国家工程实验室安全资讯周报20201221期

  • A+
所属分类:安全新闻

目录

国家工程实验室安全资讯周报20201221期 技术标准规范

  • 对《数据安全法》的理解和认识之 ( 一 ) | 立法思路

  • 对《数据安全法》的理解和认识之 ( 二 ) | 数据分级分类

  • 对《数据安全法》的理解和认识之 ( 三 ) | 中国版的封阻法令

  • 对《数据安全法》的理解和认识之 ( 四 ) | 重要数据如何保护

  • 个人信息保护之 ( 一 ) |《个人信息保护法(草案)》与GDPR的比较

  • 个人信息保护之 ( 二 ) | 合同所必需:魔鬼在细节之中

  • 个人信息保护之 ( 三 ) |《个人信息出境安全评估办法(征求意见稿)》中外比较解读

  • 个人信息保护之 ( 四 ) |《个人信息出境安全评估办法(征求意见稿)》中实体保护规则背后的主要思路

  • 个人信息保护之 ( 五 ) | 人脸识别技术运用的六大场景及法律规制框架的适配

  • 个人信息保护之 ( 六 ) | 人脸识别技术的法律规制研究初探

  • 个人信息保护之 ( 七 ) | 零售门店使用人脸识别技术的主要法律问题

  • 个人信息保护之 ( 八 ) | 个人信息的大规模收集与处理:一场世界性的潮流?

  • 数据跨境之 ( 一 ) |《网络安全法》中数据出境安全评估真的那么“另类”吗

  • 数据跨境之 ( 二 ) | 张晔华:GDPR数据跨境流动机制及其合规建议

  • 数据跨境之 ( 三 ) | 证监会姚前:数据跨境流动的制度建设与技术支撑

  • 数据跨境之 ( 四 ) | 商务部发文增设北京上海雄安为试点,数据跨境传输该往何处去?

  • 数据跨境之 ( 五 ) | 中国公司基于SCCs开展数据跨境流动的基本策略

  • 数据跨境之 ( 六 ) | “清洁网络计划”下的APEC跨境隐私保护(CBPR)体系

  • 数据跨境之 ( 七 ) | EDPB提出“评估目的国法律环境”的指南(全文翻译)

  • 数字贸易之 ( 一 ) | 2020年我国数字贸易发展报告

  • 数字贸易之 ( 二 ) | 专家:RCEP有望推动区域数字贸易发展

  • 数字贸易之 ( 三 ) | 论数据用益权

国家工程实验室安全资讯周报20201221期 行业发展动态

  • “互联网+ 制造业”的信息安全问题亟需重视

  • 盘点:2020年电力行业典型网络攻击事件

  • 原创 | 智能建筑中的安全风险

  • 冶金自动化控制系统信息安全问题探讨

国家工程实验室安全资讯周报20201221期 安全威胁分析

  • 原创 | 为什么ICS环境更容易被N-day漏洞攻击

  • 托管服务提供商Netgain的数据中心因勒索软件而被迫下线

  • 物联网安全:可计算加密算法

  • 通过IIoT和高级分析工具提升整体设备效率(OEE)

  • AMNESIA33:开源TCP/IP协议栈系列漏洞分析与验证

  • 流行网管软件厂商SolarWinds供应链攻击事件通告

  • 2020年最严重APT供应链攻击事件:影响全球,中国不是主要目标

  • 关键信息基础设施网络安全(物联网安全专题)监测月报202011期

  • 智慧城市建设与大数据安全问题研究

  • 1.8万企业中招!APT29对美国政府发动大规模“日爆”攻击

  • 安全研究 | Facebook中基于DOM的XSS漏洞利用分析

  • 五项检查有效避免SaaS安全配置错误

  • 基于知识服务的网络空间安全战略风险管理研究

  • 物联网安全:身份认证

  • 200家机构受害 数百人集团作战 —— 拨开年度最严重APT攻击疑云

  • 美国防部2021年全面推行零信任架构

  • 微软联合众科技公司攻陷Solar Winds黑客的关键域

  • 原创 | 工控系统安全EtherNet/IP协议分析

  • 云安全的下半场:原生安全

  • 解读“日爆攻击”的十大ATT&CK战术

  • 国内外最新网络安全发展态势

  • Ruckus IoT 控制器中的远程命令执行(CVE-2020-26878 +CVE-2020-26879)

