网络盾牌 | 1202-美国众多国防承包商不符合网络安全要求-澳大利亚隐私法迎来重大修订-美国开源情报基金会发布OSINT文件

美国大部分国防承包商不符合基本的网络安全要求；

标签：美国，国防承包商，网络安全要求

CyberSheath受委托进行的一项研究显示，近90%(87%)的美国国防承包商未能达到基本的网络安全监管要求。

这项针对300家美国国防部承包商的调查发现，只有13%的受访者的供应商风险绩效体系(SPRS)评分在70分或以上。根据《国防联邦采伐条例补充》(DFARS)，必须达到110分才能完全达标。

据该研究的作者称，有趣的是，70分被认为是“足够好”，被认为是合规的。该法案于2017年被制定为法律，旨在加强国防工业基地的网络安全。国防承包商还必须遵守网络安全成熟度模型认证(CMMC)，这是他们在与国防部竞标合同时必须通过的认证框架。CMMC的第一个版本于2020年1月发布，更新版本2.0将于2023年5月生效。它提供从一到五的五个认证级别，其中五个是最高的。每个级别映射到过程成熟度的不同级别。新的研究表明，绝大多数国防部国防承包商既不满足当前的DFARS义务，也不符合CMMC的更新版本。

这可能对国防承包商产生重大影响，根据研究，如果国防部合同发生损失，近一半的承包商将损失高达40%的收入。CREST主席Tom Brennan在接受Infosecurity采访时表示:“CMMC是一套商业上合理的数据保护标准。企业应该把它作为业务的一部分，否则就会失去合同。”然而，报告发现，70%的企业没有部署安全信息和事件管理(SIEM)， 79%的企业缺乏全面的多因素认证系统，73%的企业没有端点检测响应(EDR)解决方案，80%的企业缺乏漏洞管理解决方案。国防承包商是民族国家集团的主要目标，因为它们持有与美国军方有关的敏感数据。

2022年10月，网络安全和基础设施安全局(CISA)发布了一份报告，重点介绍了在某国防组织的企业网络上观察到的高级持续威胁(APT)活动。令人担忧的是，在CyberSheath的研究中，超过五分之四的国防承包商表示，他们经历了与网络相关的事件，近五分之三的承包商经历了与网络相关的事件导致的业务损失。

CyberSheath的首席执行官埃里克·努南评论道:“该报告的调查结果表明，我们的国家安全面临着明显而现实的危险。我们经常听说供应链容易受到网络攻击的危险。DIB是五角大楼的供应链，我们可以看到，尽管处于威胁分子的瞄准线内，承包商们却毫无准备。我们的军事机密并不安全，迫切需要改善这一群体的网络安全状况，他们往往连最基本的网络安全要求都达不到。”

信源：https://www.infosecurity-magazine.com/news/us-defense-contractors/

澳大利亚《隐私法》迎来重大修订：严重或多次违法至少重罚5000万澳元；

标签：澳大利亚，《隐私法》

2022年11月28日，澳大利亚议会正式通过《2022年隐私法修订案（执行和其它措施）》（Privacy Legislation Amendment (Enforcement and Other Measures) Bill 2022），本次修订大幅提高了对于严重或多次侵犯隐私行为的处罚力度，并赋予澳大利亚信息专员办公室（OAIC）更广泛的监管权力。之前，澳大利亚《隐私法》下最高罚款为 222 万澳元（约合人民币 1076 万元）。修订后，此项罚款金额至少为5000万澳元（约合人民币 2.42 亿元），或为滥用个人信息所获利润的3倍与公司在相关期间调整后营业额的30%之中的较高者（当其高于5000万澳元时）。

澳大利亚信息专员兼隐私专员Angelene Falk表示，本次修订将使澳大利亚《隐私法》与竞争和消费者的救济措施，以及国际上诸如欧洲《通用数据保护条例》下的法律责任规定更加一致。与此同时，本次修订也是在对1988年《隐私法》进行全面修订之前迈出的积极一步，将更好为个人隐私提供保护。此外值得注意的是，本次修订案还对域外效力条款进行了简化，将有助于确保在澳大利亚开展业务的外国公司遵守澳大利亚《隐私法》。

信源： 个人信息与数据保护实务评论、澳大利亚信息专员办公室（OAIC）

美国开源情报基金会发布OSINT定义文件；

标签：美国，开源情报基金会

11月28日，美国开源情报基金会（OSINT Foundation）发布了一份关于开源情报（OSINT）定义的文件。该文件支持基金会的战略目标，即将OSINT学科的间谍情报技术正式化，并建立专业认证。该文件是该基金会从业人员委员会的第一个成果。在这份文件中，该委员会定义了开源情报（OSINT）、公开可用信息（PAI） 和商业可用信息（CAI），并对这些术语的用法进行了澄清以及对OSINT的性质进行了解释。

