政府举措
央行正式发布《金融分布式账本技术安全规范》
关键词:技术安全规范
近日,《金融分布式账本技术安全规范》(JR/T 0184—2020)金融行业标准由中国人民银行正式发布。标准规定了金融分布式账本技术的安全体系,包括基础硬件、基础软件、密码算法、节点通信、账本数据、共识协议、智能合约、身份管理、隐私保护、监管支撑、运维要求和治理机制等方面。标准适用于在金融领域从事分布式账本系统建设或服务运营的机构。
本标准由全国金融标准化技术委员会归口管理,由中国人民银行数字货币研究所提出并负责起草,中国人民银行科技司、中国工商银行、中国农业银行、中国银行、中国建设银行、国家开发银行等单位共同参与起草。标准经过广泛征求意见和论证,并通过了全国金融标准化技术委员会审查。(来源:全国金融标准化技术委员会)
特朗普签署PNT行政令,防止其关键基础设施遭攻击
关键词:关键基础设施保护
美国总统特朗普在近期签署了题为“通过负责任地使用定位、导航与授时服务以增强国家弹性”的行政令。该行政令在“目的”部分强调了GPS系统对美国国家关键基础设施安全运作的重要性;在“政策”部分明确美国在这一方面的主要政策;在“措施”部分提出“制定PNT配置文件”、且各部门应根据新配置文件采取行动以及鼓励发展不完全依赖于GPS系统的具有复原力的定位、导航和授时(PNT)基础设施等具体可操作举措,以进一步增强国家弹性。(来源:E安全)
新加坡将斥资7.19亿美元加强政府的网络、数据安全系统
关键词:加强网络安全
新加坡政府将投资10亿美元来加强其网络和数据安全系统。新加坡政府表示,随着其机构越来越多地采用人工智能(AI)、云和物联网(物联网)等技术,未来三年,随着数字化努力的加强,这些资金将用于为国家应对网络威胁做好准备。
保护新加坡仍然是一个高度优先事项,必须“提供充足的资金”,财政部长上周二在演讲中详细介绍了该国2020年财政预算,加强政府的网络和数据安全能力将有助于保护其关键的信息基础设施和公民数据。
值得注意的是新加坡于2015年和2018年分别成立网络安全局(CSA)和颁布网络安全法就是为了推动新加坡的网络安全防护能力。目前,新加坡安全管理局现在正努力为下一阶段的网络安全推出新的措施。(来源:谷歌)
网络安全事件
戴尔科技20.8亿美元出售旗下网络安全业务RSA
关键词:RSA
据外媒报道,戴尔科技上周二表示,作为公司精简业务努力的一部分,该公司将通过20.8亿美元的现金交易,把旗下网络安全业务RSA出售给由私募公司Symphony Technology Group、安大略省教师退休基金会和荷兰养老基金公司Alpinvest Partners牵头的财团。
戴尔表示,此次交易预计将会在未来6至9个月内完成。戴尔在2016年通过收购EMC获得RSA业务。RSA为累计30000家客户提供安全和数字风险管理软件,以及一项以RSA命名的加密技术。去年11月,彭博社便报道了戴尔有意出售RSA业务的消息。通过出售RSA,戴尔摆脱了一项在与Okta等对手竞争时遇到麻烦的业务。(来源:网络)
企业软件巨头Citrix内网遭黑客潜伏近五个月
关键词:黑客潜伏
企业网络软件巨头思杰系统(Citrix Systems)表示,2018年至2019年期间恶意黑客在其网络中潜伏了五个月,窃取了有关公司雇员、合同工、实习生、求职者及其家属的个人和财务数据。思杰在承认数字入侵者通过嗅探其员工帐户寻找安全性差的密码而闯入网络近一年后才披露了这个事实。
思杰表示,入侵者获取的信息可能包括社会保障号码及其他税收标号、驾照号、护照号、财务账号、支付卡号及/或有限的医疗保险信息。攻击者可以利用诸多VPN漏洞,其中一个是思杰VPN服务器中最近刚打上补丁的漏洞(CVE-2019-19781),该漏洞被安全社区的一些人取名为“Shitrix”(该死的思杰)。之所以取这个贬损性的名字,是由于思杰最初在2019年12月中旬警告客户注意该漏洞,但直到2020年1月下旬才开始发布补丁以堵住该漏洞——而在之前大概两周,攻击者已开始使用公开发布的漏洞攻击代码。(来源:互联网安全内参)
黑客利用疫情传播 Emotet 恶意程序,日本地区最猖獗
关键词:传播恶意程序
这些恶意行为最早是由CheckPoint发现的,这些网络诈骗者发送了当地或者全球世界卫生组织的官方文件。如果用户打开这些看上去合法的文件,那么计算机就会被感染。
根据初步调查这种恶意行为在日本最为猖獗,诈骗者伪装日本残疾人福利服务提供商分发了携带有Emotet(连续4个月位排行第4的恶意软件)的电子邮件附件。这些电子邮件似乎正在报告感染在日本几个城市中蔓延的位置,这鼓励受害者打开文档,如果打开该文档,则尝试在其计算机上*载下**Emotet。(来源:cnBeta)
因严重IE漏洞,微软再为已停止支持的 Windows 7 发布安全更新
关键词:WIN7
Windows 7和IE浏览器都已经于上月停止支持,但由于最新曝光的严重IE漏洞微软决定再次为Windows 7系统提供安全补丁。在发现了一个被黑客广泛使用的JavaScript引擎漏洞之后,微软决定为所有IE 9之前的旧版浏览器提供安全更新。
