銳成信息壹周快報(bào)，匯總了本周的熱點(diǎn)資訊、安全事件，保證大家不錯(cuò)過本周的每一個(gè)重點(diǎn)!本周重點(diǎn)關(guān)注：121家，通過商用密碼檢測機(jī)構(gòu)資質(zhì)申請材料審查的機(jī)構(gòu)名單公示；西班牙電信巨頭遭數(shù)據(jù)泄露，疑似2.3 GB內(nèi)部數(shù)據(jù)被竊取。

【熱點(diǎn)資訊】

1、7部門聯(lián)合發(fā)布《食品工業(yè)數(shù)字化轉(zhuǎn)型實(shí)施方案》

近日，工業(yè)和信息化部等7部門聯(lián)合發(fā)布《食品工業(yè)數(shù)字化轉(zhuǎn)型實(shí)施方案》，旨在主動(dòng)適應(yīng)和引領(lǐng)新一輪科技革命和產(chǎn)業(yè)變革，加快推進(jìn)新型工業(yè)化，指導(dǎo)食品工業(yè)數(shù)字化轉(zhuǎn)型升級，推動(dòng)食品工業(yè)高質(zhì)量發(fā)展。方案在重點(diǎn)任務(wù)重提到「強(qiáng)化網(wǎng)絡(luò)和數(shù)據(jù)安全保障」，鼓勵(lì)企業(yè)開展工業(yè)互聯(lián)網(wǎng)安全分類分級管理，研究制定食品工業(yè)重要數(shù)據(jù)識別指南，強(qiáng)化重要數(shù)據(jù)識別和目錄備案、數(shù)據(jù)安全風(fēng)險(xiǎn)評估、事件應(yīng)急處置等工作，加強(qiáng)網(wǎng)絡(luò)和數(shù)據(jù)安全防護(hù)能力建設(shè)，提升網(wǎng)絡(luò)和數(shù)據(jù)安全防護(hù)水平。

• 資料來源：工業(yè)和信息化部
• 資料鏈接：https://wap.miit.gov.cn/zwgk/zcwj/wjfb/tz/art/2025/art_5b1d644caf3f44549a53361a996bc3eb.html/

2、121家，通過商用密碼檢測機(jī)構(gòu)資質(zhì)申請材料審查的機(jī)構(gòu)名單公示

近日，國家密碼管理局發(fā)布了《關(guān)于對通過商用密碼檢測機(jī)構(gòu)（商用密碼應(yīng)用安全性評估業(yè)務(wù)）資質(zhì)申請材料審查的機(jī)構(gòu)名單進(jìn)行公示的通知》，公示了通過商用密碼檢測機(jī)構(gòu)資質(zhì)申請材料審查的機(jī)構(gòu)，共有121家。

商用密碼應(yīng)用安全性評估，簡稱密評，是指按照有關(guān)法律法規(guī)和標(biāo)準(zhǔn)規(guī)范，對網(wǎng)絡(luò)與信息系統(tǒng)使用商用密碼技術(shù)、產(chǎn)品和服務(wù)的合規(guī)性、正確性、有效性進(jìn)行檢測分析和評估驗(yàn)證的活動(dòng)。只有取得商用密碼檢測機(jī)構(gòu)(商用密碼應(yīng)用安全性評估業(yè)務(wù))資質(zhì)的機(jī)構(gòu)才能夠開展密評業(yè)務(wù)。

• 資料來源：國家密碼管理局
• 資料鏈接：https://www.oscca.gov.cn/sca/xwdt/2025-06/10/content_1061269.shtml

3、NIST發(fā)布新的零信任實(shí)施指南：《實(shí)施零信任架構(gòu)》

近日，NIST 國家網(wǎng)絡(luò)安全卓越中心 (NCCoE) 發(fā)布了最終實(shí)踐指南《實(shí)施零信任架構(gòu)》（NIST SP 1800-35），概述了 NCCoE 與 24 家供應(yīng)商合作展示端到端零信任架構(gòu)所取得的成果和最佳實(shí)踐，展示了19個(gè)零信任架構(gòu)實(shí)施示例，以應(yīng)對這些獨(dú)特的挑戰(zhàn)。可幫助企業(yè)從中獲得的最佳實(shí)踐和經(jīng)驗(yàn)教訓(xùn)，節(jié)省時(shí)間和資源。