国家工程实验室安全资讯周报20201221期 安全技术方案

  • 大数据和云计算环境下网络安全分析与解决方案研究

  • 内网渗透之主机出网OR不出网隧道搭建

  • 蜜罐诱捕能力指南

  • 原创 | 物联网安全的重要技术实施--安全可信标识

  • 容器云安全风险分析及防护体系设计

  • 基于关联知识图的网络攻击检测技术研究与实现

技术标准规范

1. 对《数据安全法》的理解和认识之 ( 一 ) | 立法思路

本文着重考察《数据安全法》的立法思路。这篇文章,具体勾勒出美、欧目前在数据安全上的主要发展和趋势。公号君认为可以此借鉴,观察我国《数据安全法(草案)》的立法思路是否对美欧的数据安全战略作出了因应,因此对这篇旧文进行了扩充,供大家参考。

https://mp.weixin.qq.com/s/CV2VzCqZIicJvPgknNXLsg

2. 对《数据安全法》的理解和认识之 ( 二 ) | 数据分级分类

本篇文章将关注《数据安全法》第十九条提出的数据分级分类的要求。在公号君看来,《数据安全法》提出的这条规定,具有重大的意义。本篇文章结合此前开展的一个课题研究【数据安全管理视角下的数据分类研究:研究报告全文】,来探讨《数据安全法》第十九条的重大创新。

https://mp.weixin.qq.com/s/a0kXJtSWjA6fyUy2k2e10Q

3. 对《数据安全法》的理解和认识之 ( 三 ) | 中国版的封阻法令

本篇文章将关注《数据安全法》第三十三条提出的境外执法机构调取我境内数据的相关要求。第三十三条境外执法机构要求调取存储于中华人民共和国境内的数据的,有关组织、个人应当向有关主管机关报告,获得批准后方可提供。中华人民共和国缔结或者参加的国际条约、协定对外国执法机构调取境内数据有规定的,依照其规定。

https://mp.weixin.qq.com/s/d4JqFh_NX3WNvv1atod_Gg

4. 对《数据安全法》的理解和认识之 ( 四 ) | 重要数据如何保护

本篇文章关注《数据安全法》提出的重要数据保护路径。《数据安全法(草案)》主要在第三章“数据安全制度”和第四章“数据安全保护义务”,从国家需建立的保护制度和重要数据的处理者应承担的保护义务两方面,对重要数据保护作出了规定。

https://mp.weixin.qq.com/s/68ouTUsydhtvvuniub-mwg

5. 个人信息保护之 ( 一 ) |《个人信息保护法(草案)》与GDPR的比较

本专栏将着重研讨我国《个人信息保护法》立法的历史意义,以及对我国数字时代的发展的基础性作用,乃至全球互联网治理的深远影响。第一篇是《个人信息保护法(草案)》与GDPR的比较。

https://mp.weixin.qq.com/s/NHXSJ2xfnCJApu5SOaf37A

6. 个人信息保护之 ( 二 ) | 合同所必需:魔鬼在细节之中

本专栏将着重研讨我国《个人信息保护法》立法的历史意义,以及对我国数字时代的发展的基础性作用,乃至全球互联网治理的深远影响。

本篇将分析新增的个人信息处理合法性基础——合同所必需,会对数据处理者(特别是互联网领域)带来的新的要求。

https://mp.weixin.qq.com/s/7nETzOc1Al9LBmWma2WAhA

7. 个人信息保护之 ( 三 ) |《个人信息出境安全评估办法(征求意见稿)》中外比较解读

数据跨境要解决的核心问题:1、实体规则在境内和境外的一致性问题2、实体规则在境外如何落实的问题。APEC下的CBPR体制、欧盟GDPR设计的机制,采取的思路截然不同。

https://mp.weixin.qq.com/s/PPF-Xch18ApSOInNrGtK5A

8. 个人信息保护之 ( 四 ) |《个人信息出境安全评估办法(征求意见稿)》中实体保护规则

数据流出国境,与数据在境内流动相比,会产生四个主要的变化:一是数据持有方发生变化,显然对数据的保护能力必然有相应的改变;二是数据流出后适用的法律法规不同了;三是原境内监管机关无法对接收数据的境外主体实施管辖权;四是个人数据主体维护自身合法权益的渠道变少了,且变得更加困难。

