一、热点资讯
1.企业机密数据频繁被泄露,该如何防范?
【标签】数据泄露
【概述】
在当前复杂多变的市场环境下,企业机密数据和员工隐私信息频繁遭遇被泄露的风险,这一问题已经引起了广泛关注和重视。同时,随着《数据安全法》的发布,企业对于数据安全的重视程度被提升到了新的高度,企业不重视数据安全的后果日益凸显。近期,行业内发生的多起企业员工信息大量泄露事件更是敲响了警钟。为此,我们采访了几家业内知名的安全企业,包括熠数信息、和人广智和云创数安,以下是他们对于企业如何防范机密数据泄露的看法。
【参考链接】
https://ti.nsfocus.com/security-news/IlOZ9
2.Fortinet安全产品出现高危零日漏洞,恶意组织积极利用
【标签】CVE-2024-47575
【概述】
网络安全公司Fortinet日前披露了自家软件产品FortiManager存在的一个关键零日漏洞,能够允许未经身份验证的远程攻击者通过特制请求执行任意代码或命令。目前该漏洞已在野外被积极利用。该漏洞被追踪为CVE-2024-47575,CVSS v3评分高达9.8,对多个版本的FortiManager以及FortiManager Cloud都有影响。Fortinet已经发布了一个补丁,并列出了用户可以采用的几种解决方法。
【参考链接】
https://ti.nsfocus.com/security-news/IlOYU
3.以“隐私设计”理念指引数据隐私保护
【标签】数据隐私保护
【概述】
进入数字时代,数字技术重构了社会生产生活方式,数据已经逐渐成为市场创新发展和政府公共治理不可或缺的要素。然而,随着信息技术的发展,数据共享与隐私保护之间的矛盾逐渐凸显,私人领域与公共空间的边界变得模糊,传统“隐私止于屋前”的原则遭遇挑战。一方面,数据不可避免地会包含隐私信息,在某种意义上,只有包含个人隐私信息的数据才更有利用价值。另一方面,隐私权是保障自然人独处和不被干扰的权利,发挥着维护自然人的人格尊严和保障人格自由发展的重要作用。
【参考链接】
https://ti.nsfocus.com/security-news/IlOYY
4.Linux 上的Intel、AMD CPU受到新披露的Spectre绕过的影响
【标签】Spectre
【概述】
据了解,最新一代的Intel处理器(包括Xeon芯片)和AMD在Linux上的旧微架构很容易受到绕过现有“Spectre”缓解措施的新推测执行攻击。这些漏洞影响英特尔第12、第13和第14代芯片以及面向服务器的第5和第6代Xeon处理器,以及AMD的Zen1、Zen1+和Zen2处理器。这些攻击破坏了x86处理器上的间接分支预测器屏障(IBPB),这是针对推测执行攻击的核心防御机制。
【参考链接】
https://ti.nsfocus.com/security-news/IlOZ3
5.Fortinet发布Lacework FortiCNAPP,强化云原生应用安全
【标签】Fortinet
【概述】
致力于网络与安全融合的全球网络安全供应商Fortinet®(纳斯达克代码:FTNT)近日宣布,推出了一款全新人工智能(AI)驱动的统一防护平台——Lacework FortiCNAPP,该平台依托单一供应商优势,全面覆盖从代码安全到云安全的应用程序全生命周期。随着云计算基础设施和服务的广泛采用,企业越来越认识到,面对云环境的庞大规模、快速变化和动态特性,传统安全工具在应对这些挑战时显得力不从心。
【参考链接】
https://ti.nsfocus.com/security-news/IlOZg
6.对石油行业勒索软件治理的思考
【标签】勒索软件
【概述】
勒索软件攻击已经成为全球最严峻的网络安全威胁之一,仅Lockbit勒索组织在2023年就发起了千余次攻击,目标遍及全球范围内的金融、交通、能源、医疗等社会基础服务设施。埃森哲、波音、台积电、富士康等至少2000家企业或政府组织都是受害者。近期,施耐德电气连续数月遭受Cactus勒索软件团伙的攻击,导致其客户工业控制和自动化系统的敏感信息泄露。同时,美国汽车软件供应商(CDKGlobal)也连续遭遇勒索攻击,并支付了超过2500万美元的赎金。
【参考链接】
https://ti.nsfocus.com/security-news/IlOZc
7.四家上市公司因网络安全信披违规被罚5000万元
【标签】数据泄露
【概述】
美国证券交易委员会(SEC)22日宣布,因四家公司在2019年“太阳风”(SolarWinds)数据泄露事件中做出误导性披露,决定对其处以民事罚款。被处罚的四家公司分别是网络安全公司Check Point(罚款99.5万美元)、Mimecast(罚款99万美元),科技公司Unisys(罚款400万美元)和Avaya(罚款100万美元)。
【参考链接】
https://ti.nsfocus.com/security-news/IlOYZ
8.有关漏洞挖掘的一些总结
【标签】漏洞挖掘
【概述】
时隔一年多以后再次看本文,依然给我一些启发,尤其是经过一定量的实践以后,发现信息收集真乃漏洞挖掘(渗透测试)的本质,这里再次回顾一下本文,尤其是里面如何评估一个项目(目标)的难度,值得学习与借鉴,对于新手而言,学会寻找”软柿子”很重要!
【参考链接】
https://ti.nsfocus.com/security-news/IlOZ4
9.韩国数据跨境流动规则
【标签】数据跨境流动
【概述】
韩国在对个人信息提供充分保护的同时,也通过缔结经贸协定和修订国内法的方式允许数据的跨境流动。在国际法层面,2012年生效的《韩国-美国自由贸易协定》中已开始包含数据跨境流动的条款。在国内法层面,韩国于2023年修订《韩国个人信息保护法》,进一步细化了个人数据跨境流动规则。
【参考链接】
https://ti.nsfocus.com/security-news/IlOZi
10.LinkedIn被爱尔兰数据保护机构罚款3.1亿欧元
【标签】LinkedIn
【概述】
微软旗下的职业社交网络LinkedIn被爱尔兰数据保护机构Data Protection Commission(DPC)罚款3.1亿欧元。LinkedIn的欧洲总部位于爱尔兰的都柏林,爱尔兰DPC是其业务在欧洲的主要监管机构。这是爱尔兰根据欧洲数据保护法GDPR开出的金额第五大的罚单。对LinkedIn的投诉始于2018年,LinkedIn处理用户数据用于定向广告以及用于跟踪行为的方式被认为不符合GDPR。微软去年已经为这笔罚款提前预留了4.25亿美元,最后的罚款金额略低于这一数字。
【参考链接】
https://ti.nsfocus.com/security-news/IlOYS