普普安全资讯一周概览(0805-0811)

作者:

时间:
2023-08-11


01

国家网信办:处理超过百万人个人信息每年至少开展一次合规审计


《管理办法》提出,处理超过100万人个人信息的个人信息处理者,应当每年至少开展一次个人信息保护合规审计;其他个人信息处理者应当每二年至少开展一次个人信息保护合规审计;对个人信息处理者在公共场所安装图像采集、个人身份识别设备的,应当重点对其安装图像采集、个人信息身份识别设备的合法性及所收集个人信息的用途进行审查,审查内容包括但不限于:是否为维护公共安全所必需,是否存在为商业目的处理所采集信息的情况;是否设置了显著的提示标志;若个人信息处理者所收集的个人图像、身份识别信息用于维护公共安全以外用途的,是否取得个人单独同意。大型互联网平台运营者应当成立主要由外部成员组成的独立机构对个人信息保护情况进行监督。审计时,应当对独立机构的独立性、履职能力、监督作用等进行评价。


普普点评

家网信部门会同公安机关等国务院有关部门按照统筹规划、合理布局、择优推荐的原则建立个人信息保护合规审计专业机构推荐目录,每年组织开展个人信息保护合规审计专业机构评估评价,并根据评估评价情况动态调整个人信息保护合规审计专业机构推荐目录。






02

微软借助GPT-4打造安全运营助手

7月,微软宣布扩大其基于GPT-4的安全运营中心AI助手Security Copilot服务访问范围,将有更多客户和一些技术合作伙伴可以使用这款AI助手。Security Copilot将在今年秋天进入其官方“早期访问预览”窗口,取代微软目前的私人预览版并添加一些新功能。Microsoft Security Copilot 是一款基于 AI 的安全分析工具,使分析师能够快速响应威胁、以机器速度处理警报并在几分钟内评估风险暴露。目前可用的版本包含了用户反馈并添加了“提示手册”(供安全专业人员开启分析流程的一系列常用AI提示),以及常用网络安全工具集成以简化操作。微软副总裁兼AI安全架构师Chang Kawaguchi表示,其目的是提高安全团队的效率,缓解安全人才短缺的压力,并简化通常十分复杂的安全活动。

普普点评

推出LLM网络安全助手的公司不少,微软是最近官宣的一家。在8月举行的美国黑帽大会上,Google Cloud的安全专业人员将探讨该公司如何运用大语言模型分析其Mandiant事件响应小组的威胁。而在5月,CrowdStrike推出了其自有的生成式AI助手Charlotte,企业可通过向此网络安全服务提问来学习。这么做可以更快做出更明智的决策,还可以增强本没有时间大力发展的能力。






03

工业和信息化部 国家标准化管理委员会印发《国家车联网产业标准体系建设指南(智能网联汽车)(2023版)》

为加强网络安全国家标准在国家网络安全保障工作中的基础性、规范性、引领性作用,全国信息安全标准化技术委员会(简称“信安标委”)秘书处坚持问题导向,调研国家网络安全重点工作和技术产业发展需求,研究形成了2023年度第二批网络安全国家标准需求清单。为充分发挥标准在车联网产业生态环境构建中的引领和规范作用,适应我国智能网联汽车发展的新趋势、新特征和新需求,加快构建新型智能网联汽车标准体系,工业和信息化部、国家标准化管理委员会联合修订形成《国家车联网产业标准体系建设指南(智能网联汽车)(2023版)》。
  

普普点评

下一步,工业和信息化部将深入推进智能网联汽车标准体系建设,继续指导全国汽标委智能网联汽车分标委(SAC/TC114/SC34)及有关单位,加大在功能安全、网络安全、操作系统等重点领域的标准研制力度,积极参与国际标准法规协调制定,推进关键标准的宣贯实施,加快新能源汽车与信息通信、智能交通、智慧城市等融合发展,通过标准引导推动我国智能网联汽车产业高质量发展。






04

我国牵头提出的国际标准《网络安全 工业互联网平台安全参考模型》正式发布

2023年7月,我国牵头提出的国际标准ISO/IEC 24392:2023《网络安全 工业互联网平台安全参考模型》正式发布。该提案于2018年4月提交至ISO/IEC JTC1/SC27,后经研究,于2019年6月正式立项;2023年7月正式发布。我国3名专家担任该国际标准提案的编辑和联合编辑。ISO/IEC 24392作为首个工业互联网安全领域的国际标准,基于工业互联网平台安全域、系统生命周期和业务场景三个视角构建了工业互联网平台安全参考模型。

普普点评

该国际标准用于解决工业互联网应用和发展过程中的平台安全问题,可以系统指导工业互联网企业及相关研究机构,针对不同的工业场景,分析工业互联网平台的安全目标,设计工业互联网平台安全防御措施,增强工业互联网平台基础设施的安全性。




