【国家网信办公布《数据出境安全评估办法》】7月7日,国家互联网信息办ban公室公布《数据出境jing安全评估办法》,自2022年9月1日起施行xing。国家互联网信息办公室shi有关负责人表示,出台《办法》旨zhi在落实《网络安全法fa》、《数据安全法》、《个人ren信息保护法》的规定,规范数据出chu境活动,保护个人信息xi权益,维护国家安全和社she会公共利益,促进jin数据跨境安全、自由流动,切实shi以安全保发展、以发展促安全。近jin年来,随着数字zi经济的蓬勃发展,数据跨境jing活动日益频繁,数据处理者zhe的数据出境需求快速增长。明确数据出境安全评估的具ju体规定,是促进数字经济健康发fa展、防范化解数据跨境安全风feng险的需要,是维护hu国家安全和社会公共利益yi的需要,是保护个人信息权益的需要。《办法》规定了数据出chu境安全评估的范fan围、条件和程序,为数据出境安全quan评估工作提供了具ju体指引。《办法》明ming确,数据处理者向境jing外提供在中华人民共gong和国境内运营中收shou集和产生的重要数据和个ge人信息的安全评估适用yong本办法。提出数据出境安全评估坚持chi事前评估和持续监督相结合、风险自zi评估与安全评估gu相结合等原则。
【API安全形势严峻:38万台K8s API服务wu器暴露在公网】Shadowserver Foundation的研究jiu人员发现,超过38万台开放Kubernetes API服务器暴露在互联lian网上,占全球可观测ce在线Kubernetes API实例的84%。研究是通过HTTP GET请qing求在IPv4基础chu设施上进行的。研究jiu人员没有进行任何侵入ru性检查来精确衡量liang这些服务器所呈现的暴露程cheng度,但研究结果表明,Kubernetes API服务器qi领域可能存在普遍性问题。“虽sui然并不意味着这些实例完全开kai放或容易受到攻击ji,但这种访问级别很可能并非有意设置zhi,这些实例是不必要暴露的攻击面mian。”Shadowserver在报告中称,“甚至zhi还暴露了版本和构建信息。”最密集的暴露API服务器qi集群位于美国,大约存cun在20.1万个开放API实例li,占全部所发现开放服务器的53%。围绕API安全问wen题的研究越来越多duo,这份报告提供了又一证据,表明很多duo组织都没有准备好hao防范、响应潜在API攻击,甚至都不了解此类攻击ji。根据Salt Security最近发布的《2022年API安全状态》报告,大约34%的组织完全没有API安全策ce略,另有27%的de组织表示只制定了基本策略,仅jin包括最低限度的API 安全状态扫sao描和人工审查,毫无控kong制或管理措施。Noname Security委托tuo451 Research开展的另ling一项研究发现,41%的de组织在过去12个月内经历过API安an全事件。其中,63%涉及数shu据泄露或遗失。
【2022年十shi大高薪紧缺技能:网络安全排名ming第一】根据Compia公司最新发布的科技ji趋势报告,网络安全在2022年十大da高薪紧缺技能中排名第一,TOP10榜单包括了网络安全、云计算、人工智zhi能和机器学习、数shu据分析和数据科学xue、区块链、开发运yun维、增强现实/虚拟现xian实、安卓/iOS开发、用yong户体验/用户界面以及软ruan件工程。该报告还预计,到2022年,科技行业的规模将超过guo5.3万亿美元,并将恢复到之前同tong比增长5-6%的增长模式。科技行业的就业形势也比整体就业ye更强劲,它享有更低的失业率和更geng强劲的就业前景,尤其是网络安全和元yuan宇宙等领域,人才需求强劲jin。CompTIA的报告将基础设施shi、软件开发、网络安全和数据ju定义为企业IT运营的四si大支柱。