• 开源情报 (OSINT) ：指从公开可用的信息中产生的情报，为了满足特定的情报要求，及时收集、利用并向适当的受众传播。

• 公开可用信息 (PAI)：包括已经出版或广播供公众使用的信息；应公众要求提供的信息；可在线或以其他方式向公众提供的信息；通过订阅或购买向公众提供的信息；可被任何人偶然看到或听到的信息；在向公众开放的会议上提供的信息；或通过访问任何地方或参加任何向公众开放的活动获得的信息。

• 商业可用信息(CAI)：除了政府目的外，任何向公众或非政府实体出售、出租或许可的信息（数据）类型。

根据该基金会的说法，该定义文件标志着一个长期努力的开始，他们将基于包容和审议过程为OSINT学科建立合理的标准。该基金会还计划制定类似于美国地理空间情报基金会制定的《地理空间情报（GEOINT）基本知识》的标准文件。由此产生的语料库将作为独立专业认证的基础。

该文件中的定义适用于美国情报界的OSINT从业人员，并为其提供支持与指导，对于非情报界从业人员来说，该文件仍然具有很大的价值。该文件根据先例和法律阐述了基本概念，同时对该学科的性质提出了重要的见解，为什么是和什么不是OSINT建立了明确的界限。

信源：https://www.osintfoundation.com/NewsBot.asp?MODE=VIEW&ID=29689

元宇宙可能成为2023年网络攻击的主要途径；

标签：元宇宙，网络攻击

随着成熟和新兴的面向消费者的恶意网络攻击增加，企业安全团队在 2023 年需要应对的许多挑战。

卡巴斯基的研究人员着眼于2023年网络攻击格局可能发生的演变，预计攻击者将扩大使用他们当前的许多策略，同时通过社交媒体、流媒体服务和在线游戏平台探索新的攻击路径。对于企业管理员来说，品牌扩展到元宇宙世界（互联网上普遍和身临其境的虚拟世界）可能会使他们受到攻击。在远程工作和自带设备 (BYOD) 时代，任何消费者威胁都可能是企业威胁，因此 IT 安全团队最好紧跟互联网趋势提前做好预案。

网络攻击将增加

有安全厂商预计，网络犯罪分子将继续利用消费者对在线流媒体服务兴趣大增的机会，分发恶意软件、窃取数据和执行其他恶意活动。

许多攻击的目标是寻找下载合法流媒体应用程序或某一集节目的替代来源的人。卡巴斯基表示，期待看到网络犯罪分子利用广受期待的标题和流媒体服务提供商的名称，如Netflix、Hulu和Amazon Prime Video作为诱饵，让用户下载恶意软件或将他们引向钓鱼网站。

消费者还将面临更多的游戏订阅欺诈和涉及在线货币和人工制品的诈骗。攻击者将主要针对那些使用货币并允许出售游戏内物品和加速器的游戏，因为它们给攻击者提供了从其他非法活动中获得的资金的途径。

在今年早些时候的一份报告中，Equifax旗下的欺诈保护服务机构Kount也指出，在线货币为对手洗钱和进行支付卡欺诈提供了大量的机会。”例如，欺诈者为一个在线多人游戏创建一个免费账户，然后用偷来的信用卡将游戏中的货币和皮肤填满账户，”Kount研究人员指出，”一旦账户被填满，欺诈者就在交易网站上出售，”价格在几百到几千美元之间。

卡巴斯基预计，攻击者还将试图利用流行游戏机供应的持续短缺，通过虚假的预售优惠，以及声称销售游戏官方商店的欺诈性赠品和折扣。

新的攻击途径

卡巴斯基表示，与此同时，元空间、在线教育平台和某些类别的健康相关应用程序都将成为2023年的新攻击途径。

卡巴斯基预测说，隐私将成为元空间的一个主要问题。”卡巴斯基说：”由于元空间的体验是普遍的，不遵守地区性的数据保护法，如GDPR，这可能会在有关数据泄露通知的法规要求之间产生复杂的冲突。

其他人也对在完全沉浸式环境中通过VR头盔及其收集的摄像头、麦克风和运动追踪器收集的个人信息数量增加表示担忧。许多人预计，这些数据将揭示很多关于用户的位置、外观和其他私人信息，同时也使攻击者能够进行更复杂的网络钓鱼和社会工程诈骗。

