要聞速覽

1、證監(jiān)會發(fā)布《上市公司公告電子化規(guī)范》等9項金融行業(yè)標準

2、《網(wǎng)絡(luò)安全標準實踐指南—粵港澳大灣區(qū)跨境個人信息保護要求》公開征求意見

3、北京市網(wǎng)信辦對三家企業(yè)未履行數(shù)據(jù)安全保護義務(wù)作出行政處罰

4、加拿大禁止政府雇員使用微信和卡巴斯基

5、次覆蓋“人的因素”，MITRE ATT&CK v14發(fā)布

6、波音公司疑遭Lockbit勒索軟件攻擊

一周政策要聞

證監(jiān)會發(fā)布《上市公司公告電子化規(guī)范》等9項金融行業(yè)標準

近日，證監(jiān)會發(fā)布《上市公司公告電子化規(guī)范 第1部分：公告分類》《上市公司公告電子化規(guī)范 第2部分：首次披露》《上市公司公告電子化規(guī)范 第3部分：交易類臨時公告》《上市公司公告電子化規(guī)范 第4部分：公司治理類臨時公告》《上市公司公告電子化規(guī)范 第5部分：權(quán)益變動類臨時公告》《上市公司公告電子化規(guī)范 第6部分：融資類臨時公告》《上市公司公告電子化規(guī)范 第7部分：其他臨時公告》《上市公司公告電子化規(guī)范 第8部分：定期報告》《證券期貨業(yè)信息安全運營管理指南》9項金融行業(yè)標準，自公布之日起施行。

《上市公司公告電子化規(guī)范》金融行業(yè)系列標準是對《上市公司信息披露電子化規(guī)范》金融行業(yè)標準的修訂?！渡鲜泄拘畔⑴峨娮踊?guī)范》自發(fā)布以來，對于規(guī)范上市公司信息披露電子文檔發(fā)揮了重要作用。近年來，隨著資本市場的改革發(fā)展與可擴展商業(yè)報告語言（XBRL）技術(shù)的發(fā)展，上市公司信息披露面臨新情況、新要求。修訂后的系列標準，由8個部分構(gòu)成，將上市公司公開披露公告根據(jù)業(yè)務(wù)現(xiàn)狀進行了分類，從多個角度規(guī)范上市公司信息披露業(yè)務(wù)范圍和技術(shù)要求，標準的實施有利于進一步提升上市公司信息披露的標準化程度，提高相關(guān)文件披露內(nèi)容的規(guī)范性、準確性、統(tǒng)一性與及時性，有助于實現(xiàn)行業(yè)內(nèi)及與其他行業(yè)間的信息共享。

《證券期貨業(yè)信息安全運營管理指南》金融行業(yè)標準給出了信息安全運營管理過程中基礎(chǔ)安全、信息資產(chǎn)、漏洞、開發(fā)安全、數(shù)據(jù)安全等方面的管理思路和方法，并給出了各管理域的度量指標以及行業(yè)最佳實踐。標準的制定實施可有效指導(dǎo)行業(yè)機構(gòu)建立完善的安全運營體系和流程，規(guī)范信息安全運營管理過程，推動相關(guān)安全措施的有效實施和持續(xù)改進。

需要獲取行業(yè)標準詳情請在評論區(qū)留言“行業(yè)標準” ，小銘哥會第一時間為您提供相關(guān)資料。

信息來源： 證監(jiān)會發(fā)布 https://mp.weixin.qq.com/s/yt0P4nxUh2v0iD3n316rhQ

《網(wǎng)絡(luò)安全標準實踐指南—粵港澳大灣區(qū)跨境個人信息保護要求》公開征求意見

2023年11月1日，全國信息安全標準化技術(shù)委員會秘書處發(fā)布通知，秘書處組織編制了《網(wǎng)絡(luò)安全標準實踐指南—粵港澳大灣區(qū)跨境個人信息保護要求（征求意見稿）》。根據(jù)《全國信息安全標準化技術(shù)委員會<網(wǎng)絡(luò)安全標準實踐指南>管理辦法（暫行）》要求，秘書處現(xiàn)組織對《網(wǎng)絡(luò)安全標準實踐指南—粵港澳大灣區(qū)跨境個人信息保護要求（征求意見稿）》面向社會公開征求意見。

需要獲取文件詳情請在評論區(qū)留言“獲取” ，小銘哥會第一時間為您提供相關(guān)資料。

信息來源：全國信息安全標準化技術(shù)委員會 https://www.tc260.org.cn/front/postDetail.html?id=20231101123231

