2024年度第一批网络安全国家标准需求发布,涉及密码、零信任、安全开发等多领域;F5新一代资产管理系统被曝存在多个安全缺陷|牛览
2024-5-11 13:33:23 Author: www.aqniu.com(查看原文) 阅读量:4 收藏

2024年度第一批网络安全国家标准需求发布,涉及密码、零信任、安全开发等多领域;F5新一代资产管理系统被曝存在多个安全缺陷|牛览

日期:2024年05月11日 阅:1,035


新闻速览

ㆍ 两部委联合印发《会计师事务所数据安全管理暂行办法》

ㆍ 2024年度第一批网络安全国家标准需求发布

ㆍ 2024年度北京地区电信和互联网行业数据安全管理实施方案公布

ㆍ 2024年信任互联大会成功举办

ㆍ 68家科技和安全巨头厂商签署“设计安全”承诺书

ㆍ F5资产管理器被曝存在多个安全缺陷

ㆍ 波音公司拒绝了LockBit勒索团伙2亿美元赎金要求

ㆍ 戴尔“安全事件”或影响数百万用户

ㆍ Mirai 僵尸网络利用 Ivanti Connect 安全缺陷进行恶意部署

ㆍ 美杜莎勒索软件声称英国国防解决方案提供商Chemring Group成为受害者

ㆍ 一种新型网络攻击模式“LLMjacking”

ㆍ IBM和SAP将在生成式人工智能和云领域展开合作

ㆍ 绿盟发布AI大模型风险评估工具

特别关注

两部委联合印发《会计师事务所数据安全管理暂行办法》

日前,为贯彻落实《国务院办公厅关于进一步规范财务审计秩序 促进注册会计师行业健康发展的意见》(国办发〔2021〕30号)有关要求,加强会计师事务所数据安全管理,规范会计师事务所数据处理活动,财政部与国家网信办联合制定并印发《会计师事务所数据安全管理暂行办法》。

会计师事务所数据安全管理暂行办法

第一章 总则

第一条 为保障会计师事务所数据安全,规范会计师事务所数据处理活动,根据《中华人民共和国注册会计师法》、《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等法律法规,制定本办法。

第二条 在中华人民共和国境内依法设立的会计师事务所开展下列审计业务相关数据处理活动的,适用本办法:

(一)为上市公司以及非上市的国有金融机构、中央企业等提供审计服务的;

(二)为关键信息基础设施运营者或者超过100万用户的网络平台运营者提供审计服务的;

(三)为境内企业境外上市提供审计服务的。

会计师事务所从事的审计业务不属于前款规定的范围,但涉及重要数据或者核心数据的,适用本办法。

第三条 本办法所称数据,是指会计师事务所执行审计业务过程中,从外部获取和内部生成的任何以电子或者其他方式对信息的记录。

数据安全,是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。

第四条 会计师事务所承担本所的数据安全主体责任,履行数据安全保护义务。

第五条 财政部负责全国会计师事务所数据安全监管工作,省级(含深圳市、新疆生产建设兵团)财政部门负责本行政区域内会计师事务所数据安全监管工作。

第六条 注册会计师协会应当加强行业自律,指导会计师事务所加强数据安全保护,提高数据安全管理水平。

第二章 数据管理

第七条 会计师事务所应当在下列方面履行本所数据安全管理责任:

(一)建立健全数据全生命周期安全管理制度,完善数据运营和管控机制;

(二)健全数据安全管理组织架构,明确数据安全管理权责机制;

(三)实施与业务特点相适应的数据分类分级管理;

(四)建立数据权限管理策略,按照最小授权原则设置数据访问和处理权限,定期复核并按有关规定保留数据访问记录;

(五)组织开展数据安全教育培训;

