銳成信息壹周快報，匯總了本周的熱點資訊、安全事件，保證大家不錯過本周的每一個重點!本周重點關注：2項網絡安全標準實踐指南征求意見稿發(fā)布，并公開征求意見；Conduent遭黑客攻擊，致美國多地公共服務中斷。

【熱點資訊】

1、2項網絡安全標準實踐指南征求意見稿發(fā)布，并公開征求意見

近日，國標委發(fā)布了《網絡安全標準實踐指南——搖一搖廣告?zhèn)€人權益規(guī)范指引（征求意見稿）》旨在規(guī)范App和第三方SDK展示和觸發(fā)搖一搖開屏廣告的行為、保障用戶個人權益；《網絡安全標準實踐指南——人工智能生成合成內容標識 服務提供者編碼規(guī)則（征求意見稿）》，為生成合成服務提供者和內容傳播服務提供者提供編碼規(guī)則，指導其開展人工智能生成合成內容的文件元數(shù)據(jù)隱式標識工作，并發(fā)布了公開征求意見的通知。

• 資料來源：全國網絡安全標準化技術委員會秘書處
• 資料鏈接：https://www.tc260.org.cn/front/hydtList.html?start=0&length=10&postType=2

2、《量子安全威脅及其對國內金融行業(yè)的影響研究報告》發(fā)布

近日，量子專委會發(fā)布了由工商銀行、建設銀行、農業(yè)銀行、郵儲銀行、國盾量子等13家機構共同編制的《量子安全威脅及其對國內金融行業(yè)的影響研究報告》，總結了當前量子計算發(fā)展現(xiàn)狀和趨勢，分析了量子計算對金融密碼體制和應用場景的影響，從密碼算法重構、量子密鑰分發(fā)、密碼技術融合應用等方面提出金融業(yè)應對潛在安全威脅的思路，并對未來建立金融長效安全體系進行展望。

• 資料來源：量子專委會
• 資料鏈接：https://mp.weixin.qq.com/s/YglRr6KB-BV2f100MNVuIA

3、CISA和FBI發(fā)布最新版《產品安全不良實踐》

近日，美國網絡安全和基礎設施安全局CISA和FBI共同發(fā)布了最新版《產品安全不良實踐》，以推進 CISA 的“設計安全”計劃，最新版增加了更多的不良行為、有關內存安全語言的內容、明確了修補已知漏洞 (KEV) 的時間表以及其他建議。據(jù)悉，該實踐指南主要針對開發(fā)支持關鍵基礎設施的軟件產品和服務的軟件制造商，但建議所有軟件制造商避免這些產品安全不良做法。

4、AWS發(fā)布緩解勒索軟件攻擊的最佳安全實踐

近日，亞馬遜網絡服務（AWS）宣布了一套最佳實踐，旨在幫助客戶保護其云環(huán)境免受勒索軟件攻擊和其他未經授權的活動。據(jù)悉，該指南是針對最近亞馬遜簡單存儲服務（S3）桶的惡意加密活動增多而發(fā)布的，凸顯了強大安全措施的重要性。AWS 概述了四項關鍵措施，以降低與勒索軟件攻擊相關的風險，一實施短期憑證，二建立數(shù)據(jù)恢復程序，三監(jiān)控 AWS 資源的異?；顒樱谋匾獣r限制 SSE-C 的使用。

【安全事件】

1、政府IT供應商Conduent遭黑客攻擊，致美國多地公共服務中斷

據(jù)therecord消息，政府IT供應商Conduent遭黑客攻擊，破壞了該公司的操作系統(tǒng)，導致美國多地公共服務被迫中斷多天。Conduent 發(fā)言人說，這次入侵很快就被控制住了，經第三方安全專家確認，其技術環(huán)境目前沒有已知的惡意活動。

2. WordPress房地產插件漏洞，致3.2萬個網站面臨安全風險

據(jù)cybersecuritynews消息，在流行的RealHomes WordPress 主題及其配套插件 Easy Real Estate 中發(fā)現(xiàn)了嚴重的安全漏洞，被追蹤為 CVE-2024-32444 和 CVE-2024-32555，會導致未經授權的訪問。據(jù)悉，RealHome主題（付費版）是專為房地產網站制作的最受歡迎的高級主題之一，擁有約 32,000 個銷售量，可能導致使用了這些主題的網站遭受網絡攻擊。

3、超1000個惡意域名模仿Reddit和WeTransfer發(fā)送惡意軟件

據(jù)cybersecuritynews消息，超1000個惡意域名冒充Reddit和WeTransfer等流行平臺傳播惡意軟件。網絡攻擊者將這些域名偽裝成真實的樣子，利用可信的品牌欺騙用戶，讓用戶在不知情的情況下下載惡意軟件，這些惡意軟件能夠掃描包含敏感信息的特定文件，如與加密貨幣錢包和密碼相關的文件。

4、50000臺Fortinet防火墻仍存在嚴重零日漏洞

據(jù)cybersecuritynews消息，截至2025年1月22日，盡管有緊急警告和可用補丁，但仍有近50000臺Fortinet防火墻設備暴露于一個嚴重零日漏洞 (CVE-2024-55591)。據(jù)悉，此零日漏洞可以被網絡攻擊者利用繞過身份驗證并獲得受影響系統(tǒng)的超級管理員權限，攻擊者能夠執(zhí)行未經授權的命令，創(chuàng)建流氓管理員帳戶，修改防火墻策略，并為網絡內的橫向移動建立VPN隧道。

5、網絡威脅者利用Microsoft Teams的語音通話發(fā)送勒索軟件

據(jù)cybersecuritynews消息，近日MDR發(fā)現(xiàn)了兩個不同的勒索軟件活動，它們利用 Microsoft Teams 對目標組織進行未經授權的訪問。網絡威脅者先向受害者發(fā)起電子郵件攻擊，假扮IT支持人員向受害者發(fā)起 Microsoft Teams 呼叫，隨后引導受害者安裝Microsoft Quick Assist或使用Teams內置的遠程控制功能，控制后就執(zhí)行惡意有效載荷。對此，建議組織應限制來自外部實體的團隊呼叫，限制使用快速助手等遠程訪問工具，并實施應用程序控制設置以防止未經授權的快速助手執(zhí)行。

部分圖文內容來源網絡，僅供傳播交流