https://mp.weixin.qq.com/s/cP-ZkFqAv-1ypX5vJ-7Z2Q

9. 个人信息保护之 ( 五 ) | 人脸识别技术运用的六大场景及法律规制框架的适配

本篇在此前的研究的基础上进一步做了扩展,提出了人脸识别技术目前主要用于以下六大场景:计数、认证、识别、监控、伪造与窥探;而这六大应用场景分别有对应的法律监管框架可以套用。

https://mp.weixin.qq.com/s/MrZNnHMKrTtFg9hO7RCE4w

10. 个人信息保护之 ( 六 ) | 人脸识别技术的法律规制研究初探

人脸识别技术为社会带来效益提升同时,也隐含着因技术滥用对公民权益的风险与威胁。如何对技术失范问题加以规制成为使用人脸识别技术的亟待解决的问题。本文将从三个维度,即现阶段法律发展情况、人脸识别技术的机遇与风险、以及规制方式进行分析,从而为国内的人脸识别技术的规制提供借鉴。

https://mp.weixin.qq.com/s/F1_NnOWYvv2ixqwQI0-17Q

11. 个人信息保护之 ( 七 ) | 零售门店使用人脸识别技术的主要法律问题

近年来,品牌零售门店的智能化改造,成为当前零售业转型升级的重要路径。其中,因在客流数据分析、线上线下数据打通、顾客交互方式拓展等方面的独特优势,人脸识别技术成为零售门店智能化改造的重要内容,甚至一度成为新零售的代名词。

https://mp.weixin.qq.com/s/ICyauPJ8BzwuTIBpLUgS8Q

12. 个人信息保护之 ( 八 ) | 个人信息的大规模收集与处理:一场世界性的潮流?

目前,世界不少国家和地区所设计的数据跨境流动制度安排中,往往配置了考察数据目的地国家或地区的政治法律环境。在考察政治法律环境时,重点内容之一,即是安全或情报机关、执法机关大规模调取数据的权力。本文即是对此种现象的观察和分析。

https://mp.weixin.qq.com/s/9n_hrNv16LLRZZEsypyDHA

13. 数据跨境之 ( 一 ) |《网络安全法》中数据出境安全评估真的那么“另类”吗

本篇将一个关于中外数据出境制度的系统性内部评估报告中的少部分内容摘出,形成了下面的小报告,着重比较了个人数据出境制度中《网络安全法》和欧美制度的异同。贴出来供大家参考。

https://mp.weixin.qq.com/s/AnNkrFNCXf_phDlSXs_zlQ

14. 数据跨境之 ( 二 ) | 张晔华:GDPR数据跨境流动机制及其合规建议

随着各国对于数据的依赖程度不断上升、争夺日益激烈,数据主权的争论甚嚣尘上,对于数据跨境流动的监管也越来越强。与传统生产要素不同,数据作为资本的价值需要通过数据的流动才能体现出来,所以随着互联网经济的发展,数据跨境流动必然是大势所趋。

https://mp.weixin.qq.com/s/9eNJW6MQhfeBHsYhrNXotg

15. 数据跨境之 ( 三 ) | 证监会姚前:数据跨境流动的制度建设与技术支撑

随着互联网经济的发展以及新冠肺炎疫情后经济数字化进程的加速,数据日益成为关键生产要素。习近平总书记曾在不同场合多次强调数据的重要性:“在互联网经济时代,数据是新的生产要素,是基础性资源和战略性资源,也是重要生产力。”数据已和其他生产要素一起融入经济价值创造过程之中,对社会发展具有广泛影响。

https://mp.weixin.qq.com/s/Z1oXM-6W24sjCuef2SPDhQ

16. 数据跨境之 ( 四 ) | 商务部发文增设北京上海雄安为试点,数据跨境传输该往何处去?