(六)法律法规规定的其他事项。

第八条 会计师事务所的首席合伙人(主任会计师)是本所数据安全负责人。

第九条 会计师事务所应当按照法律、行政法规的规定和被审计单位所处行业数据分类分级标准确定核心数据、重要数据和一般数据。

会计师事务所和被审计单位应当通过业务约定书、确认函等方式明确审计资料中核心数据和重要数据的性质、内容和范围等。

第十条 会计师事务所对核心数据、重要数据的存储处理,应当符合国家相关规定。

存储核心数据的信息系统要落实四级网络安全等级保护要求。存储重要数据的信息系统要落实三级及以上网络安全等级保护要求。

数据汇聚、关联后属于国家秘密事项的,应当依照有关保守国家秘密的法律、行政法规规定处理。

第十一条 会计师事务所应当对审计业务相关的信息系统、数据库、网络设备、网络安全设备等设置并启用访问日志记录功能。

涉及核心数据的,相关日志留存时间不少于三年。涉及重要数据的,相关日志留存时间不少于一年;涉及向他人提供、委托处理、共同处理重要数据的相关日志留存时间不少于三年。

第十二条 会计师事务所应当明确数据传输操作规程。核心数据、重要数据传输过程中应当采用加密技术,保护传输安全。

第十三条 审计工作底稿应当按照法律、行政法规和国家有关规定存储在境内。相关加密设备应当设置在境内并由境内团队负责运行维护,密钥应当存储在境内。

第十四条 会计师事务所应当建立数据备份制度。会计师事务所应当确保在审计相关应用系统因外部技术原因被停止使用、被限制使用等情况下,仍能访问、调取、使用相关审计工作底稿。

第十五条 会计师事务所不得在业务约定书或者类似合同中包含会计师事务所向境外监管机构提供境内项目资料数据等类似条款。

第十六条 会计师事务所应当采用网络隔离、用户认证、访问控制、数据加密、病毒防范、非法入侵检测等技术手段,及时识别、阻断和溯源相关网络攻击和非法访问,保障数据安全。

第十七条 会计师事务所应当建立数据安全应急处置机制,加强数据安全风险监测。发现数据外泄、安全漏洞等风险的,应当立即采取补救、处置措施。发生重大数据安全事件,导致核心数据或者重要数据泄露、丢失或者被窃取、篡改的,应当及时向有关主管部门报告。

第十八条 会计师事务所向境外提供其在境内运营中收集和产生的个人信息和重要数据的,应当遵守国家数据出境管理有关规定。

第十九条 会计师事务所对于审计工作底稿出境事项应当建立逐级复核机制,采取必要措施严格落实数据安全管控责任。对于需要出境的审计工作底稿,按照国家有关规定办理审批手续。

第三章 网络管理

第二十条 会计师事务所应当建立完善的网络安全管理治理架构,建立健全内部网络安全管理制度体系,建立内部决策、管理、执行和监督机制,确保网络安全管理能力与提供的专业服务相适应,为数据安全管理工作提供安全的网络环境。

第二十一条 会计师事务所应当按照业务活动规模及复杂程度配置具备相应职业技能水平的网络管理技术人员,确保合理的网络资源投入和资金投入。

第二十二条 会计师事务所应当做好信息系统安全管理和技术防护,根据存储、处理数据的级别采取相应的网络物理隔离或者逻辑隔离等措施,设置严格的访问控制策略,防范未经授权的访问行为。

第二十三条 会计师事务所应当拥有其审计业务系统中网络设备、网络安全设备的自主管理权限,统一设置、维护系统管理员账户和工作人员账户,不得设置不受限制、不受监控的超级账户,不得将管理员账号交由第三方运维机构管理使用。

加入国际网络的会计师事务所使用所在国际网络的信息系统的,应当采取必要措施,使其符合国家数据安全法律、行政法规和本办法的规定,确保本所数据安全。

第四章 监督检查

第二十四条 财政部和省级财政部门(以下统称省级以上财政部门)与同级网信部门、公安机关、国家安全机关加强会计师事务所数据安全监管信息共享。

第二十五条 省级以上财政部门、省级以上网信部门对会计师事务所数据安全情况开展监督检查。公安机关、国家安全机关依法在职责范围内承担会计师事务所数据安全监管职责。

第二十六条 对于承接金融、能源、电信、交通、科技、国防科工等重要领域审计业务且符合本办法第二条规定范围的会计师事务所,省级以上财政部门在监督检查工作中予以重点关注,并持续加强日常监管。

第二十七条 会计师事务所对于依法实施的数据安全监督检查,应当予以配合,不得拒绝、拖延、阻挠。

第二十八条 会计师事务所开展数据处理活动,影响或者可能影响国家安全的,应当按照国家安全审查机制进行安全审查。

第二十九条 相关部门在履行数据安全监管职责中,发现会计师事务所开展数据处理活动存在较大安全风险的,可以对会计师事务所及其责任人采取约谈、责令限期整改等监管措施,消除隐患。

第三十条 会计师事务所及相关人员违反本办法规定的,应当按照《中华人民共和国注册会计师法》、《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等法律、行政法规的规定予以处理处罚;涉及其他部门职责权限的,依法移送有关主管部门处理;构成犯罪的,移送司法机关依法追究刑事责任。

