要闻速览

1、商用密码应用安全性评估试点工作结束，112家密评机构名单正式发布

2、NSA联合发布六项工业控制系统安全原则，强化关键基础设施防护

3、美候任总统特朗普：将撤销现有AI行政令，从严监管转向放松管制

4、B2B数据聚合公司DemandScience泄露超1亿人数据

5、马自达车载系统曝多个安全缺陷，可通过USB接口劫持车辆

6、以色列支付系统遭受大规模网络攻击，全国加油站和商超大范围瘫痪

一周政策要闻

商用密码应用安全性评估试点工作结束，112家密评机构名单正式发布

2024年11月11日，国家密码管理局依据《中华人民共和国密码法》、《商用密码管理条例》、《商用密码检测机构管理办法》，发布《商用密码检测机构（商用密码应用安全性评估业务）目录》，共包含工业和信息化部密码应用研究中心、北京国家金融科技认证中心有限公司等112家密评机构。即日起，商用密码应用安全性评估试点工作正式结束，未取得商用密码检测机构（商用密码应用安全性评估业务）资质的机构不得面向社会开展商用密码应用安全性评估业务。

信息来源：国家密码管理局https://mp.weixin.qq.com/s/L7yITVa8Ia6h3RpAwiecCg

NSA联合发布六项工业控制系统安全原则，强化关键基础设施防护

随着针对关键基础设施组织的攻击持续增加，OT安全漏洞的潜在影响十分严重，不仅会导致服务中断，还可能在破坏能源电网和水资源供应时对公共安全构成重大威胁。在此背景下，美国国家安全局（NSA）日前联合澳大利亚信号局网络安全中心（ASD SCSC）发布了《运营技术网络安全原则》（Principles of Operational Technology Cybersecurity）新指南，旨在为运营技术（OT）环境提供最佳安全实践指导：

1、安全至上。与传统IT系统不同，OT系统直接关系到人身安全。系统需要具有确定性和可预测性，即使在完全断电的情况下，也不应限制系统重启。

2、深入了解业务。组织需要清晰识别所有关键系统和流程，记录依赖关系，并确保OT管理人员充分理解这些内容。

3、保护OT数据的价值。建议采取多重措施保护数据，包括定义数据存储位置和方式，使用与企业环境和互联网访问隔离的受保护数据存储库等。

4、网络分段和隔离。组织应将OT环境与所有其他网络分段和隔离，限制供应商、同行和服务的上下游数据访问。

5、确保供应链安全。组织需要建立涵盖软件、设备供应商和管理服务提供商的供应链保障计划。

6、重视人员因素。训练有素的人员是保护OT系统的关键资产。组织应招募具有基础设施开发、网络安全、控制系统工程等不同背景的专业人才。

消息来源：Security Intelligence

https://securityintelligence.com/posts/6-principles-operational-technology-cybersecurity-nsa-initiative/

业内新闻速览

美候任总统特朗普：将撤销现有AI行政令，从严监管转向放松管制

美国候任总统特朗普日前表示，将撤销拜登政府于2023年10月颁布的人工智能行政令，并削减政府对AI技术的监管力度。这一举措将可能重塑美国人工智能发展的监管格局。

特朗普在其竞选经济政策纲领中明确指出，拜登的行政令"阻碍了AI创新"。该行政令此前要求大型AI系统开发商进行安全测试，并强制联邦机构制定AI安全标准。artner分析师Avivah Litan表示，虽然特朗普的具体AI政策走向尚不明确，但其经济政策主张"共和党支持以言论自由和人类福祉为根基的AI发展"。

值得关注的是，特朗普在上一任期间曾发布"保持美国在人工智能领域的领导地位"行政令，旨在降低联邦政府获取AI技术的障碍。此外，社交媒体内容审查也是特朗普的核心关注点，这可能涉及AI技术的应用。

消息来源：CSDNhttps://blog.csdn.net/LinkTime_Cloud/article/details/143639157

B2B数据聚合公司DemandScience泄露超1亿人数据

据BleepingComputer消息，今年2月，一个名为“KryptonZambie”的黑客者开始在 BreachForums论坛 上出售 1.328亿条个人信息记录，目前已证实，这些数据来自一家聚合数据的 B2B 需求生成公司 DemandScience（前身为 Pure Incubation）。

