解析 ML IE 时无效帧内容导致的内存损坏问题。

值得注意的是，在 2024 年11 月，谷歌已修复了两个在实际攻击中被利用的 Android 零日漏洞，分别为 CVE-2024-43047 和CVE-2024-43093 。这些安全更新强调了及时修复漏洞的重要性，以防止潜在的安全威胁和数据泄露。整体来看，Android 平台的安全性仍需持续关注和加强，以应对不断演变的网络安全挑战。

原文链接：

https://securityaffairs.com/173812/hacking/google-android-kernel-zero-day-flaw.html