普普安全資訊一周概覽(0805-0811)

作者:

時間:
2023-08-11


01

國家網信辦:處理超過百萬人個人信息每年至少開展一次合規(guī)審計


《管理辦法》提出,處理超過100萬人個人信息的個人信息處理者,應當每年至少開展一次個人信息保護合規(guī)審計;其他個人信息處理者應當每二年至少開展一次個人信息保護合規(guī)審計;對個人信息處理者在公共場所安裝圖像采集、個人身份識別設備的,應當重點對其安裝圖像采集、個人信息身份識別設備的合法性及所收集個人信息的用途進行審查,審查內容包括但不限于:是否為維護公共安全所必需,是否存在為商業(yè)目的處理所采集信息的情況;是否設置了顯著的提示標志;若個人信息處理者所收集的個人圖像、身份識別信息用于維護公共安全以外用途的,是否取得個人單獨同意。大型互聯(lián)網平臺運營者應當成立主要由外部成員組成的獨立機構對個人信息保護情況進行監(jiān)督。審計時,應當對獨立機構的獨立性、履職能力、監(jiān)督作用等進行評價。


普普點評

家網信部門會同公安機關等國務院有關部門按照統(tǒng)籌規(guī)劃、合理布局、擇優(yōu)推薦的原則建立個人信息保護合規(guī)審計專業(yè)機構推薦目錄,每年組織開展個人信息保護合規(guī)審計專業(yè)機構評估評價,并根據(jù)評估評價情況動態(tài)調整個人信息保護合規(guī)審計專業(yè)機構推薦目錄。





02

微軟借助GPT-4打造安全運營助手

7月,微軟宣布擴大其基于GPT-4的安全運營中心AI助手Security Copilot服務訪問范圍,將有更多客戶和一些技術合作伙伴可以使用這款AI助手。Security Copilot將在今年秋天進入其官方“早期訪問預覽”窗口,取代微軟目前的私人預覽版并添加一些新功能。Microsoft Security Copilot 是一款基于 AI 的安全分析工具,使分析師能夠快速響應威脅、以機器速度處理警報并在幾分鐘內評估風險暴露。目前可用的版本包含了用戶反饋并添加了“提示手冊”(供安全專業(yè)人員開啟分析流程的一系列常用AI提示),以及常用網絡安全工具集成以簡化操作。微軟副總裁兼AI安全架構師Chang Kawaguchi表示,其目的是提高安全團隊的效率,緩解安全人才短缺的壓力,并簡化通常十分復雜的安全活動。

普普點評

推出LLM網絡安全助手的公司不少,微軟是最近官宣的一家。在8月舉行的美國黑帽大會上,Google Cloud的安全專業(yè)人員將探討該公司如何運用大語言模型分析其Mandiant事件響應小組的威脅。而在5月,CrowdStrike推出了其自有的生成式AI助手Charlotte,企業(yè)可通過向此網絡安全服務提問來學習。這么做可以更快做出更明智的決策,還可以增強本沒有時間大力發(fā)展的能力。





03

工業(yè)和信息化部 國家標準化管理委員會印發(fā)《國家車聯(lián)網產業(yè)標準體系建設指南(智能網聯(lián)汽車)(2023版)》

為加強網絡安全國家標準在國家網絡安全保障工作中的基礎性、規(guī)范性、引領性作用,全國信息安全標準化技術委員會(簡稱“信安標委”)秘書處堅持問題導向,調研國家網絡安全重點工作和技術產業(yè)發(fā)展需求,研究形成了2023年度第二批網絡安全國家標準需求清單。為充分發(fā)揮標準在車聯(lián)網產業(yè)生態(tài)環(huán)境構建中的引領和規(guī)范作用,適應我國智能網聯(lián)汽車發(fā)展的新趨勢、新特征和新需求,加快構建新型智能網聯(lián)汽車標準體系,工業(yè)和信息化部、國家標準化管理委員會聯(lián)合修訂形成《國家車聯(lián)網產業(yè)標準體系建設指南(智能網聯(lián)汽車)(2023版)》。
??

普普點評

下一步,工業(yè)和信息化部將深入推進智能網聯(lián)汽車標準體系建設,繼續(xù)指導全國汽標委智能網聯(lián)汽車分標委(SAC/TC114/SC34)及有關單位,加大在功能安全、網絡安全、操作系統(tǒng)等重點領域的標準研制力度,積極參與國際標準法規(guī)協(xié)調制定,推進關鍵標準的宣貫實施,加快新能源汽車與信息通信、智能交通、智慧城市等融合發(fā)展,通過標準引導推動我國智能網聯(lián)汽車產業(yè)高質量發(fā)展。





04

我國牽頭提出的國際標準《網絡安全 工業(yè)互聯(lián)網平臺安全參考模型》正式發(fā)布

2023年7月,我國牽頭提出的國際標準ISO/IEC 24392:2023《網絡安全 工業(yè)互聯(lián)網平臺安全參考模型》正式發(fā)布。該提案于2018年4月提交至ISO/IEC JTC1/SC27,后經研究,于2019年6月正式立項;2023年7月正式發(fā)布。我國3名專家擔任該國際標準提案的編輯和聯(lián)合編輯。ISO/IEC 24392作為首個工業(yè)互聯(lián)網安全領域的國際標準,基于工業(yè)互聯(lián)網平臺安全域、系統(tǒng)生命周期和業(yè)務場景三個視角構建了工業(yè)互聯(lián)網平臺安全參考模型。

普普點評

該國際標準用于解決工業(yè)互聯(lián)網應用和發(fā)展過程中的平臺安全問題,可以系統(tǒng)指導工業(yè)互聯(lián)網企業(yè)及相關研究機構,針對不同的工業(yè)場景,分析工業(yè)互聯(lián)網平臺的安全目標,設計工業(yè)互聯(lián)網平臺安全防御措施,增強工業(yè)互聯(lián)網平臺基礎設施的安全性。