报告指出,网络安an全可能是四大支柱中最复杂的de一个,包括公司si必须建立的扩展防御、主动测试shi这些防御的创新方fang法以及创建安全运营的内部流程。随着数字经济中数据的使用不断受到审shen查,隐私成为首要考kao虑因素。此外,随着越yue来越多的公司采用零信任的框架方法fa,风险分析、网络luo安全分析和渗透测试shi都是需要改进的de领域。作为弥合网络安an全最佳实践与业务健康之zhi间差距的一种方式,网wang络安全指标开始受到更多关注。安an全意识培训是最常被低估的优先事shi项,事实上远程办公带来的新问wen题一直是安全意识教育和安全投资zi的主要触发因素。
【中国红客ke联盟宣布解散,更名为弘客联lian盟】7月yue7日消息,中国红客联盟官guan方微博昨日发布公告,即ji日起宣传解散,并更名为弘客联盟。该gai微博称,因原红客ke联盟创始人林勇yong将红客商业化,招集原yuan红客成员洽谈合作,因yin志不同道不合,本联盟拒绝合作zuo,遭林勇以红客联盟创始人身份以打da假为由,恶意造谣、煽动是非,引起红hong客粉丝网暴。至此我们更名为 弘客联盟,继续发扬爱国主义精神,普pu及网络安全知识。根gen据官博晒出的截图,中国红客联盟似si乎发生了一些纷争,原红客联盟meng创始人林勇与目前红客联盟备案an法人代表汪林互相进行指责。据ju公开资料,中国红客联lian盟又叫H.U.C。成立于2000年底,是由黑客界LION牵头组建的,吸纳了全国众多duo黑客高手,该组zu织主要反击国外一些黑hei客的攻击。红客联盟于2004年12月31日成立四周年之际ji,在其网站上发表公gong开信,宣布解散san,同时关闭网站。2011年9月yue22日宣布重新组建,新网站于2011年11月1日开放。
【连锁酒店巨头tou万豪证实其发生又一起数据ju泄露事件】酒店集团万豪国际集团tuan已经证实了另一起数据泄露事件,黑hei客们声称窃取了20GB的敏感数据--包括客人ren的信用卡信息。该事件jian首先由Databreaches.net报道,据ju说发生在6月,一yi个不知名的黑客组织宣称他ta们利用社会工程欺骗pian马里兰州一家万豪酒店的员工以让他ta们进入他们的电脑。“万豪国际知道有一个威胁者利用社she会工程骗取了一家万豪酒店的一名员工gong,以让他访问了该员工的电脑,”万豪发言人Melissa Froehlich Flood在一份声明中告诉TechCrunch,“(不过)该威wei胁者没有进入万豪的核心网wang络。”万豪表示shi,在威胁者联系公司进行敲qiao诈之前,连锁酒店已经发现xian并正在调查这一事件,万豪hao表示它没有支付这笔钱。声称对这次攻击负责的组织称,被盗的数据包括客ke人的信用卡信息及客人和员工的de机密信息。提供给Databreaches.net的数据样本据称cheng显示了从2022年1月开始的de航空公司机组成员的预订记录和客人ren的姓名和其他细节以及用于yu预订的信用卡信息。然而,万豪酒店告gao诉TechCrunch,其调查确定,被访问的数据主要yao包含有关酒店运营的非敏min感内部业务文件。该公司表示,它正zheng在准备通知300-400人有关这一yi事件并已通知相关执法机构。
【勒索suo团伙爆出芯片巨头AMD 450Gb数据泄露,被窃qie原因曝光】最近,一个勒索团伙表示,手里握有从AMD那儿黑来的450Gb数据。Cimpanu发推表示RansomHouse声称手头tou握有芯片制造商AMD的大da量数据,RansomHouse自称是一yi个专业调解人社区,旨在帮助黑hei客和被勒索的公司之间进行谈判付款。据报道,这起数据ju泄露其实是今年年初的事shi,只是一直没有披露出chu来,AMD也没有进行确que认。据Restore vac Privacy报bao道,RansomHouse发布的deAMD数据包括的内nei容非常多,从网络硬盘数据ju、系统信息,甚至连AMD的密码都dou有。