第三十一条 相关部门工作人员在履行会计师事务所数据安全监管职责过程中,玩忽职守、滥用职权、徇私舞弊的,依法追究法律责任。

第五章 附则

第三十二条 会计师事务所及相关人员开展涉及国家秘密的数据处理活动,适用《中华人民共和国保守国家秘密法》等法律、行政法规的规定。

第三十三条 会计师事务所及相关人员开展其他涉及个人信息的数据处理活动,应当遵守有关法律、行政法规的规定。

第三十四条 会计师事务所可以参照本办法加强对非审计业务数据的管理。

第三十五条 本办法由财政部、国家网信办负责解释。

第三十六条 本办法自2024年10月1日起施行。

原文链接:

https://mp.weixin.qq.com/s/B1Tpumxy3vSZ0z0DSEfSZA

2024年度第一批网络安全国家标准需求发布

为加强网络安全国家标准在国家网络安全保障工作中的基础性、规范性、引领性作用,全国网络安全标准化技术委员会(简称“网安标委”)秘书处通过调研国家网络安全重点工作和技术产业发展需求,研究形成并发布了2024年度第一批网络安全国家标准需求清单。各有关单位可围绕需求做好申报工作,并于2024年5月31日前登录网安标委官方网站“网络安全标准项目管理与服务平台”(https://www.tc260.org.cn/login.html)进行申报。

原文链接:

https://mp.weixin.qq.com/s/NflJGiExDQUdpWOZf3Ir3g

2024年度北京地区电信和互联网行业数据安全管理实施方案公布

为全面贯彻《工业和信息化领域数据安全管理办法(试行)》及《北京地区电信领域数据安全管理实施细则》,发挥电信和互联网行业力量,助推北京建设全球数字经济标杆城市,护航京津冀一体化协同发展,夯实首都经济社会高质量发展安全基石,北京市通信管理局结合2024年度工业和信息化领域数据安全工作重点及北京地区数据安全工作实际,制定了2024年度北京地区电信和互联网行业数据安全管理实施方案。

北京市通信管理局将统筹推进数据安全管理工作,指导监督北京地区电信和互联网行业重点企业落实落细数据安全管理各项要求,有序推进数据安全管理工作;结合数据安全管理工作需求遴选支撑单位,做好政策解读、风险评估、标准研制、工具检测等管理和技术支撑。地区内各电信和互联网企业应按照工作方案要求,强化数据安全主体责任意识,结合企业实际情况,抓好方案的实施落地。

原文链接:

https://mp.weixin.qq.com/s/fVtc8BHU_HosMSwvZb2OHw

热点观察

2024年信任互联大会成功举办

5月10日,以“推动商用密码高质量发展”为主题的2024年信任互联大会在武汉国家网安基地顺利召开。本届大会由全国网络安全标准化技术委员会、湖北省密码管理局指导,全国网络安全标准化技术委员会WG4工作组、中国密码学会电子认证专业委员会、湖北省商用密码协会主办,中国科学院大学密码学院、未来移动通信论坛、数字认证(武汉)有限责任公司联合承办。

中国新一代人工智能发展战略研究院执行院长、信创海河实验室主任龚克现场带来“在智能化时代背景下对信息安全的再思考”主题演讲。他指出,人工智能是新质生产力,智能化大潮势不可挡。要想推动AI与商用密码有效结合,一方面,AI需要大量数据来进行训练和推理,利用密码保护数据和模型必不可少,另一方面,机器学习、神经网络等人工智能技术也能有效提升密码安全性,更好地强化信息安全。

著名密码专家王建华研究员则表示,关键信息基础设施保护是未来几年我国商用密码高质量发展的重要战场。如今,面对保障关键信息基础设施的安全稳定运行需求给密码应用提出的挑战,主要思路是要建立国家密码管理部门、保护工作部门和运营者协调配合的工作体系,落实运营者的密码应用主体责任,其中关键是在开展密码应用体系化建设时确保规划、建设、运行各环节的闭环,建设密码运行安全保障能力时重点需关注密码运行状态的分级预警和安全事件的分级处置。