05

研究人員發(fā)現(xiàn)特斯拉汽車能被越獄,可免費解鎖付費功能

柏林工業(yè)大學的研究人員開發(fā)出一種新技術,可以破解特斯拉近期推出所有車型上使用的基于 AMD 的信息娛樂系統(tǒng),并使其運行包括付費項目在內的任何軟件。實驗過程中,研究人員提取特斯拉在其服務網絡中用于汽車身份驗證的唯一硬件綁定 RSA 密鑰,并通過電壓故障激活軟件鎖定的座椅加熱和 “加速度提升”等付費功能。研究人員之所以能夠利用基于該團隊之前 AMD 研究的技術入侵信息娛樂系統(tǒng),是發(fā)現(xiàn)了故障注入攻擊可以從平臺中提取機密。特斯拉的信息娛樂 APU 基于易受攻擊的 AMD Zen 1 CPU,研究人員解釋稱為此正在對 AMD 安全處理器(ASP)使用已知的電壓故障注入攻擊,作為系統(tǒng)信任的根源。研究人員介紹了如何使用低成本的非自帶硬件來安裝閃爍攻擊,以顛覆 ASP 的早期啟動代碼。然后,展示了如何逆向設計啟動流程,從而在他們的恢復和生產 Linux 發(fā)行版上獲得 root shell'。

普普點評

研究人員已經負責任地向特斯拉披露了他們的發(fā)現(xiàn),汽車制造商正在對發(fā)現(xiàn)的問題進行補救。特斯拉在接到警示后通知研究人員他們啟用后座加熱器的概念驗證是基于舊版本的固件,在較新的版本中,只有在特斯拉提供有效簽名(并由網關檢查/強制執(zhí)行)的情況下,才能對該配置項進行更新。在最新特斯拉軟件更新中,密鑰提取攻擊仍然有效,這個漏洞目前仍然可以被潛在的攻擊者利用。



06

谷歌:安卓惡意軟件通過版本控制潛藏在Google Play商店

谷歌云安全團隊近日表示,惡意行為者在躲過Google Play商店的審查流程和安全控制后,會使用一種被稱為版本控制的常見策略,在Android設備上植入惡意軟件。該技術通過向已安裝的應用程序提供更新來引入惡意有效負載,或者通過所謂的動態(tài)代碼加載(DCL)從威脅參與者控制的服務器加載惡意代碼。它允許攻擊者繞過應用商店的靜態(tài)分析檢查,在Android設備上以原生、Dalvik或JavaScript代碼的形式部署有效負載。谷歌在今年的威脅趨勢報告中提到:惡意行為者試圖規(guī)避 Google Play 安全控制的一種方式是版本控制。比如,開發(fā)者會在Google Play應用商店發(fā)布一個看似合法并通過谷歌檢查的應用程序初始版本,但隨后用戶會收到來自第三方服務器的更新提示,這時候終端用戶設備上的代碼會被改變,這樣威脅者就可以實施惡意活動,從而實現(xiàn)版本控制。

普普點評

為了躲避 Play Store 系統(tǒng)的檢測,SharkBot 的威脅制造者采用了一種現(xiàn)在常見的策略,即在 Google Play 上發(fā)布功能有限的版本,掩蓋其應用程序的可疑性質。然而,一旦用戶下載了木馬應用程序,就會下載完整版的惡意軟件。這種方法能有效破解谷歌的應用程序分析工具,使其無法掃描惡意 APK(安卓應用程序包)。因此,盡管這些有害的 APK 被標記為無效,仍能成功安裝到用戶的設備上。



07

網絡犯罪分子正在訓練新的AI以協(xié)助網絡釣魚和惡意軟件攻擊

據(jù)網絡安全公司SlashNext報道,繼以惡意軟件為重點數(shù)據(jù)進行訓練的WormGPT之后,又有一款名為FraudGPT的新一代生成式人工智能黑客工具面世。據(jù)稱,這兩款AI聊天機器人能為網絡犯罪分子在網絡釣魚、社交工程、漏洞利用和惡意軟件創(chuàng)建等惡意目的上提供協(xié)助。7月25日,一個名為CanadianKingpin12的用戶在各種黑客論壇上對FraudGPT進行了宣傳,該用戶表示該工具主要面向黑客、欺詐者和垃圾郵件發(fā)送者。其還聲稱該聊天機器人具有以下功能:編寫惡意代碼、創(chuàng)建不被檢測到的惡意軟件、創(chuàng)建釣魚頁面、創(chuàng)建黑客工具、查找泄露及漏洞、學習編碼/黑客技術等。SlashNext研究人員的調查顯示,CanadianKingpin12正在積極訓練新的聊天機器人DarkBART,并將其介紹為谷歌生成式人工智能聊天機器人Bard的“黑暗版本”,使用從暗網獲取的數(shù)據(jù)集進行訓練。

普普點評


這些惡意軟件據(jù)稱能夠用于:創(chuàng)建針對人們的密碼和信用卡詳細信息的復雜網絡釣魚活動;執(zhí)行高級社交工程攻擊,獲取敏感信息或未經授權訪問系統(tǒng)和網絡;利用計算機系統(tǒng)、軟件和網絡的漏洞;創(chuàng)建并分發(fā)惡意軟件;利用零日漏洞獲取財務利益或破壞系統(tǒng)等。這項調查研究表明,網絡犯罪分子使用生成式AI聊天機器人的趨勢正在增長,在這些工具的協(xié)助下,原本技術水平欠缺的黑客也能實施更惡劣影響更廣泛的攻擊,可能會對網絡安全和網絡犯罪格局產生重大影響。