近年来,数据跨境传输问题一直备受关注。此次《方案》首次明确,在条件较好的试点地区探索开展数据跨境传输安全管理试点。有专家提出,目前我国在数据跨境方面的政策还比较薄弱,比如要抓紧完善对重要数据的识别标准。

https://mp.weixin.qq.com/s/GpLv6c27CLogZXrOzMu1qg

17. 数据跨境之 ( 五 ) | 中国公司基于SCCs开展数据跨境流动的基本策略

背景:2020年7月16日,欧盟法院在“Schrems II”一案中废止了“欧盟-美国隐私盾”机制。同时,法院确认,标准合同条款(简称“SCC”)仍然是将欧盟个人数据转移到欧盟境外的有效机制。但,企业必须对个人数据接收国的法律进行个案评估,以验证是SCC是否可以得到有效遵从。

笔者抛砖引玉,分享个人对SCC跨境数据转移合规评估的思考。

https://mp.weixin.qq.com/s/Di7evoMtWw4kFRKqS60UdA

18. 数据跨境之 ( 六 ) | “清洁网络计划”下的APEC跨境隐私保护(CBPR)体系

前段时间,有一则关于APEC下的CBPRs制度最新进展的报道,引人关注。其中一个重要的原因是美国现任政府在推行“清洁网络计划”的背景【突发 | 特朗普签署关于TIKTOK和WECHAT的行政令】。

https://mp.weixin.qq.com/s/UHaRjfQ5D14B-lHVzyVjCw

19. 数据跨境之 ( 七 ) | EDPB提出“评估目的国法律环境”的指南(全文翻译)

2020年7月16日,欧盟法院("CJEU",或 "ECJ")对Schrems II案【即数据保护专员诉Facebook爱尔兰和Maximillian Schrems案,C-311/18】作出裁决。

Schrems II的裁决否决了欧盟-美国隐私盾作为向美国转移欧盟个人数据的依据,因为法院认为美国国家安全法没有提供与欧盟同等的隐私保护。

https://mp.weixin.qq.com/s/qS1IfG2Y5a6Uc03WsVFdXw

20. 数字贸易之 ( 一 ) | 2020年我国数字贸易发展报告

10月16日,第六场“工信安全智库”系列成果在线发布活动“数字贸易”专场成功举办。国家工业信息安全发展研究中心工程师方元欣发布了《2020年我国数字贸易发展报告》。报告对数字贸易的内涵定义、发展特点、发展框架作出解读,并基于国家工业信息安全发展研究中心两化融合服务平台数据库,对2019年度我国数字贸易规模进行测度和分析,首次发布“2019年我国数字贸易规模”测算结果,同时针对现状提出下一步发展的对策建议。

https://mp.weixin.qq.com/s/eCVDt0oyLV9WzZ3rjIHKDA

21. 数字贸易之 ( 二 ) | 专家:RCEP有望推动区域数字贸易发展

签署的区域全面经济伙伴关系协定(RCEP)受到各界积极评价,业界认为,协定不仅能推动区域货物贸易发展,在数字贸易领域更能助力区域经济一体化升级和推动全球规则制定。

https://mp.weixin.qq.com/s/aKFysmtZE7AnaJeH9lpDYA

22. 数字贸易之 ( 三 ) | 论数据用益权

数据权属及其分配规则不清,已成为数字经济发展的最大制度障碍。未来应根据数据要素市场对数据积极利用的巨大需求,借助自物权—他物权和著作权—邻接权的权利分割思想,容纳作为现代新兴权利客体的数据。根据不同主体对数据形成的贡献来源和程度的不同,应当设定数据原发者拥有数据所有权与数据处理者拥有数据用益权的二元权利结构,以实现数据财产权益分配的均衡。

https://mp.weixin.qq.com/s/3vSTDoR4th0tvXnCQMI2oQ

23. 数字贸易之( 四 ) | 欧盟两项数字法案被指针对美国巨头,欧美会否爆发数字贸易战?