原文链接:

https://mp.weixin.qq.com/s/2_ZmdRN9wMyLjrMso-kmRw

68家科技和安全巨头厂商签署“设计安全”承诺书

日前,全球68家软件和网络安全领导企业联合签署了美国国家网络安全和基础设施安全局(CISA)发起的“设计安全”承诺书。这一倡议是将安全功能融入软件开发的更广泛努力的一部分,吸引了亚马逊网络服务(AWS)、思科、谷歌、惠普企业(HPE)、IBM、微软等科技巨头,以及包括Cloudflare、CrowdStrike、Fortinet和Palo Alto Networks在内的十多家顶级网络安全公司。

在RSAC 2024的“设计安全”承诺启动活动上,CISA主任詹·伊斯特利表示,这一倡议是按照美国政府的国家网络安全战略而进行的,该战略呼吁将网络安全的责任从个人、小型企业和地方政府转移到像技术制造商这样更有能力的实体身上。

原文链接:

https://www.sdxcentral.com/articles/news/68-tech-and-security-titans-commit-to-building-secure-software/2024/05/

F5资产管理器被曝存在多个安全缺陷

日前,研究人员在F5 Networks公司最新推出的BIG-IP Next Central Manager系统中发现了多个严重的安全性缺陷,或导致攻击者能够完全控制各种类型的F5设备,并在其中创建隐藏的账户。BIG-IP是F5公司为应用交付和安全产品而推出的资产管理系统。BIG-IP Next是其“下一代”软件,旨在“降低操作复杂性、提高性能、加强安全性和增强可观察性”。

根据F5公司之前的介绍:Central Manager是组织可以管理其所有BIG-IP Next实例和服务的中心枢纽。而在本次发布的测试报告中,研究人员揭示了可能影响Next Central Manager的五个安全缺陷,其中两个已被分配了CVE标识并进行了修补。另外三个尚未被分配CVE标识,但它们同样可能被攻击者恶意利用。

原文链接:

https://www.darkreading.com/application-security/2-or-5-bugs-in-f5-asset-manager-allow-full-takeover-hidden-accounts

网络攻击

波音公司拒绝了LockBit勒索团伙2亿美元赎金要求

日前,波音公司对外披露称,在2023年11月遭到勒索软件攻击,黑客索要高达2亿美元(约14.44亿元人民币)的赎金,最终公司决定拒绝支付。声明显示,网络犯罪分子于2023年10月使用LockBit勒索软件平台,开始尝试攻击波音公司,于11月初窃取了大约43GB的公司机密文件,相关文件随后被发布到LockBit网站上。波音公司表示黑客攻击影响了公司的全球服务业务部门和零部件部门,但未对飞行安全造成影响。

美国司法部最近表示,正在调查LockBit黑客组织的所有者德米特里·尤里耶维奇·霍尔舍夫,他被指控开发和维护可怕的LockBit勒索软件。

原文链接:

戴尔“安全事件”或影响数百万用户

日前,戴尔科技向客户发出通知,他们的一个门户网站发生了安全事件,导致客户信息数据库被访问。受影响的数据库包含了客户的姓名、实际地址、戴尔硬件和订单信息等。尽管戴尔表示这些信息的泄露对客户的风险不大,但这次安全事件引发了人们对戴尔前门安全措施的质疑。

此前有报道称,暗网上有人试图出售4900万个戴尔客户账户的数据,并且暂时尚不清楚戴尔已经通知了多少客户。目前,戴尔正在与第三方取证公司合作进行调查,并已联系执法部门。安全分析师指出,这种大规模信息泄露可能会导致钓鱼攻击,即使没有涉及个人敏感信息,如信用卡号码,攻击者仍可以利用硬件序列号、订单详情和地址等信息伪装成戴尔的员工进行欺诈。

原文链接:

https://www.techtarget.com/searchsecurity/news/366583859/Dell-security-incident-might-affect-millions

Mirai 僵尸网络利用 Ivanti Connect 安全缺陷进行恶意部署

据Juniper Threat Labs的研究结果显示,最近披露的Ivanti Connect Secure(ICS)设备中存在的两个安全缺陷正被用于部署臭名昭著的Mirai僵尸网络。这两个安全缺陷的CVE编号分别为CVE-2023-46805和CVE-2024-21887,根据Juniper Threat Labs的发现,黑客利用这些缺陷传递僵尸网络的恶意载荷。CVE-2023-46805是一个身份验证绕过漏洞,CVE-2024-21887则是一个命令注入漏洞,因此攻击者可以将这两个漏洞链接在一起构成攻击链,执行任意代码并接管易受攻击的实例。在网络安全公司观察到的攻击链中,攻击者利用CVE-2023-46805漏洞获得对”/api/v1/license/key-status/”端点的访问权限,该端点存在命令注入漏洞,并注入恶意载荷。