该漏洞利用可以通过任何可承载HTML的应用程序(例如文档或PDF)来触发,并且在Windows 7、8.1和10上具有“严重”等级,并且目前正被黑客广泛使用。 Microsoft将发布针对所有这些操作系统以及Windows Server 2008、2012和2019的补丁程序。(来源:cnBeta)
巴塞罗那足球俱乐部和国际奥委会Twitter帐户被黑
关键词:巴塞罗那
据外媒报道,近日活跃度很高的黑客组织已经劫持了巴塞罗那足球俱乐部,奥运会和国际奥委会(IOC)的Twitter官方帐户。据了解,此次事件是巴塞罗那足球俱乐部的Twitter账户第二次被黑客完全劫持,第一次是发生在2017年,它的Facebook和Twitter帐户遭到同一黑客组织的入侵。
黑客劫持了巴塞罗那和奥林匹克Twitter的官方帐户,并发布了一些推文以声称对黑客攻击负责。同时,黑客还共享了一个电子邮件地址,表示可以与他们联系以请求支援以提高帐户的安全性,以这种方式获取收益。
对于此次事件,Business Insider相关研究人员推测该黑客行为是通过第三方平台发生的。该研究小组是由5人组成,他们对外的邮件声称目前已经确认这个黑客小组的入侵存在某些“商业内幕”,但是具体的细节目前他们还并未公布。(来源:E安全)
微软官宣:将向Android与iOS平台推出杀毒软件Defender
关键词:移动端杀毒软件
据国外媒体报道,微软近日宣布,今年晚些时候将为运行谷歌Android和苹果iOS移动操作系统的手机和其他设备推出Defender杀毒软件。
微软此举也是向使用其他公司移动产品的消费者销售产品的最新努力。近年来,微软将Office引入了Android和iOS平台,虽然苹果和谷歌对他们的应用商店严格审查,以防止恶意软件的出现,但这并没有阻止微软加入进来。微软副总裁罗布·莱弗茨(Rob Lefferts)在接受采访时表示:“它们相当安全,但相当安全并不等同于安全。恶意软件确实出现在这些平台上。”莱弗茨还称,更重要的是,移动设备可能会让人们受到网络钓鱼的攻击。总之,Defender可以帮助人们免受此类攻击。(来源:新浪科技)
数据统计
IDC:2023年中国10%的城市将开始使用数字货币
关键词:IDC
IDC于日前发布了《IDC FutureScape:2020全球区块链市场预测——中国启示》报告,对未来五年的中国区块链市场进行预测,覆盖宏观环境、市场热点、用户需求、产品和技术趋势等内。
IDC预计,到2023年,中国企业将在区块链服务(咨询、实施、维护、支持等)上投入27亿美元,占企业管理服务支出的29%。而在数字货币方面,IDC预计,到2023年,中国10%的城市将开始使用基于区块链的数字货币,以促进经济稳定性和电子商务发展。
另外几点预测是:到2023年,中国40%的一线金融机构将绕过SWIFT和中央银行基础设施,使用区块链网络处理点对点的跨境支付;到2021年,医疗保健服务供应商和付款人将在区块链认证标准问题上达成一致,中国10%的医疗保健机构将在公共服务中使用该标准;到2020年,中国超过90%的组织在实施区块链行动时将把BaaS平台作为区块链基础设施的第一选项。(来源:新浪科技)
漏洞速递
WordPress主题插件严重漏洞修复,影响将近20万个网站
关键词:WordPress
WordPress的ThemeGrill Demo Importer程序的开发人员已更新了该插件,删除一个严重漏洞,该漏洞为未经身份验证的用户提供了管理员特权。攻击者可以管理员身份登录,并将网站的整个数据库还原为默认状态,从而完全控制这些网站。
WebARX研究人员于2月6日发现了该漏洞,并于同日将其报告给开发人员。近日,ThemeGrill发布了修复该漏洞的新版本。在撰写本文时,修补后的插件*载下**数量约为23,000,这表明使用ThemeGrill Demo Importer的大量网站可能仍处于危险中。(来源:Bleepingcomputer)
Adobe为关键的代码执行漏洞发布修补程序。
关键词:Abode
Adobe发布了一个计划外修补程序,以解决可能使用户系统遭受代码执行攻击的两个漏洞。
上周三,Adobe发布了两份单独的安全警告,描述了这些问题,并警告说,每个漏洞都被认为是关键的,这是可用的最高严重程度评分。然而,目前没有证据表明环境中存在漏洞。
另外,Adobe更新了安全修补程序更新中的35个关键漏洞。
一是CVE-2020-3764,在MicrosoftWindows平台上影响AdobeMedia编码器版本14.0和更早版本。安全漏洞是一个越界写入漏洞,可用于任意代码执行。二是CVE-2020-3765,在Windows机器上影响AdobeAfterEffect版本16.1.2和更早版本。这个bug也是一个不受限制的写入,可能导致任意代码的执行。但是,在这种情况下,攻击只能在当前用户中发生。(来源:Freebuf)
免责声明:
信息安全快讯的内容及图片出于传递更多信息之目的,属于非营利性的转载。如无意中侵犯了某个媒体或个人的知识产权,请联系我们,我们将立即删除相关内容。其他媒体、网络或个人从本网*载下**使用须自负版权等法律责任。