周刊 | 网安大事回顾(2023.3.27—2023.4.2)

政策法规:三部门颁布数据安全工程技术人员国家职业标准;四部门发布《关于开展网络安全服务认证工作的实施意见》…

热点新闻:Twitter源代码遭员工泄露;白宫禁止美国政府部门使用商业间谍软件…

融资动态:乾云科技完成约3000万元的定向增发;Britive获得2050万美元的B轮融资…

网络攻击:ChatGPT遭遇数据泄露,人工智能安全如何保证?澳大利亚再发严重数据泄露事件,涉及800万用户个人信息…

为推进网络安全服务认证体系建设,提升网络安全服务机构能力水平和服务质量,根据《网络安全法》《认证认可条例》,市场监管总局、中央网信办、工业和信息化部、公安部就开展国家统一推行的网络安全服务认证工作提出《关于开展网络安全服务认证工作的实施意见》。

一周网安风云回顾,GoUpSec带你安全看世界。

1、政策法规

关键词:数据安全 网络安全服务认证 区块链

三部门颁布数据安全工程技术人员国家职业标准

根据《中华人民共和国劳动法》《中华人民共和国职业教育法》有关规定,人力资源社会保障部、中央网信办、工业和信息化部共同制定了数据安全工程技术人员国家职业标准,于近日颁布施行。

四部门发布《关于开展网络安全服务认证工作的实施意见》

为推进网络安全服务认证体系建设,提升网络安全服务机构能力水平和服务质量,根据《网络安全法》《认证认可条例》,市场监管总局、中央网信办、工业和信息化部、公安部就开展国家统一推行的网络安全服务认证工作提出《关于开展网络安全服务认证工作的实施意见》。

工信部公开征求对《区块链和分布式记账技术标准体系建设指南(2023版)》(征求意见稿)的意见

为全面贯彻习近平总书记在中共中央政治局第十八次集体学习上的重要指示精神,深入落实《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》《关于加快推动区块链技术应用和产业发展的指导意见》等总体部署,充分发挥标准在区块链发展过程中的支撑和引领作用,工业和信息化部科技司组织有关单位编制完成了《区块链和分布式记账技术标准体系建设指南(2023版)》(征求意见稿),公开征求社会各界意见。

2热点新闻

关键词:源代码泄露 商业间谍软件 WLAN AI恶意软件

Twitter源代码遭员工泄露

据《纽约时报》报道,Twitter的源代码被心怀不满的离职员工在GitHub平台泄露长达数月才被删除。Twitter向GitHub发出DMCA侵权通知,要求该平台删除Twitter的专有源代码和内部工具,因为泄露的源代码包含安全漏洞,攻击者可提取用户数据甚至关闭Twitter,这对Twitter构成严重安全风险。

白宫禁止美国政府部门使用商业间谍软件

美国总统拜登本周一(3月27日)签署了一项行政命令,禁止美国联邦机构,包括从事执法、国防或情报活动的机构,“操作使用”商业间谍软件。白宫官员没有透露具体哪些商业间谍软件被禁止,但使用商业间谍软件一词强烈暗示禁止名单将包括NSO、Cytrox、Candiru等公司销售的工具。

WLAN协议曝重大设计漏洞,可劫持web流量

东北大学的网络安全研究人员在IEEE 802.11无线局域网协议标准中发现了一个设计漏洞,攻击者可欺骗接入点以明文形式泄漏网络帧。该缺陷可以用来劫持TCP连接或拦截客户端Web流量,影响范围极大,包括各种设备和操作系统(Linux,FreeBSD,iOS和Android)。

AI多态恶意软件击败主流EDR

近日,Hyas实验室用大语言模型概念验证开发出了能够绕过当前网络安全市场中最先进的EDR检测的多态恶意软件。这个代号“黑曼巴”的恶意软件是一个动态键盘记录器,使用与ChatGPT相同的大语言模型技术。利用大语言模型生成代码在每次执行时更改攻击方法,多态恶意软件能够逃避标准检测技术并窃取有价值的数据,例如用户名,密码,信用卡号等。

3融资动态 

关键词:乾云科技 Britive

乾云科技完成约3000万元的定向增发

乾云科技近日宣布完成约3000万元的定向增发,投资方为山东山科创新股权投资。乾云科技由山东省国资参股,旨在实现核心技术自主可控。公司专注于云计算核心系统的研发和商业化,有安全私有云、信创桌面云、可信混合云三大类自主产品并提供专业技术服务。

Britive获得2050万美元的B轮融资

Britive近日宣布获得2050万美元的B轮融资,投资方为Pelion Venture Partners领投,Liberty Global Ventures、One Way Ventures、Crosslink Capital跟投。公司的平台为跨云基础架构、DevOps和安全功能的团队提供适用于多云环境的动态和智能特权访问管理解决方案。

4网络攻击 

关键词:ChatGPT 网络攻击 数据泄露

ChatGPT遭遇数据泄露,人工智能安全如何保证?

美国时间3月25日,OpenAI官方发布了3月20日ChatGPT临时中断服务的调查报告,并表示有1.2%的ChatGPT Plus的用户数据可能被泄露。根据OpenAI官网公告表示,3月20日前,因开源数据库存在的错误导致了缓存出现问题,一些用户可能看到其他人聊天记录的片段,以及其他用户信用卡的最后四位数字、到期日期、姓名、电子邮件地址和付款地址等信息。

澳大利亚再发严重数据泄露事件,涉及800万用户个人信息

三月初,澳大利亚非银行贷款机构Latitude Financial遭遇了一次网络攻击,最新情况表明,其后果可能比先前预估的更加严重。该公司于3月16日首次透露了这起攻击事件,称有33万客户的数据遭到泄露,而最近,该公司承认受影响的客户数量可能达到了800万之多。

南亚APT组织Bitter正在针对中国的核能机构进行网络攻击

Bitter是一个长期活跃的南亚网络间谍组织,主要针对能源和政府部门实施敏感资料窃取等恶意行为,过去曾攻击过巴基斯坦、中国、孟加拉、沙特阿拉伯等国,具有明显的政治背景。在其最近的攻击中,网络安全公司Intezer发现了七封伪装成来自吉尔吉斯斯坦大使馆的电子邮件,这些电子邮件被发送给了中国核能行业相关人员,另外还有部分核能学术界的人员也收到了这类邮件。

前一篇应用安全的盲点与热点:AI安全
后一篇涉嫌侵犯隐私 ChatGPT在意大利下线