4、NIST 發(fā)布網(wǎng)絡(luò)安全白皮書45《硬件安全結(jié)構(gòu)的衡量標(biāo)準(zhǔn)和方法》

近日，美國國家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）發(fā)布網(wǎng)絡(luò)安全白皮書45《硬件安全結(jié)構(gòu)的衡量標(biāo)準(zhǔn)和方法》，采用了一種綜合方法和兩個(gè)關(guān)鍵度量標(biāo)準(zhǔn)--威脅度和敏感度--來分析不同的硬件弱點(diǎn)以及可以利用這些弱點(diǎn)的特定攻擊模式。該方法有助于設(shè)計(jì)工程師更好地了解不同的硬件弱點(diǎn)和攻擊模式，具有可擴(kuò)展性和適應(yīng)性，可隨著新出現(xiàn)的攻擊模式和硬件漏洞而發(fā)展，以支持開發(fā)更安全的未來硬件設(shè)計(jì)，同時(shí)幫助識別和緩解現(xiàn)有系統(tǒng)中的漏洞。

【安全事件】

1、西班牙電信巨頭遭數(shù)據(jù)泄露，疑似2.3 GB內(nèi)部數(shù)據(jù)被竊取

據(jù)cybersecuritynews消息，西班牙電信巨頭Telefonica遭網(wǎng)絡(luò)攻擊，攻擊者未經(jīng)授權(quán)訪問了內(nèi)部票務(wù)系統(tǒng)，并聲稱竊取了約2.3 GB的敏感數(shù)據(jù)，包括員工的電子郵件和姓名，以及500,000個(gè)Jira問題的摘要等。Telefonica聲稱其正在調(diào)查，并已采取措施阻止任何未經(jīng)授權(quán)的訪問。此次數(shù)據(jù)泄露事件凸顯了電信行業(yè)日益嚴(yán)峻的網(wǎng)絡(luò)安全挑戰(zhàn)，警示企業(yè)要加強(qiáng)端點(diǎn)安全，實(shí)施強(qiáng)有力的憑證管理政策，并教育員工識別社交工程策略。

2、開源工具TeamFiltration被濫用，對8萬多個(gè)微軟Entra ID賬戶發(fā)動(dòng)賬戶接管攻擊

據(jù)thehackernews消息，網(wǎng)絡(luò)安全研究人員發(fā)現(xiàn)了一個(gè)新的賬戶接管（ATO）活動(dòng)，網(wǎng)絡(luò)攻擊者利用開源工具TeamFiltration，對8萬多個(gè)微軟Entra ID賬戶發(fā)動(dòng)賬戶接管攻擊。據(jù)悉，攻擊者利用位于不同地理區(qū)域的微軟Teams API和亞馬遜網(wǎng)絡(luò)服務(wù)（AWS）服務(wù)器發(fā)起用戶枚舉和密碼噴射嘗試。攻擊活動(dòng)表現(xiàn)出集中爆發(fā)，針對單個(gè)云環(huán)境中的多個(gè)用戶的特點(diǎn)，凸顯了開源工具被濫用的風(fēng)險(xiǎn)。

3、保險(xiǎn)巨頭伊利披露網(wǎng)絡(luò)安全事件，發(fā)出網(wǎng)絡(luò)釣魚警報(bào)

據(jù)infosecurity-magazine消息，近日，保險(xiǎn)巨頭美國伊利保險(xiǎn)公司披露一起網(wǎng)絡(luò)安全事件和相關(guān)的網(wǎng)絡(luò)中斷，表示發(fā)現(xiàn)了不尋常的網(wǎng)絡(luò)活動(dòng)，并提醒客戶遵循最佳做法：請勿點(diǎn)擊任何來歷不明的鏈接，也不要通過電話或電子郵件提供個(gè)人信息。伊利保險(xiǎn)同時(shí)表示已立即采取了應(yīng)對措施，以保護(hù)系統(tǒng)和數(shù)據(jù)安全。

4、網(wǎng)絡(luò)攻擊者持續(xù)利用ConnectWise ScreenConnect工具部署惡意軟件

據(jù)cybersecuritynews消息，網(wǎng)絡(luò)攻擊者持續(xù)利用合法的遠(yuǎn)程監(jiān)控和管理（RMM）工具 ConnectWise ScreenConnect來部署針對全球金融組織的復(fù)雜惡意軟件活動(dòng)。攻擊者以發(fā)票為主題的網(wǎng)絡(luò)釣魚電子郵件作為主要發(fā)送機(jī)制，利用ConnectWise的合法數(shù)字簽名來逃避檢測，建立對被入侵系統(tǒng)的持久遠(yuǎn)程訪問。這使得企業(yè)面臨雙重挑戰(zhàn)，既要通過合法的遠(yuǎn)程訪問工具保持運(yùn)行效率，又要防止被惡意行為者利用。

部分圖文內(nèi)容來源網(wǎng)絡(luò)，僅供傳播交流