銳成信息壹周快報，匯總了本周的熱點資訊、安全事件，保證大家不錯過本周的每一個重點!本周重點關注：Apple提交將SSL/TLS證書有效期縮短至45天草案；因系統(tǒng)安全漏洞，上海某醫(yī)療科技企業(yè)泄露個人信息數(shù)據(jù)。

【熱點資訊】

1、網(wǎng)安標委發(fā)布《關于征集 ISO/IEC JTC1/SC27 網(wǎng)絡安全國際標準提案的通知》

近日，全國網(wǎng)絡安全標準化技術委員會（簡稱“網(wǎng)安標委”）發(fā)布了《關于征集 ISO/IEC JTC1/SC27 網(wǎng)絡安全國際標準提案的通知》，旨在繼續(xù)推進我國網(wǎng)絡安全國際標準化工作，鼓勵更多網(wǎng)絡安全技術和應用領域優(yōu)秀實踐經(jīng)驗以及科研項目標準成果向國際輸出。據(jù)悉，提案優(yōu)先但不限人工智能安全、數(shù)據(jù)安全、個人信息保護、密碼算法、物聯(lián)網(wǎng)安全、關鍵信息基礎設施安全、供應鏈安全等我國具有技術優(yōu)勢和豐富實踐應用經(jīng)驗等領域。

• 資料鏈接：https://www.tc260.org.cn/front/postDetail.html?id=20241016151215

2、W3C公布隱私標準工作組章程，保護用戶隱私

近日，萬維網(wǎng)聯(lián)盟—W3C中國發(fā)文，宣布成立隱私標準工作組，為各標準小組提供建議，標準化網(wǎng)絡隱私技術機制，以改善用戶隱私，進而改善網(wǎng)絡隱私。并計劃交付全局隱私控制(GPC)、防止反彈跟蹤(Bounce Tracking Mitigation)等規(guī)范。

3、Apple提交將SSL/TLS證書有效期縮短至45天草案

近日，在CA/B論壇秋季面對面會議上，蘋果透露，其已向GitHub提交了一份關于縮短SSL/TLS證書有效期的投票草案。草案提議到，從現(xiàn)在起到2027年逐步將公共 SSL/TLS 證書的最大期限由目前的398天縮短至45天。如果此提案通過，則意味著網(wǎng)站所有者將更加頻繁的更換實現(xiàn)HTTPS的SSL/TLS證書。

4、工業(yè)和信息化部印發(fā)《工業(yè)互聯(lián)網(wǎng)與電力行業(yè)融合應用參考指南（2024年）》

《工業(yè)互聯(lián)網(wǎng)與電力行業(yè)融合應用參考指南（2024年）》提到，電力企業(yè)加強網(wǎng)絡安全防護措施建設工作，不僅需要加強傳統(tǒng)意義上的防火墻和入侵檢測系統(tǒng)等技術措施，還需要引入更高級別的加密技術和身份認證機制，如多因素認證和基于角色的訪問控制，以保護關鍵數(shù)據(jù)免遭未授權訪問，防范網(wǎng)絡攻擊和數(shù)據(jù)泄露事件。

• 資料鏈接：https://wap.miit.gov.cn/zwgk/zcwj/wjfb/tz/art/2024/art_e369b81aa08546509c07819582de9d02.html

5、FCIS 2024網(wǎng)絡安全創(chuàng)新大會將于11月9日舉辦

據(jù)Freebuf消息，F(xiàn)CIS 2024網(wǎng)絡安全創(chuàng)新大會十周年特別版將于2024年11月9日在上海舉行，本次大會以「邁向安全服務化時代」為主題，特設「實戰(zhàn)攻防與供應鏈安全高峰論壇」與「安全服務化專場」，將邀請來自全球的網(wǎng)安精英、技術專家、CISO/CSO、 白帽子、創(chuàng)業(yè)者等展開深度對話，分享與交流網(wǎng)安行業(yè)下一個十年的思考、觀點。

【安全事件】

1、因系統(tǒng)安全漏洞，上海某醫(yī)療科技企業(yè)泄露個人信息數(shù)據(jù)

近日，上海網(wǎng)信辦發(fā)布消息稱，上海某醫(yī)療科技企業(yè)所屬系統(tǒng)存在網(wǎng)絡安全漏洞，導致系統(tǒng)大量個人信息數(shù)據(jù)發(fā)生泄漏被境外IP訪問竊取。此次數(shù)據(jù)泄露問題暴露出公司未能履行好網(wǎng)絡安全、數(shù)據(jù)安全保護義務，違反了《數(shù)據(jù)安全法》第二十七條規(guī)定，上海市網(wǎng)信辦依據(jù)《數(shù)據(jù)安全法》第四十五條規(guī)定對該醫(yī)療科技公司給予警告，并處以罰款的行政處罰。

2、通過魚叉式網(wǎng)絡釣魚攻擊，Astaroth 銀行業(yè)務惡意軟件在巴西重現(xiàn)

據(jù)thehackernews消息，近日，一種新的針對巴西的魚叉式網(wǎng)絡釣魚活動被發(fā)現(xiàn)利用混淆的 JavaScript 繞過安全護欄，傳播一種名為 Astaroth的銀行惡意軟件。據(jù)此，網(wǎng)絡攻擊者會發(fā)布冒充官方稅務文件的惡意電子郵件來進行網(wǎng)絡釣魚，利用個人所得稅申報的緊迫性誘騙用戶下載惡意軟件。

3、黑客利用FASTCash惡意軟件竊取資金

根據(jù)The Hacker News消息，黑客利用FASTCash惡意軟件從多個國家ATM機中竊取資金。據(jù)悉，該惡意軟件安裝在被入侵網(wǎng)絡中處理銀行卡交易的支付交換機上，通過攔截和修改用于借記卡和信用卡處理的 ISO 8583 交易信息，為未經(jīng)授權從自動取款機上提取現(xiàn)金提供便利。

4、德國汽車制造巨頭遭遇8Base勒索軟件攻擊

近日，據(jù)《安全周刊》報道，德國汽車制造巨頭確認成為8Base勒索軟件攻擊的最新受害者。8Base黑客組織聲稱已經(jīng)竊取了大量該汽車巨頭的機密信息，包括發(fā)票、合同、員工文件以及其他敏感公司信息等，不過，截止到目前，這些數(shù)據(jù)尚未被公開發(fā)布。該安全事件突顯了全球汽車行業(yè)網(wǎng)絡安全面臨的嚴峻態(tài)勢。

部分圖文內容來源網(wǎng)絡，僅供傳播交流