有关对数字服务(主要是互联网服务)的监管和征收数字税的争端,是否会成为欧美贸易战乃至新一轮全球贸易摩擦的引爆点?欧盟15日公布规范有关数字服务的两项重要法案《数字服务法》和《数字市场法》。法案中对一些互联网公司等数字服务巨头进行更严格的规范和征收数字税的规定被认为是直接针对谷歌、亚马逊、苹果、脸书等美国公司。

https://mp.weixin.qq.com/s/l3otXM5fQO432o_rinctEQ

行业发展动态

24. “互联网+ 制造业”的信息安全问题亟需重视

制造业是立国之本,为把我国建设成为引领世界制造业发展的制造强国,2015年5月8日国务院发布了我国实施制造强国战略第一个十年的行动纲领——《中国制造2025》,提出要加快推动新一代信息技术与制造技术融合发展。同年7月4日,国务院发布了《关于积极推进“互联网+”行动的指导意见》,提出要推动互联网与制造业融合,提升制造业数字化、网络化、智能化水平。在这种背景下,“互联网+制造业”将成为我国制造业转型升级的有力武器。

https://mp.weixin.qq.com/s/XAF3P7LPqoJdUsgDJfkBwg

25. 盘点:2020年电力行业典型网络攻击事件

2020年,新冠疫情席卷全球,网络攻击事件频发,尤其是国家级网络攻击的强度和严重程度均出现飙升,以电力行业为代表的关键基础设施成为网络攻击的重点目标。电力行业是关键信息基础设施重要组成部分,与现代社会生产生活紧密相联,不仅关系到民众日常生活,同时还关系到其它关键信息基础设施的能源保障,甚至对国家安全都影响深远。

https://mp.weixin.qq.com/s/Xfo8iEWYEhO1xI_4B6lVxw

26. 原创 | 智能建筑中的安全风险

想象一下,一幢高层建筑中的满载电梯正在运行中,突然,电梯开始坠落,除了慌忙按亮所有楼层的按钮之外,似乎没有其他明显的停止装置,急速坠落的轿厢甚至在两侧擦出火花。当然这只是电影中的场景,在现实中,即便电梯发生下坠,在超过额定速度的时候,也会触发安全钳,确保轿厢被刹停在导轨上。但是安全是百分百的吗?这也引发我们思考这样一个事实,即拥有各种自动化设施的建筑中,到底存在多少被忽视的风险。

https://mp.weixin.qq.com/s/fX6sBHo_MmF_EtO0cmRp-A

27. 冶金自动化控制系统信息安全问题探讨

冶金企业作为对国计民生具有重要影响的行业,其工控系统的信息安全日益得到了各单位的重视。最近,笔者对国内冶金企业某钢厂重要工控系统信息安全管理情况进行了解,发现形势不容乐观,暴露出不少突出的安全问题,而这些问题又不单是技术问题,需要冶金企业、工业控制系统厂商、信息安全厂商的通力合作,共同面对冶金工业自动化控制系统信息安全方面的各种威胁。

https://mp.weixin.qq.com/s/yaDc6UVOWgfbz_cBlid0HQ

安全威胁分析

28. 原创 | 为什么ICS环境更容易被N-day漏洞攻击

2019年末,ClearSky的研究人员发现了一起由伊朗攻击者发起的针对以色列的攻击行动。攻击者利用VPN中漏洞成功攻陷了包括以色列在内的全球多个IT、电信、石油和天然气、航空、政府和安全部门的公司网络。这些被利用的VPN漏洞并没有多么的神秘,都是已经被各官方修复的N-day漏洞,如Pulse Secure VPN, Fortinet VPN以及最新的Citrix等。相比于0-day漏洞来说,工业控制系统(ICS)更易受到N-day漏洞的攻击,并且难以避免。

https://mp.weixin.qq.com/s/cgzMQ7N5xLOE_8vV4XF-kw

29. 托管服务提供商Netgain的数据中心因勒索软件而被迫下线

根据外媒的最新报道,在今年11月底遭受勒索软件攻击后,云托管和IT服务提供商Netgain的部分数据中心不得已而被迫下线。

Netgain是世界第一家基于硬件的IT架构监测和管理解决方案提供商,主要使命是帮助全球企业实现了完善的IT业务架构管理,保证用户系统资源的高可用性。

https://mp.weixin.qq.com/s/GWHuHIsq8OkGI0V8iDc_vg

30. 物联网安全:可计算加密算法

云计算开启了一个新的网络时代,对社会和经济等各个领域都产生了深远影响。但云计算在给用户带来便利的同时,也给用户的隐私安全带来了严重的威胁。用户将自己的数据交给云计算平台托管,自身则失去了对数据的直接控制力。云服务提供者可以任意地访问用户的数据,因此,如果云服务提供者本身不可信,则用户的数据隐私就无安全性可言。

https://mp.weixin.qq.com/s/wcPDu8JaYUvmQLPVWyirzA

31. 通过IIoT和高级分析工具提升整体设备效率(OEE)