業(yè)內(nèi)新聞速覽

北京市網(wǎng)信辦對三家企業(yè)未履行數(shù)據(jù)安全保護義務(wù)作出行政處罰

近日，根據(jù)國家網(wǎng)信辦移交的問題線索，北京市網(wǎng)信辦依據(jù)《中華人民共和國數(shù)據(jù)安全法》對屬地三家企業(yè)涉嫌存在網(wǎng)絡(luò)數(shù)據(jù)安全違法行為進行立案調(diào)查并作出行政處罰。

經(jīng)查實，三家企業(yè)違反《中華人民共和國數(shù)據(jù)安全法》第二十七條規(guī)定，未履行數(shù)據(jù)安全保護義務(wù)，部署的ElasticSearch數(shù)據(jù)庫存在未授權(quán)訪問漏洞，造成部分數(shù)據(jù)泄露。北京市網(wǎng)信辦依據(jù)《中華人民共和國數(shù)據(jù)安全法》第四十五條第一款規(guī)定，對三家企業(yè)分別作出責(zé)令改正，給予警告，并處5萬元罰款的行政處罰，對直接主管人員和其他責(zé)任人員處以1萬元罰款處罰。

依據(jù)相關(guān)法律法規(guī)，企業(yè)應(yīng)牢固樹立合規(guī)意識，規(guī)范數(shù)據(jù)處理行為，完善數(shù)據(jù)安全防護技術(shù)措施，嚴格履行主體責(zé)任，切實維護網(wǎng)絡(luò)安全和數(shù)據(jù)安全。下一步，北京市網(wǎng)信辦將持續(xù)強化相關(guān)領(lǐng)域執(zhí)法，堅決筑牢網(wǎng)絡(luò)安全、數(shù)據(jù)安全保護屏障。

消息來源：網(wǎng)信北京 https://mp.weixin.qq.com/s/SVmFqC40Z-8vzPfj6xPl6A

加拿大禁止政府雇員使用微信和卡巴斯基

近日，加拿大政府發(fā)布公告，禁止政府員工在移動設(shè)備上使用卡巴斯基安全產(chǎn)品和騰訊的微信（Wechat）應(yīng)用，原因是對網(wǎng)絡(luò)安全和國家安全的擔(dān)憂。

該禁令的出臺是因為加拿大擔(dān)心這兩家公司秘密地將敏感信息傳輸給俄羅斯和中國的情報機構(gòu)。移動設(shè)備，如智能手機和平板電腦，經(jīng)常被帶入和帶出工作場所，這使得難以監(jiān)控秘密的數(shù)據(jù)竊取行為（這些指控都沒有證據(jù)）。

公告指出：

“今天，財政部長Anita Anand宣布禁止在政府發(fā)放的移動設(shè)備上使用微信和卡巴斯基的一系列應(yīng)用。加拿大首席信息官認定，微信和卡巴斯基的一系列應(yīng)用對隱私和安全構(gòu)成了不可接受的風(fēng)險?！?

“在移動設(shè)備上，微信和卡巴斯基應(yīng)用的數(shù)據(jù)收集方式可以大量訪問設(shè)備的內(nèi)容?！?

“雖然使用這些應(yīng)用的風(fēng)險是明確的，但我們沒有證據(jù)表明政府信息已經(jīng)被泄露?！?

禁令將于2023年10月30日生效，屆時所有的微信和卡巴斯基軟件必須從加拿大政府發(fā)放的移動設(shè)備中移除。

之后，政府將實施阻止下載這些應(yīng)用的措施，確保這些軟件不會再次出現(xiàn)在這些設(shè)備上。

對于公眾能否使用上述軟件，公告強調(diào)人們有選擇應(yīng)用的自由，但建議參考加拿大網(wǎng)絡(luò)安全中心的相關(guān)指南。

消息來源： GoUpSec https://mp.weixin.qq.com/s/qc4-49sIhPLuaMDGHF8j0A

首次覆蓋“人的因素”，MITRE ATT&CK v14發(fā)布

MITRE在萬圣節(jié)期間發(fā)布了MITRE ATT&CK v14，這是流行的ATT&CK框架的一次重大版本更新，范圍首次擴大到針對“人類漏洞”的非技術(shù)攻擊。

ATT&CK是流行的事件調(diào)查框架和對手TTPs知識庫，每六個月發(fā)布一個新版本。其目標是對現(xiàn)實世界網(wǎng)絡(luò)攻擊中對手的行為進行編目和分類。該框架不斷進行調(diào)整，以包含攻擊者與設(shè)備、系統(tǒng)和網(wǎng)絡(luò)交互的最新技術(shù)、方法和流程。

