信息安全最新文章 十國/地區數據保護法十大合規要點對比 | #6 數據影響評估(DPIA/PIA)要求 “數據保護影響評估”是引用自GDPR的規定,要求數據控制者需要對“可能會對自然人的權利和自由造成高風險”的操作進行數據保護影響評估,英文為Data Protection Impact Assessment,簡稱DPIA,有些國家或地區也稱為“隱私影響評估”(Privacy Impact Assessment,簡稱PIA),主要是指在開始數據處理活動之前和在部分特定的情況下,數據控制者有義務對數據處理的行為進行不同維度的影響評估,對個人信息主體合法權益是否可能會造成損害的不同風險進行評估,以幫助企業對數據處理過程中可能涉及的風險進行識別與系統分析。 發表于:9/30/2021 十國/地區數據保護法十大合規要點對比 | #7 發生安全事件時數據泄露通知的要求 數據泄露通知則是指當發生個人數據泄露安全事件時候,個人信息的控制者與處理者需要就泄露事件向不同的主體發出通知和報告的義務。 發表于:9/30/2021 【數據法學】IMF:亞洲數字化時代的稅收挑戰與回應 亞洲的數字化是普遍的、獨特且不斷發展的。亞洲互聯網用戶遠超其他地區,因此亞洲的數字化以規模巨大為突出特點。這促進了那些國際標準下的大型市場中電子商務的發展。它們有創新性的支付系統作為支撐,以大型企業參與其中為特色。這里的大型企業包括大規模、土生土長且高度數字化、并在在規模上威脅著美國的跨國企業(MNEs)的企業(電商巨頭)。他們未來的成長存在機遇,因為依舊有大規模的用戶尚未做到彼此連接。 發表于:9/30/2021 俄羅斯以叛國罪逮捕其明星級網絡安全大佬 俄最大網絡安全公司之一Group-IB該公司成立于俄羅斯,但現在正式總部設在新加坡。這是一家解決方案提供商,旨在檢測和預防網絡攻擊和在線欺詐。該公司還專門從事備受矚目的網絡調查和知識產權保護服務。Group-IB 的威脅情報和歸因系統被Gartner、Forrester和IDC評為同類最佳系統之一,而其威脅狩獵框架被公認為網絡檢測和響應領域的領導者之一。 發表于:9/30/2021 NSA網絡安全負責人警告:攻擊者越來越多地使用商業工具來隱藏身份 美國國家安全局(National Security Agency)網絡部門負責人表示,高級持續威脅行為者越來越多地利用虛擬專用網絡等廣泛可用的商業工具,這加大了網絡攻擊溯源取證的難度。 發表于:9/30/2021 針對性DNS劫持:疑是SolarWinds事件后攻擊團隊的新木馬Tomiris曝光 卡巴斯基的威脅狩獵團隊截獲了一種新的網絡間諜植入物,這種植入物是通過有針對性的DNS劫持東歐政府的DNS。研究團隊當場時間9月29日發布了一份新的報告,其中提供了將該惡意軟件與SolarWinds攻擊者聯系起來的線索。 發表于:9/30/2021 美國政府強化零信任的深義:實現多層級網絡安全 美國企業和基礎設施頻頻遭遇重大網絡攻擊,凸顯網絡安全對政府的高度重要性。 發表于:9/30/2021 美媒:印度曾利用美公司黑客技術監聽中國和巴基斯坦 據美國《福布斯新聞》網站17日獨家報道,印度被曝曾利用美國公司的黑客技術監聽中國和巴基斯坦,該黑客公司隨后終止與印度的合同,并表示該公司的黑客技術不允許被當做“火槍”來“攻擊巴基斯坦和中國”。 發表于:9/30/2021 Telegram正在成為網絡罪犯的天堂 Telegram正在成為網絡犯罪活動的一個重要平臺,攻擊者會使用它并出售任何類型的盜取數據和黑客工具。 發表于:9/29/2021 38億條Clubhouse用戶數據在非法出售,包含Facebook個人資料等信息 近日,安全人士Jiten Jain發推文爆料,一個包含38億條Clubhouse用戶數據的數據庫正以10萬美金的報價在暗網銷售,其中包含了用戶的姓名、電話號碼、Clubhouse排名和Facebook個人資料鏈接。Clubhouse是一家獨立的音頻社交網絡,在新冠肺炎疫情爆發期間,其用戶數量快速增長。 發表于:9/29/2021 CISO對威脅情報使用滿意率不足10% 近日,Cyber sixgill對全球150家大型企業CISO(首席信息安全官)展開一項調查,數據顯示,超過90%的CISO表示,他們依賴過時、基于報告的威脅情報,這些情報通常無法為決策提供有價值的信息。CISO們清晰地意識到這一不足,因為董事會和首席執行官對他們的評判,主要考慮與事件響應效率和響應瓶頸相關的指標,以及是否提供更好的可見性工具。 發表于:9/29/2021 當AI融入生活:能力越大,管理越難! 2019年,OpenAI發布了Safety Gym(https://openai.com/blog/safety-gym/),這是一套用于開發遵守某些“安全約束”的AI模型工具。當時,OpenAI聲稱可以通過Safety Gym,比較人工智能算法的安全性,以及這些算法避免犯錯誤的能力。 發表于:9/29/2021 美NSA和CISA發布了VPN選擇和加固的解決方案 美國國家安全局(National Security Agency)和國土安全部(Department of Homeland Security)下屬網絡安全和基礎設施安全局CISA警告稱,外國政府支持的黑客正在積極利用虛擬專用網絡(VPN)設備的漏洞。當地時間9月28日,NSA和CISA發布了保護VPN安全的指導方針。遠程訪問vpn是進入企業網絡和所有敏感數據和服務的入口。這種直接訪問使它們容易成為APT攻擊的重要目標。通過選擇安全的、基于標準的VPN并加固和收縮攻擊面,將惡意行為者拒之門外。這對于確保網絡安全至關重要。 發表于:9/29/2021 工信部等八部門印發《物聯網新型基礎設施建設三年行動計劃(2021-2023年)》 工業和信息化部、中央網絡安全和信息化委員會辦公室、科學技術部、生態環境部、住房和城鄉建設部、農業農村部、國家衛生健康委員會、國家能源局等八部門近日聯合印發《物聯網新型基礎設施建設三年行動計劃(2021-2023年)》。《行動計劃》明確到2023年底,在國內主要城市初步建成物聯網新型基礎設施,社會現代化治理、產業數字化轉型和民生消費升級的基礎更加穩固。突破一批制約物聯網發展的關鍵共性技術,培育一批示范帶動作用強的物聯網建設主體和運營主體,催生一批可復制、可推廣、可持續的運營服務模式,導出一批賦能作用顯著、綜合效益優良的行業應用,構建一套健全完善的物聯網標準和安全保障體系。 發表于:9/29/2021 原創 | 施耐德電氣PLC ModiPwn漏洞綜述 Armis研究人員在施耐德電氣(SE)Modicon PLC中發現了一個新漏洞CVE-2021-22779,該漏洞被稱為ModiPwn,影響Modicon M340、M580以及Modicon系列的其他型號PLC。該漏洞繞過了這些PLC中用來防止濫用未記錄的Modbus命令的安全機制,Armis研究人員發現這些命令可用于接管PLC并獲取設備本地代碼執行權限,攻擊者之后利用代碼可更改PLC的操作,同時對管理PLC的工程工作站隱藏其操作。這是一種未經身份驗證的攻擊,只需要對目標PLC進行網絡訪問。 發表于:9/29/2021 ?…175176177178179180181182183184…?