进入2020 年,讨论整体设备效率(OEE)似乎显得有点过时了。无论是所谓的OEE、停机报告或资产利用率,都已不是什么新话题。在特定场景下,它还可能具有其它名称,例如就地清洗(CIP),虽然名称不同,但目的是一样的:如何快速完成过程并使资产恢复可用。

https://mp.weixin.qq.com/s/YQFuy7-NOCkreF3_bM2GfQ

32. AMNESIA33:开源TCP/IP协议栈系列漏洞分析与验证

近期,国外安全研究人员在多个被广泛使用的开源TCP/IP协议栈发现了多个漏洞,这一系列漏洞统称为AMNESIA33。这些漏洞广泛存在于嵌入式和物联网设备中,影响了多个行业领域(包括医疗、运输、能源、电信、工业控制、零售和商业等),目前已知范围内涉及了超150家供应商以及数以百万计的设备。

https://mp.weixin.qq.com/s/HYPndDCkbp01uslBRAvmeQ

33. 流行网管软件厂商SolarWinds供应链攻击事件通告

2020年12月13日,著名网络安全公司FireEye发布报告称,其发现了一个名为UNC2452(未分类的攻击团伙)的APT组织发起了一项全球性攻击活动。该组织通过入侵SolarWinds公司,篡改SolarWinds Orion商业软件包植入恶意代码,通过该公司的官方网站进行后门软件的分发。被植入的恶意代码包含信息收集、执行指定命令、读写删除文件等恶意功能,从而获取对受影响系统的控制。

https://mp.weixin.qq.com/s/jPa-AXbZH90XcQZ89D8zhA

34. 2020年最严重APT供应链攻击事件:影响全球,中国不是主要目标

12月14日,据路透社和《华盛顿邮报》报道,知名IT公司SolarWinds旗下的Orion网络监控软件更新服务器遭黑客入侵并植入恶意代码,导致美国财政部、商务部等多个政府机构用户受到长期入侵和监视,甚至可能与上周曝出的FireEye网络武器库被盗事件有关。美国国家安全委员会甚至因此在上周六召开紧急会议。

https://mp.weixin.qq.com/s/pfEnvEy8d28u_TB-pXA6dw

35. 关键信息基础设施网络安全(物联网安全专题)监测月报202011期

随着“互联网+”、“工业互联网”等战略的积极推进以及Lora、NB-IOT、eMTC等物联技术的快速发展,物联网与关键信息基础设施已开始深度融合,在提高相关行业的运行效率和便捷性的同时,也增加了其遭受网络攻击的风险。因此,亟需对关键信息基础设施的物联网网络安全问题加以重视和防护。

https://mp.weixin.qq.com/s/nvu4WWiIMxq3tyiY5NL1RQ

36. 智慧城市建设与大数据安全问题研究

通过对智慧城市建设总体架构、大数据安全等内容进行研究,归纳整理了智慧城市建设过程中面临的大数据安全问题。通过分析大数据安全问题产生的原因,给出提升大数据安全能力的方案建议,从而保证智慧城市建设中真正实现数据融通、信息安全,进而促进智慧城市建设持续、健康发展。

https://mp.weixin.qq.com/s/YwO3Ayli-jk1HZN8Ln6gBg

37. 1.8万企业中招!APT29对美国政府发动大规模“日爆”攻击

上周震惊全球网络安全界的FireEye被黑事件只是冰山一角,在攻击FireEye后不到一周时间,俄罗斯黑客组织APT29又入侵了包括美国财政部和商务部在内的多个政府机构。

https://mp.weixin.qq.com/s/UHAWmSY-SrCwlZmhWlpG0g

38. 安全研究 | Facebook中基于DOM的XSS漏洞利用分析

我们发现的第一个漏洞将允许一名恶意攻击者从facebook.com域名并通过postMessage来发送跨域消息。存在漏洞的终端节点将接收请求参数中用户可控制的内容,并使用postMessage中的发送消息来构建一个数据对象,该对象将与postMessage一起发送到已打开的窗口。接下来,我们所发现的第二个漏洞跟第一个漏洞有关,攻击者可以利用这个漏洞来根据Eventlistener接收到的表单提交数据来构造一个不安全的脚本。

