普普安全資訊一周概覽(0805-0811)

作者:

時間:
2023-08-11


01

國家網(wǎng)信辦:處理超過百萬人個人信息每年至少開展一次合規(guī)審計


《管理辦法》提出,處理超過100萬人個人信息的個人信息處理者,應(yīng)當(dāng)每年至少開展一次個人信息保護合規(guī)審計;其他個人信息處理者應(yīng)當(dāng)每二年至少開展一次個人信息保護合規(guī)審計;對個人信息處理者在公共場所安裝圖像采集、個人身份識別設(shè)備的,應(yīng)當(dāng)重點對其安裝圖像采集、個人信息身份識別設(shè)備的合法性及所收集個人信息的用途進行審查,審查內(nèi)容包括但不限于:是否為維護公共安全所必需,是否存在為商業(yè)目的處理所采集信息的情況;是否設(shè)置了顯著的提示標(biāo)志;若個人信息處理者所收集的個人圖像、身份識別信息用于維護公共安全以外用途的,是否取得個人單獨同意。大型互聯(lián)網(wǎng)平臺運營者應(yīng)當(dāng)成立主要由外部成員組成的獨立機構(gòu)對個人信息保護情況進行監(jiān)督。審計時,應(yīng)當(dāng)對獨立機構(gòu)的獨立性、履職能力、監(jiān)督作用等進行評價。


普普點評

家網(wǎng)信部門會同公安機關(guān)等國務(wù)院有關(guān)部門按照統(tǒng)籌規(guī)劃、合理布局、擇優(yōu)推薦的原則建立個人信息保護合規(guī)審計專業(yè)機構(gòu)推薦目錄,每年組織開展個人信息保護合規(guī)審計專業(yè)機構(gòu)評估評價,并根據(jù)評估評價情況動態(tài)調(diào)整個人信息保護合規(guī)審計專業(yè)機構(gòu)推薦目錄。





02

微軟借助GPT-4打造安全運營助手

7月,微軟宣布擴大其基于GPT-4的安全運營中心AI助手Security Copilot服務(wù)訪問范圍,將有更多客戶和一些技術(shù)合作伙伴可以使用這款A(yù)I助手。Security Copilot將在今年秋天進入其官方“早期訪問預(yù)覽”窗口,取代微軟目前的私人預(yù)覽版并添加一些新功能。Microsoft Security Copilot 是一款基于 AI 的安全分析工具,使分析師能夠快速響應(yīng)威脅、以機器速度處理警報并在幾分鐘內(nèi)評估風(fēng)險暴露。目前可用的版本包含了用戶反饋并添加了“提示手冊”(供安全專業(yè)人員開啟分析流程的一系列常用AI提示),以及常用網(wǎng)絡(luò)安全工具集成以簡化操作。微軟副總裁兼AI安全架構(gòu)師Chang Kawaguchi表示,其目的是提高安全團隊的效率,緩解安全人才短缺的壓力,并簡化通常十分復(fù)雜的安全活動。

普普點評

推出LLM網(wǎng)絡(luò)安全助手的公司不少,微軟是最近官宣的一家。在8月舉行的美國黑帽大會上,Google Cloud的安全專業(yè)人員將探討該公司如何運用大語言模型分析其Mandiant事件響應(yīng)小組的威脅。而在5月,CrowdStrike推出了其自有的生成式AI助手Charlotte,企業(yè)可通過向此網(wǎng)絡(luò)安全服務(wù)提問來學(xué)習(xí)。這么做可以更快做出更明智的決策,還可以增強本沒有時間大力發(fā)展的能力。





03

工業(yè)和信息化部 國家標(biāo)準(zhǔn)化管理委員會印發(fā)《國家車聯(lián)網(wǎng)產(chǎn)業(yè)標(biāo)準(zhǔn)體系建設(shè)指南(智能網(wǎng)聯(lián)汽車)(2023版)》

為加強網(wǎng)絡(luò)安全國家標(biāo)準(zhǔn)在國家網(wǎng)絡(luò)安全保障工作中的基礎(chǔ)性、規(guī)范性、引領(lǐng)性作用,全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(簡稱“信安標(biāo)委”)秘書處堅持問題導(dǎo)向,調(diào)研國家網(wǎng)絡(luò)安全重點工作和技術(shù)產(chǎn)業(yè)發(fā)展需求,研究形成了2023年度第二批網(wǎng)絡(luò)安全國家標(biāo)準(zhǔn)需求清單。為充分發(fā)揮標(biāo)準(zhǔn)在車聯(lián)網(wǎng)產(chǎn)業(yè)生態(tài)環(huán)境構(gòu)建中的引領(lǐng)和規(guī)范作用,適應(yīng)我國智能網(wǎng)聯(lián)汽車發(fā)展的新趨勢、新特征和新需求,加快構(gòu)建新型智能網(wǎng)聯(lián)汽車標(biāo)準(zhǔn)體系,工業(yè)和信息化部、國家標(biāo)準(zhǔn)化管理委員會聯(lián)合修訂形成《國家車聯(lián)網(wǎng)產(chǎn)業(yè)標(biāo)準(zhǔn)體系建設(shè)指南(智能網(wǎng)聯(lián)汽車)(2023版)》。
??

普普點評

下一步,工業(yè)和信息化部將深入推進智能網(wǎng)聯(lián)汽車標(biāo)準(zhǔn)體系建設(shè),繼續(xù)指導(dǎo)全國汽標(biāo)委智能網(wǎng)聯(lián)汽車分標(biāo)委(SAC/TC114/SC34)及有關(guān)單位,加大在功能安全、網(wǎng)絡(luò)安全、操作系統(tǒng)等重點領(lǐng)域的標(biāo)準(zhǔn)研制力度,積極參與國際標(biāo)準(zhǔn)法規(guī)協(xié)調(diào)制定,推進關(guān)鍵標(biāo)準(zhǔn)的宣貫實施,加快新能源汽車與信息通信、智能交通、智慧城市等融合發(fā)展,通過標(biāo)準(zhǔn)引導(dǎo)推動我國智能網(wǎng)聯(lián)汽車產(chǎn)業(yè)高質(zhì)量發(fā)展。





04

我國牽頭提出的國際標(biāo)準(zhǔn)《網(wǎng)絡(luò)安全 工業(yè)互聯(lián)網(wǎng)平臺安全參考模型》正式發(fā)布

2023年7月,我國牽頭提出的國際標(biāo)準(zhǔn)ISO/IEC 24392:2023《網(wǎng)絡(luò)安全 工業(yè)互聯(lián)網(wǎng)平臺安全參考模型》正式發(fā)布。該提案于2018年4月提交至ISO/IEC JTC1/SC27,后經(jīng)研究,于2019年6月正式立項;2023年7月正式發(fā)布。我國3名專家擔(dān)任該國際標(biāo)準(zhǔn)提案的編輯和聯(lián)合編輯。ISO/IEC 24392作為首個工業(yè)互聯(lián)網(wǎng)安全領(lǐng)域的國際標(biāo)準(zhǔn),基于工業(yè)互聯(lián)網(wǎng)平臺安全域、系統(tǒng)生命周期和業(yè)務(wù)場景三個視角構(gòu)建了工業(yè)互聯(lián)網(wǎng)平臺安全參考模型。

普普點評

該國際標(biāo)準(zhǔn)用于解決工業(yè)互聯(lián)網(wǎng)應(yīng)用和發(fā)展過程中的平臺安全問題,可以系統(tǒng)指導(dǎo)工業(yè)互聯(lián)網(wǎng)企業(yè)及相關(guān)研究機構(gòu),針對不同的工業(yè)場景,分析工業(yè)互聯(lián)網(wǎng)平臺的安全目標(biāo),設(shè)計工業(yè)互聯(lián)網(wǎng)平臺安全防御措施,增強工業(yè)互聯(lián)網(wǎng)平臺基礎(chǔ)設(shè)施的安全性。



05

研究人員發(fā)現(xiàn)特斯拉汽車能被越獄,可免費解鎖付費功能

柏林工業(yè)大學(xué)的研究人員開發(fā)出一種新技術(shù),可以破解特斯拉近期推出所有車型上使用的基于 AMD 的信息娛樂系統(tǒng),并使其運行包括付費項目在內(nèi)的任何軟件。實驗過程中,研究人員提取特斯拉在其服務(wù)網(wǎng)絡(luò)中用于汽車身份驗證的唯一硬件綁定 RSA 密鑰,并通過電壓故障激活軟件鎖定的座椅加熱和 “加速度提升”等付費功能。研究人員之所以能夠利用基于該團隊之前 AMD 研究的技術(shù)入侵信息娛樂系統(tǒng),是發(fā)現(xiàn)了故障注入攻擊可以從平臺中提取機密。特斯拉的信息娛樂 APU 基于易受攻擊的 AMD Zen 1 CPU,研究人員解釋稱為此正在對 AMD 安全處理器(ASP)使用已知的電壓故障注入攻擊,作為系統(tǒng)信任的根源。研究人員介紹了如何使用低成本的非自帶硬件來安裝閃爍攻擊,以顛覆 ASP 的早期啟動代碼。然后,展示了如何逆向設(shè)計啟動流程,從而在他們的恢復(fù)和生產(chǎn) Linux 發(fā)行版上獲得 root shell'。