数据聚合是从公共来源收集、编译和组织数据，以创建一个对数字营销人员和广告商有价值的综合数据集，从而创建丰富的 "档案"，用于生成线索或营销信息。在 DemandScience 的案例中，该公司从公共来源和第三方收集业务数据包括全名、实际地址、电子邮件地址、电话号码、职称和职能以及社交媒体链接。

尽管黑客声称是从泄露的系统中获取的数据，DemandScience否认了这一说法，表示其系统运行正常，无任何被黑或数据泄露的迹象。然而，8月15日，黑客以 8 个论坛积分（相当于几美元）的价格出售数据集，基本上是免费泄露数据。

11月13日，数据泄露查询网站Have I Been Pwned的创始人Troy Hunt确认了数据的真实性，并指出受影响的个人在联系DemandScience后，被告知数据来自两年前已停用的系统。

消息来源：FREEBUF  https://www.freebuf.com/news/415274.html

马自达车载系统曝多个安全缺陷，可通过USB接口劫持车辆

据Zero Day Initiative（ZDI）安全研究团队最新披露，在马自达汽车的车载信息娱乐系统中发现了多个高危安全缺陷。这些缺陷主要存在于2021年前后生产的Mazda 3等多个车型搭载的连接主控单元中，攻击者可通过USB设备实现任意代码执行。

从技术角度分析，这些缺陷涉及多个关键安全问题：首先是SQL注入缺陷，攻击者可通过伪造Apple设备的iAP序列号注入恶意SQL代码，实现数据库操作和文件创建；其次是两个操作系统命令注入缺陷，由于共享对象中的REFLASH_DDU相关函数未对用户输入进行充分过滤，导致可执行任意系统命令；此外还发现硬件信任根缺失和代码签名缺失等问题。这些安全缺陷的利用方式相对简单：攻击者只需准备一个FAT32格式的USB存储设备，创建包含操作系统命令的特定文件名（以.up结尾），即可触发软件更新处理代码。ZDI研究人员表示，在实验环境中，完整的攻击链条仅需数分钟即可完成。一旦攻击成功，不仅可以实现持久化控制，还可以安装特制的VIP微控制器软件，获取对车辆网络的无限制访问权限。研究人员表示，市场上运营多年且有长期安全修复历史的成熟汽车产品，也可能存在高影响力的漏洞安全漏洞。

以色列支付系统遭受大规模网络攻击，全国加油站和商超大范围瘫痪

日前，一场针对支付系统的网络攻击导致以色列境内数千台信用卡读卡器无法正常工作，造成全国加油站和连锁超市的支付系统大面积瘫痪。

据《耶路撒冷邮报》报道，周日清晨，负责运营支付设备的Hyp CreditGuard公司遭遇疑似分布式拒绝服务（DDoS）攻击，导致其支付网关系统通信中断。这次攻击影响范围广泛，涉及Maccabi卫生基金、Gett出租车服务、Wolt食品订购应用程序，以及Rav Kav Online和Hop-On等公共交通支付系统。

Hyp CreditGuard公司在声明中表示：公司部分服务和相关通信供应商遭受DDoS攻击。目前攻击已被成功阻止，服务已恢复正常运营；我们正在与所有安全机构协调，以确保持续正常运营。该公司同时表示，此次事件未造成个人或财务数据泄露。

数据显示，自去年以来，针对以色列企业的网络攻击增长了100%，这与以色列在加沙和黎巴嫩发起的军事行动有关。

消息来源：安全牛 https://mp.weixin.qq.com/s/UwD7JFZsMLkthQpcORJjhQ

来源:本安全周报所推送内容由网络收集整理而来，仅用于分享，并不意味着赞同其观点或证实其内容的真实性，部分内容推送时未能与原作者取得联系，若涉及版权问题，烦请原作者联系我们，我们会尽快删除处理，谢谢！