https://mp.weixin.qq.com/s/B37jVDsDgL07R5sWz3OiOg

39. 五项检查有效避免SaaS安全配置错误

企业依赖SaaS应用执行无数功能,例如协作、市场营销、文件共享等等。但问题是,企业往往缺乏配置这些应用的资源,无法阻止网络攻击、数据渗漏及其他风险。

https://mp.weixin.qq.com/s/y9oBM_n4cL9eawU-Q-3P8A

40. 基于知识服务的网络空间安全战略风险管理研究

近年来,网络空间已经形成并不断发展,从根本上革新了信息的传播方式,使得物理世界和人类活动的关系越来越密切。但从世界范围看,网络空间结构和功能的复杂性、蕴含的极大经济和政治利益以及其本身的固有脆弱性,成为安全威胁和风险日益突出的重要原因,并成为新时期国家安全的全新挑战。网络空间战略风险是一类核心性、结构性、系统性风险,若疏于控制防范将会对网络空间造成重大破坏。

https://mp.weixin.qq.com/s/oIWbw-aBA3zqQt8k1D6WYw

41. 物联网安全:身份认证

在物联网系统中,信任是实施身份认证的关键。当一个物联网实体信任另一个实体时,可以通过身份认证许可双方进行通信并传输数据。在物联网系统中,实施身份认证的方式有多种,其中,RFID是一种典型的身份认证手段。

https://mp.weixin.qq.com/s/kbE-u3trGsyzsqanNgYkcg

42. 200家机构受害 数百人集团作战 —— 拨开年度最严重APT攻击疑云

截止12月16日,奇安信CERT已确认至少200家重要机构受害,美国占比超过60%;

奇安信CERT分析认为,执行该攻击行动的是一个数百人的集团化组织;

华尔街日报称,美国将该网络间谍活动确定为最高等级。

https://mp.weixin.qq.com/s/7C-jnYJ1WVvoLas7ed63MQ

43. 美国防部2021年全面推行零信任架构

美国国防信息系统局(DISA)计划于明年发布一份零信任指南,这也是美国国防部推动整体网络迈向全新安全配置的重要一步。

这份参考指南将为美国国防机构及IT部门提供一份指导性蓝图,推动网络体系过渡到新的模式,尝试对所有人采取相同的安全控制级别。换言之,新的安全体系将对所有用户都实施“零信任”策略。

https://mp.weixin.qq.com/s/a7j0JIb_w35iQ0WD24bLTg

44. 微软联合众科技公司攻陷Solar Winds黑客的关键域

微软和一些科技公司攻陷了SolarWinds黑客攻击中发挥核心作用的一个域名。通过夺取域名,微软及其合作伙伴试图识别所有受害者,同时也在阻止攻击者对当前受感染网络的入侵升级。

https://mp.weixin.qq.com/s/V4Gi9HDmzT1lp18Cn63eJw

45. 云安全的下半场:原生安全

随着云计算的日益普及,企业上云已经成为必然的趋势。Gartner曾作出一个预测:在2020年前,50%的企业将业务工作流放到本地需要作为异常事件进行审批。公司“无云”的策略会和现在“无网络”的策略一样少。可见,云计算将成为企业各项应用必不可少的服务平台和基础设施。

https://mp.weixin.qq.com/s/noctPskNK6Z7sPwjBi_hBA

46. 解读“日爆攻击”的十大ATT&CK战术

近日,知名网络安全公司FireEye和软件厂商SolarWinds先后被(同一)APT组织入侵,不但导致FireEye的红队工具“核泄露”,同时还通过SolarWinds软件供应链影响全球数万大型企业(包括FireEye),超过九成财富500强企业安装了木马化软件,在全球掀起轩然大波。

https://mp.weixin.qq.com/s/gZA_A-9YlLEHCx6OAxoPEg

47. 国内外最新网络安全发展态势

重要事件回顾,智览网安行业发展。近日国内外网安行业发生了哪些重要事件,呈现出了怎样的发展态势呢?本文将从行业大角度出发,带领大家回顾近日国内外行业的重要事件,探究其中的发展态势。