普普點評

研究人員已經(jīng)負責(zé)任地向特斯拉披露了他們的發(fā)現(xiàn),汽車制造商正在對發(fā)現(xiàn)的問題進行補救。特斯拉在接到警示后通知研究人員他們啟用后座加熱器的概念驗證是基于舊版本的固件,在較新的版本中,只有在特斯拉提供有效簽名(并由網(wǎng)關(guān)檢查/強制執(zhí)行)的情況下,才能對該配置項進行更新。在最新特斯拉軟件更新中,密鑰提取攻擊仍然有效,這個漏洞目前仍然可以被潛在的攻擊者利用。



06

谷歌:安卓惡意軟件通過版本控制潛藏在Google Play商店

谷歌云安全團隊近日表示,惡意行為者在躲過Google Play商店的審查流程和安全控制后,會使用一種被稱為版本控制的常見策略,在Android設(shè)備上植入惡意軟件。該技術(shù)通過向已安裝的應(yīng)用程序提供更新來引入惡意有效負載,或者通過所謂的動態(tài)代碼加載(DCL)從威脅參與者控制的服務(wù)器加載惡意代碼。它允許攻擊者繞過應(yīng)用商店的靜態(tài)分析檢查,在Android設(shè)備上以原生、Dalvik或JavaScript代碼的形式部署有效負載。谷歌在今年的威脅趨勢報告中提到:惡意行為者試圖規(guī)避 Google Play 安全控制的一種方式是版本控制。比如,開發(fā)者會在Google Play應(yīng)用商店發(fā)布一個看似合法并通過谷歌檢查的應(yīng)用程序初始版本,但隨后用戶會收到來自第三方服務(wù)器的更新提示,這時候終端用戶設(shè)備上的代碼會被改變,這樣威脅者就可以實施惡意活動,從而實現(xiàn)版本控制。

普普點評

為了躲避 Play Store 系統(tǒng)的檢測,SharkBot 的威脅制造者采用了一種現(xiàn)在常見的策略,即在 Google Play 上發(fā)布功能有限的版本,掩蓋其應(yīng)用程序的可疑性質(zhì)。然而,一旦用戶下載了木馬應(yīng)用程序,就會下載完整版的惡意軟件。這種方法能有效破解谷歌的應(yīng)用程序分析工具,使其無法掃描惡意 APK(安卓應(yīng)用程序包)。因此,盡管這些有害的 APK 被標(biāo)記為無效,仍能成功安裝到用戶的設(shè)備上。



07

網(wǎng)絡(luò)犯罪分子正在訓(xùn)練新的AI以協(xié)助網(wǎng)絡(luò)釣魚和惡意軟件攻擊

據(jù)網(wǎng)絡(luò)安全公司SlashNext報道,繼以惡意軟件為重點數(shù)據(jù)進行訓(xùn)練的WormGPT之后,又有一款名為FraudGPT的新一代生成式人工智能黑客工具面世。據(jù)稱,這兩款A(yù)I聊天機器人能為網(wǎng)絡(luò)犯罪分子在網(wǎng)絡(luò)釣魚、社交工程、漏洞利用和惡意軟件創(chuàng)建等惡意目的上提供協(xié)助。7月25日,一個名為CanadianKingpin12的用戶在各種黑客論壇上對FraudGPT進行了宣傳,該用戶表示該工具主要面向黑客、欺詐者和垃圾郵件發(fā)送者。其還聲稱該聊天機器人具有以下功能:編寫惡意代碼、創(chuàng)建不被檢測到的惡意軟件、創(chuàng)建釣魚頁面、創(chuàng)建黑客工具、查找泄露及漏洞、學(xué)習(xí)編碼/黑客技術(shù)等。SlashNext研究人員的調(diào)查顯示,CanadianKingpin12正在積極訓(xùn)練新的聊天機器人DarkBART,并將其介紹為谷歌生成式人工智能聊天機器人Bard的“黑暗版本”,使用從暗網(wǎng)獲取的數(shù)據(jù)集進行訓(xùn)練。

普普點評


這些惡意軟件據(jù)稱能夠用于:創(chuàng)建針對人們的密碼和信用卡詳細信息的復(fù)雜網(wǎng)絡(luò)釣魚活動;執(zhí)行高級社交工程攻擊,獲取敏感信息或未經(jīng)授權(quán)訪問系統(tǒng)和網(wǎng)絡(luò);利用計算機系統(tǒng)、軟件和網(wǎng)絡(luò)的漏洞;創(chuàng)建并分發(fā)惡意軟件;利用零日漏洞獲取財務(wù)利益或破壞系統(tǒng)等。這項調(diào)查研究表明,網(wǎng)絡(luò)犯罪分子使用生成式AI聊天機器人的趨勢正在增長,在這些工具的協(xié)助下,原本技術(shù)水平欠缺的黑客也能實施更惡劣影響更廣泛的攻擊,可能會對網(wǎng)絡(luò)安全和網(wǎng)絡(luò)犯罪格局產(chǎn)生重大影響。