MITRE ATT&CK包括以下三大矩陣：

• 企業(yè)版，涵蓋用于針對Windows、macOS、Linux、PRE、云平臺（AzureAD、Office365、GoogleWorkspace、SaaS、IaaS）、網(wǎng)絡(luò)設(shè)備和容器的策略和技術(shù)
• 移動設(shè)備（安卓、iOS）
• ICS（工業(yè)控制系統(tǒng)）

首次覆蓋針對人員的非技術(shù)攻擊

MITRE高級網(wǎng)絡(luò)安全工程師AmyL.Robertson表示：“隨著攻擊者不斷發(fā)展對人類漏洞的利用，ATT&CK在此版本中擴大了其范圍，涵蓋了更多鄰近但會導(dǎo)致直接網(wǎng)絡(luò)交互或影響的活動?！?

“新增的范圍覆蓋了可能沒有直接技術(shù)成分的欺騙行為和社會工程技術(shù)，包括金融盜竊、冒充和魚叉式網(wǎng)絡(luò)釣魚。”

MITRE ATT&CK v14的其他重大更新：

• 增強的檢測注釋可幫助防御者在分析網(wǎng)絡(luò)流量時檢測對手行為的跡象
• 增強檢測、數(shù)據(jù)源和緩解措施之間的關(guān)系
• ICS矩陣中包含的新資產(chǎn)（設(shè)備和系統(tǒng)）
• 更廣泛的移動矩陣（添加了新的網(wǎng)絡(luò)釣魚向量，包括quishing）和結(jié)構(gòu)化檢測
• 新軟件、攻擊組織和記錄的活動

實施 MITRE ATT&CK需要循序漸進

MITRE ATT&CK項目負責(zé)人Adam Pennington指出：“ATT&CK最初是一個識別對手及其策略的Excel電子表格，現(xiàn)在已經(jīng)轉(zhuǎn)變?yōu)橐粋€被世界各地用戶引用和貢獻的框架。”

企業(yè)可以使用ATT&CK框架打磨其威脅模型、評估供應(yīng)商能力、映射檢測以簡化分析師的工作、進行員工培訓(xùn)等。

企業(yè)應(yīng)該從小范圍小規(guī)模開始，循序漸進地實施ATT&CK框架。

“該框架分為多種技術(shù)，因此組織可以從與其系統(tǒng)相關(guān)的單個策略開始。例如，如果您關(guān)心身份管理，可以深入研究對手如何竊取密碼并識別他們行為之間的重疊。一旦達到這些優(yōu)先級點，就可部署針對性的保護措施?！盤ennington建議道。

MITRE還致力于開發(fā)D3FEND框架，一個針對常見進攻技術(shù)的防御技術(shù)知識庫，也是一個供網(wǎng)絡(luò)安全專業(yè)人員針對特定網(wǎng)絡(luò)威脅定制防御的框架，D3FEND與側(cè)重對手知識庫的ATT&CK框架形成互補。

消息來源： GoUpSec https://mp.weixin.qq.com/s/38fS-QB1cHYTRQ9yu3Dlxw

波音公司疑遭Lockbit勒索軟件攻擊

上周日，Lockbit勒索軟件組織將波音公司列入其受害者名單。據(jù)Foxbusiness和Register等媒體報道，Lockbit宣稱從波音公司竊取了大量“敏感數(shù)據(jù)”，而波音公司則表示正在核實Lockbit的說法。

Lockbit于10月27日在泄露網(wǎng)站上發(fā)布帖子（下圖），威脅稱如果波音公司不與其聯(lián)系談判，將在UTC時間11月2日13:25:39截止日期之前發(fā)布數(shù)據(jù)。

Lockbit表示，其勒索軟件附屬團伙利用零日漏洞獲得了波音公司系統(tǒng)的訪問權(quán)限。然而，Lockbit并未詳細說明此漏洞，因此安全研究人員無法驗證這些聲明是否真實。

Lockbit沒有透露據(jù)稱從波音公司竊取了多少數(shù)據(jù)，也沒有透露所要求的贖金金額。波音公司沒有進一步置評。

截至本文發(fā)稿，波音公司已經(jīng)被Lockbit從泄露名單中移除，這可能意味著波音公司已經(jīng)與該勒索組織展開談判或者支付贖金。

消息來源：GoUpSec https://mp.weixin.qq.com/s/2ormJCk0ohfmv5UW_D2DgQ

來源:本安全周報所推送內(nèi)容由網(wǎng)絡(luò)收集整理而來，僅用于分享，并不意味著贊同其觀點或證實其內(nèi)容的真實性，部分內(nèi)容推送時未能與原作者取得聯(lián)系，若涉及版權(quán)問題，煩請原作者聯(lián)系我們，我們會盡快刪除處理，謝謝！