https://mp.weixin.qq.com/s/0vMQjnLuuqHEmfJjqefOXw

48. Ruckus IoT 控制器中的远程命令执行(CVE-2020-26878 +CVE-2020-26879)

今天的文章是关于在Ruckus vRIoT中发现的两个漏洞(CVE-2020-26878和CVE-2020-26879),它们可以组合利用导致远程命令执行漏洞。

https://mp.weixin.qq.com/s/d72QzbYwX2-Ar2NEKHlNOg

49. CVE-2020-7200:HPE 0day漏洞

近日,Hewlett Packard Enterprise (HPE) 公开了HPESystems Insight Manager (SIM)软件专用版Windows 和Linux 版本的一个0 day安全漏洞。HPE SIM软件是多HPE 服务器、存储和网络产品的远程支持自动化解决方案。

https://mp.weixin.qq.com/s/eIrx85YhtWm3mK5X5lG3ew

安全技术方案
50. 大数据和云计算环境下网络安全分析与解决方案研究

近年来,网络安全事件频发,全球网络攻防对抗的强度、频率、规模和影响力不断升级,攻击对象逐步从公共互联网向工业互联网转移,国家网络空间安全和利益面临更深层次挑战。在分析大数据和云计算环境下的网络安全现状、面临威胁和应对策略的基础上,对相关安全防护技术进行研究,提出了一种数据中心的网络安全解决方案,以期为增强网络安全综合防护能力提供借鉴和参考。

https://mp.weixin.qq.com/s/vkShLwrB0GhoObsSXQvj-w

51. 内网渗透之主机出网OR不出网隧道搭建

当拿到权限之后,做完本地信息收集,最重要的就是做个隧道,对内网进行下一步攻击,这里简单介绍几个常用的工具,主要针对于出网和不出网两种情况。

https://mp.weixin.qq.com/s/-uqvQIrriTCwGWvG7xZ4KQ

52. 蜜罐诱捕能力指南

蜜罐技术(以下称为“蜜罐”)是一项历史相对“悠久”的技术——早在1998年就有商用化的蜜罐产品出现。但是,蜜罐技术本身存在难扩展、缺乏主动性、缺少溯源能力、不便管理等问题,无法满足当下“主动防御”的特点,因此蜜罐技术本身也需要进一步升级。

https://mp.weixin.qq.com/s/hb2wSxhMHCRX6PUjb7sGpA

53. 原创 | 物联网安全的重要技术实施--安全可信标识

时至今日,物联网已经彻底走进、融入我国的生产、建设中,新技术、新思维推动的新基建时代已经到来。在各类重要新基础设施建设的过程中,无论是建设主体的大数据分析要求还是社会大众对于各类数据、资讯的需求程度都远超以往,在强烈需求下万物互联的思想得以真正沉淀到每一个基础建设的应用场景当中。

https://mp.weixin.qq.com/s/m4VYSHFTyNxp-YF5B6aI1Q

54. 容器云安全风险分析及防护体系设计

时至今日,物联网已经彻底走进、融入我国的生产、建设中,新技术、新思维推动的新基建时代已经到来。在各类重要新基础设施建设的过程中,无论是建设主体的大数据分析要求还是社会大众对于各类数据、资讯的需求程度都远超以往,在强烈需求下万物互联的思想得以真正沉淀到每一个基础建设的应用场景当中。

https://mp.weixin.qq.com/s/UiWqhELflB6OcMOOMjWOaA

55. 基于关联知识图的网络攻击检测技术研究与实现

现实中如何对海量流量进行网络攻击检测已成为一个难题。使用传统的机器学习攻击检测,需要对海量流量数据全部打上标签用于训练,显然是不合理且难以实现的。因此,提出了一种半监督的基于关联知识图和大数据的网络攻击检测技术。

https://mp.weixin.qq.com/s/PpeT08AIgsJJtvxskgwu3Q



[]

国家工程实验室安全资讯周报20201221期

本文始发于微信公众号(网络安全应急技术国家工程实验室):国家工程实验室安全资讯周报20201221期

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: