IconBurst:影响数百网站的NPM供应链攻击

第316期

你好呀~欢迎来到“安全头条”!如果你是第一次光顾,可以先阅读站内公告了解我们哦。

欢迎各位新老顾客前来拜访,在文章底部时常交流、疯狂讨论,都是小安欢迎哒~如果对本小站的内容还有更多建议,也欢迎底部提出建议哦!

1、IconBurst:影响数百网站的NPM供应链攻击

安全研究员发现影响数百个应用和网站的NPM供应链攻击,隐秘传播达半年之久。

和往常的NPM供应链攻击相同,它利用相似包名来感染粗心大意的开发者。引入项目后,它们的恶意代码就开始起作用,在各种表单提交处嵌入恶意脚本窃取密码。安全研究员已联系NPM团队报告此事,但只有少数几个包被清理,大多数还可以正常下载,一些下载量高的恶意包轻松就能突破上万下载量,最终影响估计有数百个应用和网站。

为保护包安全性,最好引入时仔细鉴别,或者安装一些用于防护此类问题的包(当然安装时也要看清楚是不是真的)。[阅读原文]

 

2、中国国家互联网信息办公室与泰国国家网络安全办公室签署网络安全合作谅解备忘录

7月5日,中华人民共和国国家互联网信息办公室与泰王国国家网络安全办公室签署《关于网络安全合作的谅解备忘录》,双方同意进一步加强网络安全领域交流合作,维护网络空间稳定。[阅读原文]

 

3、深圳举行首次数字政府领域实战网络攻防演练

历时5天,30支顶尖队伍,1700余个政务信息系统,紧张有序的实网攻防……一场围绕网络安全的精彩的“深蓝守护”行动在深圳开展。

7月5日下午,“深蓝-2022”深圳市数字政府网络安全攻防演练闭幕式暨演练活动总结会在深圳举行。广东省政府副秘书长、省政务服务数据管理局局长杨鹏飞,深圳市政府党组成员杨胜军,市政务服务数据管理局局长刘佳晨,市通信管理局局长何承健,市委网信办副主任张忠亮,市公安局副局长景文以及各区各市直部门有关负责同志出席了闭幕式。

“深蓝-2022”攻防演练以“筑牢网络安全基石,护航数字政府建设”为主题,由广东省政务服务数据管理局作为指导单位,深圳市政务服务数据管理局、深圳市互联网信息办公室、深圳市公安局、深圳市通信管理局主办,鹏城实验室、公安部第三研究所、北京永信至诚科技股份有限公司、深圳市智慧城市科技发展集团有限公司、数字政府网络安全产业联盟联合协办。

本次演练将全市政务信息系统全部列入演练范围,邀请网络安全企业、央企、高校等30支顶尖队伍在5天的时间内从全国不同区域开展网络攻击行动,最大限度模拟真实攻击,大大增强了“实网、实兵、实战”的演练氛围,是深圳市首次聚焦数字政府领域的大规模实网攻防演练。

为确保安全可控,演练创新性引入以鹏城实验室靶场为主、永信至诚靶场为分的双靶场机制,对演练攻击行为和攻击流量双管控、双监测。同时邀请鹏城实验室、公安部第三研究所等单位的专家共同组成裁判组,确保演练全程安全可控、结果公平公正。

此外,为确保敏感数据得到有效保护,活动邀请了司法鉴定机构对演练全程产生的信息数据进行固证、出具活动合规建议。经过攻防双方5天激烈角逐,经裁判组集体审核判定,本次演练共评选出15家优秀防守单位、10支优秀攻击队伍及特殊贡献单位。

在闭幕式上,杨鹏飞表示2022年是实施“十四五”规划的关键之年,深圳举办“深蓝-2022”数字政府网络安全攻防演练对于全方位提升网络安全水平有着重要的实践意义。希望本次演练能够充分发挥深圳立足粤港澳大湾区、辐射全国的区域带动作用,促进网络安全意识提高、人才和技术发展,加快健全数字政府网络安全治理体系。

杨胜军表示“深蓝-2022”作为深圳市数字政府领域首次开展的实战攻防,是一场范围广、程度深、水平高的演练活动,对全市网络安全整体能力进行了全面的检验,对构建全方位、多层级、一体化安全防护体系,提升数字政府整体网络安全水平起到了积极推动作用。同时,杨胜军对数字政府网络安全工作提出了要求,各区各部门在本次演练中暴露的问题要积极整改,常态化开展网络安全日常教育和监督管理工作;向优秀单位看齐,狠抓防护能力建设;强化联防联控机制,推动构建“纵向到底、横向到边、运行高效、防护有力”的全域性数字政府网络安全体系。

“深蓝-2022”演练指挥部常务副指挥长刘佳晨介绍,本次演练具有攻击力量强、目标数量多、防守战线长、阵地面积广、对抗强度高、战场切入深等显著特点,并取得了预期效果,达到了“以练促改”“以练促防”的目的,及时发现清除全市电子政务系统存在的网络安全隐患,有效排除网络安全风险,全方位检验了深圳市数字政府网络安全整体防护水平,为快速处置大面积政务网络攻击事件积累可推广、可复制的“深圳经验”。

坚持目标导向、问题导向、结果导向,以大概率思维应对小概率事件,深圳将始终绷紧网络安全这根弦,用最坚决的态度、最有力的行动、最扎实的措施、最严格的要求,以“时时放心不下”的责任感,筑牢全市数字政府网络安全防线,开创数字政府改革建设工作新局面。[阅读原文]

 

4、“2022 西湖论剑·网络安全大会——数据安全治理和个人信息保护论坛”在京举办

7 月 3 日,由全国信息安全标准化技术委员会秘书处主办的“2022 西湖论剑·网络安全大会——数据安全治理和个人信息保护论坛”在北京举办。工业和信息化部网络安全管理局雷楠处长、国家市场监督管理总局标准技术管理司刘大山处长出席论坛并讲话,全国信息安全标准化技术委员会秘书长、中国电子技术标准化研究院党委书记杨建军致欢迎辞。

杨建军致辞指出,党和国家高度重视数据安全和个人信息保护工作,数据安全和网络安全已一并纳入总体国家安全观。全国信息安全标准化技术委员会秘书处作为标准化专业机构,一是加快推动重点急需标准研制,有效支撑数据安全和个人信息保护相关法律法规落地实施、行业管理和产业发展;二是加强标准宣贯实施,促进标准应用与技术产业协同联动,充分发挥标准在数据安全治理和个人信息保护中的基础性、规范性、引领性作用;三是发挥自身优势,为各行业领域搭建网络安全和数据安全标准化沟通交流平台,以标准为基础提升数据安全支撑服务能力,努力营造全民数据安全和个人信息保护的良好社会氛围。

雷楠指出,面对日益严峻的数据安全风险,要按照成体系、有重点、分步骤的工作思路推进数据安全和个人信息保护工作。一是夯实数据安全管理的制度基石,健全工业和信息化领域数据分类分级、安全防护、风险评估、应急处置等重点制度和关键标准;二是完善数据安全治理工作机制,加快推进重要数据目录备案、安全信息共享、社会投诉举报等工作机制,打造协同联动的工作格局;三是提升数据安全技术能力和保障水平,整合优化行业资源,建设工业和信息化领域数据安全技术手段,形成数据监测溯源和应急处置能力;四是增强数据安全产业供给能力,推进产业园区、创新示范区、重点实验室的建设布局,培育优势骨干企业和专业人才队伍,壮大创新数据安全产业生态。

刘大山指出,要认真贯彻落实党中央和国务院关于数据安全和标准化工作的决策部署,以标准化工作为重要抓手,为各行业数据安全治理和数据安全防护体系建设提供依据。一是深刻认识数据安全标准化工作的重大意义,筑牢保护国家安全和数字经济发展的标准之盾,应对各种可以预见和难以预见的风险挑战;二是强化数据安全和个人信息保护标准顶层规划,加强新时期数据安全标准化研究和布局,明确本领域标准化技术发展趋势和演变路径;三是加快重点领域急需标准制定与实施,提升标准支撑网络安全审查、数据安全管理认证、个人信息保护认证等相关工作的能力;四是加强国际标准化交流合作,积极参与数据安全和个人信息保护领域国际规则的制定,与国际国外标准化组织开展合作,积极贡献中国智慧,贡献中国方案。

论坛邀请了国家信息技术安全研究中心总师组专家李京春带来《数据安全保护与数据跨境合规的探讨》主题演讲;四川大学网络空间安全学院院长陈兴蜀分享《数据分类分级的挑战及实践》;中国科学技术大学公共事务学院、网络空间安全学院教授左晓栋介绍《重要数据安全标准进展》;国家信息中心大数据发展部规划与应用处处长王建冬讲解《推进“东数西算”的政策思考与实施路径》;中国电子技术标准化研究院网安中心数据安全部主任胡影讲解《数据安全评估和认证概览》;安恒信息高级副总裁刘博分享《企业数据安全治理体系与实践》;清华大学技术创新研究中心数权经济研究室主任钟宏讲解《国家数据战略 3.0 时代–数据统一大市场的发展机遇》;阿里云安全资深产品专家马乐乐介绍《新型办公环境下的数据安全实践》。论坛还发布了《数据安全和个人信息保护白皮书系列》。[阅读原文]

(完)