原文链接:

https://thehackernews.com/2024/05/mirai-botnet-exploits-ivanti-connect.html

美杜莎勒索软件声称英国国防解决方案提供商Chemring Group成为受害者

日前,Medusa(美杜莎)勒索软件组织在其泄漏网站上向Chemring Group索要350万美元,并威胁要泄露据称来自Chemring Group数据泄露的186.78GB敏感文件。该组织将谈判期限设定为2024年5月16日,给受害者约9天时间来满足要求,同时还提供了其他选择,如延长谈判期限、以不同价格移除或下载据称在攻击中窃取的数据。

Chemring Group是一家总部位于英国的跨国企业,为全球航空航天、国防和安全市场提供各种技术解决方案和服务。Chemring Group的数据泄露帖子与3家美国组织被列为受害者一起出现在威胁行为者的数据泄漏网站上。然而,这些声明的真实性尚待验证。尽管Chemring Group否认发生重大损失,但他们已确认正在对涉嫌的数据泄露进行调查。

原文链接:

https://thecyberexpress.com/medusa-ransomware-chemring-group-data-breach/

一种新型网络攻击模式“LLMjacking”

近日,Sysdig威胁研究团队(TRT)研究揭示了一种新型网络攻击,名为“LLMjacking”,该攻击利用窃取的云凭证针对云托管的大型语言模型(LLM)服务进行攻击。这种攻击利用了Laravel的一个安全缺陷(CVE-2021-3129),攻击者通过此缺陷获得了云凭证。

此次攻击的目标是将LLM访问权限出售给其他网络犯罪分子,而合法的云账户所有者则承担相应的费用。攻击者通过窃取云凭证获取了对云环境的访问权限,并针对云提供商托管的本地LLM模型进行攻击。例如,他们攻击了Anthropic公司的本地Claude(v2/v3)LLM模型,如果不及时发现,每天可能给受害者造成超过46,000美元的LLM消费成本。此外,研究人员还发现了攻击者使用反向代理访问被攻击账户的证据。攻击者还对不同服务的LLM模型表现出兴趣,利用工具检查了十个不同的AI服务的凭证,包括AWS Bedrock、Azure和GCP Vertex AI等。

原文链接:

https://www.infosecurity-magazine.com/news/llmjacking-exploits-stolen-cloud/

产业动态

IBM和SAP将在生成式人工智能和云领域展开合作

日前,IBM和SAP两家科技巨头宣布联手合作,共同开展面向企业客户的生成式人工智能和云解决方案。这两家公司已经有超过50年的合作历史,现在他们将通过多种方式支持客户的数字化转型工作,特别是通过Rise with SAP这一订阅服务,帮助企业将内部部署的企业资源计划(ERP)迁移到云端。

其合作的首要目标是为Rise with SAP打造全新的生成式人工智能功能,并将人工智能应用于SAP的业务流程,为各个行业提供特定的云解决方案。两家公司还计划构建基于数据驱动的创新用例,最初的重点将放在工业制造、零售、汽车等几个垂直行业上。此外,IBM还将利用SAP的业务技术平台、Signavio业务流程管理解决方案以及LeanIX的SaaS解决方案,来创建下一代平台架构。与此同时,IBM的商业人工智能和数据平台watsonx也将很快通过SAP的生成式人工智能中心提供。

原文链接:

https://www.itprotoday.com/cloud-computing-and-edge-computing/ibm-sap-join-forces-generative-ai-cloud

绿盟发布AI大模型风险评估工具

日前,绿盟科技正式发布AI大模型风险评估工具,助力企业赋能风险防控能力,为企业AI大模型的应用实践提供一个全面、深入的安全风险评估防线。

据了解,本次发布的AI大模型风险评估工具不仅涵盖了多种商业和开源大模型,还拥有迅速适配新兴大模型的能力,确保企业在采纳最新AI技术时的安全性。基于专家团队精心筛选和校准的测试用例库,它能够迅速且高效地识别出内容安全和对抗安全的潜在威胁,同时,配备了专业的风险处理建议,为企业构建一道坚实的安全防护屏障。

原文链接:
https://se.security.ntt/en?download-report=1171


文章来源: https://www.aqniu.com/industry/104312.html
如有侵权请联系:admin#unsafe.sh