卡巴斯基说：”尽管技术公司努力在元空间中建立保护机制，但 “虚拟虐待和性侵犯将蔓延到元空间”。”由于没有具体的监管或节制规则，这种可怕的趋势可能会跟随我们到2023年。”

元空间是与过去几年不同的领域。卡巴斯基的安全专家安娜-拉金娜说：假的、恶意的VR和AR应用程序，以及与这个新领域有关的隐私风险和潜在的风险，是我们以前都未曾遇到过的。

拉金娜说，某些类型的应用程序，例如那些与冥想有关的应用程序或那些消费者可能提供他们当前情绪状态的app，可能成为另一个新的攻击途径。

在这些应用中，你表明你当前的状态、情绪，然后他们为你选择合适的选项，这样的数据可以很容易地被收集和存储，以便跟踪用户的状态。她指出，一个获得此类数据的攻击者可以以高度针对性的方式成功执行鱼叉式网络钓鱼和社会工程诈骗。

拉金娜说，针对消费者的攻击应该引起企业安全团队的重视，对于潜在的危险应该提前做好准备。保证系统在技术上的足够安全。

信源：https://www.darkreading.com/attacks-breaches/metaverse-top-avenue-cyberattacks-2023

索尼、Lexar 的加密设备供应商泄露敏感数据；

标签：索尼,Lexar ,设备供应商,泄露数据

当用户购买 Sony、Lexar 或 Sandisk USB 密钥或其它任何存储设备时，都会附带一个加密解决方案，以确保数据安全。

据悉，该方案由第三方供应商 ENC Security 开发，然而 近日Cybernews 研究小组披露，该公司在一年多时间里一直在泄露其配置和证书文件。

随着事件发酵，ENC Security 迅速做出回复，声称泄露事件原因是第三方供应商的错误配置，在收到通知后已立刻修复漏洞。

Cybernews 发现安全问题

从 Cybernews 披露的内容来看， 泄漏服务器内的数据主要包括销售渠道的简单邮件传输协议（SMTP）凭证、单一支付平台的 Adyen 密钥、电子邮件营销公司的 Mailchimp API 密钥、许可支付 API 密钥、HMAC 消息验证码以及以 .pem 格式存储的公共和私人密钥。

2021 年 5 月 27 日到 2022 年 11 月 9日 ，一年多的时间里，任何人都可以公开访问这些数据，直到 Cybernews 向 ENC Security 披露该漏洞后，该服务器才被关闭。

安全研究人员 Vareikis 表示，数据暴露长达一年多时间，潜在网络攻击者可利用上述数据进行从网络钓鱼、勒索软件等各种形势的网络攻击。

举个简单的例子，攻击者可能通过销售沟通渠道向客户发送假发票或通过可信的电子邮件地址传播恶意软件来欺骗客户。

此外，由于 Mailchimp API 密钥允许攻击者发送大规模营销活动并查看、收集线索，对攻击者来说无疑具有更大价值。不仅如此，勒索软件运营商也能够利用 .pem 文件里面的密钥开展未经授权的访问，甚至是服务器被接管。Vareikis 一再强调，泄漏一年多的数据对威胁者来说不亚于一个“金矿”。

ENC Security 公司回应

在收到并仔细分析 Cybernews 研究小组报告后，ENC Security 迅速采取措施，解决安全问题。ENC Security 发言人表示，公司始终认真对待数据的安全和保护，每一个安全问题都会被彻底研究并采取适当的措施进行补救，必要时也会通知客户进一步加强安全。

ENC Security 也曾出现其它安全事件

Cybernews 研究小组的发现与 2021 年 12 月研究人员 Sylvain Pelissier 的发现一样令人担忧。

去年，Pelissier 演示了在 ENC Security  DataVault 加密软件中发现的几个漏洞，这些漏洞可能允许攻击者在未经检测的情况下，获取用户密码并修改 vault 中的文件。不止于此，DataVaul 软件还使用了“计算工作量不足的密码哈希”，这可能会让攻击者暴力破解用户密码。

当时，ENC Security 承认 DataVault 软件 6 和 7.1 及其衍生版本易受攻击，不久后通过发布升级解决了漏洞。

Vareikis 告诫用户，一些“超级”安全公司喜欢使用类似“军用级”加密等词汇，过度夸大产品能力，进行虚假宣传，对于这种宣传，用户应当始终持怀疑态度。

信源：https://cybernews.com/security/encsecurity-leaked-sensitive-data/