周刊 | 网安大事回顾(2021.10.11—10.17)
近期,工信部组织各省通信管理局,持续推进APP侵害用户权益专项整治行动,加大常态化检查力度。截至目前,尚有96款APP未按时限要求完成整改。
国际热点方面,澳大利亚政府发布反勒索软件行动计划;美国总统拜登签署《2021年中小学网络安全法案》;美国政府宣布将全面部署EDR…
一周网安风云回顾,GoUpSec带你安全看世界。
#1 政策法规
关键词:SDK 勒索软件 拜登
近期,工信部组织各省通信管理局,持续推进APP侵害用户权益专项整治行动,加大常态化检查力度。截至目前,尚有96款APP未按时限要求完成整改。此外,检测发现字节跳动“穿山甲”SDK、腾讯“优量汇”SDK、快手广告SDK问题较多,分别占问题总量比例的37.4%、29.9%、8.0%。
澳大利亚内政部长近日宣布了“澳大利亚政府的勒索软件行动计划”,这是该国为应对日益严重的威胁而将采取的一系列新措施。勒索软件行动计划采取了果断的立场——即政府不允许向勒索网络罪犯分子支付赎金。任何赎金支付,只会助长勒索软件的商业模式。
10月8日,美国总统乔·拜登签署《2021年K-12网络安全法案》,使其正式生效。该法案旨在帮助改善中小学(K-12)学校的网络安全,使其不那么容易受到勒索软件的攻击。该法案指示网络安全和基础设施安全局(CISA)研究中小学面临的网络风险,并制定建议,协助学校面对这些风险。
#2 热点新闻
关键词:国家网络安全宣传周 EDR 2021国际网络安全大赛
10月11日至17日,2021年国家网络安全宣传周在全国范围内统一开展,开幕式于11日在陕西省西安市举行。本届网安周主题为“网络安全为人民,网络安全靠人民”。
2021年10月8日,美国白宫管理与预算办公室(OMB)发布备忘录(M-22-01),通过部署端点检测与响应(EDR)改进联邦政府系统的网络安全漏洞和事件检测。全力推动建设联邦政府EDR安全平台,提高美国政府网络安全漏洞和威胁的可见性与检测,将网络防御从被动姿态转向主动姿态。
10月11日,2021中国IPv6创新发展大会在北京开幕。本次大会以“创新赋能,筑基未来”为主题,由中央网信办、国家广电总局指导,推进IPv6规模部署专家委员会主办。大会期间还举办了网络前沿技术、政务领域、网络安全、央企信息化、工业互联网与智能制造、教育科研、互联网应用设施与服务等7个分论坛。
10月16日,“天府杯”2021国际网络安全大赛暨天府国际网络安全高峰论坛在成都天府国际会议中心盛大开幕。来自全国网络安全领域的近千位嘉宾相约天府,聚焦政策法规、产业最新发展方向、网络安全热点、前沿防护理念和技术创新、人才培养等行业前瞻热点话题。
#3 网络攻击
关键词:数据泄露 微软 宏碁
据研究人员称,一家巴西电子商务公司在错误配置Elasticsearch服务器后无意中暴露了近18亿条记录,其中包括客户和卖家的个人信息。研究人员在6月发现了这一事件,并迅速将泄漏追溯到Hariexpress——一家允许供应商管理和自动化跨多个市场(包括Facebook和亚马逊)活动的公司。
微软周二发布了针对70多个漏洞的补丁,其中一个Win32k特权提升漏洞已知在攻击中被积极利用。微软10月份的一批安全更新还包括修复其他三个公开披露的漏洞以及美国国家安全局(NSA)向该公司报告的Exchange Server漏洞。目前已知这些缺陷都没有被积极利用。
10月7日,苏格兰跨国工程企业伟尔集团披露了一项“勒索软件攻击企图”,称该事件导致了今年9月的“重大临时中断”。该公司在本周四的第三季度业务更新说明中表示,“集团目前正在处理9月下半月发生的一起高复杂度勒索软件攻击引发的后果。”
上周末,因遭遇网络攻击,厄瓜多尔最大私营银行皮钦查银行关闭了部分网络和系统,业务被迫中断。此次攻击导致该银行业务大面积中断,ATM机、网上银行、移动客户端、数字渠道和自助服务、电子邮件均无法运行。