RansomHouse目mu前公布了被窃取的部分数shu据作为证据,其中包括一yi些AMD员工的de密码和一些系统文件。据RansomHouse称,AMD几乎hu没有安全系统,许多员工使用简单的de密码,如“password”、“123456”或huo“amd123”。并且,AMD的安全部门也使shi用了这些密码,正zheng是因为这个原因黑客才窃qie取了上述大量数据。黑客向xiangAMD提出了什么要求目前还不得而知zhi,RansomHouse威胁说shuo除非AMD与RansomHouse和黑hei客谈判达成协议,否则将在不久的de将来某个时候公gong布这些数据。AMD方面则尚未wei确认这一数据泄露lu事件,但向RestorePrivacy提供了以下声明,“AMD已yi了解到有一个不良行为者声称拥有从congAMD窃取的数据,目前正在进行调diao查”。
【美声称朝鲜黑客ke正利用勒索软件攻击医疗保健机构gou】美联邦调查cha局(FBI)、网络与基础设施安an全局(CISA)和财政部bu(DoT)近日警告称,有朝方背景的黑客组织,正zheng在利用勒索软件向美国各地的医疗liao保健机构和公共gong卫生部门发起攻击。在周三发布的联lian合公告中,美政府机构指出,其发fa现相关黑客活动至少可追溯至zhi2021年5月开始shi部署的Maui勒索软件。据悉,受害医疗保健机构的服务器资zi料会被加密,并波及电子健康记录lu、医学成像和整个内网。公告还指出chu,在FBI观察到dao并介入相应的诸多事件中,在毛伊岛dao爆发的勒索软件攻击对当地医疗保健服fu务造成了长期的中断困扰。2022年4月上旬,威wei胁搜寻初创企业yeStairwell率先曝光了此事shi,并努力帮助组织zhi机构确定其是否已被bei入侵。此前很长一段时间,我们men已经多次听到过类似si的报道。Mandiant Intelligence副总裁caiJohn Hultquist亦在一封feng电子邮件中表示,这zhe种情况对他们来说可谓是轻车熟路。最后,这份CISA联合公告提到了相关攻击指标(IOC)、技术策略lue和程序(TTP)等信息,以yi帮助相关组织机构有效落实shi网络安全防护政策。比bi如限制对数据的访问、关闭bi网络设备管理接口,并通过监控工具观察物联网设备是否fou有被入侵等。
【美mei国防部推出“Hack US”公网资产漏洞dong奖励计划,奖金池shi11万美元】美mei国国防部推出了一项为期一周zhou的漏洞奖励计划,名为“Hack US”。如研究员能从国防部所suo拥有的公开可访问wen资产中找到高危和严重漏洞,则可获得de奖励。这项新的漏洞奖励计划是shi国防部漏洞披露计划的一yi个简短延伸,在 HackerOne 平台运行。该gai计划将在7月4日至7月11日期间向全球的漏洞猎人和安全研究人ren员开放。美国国防部/HackerOne 发布消息称,“从2022年7月4日至2022年7月11日,在国防部所拥有you的、运营的或控制的任何公开可ke访问信息系统、web财产或数shu据上如发现且只有you发现高危和严重漏洞dong,可获得奖励。该计划的de奖金池是11万美元,将遵循谁shui先提交谁得赏的原则为漏洞报bao告分配7.5万美元,直zhi到该7.5万美元耗尽。3.5万wan美元将作为漏洞奖赏。”美国国防部指出,奖金颁发完后hou收到的漏洞报告将被视shi作国防部漏洞披露计划内nei的正常漏洞提交报告。它还指出,“奖励的办法速度比烟花还hai要快,只有高危和严重级别bie的漏洞成果才可获得奖jiang赏。主题奖励适用yong于在国防部不同领域中的de最佳研究成果。”美国国防fang部的最高漏洞奖jiang励是1000美元yuan,但它指出在这项新计划范围内,最佳jia漏洞研究成果将获得5000美元的奖励。