05

研究人员发现特斯拉汽车能被越狱,可免费解锁付费功能

柏林工业大学的研究人员开发出一种新技术,可以破解特斯拉近期推出所有车型上使用的基于 AMD 的信息娱乐系统,并使其运行包括付费项目在内的任何软件。实验过程中,研究人员提取特斯拉在其服务网络中用于汽车身份验证的唯一硬件绑定 RSA 密钥,并通过电压故障激活软件锁定的座椅加热和 “加速度提升”等付费功能。研究人员之所以能够利用基于该团队之前 AMD 研究的技术入侵信息娱乐系统,是发现了故障注入攻击可以从平台中提取机密。特斯拉的信息娱乐 APU 基于易受攻击的 AMD Zen 1 CPU,研究人员解释称为此正在对 AMD 安全处理器(ASP)使用已知的电压故障注入攻击,作为系统信任的根源。研究人员介绍了如何使用低成本的非自带硬件来安装闪烁攻击,以颠覆 ASP 的早期启动代码。然后,展示了如何逆向设计启动流程,从而在他们的恢复和生产 Linux 发行版上获得 root shell'。

普普点评

研究人员已经负责任地向特斯拉披露了他们的发现,汽车制造商正在对发现的问题进行补救。特斯拉在接到警示后通知研究人员他们启用后座加热器的概念验证是基于旧版本的固件,在较新的版本中,只有在特斯拉提供有效签名(并由网关检查/强制执行)的情况下,才能对该配置项进行更新。在最新特斯拉软件更新中,密钥提取攻击仍然有效,这个漏洞目前仍然可以被潜在的攻击者利用。




06

谷歌:安卓恶意软件通过版本控制潜藏在Google Play商店

谷歌云安全团队近日表示,恶意行为者在躲过Google Play商店的审查流程和安全控制后,会使用一种被称为版本控制的常见策略,在Android设备上植入恶意软件。该技术通过向已安装的应用程序提供更新来引入恶意有效负载,或者通过所谓的动态代码加载(DCL)从威胁参与者控制的服务器加载恶意代码。它允许攻击者绕过应用商店的静态分析检查,在Android设备上以原生、Dalvik或JavaScript代码的形式部署有效负载。谷歌在今年的威胁趋势报告中提到:恶意行为者试图规避 Google Play 安全控制的一种方式是版本控制。比如,开发者会在Google Play应用商店发布一个看似合法并通过谷歌检查的应用程序初始版本,但随后用户会收到来自第三方服务器的更新提示,这时候终端用户设备上的代码会被改变,这样威胁者就可以实施恶意活动,从而实现版本控制。

普普点评

为了躲避 Play Store 系统的检测,SharkBot 的威胁制造者采用了一种现在常见的策略,即在 Google Play 上发布功能有限的版本,掩盖其应用程序的可疑性质。然而,一旦用户下载了木马应用程序,就会下载完整版的恶意软件。这种方法能有效破解谷歌的应用程序分析工具,使其无法扫描恶意 APK(安卓应用程序包)。因此,尽管这些有害的 APK 被标记为无效,仍能成功安装到用户的设备上。




07

网络犯罪分子正在训练新的AI以协助网络钓鱼和恶意软件攻击

据网络安全公司SlashNext报道,继以恶意软件为重点数据进行训练的WormGPT之后,又有一款名为FraudGPT的新一代生成式人工智能黑客工具面世。据称,这两款AI聊天机器人能为网络犯罪分子在网络钓鱼、社交工程、漏洞利用和恶意软件创建等恶意目的上提供协助。7月25日,一个名为CanadianKingpin12的用户在各种黑客论坛上对FraudGPT进行了宣传,该用户表示该工具主要面向黑客、欺诈者和垃圾邮件发送者。其还声称该聊天机器人具有以下功能:编写恶意代码、创建不被检测到的恶意软件、创建钓鱼页面、创建黑客工具、查找泄露及漏洞、学习编码/黑客技术等。SlashNext研究人员的调查显示,CanadianKingpin12正在积极训练新的聊天机器人DarkBART,并将其介绍为谷歌生成式人工智能聊天机器人Bard的“黑暗版本”,使用从暗网获取的数据集进行训练。

普普点评


这些恶意软件据称能够用于:创建针对人们的密码和信用卡详细信息的复杂网络钓鱼活动;执行高级社交工程攻击,获取敏感信息或未经授权访问系统和网络;利用计算机系统、软件和网络的漏洞;创建并分发恶意软件;利用零日漏洞获取财务利益或破坏系统等。这项调查研究表明,网络犯罪分子使用生成式AI聊天机器人的趋势正在增长,在这些工具的协助下,原本技术水平欠缺的黑客也能实施更恶劣影响更广泛的攻击,可能会对网络安全和网络犯罪格局产生重大影响。